Beruflich Dokumente
Kultur Dokumente
M I C R O S O F T
24411B
L E A R N I N G
P R O D U C T
ii Configurao do Windows 8
As informaes includas neste documento, incluindo URL e outras referncias a sites da Internet, esto
sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um contrato de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links somente para sua convenincia, e a incluso de tais links no implica endosso da Microsoft em
relao ao site ou aos produtos nele contidos.
2013 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em http://www.microsoft.com/about/legal/en/us/IntellectualProperty/
Trademarks/EN-US.aspx so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas
comerciais pertencem aos respectivos proprietrios
Configurao do Windows 8
iii
Dispositivo em Sala de Aula significa 1 (um) computador dedicado e protegido que um Centro de
Treinamento Autorizado possui ou controla, localizado nas instalaes de treinamento do Centro
de Treinamento Autorizado que atende ou excede o nvel de hardware especificado para o referido
Curso Conduzido pelo Instrutor da Microsoft.
d. Usurio Final significa um indivduo que est (i) devidamente inscrito em e participando de uma
Sesso de Treinamento Autorizado ou Sesso de Treinamento Privado, (ii) um funcionrio de um
Membro MPN ou (iii) um funcionrio em tempo integral da Microsoft.
e. Contedo Licenciado significa o contedo que acompanha este contrato, que pode incluir
o Curso Conduzido pelo Instrutor da Microsoft ou o Contedo do Instrutor.
f.
Instrutor Certificado pela Microsoft ou MCT significa um indivduo que (i) contratado para
ministrar uma sesso de treinamento para Usurios Finais em nome de um Centro de Treinamento
Autorizado ou Membro do MPN e (ii) atualmente certificado como um Instrutor Certificado pela
Microsoft pelo Programa do Programa de Certificao da Microsoft.
iv Configurao do Windows 8
g. Curso Conduzido pelo Instrutor da Microsoft significa o curso de treinamento conduzido pelo
instrutor com a marca da Microsoft que instrui profissionais de TI e desenvolvedores nas
tecnologias da Microsoft. Um ttulo de Curso Conduzido pelo Instrutor da Microsoft pode
ser um curso com a marca MOC, Microsoft Dynamics ou Microsoft Business Group.
h. Membro do Programa Microsoft IT Academy significa um membro ativo do
Programa Microsoft IT Academy.
i.
j.
MOC significa o curso conduzido pelo instrutor de Official Microsoft Learning Product, conhecido
como Microsoft Official Course, que instrui profissionais de TI e desenvolvedores nas tecnologias
da Microsoft.
k. Membro MPN significa um membro ativo do programa Microsoft Partner Network com nvel silver
ou gold de boa reputao.
l.
Configurao do Windows 8
vi Configurao do Windows 8
Configurao do Windows 8
vii
c.
i.
Configurao do Windows 8
ix
Configurao do Windows 8
Configurao do Windows 8
xi
tout ce qui est reli au le contenu sous licence, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers; et
Elle sapplique galement, mme si Microsoft connaissait ou devrait connatre lventualit dun tel
dommage. Si votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou lexclusion ci-dessus
ne sappliquera pas votre gard.
EFFET JURIDIQUE. Le prsent contrat dcrit certains droits juridiques. Vous pourriez avoir dautres
droits prvus par les lois de votre pays. Le prsent contrat ne modifie pas les droits que vous confrent
les lois de votre pays si celles-ci ne le permettent pas.
Revisado em junho de 2012
Configurao do Windows 8
Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.
1 IDC,
xiii
Agradecimentos
O Microsoft Learning gostaria de reconhecer e agradecer s seguintes pessoas por sua contribuio no
desenvolvimento deste curso. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu que
voc tivesse uma boa experincia em sala de aula.
Contedo
Mdulo 1: Implantao e manuteno de imagens de servidor
Lio 1: Viso geral dos Servios de Implantao do Windows
Lio 2: Implementao da implantao com os Servios de Implantao
do Windows
Lio 3: Administrao dos Servios de Implantao do Windows
Laboratrio: Uso dos Servios de Implantao do Windows
para implantar o Windows Server 2012
1-2
1-9
1-16
1-23
2-2
2-9
2-16
2-21
2-24
2-32
3-2
3-7
3-11
3-15
3-24
3-34
4-2
4-8
4-16
4-23
5-2
5-11
5-18
5-34
5-42
xv
6-2
6-8
6-14
6-18
6-22
7-2
7-11
7-21
7-28
7-34
7-39
7-52
8-2
8-7
8-14
8-24
8-30
9-2
9-8
9-15
9-20
9-24
10-2
10-9
10-19
10-26
10-30
10-38
10-43
10-47
11-2
11-6
11-14
12-2
12-5
12-9
13-2
13-10
13-19
13-22
L1-1
L2-7
L3-13
L4-21
L5-25
L6-35
L7-41
L7-48
xvii
L8-63
L9-69
L10-79
L10-83
L11-87
L12-91
L13-97
xix
Esta seo fornece uma breve descrio do curso24411B: Administrao do Windows Server 2012
pblico-alvo, pr-requisitos sugeridos e objetivos do curso.
Descrio do curso
O objetivo principal deste curso configurar e manter servios de infraestrutura bsicos em um ambiente
corporativo do Windows Server 2012. O pblico-alvo principal deste curso de profissionais de TI
(tecnologia da informao) que conseguiram implementar com xito um servidor Microsoft Windows
Server 2008, em uma infraestrutura corporativa existente ou como uma instalao autnoma, e desejam
adquirir as habilidades e o conhecimento necessrio ampliao dessa implementao para gerenciar e
manter a infraestrutura bsica necessria a um ambiente do Windows Server 2008. Os candidatos tambm
devem ter um conhecimento equivalente ao j abordado no curso Windows Server 2012 Enterprise Bsico
1, porque esse curso partir desse conhecimento.
Pblico-alvo
Este curso se destina a alunos para ampliar a implantao inicial de servios no Bsico 1 e fornecer as
habilidades necessrias ao gerenciamento e manuteno da infraestrutura do Windows Server 2012
com base em domnio. Os candidatos normalmente seriam administradores de sistema e deveriam ter
pelo menos um ano de experincia trabalhando em um ambiente do Windows Server 2012 ou do
Windows 8. O pblico-alvo secundrio deste curso ser de candidatos que desejam adquirir a credencial
MCSA (Microsoft Certified Solutions Associate) sozinhos ou continuar adquirindo as credenciais MCSE
(Microsoft Certified Solutions Expert), das quais este curso um pr-requisito.
Pr-requisitos do aluno
Este curso exige que voc tenha a possibilidade de atender aos seguintes pr-requisitos:
Configurar servios DNS (Sistema de Nomes de Domnio) e DHCP (Dynamic Host Configuration
Protocol).
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Estrutura do curso
Veja a seguir a estrutura do curso:
Mdulo 1, Implantao e manuteno de imagens de servidor
Mdulo 2, Configurao e soluo de problemas do Sistema de Nomes de Domnio
Mdulo 3, Manuteno dos Servios de Domnio Active Directory
Mdulo 4, Gerenciamento de contas de servio e de usurio
Mdulo 5, Implementao de uma infraestrutura de Poltica de Grupo
Mdulo 6, Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Mdulo 7, Configurao e soluo de problemas de acesso remoto
Mdulo 8, Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Mdulo 9, Implementao da Proteo de Acesso Rede
Mdulo 10, Otimizao de Servios de Arquivo
Mdulo 11, Configurao de criptografia e auditoria avanada
Mdulo 12, Implementao do gerenciamento de atualizaes
Mdulo 13, Monitoramento do Windows Server 2012
xx
Mapeamento do exame/curso
Este curso, 24411B: Administrao do Windows Server 2012, tem um mapeamento direto do
seu contedo com o domnio de objetivos para o exame da Microsoft 70-411: Administrao
do Windows Server 2012.
xxi
A tabela a seguir fornecida como uma ajuda de estudo que o ajudar na preparao para este exame e
para mostrar a voc como os objetivos do exame e o contedo do curso so integrados. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao: os objetivos do exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-411#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls).
Contedo do curso
Mdulo
Lio
Laboratrio
Md 1
Lio
Md 1
1/2/3
Ex 1/2/3/4
Md 12
Lio
1/2
Md 12
Ex 1/2/3
Md 13
Lio
1/2/3
Md 13
Ex 1/2/3
(continuao)
Contedo do curso
Md 10
Lio
4/5/6
Md 10
Lab B
Ex 1/2/3
Md 10
Lio
1/2/3
Md 10
Lab A
Ex 1/2
Md 11
Lio 1
Md 11
Ex 1
Md 11
Lio 2
Md 11
Ex 2
Contedo do curso
xxiii
Md 2
Lio
1/3/4
Md 2
Ex 2/4
Md 2
Lio
2/5
Md 2
Ex 1/3
Md 7
Lio
1/2/3/4
Mod 7
Lab A
Ex 1/2
Md 7
Lio 5
Md 7
Lab B
Ex 1/2/3
(continuao)
Contedo do curso
Md 8
Lio
3/4
Md 8
Ex 2
Md 6
Lio 2
Md 8
Lio
1/2
Md 8
Ex 1
Md 9
Lio
1/2/3/4
Md 9
Ex 1/2/3
Contedo do curso
xxv
Md 4
Lio
1/2/3
Md 4
Ex 1/2
Md 3
Lio
1/2/3
Md 3
Ex 1/2
Md 3
Lio
1/3/4/5
Md 3
Ex 2/3
Md 4
Lio
1/2/3
Md 4
Ex 1
(continuao)
Configurar
preferncias da
Poltica de
Grupo
Contedo do curso
Md 6
Lio
Md 6
1/2/3
Ex 1
xxvii
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-411#tab3
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo do
pblico-alvo para este exame est disponvel na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-411#tab1
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
Material do curso
xxviii
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas e os
conhecimentos aprendidos em cada mdulo.
Respostas do laboratrio: Fornecem orientao passo a passo e imediata para a resoluo dos
laboratrios quando necessrio.
Recursos: Incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
mais atual na TechNet, na MSDN e na Microsoft Press.
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
Esta seo fornece as informaes para configurao do ambiente de sala de aula para dar suporte ao
cenrio comercial do curso.
2.
Na caixa de dilogo Fechar, na lista O que voc deseja que a mquina virtual faa?,
clique em Desligar e exclua as alteraes e, em seguida, clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso.
Mquina virtual
Funo
24411B-LON-DC1
24411B-LON-CL1
24411B-LON-CL2
24411B-LON-SVR1
24411B-LON-SVR3
24411B-LON-SVR4
24411B-LON-RTR
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
Arquivos do curso
H arquivos de laboratrio associados aos laboratrios neste curso. Os arquivos de laboratrio esto
localizados na pasta E:\Labfiles\LabXX em NYC-DC1.
xxix
xxx
Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.
Mova o mouse para o canto inferior direito da rea de trabalho para abrir um menu com:
Windows+C: abre o mesmo menu que aberto com a movimentao do mouse no canto inferior
direito
Mdulo 1
Implantao e manuteno de imagens de servidor
Contedo:
Viso geral do mdulo
1-1
1-2
1-9
1-16
1-23
1-29
Objetivos
Ao concluir este mdulo, os alunos estaro aptos a:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Identificar como usar os Servios de Implantao do Windows para dar suporte a vrios cenrios
de implantao.
1-2
1-3
Windows XP
Windows 7
Windows 8
1-4
Se a organizao for multilngue ou internacional, ser possvel utilizar a natureza neutra do idioma dos
sistemas operacionais Windows mais recentes. O nmero de imagens que voc precisa manter reduzido
novamente porque no h mais nenhuma verso localizada. Algumas verses de sistemas operacionais
Windows so limitadas ao nmero de pacotes de idiomas. possvel adicionar ou remover pacotes de
idiomas de um sistema conforme necessrio e a qualquer momento sem alterar a instalao.
Se precisar dar suporte a vrios idiomas, voc adicionar todos os pacotes de idiomas necessrios ao
arquivo .wim de implantao e ativ-los conforme necessrio, em todos os computadores ou em
computadores especficos.
Componentes de servidor
Entre os componentes de servidor adicionais esto um servidor TFTP (Trivial File Transfer Protocol)
que permite a clientes de inicializao de rede carregarem uma imagem de inicializao na memria.
Tambm est includo: um repositrio de imagem que contm imagens de inicializao, imagens de
instalao, arquivos necessrios especificamente para suporte inicializao de rede e uma pasta
compartilhada que hospeda as imagens de instalao.
Mecanismo de multicasting
1-5
A transmisso de imagens grandes do sistema operacional pela rede mais eficiente com os Servios de
Implantao do Windows. Porm, o envio de arquivos com vrios gigabytes pela rede cria um grande
volume de trfego de rede. Usando o recurso multicast, possvel reduzir ainda mais o custo de rede
de usar a implantao dos Servios de Implantao do Windows.
Com multicasting, o servidor envia os dados uma nica vez e vrios destinos recebem os mesmos dados.
Se voc estiver implantando em vrios destinos, isso poder reduzir o trfego de rede a uma frao do
nmero equivalente de vrias transmisses de unicast. Os Servios de Implantao do Windows fornecem
dois tipos de multicasting:
contagem de clientes. Quando voc especificar uma contagem de clientes, o servidor aguardar
a contagem definida de clientes conectados ser alcanada e ento comear a enviar as
informaes.
Embora fornea um uso mais eficiente da rede, o multicast programado exige um pouco mais
de trabalho; cada computador de destino deve ser conectado, ligado e marcado.
Cenrio 1
1-6
Adicione boot.wim a partir da pasta de origem da mdia do Windows Server 2012 como uma imagem
de inicializao nos Servios de Implantao do Windows.
2.
Adicione install.wim a partir da pasta de origem da mdia do Windows 8 como uma imagem de
instalao.
3.
5.
6.
7.
8.
9.
Conecte-se imagem de captura criada por voc, use-a para capturar o sistema operacional local e
carregue-a no servidor dos Servios de Implantao do Windows.
10. Inicie cada um dos computadores de destino existentes a partir da rede usando PXE e conecte-se
imagem de inicializao apropriada.
11. Selecione a imagem de instalao personalizada.
12. A implantao iniciada.
Os benefcios para a organizao neste cenrio so:
Essa soluo no seria adequada a implantaes maiores, porque voc precisa do instalador para iniciar a
implantao no computador de destino. Alm disso, o instalador obrigatrio para selecionar uma
partio de disco na qual instalar a imagem de instalao selecionada.
Cenrio 2
1-7
No segundo cenrio, uma organizao de mdio a grande porte deseja implantar vrios servidores em
filiais geograficamente espalhadas. Seria demorado e caro enviar a equipe de TI experiente a cada local
para implantar os servidores.
Usando os Servios de Implantao do Windows, a equipe de TI pode resolver esse problema:
1.
Adicione boot.wim a partir da mdia do Windows Server 2012 como uma imagem de inicializao
nos Servios de Implantao do Windows.
2.
Adicione install.wim a partir da mdia do Windows Server 2012 como uma imagem de instalao.
3.
4.
5.
Execute uma instalao padro do Windows Server 2012 a partir da imagem install.wim.
6.
7.
8.
9.
12. Configure o arquivo de resposta a ser usado com a imagem de instalao capturada nos Servios de
Implantao do Windows.
13. Configure uma poltica de nomenclatura personalizada nos Servios de Implantao do Windows de
forma que cada computador servidor receba um nome de computador apropriado durante a implantao.
14. Configure os Servios de Implantao do Windows para usarem uma imagem de inicializao padro.
15. Configure os Servios de Implantao do Windows para atenderem a solicitaes PXE e inicie a
implantao da imagem de instalao automaticamente.
16. Inicie cada um dos computadores de destino a partir da rede.
Observao: Para evitar um loop de inicializao, aconselhvel configurar o BIOS (basic
input/output system) do computador para ser inicializado a partir do disco rgido e, em seguida,
da rede. Para obter mais informaes sobre como evitar um loop de inicializao, consulte o Guia
de Implantao dos Servios de Implantao do Windows.
Os benefcios para a organizao neste cenrio so:
A soluo no implementa transmisses multicast nem usa referncia PXE. Essas tecnologias tambm
poderiam ser usadas para ajudar a gerenciar o trfego de rede durante a implantao.
No h requisito de atualizar
configuraes de servidores existentes, porque essas so novas filiais sem infraestrutura de TI
atual implantada.
1-8
A configurao dos vrios servidores deve variar um pouco; h duas configuraes de servidor
bsicas: servidor completo e Server Core.
Lio 2
1-9
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar o processo de usar os Servios de Implantao do Windows para implantar o Windows Server.
Servidor de implantao
Servidor de transporte
Requisitos
PXE
Servidor de imagem
Nenhum
Transmisso
Unicast e multicast
Somente multicast
(continuao)
Componente de servidor
Servidor de implantao
Servidor de transporte
Gerenciamento
As ferramentas de linha de
comando WDSutil.exe e o snap-in
MMC (Console de Gerenciamento
Microsoft) dos Servios de
Implantao do Windows
Somente WDSutil.exe
Computador de destino
Somente Wdsmcast.exe
Inicialize a partir da rede. O Servidor de Transporte s fornece um ouvinte PXE; esse o componente
que escuta e aceita o trfego de entrada. Voc deve escrever um provedor PXE personalizado para
usar um Servidor de Transporte a fim de inicializar o computador a partir da rede.
Provedor de contedo. Interpreta e passa os dados e para o provedor multicast. Ele instalado
com os Servidores de Transporte e o Servidor de Implantao e pode ser usado para transferir
qualquer tipo de arquivo, embora tenha conhecimento especfico sobre o formato do arquivo de
imagem .wim.
AD DS. O servidor dos Servios de Implantao do Windows devem ser um membro de um domnio
do AD DS ou um controlador de domnio do AD DS.
DHCP. Voc deve ter um servidor DHCP funcional com um escopo ativo na rede. Isso porque os Servios
de Implantao do Windows usam PXE, que depende do DHCP para alocar configuraes de IP.
1-11
DNS. Voc deve ter um servidor DNS funcional na rede de forma que os computadores clientes
possam localizar os servios obrigatrios para implantao.
Embora no seja um requisito, o Windows ADK permite simplificar o processo de criao dos arquivos
de resposta (unattend.xml) a serem usados com implantaes dos Servios de Implantao do Windows
automatizadas.
Observao: Para instalar a funo Servios de Implantao do Windows, voc deve ser um
membro do grupo local de administradores no servidor. Para inicializar o servidor, voc deve ser
um membro do grupo Usurios do Domnio.
2.
3.
2.
Deve ser grande o bastante para acomodar as imagens de implantao cuja necessidade voc
prev.
Deve ser um disco fsico separado a partir do qual o sistema operacional instalado para ajudar a
otimizar o desempenho.
3.
Impedir o servidor PXE de escutar a porta UDP (User Datagram Protocol) 67; essa porta usada
pelo DHCP.
Configurar a opo DHCP 60 para PXEClient; isso permite ao cliente PXE localizar a porta de
servidor dos Servios de Implantao do Windows.
Determine como voc deseja que o servidor PXE responda aos clientes:
o
O padro que o servidor PXE no responda a nenhum cliente; isso til quando voc est
configurando inicialmente os Servios de Implantao do Windows, porque ainda no tem
imagens disponveis para clientes.
1-13
Voc deve concluir vrias tarefas de configurao para definir configuraes de inicializao no servidor
que est hospedando os Servios de Implantao do Windows.
Configure a poltica de inicializao PXE para clientes conhecidos e desconhecidos. Essa poltica
determina o comportamento do instalador obrigatrio durante a parte inicial da implantao.
Por padro, as polticas de computador conhecidas e desconhecidas exigem que o instalador
pressione F12 para se conectar ao servidor de imagens dos Servios de Implantao do Windows.
No fazer isso resulta no computador usando configuraes de BIOS para determinar um mtodo
de inicializao alternativopor exemplo, disco rgido ou CD ROM. Em vez desse padro, possvel
configurar as seguintes opes:
o
Sempre continuar a inicializao do PXE. Essa opo garante que o computador continue
passando pelo processo de implantao sem nenhuma interao do instalador.
Continuar a inicializao PXE a menos que o usurio tenha pressionado a tecla Esc. Essa opo
d ao instalador a capacidade de cancelar a implantao.
Configurar uma imagem de inicializao padro. Se voc tiver vrias imagens de inicializaopor
exemplo, para dar suporte a vrias plataformasser possvel configurar uma imagem de
inicializao padro para cada uma delas. Essa imagem ser selecionada depois de um tempo
limite no computador cliente PXE.
Crie imagens de descoberta. Nem todos os computadores do suporte inicializao de rede PXE.
Para aqueles que no do, possvel criar um imagem de descoberta com base em uma imagem de
inicializao e export-la para um dispositivo de armazenamento removvel. Para criar uma imagem
de descoberta, especifique:
o
O nome do servidor dos Servios de Implantao do Windows que ser usado na implantao.
Adicione imagens de instalao. Essa a imagem do sistema operacional usada para instalar o
Windows Server. Normalmente, voc comea com a imagem de instalao install.wim na pasta
\sources do DVD do produto Windows Server 2012. Por isso, convm optar por criar imagens
personalizadas para grupos de computadores com configuraes semelhantes.
Observao: Para criar imagens de instalao, voc deve definir um grupo de imagens de
instalao no qual consolidar as imagens relacionadas. Se voc no fizer isso, o programa de
administrao dos Servios de Implantao do Windows criar um grupo genrico.
Associe um arquivo de resposta a uma imagem de instalao. Se voc tiver criado um arquivo de
resposta, por exemplo, usando o Windows ADK, ser possvel associ-lo a uma instalao para
fornecer as informaes necessrias para concluir a implantao do computador sem interao
do instalador.
a.
b.
c.
d.
e.
%[n]#. possvel usar essa sequncia a fim de definir um nmero sequencial de identificao
exclusivo para o nome do computador contendo n dgitos. Se voc quiser usar um nmero com
vrios dgitos, acrescente a varivel com zeros esquerda, depois do sinal %. Por exemplo, % 2#
resulta nos nmeros sequenciais 1, 2, 3 e assim por diante. %02# resulta em 01, 02 e 03.
Um local do AD DS especificado.
1-15
Configure transmisses multicast. A transmisso unicast habilitada por padro; ou seja, voc no precisa
fazer mais nada e possvel implantar clientes usando unicast. Porm, para habilitar a transmisso
multicast, especifique:
Configurao de drivers
Os Servios de Implantao do Windows no Windows Server 2012 permite adicionar e configurar pacotes
de driver no servidor e implant-los em computadores clientes durante instalaes baseadas no hardware.
Use as seguintes etapas de alto nvel para configurar drivers:
1.
Obtenha os drivers dos quais voc precisa. Eles devem estar na forma de um arquivo .inf, em vez
de um arquivo .msi ou .exe.
2.
Configure filtros, se desejado, no grupo de drivers. Esses filtros determinam quais computadores
recebem os drivers com base nas caractersticas de hardware dos computadores clientes. Por
exemplo, possvel criar um filtro que aplica os drivers apenas a computadores que tenham
uma BIOS fabricada pela A. Datum.
3.
Adicione os drivers como um pacote de driver. Os pacotes de driver devem ser associados
a um grupo de drivers. Se voc associar o pacote de driver a um grupo no filtrado, todos os
computadores recebero o driver.
possvel usar os Servios de Implantao do Windows para adicionar pacotes de drivers s imagens de
inicializao do Windows 8 e do Windows Server 2012; consequentemente, voc no precisa exportar a
imagem. Use as ferramentas no Windows ADK para adicionar pacotes de driver manualmente e adicione
a imagem de inicializao atualizada.
Pergunta: Qual a vantagem de definir uma poltica de nomenclatura do cliente?
Lio 3
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Configurao de DHCP
Automatizao da implantao
Configurao de transmisso
Configurao de DHCP
Os clientes que inicializam usando PXE exigem uma configurao de IPv4 alocada dinamicamente. Voc
deve criar e configurar um escopo DHCP apropriado a essa finalidade. Alm disso, se as funes de
servidor DHCP e Servios de Implantao do Windows forem co-hospedadas, voc dever configurar
como o servidor PXE escuta solicitaes de cliente; h um conflito inerente porque DHCP e Servios de
Implantao do Windows usam a porta UDP 67. Para criar e gerenciar escopos DHCP, possvel usar
o snap-in DHCP ou a ferramenta de linha de comando Netsh.exe.
1-17
possvel criar e atender imagens com o snap-in Servios de Implantao do Windows, o Windows SIM,
a ferramenta de linha de comando WDSutil.exe ou a ferramenta de linha de comando Dism.exe.
Por exemplo, para adicionar uma imagem de inicializao, use o seguinte comando:
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path> /ImageType:Boot
Para adicionar uma imagem de instalao, use os dois comandos a seguir, pressionando Enter depois de
cada linha:
WDSUTIL /Add-ImageGroup /ImageGroup:<image group name>
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path to .wim file> /ImageType:Install
Observao: Ao personalizar o repositrio BCD, voc deve for-lo a ser recriado para que as
alteraes entrem em vigor. Para fazer isso, execute os dois comandos WDSutil.exe a seguir (pressionando
Enter depois de cada linha), pare e reinicie o servidor Servios de Implantao do Windows:
wdsutil /stop-server
wdsutil /start-server
Esta uma lista de limitaes para a interface do usurio do menu de inicializao:
Tamanho da tela. Apenas 13 imagens podem ser exibidas no menu. Se voc tiver mais, o instalador
dever rolar a tela para v-las.
Tambm possvel usar a seguinte ferramenta de linha de comando WDSutil.exe para pr-testar
computadores:
WDSUTIL /Add-Device /Device:<name> /ID:<GUIDorMACAddress>
Automatizao da implantao
possvel automatizar implantaes dos Servios de Implantao do Windows de ponta a ponta.
possvel usar o snap-in Servios de Implantao do Windows e o Windows SIM para concluir
essas tarefas.
Configurao de transmisso
O multicasting permite implantar uma imagem em um grande nmero de computadores clientes
sem consumir largura de banda da rede em excesso.
Considere a habilitao de transmisses multicast caso a organizao:
Tenha roteadores que deem suporte propagao de multicasts; ou seja, suporte ao IGMP
(Internet Group Management Protocol).
Etapas da demonstrao
Instalar e configurar a funo Servios de Implantao do Windows
1.
2.
3.
4.
5.
1-19
2.
3.
Adicione uma nova imagem de inicializao usando as seguintes informaes para concluir o
processo:
4.
a.
b.
c.
2.
Adicione um novo Grupo de Imagens com o nome do grupo de imagens Windows Server 2012.
3.
Use o Assistente para Adicionar Imagem para adicionar uma nova imagem de instalao ao grupo.
Use as seguintes informaes para concluir o processo:
4.
a.
b.
c.
d.
Automatizao de implantaes
H quatro fases que possvel automatizar
durante o processo de implantao dos Servios
de Implantao do Windows. So elas:
As telas dos Servios de Implantao do Windows. Quando o computador cliente usa o protocolo
TFTP para se conectar ao servidor Servios de Implantao do Windows e selecionar uma imagem de
inicializao, o instalador deve fornecer credenciais e selecionar uma imagem do sistema operacional
a ser instalado. possvel criar um arquivo de resposta Unattend.xml para automatizar essa fase.
Instalao do Windows. possvel personalizar o programa de instalao de forma que, uma vez que
a imagem de instalao for selecionada (automtica ou manualmente), o programa de instalao
concluir o processo de instalao sem interveno do instalador. Esse o mesmo tipo de automao
usado para automatizar instalaes com o Windows ADKADK.
Use o Windows SIM para criar ambos os tipos de arquivos de resposta e use o snap-in Servios de
Implantao do Windows para associar os arquivos de resposta fase de implantao obrigatria.
1-21
Use o seguinte procedimento para associar um arquivo de resposta para a fase de implantao autnoma
do cliente:
1.
Crie o arquivo Unattend.xml no Windows ADK com configuraes apropriadas aos Servios de
Implantao do Windows.
2.
Copie o arquivo para o servidor Servios de Implantao do Windows e cole-o em uma pasta em
\RemoteInstall.
3.
4.
5.
Esta uma parte de um arquivo de resposta de exemplo obrigatrio para automatizar a fase Autnoma
do cliente dos Servios de Implantao do Windows:
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Installer</Username>
<Domain>Adatum.com</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<WillShowUI>OnError</WillShowUI>
<InstallImage>
<ImageName>Windows Server 2021</ImageName>
<ImageGroup>Adatum Server Images</ImageGroup>
<Filename>Install.wim</Filename>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
2.
3.
4.
Etapas da demonstrao
1.
2.
1-23
A. Datum est implantando servidores em escritrios filiais em toda a regio para o departamento
de pesquisa. Voc recebeu a tarefa de ajudar a automatizar essa implantao. Voc sugere o uso dos
Servios de Implantao do Windows para implantar o Windows Server 2012 nos escritrios filiais. Voc
recebeu algumas instrues por email referentes implantao. Voc deve ler essas instrues, alm de
instalar e configurar os Servios de Implantao do Windows para dar suporte implantao.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 75 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-SVR3
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
2.
3.
2.
3.
Instale a funo de servidor Servios de Implantao do Windows com ambos os servios de funo.
4.
1-25
1.
2.
3.
b.
c.
d.
e.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado os Servios de
Implantao do Windows.
Os Servios de Implantao do Windows so instalados e configurados com xito. Agora voc deve criar
vrias imagens de sistema operacional para ajudar na implantao.
As principais tarefas neste exerccio so:
1.
2.
3.
2.
3.
2.
3.
Adicione uma nova imagem de inicializao usando as seguintes informaes para concluir
o processo:
4.
2.
Adicione um novo Grupo de Imagens com o nome do grupo de imagens Windows Server 2012.
3.
Use o Assistente para Adicionar Imagem para adicionar uma nova imagem de instalao ao grupo.
Use as seguintes informaes para concluir o processo:
4.
a.
b.
c.
d.
Resultados: Depois de concluir este exerccio, voc criar uma imagem de sistema operacional com
Servios de Implantao do Windows.
2.
3.
2.
Formatar: BRANCH-SVR-%02#
2.
3.
Abra o Windows PowerShell e digite o seguinte comando a fim de criar uma mensagem a ser
exibida aos instaladores enquanto aguardam a aprovao de administrao:
1-27
4.
2.
Clique com o boto direito do mouse na UO Research e use o Assistente para Delegar Controle
conta do computador LON-SVR1 a capacidade de criar objetos de computador na UO.
Use as seguintes informaes para ajudar a:
a.
b.
c.
Resultados: Depois de concluir esse exerccio, voc ter configurado a nomenclatura de computador
personalizada.
Voc forneceu instrues para um supervisor de filial para iniciar o processo de instalao no computador
de servidor da filial. A instalao ocorrer agora.
As principais tarefas neste exerccio so:
1.
2.
2.
Crie uma nova transmisso multicast usando as seguintes informaes para concluir o processo:
o
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-SVR3 e clique
em Configuraes.
3.
4.
5.
Use as setas para mover Adaptador de Rede Herdado at a parte superior da lista e clique em OK.
6.
7.
8.
Quando o computador for reinicializado, observe o aviso de DHCP PXE. Quando solicitado,
pressione F12 para Inicializao de Rede.
Pergunta: Voc v a mensagem de aprovao da administrao?
9.
2.
Clique com o boto direito do mouse em 24411B-LON-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter implantado uma imagem com Servios de
Implantao do Windows.
Onde encontrar
Console Servios de
Implantao do Windows
WDSutil.exe
Gerenciamento de linha de
comando dos Servios de
Implantao do Windows
Linha de comando
Windows ADK
Baixar em Microsoft.com
Dism.exe
Windows ADK
Netsh.exe
Linha de comando
1-29
Mdulo 2
2-1
2-2
2-9
2-16
2-21
2-24
2-32
2-38
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
2-2
Para dar suporte aos servios de rede subjacentes dentro da organizao, voc precisa ser capaz de instalar e
configurar a funo de servidor DNS do Windows Server 2012. Antes de instalar a funo de servidor DNS,
voc deve compreender o requisito da infraestrutura de rede da organizao e optar por usar um DNS
dividido. Voc tambm deve considerar a colocao da funo de servidor DNS e o nmero de clientes DNS
e zonas que voc usar. Esta lio descreve o processo de instalao de uma funo de servidor DNS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Com a adoo do IPv6, o DNS se tornar ainda mais crtico porque os endereos IPv6 so ainda mais complexos
do que endereos IPv4. Um exemplo de um endereo IPv6 2001:db8:4136:e38c:384f:3764:b59c:3d97.
Domnio raiz
Um ponto (.) representa o domnio raiz e voc no
o digita em um navegador da Web. O ponto (.)
pressuposto. Na prxima vez em que voc digitar
um endereo em um computador, tente adicionar
um ponto ao final (por exemplo,
www.microsoft.com.). Existem 13 servidores de
domnios raiz no mundo inteiro.
Observao: Durante a soluo de problemas de DNS, comum especificar o ponto
direita.
2-3
O TLD (domnio de primeiro nvel) o primeiro nvel do namespace DNS. Entre os exemplos de TLDs na
Internet esto .com, .net, .org, .biz e .ca. Os domnios mais reconhecidos so .com, .net, .org e .gov, para o
governo norte-americano dos Estados Unidos. H vrios mais nomes de domnios nesse nvel e existe um
TLD para cada pas. Por exemplo, o TLD do Canad .ca, e o TLD do Reino Unido .uk. A organizao
que regulamenta nomes de domnios, conhecida como ICANN (Internet Corporation for Assigned Names
and Numbers), adiciona novo TLDs ocasionalmente.
O nome de domnio de segundo nvel a parte do nome do domnio que vem antes do TLD. Um exemplo
de nome de domnio de segundo nvel microsoft no domnio www.microsoft.com. As organizaes que
registram nomes de domnio de segundo nvel controlam esses nomes. Qualquer pessoa pode registrar um
nome de domnio de segundo nvel atravs de servio um registro da Internet. Vrios domnios de segundo
nvel tm regras especiais sobre organizaes ou pessoas que podem registrar um nome de domnio. Por
exemplo, somente as organizaes sem fins lucrativos podem utilizar o domnio .org.
Subdomnio
O subdomnio aparece antes dos domnios de nvel superior e de segundo nvel. Um exemplo de
subdomnio www no nome de domnio www.microsoft.com. Os subdomnios so definidos no servidor
DNS da organizao que mantm o servidor DNS de segundo nvel.
A-Z
a-z
0-9
Hfen (-)
Observao: O sublinhado (_) um caractere reservado.
Integrao do AD DS e do DNS
Ao comear a planejar o namespace DNS, voc
deve considerar os namespaces interno e externo.
O namespace interno o usado por clientes
internos e servidores dentro da rede privada.
O namespace externo o referenciado pela
organizao na Internet. No h requisito de
que voc deva implementar o mesmo nome
de domnio DNS interna e externamente.
Ao implementar o AD DS, voc deve usar um
namespace DNS para hospedar registros
do AD DS.
Observao: Considere as opes com
cuidado para selecionar um design de namespace para o AD DS. Embora seja possvel alterar
um namespace depois de implementar o AD DS, trata-se de um processo demorado e complexo
com muitas limitaes.
2-4
2-5
Para determinar um namespace DNS para o ambiente do AD DS, possvel optar pelos seguintes cenrios:
Deixe o namespace interno igual ao namespace pblico. Nesse cenrio, os namespaces internos e
pblicos so iguais, mas tero registros diferentes. Embora isso oferea simplicidade, que o torna
uma escolha apropriada a organizaes menores, pode ser difcil gerenci-lo para redes maiores.
Deixe o namespace interno diferente do namespace pblico. Nesse cenrio, os namespaces internos
e pblicos so completamente diferentes, sem vnculo entre eles. Isso proporciona a separao
bvia no namespace. Em redes complexas, com muitos aplicativos para Internet, o uso de um nome
diferente esclarece um pouco durante a configurao desses aplicativos. Por exemplo, servidores de
borda colocados em uma rede de permetro costumam exigir vrias placas de interface de rede: uma
conectada rede privada e uma atendendo a solicitaes da rede pblica. Se cada placa de interface
de rede tiver um nome de domnio diferente, normalmente ser mais fcil concluir a configurao
desse servidor.
2-6
O uso de namespaces exclusivos para os namespaces interno e pblico do uma clara delineao entre
o DNS interno e externo e evita a necessidade de sincronizar registros entre os namespaces. Porm, em
alguns casos, ter vrios namespaces poder levar confuso do usurio. Por exemplo, voc pode escolher
o namespace externo Contoso.com e o namespace interno Contoso.local. Observe que, ao implementar
uma configurao de namespace exclusiva, voc no est mais vinculado ao uso de nomes de domnio
registrados.
O uso de um subdomnio do namespace pblico para AD DS evita a necessidade para sincronizar
registros entre os servidores DNS interno e externo. Como os namespaces so vinculados, os usurios
normalmente acham essa estrutura mais fcil de compreender. Por exemplo, se o namespace pblico
for Contoso.com, convm optar por implementar o namespace interno como o AD do subdomnio
ou AD.Contoso.com.
Um namespace DNS interno e externo correspondente pode ocasionar determinados problemas. Porm,
o DNS dividido pode fornecer uma soluo para esses problemas. O DNS dividido uma configurao
na qual o domnio tem duas zonas de servidor raiz que contm informaes de registro do nome de
domnio. Os hosts de rede internos so dirigidos a uma zona, e os hosts externos so dirigidos a outra
para resoluo de nomes. Por exemplo, em uma configurao de DNS no dividido para o domnio
Contoso.com, convm ter uma zona DNS semelhante ao exemplo na tabela a seguir.
Host
Tipo de registro
Endereo IP
www
131.107.1.200
Relay
131.107.1.201
Servidor Web1
192.168.1.200
Exchange1
192.168.0.201
Quando quiser acessar a retransmisso SMTP (Simple Mail Transfer Protocol) usando o nome publicado
de relay.contoso.com, um computador cliente na Internet consulta o servidor DNS retornando o resultado
131.107.1.201. Assim, o cliente estabelece uma conexo via SMTP com esse endereo IP.
Porm, os computadores clientes na intranet corporativa tambm usam o nome publicado
relay.contoso.com. O servidor DNS retorna o mesmo resultado: um endereo IP pblico 131.107.1.201.
O cliente agora tenta estabelecer uma conexo com o endereo IP retornado usando a interface externa
do computador de publicao. Dependendo da configurao do cliente, isso pode ou no ser bemsucedido.
Configurando duas zonas para o mesmo nome de domnio uma em cada um dos dois
servidores DNS possvel evitar esse problema.
A zona interna para adatum.com seria semelhante s informaes na tabela a seguir.
Host
Tipo de registro
Endereo IP
www
CNAME
ServidorWeb1.contoso.com
Relay
CNAME
Exchange1.contoso.com
Servidor Web1
192.168.1.200
Exchange1
192.168.0.201
Tipo de registro
Endereo IP
www
131.107.1.200
Relay
131.107.1.201
MX
Relay.contoso.com
2-7
Agora, os computadores cliente nas redes interna e externa podem resolver o nome relay.contoso.com
para o endereo IP interno ou externo apropriado.
Etapas da demonstrao
1.
2.
Onde voc colocar os servidores DNS? Por exemplo, voc centralizar os servidores ou ser mais
conveniente localizar os servidores DNS nas filiais? Se houvesse menos clientes em uma filial, voc
poderia atender maioria das solicitaes DNS usando um servidor DNS central ou implementando
um servidor somente de cache. Um grande nmero de usurios em uma filial pode se beneficiar de
um servidor DNS local com dados de zona adequados.
As respostas dadas s perguntas acima determinaro quantos servidores DNS devem ser implantados e
onde eles devem ser colocados.
Descrio
2-8
Arquivo de texto
Active Directory
As zonas integradas do Active Directory so mais fceis de gerenciar do que as zonas baseadas em texto
tradicionais, alm de serem mais seguras. A replicao dos dados da zona ocorre como parte da
replicao do Active Directory.
Em geral, voc implantar a funo DNS em todos os controladores de domnio. Se voc optar
implementar alguma outra estratgia, se faa as seguintes perguntas e mantenha as respostas em mente:
Como computadores clientes resolvero nomes se o servidor DNS habitual ficar indisponvel?
Qual ser o impacto no trfego da rede se os computadores cliente comearem a usar um servidor
DNS alternativo, talvez localizado remotamente?
Como voc implementar transferncias de zona? As zonas integradas do Active Directory usam a
replicao do Active Directory para transferir a zona para todos os outros controladores de domnio.
Ao implementar zonas integradas que no sejam do Active Directory, voc deve planejar o
mecanismo de transferncia da zona por conta prpria.
Lio 2
2-9
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Servidores DNS
Um servidor DNS responde a consultas DNS
recursivas e iterativas. Os servidores DNS tambm
podem hospedar uma ou mais zonas de um
domnio especfico. As zonas contm diferentes
registros de recursos. Os servidores DNS tambm
podem armazenar as pesquisas em cache para
reservar tempo para as consultas comuns.
Os servidores DNS na Internet esto acessveis ao pblico. Eles hospedam informaes de zonas pblicas
e do servidor raiz, alm de outros TLDs comuns, como .com, .net e .edu.
Observao: No confunda esses servidores com os servidores DNS da organizao que
hospedam o namespace pblico. Eles esto localizados fisicamente na rede de permetro.
Resolvedores de DNS
O resolvedor de DNS gera e envia consultas iterativas ou recursivas ao servidor DNS. Um resolvedor de
DNS pode ser qualquer computador que executa uma pesquisa de DNS que exige interao com o
servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.
Uma consulta autoritativa aquela para a qual o servidor pode retornar uma resposta que ele sabe
estar correta, pois a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS que contm no cache o domnio que solicitado, responde a uma consulta no
autoritativa usando encaminhadores ou dicas de raiz. No entanto, a resposta fornecida pode no ser
exata, uma vez que somente o servidor DNS com autoridade sobre o domnio especificado pode
emitir essa informao.
Se o servidor DNS tiver autoridade sobre o namespace da consulta, o servidor DNS verificar a zona e
executar um dos seguintes procedimentos:
Observao: Uma resposta autoritativa s pode ser dada pelo servidor com autoridade
direta para o nome consultado.
Se for no autoritativo para o namespace da consulta, o servidor DNS local realizar um dos seguintes
procedimentos:
Usar endereos conhecidos de diversos servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Uma consulta recursiva pode ter dois resultados possveis:
Por motivos de segurana, s vezes, necessrio desabilitar consultas recursivas em um servidor DNS. Isso
impede o servidor DNS em questo de encaminhar as solicitaes DNS para outro servidor. Isso pode ser
til para impedir que determinado servidor DNS se comunique fora da prpria rede local.
Consultas iterativas
2-11
As consultas iterativas oferecem um mecanismo para acessar informaes de nome de domnio residentes no
sistema DNS e habilitam servidores para resolver nomes de maneira rpida e eficiente em vrios servidores.
Ao receber uma solicitao que no pode ser respondida com as informaes locais ou com as pesquisas
armazenadas no cache, um servidor DNS repassa essa solicitao para outro servidor DNS usando uma
consulta iterativa.
Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereo IP do nome do
domnio (se for conhecido) ou com uma referncia aos servidores DNS responsveis pelo domnio que
est sendo consultado.
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma organizao tiver vrios servidores de email. Isso
informar ao servidor emissor o servidor de correio preferido pela empresa receptora. Os registros SRV
(localizador de servio) tambm contm informaes sobre a porta que est sendo escutada pelo servio
e sobre o protocolo que voc deve usar para se comunicar com o servio.
A tabela a seguir descreve os registros de recursos mais comuns.
Registros de recurso DNS
Descrio
(continuao)
Registros de recurso DNS
Descrio
Registro do recurso MX
Registro do recurso NS
(servidor de nomes)
AAAA
Tambm possvel adicionar dicas de raiz em um servidor DNS para dar suporte a pesquisas de domnios
no contguos em uma floresta.
2-13
Ao se comunicar com um servidor de dicas de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio, o servidor no poder fazer consultas sobre
dicas de raiz. Se voc configurar o servidor para usar um encaminhador, ele tentar enviar uma consulta
recursiva para o respectivo servidor de encaminhamento. Se o servidor de encaminhamento no
responder a essa consulta, o servidor responder que no foi possvel encontrar o host.
importante compreender que a recurso em um servidor DNS e consultas recursivas no significam a
mesma coisa. Recurso em um servidor significa que esse servidor usar as respectivas dicas de raiz e
tentar resolver uma consulta DNS. O prximo tpico aborda consultas iterativas e recursivas com mais
detalhes.
O que o encaminhamento?
Um encaminhador uma definio de
configurao do servidor DNS que encaminha
consultas DNS de nomes DNS externos para
servidores DNS fora dessa rede. Tambm
possvel usar encaminhadores condicionais
para encaminhar consultas de acordo com
nomes de domnio especficos.
Um servidor DNS da rede designado como um
encaminhador quando outros servidores DNS da
rede encaminham para ele as consultas que no
conseguiram resolver localmente. Ao utilizar um
encaminhador, voc pode gerenciar a resoluo
de nomes fora de sua rede, como os nomes na
Internet, e melhorar a eficincia desse processo nos computadores da rede.
O servidor que estiver encaminhando solicitaes na rede deve poder se comunicar com o servidor DNS
localizado na Internet. Isso significa que voc o configura para encaminhar solicitaes para outro
servidor DNS ou ele utiliza as dicas de raiz para se comunicar.
Prtica recomendada
Use um servidor DNS de encaminhamento central para a resoluo de nomes da Internet. Isso pode
melhorar o desempenho, simplificar o processo de soluo de problemas e uma prtica de segurana
recomendada. possvel isolar o servidor DNS de encaminhamento em uma rede de permetro, o que
garante que nenhum servidor dentro da rede se comunique diretamente com a Internet.
Encaminhamento condicional
Use encaminhadores condicionais, se existirem vrios namespaces internos. Isso agiliza a resoluo de nomes.
Etapas da demonstrao
Configurar as propriedades do servidor DNS
1.
Alterne para LON-DC1 e, se necessrio, faa logon como ADATUM\Administrator com a senha
Pa$$w0rd.
2.
3.
b.
Na guia Avanado, possvel configurar opes, inclusive a proteo do cache contra poluio,
alm de DNSSEC.
c.
Na guia Dicas de raiz, possvel ver a configurao para os servidores de dicas de raiz.
d.
e.
f.
g.
b.
Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite
131.107.1.2 e pressione Enter. A validao falhar porque apenas uma configurao
de exemplo.
2-15
a.
Lio 3
Zonas DNS so um conceito importante na infraestrutura de DNS, pois permitem que voc separe e
gerencie logicamente domnios DNS. Esta lio apresenta os princpios bsicos do relacionamento entre
as zonas e os domnios DNS, bem como fornece informaes sobre os diversos tipos de zonas DNS
disponveis na funo DNS do Windows Server 2012 R2.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Um servidor DNS ter autoridade em uma zona se ele hospedar, no arquivo de zona, os registros
de recursos dos nomes e endereos que os clientes solicitarem.
Primria
Secundria
Stub
Zona primria
Quando uma zona hospedada por um servidor
DNS uma zona primria, o servidor DNS a
fonte principal de informaes sobre essa zona e
armazena uma cpia mestra dos dados da zona
em um arquivo local ou no AD DS. Quando o servidor DNS armazena a zona em um arquivo, o
arquivo de zona primria , por padro, denominado nome_da_zona.dns e est localizado na pasta
%windir%\System32\Dns no servidor. Quando a zona no armazenada no Active Directory, o
servidor DNS que hospeda a zona primria o nico servidor DNS que tem uma cpia gravvel do
arquivo da zona.
Zona secundria
2-17
Quando uma zona hospedada em um Servidor DNS uma zona secundria, o Servidor DNS uma fonte
secundria de informaes da zona. A zona contida nesse servidor deve ser obtida em outro servidor DNS
remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto para
receber informaes atualizadas da zona. Como uma zona secundria uma cpia de uma zona primria
hospedada em outro servidor, ela no pode ser armazenada no AD DS. As zonas secundrias podero ser
teis se voc estiver replicando dados de zonas DNS que no estejam no Windows ou executando o DNS
em servidores que no sejam controladores de domnio do AD DS.
Zona de stub
O Windows Server 2003 lanou as zonas de stub, que resolvem vrios problemas relacionados a grandes
namespaces DNS e a diversas florestas de rvores. Uma floresta com vrias rvores uma floresta do
Active Directory que contm dois nomes de domnio de alto nvel diferentes.
Se o Active Directory armazenar a zona, o DNS poder aproveitar o modelo de replicao de vrios
mestres para replicar a zona primria. Isso permite editar dados da zona em qualquer servidor DNS.
O Windows Server 2008 introduziu um novo conceito chamado RODC (controlador de domnio somente
leitura). Os dados de zona integrada ao Active Directorypodem ser replicados para controladores de
domnio, mesmo quando a funo DNS no est instalada no controlador de domnio. Se o servidor for
um controlador de domnio somente leitura, um processo local no poder gravar os dados.
importante ter uma zona inversa, se voc tiver aplicativos que precisam procurar hosts pelos respectivos
endereos IP. Vrios aplicativos registraro essas informaes nos logs de segurana ou de evento. Se
voc se deparar com uma atividade suspeita em um determinado endereo IP, ser possvel o host
usando as informaes da zona inversa.
Muitos gateways de segurana de email usam pesquisas inversas para verificar se um endereo IP que
envia mensagens est associado a um domnio.
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona de stub.
Servidores mestre de uma zona de stub so um ou mais servidores DNS com autoridade sobre a zona
filho, geralmente o servidor DNS que hospeda a zona primria do nome do domnio delegado.
2-19
Quando um resolvedor de DNS faz uma operao de consulta recursiva em um servidor DNS que hospeda
uma zona de stub, este ltimo utiliza os registros de recurso na zona de stub para resolver a consulta.
O servidor DNS envia uma consulta iterativa para os servidores DNS com autoridade, que os registros de
recurso NS da zona de stub especificam como se ele estivesse usando registros de recurso NS no respectivo
cache. Se o servidor DNS no puder encontrar os servidores DNS autoritativos na respectiva zona de stub,
o servidor DNS que hospeda a zona de stub tentar uma recurso padro usando as dicas de raiz.
O servidor DNS armazenar os registros de recursos recebidos dos servidores DNS autoritativos listados
em uma zona de stub que est em seu cache, mas no os armazenar na prpria zona de stub. So
armazenados na zona de stub somente os registros de recurso SOA, NS e A associado retornados na
resposta consulta. Os registros de recursos guardados no cache so armazenados de acordo com o valor
TTL existente em cada um deles. Os registros de recurso SOA, NS e A associado, que no so gravados no
cache, expiram de acordo com o intervalo de expirao especificado pelo registro SOA da zona de stub.
Durante a criao da zona de stub, o registro SOA gerado. As atualizaes dos registros SOA ocorrem
durante as transferncias da zona primria, original para a zona de stub.
No caso de uma consulta iterativa, o servidor DNS retorna uma referncia contendo os servidores
especificados pela zona de stub.
Um servidor DNS que delega um domnio a uma zona filho existente em outro servidor DNS s
reconhecer os novos servidores DNS com autoridade sobre a zona filho quando os respectivos registros
de recurso forem adicionados zona pai hospedada no servidor DNS. Trata-se de um processo manual
que exige que os administradores dos diversos servidores DNS se comuniquem frequentemente. As zonas
de stub permitem um servidor DNS que hospeda uma zona de stub para um de seus domnios delegados
pode obter atualizaes dos servidores DNS com autoridade sobre a zona filho quando a zona de stub for
atualizada. A atualizao ocorre a partir do servidor DNS que hospeda a zona de stub, e o administrador
do servidor DNS que hospeda a zona filho no precisa ser contatado.
Pode haver certa confuso quanto ao momento de usar encaminhadores condicionais em vez de zonas
de stub. Isso porque ambos os recursos do DNS permitem que um servidor DNS responda a uma consulta
com uma referncia a, ou encaminhando para, um servidor DNS diferente. No entanto, essas
configuraes tm diferentes finalidades:
Uma configurao de encaminhador condicional define o servidor DNS para encaminhar uma
consulta recebida para um servidor DNS, dependendo do nome DNS contido nessa consulta.
Uma zona de stub faz com que um servidor DNS hospede uma zona pai que reconhea os servidores
DNS com autoridade sobre uma zona filho.
Para que os clientes DNS em redes distintas resolvam mutuamente os nomes, sem precisar consultar os
servidores DNS da Internet, por exemplo, quando ocorre uma fuso de empresas, configure os servidores
DNS de cada rede para encaminhar as consultas de nomes na outra rede. Os servidores DNS existentes
em uma das redes encaminharo os nomes de clientes presentes na outra rede para um servidor DNS
especfico que forme um grande cache de informaes sobre a outra rede. Isso permite criar um ponto
de contato direto entre os servidores DNS das duas redes, o que diminui a necessidade de recurso.
Porm, as zonas de stub no oferecem o mesmo benefcio entre servidores. Isso porque um servidor DNS
que esteja hospedando uma zona de stub em uma rede responde s consultas de nomes na outra rede
com uma lista de todos os servidores DNS com autoridade para a zona com esse nome, em vez dos
servidores DNS especficos designados para lidar com esse trfego. Essa configurao complica as
configuraes de segurana que voc deseja definir entre os servidores DNS especficos em execuo
em cada uma das redes.
Um encaminhador condicional no um mtodo eficiente para fazer com que um servidor DNS que
hospeda uma zona pai reconhea os servidores DNS autoritativos para uma zona filho. Isso ocorre porque
sempre que os servidores DNS autoritativos para a zona filho mudam, voc precisa configurar manualmente
a configurao de encaminhador condicional no servidor DNS que hospeda a zona pai. Especificamente,
voc deve atualizar o endereo IP para cada novo servidor DNS autoritativo para a zona filho.
Etapas da demonstrao
Criar uma zona de pesquisa inversa
1.
Alterne para LON-DC1 e crie uma nova zona de pesquisa inversa para a sub-rede IPv4 172.16.0.0.
2.
2.
3.
Configure o tipo como secundrio e defina LON-DC1 como o servidor Mestre para a zona.
Voc precisa dividir uma zona grande em zonas menores de forma que seja possvel distribuir cargas
de trfego entre vrios servidores. Isso melhora o desempenho da resoluo de nomes DNS e cria um
ambiente DNS mais tolerante a falhas.
Lio 4
2-21
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Transferncia de zona plena. Uma transferncia de zona completa ocorre quando a zona inteira
copiada de um servidor DNS para outro. Uma transferncia de zona completa conhecida como
transferncia de zona plena (AXFR).
Transferncia de zona incremental. Uma transferncia de zona incremental ocorre quando existe uma
atualizao para o servidor DNS e apenas os registros de recursos alterados so replicados no outro
servidor. Essa uma Transferncia de Zona Incremental (IXFR).
Transferncia rpida. Os servidores DNS do Windows tambm realizam transferncias rpidas, que
um tipo de transferncia de zona que usa a compactao e envia diversos registros de recurso em
cada transmisso.
Nem todas as implementao do servidor DNS oferecem suporte s transferncias de zona incremental e
rpida. Ao integrar um servidor DNS do Windows 2012 a um servidor DNS BIND (Berkeley Internet Name
Domain), assegure-se de que, na verso do BIND instalada, haja suporte para os recursos necessrios.
A tabela a seguir lista os recursos com suporte nos vrios servidores DNS.
Servidor DNS
Transferncia rpida
BIND anterior
verso 4.9.4
Com suporte
Sem suporte
Sem suporte
Com suporte
Sem suporte
Com suporte
BIND 8.2
Com suporte
Com suporte
Com suporte
Windows 2000
Service Pack 3 (SP3)
Com suporte
Com suporte
Com suporte
Com suporte
Com suporte
Com suporte
Windows 2008 e R2
Com suporte
Com suporte
Com suporte
Windows 2012
Com suporte
Com suporte
Com suporte
Notificao DNS
A notificao DNS usada por um servidor mestre para alertar os servidores secundrios configurados de
que h atualizaes de zona disponveis. Em seguida, os servidores secundrios solicitam ao mestre para
obter as atualizaes. Uma notificao DNS uma atualizao para a especificao de protocolo DNS
original que permite a notificao em servidores secundrios quando ocorrem alteraes de zona.
Isso til em um ambiente de deteco de hora, em que a exatido de dados importante.
2-23
Embora a opo que especifica os servidores que podem solicitar dados da zona fornea segurana,
restringindo os destinatrios dos dados, ela no protege os dados durante transmisses. Se as
informaes da zona forem altamente confidenciais, recomendvel usar uma poltica IPsec para
proteger a transmisso ou replicar os dados da zona por um tnel VPN (rede virtual privada). Isso impede
a deteco de pacotes para determinar informaes na transmisso dos dados.
O uso de zonas integradas ao Active Directoryreplica os dados da zona como parte das replicaes
habituais do AD DS. A transferncia de zona protegida como parte de replicao do AD DS.
Etapas da demonstrao
Habilitar transferncias de zona DNS
1.
2.
Configure transferncias de zona para Apenas para servidores listados na guia 'Servidores de nomes'.
3.
Habilite Notificar para Apenas para servidores listados na guia 'Servidores de nomes'.
4.
2.
Alterne para LON-SVR1 e verifique se o novo registro est presente na zona secundria. Isso pode
exigir um Transferir do Principal e uma atualizao de tela antes do registro permanecer visvel.
Lio 5
O DNS um servio fundamental na infraestrutura do Active Directory. Quando o servio DNS apresenta
problemas, importante saber como solucion-los e identificar os problemas comuns que podem ocorrer
em uma infraestrutura de DNS. Esta lio aborda os problemas comuns que ocorrem no DNS, as reas
comuns das quais possvel coletar informaes de DNS e as ferramentas que voc pode usar para
solucionar problemas.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como monitorar o DNS usando o log de eventos DNS e o registro em log de auditoria.
Ferramenta
Descrio
TTL
Indica por quanto tempo um registro DNS continua vlido e inelegvel para limpeza.
Durao
Eliminao
2-25
Se permanecerem sem gerenciamento, a presena de registros de recursos obsoletos nos dados da zona
pode causar problemas. Por exemplo:
Se uma grande quantidade de registros de recursos obsoletos permanecer nas zonas do servidor,
o espao em disco do servidor ser esgotado e esses registros ocasionaro transferncias
desnecessariamente longas da zona.
Um servidor DNS que carrega zonas com registros de recursos obsoletos pode utilizar informaes
desatualizadas para responder s consultas dos clientes, o que pode fazer com que os computadores
cliente enfrentem problemas de resoluo de nomes ou problemas de conectividade na rede.
O acmulo de registros de recursos obsoletos no servidor DNS pode degradar seu desempenho
e sua capacidade de resposta.
Em alguns casos, se uma zona tiver um registro de recursos obsoleto, ele poder impedir que outro
computador ou um dispositivo host use um nome de domnio DNS.
Para solucionar esses problemas, o servio Servidor DNS dispe dos seguintes recursos:
Carimbo de data/hora, baseado na data e hora atuais definidas no computador servidor, para
quaisquer registros de recursos adicionados dinamicamente s zonas do tipo primrio. Alm disso, os
carimbos de data/hora sero registrados nas zonas primrias padro nas quais voc habilitar a
durao e a eliminao.
Para os registros de recursos adicionados manualmente, use um valor zero de carimbo de data/hora
para indicar que o processo de durao no afeta esses registros e que eles podem permanecer sem
limitao nos dados da zona, a menos que voc altere, de outra forma, os respectivos carimbos de
data/hora ou os exclua.
Durao dos registros de recursos nos dados locais, com base em um perodo de atualizao
especificado, para quaisquer zonas qualificadas.
Somente as zonas do tipo primrio carregadas pelo servio Servidor DNS esto qualificadas a
participar nesse processo.
Eliminao dos registros de recursos que persistirem alm do perodo de atualizao especificado.
Ao executar uma operao de eliminao, um servidor DNS pode detectar que os registros de recursos
envelheceram a ponto de se tornarem obsoletos e pode remov-los dos dados da zona. Voc pode
configurar os servidores para executar automaticamente as operaes de eliminao recorrentes ou pode
iniciar uma operao de eliminao imediata no servidor.
Observao: Por padro, o mecanismo de durao e eliminao do servio Servidor DNS
est desabilitado. Habilite-o somente quando voc realmente entender todos os parmetros.
Caso contrrio, voc poderia configurar o servidor para excluir inadvertidamente os registros que
no deveriam ser eliminados. Se um registro for excludo por engano, no somente os usurios
deixaro de resolver as consultas para esse registro, mas qualquer usurio poder criar o registro
e se apossar dele, inclusive nas zonas que voc configurar para fazer atualizao dinmica segura.
Esse um riscos segurana significativo.
O servidor utiliza o contedo de cada carimbo de data/hora para registros de recurso especficos, bem
como outras propriedades de classificao por vencimento e limpeza que possvel ajustar ou configurar
para determinar quando ele limpa os registros.
Habilite a durao e a eliminao no servidor DNS e na zona DNS. Por padro, a durao e a
eliminao dos registros de recursos esto desabilitadas.
Para os registros adicionados s zonas carregando um arquivo de zona baseado em texto de outro
servidor DNS ou adicionando-os manualmente a uma zona, definido um carimbo de data/hora de valor
zero. Isso desqualifica esses registros para uso nas operaes de durao e eliminao.
Para alterar esse padro, voc pode administrar cada um desses registros, de modo a redefinir e permitir
que eles utilizem um valor de carimbo de data/hora atual (diferente de zero). Isso permite que esses
registros se tornem obsoletos e sejam eliminados.
Configurar TTL.
Etapas da demonstrao
Configurar o TTL
1.
2.
Na guia Incio de Autoridade, configure o valor Tempo de vida mnimo (padro) para ser de 2 horas.
Clique com o boto direito do mouse em LON-DC1 e selecione a opo Definir durao/
eliminao para todas as zonas para configurar as opes de classificao por vencimento
e limpeza.
2.
2-27
Podem ocorrer problemas quando voc no configura corretamente o servidor DNS, bem como as zonas
e os registros de recursos respectivos. Quando os registros de recursos esto causando problemas pode
ser mais difcil identificar o problema, pois problemas de configurao nem sempre so bvios.
A tabela a seguir lista os possveis problemas na configurao que podem ocasionar problemas no DNS.
Problema
Result
Registros ausentes
Registros incompletos
Registros configurados
incorretamente
Nslookup. Use essa ferramenta para consultar informaes do DNS. A ferramenta flexvel e pode
fornecer muitas informaes sobre o status do servidor DNS. Tambm possvel us-la para
pesquisar registros de recurso e validar as respectivas configuraes. Alm disso, voc tambm
pode testar as transferncias de zona, as opes de segurana e a resoluo de registros MX.
Windows PowerShell. possvel usar cmdlets do Windows PowerShell para configurar e solucionar
problemas de vrios aspectos do DNS.
Dnscmd. gerencie o servio Servidor DNS com essa interface de linha de comando. Esse utilitrio ajuda
a criar scripts de arquivos em lote para automatizar tarefas rotineiras de gerenciamento do DNS ou
para realizar uma instalao simples e automtica e a configurao de novos servidores DNS na rede.
IPconfig. use este comando para exibir e modificar detalhes da configurao de IP usada pelo
computador. Esse utilitrio inclui outras opes de linha de comando que podem ser usadas para
solucionar problemas e oferecer suporte aos clientes DNS. possvel exibir o cache DNS local do
cliente usando o comando ipconfig /displaydns e limpar o cache local usando ipconfig /flushdns.
Observao: Tambm possvel usar os seguintes cmdlets do Windows PowerShell:
Guia Monitoramento no servidor DNS. na guia Monitoramento do servidor DNS, voc pode
configurar um teste que permite ao servidor DNS determinar se ele pode resolver consultas locais
simples e executar uma consulta recursiva para garantir que o servidor pode se comunicar com
servidores upstream. Voc tambm pode agendar esses testes periodicamente.
Tratam-se de testes bsicos, mas que representam um bom ponto de partida para a soluo
de problemas ocorridos no servio DNS. As possveis causas para a falha de um teste so:
o
Esta demonstrao mostra como usar Nslookup.exe para testar a configurao do servidor DNS.
Etapas da demonstrao
1.
2.
Descrio
2-29
O servidor DNS foi iniciado. Geralmente, essa mensagem exibida durante o processo de
inicializao, quando o computador servidor ou o servio Servidor DNS inicializado.
O servidor DNS foi desligado. Geralmente, essa mensagem exibida quando o computador
servidor desligado ou o servio Servidor DNS interrompido manualmente.
408
O servidor DNS no pde abrir o soquete para o endereo [EndereoIP]. Verifique se esse
um endereo IP vlido para o computador servidor.
Para corrigir o problema, faa o seguinte:
1. Se o endereo IP especificado no for vlido, remova-o da lista de interfaces restritas para
o servidor e reinicie o servidor.
2.
Se o endereo IP especificado no for mais vlido e era o nico endereo habilitado para
uso no servidor DNS, o servidor no deve ter inicializado devido a um erro de
configurao. Para corrigir o problema, exclua o seguinte valor do Registro e reinicie o
servidor DNS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
\ListenAddress
3.
413
O servidor DNS envia solicitaes para outros servidores DNS atravs de uma porta
diferente da padro (porta TCP 53).
Esse servidor DNS tem hospedagem mltipla e foi configurado para restringir o servio
Servidor DNS a apenas alguns de seus endereos IP configurados. Por esse motivo, no
possvel garantir que as consultas DNS feitas por esse servidor a outros servidores DNS
remotos sejam enviadas atravs de um dos endereos IP habilitados para o servidor DNS.
Isso pode impedir que as respostas s consultas, retornadas por esses servidores, sejam
recebidas na porta DNS configurada para uso desse servidor. Para evitar esse problema, o
servidor DNS envia consultas a outros servidores DNS usando uma porta no DNS aleatria,
e a resposta recebida independentemente do endereo IP utilizado.
Para limitar o servidor DNS a usar apenas sua respectiva porta DNS configurada para enviar
consultas a outros servidores DNS, use o console DNS para implementar uma das seguintes
alteraes na configurao das propriedades do servidor, na guia Interfaces:
o
Selecione Todos os endereos IP para permitir que o servidor DNS escute em todos os
endereos IP configurados do servidor.
(continuao)
ID do
evento
Descrio
414
708
O servidor DNS no detectou nenhuma zona do tipo primria ou secundria. Ele ser
executado como um servidor somente de cache, mas no ter autoridade sobre quaisquer
zonas.
3150
6527
A zona [nome_da_zona] expirou antes de obter xito em uma transferncia de zona ou uma
atualizao de um servidor mestre que atua como sua fonte para a zona. A zona foi
desligada.
Essa ID de evento pode aparecer quando voc configura o servidor DNS para hospedar uma
cpia secundria da zona de outro servidor DNS que est atuando como a respectiva fonte
ou servidor mestre. Verifique se esse servidor tem conectividade de rede com o respectivo
servidor mestre configurado.
Se o problema persistir, considere uma ou mais das seguintes opes:
1. Exclua a zona e recrie-a, especificando outro servidor mestre ou um endereo IP
atualizado e corrigido para o mesmo servidor mestre.
2.
Enviar. o arquivo de log do servidor DNS registra os pacotes por ele enviados.
Consulta padro. especifica que os pacotes que contm consultas padro (de acordo com
a RFC 1034) so registrados no arquivo de log do servidor DNS.
Atualizaes. especifica que os pacotes que contm atualizaes dinmicas (de acordo com
a RFC 2136) so registrados no arquivo de log do servidor DNS.
Notificaes. especifica que os pacotes que contm notificaes (de acordo com a RFC 1996)
so registrados no arquivo de log do servidor DNS.
2-31
UDP. Especifica que os pacotes enviados e recebidos atravs do UDP (User Datagram Protocol)
so registrados no arquivo de log do servidor DNS
TCP. Especifica que os pacotes enviados e recebidos por TCP so registrados no arquivo de log
do servidor DNS
Habilitar filtragem com base no endereo IP. A opo fornece filtragem adicional dos pacotes
registrados no arquivo de log do servidor DNS. Esta opo permite registrar no log os pacotes
enviados de endereos IP especficos para um servidor DNS ou vice-versa.
Limite de tamanho mximo do arquivo de log. A opo permite definir o tamanho mximo do
arquivo de log do servidor DNS. Quando o arquivo de log do servidor DNS atingir seu tamanho
mximo especificado, o servidor DNS substituir as informaes de pacote mais antigas por novas
informaes.
Se voc no especificar um tamanho mximo para o arquivo de log, esse arquivo do servidor DNS
poder ocupar muito espao no disco rgido.
Por padro, todas as opes do log de depurao esto desabilitadas. Quando habilitadas seletivamente,
o servio do servidor DNS pode executar um log de rastreamento adicional de tipos de eventos ou
mensagens selecionados para soluo de problemas gerais e depurao do servidor.
O log de depurao poder fazer uso intensivo de recursos, afetando o desempenho geral do servidor e
consumindo espao em disco. Portanto, utilize-o apenas temporariamente, quando voc precisar de
informaes mais detalhadas sobre o desempenho do servidor.
Observao: O arquivo dns.log contm a atividade do log de depurao. Por padro, esse
arquivo est localizado na pasta %systemroot%\System32\Dns.
A. Datum est trabalhando com uma organizao parceira, Contoso, Ltd. Voc precisou configurar a
resoluo de nomes interna entre as duas organizaes. Uma pequena filial informou que o desempenho
da resoluo de nomes insuficiente. A filial contm um servidor do Windows Server 2012 que realiza
vrias funes. Porm, no h planos de implementar um controlador de domnio adicional. Voc
precisou instalar a funo de servidor DNS na filial e criar uma zona secundria de Adatum.com. Para
manter a segurana, voc recebeu a instruo de configurar o servidor da filial para estar na lista Notificar
das transferncias de zona Adatum.com. Voc tambm deve atualizar todos os clientes de filial para usar
o novo servidor de nomes na filial.
Voc deve configurar a nova funo de servidor DNS para realizar classificao por vencimento e limpeza,
conforme necessrio e especificado pela poltica corporativa. Depois de implementar o novo servidor, voc
precisar testar e verificar a configurao usando ferramentas para soluo de problemas do DNS padro.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Adatum
2-33
Voc precisou adicionar vrios registros de recurso novos ao servio DNS instalado em LON-DC1. Entre
os registros esto um novo registro MX para o Exchange Server 2010 e um registro SRV obrigatrio para
uma implantao do Lync que est ocorrendo. Voc tambm deve configurar uma zona de pesquisa
inversa para o domnio.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
4.
Zona: Adatum.com
Nome: Mail1
Tipo: Novo MX
2.
Zona: Adatum.com
Nome: Lync-svr1
Servio: _sipinternaltls
Protocolo: _tcp
Resultados: Depois deste exerccio, voc dever ter configurado os registros do servio de sistema de
mensagens obrigatrio e a zona de pesquisa inversa com xito.
b.
Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite
131.107.1.2 e pressione Enter. A validao falhar porque no foi possvel entrar em contato
com o servidor.
c.
Resultados: Depois deste exerccio, voc ter configurado com xito o encaminhamento condicional.
Uma pequena filial informou que o desempenho da resoluo de nomes insuficiente. A filial contm um
servidor do Windows Server 2012 que realiza vrias funes. Porm, no h planos de implementar um
controlador de domnio adicional. Voc precisou instalar a funo de servidor DNS na filial e criar uma
zona secundria de Adatum.com. Para manter a segurana, voc tambm recebeu a instruo de
configurar o servidor da filial para estar na lista Notificar das transferncias de zona Adatum.com. Voc
tambm deve atualizar todos os clientes de filial para usar o novo servidor de nomes na filial e configurar
a nova funo de servidor DNS para realizar a classificao por vencimento e a limpeza, conforme
necessrio e especificado pela poltica corporativa.
2.
3.
4.
5.
2.
2.
3.
Abra o Gerenciador DNS, e verifique a presena da nova zona de pesquisa direta secundria
Adatum.com.
2-35
1.
2.
Abra um prompt de comando e execute o seguinte comando para configurar transferncias de zona
para a zona Adatum.com:
Dnscmd.exe /zoneresetsecondaries Adatum.com /notifylist 172.16.0.21
3.
No Gerenciador DNS, verifique as alteraes feitas nas configuraes das transferncias de zona:
a.
b.
c.
d.
e.
2.
Na guia Incio de Autoridade, configure o valor Tempo de vida mnimo (padro) para ser de 2 horas.
3.
Clique com o boto direito do mouse em LON-DC1 e selecione a opo Definir durao/eliminao
para todas as zonas para configurar as opes de classificao por vencimento e limpeza.
4.
2.
3.
Resultados: Depois deste exerccio, voc ter instalado e configurado com xito o DNS em LON-SVR1.
2.
2.
Na guia Monitorando, execute uma consulta simples no servidor DNS. A consulta ser bemsucedida.
3.
Realize consultas simples e recursivas nesse e em outros servidores DNS. O teste recursivo falhar
porque no h encaminhadores configurados.
4.
Interrompa o servio e repita os testes anteriores. Eles falharo porque nenhum servidor DNS est
disponvel.
5.
6.
2.
3.
Resultados: Aps este exerccio, voc dever ter testado e verificado o DNS com xito.
2-37
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para isso, execute estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
Ferramentas
Ferramenta
Use para
Onde encontrar
Dnscmd.exe
Linha de comando
Dnslint.exe
Nslookup.exe
Linha de comando
Ping.exe
Linha de comando
Ipconfig.exe
Linha de comando
Mdulo 3
Manuteno dos Servios de Domnio Active Directory
Contedo:
Viso geral do mdulo
3-1
3-2
3-7
3-11
Lio 4: Administrao do AD DS
3-15
3-24
Laboratrio: Manuteno do AD DS
3-34
3-40
O AD DS (Servios de Domnio Active Directory) o componente mais importante em uma rede baseada
em domnio do Windows Server 2012. O AD DS contm informaes importantes sobre autenticao,
autorizao e recursos do ambiente. Este mdulo se concentra em explicar por que voc implementa
recursos especficos do AD DS, como componentes importantes so integrados uns aos outros e como
voc pode assegurar que sua rede baseada em domnio funcione de forma correta.
Voc aprender sobre novos recursos, como a clonagem de controladores de domnio virtualizados,
recursos recentes como RODCs (controladores de domnio somente leitura) e vrios outros recursos e
ferramentas que voc pode usar no ambiente do AD DS.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Implementar RODCs.
Administrar o AD DS.
Lio 1
Viso geral do AD DS
3-2
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Componentes fsicos
As informaes do AD DS so armazenadas em
um nico arquivo no disco rgido de cada
controlador de domnio. A tabela a seguir lista
alguns componentes fsicos e seus locais de
armazenamento.
Componente fsico
Descrio
Controladores de domnio
Repositrio de dados
RODC (controladores de
domnio somente leitura)
Componentes lgicos
3-3
Os componentes lgicos do AD DS so estruturas que voc usa para implementar um design do Active
Directory que seja apropriado para uma organizao. A tabela a seguir descreve alguns dos tipos de
estruturas lgicas que um banco de dados do Active Directory pode conter.
Componente lgico
Descrio
Partio
Esquema
Domnio
rvore de domnio
Floresta
Site
UO
Estrutura de floresta do AD DS
3-4
A floresta do AD DS tambm o limite de replicao do catlogo global. Isso facilita a maioria das formas
de colaborao entre os usurios de domnios diferentes. Por exemplo, todos os destinatrios do
Microsoft Exchange Server 2010 so listados no catlogo global, tornando fcil enviar email para
qualquer um dos usurios da floresta, at aqueles de domnios diferentes.
Por padro, todos os domnios de uma floresta confiam automaticamente nos outros domnios da
floresta. Isso torna fcil habilitar o acesso a recursos como compartilhamentos de arquivos e sites para
todos os usurios de uma floresta, independentemente do domnio em que a conta de usurio est
localizada.
Estrutura de esquema do AD DS
As definies de objetos controlam ambos os tipos de dados que os objetos podem armazenar e a sintaxe
dos dados. Usando essas informaes, o esquema garante que todos os objetos estejam de acordo com
suas definies padro. Com isso, o AD DS pode armazenar, recuperar e validar os dados que gerencia,
independentemente do aplicativo que a fonte original dos dados. Somente os dados que tm uma
definio de objeto existente no esquema podem ser armazenados no diretrio. Se um novo tipo de
dados precisar ser armazenado, primeiro dever ser criada uma nova definio de objeto para os dados
no esquema.
No AD DS, o esquema define o seguinte:
As regras que definem que tipos de objetos voc pode criar, que atributos devem ser definidos
(obrigatrios) quando voc cria o objeto e que atributos so opcionais
Voc pode usar uma conta que seja membro dos Administradores de Esquema para modificar os
componentes do esquema em um formato grfico. Exemplos de objetos que so definidos no esquema
incluem usurio, computador, grupo e site. Entre os muitos atributos esto location, accountExpires,
buildingName, company, manager e displayName.
O mestre de esquema um dos controladores de domnio de operaes de mestre nico no AD DS.
Como um mestre nico, voc deve fazer alteraes no esquema visando ao controlador de domnio
que tem a funo de mestre de operaes de esquema.
O esquema replicado entre todos os controladores de domnio da floresta. Qualquer alterao feita no
esquema replicada em cada controlador de domnio da floresta do proprietrio da funo de mestre de
operaes de esquema, geralmente o primeiro controlador de domnio da floresta.
3-5
Como o esquema estabelece o modo como as informaes so armazenadas, e quaisquer alteraes que
so feitas no esquema afetam cada controlador de domnio, as alteraes no esquema devem ser feitas
somente quando necessrio. Antes de fazer qualquer alterao, voc deve revisar as alteraes usando um
processo rigorosamente controlado, e implement-las somente depois de executar testes que assegurem
que as alteraes no afetaro o restante da floresta e quaisquer aplicativos que usem o AD DS de
maneira adversa.
Embora voc talvez no faa alteraes no esquema diretamente, alguns aplicativos alteram o esquema
para dar suporte a recursos adicionais. Por exemplo, quando voc instala o Exchange Server 2010 em sua
floresta do AD DS, o programa de instalao estende o esquema para dar suporte a novos tipos e
atributos de objetos.
Um domnio do AD DS uma central administrativa. Ele contm uma conta Administrador e um grupo
Admins. do Domnio, que tm ambos controle total sobre cada objeto no domnio. Porm, a menos que
estejam no domnio raiz da floresta, sua faixa de controle limitada ao domnio. As regras de senha e
conta so gerenciadas no nvel do domnio por padro. O domnio do AD DS tambm fornece um centro
de autenticao. Todas as contas de usurio e de computador no domnio so armazenadas no banco de
dados do domnio, e os usurios e computadores devem se conectar a um controlador de domnio para
autenticao.
Um nico domnio pode conter mais de 1 milho de objetos, portanto a maioria das organizaes precisa
implantar apenas um nico domnio. As organizaes que descentralizaram as estruturas administrativas,
ou que esto distribudas em vrios locais, podem implementar vrios domnios na mesma floresta.
Controladores de domnio
3-6
Um controlador de domnio um servidor que possvel configurar para armazenar uma cpia do banco
de dados de diretrios do AD DS (NTDS.DIT) e uma cpia da pasta Volume do Sistema (SYSVOL). Todos
os controladores de domnio, exceto os RODCs, armazenam uma cpia de leitura/gravao do NTDS.DIT
e da pasta SYSVOL. O NTDS.DIT o prprio banco de dados, e a pasta SYSVOL contm todas as
configuraes de modelo para GPOs.
Unidades organizacionais
Uma unidade organizacional um objeto continer dentro de um domnio que voc pode usar para
consolidar usurios, grupos, computadores e outros objetos. H dois motivos para voc criar UOs:
Para configurar objetos contidos na UO. Voc pode atribuir GPOs UO, e as configuraes so
aplicadas a todos os objetos contidos na UO. GPOs so polticas que os administradores criam para
gerenciar e configurar contas de computador e de usurio. A maneira mais comum de implantar
essas polticas vincul-las a UOs.
Para delegar o controle administrativo de objetos dentro da UO. Voc pode atribuir permisses de
gerenciamento em uma UO, dessa forma delegando o controle dessa UO a um usurio ou grupo no
AD DS que no seja o administrador.
possvel usar UOs para representar estruturas hierrquicas lgicas dentro de sua organizao.
Por exemplo, voc pode criar UOs que representem os departamentos de sua organizao, as regies
geogrficas da organizao ou uma combinao de regies departamentais e geogrficas. As UOs podem
ser usadas para gerenciar a configurao e o uso de contas de usurio, grupo e computador com base em
seu modelo organizacional.
Cada domnio do AD DS contm um conjunto padro de contineres e UOs que so criados quando voc
instala o AD DS, incluindo o seguinte:
Continer de usurios. O local padro para as novas contas de usurio e os grupos que voc cria no
domnio. O continer de usurios tambm contm as contas de administrador e convidado para o
domnio, alm de alguns grupos padro.
Continer de computadores. O local padro para as novas contas de computador que voc cria no domnio.
Lio 2
3-7
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Voc pode clonar controladores de domnio com segurana para implantar capacidade adicional e
poupar tempo de configurao.
3-8
No Windows Server 2012, a clonagem de mquinas virtuais que funcionam como controladores de
domnio fornece o recurso para implantar controladores de domnio rapidamente em seu ambiente. Por
exemplo, voc pode precisar aumentar os controladores de domnio do ambiente para ter suporte no
aumento do uso do AD DS. Voc pode implantar controladores de domnio adicionais rapidamente com
o processo a seguir:
1.
2.
Desligue o VDC existente e use o Hyper-V para exportar os arquivos de mquina virtual.
3.
Inicie o VDC existente (se pretender que ele continue no uso de produo).
4.
Use o Hyper-V para importar os arquivos de mquina virtual como uma nova mquina virtual e inicie
a mquina virtual, que agora contm o novo controlador de domnio.
A clonagem do controlador de domnio virtual fornece os seguintes benefcios no Windows Server 2012:
Clonagem segura
Com Clonagem Segura no Windows Server 2012, um controlador de domnio clonado executa
automaticamente um subconjunto do processo sysprep e promove os dados do AD DS locais existentes
como mdia de instalao.
3-9
O controlador de domnio que hospeda a funo FSMO (operaes de mestre nico flexveis) do
Emulador do PDC deve estar disponvel durante operaes de clonagem.
Os requisitos a seguir devem ser atendidos para dar suporte clonagem e restaurao segura do VDC:
o
A plataforma do host de virtualizao deve dar suporte VM GENID (ID de Gerao da VM). Isso
inclui o Windows Server 2012 Hyper-V.
2.
3.
4.
Crie uma nova mquina virtual importando o VDC exportado. Essa mquina virtual promovida
automaticamente como um controlador de domnio exclusivo.
Validao da replicao do AD DS
Quando um instantneo de mquina virtual aplicado a um VDC, o processo de restaurao segura inicia
a replicao de entrada para as alteraes no AD DS entre o controlador de domnio virtual e o restante
do ambiente do AD DS. O pool RID (identificador relativo) liberado e um novo solicitado, a fim de
impedir SIDs duplicadas no AD DS. Tambm inicia uma replicao no autoritativa da pasta SYSVOL.
Este processo assegura que a nova verso de instantneo aplicada do controlador de domnio virtual
reconhea todos os objetos AD DS, completamente atualizados, e esteja completamente funcional.
Para assegurar que este processo possa ser concludo com xito, os seguintes elementos de replicao do
AD DS devem ser considerados:
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot
Considere o seguinte ao gerenciar instantneos de controlador de domnio virtual no Windows Server 2012:
No restaure um instantneo de um controlador de domnio que foi usado antes de ser promovido.
Isso exigir que voc repromova o servidor manualmente depois que o instantneo for aplicado
e a limpeza de metadados ocorrer.
Lio 3
3-11
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Voc no pode fazer alteraes no banco de dados de domnio do RODC, porque o banco de dados do
AD DS no RODC no aceita solicitaes de modificao de clientes e aplicativos. Todas as solicitaes de
alteraes so encaminhadas a um controlador de domnio gravvel. Como nenhuma alterao ocorre no
RODC, a replicao de alteraes do Active Directory ocorre em apenas uma direo: dos controladores
de domnio gravveis para o RODC.
Cache de credencial
As credenciais de usurio e computador no so replicadas em um RODC por padro. Para usar um RODC
a fim de aprimorar o logon de usurio, voc precisa configurar uma PRP (Diretiva de Replicao de Senha)
que defina quais credenciais de usurio podem ser armazenadas em cache. A limitao das credenciais
armazenadas em cache no RODC reduz os riscos de segurana. Se o RODC for roubado, somente as
senhas das contas de usurio e computador armazenadas em cache precisam ser redefinidas.
Se as credenciais de usurio e computador no forem replicadas em um RODC, um controlador de
domnio gravvel dever ser contatado durante o processo de autenticao. Geralmente (em um cenrio
de filial), as credenciais de computadores e usurios locais so armazenadas em cache em um RODC.
Quando os RODCs so colocados em uma rede de permetro, as credenciais de usurios e computadores
geralmente no so armazenadas em cache.
Para gerenciar um controlador de domnio gravvel, voc deve ser um membro do grupo Administradores
local do domnio. Qualquer usurio inserido no grupo Administradores local do domnio recebe permisses
para gerenciar todos os controladores no domnio. Isso causa problemas para a administrao de
escritrios remotos com um controlador de domnio gravvel, porque no deve ser concedido acesso ao
administrador em um escritrio remoto para os outros controladores de domnio da organizao.
Isso d ao administrador de um escritrio remoto permisso para gerenciar apenas esse RODC, que tambm
pode ser configurado para fornecer outros servios, como compartilhamentos de arquivo e impresso.
Assegure que o nvel funcional da floresta seja o Windows Server 2003 ou mais recente. Isso significa
que todos os controladores de domnio devem ser o Windows Server 2003 ou mais recente e que cada
domnio na floresta deve estar no nvel funcional do domnio do Windows Server 2003 ou mais recente.
Instalao do RODC
Assim como um controlador de domnio gravvel, voc pode instalar um RODC usando uma instalao
assistida ou autnoma. Se voc executar uma instalao assistida usando a interface grfica, selecione
o RODC como uma das opes adicionais do controlador de domnio.
Voc tambm pode delegar a instalao do RODC ao administrador no escritrio remoto usando uma
instalao em etapas. Em uma instalao em etapas, voc precisa executar as seguintes etapas:
1.
Assegurar que o servidor a ser configurado como o RODC no seja um membro do domnio.
2.
3.
3-13
O Grupo de Replicao de Senha RODC Permitido adicionado Lista Permitida de todos os RODCs.
Por padro, esse grupo no tem membros.
O Grupo de Replicao de Senha RODC Negado adicionado Lista Negada de todos os RODCs.
Por padro, Administradores de Domnio, Administradores Corporativos e Proprietrios Criadores
de Poltica de Grupo so os membros deste grupo.
Voc pode configurar a Lista Permitida e a Lista Negada para cada RODC. A Lista Permitida contm
somente o Grupo de Replicao de Senha RODC Permitido. A associao padro da Lista Negada inclui
Administradores, Operadores de Servidor e Operadores de Conta.
Na maioria dos casos, voc desejar adicionar contas separadamente para cada RODC ou adicionar
grupos globais que contenham contas, em vez de permitir globalmente o armazenamento de senha em
cache. Isso permite limitar o nmero de credenciais armazenadas em cache somente para aquelas contas
que geralmente esto nesse local. As contas administrativas de domnio no devem ser armazenadas em
cache nos RODCs de escritrios remotos. Voc deve armazenar em cache contas de computador para
acelerar a autenticao de contas de computador durante a inicializao do sistema. Alm disso, voc
deve armazenar em cache contas para servios que esto em execuo no escritrio remoto.
Voc deve armazenar em cache a senha para administradores delegados, a fim de assegurar que seja
possvel executar a manuteno do sistema quando um controlador de domnio gravvel no est
disponvel.
Observao: Voc nunca deve acessar o RODC com uma conta que tenha permisses
similares para Administradores de Domnio. Os computadores de RODC so considerados
comprometidos por padro, portanto, voc dever assumir que fazendo logon no RODC estar
renunciando a credenciais de administrao de domnio. Dessa forma, os administradores de
domnio devem ter uma conta do tipo administrador de servidor separada qual seja delegado
acesso de gerenciamento ao RODC.
Lio 4
Administrao do AD DS
3-15
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Esquema do Active Directory. Esse esquema examina e modifica a definio de atributos e classes de
objeto do Active Directory. O esquema o plano grfico para o Active Directory, e voc geralmente
no o exibe ou altera com muita frequncia. Portanto, o snap-in Esquema do Active Directory no
completamente instalado, por padro.
Requisitos de instalao
Voc pode instalar a Central Administrativa do Active Directory somente em computadores que esto
executando o Windows Server 2008 R2, o Windows Server 2012, o Windows 7 ou o Windows 8.
possvel instalar a Central Administrativa do Active Directory por meio da:
3-17
Lixeira do Active Directory. A Central Administrativa do Active Directory agora oferece gerenciamento
completo da Lixeira do Active Directory. Os administradores podem usar a Central Administrativa do
Active Directory para exibir e localizar objetos excludos e gerenciar e restaurar esses objetos para
seus originais ou para outro local desejado.
Polticas Refinadas de Senha. A Central Administrativa do Active Directory tambm fornece uma
interface grfica do usurio para a criao e o gerenciamento de objetos de configuraes de senha
para implementar polticas refinadas de senha em um domnio do AD DS.
Gerenciamento de usurios
2.
Gerenciamento do computador
3.
Gerenciamento de grupos
4.
Gerenciamento de UO
5.
6.
7.
8.
9.
Exemplos de cmdlet
Instalao
Voc pode instalar o mdulo do Active Directory usando qualquer um dos seguintes mtodos:
Por padro, em um servidor Windows Server 2008 R2 ou Windows Server 2012, quando voc instala
as funes de servidor do AD DS ou do AD LDS (Active Directory Lightweight Directory Services).
Por padro, quando voc torna um servidor Windows Server 2008 R2 ou Windows Server 2012
um controlador de domnio.
Como parte do recurso RSAT em um computador com Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8.
Cada uma das vrias ferramentas de gerenciamento do AD DS tem uma finalidade na administrao do
ambiente completo do AD DS. Esta demonstrao mostrar as principais ferramentas que voc pode usar
para gerenciar o AD DS e uma tarefa que voc executa normalmente com a ferramenta.
Esta demonstrao mostra como:
Etapas da demonstrao
Usurios e Computadores do Active Directory
Exibir objetos
1.
2.
Atualizar a exibio
Criar objetos
3-19
1.
2.
Para criar um objeto em Usurios e Computadores do Active Directory, clique com o boto direito
em um domnio, um continer (como Usurios ou Computadores) ou uma unidade organizacional,
aponte para Novo e clique no tipo de objeto que voc deseja criar.
3.
Ao criar um objeto, solicitado que voc configure vrias das propriedades mais bsicas do objeto,
incluindo as propriedades requeridas pelo objeto.
2.
2.
2.
3.
4.
Expanda Adatum.com.
2.
Redefina a senha de ADATUM\Adam para Pa$$w0rd, sem exigir que o usurio altere a senha no
prximo logon.
3.
Use a seo Pesquisa Global para localizar todos os objetos que correspondem cadeia de caracteres
de pesquisa Rex.
2.
Exiba o cmdlet do Windows PowerShell que voc usou para executar a tarefa mais recente.
Windows PowerShell
Criao de um grupo
1.
2.
3.
5.
Alterne para a Central Administrativa do Active Directory e confirme se o grupo SalesManagers foi
movidos para a UO Sales.
O controlador de domnio que retm a funo de mestre de esquema responsvel por fazer alteraes
no esquema da floresta. Todos os outros controladores de domnio retm rplicas somente leitura do
esquema. Quando voc precisar modificar o esquema, as modificaes devero ser enviadas ao
controlador de domnio que hospeda a funo de mestre de esquema.
3-21
Cada domnio mantm trs operaes de mestre nico: mestre de RID (identificador relativo), mestre de
infraestrutura e Emulador PDC (controlador de domnio primrio). Cada funo executada por apenas
um controlador no domnio.
O mestre de RID executa uma parte integrante na gerao de SIDs (identificadores de segurana) para
entidades de segurana, como usurios, grupos e computadores. O SID de uma entidade de segurana deve
ser exclusivo. Como qualquer controlador de domnio pode criar contas e, portanto, SIDs, um mecanismo
necessrio para assegurar que os SIDs gerados por um controlador de domnio sejam exclusivos. Os
controladores de domnio do Active Directory geram SIDs acrescentando um RID exclusivo ao SID de
domnio. O mestre de RID do domnio aloca pools de RIDs exclusivos para cada controlador no domnio.
Portanto, cada controlador de domnio pode ter certeza de que os SIDs que ele gera so exclusivos.
Em um ambiente de diversos domnios, comum para um objeto fazer referncia a objetos em outros
domnios. Por exemplo, um grupo pode incluir membros de outro domnio. Seu atributo de membro com
vrios valores contm os nomes distintos de cada membro. Se o membro no outro domnio for movido
ou renomeado, o mestre de infraestrutura do domnio do grupo atualizar as referncias ao objeto.
Fornece uma origem de tempo mestre para o domnio. Muitos componentes e tecnologias do
Windows contam com carimbos de data e hora, portanto, sincronizar o tempo em todos os sistemas
de um domnio crucial. O emulador PDC no domnio raiz da floresta o mestre de tempo para a
floresta inteira, por padro. O emulador PDC em cada domnio sincroniza seu tempo com o emulador
PDC raiz da floresta. Outros controladores no domnio sincronizam seus relgios com relao ao
emulador PDC desse domnio. Todos os outros membros de domnio sincronizam o tempo com seus
controladores de domnio preferidos.
Age como o navegador do mestre de domnio. Ao abrir rede no Windows, voc v uma lista de
grupos de trabalho e domnios e, ao abrir um grupo de trabalho ou domnio, voc v uma lista de
computadores. O servio de navegador cria essas duas listas, chamadas listas de procura. Em cada
segmento de rede, um navegador mestre cria o lista de procura: as listas de grupos de trabalho,
domnios e servidores nesse segmento. O navegador mestre de domnio usado para mesclar as
listas de cada navegador mestre, de forma que os clientes de procura possam recuperar uma lista de
procura abrangente.
Restaurao de dados do AD DS
Quando um controlador de domnio ou seu diretrio est corrompido, danificado ou com falha, voc tem
vrias opes com as quais restaurar o sistema.
Restaurao no autoritativa
3-23
A primeira opo desse tipo chamada restaurao normal ou no autoritativa. Em uma operao
de restaurao normal, voc restaura um backup do Active Directory a partir de uma data vlida.
Efetivamente, voc reverte o controlador de domnio no tempo. Quando o AD DS reiniciado no
controlador de domnio, o controlador de domnio contata os parceiros de sua replicao e solicita todas
as atualizaes subsequentes. Efetivamente, o controlador de domnio captura o restante do domnio
usando mecanismos de replicao padro.
Nessas situaes, uma restaurao normal no suficiente. Se voc restaurar uma verso vlida do
Active Directory e reiniciar o controlador de domnio, a excluso (que aconteceu subsequente ao backup)
simplesmente replicar novamente para o controlador de domnio.
Restaurao autoritativa
Quando uma cpia vlida do AD DS foi restaurada e contm objetos que devem substituir objetos
existentes no banco de dados do AD DS, uma restaurao autoritativa necessria. Em uma restaurao
autoritativa, voc restaura a verso vlida do Active Directory da mesma maneira que faz em uma
restaurao normal. Porm, antes de reiniciar o controlador de domnio, voc marca os objetos excludos
acidentalmente ou corrompidos anteriormente que deseja reter como autoritativos, de forma que eles
replicaro do controlador de domnio restaurado para seus parceiros de replicao. No segundo plano,
quando voc marca objetos como autoritativos, o Windows incrementa o nmero de verso de todos os
atributos de objeto para ser to alto que a verso virtualmente garantida ser mais alta que o nmero
de verso em todos os outros controladores de domnio.
Quando o controlador de domnio restaurado reiniciado, ele replica de seus parceiros de replicao
todas as alteraes que foram feitas no diretrio. Ele tambm notifica seus parceiros que foram feitas
alteraes, e os nmeros de verso das alteraes asseguram que os parceiros adotem as alteraes e
as repliquem em todo o servio de diretrio. Nas florestas com a Lixeira do Active Directory habilitada,
voc pode usar a Lixeira do Active Directory como uma alternativa mais simples para uma restaurao
autoritativa.
A terceira opo para restaurar o servio de diretrio restaurar o controlador de domnio inteiro. Isto
feito inicializando o Ambiente de Recuperao do Windows e restaurando um backup completo de
servidor do controlador de domnio. Por padro, esta uma restaurao normal. Se tambm precisar
marcar objetos como autoritativos, voc dever reiniciar o servidor no Modo de Restaurao dos Servios
de Diretrio e dever definir esses objetos como autoritativos antes de iniciar o controlador de domnio
em operao normal.
Finalmente, possvel restaurar um backup do SystemState para um local alternativo. Isso permite
examinar arquivos e, possivelmente, montar o arquivo NTDS.dit. Voc no deve copiar os arquivos de um
local de restaurao alternativo sobre as verses de produo desses arquivos. No faa uma restaurao
por etapas do Active Directory. Voc tambm poder usar esta opo se desejar usar a opo Instalar
da Mdia para criar um novo controlador de domnio.
Lio 5
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o NTDSUtil.
Explicar o AD DS reinicivel.
Esquema. A partio Esquema define as classes de objeto e seus atributos para o diretrio inteiro.
Os controladores de domnio tambm podem hospedar parties de aplicativo. Voc pode usar parties
de aplicativo para limitar a replicao de dados especficos do aplicativo para um subconjunto de
controladores de domnio. O DNS integrado do Active Directory um exemplo comum de aplicativo
que tira proveito das parties do aplicativo.
Cada controlador de domnio mantm uma cpia, ou rplica, de vrias parties. A Configurao
replicada a todos os controladores de domnio na floresta, assim como o Esquema. A partio Domnio
de um domnio replicada a todos os controladores dentro de um domnio, mas no a controladores em
outros domnios, com a exceo dos servidores de catlogos globais. Portanto, cada controlador de
domnio tem pelo menos trs rplicas: a partio Domnio para seu domnio, Configurao e Esquema.
3-25
Na pasta NTDS, existem outros arquivos que do suporte ao banco de dados do Active Directory.
Os arquivos Edb*.log so os logs de transaes do Active Directory. Quando uma alterao deve ser feita
no diretrio, primeiro ela gravada no arquivo de log. A alterao confirmada no diretrio como uma
transao. Se a transao falhar, poder ser revertida.
A tabela a seguir descreve os diferentes componentes de nvel do arquivo do banco de dados do AD DS.
Arquivo
NTDS.dit
Descrio
Arquivo principal do banco de dados do AD DS
Contm todas as parties e objetos do AD DS
EDB*.log
Log(s) de transaes
EDB.chk
Edbres00001.jrs
Edbres00002.jrs
Em operaes normais, o log de transaes se dispe ao redor com novas transaes substituindo
transaes antigas que haviam sido confirmadas. Porm, se um nmero grande de transaes for feito
dentro de um curto perodo de tempo, o AD DS criar arquivos adicionais de log de transaes, de forma
que voc possa ver vrios arquivos EDB*.log se consultar a pasta NTDS de um controlador de domnio
particularmente ocupado. Com o passar do tempo, esses arquivos so removidos automaticamente.
O arquivo EDB.chk funciona como um indicador nos arquivos de log, marcando o local antes do qual as
transaes foram confirmadas com xito no banco de dados e depois do qual as transaes permanecem
para serem confirmadas.
Se uma unidade de disco estiver sem espao, ser altamente problemtico para o servidor. Ser ainda
mais problemtico se esse disco estiver hospedando o banco de dados do AD DS, porque as transaes
que podem estar pendentes no podero ser gravadas nos logs. Portanto, o AD DS mantm dois arquivos
de log adicionais, edbres0001.jrs e edbres0002.jrs. Esses so arquivos vazios de 10 MB (megabytes) cada.
Quando um disco est sem espao para logs de transaes normais, o AD DS recruta o espao usado por
esses dois arquivos para gravar as transaes que esto atualmente em uma fila. Depois disso, ele encerra
com segurana os servios do AD DS e desmonta o banco de dados. Obviamente que ser importante
para um administrador corrigir o problema de pouco espao em disco o mais rpido possvel. O arquivo
simplesmente fornece uma soluo temporria para impedir o servio de diretrio de recusar novas
transaes.
O que NTDSUtil?
O NTDSUtil um executvel de linha de
comando que voc pode usar para executar
manuteno do banco de dados, incluindo a
criao de instantneos, a desfragmentao
offline e a realocao dos arquivos do banco
de dados.
Voc tambm pode usar o NTDSUtil para limpar
metadados do controlador de domnio. Se um
controlador de domnio for removido do domnio
enquanto estiver offline, no ser possvel remover
informaes importantes do servio de diretrio.
Voc pode usar o NTDSUtil para limpar os
excedentes do controlador de domnio e muito importante fazer isso.
O NTDSUtil tambm pode redefinir a senha usada para fazer logon no Modo de Restaurao dos Servios
de Diretrio. Essa senha configurada inicialmente durante a configurao de um controlador de
domnio. Se voc esquecer a senha, o comando NTDSUtil set dsrm poder redefini-la.
3-27
O AD DS reinicivel est disponvel por padro em todos os controladores de domnio que executam o
Windows Server 2012. No h nenhum requisito de nvel funcional ou qualquer outro pr-requisito para
usar este recurso.
Observao: Voc no pode executar uma restaurao de estado do sistema de um controlador
de domnio enquanto o AD DS est interrompido. Para concluir uma restaurao de estado do
sistema de um controlador de domnio, voc precisa iniciar no DSRM (Modo de Restaurao dos
Servios de Diretrio). No entanto, voc pode executar uma restaurao autoritativa dos objetos
do Active Directory enquanto o AD DS est interrompido usando Ntdsutil.exe.
AD DS Interrompido. Neste estado, o AD DS est interrompido. Embora este modo seja exclusivo, o
servidor tem algumas caractersticas de um controlador de domnio no DSRM e um servidor membro
associado ao domnio.
DSRM. Este modo (ou estado) permite tarefas administrativas padro do AD DS.
Com o DSRM, o banco de dados do Active Directory (Ntds.dit) no controlador de domnio local est
offline. Outro controlador de domnio pode ser contatado para logon, se um estiver disponvel. Se
nenhum outro controlador de domnio puder ser contatado, por padro voc pode executar um dos
procedimentos a seguir:
Reiniciar o controlador de domnio para fazer logon com uma conta de domnio.
Como ocorre com um servidor membro, o servidor associado ao domnio. Isso significa que a Poltica
de Grupo e outras configuraes ainda sejam aplicadas ao computador. No entanto, um controlador de
domnio no deve permanecer no estado AD DS Interrompido por um perodo estendido porque, neste
estado, ele no pode atender solicitaes de logon ou replicar com outros controladores de domnio.
Parar o AD DS.
Iniciar o AD DS.
Etapas da demonstrao
Parar o AD DS
1.
2.
2.
Iniciar o AD DS
1.
2.
Criao de instantneos do AD DS
O NTDSUtil no Windows Server 2012 pode criar e
montar instantneos do AD DS. Um instantneo
uma forma de backup histrico que captura o
estado exato do servio de diretrio no momento
do instantneo. Voc pode usar ferramentas para
explorar o contedo de um instantneo para
examinar o estado do servio de diretrio no
momento em que o instantneo foi criado ou para
conectar a um instantneo montado com LDIFDE e
exportar um objeto de reimportao para o AD DS.
Criao de um instantneo do AD DS
Para criar um instantneo:
3-29
1.
2.
3.
4.
5.
6.
O comando retorna uma mensagem que indica que o conjunto de instantneos foi gerado com xito.
7.
O GUID exibido importante para comandos em tarefas subsequentes. Anote o GUID ou,
alternativamente, copie-o para a rea de Transferncia.
8.
Agende instantneos do Active Directory regularmente. Voc pode usar o Agendador de Tarefas para
executar um arquivo em lotes usando os comandos NTDSUtil apropriados.
Montagem de um instantneo do AD DS
Para exibir o contedo de um instantneo, voc deve montar o instantneo como uma nova instncia
do AD DS. Isto tambm realizado com NTDSUtil.
Para montar um instantneo:
1.
2.
3.
4.
5.
6.
7.
Digite mount {GUID}, em que GUID o GUID retornado pelo comando de criao de instantneo e
pressione Enter.
8.
9.
Exibio de um instantneo do AD DS
Depois que o instantneo foi montado, voc pode usar ferramentas para conectar a ele e explor-lo.
At mesmo Usurios e Computadores do Active Directory podem conectar instncia.
Para conectar a um instantneo com Usurios e Computadores do Active Directory:
1.
2.
Clique com o boto direito do mouse no n raiz e clique em Alterar Controlador de Domnio.
3.
4.
5.
6.
7.
Clique em OK.
Desmontagem de um instantneo do AD DS
Para desmontar o instantneo:
1.
2.
3.
4.
5.
6.
7.
8.
Clique em Iniciar e, na caixa Iniciar Pesquisa, digite LDP.exe e pressione Ctrl+Shift+Enter, que
executa o comando como um administrador.
2.
3.
4.
5.
6.
O LDP aberto.
7.
8.
9.
3-31
18. Na caixa Valores, digite o nome distinto do objeto no continer pai ou a UO em que voc deseja que
a restaurao do objeto ocorra. Por exemplo, digite o nome distinto do objeto antes de ser excludo.
19. Na seo Operao, clique em Substituir.
20. Pressione Enter.
21. Marque a caixa de seleo Estendido.
22. Clique em Executar, em Fechar e em LDP.
23. Use Usurios e Computadores do Active Directory para repopular os atributos do objeto, redefina
a senha (de um objeto de usurio) e habilite o objeto (se desabilitado).
Quando voc habilita a Lixeira do Active Directory, todos os atributos com valores de link e sem valores
de link dos objetos do Active Directory excludos so preservados, e os objetos so restaurados em sua
totalidade para o mesmo estado lgico consistente em que estavam imediatamente antes da excluso.
Por exemplo, as contas de usurio restauradas recuperam automaticamente todas as associaes de
grupo e direitos de acesso correspondentes que tiveram imediatamente antes da excluso, dentro e por
domnios. A Lixeira do Active Directory funciona nos ambiente do AD DS e do AD LDS (Active Directory
Lightweight Directory Services).
Depois que voc habilita a Lixeira do Active Directory, quando um objeto do Active Directory excludo,
o sistema preserva todos os atributos com valores de link e sem valores de link do objeto e o objeto se
torna logicamente excludo. Um objeto excludo movido para o continer Objetos Excludos e seu nome
distinto danificado. Um objeto excludo permanece no continer Objetos Excludos em um estado
logicamente excludo durante todo o tempo de vida do objeto excludo. Dentro do tempo de vida do
objeto excludo, voc pode recuperar um objeto excludo com Lixeira do Active Directory e torn-lo
novamente um objeto ativo do Active Directory.
3-33
Para habilitar a Lixeira do Active Directory no Windows 2012, voc pode executar um dos procedimentos
a seguir:
No mdulo do Active Directory para prompt do Windows PowerShell, use o cmdlet EnableADOptionalFeature.
Somente itens excludos depois que a Lixeira do Active Directory est ativada podem ser restaurados da
Lixeira do Active Directory.
No Windows Server 2012, a Central Administrativa do Active Directory fornece uma interface grfica para
restaurar objetos do AD DS que so excludos. Quando a Lixeira do Active Directory tiver sido habilitada, o
continer Objetos Excludos estar visvel na Central Administrativa do Active Directory. Objetos excludos
sero visveis neste continer at o perodo de tempo de vida desses objetos expirar. Voc pode escolher
restaurar os objetos para o local original ou para um local alternativo dentro do AD DS.
Laboratrio: Manuteno do AD DS
Cenrio
A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Reino Unido. Um escritrio de TI e um data center localizados em Londres para dar suporte ao escritrio
matriz e a outros locais. A A. Datum implantou recentemente uma infraestrutura de cliente e servidor
do Windows Server 2012.
A. Datum est fazendo vrias mudanas organizacionais que exigem modificaes na infraestrutura
do AD DS. Um novo local requer um mtodo seguro de fornecimento do AD DS no local, e foi solicitado
que voc estendesse os recursos da Lixeira do Active Directory organizao inteira.
Mquina(s) virtual(is)
24411B-LON-DC1
24411B-LON-SVR1
Nome de usurio
Administrador
Senha
Pa$$w0rd
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
a.
b.
Senha: Pa$$w0rd
c.
Domnio: Adatum
3-35
A. A Datum est adicionando uma nova filial. Foi solicitado que voc configure um RODC para atender
solicitaes de logon na filial. Voc tambm precisa configurar polticas de senha que assegurem o
armazenamento em cache somente de senhas para usurios locais na filial.
As principais tarefas deste exerccio so:
1.
2.
Instalar um RODC
3.
2.
Nas propriedades de Adatum.com, verifique se o nvel funcional da floresta pelo menos o Windows
Server 2003.
3.
4.
5.
Reinicie LON-SVR1.
6.
7.
8.
Na UO Domain Controllers, pr-crie uma conta de RODC usando configuraes padro, com
exceo do seguinte:
9.
2.
3.
Conclua o Assistente de Instalao dos Servios de Domnio do Active Directory usando opes
padro, exceto estas listadas abaixo:
4.
Domnio: Adatum.com
1.
2.
3.
4.
5.
6.
Adicione Aziz, Colin, Lukas, Louise e LON-CL1 associao de Usurios de Escritrio Remoto.
7.
8.
Na guia Diretiva de Replicao de Senha, permita que o grupo Usurios de Escritrio Remotos
replique senhas para LON-SVR1.
9.
10. Na guia Diretiva de Replicao de Senha, abra a configurao Avanada. Na guia Diretiva
Resultante, adicione Aziz, e confirme que a senha de Aziz pode ser armazenada em cache.
11. Tente fazer logon no LON-SVR1 como Aziz. Este logon falhar porque o Aziz no tem permisso para
fazer logon no RODC, mas a autenticao executada e as credenciais so armazenadas em cache.
12. Em LON-DC1, em Usurios e Computadores do Active Directory, na UO Domain Controllers,
abra as propriedades de LON-SVR1.
13. Na guia Diretiva de Replicao de Senha, abra a configurao Avanado.
14. Na guia Uso da Poltica, selecione a opo Contas que foram autenticadas para este Controlador
de Domnio Somente Leitura. Note que a senha de Aziz foi armazenada em cache.
15. Em LON-DC1, em Usurios e Computadores do Active Directory, na UO Domain Controllers,
clique em LON-SVR1 e em Propriedades.
16. Na guia Diretiva de Replicao de Senha, abra a configurao Avanado.
17. Na guia Uso de Poltica, pr-popule a senha para Louise e LON-CL1.
18. Leia a lista de senhas armazenadas em cache e confirme que Louise e LON-CL1 foram adicionadas.
19. Feche todas as janelas em LON-DC1.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado um RODC.
3-37
Como parte do plano geral de recuperao de desastres da A. Datum, voc foi instrudo a testar
o processo para tirar instantneos do Active Directory e exibi-los. Se o processo tiver xito, voc o
agendar para que ocorra regularmente com a inteno de auxiliar na recuperao de objetos do AD DS
excludos ou modificados.
As principais tarefas deste exerccio so:
1
Em LON-DC1, abra uma janela de prompt de comando e digite os comandos a seguir, sempre
seguidos de Enter:
ntdsutil
snapshot
activate instance ntds
create
quit
Quit
2.
O comando retorna uma mensagem que indica que o conjunto de instantneos foi gerado com xito.
O GUID (identificador globalmente exclusivo) exibido importante para comandos em tarefas
subsequentes. Anote o GUID ou copie-o para a rea de Transferncia.
2.
3.
Abra um prompt de comando administrativo e digite os comandos a seguir, sempre seguidos de Enter:
ntdsutil
snapshot
activate instance ntds
list all
3.
Use o instantneo para iniciar uma instncia do Active Directory digitando o comando a seguir, tudo
em uma linha, e pressione Enter:
dsamain /dbpath c:\$SNAP_datetime_VOLUMEC$\windows\ntds\ntds.dit /ldapport 50000
Observe que datetime ser um valor exclusivo. Deve haver somente uma pasta em sua unidade C:/
com um nome que comea com $snap.
Uma mensagem indica que a inicializao do AD DS est concluda. Deixe Dsamain.exe executando e
no feche o prompt de comando.
Alterne para Usurios e Computadores do Active Directory. Clique com o boto direito do mouse
no n raiz do snap-in e clique em Alterar o Controlador de Domnio. Digite o nome de servidor de
diretrio e a porta LON-DC1:50000 e pressione Enter. Clique em OK.
2.
Localize o objeto da conta de usurio Adam Barr na UO Marketing. Observe que o objeto de Adam
Barr exibido porque o instantneo foi tirado antes de exclu-lo.
2.
Resultados: Depois de concluir este exerccio, voc ter configurado instantneos do AD DS.
2.
Habilite a Lixeira.
3.
2.
Teste1
Teste2
3-39
1.
Na Central Administrativa do Active Directory, navegue para a pasta Deleted Objects do domnio
Adatum.
2.
3.
4.
Resultados: Depois de concluir esse exerccio, voc ter configurado a Lixeira do Active Directory.
Use RODCs quando a segurana fsica tornar um controlador de domnio gravvel invivel.
Habilite a Lixeira do Active Directory se seu nvel funcional da floresta aceitar a funcionalidade. Pode
ser inestimvel na economia de tempo ao recuperar objetos acidentalmente excludos no AD DS.
Ferramentas
Ferramentas
Usada para
Onde encontrar
Gerenciador do Hyper-V
Usurios e Computadores
do Active Directory
Gerenciar objetos no AD DS
Central Administrativa
do Active Directory
Ntdsutil.exe
Gerenciar instantneos do AD DS
Prompt de comando
Dsamain.exe
Montar instantneos do AD DS
para navegar
Prompt de comando
Mdulo 4
Gerenciamento de contas de servio e de usurio
Contedo:
Viso geral do mdulo
4-1
4-2
4-8
4-16
4-23
4-27
Gerenciar contas de usurio em um ambiente corporativo pode ser uma tarefa desafiadora. Voc deve
configurar as contas de usurio em seu ambiente corretamente, e proteg-las contra uso no autorizado
e contra usurios que abusam de seus privilgios de conta. O uso de contas de servio dedicadas para
servios de sistema e processos em segundo plano, assim como a definio de polticas de conta
adequadas, ajudaro a garantir que o ambiente do Windows Server 2012 fornecer aos usurios
e aos aplicativos o acesso de que precisam para funcionarem corretamente.
Este mdulo o ajudar a compreender como gerenciar grupos de contas de usurio grandes, explicar as
diferentes opes disponveis para fornecer segurana de senha adequada para contas em seu ambiente
e mostrar como configurar contas para fornecer autenticao para servios do sistema e processos em
segundo plano.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
4-2
Explicar como exportar usurios usando a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Explicar como importar usurios usando a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Descrever como importar contas de usurio usando o padro da Internet (LDIFDE) de Formato de troca
de dados LDAP.
A ferramenta CSVDE (Comma-Separated Values Data Exchange) uma ferramenta de linha de comando
que exporta ou importa objetos AD DS para ou de um arquivo de texto delimitado por vrgulas, que
tambm conhecido como arquivo de texto de valores separados por vrgulas ou arquivo .csv. Voc pode
criar, modificar e abrir arquivos delimitados por vrgulas usando ferramentas familiares como o Bloco de
Notas e o Microsoft Office Excel. Alm disso, voc pode usar esses arquivos para exportar informaes
do AD DS para serem usadas em outras reas de sua organizao, ou voc pode us-los para importar
informaes de outras fontes para criar ou modificar os objetos AD DS de seu domnio.
A seguir est a sintaxe bsica do comando da ferramenta CSVDE (Comma-Separated Values Data
Exchange) para exportao:
csvde -f nomedoarquivo
Porm, esse comando exportar todos os objetos em seu domnio do Active Directory. Para limitar o
escopo da exportao, voc pode usar os quatro parmetros a seguir:
-d RootDN. Especifica o nome diferenciado do continer a partir do qual a exportao ser iniciada.
O padro o prprio domnio.
4-3
-r Filter. Filtra os objetos retornados dentro do escopo configurado por - d e -p. O filtro
especificado na sintaxe de consulta do protocolo LDAP. Voc trabalhar com um filtro no laboratrio
para esta lio. A sintaxe de consulta do LDAP no est no escopo deste curso. Para obter mais
informaes, consulte http://go.microsoft.com/fwlink/?LinkId=168752 (Alguns dos sites abordados
neste curso pode ser em Ingls).
-l ListOfAttributes. Especifica os atributos que sero exportados. Use o nome LDAP para cada atributo,
separado por uma vrgula, como em
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
A sada de uma exportao da ferramenta CSVDE (Comma-Separated Values Data Exchange) lista os
nomes de atributo LDAP na primeira linha. Cada objeto segue, um por linha, e deve conter exatamente
os atributos listados na primeira linha, como ilustrado nos exemplos seguintes:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Etapas da demonstrao
1.
2.
3.
4.
5.
A seguir est a sintaxe bsica do comando ferramenta CSVDE (Comma-Separated Values Data Exchange)
para importao:
csvde -i -f nomedoarquivo -k
O parmetro -i especifica o modo de importao. Sem esse parmetro, o modo padro da ferramenta
CSVDE (Comma-Separated Values Data Exchange) exportao. O parmetro -f identifica o nome
do arquivo do qual importar ou para o qual exportar. O parmetro -k til durante as operaes de
importao porque ele instrui a ferramenta CSVDE (Comma-Separated Values Data Exchange) para
ignorar os erros, incluindo o objeto que j existe
O prprio arquivo de importao um arquivo de texto delimitado por vrgulas (.csv ou .txt) no qual a
primeira linha define os atributos importados pelos nomes de atributo LDAP. Cada objeto segue, um
por linha, e deve conter exatamente os atributos listados na primeira linha, por exemplo, um arquivo
de amostra ser da seguinte forma:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
4-4
Esse arquivo, quando importado pelo comando da ferramenta CSVDE (Comma-Separated Values Data
Exchange), criar um objeto de usurio para Lisa Andrews na unidade organizacional (UO) Funcionrios.
O arquivo configura os nomes de logon de usurio, sobrenome e nome. Voc no pode usar a ferramenta
CSVDE (Comma-Separated Values Data Exchange) para importar senhas. Sem uma senha, a conta de usurio
ser inicialmente desabilitada. Depois de redefinir a senha, voc poder habilitar o objeto no AD DS.
Nesta demonstrao, voc ver como:
Importar contas de usurio com a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Etapas da demonstrao
1.
2.
3.
4.
Examine as contas para confirmar que o nome, o sobrenome, o nome principal do usurio e o nome
de logon anterior ao Windows 2000 foram preenchidos de acordo com as instrues em
NewUsers.csv.
5.
6.
7.
4-5
Voc tambm pode usar o LDIFDE.exe para importar ou exportar objetos do Active Directory, inclusive
usurios. O formato de troca de dados LDPA (LDIF) um formato de arquivo padro que pode ser usado
para armazenar informaes e executar operaes de lote em diretrios que esto em conformidade
com os padres LDAP. O LDIF oferece suporte a operaes de importao e de exportao, bem como a
operaes de lote que modificam objetos no diretrio. O comando LDIFDE implementa essas operaes
de lote usando os arquivos LDIF.
O formato de arquivo LDIF consiste em um bloco de linhas que juntas constituem uma nica operao.
Vrias operaes em um nico arquivo so separadas por uma linha em branco. Cada linha, que contm
uma operao, consiste em um nome de atributo seguido por dois-pontos e o valor do atributo. Por
exemplo, suponha voc deseja importar objetos de usurio para dois representantes de vendas chamados
Bonnie Kearney e Bobby Moore. O contedo do arquivo LDIF ficaria similar ao exemplo a seguir:
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Operations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com
dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bobby Moore
sn: Moore
title: Legal
description: Legal (New York)
givenName: Bobby
displayName: Moore, Bobby
company: Contoso, Ltd.
sAMAccountName: bobby.moore
userPrincipalName: bobby.moore@contoso.com
mail: bobby.moore@contoso.com
Cada operao comea com o atributo de nome de domnio (DN) do objeto que o destino da operao.
A linha seguinte, changeType, especifica o tipo de operao: adicionar, modificar ou excluir.
Como voc pode ver, o formato do arquivo LDIF no to intuitivo ou familiar como o formato de texto
separado por vrgulas. No entanto, como o formato LDIF tambm um padro, muitos servios de
diretrio e banco de dados podem exportar arquivos LDIF.
4-6
Depois de criar ou obter um arquivo LDIF, voc pode executar as operaes que o arquivo especifica,
usando o comando LDIFDE. Em um prompt de comando, digite ldifde /? para obter informaes de uso.
As duas opes mais importantes para o comando LDIFDE so:
-i. Ativa o modo de importao. Sem esse parmetro, o LDIFDE exporta informaes.
Etapas da demonstrao
1.
2.
3.
Abra Usurios e Computadores do Active Directory e confirme que os usurios foram criados
com xito.
4.
Examine as contas para confirmar que as propriedades de usurio foram preenchidas de acordo
com as instrues em NewUsers.ldf.
5.
6.
7.
Import-CSV. Esse cmdlet cria objetos de arquivos .csv que podem ser enviados por pipeline para
outros cmdlets do Windows PowerShell.
New-ADUser. Esse cmdlet usado para criar os objetos que foram importados do cmdlet Import-CSV.
Etapas da demonstrao
4-7
1.
2.
3.
4.
5.
Digite os seguintes comandos e pressione Enter depois de cada um. Quando solicitado para alterar
a poltica de execuo, pressione enter para aceitar a opo padro de Y:
Set-ExecutionPolicy remotesigned
E:\Labfiles\Mod04\importusers.ps1
6.
7.
8.
Lio 2
Objetivos da lio
Depois desta lio, voc ser capaz de:
4-8
Poltica de senha
Voc define a poltica de senha usando as seguintes configuraes:
4-9
Aplicar histrico de senhas. Esse o nmero de senhas novas e exclusivas que devem ser associadas a
uma conta de usurio para que uma senha antiga possa ser reutilizada. A configurao padro 24
senhas anteriores. Quando voc usa essa configurao com uma configurao de tempo de vida
mnimo de senha, a configurao de aplicar histrico de senha impede a reutilizao constante da
mesma senha.
Tempo de vida mximo da senha. Isso o nmero de dias que uma senha pode ser usada antes que
o usurio precise alter-la. A alterao regular de senhas ajuda a impedir o comprometimento das
senhas. Porm, voc deve encontrar um equilbrio entre essa considerao de segurana e as
consideraes logsticas que resultam em solicitar que os usurios alterem as senha com muita
frequncia. A configurao padro de 42 dias provavelmente apropriada para a maioria das
organizaes.
Tempo de vida mnimo da senha. Isso o nmero de dias que uma senha deve ser usada para que
o usurio possa alter-la. O valor padro um dia, o que apropriado se voc tambm aplicar o
histrico de senha. Voc poder restringir o uso frequente da mesma senha se usar essa configurao
junto com uma configurao curta para aplicar o histrico de senha.
Comprimento mnimo da senha. Esse o nmero mnimo de caracteres que a senha de um usurio
deve conter. O valor padro sete. Esse padro o mnimo usado extensamente, mas voc deve
aumentar o comprimento da senha para pelo menos 10 para aprimorar a segurana.
Requisitos de complexidade. O Windows Server inclui um filtro de senha padro que habilitado por
padro e voc no deve desabilit-lo. O filtro requer que uma senha tenha as seguintes
caractersticas:
o
Numerais [09]
Voc pode definir limites para bloqueio de conta, durao do bloqueio e um modo de desbloquear as
contas. Os limites para o bloqueio de conta estipulam que as contas fiquem inoperveis depois um
determinado nmero de tentativas de logon com falha durante um determinado perodo de tempo. As
polticas de bloqueio de conta ajudam a detectar e a impedir ataques de fora bruta em senhas de conta.
As seguintes configuraes esto disponveis:
Durao do bloqueio de conta. Define o nmero de minutos que uma conta bloqueada permanece
bloqueada. Depois do nmero especificado de minutos, a conta desbloqueada automaticamente.
Para especificar que um administrador deve desbloquear a conta, defina o valor para 0. Considere o
uso de polticas de senha refinadas para solicitar que os administradores desbloqueiem contas de alta
segurana e defina essa configurao para 30 minutos para usurios normais.
Limite de bloqueio de conta. Determina o nmero de tentativas de logon com falha que so
permitidas antes que a conta do usurio seja bloqueada. O valor 0 significa que a conta nunca
bloqueada. Voc deve definir esse valor alto o suficiente para permitir que os usurios digitem a
senha errada, mas baixo o suficiente para garantir que tentativas de fora bruta para adivinhar a
senha falhem. Os valores comuns para esse intervalo de configurao de trs a cinco.
Zerar contador de bloqueios de conta aps. Determina quantos minutos devem passar aps uma
tentativa de logon com falha para que o contador de logon incorreto seja redefinido para 0. Essa
configurao se aplica quando um usurio digita a senha incorretamente, mas no ultrapassa o limite
de bloqueio de conta. Considere definir esse valor para 30 minutos.
Poltica do Kerberos
As opes de configurao de poltica do Kerberos contm configuraes para o protocolo Kerberos
verso 5 TGT (tquete de concesso de tquete) e os tempos de vida do tquete de sesso e as
configuraes de carimbo de data/hora. Para a maioria das organizaes, as configuraes padro so
apropriadas.
4-11
As configuraes de Poltica de Conta da Poltica de grupo existem no modelo de cada Objeto de Poltica
de Grupo (GPO) criado no GPMC. Porm, voc pode aplicar uma poltica de conta apenas uma vez a um
domnio e apenas a um GPO. Essa a Poltica de Domnio Padro, e ela est vinculada raiz do domnio
AD DS. Dessa forma, as configuraes de poltica de conta na Poltica de Domnio Padro se aplicam a
cada computador que unido ao domnio.
Observao: Se as configuraes de poltica de conta na Poltica de Segurana Local e as
configuraes de poltica de conta na Poltica de Domnio Padro GPO entrarem em conflito, as
configuraes da Poltica de Domnio Padro tero precedncia.
Pergunta: Por que voc usaria secpol.msc para definir as configuraes de poltica de conta
local para um computador Windows Server 2012 em vez de usar as configuraes de poltica
de conta da Poltica de Grupo baseada em domnio?
As polticas de senha refinadas se aplicam somente aos objetos de usurio (ou a objetos inetOrgPerson,
se voc usar esses em vez de objetos de usurio) e a grupos de segurana global. Ao vincular Objetos
Configurao de Senha a um usurio ou a um grupo, voc modifica um atributo chamado msDSPSOApplied, que por padro vazio. Essa abordagem trata agora a senha e as configuraes de
bloqueio de senha como atributos para um usurio especfico ou para um grupo, e no como requisitos
de todo o domnio.
Por exemplo, para configurar uma poltica de senha rgida para contas administrativas, crie um grupo
de segurana global, adicione as contas de usurio administrativas como membros e vincule um Objeto
Configurao de Senha ao grupo. A aplicao de polticas de senha refinadas a um grupo dessa maneira
mais gerencivel do que a aplicao de polticas a cada conta de usurio individual. Se voc criar
uma nova conta de servio, simplesmente adicione-a ao grupo e a conta ser gerenciada pelo Objeto
Configurao de Senha.
Por padro, apenas membros do grupo Administradores de Domnio podem definir polticas de senha
refinadas. Porm, voc tambm pode delegar a capacidade para definir essas polticas para outros usurios.
Voc no pode aplicar uma poltica de senha refinada diretamente a uma UO. Para aplicar uma poltica
de senha refinada a usurios de uma UO, voc pode usar um grupo de sombra. Um grupo de sombra
um grupo de segurana global que mapeado logicamente para uma UO e impe uma poltica de senha
refinada. Voc pode adicionar os usurios de uma UO como membros do grupo de sombra recentemente
criado e aplicar a poltica de senha refinada a esse grupo de sombra. Se voc mover um usurio de uma
UO para outra, deve atualizar a associao dos grupos de sombra correspondentes.
As configuraes gerenciadas por poltica de senha refinada so iguais s configuraes nos ns Poltica
de Conta e Poltica de Senha de um GPO. Porm, as polticas de senha refinadas no so implementadas
como parte da Poltica de Grupo e no so aplicadas como parte de um GPO. Em vez disso, existe uma
classe separada de objeto no Active Directory que mantm as configuraes para a poltica de senha
refinada o PSO.
Voc pode criar um ou mais PSOs em seu domnio. Cada um contm um conjunto completo de senhas e
configuraes de poltica de bloqueio. Um Objeto Configurao de Senha aplicado vinculando o Objeto
Configurao de Senha a um ou mais grupos de segurana global ou usurios.
Para usar uma poltica de senha refinada, o nvel funcional do domnio deve ser pelo menos o
Windows Server 2008, o que significa que todos os controladores de domnio no domnio esto pelo
menos executando o Windows Server 2008, e o nvel funcional do domnio foi aumentado para pelo
menos o Windows Server 2008.
Para confirmar e modificar o nvel funcional do domnio:
1.
2.
3.
Clique com o boto direito do mouse no domnio e, em seguida, clique em Aumentar nvel
funcional do domnio.
Windows PowerShell
New-ADFineGrainedPasswordPolicy
4-13
Esse cmdlet usado para criar um novo Objeto Configurao de Senha e definir os parmetros do
Objeto Configurao de Senha. Por exemplo, o comando a seguir cria um novo Objeto Configurao
de Senha nomeado TestPwd e especifica as suas configuraes:
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0"
-MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false ProtectedFromAccidentalDeletion:$true
Add-FineGrainedPasswordPolicySubject
Esse cmdlet permite vincular um usurio ou um grupo a um Objeto Configurao de Senha existente.
Por exemplo, o comando a seguir vincula o Objeto Configurao de Senha TestPwd ao grupo
do AD DS nomeado grupo1:
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing
A Central Administrativa do Active Directory fornece uma GUI para criar e gerenciar Objetos Configurao
de Senha. Para gerenciar Objetos Configurao de Senha na Central Administrativa do Active Directory,
siga as seguintes etapas:
1.
2.
3.
4.
5.
Preencha ou edite os campos na pgina de propriedades para criar um novo Objeto Configurao
de Senha.
6.
7.
Isso associa o objeto de Poltica de Senha aos membros do grupo global que foi criado no ambiente
de teste.
8.
Qualquer Objeto Configurao de Senha que voc vincula diretamente a um objeto de usurio
o Objeto Configurao de Senha resultante. Se voc vincular vrios Objetos Configurao de
Senha diretamente ao objeto de usurio, o Objeto Configurao de Senha com o valor msDSPasswordSettingsPrecedence mais baixo o Objeto Configurao de Senha resultante. Se dois
Objetos Configurao de Senha tiverem a mesma precedncia, o Objeto Configurao de Senha com
a objectGUID matematicamente menor ser o PSO resultante.
2.
3.
4-15
Todos os objetos de usurio contm um novo atributo chamado msDS-ResultantPSO. Voc pode
usar esse atributo para ajudar a determinar o nome diferenciado do Objeto Configurao de Senha
que o AD DS aplica ao objeto de usurio. Se voc no vincular um Objeto Configurao de Senha ao
objeto de usurio, esse atributo no conter nenhum valor e a Poltica de Domnio Padro GPO conter
a poltica de senha efetiva.
Para exibir o efeito de uma poltica que o AD DS est aplicando a um usurio, abra o Usurios e
Computadores do Active Directory e no menu Exibir, verifique se Recursos Avanados est habilitada.
Abra as propriedades de uma conta de usurio. Voc pode exibir o atributo msDS-ResultantPSO na guia
Editor de Atributos, se a opo Mostrar Atributos Construdos tiver sido configurada nas opes Filtro.
Lio 3
A criao de contas de usurio para prover autenticao para aplicativos, servios de sistema e processos
em segundo uma prtica comum no ambiente do Windows. Historicamente, foram criadas contas
que foram frequentemente nomeadas para uso por um servio especfico. O Windows Server 2012
suporta objetos do tipo conta do AD DS chamados de contas de servio gerenciadas que facilitam
o gerenciamento de contas de servio e apresentam menos riscos para o seu ambiente.
Esta lio introduzir as contas de servio gerenciadas e a nova funcionalidade relacionada s contas
de servio gerenciadas no Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
4-17
Esforo de administrao adicional pode ser necessrio para gerenciar a senha de conta de servio
com segurana. Isso inclui tarefas como alterar a senha e resolver situaes que causam um bloqueio
de conta. As contas de servio tambm normalmente so configuradas para ter senhas que no
expiram, o que pode ir contra as polticas de segurana de sua organizao.
Pode ser difcil determinar onde uma conta baseada em domnio est sendo usada como uma conta
de servio. Uma conta de usurio padro pode ser usada para vrios servios em vrios servidores em
todo o ambiente. Uma tarefa simples, como alterar a senha, pode causar problemas de autenticao
para alguns aplicativos. importante saber onde e como uma conta de usurio padro est sendo
usada quando associada a um servio de aplicativo.
Esforo de administrao adicional pode ser necessrio para gerenciar o nome principal do servio
(SPN). O uso de uma conta de usurio padro pode requerer administrao manual do SPN.
Se a conta de logon do servio for alterada, o nome de computador ser alterado. Ou, se uma
propriedade de nome de host do DNS (sistema de nome de domnio) for modificada, os registros de
SPN talvez precisem ser modificados manualmente para refletir a alterao. Um SPN configurado
incorretamente causa problemas de autenticao com o servio do aplicativo.
O Windows Server 2012 suporta um objeto AD DS usado para facilitar o gerenciamento de conta de
servio, chamado de conta de servio gerenciada. Os tpicos a seguir fornecem informaes sobre os
requisitos e uso de contas de servio gerenciadas no Windows Server 2012.
Alternativamente, bastante comum que um aplicativo possa usar uma conta de domnio padro que
seja configurada especificamente para o aplicativo. No entanto, a desvantagem principal que voc
precisa gerenciar as senhas manualmente, o que aumenta o esforo de administrao.
Uma conta de servio gerenciada pode proporcionar a um aplicativo sua prpria conta exclusiva,
eliminando a necessidade de um administrador para administrar as credenciais da conta manualmente.
As contas de servio gerenciadas so armazenadas no AD DS como objetos msDSManagedServiceAccount. Essa classe herda aspectos estruturais da classe do Computador (que herda da
classe do Usurio). Isso permite que uma conta de servio gerenciada cumpra as funes de usurio,
como fornecer autenticao e contexto de segurana para um servio em execuo. Isso tambm
permite que uma conta de servio gerenciada use o mesmo mecanismo de atualizao de senha usado
por objetos Computador no AD DS, um processo que no requer interveno de usurio.
As contas de servio gerenciadas fornecem os seguintes benefcios para simplificar administrao:
Gerenciamento de senha automtico. Uma conta de servio gerenciada mantm sua prpria senha
automaticamente, inclusive alteraes de senha.
Para usar uma conta de servio gerenciada, o servidor que executa o servio ou aplicativo deve est sendo
executado no Windows Server 2008 R2 ou Windows Server 2012. Voc tambm precisa verificar se o
.NET Framework 3.5.x e o Mdulo Active Directory para Windows PowerShell esto instalados no servidor.
Observao: Uma conta de servio gerenciada padro no pode ser compartilhada entre
vrios computadores ou ser usada em clusters de servidores onde o servio replicado entre ns.
Para simplificar e fornecer senha totalmente automtica e gerenciamento SPN, ns recomendamos que o
domnio AD DS fique no nvel funcional do Windows Server 2008 R2 ou superior. Porm, se voc tiver um
controlador de domnio executando o Windows Server 2008 ou o Windows Server 2003, poder
atualizar o esquema do Active Directory para o Windows Server 2008 R2 para suportar esse recurso. A
nica desvantagem que o administrador de domnio deve configurar os dados de SPN manualmente
para as contas de servio gerenciadas.
Para atualizar o esquema no Windows Server 2008, Windows Server 2003 ou ambientes de modo misto,
voc deve executar as seguintes tarefas:
1.
2.
Implante um controlador de domnio que esteja executando o Windows Server 2008 R2, o Windows
Server 2008 com o Active Directory Management Gateway Service ou o Windows Server 2003 com o
Active Directory Management Gateway Service.
4-19
No Windows 2012, as contas de servio gerenciadas so criadas como tipo de objeto da conta de servio
gerenciada do novo grupo por padro. No entanto, para acomodar isso, voc deve cumprir um dos
requisitos para Contas de Servio Gerenciadas de grupo para poder criar qualquer Conta de Servio
Gerenciada em um controlador de domnio do Windows 2012.
Em um controlador de domnio do Windows 2012, uma chave raiz de servios de distribuio principal
deve ser criada para o domnio para que qualquer Conta de Servio Gerenciada possa ser criada. Para
criar a chave raiz, execute o seguinte cmdlet a partir do Mdulo Active Directory PowerShell para o
Windows PowerShell:
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
Mais informaes sobre Conta de Servio Gerenciado de grupo, incluindo mais explicao sobre o cmdlet
acima, e sobre a criao de uma chave raiz KDS (Servios de Distribuio de Chave) podem ser
encontradas mais adiante nesta lio.
Add-KDSRootkey criar a chave raiz KDS para suportar contas de servio gerenciadas de grupo, um
requisito no Windows Server 2012 DCs:
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
Etapas da demonstrao
Criar a chave raiz KDS (Servios de Distribuio de Chave) para o domnio
1.
2.
2.
3.
4.
Use o cmdlet Get- ADServiceAccount para exibir a nova conta de servio gerenciada criada e
confirmar a configurao adequada.
1.
Em LON-SVR1, abra o console Console do Mdulo Active Directory para Windows PowerShell.
2.
3.
4.
Abra as pginas Propriedades para o servio Identidade de Aplicativo e selecione a guia Fazer logon.
5.
4-21
Para suportar a funcionalidade de conta de servio gerenciada de grupo, o seu ambiente deve atender os
seguintes requisitos:
Pelo menos um controlador de domnio deve estar executando o Windows Server 2012 para
armazenar informaes de senha gerenciada.
Uma chave raiz KDS deve ser criada em um controlador de domnio no domnio.
Para criar a chave raiz KDS, execute o comando a seguir a partir do Mdulo Active Directory para
Windows PowerShell em um controlador de domnio do Windows Server 2012:
Add-KdsRootKey EffectiveImmediately
Em um controlador de domnio do Windows Server 2012, crie uma nova conta de servio
gerenciada usando o cmdlet New-ADServiceAccount com o parmetro
PrinicipalsAllowedToRetrieveManagedPassword. Esse parmetro aceita uma ou mais contas de
computador separadas por vrgulas ou grupos do AD DS que possuem permisso para obter informaes
de senha para a conta de servio gerenciada de grupo que est armazenada no AD DS nos controladores
de domnio do Windows Server 2012.
Por exemplo, o cmdlet a seguir criar uma nova conta de servio gerenciada de grupo chamada SQLFarm
e habilitar os hosts LON-SQL1, LON-SQL2 e LON-SQL3 para usar a conta de servio gerenciada de
grupo:
New_ADServiceAccount Name LondonSQLFarm PrincipalsAllowedToRetrieveManagedPassword LONSQL1, LON-SQL2, LON-SQL3
4-23
A. Datum uma empresa global de engenharia e manufatura com sede em Londres, Reino Unido. Um
escritrio de TI e um data center esto localizados em Londres para dar suporte ao escritrio de Londres
e a outros locais. O A. Datum implantou um servidor Windows Server 2012 e a infraestrutura de cliente
recentemente e precisa implementar as alteraes sobre como as contas de usurio so gerenciadas no
ambiente.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: Tempo estimado: 45 minutos
Mquina virtual
20411B-LON-DC1
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
b.
Senha: Pa$$w0rd
O A. Datum concluiu uma reviso de segurana recentemente para senhas e polticas de bloqueio de
conta. Voc precisa implementar as recomendaes contidas no relatrio para controlar a complexidade
e o comprimento de senha. Voc tambm precisa configurar as configuraes de bloqueio de conta
apropriadas. Parte de sua configurao de poltica de senha incluir uma poltica de senha especfica a ser
atribuda ao grupo de segurana de Gerenciadores. Esse grupo requer uma poltica de senha diferente da
que foi aplicada ao nvel de domnio.
O relatrio recomendou que as seguintes configuraes de senha devem ser aplicadas a todas as contas
no domnio:
O relatrio tambm recomendou que uma poltica separada seja aplicada a usurios nos grupos
Gerenciadores, devido aos privilgios elevados atribudos a essas contas de usurio. A poltica aplicada
ao grupos Gerenciadores deve conter as seguintes configuraes:
Durao do bloqueio de conta: 0 minutos (Um administrador ter que desbloquear a conta)
2.
3.
2.
3.
2.
4.
4-25
2.
3.
Na Central Administrativa do Active Directory, configure uma poltica de senha refinada para o grupo
ADATUM\Gerenciadores com as seguintes configuraes:
o
Nome: ManagersPSO
Precedncia: 10
Resultados: Aps concluir esse exerccio, voc ter configurado a poltica de senha e as configuraes de
bloqueio de conta.
Voc precisa configurar uma conta de servio gerenciada para suportar um novo aplicativo baseado
na Web que est sendo implantado no servio Web DefaultAppPool em LON-DC1. O uso de uma conta
de servio gerenciada ajudar a manter os requisitos de segurana de senha da conta.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
Crie uma chave raiz KDS usando o cmdlet Add-KdsRootKey. Defina a hora efetiva menos 10 horas,
de forma que a chave ficar efetiva imediatamente.
3.
4.
5.
2.
3.
4.
Quando voc terminar o laboratrio, reverta as mquinas virtuais para o estado inicial.
Resultados: Aps ter concludo esse exerccio, voc ter criado e associado uma conta de servio
gerenciada.
Ferramentas
Ferramenta
Onde encontrar
4-27
Importando e exportando os
usurios usando arquivos .csv
Prompt de comando:
csvde.exe
LDIFDE
Importando, exportando e
modificando usurios usando
arquivos .ldf
Prompt de comando:
ldifde.exe
Definindo configuraes de
poltica de conta local
Secpol.msc
Console de Gerenciamento de
Poltica de Grupo
Definindo configuraes de
poltica de conta de poltica
de grupo de domnio
Centro Administrativo do
Active Directory
Mdulo 5
5-1
5-2
5-11
5-18
5-34
5-42
5-49
Poltica de Grupo fornece uma infraestrutura na qual voc pode definir configuraes centralmente e
implant-las aos usurios e aos computadores em sua empresa. Em um ambiente gerenciado por uma
infraestrutura de Poltica de Grupo bem-implementada, uma parte muito pequena da configurao feita
diretamente por um administrador no computador de um usurio. Voc pode definir, aplicar e atualizar a
configurao inteira usando as configuraes em GPOs (Objetos de Poltica de Grupo) ou filtragem de
GPOs. Por meio de configuraes de GPO, voc pode afetar um site ou um domnio inteiro de uma
empresa ou limitar seu foco a uma nica UO (unidade organizacional). Este mdulo detalhar o que
Poltica de Grupo, como ela funciona e qual a melhor forma de implement-la em sua organizao.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Definir o escopo dos GPOs usando links, grupos de segurana, filtros WMI (Instrumentao de
Gerenciamento do Windows ), processamento de loopback e direcionamento de preferncias.
Localizar os logs de eventos que contm eventos relacionados a Poltica de Grupo e solucionam
problemas na aplicao de Poltica de Grupo.
Lio 1
5-2
Uma infraestrutura de Poltica de Grupo tem vrios componentes interativos, e voc precisa entender o que
cada um faz, como eles trabalham juntos e como voc pode mont-los em configuraes diferentes. Esta
lio fornece uma viso geral abrangente dos componentes, procedimentos e funes da Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever GPOs.
Poltica de Grupo uma estrutura dentro do Windows - com componentes que residem no AD DS
(Servios de Domnio Active Directory, em controladores de domnio e em cada servidor e cliente
Windows - que permite gerenciar a configurao em um domnio do AD DS.
5-3
Uma Poltica de Grupo gerencia vrias configuraes de poltica, e a estrutura de Poltica de Grupo
extensvel. No final, voc pode gerenciar quase qualquer definio configurvel com a Poltica de Grupo.
No Editor de Gerenciamento de Poltica de Grupo, voc pode definir uma configurao de poltica
clicando nela duas vezes. A caixa de dilogo Propriedades da configurao de poltica exibida. Uma
configurao de poltica pode ter trs estados: No Configurado, Habilitado e Desabilitado.
Em um novo GPO, o padro de todas as configuraes de poltica No Configurado. Isso significa que
o GPO no pode modificar a configurao existente da configurao em questo de um usurio ou um
computador. Se voc habilitar ou desabilitar uma configurao de poltica, ser feita uma alterao na
configurao de usurios e computadores aos quais o GPO est aplicado. Ao restaurar o valor No
Configurado de uma configurao, voc recupera seu valor padro.
O efeito da alterao depende da configurao de poltica. Por exemplo, se voc habilitar a configurao
de poltica Impedir Acesso a Ferramentas de Edio do Registro, os usurios no podero iniciar o
Editor do Registro, o Regedit.exe. Se voc desabilitar a configurao de poltica, assegurar que os
usurios possam iniciar o Editor do Registro. Observe o duplo aspecto negativo desta configurao de
poltica: Voc desabilita uma poltica que impede uma ao, portanto, voc permite a execuo da ao.
Algumas configuraes de poltica agrupam vrias configuraes em uma poltica, e podem requerer
parmetros adicionais.
Observao: Muitas configuraes de poltica so complexas, e o efeito de habilit-las ou
desabilit-las pode no ser bvio. Alm disso, algumas configuraes de poltica s afetam
determinadas verses do sistema operacional Windows. Revise o texto explicativo de uma
configurao de poltica no painel de detalhes do Editor de Gerenciamento de Poltica de Grupo
ou na guia Explicar da caixa de dilogo Propriedades da configurao de poltica. Alm disso,
sempre teste os efeitos de uma configurao de poltica e suas interaes com outras
configuraes de poltica antes de implantar uma alterao em seu ambiente de produo.
Implantao de software
Polticas de Grupo permitem implantar software a usurios e computadores. Voc pode usar Poltica de
Grupo para implantar todos os aplicativos de software que esto no formato de .msi. Alm disso, voc
pode aplicar instalao de software automtica ou deixar que seus usurios decidam se desejam que o
software seja implantado em suas mquinas.
Observao: A implantao de pacotes grandes com GPOs pode no ser o modo mais
eficiente de distribuir um aplicativo nos computadores de sua organizao. Em muitas
circunstncias, pode ser mais eficaz distribuir os aplicativos como parte da imagem de
computador desktop.
5-4
5-5
Com o redirecionamento de pasta, voc pode gerenciar e fazer backup de dados com rapidez e
facilidade. Ao redirecionar pastas, voc tambm assegura que os usurios tenham acesso aos dados
independentemente do computador no qual eles entrem. Alm disso, possvel centralizar os dados de
todos os usurios em um local no servidor de rede, fornecendo, ao mesmo tempo, uma experincia ao
usurio que semelhante ao armazenamento dessas pastas em computadores. Por exemplo, voc pode
configurar o redirecionamento para redirecionar as pastas Documentos dos usurios para uma pasta
compartilhada em um servidor de rede.
O uso de Poltica de Grupo permite configurar vrias configuraes de rede em computadores clientes.
Por exemplo, possvel aplicar configuraes para redes sem fio para que os usurios s possam se
conectar a identificadores SSID, e com autenticao predefinida e configuraes de criptografia. Voc
tambm pode implantar polticas que se aplicam a configuraes de rede com fio, alm de configurar
servios no lado do cliente, como a NAP (Proteo de Acesso Rede).
Para criar um novo GPO em um domnio, clique com o boto direito do mouse no continer Objetos de
Poltica de Grupo e, em seguida, clique em Novo.
Para modificar as configuraes em um GPO, clique com o boto direito do mouse no GPO e, em
seguida, clique em Editar. O snap-in do Editor de Gerenciamento de Poltica de Grupo aberto.
Escopo do GPO
A configurao definida por configuraes de
poltica em GPOs. No entanto, as alteraes de
configurao em um GPO no afetaro os
computadores nem os usurios de sua
organizao at que voc especifique os
computadores ou os usurios aos quais o GPO se
aplicar. Isso denominado definio do escopo
de um GPO. O escopo de um GPO a coleo de
usurios e computadores que aplicaro as
configuraes no GPO.
5-6
Voc pode limitar ainda mais o escopo do GPO com um dos dois tipos de filtros. Filtros de Segurana
especificam grupos de segurana que esto inseridos no escopo do GPO, mas aos quais o GPO deve ou
no ser aplicado explicitamente. Filtros WMI especificam um escopo usando caractersticas de um sistema,
como verso de sistema operacional ou espao livre em disco. Use filtros de segurana e WMI para limitar
ou especificar o escopo dentro do escopo inicial criado pelo link de GPO.
Observao: O Windows Server 2008 introduziu um novo componente de Poltica de
Grupo: Preferncias de Poltica de Grupo. As configuraes definidas por Preferncias de Poltica
de Grupo em um GPO podem ser filtradas ou direcionadas com base em vrios critrios. As
preferncias direcionadas permitem refinar ainda mais o escopo de preferncias um nico GPO.
5-7
Na realidade, voc pode configurar o comportamento das CSEs usando Poltica de Grupo. A maioria das
CSEs s aplicar configuraes em um GPO se este tiver sido alterado. Esse comportamento aperfeioa o
processamento da poltica, eliminando aplicaes redundantes das mesmas configuraes. A maioria das
polticas aplicada de tal modo que os usurios padro no podem alterar a configurao no
computador - eles sempre estaro sujeitos configurao aplicada pela Poltica de Grupo. No entanto, os
usurios padro podem alterar algumas configuraes e muitas podem ser alteradas se um usurio for
um administrador no sistema em questo. Se os usurios em seu ambiente forem os administradores nos
respectivos computadores, voc dever considerar configurar CSEs para reaplicar configuraes de
poltica mesmo se o GPO no tiver sido alterado. Dessa forma, se um usurio administrativo alterar uma
configurao, e ela deixar de ser compatvel com a poltica, o seu estado compatvel ser restaurado na
prxima atualizao da Poltica de Grupo.
Observao: Voc pode configurar CSEs para reaplicar configuraes de poltica na
prxima atualizao em segundo plano, mesmo se o GPO no tiver sido alterado. Voc pode
faz-lo configurando um GPO cujo escopo foi definido nos computadores e, em seguida,
definindo as configuraes no n Configuraes do Computador\Polticas\Modelos
Administrativos\Sistema\ Poltica de Grupo. Para cada CSE que voc deseja configurar, abra sua
configurao de poltica de processamento de polticas, como o Processamento de Poltica do
Registro para a CSE do Registro. Clique em Habilitado e marque a caixa de seleo Processar
mesmo que os objetos de Poltica de Grupo no tenham mudado.
5-8
As configuraes de Poltica de Grupo, tambm conhecidas como polticas, esto inseridas em um GPO, e
voc pode visualiz-las e modific-las por meio do Editor de Gerenciamento de Poltica de Grupo. Esta
demonstrao aborda mais profundamente as categorias de configuraes disponveis em um GPO.
N Configuraes de Software
5-9
Configuraes de Software o primeiro n. Ele contm apenas a extenso Instalao de Software que
ajuda a especificar como os aplicativos so instalados e mantidos na sua organizao.
N Configuraes do Windows
N Scripts
N Configuraes de Segurana
Esse n de qualidade de servio (QoS), conhecido como n QoS Baseada em Poltica, define polticas
que gerenciam o trfego de rede. Por exemplo, voc pode querer garantir que os usurios no
departamento de finanas tenham prioridade para executar um aplicativo de rede crtico durante o
perodo de relatrio financeiro de final de ano. O n QoS Baseada em Poltica permite fazer isso.
N Modelos Administrativos
Nos ns Configurao do Computador e Configurao do Usurio, o n Modelos Administrativos
contm configuraes da Poltica de Grupo baseadas no Registro. H milhares dessas configuraes
disponveis para configurar o usurio e o ambiente de computador. Como administrador, voc pode
gastar uma quantidade significante de tempo manipulando essas configuraes. Para ajud-lo com as
configuraes, uma descrio de cada configurao de poltica est disponvel em dois locais:
Demonstration
Esta demonstrao mostra como:
1.
2.
3.
4.
Etapas da demonstrao
Use o GPMC para criar um novo GPO
1.
2.
3.
2.
3.
4.
Lio 2
5-11
Nesta lio, voc examinar GPOs em mais detalhes, aprender como criar, vincular, editar, gerenciar e
administrar GPOs e suas configuraes.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Este GPO vinculado ao domnio e no tem nenhum grupo de segurana nem filtros WMI. Portanto, ele
afeta todos os usurios e computadores no domnio, inclusive computadores que so controladores de
domnio. Este GPO contm configuraes de poltica que especificam senha, bloqueio de conta e polticas
de protocolo Kerberos verso 5. Voc no deve acrescentar configuraes de poltica no relacionadas a
este GPO. Se precisar definir outras configuraes para aplicar amplamente em seu domnio, crie GPOs
adicionais que se vinculem ao domnio.
Esse GPO vinculado UO dos controladores de domnio. Como as contas de computador para
controladores de domnio so mantidas exclusivamente na UO Controladores de Domnio, e outras contas
de computador devem ser mantidas em outras UOs, esse GPO s afeta controladores de domnio.
necessrio modificar o GPO Controladores de Domnio Padro para implementar suas polticas de
auditoria e atribuir os direitos de usurio necessrios em controladores de domnio.
Observao: Computadores Windows tambm tm GPOs locais que so usados quando
no esto conectados a ambientes de domnio. O Windows Vista, o Windows 7, o Windows 8, o
Windows Server 2008, o Windows Server 2008 R2 e o Windows Server 2012 do suporte ideia
de vrios GPOs locais. O GPO Computador Local igual ao GPO nas verses anteriores do
Windows. No n Configurao do Computador, voc pode definir todas as configuraes
relacionadas a computador. No n Configurao do Usurio, voc pode definir configuraes
que voc deseja aplicar a todos os usurios no computador. As configuraes de usurio no GPO
Computador Local podem ser modificadas pelas configuraes de usurio em dois novos GPOs
locais: Administradores e Usurios Sem Privilgios de Administrador. Esses dois GPOs aplicam
configuraes aos usurios conectados de acordo com o respectivo status, ou seja, se eles so
membros do grupo Administradores local, caso em que eles usariam o GPO Administradores, ou
no so membros do grupo Administradores e, portanto, usariam o GPO Usurios Sem Privilgios
de Administrador. Voc pode refinar ainda mais as configuraes do usurio com um GPO local
que se aplique a uma conta de usurio especfica. Os GPOs locais especficos ao usurio so
associados a contas de usurio locais, no do domnio.
importante entender que as configuraes de GPO baseado em domnio so combinadas com
as aplicadas usando GPOs locais, mas como os GPOs baseados em domnio so aplicados por
ltimo, eles tm precedncia sobre as configuraes de GPOs locais.
Armazenamento de GPO
As configuraes de Poltica de Grupo so
apresentadas como GPOs nas ferramentas de
interface do usurio do AD DS, mas, na realidade,
o GPO compreende dois componentes: um
continer e um modelo Poltica de Grupo.
5-13
Por padro, quando ocorre a atualizao da Poltica de Grupo, as CSEs s aplicam as configuraes a um
GPO se ele tiver sido atualizado.
O cliente de Poltica de Grupo pode identificar um GPO atualizado por seu nmero de verso. Cada GPO
tem um nmero de verso que incrementado a cada vez que feita uma alterao. O nmero de verso
armazenado como um atributo do continer Poltica de Grupo e em um arquivo de texto, o template.ini
Poltica de Grupo, na pasta do modelo Poltica de Grupo. O cliente de Poltica de Grupo sabe o nmero
de verso de cada GPO aplicado anteriormente. Se, durante a atualizao de Poltica de Grupo, o cliente
descobrir que o nmero de verso do continer Poltica de Grupo foi alterado, as CSEs sero informadas
que o GPO foi atualizado.
Replicao de GPO
O continer e o modelo Poltica de Grupo so replicados entre todos os controladores de domnio
no AD DS. No entanto, so usados mecanismos de replicao diferentes para esses dois itens.
O continer Poltica de Grupo no AD DS replicado pelo DRA (Agente de Replicao Diretrio). O DRA
usa uma topologia gerada pelo KCC (Knowledge Consistency Checker), que voc pode definir ou refinar
manualmente. O resultado que o continer Poltica de Grupo replicado em segundos em todos os
controladores de domnio em um site e replicado entre sites com base em sua configurao de
replicao entre sites.
O modelo Poltica de Grupo no SYSVOL replicado usando um das duas tecnologias a seguir. O FRS
(Servio de Replicao de Arquivos) usado para replicar o SYSVOL em domnios nos quais so
executados o Windows Server 2008, o Windows Server 2008 R2, o Windows Server 2003 e o
Windows 2000. Se todos os controladores de domnio estiverem executando o Windows Server 2008
ou mais recente, voc poder configurar a replicao do SYSVOL usando a Replicao DFS (Sistema de
Arquivos Distribudo), que um mecanismo muito mais eficiente e robusto.
Como o continer e o modelo Poltica de Grupo so replicados separadamente, possvel que eles
fiquem fora de sincronizao por um curto perodo.
GPOs de Incio
Um GPO de Incio usado como um modelo do
qual criar outros GPOs no GPMC. Os GPOs de
Incio podem conter apenas configuraes de
Modelos Administrativos. Voc pode usar um GPO
de Incio para fornecer um ponto de partida para
novos GPOs criados em seu domnio. O GPO de
Incio j pode conter configuraes especficas
que so prticas recomendadas para seu
ambiente. GPOs de Incio podem ser exportados e
importados de arquivos de gabinete (.cab) para
tornar a distribuio a outros ambientes simples e
eficiente.
O GPMC armazena GPOs de Incio em uma pasta denominada StarterGPOs, localizada no SYSVOL.
GPOs de Incio pr-configurados da Microsoft esto disponveis para sistemas operacionais cliente
Windows. Esses GPOs de Incio contm configuraes de Modelo Administrativo que refletem as prticas
recomendadas da Microsoft para a configurao do ambiente de cliente.
Backup de GPOs
Voc pode importar configuraes de poltica de um GPO em outro. A importao de um GPO permite
transferir configuraes de um GPO includo no backup para um GPO existente. A importao de um GPO
transfere s as configuraes do GPO. O processo de importao no importa links de GPO. Talvez seja
necessrio migrar as entidades de segurana definidas na origem para o destino.
Observao: No possvel mesclar configuraes importadas com as configuraes
do GPO de destino atuais. As configuraes importadas substituiro todas as configuraes
existentes.
Cpia de GPOs
5-15
Voc pode copiar GPOs usando o GPMC, ambos no mesmo domnio e entre domnios. Uma operao de
cpia copia um GPO ativo existente no domnio de destino desejado. Um novo GPO sempre criado
durante esse processo. O novo GPO denominado "cpia de OldGPOName". Por exemplo, se voc copiar
um GPO denominado "rea de Trabalho", a nova verso ser denominada "Cpia de rea de Trabalho".
Depois que o arquivo copiado e colado no continer Objetos de Poltica de Grupo, voc pode renomear
a poltica. O domnio de destino pode ser qualquer domnio confivel no qual voc tenha os direitos para
criar novos GPOs. Durante a cpia entre domnios, possvel que as entidades de segurana definidas na
origem precisem ser migradas para o destino.
Observao: No possvel copiar configuraes de vrios GPOs em um nico GPO.
Tabelas de migrao
Ao importar GPOs ou copi-los entre domnios, voc pode usar tabelas de migrao para modificar
referncias no GPO que precisem ser ajustadas para o novo local. Por exemplo, voc pode precisar
substituir o caminho UNC para redirecionamento de pasta por um caminho UNC adequado para o novo
grupo de usurios ao qual o GPO ser aplicado. Voc pode criar tabelas de migrao antes desse
processo ou cri-las durante a importao ou a operao de cpia entre domnios.
Criao de GPOs
Edio de GPOs
Leitura de dados de Resultados de Poltica de Grupo para objetos em um determina domnio ou uma UO
O grupo Proprietrios Criadores de Poltica de Grupo permite que seus membros criem novos GPOs e
editem ou excluam GPOs criados por eles.
Administradores de Domnio
Administradores de Empresa
Proprietrio Criador
Sistema Local
Criao de GPOs
Conceder explicitamente ao grupo ou ao usurio a permisso para criar GPOs com o GPMC.
Edio de GPOs
Para editar um GPO, o usurio deve ter acesso para Leitura e Gravao ao GPO. Voc pode conceder essa
permisso usando o GPMC.
Voc pode delegar a capacidade de usar as ferramentas de relatrio da mesma forma, por meio do GPMC
ou da Delegao do Assistente de Controle em Usurios e Computadores do Active Directory.
Nome de cmdlet
Descrio
5-17
New-GPO
New-GPLink
Backup-GPO
Restore-GPO
Copy-GPO
Copia um GPO
Get-GPO
Import-GPO
Set-GPInheritance
O cdigo a seguir importa as configuraes do GPO Sales includo no backup e armazenado na pasta
C:\Backups para o GPO NewSales.
import-gpo - BackupGpoName Sales - TargetName NewSales -path c:\backups
Lio 3
Um GPO , por si s, uma coleo de instrues de configurao que sero processadas pelas CSEs
de computadores. At que o escopo do GPO seja definido, ele no aplicado a nenhum usurio ou
computador. O escopo do GPO determina as CSEs das quais os computadores recebero e processaro
o GPO, e somente os computadores ou os usurios dentro do escopo de um GPO aplicaro as
configuraes nesse GPO. Nesta lio, voc aprender a gerenciar o escopo de um GPO. Os mecanismos
a seguir so usados para definir um escopo:
Filtros WMI
Direcionamento de preferncias
Voc deve ter a capacidade de definir os usurios ou os computadores nos quais planeja implantar essas
configuraes. Consequentemente, necessrio dominar a arte de definir o escopo de GPOs. Nesta lio,
voc aprender cada um dos mecanismos que permitem definir o escopo de um GPO e, no processo,
dominar os conceitos de herana, precedncia e aplicao de Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Links de GPO
Voc pode vincular um GPO a um ou mais sites do
AD DS, domnios ou UOs. Depois de vincular um
GPO, os usurios ou os computadores inseridos no
continer em questo estaro dentro do escopo
do GPO, inclusive os computadores e os usurios
em UOs filho.
Vinculao de um GPO
Para vincular um GPO:
5-19
Se voc ainda no criou um GPO, clique em Criar um GPO neste {Domnio | UO | Site} e Fornecer
um Link para Ele Aqui.
Voc pode escolher os mesmos comandos para vincular um GPO a um site, mas, por padro, seus sites do
AD DS no ficam visveis no GPMC. Para mostrar sites no GPMC, clique com o boto direito do mouse em
Sites na rvore de console do GPMC e, em seguida, clique em Mostrar Sites.
Observao: Um GPO vinculado a um site afeta todos os computadores no site, sem levar
em conta o domnio ao qual os computadores pertenam, desde que todos os computadores
pertenam mesma floresta do Active Directory. Portanto, quando um GPO vinculado a um
site, esse GPO pode ser aplicado a vrios domnios dentro de uma floresta. Os GPOs vinculados a
site so armazenados em controladores no domnio no qual o GPO criado. Portanto, os
controladores do domnio em questo devero ser acessveis para que os GPOs vinculados a site
sejam aplicados corretamente. Se voc implementar polticas vinculadas a site, dever considerar
a aplicao de polticas ao planejar sua infraestrutura de rede. Voc pode colocar um controlador
do domnio do GPO no site ao qual a poltica est vinculada ou garantir que uma conectividade
de WAN fornea acessibilidade a um controlador no domnio do GPO.
Ao vincular um GPO a um continer, voc define o escopo inicial do GPO. Selecione um GPO e, em
seguida, clique na guia Escopo para identificar os contineres aos quais o GPO est vinculado. No painel
de detalhes do GPMC, os links de GPO so exibidos na primeira seo da guia Escopo.
O impacto dos links do GPO ser que o Cliente de Poltica de Grupo baixar o GPO se o computador ou os
objetos de usurio estiverem no escopo do link. O GPO s ser baixado se ele for novo ou atualizado.
O Cliente de Poltica de Grupo armazena o GPO em cache para tornar a atualizao de poltica mais
eficiente.
Voc pode vincular um GPO a mais de um site ou uma UO. Por exemplo, comum aplicar configurao a
computadores em vrias UOs. Voc pode definir a configurao em um nico GPO e, em seguida, vincular
esse GPO a cada UO. Se posteriormente voc alterar as configuraes no GPO, suas alteraes sero
aplicadas a todas as UOs s quais o GPO estiver vinculado.
Para excluir um link de GPO, clique nele com o boto direito do mouse na rvore de console do
GPMC e, em seguida, clique em Excluir.
A excluso de um link de GPO no exclui o GPO em si, que permanece no continer de GPO em questo.
No entanto, a excluso do link altera o escopo do GPO, de forma que ele no se aplique mais aos
computadores e aos usurios dentro do objeto de continer vinculado anteriormente.
Voc tambm pode modificar um link de GPO desabilitando o seguinte:
Para desabilitar um link de GPO, clique nele com o boto direito do mouse na rvore de console do
GPMC e, em seguida, desmarque a opo Vnculo Habilitado.
A desativao do link tambm altera o escopo do GPO de forma que ele no se aplique mais aos
computadores e aos usurios inseridos no continer em questo. No entanto, o link permanece para que
voc possa reabilit-lo com facilidade.
Etapas da demonstrao
Criao e edio de dois GPOs
1.
2.
Crie dois novos GPOs chamados Remover Comando Executar e No Remover Comando Executar.
3.
Vincule o GPO Remover Comando Executar ao domnio. Agora, o GPO Remover Comando Executar
est anexado ao domnio Adatum.com.
2.
Vincule o GPO No Remover Comando Executar UO IT. Agora, o GPO No Remover Comando
Executar est anexado UO IT.
3.
Exiba a herana de GPO na UO IT. A guia Herana de Poltica de Grupo mostra a ordem de
precedncia dos objetos de Poltica de Grupo.
5-21
1.
2.
2.
Habilite o GPO Remover Comando Executar no domnio Adatum.com. Atualize o painel Herana de
Poltica de Grupo da UO IT e, em seguida, observe os resultados no painel direito.
2.
Polticas de grupo de site. As polticas vinculadas a sites so processadas em seguida. Se houver vrias
polticas de site, elas sero processadas de forma sncrona na ordem de preferncia listada.
3.
4.
Polticas de grupo de UO. As polticas vinculadas a OUs de nvel superior so processadas em quarto
lugar. Se houver vrias polticas de UO de nvel superior, elas sero processadas de forma sncrona na
ordem de preferncia listada.
5.
Polticas de grupo de UO filho. As polticas vinculadas a OUs filho so processadas em quinto lugar.
Se houver vrias polticas de UO filho, elas sero processadas de forma sncrona na ordem de
preferncia listada. Quando houver vrios nveis de OUs filho, as polticas de UOs de nvel superior
sero aplicadas primeiro, e as polticas de UOs de nvel inferior sero aplicadas em seguida.
Na aplicao de Poltica de Grupo, a regra geral que a ltima poltica aplicada tem precedncia. Por
exemplo, uma poltica que restringe o acesso ao Painel de Controle aplicada no nvel de domnio pode ser
revertida por uma poltica aplicada no nvel da UO para os objetos contidos nessa UO especfica.
Se voc vincular vrios GPOs a uma UO, o processamento deles ocorrer na ordem que o administrador
especificar na guia Objetos de Poltica de Grupo Vinculados no GPMC.
Por padro, o processando habilitado para todos os links de GPO. Voc pode desabilitar o link de GPO
de um continer para bloquear a aplicao de um GPO completamente para um determinado site, um
domnio ou uma UO. Observe que se o GPO estiver vinculado a outros contineres, eles continuaro a
processar o GPO se os respectivos links forem habilitados.
Voc tambm pode desabilitar a configurao do usurio ou do computador de um GPO especfico
independente do usurio ou do computador. Se uma determinada seo de uma poltica estiver vazia, a
desativao do outro lado agilizar o processamento de poltica. Por exemplo, se voc tiver uma poltica
que s entregue configurao da rea de trabalho do usurio, poder desabilitar o lado do computador
da poltica.
Quando uma configurao de poltica habilitada ou desabilitada em um GPO com precedncia mais
alta, a configurao definida entra em vigor. Porm, lembre-se que configuraes de poltica so
definidas como No Configurado, por padro. Se uma configurao de poltica no for definida em um
GPO com precedncia mais alta, a configurao de poltica (habilitada ou desabilitada) em um GPO com
precedncia inferior entrar em vigor.
Voc pode vincular mais de um GPO a um objeto de continer do AD DS. A ordem de link de GPOs
determina a precedncia de GPOs nesse cenrio. Os GPOs com uma ordem de link mais alta tem
precedncia sobre GPOs com uma ordem de link inferior. Quando voc seleciona um UO no GPMC, a guia
Objetos de Poltica de Grupo Vinculados mostra a ordem de link de GPOs vinculados UO em questo.
O comportamento padro de Poltica de Grupo que GPOs vinculados a um continer de nvel mais alto
so herdados por contineres de nvel inferior. Quando um computador inicializado ou um usurio faz
logon, o Cliente de Poltica de Grupo examina o local do objeto de usurio ou computador no AD DS e
avalia os GPOs com escopos que incluem o computador ou o usurio. Em seguida, as CSEs aplicam
configuraes de poltica desses GPOs. As polticas so aplicadas em sequncia, comeando com as
polticas vinculadas ao site, seguidas pelas vinculadas ao domnio, depois as vinculadas a UOs - da UO de
nvel superior para a UO na qual existe o usurio ou o objeto de computador. Trata-se de uma aplicao
de configuraes em camadas, portanto, um GPO que aplicado posteriormente no processo devido
sua precedncia substitui as configuraes aplicadas anteriormente no processo.
5-23
A aplicao sequencial de GPOs cria um efeito chamado herana de poltica. As polticas so herdadas,
portanto, o conjunto resultante de Polticas de Grupo para um usurio ou um computador ser o efeito
cumulativo das polticas de site, de domnio e de UO.
Por padro, os GPOs herdados tm uma precedncia menor do que os GPOs vinculados diretamente ao
continer. Por exemplo, voc pode definir uma configurao de poltica para desabilitar o uso de
ferramentas de edio do Registro para todos os usurios no domnio definindo-a em um GPO vinculado
ao domnio. Esse GPO, juntamente com sua configurao de poltica, herdado por todos os usurios do
domnio. No entanto, provvel que voc deseje que os administradores possam usar ferramentas de
edio do Registro, portanto, voc vincular um GPO UO que contm as contas dos administradores e,
em seguida, definir a configurao de poltica para permitir o uso de ferramentas de edio do Registro.
Como o GPO vinculado UO dos administradores tem precedncia mais alta do que o GPO herdado, os
administradores podero usar ferramentas de edio do Registro.
2.
3.
Selecione o GPO.
4.
Use as setas Para Cima, Para Baixo, Mover para o Incio e Mover para Baixo para alterar a ordem
de link do GPO selecionado.
Bloqueio da Herana
Voc pode configurar um domnio ou uma UO para impedir a herana de configuraes de poltica. Isso
conhecido como bloqueio de herana. Para bloquear a herana, clique com o boto direito do mouse no
domnio ou na UO na rvore de console do GPMC e, em seguida, selecione Bloquear Herana.
A opo Bloquear Herana uma propriedade de um domnio ou uma UO, portanto, ela bloqueia todas
as configuraes de Poltica de Grupo dos GPOs vinculados a pais na hierarquia de Poltica de Grupo. Por
exemplo, quando voc bloqueia a herana em uma UO, a aplicao de GPOs comea com qualquer GPO
vinculado diretamente a essa UO. Portanto, nos GPOs vinculados a OUs de nvel mais alto, o domnio ou o
site no se aplicar.
Voc deve ser criterioso ao usar a opo Bloquear Herana porque o bloqueio da herana dificulta a
avaliao da precedncia e da herana da Poltica de Grupo. Com filtros de grupo de segurana,
possvel definir com cuidado o escopo de um GPO, para que ele se aplique apenas aos usurios e aos
computadores corretos no primeiro local, tornando desnecessrio usar a opo Bloquear Herana.
Alm disso, voc pode definir um link de GPO para ser Imposto. Para impor um link de GPO, clique com
o boto direito do mouse no link de GPO na rvore de console e, em seguida, selecione Imposto no
menu de contexto.
Quando um link de GPO definido como Imposto, o GPO assume o nvel mais alto de precedncia, e as
configuraes de poltica nesse GPO prevalecero sobre quaisquer configuraes de poltica conflitantes
em outros GPOs. Alm disso, um link que imposto se aplicar a contineres filho mesmo quando esses
contineres esto definidos como Bloquear Herana. A opo Imposto faz com que a poltica seja
aplicada a todos os objetos dentro de seu escopo. A opo Imposto far com que as polticas substituam
todas as polticas conflitantes, e elas sero aplicadas, esteja ou no definida a opo Bloquear Herana.
A imposio til quando voc precisa configurar um GPO que defina uma configurao exigida por suas
polticas de uso e segurana de IT corporativas. Portanto, voc deseja assegurar que outros GPOs no
substituam essas configuraes. Voc pode fazer isto impondo o link do GPO.
Avaliao da precedncia
Para facilitar a avaliao da precedncia de GPOs, basta selecionar uma UO (ou um domnio) e, em
seguida, clicar na guia Herana de Poltica de Grupo. Essa guia exibir a precedncia resultante dos
GPOs, discriminando o link de GPO, a ordem de link, o bloqueio de herana e a imposio de link. Essa
guia no discrimina as polticas vinculadas a um site, to pouco a segurana de GPO e os filtros WMI.
Cada GPO tem uma ACL que define as permisses ao GPO. necessrio ter duas permisses, Permitir
Leitura e Permitir Aplicar Poltica de Grupo, para que um GPO seja aplicado a um usurio ou um
computador. Por exemplo, se o escopo de um GPO for definido para um computador por seu link UO
do computador, mas o computador no tiver as permisses de Leitura e Aplicar Poltica de Grupo, o GPO
no ser baixado nem aplicado. Dessa forma, ao definir as permisses apropriadas para grupos de
segurana, voc pode filtrar um GPO de forma que suas configuraes se apliquem somente aos
computadores e aos usurios especificados.
5-25
Por padro, Usurios Autenticados recebem a permisso Permitir Aplicar Poltica de Grupo em cada novo
GPO. Isso significa que, por padro, todos os usurios e computadores so afetados pelos GPOs definidos
para seus respectivos domnio, site ou UO, independentemente dos outros grupos dos quais eles possam
ser membros. Portanto, h dois modos de filtrar o escopo de um GPO:
Remova a permisso Aplicar Poltica de Grupo (atualmente definida como Permitir) para o grupo
Usurios Autenticados, mas no defina essa permisso como Negar. Em seguida, determine os grupos
aos quais o GPO dever ser aplicado e defina as permisses de Leitura e Aplicar Poltica de Grupo
para esses grupos como Permitir.
Determine os grupos aos quais o GPO no dever ser aplicado e defina a permisso Aplicar Poltica
de Grupo para esses grupos como Negar. Se voc negar a permisso Aplicar Poltica de Grupo a um
GPO, o usurio ou o computador no aplicar as configuraes do GPO, mesmo se ele for membro
de outro grupo no qual foi concedida a permisso Aplicar Poltica de Grupo.
2.
3.
4.
Clique em Adicionar.
5.
A guia Escopo de um GPO no permite excluir grupos especficos. Para excluir um grupo, ou seja, negar a
permisso Aplicar Poltica de Grupo, necessrio usar a guia Delegao.
Para negar a um grupo a permisso Aplicar Poltica de Grupo:
1.
2.
3.
4.
5.
Selecione o grupo que voc deseja excluir do GPO. Lembre-se que ele deve ser um grupo global. O
escopo de um GPO no pode ser filtrado por grupos locais de domnio.
6.
Clique em OK. Por padro, a permisso Permitir Leitura concedida ao grupo selecionado.
7.
8.
9.
Clique em OK. Voc ser avisado que permisses Negar substituem outras permisses. Como as
permisses Negar substituem as permisses Permitir, recomendamos que voc as use com critrio. O
Microsoft Windows lembra voc dessa prtica recomendada com a mensagem de aviso. O processo
para excluir grupos com a permisso Negar Aplicar Poltica de Grupo muito mais trabalhoso do que
o processo para incluir grupos na seo Filtros de Segurana da guia Escopo.
Quando o Cliente de Poltica de Grupo avalia GPOs baixados para determinar quais devem ser entregues
s CSEs para processamento, ele executa a consulta no sistema local. Se o sistema atender aos critrios da
consulta, o resultado da consulta ser um Verdadeiro lgico, e as CSEs processaro o GPO.
A WMI expe namespaces dentro dos quais h classes que podem ser consultadas. Muitas classes teis,
inclusive Win32_Operating System, so encontradas em uma classe denominada root\CIMv2.
Para criar um filtro WMI:
1.
Clique com o boto direito do mouse no n Filtros WMI na rvore de console do GPMC e, em
seguida, clique em Novo. Digite um nome e uma descrio para o filtro e, em seguida, clique no
boto Adicionar.
2.
3.
4.
Clique em OK.
2.
3.
5-27
Voc pode filtrar um GPO com apenas um filtro WMI, mas pode criar um filtro WMI com uma consulta
complexa com vrios critrios. possvel vincular um nico filtro WMI a um ou mais GPOs. A guia Geral
de um filtro WMI exibe os GPOs que usam o filtro WMI:
H trs questes significativas em relao a filtros WMI:
Primeiro, a sintaxe WQL de consultas WMI pode ser difcil de dominar. Com frequncia, possvel
encontrar exemplos na Internet quando voc faz pesquisas com as palavras-chave filtro WMI e
consulta WMI, juntamente com uma descrio da consulta que voc deseja criar.
Observao: Observe que a consulta WMI s processada uma vez, mesmo que voc a
use para filtrar o escopo de vrios GPOs.
Terceiro, os filtros WMI no so processados por computadores nos quais o sistema operacional
Microsoft Windows 2000 Server executado. Se um GPO for filtrado com um filtro WMI, um sistema
Windows 2000 Server ignorar o filtro e, em seguida, processar o GPO como se os resultados do
filtro fossem verdadeiros.
Criar um GPO que remove o link do menu Ajuda do menu Iniciar e vincular o link UO IT.
Etapas da demonstrao
Crie um novo GPO e vincule-o unidade organizacional IT
1.
2.
Crie um novo GPO chamado Remover o menu Ajuda e, em seguida, vincule-o unidade
organizacional IT.
3.
Remova a entrada Usurios Autenticados da lista Filtros de Segurana para o GPO Remover o
menu Ajuda na unidade organizacional IT.
2.
2.
3.
4.
Crie um novo GPO chamado Atualizaes de Software para XPe, em seguida, vincule-o unidade
organizacional IT.
5.
6.
5-29
Voc pode configurar o status do GPO para otimizar o processamento de poltica. Por exemplo, se um
GPO s contiver configuraes do usurio, a configurao da opo Status do GPO para desabilitar
configuraes de computador impedir que o cliente de Poltica de Grupo tente processar o GPO durante
a atualizao da poltica de computador. Como o GPO no contm nenhuma configurao de
computador, no h necessidade de processar o GPO, e voc pode salvar alguns ciclos de processador.
Observao: Voc pode definir uma configurao que deve entrar em vigor no caso de
uma emergncia, incidente de segurana ou outros desastres em um GPO e, em seguida, vincular
o GPO de forma que seu escopo seja definido para os usurios e os computadores apropriados.
Em seguida, desabilite o GPO. Se voc necessitar que a configurao seja implantada, habilite o
GPO.
Imagine um cenrio no qual voc deseja aplicar uma aparncia corporativa padro para a rea de
trabalho do Windows em todos os computadores de salas de conferncia e outras reas pblicas de seu
escritrio. Como voc gerenciar essa configurao centralmente usando Poltica de Grupo? As
configuraes de poltica que definem a aparncia de rea de trabalho esto localizadas no n
Configurao do Usurio de um GPO. Portanto, por padro, as configuraes se aplicam a usurios, no
importando o computador no qual eles entrem. O processamento de poltica padro no lhe oferece uma
maneira de definir o escopo de configuraes de usurio a serem aplicadas a computadores,
independentemente do usurio que faz logon. Essa a forma como o processamento de poltica
loopback pode ser til.
O processamento de poltica loopback altera o algoritmo padro que o cliente de Poltica de Grupo usa
para obter a lista ordenada de GPOs que devem ser aplicados configurao de um usurio. Em vez de a
configurao de usurio ser determinada pelo n Configurao do Usurio de GPOs cujo escopo foi
definido para o objeto de usurio, a configurao de usurio pode ser determinada pelas polticas do n
Configurao do Usurio de GPOs cujo escopo foi definido para o objeto de computador.
Substituio. Nesse caso, a lista de GPOs para o usurio substituda completamente j pela lista de
GPOs j obtida para o computador na sua inicializao. As configuraes contidas nas polticas de
Configurao do Usurio dos GPOs do computador so aplicadas ao usurio. O modo de
substituio til em uma situao como uma sala de aula na qual os usurios devem receber uma
configurao padro no lugar da configurao aplicada aos usurios em um ambiente menos
gerenciado.
Mesclagem. Nesse caso, a lista de GPOs obtida para o computador na inicializao anexada lista
de GPOs obtida para o usurio ao fazer logon. Como a lista de GPOs obtida para o computador
aplicada posteriormente, as configuraes contidas nos GPOs na lista do computador tero
precedncia se elas entrarem em conflito com as configuraes na lista do usurio. Esse modo til
para aplicar configuraes adicionais s configuraes tpicas dos usurios. Por exemplo, voc pode
permitir a um usurio receber a configurao tpica do usurio ao fazer logon em um computador
em uma sala de conferncia ou uma rea de recepo, mas substituir o papel de parede com um
bitmap padro e desabilitar o uso de certos aplicativos ou dispositivos.
Observao: Observe que quando voc combina o processamento de loopback com filtros
de grupo de segurana, a aplicao de configuraes de usurio durante a atualizao de poltica
usa as credenciais do computador para determinar quais GPOs sero aplicados como parte do
processamento de loopback. Porm, o usurio conectado tambm deve ter a permisso Aplicar
Poltica de Grupo para que o GPO seja aplicado com xito. Observe tambm que o sinalizador de
processamento de loopback configurado por sesso, no por GPO.
Links lentos
5-31
O Cliente de Poltica de Grupo trata do problema de links lentos detectando a velocidade de conexo
ao domnio e determinando se a conexo deve ser considerada um link lento. Em seguida, essa
determinao usada por cada CSE para decidir se as configuraes sero aplicadas ou no. Por exemplo,
a extenso de software configurada para abrir mo do processamento de poltica, de forma que o
software no seja instalada se um link lento for detectado.
Observao: Por padro, um link ser considerado lento se estiver a menos de 500
quilobits por segundo (Kbps). No entanto, voc pode configurar uma velocidade diferente.
Se a Poltica de Grupo detectar um link lento, ela definir um sinalizador para indicar esse link para as
CSEs. Em seguida, as CSEs podero determinar se as configuraes de Poltica de Grupo aplicveis sero
processadas. A tabela a seguir descreve o comportamento padro das extenses do lado do cliente.
Extenso do lado do cliente
Ativado
No
Desativado
Sim
Desativado
Sim
Desativado
Sim
Poltica de scripts
Desativado
Sim
Poltica de segurana
Ativada
No
Desativado
Sim
Desativado
Sim
Ativada
Sim
Desativado
Sim
Computadores desconectados
Por padro, a atualizao ocorre na inicializao (para as configuraes de computador), no logon (para
configuraes de usurio) e, posteriormente, a cada 90 a 120 minutos.
Observao: Lembre-se que o impacto prtico do intervalo de atualizao de Poltica de
Grupo que quando voc fizer uma alterao em seu ambiente, levar, em mdia, metade desse
tempo, ou seja, de 45 a 60 minutos, para que a alterao entre em vigor.
Por padro, os clientes do Windows XP, Windows Vista, Windows 7 e Windows 8 executam somente
atualizaes em segundo plano na inicializao e no logon, o que significa que um cliente pode ser
inicializado e um usurio pode entrar sem receber as polticas mais recentes do domnio. altamente
recomendvel que voc altere esse comportamento padro de forma que as alteraes de poltica sejam
implementadas de um modo gerenciado e previsvel. Habilite a configurao de poltica Sempre Esperar
pela Rede ao Iniciar o Computador e Fazer Logon para todos os clientes Windows. A configurao
est localizada em Configurao do Computador\Polticas\Modelos
Administrativos\Sistema\Logon. Leia o texto explicativo da configurao de poltica. Observe que isso
no afeta a inicializao nem o tempo de logon hora em computadores que no so conectados a uma
rede. Se o computador detectar que est desconectado, no "esperar" por uma rede.
Logon ou reinicializao
Embora a maioria das configuraes seja aplicada durante uma atualizao de poltica em segundo plano,
algumas CSEs no aplicaro a configurao at a prxima inicializao ou evento de logon. Por exemplo,
as polticas de script de inicializao e logon recm-adicionadas no sero executadas at a prxima
inicializao ou logon do computador. A instalao de software ocorrer na prxima inicializao se o
software for atribudo em configuraes de computador. As alteraes feitas em polticas de
redirecionamento de pasta no entraro em vigor at o prximo logon.
5-33
Lembre-se que a maioria das CSEs s aplicar configuraes em um GPO se a verso deste tiver
sido alterada. Isso significa que se um usurio puder alterar uma configurao que foi especificada
originalmente por Poltica de Grupo, essa configurao no voltar a ser compatvel com as configuraes
especificadas pelo GPO at que este sofra alteraes. Felizmente, a maioria das configuraes de poltica
no pode ser alterada por um usurio sem privilgios. No entanto, se um usurio for um administrador
de seu computador ou se a configurao de poltica afetar uma parte do Registro ou do sistema que o
usurio tiver permisses para alterar, isso poder ser um problema srio.
Voc tem a opo de instruir cada CSE a reaplicar as configuraes de GPOs, mesmo que os GPOs no
tenham sofrido alteraes. O comportamento de processamento de cada CSE pode ser definido nas
configuraes de poltica localizadas em Configurao do Computador\Modelos
Administrativos\Sistema\Poltica de Grupo.
Lio 4
Com a interao de vrias configuraes em vrios GPOs cujo escopo foi definido por uma variedade de
mtodos, a aplicao de Poltica de Grupo pode ser complexa de analisar e entender. Portanto, voc dever
estar preparado para avaliar e solucionar problemas de maneira eficaz na sua implementao de Poltica de
Grupo, identificar problemas potenciais antes que eles surjam e resolver desafios imprevistos. O Windows
Server fornece ferramentas que so indispensveis para dar suporte a Poltica de Grupo. Nesta lio, voc
explorar o uso dessas ferramentas em cenrios de suporte e soluo de problemas proativa e reativa.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Gerar relatrios RSoP (Conjunto de Polticas Resultante) para ajudar na anlise das configuraes
de GPOs.
Atualizao de GPOs
As configuraes de computador so aplicadas
na inicializao e, em seguida, so atualizadas
a intervalos regulares. Qualquer script de
inicializao executado na inicializao do
computador. O intervalo padro a cada
90 minutos, mas isso configurvel. A exceo
ao intervalo definido relativa aos controladores
de domnio, cujas configuraes so atualizadas
a cada cinco minutos.
As configuraes de usurio so aplicadas no
logon e so atualizadas a intervalos regulares
configurveis; o padro tambm 90 minutos.
Qualquer script de logon executado no logon.
Observao: Vrias configuraes de usurio requerem dois logons para que o usurio
perceba o efeito do GPO. A razo disso que os usurios que fazem logon no mesmo
computador usam credenciais armazenadas em cache para acelerar os logons. Isso significa que,
embora as configuraes de poltica estejam sendo entregues ao computador, o usurio j est
conectado, portanto, as configuraes s entraro em vigor no prximo logon. A configurao
de redirecionamento de pasta um exemplo disso.
5-35
Voc pode alterar o intervalo de atualizao definindo uma configurao de Poltica de Grupo. Para
configuraes de computador, a configurao de intervalo de atualizao encontrada no n
Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Poltica de Grupo. Para
configuraes de usurio, o intervalo de atualizao encontrado nas configuraes correspondentes em
Configurao do Usurio. Uma exceo ao intervalo de atualizao relativa s configuraes de
segurana. A seo de configuraes de segurana da Poltica de Grupo ser atualizada a cada 16 horas,
independentemente do intervalo que voc definiu para o intervalo de atualizao.
Voc tambm pode atualizar a Poltica de Grupo manualmente. O utilitrio de linha de comando
Gpupdate atualiza e entrega qualquer nova configurao de Poltica de Grupo. O comando Gpupdate
/force atualiza todas as configuraes da Poltica de Grupo. Tambm h um novo cmdlet do Windows
PowerShell, o Invoke-Gpupdate, que executa a mesma funo.
Um novo recurso do Windows Server 2012 a Atualizao Remota de Polticas. Esse recurso permite aos
administradores usar o GPMC para direcionar uma UO e forar a atualizao de Poltica de Grupo em todos
os seus computadores e nos usurios conectados. Para fazer isso, clique com o boto direito do mouse em
qualquer UO e clique em Atualizao da Poltica de Grupo. A atualizao ocorrer em at 10 minutos.
Observao: s vezes, a no aplicao de um GPO resultado de problemas na tecnologia
subjacente, que responsvel pela replicao do AD DS e do SYSVOL. No Windows Server 2012,
para exibir o status de replicao, use Gerenciamento de Poltica de Grupo, selecione o n
Domnio, clique na guia Status e, em seguida, clique em Detectar Agora.
Conjunto de Polticas Resultante
A herana, os filtros e as excees de Poltica de
Grupo so elementos complexos e, em geral,
difcil determinar quais configuraes de poltica
sero aplicadas.
RSoP o efeito final de GPOs aplicados a um
usurio ou um computador, levando-se em conta
links de GPO, excees, como Imposto e Bloquear
Herana, e a aplicao de segurana e filtros WMI.
GPResult.exe
Voc deve poder acessar a WMI no computador de destino. Isso significa que o computador deve
estar online, conectado rede e acessvel pelas portas 135 e 445.
Se voc desejar analisar o RSoP para um usurio, este dever ter feito logon no computador pelo
menos uma vez, embora no precise estar conectado no momento.
Depois de garantir que os requisitos sejam atendidos, voc estar pronto para executar uma anlise
de RSoP.
Para executar um relatrio de RSoP, clique com o boto direito do mouse em Resultados de Poltica de
Grupo na rvore de console do GPMC e, em seguida, clique em Assistente de Resultados de Poltica
de Grupo.
5-37
O assistente solicita que voc selecione um computador. Em seguida, ele se conecta ao provedor WMI no
computador em questo e fornece uma lista de usurios que fizeram logon nele. Voc pode selecionar
um dos usurios e ignorar a anlise de RSoP para polticas de configurao de usurio.
O assistente gera um relatrio de RSoP detalhado em um formato HTML dinmico. Se a Configurao de
Segurana Reforada do Internet Explorer estiver definida, voc ser solicitado a permitir que o console
exiba o contedo dinmico. Voc pode expandir ou recolher cada seo do relatrio clicando no link
Mostrar ou Ocultar ou clicando duas vezes no ttulo da seo.
O relatrio exibido em trs guias:
Resumo. A guia Resumo exibe o status do processamento de Poltica de Grupo que foi atualizada
pela ltima vez. Voc pode identificar informaes que foram coletadas sobre o sistema, os GPOs que
foram aplicados e negados, a associao de grupo de segurana que pode ter afetado GPOs filtrados
com grupos de segurana, filtros WMI que foram analisados e o status de CSEs.
Eventos de Polticas. A guia Eventos de Polticas exibe eventos de Poltica de Grupo dos logs de
eventos do computador de destino.
Depois de gerar um relatrio de RSoP com o Assistente de Resultados de Poltica de Grupo, voc poder
clicar com o boto direito do mouse no relatrio para executar novamente a consulta, imprimi-lo ou
salv-lo como ou um arquivo XML ou HTML, que mantm as sees que so expandidas e recolhidas de
forma dinmica. Voc pode abrir os dois tipos de arquivos com o Internet Explorer, para que o relatrio
de RSoP possa ser exportado para fora do GPMC.
Ao clicar com o boto direito do mouse no n do prprio relatrio, na pasta Resultados de Poltica de
Grupo na rvore de console, voc poder alternar para Modo de exibio avanado. No Modo de
exibio avanado, o RSoP exibido usando o snap-in de RSoP, que expe todas as configuraes
aplicadas inclusive polticas de IPsec, sem fio e de cota de disco.
Essa opo especifica o nome ou o endereo IP de um sistema remoto. Se voc usar um ponto (.) como o
nome do computador ou no incluir a opo /s, a anlise de RSoP ser executada no computador local:
/scope [user | computer]
Isso exibe a anlise de RSoP das configuraes de usurio ou computador. Se voc omitir a opo /scope,
a anlise de RSoP incluir as configuraes de usurio e de computador:
/userusername
Essa opo exibe dados de RSoP detalhados que apresentam as informaes mais significativas:
/z
Isso exibe dados superdetalhados, inclusive os detalhes de todas as configuraes de poltica aplicadas ao
sistema. Frequentemente, so mais informaes do que voc precisar para solucionar problemas tpicos
de Poltica de Grupo:
/udomain\user/ppassword
Isso fornece credenciais que esto no grupo Administradores de um sistema remoto. Sem essas
credenciais, GPResult executado com as credenciais com as quais voc est conectado:
[/x | /h] filename
Essa opo salva os relatrios no formato XML ou HTML. Essas opes esto disponveis no Windows Vista
Service Pack 1 (SP1), no Windows Server 2008 e no Windows 7 e Windows 8 e verses mais recentes
desses sistemas.
5-39
Se voc mover um computador ou um usurio entre sites, domnios ou UOs ou alterar sua associao de
grupo de segurana, os GPOs com escopo definido para esse usurio ou computador sero alterados.
Portanto, o RSoP para o computador ou o usurio ser diferente. O RSoP tambm mudar se ocorrer o
processamento de link lento ou loopback ou se houver uma alterao em uma caracterstica do sistema a
que um filtro WMI se destine.
Antes de fazer quaisquer dessas alteraes, voc deve avaliar o impacto potencial que um usurio ou um
computador ter no RSoP. O Assistente de Resultados de Poltica de Grupo s pode realizar a anlise de
RSoP do que ocorreu realmente. Para prever o futuro e executar anlises hipotticas, voc pode usar o
Assistente para Modelagem de Poltica de Grupo.
Para executar a Modelagem de Poltica de Grupo, clique com o boto direito do mouse no n
Modelagem de Poltica de Grupo na rvore de console do GPMC, clique no Assistente para Modelagem
de Poltica de Grupo e execute as etapas do assistente.
A modelagem executada por meio de uma simulao em um controlador de domnio, portanto,
primeiro voc solicitado a selecionar um controlador de domnio. Voc no precisa estar conectado
localmente ao controlador de domnio, mas a solicitao de modelagem ser executada no controlador
de domnio. Em seguida, voc precisar especificar as configuraes para a simulao, inclusive para:
Selecionar um usurio ou um objeto a ser avaliado ou especificar a UO, o site ou o domnio a ser
avaliado.
Escolher quais filtros WMI sero aplicados na simulao do processamento de poltica de usurio e
computador.
Demonstration
Esta demonstrao mostra como:
Abra o GPMC.
Etapas da demonstrao
Uso do GPResult.exe para criar um relatrio
1.
2.
3.
2.
3.
4.
1.
2.
Especifique o usurio para o relatrio como Ed Meadows e o continer de computador como a unidade
organizacional de IT.
3.
4.
5-41
O log operacional da Poltica de Grupo, que fornece informaes detalhadas sobre processamento
de Poltica de Grupo.
Para localizar logs de Poltica de Grupo, abra o snap-in ou o console do Visualizador de Eventos. Os logs
de sistema e de aplicativo se encontram no n Logs do Windows. O log operacional da Poltica de Grupo
encontrado em
Logs de Aplicativos e Servios\Microsoft \Windows\GroupPolicy\Operational.
Voc foi solicitado a usar Poltica de Grupo para implementar configuraes de segurana padronizadas
a fim de bloquear telas de computadores quando os usurios se afastam de seus computadores por
10 minutos ou mais. Voc tambm precisa configurar uma poltica que impedir o acesso a certos
programas em estaes de trabalho locais.
Depois de algum tempo, voc soube que um aplicativo falhou na inicializao da proteo de tela, e um
engenheiro solicitou que a configurao no aplicada equipe de engenheiros de pesquisa que usa o
aplicativo diariamente. Tambm solicitaram que voc configurasse os computadores de sala de
conferncia para usarem um tempo limite de 45 minutos.
Depois de criar as polticas, voc precisa avaliar o conjunto de polticas resultante para os usurios em seu
ambiente, a fim de garantir que a infraestrutura de Poltica de Grupo tenha sido otimizada e que todas as
polticas tenham sido aplicadas da maneira planejada.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Gerenciar GPOs.
Configurao do laboratrio
Tempo previsto: 90 minutos
Mquina(s) virtual(is)
24411B-LON-DC1
24411B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
b.
Senha: Pa$$w0rd
c.
Domnio: Adatum
5-43
Voc foi solicitado a usar Poltica de Grupo para implementar configuraes de segurana padronizadas
a fim de bloquear telas de computadores quando os usurios se afastam de seus computadores por
10 minutos ou mais. Voc tambm precisa configurar uma poltica que impedir que os usurios
executem o aplicativo Bloco de Notas em estaes de trabalho locais.
As principais tarefas deste exerccio so:
1.
2.
Vincular o GPO.
3.
2.
3.
4.
5.
6.
Habilite a configurao de poltica Proteger com senha a proteo de tela e feche a janela Editor
de Gerenciamento de Poltica de Grupo.
2.
Tente alterar o tempo de espera da proteo de tela e retomar as configuraes. Voc no poder
fazer isso pela Poltica de Grupo.
3.
Tente executar o Bloco de Notas. Voc no poder fazer isso pela Poltica de Grupo.
Resultados: Aps este exerccio, voc ter criado, editado e vinculado os GPOs necessrios com xito.
Depois de algum tempo, voc percebeu que no possvel abrir um aplicativo essencial usado pela
equipe de engenheiros na inicializao da proteo de tela. Solicitaram que a configurao do GPO no
fosse aplicada a nenhum membro do grupo de segurana de engenharia. Tambm solicitaram que voc
configurasse os computadores de sala de conferncia para ficarem isentos da poltica corporativa. No
entanto, eles sempre devero ter um tempo limite de proteo de tela de 45 minutos aplicado.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
2.
3.
2.
3.
4.
5.
Configure a delegao de GPO para negar a permisso Aplicar Poltica de Grupo ao grupo
GPO_ADATUM Standards_Exempt.
1.
2.
3.
4.
5.
6.
Confirme que o escopo do GPO Polticas de Sala de Conferncia est definido para Usurios
Autenticados.
7.
Edite o GPO Polticas de Sala de Conferncia e modifique a poltica Tempo limite de Proteo
de Tela para iniciar a proteo de tela depois de 45 minutos.
8.
Resultados: Aps este exerccio, voc ter configurado com xito o escopo necessrio dos GPOs.
5-45
Depois de criar as polticas, voc precisa avaliar o conjunto de polticas resultante para os usurios de seu
ambiente a fim de garantir que a infraestrutura de Poltica de Grupo esteja ntegra e que todas as polticas
tenham sido aplicadas da maneira planejada.
As principais tarefas deste exerccio so:
1.
2.
3.
Avaliar os resultados dos GPOs usando o Assistente para Modelagem de Poltica de Grupo.
4.
1.
Em LON-CL1, verifique se voc ainda est conectado como ADATUM\Pat. Se necessrio, fornea a
senha Pa$$w0rd.
2.
3.
Execute o comando gpupdate /force. Terminado o comando, anote a hora do sistema atual porque
voc precisar dessa informao em uma tarefa futura deste laboratrio:
Time: ____________________________________
4.
Reinicialize o computador LON-CL1 e aguarde que ela seja reiniciada antes de passar para a prxima
tarefa.
5.
6.
Use o Assistente de Resultados de Poltica de Grupo para executar um relatrio de RSoP para Pat
em LON-CL1.
7.
8.
Clique na guia Detalhes. Revise as configuraes que foram aplicadas durante a aplicao de poltica
de usurio e computador e identifique o GPO do qual as configuraes foram obtidas.
9.
Clique na guia Eventos de Polticas e localize o evento que registra em log a atualizao de poltica
voc disparou com o comando GPUpdate na Tarefa 1.
10. Clique na guia Resumo, clique com o boto direito do mouse na pgina e escolha Salvar Relatrio.
Salve o relatrio como um arquivo HTML na sua rea de trabalho. Em seguida, abra o relatrio de
RSoP da rea de trabalho.
2.
Abra um prompt de comando e execute o comando gpresult /r. Os resultados do resumo de RSoP
so exibidos. As informaes so muito semelhantes guia Resumo do relatrio de RSoP produzido
pelo Assistente de Resultados de Poltica de Grupo.
3.
Digite gpresult /v e pressione Enter. gerado um relatrio de RSoP mais detalhado. Observe que
muitas das configuraes de Poltica de Grupo aplicadas pelo cliente esto listadas nesse relatrio.
4.
5.
6.
Abra o relatrio de RSoP salvo na rea de trabalho. Compare o relatrio, suas informaes e a
formatao com o relatrio de RSoP que voc salvou na tarefa anterior.
5-47
2.
3.
4.
5.
6.
7.
Na guia Resumo, role a tela e, se necessrio, expanda Detalhes do Usurio, Objetos de Poltica de
Grupo e GPOs Aplicados.
8.
Verifique se o GPO Polticas de Sala de Conferncia se aplica a Mike como uma poltica de usurio
quando ele fizer logon em LON-CL1 se LON-CL1 estiver na UO Salas de Conferncia.
9.
10. Confirme que o tempo limite de proteo de tela 2.700 segundos (45 minutos), a configurao
definida pelo GPO Polticas de Sala de Conferncia que substitui o padro de 10 minutos configurado
pelo GPO Padres da ADATUM.
2.
3.
4.
Localize e revise os eventos de Poltica de Grupo no log de aplicativo. Revise os eventos e identifique
os eventos de Poltica de Grupo inseridos nesse log. Quais eventos esto relacionados com a
aplicao de Poltica de Grupo e quais esto relacionados com as atividades que voc executou para
gerenciar Poltica de Grupo? Observe que, dependendo do tempo que a mquina virtual est em
execuo, talvez voc no tenha Eventos de Poltica de Grupo no log do aplicativo.
5.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de RSoP com xito para verificar a
aplicao correta de seus GPOs.
2.
3.
2.
Depois de concluir o exerccio, reverta todas as mquinas virtuais para seu estado inicial.
Resultados: Depois deste exerccio, voc dever ter executado com xito tarefas de gerenciamento
comuns em seus GPOs.
Ferramentas
5-49
Ferramenta
Use para
Onde encontrar
RSoP de relatrios de
poltica de grupo
Console de Gerenciamento
de Poltica de Grupo
GPResult
Utilitrio de linha de
comando
GPUpdate
Utilitrio de linha de
comando
Dcgpofix
Utilitrio de linha de
comando
GPOLogView
Utilitrio de linha de
comando
Scripts de Gerenciamento
de Poltica de Grupo
Mdulo 6
Gerenciamento de reas de trabalho de usurios
com Poltica de Grupo
Contedo:
Viso geral do mdulo
6-1
6-2
6-8
6-14
6-18
6-22
6-27
Usando os Objetos de Poltica de Grupo (GPOs), voc pode implementar ambientes de rea de trabalho
em toda a organizao usando Modelos Administrativos, Redirecionamento de pasta, preferncias de
Poltica de Grupo, e onde aplicvel, usar implantao de software para instalar e atualizar programas de
aplicativos. importante saber como usar esses diversos recursos do GPO de forma que voc possa definir
as configuraes do computador do usurio adequadamente.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
6-2
Algumas configuraes existem para o usurio e o computador. Por exemplo, h uma configurao
para impedir que o Windows Messenger seja executado nos modelos do usurio e do computador.
No caso de conflitos nas configuraes, a configurao do computador prevalece.
Algumas configuraes somente esto disponveis para certas verses dos sistemas operacionais
Windows. Por exemplo, voc pode aplicar um nmero de configuraes novas apenas ao Windows 7
e verses mais recentes do sistema operacional Windows. Clicar duas vezes nas configuraes exibe
as verses suportadas pela configurao.
6-3
A principal desvantagem dos arquivos ADM que eles so copiados em cada GPO que criado e
consomem aproximadamente 3 megabytes (MB) de espao. Isso pode fazer com que a pasta Volume de
Sistema (SYSVOL) fique muito grande e aumente o trfego de replicao.
Arquivos ADMX
O Windows Vista e o Windows Server 2008 introduziram um novo formato para exibir configuraes
de poltica baseadas em registro. Essas configuraes so definidas usando um formato de arquivo XML
baseado em padres conhecido como arquivos ADMX. Esses arquivos novos substituem os arquivos ADM.
As ferramentas de Poltica de grupo no Windows Vista e nos sistemas operacionais mais novos e no
Windows Server 2008 continuam reconhecendo os arquivos ADM personalizados que voc possui em seu
ambiente, mas ignoram qualquer arquivo ADM que os arquivos ADMX substituram. Diferente dos
arquivos ADM, os arquivos ADMX no so armazenados em GPOs individuais. O Editor de GPO faz a
leitura e exibe as configuraes automaticamente do repositrio de arquivo ADMX local. Por padro, os
arquivos so armazenados na pasta Windows\PolicyDefinitions, mas eles podem ser armazenados em um
local central.
Os arquivos ADMX apresentam um idioma neutro. As descries de idioma simples das configuraes no
fazem parte dos arquivos ADMX. Eles so armazenados em arquivos ADML especficos do idioma. Isso
significa que administradores que falam idiomas diferentes, como ingls e espanhol, podem consultar o
mesmo GPO e ver as descries da poltica em seu prprio idioma, porque eles podem usar seus prprios
arquivos ADML especficos para o seu idioma. Os arquivos ADML so armazenados em uma subpasta da
pasta PolicyDefinitions. Por padro, apenas os arquivos de idioma ADML para o idioma do sistema
operacional instalado so adicionados.
O repositrio central
Para empresas baseadas em domnio, voc pode
criar um local de repositrio central de arquivos
ADMX, que todos que possuem permisses para
criar ou editar GPOs podem acessar. O Editor de
GPO no Windows Vista e no Windows Server 2008
(ou mais recente) faz a leitura e exibe as
configuraes de poltica do Modelo
Administrativo automaticamente de todos os
arquivos ADMX que o repositrio central
armazena em cache e ignora os que esto
armazenados localmente. Se o controlador de
domnio no estiver disponvel, o repositrio local
ser usado.
6-4
Voc deve criar o repositrio central e atualiz-lo manualmente no controlador de domnio. O uso de
arquivos ADMX dependente do sistema operacional do computador onde voc est criando ou
editando o GPO. Portanto, o controlador de domnio pode ser um servidor com o Windows 2000 ou mais
recente. O Servio de Replicao de Arquivos (FRS) no replicar o controlador de domnio para os outros
controladores daquele domnio. Dependendo da configurao e do sistema operacional de seu servidor,
voc pode usar FRS ou Replicao do Sistema de Arquivos Distribudo (DFS-R) para replicar os dados.
Para criar um repositrio central para os arquivos .admx e .adml, crie uma pasta chamada
PolicyDefinitions no seguinte local: \\FQDN\SYSVOL\FQDN\policies
Por exemplo, para criar um repositrio central para o domnio Test.Microsoft.com, crie uma pasta
PolicyDefinitions no seguinte local: \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Policies
6-5
As ferramentas de edio de Poltica de Grupo no Windows Server 2012 fornecem vrias funcionalidades
que facilitam a configurao e o gerenciamento de GPOs. Nesta demonstrao, voc revisar essas opes.
Uma desvantagem nas ferramentas de edio de Poltica de Grupo nas verso do Windows anteriores
que elas no podem pesquisar uma configurao de poltica especfica. Entre milhares de politicas que
podem ser escolhidas, difcil localizar exatamente a configurao que voc deseja configurar. O Editor
de Gerenciamento de Poltica de Grupo no Windows Server 2012 resolve esse problema das
configuraes do Modelo Administrativo. Voc agora pode criar filtros para localizar configuraes de
poltica especficas.
Para criar um filtro:
1.
Clique com o boto direito do mouse em Modelos Administrativos e clique em Opes de Filtro.
2.
Para localizar uma poltica especfica, selecione a caixa de seleo Habilitar Filtros de Palavrachave, insira as palavras pelas quais filtrar e selecione os campos dentro dos quais pesquisar.
Voc tambm pode filtrar por configuraes de Poltica de Grupo que aplicam-se a verses especficas do
Windows, Windows Internet Explorer e outros componentes do Windows.
Infelizmente, o filtro apenas se aplica a configuraes nos ns dos Modelos Administrativos.
Voc tambm pode pesquisar e filtrar com base em comentrios de configurao de poltica. O Windows
Server 2012 permite adicionar comentrios a configuraes de poltica no n Modelos Administrativos.
Para fazer isso, clique duas vezes na configurao de poltica e clique na guia Comentrio.
uma prtica recomendada adicionar comentrios a configuraes de poltica configuradas. Voc deve
documentar a justificao para uma configurao e o seu efeito desejado. Voc tambm deve adicionar
comentrios ao prprio GPO. O Windows Server 2012 permite anexar comentrios a um GPO. No Editor
de Gerenciamento de Poltica de Grupo, na rvore de console, clique com o boto direito do mouse no
n da raiz, clique em Propriedades e clique na guia Comentrio.
6-6
Os GPOs de incio podem conter apenas configuraes de poltica de Modelos Administrativos. Mas, alm
de usar os GPOs de incio, h dois outros modos de copiar configuraes de um GPO em um novo GPO:
Voc pode copiar e colar GPOs inteiros no continer Objetos de Poltica de Grupo do GPMC, de
forma que voc tenha um novo GPO com todas as configuraes do GPO de origem.
Para transferir configuraes entre GPOs em domnios ou florestas diferentes, clique com o boto
direito do mouse em um GPO e clique em Fazer backup. No domnio de destino, crie um novo GPO,
clique com o boto direito do mouse em GPO e clique em Importar Configuraes. Voc poder
importar as configuraes do GPO de backup.
Criar um novo GPO importando configuraes que foram exportadas de outro GPO.
Etapas da demonstrao
Filtrar configuraes de poltica de Modelos Administrativos
1.
2.
3.
4.
5.
Filtre as configuraes para exibir somente as que possuem as palavras-chave proteo de tela.
6.
2.
Adicione um comentrio aos valores Proteger com senha a proteo de tela e Habilitar a
proteo de tela.
Crie um novo GPO importando configuraes que foram exportadas de outro GPO
1.
2.
3.
6-7
Lio 2
6-8
No Windows Server 2012, voc pode usar GPOs para implantar scripts em usurios e computadores. Voc
tambm pode redirecionar pastas que esto includas no perfil do usurio para um servidor central. Esses
recursos permitem configurar as configuraes de rea de trabalho dos usurios mais facilmente e, onde
desejvel, criar um ambiente de rea de trabalho padronizado que satisfaz suas necessidades
organizacionais.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Aps redirecionar uma pasta para um servidor de arquivos, ela ainda aparecer para o usurio como
se estivesse armazenada no disco rgido local.
Voc pode usar a tecnologia de arquivo offline junto com redirecionamento para sincronizar dados
na pasta redirecionada para o disco rgido local do usurio. Isso garante que os usurios tero acesso
aos seus dados se uma interrupo de rede ocorrer ou se o usurio estiver trabalhando offline.
6-9
Os usurios que entram em vrios computadores podem acessar os seus dados contanto que eles
possam acessar o compartilhamento de rede.
As pastas offline permitem que os usurios acessem seus dados mesmo se eles sarem da rede local
(LAN).
Tamanho de perfil de roaming pode ser reduzido consideravelmente por meio do redirecionamento
de dados a partir do perfil.
Avanado. Voc pode usar o redirecionamento avanado para especificar locais de rede diferentes
para os grupos de segurana do Active Directory.
Siga a pasta Documents. O redirecionamento de pasta Siga a pasta Documents est disponvel
somente para imagens, msicas e vdeos. Essa configurao torna a pasta afetada uma subpasta da
pasta Documents.
Criar uma pasta para cada usurio no caminho raiz. Essa opo criar uma pasta no formulrio
\\server\share\User Account Name\Folder Name. Por exemplo, se voc desejar armazenar as
configuraes de rea de trabalho de seus usurios em uma pasta compartilhada chamada
Documents, em um servidor chamado LON-DC1, voc pode definir o caminho de raiz como \\londc1\Documents.
Cada usurio tem um caminho exclusivo para a pasta redirecionada para assegurar a privacidade dos
dados. Por padro, esse usurio recebe direitos exclusivos em relao pasta. No caso da pasta
Documents, o contedo atual da pasta movido para o novo local.
Redirecionar para o seguinte local. Essa opo usa um caminho explcito para o local de
redirecionamento. Faz com que vrios usurios compartilhem o mesmo caminho para a pasta
redirecionada. Por padro, esse usurio recebe direitos exclusivos em relao pasta. No caso da
pasta Documents, o contedo atual da pasta movido para o novo local.
Redirecionar para localizao de perfil de usurio local. Essa opo move o local da pasta para o perfil
do usurio local sobre a pasta Usurios.
Redirecionar para o diretrio base do usurio. Essa opo est disponvel somente para a pasta
Documents.
Se criar pastas manualmente, voc precisar conhecer as permisses corretas. O slide ilustra essas
permisses.
Etapas da demonstrao
Criar uma pasta compartilhada
1.
2.
6-11
1.
2.
3.
4.
Verifique se o local da Pasta de destino est configurado para Criar uma pasta para cada usurio
no caminho raiz.
5.
6.
2.
3.
Saia de LON-CL1.
Outras configuraes da Poltica de Grupo controlam como os scripts so executados. Por exemplo, se
vrios scripts forem atribudos, voc poder controlar se eles sero executados sincronicamente ou de
forma assncrona.
Voc pode escrever scripts em qualquer linguagem de scripts que o cliente Windows possa interpretar,
como o VBScript, Jscript ou comando simples ou arquivos em lotes.
Observao: No Windows Server 2008 R2 e no Windows Server 2012, a interface
de usurio (UI) no Editor de Poltica de Grupo para scripts de logon, logoff, inicializao e
desligamento fornece uma guia adicional para os scripts do Windows PowerShell. Voc pode
implantar o script do Windows PowerShell adicionando-o a essa guia. O Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8 podem executar scripts do Windows PowerShell
atravs da Poltica de Grupo.
Os scripts so armazenados em pastas compartilhadas na rede. Voc precisa assegurar que o cliente
tenha acesso a esse local de rede. Se os clientes no puderem acessar o local de rede, os scripts no sero
executados. Embora qualquer local de rede armazene scripts, como uma prtica recomendada, use o
compartilhamento Netlogon porque todos os usurios e computadores que so autenticados para os
Servios de Domnio Active Directory (AD DS) tm acesso a este local.
Para muitas dessas configuraes, o uso das preferncias de Poltica de Grupo uma alternativa melhor
do que configur-las nas imagens do Windows ou usando scripts de logon. As preferncias de Poltica de
Grupo sero explicadas com mais detalhes posteriormente neste mdulo.
Criar e vincular um GPO para usar o script, e armazenar o script no compartilhamento Netlogon.
Etapas da demonstrao
Criar um script de logon para mapear uma unidade de rede
1.
2.
3.
6-13
1.
Use o Console de Gerenciamento de Poltica de Grupo para criar um novo GPO chamado DriveMap
e vincule-o ao domnio Adatum.com.
2.
3.
4.
2.
3.
Saia de LON-CL1.
Lio 3
Porm, o Windows Server 2012 inclui as preferncias de Poltica de Grupo embutidas no GPMC, o que
permite que configuraes como unidades mapeadas possam ser fornecidas atravs da Poltica de Grupo.
Alm disso, voc pode configurar preferncias instalando as RSAT (Ferramentas de Administrao de
Servidor Remoto) em um computador que esteja executando o Windows 7 ou o Windows 8. Isso lhe
permite fornecer muitas configuraes comuns usando a Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Opes de pasta
Mapas de unidade
Impressoras
Tarefas Agendadas
Servios
Menu Iniciar
6-15
As configuraes de preferncia no so
impostas.
O usurio final pode alterar qualquer configurao de preferncia que aplicada atravs da Poltica
de Grupo, mas as configuraes de politica no deixam os usurios alter-las.
Em alguns casos, voc pode configurar as mesmas configuraes atravs de uma configurao de
poltica, assim como um item de preferncia. Se configuraes de Poltica de Grupo e de preferncia
conflitantes forem configuradas e aplicadas ao mesmo objeto, o valor da configurao de poltica
sempre ser aplicado.
Interromper o processamento de itens nessa extenso se ocorrer um erro. Se um erro ocorrer durante o
processamento de uma preferncia, nenhuma outra preferncia neste GPO ser processada.
Executar no contexto de segurana de usurio conectado. As preferncias podem ser executadas como
a conta Sistema ou o usurio conectado. Essa configurao fora o contexto do usurio conectado.
Remover esse item quando ele no for mais aplicvel. Ao contrrio das configuraes de poltica, as
preferncias no so removidas quando o GPO que a forneceu removido. Essa configurao alterar
esse comportamento.
Nome do computador
Intervalo de endereos IP
Sistema operacional
Grupo de segurana
Usurio
Indique a preferncia.
Indique a preferncia.
Testar a preferncia.
Etapas da demonstrao
Configurar um atalho de rea de trabalho com preferncias de Poltica de Grupo
6-17
1.
2.
3.
Indique a preferncia
2.
Indique a preferncia
Indique essa preferncia para computadores que esto executando o sistema operacional Windows 8.
Teste as preferncias
1.
Alterne para LON-CL1 e atualize as polticas de grupo usando o comando a seguir no prompt de
comando:
gpupdate /force
2.
Entre e verifique a presena da pasta C:\Reports e o atalho do Bloco de Notas na rea de Trabalho.
Lio 4
O Windows Server 2012 inclui um recurso chamado Instalao e manuteno de software que o AD DS, a
Poltica de Grupo, e o servio Windows Installer usam para instalar, manter e remover um software dos
computadores da organizao. Nesta lio, voc aprender a gerenciar software com Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever como a distribuio de software de Poltica de Grupo aborda o ciclo de vida do software.
6-19
Esse servio executado com privilgios elevados, de forma que o software pode ser instalado pelo
servio Windows Installer, independente do usurio estar ou no conectado ao sistema. Usurios s
requerem acesso de leitura ao ponto de distribuio de software.
Windows Installer no pode instalar arquivos .exe. Para distribuir um pacote de software que
instalado com um arquivo .exe, o arquivo .exe deve ser convertido em um arquivo .msi usando um
utilitrio de terceiros.
Pergunta: Os usurios precisam de direitos administrativos para instalar aplicativos
manualmente que possuem arquivos MSI?
Pergunta: O que so algumas desvantagens de implantar software por Poltica de Grupo?
Atribuindo o software
A atribuio de software tem as seguintes caractersticas:
Quando voc atribui software a um usurio, ele anunciado no menu Iniciar do usurio quando ele
faz logon. A instalao s iniciar depois que o usurio clicar duas vezes no cone do aplicativo ou em
um arquivo associado a ele.
Quando voc atribui um aplicativo a um computador, o aplicativo instalado na prxima vez que o
computador iniciado. O aplicativo estar disponvel a todos os usurios do computador.
Publicando o software
A publicao de software tem as seguintes caractersticas:
Observao: Ao configurar a Poltica de Grupo para implantar aplicativos, eles devem ser
mapeados para caminhos UNC. Se voc usar caminhos locais, a implantao falhar.
6-21
Voc poder reimplantar um pacote se o arquivo do Windows Installer original tiver sido modificado.
Voc poder remover pacotes de software se eles foram fornecidos originalmente usando a Poltica
de Grupo. Isso til se um aplicativo de linha de negcios (LOB) estiver sendo substitudo por um
outro aplicativo. A remoo pode ser obrigatria ou opcional.
A. Datum acabou de abrir uma nova filial. Os usurios neste escritrio requerem um mtodo
automatizado para mapear unidades para recursos de servidor compartilhados, e voc decide usar as
preferncias de Poltica de Grupo. Alm disso, lhe pediram que crie um atalho para o aplicativo Bloco de
Notas para todos os usurios que pertencem ao grupo de segurana de IT. Para ajudar a minimizar os
tamanhos do arquivo, lhe pediram para configurar redirecionamento de pasta para redirecionar vrias
pastas de perfil unidade de incio de cada usurio.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
6-23
A. Datum tem usado scripts de logon para fornecer aos usurios mapeamentos de unidade para
compartilhamentos de arquivos. A manuteno desses scripts um problema contnuo porque eles so
grandes e complexos. O seu gerente lhe pediu para implementar mapeamentos de unidade usando as
preferncias de Poltica de Grupo de forma que scripts de logon possam ser removidos. Alm disso, lhe
pediram para colocar um atalho para o aplicativo Bloco de Notas para todos os usurios que pertencem
ao grupo de segurana de IT.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
Teste as preferncias
2.
Abra o Explorador de Arquivos e crie uma pasta e compartilhe-a com Pessoas especficas usando as
seguintes propriedades:
3.
Caminho: C:\Branch1
4.
5.
Na rea de trabalho, copie o arquivo na rea de Transferncia. Voc colar o arquivo posteriormente
na pasta apropriada no laboratrio.
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
Ao: Criao
4.
5.
2.
3.
Abra a janela Prompt de comando e use o comando gpupdate /force para atualizar a Poltica de
Grupo.
4.
Saia de LON-CL1.
5.
6.
7.
8.
9.
Saia de LON-CL1.
Resultados: Depois desse exerccio, voc deve ter criado os scripts e as configuraes de preferncia
requeridas com sucesso, e depois atribudo-os usando os GPOs.
Para ajudar a minimizar os tamanhos dos perfis, lhe pediram para configurar o redirecionamento de pasta
para os usurios da filial para redirecionar vrias pastas de perfil unidade de incio de cada usurio.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
5.
Em LON-DC1, abra o Explorador de Arquivos e crie uma pasta e compartilhe-a com Pessoas
especficas usando as seguintes propriedades:
o
Caminho: C:\Branch1\Redirect
6-25
Em LON-DC1, abra o Gerenciamento de Poltica de Grupo e crie e vincule um novo GPO nomeado
Redirecionamento de Pasta UO Filial 1.
2.
3.
Verifique se o local da Pasta de destino est configurado para Criar uma pasta para cada usurio
no caminho raiz.
4.
5.
2.
3.
Abra a janela Prompt de comando e use o comando gpupdate /force para atualizar a Poltica de
Grupo.
4.
5.
6.
Clique com o boto direito do mouse na rea de trabalho e use o menu Personalizar para ativar
Arquivos de Usurio na rea de trabalho.
7.
8.
9.
Na caixa de dilogo Propriedades de Meus Documentos, observe que o local da pasta agora o
compartilhamento de rede em uma subpasta nomeada para o usurio.
10. Se o redirecionamento da pasta no for evidente, saia, e entre como ADATUM\Holly com a senha
Pa$$word. Repita as etapas de 7 a 9.
11. Saia de LON-CL1.
Resultados: Depois deste exerccio, voc deve ter configurado o redirecionamento de pasta com xito
para uma pasta compartilhada no servidor de LON-DC1.
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
3.
4.
Use um repositrio central para Modelos Administrativos se tiver clientes com o Windows Vista, o
Windows 7 e o Windows 8
Use preferncias de Poltica de Grupo para definir configuraes que no esto disponveis no
conjunto de configuraes de Poltica de Grupo
Use instalao de software de Poltica de Grupo para implantar pacotes no formato .msi em um
grande nmero de usurios ou computadores
Perguntas de reviso
Pergunta: Por que algumas configuraes de Poltica de Grupo precisam de dois logons para
entrarem em vigor?
Pergunta: Como voc pode suportar preferncias de Poltica de Grupo no Windows XP?
Pergunta: Qual a vantagem de ter um repositrio central?
Pergunta: Qual a principal diferena entre as configuraes de Poltica de Grupo e as
preferncias de Poltica de Grupo?
Pergunta: O que a diferena entre publicar e atribuir software atravs de Poltica de Grupo?
Pergunta: Voc pode usar scripts do Windows PowerShell como scripts de inicializao?
6-27
Mdulo 7
Configurao e soluo de problemas de acesso remoto
Contedo:
Viso geral do mdulo
7-1
7-2
7-11
7-21
7-28
7-34
7-39
7-52
7-61
A maioria das organizaes tem usurios que trabalham remotamente, talvez de casa ou de locais do
cliente. Para facilitar e dar suporte essas conexes remotas, voc deve implementar tecnologias de acesso
remoto a fim de dar suporte a essa fora de trabalho distribuda. Voc deve estar familiarizado com as
tecnologias que permitem aos usurios remotos se conectarem infraestrutura de rede da organizao.
Entre essas tecnologias esto VPNs e DirectAccess, um recurso dos sistemas operacionais Windows 7 e
Windows 8. importante que voc compreenda como configurar e proteger os clientes de acesso remoto
usando as polticas de rede. Este mdulo explora essas tecnologias de acesso remoto.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar o DirectAccess.
Lio 1
7-2
O acesso rede no sistema operacional Windows Server 2012 fornece os servios obrigatrios que
permitem aos usurios remotos se conectarem rede. Para dar suporte s necessidades da organizao e
dos usurios remotos, importante que voc consiga instalar e configurar esses componentes de acesso
rede do Windows Server 2012 com xito.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como servidores DHCP (Dynamic Host Configuration Protocol) so usados com o servio de
roteamento e acesso remoto.
AD CS (Servios de Certificados do Active Directory). possvel usar certificados digitais para fornecer
autenticao em cenrios de acesso remoto. Implantando o AD CS, possvel criar uma PKI na
organizao para dar suporte ao problema, ao gerenciamento e revogao de certificados.
Servidor DHCP. Fornece conexes de acesso remoto de entrada aceitas com uma configurao de IP
para conectividade de rede com a LAN (rede local) corporativa.
NPS (Servidor de Polticas de Rede). Fornece servios de autenticao para outros componentes de
acesso rede.
7-3
Servidores de atualizaes. Fornece servios de correo para os clientes que no atenderem aos
requisitos de integridade da rede corporativa. Os Servidores de Atualizaes so servidores
especiais em uma rede limitada.
Centraliza o gerenciamento de polticas de rede com servidor e proxy RADIUS (Remote Authentication
Dial-in User Service). Em vez de configurar a poltica de acesso rede em cada servidor de acesso
rede (como pontos de acesso sem fio, opes de autenticao 802.1X, servidores VPN e servidores de
discagem), possvel criar polticas em um nico local que especifiquem todos os aspectos das
solicitaes de conexo rede. Entre essas polticas esto quem tem autorizao para se conectar,
quando eles podem se conectar e o nvel de segurana que devem usar para se conectar rede.
DirectAccess. O DirectAccess permite acesso remoto contnuo a recursos de intranet sem que o
usurio estabelea primeiro uma conexo VPN. O DirectAccess assegura conectividade contnua
infraestrutura do aplicativo para usurios internos e remotos.
DirectAccess e RAS (servio de acesso remoto) VPN. Usando DirectAccess e RAS VPN, possvel
habilitar e configurar:
o
Conexes VPN para dar aos usurios finais acesso remoto rede da organizao.
Roteamento. Ele fornece um roteador de software completo e uma plataforma aberta para
roteamento e trabalho na Internet. Ele oferece servios de roteamento para as empresas em
ambientes de LAN e WAN (rede de longa distncia).
7-4
Quando voc opta pelo roteamento, a NAT (converso de endereos de rede) tambm instalada.
Quando voc implanta a NAT, o servidor que est executando Acesso Remoto configurado para
compartilhar uma conexo de Internet com computadores em uma rede privada e converter o
trfego entre o endereo pblico e a rede privada. Usando a NAT, os computadores na rede privada
obtm certo nvel de proteo, pois o roteador em que voc configura a NAT no encaminha o
trfego da Internet para a rede privada, a menos que um cliente da rede privada solicite ou o trfego
seja explicitamente permitido.
Ao implantar a VPN e a NAT, voc configura o servidor que est executando o Acesso Remoto para
oferecer a NAT rede privada e aceitar conexes VPN. Os computadores na Internet no podero
determinar os endereos IP de computadores na rede privada. No entanto, os clientes VPN podero se
conectar aos computadores na rede privada, como se estivessem fisicamente conectados mesma rede.
7-5
Para que uma tentativa de conexo seja aceita, ela deve ser autenticada e autorizada. possvel que a
tentativa de conexo seja autenticada usando credenciais vlidas, mas no seja autorizada; nesse caso, a
tentativa de conexo negada.
Se voc configurar um servidor Acesso Remoto para autenticao RADIUS, as credenciais da tentativa de
conexo passaro ao servidor RADIUS para fins de autenticao e autorizao. Se a tentativa de conexo
for autenticada e autorizada, o servidor RADIUS enviar uma mensagem de aceitao para o servidor
Acesso Remoto, e essa tentativa de conexo ser aceita. Se a tentativa de conexo no for autenticada
nem autorizada, o servidor RADIUS retornar uma mensagem de rejeio para o servidor Acesso Remoto,
e essa tentativa de conexo ser rejeitada.
Mtodos de autenticao
A autenticao dos clientes de acesso uma
questo de segurana importante. Normalmente,
os mtodos de autenticao utilizam um
protocolo de autenticao que negociado
durante o processo de estabelecimento da
conexo. Os mtodos a seguir tm suporte da
funo Acesso Remoto.
PAP
O PAP (Password Authentication Protocol) usa
senhas de texto sem formatao e o protocolo
de autenticao menos seguro. Ele normalmente
ser negociado se o cliente de acesso remoto e o
servidor Acesso Remoto no conseguirem negociar uma forma de validao mais segura. PAP est
includo no Microsoft Windows Server 2012 para dar suporte a sistemas operacionais de clientes mais
antigos no compatveis com nenhum outro mtodo de autenticao.
CHAP
7-6
MS-CHAP V2
O autenticador (o servidor Acesso Remoto ou o computador que est executando NPS) envia um
desafio ao cliente de acesso remoto. O desafio consiste em um identificador de sesso e em uma
cadeia de caracteres de desafio arbitrria.
2.
O cliente de acesso remoto envia uma resposta que contm uma criptografia unidirecional da cadeia
de caracteres de desafio recebida, da cadeia de caracteres de desafio par, do identificador da sesso e
da senha do usurio.
3.
O autenticador verifica a resposta do cliente e envia de volta uma resposta contendo uma indicao
de xito ou falha da tentativa de conexo e uma resposta autenticada baseada na cadeia de
caracteres de desafio enviada, na cadeia de caracteres de desafio par, na resposta criptografada do
cliente e na senha do usurio.
4.
O cliente de acesso remoto verifica a resposta da autenticao e, se estiver correta, utiliza a conexo.
Se a resposta da autenticao no estiver correta, o cliente de acesso remoto encerrar a conexo.
EAP
Com o EAP (Extensible Authentication Protocol), um mecanismo de autenticao arbitrrio autentica uma
conexo de acesso remoto. O cliente de acesso remoto e o autenticador (seja o servidor Acesso Remoto
ou o servidor RADIUS) negociam o esquema de autenticao exato a ser usado. Por padro, o servio
Roteamento e Acesso Remoto inclui suporte para o protocolo EAP-TLS (EAP-Transport Level Security).
Voc pode conectar outros mdulos EAP ao servidor que est executando o Roteamento e Acesso
Remoto para fornecer outros mtodos EAP.
Outras opes
Alm dos mtodos de autenticao mencionados anteriormente, existem outras duas opes que
possvel habilitar durante a seleo de um mtodo de autenticao:
Certificado de mquina para IKEv2 (Internet Key Exchange verso 2). Selecione esta opo caso voc
queira usar Reconexo VPN.
7-7
Os respondentes online fazem parte do servio de funo OCSP (Online Certificate Status
Protocol) no Windows Server 2008 e no Windows Server 2012. Um respondente online pode
receber uma solicitao para verificar a revogao de um certificado sem exigir que o cliente
baixe toda a CRL. Isso acelera a verificao de revogao de certificado e reduz a largura de
banda da rede. Isso tambm aumenta a escalabilidade e a tolerncia a falhas possibilitando a
configurao da matriz dos respondentes online.
Servios e aplicativos pblicos baseados em chave. Diz respeito a aplicativos ou servios que do
suporte criptografia de chave pblica. Em outras palavras, o aplicativo ou os servios devem ser
capazes de dar suporte a implementaes de chave pblica para receber os benefcios.
Configurar ACs.
7-8
AIA (acesso s informaes da autoridade) e CDPs (pontos de distribuio de CRL). Os pontos AIA
determinam o local onde os certificados AC podem ser localizados e validados, e os locais CDP
determinam os pontos onde as listas de revogao de certificados podem ser encontradas durante o
processo de validao de certificados. Como as CRLs podem aumentar (dependendo do nmero de
certificados emitidos e revogados por uma AC), voc tambm pode publicar CRLs menores e interinas
chamadas CRLs delta. As CRLs delta contm apenas os certificados revogados desde a publicao da
ltima CRL regular. Isso permite que os clientes recuperem as CRLs delta menores e compilem mais
rapidamente uma lista completa de certificados revogados. O uso de CRLs delta tambm permite a
publicao de dados de revogao com mais frequncia, j que o tamanho de uma CRL delta
significa que ela normalmente no exige tanto tempo de transferncia quanto uma CRL completa.
7-9
Nos ambientes de LAN, os clientes DHCP negociam e recebem as seguintes informaes de configurao,
totalmente baseadas nas configuraes definidas no console DHCP para o servidor DHCP:
Parmetros adicionais e outras informaes de configurao fornecidas pelas opes DHCP atribudas
na concesso do endereo. Os valores e a lista de opes correspondem aos tipos de opo
configurados e atribudos no servidor DHCP.
Ao fornecer a configurao dinmica para os clientes de acesso remoto, o servidor Acesso Remoto realiza
primeiramente as seguintes etapas:
1.
Quando o servidor que est executando Acesso Remoto inicializado com a opo Usar DHCP para
atribuir endereos TCP/IP remotos, ele instrui o cliente DHCP a obter dez endereos IP de um
servidor DHCP.
2.
O servidor Acesso Remoto usa o primeiro desses dez endereos IP obtidos no servidor DHCP para a
interface do servidor Acesso Remoto.
3.
Os nove endereos restantes so alocados para clientes baseados no TCP/IP ao discarem para
estabelecer uma sesso com o servidor Acesso Remoto.
Os endereos IP liberados com a desconexo dos clientes de acesso remoto so reutilizados. Quando
todos os dez endereos IP forem utilizados, o servidor Acesso Remoto obter outros dez de um servidor
DHCP. Quando o servio Roteamento e Acesso Remoto for parado, todos os endereos IP obtidos por
meio do DHCP sero liberados.
Ao usar esse tipo de cache pr-ativo de concesses de endereos DHCP para clientes de conexo discada,
o servidor Acesso Remoto registra as seguintes informaes para cada resposta de concesso obtida do
servidor DHCP:
O endereo IP concedido pelo cliente (para distribuio posterior ao cliente de Roteamento e Acesso
Remoto).
A durao da concesso.
Todas as outras informaes da opo DHCP que o servidor DHCP retorna (como as opes de servidor,
escopo e reserva) so descartadas. Ao discar para o servidor e solicitar um endereo IP (ou seja, quando a
opo Usar endereo IP atribudo pelo servidor selecionada), o cliente utiliza uma concesso do DHCP
armazenada no cache para fornecer ao cliente de conexo discada uma configurao dinmica de
endereos IP.
Quando o endereo IP fornecido ao cliente de conexo discada, o cliente desconhece que o endereo IP
foi obtido por meio desse processo intermedirio entre o servidor DHCP e o servidor Acesso Remoto. O
servidor Acesso Remoto mantm a concesso em nome do cliente. Portanto, a nica informao que o
cliente recebe do servidor DHCP o endereo IP.
Nos ambientes de conexo discada, os clientes DHCP negociam e recebem a configurao dinmica
atravs do seguinte comportamento modificado:
Observao: Os servidores DHCP que executam o Windows Server 2012 fornecem uma classe
de usurio predefinida a Classe de Roteamento e Acesso Remoto Padro para atribuir opes
fornecidas apenas aos clientes de Roteamento e Acesso Remoto. Para atribuir essas opes, voc deve
criar uma poltica DHCP com uma condio da Classe de Usurio Igual Classe de Roteamento e
Acesso Remoto Padro. Em seguida, configure as opes obrigatrias.
Lio 2
7-11
Para implementar corretamente um ambiente VPN e dar suporte a ele dentro da organizao,
importante que voc compreenda como selecionar um protocolo de encapsulamento apropriado, como
configurar a autenticao VPN e definir a funo de servidor Servios de Acesso e Poltica de Rede para
dar suporte configurao escolhida.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o que uma conexo VPN e como ela usada para conectar clientes de redes remotas.
Descrever tarefas adicionais que possvel concluir aps a configurao de um servidor VPN.
Explicar como criar um perfil de conexo usando o Kit de Administrao do Gerenciador de conexes.
Acesso remoto
Site a site
As conexes VPN de acesso remoto permitem que os usurios que estejam trabalhando fora do local (por
exemplo, em casa, em um local do cliente ou em um ponto de acesso pblico sem fio) acessem um servidor
na rede privada da organizao usando a infraestrutura fornecida por uma rede pblica, como a Internet.
Da perspectiva do usurio, a VPN uma conexo ponto a ponto entre o computador, o cliente VPN, e o
servidor da sua organizao. A infraestrutura exata da rede compartilhada ou pblica irrelevante, pois ela
aparece em termos lgicos, como se os dados fossem enviados via link particular dedicado.
Conexes VPN site a site, tambm conhecidas como conexes VPN roteador a roteador, permitem que a
organizao tenha conexes roteadas entre escritrios distintos (ou com outras organizaes) via rede
pblica, alm de ajudar a manter a comunicao segura. Uma conexo VPN roteada na Internet opera de
modo lgico como um link WAN dedicado. Quando as redes se conectam pela Internet, um roteador
encaminha pacotes para outro roteador usando uma conexo VPN. Para os roteadores, a conexo VPN
funciona como um vnculo da camada do vnculo de dados.
Uma conexo VPN site a site conecta duas partes de uma rede privada. O servidor VPN fornece uma
conexo roteada para a rede qual ele est vinculado. O roteador de chamada (o cliente VPN) se
autentica no roteador de resposta (o servidor VPN) e, para ocorrer a autenticao mtua, o roteador de
resposta se autentica no roteador de chamada. Em uma conexo VPN site a site, os pacotes enviados
de ambos os roteadores atravs da conexo VPN geralmente no se originam nos roteadores.
As conexes VPN que usam o PPTP (Point-to-Point Tunneling Protocol), o L2TP/IPsec (Layer 2
Tunneling Protocol with Internet Protocol Security) ou o SSTP (Secure Socket Tunneling Protocol) tm as
seguintes propriedades:
Autenticao. A autenticao para conexes VPN usa estas trs formas diferentes:
Autenticao no nvel de usurio usando a autenticao PPP. Para estabelecer a conexo VPN,
o servidor VPN autentica o cliente VPN que est tentando a conexo usando um mtodo de
autenticao PPP no nvel de usurio e verifica se o cliente VPN tem a autorizao adequada. Se
a autenticao mtua for utilizada, o cliente VPN tambm autenticar o servidor VPN, o que
fornecer proteo contra computadores que estejam se passando por servidores VPN.
Autenticao no nvel de computador usando o protocolo IKE. Para estabelecer uma associao
de segurana IPsec, o cliente VPN e o servidor VPN utilizam o protocolo IKE para trocar
certificados de computador ou uma chave pr-compartilhada. Em ambos os casos, o cliente e o
servidor VPN se autenticam mutuamente, no nvel de computador. A autenticao por
certificados de computador recomendvel por ser um mtodo de autenticao muito mais
seguro. A autenticao no nvel de computador s executada para as conexes L2TP/IPsec.
Autenticao da origem de dados e integridade de dados. Para que seja possvel verificar se os
dados enviados na conexo VPN se originaram na outra extremidade da conexo e no foram
modificados em trnsito, os dados contm uma soma de verificao criptogrfica baseada em
uma chave de criptografia conhecida apenas pelo emissor e pelo receptor. A autenticao da
origem de dados e a integridade de dados s esto disponveis para as conexes L2TP/IPsec.
Criptografia de dados. Para garantir a confidencialidade dos dados quando eles percorrerem a rede
de trnsito compartilhado ou pblico, o emissor criptografa os dados e o receptor os descriptografa.
Os processos de criptografia e descriptografia dependem do uso de uma chave de criptografia
comum ao emissor e ao receptor.
Os pacotes interceptados na rede de trnsito so ilegveis para quem no tem a chave de criptografia
comum. O tamanho da chave de criptografia um parmetro de segurana importante. Voc pode
utilizar tcnicas computacionais para determinar a chave de criptografia. Entretanto, com o aumento
do tamanho das chaves de criptografia, essas tcnicas exigem mais poder tecnolgico e tempo
computacional. Sendo assim, importante utilizar o maior tamanho possvel de chave para assegurar
a confidencialidade dos dados.
PPTP
7-13
Encapsulamento. o PPTP encapsula quadros PPP em datagramas IP para transmisso pela rede.
O PPTP usa uma conexo TCP (Transmission Control Protocol) no gerenciamento de tnel e uma
verso modificada do cabealho GRE (Generic Route Encapsulation) para encapsular quadros PPP de
dados em tnel. As cargas dos quadros PPP encapsulados podem ser criptografadas, compactadas,
ou ambas.
Criptografia. o quadro PPP criptografado com a MPPE (Criptografia Ponto a Ponto da Microsoft)
usando as chaves de criptografa geradas nos processos de autenticao MS-CHAPv2 ou EAP-TLS.
Para que as cargas dos quadros PPP sejam criptografadas, os clientes VPN devem utilizar o protocolo
de autenticao MS-CHAPv2 ou EAP-TLS. O PPTP usa a criptografia subjacente do PPP e encapsula
um quadro PPP j criptografado.
L2TP
O L2TP permite que voc criptografe o trfego multiprotocolo a ser enviado por qualquer meio
compatvel com a entrega de datagramas ponto a ponto, como IP ou ATM (modo de transferncia
assncrona). O L2TP uma combinao do PPTP e do L2F (Layer 2 Forwarding). O L2TP representa os
melhores recursos do PPTP e do L2F.
Diferentemente do PPTP, a implementao Microsoft do L2TP no usa a MPPE para criptografar os
datagramas PPP. O L2TP depende do IPsec no Modo de Transporte para os servios de criptografia.
A combinao do L2TP com o IPsec conhecida como L2TP/IPsec.
Para utilizar L2TP/IPsec, cliente e servidor VPN devem dar suporte a L2TP e IPsec. O suporte do
cliente para L2TP interno dos clientes de acesso remoto do Windows XP, do Windows Vista,
do Windows 7 e do Windows 8. O suporte do servidor VPN para L2TP interno nos membros das
famlias Windows Server 2012, Windows Server 2008 e Windows Server 2003.
Primeira camada. A primeira camada o encapsulamento L2TP. Um quadro PPP (um datagrama
IP) encapsulado com um cabealho L2TP e um cabealho UDP (User Datagram Protocol).
Criptografia: a mensagem L2TP criptografada com AES (Advanced Encryption Standard) ou 3DES
(Triple Data Encryption Standard) usando chaves de criptografia geradas pelo processo de
negociao IKE.
SSTP
SSTP um protocolo de encapsulamento que usa o protocolo HTTPS pela porta TCP 443 para passar o
trfego pelos firewalls e proxies Web, que poderiam bloquear o trfego PPTP e L2TP/IPsec. O SSTP dispe
de um mecanismo para encapsular o trfego PPP pelo canal SSL (Secure Sockets Layer) do protocolo
HTTPS. O uso do PPP permite suporte para mtodos de autenticao seguros, como EAP-TLS. O SSL
oferece segurana no nvel de transporte com negociao avanada de chaves, criptografia e verificao
de integridade.
Quando um cliente tenta estabelecer uma conexo VPN baseada no SSTP, este estabelece primeiramente
uma camada HTTPS bidirecional com o servidor SSTP. Nessa camada HTTPS, os pacotes do protocolo
fluem conforme a carga til de dados usando os seguintes mtodos de encapsulamento e criptografia:
Encapsulamento. O SSTP encapsula quadros PPP em datagramas IP para transmisso pela rede.
O SSTP usa uma conexo TCP (pela porta 443) para o gerenciamento de tneis e como quadros de
dados PPP.
IKEv2
IKEv2 usa o protocolo IPsec Tunnel Mode via porta UDP 500. O IKEv2 d suporte mobilidade tornandoo uma boa opo de protocolo para uma fora de trabalho mvel. As VPNs baseadas em IKEv2 permitem
que os usurios alternem facilmente pontos de acesso sem fio ou conexes sem e com fio.
O uso do IKEv2 e do IPsec habilita o suporte para mtodos seguros de autenticao e criptografia.
Encapsulamento. IKEv2 encapsula datagramas usando ESP ou AH IPsec para transmisso pela rede.
7-15
A Reconexo VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contnua e consistente. Os
usurios que se conectam via banda larga mvel sem fio so os que mais aproveitaro esse recurso. Pense
em um usurio com um laptop que esteja executando o Windows 8. Quando viaja de trem a trabalho, o
usurio se conecta Internet com um carto de banda larga mvel sem fio e estabelece uma conexo
VPN com a rede da empresa. Quando o trem passa por um tnel, a conexo com a Internet perdida.
Depois que o trem sai do tnel, o carto de banda larga mvel sem fio se reconecta automaticamente
Internet. Nas verses anteriores do sistemas operacionais cliente e servidor do Windows, a VPN no se
reconectava automaticamente. Por isso, o usurio teria que repetir o processo de vrias etapas de
conexo com a VPN manualmente. Essa tarefa era demorada e frustrante para usurios mveis com
conectividade intermitente.
Com a Reconexo VPN, o Windows Server 2012 e o Windows 8 restabelecem conexes VPN ativas
automaticamente quando a conectividade com a Internet restabelecida. Ainda que a reconexo possa
demorar alguns segundos, os usurios no precisam restabelecer a conexo manualmente ou se
autenticar novamente para acessarem os recursos de rede internos.
Os requisitos de sistema para usar o recurso Reconexo VPN so os seguintes:
PKI, pois um certificado de computador obrigatrio para uma conexo remota com a
Reconexo VPN. possvel usar certificados emitidos por uma AC interna ou pblica.
Requisitos de configurao
Antes de implantar a soluo VPN da organizao,
considere os seguintes requisitos de configurao:
Determine se deseja que as solicitaes de conexo dos clientes VPN sejam autenticadas por um
servidor RADIUS ou pelo servidor VPN de acesso remoto que est configurando. A incluso de um
servidor RADIUS ser til se voc pretender instalar vrios servidores VPN de acesso remoto, pontos
de acesso sem fio ou outros clientes RADIUS na rede privada.
Observao: Para habilitar uma infraestrutura RADIUS, instale a funo de servidor Servios
de Acesso e Poltica de Rede. O NPS pode funcionar como um proxy ou um servidor RADIUS.
Determine se os clientes VPN podem enviar mensagens DHCPINFORM ao servidor DHCP em sua rede
privada. Se existir um servidor DHCP na mesma sub-rede do servidor VPN de acesso remoto, as
mensagens DHCPINFORM dos clientes VPN podero acessar o servidor DHCP depois que a conexo
VPN for estabelecida. Se um servidor DHCP estiver em uma sub-rede diferente daquela do servidor
VPN de acesso remoto, verifique se o roteador entre as sub-redes pode retransmitir mensagens do
DHCP entre os clientes e o servidor. Se o roteador estiver executando o Windows Server 2008 R2 ou o
Windows Server R2 2012, ser possvel configurar o servio Agente de Retransmisso DHCP no
roteador para encaminhar mensagens DHCPINFORM entre as sub-redes.
Verifique se a pessoa responsvel pela implantao da soluo VPN tem as associaes ao grupo
administrativo necessrias para instalar as funes de servidor e configurar os servios necessrios; a
associao do grupo Administradores local obrigatria para realizar essas tarefas.
Etapas da demonstrao
Configurar Acesso Remoto como um servidor VPN
1.
2.
3.
4.
5.
6.
7.
8.
9.
O servidor configurado com a opo No; use Roteamento e Acesso Remoto para
autenticar solicitaes de conexo.
2.
3.
4.
5.
7-17
Depois que voc tiver criado a VPN, modifique as configuraes exibindo as propriedades da
conexo e selecione a guia Segurana para reconfigurar o VPN usando as seguintes configuraes:
o
Senha: Pa$$w0rd
Espere a conexo VPN ser estabelecida. A conexo malsucedida. Voc recebe um erro referente a
problemas de autenticao.
Ajustar os nveis de log. Configure o nvel de detalhes de evento a ser registrado em log. Voc pode
determinar as informaes que devem ser rastreadas nos arquivos de log.
Adicionar (AD CS. Configure e gerencie uma AC em um servidor a ser usado em uma PKI.
Aumentar a segurana do acesso remoto. Proteja os usurios remotos e a rede privada impondo o uso
de mtodos de autenticao seguros, exigindo nveis mais altos de criptografia de dados e muito mais.
Aumentar a segurana da VPN. Proteja os usurios remotos e a rede privada exigindo o uso de
protocolos seguros de tnel, configurando o bloqueio de contas e muito mais.
Considerar a implementao da Reconexo VPN. Considere a adio de uma Reconexo VPN para
restabelecer conexes VPN automaticamente para usurios que percam temporariamente as
respectivas conexes com a Internet.
7-19
O CMAK uma ferramenta que possvel usar para personalizar a experincia de conexo remota dos
usurios na rede criando conexes predefinidas com redes e servidores remotos. Voc usa o assistente
CMAK para criar e personalizar uma conexo para os usurios.
O CMAK um componente opcional que no instalado por padro. Instale o CMAK para gerar os perfis
de conexo que seus usurios podero instalar para acessar as redes remotas.
O assistente do CMAK compila o perfil de conexo em um nico arquivo executvel com uma extenso
.exe. Voc pode passar esse arquivo para os usurios usando qualquer mtodo disponvel. Alguns
mtodos a serem considerados so:
Voc pode instalar o perfil de conexo como parte das imagens do computador cliente instaladas nos
novos computadores da sua organizao.
possvel fornecer o programa de instalao do perfil de conexo em CD/DVD, unidade flash USB ou
em qualquer outra mdia removvel a que os usurios possam ter acesso. Algumas mdias removveis
oferecem suporte a recursos de execuo automtica, que permitem iniciar a instalao
automaticamente quando o usurio insere a mdia no computador cliente.
Instalar o CMAK.
Examinar o perfil.
Etapas da demonstrao
Instalar o CMAK
1.
2.
Abra Painel de Controle e ative um novo recurso do Windows chamado Kit de Administrao do
Gerenciador de Conexes (CMAK) RAS.
2.
Use o Explorador de Arquivos para examinar o contedo da pasta que voc criou com o Assistente do
Kit de Administrao do Gerenciador de Conexes para criar o perfil de conexo. Normalmente,
agora voc distribuiria esse perfil aos usurios.
Lio 3
7-21
As polticas de rede determinam se uma tentativa de conexo tem xito. Se a tentativa de conexo foi
bem-sucedida, a poltica de rede tambm define as caractersticas de conexo, como restries de dia e
hora, tempos de desconexo por tempo ocioso e outras configuraes.
A compreenso de como configurar polticas de rede ser essencial se voc quiser implementar com xito
VPNs baseadas na funo de servidor Servios de Acesso e Poltica de Rede na organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Cada poltica de rede possui uma configurao Estado da Poltica que permite habilitar ou desabilitar a
poltica. Quando voc desabilita uma poltica de rede, o NPS no avalia essa poltica ao autorizar as
solicitaes de conexo.
Viso geral. As propriedades de viso geral permitem especificar se a poltica est habilitada, se
concede ou nega acesso e se o mtodo de conexo com a rede especfico ou o tipo de servidor de
acesso rede obrigatrio para as solicitaes de conexo. As propriedades de Viso geral tambm
permitem especificar se as propriedades de discagem das contas de usurios no AD DS devem ser
ignoradas. Se voc marcar essa opo, o NPS usar apenas as configuraes da poltica de rede para
determinar se deve autorizar a conexo.
Ao adicionar uma nova poltica de rede usando o snap-in MMC (Console de Gerenciamento Microsoft) do
NPS, use o Assistente de Nova Poltica de Rede. Depois de criar uma poltica de rede usando o Assistente
de Nova Poltica de Rede, ser possvel personaliz-la clicando nela duas vezes nela dentro do NPS para
obter as respectivas propriedades.
Observao: As polticas padro no NPS bloqueiam o acesso rede. Aps a criao de suas
prprias polticas, voc dever alterar a prioridade, desabilitar ou remover as polticas padro.
7-23
Se as propriedades de discagem da conta do usurio estiverem definidas para negar o acesso, o NPS
recusar a solicitao de conexo.
Criao da poltica
Por exemplo, se voc especificar Gateway de rea de Trabalho Remota, o NPS avaliar a poltica de rede
somente das solicitaes de conexo originadas nos servidores do Gateway de rea de Trabalho Remota.
Na pgina Especificar Permisso de Acesso, voc deve selecionar Acesso concedido se quiser que a
poltica permita que os usurios se conectem rede. Caso voc queira que a poltica impea os usurios
de se conectarem rede, selecione Acesso negado. Caso voc queira que as propriedades de discagem
no AD DS determinem a permisso de acesso, possvel marcar a caixa de seleo O acesso
determinado pelas propriedades de Discagem do Usurio (que substituem a poltica de NPS). Essa
configurao substitua a poltica do NPS.
Configurao da poltica
Depois de criar a poltica de rede, ser possvel usar a caixa de dilogo Propriedades da poltica de rede
para exibir ou modificar as configuraes.
Permisso de Acesso. determine se a poltica dever permitir ou negar acesso. Especifique tambm
se o NPS deve ignorar as propriedades de discagem das contas de usurio no AD DS quando a
poltica estiver sendo usada para autorizar a tentativa de conexo.
O mtodo de conexo de rede que deve ser usado para a solicitao de conexo:
o
Servidor de Acesso Remoto (VPN-Dial up). Se voc especificar Servidor de Acesso Remoto
(VPN-Dial up), o NPS avaliar a poltica de rede das solicitaes de conexo originadas em um
computador que est executando o servio Roteamento e Acesso Remoto configurado como um
servidor de conexo discada ou VPN. Se outro servidor de conexo discada ou VPN for usado, o
servidor dever dar suporte ao protocolo RADIUS e aos protocolos de autenticao que o NPS
fornece para conexes discadas ou VPN.
Servidor DHCP. Se voc especificar Servidor DHCP, o NPS avaliar a poltica de rede das
solicitaes de conexo originadas nos servidores que esto executando o DHCP.
Servidor HCAP: se voc especificar servidor HCAP, o NPS avaliar a poltica de rede das
solicitaes de conexo originadas nos servidores que executam o HCAP.
7-25
necessrio configurar pelo menos uma condio para cada poltica de rede. Voc faz isso na caixa de
dilogo Propriedades da poltica de rede, na guia Condies. Nessa guia, o NPS fornece vrios grupos
de condies, que permitem definir claramente as propriedades que a solicitao de conexo deve ter
para corresponder poltica.
Os dois grupos de condies disponveis nos quais possvel selecionar so:
HCAP (Host Credential Authorization Protocol). essas condies so usadas somente quando voc
deseja integrar a soluo NAP do NPS ao Cisco Network Admission Control. Para usar essas condies,
necessrio implantar o Cisco Network Admission Control e o NAP. Voc tambm deve implantar um
servidor HCAP que esteja executando o IIS (Servios de Informaes da Internet) e o NPS.
Restries de Dia e Horrio. a condio Restries de Dia e Horrio permite que voc especifique, em
um intervalo semanal, se permitir conexes em um conjunto especfico de dias e de horrios.
NAP. as configuraes incluem Tipo de Identidade, Classe de Servio MS, Computadores Compatveis
com NAP, Sistema Operacional e Expirao da Poltica.
Restries so parmetros de poltica de rede adicionais opcionais diferentes das condies da poltica de
rede de maneira substancial: quando uma condio no corresponde a uma solicitao de conexo, o
NPS continua avaliando outras polticas de rede configuradas para localizar uma correspondncia para a
solicitao de conexo. Quando uma restrio no corresponder a uma solicitao de conexo, o NPS no
avaliar outras polticas de rede, mas rejeitar a solicitao de conexo e o usurio ou o computador ter
o acesso rede negado.
A seguinte tabela descreve as restries que possvel configurar na caixa de dilogo Propriedades da
poltica de rede, guia Restries:
Mtodos de Autenticao. permite especificar os mtodos de autenticao que so exigidos para que
a solicitao de conexo corresponda poltica de rede.
Tempo Limite de Ociosidade. permite especificar o mximo de tempo, em minutos, que o servidor de
aceso rede pode permanecer ocioso antes de a conexo ser desconectada.
Tempo Limite da Sesso. permite especificar a quantidade de tempo mxima, em minutos, que um
usurio pode ficar conectado rede.
Restries de Dia e Horrio. permite especificar quando os usurios podem se conectar rede.
Tipo de Porta do NAS. permite especificar os tipos de mdia de acesso que so permitidos para que os
usurios se conectem rede.
Atributos RADIUS. Essa configurao permite definir atributos RADIUS adicionais a serem enviados
ao servidor RADIUS.
NAP. Essa definio permite determinar configuraes relacionadas ao NAP, inclusive a possibilidade
dos clientes de conexo receberem acesso total rede, acesso limitado ou serem habilitados para
correo automtica.
Roteamento e Acesso Remoto. Essa definio permite configurar conexes mltiplas e configuraes
do protocolo de alocao da largura de banda, filtros IP, configuraes de criptografia e outras
configuraes de IP para as conexes.
Testar a VPN.
Etapas da demonstrao
Criar uma poltica de VPN com base na condio dos Grupos do Windows
1.
2.
Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
3.
Restries: padro
Configuraes: padro
Testar a VPN
1.
2.
Senha: Pa$$w0rd
7-27
Lio 4
A soluo de problemas ocorridos no Roteamento e Acesso Remoto pode ser uma tarefa demorada. Os
problemas podem variar e no so facilmente identificveis. Considerando que pode estar usando redes
de conexo discada, dedicadas, concedidas ou pblicas para atender soluo de conectividade remota,
voc dever realizar uma soluo de problemas em um processo metdico e sistemtico.
Em alguns casos, possvel identificar e resolver o problema rapidamente, e outros casos podem testar a
compreenso de todas as ferramentas disponveis para ajudar a determinar a origem do problema e
resolv-lo em tempo hbil.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrio
(continuao)
Opo da caixa de dilogo
Descrio
7-29
A caixa de seleo Registrar informaes de roteamento e acesso remoto (usadas para depurao)
permite especificar se os eventos no processo de estabelecimento da conexo PPP so gravados no
arquivo PPP.LOG. O arquivo de log armazenado na pasta systemroot\Tracing (o local padro).
possvel habilitar o rastreamento para cada componente do servio Roteamento e Acesso Remoto
definindo os valores de Registro apropriados. Voc pode habilitar e desabilitar o rastreamento de
componentes enquanto o servio Roteamento e Acesso Remoto est sendo executado. Cada componente
capaz de rastrear, alm de ser exibido como uma subchave na chave do Registro anterior.
possvel alterar o tamanho do arquivo de log configurando valores diferentes para MaxFileSize. O valor
padro 0x10000 (64 K).
MaxFileSize REG_DWORD SizeOfLogFile
7-31
Redefina as senhas de conta no nvel de administrador usando outra conta no nvel de administrador.
Verifique se a conta do usurio no foi bloqueada devido ao bloqueio da conta de acesso remoto.
Verifique se o servidor VPN est habilitado para acesso remoto na caixa de dilogo Propriedades do
servidor VPN, na guia Geral.
Verifique se os dispositivos Miniporta WAN (PPTP) e Miniporta WAN (L2TP) esto habilitados para acesso
remoto de entrada nas propriedades do objeto Portas do snap-in de Roteamento e Acesso Remoto.
Verifique se o cliente VPN, o servidor VPN e a poltica de rede que correspondem s conexes VPN
esto configurados para usar pelo menos um mtodo de autenticao comum.
Verifique se o cliente VPN e a poltica de rede que correspondem s conexes VPN esto
configurados para usar pelo menos uma intensidade de criptografia comum.
L2TP. Para trfego L2TP, configure o firewall da rede para abrir a porta UDP 1701 e permitir
pacotes ESP IPsec formatados (protocolo IP 50).
Causa: esse problema poder ocorrer se o firewall da rede no permitir o trfego GRE (protocolo IP 47).
O PPTP usa o GRE para dados em tnel.
Soluo: configure o firewall da rede entre o cliente VPN e o servidor para permitir o GRE. Alm disso,
verifique se o firewall da rede permite o trfego TCP na porta 1723. Essas duas condies devem ser
atendidas para que seja possvel usar o PPTP para estabelecer a conectividade VPN.
Causa: esses erros ocorrero se o cliente VPN solicitar um nvel de criptografia invlido ou se o
servidor VPN no der suporte ao tipo de criptografia solicitado pelo cliente.
Soluo: verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se Exigir
criptografia de dados (desconectar se no houver) estiver selecionado, desmarque-a seleo e
tente fazer a conexo novamente. Se voc estiver usando o NPS, verifique o nvel de criptografia na
poltica de rede no console do NPS ou as polticas em outros servidores RADIUS. Verifique se o nvel
de criptografia solicitado pelo cliente VPN est selecionado no servidor VPN.
Ausncia de certificado. Por padro, as conexes L2TP/IPsec exigem que, para a autenticao no
mesmo nvel do IPsec, uma troca de certificados de computador ocorra entre o servidor Acesso
Remoto e o cliente Acesso Remoto. Verifique os armazenamentos de certificado do Computador
Local do cliente Acesso Remoto e do servidor Acesso Remoto que usam o snap-in Certificados para
garantir que haja um certificado adequado.
Certificado incorreto. O cliente VPN deve ter um certificado de computador vlido instalado, emitido
por uma AC que siga uma cadeia de certificados vlida, da AC de emisso at uma AC raiz e na qual
o servidor VPN confie. Alm disso, o servidor VPN precisa ter um certificado de computador vlido
instalado que tenha sido emitido por uma AC que siga uma cadeia de certificados vlida, da AC de
emisso at a AC raiz e na qual o cliente VPN confie.
Um dispositivo NAT existe entre o cliente de acesso remoto e servidor Acesso Remoto. Se houver uma
NAT entre um cliente L2TP/IPsec baseado no Windows 2000 Server, no Windows Server 2003 ou no
Windows XP e um servidor L2TP/IPsec do Windows Server 2008, no ser possvel estabelecer uma
conexo L2TP/IPsec a menos que o cliente e o servidor deem suporte ao NAT-T (IPsec NAT traversal).
Existe um firewall entre o cliente Acesso Remoto e o servidor Acesso Remoto. Se houver um firewall
entre um cliente L2TP/IPsec do Windows e um servidor L2TP/IPsec do Windows Server 2012 e voc
no puder estabelecer uma conexo L2TP/IPsec, verifique se o firewall permite o encaminhamento do
trfego L2TP/IPsec.
7-33
Quando voc usa o EAP-TLS para a autenticao, o cliente VPN envia um certificado de usurio e o
servidor de autenticao (o servidor VPN ou o servidor RADIUS) envia um certificado de computador.
Para permitir que o servidor de autenticao valide o certificado do cliente VPN, as seguintes condies
devero ser verdadeiras para cada certificado na cadeia de certificados enviados pelo cliente VPN:
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado no foi revogado. Os certificados emitidos podem ser revogados a qualquer momento.
Cada AC de emisso mantm uma lista de certificados no considerados vlidos e publica uma CRL
atualizada. Por padro, o servidor de autenticao verifica todos os certificados na cadeia de
certificados dos clientes VPN (a srie de certificados do certificado do cliente VPN at a autoridade de
certificao raiz) para revogao. Se um dos certificados na cadeia tiver sido revogado, a validao do
certificado falhar.
O certificado possui uma assinatura digital vlida. As autoridades de certificao assinam digitalmente
os certificados emitidos. O servidor de autenticao verifica a assinatura digital de cada certificado na
cadeia (com exceo do certificado da AC raiz) obtendo a chave pblica da AC de emisso e
validando matematicamente a assinatura digital.
Para que o cliente VPN valide o certificado do servidor de autenticao de uma das autenticaes de
EAP-TLS, as seguintes condies devero ser verdadeiras para cada certificado na cadeia de
certificados enviados pelo servidor de autenticao:
o
A data atual deve estar compreendida entre as datas de validade dos certificados.
A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres, Reino
Unido. Um escritrio de IT e um data center esto localizados em Londres para dar suporte a Londres e a
outros locais. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor do Windows
Server 2012.
A gerncia da A. Datum deseja implementar uma soluo de acesso remoto para os funcionrios de
forma que eles possam se conectar rede corporativa quando estiverem fora do escritrio. Voc opta por
implantar um projeto piloto que permitir aos usurios no departamento de IT se conectarem usando
uma VPN com a intranet corporativa.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
1.
2.
Configurao do laboratrio
Mquinas virtuais
24411B-LON-DC1
24411B-LON-RTR
24411B-LON-CL2
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
7-35
A. Datum Corporation deseja implementar uma soluo Acesso Remoto para os funcionrios de forma
que eles possam se conectar rede corporativa quando estiverem fora do escritrio. Voc deve habilitar e
configurar os servios de servidor necessrios para facilitar esse acesso remoto. Para dar suporte soluo
VPN, voc precisa configurar uma Poltica de Rede que reflete a poltica de conexo remota corporativa.
Para o piloto, apenas o grupo de segurana deve ser capaz de usar a VPN. Entre as condies obrigatrias
esto a necessidade de um certificado do cliente, e horas de conexo s so permitidas entre a segundafeira e a sexta-feira, a qualquer momento.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
4.
5.
6.
7.
8.
9.
21. Alterne para o computador LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
22. Abra um prompt de comando e execute o comando gpupdate /force para atualizar as
configuraes da poltica de grupo.
23. Crie um console de gerenciamento executando mmc.exe.
24. Adicione o snap-in Certificados com foco na conta do computador local.
25. Navegue at o repositrio de certificados Pessoal.
26. Verifique se h um certificado para LON-CL2 emitido por Adatum-LON-DC1-CA.
27. Feche o console e no salve as configuraes do console.
2.
3.
4.
5.
6.
7.
8.
9.
a.
b.
c.
O servidor configurado com a opo No; use Roteamento e Acesso Remoto para
autenticar solicitaes de conexo.
2.
Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
3.
a.
b.
c.
d.
e.
f.
g.
Configuraes: padro
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN com xito e configurado
o acesso para membros do grupo de segurana global de IT.
7-37
Voc deve fornecer uma soluo de cliente simples de forma de os usurios possam instalar uma conexo
VPN baseada em L2TP pr-configurada que os permita se conectar rede corporativa.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
4.
b.
c.
d.
e.
f.
Pgina Criar ou Modificar uma Entrada de VPN: Edite a entrada VPN listada. Na guia Segurana:
g.
5.
6.
7.
Saia de LON-CL2.
2.
3.
4.
Senha: Pa$$w0rd
Quando tiver concludo o laboratrio, reverta todas as mquinas virtuais de volta para o estado inicial.
Resultados: Depois deste exerccio, voc deve ter distribudo um perfil CMAK com xito e testado o
acesso VPN.
Lio 5
Configurao do DirectAccess
7-39
Geralmente, as organizaes dependem das conexes VPN para fornecer aos usurios remotos acesso
seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e tm suporte
de diferentes clientes. No entanto, as conexes VPN devem ser primeiramente iniciadas pelo usurio e
podem exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN geralmente
habilitam o acesso remoto toda rede corporativa. As organizaes no podem gerenciar com eficincia
computadores remotos, a menos que estejam conectados. Para superar tais limitaes nas conexes VPN,
as organizaes podem implementar o DirectAccess para fornecer uma conexo contnua entre a rede
interna e o computador remoto na Internet. Com o DirectAccess, as organizaes podem gerenciar
computadores remotos mais efetivamente porque eles so efetivamente considerados parte da rede
corporativa.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o DirectAccess.
A soluo de problemas em conexes VPN com falha pode ser uma parte significativa de chamadas
de Suporte Tcnico para muitas organizaes.
Para superar essas limitaes em conexes VPN tradicionais, as organizaes podem implementar o
DirectAccess para fornecer uma conexo contnua entre a rede interna e o computador remoto na
Internet. Com o DirectAccess, as organizaes podem gerenciar mais facilmente computadores remotos,
porque eles esto sempre conectados.
O que o DirectAccess?
O recurso DirectAccess no Windows Server 2012
permite o acesso remoto contnuo aos recursos da
intranet sem primeiro estabelecer uma conexo
VPN iniciada pelo usurio. O recurso DirectAccess
tambm garante conectividade contnua
infraestrutura de aplicativo para usurios internos
e remotos.
Usa vrios variados, inclusive HTTPS, para estabelecer conectividade IPv6 HTTPS normalmente
permitido por firewalls e servidores proxy.
Oferece suporte ao acesso de servidor selecionado e autenticao IPsec completa com servidores
de rede da intranet.
7-41
Conectividade sempre ativa. Sempre que o usurio conectar o computador cliente Internet, o
computador cliente tambm ser conectado intranet. Essa conectividade permite que
computadores cliente remotos acessem e atualizem aplicativos com mais facilidade. Ela tambm
permite que os recursos da intranet estejam sempre disponveis e permite que os usurios se
conectem intranet corporativa de qualquer lugar e a qualquer momento, melhorando, assim, a
produtividade e o desempenho.
Aumento da segurana
Manage-out Support. O recurso Manage-out Support novo no Windows Server 2012 e fornece a
possibilidade de permitir apenas a funcionalidade de gerenciamento remoto no cliente do
DirectAccess. A nova subopo do assistente de configurao cliente do DirectAccess automatiza a
implantao de polticas usadas no gerenciamento do computador cliente. O Manage-out support
no implementa opes de poltica que permite aos usurios se conectarem rede para acesso ao
arquivo ou ao aplicativo. O Manage-out support unidirecional e fornece acesso somente de entrada
apenas para fins de administrao.
Maior segurana. diferentemente das VPNs tradicionais, o DirectAccess oferece muitos nveis de
controle de acesso aos recursos da rede. Esse controle mais rgido permite que os arquitetos de
segurana controlem precisamente os usurios remotos que acessam recursos especificados.
possvel usar uma poltica granular para definir especificamente qual usurio pode usar o
DirectAccess e o local do qual o usurio pode acess-lo. A criptografia IPsec usada para proteger o
trfego do DirectAccess, de modos que os usurios possam garantir a segurana de suas
comunicaes.
Componentes do DirectAccess
Para implantar e configurar o DirectAccess, a
organizao deve dar suporte aos seguintes
componentes da infraestrutura:
Servidor do DirectAccess
Clientes do DirectAccess
Recursos internos
Domnio do AD DS
Poltica de Grupo
Servidor DNS
Servidor NAP
Servidor DirectAccess
O servidor do DirectAccess pode ser qualquer servidor do Windows Server 2012 associado a um domnio e
que aceita conexes de clientes do DirectAccess e estabelece comunicao com recursos de intranet. Esse
servidor fornece servios de autenticao para clientes do DirectAccess e funciona como um ponto de
extremidade do modo de tnel IPsec para trfego externo. A nova funo de servidor Acesso Remoto
permite administrao centralizada, configurao e monitoramento para DirectAccess e conectividade VPN.
Comparado com a implementao anterior no Windows Server 2008 R2, a nova instalao
baseada no Assistente do DirectAccess simplifica o gerenciamento do DirectAccess para organizaes
pequenas e mdias. O assistente faz isso removendo a necessidade de implantao completa da PKI e
o requisito de dois endereos IPv4 pblicos consecutivos para o adaptador fsico conectado Internet.
No Windows Server 2012, o assistente de instalao do DirectAccess detecta o estado de implementao
real do servidor do DirectAccess e seleciona a melhor implantao automaticamente. Isso oculta a
complexidade da configurao manual das tecnologias de transio IPv6 do administrador.
Clientes DirectAccess
Os clientes do DirectAccess podem ser qualquer computador associado ao domnio no qual o
Windows 8 Enterprise, o Windows 7 Enterprise ou o Windows 7 Ultimate esteja em execuo.
Observao: Com provisionamento fora do local, possvel associar um computador
cliente do Windows 8 Enterprise em um domnio sem conectar o computador cliente nos locais
internos.
7-43
Os clientes do DirectAccess usam o NLS (Servidor de Local de Rede) para determinar o respectivo local. Se
puder se conectar com HTTPS, o computador cliente ir pressupor que ele esteja na intranet e desabilitar
os componentes do DirectAccess. Se o NLS no puder ser contatado, o cliente supor que est na
Internet. O servidor NLS instalado com a funo Servidor Web.
Observao: A URL do NLS distribuda usando a GPO.
Recursos internos
possvel configurar qualquer aplicativo compatvel com IPv6 em execuo em servidores internos ou
computadores clientes para que estejam disponveis a clientes do DirectAccess. Para aplicativos e
servidores mais antigos, inclusive os que no se baseiam em sistemas operacionais Windows e no
tenham suporte a IPv6, o Windows Server 2012 agora inclui suporte nativo para traduo de protocolo
(NAT64) e gateway de resoluo de nomes (DNS64) converterem a comunicao de IPv6 do cliente do
DirectAccess em IPv4 para os servidores internos.
Observao: Assim como no passado, essa funcionalidade tambm pode ser obtida com
Microsoft Forefront Unified Access Gateway. Da mesma forma, assim como em verses
anteriores, esses servios de traduo no do suporte a sesses iniciadas por dispositivos
internos, e sim apenas solicitaes originadas em clientes do DirectAccess IPv6.
Voc deve implantar pelo menos um domnio do Active Directory, em execuo no nvel funcional de
domnio do Windows Server 2003 no mnimo. O DirectAccess do Windows Server 2012 fornece suporte a
vrios domnios integrados, que permite que computadores clientes de domnios diferentes acessem
recursos que possam estar localizados em domnios confiveis diferentes.
Poltica de Grupo
PKI
Servidor DNS
Ao usar ISATAP, voc deve usar pelo menos Windows Server 2008 R2, Windows Server 2008 Service Pack
2 (SP2) ou mais novo, ou ainda um servidor DNS no Microsoft que d suporte a trocas de mensagem
DNS via ISATAP.
Servidores NAP
Nomes de rtulo nico, por exemplo, http://internal, normalmente tm sufixos de pesquisa DNS
configurados acrescentados ao nome antes de serem verificados na NRPT.
Se nenhum sufixo de pesquisa DNS for configurado e o nome de rtulo nico no corresponder a
nenhuma outra entrada de nome de rtulo nico na NRPT, a solicitao ser enviada aos servidores DNS
especificados nas configuraes TCP/IP do cliente.
Namespaces por exemplo, internal.adatum.com so inseridos na NRPT, seguidos dos servidores DNS
para os quais as solicitaes que corresponderem ao namespace devem ser direcionadas. Se um endereo
IP for inserido para o servidor DNS, todas as solicitaes de DNS sero enviadas diretamente para o
servidor DNS pela conexo do DirectAccess; voc no precisa especificar uma segurana adicional para
essas configuraes. No entanto, se um nome for especificado para o servidor DNS (como
dns.adatum.com) na NRPT, o nome dever ser resolvvel publicamente quando o cliente consultar os
servidores DNS especificados nas respectivas configuraes TCP/IP.
A NRPT permite que os clientes do DirectAccess usem servidores DNS da intranet para resoluo de
nomes de recursos internos e DNS da Internet para resoluo de nomes de outros recursos. No so
necessrios servidores DNS dedicados para a resoluo de nomes. O DirectAccess foi projetado para
evitar a exposio do namespace da intranet Internet.
7-45
Alguns nomes precisam ser tratados de maneira diferente em relao resoluo de nomes; esses nomes
no devem ser resolvidos usando servidores DNS da intranet. Para garantir que esses nomes sejam
resolvidos com os servidores DNS especificados nas configuraes TCP/IP do cliente, voc deve adicionlos como isenes da NRPT.
A NRPT controlada pela Poltica de Grupo. Quando o computador configurado para usar a NRPT, o
mecanismo da resoluo de nomes usa o seguinte, na ordem:
O arquivo de hosts
NRPT
Em seguida, o mecanismo da resoluo de nomes finalmente envia a consulta para os servidores DNS
especificados nas configuraes de TCP/IP.
O cliente do DirectAccess tenta resolver o FQDN (nome de domnio totalmente qualificado) da URL
do NLS. Como o FQDN da URL do NLS corresponde a uma regra de iseno na NRPT, o cliente do
DirectAccess envia a consulta DNS a um servidor DNS configurado localmente (baseado na intranet).
O servidor DNS baseado na intranet resolve o nome.
2.
O cliente do DirectAccess acessa a URL baseada em HTTPS do NLS, processo durante o qual ele
obtm o certificado do NLS.
3.
Com base no campo dos pontos de distribuio CRL do certificado NLS, o cliente do DirectAccess
verifica os arquivos de revogao CRL no ponto de distribuio da CRL para determinar se o
certificado NLS foi revogado.
4.
Com base em um cdigo de resposta HTTP 200 na resposta, o cliente do DirectAccess determina o
xito da URL do NLS (acesso bem-sucedido e verificao de autenticao e revogao de certificado).
O cliente do DirectAccess alternado para o perfil de firewall do domnio e ignora as polticas do
DirectAccess, alm de pressupor que ele esteja em rede interna at ocorrer a prxima alterao.
5.
6.
Por projeto, as regras de tnel da Segurana de Conexo do DirectAccess tm escopo para os perfis de
firewall pblico e privado, e elas so desabilitadas na lista de regras de segurana da conexo ativas.
O cliente do DirectAccess determinou com xito que ele est conectado respectiva intranet e no
usa configuraes do DirectAccess (regras NRPT ou de tnel da Segurana de Conexo). O cliente do
DirectAccess agora pode acessar recursos de intranet normalmente. Ele tambm pode acessar os recursos
da Internet por meios normais, como um servidor proxy.
Por fim, o cliente tenta acessar recursos de intranet e, em seguida, os recursos da Internet.
7-47
1.
O cliente tenta resolver o FQDN da URL do NLS. Como o FQDN da URL do NLS corresponde a uma
regra de iseno na NRPT, o cliente do DirectAccess no envia a consulta DNS a um servidor DNS
configurado localmente (baseado na Internet). Um servidor DNS baseado na Internet externo no
seria capaz de resolver o nome.
2.
O cliente do DirectAccess processa a solicitao de resoluo de nomes conforme definido nas regras
de iseno do DirectAccess no NRPT.
3.
Como o NLS no est localizado na mesma rede na qual o cliente do DirectAccess est localizado
atualmente, o cliente do DirectAccess aplica um perfil de rede de firewall pblico ou privado rede
conectada.
4.
As regras de tnel da Segurana de Conexo para o DirectAccess, com escopo para os perfis pblico
e privado, fornecem o perfil de rede de firewall pblico ou privado.
O cliente do DirectAccess usa uma combinao de regras da NRPT e de segurana da conexo para
localizar e acessar os recursos de intranet pela Internet por meio do servidor do DirectAccess.
Depois determinar o local de rede, o cliente do DirectAccess tentar localizar e entrar em um controlador
de domnio. Esse processo cria um tnel IPsec ou de infraestrutura usando o modo de tnel IPsec e ESP
no servidor do DirectAccess. O processo o seguinte:
1.
O nome DNS para o controlador de domnio corresponde regra de namespace da intranet na NRPT,
que especifica o endereo IPv6 do servidor DNS da intranet. O servio do cliente DNS cria a consulta
de nome DNS endereada para o endereo IPv6 do servidor DNS de intranet e, em seguida, a
transfere para a pilha TCP/IP do cliente do DirectAccess para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
3.
Como o endereo IPv6 de destino na consulta de nome DNS corresponde a uma regra de segurana
da conexo que corresponde ao tnel de infraestrutura, o cliente do DirectAccess usa AuthIP
(Authenticated IP) e IPsec para negociar e autenticar um tnel IPsec criptografado para o servidor do
DirectAccess. O cliente do DirectAccess (o computador e o usurio) se autentica com o certificado de
computador instalado e as credenciais do Microsoft Windows NT LAN Manager (NTLM),
respectivamente.
O cliente do DirectAccess envia a consulta de nome DNS pelo tnel de infraestrutura IPsec para o
servidor do DirectAccess.
5.
O servidor do DirectAccess encaminha a consulta de nome DNS para o servidor DNS de intranet. A
resposta da consulta de nome DNS reenviada ao servidor do DirectAccess e, em seguida, pelo tnel
de infraestrutura IPsec ao cliente do DirectAccess.
O trfego de logon do domnio subsequente passa pelo tnel de infraestrutura IPsec. Quando o usurio no
cliente do DirectAccess faz logon, o trfego de logon do domnio passa pelo tnel de infraestrutura IPsec.
Na primeira vez em que o cliente do DirectAccess envia trfego para um local da intranet que no esteja
na lista de destinos do tnel de infraestrutura (como um site interno), ocorre o seguinte processo:
1.
O aplicativo ou o processo que est tentando se comunicar cria uma mensagem ou carga e, em
seguida, a transfere pilha TCP/IP para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
3.
Como o endereo IPv6 de destino corresponde regra de segurana da conexo que corresponde ao
tnel da intranet (que especifica o espao de endereo IPv6 de toda a intranet), o cliente do
DirectAccess usa AuthIP ou IPsec para negociar e autenticar um tnel IPsec adicional para o servidor
do DirectAccess. O cliente DirectAccess autentica a si mesmo com o respectivo certificado do
computador instalado e as credenciais Kerberos da conta do usurio.
4.
O cliente DirectAccess envia o pacote pelo tnel da intranet para o servidor DirectAccess.
5.
Quando o usurio ou um processo no cliente do DirectAccess tenta acessar um recurso da Internet (como
um servidor Web da Internet), ocorre o seguinte processo:
1.
O servio de cliente do DNS passa o nome DNS para o recurso da Internet pela NRPT. No h
correspondncias. O servio de cliente do DNS cria a consulta de nome DNS endereada ao endereo
IP de um servidor DNS da Internet configurado pela interface e a transfere pilha TCP/IP para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
3.
4.
5.
O aplicativo de usurio ou processo constri o primeiro pacote para enviar ao recurso da Internet.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
6.
Assim como o processo de conexo, o acesso aos recursos do controlador de domnio e de intranet
tambm um processo bem parecido, porque ambos os processos esto usando tabelas NRPT para
localizar o servidor DNS apropriado a fim de resolver as consultas de nome. A diferena o tnel IPsec
estabelecido entre o cliente e o servidor do DirectAccess. Durante o acesso ao controlador de domnio,
todas as consultas DNS so enviadas pelo tnel de infraestrutura IPsec e, durante o acesso aos recursos de
intranet, um segundo tnel IPsec (intranet) estabelecido.
7-49
A implementao do DirectAccess no Windows Server 2012 no exige que dois endereos IPv4
pblicos estticos consecutivos sejam atribudos ao adaptador de rede.
No servidor do DirectAccess, possvel instalar a funo Acesso Remoto para definir as configuraes
do servidor e dos clientes do DirectAccess, alm de monitorar o status do servidor do DirectAccess. O
Assistente de Acesso Remoto oferece a opo de configurar apenas o DirectAccess, somente VPN, ou
ambos os cenrios no mesmo servidor que est executando o Windows Server 2012. Isso no era
possvel na implantao do Windows Server 2008 R2 do DirectAccess.
Para suporte ao balanceamento de carga, o Windows Server 2012 tem a capacidade de usar o NLB
(at oito ns) para obter alta disponibilidade e escalabilidade para DirectAccess e RAS.
Com o cenrio do novo DirectAccess 2012, possvel provisionar offline computadores clientes do
Windows 8 para associao ao domnio sem exigir que o computador esteja nos locais.
O computador cliente pode ser carregado com o Windows 8 Enterprise, o Windows 7 Enterprise, o
Windows 7 Ultimate, o Windows Server 2012 ou o Windows Server 2008 R2. No possvel implantar
o DirectAccess em clientes nos quais estejam em execuo Windows Vista, Windows Server 2008 ou
outras verses anteriores dos sistemas operacionais Windows.
Requisitos de infraestrutura
Estes so os requisitos de infraestrutura para implantar o DirectAccess:
AD DS. Voc deve implantar pelo menos um domnio do Active Directory. Grupos de trabalho no
so compatveis.
Poltica de Grupo. Voc precisa da Poltica de Grupo para administrao e implantao centralizadas
das configuraes de cliente do DirectAccess. O Assistente de Instalao do DirectAccess cria um
conjunto de GPOs e configuraes para clientes do DirectAccess, servidores do DirectAccess e
servidores de gerenciamento.
DNS e controlador de domnio. Voc deve ter pelo menos um controlador de domnio ao
menos um servidor DNS executando o Windows Server 2012, o Windows Server 2008 SP2 ou
o Windows Server 2008 R2.
PKI. Se s tiver computadores clientes do Windows 8, voc no precisar de uma PKI. Os computadores
clientes do Windows 7 exigem uma configurao mais complexa e, assim, exigem uma PKI.
Polticas IPsec. O DirectAccess utiliza polticas IPsec configuradas e administradas como parte do
Firewall do Windows com Segurana Avanada.
Trfego da solicitao de eco ICMPv6. Voc deve criar regras de entrada e sada separadas que
permitam mensagens de solicitao de eco ICMPv6. A regra de entrada obrigatria para permitir
mensagens de solicitao de eco ICMPv6 e deve ter como escopo todos os perfis. A regra de sada
para permitir mensagens de solicitao de eco ICMPv6 deve ter como escopo todos os perfis e s
ser obrigatria se o bloco de sada estiver ativado. Clientes do DirectAccess que usam Teredo na
conectividade IPv6 com a intranet usam a mensagem ICMPv6 ao estabelecerem a comunicao.
IPv6 e tecnologias de transio. IPv6 e as tecnologias de transio devem estar disponveis para serem
usadas no servidor do DirectAccess. Para cada servidor DNS em execuo no Windows Server 2008 ou
no Windows Server 2008 R2, voc precisa remover o nome ISATAP da lista de bloco da consulta global.
Configurao do DirectAccess
Para configurar o DirectAccess, realize as
seguintes etapas:
1.
2.
3.
7-51
Instale a funo Acesso Remoto e configure o servidor do DirectAccess de forma que ele seja um
dos seguintes:
Um design alternativo que o servidor do DirectAccess s tem uma interface de rede, no duas. Para
esse design, realize as seguintes etapas:
4.
Se tiver desabilitado o IPv6 em clientes e servidores, voc dever reabilitar o IPv6, porque ele
obrigatrio para o DirectAccess.
Instale um servidor Web no servidor do DirectAccess para permitir que clientes do DirectAccess
determinem se eles esto dentro ou fora da intranet. possvel instalar esse servidor Web em um
servidor interno parte para determinar o local da rede.
Com base no cenrio de implantao, voc precisa designar um dos adaptadores de rede do
servidor como a interface para Internet (na implantao com dois adaptadores de rede) ou
publicar o servidor do DirectAccess implantado atrs da NAT para acesso Internet.
No servidor do DirectAccess, verifique se a interface para Internet est configurada para uma
interface Pblica ou Privada, dependendo do design da rede. Configure as interfaces de intranet
como interfaces de domnio. Se voc tiver mais de duas interfaces, verifique se no h mais de
dois tipos de classificao selecionados.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-RTR
24411B-LON-CL1
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
Senha: Pa$$w0rd
5.
6.
7-53
Voc optou por implementar o DirectAccess como uma soluo para computadores clientes remotos que
no consigam se conectar por VPN. Alm disso, voc deseja abordar problemas de gerenciamento, como
aplicativo de GPO para computadores cliente remotos. Para essa finalidade, voc ir configurar os
componentes de pr-requisito do DirectAccess e o servidor do DirectAccess.
As principais tarefas deste exerccio so:
1.
2.
Configurar certificados
3.
4.
2.
b.
Abra o console dos Usurios e Computadores do Active Directory e crie uma UO (Unidade
Organizacional) chamada DA_Clients OU.
c.
d.
e.
b.
c.
d.
e.
3.
a.
Nome: nls
Endereo IP: 172.16.0.21
Nome: crl
Endereo IP: 172.16.0.1
b.
4.
Remova ISATAP da lista global de consultas no autorizadas DNS realizando as seguintes etapas:
a.
Abra uma janela do prompt de comando, digite o seguinte comando e pressione Enter:
dnscmd /config /globalqueryblocklist wpad
5.
6.
b.
c.
b.
a.
b.
Local: .crl
Selecione os seguintes:
Local: .crl
2.
c.
d.
b.
c.
d.
e.
b.
c.
d.
e.
f.
7-55
a.
3.
Selecione os seguintes:
b.
2.
3.
4.
5.
6.
Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
7.
b.
c.
d.
b.
a.
c.
d.
a.
2.
3.
b.
c.
Observao
distribuio CRL.
o
No painel de detalhes do Explorador de Arquivos, clique com o boto direito do mouse na pasta
CRLDist, clique em Propriedades e conceda as permisses Compartilhamento de Controle
Total e NTFS.
4.
5.
a.
b.
c.
7-57
b.
c.
d.
Observao: Se voc vir um erro neste momento, reinicie LON-RTR, entre como
ADATUM\Administrador e reinicie a partir de c).
e.
f.
g.
h.
i.
j.
k.
l.
o.
6.
p.
q.
r.
s.
t.
u.
v.
Abra o prompt de comando e digite os seguintes comandos pressionando Enter depois de cada
linha:
gpupdate /force
Ipconfig
2.
3.
Inicie LON-CL1 e entre como ADATUM\Administrador com a senha Pa$$w0rd. Abra uma janela do
prompt de comando e digite os seguintes comandos pressionando Enter ao final de cada linha:
gpupdate /force
gpresult /R
2.
2.
3.
7-59
1.
2.
3.
4.
Resultados: Depois de concluir esse exerccio, voc ter configurado os clientes do DirectAccess.
2.
2.
3.
2.
3.
4.
5.
2.
Observe que o endereo IP retornado comea com 2002. Esse o endereo IP-HTTPS.
3.
4.
5.
2.
3.
Uma janela de pasta com o contedo da pasta compartilhada Arquivos deve ser exibida.
4.
5.
6.
7.
8.
9.
Observao: Observe que LON-CL1 conectado via IP-HTTPS. No painel Detalhes da Conexo,
no canto inferior direito da tela, observe o uso de Kerberos para a Mquina e o Usurio.
10. Feche todas as janelas abertas.
Resultados: Depois de concluir esse exerccio, voc ter verificado a configurao do DirectAccess.
Use para
Onde encontrar
7-61
Services.msc
Ferramentas Administrativas
Inicie-a em Executar
Gpedit.msc
Inicie-a em Executar
Mmc.exe
Inicie-a em Executar
Gpupdate.exe
Mdulo 8
8-1
8-2
8-7
8-14
8-24
8-30
8-34
A funo NPS (Servidor de Poltica de Rede) no Windows Server 2012 fornece suporte para o protocolo
RADIUS e pode ser configurada como um servidor ou proxy RADIUS. Alm disso, o NPS fornece
funcionalidade essencial implementao da NAP (Proteo de Acesso Rede). Para oferecer suporte a
clientes remotos e implementar a NAP, importante saber como instalar e configurar o NPS, bem como
solucionar problemas relacionados.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
8-2
O NPS implementado como uma funo de servidor no Windows Server 2012. Durante a instalao da
funo NPS, voc deve decidir se deseja usar o NPS como um servidor RADIUS, um proxy RADIUS ou um
servidor de poltica NAP. Depois da instalao, voc pode configurar a funo NPS usando vrias
ferramentas. Voc deve entender como instalar e configurar a funo NPS para oferecer suporte sua
infraestrutura RADIUS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Servidor RADIUS
Proxy RADIUS
Servidor RADIUS
8-3
Quando um servidor NPS for membro de um domnio AD DS (Servios de Domnio Active Directory), o NPS
usar o AD DS como seu banco de dados de conta de usurio e fornecer SSO (logon nico), o que significa
que os usurios utilizam o mesmo conjunto de credenciais para controle de acesso rede (autenticando e
autorizando acesso a uma rede), da mesma forma que acessam recursos no domnio AD DS.
Organizaes que mantm o acesso rede, como ISPs (provedores de servio de Internet), tm o desafio
de gerenciar vrios mtodos de acesso rede em um nico ponto de administrao, independentemente
do tipo de equipamento de acesso rede que eles utilizam. O padro RADIUS d suporte a este requisito.
RADIUS um protocolo de plataforma cliente-servidor que permite que os equipamentos de acesso
rede, usados como clientes RADIUS, enviem solicitaes de autenticao e contabilizao para um
servidor RADIUS.
Um servidor RADIUS tem acesso s informaes da conta do usurio e pode verificar as credenciais de
autenticao do acesso rede. Se as credenciais do usurio forem autnticas e o RADIUS autorizar a
tentativa de conexo, o servidor RADIUS autorizar o acesso do usurio de acordo com as condies
configuradas e registrar a conexo de acesso rede em um log de contabilizao. O uso do RADIUS
permite coletar e manter os dados da autenticao do usurio, da autorizao e da contabilizao de
acesso rede em um local central, e no em cada servidor de acesso.
Proxy RADIUS
quando o NPS for utilizado como um proxy RADIUS, configure polticas de solicitao de conexo que
indiquem quais solicitaes de conexo o servidor NPS encaminhar para outros servidores RADIUS e os
servidores RADIUS para os quais essas solicitaes sero encaminhadas. Voc tambm pode configurar o
NPS para encaminhar dados de contabilizao para registro em log por um ou mais computadores em
um grupo de servidores RADIUS remotos.
Com o NPS, sua organizao tambm pode terceirizar a infraestrutura de acesso remoto para um
provedor de servios, e ainda manter o controle sobre a autenticao do usurio, a autorizao e a
contabilizao.
Voc pode criar diferentes configuraes NPS para as seguintes solues:
Acesso Internet
8-4
Quando voc configura o NPS como um servidor de polticas NAP, o NPS avalia as declaraes de
integridade (SoHs) enviadas pelos computadores cliente compatveis com NAP que tentam se conectar
rede. O NPS tambm atua como um servidor RADIUS quando configurado com a NAP, realizando a
autenticao e autorizao de solicitaes de conexo. possvel definir polticas e configuraes NAP no
NPS, inclusive SHVs (validadores da integridade do sistema), poltica de integridade e grupos de
servidores de atualizaes que permitem que os computadores cliente atualizem as respectivas
configuraes, de modo a se tornarem compatveis com a poltica de rede de sua organizao.
O Windows 8 e o Windows Server 2012 incluem a NAP, o que ajuda a proteger o acesso s redes
privadas, garantindo que os computadores cliente sejam configurados de acordo com as polticas de
integridade da rede da organizao para que possam se conectar aos recursos da rede. Alm disso, a NAP
monitora a conformidade dos computadores cliente com a poltica de integridade definida pelo
administrador, enquanto o computador estiver conectado rede. O recurso de correo automtica da
NAP permite verificar se computadores incompatveis so atualizados automaticamente, tornando-os
compatveis com a poltica de integridade para que obtenham xito na conexo com a rede.
Os administradores de sistema definem as polticas de integridade da rede e geram essas polticas usando
componentes da NAP fornecidos pelo NPS, de acordo com a implantao da NAP, ou fornecidos por terceiros.
As polticas de integridade podem conter requisitos de software, de atualizao de segurana e as
definies das configuraes necessrias. Para impor as polticas de integridade, a NAP inspeciona e avalia
a integridade dos computadores cliente, restringe o acesso rede quando os computadores cliente so
considerados problemticos e os corrige para que obtenham o acesso total rede.
Etapas da demonstrao
Instalar a funo NPS
1.
2.
3.
Registrar o NPS no AD DS
1.
2.
3.
8-5
Comandos netsh para NPS. Os comandos netsh para NPS consistem em um conjunto de comandos
que o equivalente completo de todas as definies de configurao disponveis por meio do snapin NPS MMC. Voc pode executar os comandos netsh manualmente no prompt do netsh ou nos
scripts do administrador.
Um exemplo do uso do netsh que, aps instalar e configurar o NPS, possvel salvar a
configurao, emitindo o comando netsh nps show config > path\file.txt. Salve a configurao
NPS com esse comando toda vez que fizer uma alterao.
Windows PowerShell. Voc tambm pode usar os cmdlets do Windows PowerShell para configurar e
gerenciar um Servidor de Polticas de Rede.
Por exemplo, para exportar a configurao NPS, voc pode usar o cmdlet Export-NpsConfiguration
-Path <nome de arquivo>.
Salvar a configurao.
Etapas da demonstrao
Configurar um servidor RADIUS para conexes VPN
1.
No console Servidor de Polticas de Rede, inicie o Assistente para Configurar VPN ou Dial-Up.
2.
3.
4.
Salvar a configurao
1.
2.
3.
8-6
Lio 2
8-7
RADIUS um protocolo de autenticao padro do setor usado por muitos fornecedores para oferecer
suporte troca de informaes de autenticao entre elementos de uma soluo de acesso remoto. Para
centralizar as necessidades da autenticao remota de sua organizao, voc pode configurar NPS como
um servidor RADIUS ou um proxy RADIUS. Ao configurar clientes e servidores RADIUS, voc deve
considerar vrios fatores, como os servidores RADIUS que autenticaro solicitaes de conexo de clientes
RADIUS e as portas que o trfego RADIUS usar.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
8-8
Servidores de acesso rede que oferecem conectividade de acesso remoto rede de uma
organizao ou Internet, como um computador que est executando com o sistema operacional
Windows Server 2012 e o servio Roteamento e Acesso Remoto, que fornece servios tradicionais de
rede dial-up ou de acesso remoto VPN para a intranet de uma organizao.
Pontos de acesso sem fio que fornecem acesso camada fsica da rede de uma organizao usando
tecnologias de transmisso e recepo baseadas no padro sem fio.
Switches que fornecem acesso camada fsica da rede de uma organizao usando tecnologias
tradicionais de LAN (rede local), como a Ethernet.
Proxies RADIUS baseados no NPS que encaminham solicitaes de conexo para servidores RADIUS
que pertencem a um grupo de servidores remotos RADIUS configurado no proxy RADIUS ou em
outros proxies RADIUS.
Voc for um provedor de servios que oferece servios terceirizados de rede dial-up, VPN ou de
acesso rede sem fio para diversos clientes.
Seu NAS envia solicitaes de conexo ao proxy RADIUS NPS. Com base na parte do territrio do
nome do usurio contida na solicitao de conexo, o proxy RADIUS NPS encaminha a solicitao de
conexo para um servidor RADIUS mantido pelo cliente, e pode autenticar e autorizar a tentativa de
conexo.
Isso abrange as contas existentes em domnios no confiveis, domnios com relao de confiana
unidirecional e outras florestas. Em vez de configurar os servidores de acesso para enviar as
respectivas solicitaes de conexo para um servidor RADIUS NPS, voc pode configur-los para
enviar essas solicitaes para um proxy RADIUS NPS. O proxy RADIUS NPS usa a parte do nome de
realm do nome do usurio e encaminha a solicitao para um servidor NPS no domnio ou na floresta
corretos. As tentativas de conexo de contas do usurio em um domnio ou floresta podem ser
autenticadas para o NAS em outro domnio ou floresta.
8-9
Voc deseja executar autenticao e autorizao usando um banco de dados diferente de um banco
de dados da conta do Windows.
Voc deseja processar uma grande quantidade de solicitaes de conexo. Nesse caso, em vez de
configurar os clientes RADIUS para tentar equilibrar as respectivas solicitaes de conexo e
contabilizao entre vrios servidores RADIUS, configure-os para enviar suas solicitaes de conexo
e contabilizao para um proxy RADIUS NPS.
O proxy RADIUS NPS equilibra dinamicamente a carga das solicitaes de conexo e contabilizao
entre os diversos servidores RADIUS, alm de aumentar o processamento de grandes quantidades de
clientes e autenticaes RADIUS a cada segundo.
Voc deseja fornecer autenticao e autorizao RADIUS para provedores de servios terceirizados e
minimizar a configurao do firewall da intranet.
Um firewall de intranet est entre sua intranet e sua rede de permetro (a rede existente entre a
intranet e a Internet). Ao colocar um servidor NPS em sua rede de permetro, o firewall existente entre
a rede de permetro e a intranet deve permitir o fluxo do trfego entre o servidor NPS e os diversos
controladores de domnio.
Ao substituir o servidor NPS por um proxy NPS, o firewall deve permitir que somente o trfego do
RADIUS flua entre o proxy NPS e um ou vrios servidores NPS dentro de sua intranet.
Etapas da demonstrao
1.
2.
3.
4.
Opo para configurar o servidor: Sim, configure este servidor para funcionar com um
servidor RADIUS.
Segredo: Pa$$w0rd
Condies
Configuraes
Configuraes de poltica de solicitao de conexo so um conjunto de propriedades aplicadas a uma
mensagem RADIUS recebida. As configuraes so formadas pelos seguintes grupos de propriedades:
Autenticao
Contabilizao
Manipulao de atributos
Avanado
8-11
A autenticao no configurada.
A manipulao de atributo no configurada com as regras que alteram os atributos nas solicitaes
de conexo encaminhadas.
A Solicitao de Encaminhamento ativada, o que significa que o servidor NPS local autentique e
autorize as solicitaes de conexo.
A poltica padro de solicitao de conexo utiliza o NPS como um servidor RADIUS. Para configurar um
servidor NPS para atuar como um proxy RADIUS, configure tambm um grupo de servidores remotos
RADIUS. Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de criao de
uma nova poltica de solicitao de conexo com o Assistente de Nova Poltica de Solicitao de Conexo.
possvel excluir a poltica padro de solicitao de conexo ou garantir que essa poltica padro seja a
ltima a ser processada.
Observao: Se o NPS e o servio Roteamento e Acesso Remoto estiverem instalados no
mesmo computador, e esse servio estiver configurado para autenticao e contabilizao do
Windows, ser possvel que as solicitaes de autenticao e contabilizao do servio
Roteamento e Acesso Remoto sejam encaminhadas para um servidor RADIUS. Isso pode ocorrer
quando as solicitaes de autenticao e contabilizao do servio Roteamento e Acesso Remoto
atenderem a uma poltica de solicitao de conexo configurada para encaminh-las para um
grupo de servidores remotos RADIUS.
Voc pode usar o Assistente de Nova Poltica de Solicitao de Conexo para criar um novo grupo de
servidores remotos RADIUS ao criar uma nova solicitao de conexo.
Para que o servidor NPS no atue como um servidor RADIUS e processe as solicitaes de conexo
localmente, exclua a poltica padro de solicitao de conexo.
Se voc preferir que o servidor NPS atue duplamente como um servidor RADIUS (processando as
solicitaes de conexo localmente) e como um proxy RADIUS (encaminhando algumas solicitaes
de conexo para um grupo de servidores remotos RADIUS), adicione uma nova poltica e verifique se
a poltica padro de solicitao de conexo a ltima processada.
Por padro, o NPS escuta o trfego RADIUS nas portas 1812, 1813, 1645 e 1646 para os protocolos IPv6 e
IPv4 em todos os adaptadores de rede instalados.
Observao: Se voc desabilitar o IPv4 ou o IPv6 em um adaptador de rede, o NPS no
monitorar o trfego RADIUS para o protocolo desinstalado.
Os valores 1812 para autenticao e 1813 para contabilizao representam as portas RADIUS padro
definidas nas RFCs 2865 e 2866. No entanto, por padro, muitos servidores de acesso usam as portas 1645
para solicitaes de autenticao e 1646 para solicitaes de contabilizao. Ao determinar os nmeros
de porta a serem usados, verifique se voc configura o NPS e o servidor de acesso para usar os mesmos
nmeros de porta. se voc no usar os nmeros de porta RADIUS padro, ser necessrio configurar as
excees no firewall do computador local para permitir o trfego RADIUS nas novas portas.
Voc pode usar o procedimento a seguir para configurar as portas UDP que o NPS usa para o trfego de
autenticao e contabilizao do RADIUS.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
Para configurar as informaes da porta UDP do NPS por meio da interface do Windows:
1.
2.
Clique com o boto direito do mouse em Servidor de Polticas de Rede e clique em Propriedades.
3.
Clique na guia Portas e examine as configuraes para portas. Se as portas UDP de autenticao e
contabilizao RADIUS variarem dos valores padro fornecidos (1812 e 1645 para autenticao, e
1813 e 1646 para contabilizao), digite as configuraes da porta em Autenticao e
Contabilizao.
Etapas da demonstrao
1.
2.
3.
4.
8-13
Lio 3
O NPS autentica e autoriza uma solicitao de conexo antes de permitir ou negar acesso quando os
usurios tentam se conectar com sua rede atravs de servidores de acesso rede, tambm conhecidos
como clientes RADIUS, como pontos de acesso sem fio, switches de autenticao 802.1X, servidores dialup e servidores VPN.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
8-15
possvel configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode configurar
os servidores de acesso rede, conhecidos tambm como clientes RADIUS, para tentar negociar uma
conexo com os computadores cliente, solicitando o uso do protocolo mais seguro em primeiro lugar, e
depois os mais seguros na ordem decrescente, e assim por diante, at o menos seguro. Por exemplo, o
servio Roteamento e Acesso Remoto tenta negociar uma conexo usando os protocolos a seguir na
ordem mostrada:
1.
EAP
2.
MS-CHAP v2
3.
MS-CHAP
4.
CHAP
5.
SPAP
6.
PAP
Quando o protocolo EAP escolhido como mtodo de autenticao, ocorre uma negociao do tipo EAP
entre o cliente de acesso e o servidor NPS.
MS-CHAP verso 2
O MS-CHAP v2 fornece uma segurana mais forte para as conexes de acesso rede, do que o MS-CHAP,
seu antecessor. O MS-CHAP v2 um processo unidirecional de autenticao mtua de senha
criptografada, que funciona como descrito a seguir:
1.
O autenticador (o servidor de acesso rede ou o servidor NPS) envia um desafio para o cliente de
acesso, que consiste em um identificador de sesso e uma cadeia de caracteres de desafio qualquer.
2.
3.
4.
nome de usurio.
Uma resposta autenticada com base na cadeia enviada de caracteres de desafio, na cadeia de
caracteres de desafio de pares, na resposta criptografada do cliente e na senha do usurio.
MS-CHAP
MS-CHAP, tambm conhecido como MS-CHAP verso 1, um protocolo de autenticao irreversvel por
senha criptografada.
O processo de desafio funciona da seguinte maneira:
1.
O autenticador (o servidor de acesso rede ou o servidor NPS) envia um desafio para o cliente de
acesso, que consiste em um identificador de sesso e uma cadeia de caracteres de desafio qualquer.
2.
O cliente de acesso envia uma resposta que contm o nome do usurio e uma criptografia irreversvel
da cadeia de caracteres de desafio, do identificador da sesso e da senha.
3.
O MS-CHAP v2 fornece uma segurana mais forte do que o MS-CHAP para as conexes de acesso rede.
Considere o uso do MS-CHAP v2 em vez do MS-CHAP.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta.
Diversos fornecedores de servidores e clientes de acesso rede utilizam o CHAP. Um servidor que executa
o Roteamento e Acesso Remoto oferece suporte ao CHAP para permitir a autenticao dos clientes de
acesso que exigem esse protocolo. Uma vez que o protocolo CHAP requer o uso de uma senha de
criptografia reversvel, considere o uso de outro protocolo de autenticao, como o MS-CHAP v2.
Consideraes adicionais
Ao implementar CHAP, considere o seguinte:
Quando as senhas dos usurios expirarem, o CHAP no permitir que eles alterem as senhas durante
o processo de autenticao.
Verifique se no servidor de acesso rede h suporte para o protocolo CHAP, antes de habilit-lo em
uma poltica de rede do servidor NPS. Para obter mais informaes, consulte a documentao do NAS.
PAP
O PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro. Em geral,
esse protocolo negociado se o cliente de acesso e o servidor de acesso rede no puderem negociar
um mtodo de autenticao mais seguro. Quando voc habilitar o PAP como um protocolo de
autenticao, as senhas do usurio sero enviadas na forma de texto no criptografado. Quem estiver
capturando os pacotes do processo de autenticao poder ler a senha facilmente e utiliz-la para obter
acesso no autorizado sua intranet. Desestimulamos enfaticamente o uso do PAP, principalmente em
conexes VPN.
Acesso no autenticado
8-17
Quando voc habilitar o acesso no autenticado, os usurios podero acessar sua rede sem enviar as
credenciais do usurio. Alm disso, clientes de acesso no autenticados no negociam o uso de um
protocolo de autenticao comum durante o processo de estabelecimento de conexo e eles no enviam
para o NPS um nome de usurio ou senha.
Se voc permitir o acesso no autenticado, os clientes podero se conectar sem autenticao se os
protocolos de autenticao configurados no cliente de acesso no corresponderem aos protocolos de
autenticao configurados no servidor de acesso rede. Nesse caso, o uso de um protocolo de
autenticao comum no negociado e o cliente de acesso no envia um nome de usurio e senha. Essa
circunstncia gera um problema de segurana grave. Portanto, o acesso no autenticado no deve ser
permitido na maioria das redes.
Mtodos de autenticao
Dois mtodos de autenticao, quando voc os configura com os tipos de autenticao baseada em
certificado, usam certificados: EAP e PEAP. Com o EAP, possvel configurar o tipo de autenticao TLS
(EAP-TLS), e com o PEAP, os tipos de autenticao TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-CHAP v2).
Esses mtodos de autenticao sempre utilizam certificados para a autenticao do servidor. De acordo
com o tipo de autenticao configurado no mtodo de autenticao, voc tambm pode usar certificados
para a autenticao de usurios e de computadores cliente.
Observao: O uso de certificados para autenticao da conexo VPN a forma mais
segura de autenticao disponvel no Windows Server 2008 R2. Voc deve usar certificados para
autenticao IPsec em conexes VPN que sejam baseadas no protocolo L2TP/IPsec. As conexes
PPTP no exigem certificados, embora seja possvel configur-las para usar certificados para a
autenticao de computadores quando voc utilizar o protocolo EAP-TLS como mtodo de
autenticao. Para os clientes de rede sem fio (dispositivos de computao com adaptadores de
rede sem fio, como um computador porttil ou o PDA (assistente digital pessoal),
recomendvel usar o PEAP com o EAP-TLS e cartes inteligentes ou certificados para
autenticao.
Observao: Voc pode implantar certificados para serem utilizados com o NPS,
instalando e configurando a funo Servidor AD CS.
Autenticao mtua
Quando voc utilizar o EAP com um tipo forte de EAP (como o TLS com cartes inteligentes ou
certificados), tanto o cliente quanto o servidor usaro certificados para validar mutuamente suas
identidades, o que conhecido como autenticao mtua. Os certificados devem atender a requisitos
especficos para que o servidor e o cliente os utilizem na autenticao mtua.
Um desses requisitos que o certificado esteja configurado com um ou mais propsitos nas extenses
EKU (Uso Estendido de Chave), relacionadas ao uso do certificado. Por exemplo, voc deve configurar um
certificado que seja utilizado para a autenticao de um cliente com a finalidade de Autenticao de
Cliente. Da mesma forma, voc deve configurar um certificado que seja utilizado para a autenticao de
um servidor com a finalidade de Autenticao de Servidor. Quando voc usa certificados para
autenticao, o autenticador examina o certificado do cliente e procura o identificador correto do objeto
finalidade nas extenses EKU. Por exemplo, o identificador do objeto da finalidade Autenticao do
Cliente 1.3.6.1.5.5.7.3.2. Quando voc utiliza um certificado para autenticao de computadores cliente,
esse identificador de objeto deve estar presente nas extenses EKU do certificado, caso contrrio, a
autenticao falhar.
Modelos de certificado
8-19
Modelos de Certificado um snap-in do MMC que permite a personalizao dos certificados emitidos
pelo AD CS. As opes de personalizao abrangem o modo como os certificados sero emitidos e o que
contero, inclusive suas finalidades. Nos Modelos de Certificado, possvel usar um modelo padro, como
o modelo Computador, para definir o modelo que a autoridade de certificao usar para atribuir
certificados aos computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a
esse modelo nas extenses EKU. Por padro, o modelo Computador contm as finalidades Autenticao
de Cliente e Autenticao de Servidor nas extenses EKU.
O modelo de certificado criado pode conter qualquer finalidade para a qual voc o utilizar. Por exemplo,
se voc usar cartes inteligentes na autenticao, ser possvel incluir a finalidade Logon do Carto
Inteligente, alm da finalidade Autenticao de Cliente. Ao usar o NPS, voc pode configur-lo para
verificar as finalidades dos certificados antes de conceder autorizao para a rede. O NPS pode verificar
outras finalidades das EKUs e das Polticas de Emisso, conhecidas tambm como Polticas de Certificados.
Observao: Alguns softwares de autoridade de certificao no pertencentes Microsoft
podem conter uma finalidade denominada Todas, que representa todas as finalidades possveis. Isso
indicado por uma extenso EKU em branco (ou nula). Embora Todas possa significar todas as
finalidades possveis, no possvel substituir essa finalidade pela finalidade Autenticao de Cliente,
Autenticao de Servidor ou por qualquer outra relacionada autenticao de acesso rede.
Certificado
Certificado de
autoridade de
certificao no
repositrio de
certificados de
Autoridades de
Certificao Raiz
Confiveis para o
Computador Local
e o Usurio Atual
Detalhes
Para o PEAP-MS-CHAP
v2, esse certificado
necessrio para a
autenticao mtua
entre o cliente e o
servidor.
(continuao)
Certificado
Detalhes
Certificado de
computador
cliente no
repositrio de
certificados do
cliente
Sim. Os certificados de
computadores cliente
so necessrios, a menos
que os certificados de
usurio sejam
distribudos em cartes
inteligentes. Os
certificados de cliente
so registrados
automaticamente para os
computadores membro
do domnio. Para os
computadores no
pertencentes ao domnio,
voc deve importar
manualmente o
certificado ou obt-lo
com a ferramenta de
registro via Web.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Se voc implantar
certificados de usurio
em cartes inteligentes,
os computadores
cliente no precisaro
de certificados de
cliente.
Certificado de
servidor no
repositrio de
certificados do
servidor NPS
Certificado de
usurio em um
carto inteligente
o AD CS para registrar
automaticamente os
certificados de servidor
para os membros do
grupo de servidores RAS
e IAS no AD DS.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Para os protocolos
EAP-TLS e
PEAP-TLS, se voc no
registrar
automaticamente os
certificados de
computadores cliente,
sero necessrios os
certificados de usurio
em cartes inteligentes.
A autenticao Institute of Electrical and Electronics Engineers, Inc. (IEEE) 802.1X fornece acesso
autenticado s redes 802.11 sem fio e s redes Ethernet com fio. O padro 802.1X compatvel com os
tipos de EAP seguros, como o TLS com cartes inteligentes ou certificados. Voc pode configurar o 802.1X
com o EAP-TLS de vrias maneiras.
Se voc configurar a opo Validar certificado do servidor no cliente, o cliente autenticar o servidor
usando seu certificado. A autenticao de computadores cliente e de usurios acontece por meio dos
certificados do repositrio de certificados ou de um carto inteligente, fornecendo autenticao mtua.
Com os clientes de rede sem fio, use o PEAP-MS-CHAP v2 como mtodo de autenticao. PEAP-MS-CHAP
v2 um mtodo de autenticao de usurio, baseado em senha, que utiliza o TLS com certificados de
servidor. Durante a autenticao do PEAP-MS-CHAP v2, o servidor NPS fornece ao cliente um certificado
para validar sua identificao (se a opo Validar certificado de servidor estiver configurada no cliente
Windows 8). A autenticao de computadores cliente e de usurios feita com senhas, o que reduz uma
parte da dificuldade da implantao de certificados para os computadores cliente de rede sem fio.
8-21
b.
No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c.
Clique na guia Nome de Requerente e clique em Criar com base nas informaes do Active
Directory.
d.
b.
No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c.
b.
No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c.
Clique na guia Nome de Requerente e clique em Criar com base nas informaes do Active
Directory.
d.
Com o PEAP e o EAP-TLS, os servidores NPS exibem uma lista de todos os certificados instalados no
repositrio de certificados de computador, com exceo de:
Uma autoridade de certificao corporativa emitiu o certificado de cliente ou ele foi mapeado para
uma conta de usurio ou de computador do Active Directory.
O cliente 802.1X no usa os certificados baseados no registro, que so certificados de logon por
carto inteligente ou protegidos por senha.
b.
No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c.
Clique na guia Nome de Entidade e clique em Criar com base nas informaes do Active
Directory.
d.
8-23
b.
No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c.
Clique na guia Nome de Entidade e clique em Criar com base nas informaes do Active
Directory.
d.
Com o PEAP-TLS e o EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in
de Certificados, com exceo de:
Clientes de rede sem fio que no exibem os certificados baseados em registro e de logon por cartes
inteligentes.
Clientes de rede sem fio e de VPN que no exibem os certificados protegidos por senha.
Lio 4
Para monitorar o NPS, voc pode configurar e usar o registro em log de eventos, bem como as
solicitaes de autenticao e contabilizao. O log de eventos permite que voc registre eventos do NPS
nos logs de eventos do sistema e de segurana. Voc pode usar o log de solicitaes para fins de
cobrana e anlise de conexo. As informaes que os arquivos de log coletam so teis para solucionar
problemas de tentativas de conexo para investigao de segurana.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Ative o log (inicialmente) para registros de autenticao e contabilizao. Faa essas selees aps
determinar o que apropriado para seu ambiente.
Certifique-se de configurar o log de eventos com capacidade suficiente para manter os logs.
Faa backup de todos os arquivos de log regularmente, pois eles no podero ser recriados se forem
danificados ou excludos.
8-25
Use o atributo Class do RADIUS para controlar o uso e para simplificar a identificao do
departamento ou usurio a ser cobrado pelo uso. Embora o atributo Class, que gerado
automaticamente, seja exclusivo para cada solicitao, pode haver registros duplicados nos casos em
que a resposta ao servidor de acesso perdida e a solicitao enviada novamente. Pode ser
necessrio excluir as solicitaes duplicadas dos seus logs para controlar o uso mais precisamente.
Para fornecer failover e redundncia com o log do SQL Server, coloque dois computadores com SQL
Server em sub-redes diferentes. Use o Assistente para Criar Publicao do SQL Server para configurar
a replicao do banco de dados entre os dois servidores. Para obter mais informaes, consulte a
documentao do SQL Server.
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o NPS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
como \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando voc usar pipes nomeados.
Para criar o diretrio do arquivo de log, use variveis de ambiente do sistema (em vez de variveis do
usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar o caminho a
seguir usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
A alternncia dos formatos de arquivo de log no cria um novo log. Se voc alterar formatos de
arquivo de log, o arquivo que estiver ativo quando a alterao ocorrer conter uma mistura dos dois
formatos. Os registros no incio do log tero o formato anterior e os registros no fim do log tero o
novo formato.
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes de contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC (Conveno de Nomenclatura
Universal), como \\MeuServidorDeLog\CompartilhamentoDeLog.
Se a contabilizao RADIUS falhar devido a um disco rgido cheio ou por outros motivos, o NPS
interromper o processamento de solicitaes de conexo, o que impedir que os usurios acessem
os recursos da rede.
O NPS permite que voc se conecte a um banco de dados do SQL Server alm de, ou em vez de, se
conectar a um arquivo local.
Para configurar as propriedades do arquivo de log usando a interface do Windows, execute as seguintes
tarefas:
1.
2.
3.
4.
Em Propriedades do Arquivo de Log, na guia Arquivo de Log, em Diretrio, digite o local em que
voc deseja armazenar os arquivos de log do NPS. O local padro a pasta
systemroot\System32\LogFiles.
5.
6.
Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
7.
Para uma atividade de log e um volume de transaes menos intenso, clique em Semanalmente
ou Mensalmente.
Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir
este tamanho e digite o tamanho do arquivo, aps o qual um novo log criado. O tamanho
padro 10 MB.
Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
8-27
Para configurar o log do SQL Server no NPS usando a interface do Windows, execute as seguintes tarefas:
1.
2.
3.
No painel de detalhes, clique em Alterar Propriedades do Log do Servidor SQL. A caixa de dilogo
Propriedades do Log do Servidor SQL aberta.
4.
Em Registrar no log as seguintes informaes, selecione as informaes que deseja registrar no log:
5.
Para configurar o nmero de sesses simultneas que voc deseja permitir entre o servidor NPS e o
banco de dados do SQL Server, digite um nmero em Nmero mximo de sesses simultneas.
6.
7.
Para configurar a origem de dados do SQL Server, clique em Configurar. A caixa de dilogo
Propriedades do associao de dados aberta. Na guia Conexo, especifique o seguinte:
Para especificar o nome do servidor no qual o banco de dados foi armazenado, digite ou
selecione um nome em Selecione ou insira um nome de servidor.
Para especificar o mtodo de autenticao com o qual entrar no servidor, clique em Usar
segurana integrada do Windows NT ou clique em Usar uma senha e um nome de usurio
especficos e digite suas credenciais em Nome de usurio e Senha.
Para especificar o banco de dados que dever ser conectado no computador que executa o SQL
Server, clique em Selecionar o banco de dados no servidor, e selecione um nome de banco de
dados na lista.
Para testar a conexo entre o servidor NPS e o computador que executa o SQL Server, clique em
Testar conexo.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
2.
3.
Na guia Geral, selecione cada uma das opes a seguir, conforme necessrio, e clique em OK:
o
Observao: Para concluir este procedimento, voc deve ser membro do grupo
Administradores do Domnio ou do grupo Administradores de Empresa.
8-29
Usando os logs de eventos no Visualizador de Eventos, voc pode monitorar os erros do NPS e outros
eventos que o NPS tenha sido configurado para registrar.
Por padro, o NPS registra eventos de falha na solicitao de conexo nos logs de eventos de Sistema e
Segurana. Os eventos de falha na solicitao de conexo consistem em solicitaes que o NPS rejeita ou
descarta. Outros eventos de autenticao do NPS so registrados na assinatura do sistema do Visualizar
de Eventos na base das configuraes que voc especifica no snap-in NPS. Portanto, o log de segurana
do Visualizador de Eventos pode registrar alguns eventos que contm dados confidenciais.
Embora o NPS registre eventos de falha da solicitao de conexo por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log. O NPS rejeita ou ignora solicitaes
de conexo por diversos motivos, que incluem:
O autenticador da mensagem (tambm conhecido como assinatura digital) que o cliente enviou no
vlido, pois o segredo compartilhado no vlido.
Quando o NPS rejeita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao, o nome da poltica de rede
correspondente, o motivo da rejeio e outras informaes.
Embora o NPS registre eventos de solicitao de conexo bem-sucedida por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log.
Quando o NPS aceita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao e o nome da primeira poltica de
rede correspondente.
O Schannel (canal seguro) um SSP (provedor de suporte de segurana) que oferece suporte para uma
srie de protocolos de segurana da Internet, como o SSL e o TLS. Esses protocolos fornecem autenticao
de identidade e comunicao segura e privada por meio de criptografia.
O registro em log de falhas de validao do certificado de cliente um evento do canal seguro e no est
habilitado no servidor NPS, por padro. Voc pode habilitar eventos adicionais do canal seguro alterando
o seguinte valor da chave do Registro de 1 (tipo REG_DWORD, dados 0x00000001) para 3 (tipo
REG_DWORD, dados 0x00000003):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLoggi
ng
A. Datum uma empresa global de engenharia e manufatura com sede em Londres, Reino Unido. Um
escritrio de IT e um data center esto localizados em Londres para dar suporte ao escritrio de Londres e
a outros locais. A A. Datum implantou recentemente uma infraestrutura de cliente e servidor do Windows
Server 2012.
A A. Datum est expandindo sua soluo de acesso remoto organizao inteira. Isso exigir vrios
servidores VPN localizados em diferentes pontos para fornecer conectividade aos funcionrios. Voc
responsvel por executar as tarefas necessrias para dar suporte as essas conexes VPN.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-RTR
24411B-LON-CL2
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
8-31
Voc tem como tarefa instalar um NPS na infraestrutura existente a ser usada para servios RADIUS. Neste
exerccio, voc configurar o servidor RADIUS com modelos apropriados para ajudar a gerenciar qualquer
implementao futura. Voc tambm precisa configurar Contabilizao para registrar em log informaes
de autenticao para um arquivo de texto local no servidor.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
Usando o Gerenciador do Servidor, instale a funo Servios de Acesso e Poltica de Rede usando
valores padro para concluir o assistente de instalao.
4.
5.
2.
3.
2.
Escolha a opo Efetue o registro em um arquivo de texto no computador local e use os valores
padro para concluir o assistente.
3.
Resultados: Aps este exerccio, voc dever ter habilitado e configurado o NPS para dar suporte ao
ambiente necessrio.
2.
3.
4.
Modelo: LON-RTR
2.
3.
4.
5.
6.
O servidor configurado com a opo Sim, configurar este servidor para trabalhar com um
servidor RADIUS.
Segredo: Pa$$w0rd
2.
3.
Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
4.
Restries: padro
Configuraes: padro
2.
3.
4.
Senha: Pa$$w0rd
8-33
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN e configurado-o como
um cliente RADIUS.
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
3.
4.
Ferramentas
Ferramenta
Use para
Onde encontrar
Servidor de Polticas
de Rede
Ferramenta de linha
de comando Netsh
Visualizador de
Eventos
Mdulo 9
Implementao da Proteo de Acesso Rede
Contedo:
Viso geral do mdulo
9-1
9-2
9-8
9-15
9-20
9-24
9-31
Sua rede est to protegida quanto o computador menos seguro conectado a ela. Existem muitos
programas e ferramentas para ajudar a proteger os computadores conectados rede, como antivrus ou
software de deteco de malware. Porm, se o software em alguns dos computadores no estiver
atualizado, habilitado ou configurado corretamente, esses computadores continuaro oferecendo risco
segurana.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar NAP.
Lio 1
9-2
NAP uma plataforma de imposio de polticas interna dos sistemas operacionais Windows 8,
Windows 7, Windows Vista, Windows XP com Service Pack 3 (SP3), Windows Server 2008,
Windows Server 2008 R2 e Windows Server 2012. possvel usar a NAP para proteger ativos de rede com
mais eficincia, impondo a conformidade com os requisitos de integridade do sistema. A NAP fornece os
componentes de software necessrios para ajudar a garantir que os computadores conectados ou que se
conectam rede permaneam gerenciveis, de maneira que no se tornem um risco segurana da rede
corporativa e a outros computadores conectados.
A compreenso da funcionalidade e das limitaes da NAP ajudar a proteger a rede dos riscos
segurana impostos por computadores incompatveis.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como possvel usar a NAP para impor requisitos de integridade do computador.
importante lembrar que a NAP no protege uma rede contra usurios mal-intencionados. Em vez disso,
ela ajuda voc a manter automaticamente a integridade dos computadores em rede na sua organizao,
o que ajuda a manter a integridade geral da rede. Por exemplo, se tiver todas as configuraes e software
exigidos pela poltica de integridade, um computador ser compatvel e ter acesso ilimitado rede. No
entanto, a NAP no impede um usurio autorizado com um computador compatvel de carregar um
programa mal-intencionado na rede ou de empregar outro comportamento inapropriado.
9-3
Para validar o estado de integridade. Quando um computador tenta se conectar rede, a NAP valida
o estado de integridade do computador em relao s polticas de requisito de integridade definidas
pelo administrador. Voc tambm pode definir o que dever ser feito no caso de incompatibilidade
de um computador. Em um ambiente somente de monitoramento, todos os computadores tm o
estado de integridade avaliado e a NAP registra o estado de conformidade de cada computador para
anlise. Em um ambiente de acesso limitado, os computadores em conformidade com as polticas de
requisito de integridade tm acesso ilimitado rede. Os computadores fora de conformidade com as
polticas de requisito de integridade podem ter o acesso limitado a uma rede restrita.
Para impor a conformidade com a poltica de integridade. possvel ajudar a garantir a conformidade
com polticas de requisito de integridade optando por atualizar computadores no compatveis
automaticamente com atualizaes de software no encontradas ou alteraes de configurao por
meio do software de gerenciamento, como Microsoft System Center Configuration Manager. Em um
ambiente somente de monitoramento, a NAP ir garantir que os computadores atualizem o acesso
rede antes de receberem atualizaes obrigatrias ou alteraes de configurao. Em um ambiente
de acesso limitado, os computadores incompatveis tm acesso limitado at que as atualizaes e
alteraes de configurao sejam concludas. Em ambos os ambientes, os computadores em
conformidade com a NAP podem se tornar compatveis de forma automtica e voc pode definir
excees para computadores que no so compatveis com a NAP.
Para limitar o acesso rede. voc pode proteger suas redes limitando o acesso de computadores no
compatveis. Voc pode basear o acesso limitado rede em um perodo especfico ou nos recursos
que o computador incompatvel poder acessar. Nesse ltimo caso, voc define uma rede restrita que
contenha os recursos de atualizao de integridade, e o acesso limitado durar at o computador se
tornar compatvel. Tambm possvel configurar excees para que os computadores que no forem
compatveis com a NAP no tenham acesso limitado rede.
Cenrios de NAP
O NAP fornece uma soluo para os cenrios
comuns, como laptops em roaming,
computadores desktop, laptops visitantes e
computadores no gerenciados. Dependendo das
suas necessidades, voc pode configurar uma
soluo para atender a alguns ou a todos esses
cenrios de rede.
Laptops em roaming
9-4
Portabilidade e flexibilidade so as duas principais vantagens de um laptop, mas esses recursos tambm
apresentam uma ameaa integridade do sistema. Os usurios conectam seus laptops a outras redes com
frequncia. Enquanto os usurios esto fora da sua organizao, os respectivos laptops podem no
receber as atualizaes mais recentes de software ou as alteraes de configurao. Alm disso, a
exposio s redes sem proteo, como a Internet, pode representar para os laptops ameaas
relacionadas segurana. A NAP permite verificar o estado de integridade de qualquer laptop quando ele
se reconecta rede da organizao, seja por meio de uma VPN (rede virtual privada), uma conexo
DirectAccess do Windows 8 ou conexo de rede do local de trabalho.
Computadores desktop
Embora normalmente no usem computadores desktop fora do prdio da empresa, os usurios ainda
podem representar uma ameaa rede. Para minimizar essa ameaa, voc deve manter esses
computadores com o software e as atualizaes mais recentes necessrios. Caso contrrio, esses
computadores podero ser infectados por meio de sites, emails, arquivos de pastas compartilhadas e
outros recursos de acesso pblico. possvel usar a NAP para automatizar as verificaes do estado de
integridade para verificar a conformidade de cada computador desktop com as polticas de requisito de
integridade. Voc pode verificar arquivos de log para determinar os computadores incompatveis. Alm
disso, usando o software de gerenciamento, possvel gerar relatrios automticos e atualizar
computadores no compatveis automaticamente. Ao alterar as polticas de requisito de integridade, voc
pode configurar a NAP para provisionar computadores automaticamente com as atualizaes mais
recentes.
Laptops de visitantes
9-5
Conexes de rede autenticadas pelo IEEE (Institute of Electrical and Electronics Engineers) 802.1X. A
imposio do IEEE 802.1X exige que um computador seja compatvel para obter acesso rede
ilimitado por meio de uma conexo de rede autenticada por IEEE 802.1X. Entre os exemplos desse
tipo de conexo de rede esto um comutador Ethernet de autenticao ou um PA (ponto de acesso)
sem fio IEEE 802.11.
Conexes VPN de acesso remoto. A imposio da VPN exige que um computador seja compatvel
para obter acesso ilimitado rede por meio de uma conexo VPN de acesso remoto. Para
computadores no compatveis, o acesso rede limitado por um conjunto de filtros de pacote IP
que o servidor VPN aplica conexo VPN.
Configuraes de endereo DHCP (Dynamic Host Configuration Protocol). A imposio do DHCP exige
que um computador seja compatvel para obter uma configurao de endereo protocolo IP verso 4
(IPv4) com acesso ilimitado de um servidor DHCP. No caso de computadores incompatveis, o acesso
rede restrito com uma configurao de endereo IPv4 que limita o acesso rede restrita.
Componentes
Clientes NAP
Pontos de imposio
de NAP
Descrio
9-6
(continuao)
Componentes
Descrio
9-7
Servidores de
polticas de
integridade de NAP
Servidores de
requisitos de
integridade
AD DS
Dispositivos 802.1X
Rede restrita
Lio 2
9-8
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
9-9
A HRA envia mensagens RADIUS para o servidor de poltica de integridade de NAP que contm o
estado de integridade do sistema do cliente NAP. O servidor de polticas de integridade NAP envia
mensagens RADIUS para indicar que o cliente NAP tem:
Acesso ilimitado porque compatvel. Com base na resposta, a HRA obtm um certificado de
integridade e, em seguida, o envia ao cliente NAP.
Acesso limitado at ele realizar um conjunto de funes de correo. Com base na resposta, a HRA
no emite um certificado de integridade para o cliente NAP.
O dispositivo de acesso rede 802.1X envia mensagens RADIUS para transferir mensagens PEAP
(Protected Extensible Authentication Protocol) enviadas por um cliente NAP 802.1X. O servidor de
poltica de integridade de NAP envia mensagens RADIUS para:
Indicar um perfil de acesso limitado para inserir o cliente 802.1X em uma rede restrita at que ele
execute uma srie de funes de correo.
O servidor VPN envia mensagens RADIUS para transferir mensagens PEAP enviadas por um cliente
NAP com base em VPN. O servidor de poltica de integridade de NAP envia mensagens RADIUS para:
Indicar que o cliente VPN tem acesso limitado por meio de um conjunto de filtros de pacotes IP
que so aplicados conexo VPN.
O servidor DHCP envia as mensagens RADIUS do servidor de poltica de integridade de NAP que
contm o estado de integridade do sistema do cliente DHCP. O servidor de polticas de integridade
NAP envia mensagens RADIUS ao servidor DHCP para indicar que o cliente DHCP tem:
Ao realizar a validao do acesso rede para um cliente NAP, o servidor de polticas de integridade
de NAP pode ter que entrar em contato com um servidor de requisitos de integridade para obter
informaes sobre os requisitos atuais para a integridade do sistema.
O cliente NAP executa autenticao da conexo 802.1X e fornece o estado de integridade de sistema
atual ao servidor de polticas de integridade NAP.
O servidor de polticas de integridade NAP fornece instrues corretivas (se o cliente 802.1X for
incompatvel) ou indica que o cliente 802.1X tem acesso ilimitado rede.
A NAP encaminha essas mensagens pelo dispositivo de acesso rede de 802.1X.
O servidor de poltica de integridade de NAP responde com mensagens para fornecer instrues
corretivas (se o cliente VPN for incompatvel) ou para indicar que o cliente VPN tem acesso ilimitado
intranet.
A NAP encaminha essas mensagens pelo servidor VPN.
O servidor DHCP aloca uma configurao de endereo IPv4 para a rede restrita e fornece instrues
corretivas (se o cliente DHCP for incompatvel) ou ele aloca uma configurao de endereo IPv4 para
acesso ilimitado (se o cliente DHCP for compatvel).
Imposio IPsec
Com a imposio IPsec, um computador deve ser
compatvel para iniciar comunicaes com outros
computadores compatveis. Por conta da
imposio NAP com base em IPsec, possvel
definir requisitos para comunicaes protegidas
com computadores compatveis com base em
uma das seguintes caractersticas de comunicao:
Endereo IP
9-11
Os componentes da imposio IPsec consistem em uma HRA que esteja executando o Windows Server
2012 e um cliente de imposio IPsec em um dos seguintes sistemas operacionais:
Windows Vista
Windows 7
Windows 8
A HRA obtm certificados X.509 para clientes NAP quando os clientes provam que so compatveis. Em
seguida, esses certificados de integridade autenticam clientes NAP quando eles iniciam comunicaes
protegidas por IPsec com outros clientes NAP em uma intranet.
A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec, ignorando as tentativas
de comunicao enviadas por computadores que no podem negociar a proteo IPsec usando
certificados de integridade. Ao contrrio da imposio 802.1X e VPN, em que a imposio ocorre no
ponto de entrada da rede, cada computador executa a imposio IPsec. Como possvel usufruir as
configuraes de poltica IPsec, a imposio de certificados de integridade pode ser feita para qualquer
um dos seguintes:
Um computador especfico
A imposio de IPsec mais complexa de implementar que outros mtodos de imposio, porque
exige uma HRA e uma AC.
Imposio 802.1x
Com a imposio de 802.1X, um computador deve
ser compatvel para obter acesso ilimitado rede
por meio de uma conexo de rede autenticada
com 802.1X, como a autenticao de um
comutador Ethernet ou um PA sem
fio IEEE 802.11.
Quando um computador no for compatvel, o comutador colocar o computador em uma VLAN parte
ou usar filtros de pacote para restringir acesso apenas aos servidores de atualizaes.
Use a imposio de 802.1X para computadores internos. Esse tipo de imposio apropriado a
computadores de rede local (LAN) com conexes com e sem fio.
No possvel usar a imposio de 802.1X caso os comutadores e os PAs sem fio no deem suporte
ao uso de 802.1X para autenticao.
Imposio VPN
A imposio VPN impe os requisitos de poltica
de integridade toda vez que um computador
tenta obter uma conexo VPN de acesso remoto
rede. A imposio VPN tambm monitora
ativamente o status de integridade do cliente NAP
e aplica os filtros de pacote IP da rede restrita
conexo VPN se o cliente se tornar incompatvel.
Os componentes de uma imposio VPN
consistem no NPS do Windows Server 2012 e em
um cliente de imposio VPN que faz parte do
cliente de acesso remoto no:
Windows 8
Windows 7
Windows Vista
Windows XP SP3
9-13
A imposio VPN fornece um rgido acesso limitado rede para todos os computadores que acessam a
rede por meio de uma conexo VPN de acesso remoto. A imposio de VPN usa um conjunto de filtros
de pacote IP de acesso remoto para limitar o trfego de cliente VPN, de forma que ele s possa alcanar
os recursos na rede restrita. O servidor VPN aplica os filtros de pacote IP ao trfego IP recebido do cliente
VPN e descarta silenciosamente todos os pacotes no correspondentes a um filtro de pacote configurado.
A imposio de VPN mais apropriada a situaes nas quais voc j esteja usando a VPN.
improvvel que voc implemente conexes VPN em uma rede interna para usar a imposio
de VPN.
Use a imposio de VPN para garantir que membros do pessoal se conectem a partir de
computadores residenciais que no estejam inserindo malware rede. Os usurios no costumam
manter os computadores residenciais corretamente e eles podem representar um alto risco. Muitos
usurios no tm software antivrus ou no aplicam atualizaes do Windows regularmente.
Use a imposio de VPN para garantir que laptops em roaming no estejam inserindo malware na
rede. Os laptops em roaming esto mais suscetveis a malware do que computadores diretamente na
rede corporativa, porque eles talvez no possam baixar atualizaes de vrus e do Windows fora da
rede corporativa. Eles tambm tm mais chances de estarem em ambientes nos quais o malware
esteja presente.
Imposio DHCP
O DHCP impe os requisitos de poltica de
integridade toda vez que um cliente DHCP tenta
conceder ou renovar uma configurao de
endereo IP. A imposio DHCP tambm monitora
ativamente o status de integridade do cliente NAP
e, se o cliente se tornar incompatvel, renova a
configurao do endereo IPv4 para acesso
somente rede restrita.
Os componentes de uma imposio DHCP
consistem em um servio de imposio DHCP que
faz parte do servio Servidor DHCP no Windows
Server 2012 e em um cliente de imposio DHCP
que faz parte do servio Cliente DHCP no:
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Como a imposio DHCP depende de uma configurao de endereo IPv4 limitada que um usurio com
acesso no nvel de administrador pode substituir, ela a forma mais fraca de acesso limitado rede na NAP.
A configurao de endereo DHCP limita o acesso rede do cliente DHCP por meio de sua tabela de
roteamento IPv4. A imposio DHCP define o valor da opo de Roteador DHCP como 0.0.0.0, de forma
que o computador no compatvel no ter um gateway padro configurado. Alm disso, essa imposio
define a mscara de sub-rede do endereo IPv4 alocado como 255.255.255.255, de forma que no haja
nenhuma rota para a sub-rede conectada.
Para permitir que o computador no compatvel acesse os servidores de atualizaes da rede restrita, o
servidor DHCP atribui a opo DHCP de Rotas Estticas sem Classe. Essa opo contm rotas de host para
os computadores da rede restrita, como o DNS e os servidores de atualizaes. O resultado do acesso
limitado rede por DHCP uma tabela de configurao e roteamento que permite a conectividade
somente para endereos de destino especficos que correspondem rede restrita. Portanto, quando um
aplicativo tenta fazer envios para um endereo IPv4 unicast que no seja nenhum dos fornecidos pela
opo Rotas Estticas sem Classe, o protocolo TCP/IP retorna um erro de roteamento.
A imposio de DHCP fcil de evitar. Um cliente pode evitar a imposio de DHCP usando um
endereo IP esttico. Alm disso, um computador no compatvel poderia adicionar rotas de host
estticas para alcanar servidores que no sejam servidores de atualizaes.
A imposio de DHCP no possvel para clientes IPv6. Se os computadores na rede usam endereos
IPv6 para se comunicarem, a imposio de DHCP ser ineficiente.
Lio 3
Configurao de NAP
9-15
Se voc quiser que a implantao de NAP funcione de maneira ideal, ser importante que voc
compreenda o que cada um dos componentes NAP faz, alm de como eles interagem para proteger a
rede. Se quiser proteger a rede usando a NAP, voc precisar compreender os requisitos de configurao
do cliente NAP, bem como a maneira de configurar o NPS como um servidor de polticas de integridade
NAP, configurar polticas de integridade e polticas de rede, alm de definir as configuraes de cliente e
servidor. Tambm importante testar a NAP antes de us-la.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Colocar o cliente NAP em uma rede restrita, na qual ele poder receber atualizaes dos servidores
de atualizaes para ficar em conformidade com a poltica de integridade. Depois que o cliente NAP
entrar em conformidade e reenviar seu novo estado de integridade, o NPS o habilitar para conexo.
Permitir que o cliente NAP se conecte rede, apesar de no estar em conformidade com a poltica
de integridade.
Voc pode definir polticas de integridade do cliente para NPS adicionando um ou mais SHVs poltica
de integridade.
Depois de configurar uma poltica de integridade com um ou mais SHVs, voc poder adicion-la
condio de Polticas de Integridade de uma poltica de rede que pretenda usar para impor NAP quando
os computadores cliente tentarem se conectar rede.
Um SHV de antivrus
O servidor de atualizaes
9-17
Voc pode usar o procedimento Habilitar Central de Segurana na Poltica de Grupo para habilitar a
Central de Segurana em clientes compatveis com NAP usando a Poltica de Grupo. Algumas
implantaes de NAP que usam o Validador de Integridade de Segurana do Windows exigem a Central
de Segurana.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
Para habilitar a Central de Segurana na Poltica de Grupo:
1.
2.
Na rvore de console, clique duas vezes em Poltica de Computador Local, clique duas vezes em
Configurao do Computador, em Modelos Administrativos, em Componentes do Windows e
em Central de Segurana.
3.
Clique duas vezes em Ativar a Central de Segurana (somente PCs no domnio), clique em
Habilitado e clique em OK.
Voc pode usar o procedimento Habilitar o Servio Proteo de Acesso Rede em Clientes para habilitar
e configurar o servio NAP em computadores cliente compatveis com NAP. A implementao de NAP
requer a habilitao desse servio.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
1.
2.
Na lista de servios, role para baixo e clique duas vezes em Agente de Proteo de Acesso Rede.
3.
2.
Clique em Clientes de Imposio. No painel de detalhes, clique com o boto direito do mouse no
cliente de imposio a habilitar ou desabilitar e clique em Habilitar ou Desabilitar.
Observao: Para executar esse procedimento, voc deve ser membro do grupo
Administradores no computador local ou ter recebido a autoridade apropriada. Se o computador
estiver em um domnio, os membros do grupo Administradores do Domnio podero executar
esse procedimento. Como uma prtica recomendada de segurana, considere adotar esse
procedimento usando o comando Executar como.
Testar a NAP.
Etapas da demonstrao
Instalar a funo de servidor NPS
9-19
1.
2.
2.
Crie uma poltica de integridade chamada Compatvel cuja condio seja Cliente passa por todas
as verificaes SHV.
2.
Crie uma poltica de integridade chamada No compatvel cuja condio seja Cliente no passa em
uma ou mais verificaes SHV.
Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento das polticas que
voc est prestes a criar.
2.
Crie uma nova poltica de rede chamada Compliant-Full-Access com uma condio da poltica de
integridade Compatvel. Os computadores recebem acesso irrestrito.
Crie uma nova poltica de rede chamada Noncompliant-Restricted com uma condio da poltica
de integridade No compatvel. Os computadores recebem acesso restrito.
2.
Modifique as propriedades do escopo IPv4 para dar suporte Proteo de Acesso Rede.
3.
Crie uma nova poltica DHCP que aloque opes de escopo DHCP apropriadas a computadores no
compatveis. Essas opes atribuem um sufixo DNS restricted.Adatum.com.
2.
3.
Use o console Gerenciamento de Poltica de Grupo local para habilitar a Central de Segurana.
4.
Testar a NAP
1.
2.
3.
Na rea Bandeja do Sistema, clique no aviso pop-up Proteo de Acesso Rede. Revise as
informaes na caixa de dilogo Proteo de Acesso Rede. Clique em Fechar.
4.
5.
Observe que o computador tem uma mscara de sub-rede 255.255.255.255 e um sufixo DNS
restricted.Adatum.com. Deixe todas as janelas abertas.
Lio 4
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever como o rastreamento de NAP pode ajudar a monitorar e solucionar problemas de NAP.
Alm do log de rastreamento, voc pode exibir os logs de contabilizao do NPS. Esses logs podem
conter informaes teis sobre a NAP. Por padro, os logs de contabilizao do NPS esto localizados em
%systemroot%\system32\logfiles.
Os logs a seguir podem conter informaes relacionadas NAP:
IASNAP.LOG. Ele contm dados detalhados sobre processos NAP, autenticao NPS e autorizao NPS.
9-21
Voc pode usar a interface de usurio do Windows para habilitar ou desabilitar o rastreamento de NAP e
para especificar o nvel de detalhes registrados seguindo o seguinte procedimento:
1.
2.
Na rvore de console, clique com o boto direito do mouse em Configurao de Cliente NAP
(Computador Local) e clique em Propriedades.
3.
Observao: Para executar esse procedimento, voc deve ser membro do grupo Administradores
no computador local ou ter recebido a autoridade apropriada. Como uma prtica recomendada de
segurana, considere executar essa operao usando o comando Executar Como.
4.
Se Habilitado for escolhido, em Especifique o nvel de detalhamento para a gravao dos logs de
rastreamento, selecione Bsico, Avanado ou Depurar.
Para usar uma ferramenta de linha de comando para habilitar ou desabilitar o rastreamento de NAP e
especificar o nvel de detalhes registrados, execute as etapas a seguir:
1.
2.
Para habilitar o rastreamento de NAP e configurar o log bsico ou avanado, digite: netsh nap
client set tracing state=enable level =[advanced ou basic]
Para habilitar o rastreamento de NAP para informaes de depurao, digite: netsh nap client
set tracing state=enable level =verbose
Para desabilitar o rastreamento de NAP, digite: netsh nap client set tracing state=disable
Observao: Para executar esse procedimento, voc deve ser membro do grupo Administradores
no computador local ou ter recebido a autoridade apropriada. Como uma prtica recomendada de
segurana, considere executar essa operao usando o comando Executar Como.
Demonstration
Esta demonstrao mostra como:
Etapas da demonstrao
Configurar o rastreamento na GUI
1.
2.
Na janela do prompt de comando, digite netsh nap client set tracing state = enable e pressione
Enter.
Comandos Netsh
Use o comando netsh NAP para ajudar na soluo
de problemas de NAP. O seguinte comando exibe
o status de um cliente NAP, inclusive:
Estado de restrio
Configuraes de criptografia
Configuraes de criptografia
9-23
Ocorre quando um cliente NAP se autentica com xito e, dependendo de seu estado de integridade,
obtm acesso restrito ou total rede.
Identificao do Evento 6277. O Servidor de Polticas de Rede concedeu acesso a um usurio, mas o
colocou em experincia, pois o host no atendeu poltica de integridade definida.
Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso total rede por tempo
limitado quando a data especificada na poltica tiver passado.
Identificao do Evento 6278. O Servidor de Polticas de Rede concedeu acesso total a um usurio,
pois o host atendeu poltica de integridade definida.
Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso total rede.
Para ajudar a aumentar os requisitos de segurana e conformidade, A. Datum deve estender a soluo
de VPN para incluir a NAP. Voc precisa estabelecer uma maneira de verificar e, se necessrio, colocar
automaticamente computadores clientes em conformidade sempre que se conectarem remotamente
usando a conexo VPN. Voc realizar essa meta usando o NPS para criar configuraes da validao de
integridade do sistema, polticas de rede e integridade e configurando a NAP para verificar e solucionar a
integridade do cliente.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-RTR
24411B-LON-CL2
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
9-25
2.
3.
4.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
7.
8.
Usando Gerenciador do Servidor, instale o Servidor NPS com os seguintes servios de funo:
o
9.
Nome: Compatvel
Nome: No compatvel
2.
3.
2.
b.
c.
d.
Edite Microsoft: EAP protegido (PEAP) para verificar se Impor Proteo de Acesso
Rede est habilitada.
Resultados: Depois desse exerccio, voc deve ter instalado e configurado os componentes da NAP
obrigatrios, criado as polticas de integridade e rede, alm das polticas de solicitao de conexo.
2.
2.
3.
4.
9-27
a.
b.
c.
d.
e.
5.
6.
2.
3.
Tipo: Personalizada
Todos os Programas
Escopo padro
Perfil padro
Resultados: Aps este exerccio, voc dever ter criado um servidor VPN e configurado a comunicao
de entrada.
2.
1.
2.
3.
4.
5.
Execute services.msc e configure o servio Agente de Proteo de Acesso Rede para inicializao
automtica.
6.
Inicie o servio.
7.
8.
9.
2.
3.
9-29
4.
No prompt de comando, execute ipconfig /all para verificar se Estado de Quarentena do Sistema
No Restrito.
5.
Ping 172.16.0.10.
6.
7.
8.
9.
11. Execute o comando ipconfig /all para verificar se Estado de Quarentena do Sistema Restrito.
12. Desconecte a VPN.
Resultados: Depois deste exerccio, voc dever ter criado uma nova conexo VPN em LON-CL2 e
habilitado, alm de testado a NAP em LON-CL2.
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
3.
4.
Ferramentas
Ferramenta
Use para
Onde encontrar
9-31
Servios
Netsh nap
Poltica de
Grupo
Mdulo 10
Otimizao de Servios de Arquivo
Contedo:
Viso geral do mdulo
10-1
10-2
10-9
10-19
10-26
10-30
10-38
10-43
10-47
10-52
A funo de servidor Servios de Arquivo e Armazenamento do Windows Server 2012 foi projetada para
ajudar administradores em um ambiente corporativo a gerenciar o volume de dados em constante
crescimento e mudana. Quando os requisitos de armazenamento mudam e os dados armazenados
tambm so alterados, voc precisa gerenciar uma infraestrutura de armazenamento cada vez maior e
complexa. Portanto, para atender s necessidades da organizao, voc precisa compreender e controlar
como os recursos de armazenamento existentes so usados.
Este mdulo apresenta o FSRM e o DFS (sistema de arquivos distribudo), duas tecnologias que possvel
usar para resolver e gerenciar esses problemas.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever o FSRM.
Descrever o DFS.
Lio 1
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
10-3
Para superar esses desafios-chave, voc precisa implementar medidas de gerenciamento de capacidade
bsicas para gerenciar proativamente o ambiente de armazenamento e evitar que desafios se tornem
problemas. Esta uma lista das medidas de gerenciamento de capacidade que possvel usar para
gerenciar proativamente o ambiente de armazenamento:
O que o FSRM?
FSRM um servio de funo da funo Servios
de Arquivo no Windows Server 2012. possvel
instal-lo como parte da funo Servios de
Arquivo usando-se o Gerenciador do Servidor.
Assim, possvel usar o console FSRM para
gerenciar o FSRM no servidor. O FSRM
deve funcionar como uma soluo de
gerenciamento de capacidade para o servidor
Windows Server 2012. Ele fornece um conjunto
robusto de ferramentas e recursos que permitem
gerenciar efetivamente e monitorar a capacidade
de armazenamento de seu servidor.
O FSRM contm cinco componentes que funcionam juntos para fornecer uma soluo de gerenciamento
de capacidade.
Gerenciamento de Cota
Gerenciamento de cota um componente que permite criar, gerenciar e obter informaes sobre cotas
que so usadas para definir limites de armazenamento em volumes ou pastas (e o respectivo contedo).
Definindo limites de notificao, possvel enviar notificaes por email, registrar em log um evento,
executar um comando ou script ou gerar relatrios quando os usurios se aproximam ou excedem uma
cota. O gerenciamento de cota tambm permite criar e gerenciar modelos de cota para simplificar o
processo de gerenciamento de cota.
10-5
Uso de cota.
Arquivos que podem afetar negativamente o gerenciamento de capacidade, como arquivos grandes,
duplicados ou no usados.
Arquivos de lista e filtro de acordo com proprietrio, grupo de arquivos ou uma propriedade de
arquivo especfica.
Gerenciamento de Classificao
Com o componente das tarefas de gerenciamento de arquivos, possvel agendar e configurar tarefas
especficas, que podem automatizar o aplicativo ou a expirao de comandos personalizados, o que
possibilita procedimentos de gerenciamento de arquivos automatizados. As tarefas do gerenciamento de
arquivos aproveitam os recursos de gerenciamento de classificao para permitir excluir arquivos antigos
ou mover arquivos para um local especfico com base em uma propriedade do arquivo (nome ou tipo).
Observao: Os volumes gerenciados pelo FSRM devem ser formatados usando-se o sistema de
arquivos NTFS. O FSRM est presente no Windows Server 2003 Service Pack 1 (SP1) e mais recentes.
2.
No painel esquerdo, clique com o boto direito do mouse no n raiz Gerenciador de Recursos de
Servidor de Arquivos e clique em Configurar Opes.
Opes FSRM
Guia Notificaes de Email. Esta guia permite fornecer o nome ou o endereo de um nome de
servidor SMTP, alm de outros detalhes que o FSRM usar para enviar notificaes por email.
Guia Limites de Notificao. Os limites de notificao permitem especificar um perodo que o FSRM
aguardar entre o envio de notificaes para evitar notificaes em excesso de uma cota excedida
repetidamente ou de uma deteco de arquivo no autorizado. Isso permite definir valores separados
para notificaes por email, entradas registradas no log de eventos, comandos executados ou
relatrios gerados. O valor padro de cada 60 minutos.
Guia Relatrios de Armazenamento. Esta guia permite configurar e exibir os parmetros padro de
qualquer relatrio de armazenamento existente. Guia Locais de Relatrio. Esta guia permite exibir e
modificar o local no qual os trs tipos diferentes de relatrios de armazenamento so armazenados:
relatrios de incidentes, relatrios agendados e relatrios sob demanda. Por padro, cada categoria
armazenada na prpria pasta: %systemdrive%\Relatrios de Armazenamento.
Guia Auditoria da Triagem de Arquivo. Nesta guia, uma nica caixa de seleo permite habilitar ou
desabilitar a gravao da atividade de triagem de arquivo no banco de dados de auditoria. possvel
exibir a atividade de triagem de arquivo resultante durante a execuo do relatrio Auditoria da
Triagem de Arquivo no Gerenciamento de Relatrios de Armazenamento.
Guia Classificao Automtica. Esta guia permite fornecer uma agenda que controla a classificao
automtica dos arquivos. Dentro da guia, possvel especificar quais logs gerar, alm de se e como
gerar um relatrio do processo de classificao.
Guia Assistncia de Acesso Negado. Esta guia permite fornecer uma mensagem personalizada quando
o FSRM impede uma operao no nvel de arquivo como resultado de um gerenciamento de cota da
restrio de gerenciamento de triagem de arquivo.
Gerenciamento do FSRM
10-7
Verifique se ambos os servidores esto executando o Windows Server 2008 R2 ou mais recente e se
tm o FSRM instalado.
Permita trfego RPC (chamada de procedimento remoto) por qualquer firewall entre os dois
servidores.
Entre no computador local com uma conta que seja membro do grupo Administradores local no
computador remoto.
Etapas da demonstrao
Instalar o servio de funo FSRM
1.
2.
3.
2.
3.
Lio 2
10-9
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como usar o FSRM para gerenciar cotas, triagens de arquivo e gerar relatrios de
armazenamento.
Tipos de cota
possvel criar dois tipos diferentes de cotas dentro do gerenciamento de cota:
10-10
Uma cota fixa impede os usurios de salvar arquivos depois que o limite de espao atingido e gera
notificaes quando o volume de dados atinge cada limite configurado.
Uma cota flexvel no aplica o limite de cota, mas gera notificaes configuradas.
Notificaes de cota
Para determinar o que acontece quando o limite de cota se aproxima, voc configura limites de
notificao. Para cada limite que voc define, voc pode enviar notificaes de email, registrar em log um
evento, executar um comando ou script, ou gerar relatrios de armazenamento. Por exemplo, convm
notificar o administrador e o usurio quando uma pasta atinge 85% do limite de cota e, em seguida,
enviar outra notificao quando o limite de cota for atingido. Em alguns casos, possvel executar um
script que eleve o limite de cota automaticamente quando esse limite for atingido.
Criao de cotas
Ao criar uma cota em um volume ou uma pasta, voc pode basear a cota em um modelo ou usar
propriedades personalizadas. Sempre que possvel, baseie uma cota em um modelo. possvel reutilizar
um modelo de cota para criar cotas adicionais, e isso simplifica a manuteno de cota contnua.
O FSRM tambm pode gerar cotas automaticamente. Quando voc configura uma cota de aplicao
automtica, aplica um modelo de cota a um volume pai ou pasta. Em seguida, uma cota baseada no
modelo criada para cada subpasta existente, e uma cota gerada automaticamente para cada nova
subpasta criada. Tambm possvel criar cotas usando-se o cmdlet do Windows PowerShell, NewFSRMQuota.
Se basear as cotas em um modelo, voc poder atualizar todas as cotas com base no modelo editando
esse modelo. Esse recurso simplifica o processo de atualizao das propriedades de cota oferecendo um
ponto central em que os administradores de IT podem fazer todas as alteraes.
Por exemplo, possvel criar um modelo de cota de usurio usado para colocar um limite de 200 MB na
pasta pessoal de cada usurio. Para cada usurio, voc iria criar uma cota com base no modelo de cota de
usurio e a atribuir pasta do usurio. Se, mais tarde, optar por permitir a cada usurio espao adicional
no servidor, voc s precisar alterar o limite de espao no modelo de cota de usurio e, em seguida,
escolher atualizar cada cota com base nesse modelo de cota.
10-11
possvel usar o modelo Relatrios com Limite de 200 MB para o Usurio a fim de estabelecer um
limite de 200 MB na pasta pessoal de cada usurio e, em seguida, enviar relatrios de
armazenamento para usurios que excedam a cota.
Para algumas pastas, convm usar o modelo Limite de 200 MB com Extenso de 50 MB para
conceder uma extenso de cota de 50 MB nica a usurios que excedam o limite de cota de 200 MB.
Outros modelos padro foram projetados para monitorar o uso do disco por cotas flexveis, como o
modelo Monitorar Uso de Volume de 200 GB e o modelo Monitorar Compartilhamento de 500 MB.
Quando voc usa esses modelos, os usurios podem exceder o limite de cota, mas notificaes de
email e log de evento so geradas quando eles fazem isso.
Para monitorar o uso de discos de uma forma geral, voc pode criar cotas flexveis para volumes ou
compartilhamentos. O FSRM fornece os seguintes modelos padro que possvel usar (ou adaptar) com
essa finalidade.
Windows PowerShell
possvel usar o cmdlet Get-FSRMQuota para exibir cotas do FSRM existentes no servidor, alm das
estatsticas de cada cota.
A triagem ativa impede que usurios salvem tipos de arquivos no autorizados no servidor e gera
notificaes configuradas quando eles tentarem fazer isso.
A triagem passiva envia notificaes configuradas a usurios que esto salvando tipos de arquivos
especficos, mas no impede que os usurios salvem esses arquivos.
10-12
Para obter flexibilidade adicional, possvel configurar uma exceo de triagem de arquivo em uma
subpasta de um caminho no qual voc criou uma triagem de arquivo. Ao colocar uma exceo de triagem
de arquivo em uma subpasta, voc permite que os usurios salvem tipos de arquivos, o que acabaria
sendo bloqueado pela triagem de arquivo aplicada pasta pai. Tambm possvel criar triagens de
arquivo no Windows PowerShell usando o cmdlet New-FSRMFileScreen.
Observao: Uma triagem de arquivo no impede que usurios e aplicativos acessem
arquivos que foram salvos no caminho antes da triagem de arquivo ter sido criada,
independentemente dos arquivos serem membros de grupos de arquivos bloqueados.
10-13
Por exemplo, um grupo de arquivos Arquivos de udio pode incluir os seguintes padres de nome de
arquivo:
Arquivos a serem includos: *.mp*: Inclui todos os arquivos de udio criados nos formatos MPEG
atuais e futuros (MP2, MP3 e assim por diante).
Arquivos a serem excludos: *.mpp: Exclui arquivos criados no Microsoft Project (arquivos .mpp), que
seriam includos pela regra de incluso *.mp *.
O FSRM fornece vrios grupos de arquivos padro, que voc pode exibir em Gerenciamento de Triagem
de Arquivo clicando no n Grupos de Arquivos. possvel definir grupos de arquivos adicionais ou alterar
os arquivos para incluir ou excluir. As alteraes feitas em um grupo de arquivos afetam todas as triagens
de arquivo, modelos e relatrios existentes aos quais o grupo de arquivos foi adicionado.
Observao: Para comodidade, possvel modificar grupos de arquivos quando voc
editar as propriedades de uma triagem de arquivo, exceo de triagem de arquivo, modelo de
triagem de arquivo ou o relatrio Arquivos por Grupo de Arquivos. Observe que qualquer
alterao feita por voc em um grupo de arquivos nessas folhas de propriedades afetam todos os
itens que usam esse grupo de arquivos.
10-14
possvel configurar dois tipos de triagem em um modelo de triagem de arquivo. A triagem ativa no
permite que os usurios salvem arquivos relacionados aos grupos de arquivos selecionados configurados
por voc com o modelo. A triagem passiva permite que os usurios salvem arquivos, mas fornece
notificaes para monitorar.
O FSRM fornece vrios modelos de triagem de arquivo padro, os quais possvel usar para bloquear
arquivos de udio e vdeo, arquivos executveis, arquivos de imagem e arquivos de email para atender s
necessidades administrativas comuns. Para exibir os modelos padro, na rvore do console Gerenciador
de Recursos de Servidor de Arquivos, clique no n Modelos de Triagem de Arquivo.
Criando triagens de arquivo exclusivamente a partir de modelos, possvel gerenciar as triagens de
arquivo de maneira centralizada atualizando os modelos, em vez de triagens de arquivo individuais.
Observao: Voc cria triagens de arquivo a partir de modelos de triagem de arquivo,
assim como cria cotas a partir de modelos de cota.
Haver situaes em que voc ter de permitir excees triagem de arquivo. Por exemplo, talvez voc
queira impedir arquivos de vdeo de um servidor de arquivos, mas precisa permitir que o grupo de
treinamento salve os arquivos de vdeo para ministrar o treinamento por computador. Para permitir arquivos
que esto sendo bloqueados por outras triagens de arquivo, crie uma exceo de triagem de arquivo.
Uma exceo de triagem de arquivo um tipo especial de triagem que substitui qualquer triagem de
arquivo que, de outra forma, seria aplicada a uma pasta e a todas as subpastas, em um caminho de
exceo designado. Ou seja, ela cria uma exceo a qualquer regra derivada de uma pasta pai. Para
determinar quais tipos de arquivo a exceo permitir, grupos de arquivos so atribudos.
Voc cria excees de triagem de arquivo escolhendo especificamente Criar Exceo da Triagem de
Arquivo a partir do n Triagens de Arquivos em Gerenciamento de Triagem de Arquivo no FSRM.
Observao: As excees de triagem de arquivo sempre substituem triagens de arquivo
por configuraes conflitantes. Por isso, voc deve planejar e implementar excees de triagem
de arquivo com cuidado.
10-15
No n Gerenciamento de Relatrios de
Armazenamento, possvel criar tarefas de
relatrio, que voc acaba usando para agendar
um ou mais relatrios peridicos, ou possvel gerar relatrios sob demanda. Para relatrios sob
demanda e agendados, os dados atuais so coletados antes do relatrio ser gerado. Os relatrios tambm
podem ser gerados automaticamente para notific-lo quando um usurio excede um limite de cota ou
salva um arquivo no autorizado.
Descrio
Arquivos Duplicados
Este relatrio lista arquivos que parecem ser duplicados (arquivos com o
mesmo tamanho e hora da ltima modificao). Use este relatrio para
identificar e recuperar o espao em disco que perdido devido presena de
arquivos duplicados. Esse o nico relatrio no configurvel.
Auditoria de Triagem
de Arquivo
Arquivos por
Proprietrio
Este relatrio lista arquivos que esto agrupados por proprietrios. Use esse
relatrio para analisar padres de uso no servidor e para identificar usurios
que usem muito espao em disco.
Arquivos por
Propriedade
Pastas por
Propriedade
Arquivos Grandes
(continuao)
Relatrio
Descrio
10-16
Arquivos Menos
Acessados
Recentemente
Arquivos Mais
Acessados
Recentemente
Uso de Cota
Este relatrio lista cotas cujo uso mais alto do que uma porcentagem
especificada. Use esse relatrio para identificar cotas com altos nveis de uso
para que voc possa tomar as medidas apropriadas.
Exceto o relatrio Arquivos Duplicados, todos os relatrios tm parmetros de relatrio configurveis que
determinam o contedo no relatrio. Os parmetros variam conforme o tipo de relatrio. Para alguns
relatrios, possvel usar parmetros de relatrio para selecionar os volumes e as pastas para relatrio,
definir um tamanho de arquivo mnimo a ser includo ou restringir um relatrio a arquivos de
propriedade de usurios especficos.
Gravao de relatrios
Seja qual for o modo como voc gera um relatrio, ou se voc escolhe exibir o relatrio imediatamente, o
relatrio salvado no disco. Os relatrios de incidentes so salvos no formato DHTML (HTML Dinmico).
Voc pode salvar relatrios agendados e sob demanda em formatos DHTML, HTML, XML, CSV e texto.
Relatrios agendados, relatrios sob demanda e relatrios de incidentes so salvos em pastas separadas
dentro de um repositrio de relatrios designado.
Por padro, os relatrios so armazenados nos subdiretrios da pasta %Systemdrive%\StorageReports\.
Para alterar os locais de relatrio padro, na caixa de dilogo Opes do Gerenciador de Recursos de
Servidor de Arquivos, na guia Locais de Relatrio, especifique onde salvar cada tipo de relatrio de
armazenamento.
10-17
2.
Durante operaes dirias, convm gerar relatrios sob demanda para analisar os diferentes aspectos do
uso de disco atual no servidor. Antes dos relatrios serem gerados, os dados atuais so coletados.
Quando voc gera relatrios sob demanda, os relatrios so salvos no repositrio de relatrios, mas
nenhuma tarefa de relatrio criada para uso posterior. possvel exibir os relatrios logo depois que
eles so gerados ou envi-los para um grupo de administradores por email.
Para gerar relatrios sob demanda:
1.
2.
Observao: Ao gerar um relatrio sob demanda, voc pode aguardar os relatrios serem
gerados e exibi-los imediatamente. Se optar por abrir os relatrios imediatamente, voc dever
aguardar os relatrios serem gerados. O tempo de processamento varia de acordo com os tipos
de relatrios e o escopo de dados.
Etapas da demonstrao
Criar uma cota
1.
2.
3.
4.
2.
3.
10-18
No Gerenciador de Recursos de Servidor de Arquivos, crie uma nova triagem de arquivo com base no
modelo de triagem de arquivo Bloquear Arquivos de Imagem
para E:\Labfiles\Mod10\Data.
2.
Navegue at E:\Labfiles\Mod10.
3.
4.
5.
6.
2.
3.
Lio 3
10-19
A maioria dos aplicativos gerencia arquivos com base no diretrio no qual esto contidos. Isso leva a
layouts de arquivos complicados que requerem ateno de administradores. Esse layout tambm pode
resultar na frustrao entre os usurios. No Windows Server 2012, as tarefas Gerenciamento de
Classificao e Gerenciamento de Arquivos permitem aos administradores gerenciarem grupos de
arquivos com base em vrios atributos de arquivo e pasta. Com tarefas Gerenciamento de Classificao e
Gerenciamento de Arquivos, possvel automatizar tarefas de manuteno de arquivo e pasta, como
limpar dados obsoletos ou proteger informaes confidenciais.
Nesta lio, voc saber como as tarefas Gerenciamento de Classificao e Gerenciamento de Arquivos
funcionam juntas para facilitar o gerenciamento e a organizao dos arquivos e das pastas nos servidores.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Definir propriedades de classificao e valores que podem ser atribudos a arquivos executando
regras de classificao.
2.
Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins de
classificao instalados.
10-20
Ao executar uma regra de classificao, voc pode reavaliar arquivos que j foram classificados. possvel
optar por substituir valores de classificao existentes ou adicionar o valor a propriedades que deem
suporte a vrios valores.
Tipo de propriedade
Descrio
Sim/No
Uma propriedade Booliana que pode ter um valor SIM ou NO. Quando vrios
valores so integrados, um valor NO substitui um valor SIM.
Data-hora
Nmero
Lista de mltipla
escolha
Uma lista de valores que podem ser atribudos a uma propriedade. Mais de um
valor pode ser atribudo a uma propriedade por vez. Quando vrios valores
so integrados, cada valor na lista usado.
Lista ordenada
Uma lista de valores fixos. Somente um valor pode ser atribudo a uma
propriedade por vez. Quando vrios valores so integrados, o valor mais alto
na lista usado.
Cadeia de
caracteres
Vrias cadeias de
caracteres
10-21
Propriedades-chave da regra de
classificao
Para definir o comportamento de uma regra de
classificao, se faa as seguintes perguntas:
Qual o escopo da regra? Na guia Configuraes da Regra, o parmetro Escopo permite selecionar
uma pasta ou pastas s quais a regra de classificao se aplicar. Quando executada, a regra
processa e tenta classificar todos os objetos do sistema de arquivos nesse local.
Que propriedade a regra atribuir? A funo principal da regra de classificao atribuir uma
propriedade a um objeto de arquivo com base na maneira como a regra se aplica ao objeto de
arquivo. Na guia Classificao, voc deve especificar uma propriedade e o valor especfico que a
regra atribuir propriedade.
Quais parmetros de classificao adicionais sero usados? A base da lgica da regra est nos
parmetros de classificao adicionais. O clique no boto Avanado na guia Classificao abre a
janela Parmetros de Classificao Adicionais. Aqui, possvel especificar parmetros adicionais
inclusive cadeias de caracteres ou expresses regularesque, se encontrados no objeto do sistema de
arquivos, faro a regra se aplicar a ela prpria. Por exemplo, esse parmetro poderia ser a frase
Cadastro de Pessoas Fsicas ou qualquer nmero com o formato 000-00-000. Se esse parmetro for
localizado, o parmetro de classificao aplicar um valor SIM para uma propriedade de classificao
Confidencial ao arquivo. Essa classificao poderia ser aproveitada para realizar algumas tarefas no
objeto do sistema de arquivos, como mov-lo para um local seguro.
10-22
RegularExpression. Compare uma expresso regular usando a sintaxe do Microsoft .NET. Por exemplo,
\d\d\d ir comparar qualquer cadeia de caracteres de trs dgitos.
Agendamento de classificao
Voc pode executar regras de classificao de duas maneiras: sob demanda ou com base em uma
agenda. De qualquer maneira que voc escolher, cada vez que voc executar a classificao, ele usar
todas as regras que voc deixou no estado Habilitado.
Configurar um agendamento para classificao permite especificar um intervalo regular no qual as regras
de classificao de arquivo sero executadas, assegurando que os arquivos de seu servidor sejam
classificados e atualizados regularmente com as propriedades de classificao mais recentes.
Etapas da demonstrao
Criar uma propriedade de classificao
1.
2.
Usando o n Regras de Classificao, crie uma nova Regra de Classificao chamada Documentos
de Folha de Pagamento Confidencial.
2.
Configure a regra para classificar documentos com um valor Sim para a propriedade de classificao
Confidencial, caso o arquivo contenha a expresso da cadeia de caracteres FOLHA DE PAGAMENTO.
2.
10-23
Ao migrar um arquivo de um sistema de arquivos NTFS para outro, se voc usar um mecanismo padro
como Copiar ou Mover, o arquivo manter as propriedades de classificao. Porm, se voc mover um
arquivo para um sistema de arquivos no NTFS, independentemente de como mova o arquivo, as
propriedades de classificao de arquivo no sero mantidas. Se o arquivo for o produto de um aplicativo
do Microsoft Office, as propriedades de classificao continuaro anexadas, independentemente de como
o arquivo seja movido.
As propriedades de classificao s esto disponveis para servidores nos quais o Windows Server 2008 R2
ou mais recente esteja em execuo. Porm, documentos do Microsoft Office mantero informaes de
propriedade de classificao em Propriedades do Documento, visualizvel independentemente do sistema
operacional usado.
s vezes, as regras de classificao podem ser conflitantes. Quando isso acontecer, a infraestrutura de
classificao de arquivo tentar integrar propriedades. Os seguintes comportamentos ocorrero quando
regras de classificao conflitantes ocorrerem:
Para propriedades Sim ou No, um valor SIM tem prioridade sobre um valor NO.
Para propriedades de lista ordenadas, o valor de propriedade mais alto tem a prioridade.
Para vrias propriedades de cadeia de caracteres, definido um valor de vrias cadeias de caracteres
que contm todas as cadeias de caracteres dos valores da propriedade individual.
10-24
Local
Propriedades de classificao
Hora da criao
Hora da modificao
Nome do arquivo
10-25
A expirao nem sempre uma ao desejada para ser executada em arquivos. As tarefas de
gerenciamento de arquivos permitem executar comandos personalizados. Usando a caixa de dilogo
Comandos Personalizados, possvel executar um arquivo executvel, um script ou outro comando
personalizado para realizar uma operao nos arquivos dentro do escopo da tarefa de gerenciamento de
arquivos.
Observao: Voc configura tarefas personalizadas selecionando o tipo Personalizado na
guia Ao da janela Criar Tarefa de Gerenciamento de Arquivos.
Etapas da demonstrao
Criar uma tarefa de gerenciamento de arquivos
1.
2.
Crie uma tarefa de gerenciamento de arquivos chamada Expirar Documentos Confidenciais com
um escopo E:\Labfiles\Mod10\Data.
2.
3.
10-26
Cada cliente de rede dentro do domnio da Adatum fornecido com uma pasta base com base no
servidor usada para armazenar documentos pessoais ou arquivos que estejam em andamento. Voc fica
sabendo que as pastas base esto ficando muito grandes e podem conter tipos de arquivo como arquivos
.MP3 no aprovados devido poltica corporativa. Voc opta por implementar cotas do FSRM e triagem
de arquivo para ajudar a resolver esse problema.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 30 minutos
Mquina(s) virtual(is)
24411B-LON-DC1
24411B-LON-SVR1
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
10-27
Para controlar o tamanho das pastas base, voc est implementando cotas de FSRM. Cada pasta base
limitada a 100 MB. Para garantir que administradores saibam de pastas base que esto ficando sem
espao, um evento gravado no log de eventos quando um usurio excede 85 por cento da cota de
armazenamento de forma que ele possa ser acompanhado por administradores.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
Configure o modelo para registrar um evento no Log de Eventos quando a pasta alcanar 85 por
cento e 100 por cento da capacidade.
Use o console Gerenciador de Recursos de Servidor de Arquivos e o n Cotas para criar uma cota na
pasta E:\Labfiles\Mod10\Users usando o modelo de cota criado na Tarefa 1.
2.
3.
Crie uma pasta adicional chamada Max na pasta E:\Labfiles\Mod10\Users e verifique se a nova
pasta est na lista de cotas no Gerenciador de Recursos de Servidor de Arquivos.
Abra uma janela do Windows PowerShell e use os comandos a seguir para criar um arquivo na pasta
E:\Labfiles\Mod10\Users\Mx. Pressione Enter depois de cada linha:
E:
cd \Labfiles\Mod10\Users\Mx
fsutil file createnew file1.txt 89400000
2.
3.
Teste se a cota funciona tentando criar um arquivo com 16.400.000 bytes e pressione Enter:
fsutil file createnew file2.txt 16400000
4.
Observe que o arquivo no pode ser criado. A mensagem retornada do Windows menciona o espao
em disco, mas a criao do arquivo falha porque ultrapassaria o limite de cota. Feche a janela do
Windows PowerShell.
5.
Resultados: Aps concluir este exerccio, voc ter configurado uma cota do FSRM.
2.
3.
4.
5.
10-28
1.
2.
Crie uma Triagem de Arquivo com base no modelo de triagem de arquivo Bloquear Arquivos de
udio e Vdeo para o diretrio E:\Labfiles\Mod10\Users.
3.
Modifique o modelo Bloquear Arquivos de udio e Vdeo para usar apenas o grupo de arquivos
Arquivos de Mdia MPx.
10-29
1.
2.
3.
Copie musicfile.mp3 para E:\Labfiles\Mod10\Users. Voc ser notificado que o sistema no pode
copiar o arquivo.
2.
3.
4.
Quando concluir o laboratrio, no desligue as mquinas virtuais. Voc precisar deles no prximo
laboratrio.
Resultados: Depois de concluir este exerccio, voc ter configurado a triagem de arquivo e os relatrios
de armazenamento no FSRM.
Lio 4
10-30
possvel usar o DFS para superar os desafios do gerenciamento de dados de filiais fornecendo acesso
com tolerncia a falhas e WAN (rede de longa distncia)replicao amigvel de arquivos localizados em
toda a empresa.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o DFS.
O que o DFS?
Para acessar um compartilhamento de arquivos, os
usurios normalmente precisam do nome UNC
(Universal Naming Convention) para acessar o
contedo da pasta compartilhada. Muitas
organizaes grandes podem ter centenas de
servidores de arquivos que esto dispersos
geograficamente por toda a organizao. Isso
representa inmeros desafios para usurios que
estejam tentando localizar e acessar arquivos de
maneira eficaz.
Pelo uso de um namespace, o DFS pode
simplificar a estrutura de pastas de UNC. Alm
disso, o DFS pode replicar o namespace virtual e
as pastas compartilhadas para vrios servidores dentro da organizao. Isto pode assegurar que os
compartilhamentos estejam localizados o mais prximo possvel dos usurios, fornecendo um benefcio
adicional de tolerncia a falhas para os compartilhamento de rede.
O DFS inclui duas tecnologias implementadas como servios de funo:
DFS-R. Um mecanismo de replicao de vrios mestres que sincroniza arquivos entre servidores para
conexes de rede local e WAN. A Replicao do DFS d suporte agenda de replicao, limitao de
largura de banda e usa a RDC (Compactao Diferencial Remota) para atualizar apenas as partes de
arquivos que foram alteradas desde a ltima replicao. possvel usar a Replicao do DFS com
namespaces do DFS ou como um mecanismo de replicao de arquivos autnomo.
10-31
necessrio ocultar dos usurios o nome dos servidores de namespaces. Isso tambm facilita a
substituio de um servidor de namespaces ou a migrao de namespace para um outro servidor.
Assim, os usurios acessaro o formato \\nomedodomnio\namespace e no o formato
\\nomedoservidor\compartilhamento.
Se optar por implantar um namespace com base em domnio, voc tambm precisar especificar se
deseja usar o modo Microsoft Windows 2000 Server ou o modo Windows Server 2008. O modo Windows
Server 2008 fornece benefcios adicionais, como suporte para enumerao com base em acesso, e
aumenta o nmero de destinos de pasta de 5.000 para 50.000. Com enumerao com base em acesso,
tambm possvel ocultar pastas que os usurios no tm permisso para exibir.
Para usar o modo do Windows Server 2008, os seguintes requisitos devero ser atendidos:
A floresta do Active Directory deve estar no Windows Server 2003 ou no nvel funcional da floresta
superior.
O domnio do Active Directory deve estar no nvel funcional de domnio do Windows Server 2008.
Namespace autnomo
Um namespace autnomo usado quando:
Uma organizao no atende aos requisitos de um modo do Windows Server 2008, um namespace
com base em domnio, e h requisitos de mais de 5.000 pastas do DFS. Os namespaces do DFS
autnomos do suporte at 50.000 pastas com destinos.
10-32
A DFS-R usa uma pasta de preparao oculta para executar um arquivo antes de envi-lo ou receblo. As pastas de preparao atuam como caches para que arquivos novos e alterados sejam replicados
dos membros de envio para os membros de recebimento. O membro de envio comea a executar um
arquivo quando ele recebe uma solicitao do membro de recebimento. O processo envolve a leitura
do arquivo da pasta replicada e a criao de uma representao compactada do arquivo na pasta de
preparao. Depois de ter sido criado, o arquivo preparado enviado para o membro de
recebimento; se a RDC for usada, somente uma frao do arquivo de preparao poder ser
replicada. O membro de recebimento baixa os dados e cria o arquivo em sua pasta de preparao.
Depois que o download do arquivo for concludo no membro de recebimento, a DFS-R o
descompactar e o instalar na pasta replicada. Cada pasta replicada tem sua prpria pasta de
preparao que, por padro, fica localizada no caminho local da pasta replicada na pasta
DfsrPrivate\Staging.
A DFS-R usa um protocolo de troca de vetores de verso para determinar os arquivos que precisam
ser sincronizados. O protocolo envia menos de 1 KB por arquivo pela rede para sincronizar os
metadados associados aos arquivos alterados nos membros de envio e de recebimento.
A DFS-R usa uma heurstica de resoluo de conflitos de tipo "ltimo gravador vence" para arquivos
que esto em conflito (ou seja, um arquivo que atualizado simultaneamente em vrios servidores) e
de tipo "primeiro criador vence" para conflitos de nome. Os arquivos e pastas que perdem a
resoluo de conflito so movidos para uma pasta conhecida como Conflito e Excludos. Voc pode
tambm configurar o servio para mover arquivos excludos para a pasta Conflito e Excludos para
recuperao, se o arquivo ou a pasta for excluda. Cada pasta replicada tem sua prpria pasta oculta
Conflito e Excludos, que fica localizada no caminho local da pasta replicada na pasta
DfsrPrivate\ConflictandDeleted.
10-33
1.
2.
No exemplo do slide, a pasta Marketing publicada no namespace efetivamente contm dois destinos de
pasta. Um compartilhamento est localizado em um servidor de arquivos em Nova York, o outro est
localizado em um servidor de arquivos em Londres. As pastas compartilhadas so mantidas sincronizadas
pela DFS-R. Muito embora vrios servidores hospedem as pastas de origem, esse fato transparente para
os usurios, que acessam somente uma pasta no namespace. Se uma das pastas de destino ficar
indisponvel, os usurios sero redirecionados para os destinos restantes do namespace.
10-34
Arquivos no otimizados. Entre eles esto todos os arquivos que no atendam aos critrios de idade
do arquivo para eliminao de duplicao de dados. Para serem otimizados por eliminao de
duplicao de dados, os arquivos devem permanecer estticos durante um determinado perodo.
Entre os arquivos no otimizados poderiam estar arquivos de estado do sistema, arquivos
criptografados, arquivos menores que 32 KB, arquivos com atributos estendidos ou arquivos que
estejam sendo usados por outros aplicativos.
Arquivos otimizados. Os arquivos otimizados so armazenados como pontos de nova anlise. Como
um ponto de nova anlise contm um ponteiro para os locais dos dados no repositrio de partes, as
respectivas partes podem ser recuperadas quando necessrio.
10-35
Integridade dos dados de confiabilidade. O Windows Server 2012 usa soma de verificao.
Consistncia e validao para garantir que a integridade de dados afetada pela eliminao de
duplicao de dados permanea intacta. A eliminao de duplicao de dados tambm mantm
cpias redundantes dos dados mais usados em um volume para se proteger da corrupo de dados.
Eficincia da largura de banda. Com DFS-R ou outra tecnologia de replicao de arquivos, como
BranchCache, a eliminao de duplicao de dados pode reduzir enormemente a largura de banda
consumida replicando dados de arquivo, desde que os parceiros de replicao tambm estejam
executando o Windows Server 2012.
Gerenciamento de otimizao simples. O Windows Server 2012 e o Windows PowerShell 3.0 contm
suporte integrado eliminao de duplicao de dados. A implementao e o gerenciamento dentro
do Windows Server 2012 so feitos com ferramentas familiares.
Instale o servio de funo Eliminao de Duplicao de Dados para a funo Servios de Arquivo.
Isso pode ser realizado usando o Assistente de Adio de Funes e Recursos no Gerenciador do
Servidor ou os seguintes cmdlets do Windows PowerShell:
Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication
Import-Module Deduplication
2.
Dentro do Gerenciador do Servidor, possvel clicar com o boto direito do mouse em um volume e
selecionar Configurar Eliminao de Duplicao de Dados, que abre a pgina Configuraes da
Eliminao de Duplicao de Dados.
Tambm possvel usar o seguinte cmdlet do Windows PowerShell para habilitar a eliminao da
duplicao de dados (para o volume E:, neste caso):
Enable-DedupVolume E:
3.
Por padro, os trabalhos internos so criados e agendados quando voc habilita a eliminao da
duplicao de dados para um volume. Se for necessrio, ser possvel configurar manualmente esses
trabalhos ou criar trabalhos adicionais para gerenciar melhor como funciona a eliminao da
duplicao de dados.
Leitura adicional: Viso geral de Remoo de Duplicao de Dados
http://go.microsoft.com/fwlink/?linkID=270996
Cenrios de DFS
Vrios cenrios importantes podem aproveitar
DFS-N e DFS-R. Esses cenrios incluem:
Coleta de dados.
Distribuio de dados.
10-36
Coleta de dados
As tecnologias DFS podem coletar arquivos de uma filial e replic-los em um site do hub, permitindo que
eles sejam usados para diversos fins especficos. Os dados crticos podem ser replicados para um site do
hub usando a DFS-R e, em seguida, includos em backup no site do hub usando procedimentos de
backup padro. Isso aumenta a capacidade de recuperao de dados da filial quando ocorre falha do
servidor, porque os arquivos ficaro disponveis em dois locais separados e tambm em backup. Alm
disso, as empresas podem reduzir custos da filial eliminando hardware de backup e experincia do
pessoal de IT no local. Os dados replicados podem tambm ser usados para tornar os compartilhamentos
de arquivos da filial tolerantes a falhas. Se houver falha do servidor da filial, os clientes da filial podero
acessar os dados replicados no site do hub.
Distribuio de dados
possvel usar DFS-N e DFS-R para publicar e replicar documentos, software e outros dados LOB (linha de
negcios) em toda a organizao. Os DFS-N e os destinos de pasta podem aumentar a disponibilidade de
dados e distribuir a carga de clientes entre vrios servidores de arquivos.
Etapas da demonstrao
Instalar a funo DFS
10-37
Lio 5
10-38
A configurao do namespace DFS consiste em vrias tarefas, como a criao da estrutura de namespaces,
a criao de pastas no namespace e a adio de destinos de pasta. Tambm possvel optar por realizar
tarefas adicionais de gerenciamento, como a configurao da ordem de referncia, a habilitao de
failback de cliente e a implementao da DFS-R. Esta lio fornece informaes sobre como concluir essas
tarefas de configurao e gerenciamento para implantar uma soluo DFS eficaz.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Crie um namespace.
Use o Assistente de Novo Namespace para
criar o namespace a partir do console de
Gerenciamento DFS. Quando um novo
namespace for criado, voc dever fornecer o
nome do servidor que deseja usar como o
servidor de namespaces, alm do nome e o
tipo de namespace (com base no domnio ou autnomo). Voc pode tambm especificar se o
namespace est habilitado para o modo do Windows Server 2008.
2.
3.
10-39
Depois que voc criar uma pasta no namespace, a tarefa seguinte criar destinos de pasta. O destino
de pasta um caminho UNC de uma pasta compartilhada em um servidor especfico. Voc pode
pesquisar pastas compartilhadas nos servidores remotos e criar pastas compartilhadas, conforme o
necessrio. Alm disso, pode adicionar vrios destinos de pasta para aumentar a disponibilidade da
pasta no namespace. Se voc adicionar vrios destinos de pasta, use o DFS-R para assegurar que o
contedo o mesmo entre os destinos.
4.
A referncia uma lista ordenada de destinos que um computador cliente recebe do servidor de
namespaces quando o usurio acessa a raiz ou a pasta de um namespace. Quando um cliente recebe
a referncia, ele tenta acessar o primeiro destino da lista. Se o destino no estiver disponvel, ele
tentar o destino seguinte. Por padro, os destinos no site do cliente so sempre listados primeiro na
referncia. possvel configurar o mtodo para ordenar destinos fora do local do cliente na guia
Referncias da caixa de dilogo Propriedades do Namespace. possvel configurar a ordem pelo
custo mais baixo, ou aleatria, ou configurar o mtodo de ordenao para excluir destinos fora do
site do cliente.
Observao: As pastas herdam configuraes de referncia da raiz de namespace. Voc
pode substituir as configuraes do namespace na guia Referncias da caixa de dilogo
Propriedades da Pasta excluindo os destinos fora do site do cliente.
Defina a prioridade do destino para substituir a ordenao da referncia. Pode haver um destino de
pasta especfico a ser usado por todos os usurios de todos os locais do site, ou um destino a ser
usado por ltimo entre todos os destinos. possvel configurar esses cenrios substituindo a
ordenao da referncia na guia Avanado da caixa de dilogo Propriedades de Destino da Pasta.
Replique os destinos de pasta usando a DFS-R. Voc pode usar a DFS-R para manter sincronizado o
contedo dos destinos de pasta. O prximo tpico aborda DFS-R em detalhes.
Mtodo de delegao
Criar um namespace
baseado em domnio.
Administradores do Domnio
Adicionar um servidor de
namespaces a um
namespace baseado em
domnio.
Administradores do Domnio
Gerenciar um namespace
baseado em domnio.
Administradores locais em
cada servidor de namespaces
Criar um namespace
autnomo.
Administradores locais em
cada servidor de namespaces
Gerenciar um namespace
autnomo.
Administradores locais em
cada servidor de namespaces
Criar um grupo de
replicao ou habilitar
DFS-R em uma pasta.
Administradores do Domnio
10-40
Etapas da demonstrao
Criar um novo namespace
1.
2.
10-41
1.
2.
3.
Otimizao de um Namespace
H vrias opes de configurao de namespaces
que podem ser usadas para otimizar sua
usabilidade e desempenho.
Uma referncia uma lista de destinos que um computador cliente recebe do controlador de domnio ou
do servidor de namespaces quando o usurio acessa uma raiz ou pasta de namespace. Ao desabilitar a
referncia de um destino de pasta, voc impede que computadores cliente acessem esse destino de pasta
no namespace. Isso til na transferncia de dados entre servidores.
Os clientes no entram em contato com um servidor de namespaces para obter uma referncia sempre
que acessam uma pasta em um namespace; em vez disso, as referncias da raiz de namespace so
armazenadas em cache. Os clientes que usam uma referncia em cache renovaro o valor da durao de
cache da referncia toda vez que um arquivo ou uma pasta for acessada usando a referncia. Isso significa
que os clientes usaro a referncia indefinidamente at o cache de referncia do cliente ser limpa ou o
cliente ser reiniciado. Voc pode personalizar a durao do cache da referncia. O padro 300 segundos
(cinco minutos).
10-42
Para manter um namespace com base em domnio consistente nos servidores de namespaces, eles devem
consultar o AD DS periodicamente para obter os dados mais atuais do namespace. Os dois modos de
sondagem de namespace so:
Otimizar para consistncia. Os servidores de namespaces consultam o emulador PDC sempre que
ocorre uma alterao no namespace. Esse o valor padro.
Otimizar para escalabilidade. Cada servidor de namespace sonda seu controlador de domnio mais
prximo em intervalos peridicos.
Lio 6
10-43
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
A pasta replicada sincronizada entre cada servidor membro. A criao de vrias pastas replicadas em um
nico grupo de replicao ajuda a simplificar os seguintes itens para todo o grupo:
Topologia
Agendamento de replicao
As pastas replicadas armazenadas em cada membro podem estar localizadas em diferentes volumes no
membro. As pastas replicadas no precisam ser pastas compartilhadas ou partes de um namespace,
embora o snap-in Gerenciamento DFS facilite o compartilhamento das pastas replicadas e,
opcionalmente, sua publicao em um namespace existente.
Topologias de replicao
Ao configurar um grupo de replicao, voc deve definir sua topologia. Selecione entre o seguinte:
10-44
Hub e spoke. Para selecionar esta opo, voc precisa de pelo menos trs servidores no grupo de
replicao. Esta topologia funciona bem em cenrios de publicao onde dados originam-se no hub
e so replicados para membros nos receptores.
Malha completa. Se dez membros ou menos estiverem no grupo de replicao, esta topologia
funcionar bem, com cada membro replicando para todos os outros, conforme o necessrio.
Sem topologia. Escolha esta opo se voc desejar configurar uma topologia personalizada
manualmente depois de criar o grupo de replicao.
A replicao inicial sempre ocorre entre o membro primrio e seus parceiros de replicao de
recebimento. Depois que um membro recebe todos os arquivos do membro primrio, esse membro
replicar os arquivos para seus parceiros de recebimento. Dessa forma, a replicao de uma nova
pasta replicada iniciada pelo membro primrio e avana para outros membros do grupo de
replicao.
10-45
Etapas da demonstrao
Criar um novo destino de pasta para replicao
2.
Declare LON-SVR1 como o membro primrio e crie uma replicao da malha completa.
Teste de propagao. Gera um arquivo de teste em uma pasta replicada para verificar a
replicao e fornecer estatsticas para o relatrio de propagao.
Relatrio de propagao. Fornece informaes sobre o progresso para o arquivo de teste que
gerado durante um teste de propagao. Este relatrio garantir que a replicao funcione.
10-46
Verificar Topologia. Use Verificar Topologia para verificar e relatar o status da topologia do grupo de
replicao. Isto relatar os membros que estiverem desconectados.
Dfsrdiag.exe. Use essa ferramenta de linha de comando para monitorar o estado de replicao do
servio DFS-R.
Incapaz de acessar o namespace DFS. Verifique se os servios Netlogon e DFS esto sendo executados
em todos os servidores que esto hospedando o namespace.
No possvel acessar os links DFS e pastas compartilhadas. Verifique se a pasta subjacente est
disponvel e se o cliente tem permisses. Se existir uma rplica, verifique se o problema est
relacionado com a latncia de replicao (consulte a entrada latncia de replicao a seguir nessa
lista).
Problema relacionado com a segurana. Lembre-se de que o cliente acessa a pasta compartilhada
diretamente. Portanto, voc deve verificar a pasta compartilhada e as permisses ACL na pasta.
10-47
A. Datum Corporation implantou uma nova filial. Esse escritrio tem um nico servidor. Para oferecer
suporte aos requisitos da equipe da filial, voc deve configurar o DFS. Para evitar a necessidade de realizar
backups remotamente, um compartilhamento de arquivos departamental na filial ser replicado
novamente matriz para backup centralizado, e os arquivos de dados da filial sero replicados para o
servidor da filial a fim de fornecer acesso mais rapidamente.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Mquina(s) virtual(is)
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-SVR4
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
2.
10-48
Resultados: Depois de concluir este exerccio, voc ter instalado o servio de funo DFS em LON-SVR1
e instalado o servio de funo DFS em LON-SVR4.
Namespace: \\Adatum.com\BranchDocs
\\LON-SVR4\ResearchTemplates
\\LON-SVR1\DataFiles
2.
3.
4.
5.
2.
3.
4.
10-49
Servidor: LON-SVR1
Nome: BranchDocs
Caminho: \\LON-SVR4\ResearchTemplates
Criar compartilhamento
Caminho: \\LON-SVR1\DataFiles
Criar compartilhamento
2.
Resultados: Depois de concluir este exerccio, voc ter configurado um namespace do DFS.
2.
3.
2.
3.
4.
Criar compartilhamento
Criar pasta
Na caixa de dilogo Replicao, clique em Sim. O Assistente para Replicao de Pasta ser iniciado.
2.
3.
10-50
Sem topologia
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
10-51
10-52
Mdulo 11
Configurao de criptografia e auditoria avanada
Contedo:
Viso geral do mdulo
11-1
11-2
11-6
11-14
11-18
Como um administrador do sistema operacional Windows Server 2012, voc deve verificar a segurana
contnua dos arquivos e das pastas nos servidores. possvel criptografar arquivos confidenciais usando
ferramentas do Windows Server 2012. No entanto, voc deve reconhecer algumas consideraes e
mtodos de implementao para fornecer um ambiente confivel.
Usando o Windows Server 2012, possvel compreender como arquivos e pastas esto sendo usados nos
computadores do Windows Server 2012. Tambm possvel auditar o acesso ao arquivo e pasta. A
auditoria do acesso a arquivos e pastas pode fornecer informaes sobre o uso geral e informaes mais
crticas, como tentativas de uso no autorizadas.
Este mdulo descreve as ferramentas do Windows Server 2012 que podem ajudar a aumentar a
segurana do sistema de arquivos nos servidores.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
EFS um componente interno do sistema de arquivos NTFS que permite a criptografia e a descriptografia
do arquivo e do contedo da pasta em um volume NTFS. importante compreender como o EFS
funciona antes de implementar o EFS no ambiente. Voc tambm deve saber como recuperar os arquivos
criptografados e resolver problemas quando a criptografia EFS no funciona corretamente.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o EFS.
O que o EFS?
EFS um recurso que pode criptografar arquivos
armazenados em uma partio formatada com
NTFS. Por padro, essa opo est disponvel para
todos os usurios. Tambm possvel usar o EFS
para criptografar arquivos em um
compartilhamento de arquivos.
Depois que um arquivo criptografado usando
EFS, ele s pode ser acessado por usurios
autorizados. Se um usurio estiver autorizado, o
acesso ao arquivo ser transparente e poder ser
aberto como um arquivo no criptografado. Se
um usurio no estiver autorizado, as tentativas
em abrir o arquivo resultaro em uma mensagem de acesso negado.
A criptografia EFS age como uma camada adicional de segurana alm de permisses NTFS. Se os
usurios tiverem permisso NTFS para ler um arquivo, ainda assim eles estaro autorizados pelo EFS para
descriptografar o arquivo.
A configurao padro de EFS no requer nenhum esforo administrativo. Os usurios podem comear a
criptografar os arquivos imediatamente e o EFS gerar um certificado de usurio automaticamente com
um par de chaves para um usurio se no houver. Usar uma CA (autoridade de certificao) para emitir
certificados de usurio aprimora o gerenciamento dos certificados.
Voc pode desabilitar o EFS em computadores cliente usando a Poltica de Grupo. Nas Propriedades da
poltica, navegue at Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas de Chave Pblica\Sistema de Arquivos de Criptografia e clique em No permitir.
Observao: Se no estiver usando certificados de uma CA e quiser permitir que o EFS seja
usado em um compartilhamento de arquivos, voc dever configurar a conta do computador do
servidor de arquivos para ser confivel para delegao. Os controladores de domnio so
confiveis para delegao por padro.
11-3
O EFS usa a criptografia de chave pblica para proteger a chave simtrica, que necessria para
descriptografar o contedo dos arquivos. Cada certificado de usurio contm uma chave privada e uma
chave pblica que usada para criptografar a chave simtrica. Somente o usurio com o certificado e sua
chave privada pode descriptografar a chave simtrica.
O processo de criptografia de arquivos o seguinte:
1.
Quando um usurio criptografa um arquivo, o EFS gera uma FEK (chave de criptografia de arquivos)
para criptografar os dados. A FEK criptografada com a chave pblica do usurio, e ento
armazenada com o arquivo. Isso assegura que apenas o usurio com a chave privada de criptografia
EFS correspondente seja capaz de descriptografar o arquivo. Depois que um usurio criptografa um
arquivo, este permanece criptografado pelo tempo em que estiver armazenado no disco.
2.
Para descriptografar arquivos, o usurio pode abrir o arquivo, remover o atributo de criptografia
ou descriptografar o arquivo usando o comando de criptografia. Quando isso ocorre, o EFS
descriptografa a FEK com a chave privada do usurio e, em seguida, descriptografa os dados
usando a FEK.
Um mtodo melhor para recuperar arquivos criptografados com EFS usar um agente de recuperao.
Um agente de recuperao um indivduo que est autorizado a descriptografar todos os arquivos com
criptografia EFS. O agente de recuperao padro o administrador do domnio. Porm, possvel
delegar a funo do agente de recuperao a qualquer usurio.
Quando voc adiciona um novo agente de recuperao por meio da Poltica de Grupo, o agente
adicionado automaticamente a todos os arquivos recm-criptografados, mas o agente no adicionado
automaticamente aos arquivos criptografados existentes. Como o agente de recuperao para um
arquivo definido no momento em que o arquivo criptografado, um arquivo criptografado deve ser
acessado e salvo para atualizar o agente de recuperao.
Para fazer backup do certificado do agente de recuperao, voc deve sempre exportar o certificado com
a chave privada e mant-la em um local seguro. Os dois motivos para fazer backup da chave privada do
agente de recuperao (ou a chave de recuperao) so:
Para proteger contra falhas do sistema. A chave de administrador de domnio que usada por
padro para a recuperao EFS armazenada apenas no primeiro controlador de domnio do
domnio. Se algo tivesse acontecido nesse controlador de domnio, a recuperao EFS seria
impossvel.
Etapas da demonstrao
Verificar se uma conta de computador oferece suporte a EFS em um
compartilhamento de rede
1.
2.
2.
Navegue at \\LON-DC1\Mod11Share.
3.
4.
5.
Criptografe MyEncryptedFile.
6.
11-5
1.
Em LON-DC1, navegue at C:\Users\. Observe que Doug tem um perfil no computador. Este o
local onde o certificado autoassinado. Ele no poder ser exibido no snap-in Certificados do MMC
(Console de Gerenciamento Microsoft), a menos que Doug faa logon localmente no servidor.
2.
Navegue at C:\Users\Doug\AppData\roaming\Microsoft\SystemCertificates\My\Certificates.
Essa a pasta que armazena o certificado autoassinado para Doug.
2.
Lio 2
Os logs de auditoria relatam uma grande variedade de atividades na empresa para o Log de Segurana
do Windows. Em seguida, possvel monitorar esses logs de auditoria para identificar problemas que
garantam mais investigao. A auditoria tambm pode registrar em log atividades bem-sucedidas para
fornecer a documentao de alteraes. Ela tambm pode registrar em log tentativas mal-intencionadas
com falha e em potencial de acessar recursos corporativos. Ao configurar a auditoria, voc ir especificar
as configuraes de auditoria, habilitar uma poltica de auditoria e monitorar eventos nos logs de
segurana.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrio
Configurao padro
11-7
Auditoria de
eventos de logon
de conta
Auditoria de
eventos de logon
Os logons bem-sucedidos so
auditados.
Auditoria de
gerenciamento de
contas
As atividades de
gerenciamento de conta bemsucedidas so auditadas.
Auditoria de acesso
ao servio de
diretrio
Os eventos de acesso do
servio de diretrio bemsucedidos so auditados, mas
algumas SACLs de objetos
especificam as configuraes
de auditoria.
Auditoria de
alterao de
polticas
(continuao)
Configurao da
poltica de auditoria
Descrio
Configurao padro
Auditoria de uso de
privilgios
Nenhuma auditoria
realizada por padro.
Auditoria de
eventos de sistema
Auditoria de
acompanhamento
de processos
Auditoria de acesso
a objetos
Observe que a maioria dos eventos do Active Directory mais importantes j auditada por controladores
de domnio, supondo que os eventos sejam bem-sucedidos. Por isso, a criao de um usurio, a
redefinio da senha de um usurio, o logon no domnio e a recuperao dos scripts de logon de um
usurio so todos registrados em log.
Porm, nem todos os eventos de falha so auditados por padro. Voc talvez precise implementar
auditoria de falha adicional com base nas polticas de segurana de IT da organizao e nos requisitos.
Por exemplo, se auditar eventos de logon com falha, voc poder expor tentativas mal-intencionadas de
acessar o domnio tentando fazer logon repetidamente como uma conta de usurio do domnio sem
saber ainda a senha da conta. A auditoria dos eventos de gerenciamento de conta com falha pode revelar
um usurio mal-intencionado que est tentando manipular a associao de um grupo cuja segurana
confidencial.
Uma das tarefas mais importantes que voc deve realizar equilibrar e alinhar a poltica de auditoria com
as polticas corporativas e, assim, realista. A poltica corporativa pode determinar que todos os logons
com falha e alteraes bem-sucedidas feitas em usurios e grupos do Active Directory devem ser
auditadas. Isso fcil de atingir no AD DS (Servios de Domnio Active Directory). Mas como, exatamente,
voc usar essas informaes? Os logs de auditoria detalhados sero inteis se voc no souber como ou
no tiver as ferramentas para gerenciar esses logs de maneira efetiva. Para implementar a auditoria, voc
deve ter uma poltica de auditoria bem configurada e as ferramentas com as quais gerenciar os eventos
auditados.
2.
3.
Clique em Auditoria.
4.
Para adicionar uma entrada, clique em Editar. Isso abre a guia Auditoria no modo Editar.
5.
6.
11-9
possvel auditar xitos, falhas ou ambos medida que o usurio, o grupo ou o computador especificado
tenta acessar o recurso usando um ou mais dos nveis de acesso granulares.
possvel auditar xitos com as seguintes finalidades:
Para monitorar o acesso que sugeriria que os usurios esto realizando aes maiores que o
planejado, o que indica que as permisses so muito generosas.
Para identificar o acesso alm de uma determinada conta, que pode ser um sinal de que uma conta
de usurio foi invadida por um hacker.
Para monitorar tentativas mal-intencionadas de acesso a um recurso cujo acesso foi negado.
Para identificar tentativas com falha de acesso a um arquivo ou a uma pasta a que um usurio precisa
de acesso. Isso indicaria que as permisses no so suficientes para atender a um requisito de
negcios.
11-10
A auditoria de entradas leva sistemas operacionais Windows a auditarem as atividades com xito ou falha
de uma entidade de segurana (usurio, grupo ou computador) para usarem uma permisso especfica.
Como Controle Total inclui todos os nveis de acesso individuais, essa entrada abrange qualquer tipo de
acesso. Por exemplo, se voc atribuir Controle Total ao grupo Consultor e se um membro do grupo
Consultor tentar o acesso de qualquer tipo e falhar, essa atividade ser registrada em log.
Normalmente, as entradas de auditoria refletem as entradas de permisso do objeto, mas nem sempre
so correspondentes. No cenrio anterior, lembre-se, um membro do grupo Consultores tambm pode
pertencer a outro grupo com permisso para acessar a pasta. Como esse acesso ser bem-sucedido, a
atividade no ser registrada em log. Por isso, se estiver preocupado com a restrio do acesso pasta e a
garantia de que usurios no a acessem de maneira alguma, voc dever monitorar tentativas de acesso
com falha. Porm, voc tambm deve auditar o acesso bem-sucedido para identificar situaes nas quais
um usurio esteja acessando a pasta por meio de outra associao de grupo potencialmente incorreta.
Observao: Os logs de auditoria podem ficar bem grandes rapidamente. Portanto,
configure o mnimo necessrio para atingir o objetivo de segurana da empresa. Quando voc
especifica a auditoria dos xitos e das falhas em uma pasta de dados ativa para o grupo Todos
usando Controle Total (todas as permisses), isso gera logs de auditoria enormes que poderiam
afetar o desempenho do servidor e praticamente impossibilitar um evento de auditoria
especfico.
11-11
11-12
Logon de conta. Essas configuraes permitem a auditoria da validao das credenciais e outros
eventos de autenticao especfica de Kerberos e operao de tquete.
Acesso DS. As configuraes de auditoria envolvem acesso aos Servios de Diretrio, inclusive acesso
geral, alteraes e replicao.
Logon/Logoff. Os eventos de logon e logoff padro so auditados por esse grupo de configuraes.
Outra atividade especfica de conta, como IPsec, Servidor de Polticas de Rede e outros eventos de
logon e logoff no categorizados tambm so auditados.
11-13
Acesso a objetos. Essas configuraes habilitam a auditoria de qualquer acesso ao AD DS, ao Registro,
ao aplicativo e ao armazenamento de arquivos.
Alterao de Poltica. Quando voc define essas configuraes, as alteraes internas feitas nas
configuraes da poltica de auditoria so auditadas.
Uso de Privilgio. Dentro do ambiente do Windows, o Windows Server 2012 audita as tentativas de
uso de privilgio, quando voc define essas configuraes.
Auditoria de Acesso a Objetos Globais. Essas configuraes se destinam ao controle das configuraes
SACL de todos os objetos em um ou mais computadores. Quando as configuraes no grupo so
definidas e aplicadas com a Poltica de Grupo, a associao SACL determinada pela definio da
configurao de poltica e as SACLs so configuradas diretamente no prprio servidor. possvel
configurar SACLs para o sistema de arquivos e o acesso ao Registro em Auditoria de Acesso a Objetos
Globais.
Etapas da demonstrao
Criar e editar um GPO para configurao da poltica de auditoria
1.
2.
3.
Edite o GPO Auditoria de Arquivo e habilite os eventos de auditoria xito e Falha para as
configuraes Compartilhamento de Arquivos de Auditoria Detalhado e Auditoria de
Armazenamento Removvel.
4.
11-14
A. Datum uma empresa global de engenharia e manufatura com sede em Londres, Reino Unido. Um
escritrio de IT e um datacenter esto localizados em Londres como suporte localizao em Londres e
outras localizaes. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor do
Windows Server 2012.
Voc deve configurar o ambiente do Windows Server 2012 para proteger arquivos confidenciais e
garantir que o acesso aos arquivos na rede seja auditado de maneira apropriada. Voc tambm deve
configurar a auditoria do novo servidor.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 40 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-CL1
24411B-LON-SVR1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
11-15
Sua organizao deseja permitir que os usurios iniciem a criptografia de arquivos com EFS. Entretanto,
existem preocupaes com a capacidade de recuperao. Para aprimorar o gerenciamento dos
certificados usados para EFS, voc vai configurar uma AC interna para emitir certificados para usurios.
Voc tambm vai configurar um agente de recuperao para o EFS e verificar se ele pode recuperar
arquivos.
As principais tarefas deste exerccio so:
1.
2.
3.
4.
Criptografar um arquivo
5.
2.
3.
4.
5.
6.
Leia as informaes sobre o novo certificado e verifique se foi emitido por AdatumCA.
2.
3.
2.
3.
4.
No console MMC, clique com o boto direito do mouse em Pessoal e solicite um novo certificado.
5.
6.
7.
2.
3.
4.
5.
2.
Resultados: Depois de concluir esse exerccio, voc ter criptografado e recuperado os arquivos.
11-16
O gerente pediu para voc acompanhar todo o acesso aos compartilhamentos de arquivo armazenados
em LON-SVR1. Voc tambm precisa estar atento ao momento em que um usurio acessa um arquivo em
um dispositivo de armazenamento removvel conectado ao servidor. Voc optou por implementar as
configuraes de acesso ao objeto apropriadas usando a configurao da poltica de auditoria Avanada.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
4.
5.
6.
7.
8.
11-17
1.
2.
3.
4.
5.
6.
Clique duas vezes em uma das entradas de log com uma Origem de auditoria de segurana do
Microsoft Windows e uma Categoria de Tarefas de Compartilhamento de Arquivos Detalhado.
7.
Resultados: Depois de concluir este exerccio, voc ter configurado a auditoria avanada.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
Ferramentas
Ferramenta
Usada para
Onde encontr-la?
Console de Gerenciamento
de Poltica de Grupo
Visualizador de Eventos
11-18
Mdulo 12
Implementao do gerenciamento de atualizaes
Contedo:
Viso geral do mdulo
12-1
12-2
12-5
12-9
12-14
Windows Server melhora a segurana aplicando atualizaes de segurana aos servidores na hora certa.
Ele fornece a infraestrutura para baixar, testar e aprovar as atualizaes de segurana. A aplicao de
atualizaes de segurana de forma rpida ajuda a evitar incidentes de segurana que resultam de
vulnerabilidades conhecidas. Durante a implementao do WSUS, voc deve se lembrar dos requisitos de
hardware e software do WSUS, das configuraes a serem definidas e das atualizaes a serem aprovadas
ou removidas de acordo com as necessidades da organizao.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
A funo WSUS fornece um ponto de gerenciamento central para atualizaes para computadores com o
sistema operacional Windows. Usando o WSUS, possvel criar um ambiente de atualizao mais
eficiente na organizao e estar mais bem informado sobre o status da atualizao geral dos
componentes na rede. Esta lio apresenta o WSUS e descreve os principais recursos da funo de
servidor WSUS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o WSUS.
O que o WSUS?
O WSUS uma funo de servidor includa no
sistema operacional Windows Server 2012 que
baixa e distribui atualizaes a clientes e
servidores Windows. O WSUS pode obter
atualizaes aplicveis ao sistema operacional
e a aplicativos comuns da Microsoft como
Microsoft Office e Microsoft SQL Server.
Na configurao mais simples, uma organizao
pequena pode ter um nico servidor do WSUS
que baixa atualizaes do Microsoft Update. O
servidor do WSUS ento distribui as atualizaes a
computadores que esto configurados para obter
atualizaes automticas desse servidor. Voc deve aprovar as atualizaes para que os clientes possam
baix-las.
As organizaes maiores podem criar uma hierarquia de servidores do WSUS. Nesse cenrio, um nico
servidor do WSUS centralizado obtm atualizaes do Microsoft Update, e outros servidores do WSUS
obtm atualizaes do servidor do WSUS centralizado.
possvel organizar os computadores em grupos para simplificar a aprovao das atualizaes. Por
exemplo, possvel configurar um grupo piloto como o primeiro conjunto de computadores que so
usados para testar atualizaes.
O WSUS pode gerar relatrios para ajudar no monitoramento da instalao de atualizaes. Esses
relatrios podem identificar os computadores que no aplicaram as atualizaes aprovadas recentemente.
Com base nesses relatrios, possvel investigar por que as atualizaes no esto sendo aplicadas.
Estimar
Identificar
Avaliar e planejar
Implantar
A fase de avaliao
12-3
A fase de identificao
Para avaliar as atualizaes, voc deve ter um ambiente de teste no qual possam ser aplicadas
atualizaes a fim de verificar a funcionalidade adequada. Durante essa fase, voc pode identificar as
dependncias que permitem a uma atualizao funcionar corretamente, assim, possvel planejar quais
alteraes precisam ser feitas.
A fase de implantao
Depois de testar uma atualizao por completo e determinar todas as dependncias, voc poder aprovla para implantao na rede de produo. O ideal que voc aprove a atualizao para um grupo piloto
de computadores antes de aprov-la para a organizao inteira.
SQL Server 2012, SQL Server 2008, SQL Server 2005 SP2 ou Banco de Dados Interno do Windows
Os requisitos mnimos de hardware para o WSUS so quase iguais aos requisitos mnimos de hardware
para os sistemas operacionais do Windows Server. No entanto, preciso considerar o espao em disco
como parte de sua implantao. Um servidor do WSUS exige cerca de 10 GB de espao em disco e voc
deve alocar pelo menos 30 GB de espao em disco para as atualizaes baixadas.
Um nico servidor do WSUS pode oferecer suporte a milhares de clientes. Por exemplo, um nico
servidor do WSUS com 4 GB de RAM e CPUs duplas com ncleo qudruplo podem oferecer suporte a
at 100.000 clientes. No entanto, na maioria das vezes, uma organizao com tantos clientes assim
provavelmente ter vrios servidores do WSUS para reduzir a carga nos links WAN (rede de longa
distncia).
Lio 2
12-5
Esta lio explica as especificidades da implantao das atualizaes com o WSUS para os computadores
clientes. A implantao de atualizaes no Windows atualizam clientes por meio do WSUS pode fornecer
inmeros benefcios. possvel configurar atualizaes a serem baixadas, aprovadas e instaladas
automaticamente, sem a participao de um administrador. Tambm possvel impor mais controle sobre
o processo de atualizao e fornecer um ambiente controlado no qual implantar atualizaes. possvel
realizar um teste em um grupo de computadores de teste isolado antes da aprovao de uma atualizao
para aprovao em toda a organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Alm de configurar a fonte das atualizaes, voc tambm pode usar um GPO para definir as seguintes
configuraes:
Administrao do WSUS
O console de administrao do WSUS um snapin MMC que possvel usar para administrar o
WSUS. Use essas ferramenta para:
Gerar relatrios.
Os computadores clientes realizam atualizaes de acordo a configurao manual ou, na maioria dos
ambientes do AD DS, a Poltica de Grupo. Em alguns casos, convm iniciar o processo de atualizao fora
da agenda de atualizao normal. possvel usar a ferramenta wuauclt.exe para controlar o
comportamento de atualizao automtica em computadores clientes do Windows Update. O comando a
seguir inicia a deteco das Atualizaes da Microsoft na origem do Windows Update.
Wuauclt.exe /detectnow
Descrio
12-7
Add-WsusComputer
Approve-WsusUpdate
Deny-WsusUpdate
Get-WsusClassification
Get-WsusComputer
Get-WsusProduct
Get-WsusServer
Get-WsusUpdate
Invoke-WsusServerCleanup
Set-WsusClassification
Set-WsusProduct
Set-WsusServerSynchronization
possvel criar grupos de computadores personalizados para controlar como as atualizaes sero
aplicadas. Normalmente, os grupos de computadores personalizados contm computadores com
caractersticas semelhantes. Por exemplo, voc pode criar um grupo de computadores personalizados
para cada departamento da sua organizao. Tambm possvel criar um grupo de computadores
personalizados para um laboratrio no qual voc implanta as atualizaes para teste. Voc normalmente
agruparia servidores separados de computadores clientes.
Aprovao de atualizaes
A configurao padro do WSUS no aprova
automaticamente as atualizaes de aplicativos
nos computadores. Embora seja possvel aprovar
as atualizaes automaticamente, isso no
recomendvel. O processo recomendado para
aprovar atualizaes primeiro testar as
atualizaes em um ambiente de laboratrio,
depois em um grupo piloto e somente depois no
ambiente de produo. Esse processo reduz o
risco de uma atualizao gerar um problema
inesperado no ambiente de produo. Execute
esse processo aprovando atualizaes para grupos
especficos de computadores antes de aprov-las para o grupo Todos os Computadores.
Se voc aplicar uma atualizao e achar que ela est causando problemas, ser possvel usar o WSUS para
remov-la. No entanto, a atualizao s poder ser removida se ela oferecer suporte remoo. A
maioria delas permite a remoo.
Observando os detalhes de uma atualizao, voc saber se ela foi substituda por outra. As atualizaes
substitudas geralmente no so mais necessrias, pois uma mais nova incluir as alteraes dessa
atualizao e muito mais. As atualizao substitudas no so recusadas por padro, pois em alguns casos,
elas ainda so necessrias. Por exemplo, a atualizao mais antiga pode ser necessria se alguns servidores
no estiverem executando o service pack mais recente.
12-9
A. Datum uma empresa global de engenharia e manufatura com sede em Londres, Reino Unido. Um
escritrio de TI e um data center esto localizados em Londres para dar suporte ao local em Londres e a
outros locais com escritrios filiais. A A. Datum implantou recentemente uma infraestrutura de cliente e
servidor do Windows Server 2012.
A. Datum tem aplicado manualmente as atualizaes a servidores em um local remoto. Isso resultou em
dificuldade na identificao de quais servidores tm atualizaes aplicadas e quais no. Esse um
problema de segurana potencial. Voc deve automatizar o processo de atualizao estendendo a
implantao do WSUS da A. Datum para incluir o escritrio da matriz.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-SVR4
24411B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
12-10
A organizao j tem um servidor WSUS chamado LON-SVR1, localizado no escritrio matriz. Voc
precisa instalar a funo de servidor WSUS em LON-SVR4 em um local filial. LON-SVR4 usar LON-SVR1
como a origem dos downloads do Windows Update. A instalao em LON-SRV4 usar o Banco de Dados
Interno do Windows para a implantao.
As principais tarefas deste exerccio so:
1.
2.
2.
No Gerenciador do Servidor, instale a funo Windows Server Update Services com os servios
de funo WID Database e WSUS Services. Tambm configure o local das atualizaes como
C:\WSUSUpdates.
3.
Abra o console do Windows Server Update Services e conclua a instalao quando solicitado.
4.
5.
Tarefa 2: Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
1.
2.
Idiomas padro
No console Windows Server Update Services, em Opes, defina Computadores como Usar Poltica
de Grupo ou configuraes do Registro em computadores.
Resultados: Depois de concluir este exerccio, voc dever ter implementado a funo de servidor WSUS.
2.
3.
4.
2.
12-11
2.
3.
Crie e vincule um novo GPO OU Research chamada Pesquisa do WSUS, alm de definir as
seguintes configuraes de poltica no n Windows Update :
4.
2.
Reinicie LON-CL1.
3.
4.
5.
6.
12-12
2.
3.
4.
5.
Resultados: Aps concluir esse exerccio, voc dever ter definido as configuraes de atualizao dos
computadores clientes.
2.
3.
4.
2.
2.
3.
2.
3.
12-13
Resultados: Depois de concluir este exerccio, voc ter aprovado e implantado uma atualizao usando
o WSUS.
Quando voc concluir o laboratrio, reverta todas as mquinas virtuais ao estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
3.
4.
Ferramentas
Ferramenta
Uso
Onde encontrar
Console de administrao
do WSUS
Administrar o WSUS
Cmdlets do Windows
PowerShell WSUS
Windows PowerShell
12-14
Mdulo 13
Monitoramento do Windows Server 2012
Contedo:
Viso geral do mdulo
13-1
13-2
13-10
13-19
13-22
13-28
Avaliao do curso
13-29
Quando houver uma falha do sistema ou um evento que afete o desempenho do sistema, voc dever
reparar ou resolver o problema de maneira rpida e eficiente. Com tantas variveis e possibilidades no
ambiente de rede moderno, para poder determinar a causa principal rapidamente, muitas vezes preciso
ter um conjunto de ferramentas e uma metodologia de monitoramento de desempenho eficientes.
possvel usar ferramentas de monitoramento de desempenho para identificar os componentes que
exigem soluo de problemas e ajustes adicionais. Ao identificar os componentes que exigem ajuste
adicional, voc pode melhorar a eficincia de seus servidores.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Usar o Monitor de Desempenho para visualizar e analisar estatsticas de desempenho dos programas
em execuo em seus servidores.
Lio 1
Ferramentas de monitoramento
O Windows Server 2012 fornece uma gama de ferramentas para monitorar um sistema operacional em
um computador. Voc pode usar estas ferramentas para ajustar seu sistema para solucionar problemas de
eficincia. Voc deve usar estas ferramentas e complement-las onde for necessrio com suas prprias
ferramentas.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Usurios. A guia Usurios exibe o consumo de recursos por usurio. possvel expandir a exibio do
usurio para ver informaes mais detalhadas sobre processos especficos que um usurio est
executando.
13-3
Detalhes. A guia Detalhes lista todos os processos em execuo no servidor, fornecendo estatsticas
sobre o consumo da CPU, da memria e de outros recursos. Voc pode usar essa guia para gerenciar
os processos em execuo. Por exemplo, possvel interromper um processo, interromper um
processo e todos os processos relacionados, bem como alterar os valores de prioridade dos
processos. Ao alterar a prioridade de um processo, voc determina a quantidade de recursos da CPU
que o processo pode consumir. Ao aumentar a prioridade, voc permite que o processo solicite mais
recursos da CPU.
Servios. A guia Servios fornece uma lista dos servios do Windows em execuo, alm de
informaes relacionadas: se o servio est em execuo e o valor de identidade de processador (PID)
do servio em execuo. Voc pode iniciar e parar os servios usando a lista na guia Servios.
De modo geral, voc pode usar o Gerenciador de Tarefas quando um problema relacionado ao
desempenho se manifesta. Por exemplo, voc pode examinar os processos em execuo para determinar
se um programa especfico est usando recursos de CPU em excesso. Lembre-se sempre de que o
Gerenciador de Tarefas mostra um instantneo do consumo de recursos atual, e talvez voc tambm
precise examinar dados histricos para ter uma ideia real sobre a subcarga de resposta e o desempenho
de um computador servidor.
Um valor mximo.
Um valor mnimo.
O Monitor de Desempenho fornece uma coleo de objetos e contadores que registram dados sobre o
uso dos recursos do computador.
H muitos contadores que voc pode pesquisar e considerar monitorar para atender a seus requisitos
especficos.
Processador > % Tempo do Processador. Esse contador avalia a porcentagem de tempo decorrido
que o processador gasta executando um thread no ocioso. Se o valor for maior que 85%, o
processador ficar sobrecarregado e o servidor poder exigir um processador mais rpido. Em outras
palavras, esse contador exibe o percentual de tempo decorrido que um determinado thread usou o
processador para executar instrues. Uma instruo a unidade bsica de execuo em um
processador e um thread o objeto que executa instrues. O cdigo executado para lidar com
algumas interrupes de hardware e condies de desvio includo nessa contagem.
Processador > Interrupes/s. Esse contador exibe a taxa, em incidentes por segundo, na qual o
processador recebeu e atendeu interrupes de hardware.
Sistema > Comprimento da Fila de Processador. Esse contador exibe um nmero aproximado de
threads que cada processador est atendendo. O servidor no ter potncia de processador suficiente
se o valor for duas vezes maior que o nmero de CPUs para um perodo estendido. O tamanho da fila
do processador, s vezes chamado de profundidade da fila do processador, que esse contador relata
um valor instantneo que s representa um instantneo atual do processador. Portanto, voc deve
observar esse contador ao longo de um perodo estendido para notar tendncias de dados. Alm
disso, o contador Sistema > Comprimento da fila de processador relata um tamanho de fila total para
todos os processadores, e no um tamanho para cada processador.
13-5
O objeto de desempenho de Disco Fsico consiste em contadores que monitoram as unidades de disco
rgido ou fixo. Os discos armazenam dados de arquivo, programa e paginao. Os discos so lidos para
recuperar esses itens e so gravados para registrar alteraes feitas neles. Os valores totais de contadores
de disco fsico so o total de todos os valores dos discos lgicos (ou parties) nos quais eles so
divididos. Entre os contadores primrios de disco esto:
Disco Fsico > % tempo de disco. Esse contador indica a ocupao de um determinado disco, e mede
o percentual de tempo em que o disco esteve ocupado durante o intervalo de exemplo. Um contador
aproximando 100 por cento indica que o disco est ocupado praticamente todo o tempo e
iminente um afunilamento de desempenho. Talvez seja conveniente substituir o sistema de disco
atual por um mais rpido.
Disco fsico > Comprimento mdio da fila de disco. Esse contador indica quantas solicitaes de disco
esto esperando para ser atendidas pelo gerenciador de E/S no Windows 7 a qualquer momento. Se
o valor for duas vezes maior que o nmero de eixos, isso significa que o prprio disco pode ser o
afunilamento. Quanto mais longa a fila, menos satisfatria a taxa de transferncia do disco.
A maioria das cargas de trabalho exigem acesso a redes de produo para assegurar a comunicao com
outros aplicativos e servios e comunicar-se com usurios. Os Requisitos de Rede incluem elementos
como taxa de transferncia e a presena de vrias conexes de rede.
As cargas de trabalho podem exigir acesso a vrias redes diferentes que devem permanecer seguras.
Exemplos incluem conexes para:
Ao monitorar os contadores de desempenho de rede, voc poder avaliar o desempenho de sua rede.
Entre os contadores primrios de rede esto:
Interface de Rede > Largura de banda atual. Esse contador indica a largura de banda atual que est
sendo consumida na interface de rede em bits por segundo (bps). A maioria das topologias de rede
tm larguras de banda potenciais mximas cotadas em megabits por segundo (Mbps). Por exemplo,
Ethernet pode operar a larguras de banda de 10 Mbps, 100 Mbps, 1 Gigabit por segundo (Gbps), e
mais alto. Para interpretar este contador, divida o valor dado por 1.048.576 para Mbps. Se o valor
chegar a largura de banda potencial mxima da rede, voc deve implementar uma rede alternada ou
atualizar para uma rede que d suporte a larguras de banda mais altas.
Interface de Rede > Comprimento da Fila de Sada. Esse contador indica o comprimento atual da fila
de pacote de sada na interface de rede selecionada. Um valor crescente, ou que for
consistentemente mais alto que dois, pode indicar um afunilamento de rede, o que voc deve
investigar.
Interface de Rede > Total de Bytes/s Esse contador avalia a taxa na qual os bytes so enviados e
recebidos em cada adaptador de rede, incluindo caracteres de enquadramento. A rede ficar
sobrecarregada se voc descobrir que mais de 70% da interface consumida.
13-7
O Visualizador de Eventos fornece listas categorizadas de eventos de log do Windows essenciais, inclusive
aplicativo, segurana, instalao e eventos do sistema, bem como agrupamentos de logs para aplicativos
individuais instalados e categorias de componentes do Windows especficas. Os eventos individuais
fornecem informaes detalhadas referentes ao tipo de evento ocorrido, quando o evento ocorreu, a
origem do evento e as informaes tcnicas detalhadas para auxiliar na soluo de problemas do evento.
A incluso de vrios novos logs. possvel acessar logs de muitos componentes e subsistemas
individuais.
A capacidade para exibir vrios logs. possvel filtrar eventos especficos em vrios logs, o que
simplifica a investigao de problemas e a soluo de problemas que possam ser exibidos em vrios
logs.
A incluso de exibies personalizadas. possvel usar a filtragem para restringir pesquisas apenas a
eventos nos quais voc tenha interesse e salvar essas exibies filtradas.
A capacidade para configurar tarefas agendadas para serem executadas em resposta a eventos. Voc
pode automatizar respostas a eventos. O Visualizador de Eventos integrado ao Agendador de
tarefas.
A capacidade para criar e gerenciar inscries de evento. possvel coletar eventos de computadores
remotos e armazen-los localmente.
Observao: Para coletar eventos de computadores remotos, voc deve criar uma regra de
entrada no Firewall do Windows Firewall para permitir o Gerenciamento do Log de Eventos do
Windows.
O Visualizador de Eventos acompanha informaes em vrios logs diferentes. Estes logs fornecem
informaes detalhadas que incluem:
A hora da ocorrncia
Um link para o Microsoft TechNet para obter mais informaes sobre o evento
Descrio e uso
Log do aplicativo
log Security
Log da instalao
log System
Eventos encaminhados
Admin
Operacional
Analtico
Depurao
Os eventos no log operacional tambm so teis para profissionais de IT, mas provvel que eles exijam
mais interpretao. possvel usar eventos operacionais para analisar e diagnosticar um problema ou uma
ocorrncia e acionar ferramentas ou tarefas com base no problema ou na ocorrncia.
Os logs analticos e de depurao no so amigveis ao usurio. Os logs analticos armazenam eventos
que rastreiam um problema, e geralmente registram em log um alto volume de eventos. Os
desenvolvedores usam logs de depurao quando esto depurando aplicativos. Por padro, os logs
Analtico e de Depurao so ocultos e desabilitados.
13-9
Por padro, arquivos de log do Windows tm 1.028 KB, e os eventos so substitudos conforme
necessrio. Se quiser limpar um log manualmente, voc dever entrar no servidor como um administrador
local. Se quiser definir configuraes de log de eventos de maneira centralizada, voc poder fazer isso
usando a Poltica de Grupo. Abra o Editor de Gerenciamento da Poltica de Grupo do GPO (Objeto de
Poltica de Grupo) e navegue at Configurao do Computador\Polticas\Modelos Administrativos\
Componentes do Windows\Servio do Log de Eventos.
Para cada log, possvel definir:
Lio 2
13-10
possvel usar o Monitor de Desempenho para coletar, analisar e interpretar dados relacionados ao
desempenho sobre os servidores da organizao. Isso permite tomar decises de planejamento de
capacidade mais bem informadas. Porm, para tomar decises informadas, importante que voc saiba
como estabelecer uma linha de base de desempenho, como usar conjuntos de coletores de dados e como
usar relatrios para ajudar a comparar dados de desempenho com a linha de base.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Identificar os parmetros-chave que voc deve acompanhar durante o monitoramento dos servios
de infraestrutura de rede.
Anlise de tendncias
Voc deve considerar o valor dos dados de desempenho atentamente para assegurar que eles reflitam o
ambiente do servidor real.
Alm disso, voc deve considerar a anlise de desempenho, bem como o crescimento do negcio ou da
tecnologia e atualizar os planos. Ser possvel reduzir o nmero de servidores em operao depois de
voc medir o desempenho e avaliar o ambiente necessrio.
13-11
Ao analisar tendncias de desempenho, voc pode prever quando a capacidade existente provvel de
ser esgotada. Analise o histrico com relao ao seu negcio e use isto para determinar quando uma
capacidade adicional necessria. Alguns picos so associados a atividades nica como, por exemplo,
ordens extremamente grandes. Outros picos ocorrem regularmente, como uma folha de pagamento
mensal. Esses picos poderiam exigir maior capacidade para atender a um nmero crescente de
funcionrios.
Planejar a capacidade futura do servidor um requisito para todas as organizaes. O planejamento
comercial geralmente exige capacidade adicional de servidor para atender metas. Ao alinhar sua
estratgia de IT com a estratgia do negcio, voc pode dar suporte aos objetivos comerciais.
Alm disso, voc deve considerar virtualizar seu ambiente para reduzir o nmero de servidores fsicos que
so necessrios. Voc pode consolidar servidores implementando a funo Hyper-V no ambiente do
Windows Server 2012.
Planejamento de capacidade
O planejamento de capacidade concentra-se em avaliar a carga de trabalho de servidor, o nmero de
usurios que um servidor pode suportar, e as maneiras como escalar sistemas para suportar carga de
trabalho adicional e usurios no futuro.
Novos aplicativos para servidores e servios afetam o desempenho de sua infraestrutura de IT. Estes
servios podem receber hardware dedicado embora eles geralmente usem a mesma LAN (rede local) e
infraestrutura de WAN (rede sem fio). Planejar para capacidade futura deve incluir todos os componentes
de hardware e como novos servidores, servios e aplicativos afetam a infraestrutura existente. Fatores
como energia, resfriamento e espao fsico so geralmente negligenciados durante exerccios iniciais para
planejar expanso de capacidade. Voc deve considerar como seus servidores podem ser dimensionados
para suportar um aumento de carga de trabalho.
Tarefas como atualizar para o Windows Server 2008 R2 e atualizar sistemas operacionais podem afetar
seus servidores e sua rede. s vezes, uma atualizao pode causar um problema com um aplicativo. O
cuidado ao monitorar o desempenho antes e depois de aplicar as atualizaes pode identificar
problemas.
Um negcio em expanso exige que voc fornea suporte a mais usurios. Voc deve considerar
requisitos comerciais ao comprar hardware. Fazendo isso, possvel atender aos requisitos comerciais
futuros por meio do aumento do nmero de servidores ou adicionando capacidade a hardware existente.
Os requisitos de capacidade incluem:
Mais servidores
Hardware adicional
Reduo de usurios
13-12
Depois que voc identifica um afunilamento, deve decidir como remov-lo. Suas opes para remover um
afunilamento incluem:
Um computador que sofre de uma escassez de recursos severa pode deixar de processar solicitaes de
usurio, o que exige ateno imediata. Porm, se seu computador experimentar um afunilamento, mas
ainda funcionar dentro de limites aceitveis, voc pode decidir adiar qualquer alterao at voc resolver
a situao ou at que voc tenha uma oportunidade de realizar uma ao corretiva.
Processador
Disco
Os discos rgidos armazenam programas e dados. Consequentemente, a produtividade dos discos afeta a
velocidade da estao de trabalho ou do servidor, especialmente quando a estao de trabalho ou o
servidor est executando tarefas de uso intensivo do disco. A maioria dos discos rgidos tem partes mveis
e demora um pouco para posicionar as cabeas de leitura/gravao no setor adequado no disco para
recuperar a informao solicitada.
Ao selecionar discos mais rpidos e usando conjuntos de discos para otimizar os tempos de acesso, voc
poder suavizar o potencial do subsistema de disco para criar um gargalo de desempenho.
Voc tambm deve lembrar que as informaes no disco so movidas para a memria antes de serem
usadas. Se houver excesso de memria, o sistema operacional Windows Server criar um cache de arquivo
para itens gravados recentemente ou lidos dos discos. A instalao de memria adicional em um servidor
quase sempre pode aprimorar o desempenho do subsistema de disco uma vez que acessar o cache mais
rpido do que mover as informaes para a memria.
Memria
13-13
Os programas e os dados so carregados do disco para a memria antes que o programa manipule os
dados. Em servidores que executam vrios programas, ou onde os conjuntos de dados so extremamente
grandes, o aumento da quantidade de memria instalada pode ajudar a melhorar o desempenho do
servidor.
Rede
fcil subestimar o efeito de uma rede com um desempenho ruim porque ele no fcil ver ou medir
como os outros trs componentes de estao de trabalho. Entretanto, a rede um componente crtico
para o monitoramento de desempenho, uma vez que os dispositivos de rede armazenam muitos
programas, dados em processamento e aplicativos.
Dados de rastreamento de eventos. Esse coletor de dados fornece informaes sobre atividades de
sistema e eventos, que normalmente so teis para solucionar problemas.
Informaes de configurao do sistema. Esse coletor de dados permite registrar o estado atual da
chave do Registro e gravar alteraes a essas chaves.
Etapas da demonstrao
Criar um conjunto de coletores de uados
13-14
1.
2.
3.
Crie um novo conjunto de coletores de dados Definido pelo Usurio com os seguintes contadoreschave:
4.
Abra um prompt de comando e use o comando fsutil para criar um arquivo grande.
2.
3.
Crie uma nova cpia do arquivo grande no disco rgido local copiando-o de LON-DC1.
4.
2.
3.
4.
13-15
Com contadores de alerta, possvel criar um conjunto de coletores de dados personalizado que contm
contadores de desempenho para os quais possvel configurar aes que ocorram com base nos
contadores medidos excedendo ou ficando abaixo dos limites definidos por voc. Depois de criar o
conjunto de coletores de dados, voc dever configurar as aes que o sistema usar quando os critrios
de alerta forem atendidos.
Os contadores de alerta so teis em situaes nas quais um problema de desempenho surge
periodicamente, e possvel usar as aes para executar programas, gerar eventos ou uma combinao
deles.
Esta demonstrao mostra como:
Etapas da demonstrao
Criar um conjunto de coletores de dados com um contador de alertas
1.
2.
Use a opo Alerta do Contador de Desempenho e adicione apenas o contador Processador >
% tempo de processador.
3.
Defina o limite para estar acima de 10 por cento e gerar uma entrada no log de eventos quando essa
condio for atendida.
4.
Abra um prompt de comando e execute uma ferramenta para gerar uma carga no servidor.
2.
Etapas da demonstrao
Exibir um relatrio de desempenho
1.
2.
3.
13-16
Monitoramento da DNS
O DNS (Sistema de Nomes de Domnio) fornece servios de resoluo de nome na rede. Voc pode
monitorar a funo de servidor DNS do Windows Server 2012 para determinar os seguintes aspectos de
sua infraestrutura de DNS:
As estatsticas gerais de servidor DNS, incluindo o nmero de consultas globais e respostas que so
processadas pelo servidor DNS.
Os contadores UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol) para medir
consultas DNS e respostas que o servidor DNS processa respectivamente usando qualquer um destes
protocolos de transporte.
Contador de uso de memria, para medir o uso de memria de sistema e padres de alocao de
memria que so criados operando o computador de servidor como um servidor DNS.
Os contadores de pesquisa recursivos, para medir consultas e respostas quando o servio do Servidor
DNS usa recurso para procurar e resolver completamente os nomes de DNS em nome dos clientes
que fazem a solicitao.
Os contadores de transferncia de zona, incluindo contadores especficos para medir o seguinte: toda
a transferncia de zona (AXFR), transferncia de zona incremental (IXFR) e atividade de notificao de
atualizao de zona DNS.
Monitoramento do DHCP
O servio DHCP fornece servios dinmicos de configurao de IP em sua rede. Voc pode monitorar
a funo de servidor DHCP do Windows Server 2012 para determinar os seguintes aspectos de seu
servidor DHCP:
13-17
O Comprimento Mdio da Fila, que indica o tamanho atual da fila de mensagens interna do servidor
DHCP. Esse nmero representa o nmero de mensagens no processadas que o servidor recebe. Um
nmero grande pode indicar trfego pesado de servidor.
O contador Milissegundos por pacote (Md.) o tempo mdio em milissegundos que o servidor
DHCP usa para processar cada pacote que recebe. Esse nmero varia de acordo com o hardware do
servidor e o subsistema de E/S. Um pico pode indicar um problema com o subsistema de E/S que fica
mais lento ou um problema devido a uma sobrecarga de processamento intrnseco no servidor.
Com a virtualizao de servidores do Hyper-V, voc pode criar mquinas virtuais separadas e execut-las
simultaneamente usando os recursos de um nico sistema operacional de servidor. Essas mquinas
virtuais so conhecidas como convidados, e o computador executando o Hyper-V o host.
Convidados de mquina virtual funcionam como computadores normais. Convidados de mquina virtual
hospedados no mesmo hipervisor continuam independentes entre si. possvel executar vrias mquinas
virtuais que estejam usando diferentes sistemas operacionais em um servidor de host simultaneamente,
desde que o servidor de host tenha recursos suficientes.
Ao criar uma mquina virtual, voc configura caractersticas que definem os recursos disponveis para esse
convidado. Esses recursos incluem memria, processadores, configurao de disco e tecnologia de
armazenamento, alm de configurao do adaptador de rede. Essas mquinas virtuais funcionam dentro
dos limites dos recursos alocados para eles e podem sofrer os mesmos afunilamentos de desempenho dos
servidores de host. Dessa forma, importante que voc monitore mquinas virtuais da mesma maneira e,
assim como acontece com as mesmas ferramentas, que monitora os servidores de host.
Observao: Isso acrescenta ao monitoramento dos convidados de mquina virtual, nunca
se esquea de que voc deve monitorar o host que os executa.
A Microsoft fornece uma ferramenta, Medio de Recursos do Hyper-V, que permite monitorar o
consumo de recurso nas mquinas virtuais.
A medio de recursos permite que voc acompanhe a utilizao de recursos de mquinas virtuais
hospedadas em computadores com Windows Server 2012 com a funo Hyper-V instalada.
Com a medio de recursos, voc pode medir os seguintes parmetros em mquinas virtuais Hyper-V
individuais:
13-18
Ao medir o quanto desses recursos cada uma das mquinas virtuais utiliza, uma organizao pode cobrar
departamentos ou clientes com base no uso de mquina virtual hospedada, em vez de cobrarem uma
taxa fixa por mquina virtual. Uma organizao com apenas clientes internos tambm pode usar essas
medidas para ver os padres de uso e planejar futuras expanses.
Voc realiza tarefas de medio de recurso usando cmdlets do Windows PowerShell no mdulo
Windows PowerShell do Hyper-V. No h ferramenta GUI que permita executar essa tarefa. possvel usar
os seguintes cmdlets para realizar tarefas de medio de recursos:
Measure-VM. Exibe estatsticas de medio de recursos para uma mquina virtual especfica.
Lio 3
13-19
O Visualizador de Eventos fornece um local prtico e acessvel para voc exibir eventos que ocorram e
que o Windows Server registra em um dos vrios arquivos de log com base no tipo de evento ocorrido.
Para dar suporte a seus usurios, voc deve saber como acessar informaes de evento de maneira rpida
e conveniente, e saiba como interpretar os dados no log de eventos.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Etapas da demonstrao
Exibir exibies personalizadas de Funes de Servidor
2.
Crie uma nova exibio personalizada para selecionar os seguintes tipos de evento:
o
Crtico
Aviso
Erro
Sistema
Servidor de
3.
4.
13-20
Para usar o recurso de coleta de eventos, voc deve configurar o encaminhamento e a coleta de
computadores. A funcionalidade de coleta de eventos depende dos servios WinRM (Gerenciamento
Remoto do Windows) e Wecsvc (Servio do Coletor de Eventos do Windows). Estes servios devem estar
sendo executados em computadores que esto participando do processo de encaminhamento e coleta.
Habilitando inscries
Para habilitar inscries, realize as seguintes tarefas:
1.
2.
3.
13-21
Etapas da demonstrao
Configurar o computador de origem
1.
2.
3.
2.
2.
Coletor iniciado
ltimos 30 dias
13-22
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres, Reino
Unido. Um escritrio de IT e um datacenter esto localizados em Londres como suporte localizao em
Londres e outras localizaes. A A. Datum implantou recentemente uma infraestrutura de cliente e
servidor do Windows Server 2012.
Como a empresa implantou novos servidores, ser importante estabelecer uma linha de base de
desempenho com uma carga tpica para esses novos servidores. Sua tarefa trabalhar neste projeto. Alm
disso, para facilitar o processo de monitoramento e soluo de problemas, voc opta por realizar o
monitoramento centralizado de logs de eventos.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Adatum
13-23
Neste exerccio, voc usar o Desempenho do Sistema em um servidor e criar uma linha de base usando
contadores de desempenho tpicos.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
Crie um novo conjunto de coletores de dados Definido pelo Usurio usando as seguintes
informaes para concluir o processo:
o
Memria, Pginas/s
4.
5.
2.
2.
3.
4.
Memria, Pginas/s
5.
6.
Registre os valores listados no relatrio para anlise posterior. Os valores registrados incluem:
o
Memria, Pginas/s
Resultados: Depois deste exerccio, voc deve ter estabelecido uma linha de base para fins de
comparao de desempenho.
13-24
Neste exerccio, voc agora simular uma carga para representar o sistema em uso dinmico, obtero
dados de desempenho usando o seu conjunto de coletores de dados e determinaro a potencial causa do
problema de desempenho.
As principais tarefas deste exerccio so:
1.
2.
3.
2.
3.
13-25
1.
2.
No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resultados, clique com
o boto direito do mouse em Desempenho de LON-SVR1.
3.
2.
3.
4.
5.
6.
7.
Clique em Adicionar.
8.
9.
Memria, Pginas/s
Pergunta: Comparado com seu relatrio anterior, quais valores foram alterados?
Pergunta: O que voc recomendaria?
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de desempenho para identificar
um afunilamento de desempenho potencial.
2.
3.
4.
5.
Verificar resultados
6.
2.
3.
4.
5.
2.
Computadores: LON-SVR1
Coletor Iniciado
Logs: Aplicativos e Servios> Microsoft > Windows > Diagnosis-PLA > Operacional
2.
13-26
3.
4.
Crie um novo conjunto de coletores de dados Definido pelo Usurio usando as seguintes
informaes para concluir o processo:
13-27
2.
3.
Aguarde um minuto para a captura de dados ocorrer e, no prompt de comando, pressione Ctrl+ C e
feche o prompt de comando.
Resultados: Ao final deste exerccio, voc ter centralizado logs de eventos e examinado esses logs de
eventos relacionados ao desempenho.
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
Ferramentas
Ferramenta
Use para
Onde encontrar
Fsutil.exe
Linha de comando
Monitor de
Desempenho
Menu Iniciar
Logman.exe
Linha de comando
Monitor de Recursos
Menu Iniciar
Visualizador de
Eventos
Menu Iniciar
Gerenciador de
Tarefas
Menu Iniciar
13-28
Avaliao do curso
Sua avaliao deste curso ajudar a Microsoft a
entender a qualidade da sua experincia de
aprendizagem.
Solicite ao seu instrutor o acesso ao formulrio de
avaliao do curso.
A Microsoft manter em sigilo suas respostas a esta
pesquisa e usar suas respostas para melhorar sua
experincia de aprendizagem futura. Sua avaliao
franca e honesta muito valiosa.
13-29
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
7.
8.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado os Servios de
Implantao do Windows.
1.
2.
3.
4.
5.
Na janela Abrir, clique duas vezes em Disco Local (C:), em Arquivos de Programas, em Microsoft
Learning, em 24411, em Drives e em Windows2012_RTM.ISO.
6.
2.
3.
Clique com o boto direito do mouse em Imagens de Inicializao e clique em Adicionar Imagem
de Inicializao.
4.
5.
6.
7.
8.
9.
L1-3
1.
No console Servios de Implantao do Windows, clique com o boto direito do mouse em Imagens
de Instalao e clique em Adicionar Grupo de Imagens.
2.
Na caixa de dilogo Adicionar Grupo de Imagens, no campo Digite um nome para o grupo de
imagens, digite Windows Server 2012 e clique em OK.
3.
4.
5.
6.
7.
Na pgina Imagens Disponveis, desmarque todas as caixas de seleo, exceto Windows Server
2012 SERVERSTANDARDCORE e clique em Avanar.
8.
9.
Resultados: Depois de concluir este exerccio, voc criar uma imagem de sistema operacional com
Servios de Implantao do Windows.
No Servios de Implantao do Windows, na rvore de console, clique com o boto direito do mouse
em LON-SVR1.Adatum.com e clique em Propriedades.
2.
3.
4.
5.
Na caixa de dilogo Procurar uma pasta de servio de diretrio, expanda Adatum, clique em
Research e clique em OK.
6.
No Servios de Implantao do Windows, na rvore de console, clique com o boto direito do mouse
em LON-SVR1.Adatum.com e clique em Propriedades.
8.
9.
1.
2.
3.
Em Usurios e Computadores do Active Directory, expanda Adatum.com, clique com o boto direito
do mouse em Research e clique em Delegar controle.
4.
5.
6.
7.
Na caixa de dilogo Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
8.
9.
10. Na pgina Tarefas a delegar, clique em Criar uma tarefa personalizada para delegar e em
Avanar.
11. Na pgina Tipo de Objeto do Active Directory, clique em Somente os seguintes objetos na
pasta, marque as caixas de seleo Computador objetos, Criar objetos selecionados nesta pasta e
clique em Avanar.
12. Na pgina Permisses, na Lista de permisses, marque a caixa de seleo Controle Total e clique
em Avanar.
13. Na pgina Concluindo o 'Assistente para delegao de controle', clique em Concluir.
Resultados: Depois de concluir esse exerccio, voc ter configurado a nomenclatura de computador
personalizada.
2.
Nos Servios de Implantao do Windows, na rvore de console, clique com o boto direito do
mouse em Transmisses Multicaste clique em Criar Transmisso Multicast.
L1-5
3.
No Assistente para Criar Transmisso Multicast, na pgina Nome da Transmisso, no campo Digite
um nome para esta transmisso, digite Servidores de Ramificao do Windows Server 2012 e
clique em Avanar.
4.
Na pgina Seleo de Imagem, na lista Selecionar o grupo de imagens que contm a imagem,
clique em Windows Server 2012.
5.
6.
7.
Clique em Concluir.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-SVR3 e clique em
Configuraes.
3.
4.
5.
Use as setas para mover Adaptador de Rede Herdado at a parte superior da lista e clique em OK.
6.
7.
8.
Quando o computador for reinicializado, revise o aviso de DHCP PXE. Quando solicitado, pressione
F12 para Inicializao de Rede.
Pergunta: Voc v a mensagem de aprovao da administrao?
Resposta: Sim.
9.
2.
Clique com o boto direito do mouse em 24411B-LON-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter implantado uma imagem com Servios de
Implantao do Windows.
2.
3.
4.
Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
5.
6.
7.
8.
9.
10. Na caixa de dilogo Novo Registro de Recursos, na caixa Nome de domnio totalmente
qualificado (FQDN) do servidor de email, digite Mail1.Adatum.com e clique em OK.
Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
2.
3.
4.
5.
6.
Clique com o boto direito do mouse em Adatum.com, e clique em Outros registros novos.
7.
8.
9.
2.
Clique com o boto direito do mouse em Zonas de Pesquisa Inversa e clique em Nova zona.
3.
4.
5.
6.
Na pgina Nome da Zona de Pesquisa Inversa, clique em Zona de Pesquisa Inversa IPv4 e em
Avanar.
7.
Na segunda pgina Nome da Zona de Pesquisa Inversa, na caixa Identificao de rede, digite
172.16.0 e clique em Avanar.
8.
9.
Resultados: Depois deste exerccio, voc dever ter configurado os registros do servio de sistema de
mensagens obrigatrio e a zona de pesquisa inversa com xito.
1.
2.
3.
4.
Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite 131.107.1.2
e pressione Enter. A validao falhar porque no foi possvel entrar em contato com o servidor.
5.
Marque a caixa de seleo Armazenar o encaminhador condicional no Active Directory e repliclo desta forma.
6.
Clique em OK.
Resultados: Depois deste exerccio, voc ter configurado com xito o encaminhamento condicional.
2.
L2-9
3.
4.
5.
6.
7.
Na pgina Selecionar funes de servidor, na lista Funes, marque a caixa de seleo Servidor
DNS.
8.
9.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
7.
8.
9.
Clique em Cancelar.
1.
Em LON-DC1, no Gerenciador DNS, clique com o boto direito do mouse em Adatum.com e clique
em Propriedades.
2.
3.
4.
Clique com o boto direito do mouse em LON-DC1 e clique em Definir durao/eliminao para
todas as zonas.
5.
6.
2.
3.
4.
5.
6.
7.
8.
9.
Resultados: Depois deste exerccio, voc ter instalado e configurado com xito o DNS em LON-SVR1.
2.
3.
4.
5.
Na guia Monitorando, selecione Uma consulta simples a este servidor DNS e clique em
Testar agora.
L2-11
6.
Na guia Monitorando, selecione Uma consulta recursiva a outros servidores DNS e clique em
Testar agora. Observe que o teste recursivo falha para LON-DC1, o que normal, pois no h
encaminhadores configurados para uso por este servidor DNS.
7.
8.
9.
11. No Gerenciador DNS, na caixa de dilogo LON-DC1 Properties, na guia Monitorando, clique em
Testar agora. Agora, os testes simples e recursivo falham porque nenhum servidor DNS est
disponvel.
12. Alterne para o prompt de comando.
13. No prompt de comando, digite o seguinte comando e pressione Enter:
sc start dns
2.
3.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para isso, execute estas
etapas:
No computador host, inicie o Gerenciador do Hyper-V.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.
Repita as etapas 2 e 3 para 24411B-LON-SVR1 e 24411B-LON-CL1.
Resultados: Aps este exerccio, voc dever ter testado e verificado o DNS com xito.
L3-13
Laboratrio: Manuteno do AD DS
Exerccio 1: Instalao e configurao de um RODC
Tarefa 1: Verificar os requisitos para instalar um RODC
1.
2.
3.
Na janela Aumentar nvel funcional do domnio, confirme que o Nvel funcional atual do
domnio definido como Windows Server 2008 R2. O nvel mnimo para suporte do RODC
Windows Server 2003. Clique em Cancelar.
4.
5.
6.
7.
8.
9.
Clique em OK duas vezes para configurar a alterao de nome e o reincio do servidor pendente.
16. Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse em
Domain Controllers e clique em Pr-criar conta do Controlador de Domnio Somente Leitura.
17. Na janela Assistente de Instalao dos Servios de Domnio Active Directory, clique em Avanar.
18. Clique em Avanar para aceitar as credenciais atuais.
19. No campo Nome do computador, digite LON-SVR1 e clique em Avanar.
20. Na pgina Selecione um site, clique em Avanar.
21. Na pgina Opes Adicionais de Controlador de Domnio, clique em Avanar.
22. Na pgina Instalao e Administrao de Delegao de RODC, digite ADATUM\IT no campo
Grupo ou usurio e clique em Avanar.
23. Na pgina Resumo, clique em Avanar.
1.
2.
3.
4.
5.
6.
Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Domnio Active
Directory, clique em Adicionar Recursos e clique em Prximo.
7.
8.
9.
12. Na janela Segurana do Windows, digite ADATUM\April para Nome de usurio e Pa$$w0rd como
uma senha e clique em OK.
13. Na janela Selecionar um domnio da floresta, clique em Adatum.com e em OK.
14. Na janela Configurao de Implantao, clique em Prximo.
15. Na tela Opes do Controlador de Domnio, em Digite a senha do Modo de Restaurao dos
Servios de Diretrio (DSRM), digite Pa$$w0rd nos campos Senha e Confirmar senha e clique em
Prximo.
16. Na pgina Opes Adicionais, ao lado de Replicar de, clique na caixa suspensa, clique em LONDC1.Adatum.com e em Prximo.
17. Na pgina Caminhos, clique em Prximo.
18. Na pgina Examinar Opes, clique em Prximo.
19. Na pgina Verificao de Pr-requisitos, clique em Instalar.
20. Depois que o Assistente de Servios de Domnio Active Directory tiver concludo, o LON-SVR1 ser
reiniciado.
2.
Na janela Usurios e Computadores do Active Directory, clique no continer Users, clique duas vezes
em Grupo de Replicao de Senha RODC Permitido, clique na guia Membros e verifique se no
h nada listado.
L3-15
3.
Clique em OK.
4.
5.
6.
Clique em OK.
2.
Na janela Novo Objeto Grupo, digite Usurios de Escritrio Remotos no campo Nome do grupo,
confirme que Global e Segurana esto selecionados e clique em OK.
3.
4.
5.
6.
7.
No campo Digite os nomes de objeto a serem selecionados, digite LON-CL1, clique em Verificar
nomes e clique em OK.
8.
2.
3.
Na janela Adicionar Grupos, Usurios e Computadores, clique no boto de opo para selecionar
Permitir a replicao de senhas da conta para este RODC e clique em OK.
4.
5.
2.
Clique na guia Diretiva Resultante, clique em Adicionar, digite Aziz;, clique em Verificar nomes e
clique em OK.
3.
4.
1.
2.
Tente entrar como ADATUM\Aziz com a senha Pa$$w0rd. A entrada falhara, porque Aziz no tem
permisso para entrar em LON-SVR1. Porm, as credenciais para a conta de Aziz foram processadas e
armazenadas em cache em LON-SVR1.
3.
4.
5.
Na guia Poltica de Replicao de Senha, clique em Avanado. Note que a senha da conta de Aziz
foi armazenada em LON-SVR1.
6.
2.
3.
4.
Clique em OK e confirme se Louise e LON-CL1 foram adicionadas lista de contas com credenciais
armazenadas em cache.
5.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado um RODC.
Em LON-DC1, mova seu mouse para o canto esquerdo inferior e clique no boto Iniciar.
2.
3.
4.
5.
6.
Anote o nmero de GUID que o comando retorna ou copie o GUID para a rea de transferncia.
7.
L3-17
Depois que o instantneo for criado, no prompt de comando, digite o seguinte e pressione Enter:
quit
8.
2.
3.
Em LON-DC1, mova seu mouse para o canto esquerdo inferior e clique no boto Iniciar.
2.
Na tela Iniciar, digite cmd, clique com o boto direito do mouse no Prompt de Comando e clique
em Executar como Administrador.
3.
4.
5.
6.
7.
9.
Observe que datetime ser um valor exclusivo. Deve haver somente uma pasta em sua unidade C:\
com um nome que comea com $snap.
Uma mensagem indica que a inicializao dos Servios de Domnio Active Directory est concluda.
Deixe Dsamain.exe executando e no feche o prompt de comando.
Alterne para Usurios e Computadores do Active Directory. Clique com o boto direito do mouse
no n raiz do snap-in e clique em Alterar o Controlador de Domnio.
2.
3.
4.
5.
Localize o objeto da conta de usurio Adam Barr. Observe que o objeto de Adam Barr exibido
porque o instantneo foi tirado antes de exclu-lo.
2.
Resultados: Depois de concluir este exerccio, voc ter configurado instantneos do AD DS.
2.
3.
4.
2.
3.
Senha: Pa$$w0rd
4.
5.
Selecione Teste1 e Teste2. Clique com o boto direito do mouse na seleo e clique em Excluir.
6.
L3-19
1.
Na Central Administrativa do Active Directory, clique em Adatum (Local) e clique duas vezes em
Deleted Objects.
2.
3.
4.
5.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial concluindo as seguintes etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
Resultados: Depois de concluir esse exerccio, voc ter configurado a Lixeira do Active Directory.
L4-21
2.
3.
4.
5.
6.
7.
Na janela Propriedades de Tempo de vida mximo da senha, digite 45 no campo A senha expirar
em e clique em OK.
8.
9.
Na janela Propriedades de Tempo de vida mnimo da senha, verifique se o campo A senha pode ser
alterada aps 1 e clique em OK.
11. Na janela de propriedades de Comprimento mnimo da senha, digite 10 no campo A senha deve ter
pelo menos e clique em OK.
12. Clique duas vezes em A senha deve satisfazer a requisitos de complexidade.
13. Na janela de propriedades de A senha deve satisfazer a requisitos de complexidade, clique em
Habilitado e clique em OK.
14. No feche o Editor de Gerenciamento de Poltica de Grupo.
2.
3.
4.
5.
6.
Na janela de propriedades de Zerar contador de bloqueios de conta aps, digite 15 no campo Zerar
contador de bloqueios de conta aps e clique em OK.
7.
8.
2.
3.
4.
No painel de detalhes, clique com o boto direito do mouse no grupo Managers e clique em
Propriedades.
6.
7.
No painel de detalhes, clique com o boto direito do mouse em Password Settings Container,
clique em Novo, e clique em Configuraes de Senha.
8.
b.
c.
d.
e.
f.
g.
h.
i.
9.
L4-23
10. No campo Digite os nomes de objeto a serem selecionados, digite ADATUM\Managers, clique
em Verificar nomes e clique em OK.
11. Na janela Criar Configuraes de Senha, clique em OK.
12. Feche a Central Administrativa do Active Directory.
Resultados: Aps concluir esse exerccio, voc ter configurado a poltica de senha e as configuraes de
bloqueio de conta.
2.
3.
4.
5.
6.
7.
2.
3.
4.
5.
6.
7.
8.
9.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
Resultados: Aps ter concludo esse exerccio, voc ter criado e associado uma conta de servio
gerenciada.
L5-25
2.
3.
Na rvore de console, clique com o boto direito do mouse no continer Objetos de Poltica de
Grupo e, em seguida, clique em Novo.
4.
5.
No painel de detalhes do Console de Gerenciamento de Poltica de Grupo, clique com o boto direito
do mouse no GPO Padres da ADATUM e clique em Editar.
6.
7.
8.
9.
Clique em Mostrar.
10. Na caixa de dilogo Mostrar Contedo, na lista Valor, digite notepad.exe e clique em OK.
11. Na janela No executar aplicativos do Windows especificados, clique em OK.
Na rvore do Console de Gerenciamento de Poltica de Grupo, clique com o boto direito do mouse
no n do domnio Adatum.com e clique em Vincular com GPO Existente.
2.
L5-26
1.
2.
3.
4.
Clique em Proteo de Tela. Observe que o controle Aguardar est desabilitado, ou seja, voc no
pode alterar o tempo limite. Observe que a opo Ao reiniciar, exibir tela de logon est
selecionada e desabilitada, e que voc no pode desabilitar a proteo por senha.
5.
6.
7.
Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
8.
Resultados: Aps este exerccio, voc ter criado, editado e vinculado os GPOs necessrios com xito.
2.
3.
Clique com o boto direito do mouse na UO Research, selecione Novo e clique em Unidade
Organizacional.
4.
5.
6.
7.
8.
Clique com o boto direito do mouse na UO Engenheiros e clique em Criar um GPO neste
domnio e fornecer um link para ele aqui.
9.
10. Clique com o boto direito do mouse no GPO Substituio da Aplicao Engenharia e clique
em Editar.
11. Na rvore de console, expanda Configurao do Usurio, Polticas, Modelos Administrativos e
Painel de Controle e clique em Personalizao.
12. Clique duas vezes na configurao de poltica Tempo limite da Proteo de Tela.
13. Clique em Desabilitado e em OK.
14. Feche o Editor de Gerenciamento de Poltica de Grupo.
L5-27
1.
2.
Clique na guia Herana de Poltica de Grupo. Observe que o GPO Substituio da Aplicao
Engenharia tem precedncia mais alta do que o GPO Padres da ADATUM. A configurao de
poltica de tempo limite de proteo de tela que voc acabou de configurar no GPO Substituio da
Aplicao Engenharia aplicada aps a configurao no GPO Padres da ADATUM. Portanto, a
nova configurao substituir a configurao padro e prevalecer. O tempo limite da Proteo de
Tela ser desabilitado para usurios dentro do escopo do GPO Substituio da Aplicao
Engenharia.
2.
3.
Clique com o boto direito do mouse na UO Engenheiros, selecione Novo e clique em Grupo.
4.
5.
6.
Na rvore de console, se for necessrio, expanda a UO Engenheiros e clique duas vezes no link do
GPO Substituio da Aplicao Engenharia na UO Engenheiros. Uma mensagem exibida.
7.
Leia a mensagem e marque a caixa de seleo No exibir esta mensagem novamente e clique
em OK. Na seo Filtros de Segurana, voc ver que o GPO se aplica por padro a todos os usurios
autenticados.
8.
9.
12. Na caixa de dilogo Selecione Usurio, Computador ou Grupo, na caixa Digite o nome do objeto
a ser selecionado (exemplos): digite GPO_Engineering Application Override_Apply e pressione
Enter.
13. Alterne para Usurios e Computadores do Active Directory.
14. Na rvore de console, expanda o domnio Adatum.com e clique na pasta User.
15. Clique com o boto direito do mouse em User, selecione Novo e clique em Grupo.
16. Digite GPO_ADATUM Standards_Exempte pressione Enter.
17. Alterne para o Console de Gerenciamento de Poltica de Grupo.
18. Na rvore de console, clique no objeto de domnio Adatum.com e clique duas vezes no GPO
Padres da Adatum. Na seo Filtros de Segurana, observe que o GPO se aplica por padro a todos
os usurios autenticados.
19. Clique na guia Delegao.
20. Clique no boto Avanado. A caixa de dilogo Padres da ADATUM Configuraes de Segurana
exibida.
21. Clique no boto Adicionar. A caixa de dilogo Selecionar Usurios, Computadores, Contas de
Servio ou Grupos exibida.
22. Na caixa Digite os nomes de objeto a serem selecionados (exemplos): digite GPO_ADATUM
Standards_Exempt e pressione Enter.
23. Marque a caixa de seleo Negar ao lado de Aplicar poltica de grupo.
L5-28
24. Clique em OK. Uma mensagem de aviso exibida para lembrar que permisses Negar substituem as
permisses Permitir. Clique em Sim. Observe que a permisso aparece na guia Delegao como
Personalizado.
2.
3.
Clique com o boto direito do mouse em Adatum.com, selecione Novo e clique em Unidade
Organizacional.
4.
Na caixa de dilogo Novo Objeto - Unidade Organizacional, digite Quiosques e clique em OK.
5.
Clique com o boto direito do mouse em Quiosques, selecione Novo e clique em Unidade
Organizacional.
6.
Na caixa de dilogo Novo Objeto - Unidade Organizacional, digite Salas de Conferncia e clique
em OK.
7.
8.
9.
Clique com o boto direito do mouse na UO Salas de Conferncia e clique em Criar um GPO neste
domnio e fornecer um link para ele aqui.
10. Na caixa Novo GPO, na caixa Nome, digite Polticas de Sala de Conferncia e pressione Enter.
11. Na rvore de console, expanda Salas de Conferncia e clique no GPO Polticas de Sala de
Conferncia.
12. Clique na guia Escopo. Confirme que o escopo do GPO est definido para ser aplicado a Usurios
Autenticados.
13. Clique com o boto direito do mouse no GPO Polticas de Sala de Conferncia na rvore de
console e clique em Editar.
14. Na rvore de console Editor de Gerenciamento de Poltica de Grupo, expanda Configurao do
Usurio, Polticas, Modelos Administrativos e Painel de Controle e clique em Personalizao.
15. Clique duas vezes na configurao de poltica Tempo limite de Proteo de Tela.
16. Clique em Habilitado.
17. Na caixa Segundos, digite 2700 e clique em OK.
L5-29
Resultados: Aps este exerccio, voc ter configurado com xito o escopo necessrio dos GPOs.
2.
Verifique se voc ainda est conectado como ADATUM\Pat. Se necessrio, fornea a senha
Pa$$w0rd.
3.
4.
Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
5.
Na lista Aplicativos, clique com o boto direito do mouse em Prompt de Comando e clique em
Executar como administrador.
6.
7.
8.
Aguarde a concluso do comando. Anote a hora do sistema atual porque voc precisar dessa
informao em uma tarefa futura deste laboratrio. Para registrar a hora de sistema, digite o seguinte
comando e pressione Enter duas vezes:
Time
9.
Reinicie LON-CL1.
10. Aguarde a reinicializao do LON-CL1 antes de passar para a prxima tarefa. No entre no LON-CL1.
11. Alterne para LON-DC1.
12. Alterne para o console de Gerenciamento de Poltica de Grupo.
16. Na pgina Seleo de Computador, clique em Outro computador, digite LON-CL1 e clique em
Avanar.
17. Na pgina Seleo de Usurio, verifique se as opes Exibir configuraes de poltica para e
Selecione um usurio especfico so selecionadas, selecione ADATUM\Pat e clique em Avanar.
18. Na pgina Resumo das Selees, examine suas configuraes e clique em Avanar.
L5-30
20. Revise os Resultados de Poltica de Grupo. Para a configurao de usurio e computador, identifique
a hora da ltima atualizao de poltica e a lista de GPOs permitidos e negados. Identifique os
componentes que foram usados para processar configuraes de poltica.
21. Clique na guia Detalhes. Revise as configuraes que foram aplicadas durante a aplicao de poltica
de usurio e computador e identifique o GPO do qual as configuraes foram obtidas.
22. Clique na guia Eventos de Polticas e localize o evento que registra em log a atualizao de poltica
voc disparou com o comando GPUpdate na Tarefa 1.
23. Clique na guia Resumo, clique com o boto direito do mouse na pgina e clique em Salvar
Relatrio.
24. No painel de navegao, clique em rea de Trabalho e em Salvar.
25. Abra o relatrio de RSoP salvo na rea de trabalho. Examine o relatrio de RSoP e feche-o.
2.
Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
3.
4.
Observe que muitas das configuraes de Poltica de Grupo aplicadas pelo cliente esto listadas nesse
relatrio.
6.
9.
Compare o relatrio, suas informaes e a formatao com o relatrio de RSoP que voc salvou na
tarefa anterior.
L5-31
1.
2.
3.
Clique com o boto direito do mouse em Modelagem da Poltica de Grupo e clique em Assistente
para Modelagem de Poltica de Grupo. O Assistente para Modelagem de Poltica de Grupo
aberto.
4.
Clique em Avanar.
5.
6.
7.
8.
9.
13. Na pgina Caminhos alternativos do Active Directory, clique no boto Procurar ao lado do Local
do computador. A caixa de dilogo Escolha o continer de computador exibida.
14. Expanda Adatum e Quiosques e clique em Salas de Conferncia. Voc est simulando o efeito de
LON-CL1 como um computador da sala de conferncia.
15. Clique em OK.
16. Clique em Avanar.
17. Na pgina Grupos de Segurana de Usurio, clique em Avanar.
18. Na pgina Grupos de Segurana do Computador, clique em Avanar.
19. Na pgina Filtros WMI para usurios, clique em Avanar.
20. Na pgina Filtros WMI para Computadores, clique em Avanar.
21. Revise suas configuraes na pgina Resumo das Selees e clique em Avanar.
22. Clique em Concluir.
23. Na guia Detalhes, role a tela e, se necessrio, expanda Detalhes do Usurio, Objetos de Poltica de
Grupo e GPOs Aplicados.
24. Verifique se o GPO Polticas de Sala de Conferncia se aplica a Mike como uma poltica de usurio
quando ele fizer logon em LON-CL1 se LON-CL1 estiver na UO Salas de Conferncia?
25. Role a tela e, se necessrio, expanda Detalhes do Usurio, Polticas, Modelos Administrativos e
Painel de Controle/Personalizao.
L5-32
26. Confirme que o tempo limite de proteo de tela 2.700 segundos (45 minutos), a configurao
definida pelo GPO Polticas de Sala de Conferncia que substitui o padro de 10 minutos configurado
pelo GPO Padres da ADATUM.
2.
Coloque o ponteiro do mouse no canto inferior direito do vdeo e clique em Configuraes. Clique
em Painel de Controle.
3.
4.
5.
6.
7.
8.
Localize eventos com Poltica de Grupo como a Origem. Voc pode at clicar no link Filtrar Log Atual
no painel Aes e selecionar Poltica de Grupo na lista suspensa Origens de Eventos.
9.
12. Revise os eventos e identifique os eventos de Poltica de Grupo inseridos nesse log. Quais eventos
esto relacionados com a aplicao de Poltica de Grupo e quais esto relacionados com as atividades
que voc executou para gerenciar Poltica de Grupo? Observe que, dependendo do tempo que a
mquina virtual est em execuo, talvez voc no tenha Eventos de Poltica de Grupo no log do
aplicativo.
13. Na rvore de console, expanda Logs de Aplicativos e Servios, Microsoft, Windows e Group
Policy e clique em Operacional.
14. Localize o primeiro evento relacionado na atualizao de Poltica de Grupo que voc iniciou no
Exerccio 1, com o comando GPUpdate. Revise esse evento e os eventos que se seguem.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de RSoP com xito para verificar a
aplicao correta de seus GPOs.
2.
3.
No painel de detalhes, clique com o boto direito do mouse em Padres da ADATUMe clique
em Backup.
4.
Na caixa de dilogo Fazer Backup do Objeto de Poltica de Grupo, na caixa Local, digite C:\.
5.
Clique em Backup.
6.
L5-33
1.
2.
Na caixa de dilogo Assistente para Restaurar Objeto de Poltica de Grupo, clique em Avanar.
3.
4.
5.
6.
7.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
Resultados: Depois deste exerccio, voc dever ter executado com xito tarefas de gerenciamento
comuns em seus GPOs.
L6-35
2.
3.
4.
No painel de detalhes, clique duas vezes em Disco Local (C:), e na guia Incio, clique na pasta Nova
pasta.
5.
6.
Clique com o boto direito do mouse na pasta Branch1, clique em Compartilhar com e clique em
Pessoas especficas.
7.
8.
9.
19. Na rea de trabalho, clique com o boto direito do mouse no arquivo BranchScript.bat e clique em
Copiar. Voc colar o arquivo posteriormente na pasta apropriada no laboratrio.
Em LON-DC1, coloque o ponteiro do mouse no canto direito inferior do visor, e clique em Iniciar.
2.
3.
4.
5.
Clique com o boto direito do mouse em Adatum.com, aponte para Novo e clique em Unidade
Organizacional.
6.
Na caixa de dilogo Novo Objeto Unidade Organizacional, na caixa Nome, digite Filial 1 e
clique em OK.
7.
8.
No painel de detalhes, clique com o boto direito do mouse em Holly Dickson e clique em Mover.
9.
11. No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e, em seguida, clique em
Mover.
12. Na caixa de dilogo Mover, clique em Filial 1 e, em seguida, clique em OK.
13. Coloque o ponteiro do mouse no canto inferior direito do visor, e clique em Iniciar.
14. Clique em Ferramentas Administrativas e clique duas vezes em Gerenciamento de Poltica
de Grupo.
15. Expanda a Floresta: Adatum.com, expanda Domnios e expanda Adatum.com.
16. Clique com o boto direito do mouse em Filial 1 e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui.
17. Na caixa de dilogo Novo GPO, na caixa Nome, digite Branch1 e clique em OK.
18. No painel de navegao, clique em Objetos de Poltica de Grupo.
19. Clique com o boto direito do mouse no GPO Branch1 e clique em Editar.
L6-37
2.
3.
4.
5.
6.
7.
8.
Na caixa de dilogo Editor de Destino, clique em Novo Item e clique em Grupo de Segurana.
9.
10. Na caixa de dilogo Selecionar Grupo, na caixa Digite o nome do objeto a ser selecionado
(exemplos), digite IT e clique em OK.
11. Clique em OK duas vezes.
12. Feche todas as janelas abertas.
2.
3.
4.
5.
6.
7.
Saia de LON-CL1.
8.
9.
10. Examine o painel de navegao, e verifique se possui uma unidade mapeada para \\lon-dc1\Branch1.
11. Verifique se o atalho para o Bloco de Notas est na rea de trabalho de Holly.
12. Se o atalho no aparecer, repita as etapas de 4 at 8.
13. Saia de LON-CL1.
Resultados: Depois desse exerccio, voc deve ter criado os scripts e as configuraes de preferncia
requeridas com sucesso, e depois atribudo-os usando os GPOs.
1.
2.
3.
No painel de detalhes, clique duas vezes em Disco Local (C:), e na guia Incio clique em Nova pasta.
4.
5.
Clique com o boto direito do mouse na pasta Branch1Redirect, clique em Compartilhar com e clique
em Pessoas especficas.
6.
Na caixa de dilogo Compartilhamento de Arquivos, clique na seta suspensa, selecione Todos e clique
em Adicionar.
7.
8.
9.
2.
3.
Clique com o boto direito do mouse em Filial 1 e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui. Clique em OK.
4.
Na caixa de dilogo Novo GPO, na caixa Nome, digite Redirecionamento de Pasta e clique em OK.
Expanda Filial 1, clique com o boto direito do mouse em Redirecionamento de pasta e clique em
Editar.
2.
3.
L6-39
4.
5.
Verifique se a caixa Local da pasta de destino est definida para Criar uma pasta para cada usurio
no caminho raiz.
6.
7.
8.
2.
3.
4.
5.
6.
7.
8.
9.
12. Na caixa de dilogo Propriedades de Meus Documentos, observe que o local da pasta agora o
compartilhamento de rede em uma subpasta nomeada para o usurio.
13. Se o redirecionamento da pasta no for evidente, saia, e entre como ADATUM\Holly com a senha
Pa$$word. Repita as etapas de 10 at 12.
14. Saia de LON-CL1.
Resultados: Depois deste exerccio, voc deve ter configurado o redirecionamento de pasta com xito
para uma pasta compartilhada no servidor de LON-DC1.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para isso, execute estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
3.
4.
L7-41
2.
3.
4.
No painel de detalhes Console de Modelos de Certificado, clique com o boto direito do mouse em
Computador e clique em Propriedades.
5.
6.
Em Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
7.
8.
9.
Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas e
clique em Iniciar Servio.
15. No painel de navegao, clique com o boto direito do mouse em Configuraes de solicitao
automtica de certificado, aponte para Novo e clique em Solicitao de Certificado Automtica.
16. No Bem-vindo ao Assistente para Instalao de Solicitao Automtica de Certificados, clique
em Avanar.
L7-43
1.
2.
3.
4.
5.
6.
7.
8.
9.
10. Na pgina Selecionar servios de funo, verifique se a caixa de seleo Servidor de Polticas de
Rede est marcada e clique em Prximo.
11. Na pgina Confirmar selees de instalao, clique em Instalar.
12. Verifique se a instalao foi bem-sucedida e clique em Fechar.
14. No Gerenciador de Poltica de Rede, no painel de navegao, clique com o boto direito do mouse
em NPS (Local) e clique em Registrar servidor no Active Directory.
15. Na caixa de mensagem Servidor de Polticas de Rede, clique em OK.
16. Na caixa de dilogo Servidor de Poltica de Rede subsequente, clique em OK.
17. Deixe a janela do console Servidor de Polticas de Rede aberta.
24. Clique na interface de rede Conexo Local 2. Desmarque a caixa de seleo Habilitar a segurana
na interface selecionada configurando filtros de pacotes estticos e clique em Avanar.
25. Na pgina Atribuio de endereo IP, clique em De um intervalo de endereos especificado e
em Avanar.
26. Na pgina Atribuio de intervalo de endereos, clique em Novo. Na caixa de texto Endereo IP
inicial, digite 172.16.0.100, na caixa de texto Endereo IP final, digite 172.16.0.110 e clique em OK.
27. Verifique se os 11 endereos IP foram atribudos a clientes remotos e clique em Avanar.
28. Na pgina Gerenciando mltiplos servidores de acesso remoto, clique em Avanar.
29. Clique em Concluir.
30. Na caixa de dilogo Roteamento e Acesso Remoto, clique em OK.
31. Se solicitado, clique em OK novamente.
2.
3.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de cima da lista e
clique em Desabilitar.
4.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de baixo da lista e
clique em Desabilitar.
5.
No painel de navegao, clique com o boto direito do mouse em Polticas de Rede e clique em
Novo.
6.
No Assistente de Nova Poltica de Rede, na caixa de texto Nome da Poltica, digite Poltica VPN de
Piloto de IT.
7.
Na lista Tipo de servidor de acesso rede, clique em Servidor de Acesso Remoto (VPN-Dial up)
e em Avanar.
8.
9.
L7-45
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN com xito e configurado
o acesso para membros do grupo de segurana global de IT.
2.
Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
3.
4.
5.
6.
Clique em Fechar.
7.
8.
9.
11. Na pgina Selecionar o Sistema Operacional de Destino, verifique se a opo Windows Vista ou
superior est selecionada e clique em Avanar.
12. Na pgina Criar ou Modificar um Perfil do Gerenciador de Conexes, verifique se a opo Novo
perfil est selecionada e clique em Avanar.
13. Na pgina Especificar o Nome do Servio e o Nome do Arquivo, na caixa de texto Nome do
servio, digite VPN Piloto da Adatum, na caixa de texto Nome do arquivo, digite Adatum e clique
em Avanar.
14. Na pgina Especificar um Nome de Realm, clique em No adicionar um nome de realm ao nome
do usurio e em Avanar.
15. Na pgina Mesclar Informaes de Outros Perfis, clique em Avanar.
16. Na pgina Adicionar Suporte a Conexes VPN, marque a caixa de seleo Catlogo telefnico
deste perfil.
17. Na caixa de texto Nome ou endereo IP do servidor VPN, digite 10.10.0.1 e clique em Avanar.
18. Na pgina Criar ou Modificar uma Entrada de VPN, clique em Editar.
19. Na caixa de dilogo Editar Entrada de VPN, clique na guia Segurana.
20. Na lista Estratgia de VPN, clique em Usar apenas o protocolo de tnel de camada 2 (L2TP) e
em OK.
Saia de LON-CL2.
2.
3.
4.
5.
6.
7.
Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN Piloto da
Adatum e clique em Conectar/Desconectar.
8.
9.
L7-47
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
3.
4.
Resultados: Depois deste exerccio, voc deve ter distribudo um perfil CMAK com xito e testado o
acesso VPN.
b.
c.
d.
No console Usurios e Computadores do Active Directory, clique com o boto direito do mouse
em Adatum.com, clique em Novo e em Unidade Organizacional
e.
Na janela Novo Objeto Unidade Organizacional, na caixa de texto Nome, digite DA_Clients
OU e clique em OK.
f.
No console Usurios e Computadores do Active Directory, clique com o boto direito do mouse
em DA_Clients OU, clique em Novo e em Grupo.
g.
h.
i.
j.
k.
l.
b.
L7-49
c.
Em Adatum.com, clique com o boto direito do mouse em Default Domain Policy, e clique em
Editar.
d.
e.
No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com o
boto direito do mouse em Regras de Entrada e clique em Nova Regra.
f.
g.
h.
i.
j.
Clique em Avanar.
k.
l.
Na pgina Nome, na caixa de texto Nome, digite Solicitaes de eco ICMPv6 de entrada, e
clique em Concluir.
o.
Na rvore de console, clique em Regras de Sada, clique com o boto direito do mouse em
Regras de Sada e clique em Nova Regra.
p.
q.
r.
s.
t.
Clique em Avanar.
u.
v.
3.
x.
Na pgina Nome, na caixa de texto Nome, digite Solicitaes de eco ICMPv6 de sada, e
clique em Concluir.
y.
b.
No console Gerenciador DNS, com LON-DC1 expandido, Zonas de pesquisa direta e clique em
Adatum.com.
4.
c.
Clique com o boto direito do mouse em Adatum.com, e clique em Novo Host (A ou AAAA).
d.
Na caixa de texto Nome , digite nls. Na caixa de texto Endereo IP, digite 172.16.0.21, clique
em Adicionar Host e em OK.
e.
Na caixa de dilogo Novo Host, na caixa de texto Nome , digite CRL. Na caixa Endereo IP ,
digite 172.16.0.1 e clique em Adicionar Host.
f.
Na caixa de dilogo DNS que informa que o registro foi criado, clique em OK.
g.
h.
Remova ISATAP da lista global de consultas no autorizadas DNS realizando as seguintes etapas:
a.
Mova o ponteiro do mouse para o canto inferior direito, selecione Pesquisar no menu direita e
digite cmd.exe. Pressione Enter.
b.
5.
6.
c.
d.
b.
Mova o mouse para o canto inferior direito da tela, clique em Configuraes, em Painel de
Controle e em Exibir o status e as tarefas da rede.
c.
d.
Na janela Conexo de Rede, clique com o boto direito do mouse em Conexo Local e clique
em Propriedades.
e.
Na janela Propriedades da Rede Local, clique duas vezes em Propriedades de Protocolo TCP/IP
Verso 4 (TCP/IPv4).
f.
g.
Na guia DNS, na caixa de texto Sufixo DNS para esta conexo, digite Adatum.com, e clique
em OK.
h.
i.
Na janela Conexo de Rede, clique com o boto direito do mouse em Conexo Local 2 e clique
em Propriedades.
b.
Na janela Propriedades de Conexo Local 2, clique duas vezes em Protocolo TCP/IP Verso 4
(TCP/IPv4).
c.
d.
Clique em OK e em OK novamente.
e.
L7-51
a.
b.
c.
d.
e.
f.
g.
h.
Na caixa de texto Local, no final da cadeia de caracteres Local, digite .crl e clique em OK.
i.
j.
Clique em Adicionar.
k.
l.
2.
n.
o.
Na caixa de texto Local, no final da cadeia de caracteres, digite .crl e clique em OK.
p.
Marque as caixas de seleo Publicar listas de certificados revogados neste local e Publicar
listas de certificados revogados delta neste local e clique em OK.
q.
c.
Clique na guia Geral e, na caixa de texto Nome de exibio do modelo, digite Certificado do
Servidor Web Adatum.
d.
3.
e.
f.
g.
h.
i.
j.
k.
Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas
e clique em Iniciar o Servio.
l.
b.
c.
No console Adatum.com, clique com o boto direito do mouse em Default Domain Policy e
clique em Editar.
d.
e.
No painel de detalhes Polticas de Chave Pblica, clique com o boto direito do mouse em
Configuraes de solicitao automtica de certificado, aponte para Novo e clique em
Solicitao de Certificado Automtica.
f.
g.
h.
Em LON-SVR1, mova o mouse para o canto inferior direito da tela, clique em Pesquisar, digite
cmd, e pressione Enter.
b.
c.
e.
f.
g.
Clique com o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique
em Solicitar novo certificado.
h.
i.
j.
k.
l.
n.
Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
b.
c.
d.
e.
L7-53
d.
2.
b.
c.
d.
e.
f.
g.
Clique com o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique
em Solicitar novo certificado.
h.
i.
j.
k.
l.
2.
n.
o.
p.
Feche a janela do console. Se for solicitado que voc salve as configuraes, clique em No.
b.
c.
Na rvore de console, expanda para LON-RTR (Se a caixa de mensagem Gerenciador do Servio
de Informaes da Internet for exibida, clique em No), para Sites, clique em Default Web Site,
clique com o boto direito do mouse em Default Web Site e clique em Adicionar Diretrio
Virtual.
d.
Na caixa de dilogo Adicionar Diretrio Virtual, na caixa de texto Alias, digite CRLD. Prximo a
Caminho fsico, clique no boto ().
e.
Na caixa de dilogo Procurar Pasta, clique em Disco Local (C:) e em Criar Nova Pasta.
f.
g.
h.
i.
No painel no meio do console, clique duas vezes em Pesquisa no Diretrio e, no painel Aes,
clique em Habilitar.
j.
k.
l.
Clique na seta para baixo da lista suspensa Seo, expanda system.webServer, security e clique
em requestFiltering.
L7-55
o.
Resposta: Voc disponibiliza a CRL no servidor de borda de forma que os clientes do DirectAccess
possam acessar a CRL.
3.
b.
c.
No painel de detalhes do Explorador de Arquivos, clique com o boto direito do mouse na pasta
CRLDist e clique em Propriedades.
d.
e.
f.
g.
h.
i.
j.
k.
l.
Na caixa de dilogo Permisses para CRLDist$, na lista Nomes de grupo ou de usurio, clique
em LON-DC1 (ADATUM\LON-DC1$). Na rea Permisses para LON-DC1, em Controle total,
clique em Permitir e em OK.
o.
p.
4.
q.
r.
s.
t.
Na caixa de dilogo Permisses para CRLDist, na lista Nomes de grupo ou de usurio, clique
em LON-DC1 (ADATUM\LON-DC1$). Na rea Permisses para LON-DC1, em Controle total,
clique em Permitir e em OK.
u.
v.
5.
a.
b.
c.
d.
e.
f.
g.
h.
b.
No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto. Clique em Sim e feche o
console.
c.
d.
e.
Observao: Se voc vir um erro neste momento, reinicie LON-RTR, entre como
ADATUM\Administrador e reinicie a partir de c).
f.
g.
h.
Clique em Prximo.
i.
j.
k.
l.
L7-57
n.
o.
p.
q.
Na pgina Topologia de Rede, verifique se Borda est selecionada, digite 131.107.0.2 e clique em
Prximo.
r.
s.
t.
u.
v.
y.
z.
6.
Mova o ponteiro do mouse para o canto inferior direito da tela, na barra de menus, clique em
Pesquisar, digite cmd e pressione Enter.
b.
Resultados: Depois de concluir esse exerccio, voc ter configurado a infraestrutura do DirectAccess.
Inicie LON-CL1 e entre como ADATUM\Administrador com a senha Pa$$w0rd. Isso serve para
garantir que o computador LON-CL1 se conecte ao domnio como um membro do grupo de
segurana Clientes_DA.
2.
3.
4.
5.
2.
3.
L7-59
4.
5.
6.
Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
2.
3.
4.
5.
6.
7.
Resultados: Depois de concluir esse exerccio, voc ter configurado os clientes do DirectAccess.
2.
Em LON-CL1, mova o ponteiro do mouse para o canto inferior direito da tela, clique em
Configuraes, selecione Painel de Controle e clique em Rede e Internet.
3.
4.
5.
6.
Na caixa de dilogo Propriedades de Conexo Local, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
7.
8.
9.
10. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em
Desativar.
11. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em
Ativar.
12. No host, no Gerenciador do Hyper-V, clique com o boto direito do mouse em 24411B-LON-CL1 e
clique em Configuraes.
13. Altere o Adaptador de Rede Herdado para que esteja na Rede Particular 2 e clique em OK.
Em LON-CL1, mova o ponteiro do mouse para o canto inferior direito da tela, no menu direita,
clique em Pesquisar, digite cmd, e pressione Enter.
2.
3.
Observe que o endereo IP retornado comea com 2002. Esse um endereo IP-HTTPS.
4.
5.
6.
2.
3.
4.
5.
6.
7.
8.
L7-61
9.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL1 e clique
em Reverter.
3.
4.
Resultados: Depois de concluir esse exerccio, voc ter verificado a configurao do DirectAccess.
L8-63
2.
3.
4.
5.
6.
7.
8.
9.
11. Na pgina Selecionar servios de funo, verifique se a caixa de seleo Servidor de Polticas de
Rede est marcada e clique em Prximo.
12. Na pgina Confirmar selees de instalao, clique em Instalar.
13. Verifique se a instalao foi bem-sucedida e clique em Fechar.
14. Feche a janela Gerenciador do Servidor.
15. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
16. Clique em Servidor de Polticas de Rede.
17. No Gerenciador de Poltica de Rede, no painel de navegao, clique com o boto direito do mouse
em NPS (Local) e clique em Registrar servidor no Active Directory.
18. Na caixa de mensagem Servidor de Polticas de Rede, clique em OK.
19. Na caixa de dilogo Servidor de Poltica de Rede subsequente, clique em OK.
20. Deixe a janela do console Servidor de Polticas de Rede aberta.
L8-64
1.
2.
3.
4.
Nas caixas Segredo compartilhado e Confirmar segredo compartilhado, digite Pa$$w0rd e clique
em OK.
5.
No painel de navegao, clique com o boto direito do mouse em Clientes RADIUS e clique em
Novo.
6.
Na caixa de dilogo Novo Cliente RADIUS, na caixa Nome amigvel, digite LON-RTR.
7.
Clique em Verificar e, na caixa de dilogo Verificar Endereo, na caixa Endereo, digite LON-RTR e
clique em Resolver.
8.
Clique em OK.
9.
2.
3.
4.
5.
6.
7.
8.
Resultados: Aps este exerccio, voc dever ter habilitado e configurado o NPS para dar suporte ao
ambiente necessrio.
2.
3.
Na caixa de dilogo Novo Cliente RADIUS, desmarque a caixa de seleo Habilitar este
cliente RADIUS.
4.
5.
Clique em OK.
6.
7.
8.
9.
Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
L8-65
10. Em Iniciar, clique em Ferramentas Administrativas e clique duas vezes em Roteamento e acesso
remoto.
11. Se necessrio, na caixa de dilogo Assistente para Habilitar o DirectAccess, clique em Cancelar.
Clique em OK.
12. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto.
13. Na caixa de dilogo, clique em Sim.
14. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local)e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
15. Clique em Avanar, verifique se a opo Acesso remoto (dial-up ou rede virtual privada) est
selecionada e clique em Avanar.
16. Marque a caixa de seleo VPN e clique em Avanar.
17. Clique na interface de rede denominada Conexo Local 2. Desmarque a caixa de seleo Habilitar
a segurana na interface selecionada configurando filtros de pacotes estticos e clique em
Avanar.
18. Na pgina Atribuio de endereo IP, selecione De um intervalo de endereos especificado e
clique em Avanar.
19. Na pgina Atribuio de intervalo de endereos, clique em Novo. Digite 172.16.0.100 ao lado de
Endereo IP inicial e 172.16.0.110 ao lado de Endereo IP final e clique em OK. Verifique se os 11
endereos IP foram atribudos a clientes remotos e clique em Avanar.
20. Na pgina Gerenciando mltiplos servidores de acesso remoto, clique em Sim, configurar este
servidor para funcionar com um servidor RADIUS e em Avanar.
21. Na pgina Seleo de Servidor RADIUS, na caixa Servidor RADIUS principal, digite LON-DC1.
22. Na caixa Segredo Compartilhado, digite Pa$$w0rd e clique em Avanar.
23. Clique em Concluir.
24. Na caixa de dilogo Roteamento e acesso remoto, clique em OK.
25. Se solicitado novamente, clique em OK.
2.
L8-66
3.
4.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de cima da lista e
clique em Desabilitar.
5.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de baixo da lista e
clique em Desabilitar.
6.
No painel de navegao, clique com o boto direito do mouse em Polticas de Rede e clique em
Novo.
7.
No Assistente de Nova Poltica de Rede, na caixa de texto Nome da poltica, digite Poltica VPN
Adatum.
8.
Na lista Tipo de servidor de acesso rede, clique em Servidor de Acesso Remoto (VPN-Dial up)
e em Avanar.
9.
10. Na caixa de dilogo Selecionar condio, clique em Tipo de Porta do NAS e clique em Adicionar.
11. Na caixa de dilogo Tipo de Porta do NAS, marque a caixa de seleo Virtual (VPN) e clique
em OK.
12. Clique em Avanar e, na pgina Especificar Permisso de Acesso, verifique se a opo Acesso
concedido est selecionada e clique em Avanar.
13. Na pgina Configurar Mtodos de Autenticao, clique em Avanar.
14. Na pgina Configurar Restries, clique em Avanar.
15. Na pgina Definir Configuraes, clique em Avanar.
16. Na pgina Concluindo Nova Poltica de Rede, clique em Concluir.
2.
3.
4.
5.
6.
7.
8.
Na pgina Como deseja se conectar, clique em Usar minha conexo com a Internet (VPN).
9.
10. Na pgina Digite o endereo da Internet com o qual se conectar, na caixa Endereo na Internet,
digite 10.10.0.1.
11. Na caixa Nome de Destino, digite VPN Adatum.
12. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Criar.
L8-67
14. Clique com o boto direito do mouse na conexo VPN Adatum, clique em Propriedades e na guia
Segurana.
15. Na lista Tipo de VPN, clique em Protocolo de Tnel Ponto Ponto (PPTP).
16. Em Autenticao, clique em Permitir estes protocolos e em OK.
17. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo Adatum VPN, e
clique em Conectar/Desconectar.
18. Na lista Redes direita, clique em VPN Adatum e em Conectar.
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
3.
4.
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN e configurado-o como
um cliente RADIUS.
L9-69
2.
3.
No painel de detalhes Console de Modelos de Certificado, clique com o boto direito do mouse em
Computador e clique em Propriedades.
4.
5.
Em Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
6.
7.
8.
Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas e
clique em Iniciar o Servio.
9.
2.
3.
Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
4.
5.
6.
7.
8.
Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
9.
L9-70
34. Na caixa de dilogo Criar Nova Poltica de Integridade, em Nome da poltica, digite Compatvel.
35. Em Verificaes de SHV de cliente, verifique se a opo Cliente aprovado em todas as
verificaes de SHV est selecionada.
36. Em SHVs usados nesta poltica de integridade, marque a caixa de seleo Validador da
Integridade da Segurana do Windows.
37. Clique em OK.
38. Clique com o boto direito do mouse em Polticas de Integridade e clique em Novo.
39. Na caixa de dilogo Criar Nova Poltica de Integridade, em Nome da Poltica, digite
Incompatvel.
40. Em Verificaes de SHV de cliente, selecione Cliente reprovado em uma ou mais verificaes de
SHV.
41. Em SHVs usados nesta poltica de integridade, marque a caixa de seleo Validador de
Integridade da Segurana do Windows.
42. Clique em OK.
L9-71
2.
3.
Na pgina Especificar Nome de Poltica de Rede e Tipo de Conexo, em Nome da poltica, digite
Compatvel com Acesso Total e clique em Avanar.
4.
5.
6.
7.
8.
9.
14. Na pgina Especificar Nome de Poltica de Rede e Tipo de Conexo, em Nome da poltica, digite
Incompatvel Restrito e clique em Avanar.
15. Na pgina Especificar Condies, clique em Adicionar.
16. Na caixa de dilogo Selecionar condio, clique duas vezes em Polticas de Integridade.
20. Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, marque a
caixa de seleo Executar somente a verificao de integridade do computador e clique em
Avanar.
21. Clique em Avanar novamente.
22. Na pgina Definir Configuraes, clique em Imposio de NAP. Clique em Permitir acesso
limitado.
23. Desmarque a caixa de seleo Habilitar correo automtica de computadores cliente.
L9-72
1.
2.
3.
Clique com o boto direito do mouse em Polticas de Solicitao de Conexo e clique em Novo.
4.
5.
Em Tipo de servidor de acesso rede, selecione Servidor de Acesso Remoto (VPN-Dial up) e
clique em Avanar.
6.
7.
Na caixa de dilogo Selecionar Condio, clique duas vezes em Tipo de Tnel e selecione PPTP,
SSTP e L2TP. Clique em OK e em Avanar.
8.
9.
L9-73
14. Verifique se Impor Proteo de Acesso Rede est selecionado e clique em OK.
15. Clique em Avanar duas vezes e em Concluir.
Resultados: Depois desse exerccio, voc deve ter instalado e configurado os componentes da NAP
obrigatrios, criado as polticas de integridade e rede, alm das polticas de solicitao de conexo.
Em LON-RTR, coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas, e clique
em Iniciar.
2.
3.
No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto.
4.
5.
No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local)e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
6.
Clique em Avanar, verifique se a opo Acesso remoto (dial-up ou rede virtual privada) est
selecionada e clique em Avanar.
7.
8.
Clique na Interface de rede denominada Conexo Local 2. Desmarque a caixa de seleo Habilitar a
segurana na interface selecionada configurando filtros de pacotes estticos e clique em
Avanar.
9.
10. Na pgina Atribuio de intervalo de endereos, clique em Novo. Digite 172.16.0.100 ao lado de
Endereo IP inicial e 172.16.0.110 ao lado de Endereo IP final e clique em OK. Verifique se os 11
endereos IP foram atribudos a clientes remotos e clique em Avanar.
11. Na pgina Gerenciando mltiplos servidores de acesso remoto, verifique se No, usar o
'Roteamento e acesso remoto' para autenticar pedidos de conexo est selecionado e clique em
Avanar.
12. Clique em Concluir.
13. Clique em OK duas vezes e aguarde a inicializao do servio de Roteamento e Acesso Remoto.
14. Alterne para Servidor de Polticas de Rede.
L9-74
1.
Em LON-RTR, coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas, e clique
em Iniciar.
2.
3.
Clique em Regras de Entrada, clique com o boto direito do mouse em Regras de Entrada e clique
em Nova Regra.
4.
5.
6.
7.
Selecione Tipos especficos de ICMP, marque a caixa de seleo Solicitao de Eco, clique em OK e
em Avanar.
8.
9.
Na janela Ao, verifique se a opo Permitir a conexo est selecionada e clique em Avanar.
Resultados: Aps este exerccio, voc dever ter criado um servidor VPN e configurado a comunicao
de entrada.
2.
3.
4.
5.
6.
7.
8.
Em Servios, no painel de resultados, clique duas vezes em Agente de Proteo de Acesso Rede.
9.
L9-75
Em LON-CL2, na rea de trabalho, aponte o mouse para o canto inferior direito da barra de tarefas e
clique em Configuraes.
2.
3.
4.
5.
6.
Na pgina Como deseja se conectar?, clique em Usar minha conexo com a Internet (VPN).
7.
8.
Na pgina Digite o endereo da Internet com o qual se conectar, na caixa Endereo na Internet,
digite 10.10.0.1.
9.
10. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Criar.
L9-76
24. Clique em Conectar. Aguarde a conexo VPN ocorrer. Como a LON-CL2 compatvel, ela dever ter
acesso ilimitado sub-rede da Intranet.
25. Coloque o mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
26. Em Iniciar, digite cmd.exe e pressione Enter.
27. Digite ipconfig /all, e pressione Enter. Exiba a configurao do IP. Estado de Quarentena do
Sistema deve ser Irrestrito.
28. No prompt de comando, digite ping 172.16.0.10, e pressione Enter. Isso deve ocorrer com xito.
Agora o cliente atende ao requisito da conectividade total VPN.
29. Alterne para Conexes de Rede.
30. Clique com o boto direito do mouse em Adatum VPN e clique em Conectar/Desconectar.
31. Na lista Redes direita, clique em Adatum VPN e em Desconectar.
32. Alterne para LON-RTR.
33. Em Ferramentas Administrativas, clique duas vezes em Servidor de Polticas de Rede.
34. Expanda Proteo de Acesso Rede, Validadores da Integridade do Sistema, Validador da
Integridade da Segurana do Windows e clique em Configuraes.
35. No painel direito, em Nome, clique duas vezes em Configurao Padro.
36. Na guia Windows 8/Windows 7/Windows Vista, marque a caixa de seleo Acesso restrito para
clientes que no tm instaladas todas as atualizaes de segurana e clique em OK.
37. Alterne para LON-CL2.
38. Na lista Redes direita, clique em Adatum VPN e em Conectar.
39. Alterne para o prompt de comando.
40. Digite ipconfig /all, e pressione Enter. Exiba a configurao do IP. Estado de Quarentena do
Sistema deve ser Restrito.
41. Alterne para Conexes de Rede.
42. Clique com o boto direito do mouse em Adatum VPN e clique em Conectar/Desconectar.
43. Na lista Redes direita, selecione Adatum VPN e em Desconectar.
Resultados: Depois deste exerccio, voc dever ter criado uma nova conexo VPN em LON-CL2 e
habilitado, alm de testado a NAP em LON-CL2.
L9-77
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
3.
4.
L10-79
2.
3.
4.
5.
6.
7.
8.
9.
Clique em Prximo duas vezes para confirmar o servio de funo e a seleo do recurso.
15. Na caixa de dilogo Criar Modelo de Cota, no campo Nome do modelo, digite Log do Limite de
100 MB para Visualizador de Eventos.
16. Em Limites de notificao, clique em Adicionar.
17. Na caixa de dilogo Adicionar Limite, clique na guia Log do Evento.
18. Na guia Log do Evento, marque a caixa de seleo Enviar aviso para log de eventos e clique em OK.
19. Na caixa de dilogo Criar Modelo de Cota, clique em Adicionar.
20. Na caixa de dilogo Adicionar Limite, no campo Gerar notificao quando o uso alcanar (%),
digite 100.
21. Clique na guia Log do Evento, marque a caixa de seleo Enviar aviso para log de eventos e clique
em OK duas vezes.
L10-80
1.
2.
3.
4.
5.
Na lista Derivar propriedades deste modelo de cota (recomendvel), clique em Log do Limite de
100 MB para Visualizador de Eventos e em Criar.
6.
7.
8.
Na janela do Explorador de Arquivos, clique na unidade E, expanda Labfiles (se necessrio), Mod10 e
Users.
9.
2.
Na janela do Windows PowerShell, digite os comandos a seguir. Pressione Enter ao final de cada
linha:
E:
cd \Labfiles\Mod10\Users\Mx
fsutil file createnew file1.txt 89400000
Isso cria um arquivo com mais de 85 MB, que ir gerar um aviso no Visualizador de Eventos.
3.
4.
5.
6.
7.
Observe que o arquivo no pode ser criado. A mensagem retornada do Windows menciona o espao
em disco, mas a criao do arquivo falha porque ultrapassaria o limite de cota.
8.
9.
Resultados: Aps concluir este exerccio, voc ter configurado uma cota do FSRM.
L10-81
2.
3.
Clique com o boto direito do mouse em Triagens de Arquivo e clique em Criar Triagem de
Arquivo.
4.
Na janela Criar Triagem de Arquivo, na caixa de texto Caminho da triagem de arquivo, digite
E:\Labfiles\Mod10\Users.
5.
Na janela Criar Triagem de Arquivo, na caixa de listagem suspensa Derivar propriedades desse
modelo de triagem de arquivo (recomendvel), verifique se Bloquear Arquivos de udio e
Vdeo est selecionado.
6.
Clique em Criar.
2.
3.
5.
Clique com o boto direito do mouse em Grupos de Arquivos e clique em Criar Grupo de
Arquivos.
6.
Na janela Criar Propriedades do Grupo de Arquivos, na caixa Nome do grupo de arquivos, digite
Arquivos de Mdia MPx.
7.
8.
9.
10. Clique com o boto direito do mouse no modelo Bloquear Arquivos de udio e Vdeo e clique em
Editar Propriedades do Modelo.
L10-82
1.
2.
3.
No painel direito, clique com o boto direito do mouse e aponte para Novo, alm de clicar em
Documento de Texto.
4.
Renomeie Novo Documento de Texto.txt para musicfile.mp3. Clique em Sim para alterar a
extenso do nome de arquivo.
5.
6.
No painel esquerdo, expanda Allfiles (E:), Labfiles, Mod10, clique com o boto direito do mouse em
Users e clique em Colar. Voc ser notificado que o sistema no pode copiar o arquivo para
E:\Labfiles\Mod10\Users.
7.
Clique em Cancelar.
2.
3.
4.
5.
6.
7.
8.
9.
Quando concluir o laboratrio, no desligue as mquinas virtuais. Voc precisar deles no prximo
laboratrio.
Resultados: Depois de concluir este exerccio, voc ter configurado a triagem de arquivo e os relatrios
de armazenamento no FSRM.
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
4.
5.
6.
7.
8.
9.
L10-83
Resultados: Depois de concluir este exerccio, voc ter instalado o servio de funo DFS em LON-SVR1
e instalado o servio de funo DFS em LON-SVR4.
L10-84
1.
2.
3.
4.
5.
No Assistente de Novo Namespace, na pgina Servidor de Namespaces, em Servidor, digite LONSVR1 e clique em Avanar.
6.
7.
8.
Verifique se a caixa de seleo Habilitar o modo Windows Server 2008 est marcada e clique em
Avanar.
9.
10. Na pgina Confirmao, verifique se a tarefa Criar namespace foi bem-sucedida e clique em
Fechar.
11. No painel de navegao, expanda Namespaces e clique em \\Adatum.com\BranchDocs.
12. No painel de detalhes, clique na guia Servidores de Namespaces e verifique se h uma entrada
habilitada para \\LON-SVR1\BranchDocs.
2.
3.
Na guia Avanado, marque a caixa de seleo Habilitar enumerao baseada em acesso para este
namespace e clique em OK.
2.
3.
4.
5.
6.
7.
8.
9.
L10-85
1.
2.
3.
4.
5.
6.
7.
8.
2.
3.
Resultados: Depois de concluir este exerccio, voc ter configurado um namespace do DFS.
2.
3.
Clique com o boto direito do mouse em DataFiles e clique em Adicionar Destino de Pasta.
4.
Na caixa de dilogo Novo Destino de Pasta, no campo Caminho para o destino de pasta, digite
\\LON-SVR4\DataFiles e clique em OK.
5.
Na caixa de dilogo Aviso, clique em Sim para criar a pasta compartilhada em LON-SVR4.
6.
7.
8.
9.
Na caixa de dilogo Replicao, clique em Sim. O Assistente para Replicao de Pasta ser iniciado.
2.
3.
4.
5.
6.
7.
8.
9.
L10-86
11. No Assistente para Nova Topologia, na pgina Seleo de Topologia, Verifique se Malha completa
est selecionado e clique em Avanar.
12. Na pgina Agendamento e Largura de Banda do Grupo de Replicao, clique em Avanar.
13. Na pgina Revisar Configuraes e Criar Topologia, clique em Criar.
14. Na pgina Confirmao, clique em Fechar e, na caixa de dilogo Atraso na Replicao, clique
em OK.
15. No painel de detalhes, na guia Associaes, verifique se a pasta replicada exibida em LON-SVR4 e
LON-SVR1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
L11-87
2.
3.
4.
Clique com o boto direito do mouse em Default Domain Policy e clique em Editar.
5.
6.
7.
8.
Clique com o boto direito em Sistema de Arquivos com Criptografia e clique em Criar agente de
recuperao de dados.
9.
Leia as informaes para o novo certificado que foi criado. Observe que este certificado foi obtido da
AdatumCA.
2.
3.
4.
5.
6.
7.
8.
L11-88
1.
2.
3.
4.
5.
6.
No painel esquerdo, clique em Certificados Usurio Atual, clique com o boto direito em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
7.
8.
Na pgina Selecionar Poltica de Registro de Certificado, clique em Avanar para usar a Poltica
de Registro do Active Directory.
9.
Na pgina Solicitar certificados, marque a caixa de seleo EFS Bsico e clique em Registrar.
11. Na janela Console1, no painel esquerdo, expanda Certificados Usurio Atual, expanda Pessoal e
clique em Certificados.
12. Leia os detalhes do certificado e observe se ele foi emitido por AdatumCA.
13. Feche o Console1 e no salve as configuraes.
2.
3.
4.
5.
6.
7.
8.
9.
L11-89
2.
3.
4.
5.
Resultados: Depois de concluir esse exerccio, voc ter criptografado e recuperado os arquivos.
2.
3.
4.
Clique no continer Computers, clique com o boto direito do mouse em LON-SVR1, clique em
Mover, na OU Servidores de Arquivos e em OK.
5.
6.
7.
8.
Clique duas vezes no continer Objetos de Poltica de Grupo, clique com o boto direito do mouse
em Auditoria de Arquivo e clique em Editar.
9.
L11-90
1.
2.
3.
4.
5.
6.
7.
Na janela Visualizador de Eventos, clique duas vezes em Logs do Windows e clique em Segurana.
8.
Clique duas vezes em uma das entradas de log com uma Origem de auditoria de segurana do
Microsoft Windows e uma Categoria de Tarefas de Compartilhamento de Arquivos Detalhado.
9.
Resultados: Depois de concluir este exerccio, voc ter configurado a auditoria avanada.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
L12-91
Laboratrio: Implementao do
gerenciamento de atualizaes
Exerccio 1: Implementao da funo de servidor WSUS
Tarefa 1: Instalar a funo de servidor WSUS (Windows Server Update Services)
1.
2.
3.
4.
5.
6.
Na pgina Selecionar funes de servidor, marque a caixa de seleo Windows Server Update
Services.
7.
8.
9.
12. Na pgina Seleo de local do contedo, na caixa de texto, digite C:\WSUSUpdates e clique em
Prximo.
13. Na pgina Funo de Servidor Web (IIS), clique em Prximo.
14. Na pgina Selecionar servios de funo, clique em Prximo.
15. Na pgina Confirmar selees de instalao, clique em Instalar.
16. Quando a instalao for concluda, clique em Fechar.
17. No Gerenciador do Servidor, clique em Ferramentas e em Windows Server Update Services.
18. Na janela Concluir a Instalao do WSUS, clique em Executar e aguarde a concluso da tarefa. Clique
em Fechar.
19. No feche a janela Assistente de Configurao do Windows Server Update Services.
L12-92
Tarefa 2: Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
1.
Na janela Assistente de Configurao do Windows Server Update Services, clique em Avanar duas
vezes.
2.
3.
4.
5.
6.
7.
8.
No console Windows Server Update Services, no painel de navegao, clique duas vezes
em LON-SVR4 e clique em Opes.
9.
Resultados: Depois de concluir este exerccio, voc dever ter implementado a funo de servidor WSUS.
2.
3.
Na caixa de dilogo Adicionar Grupo de Computadores, na caixa de texto Nome, digite Research
e clique em Adicionar.
2.
3.
4.
Clique com o boto direito do mouse na OU Research e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui.
5.
Na caixa de dilogo Novo GPO, na caixa de texto Nome, digite Pesquisa do WSUS e clique em OK.
L12-93
6.
Clique duas vezes na OU Research, clique com o boto direito do mouse em Pesquisa do WSUS e
clique em Editar.
7.
8.
9.
10. No painel Configurao, clique duas vezes em Especificar o local do servio de atualizao na
intranet da Microsoft e clique na opo Habilitado.
11. Nas caixas de texto Configurar o servio de atualizao da intranet para detectar atualizaes e
Configure as estatsticas do servidor intranet, digite http://LON-SVR4.Adatum.com:8530 e
clique em OK.
12. No painel Configurao, clique duas vezes em Habilitar destino do lado do cliente.
13. Na caixa de dilogo Habilitar destino do lado do cliente, clique na opo Habilitado, na caixa de
texto Nome do grupo de destino para este computador, digite Research e clique em OK.
2.
Em LON-CL1, mova o ponteiro do mouse para o lado direito da tela, clique no cone Configuraes,
em Energia e em Reiniciar.
3.
4.
Na tela Iniciar, digite cmd, clique com o boto direito do mouse no Prompt de Comando e clique
em Executar como Administrador.
5.
6.
L12-94
2.
3.
4.
5.
Resultados: Aps concluir esse exerccio, voc dever ter definido as configuraes de atualizao dos
computadores clientes.
2.
Na janela Approve Updates, na caixa de listagem suspensa Research, selecione Aprovado para
Instalao.
3.
Clique em OK e em Fechar.
2.
3.
4.
5.
6.
7.
L12-95
1.
2.
3.
Resultados: Depois de concluir este exerccio, voc ter aprovado e implantado uma atualizao usando
o WSUS.
Quando voc concluir o laboratrio, reverta todas as mquinas virtuais ao estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
3.
4.
L13-97
Laboratrio: Monitoramento
do Windows Server 2012
Exerccio 1: Estabelecimento de uma linha de base de desempenho
Tarefa 1: Criar e iniciar um conjunto de coletores de dados
1.
2.
Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
3.
4.
5.
Clique com o boto direito do mouse em Definido pelo Usurio, aponte para Novo e clique em
Conjunto de Coletores de Dados.
6.
No Assistente para Criar Novo Conjunto de Coletores de Dados, na caixa Nome, digite
Desempenho de LON-SVR1.
7.
8.
Na pgina Que tipo de dados voc deseja incluir?, marque a caixa de seleo Contador de
desempenho e clique em Avanar.
9.
11. Na lista Contadores disponveis, expanda Memria, clique em Pginas/s e clique em Adicionar.
12. Na lista Contadores disponveis, expanda PhysicalDisk, clique em % tempo de disco e clique em
Adicionar.
13. Clique em Comprimento mdio da fila de disco e em Adicionar.
14. Na lista Contadores disponveis, expanda Sistema, clique em Comprimento da fila de
processador e em Adicionar.
15. Na lista Contadores disponveis, expanda Interface de rede, clique em Total de bytes/s, clique em
Adicionar e clique em OK.
16. Na pgina Que contadores de desempenho deseja registrar em log?, na caixa Intervalo de
amostragem, digite 1 e clique em Avanar.
17. Na pgina Onde deseja salvar os dados?, clique em Avanar.
18. Na pgina Criar conjunto de coletores de dados?, clique em Salvar e fechar e clique em Concluir.
19. No Monitor de Desempenho, no painel de resultados, clique com o boto direito do mouse em
Desempenho de LON-SVR1 e clique em Iniciar.
2.
3.
4.
5.
6.
7.
8.
L13-98
1.
2.
3.
4.
5.
6.
7.
Clique duas vezes em Desempenho de LON-SVR1, clique duas vezes na pasta LON-SVR1_date000001 e ento clique duas vezes em DataCollector01.blg.
8.
9.
10. Expanda Interface de Rede, clique em Total de bytes/s e ento clique em Adicionar.
11. Expanda PhysicalDisk, clique em % tempo de disco e em Adicionar.
12. Clique em Comprimento mdio da fila de disco e em Adicionar.
13. Expanda Processador, clique em % tempo de processador e ento clique em Adicionar.
14. Expanda Sistema, clique em Comprimento da fila de processador, em Adicionar e em OK.
Resultados: Depois deste exerccio, voc deve ter estabelecido uma linha de base para fins de
comparao de desempenho.
2.
3.
4.
L13-99
1.
2.
No Monitor de Desempenho, clique com o boto direito do mouse em Definido pelo usurio, no
painel de resultados, clique com o boto direito do mouse em Desempenho de LON-SVR1 e clique
em Iniciar.
3.
2.
Pressione Ctrl+C.
3.
4.
5.
6.
7.
8.
9.
Clique em Adicionar.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de desempenho para identificar
um afunilamento de desempenho potencial.
2.
3.
4.
5.
6.
7.
8.
9.
Na caixa de dilogo Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
10. Na caixa de dilogo Selecionar Usurios, Contatos, Computadores, Contas de Servio ou Grupos,
na caixa Digite os nomes de objeto a serem selecionados, digite LON-DC1, e clique em OK.
11. Na caixa de dilogo Propriedades de Administradores, clique em OK.
L13-101
1.
2.
3.
4.
5.
6.
7.
8.
Na caixa de dilogo Selecionar Computador, na caixa Digite o nome do objeto a ser selecionado,
digite LON-SVR1 e clique em OK.
9.
2.
3.
Clique com o boto direito do mouse em Definido pelo Usurio, aponte para Novo e clique em
Conjunto de Coletores de Dados.
4.
5.
6.
Na pgina Que tipo de dados voc deseja incluir?, clique em Contador de desempenho e clique
em Avanar.
7.
8.
9.
Na pgina Que contadores de desempenho deseja monitorar?, na lista Alertar quando, clique em
Acima.
13. No painel de resultados, clique com o boto direito em DataCollector01 e clique em Propriedades.
15. Marque a caixa de seleo Registrar uma entrada no log de eventos do aplicativo e clique em OK.
16. No painel de navegao, clique com o boto direito do mouse em Alerta de LON-SVR1 e clique em
Iniciar.
2.
3.
4.
5.
Pressione Ctrl+C.
6.
2.
3.
Resultados: Ao final deste exerccio, voc ter centralizado logs de eventos e examinado esses logs de
eventos relacionados ao desempenho.
L13-103
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
3.
4.