24410B PTB TrainerHandbook

P R O D U T O M I C R O S O F T L E A R N I N G O F I C I A L
24410B
Instalao e configurao
do Windows Server
2012
ii Instalao e configurao do Windows Server
2012
As informaes includas neste documento, incluindo URL e outras referncias a sites da Internet, esto
sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, aplicativos de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um acordo de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links somente para sua convenincia, e a incluso de tais links no implica endosso da Microsoft em
relao ao site ou aos produtos nele contidos.
2013 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em http://www.microsoft.com/about/legal/en/us/IntellectualProperty/
Trademarks/EN-US.aspx so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas
comerciais pertencem aos respectivos proprietrios

Nmero do produto: 24410B
Pea nmero: X18-86904
Lanamento: 3/2013
Instalao e configurao do Windows Server
2012 iii
TERMOS DE LICENA MICROSOFT
CURSO CONDUZIDO PELO INSTRUTOR DA MICROSOFT

Os presentes termos de licena constituem um acordo entre a Microsoft Corporation (ou, dependendo do
local no qual voc esteja domiciliado, uma de suas afiliadas) e voc. Leia-os atentamente. Eles se aplicam
ao uso que voc faz do contedo que acompanha este contrato, que inclui, se houver, a mdia na qual
voc o recebeu. Esses termos de licena tambm se aplicam ao Contedo do Instrutor e a quaisquer
atualizaes e suplementos para o Contedo Licenciado, a menos que outros termos acompanhem esses
itens. Nesse caso, estes ltimos sero aplicados.

O ACESSO, DOWNLOAD OU USO DO CONTEDO LICENCIADO REPRESENTA SUA ACEITAO
DESTES TERMOS. SE VOC NO ACEITAR OS TERMOS, NO ACESSE, BAIXE NEM USE O
CONTEDO LICENCIADO.

Ao cumprir estes termos de licena, voc ter os direitos abaixo para cada licena de software
adquirida.

1. DEFINIES.

a. Centro de Treinamento Autorizado significa um Membro do Programa Microsoft IT Academy,
Membro de Competncia de Treinamento da Microsoft ou uma outra entidade que a Microsoft
pode designar de tempo em tempo.

b. Sesso de Treinamento Autorizado significa a aula de treinamento conduzida pelo instrutor
usando o Curso Conduzido pelo Instrutor da Microsoft conduzido por um Instrutor em ou por meio
de um Centro de Treinamento Autorizado.

c. Dispositivo em Sala de Aula significa 1 (um) computador dedicado e protegido que um Centro de
Treinamento Autorizado possui ou controla, localizado nas instalaes de treinamento do Centro
de Treinamento Autorizado que atende ou excede o nvel de hardware especificado para o referido
Curso Conduzido pelo Instrutor da Microsoft.

d. Usurio Final significa um indivduo que est (i) devidamente inscrito em e participando de uma
Sesso de Treinamento Autorizado ou Sesso de Treinamento Privado, (ii) um funcionrio de um
Membro MPN ou (iii) um funcionrio em tempo integral da Microsoft.

e. Contedo Licenciado significa o contedo que acompanha este contrato, que pode incluir
o Curso Conduzido pelo Instrutor da Microsoft ou o Contedo do Instrutor.

f. Instrutor Certificado pela Microsoft ou MCT significa um indivduo que (i) contratado para
ministrar uma sesso de treinamento para Usurios Finais em nome de um Centro de Treinamento
Autorizado ou Membro do MPN e (ii) atualmente certificado como um Instrutor Certificado pela
Microsoft pelo Programa do Programa de Certificao da Microsoft.

iv Instalao e configurao do Windows Server
2012
g. Curso Conduzido pelo Instrutor da Microsoft significa o curso de treinamento conduzido pelo
instrutor com a marca da Microsoft que instrui profissionais de TI e desenvolvedores nas
tecnologias da Microsoft. Um ttulo de Curso Conduzido pelo Instrutor da Microsoft pode
ser um curso com a marca MOC, Microsoft Dynamics ou Microsoft Business Group.

h. Membro do Programa Microsoft IT Academy significa um membro ativo do
Programa Microsoft IT Academy.

i. Membro de Competncia de Treinamento da Microsoft significa um membro ativo do programa
Microsoft Partner Network de boa reputao que no momento retm o status de Competncia
de Treinamento.

j. MOC significa o curso conduzido pelo instrutor de Official Microsoft Learning Product, conhecido
como Microsoft Official Course, que instrui profissionais de TI e desenvolvedores nas tecnologias
da Microsoft.

k. Membro MPN significa um membro ativo do programa Microsoft Partner Network com nvel silver
ou gold de boa reputao.

l. Dispositivo Pessoal significa 1 (um) computador pessoal, dispositivo, estao de trabalho ou
dispositivo eletrnico digital que voc pessoalmente possui ou controla que atende ou excede o
nvel de hardware especificado para o referido Curso Conduzido pelo Instrutor da Microsoft.

m. Sesso de Treinamento Privado significa as aulas de treinamento conduzidas pelo instrutor
fornecidas pelos Membros MPN para clientes corporativos para ensinar um objetivo de
aprendizagem predefinido usando o Curso Conduzido pelo Instrutor da Microsoft. Essas aulas
no so anunciadas nem promovidas para o pblico em geral, e a participao na aula restrita
aos indivduos empregados por ou contratados por um cliente corporativo.

n. Instrutor significa (i) um instrutor academicamente certificado contratado por um Membro
do Programa Microsoft IT Academy para ministrar uma Sesso de Treinamento Autorizado
e/ou (ii) um MCT.

o. Contedo do Instrutor significa a verso do instrutor do Curso Conduzido pelo Instrutor da
Microsoft e contedo suplementar adicional projetado exclusivamente para o uso dos Instrutores
para ministrar uma sesso de treinamento usando o Curso Conduzido pelo Instrutor da Microsoft.
O Contedo do Instrutor pode incluir apresentaes do Contedo do Instrutor, guia de preparao
do instrutor, treinamento sobre os materiais do instrutor, pacotes do Microsoft One Note, guia de
configurao da sala de aula e formulrio de comentrios do curso de pr-lanamento. Para fins
de esclarecimento, o Contedo do Instrutor no inclui nenhum software, disco rgido virtual ou
mquinas virtuais.

2012 v
2. DIREITOS DE USO. O Contedo Licenciado licenciado, no vendido. O Contedo Licenciado
licenciado em uma base de uma cpi a por usuri o, de forma que voc pode adquirir uma licena
para cada indivduo que acessa ou usa o Contedo Licenciado.

2.1 A seguir, h cinco conjuntos separados de direitos de uso. Apenas um conjunto de direitos
se aplica a voc.

a. Se voc for um Membro do Programa Microsoft IT Academy:
i. Cada licena adquirida em seu prprio nome s pode ser usada para revisar 1 (uma) cpia
do Curso Conduzido pelo Instrutor da Microsoft no formato fornecido a voc. Se o Curso
Conduzido pelo Instrutor da Microsoft estiver no formato digital, voc poder instalar
1 (uma) cpia em at 3 (trs) Dispositivos Pessoais. Voc no poder instalar o Curso
Conduzido pelo Instrutor da Microsoft em um dispositivo que no lhe pertena ou sobre
o qual no tenha controle.
ii. Para cada licena adquirida em nome de um Usurio Final ou Instrutor, voc poder:
1. distribuir uma (1) verso de cpia impressa do Curso Conduzido pelo Instrutor da
Microsoft para 1 (um) Usurio Final que esteja inscrito na Sesso de Treinamento
Autorizado e apenas imediatamente antes do incio da Sesso de Treinamento
Autorizado, ou seja, o assunto do Curso Conduzido pelo Instrutor da Microsoft
que est sendo fornecido ou
2. fornecer 1 (um) Usurio Final com o cdigo de resgate exclusivo e instrues sobre
como eles podem ser acessar 1 (uma) verso digital do Curso Conduzido pelo Instrutor
da Microsoft ou
3. fornecer 1 (um) Instrutor com o cdigo de resgate exclusivo e instrues sobre como
eles podem ser acessar 1 (um) Contedo do Instrutor,
desde que voc cumpra com os termos abaixo:
iii. voc s fornecer acesso ao Contedo Licenciado aos indivduos que tenham adquirido
uma licena vlida para o Contedo Licenciado,
iv. voc garantir que cada Usurio Final que esteja participando de uma Sesso de
Treinamento Autorizado tenha sua prpria cpia licenciada vlida do Curso Conduzido
pelo Instrutor da Microsoft sujeito Sesso de Treinamento Autorizado,
v. voc garantir que cada Usurio Final fornecido com a verso da cpia impressa do
Curso Conduzido pelo Instrutor da Microsoft ser apresentado com uma cpia deste
contrato e cada Usurio Final concordar que seu uso do Curso Conduzido pelo Instrutor
da Microsoft estar sujeito aos termos neste contrato antes de fornecer a eles o Curso
Conduzido pelo Instrutor da Microsoft. Cada indivduo ter que denotar sua aceitao
deste contrato de forma exigvel pelas leis locais antes de acessar o Curso Conduzido
pelo Instrutor da Microsoft,
vi. voc garantir que cada Instrutor que esteja ministrando uma Sesso de Treinamento
Autorizado tenha sua prpria cpia licenciada vlida do Contedo do Instrutor sujeito
Sesso de Treinamento Autorizado,
vii. voc s usar Instrutores qualificados que tenham conhecimento profundo de e
experincia na tecnologia da Microsoft sujeita ao Curso Conduzido pelo Instrutor da
Microsoft que est sendo ensinado para todas as Sesses de Treinamento Autorizado,
viii. voc s fornecer no mximo 10 horas de treinamento por semana para cada Sesso
de Treinamento Autorizado que usa um ttulo MOC e
ix. voc reconhece que os Instrutores que no so MCTs no tero acesso a todos os recursos
do instrutor para o Curso Conduzido pelo Instrutor da Microsoft.
vi Instalao e configurao do Windows Server
2012
b. Se voc for um Membro de Competncia de Treinamento da Microsoft:
Microsoft para 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Autorizado e apenas imediatamente antes do incio da Sesso de Treinamento
Autorizado, ou seja, o assunto do Curso Conduzido pelo Instrutor da Microsoft
que est sendo fornecido ou
2. fornecer 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Autorizado com o cdigo de resgate exclusivo e instrues sobre como eles podem ser
acessar 1 (uma) verso digital do Curso Conduzido pelo Instrutor da Microsoft ou
3. voc fornecer 1 (um) Instrutor com o cdigo de resgate exclusivo e instrues sobre
como eles podem ser acessar 1 (um) Contedo do Instrutor,
Treinamento Autorizado tenha sua prpria cpia licenciada vlida do Curso Conduzido
pelo Instrutor da Microsoft sujeito Sesso de Treinamento Autorizado,
v. voc garantir que cada Usurio Final fornecido com a verso da cpia impressa do
Curso Conduzido pelo Instrutor da Microsoft ser apresentado com uma cpia deste
contrato e cada Usurio Final concordar que seu uso do Curso Conduzido pelo Instrutor
da Microsoft estar sujeito aos termos neste contrato antes de fornecer a eles o Curso
Autorizado tenha sua prpria cpia licenciada vlida do Contedo do Instrutor sujeito
Sesso de Treinamento Autorizado,
vii. voc s usar Instrutores qualificados com credenciais de Certificao da Microsoft
aplicveis sujeitas ao Curso Conduzido pelo Instrutor da Microsoft que est sendo ensinado
para todas as Sesses de Treinamento Autorizado,
viii. voc s usar MCTs qualificados que tambm tenham credenciais de Certificao da
Microsoft aplicveis sujeitas ao ttulo MOC que est sendo ensinado para todas as Sesses
de Treinamento Autorizado usando o MOC,
ix. voc s fornecer acesso ao Curso Conduzido pelo Instrutor da Microsoft para Usurios
Finais e
x. voc s fornecer acesso ao Contedo do Instrutor aos Instrutores.

2012 vii
c. Se voc for um Membro MPN:
Microsoft para 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Privado e apenas imediatamente antes do incio da Sesso de Treinamento Privado,
ou seja, o assunto do Curso Conduzido pelo Instrutor da Microsoft que est sendo
fornecido ou
2. fornecer 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Privado com o cdigo de resgate exclusivo e instrues sobre como eles podem ser
acessar 1 (uma) verso digital do Curso Conduzido pelo Instrutor da Microsoft ou
3. voc fornecer 1 (um) Instrutor que est ministrando a Sesso de Treinamento
Privado com o cdigo de resgate exclusivo e instrues sobre como eles podem
ser acessar 1 (um) Contedo do Instrutor,
Treinamento Privado tenha sua prpria cpia licenciada vlida do Curso Conduzido
pelo Instrutor da Microsoft sujeito Sesso de Treinamento Privado,
v. voc garantir que cada Usurio Final fornecido com a verso da cpia impressa do Curso
Conduzido pelo Instrutor da Microsoft ser apresentado com uma cpia deste contrato
e cada Usurio Final concordar que seu uso do Curso Conduzido pelo Instrutor da
Microsoft estar sujeito aos termos neste contrato antes de fornecer a eles o Curso
Privado tenha sua prpria cpia licenciada vlida do Contedo do Instrutor sujeito Sesso
de Treinamento Privado,
vii. voc s usar Instrutores qualificados com credenciais de Certificao da Microsoft
aplicveis sujeitas ao Curso Conduzido pelo Instrutor da Microsoft que est sendo ensinado
para todas as Sesses de Treinamento Privado,
viii. voc s usar MCTs qualificados que tenham credenciais de Certificao da Microsoft
aplicveis sujeitas ao ttulo MOC que est sendo ensinado para todas as Sesses de
Treinamento Privado usando o MOC,
ix. voc s fornecer acesso ao Curso Conduzido pelo Instrutor da Microsoft para
Usurios Finais e
x. voc s fornecer acesso ao Contedo do Instrutor aos Instrutores.

viii Instalao e configurao do Windows Server
2012
d. Se voc for um Usurio Final:
Para cada licena adquirida, voc poder usar o Curso Conduzido pelo Instrutor da Microsoft
unicamente para seu uso de treinamento pessoal. Se o Curso Conduzido pelo Instrutor da
Microsoft estiver no formato digital, voc poder acessar o referido curso online usando o
cdigo de resgate exclusivo fornecido a voc pelo provedor de treinamento e instalar e usar
1 (uma) cpia do Curso Conduzido pelo Instrutor da Microsoft em at 3 (trs) Dispositivos
Pessoais. Voc tambm poder imprimir 1 (uma) cpia do Curso Conduzido pelo Instrutor
da Microsoft. Voc no poder instalar o Curso Conduzido pelo Instrutor da Microsoft em
um dispositivo que no lhe pertena ou sobre o qual no tenha controle.

e. Se voc for um Instrutor.
i. Para cada licena adquirida, voc poder instalar e usar 1 (uma) cpia do Contedo do
Instrutor no formato fornecido a voc em 1 (um) Dispositivo Pessoal unicamente para
preparar e fornecer uma Sesso de Treinamento Autorizado ou Sesso de Treinamento
Privado e instalar 1 (uma) cpia adicional em outro Dispositivo Pessoal como uma cpia
de backup que pode ser usada unicamente para reinstalar o Contedo do Instrutor. Voc
no poder instalar nem usar uma cpia do Contedo do Instrutor em um dispositivo
que no lhe pertena ou sobre o qual no tenha controle.
ii. Voc poder personalizar as partes escritas do Contedo do Instrutor que esto
logicamente associadas instruo de uma sesso de treinamento de acordo com a verso
mais recente do contrato do MCT. Se voc optar por exercer os direitos acima, voc
concorda em cumprir com os seguintes termos: (i) personalizaes s podero ser usadas
para ministrar as Sesses de Treinamento Autorizado e as Sesses de Treinamento Privado
e (ii) todas as personalizaes cumpriro com este contrato. Para fins de esclarecimento,
qualquer uso de personalizar se refere apenas alterao da ordem de slides e contedo
e/ou ao no uso de todos os slides ou contedo, no significa alterar nem modificar
nenhum slide ou contedo.

2.2 Separao de Componentes. O Contedo Licenciado licenciado como uma nica unidade,
e voc no poder separar seus componentes e instal-los em dispositivos diferentes.

2.3 Redistribuio de Contedo Licenciado. Exceto como expressamente fornecido nos direitos
de uso acima, voc no poder distribuir nenhum Contedo Licenciado ou qualquer parte dele
(incluindo qualquer modificao permitida) para outras pessoas, sem a permisso expressa por
escrito da Microsoft.

2.4 Servios e Programas de Terceiros. O Contedo Licenciado poder conter programas ou
servios de terceiros. Esses termos de licenas se aplicaro ao uso que voc faz de programas
ou servios de terceiros, a menos que outros termos acompanhem esses programas e servios.

2.5 Termos Adicionais. Algum Contedo Licenciado pode conter componentes com termos,
condies e licenas adicionais com relao a seu uso. Quaisquer termos no conflitantes
nessas condies e licenas tambm se aplicaro ao uso que voc faz desse respectivo
componente e complementa os termos descritos neste contrato.

2012 ix
3. CONTEDO LICENCIADO BASEADO EM TECNOLOGIA DE PR-LANAMENTO. Se o assunto
do Contedo Licenciado se basear em uma verso de pr-lanamento da tecnologia da Microsoft
(Pr-lanamento), as seguintes clusulas sero aplicveis alm de outros termos neste contrato:

a. Contedo Licenciado de Pr-Lanamento. O assunto do Contedo Licenciado est na verso
de Pr-lanamento da tecnologia da Microsoft. A tecnologia talvez no funcione da forma que uma
verso final da tecnologia, e ns poderemos mudar a tecnologia para a verso final. Alm disso,
possvel que uma verso final no seja lanada. O Contedo Licenciado baseado na verso final
da tecnologia no pode conter as mesmas informaes do Contedo Licenciado baseado na verso
de Pr-lanamento. A Microsoft no tem nenhuma obrigao de fornecer a voc nenhum contedo
adicional, inclusive nenhum Contedo Licenciado baseado na verso final da tecnologia.

b. Comentrios. Se voc concordar em enviar Microsoft comentrios sobre o Contedo Licenciado,
quer diretamente ou por meio de seu designado terceirizado, voc dar Microsoft, a ttulo
gratuito, o direito de usar, compartilhar e comercializar seus comentrios de qualquer maneira
e para qualquer finalidade. Alm disso, voc concede a terceiros, sem custos, todos os direitos
de patente necessrios para que seus produtos, suas tecnologias e seus servios usem, ou
estabeleam conexo com, qualquer parte especfica de um software, produto ou servio da
Microsoft que inclua os comentrios. Voc no dever enviar feedback que esteja sujeito a uma
licena que requeira da Microsoft o licenciamento do software, de tecnologias ou produtos a
terceiros em virtude da incluso do seu feedback nesses elementos. Esses direitos permanecero
em vigor aps o trmino deste contrato.

c. Prazo de Pr-lanamento. Se voc for Membro do Programa Microsoft IT Academy, Membro
de Competncia de Treinamento da Microsoft, Membro MPN ou Instrutor, voc parar de usar
todas as cpias do Contedo Licenciado na tecnologia de Pr-lanamento na (i) data na qual a
Microsoft te informar que a data de trmino para usar o Contedo Licenciado na tecnologia de
Pr-lanamento ou (ii) 60 (sessenta) dias depois do lanamento comercial da tecnologia sujeita ao
Contedo Licenciado, o que quer que ocorra primeiro (Prazo de Pr-lanamento). Mediante
a expirao ou o trmino do prazo de Pr-lanamento, voc excluir de uma maneira irreparvel
e destruir todas as cpias do Contedo Licenciado em seu poder ou sob seu controle.

4. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato simplesmente
confere a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros
direitos. Salvo quando a lei aplicvel conferir outros direitos, no obstante a presente limitao, o
Contedo Licenciado dever ser usado conforme expressamente permitido neste contrato. Ao fazer
isso, voc dever respeitar todas as limitaes tcnicas do Contedo Licenciado que permitam seu uso
apenas de determinadas formas. Exceto se expressamente permitido neste contrato, voc no poder:
acessar nem permitir a nenhum indivduo acesso ao Contedo Licenciado se eles no tiverem
adquirido uma licena vlida para o Contedo Licenciado,
alterar, remover ou ocultar nenhum aviso de direito autoral ou outros avisos de proteo
(inclusive marcas dgua), marcas ou identificaes contidas no Contedo Licenciado,
modificar ou criar um trabalho derivado de qualquer Contedo Licenciado,
exibir publicamente ou tornar o Contedo Licenciado disponvel para outros acessarem ou usarem,
copiar, imprimir, instalar, vender, publicar, transmitir, emprestar, adaptar, reutilizar, vincular
a ou publicar, tornar disponvel ou distribuir o Contedo Licenciado a qualquer terceiro,
contornar quaisquer limitaes tcnicas do Contedo Licenciado ou
aplicar engenharia reversa, descompilar, remover ou, de outra maneira, impedir protees
ou desmontar o Contedo Licenciado, salvo e somente na medida em que essa atividade seja
expressamente permitida pela lei aplicvel, no obstante a presente limitao.

x Instalao e configurao do Windows Server
2012
5. RESERVA DE DIREITOS E PROPRIEDADE. A Microsoft se reserva todos os outros direitos que
no foram expressamente concedidos a voc neste contrato. O Contedo Licenciado protegido por
direitos autorais e outros tratados e leis de propriedade intelectual. A Microsoft ou seus fornecedores
detm o ttulo, os direitos autorais e outros direitos de propriedade intelectual do Contedo Licenciado.

6. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e aos regulamentos
de exportao dos Estados Unidos. Voc dever cumprir todas as leis e os regulamentos internacionais
e nacionais de exportao que se aplicam ao Contedo Licenciado. Essas leis incluem restries
relacionadas a destinos, usurios finais e uso final. Para obter informaes adicionais, consulte
o site www.microsoft.com/exporting.

7. SERVIOS DE SUPORTE. Como o Contedo Licenciado fornecido no estado em que se encontra,
a Microsoft poder no prestar servios de suporte para ele.

8. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato
caso voc no cumpra qualquer de seus termos e condies. Mediante o trmino deste contrato
por qualquer motivo, voc interromper imediatamente todo o uso de e excluir e destruir todas
as cpias do Contedo Licenciado em seu poder ou sob seu controle.

9. LINKS PARA SITES DE TERCEIROS. Voc pode criar links para sites de terceiros por meio do uso
do Contedo Licenciado. Os sites dos outros fabricantes no esto sob controle da Microsoft, e nem
a Microsoft se responsabiliza pelo contedo de qualquer site de terceiros, por nenhum link presente
nos sites de terceiros, ou por qualquer mudana ou atualizao nos sites de terceiros. Nem a Microsoft
responsvel pela transmisso pela Web nem por qualquer outra forma de transmisso recebida
de qualquer site de terceiros. A Microsoft est fornecendo esses links a sites de terceiros para voc
somente como uma convenincia, e a incluso de qualquer link no implica o aval da Microsoft
ao respectivo site.

10. ACORDO INTEGRAL. Este contrato e quaisquer termos adicionais do Contedo do Instrutor,
atualizaes e suplementos constituem o acordo integral do Contedo Licenciado, das atualizaes
e dos suplementos.

11. LEI APLICVEL.

a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, este
contrato ser regido e interpretado de acordo com as leis do Estado de Washington, que sero
aplicadas s reclamaes de violao de contrato, independentemente dos princpios de conflito
de leis. As leis do estado no qual voc reside regero todas as outras reclamaes, incluindo
leis de defesa do consumidor, concorrncia desleal e atos ilcitos extracontratuais.

b. Fora dos Estados Unidos. Caso voc tenha adquirido este Contedo Licenciado em qualquer
outro pas, as leis desse pas sero aplicveis.

12. EFEITO LEGAL. Este contrato descreve determinados direitos previstos em lei. Outros direitos podem
ser conferidos a voc de acordo com as leis do seu pas. Voc tambm poder ter direitos em relao
parte de quem o Contedo Licenciado foi adquirido. Este contrato no altera seus direitos previstos
nas leis do seu pas, caso essas leis no o permitam.

2012 xi
13. ISENO DE GARANTIA. O CONTEDO LICENCIADO LICENCIADO NO ESTADO EM QUE
SE ENCONTRA E CONFORME A DISPONIBILIDADE. VOC ASSUME O RISCO DE US-LA.
A MICROSOFT E SUAS RESPECTIVAS AFILIADAS NO OFERECEM OUTRAS GARANTIAS
NEM CONDIES CONTRATUAIS. VOC PODER TER DIREITOS DE CONSUMIDOR
ADICIONAIS DE ACORDO COM SUAS LEIS LOCAIS, OS QUAIS ESTE CONTRATO NO
PODE ALTERAR. AT O LIMITE PERMITIDO PELAS LEIS LOCAIS, A MICROSOFT E SUAS
RESPECTIVAS AFILIADAS EXCLUEM TODAS E QUAISQUER GARANTIAS LEGAIS DE
PADRES DE COMERCIALIZAO, ADEQUAO A UMA FINALIDADE ESPECFICA
E NO VIOLAO.

14. LIMITAES E EXCLUSES DE RECURSOS E DANOS. A INDENIZAO DE DANOS DIRETOS
PELA MICROSOFT, SUAS RESPECTIVAS AFILIADAS E SEUS FORNECEDORES RESTRINGE-SE
AO VALOR DE US$ 5,00. NO SER POSSVEL RECUPERAR QUAISQUER OUTROS DANOS,
INCLUSIVE DANOS CONSEQUENCIAIS, ESPECIAIS, INDIRETOS, INCIDENTAIS OU POR
LUCROS CESSANTES.

Esta limitao se aplica a:
o toda e qualquer questo relacionada ao Contedo Licenciado, aos servios ou ao contedo
(inclusive cdigo) em sites ou programas de terceiros e
o reclamaes por violao de contrato, violao de garantia ou condio, responsabilidade objetiva,
negligncia ou outro ato ilcito extracontratual, de acordo com os termos da lei aplicvel.

A limitao tambm se aplicar mesmo que a Microsoft saiba ou tenha sido avisada da possibilidade
de danos. A limitao ou excluso acima poder no se aplicar a voc se a legislao do seu pas
proibir, entre outros, a excluso ou a limitao de danos incidentais ou consequenciais.

Nota: como este Contedo Licenciado distribudo em Quebec, Canad, algumas das clusulas
so fornecidas abaixo em francs.

Remarque : Ce le contenu sous licence tant distribu au Qubec, Canada, certaines
des clauses dans ce contrat sont fournies ci-dessous en franais.

EXONRATION DE GARANTIE. Le contenu sous licence vis par une licence est offert tel quel .
Toute utilisation de ce contenu sous licence est votre seule risque et pril. Microsoft naccorde aucune
autre garantie expresse. Vous pouvez bnficier de droits additionnels en vertu du droit local sur la
protection des consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit
locale, les garanties implicites de qualit marchande, dadquation un usage particulier et dabsence
de contrefaon sont exclues.

LIMITATION DES DOMMAGES-INTRTS ET EXCLUSION DE RESPONSABILIT POUR LES
DOMMAGES. Vous pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de
dommages directs uniquement hauteur de 5,00 $ US. Vous ne pouvez prtendre aucune indemnisation
pour les autres dommages, y compris les dommages spciaux, indirects ou accessoires et pertes de
bnfices.

Cette limitation concerne:
tout ce qui est reli au le contenu sous licence, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers; et
les rclamations au titre de violation de contrat ou de garantie, ou au titre de responsabilit
stricte, de ngligence ou dune autre faute dans la limite autorise par la loi en vigueur.

xii Instalao e configurao do Windows Server
2012
Elle sapplique galement, mme si Microsoft connaissait ou devrait connatre lventualit dun tel
dommage. Si votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou lexclusion ci-dessus
ne sappliquera pas votre gard.

EFFET JURIDIQUE. Le prsent contrat dcrit certains droits juridiques. Vous pourriez avoir dautres
droits prvus par les lois de votre pays. Le prsent contrat ne modifie pas les droits que vous confrent
les lois de votre pays si celles-ci ne le permettent pas.

Revisado em junho de 2012
2012 xiii

Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.

I Microsoft Certified Trainers e Instructors o seu instrutor um especialista tcnico
e em treinamentos que atende a avanados requisitos de certificao. Alm disso, se os
instrutores estiverem oferecendo o treinamento em um de nossos Certified Partners for
Learning Solutions, eles tambm sero avaliados durante o ano pelos alunos e pela
Microsoft.

I Benefcios do Exame de Certificao aps o treinamento, considere a possibilidade
de prestar um exame de Certificao Microsoft. As Certificaes Microsoft validam suas
habilidades em tecnologias da Microsoft e podem ajudar a diferenci-lo na procura por
um emprego ou impulsionar a sua carreira. De fato, uma pesquisa independente
realizada pelo IDC concluiu que 75% dos gerentes consideram as certificaes
importantes para o desempenho da equipe1. Pergunte ao seu instrutor sobre descontos
e promoes de exames de Certificao Microsoft que possam estar disponveis para
voc.

I Garantia de satisfao do cliente os nossos Certified Partners for Learning Solutions
oferecem garantia de satisfao, e ns os consideramos responsveis por isso. Ao final
da aula, preencha uma avaliao da experincia de hoje. Seus comentrios so muito
importantes para ns!

Desejamos a voc uma excelente experincia em termos de aprendizado e uma carreira de
constante sucesso!

Atenciosamente,

Microsoft Learning
www.microsoft.com/brasil/certifique

1
IDC, Value of Certication: Team Certication and Organizational Performance, novembro de 2006

xiv Instalao e configurao do Windows Server
2012
Agradecimentos
A Microsoft Learning gostaria de reconhecer e agradecer s pessoas listadas a seguir pela sua colaborao
no desenvolvimento deste ttulo. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu
que voc tivesse uma boa experincia em sala de aula.
Stan Reimer Desenvolvedor de Contedo e Especialista Chefe
Stan Reimer presidente da S. R. Technical Services Inc. e trabalha como consultor, instrutor e autor.
Stan tem vasta experincia em consultoria com o AD DS (Servios de Domnio Active Directory
) e
implantaes do Microsoft Exchange Server para algumas das maiores empresas do Canad. Stan
o autor principal de dois livros sobre o Active Directory para Microsoft Press
. Durante os ltimos
nove anos, Stan tem escrito cursos para o Microsoft Learning, especializando-se em cursos sobre
o Active Directory e o Exchange Server. Stan um MCT (Microsoft Certified Trainer) h 12 anos.
Damir Dizdarevic Desenvolvedor de Contedo e Especialista
Damir Dizdarevic, que possui as certificaes MCT, MCSE (Microsoft Certified Solutions Expert), MCTS
(Microsoft Certified Technology Specialist) e MCITP (Microsoft Certified IT Professional), gerente e
instrutor da Central de Aprendizagem na Logosoft d.o.o., em Sarajevo, Bsnia e Herzegovina. Damir tem
mais de 17 anos de experincia em plataformas da Microsoft e especializado em Windows Server
,
Exchange Server, segurana e virtualizao. Ele trabalhou como especialista e revisor tcnico em vrios
cursos MOC (Microsoft
Official Curriculum) e j publicou mais de 400 artigos em vrias revistas de TI,

como a Windows ITPro and INFO Magazine. Damir tambm um palestrante frequente e de renome
na maioria das conferncias da Microsoft na Europa Oriental. Alm disso, ele tem a certificao MVP
(Microsoft Most Valuable Professional) para Gerenciamento da Infraestrutura do Windows Server.
Gary Dunlop Especialista
Gary Dunlop mora em Winnipeg, Canad, e consultor tcnico e instrutor da Broadview Networks. Ele
autor de uma srie de ttulos do Microsoft Learning e possui uma certificao como MCT desde 1997.
Siegfried Jagott Desenvolvedor de Contedo
Siegfried Jagott Consultor Principal e Lder da Equipe de Mensagens e Colaborao na
Atos Germany. Ele um premiado autor do livro Microsoft Exchange Server 2010 Best Practices
(Microsoft Press) e j escreveu e participou da reviso tcnica de vrios cursos MOC diversas sobre
diversos tpicos, como o MOC 10165: Como atualizar suas habilidades do Microsoft Exchange Server 2003
ou do Exchange Server 2007 para o Exchange Server 2010 SP1. Siegfried foi co-autor de vrios outros
livros sobre o sistema operacional Windows
, o System Center Virtual Machine Manager (VMM SC)

e o Exchange, alm de ser um palestrante frequente sobre esses tpicos em conferncias internacionais,
como a IT & Dev Connections, realizada no ano de 2012 em Las Vegas. Siegfried planejou, projetou e
implementou algumas das maiores infraestruturas do Windows e do Exchange Server do mundo para
clientes internacionais. Ele possui diploma de MBA pela Open University na Inglaterra e tem a certificao
MCSE desde 1997.
Jason Kellington Especialista
Jason Kellington (MCT, MCITP e MCSE) um consultor, instrutor e autor. Ele tem experincia
no trabalho com uma ampla gama de tecnologias da Microsoft e se concentra em infraestruturas de
redes corporativas. Jason trabalha em vrias posies com a Microsoft. Ele desenvolvedor de contedo
para ttulos de cursos do Microsoft Learning, escritor tcnico snior da Microsoft IT Showcase e autor
da Microsoft Press.
2012 xv
Vladimir Meloski Desenvolvedor de Contedo
Vladimir possui as certificaes MCT e MVP no Exchange Server, alm de atuar como consultor,
fornecendo solues de comunicaes unificadas e infraestrutura com base no Microsoft Exchange Server,
no Microsoft Lync
Server e no Microsoft System Center. Vladimir dedicou 16 anos de experincia

profissional em sistemas de informao. Vladimir j esteve envolvido em conferncias da Microsoft
na Europa e nos Estados Unidos como palestrante, moderador, inspetor de laboratrios prticos
e especialista tcnico. Ele tambm j esteve envolvido como especialista e revisor tcnico para
vrios cursos MOC.
Nick Portlock Especialista
Nick possui uma certificao como MCT por 15 anos. Ele instrutor de TI autnomo, consultor e autor.
No ano passado, Nick ensinou em mais de 20 pases. Ele especialista no AD DS, em Poltica de Grupo
e em DNS (Sistema de Nomes de Domnio) e prestou servios de consultoria para vrias empresas na
ltima dcada. Ele revisou mais de 100 cursos da Microsoft. Nick membro do programa Windows 7
Springboard Series Technical Expert Panel (STEP).
Brian Svidergol Revisor Tcnico
Brian Svidergol especialista em solues baseadas em nuvem e infraestrutura da Microsoft para sistemas
operacionais Windows, AD DS, Exchange Server, System Center, virtualizao e MDOP Microsoft Desktop
Optimization Package. Ele possui as certificaes MCT, MCITP (Administrador Empresarial (EA)), MCITP
(Administrador de Virtualizao (VA)), MCITP (Exchange 2010) e vrias outras certificaes do setor e
especiais da Microsoft. Brian autor do curso MOC (Microsoft Official Curriculum) 6426C: Configurao e
resoluo de problemas com solues de identidade e acesso com o Windows Server 2008 Active Directory.
Ele tambm trabalhou por vrios anos no desenvolvimento de exames de certificao da Microsoft e
contedo de treinamento relacionado.
Orin Thomas Especialista
Orin Thomas possui certificao como MVP e MCT, alm de ter vrias certificaes como MCSE e MCITP.
Ele j escreveu mais de 20 livros para a Microsoft Press, alm de colaborar como editor na revista
Windows IT Pro. Orin trabalha na rea de TI desde o incio de 1990. Ele atua regularmente como
palestrante em eventos como o TechEd na Austrlia e em todas as partes do mundo sobre o Windows
Server, o Windows Client, o System Center e tpicos de segurana. Orin fundou e dirige o Melbourne
System Center Users Group.
Byron Wright Desenvolvedor de Contedo e Especialista
Byron Wright um parceiro em uma empresa de consultoria, onde presta consultoria de rede,
implementao de sistemas de computadores e treinamento tcnico. Byron tambm um instrutor
acadmico da Asper School of Business na Universidade de Manitoba, onde ensina sistemas de
informaes de gerenciamento e rede. Byron autor e co-autor de vrios livros sobre sistemas
operacionais Windows Server, Windows Vista e Exchange Server, incluindo o Windows Server 2008
Active Directory Resource Kit.

2012 xvii
Contedo
Mdulo 1: Implantao e gerenciamento do Windows Server 2012
Lio 1: Viso geral do Windows Server 2012 1-2
Lio 2: Viso geral do gerenciamento do Windows Server 2012 1-16
Lio 3: Instalao do Windows Server 2012 1-22
Lio 4: Configurao ps-instalao do Windows Server 2012 1-27
Lio 5: Introduo ao Windows PowerShell 1-37
Laboratrio: Implantao e gerenciamento do Windows Server 2012 1-43
Mdulo 2: Introduo aos Servios de Domnio do Active Directory
Lio 1: Viso geral do AD DS 2-2
Lio 2: Viso geral de controladores de domnio 2-9
Lio 3: Instalao de um controlador de domnio 2-15
Laboratrio: Instalao de controladores de domnio 2-21
Mdulo 3: Gerenciamento de objetos dos Servios de Domnio do Active Directory
Lio 1: Gerenciamento de contas de usurio 3-3
Lio 2: Gerenciamento de contas de grupo 3-11
Lio 3: Gerenciamento de contas de computador 3-19
Lio 4: Delegao da administrao 3-25
Laboratrio: Gerenciamento de objetos dos Servios de Domnio
do Active Directory 3-29
Mdulo 4: Como automatizar a administrao dos Servios de Domnio
do Active Directory
Lio 1: Como usar ferramentas de linha de comando
para administrao do AD DS 4-2
Lio 2: Como usar o Windows PowerShell para administrao do AD DS 4-8
Lio 3: Execuo de operaes em massa com o Windows PowerShell 4-15
Laboratrio: Automao da administrao do AD DS usando
o Windows PowerShell 4-23
Mdulo 5: Implementao do IPv4
Lio 1: Viso geral do TCP/IP 5-2
Lio 2: Noes bsicas sobre endereamento IPv4 5-7
Lio 3: Sub-redes e super-redes 5-12
Lio 4: Configurao e soluo de problemas do IPv4 5-18
Laboratrio: Implementao do IPv4 5-27
xviii Instalao e configurao do Windows Server
2012
Mdulo 6: Implementao do protocolo DHCP
Lio 1: Instalao de uma funo de servidor DHCP 6-2
Lio 2: Configurao de escopos DHCP 6-8
Lio 3: Gerenciamento de um banco de dados DHCP 6-13
Lio 4: Proteo e monitoramento do DHCP 6-17
Laboratrio: Implementao de DHCP 6-23
Mdulo 7: Implementao do Sistema de Nomes de Domnio
Lio 1: Resoluo de nomes para clientes e servidores Windows 7-2
Lio 2: Instalao e gerenciamento de um servidor DNS 7-12
Lio 3: Gerenciamento de zonas DNS 7-19
Laboratrio: Implementao do DNS 7-23
Lio 1: Viso geral do IPv6 8-2
Lio 2: Endereamento IPv6 8-8
Lio 3: Coexistncia com o IPv4 8-15
Lio 4: Tecnologias de transio do IPv6 8-20
Mdulo 9: Implementao de armazenamento local
Lio 1: Viso geral de armazenamento 9-2
Lio 2: Gerenciamento de discos e volumes 9-13
Lio 3: Implementao de espaos de armazenamento 9-24
Laboratrio: Implementao de armazenamento local 9-29
Mdulo 10: Implementao de servios de arquivo e impresso
Lio 1: Proteo de arquivos e pastas 10-2
Lio 2: Proteo de arquivos e pastas compartilhados usando cpias
de sombra 10-17
Lio 3: Configurao da impresso pela rede 10-21
Laboratrio: Implementao de servios de arquivo e impresso 10-28
Mdulo 11: Implementao da Poltica de Grupo
Lio 1: Viso geral da Poltica de Grupo 11-2
Lio 2: Processamento da Poltica de Grupo 11-11
Lio 3: Implementao de um repositrio central para modelos
administrativos 11-18
Laboratrio: Implementao da Poltica de Grupo 11-23
Reviso e informaes complementares do mdulo 11-27
2012 xix
Mdulo 12: Proteo de servidores Windows usando Objetos de Poltica de Grupo
Lio 1: Viso geral da segurana de sistemas operacionais Windows 12-2
Lio 2: Definio de configuraes de segurana 12-7
Laboratrio A: Aumento da segurana de recursos do servidor 12-18
Lio 3: Restrio de softwares 12-26
Lio 4: Configurao do Firewall do Windows c
om Segurana Avanada 12-31
Laboratrio B: Configurao do AppLocker e do Firewall do Windows 12-36
Mdulo 13: Implementao da virtualizao de servidores com o Hyper-V
Lio 1: Viso geral de tecnologias de virtualizao 13-2
Lio 2: Implementao do Hyper-V 13-9
Lio 3: Gerenciamento do armazenamento de mquina virtual 13-17
Lio 4: Gerenciamento de redes virtuais 13-25
Laboratrio: Implementao da virtualizao de servidores
com o Hyper-V 13-30
Respostas do laboratrio
Laboratrio do mdulo 1: Implantao e gerenciamento
do Windows Server 2012 L1-1
Laboratrio do mdulo 2: Instalao de controladores de domnio L2-9
Laboratrio do mdulo 3: Gerenciamento de objetos dos Servios
de Domnio do Active Directory L3-13
Laboratrio do mdulo 4: Automao da administrao
do AD DS usando o Windows PowerShell L4-21
Laboratrio do mdulo 5: Implementao do IPv4 L5-25
Laboratrio do mdulo 6: Implementao de DHCP L6-29
Laboratrio do mdulo 7: Implementao do DNS L7-35
Laboratrio do mdulo 8: Implementao do IPv6 L8-43
Laboratrio do mdulo 9: Implementao de armazenamento local L9-47
Laboratrio do mdulo 10: Implementao de servios de arquivo
e impresso L10-53
Laboratrio do mdulo 11: Implementao da Poltica de Grupo L11-61
Laboratrio A do mdulo 12: Aumento da segurana de recursos
do servidor L12-65
Laboratrio B do mdulo 12: Configurao do AppLocker
e do Firewall do Windows L12-72
Laboratrio do mdulo 13: Implementao da virtualizao
de servidores com o Hyper-V L13-79

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Sobre este curso xxi
Sobre este curso
Esta seo fornece uma breve descrio do curso24410B: Instalao e Configurao
do Windows Server
2012audincia, pr-requisitos sugeridos e objetivos do curso.

Descrio do curso
Este curso faz parte de uma srie de trs partes que fornece as habilidades e os conhecimentos
necessrios para implementar uma infraestrutura central do Windows Server 2012 em um ambiente
corporativo existente. Coletivamente, os trs cursos abrangem a implementao, o gerenciamento, a
manuteno e o provisionamento de servios e infraestrutura em um ambiente Windows Server 2012.
Embora haja uma certa interseo em habilidades e tarefas entre os cursos, este curso abrange
principalmente a implementao e configurao iniciais de servios bsicos, incluindo o AD DS (Servios
de Domnio Active Directory
), servios de rede e a configurao do Microsoft
Hyper-V
Server 2012.

Pblico-alvo
Este curso destina-se a Profissionais de TI (sistemas de informao) com experincia e bons conhecimento
sobre o sistema operacional Windows
que desejam adquirir as habilidades e os conhecimentos

necessrios para implementar os principais servios de infraestrutura em um ambiente existente do
Windows Server 2012.
A audincia secundria consiste em indivduos que desejam certificao no exame 70-410, Instalao e
Configurao do Windows Server
2012.
Pr-requisitos do aluno
Este curso exige que os alunos atendam aos seguintes pr-requisitos:
Bom entendimento dos princpios bsicos de rede
Compreenso e experincia de configurao de tarefas de segurana e administrao
em um ambiente corporativo
Experincia com o suporte ou a configurao de clientes do sistema operacional Windows
Boa experincia prtica com clientes do sistema operacional Windows Vista
, Windows 7
ou Windows 8
Tambm seria benfico para os alunos ter alguma experincia anterior com o sistema operacional
Windows Server.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
xxii Sobre este curso
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Instalar e configurar o Windows Server 2012.
Descrever o AD DS.
Gerenciar objetos do Active Directory.
Automatizar a administrao do Active Directory.
Implementar o IPv4:
Implementar o protocolo DHCP.
Implementar o DNS (Sistema de Nomes de Domnio).
Implementar o IPv6.
Implementar o armazenamento local.
Compartilhar arquivos e impressoras.
Implementar a Poltica de Grupo.
Usar GPOs (Objetos de Poltica de Grupo) para proteger servidores Windows.
Implementar a virtualizao de servidores usando o Hyper-V.
Estrutura do curso
Esta seo fornece um resumo do curso:
Mdulo 1, Implantao e gerenciamento do Windows Server 2012
Esse mdulo inicia o curso discutindo a instalao do Windows Server 2012. Esta no a tarefa
mais comumente realizada que discutida no curso, mas fornece um ponto de partida lgico
para que os alunos comecem a trabalhar com o Windows Server 2012.
Mdulo 2, Introduo aos Servios de Domnio do Active Directory
O AD DS uma parte central do gerenciamento de rede em um ambiente corporativo. Ele
introduzido no incio do curso para que os alunos possam us-lo para realizar outras tarefas,
como criar usurios e grupos, em mdulos posteriores. Neste mdulo, os alunos iro instalar
um controlador de domnio.
Mdulo 3, Gerenciamento de objetos dos Servios de Domnio do Active Directory
Este mdulo discute a criao e o gerenciamento de objetos especficos do AD DS, como
usurios, grupos e contas de computador. Esta uma parte essencial daquilo que um
administrador de servidor iniciante realiza diariamente. Algumas dessas tarefas tambm
so delegadas para a equipe de assistncia tcnica.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Sobre este curso xxiii
Mdulo 4, Como automatizar a administrao dos Servios de Domnio do Active Directory
Esse mdulo expande os conhecimentos adquiridos no Mdulo 3, fornecendo aos alunos
mtodos para automatizar a criao e o gerenciamento de objetos do Active Directory.
Esse um tema relativamente avanado, mas flui logicamente aps o Mdulo 3.
Mdulo 5, Implementao do IPv4
Este mdulo inicia um novo segmento de aprendizado no curso. Configurar e compreender
o IPv4 fundamental para o trabalho como administrador de sistema.
Mdulo 6, Implementao do protocolo DHCP
Este mdulo discute como usar o DHCP para distribuir informaes de endereos IPv4.
Mdulo 7, Implementao do Sistema de Nomes de Domnio
Este mdulo inclui como o DNS converte nomes em endereos IP e por que isso importante
em um ambiente do Active Directory.
Mdulo 8, Implementao do IPv6
Esse mdulo introduz a configurao IPv6, que provavelmente um novo contedo
para os alunos. O Mdulo 8 separado do Mdulo 5, pois ambos so altamente tericos
e podem sobrecarregar os alunos se forem ensinados sequencialmente. No necessrio
ter conhecimento sobre IPv6 para os Mdulos 6 e 7.
Mdulo 9, Implementao de armazenamento local
Esse mdulo inclui contedo sobre configurao de armazenamento para
o Windows Server 2012. Essas informaes so pr-requisitos para o Mdulo 10,
que abrange a criao e a proteo de compartilhamentos de arquivos.
Mdulo 10, Implementao de servios de arquivo e impresso
Esse mdulo discute impresso e compartilhamentos de arquivos ao mesmo tempo, pois
ambos so servios de rede usados com frequncia. A segurana para compartilhamentos de
arquivos e impresso usa o conhecimento sobre contas de usurios e grupos que foi discutido
nos Mdulos 2 e 3.
Mdulo 11, Implementao da Poltica de Grupo
Esse mdulo se baseia nas informaes que os alunos j aprenderam sobre o AD DS para
apresentar o processo de criao e gerenciamento de GPOs.
Mdulo 12, Proteo de servidores Windows usando Objetos de Poltica de Grupo
Esse mdulo discute as configuraes de Poltica de Grupo especficas que podem ser usadas
para aumentar a segurana. As configuraes incluem polticas de segurana, polticas de
restrio de aplicativos e regras do Firewall do Windows.
Mdulo 13, Implementao da virtualizao de servidores com o Hyper-V
O mdulo final discute como configurar o Hyper-V e como criar mquinas virtuais. Esse
mdulo o ltimo, pois o laboratrio pode vir a afetar negativamente as mquinas virtuais
que j foram implantadas nas mquinas dos alunos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
xxiv Sobre este curso
Mapeamento do exame/curso
Este curso, 24410B: Instalao e configurao do Windows Server
2012, tem um mapeamento direto

do seu contedo com odomnio de objetivos para o exame da Microsoft 70-410: Instalao
e Configurao do Windows Server
2012.
A tabela abaixo fornecida como auxlio de estudo que ajudar voc na preparao para realizar esse
exame e para mostrar como os objetivos do exame e o contedo do curso se encaixam. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao: os objetivos do exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-410&locale=en-us#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls).
Domnio de objetivos do exame: Exame 70-410: Instalao
e Configurao do Windows Server 2012 Contedo do curso
Instalar e configurar servidores Mdulo Lesson Lab
Instalar servidores
Este objetivo pode incluir, mas no
est limitado a: Planejar uma
instalao de servidor; planejar
funes de servidor; planejar uma
atualizao de servidor; instalar o
Server Core; otimizar a utilizao de
recursos usando Recursos sob
Demanda; migrar funes de verses
anteriores do Windows Server
Md 1 Lio 1 Md 1 Ex 1
Configurar
servidores
est limitado a: Configurar o Server
Core; delegar a administrao;
adicionar e remover recursos em
imagens offline; implantar funes em
servidores remotos; converter o Server
Core em/de GUI completa; configurar
servios; configurar o agrupamento
NIC
Md 1 Lio 1/2/4 Md 1 Ex 1/2/3
Configurar o
armazenamento
local
est limitado a: Projetar espaos de
armazenamento; configurar discos
bsicos e dinmicos; configurar discos
MBR e GPT; gerenciar volumes; criar e
montar discos rgidos virtuais (VHDs);
configurar pools de armazenamento e
pools de discos
Md 9 Lio 1/2/3 Md 9 Ex 1/2/3
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Sobre este curso xxv
(continuao)
Configurar funes e recursos de servidor
Configurar o acesso
a arquivos e
compartilhamentos
est limitado a: Criar e configurar
compartilhamentos; configurar
permisses de compartilhamento;
configurar arquivos offline; configurar
permisses NTFS; configurar a ABE
(enumerao baseada em acesso);
configurar o VSS (Servio de Cpias de
Sombra de Volume); configurar cotas
de NTFS
Md 10 Lio 1/2 Md 10 Ex 1/2
Configurar servios
de impresso e
documentos
est limitado a: Configurar o driver de
impresso Easy Print; configurar o
Gerenciamento de Impresso
Corporativa; configurar drivers;
configurar o pool de impressoras;
configurar prioridades de impresso;
configurar permisses de impressora
Configurar
servidores para
gerenciamento
remoto
est limitado a: Configurar o WinRM;
configurar o gerenciamento do
servidor de nvel inferior; configurar
servidores para tarefas de
gerenciamento de rotina; configurar o
gerenciamento de vrios servidores;
configurar o Server Core; configurar o
Firewall do Windows
Md 1 Lio 1/2/4 Md 1 Ex 2
Md 12 Lio 4 Md 12 Lab B Ex 2

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
xxvi Sobre este curso

Configurar o Hyper-V
Criar e definir
configuraes
de mquina
virtual
est limitado a: Configurar a memria
dinmica; configurar a paginao
inteligente; configurar a Medio
de Recursos; configurar servios de
integrao de convidados
Md 13 Lio 2 Md 13 Ex 3/4
Criar e
configurar o
armazenamento
de mquinas
virtuais
Este objetivo pode incluir, mas no est
limitado a: Criar VHDs e VHDX; configurar
unidades diferenciais; modificar VHDs;
configurar discos de passagem; gerenciar
instantneos; implementar um adaptador
virtual de Fibre Channel
Md 9 Lio 1
Md 13 Lio 2/3 Md 13 Ex 3/4
Criar e
configurar redes
virtuais
limitado a: Implementar a Virtualizao
de Rede do Hyper-V; configurar
comutadores virtuais do Hyper-V; otimizar
o desempenho da rede; configurar
endereos MAC; configurar o isolamento
de rede; configurar adaptadores de rede
virtual sintticos e legados
Implantar e configurar servios de rede bsicos
Configurar o
endereamento
de IPv4 e IPv6
est limitado a: Configurar opes de
endereo IP; configurar sub-redes;
configurar a super-rede; configurar a
interoperabilidade entre o IPv4 e o IPv6;
configurar o ISATAP; configure o Teredo
Md 1 Lio 4 Md 1 Ex 1/2
Md 5 Lio 2/3/4 Md 5 Ex 1/2
Md 8 Lio 3/4 Md 8 Ex 2
Implantar e
configurar o
servio de
protocolo DHCP
limitado a: Criar e configurar escopos;
configurar uma reserva de DHCP;
configurar opes de DHCP; configurar o
cliente e o servidor para inicializao PXE;
configurar o agente de retransmisso
DHCP; autorizar o servidor DHCP
Md 6 Lio 1/2/3/4 Md 6 Ex 1/2
Implantar e
configurar o
servio DNS
limitado a: Configurar a integrao com o
Active Directory de zonas primrias;
configurar encaminhadores; configurar
Dicas de Raiz; gerenciar o cache de DNS;
criar registros de recursos A e PTR
Md 7 Lio 1/2/3 Md 7 Ex 1/2/3

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Sobre este curso xxvii

Instalar e administrar o Active Directory
Instalar
controladores
de domnio
limitado a: Adicionar ou remover um
controlador de domnio de um
domnio; atualizar um controlador
de domnio; instalar o AD DS
(Servios de Domnio Active Directory)
em uma instalao Server Core; instalar
um controlador de domnio a partir de
uma opo IFM (Instalar da Mdia);
resolver problemas de registros DNS
SRV; configurar um servidor de
catlogo global
Criar e gerenciar
usurios e
computadores do
Active Directory
est limitado a: Automatizar a criao
de contas do Active Directory; criar,
copiar, configurar e excluir usurios
e computadores; configurar modelos,
realizar operaes em massa do
Active Directory; configurar direitos do
usurio; ingresso em domnio offline;
gerenciar contas inativas e
desabilitadas
Md 1 Lio 4
Md 4 Lio 1/2/3 Md 4 Ex 1/2/3
Criar e gerenciar
grupos e UOs
(unidades
organizacionais) do
Active Directory
limitado a: Configurar o aninhamento
de grupos; converter grupos, entre
eles grupos de segurana, distribuio,
universais, locais de domnio e globais
de domnio; gerenciar a associao de
grupo usando a Poltica de Grupo;
enumerar a associao de grupo;
delegar a criao e o gerenciamento de
objetos do Active Directory; gerenciar
contineres padro do Active Directory;
criar, copiar , configurar e excluir
grupos e UOs
Md 3 Lio 1/2/4 Md 3 Ex 1/2/3
Md 4 Lio 1/2 Md 4 Ex 1
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
xxviii Sobre este curso
(continuao)
Instalar e administrar o Active Directory
Criar e gerenciar a Poltica de Grupo
Criar objetos de
Poltica de Grupo
(GPOs)
limitado a: Configurar um Repositrio
Central; gerenciar GPOs de iniciantes;
configurar links de GPO; configurar
vrias polticas de grupo locais;
configurar a filtragem de segurana
Md 11 Lio 1/2 Md 11 Ex 1/2
Configurar polticas
de segurana
limitado a: Configurar a atribuio de
Direitos de Usurio; definir
configuraes de Opes de Segurana;
configurar modelos de Segurana;
configurar a Poltica de Auditoria;
configurar Usurios e Grupos Locais;
configurar o Controle de Conta de
Usurio
Md 12 Lio 1/2 Md 12 Lab A
Ex 1/2/3

Criar e gerenciar a Poltica de Grupo
Configurar
polticas de
restrio de
aplicativos
limitado a: Configurar a imposio de
regras; configurar regras do AppLocker;
configurar Polticas de Restrio de
Software
Md 12 Lio 3 Md 12 Lab B
Ex 1
Configurar o
Firewall do
Windows
limitado a: Configurar regras para vrios
perfis usando a Poltica de Grupo;
configurar regras de segurana de conexo,
configurar o Firewall do Windows para
permitir ou negar aplicativos, escopos,
portas e usurios; configurar excees de
firewall autenticadas; importar e exportar
configuraes
Md 12 Lio 4 Md 12 Lab B
Ex 2
Observao: Participar deste curso em si no ir prepar-lo para passar em qualquer
exame de certificao associado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Sobre este curso xxix
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Experincia prtica com a instalao e a configurao de uma infraestrutura do Windows Server 2012
Experincia de configurao de clientes Windows 7 ou Windows 8
Estudo adicional fora do contedo nesta apostila
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil de audincia
completo para este para este exame est disponvel na seguinte URL:
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
xxx Sobre este curso
Material do curso
Os seguintes materiais foram includos no seu kit:
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Lies: orientam os alunos nos objetivos de aprendizagem e apresentam os pontos principais
que so crticos para uma experincia bem-sucedida de aprendizado em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas e os
conhecimentos aprendidos em cada mdulo.
Revises de mdulos e informaes complementares: fornecem material de referncia
prtico e aprimorado para incentivar a reteno do conhecimento e das tcnicas.
Respostas do laboratrio: Fornecem orientao passo a passo e imediata para a resoluo dos
laboratrios quando necessrio.

Contedo complementar do curso no site http://www.microsoft.com/learning/companionmoc:
Contedo digital pesquisvel e fcil de navegar com recursos online superiores integrados projetados
para complementar a Apostila do curso.
Mdulos: incluem contedo complementar, como perguntas e respostas, etapas detalhadas de
demonstrao e links de leituras adicionais, para cada lio. Alm disso, eles incluem perguntas e
respostas da Reviso do laboratrio, bem como sees de Revises e informaes
complementares, que contm as perguntas e respostas da reviso, prticas recomendadas,
problemas comuns e dicas de soluo de problemas com respostas, alm de cenrios e
problemas reais com respostas.
Recursos: Incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
mais atual na TechNet, na MSDN
e na Microsoft Press
.

Arquivos do curso para o aluno no site http://www.microsoft.com/learning/companionmoc:
Inclui o Allfiles.exe, um arquivo executvel de auto-extrao que contm todos os arquivos necessrios
para os laboratrios e as demonstraes.
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Sobre este curso xxxi
Ambiente de mquina virtual
Esta seo fornece as informaes para configurao do ambiente de sala de aula para dar suporte
ao cenrio comercial do curso.
Configurao da mquina virtual
Neste curso, voc usar o Microsoft
Hyper-V para realizar os laboratrios.

Importante Ao final de cada laboratrio, voc dever fechar a mquina virtual e no dever
salvar as alteraes. Para fechar uma mquina virtual sem salvar as alteraes, execute estas
etapas:
1. Na mquina virtual, no menu Action (Ao), clique em Close (Fechar).
2. Na caixa de dilogo Fechar, na lista O que voc quer a mquina virtual faa?, clique em
Desativar, exclua as alteraes e depois clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso.
Mquina virtual Funo
24410B-LON-DC1 Um controlador de domnio executando o Windows Server 2012
no domnio Adatum.com.
24410B-LON-SVR1
Um servidor membro executando o Windows Server 2012 no domnio
Adatum.com.
24410B-LON-SVR2
Um servidor membro executando o Windows Server 2012 no domnio
Adatum.com. Este servidor estar localizado em uma segunda sub-rede.
24410B-LON-SVR3
Uma mquina virtual em branco na qual os alunos iro instalar
o Windows Server 2012.
24410B-LON-HOST1
Um VHD inicializvel para executar o Windows Server 2012 como o host
para o Hyper-V.
24410B-LON-CORE
Um servidor autnomo que executa uma instalao Server Core
do Windows Server 2012.
24410B-LON-RTR
Um roteador que usado para atividades de rede que exigem
uma sub-rede separada.
24410B-LON-CL1 Um computador cliente com o Windows 8 e o Microsoft
Office 2010
Service Pack 1 (SP1) no domnio Adatum.com.
24410B-LON-CL2 Um computador cliente com o Windows 8 e o Office 2010 SP1
no domnio Adatum.com localizado em uma segunda sub-rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
xxxii Sobre este curso
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
O Monitor de Rede 3.4 da Microsoft instalado em LON-SVR2.
Arrumao da sala de aula
Cada computador da sala de aula ter a mesma mquina virtual configurada da mesma forma.
Nvel de hardware do curso
Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.
Nvel de hardware 6 com 8 GB de RAM
Navegao no Windows Server 2012
Se voc no est familiarizado com a interface de usurio no Windows Server 2012 ou no Windows 8,
as informaes a seguir iro orient-lo na nova interface.
Entrar e Sair substituem Fazer logon e Fazer logoff.
Ferramentas administrativas esto no menu Ferramentas do Gerenciador do Servidor
Mova o mouse at o canto inferior direito da rea de trabalho para abrir um menu com:
Configuraes: Inclui Painel de Controle e Energia.
Menu Iniciar: Fornece acesso a alguns aplicativos.
Pesquisa: Permite pesquisar aplicativos, configuraes e arquivos.
Voc tambm pode achar teis as seguintes teclas de atalho:
Windows: Abre o menu Iniciar.
Windows+C: Abre o mesmo menu que mover o mouse at o canto inferior direito.
Windows+I: Abre Configuraes.
Windows+R: Abre a janela Executar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
1-1
Mdulo 1
Implantao e gerenciamento do Windows Server 2012
Contedo:
Viso geral do mdulo 1-1
Lio 1: Viso geral do Windows Server 2012 1-2
Lio 2: Viso geral do gerenciamento do Windows Server 2012 1-16
Lio 3: Instalao do Windows Server 2012 1-22
Lio 4: Configurao ps-instalao do Windows Server 2012 1-27
Lio 5: Introduo ao Windows PowerShell 1-37
Laboratrio: Implantao e gerenciamento do Windows Server 2012 1-43

Viso geral do mdulo
Compreender os recursos de um novo sistema operacional Windows Server
2012 permite que voc tire

proveito desse sistema com eficincia. Sem compreender os recursos do seu novo sistema operacional
Windows Server 2012, voc pode acabar usando esse sistema da mesma maneira que costumava usar
a verso anterior e talvez perca as vantagens do novo sistema. Compreendendo como utilizar o seu
novo sistema operacional Windows Server 2012 de maneira plena e conhecendo as ferramentas
que esto disponveis para o gerenciamento dessa funcionalidade, voc capaz de proporcionar
mais valor para a sua organizao.
Este mdulo apresenta a nova interface administrativa do Windows Server 2012. Neste mdulo,
voc aprender os diferentes recursos e funes que esto disponveis com o sistema operacional
Windows Server 2012. Voc tambm conhecer as diferentes opes de instalao que podem
ser usadas na instalao do Windows Server 2012.
Este mdulo discute as etapas de configurao que voc pode realizar durante a instalao e aps
a implantao para garantir que os servidores possam comear a operar em suas funes atribudas.
Voc tambm aprender a usar o Windows PowerShell
para realizar tarefas administrativas comuns

no Windows Server 2012.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever o Windows Server 2012.
Descrever as ferramentas de gerenciamento disponveis no Windows Server 2012.
Instalar o Windows Server 2012.
Executar a configurao ps-instalao do Windows Server 2012.
Executar tarefas administrativas bsicas usando o Windows PowerShell.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
1-2 Implantao e gerenciamento do Windows Server 2012
Lio 1
Viso geral do Windows Server 2012
Antes de implantar o Windows Server 2012, voc precisa compreender como cada uma das edies
do Windows Server 2012 pode trazer benefcios para os servidores da sua organizao. Voc tambm
precisa saber se uma configurao de hardware especfica apropriada para o Windows Server 2012,
se uma implantao virtual pode ser mais adequada que uma implantao fsica e qual origem de
instalao permite implantar o Windows Server 2012 de maneira eficiente. Sem compreender esses
pontos, voc pode acabar sacrificando o tempo e o dinheiro da sua organizao por tomar uma
deciso que, mais tarde, ser necessrio corrigir.
Esta lio fornece uma viso geral das vrias edies, opes de instalao, funes e recursos
do Windows Server 2012. Usando essas informaes, voc poder determinar qual edio e quais
opes de instalao do Windows Server 2012 so ideais para a sua organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever a funo de servidores locais em uma rede moderna.
Explicar a diferena entre as nuvens privadas e pblicas.
Listar as diferentes edies do Windows Server 2012.
Descrever a diferena entre uma instalao Server Core do Windows Server 2012 e uma instalao
tradicional do Windows Server 2012.
Explicar o papel das funes de servidor que esto disponvel em computadores que executam
Explicar a finalidade dos vrios recursos do Windows Server 2012.
Servidores locais
Como profissional de TI, voc provavelmente
j ouviu sobre computao em nuvem. Talvez
voc tenha ouvido como softwares e servios
esto sendo movidos para uma nuvem pblica
ou privada, j que a previso de que a nuvem
se torne um aspecto importante do futuro da
computao empresarial. Voc tambm pode
ter ouvido que o Windows Server 2012 j vem
preparado para a nuvem. Como profissional
de TI que trabalhou com servidores localmente
implantados, seria lgico perguntar, se tudo est
indo em direo computao em nuvem, por
que voc precisa aprender a implantar o Windows Server 2012 localmente?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Instalao e Configurao do Windows Server
2012 1-3
A realidade que nem todos os servios e aplicativos usados diariamente devem ser hospedados
pela computao em nuvem. Servidores localmente implantados formam o backbone de uma rede
organizacional e fornecem os seguintes recursos para os clientes:
Servios de infraestrutura. Servidores fornecem recursos de infraestrutura para os clientes, entre
eles servios DNS (Sistema de Nomes de Domnio) e de protocolo DHCP. Esses servios permitem
que os clientes se conectam e comuniquem com outros recursos. Sem eles, os clientes no poderiam
se conectar uns aos outros ou a recursos remotos, incluindo recursos que so hospedados pela
computao em nuvem.
Arquivos e impressoras compartilhados. Servidores fornecem um local centralizado que permite aos
usurios armazenar e compartilhar documentos. Eles tambm hospedam recursos, como impressoras
compartilhadas, que permitem que grupos de usurios otimizem recursos de maneira mais eficiente.
Sem esses recursos centralizados e localmente implantados, o compartilhamento e o backup de
arquivos centralmente seria um processo muito mais complexo e demorado. Embora seja possvel
hospedar algumas dessas informaes com a computao em nuvem, nem sempre faz sentido
enviar um trabalho para uma impressora que se encontra na sala ao lado atravs de um servidor
que est hospedado em um local remoto.
Aplicados hospedados. Servidores hospedam aplicativos como o Microsoft
Exchange Server,
o Microsoft SQL Server
, o Microsoft Dynamics
e o Microsoft System Center. Os clientes

acessam esses aplicativos para realizar diferentes tarefas, como acessar email ou a implantao
de autoatendimento de aplicativos de rea de trabalho. Em alguns casos, esses recursos podem
ser implantados na computao em nuvem. Em muitos casos, esses recursos devem ser hospedados
localmente por motivos de desempenho, custo e normas. As particularidades da organizao
individual iro determinar se melhor hospedar esses recursos localmente ou com a computao
em nuvem.
Acesso rede. Servidores fornecem recursos de autenticao e autorizao a clientes na rede.
Ao se autenticarem em um servidor, um usurio e um cliente podem provar sua identidade.
Mesmo quando vrios dos servidores de uma organizao esto localizados em uma nuvem
pblica ou privada, as pessoas ainda precisam ter alguma forma de infraestrutura local de
autenticao e autorizao.
Implantao de aplicativos, atualizaes e sistemas operacionais. Muitas vezes, os servidores so
implantados localmente para auxiliarem na implantao de aplicativos, atualizaes e sistemas
operacionais em clientes na rede organizacional. Devido utilizao intensa de largura de banda,
esses servidores devem estar prximos aos clientes para os quais eles esto fornecendo esse servio.
Cada organizao ter seus prprios requisitos. Uma organizao em uma rea que possui conectividade
limitada com a Internet precisar depender mais de servidores locais do que uma organizao com acesso
a largura de banda de alta velocidade. importante que, mesmo no caso de problemas de conectividade
com a Internet, o trabalho em uma organizao possa continuar. A produtividade ser prejudicar se uma
falha na conexo com a Internet da organizao significar repentinamente que ningum pode ter acesso
a arquivos e impressoras compartilhados.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Embora o Windows Server 2012 esteja pronto para integrao com a computao em nuvem,
ele tambm ainda altamente adequado para as tarefas tradicionais que os sistemas operacionais
Windows Server tm executado ao longo da histria. Portanto, voc ainda poder configurar e
implantar o Windows Server 2012 para realizar as mesmas cargas de trabalho, ou semelhantes,
configuradas para servidores que executam o Windows Server 2003 e talvez at mesmo para
o Microsoft Windows NT
Server 4.0.
Pergunta: Qual a diferena entre um servidor e um sistema operacional cliente?
Pergunta: Como a funo do servidor evoluiu com o passar do tempo desde o sistema
operacional Microsoft Windows NT 4.0 Server at o Windows Server 2012?
O que computao em nuvem?
Computao em nuvem uma descrio geral
que engloba vrias tecnologias diferentes.
As formas mais comuns de computao
em nuvem so:
IaaS (Infraestrutura como um Servio). Com
essa forma de computao em nuvem, voc
executa uma mquina virtual completa na
nuvem. O provedor de hospedagem em
nuvem gerencia a plataforma de hipervisor,
e voc gerencia a mquina virtual que
executada na infraestrutura do provedor de
nuvem. O Windows Azure Compute um
exemplo de IaaS. Voc pode executar o Windows Server 2012 como uma mquina virtual em
uma nuvem IaaS, mas, em alguns casos, o sistema operacional hospedar as mquinas virtuais
em uma nuvem IaaS.
PaaS (Plataforma como um Servio). Com a PaaS, o provedor de hospedagem em nuvem fornece
a voc uma plataforma especfica. Por exemplo, um provedor pode permitir que voc hospede
bancos de dados. Voc gerencia o banco de dados propriamente dito, e o provedor de hospedagem
em nuvem hospeda o servidor de banco de dados. O SQL Azure um exemplo de PaaS.
SaaS (Software como um Servio). O provedor de hospedagem em nuvem hospeda seu aplicativo
e a infraestrutura inteira que d suporte a ele. Voc compra e executa um aplicativo de software
de um provedor de hospedagem em nuvem. O Windows InTune e o Microsoft Office 365 so
exemplos de SaaS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-5
Nuvens pblicas e privadas
Uma nuvem pblica um servio de nuvem hospedado por um provedor de servios de nuvem e
disponibilizado para uso pblico. Uma nuvem pblica pode hospedar um nico locatrio ou pode
hospedar locatrios de vrias organizaes. Assim sendo, a segurana de nuvem pblica no to
forte quanto a segurana de nuvem privada, mas, em geral, a hospedagem em nuvem pblica custa
menos, pois vrios locatrios absorvem os custos.
Em contraste, nuvens privadas so a infraestrutura de nuvem dedicada a uma nica organizao.
Nuvens privadas podem ser hospedadas pela prpria organizao ou podem ser hospedadas por
um provedor de servios de nuvem, que garante que esses servios no sejam compartilhados
com nenhuma outra organizao.
Nuvens privadas so muito mais que implantaes de hipervisor em grande escala. Elas podem usar o
pacote de gerenciamento do Microsoft System Center 2012, que torna possvel fornecer a distribuio
via autoatendimento de servios e aplicativos. Por exemplo, em uma organizao que possui sua prpria
nuvem privada, seria possvel que os usurios utilizassem um portal de autoatendimento para solicitar
aplicativos multicamadas, incluindo componentes de armazenamento, servidor Web e servidor de
banco de dados. O Windows Server 2012 e os componentes do pacote do System Center 2012 so
configurados de tal forma que essa solicitao de servio pode ser processada automaticamente,
sem exigir a implantao manual de mquinas virtuais e softwares de servidor de banco de dados.
Pergunta: Que tipo de nuvem voc usaria para implantar uma mquina virtual
personalizada que executa o Windows Server 2012?
Edies do Windows Server 2012
H vrias edies diferentes do
Windows Server 2012 disponveis para escolha.
Essas edies permitem que as organizaes
selecionem a verso do Windows Server 2012
mais adequada para as suas necessidades,
em vez de pagarem por recursos que elas
no precisam usar.
Ao implantarem um servidor para uma funo
especfica, os administradores de sistemas podem
fazer uma economia substancial selecionando
a edio apropriada.
A tabela a seguir lista as edies
Edio Descrio
O sistema operacional
Windows Server 2012
Standard
Fornece todas as funes e recursos disponveis na plataforma do
Windows Server 2012. D suporte para at 64 soquetes e at 4 TB
de RAM. Inclui duas licenas de mquina virtual.
Windows Server 2012
Datacenter
Fornece todas as funes e recursos que esto disponveis na plataforma
do Windows Server 2012. Inclui licenas ilimitadas de mquina virtual para
mquinas virtuais que so executadas no mesmo hardware. D suporte
para 64 soquetes, at 640 ncleos de processador e at 4 TB de RAM.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Edio Descrio
Windows Server 2012
Foundation
Projetado para proprietrios de pequenas empresas, permite apenas
15 usurios, no pode ser ingressado em domnio e inclui funes de
servidor limitadas. D suporte a um ncleo de processador e at 32 GB
de RAM.
Windows Server 2012
Essentials
Prxima edio do Small Business Server. Deve ser o server raiz em um
domnio. No pode funcionar como um servidor Hyper-V
, Server Core,
de Clustering de Failover ou de Servios de rea de Trabalho Remota.
Tem limites para 25 usurios e 50 dispositivos. D suporte para
dois ncleos de processador e 64 GB de RAM.
Microsoft Hyper-V
Server 2012
Plataforma Hyper-V autnoma para mquinas virtuais sem interface
do usurio. Nenhum custo de licenciamento (gratuito) para o sistema
operacional host, mas as mquinas virtuais so licenciadas normalmente.
D suporte para 64 soquetes e 4 TB de RAM. Compatvel com ingresso em
domnio. No d suporte para outras funes do Windows Server 2012
alm de recursos limitados de servios de arquivo.
Windows Storage
Server2012
Workgroup
Dispositivo de armazenamento unificado para iniciantes. Limitado a
50 usurios, um ncleo de processador, 32 GB de RAM. Compatvel
com ingresso em domnio.
Windows Storage
Server 2012 Standard
D suporte para 64 soquetes, mas licenciado com base em incrementos
de dois soquetes. D suporte para 4 TB de RAM. Inclui duas licenas de
mquina virtual. Compatvel com ingresso em domnio. D suporte para
algumas funes, incluindo as funes de Servidor DHCP e DNS, mas no
para outras, como o AD DS (Servios de Domnio do Active Directory
),
AD<CS (Servios de Certificados do Active Directory) e AD FS (Servios
de Federao do Active Directory).
Windows MultiPoint
Server 2012 Standard
D suporte para vrios usurios que acessam o mesmo computador host
diretamente usando mouses, teclados e monitores separados. Limitado a
um soquete, 32 GB de RAM e um mximo de 12 sesses. D suporte para
para outras, como o AD DS, o AD CS e o AD FS. No d suporte para
ingresso em domnio.
Windows MultiPoint
Server 2012 Premium
D suporte para vrios usurios que acessam o mesmo computador host
diretamente usando mouses, teclados e monitores separados. Limitado a
dois soquetes, 4 TB de RAM e um mximo de 22 sesses. D suporte para
para outras, como o AD DS, o AD CS e o AD FS. Compatvel com ingresso
em domnio.
Leitura adicional: Para obter mais informaes sobre as diferenas entre
as edies do Windows Server 2012, consulte o Catlogo do Windows Server em
http://go.microsoft.com/fwlink/?LinkID=266736.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-7
O que Ncleo do Servidor?
O Server Core uma opo de instalao
do Windows Server 2012 que pode conter
variaes da GUI (Interface Grfica do Usurio),
dependendo dos requisitos. O Server Core
pode ser gerenciado localmente atravs do
Windows PowerShell ou de uma interface de
linha de comando, e no usando ferramentas
baseadas em GUI ou remotamente atravs de
uma das opes de gerenciamento remoto que
abordaremos posteriormente no mdulo. Uma
instalao Server Core do Windows Server 2012
oferece menos componentes e opes de
gerenciamento administrativo do que a instalao completa do Windows Server 2012.
A instalao Server Core a opo padro ao instalar o Windows Server 2012. Ela apresenta as seguintes
vantagens em comparao a implantao tradicional do Windows Server 2012:
Requisitos de atualizao reduzidos. Como o Server Core instala menos componentes, sua
implantao exige que voc instale menos atualizaes de software. Isso reduz o nmero
de reinicializaes mensais necessrias e tambm o tempo necessrio para um administrador
atender o Server Core.
Superfcie de hardware reduzida. Computadores Server Core exigem menos RAM e menos espao
em disco rgido. Quando virtualizados, isso significa que possvel implantar mais servidores no
mesmo host.
Nmeros cada vez maiores de aplicativos para servidor da Microsoft esto sendo projetados para
execuo em computadores com sistemas operacionais instalados com Servidor Core. Por exemplo,
voc pode instalar o SQL Server 2012 em computadores que esto executando a verso instalada
com Server Core do Windows Server 2008 R2.
Voc pode alternar do Server Core para a verso grfica do Windows Server 2012 executando o seguinte
cmdlet do Windows PowerShell, em que c:\mount o diretrio raiz de uma imagem montada que
hospeda a verso completa dos arquivos de instalao do Windows Server 2012:
Install-WindowsFeature -IncludeAllSubFeature User-Interfaces-Infra -Source c:\mount
Voc tambm pode usar o Windows Update ou o DVD de instalao como origem do arquivo
de instalao. Instalar os componentes grficos oferece a voc a opo de realizar tarefas
administrativas usando as ferramentas grficas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Depois de realizar as tarefas administrativas necessrias, voc pode retornar o computador sua
configurao Server Core original. possvel alternar um computador que possui a verso grfica do
Windows Server 2012 para o Server Core removendo os seguintes componentes no recurso Interfaces
do Usurio e Infraestrutura:
Ferramentas de Gerenciamento Grfico e Infraestrutura. Contm uma interface de servidor mnima
para fornecer ferramentas de interface de usurio de gerenciamento de servidor, como o Gerenciador
do Servidor e as Ferramentas Administrativas.)
Shell Grfico de Servidor. Contm a GUI completa, incluindo o Internet Explorer, o Explorador de
Arquivos e outros componentes de interface do usurio. Tem uma superfcie maior do que a opo
Ferramentas de Gerenciamento Grfico e Infraestrutura.
Observao: Tenha cautela ao remover recursos grficos, pois alguns servidores tero
outros componentes instalados que so dependentes desses recursos.
Quando conectado localmente, voc pode usar as ferramentas listadas na tabela a seguir para gerenciar
implantaes Server Core do Windows Server 2012.
Ferramenta Funo
Cmd.exe Permite executar ferramentas de linha de comando tradicionais, como
ping.exe, ipconfig.exe e netsh.exe.
PowerShell.exe Inicia uma sesso do Windows PowerShell na implantao Server Core. Dessa
forma, voc pode realizar tarefas do Windows PowerShell normalmente.
Sconfig.cmd Uma ferramenta administrativa de linha de comando baseada em menu
que permite realizar as tarefas administrativas de servidor mais comuns.
Notepad.exe Permite usar o editor de texto Notepad.exe no ambiente Server Core.
Regedt32.exe Fornece acesso ao Registro no ambiente Server Core.
Msinfo32.exe Permite visualizar informaes do sistema sobre a implantao Server Core.
Taskmgr.exe Inicia o Gerenciador de Tarefas.
SCregEdit.wsf Usado para habilitar a rea de Trabalho Remota na implantao
do Server Core.
Observao: Se voc fechar acidentalmente a janela de comando em um computador que
est executando o Server Core, ser possvel recuperar essa janela realizando as seguintes etapas:
1. Pressione as teclas Ctrl+Alt+Del e clique em Gerenciador de Tarefas.
2. No menu Arquivo, clique em Nova Tarefa (Executar) e digite cmd.exe.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-9
O Server Core d suporte para a maioria das funes e dos recursos do Windows Server 2012.
Porm, no possvel instalar as seguintes funes em um computador que executa o Server Core:
AD FS
Servidor de Aplicativos
NPAS (Servios de Acesso e Poltica de Rede)
Windows DS (Servios de Implantao do Windows)
Mesmo que uma funo esteja disponvel para um computador que est executando a opo de
instalao Server Core, um servio de funo especfico associado a essa funo pode no estar
disponvel.
Observao: Voc pode verificar quais funes no Server Core esto disponveis e quais
no esto executando a consulta Get-WindowsFeature | where-object {$_.InstallState -eq
Removed}.
Voc pode usar as seguintes ferramentas para gerenciar remotamente um computador que esteja
executando a opo de instalao Server Core:
Gerenciador do Servidor. possvel adicionar um servidor que esteja executando o Server Core para
o Gerenciador do Servidor a um servidor que tenha uma instalao completa do Windows. Em
seguida, voc poder gerenciar as funes do servidor em execuo no computador Server Core no
Gerenciador do Servidor. Voc pode configurar a rea de Trabalho Remota usando o Sconfig.cmd.
Windows PowerShell Remoto. O Windows PowerShell Remoto permite que voc execute
comandos ou scripts do Windows PowerShell em servidores remotos corretamente configurados
quando o script hospedado no servidor local. O Windows PowerShell Remoto tambm permite que
voc carregue localmente os mdulos do Windows PowerShell, como o Gerenciador do Servidor, e
execute os cmdlets disponveis nesse mdulo em servidores remotos adequadamente configurados.
rea de Trabalho Remota. Voc pode conectar-se a um computador que esteja executando a
opo de instalao Server Core usando a rea de Trabalho Remota. Voc pode configurar
a rea de Trabalho Remota usando o Sconfig.cmd.
Consoles de gerenciamento remoto. Para a maioria das funes de servidor, voc pode adicionar
um computador que esteja executando a opo de instalao Server Core a um console de
gerenciamento em execuo em outro computador.
Netsh.exe firewall set service remoteadmin enable ALL
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Funes do Windows Server 2012
Para planejar corretamente como voc ir usar
o Windows Server 2012 para dar suportar
aos requisitos da sua organizao, necessrio
estar totalmente ciente de quais funes esto
disponveis como parte do sistema operacional.
Cada verso do Windows Server acompanha um
conjunto diferente de funes. medida que
novas verses do Windows Server forem
lanadas, algumas funes sero aprimoradas,
enquanto outras ficaro preteridas. Na maior
parte, as funes que esto disponvel no
Windows Server 2012 so bem conhecidas pelos
profissionais de TI que costumavam gerenciar o Windows Server 2008 e o Windows Server 2003.
O Windows Server 2012 d suporte para as funes de servidor que esto listadas na tabela a seguir.
Funo Funo
AD CS Permite implantar autoridades de certificao e servios
de<funo relacionados.
AD DS Um repositrio centralizado de informaes sobre objetos
de rede, incluindo contas de usurio e computador. Usado
para autenticao e autorizao.
AD FS Fornece SSO (logon nico) na Web e suporte para federao
de identidade protegida.
AD LDS (Active Directory
Lightweight Directory Services)
D suporte para o armazenamento de dados especficos de
aplicativo para aplicativos com reconhecimento de diretrio
que no exigem a infraestrutura completa do AD DS.
AD RMS (Active Directory
Rights Management Services)
Permite aplicar polticas de gerenciamento de direitos
para impedir o acesso no autorizado a documentos
confidenciais.
Servidor de Aplicativos D suporte para gerenciamento centralizado e hospedagem
de aplicativos de negcios distribudos de alto desempenho,
como os criados com o Microsoft .NET Framework 4.5.
Servidor DHCP Provisiona computadores cliente na rede com endereos IP
temporrios.
Servidor DNS Fornece resoluo de nomes para redes TCP/IP.
Servidor de Fax D suporte para o envio e o recebimento de mensagens
de fax. Tambm permite gerenciar o recurso de fax na rede.
Servios de Arquivo e
Armazenamento
D suporte para o gerenciamento do armazenamento
de pastas compartilhadas, do DFS (sistema de arquivos
distribudo) e do armazenamento de rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-11
(continuao)
Funo Funo
Hyper-V Permite hospedar mquinas virtuais em computadores
que esto executando o Windows Server 2012.
Servios de Acesso e Poltica de Rede Infraestrutura de autorizao para conexes remotas,
incluindo HRA (Autoridade de Registro de Integridade)
para NAP (Proteo de Acesso Rede).
Servios de Impresso e Documentos D suporte para o gerenciamento centralizado de tarefas
de documentos, incluindo scanners de rede e impressoras
em rede.
Acesso Remoto D suporte para recursos Sempre Visveis, Sempre
Gerenciados e de Conectividade Perfeita com base no
recurso DirectAccess do Windows 7. Tambm d suporte
para acesso remoto atravs de conexes discadas e por
VPN (rede virtual privada).
RDS (Servios de rea
de Trabalho Remota)
D suporte para o acesso a reas de trabalho virtuais, reas
de trabalho baseadas em sesso e programas RemoteApp.
Servios de Ativao de Volume Permite automatizar e simplificar o gerenciamento de
chaves de licena de volume e tecla e da ativao de chaves
por volume. Permite gerenciar um host KMS (Servio de
Gerenciamento de Chaves) ou configurar a ativao baseada
no AD DS para computadores que so membros do domnio.
Servidor Web (IIS) O componente de servidor Web do Windows Server 2012.
Windows DS Permite implantar sistemas operacionais de servidor em
clientes atravs da rede.
WSUS (Windows Server
Update Services)
Fornece um mtodo de implantar atualizaes de produtos
da Microsoft em computadores de rede.
Quando voc implanta uma funo, o Windows Server 2012 define automaticamente alguns
aspectos da configurao do servidor (como configuraes de firewall) para dar suporte a
essa funo. O Windows Server 2012 tambm implanta dependncias de funo de maneira
automtica e simultnea. Por exemplo, quando voc instala a funo WSUS, os componentes da
funo Servidor Web (IIS) que so necessrios para suporte funo WSUS tambm so instalados
automaticamente.
Voc adiciona e remove funes usando o Assistente de Adio de Funes e Recursos, disponvel no
console Gerenciador de Servidores do Windows Server 2012. Se voc estiver usando o Server Core,
tambm poder adicionar e remover funes usando os cmdlets do Windows PowerShell Install-
WindowsFeature e Remove-WindowsFeature.
Pergunta: Quais funes costumam estar colocalizadas no mesmo servidor?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Quais so os recursos do Windows Server 2012?
Os recursos do Windows Server 2012 so
componentes independentes que muitas vezes
so compatveis com servios de funo ou do
suporte para o servidor diretamente. Por exemplo,
o Backup do Windows Server um recurso porque
s fornece suporte de backup para o servidor
local. Ele no um recurso que outros servidores
na rede podem usar.
O Windows Server 2012 inclui os recursos
que esto listados na tabela a seguir.
Recurso Descrio
Recursos do .NET Framework 3.5 Instala as tecnologias do .NET Framework 3.5.
Recursos do .NET Framework 4.5 Instala as tecnologias do .NET Framework 4.5. Esse recurso
instalado por padro.
BITS (Servio de Transferncia
Inteligente em Segundo Plano)
Permite a transferncia assncrona de arquivos para garantir
que outros aplicativos de rede so sejam prejudicados.
Criptografia de Unidade de Disco
Windows BitLocker

D suporte para a criptografia de discos e volumes inteiros,
alm de oferecer proteo para o ambiente de inicializao.
Desbloqueio de rede do BitLocker Fornece um protetor de chaves baseado em rede capaz de
desbloquear sistemas operacionais protegidos pelo BitLocker
que ingressaram em domnios.
Windows BranchCache
Permite que o servidor opere como um servidor de cache

hospedado ou um servidor de contedo BranchCache para
clientes BranchCache.
Cliente para NFS Fornece acesso a arquivos armazenados em servidores NFS
(Network File System).
Ponte de Data Center Permite impor a alocao de largura de banda em Adaptadores
de Rede Convergidos.
Armazenamento Avanado Fornece suporte para a funcionalidade adicional disponvel em
dispositivos Armazenamento Avanado (protocolo IEEE 1667),
incluindo restries de acesso a dados.
Clustering de Failover Um recurso de alta disponibilidade que permite ao
Windows Server 2012 participar do clustering de failover.
Gerenciamento de Poltica
de Grupo
Uma ferramenta administrativa de gerenciamento para
administrar a Poltica de Grupo em uma empresa.
Servios de Reconhecimento
de Manuscrito
Permite o uso do Suporte para Entrada Tinta e do
Reconhecimento de Manuscrito.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-13
(continuao)
Recurso Descrio
Cliente de Impresso via Internet D suporte ao uso do Protocolo de Impresso via Internet.
Servidor IPAM (Gerenciamento
de Endereo IP)
Gerenciamento centralizado da infraestrutura de namespaces
e endereos IP.
Provedor de Armazenamento
de Destino iSCSI (Internet SCSI)
Fornece servios de gerenciamento de discos e destinos iSCSI
para o Windows Server 2012.
Servio iSNS D suporte a servios de descoberta de SANs (redes de rea
de armazenamento) iSCSI.
Monitor de Porta LPR (Line
Printer Remote)
Permite que o computador envie trabalhos de impresso para
impressoras que so compartilhadas com o uso do servio LPD.
Extenso do IIS para
Protocolo OData de
Gerenciamento
Permite expor cmdlets do Windows PowerShell atravs de um
servio Web baseado em OData que executado na plataforma
do IIS (Servios de Informaes da Internet).
Media Foundation D suporte para a infraestrutura de arquivos de mdia.
Enfileiramento de Mensagens D suporte para a distribuio de mensagens entre aplicativos.
MPIO (Multipath I/O) D suporte para vrios caminhos de dados para dispositivos
de armazenamento.
NLB (Balanceamento de Carga
de Rede)
Permite que o trfego seja distribudo com balanceamento de
carga entre vrios servidores que hospedam o mesmo aplicativo
sem monitorao de estado.
Protocolo PNRP Protocolo de resoluo de nomes que permite que os aplicativos
resolvam nomes no computador.
Quality Windows Audio Video
Experience
D suporte a aplicativos de streaming de udio e vdeo em redes
IP domsticas.
Kit de Administrao do
Gerenciador de Conexes RAS
(Servidor de Acesso Remoto)
Permite criar perfis do gerenciador de conexes que simplificam
a implantao da configurao de acesso remoto em
computadores cliente.
Assistncia Remota Permite o suporte remoto atravs de convites.
RDC (Compactao Diferencial
Remota)
Transfere as diferenas entre arquivos em uma rede,
minimizando a utilizao da largura de banda.
Ferramentas de Administrao
de Servidor Remoto
Coleo de consoles e ferramentas para o gerenciamento
remoto de funes e recursos em outros servidores.
RPC (Chamada de Procedimento
Remoto) via Proxy HTTP
Retransmite o trfego de RPC por HTTP como uma alternativa
para conexes por VPN.
Servios TCP/IP Simples Oferece suporte para servios TCP/IP bsicos, incluindo o QOTD
(Quote of the Day).
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Recurso Descrio
Servidor SMTP Oferece suporte para a transferncia de mensagens de email.
Servio SNMP Inclui agentes SNMP que so usados com os servios
de gerenciamento de rede.
Subsistema para Aplicativos
baseados no UNIX
Oferece suporte para aplicativos baseados no UNIX que so
compatveis com POSIX (Interface de Sistema Operacional
Porttil para UNIX).
Cliente Telnet Permite conexes de sada com servidores Telnet e outros
servios baseados no protocolo TCP.
Servidor Telnet Permite que os clientes se conectem ao servidor usando
o protocolo Telnet.
Cliente TFTP Permite acessar servidores TFTP.
Interfaces do Usurio
e Infraestrutura
Contm os componentes necessrios para dar suporte opo
de instalao da interface grfica no Windows Server 2012.
Em instalaes grficas, esse recurso instalado por padro.
WBF
(Windows Biometric Framework)
Permite o uso de dispositivos de impresso digital para
autenticao.
Encaminhador de Comentrios
do Windows
D suporte ao envio de comentrios para a Microsoft na ocasio
de ingresso no Programa de Aperfeioamento da Experincia
do Usurio.
Windows Identity Foundation 3.5 Conjunto de classes do .NET Framework que do suporte
implementao da identidade baseada em declaraes
em aplicativos .NET.
Banco de Dados Interno
do Windows
Repositrio de dados relacional que s pode ser usado por
funes e recursos do Windows, como o WSUS.
Windows PowerShell Linguagem de script e shell de linha de comando com base
em tarefas usada para administrar computadores que executam
sistemas operacionais Windows. Esse recurso instalado por
padro.
Windows PowerShell Web Access Permite o gerenciamento remoto de computadores executando
sesses do Windows PowerShell em um navegador da Web.
WAS (Servio de Ativao
de Processos do Windows)
Permite que aplicativos que hospedam servios WCF
(Windows Communication Foundation) que no usam
protocolos HTTP utilizem os recursos do IIS.
Servio Windows Search Permite pesquisas rpidas de arquivos hospedados
em um servidor para clientes compatveis com o servio
Windows Search.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-15
(continuao)
Recurso Descrio
Ferramentas de Migrao
do Windows Server
Coleo de cmdlets do Windows PowerShell que auxiliam na
migrao de funes de servidor, configuraes de sistema
operacional, arquivos e compartilhamentos a partir de
computadores que executam verses anteriores de sistemas
operacionais Windows Server para o Windows Server 2012.
Gerenciamento de
Armazenamento Baseado
em Padres do Windows
Conjunto de APIs (Interfaces de Programao de Aplicativo) que
permitem a descoberta, o gerenciamento e o monitoramento
de dispositivos de armazenamento que usam padres como
o SMI-S (Storage Management Initiative Specification).
WSRM (Gerenciador de Recursos
de Sistema do Windows)
Permite controlar a alocao de CPU e recursos de memria.
IFilter TIFF do Windows D suporte para Reconhecimento ptico de Caracteres
em arquivos compatveis com o formato TIFF 6.0.
Extenso do IIS do WinRM Gerenciamento Remoto do Windows para IIS.
Servidor WINS (Servio de
Cadastramento na Internet
do Windows)
D suporte resoluo de nomes para nomes NetBIOS.
Servio de LAN (rede local)
sem Fio
Permite que o servidor use uma interface de rede sem fio.
Suporte para WoW
(Windows on Windows) 64
D suporte para a execuo de aplicativos de 32 bits em
instalaes Server Core. Esse recurso instalado por padro.
Visualizador XPS D suporta para a visualizao e a assinatura de documentos
em formatos XPS
Recursos sob Demanda
A instalao de Recursos sob Demanda permite adicionar e remover arquivos de funes e recursos,
tambm conhecidos como carga de recursos, no sistema operacional Windows Server 2012 para
conservar espao. Voc pode instalar funes e recursos em locais em que a carga de recursos no est
presente usando uma origem remota, como uma imagem montada do sistema operacional completo.
Se uma origem de instalao no estiver presente, mas houver uma conexo com a Internet, os arquivos
de origem sero baixados do Windows Update. A vantagem de uma instalao de Recursos sob
Demanda que ela requer menos espao em disco rgido em comparao a uma instalao tradicional.
A desvantagem que, se voc quiser adicionar uma funo ou um recurso, dever ter acesso a uma
origem de instalao montada. Isso algo que no ser necessrio se voc realizar uma instalao
do Windows Server 2012 com os recursos grficos habilitados.
Pergunta: Qual recurso voc precisa instalar para dar suporte resoluo de nomes
NetBIOS para computadores cliente que executam uma estao de trabalho com o sistema
operacional Microsoft Windows NT
4.0?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Viso geral do gerenciamento do Windows Server 2012
Configurar um servidor corretamente pode livrar voc de problemas significativos mais tarde.
O Windows Server 2012 fornece vrias ferramentas para a realizao de tarefas administrativas
especficas, cada uma apropriada para um determinado conjunto de circunstncias. A interface
de gerenciamento do Windows Server 2012 tambm aumenta a sua capacidade de realizar tarefas
administrativas em mais de um servidor ao mesmo tempo.
Nesta lio, voc conhecer as diferentes ferramentas de gerenciamento que podem ser usadas
para realizar tarefas administrativas em computadores que executam o sistema operacional
Objetivos da lio
Descrever o Gerenciador de Servidores.
Descrever como usar ferramentas administrativas e Ferramentas de Administrao
de Servidor Remoto.
Descrever como usar o Gerenciador de Servidores para realizar vrias tarefas.
Descrever como configurar servios.
Descrever como configurar o Gerenciamento Remoto do Windows.
O que o Gerenciador de Servidores?
O Gerenciador de Servidores a principal
ferramenta grfica que voc usa para
gerenciar computadores que executam o
Windows Server 2012. possvel usar o console
Gerenciador de Servidores para gerenciar tanto
o servidor local quanto os servidores remotos.
Voc tambm pode gerenciar servidores
como grupos. Ao gerenciar servidores como
grupos, voc pode realizar as mesmas tarefas
administrativas rapidamente em vrios servidores
que desempenham a mesma funo ou que so
membros do mesmo grupo.
O console Gerenciador de Servidores pode ser usado para realizar as seguintes tarefas em servidores
locais e remotos:
Adicionar funes e recursos
Iniciar sesses do Windows PowerShell
Visualizar eventos
Realizar tarefas de configurao de servidor

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-17
Analisador de Prticas Recomendadas
O Gerenciador de Servidores inclui uma ferramenta de Analisador de Prticas Recomendadas para todas
as funes do Windows Server 2012. Com o Analisador de Prticas Recomendadas, voc pode determinar
se as funes na sua rede esto funcionando eficientemente ou se existem problemas que precisam
ser corrigidos. O Analisador de Prticas Recomendadas examina como uma funo opera (incluindo a
consulta de logs de eventos associados em busca de eventos de aviso e erro) para que voc possa ficar
ciente de problemas de integridade associados a funes especficas antes que eles causem uma falha
que venha a afetar a funcionalidade do servidor.
Ferramentas Administrativas e Ferramentas de Administrao
de Servidor Remoto
Quando voc usa o Gerenciador de Servidores
para realizar uma tarefa administrativa especfica
relacionada a uma funo ou a um recurso,
o console inicia a ferramenta administrativa
apropriada. Quando voc instala uma funo ou
um recurso usando o Gerenciador de Servidores
local ou remotamente, necessrio instalar
a ferramenta administrativa apropriada.
Por exemplo, se voc usar o Gerenciador
de Servidores para instalar a funo DHCP
em outro servidor, ser necessrio instalar
o console DHCP no servidor local.
Ferramentas de Administrao de Servidor Remoto
Voc pode instalar o conjunto completo de ferramentas administrativas para o Windows Server 2012,
instalando o recurso RSAT (Ferramentas de Administrao de Servidor Remoto). Ao instalar as RSAT,
voc pode optar por instalar todas as ferramentas ou apenas as ferramentas para gerenciar funes
e recursos especficos. Tambm possvel instalar as RSAT em computadores que executam o sistema
operacional Windows 8. Isso permite que os administradores gerenciem servidores remotamente,
sem precisarem fazer logon diretamente em cada servidor.
prtica recomendada executar os servidores do Windows Server 2012 como uma instalao Server Core
e gerenci-la remotamente atravs do RSAT para Windows 8 ou dos outros mtodos de gerenciamento
remoto.
Alm do Windows PowerShell, as ferramentas que os administradores costumam usar incluem:
Centro Administrativo do Active Directory. Com esse console, voc pode realizar tarefas
administrativas do Active Directory, como elevar nveis funcionais de domnio e floresta e habilitar
a Lixeira do Active Directory. Esse console tambm pode ser usado para gerenciar o Controle
de Acesso Dinmico.
Usurios e Computadores do Active Directory. Com essa ferramenta, voc pode criar e gerenciar
usurios, computadores e grupos do Active Directory. Essa ferramenta tambm pode ser usada
para criar UOs (Unidades Organizacionais).
Console DNS. Com o console DNS, voc pode configurar e gerenciar a funo de Servidor DNS.
Isso inclui criar zonas de pesquisa direta e inversa e gerenciar registros DNS.
Visualizador de Eventos. Voc pode usar o Visualizador de Eventos para visualizar eventos registrados
nos logs de eventos do Windows Server 2012.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Console de Gerenciamento de Poltica de Grupo. Com essa ferramenta, voc pode editar GPOs
(Objetos de Poltica de Grupo) e gerenciar sua aplicao no AD DS.
Ferramenta Gerenciador do IIS. possvel usar essa ferramenta para gerenciar sites.
Monitor de Desempenho. possvel usar esse console para visualizar dados de desempenho de
registros selecionando contadores associados a recursos especficos que voc deseja monitorar.
Monitor de Recursos. possvel usar esse console para visualizar informaes em tempo real
sobre CPU, memria e utilizao de disco e rede.
Agendador de Tarefas. possvel usar esse console para gerenciar a execuo de tarefas agendadas.
Voc pode acessar cada uma dessas ferramentas no Gerenciador de Servidores acessando o menu
Ferramentas.
Observao: Voc tambm pode fixar ferramentas usadas com frequncia na barra
de tarefas do Windows Server 2012 ou na tela Iniciar.
Demonstrao: Como usar o Gerenciador de Servidores
Nesta demonstrao, voc ver como usar o Gerenciador de Servidores para realizar as seguintes tarefas:
Entrar no Windows Server 2012 e visualizar a rea de trabalho do Windows Server 2012.
Adicionar um recurso usando o Assistente de Adio de Funes e Recursos.
Visualizar eventos relacionados a funes.
Executar o Analisador de Prticas Recomendadas para uma funo.
Listar as ferramentas disponveis no Gerenciador de Servidores.
Reiniciar o Windows Server 2012.
Etapas da demonstrao
Entrar no Windows Server 2012 e visualizar a rea de trabalho
do Windows Server 2012
Entre em LON-DC1 com a conta ADATUM\Administrador e a senha Pa$$w0rd e depois feche
o console Gerenciador de Servidores.
Adicionar um recurso usando o Assistente de Adio de Funes e Recursos
1. Abra o Gerenciador de Servidores na barra de tarefas.
2. Inicie o Assistente de Adio de Funes e Recursos.
3. Marque a caixa de seleo Instalao baseada em funo ou recurso.
4. Clique em Selecionar um servidor no pool de servidor, verifique se a opo
LON-DC1.Adatum.com est selecionada e clique em Prximo.
5. Na pgina Selecionar funes de servidor, selecione Servidor de Fax.
6. Na caixa de dilogo Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
7. Na pgina Selecionar recursos, clique em BranchCache.
8. Na pgina Servidor de Fax, clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-19
9. Na pgina Servios de Impresso e Documentos, clique em Prximo duas vezes.
10. Na pgina Confirmar selees de instalao, marque a caixa de seleo Reiniciar cada servidor
de destino automaticamente, se necessrio, clique em Sim, clique em Instalar e clique em Fechar.
11. Clique no cone de sinalizador ao lado de Painel do Gerenciador de Servidores e analise
as mensagens.
Observao: possvel fechar esse console sem finalizar a tarefa.
Visualizar eventos relacionados a funes
1. Clique no n Painel.
2. No painel FUNES E GRUPOS DE SERVIDORES, em DNS, clique em Eventos.
3. Em DNS - Exibio de Detalhes de Eventos, altere o perodo de tempo para 48 horas
e as Fontes de Evento para Tudo.
Executar o Analisador de Prticas Recomendadas para uma funo
1. Em DNS, clique em Resultados do BPA.
2. Selecione Tudo no menu suspenso Nveis de Severidade e clique em OK.
Listar as ferramentas disponveis no Gerenciador de Servidores
Clique no menu Ferramentas e examine as ferramentas que esto instaladas em LON-DC1.
Desconectar o usurio atualmente conectado
1. Saia de LON-DC1.
2. Volte a entrar em LON-DC1 usando a conta ADATUM\Administrador e a senha Pa$$w0rd.
Reiniciar o Windows Server 2012
Em uma janela do Windows PowerShell, digite o seguinte comando e pressione Enter:
Shutdown /r /t 15
Configurao de servios
Servios so programas executados em
segundo plano e que fornecem servios para
clientes e para o servidor host. Voc pode
gerenciar servios atravs do console de
Servios, que est disponvel no Gerenciador
de Servidores a partir do menu Ferramentas.
Ao proteger um computador, voc deve
desabilitar todos os servios, exceto aqueles que
so necessrios para as funes, os recursos e os
aplicativos que esto instalados no servidor.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tipo de inicializao
Servios usam um dos seguintes tipos de inicializao:
Automtica. O servio iniciado automaticamente quando o servidor inicializado.
Automtico (Atraso na Inicializao). O servio iniciado automaticamente depois que o servidor
inicializado.
Manual. O servio deve ser iniciado manualmente, seja por um programa ou por um administrador.
Desabilitado. O servio est desabilitado e no pode ser iniciado.
Observao: Se um servidor estiver se comportando de maneira problemtica,
abra o console de Servios, classifique por tipo de inicializao e localize os servios que
so configurados para inicializao automtica e que no esto em um estado em execuo.
Recuperao de servios
Opes de recuperao determinam o que um servio em caso de falha. possvel acessar a guia
Recuperao na janela Propriedades do Servidor DNS. Na guia Recuperao, existem as seguintes
opes de recuperao:
No executar nenhuma ao. O servio permanece em um estado de falha at receber a assistncia
de um administrador.
Reiniciar o Servio. O servio reiniciado automaticamente.
Executar um Programa. Permite executar um programa ou um script.
Reiniciar o Computador. O computador reiniciado depois de um nmero pr-configurado
de minutos.
Voc pode configurar diferentes opes de recuperao para a primeira falha, a segunda falha e falhas
subsequentes. Tambm pode configurar um perodo de tempo aps o qual o relgio de falhas do
servio redefinido.
Contas de servio gerenciadas
Contas de servio gerenciadas so contas especiais baseadas em domnio que voc pode usar com
servios. A vantagem de uma conta de servio gerenciada que a senha dessa conta alternada
automaticamente de acordo com um cronograma. Estas alteraes de senha so automticas e
no exigem interveno do administrador. Isso minimiza a chance de que a senha da conta de
servio fique comprometida, algo que costuma acontecer porque, tradicionalmente, os administradores
atribuem senhas simples a contas de servio com o mesmo servio em vrios servidores e nunca se
preocupam em atualizar essas senhas. Contas virtuais so contas especficas de servio que so locais,
e no baseadas em domnio. O Windows Server 2012 alterna e gerencia a senha para contas virtuais.
Pergunta: Qual a vantagem de uma conta de servio gerenciada em comparao
a uma conta de servio tradicional baseada em domnio?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-21
Configurao do Gerenciamento Remoto do Windows
A maioria dos administradores deixou de realizar
tarefas de administrao exclusivamente na
sala de servidores. Quase todas tarefas que eles
desempenham diariamente so agora realizadas
com o uso de tecnologias de gerenciamento
remoto.
Com o WinRM (Gerenciamento Remoto
do Windows), possvel usar o Shell Remoto,
o Windows PowerShell remoto e outras
ferramentas de gerenciamento remoto para
gerenciar um computador remotamente.
Voc pode habilitar o WinRM no Gerenciador
de Servidores realizando as etapas a seguir:
1. No console Gerenciador de Servidores, clique no n Servidor Local.
2. Na caixa de dilogo Propriedades do servidor local, ao lado de Gerenciamento Remoto,
clique em Desabilitado. Isso abre a caixa de dilogo Configurar Gerenciamento Remoto.
3. Na caixa de dilogo Configurar Gerenciamento Remoto, marque a caixa de seleo Habilitar
Gerenciamento Remoto deste Servidor por Outros Computadores e clique em OK.
Voc tambm pode habilitar o WinRM a partir de uma linha de comando executando o comando
WinRM -qc. possvel desabilitar o WinRM usando o mesmo mtodo usado para habilit-lo. Voc
pode desabilitar o WinRM em um computador que executa a opo de instalao Server Core usando
a ferramenta sconfig.cmd.
rea de Trabalho Remota
A rea de Trabalho Remota o mtodo tradicional com o qual os administradores de sistemas se
conectam remotamente aos servidores que eles gerenciam. Voc pode configurar a rea de Trabalho
Remota em um computador que esteja executando a verso completa de Windows Server 2012
realizando as seguintes etapas:
1. No console Gerenciador de Servidores, clique no n Servidor Local.
2. Ao lado de rea de Trabalho Remota, clique em Desabilitado.
3. Na caixa de dilogo Propriedades do Sistema, na guia Remoto, selecione uma das opes a seguir:
o No permitir conexes remotas com este computador. O estado padro de rea de trabalho
remota est desabilitado.
o Permitir conexes remotas com este computador. Permite conexes a partir de clientes
de rea de Trabalho Remota sem suporte para a Autenticao no Nvel de Rede
o Permitir Conexes somente de Computadores que executam a rea de Trabalho Remota
com Autenticao em Nvel de Rede. Permite conexes seguras a partir de computadores que
executam clientes de rea de Trabalho Remota com suporte para autenticao em nvel de rede.
Voc pode habilitar e pode desabilitar a rea de Trabalho Remota em computadores que executam
a opo de instalao Server Core usando a ferramenta de linha de comando sconfig.cmd.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 3
Instalao do Windows Server 2012
Ao se preparar para instalar o Windows Server 2012, voc precisa saber se uma configurao de hardware
especfica apropriada. Voc tambm precisa saber se uma implantao Server Core pode ser mais
adequada que uma implantao de GUI completa e qual origem de instalao permite implantar
o Windows Server 2012 de maneira eficiente.
Nesta lio, voc aprender o processo de instalao do Windows Server 2012, incluindo os mtodos
que podem ser usados para instalar o sistema operacional, as diferentes opes de instalao,
os requerimentos de sistema mnimos e as decises que voc precisa tomar ao usar o Assistente
de Instalao.
Objetivos da lio
Descrever os mtodos diferentes que podem ser usados para instalar o Windows Server 2012.
Identificar os diferentes tipos de instalao que voc pode escolher ao instalar
Determinar se um computador ou uma mquina virtual atende aos requisitos de hardware
mnimos necessrios para instalar o Windows Server 2012.
Descrever as decises que voc precisa tomar ao realizar uma instalao do Windows Server 2012.
Mtodos de instalao
A Microsoft distribui o Windows Server 2012
em uma mdia ptica e em formato de imagem
.iso (ISO). O formato ISO est se tornando mais
comum medida que as organizaes adquirem
softwares via Internet em vez de obterem a mdia
removvel fsica.
Depois de obter o Windows Server 2012 da
Microsoft, voc poder usar seu prprio mtodo
para implantar esse sistema operacional. Voc
pode instalar o Windows Server 2012 usando
vrios mtodos, entre eles:
Mdia ptica
o As vantagens incluem:
Mtodo tradicional de implantao
o As desvantagens incluem:
Requer que o computador tenha acesso a uma unidade de DVD-ROM.
Em geral, mais lento que a mdia USB.
No possvel atualizar a imagem de instalao sem substituir a mdia.
S possvel realizar uma instalao por DVD-ROM de cada vez.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-23
Mdia USB
Todos os computadores com unidades USB permitem a inicializao a partir da mdia USB.
A imagem pode ser atualizada medida que novas atualizaes de software e drivers
se tornam disponveis.
O arquivo de resposta pode ser armazenado em uma unidade USB, minimizando
a quantidade de interao que o administrador deve realizar.
Requer que o administrador realize etapas especiais para preparar a mdia USB a partir
de um arquivo ISO.
Imagem ISO Montada
Com softwares de virtualizao, voc pode montar a imagem ISO diretamente e instalar
o Windows Server 2012 na mquina virtual.
nenhum.
Compartilhamento de Rede
possvel inicializar um servidor fora de um dispositivo de inicializao (unidade
de DVD ou USB) e instalar a partir de arquivos de instalao que esto hospedados
em um compartilhamento de rede.
Esse mtodo muito mais lento que o uso do Windows DS. Se voc j tem acesso a
uma mdia de DVD ou USB, mais simples usar essas ferramentas para a implantao
do sistema operacional.
Windows DS
Voc pode implantar o Windows Server 2012 a partir de arquivos de imagem .wim ou
de arquivos VHD especialmente preparados.
Existe a opo de usar o Windows AIK (Kit de Instalao Automatizada) para configurar
a implantao simples.
Os clientes realizam uma inicializao no PXE (Preboot eXecution Environment) para
contatarem o servidor Windows DS, e a imagem do sistema operacional transmitida
a esse servidor atravs da rede.
O Windows DS permite vrias instalaes simultneas do Windows Server 2012 usando
transmisses de rede em multicast.
System Center Configuration Manager
O Configuration Manager permite automatizar totalmente a implantao do
Windows Server 2012 em novos servidores que no tm um sistema operacional
instalado. Esse processo se chama Implantao Zero Touch.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Modelos do Virtual Machine Manager
O Windows Server 2012 normalmente implantado em cenrios de nuvem privada a partir
de modelos de mquina virtual pr-configurados. Voc pode configurar vrios componentes
do pacote do System Center para permitir a implantao de autoatendimento de mquinas
virtuais Windows Server 2012.
Pergunta: Que outro mtodo pode ser usado para implantar o Windows Server 2012?
Tipos de instalao
A forma de implantar o Windows Server 2012 em
um servidor especfico depende das circunstncias
dessa instalao. A instalao em um servidor que
esteja executando o Windows Server 2008 R2
requer diferentes aes do que a instalao em
um servidor que esteja executando uma edio
x86 do Windows Server 2003.
Ao fazer uma instalao do sistema operacional
Windows Server 2012, voc pode escolher uma
das opes na tabela a seguir.
Opo de instalao Descrio
Nova instalao Permite fazer uma nova instalao em um novo disco ou volume. Instalaes
novas so as mais frequentes e as menos demoradas. Voc tambm pode usar
essa opo com o objetivo de configurar o Windows Server 2012 para realizar
uma inicializao dupla caso queira manter o sistema operacional existente.
Atualizao Uma atualizao preserva os arquivos, as configuraes e os aplicativos
que j so instalados no servidor original. Voc realiza uma atualizao
quando deseja manter todos esses itens e prefere continuar a usar o mesmo
hardware de servidor. S possvel atualizar para uma edio equivalente
ou mais recente do Windows Server 2012 a partir de verses x64 do
Windows Server 2008 e do Windows Server 2008 R2. Voc inicia uma
atualizao executando o arquivo setup.exe a partir do sistema operacional
Windows Server original.
Migrao Use o recurso de migrao para migrar das verses x86 e x64
do Windows Server 2003, do Windows Server 2003 R2 ou do
Windows Server 2008 para o Windows Server 2012. possvel
usar o recurso Ferramentas de Migrao do Windows Server no
Windows Server 2012 para transferir arquivos e configuraes.
Ao fazer uma nova instalao, voc pode implantar o Windows Server 2012 em um disco no
particionado ou em um volume existente. Voc tambm pode instalar o Windows Server 2012 para um
arquivo VHD especialmente preparado em um cenrio de inicializao de VHD ou inicializao nativa
de VHD (voc se deparar com o uso de ambos os termos, ou com variaes deles, para fazer referncia
a esse cenrio). A inicializao de VHD requer uma preparao especial e no uma opo que voc
pode escolher ao executar uma instalao tpica usando o Assistente de Instalao do Windows.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-25
Requisitos de hardware para o Windows Server 2012
Requisitos de hardware definem o hardware
mnimo necessrio para executar o servidor
do Windows Server 2012. Seus requisitos de
hardware reais podem ser maiores, dependendo
dos servios que o servidor est hospedando,
da carga nesse servidor e da sua receptividade.
Cada servio de funo e recurso exerce uma
carga exclusiva nos recursos de rede, E/S de disco,
processador e memria. Por exemplo, a funo
de servidor de arquivos exerce tenses diferentes
no hardware do servidor em comparao
funo de DHCP.
Ao considerar os requisitos de hardware, lembre-se de que o Windows Server 2012 pode ser implantado
virtualmente. O Windows Server 2012 tem suporte no Hyper-V e em algumas outras plataformas de
virtualizao que no so da Microsoft. As implantaes virtualizadas do Windows Server 2012 precisam
corresponder s mesmas especificaes de hardware das implantaes fsicas. Por exemplo, ao criar uma
mquina virtual para hospedar o Windows Server 2012, voc precisa garantir que a mquina virtual seja
configurada com uma quantidade suficiente de memria e espao em disco rgido.
O Windows Server 2012 apresenta os seguintes requisitos mnimos de hardware:
Arquitetura de processador: x64
Velocidade do processador: 1,4 giga-hertz (GHz)
Memria (RAM): 512 megabytes (MB)
Espao na unidade de disco rgido: 32 GB, mais se o servidor tiver mais de 16 GB de RAM.
A edio Datacenter do Windows Server 2012 d suporte aos seguintes limites mximos de hardware:
640 processadores lgicos
4 TB de RAM
63 ns de cluster de failover
Leitura adicional: Para obter mais informaes sobre o Programa de Validao da
Virtualizao do Windows Server, consulte http://go.microsoft.com/fwlink/?LinkID=266736.
Pergunta: Por que um servidor precisa de mais espao na unidade de disco rgido quando
possui mais de 16 GB de RAM?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Instalao do Windows Server 2012
Atualmente, o processo de implantao de
um sistema operacional Windows Server
mais simples do que nunca. O administrador
que realiza a implantao tem menos decises
para tomar, embora as decises que eles tomam
sejam crticas para o xito da implantao.
Uma instalao tpica do Windows Server 2012
(se voc ainda no possui um arquivo de resposta)
envolve a realizao das seguintes etapas:
1. Conecte-se origem de instalao. As opes
de conexo incluem:
o Insira um DVD-ROM contendo os
arquivos de instalao do Windows Server 2012 e inicialize a partir desse DVD-ROM.
o Conecte uma unidade USB especialmente preparada que hospeda os arquivos de instalao
o Realize uma inicializao em PXE e conecte-se a um servidor Windows DS.
2. Na primeira pgina do Assistente de Instalao do Windows, selecione o seguinte:
o Idioma a instalar
o Formato de hora e moeda
o Teclado ou mtodo de entrada
3. Na segunda pgina do Assistente de Instalao do Windows, clique em Install now. Essa pgina
tambm pode ser usada para escolher a opo Repair Your Computer. Use essa opo no caso
de uma instalao ficar corrompida e voc no conseguir mais inicializar no Windows Server 2012.
4. No Assistente de Instalao do Windows, na pgina Select The Operating System You Want
To Install, escolha uma das opes de instalao disponveis para o sistema operacional. A opo
padro Instalao Server Core.
5. Na pgina License Terms, examine os termos da licena do sistema operacional. Voc deve optar
por aceitar os termos de licena para poder continuar com o processo de instalao.
6. Na pgina Which Type Of Installation Do You Want, existem as seguintes opes:
o Upgrade. Selecione essa opo se voc tiver uma instalao existente do Windows Server
que deseja atualizar para o Windows Server 2012. Convm iniciar atualizaes a partir da
verso anterior do Windows Server em vez de inicializar a partir da origem de instalao.
o Custom. Selecione essa opo se quiser fazer uma nova instalao.
7. Na pgina Where do you want to install Windows?, escolha um disco disponvel no qual
instalar o Windows Server 2012. Tambm existe a opo de reparticionar e reformatar discos
nessa pgina. Ao clicar em Next, o processo de instalao copiar arquivos e reinicializar
o computador vrias vezes.
8. Na pgina Settings, fornea uma senha para a conta de administrador local.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-27
Lio 4
Configurao ps-instalao do Windows Server 2012
O processo de instalao do Windows Server 2012 envolve responder um nmero mnimo de perguntas.
Depois de concluir a instalao, voc precisa realizar vrias etapas de configurao ps-instalao para
poder implant-la em um ambiente de produo. Essas etapas permitem preparar o servidor para a
funo que ele realizar na rede da sua organizao.
Esta lio inclui como realizar uma ampla variedade de tarefas de configurao ps-instalao, entre
elas configurar informaes de endereamento da rede, definir o nome de um servidor e ingressar
esse servidor no domnio, alm de compreender as opes de ativao do produto.
Objetivos da lio
Descrever como usar o Gerenciador de Servidores para realizar tarefas de configurao
ps-instalao.
Descrever como definir configuraes de rede do servidor.
Descrever como ingressar em um domnio do Active Directory.
Explicar como realizar um ingresso em domnio offline.
Explicar como ativar o Windows Server 2012.
Descrever como configurar uma instalao Server Core.
Viso geral da configurao ps-instalao
O processo de instalao do Windows Server 2012
minimiza o nmero de perguntas que voc precisa
responder durante a instalao. As nicas
informaes fornecidas durante o processo de
instalao so a senha da conta de Administrador
local padro. O processo ps-instalao envolve
definir todas as outras configuraes para que o
servidor possa ser implantado em um ambiente
de produo.
Voc usa o n Servidor Local no console
Gerenciador de Servidores para realizar as
seguintes tarefas:
Configurar o endereo IP
Definir o nome do computador
Ingressar em um domnio do Active Directory
Configurar o fuso horrio
Habilitar atualizaes automticas

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Adicionar funes e recursos
Habilitar a rea de trabalho remota
Definir configuraes do Firewall do Windows
Definio de configuraes de rede do servidor
Para se comunicar na rede, um servidor
precisa de informaes de endereo IP corretas.
Concluda a instalao, voc precisa definir
ou verificar a configurao de endereo IP
do servidor. Por padro, um servidor
recm-implantado tenta obter informaes
de endereo IP a partir de um servidor DHCP.
Voc pode visualizar a configurao de endereo
IP de um servidor clicando no n Servidor Local
no Gerenciador de Servidores.
Se o servidor tiver um endereo IPv4 no intervalo
de endereamento APIPA de 169.254.0.1 at
169.254.255.254, significa que ele ainda no foi configurado com um endereo IP a partir de um servidor
DHCP. Isso pode ter acontecido porque um servidor DHCP ainda no foi configurado na rede ou, se
houver um servidor DHCP, porque existe um problema com a infraestrutura de rede que est impedindo
que o adaptador receba um endereo.
Observao: Se voc estiver usando apenas uma rede IPv6, ento um endereo IPv4 nesse
intervalo no ser problemtico, e as informaes de endereo IPv6 ainda sero configuradas
automaticamente.
Configurao usando o Gerenciador de Servidores
Voc pode configurar informaes de endereo IP manualmente para um servidor realizando
as seguintes etapas:
1. No console Gerenciador de Servidores (Server Manager), clique no endereo ao lado do adaptador
de rede que voc deseja configurar.
2. Na janela Conexes de Rede, clique com o boto direito do mouse no adaptador de rede
para o qual voc deseja configurar um endereo e clique em Properties.
3. Na caixa de dilogo Adapter Properties, clique em Internet Protocol Version 4 (TCP/IPv4)
e clique em Properties.
4. Na caixa de dilogo Internet Protocol Version 4 (TCP/IPv4) Properties, insira as seguintes
informaes de endereo IPv4 e clique em OK duas vezes:
o IP address
o Subnet Mask
o Default Gateway
o Preferred DNS server
o Alternate DNS server

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-29
Configurao de endereo IPv4 na linha de comando
Voc pode definir informaes de endereo IPv4 manualmente a partir de um prompt de comandos
com privilgios elevados usando o comando netsh.exe no contexto IPv4 da interface ou usando
o Windows PowerShell.
Por exemplo, para configurar o adaptador denominado Conexo Local com o endereo IPv4 10.10.10.10
e a mscara de sub-rede 255.255.255.0, digite os seguintes comandos:
Netsh interface ipv4 set address Conexo Local static 10.10.10.10 255.255.255.0
New-NetIPAddress InterfaceIndex 12 IPAddress 10.10.10.10 PrefixLength 24
Voc pode usar o mesmo contexto do comando netsh.exe para definir a configurao de DNS.
Por exemplo, para configurar o adaptador denominado Conexo Local de forma a usar o servidor DNS
no endereo IP 10.10.10.5 como o servidor DNS primrio, digite o seguinte comando:
Netsh interface ipv4 set dnsservers Conexo Local static 10.10.10.5 primary
Set-DNSClientServerAddress InterfaceIndex 12 ServerAddresses 10.10.10.5
Nos comandos do Windows PowerShell, o valor InterfaceIndex identifica qual adaptador voc
est configurando. Para obter uma lista completa de adaptadores com valores de InterfaceIndex
correspondentes, execute o cmdlet Get-NetIPInterface.
Agrupamento de placa de interface de rede
Com o Agrupamento NIC, voc pode aumentar a disponibilidade de um recurso de rede. Quando voc
configura o recurso de Agrupamento NIC, um computador usa um nico endereo de rede para vrias
placas. Se uma das placas falhar, o computador poder manter a comunicao com outros hosts na rede
que esto usando esse endereo compartilhado. O Agrupamento NIC no exige que as placas de rede
sejam do mesmo modelo ou usem o mesmo driver. Para agrupar placas de rede, siga estas etapas:
1. Verifique se o servidor tem mais de um adaptador de rede.
2. No Gerenciador de Servidores, clique no n Local Server
3. Ao lado de Agrupamento de Adaptadores de Rede, clique em Disabled. Isso ativar a caixa
de dilogo NIC Teaming.
4. Na caixa de dilogo NIC Teaming, mantenha pressionada a tecla Ctrl e clique em cada adaptador
de rede que voc deseja adicionar equipe.
5. Clique com o boto direito do mouse nesses adaptadores de rede selecionados e clique em
Add to New Team.
6. Na caixa de dilogo New Team, fornea um nome para a equipe e clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como ingressar em um domnio
Quando voc instala o Windows Server 2012,
o computador recebe um nome aleatrio.
Antes de ingressar em um domnio, voc deve
configurar o servidor com o nome que deseja
usar nesse domnio. Como prtica recomendada,
convm usar um esquema de nomenclatura
consistente na hora de planejar um nome de
computador. Computadores devem receber
nomes que reflitam sua funo e o local em
que se encontram, e no nomes com vnculos
pessoais, como nomes de animais de estimao
ou personagens histricas ou fictcias. mais
simples para todos determinar que um servidor denominado MEL-DNS1 um servidor DNS em
Melbourne do que determinar que um servidor denominado Coprnico tem a funo de DNS
no escritrio de Melbourne.
Voc altera esse nome com o console Gerenciador de Servidores realizando as seguintes etapas:
1. No Gerenciador de Servidores, clique no n Servidor Local.
2. Na janela Propriedades, clique no texto ativo ao lado de Nome do Computador. Isso ativar
a caixa de dilogo System Properties.
3. Na caixa de dilogo System Properties, na guia Computer Name, clique em Change.
4. Na caixa de dilogo Computer Name/Domain Changes, insira o novo nome que voc deseja
atribuir ao computador.
5. Reinicie o computador para implementar a alterao de nome.
Antes de ingressar no domnio, conclua as etapas a seguir para verificar se o novo servidor est pronto
para ingressar no domnio:
Verifique se possvel resolver o endereo IP do controlador de domnio e contatar esse controlador
de domnio. Use o protocolo PING para executar ping no controlador de domnio por nome de host
para realizar essas duas metas.
Conclua uma das seguintes tarefas:
o Crie uma conta de computador no domnio que corresponda ao nome do computador que
voc deseja ingressar no domnio. Isso costuma ser feito quando vrios computadores precisam
ingressar no domnio automaticamente.
o Ingresse o computador no domnio usando uma conta de segurana que possua o direito
de realizar operaes de ingresso em domnio.
Verifique se a conta de segurana usada para a operao de domnio j existe no domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-31
Agora que voc renomeou o servidor do Windows Server 2012 e verificou que ele est pronto para
ingressar no domnio, possvel realizar esse ingresso.
Para ingressar o domnio usando o Gerenciador de Servidores, realize as etapas a seguir:
1. No Gerenciador de Servidores, clique no n Servidor Local.
2. Na janela Propriedades, ao lado de Grupo de Trabalho, clique em WORKGROUP.
4. Na caixa de dilogo Computer Name/Domain Changes, na rea Member Of, clique na opo
Domain. Insira o novo nome de domnio e clique em OK.
5. Na caixa de dilogo Windows Security, insira credenciais de domnio que permitam ingressar
o computador no domnio.
6. Reinicie o computador.
Como realizar um ingresso em domnio offline
O ingresso em domnio offline um recurso que
voc pode usar para ingressar um computador
no domnio quando esse computador no tem
uma conexo de rede ativa. Esse recurso pode
ser til em situaes nas quais a conectividade
intermitente, como quando voc est
implantando um servidor em um site remoto
que est conectado via uplink de satlite.
Use a ferramenta de linha de comando djoin.exe
para realizar um ingresso em domnio offline.
Esse ingresso pode ser feito atravs das seguintes
etapas:
1. Faa logon no controlador de domnio com uma conta de usurio que possua os direitos apropriados
para ingressar outros computadores no domnio.
2. Abra um prompt de comandos com privilgios elevados e use o comando djoin.exe com a opo
/provision. Voc tambm precisa especificar o domnio no qual deseja ingressar o computador,
o nome do computador que ser ingressado no domnio e o nome do arquivo de salvamento
que ser transferido para o destino do ingresso em domnio offline.
Por exemplo, para ingressar o computador Canberra ao domnio adatum.com usando o arquivo
de salvamento Canberra-join.txt, digite o seguinte comando:
djoin.exe /provision /domain adatum.com /machine canberra /savefile c:\canberra-
join.txt

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Transfira a arquivo de salvamento gerado para o novo computador e, em seguida, execute
o comando djoin.exe com a opo /requestODJ.
Por exemplo, para realizar o ingresso em domnio offline, aps a transferncia do arquivo de
salvamento Canberra-join.txt ao computador Canberra, voc deve executar o seguinte comando
a partir de um prompt de comandos com privilgios elevados em Canberra:
djoin.exe /requestODJ /loadfile canberra-join.txt /windowspath %systemroot% /localos
4. Reinicie o computador para concluir a operao de ingresso em domnio.
Pergunta: Em que situao voc pode realizar um ingresso em domnio offline em vez
de um ingresso em domnio tradicional?
Ativao do Windows Server 2012
Para garantir que a sua organizao seja
corretamente licenciada e para receber avisos
de atualizaes do produto, voc deve ativar
cada cpia instalada do Windows Server 2012.
O Windows Server 2012 requer ativao aps a
instalao. Ao contrrio das verses anteriores
do sistema operacional Windows Server, no h
mais um perodo de carncia para ativao. Se
voc no realizar a ativao, no poder fazer
a personalizao do sistema operacional.
Para ativar o Windows Server 2012, possvel usar
uma destas duas estratgias gerais:
Ativao manual. Adequada quando voc est implantando poucos servidores.
Ativao automtica. Adequada quando voc est implantando vrios servidores.
Ativao Manual
Com a ativao manual, voc insere a chave do produto, e o servidor contata a Microsoft. Como
alternativa, um administrador realiza a ativao por telefone ou atravs de um site central especial.
Voc pode realizar a ativao manual a partir do console Gerenciador de Servidores seguindo
estas etapas:
1. Clique no n Servidor Local.
2. Na janela Propriedades, ao lado de ID do Produto, clique em No Ativado.
3. Na caixa de dilogo Ativao do Windows, insira a chave do produto (Product Key) e clique Ativar.
4. Se uma conexo direta no puder ser estabelecida com os servidores de ativao da Microsoft,
sero exibidos detalhes sobre como realizar a ativao usando um site a partir de um dispositivo
que possua conexo com a Internet ou atravs de um nmero de telefone local.
Como os computadores que executam a opo de instalao Server Core no tm o console Gerenciador
de Servidores, voc tambm pode realizar a ativao manual usando o comando slmgr.vbs. Use o
comando slmgr.vbs /ipk para inserir a chave do produto e o comando slmgr.vbs /ato para realizar
a ativao aps a instalao dessa chave.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-33
possvel realizar a ativao manual usando a chave do produto de varejo ou a chave de ativao
mltipla. A chave do produto de varejo pode ser usada para ativar apenas um computador. No entanto,
uma chave de ativao mltipla tem um nmero definido de ativaes que voc pode usar. Usando uma
chave de ativao mltipla, voc pode ativar vrios computadores at um limite de ativao definido.
Chaves de OEM so tipos especiais de chave de ativao que so fornecidos a um fabricante e que
permitem a ativao automtica quando um computador ligado pela primeira vez. Esse tipo de chave
de ativao geralmente usado com computadores que executam sistemas operacionais de cliente,
como o Windows 7 e o Windows 8. Chaves de OEM so raramente usadas em computadores que
executam sistemas operacionais de servidor.
A ativao manual em implantaes de servidor em grande escala pode ser trabalhosa. A Microsoft
fornece um mtodo de ativar vrios computadores automaticamente, sem exigir a especificao
de chaves de produto em cada sistema manualmente.
Ativao Automtica
Em verses anteriores do sistema operacional Windows Server, voc podia usar o KMS para realizar
a ativao centralizada de vrios clientes. A funo de servidor de Servios de Ativao de Volume no
Windows Server 2012 permite gerenciar um servidor KMS atravs de uma nova interface. Isso simplifica
o processo de instalao de uma chave KMS no servidor KMS. Ao instalar Servios de Ativao de Volume,
voc tambm pode configurar a ativao baseada no Active Directory. A ativao baseada no Active
Directory permite a ativao automtica de computadores ingressados em domnio. Quando voc usa
Servios de Ativao de Volume, cada computador ativado deve contatar periodicamente o servidor
KMS para renovar seu status de ativao.
Voc usa a VAMT (Ferramenta de Gerenciamento de Ativao de Volume) 3.0 em conjunto com Servios
de Ativao de Volume para realizar a ativao de vrios computadores em redes que no esto
conectadas diretamente Internet. A VAMT pode ser usada para gerar relatrios de licena e gerenciar
a ativao de clientes e servidores em redes corporativas.
Configurao de uma instalao Server Core
Realizar a ps-instalao em um
computador que executa a opo de sistema
operacional Server Core pode ser um processo
desencorajador para administradores que nunca
fizeram isso antes. Em vez de terem ferramentas
baseadas em GUI que simplificam o processo de
configurao ps-instalao, os profissionais de TI
so confrontados com a realizao de tarefas
de configurao complexas a partir de
uma interface de linha de comando.
A boa notcia que voc pode realizar a maioria
das tarefas de configurao ps-instalao usando
a ferramenta de linha de comando sconfig.cmd. O uso dessa ferramenta minimiza a possibilidade de erros
de sintaxe ao usar ferramentas de linha de comando mais complicadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Voc pode usar sconfig.cmd para realizar as seguintes tarefas:
Configurar informaes de Domnio e Grupo de Trabalho
Configurar o nome do computador
Adicionar contas de Administrador locais
Configurar o WinRM
Habilitar o Windows Update
Baixar e instalar atualizaes
Habilitar a rea de Trabalho Remota
Configurar informaes de Endereo de Rede
Definir a data e a hora
Realizar a Ativao do Windows
Habilitar a GUI do Windows Server
Sair do sistema
Reiniciar o servidor
Desligar o servidor
Configurar informaes de endereo IP
Voc pode configurar informaes de endereo IP e DNS utilizando sconfig.cmd ou netsh.exe.
Para configurar informaes de endereo IP usando sconfig.cmd, siga estas etapas:
1. A partir de um comando de linha de comando, execute sconfig.cmd.
2. Escolha a option 8 para definir Configuraes de Rede.
3. Escolha o nmero de ndice do adaptador de rede ao qual voc deseja atribuir um endereo IP.
4. Na rea Configuraes de Adaptador de Rede, escolha uma das seguintes opes:
Definir Endereo do Adaptador de Rede
Definir Servidores DNS
Limpar Configuraes de Servidor DNS
Voltar ao Menu Principal
Alterar Nome do Servidor
Voc pode alterar o nome de um servidor usando o comando netdom com a opo renamecomputer.
Por exemplo, para renomear um computador como Melbourne, digite o seguinte comando:
Netdom renamecomputer %computername% /newname:Melbourne
Voc pode alterar o nome de um servidor com sconfig.cmd realizando as seguintes etapas:
2. Escolha a option 2 para configurar o novo nome do computador.
3. Digite o novo nome do computador e pressione Enter.
Voc deve reiniciar o servidor para que a alterao de configurao tenha efeito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-35
Como ingressar no domnio
Voc pode ingressar um computador Server Core em um domnio usando o comando netdom
com a opo join.
Por exemplo, para ingressar no domnio adatum.com usando a conta de Administrador e receber
um prompt de senha, digite o seguinte comando:
Netdom join %computername% /domain:adatum.com /UserD:Administrator /PasswordD:*
Observao: Antes de ingressar no domnio, verifique se voc capaz de efetuar pingar
no servidor DNS por nome de host.
Para ingressar um computador Server Core no domnio usando sconfig.cmd, siga estas etapas:
2. Escolha a option 1 para configurar o Domnio/Grupo de Trabalho.
3. Para escolher a opo Domnio, digite D e pressione Enter.
4. Digite domnio no qual voc deseja ingressar o computador.
5. Fornea os detalhes, no formato domnio\nome de usurio, de uma conta que esteja autorizada
a ingressar no domnio.
6. Digite a senha associada a essa conta.
Para concluir uma operao de ingresso em domnio, necessrio reiniciar o computador.
Adio de funes e recursos
Voc pode adicionar e remover funes e recursos em um computador que esteja executando a
opo de instalao Server Core usando os cmdlets do Windows PowerShell Get-WindowsFeature,
Install-WindowsFeature e Remove-WindowsFeature. Esses cmdlets esto disponveis depois
de carregar o mdulo Windows PowerShell do ServerManager.
Por exemplo, voc pode ver uma lista de funes e recursos que esto instalados digitando
o seguinte comando:
Get-WindowsFeature | Where-Object {$_.InstallState -eq Installed}
Voc tambm pode instalar uma funo ou um recurso do Windows usando o cmdlet
Install-WindowsFeature. Por exemplo, para instalar o recurso NLB, execute o comando:
Install-WindowsFeature NLB
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Nem todos os recursos esto disponveis diretamente para instalao em um computador que executa
o sistema operacional Server Core. Voc pode determinar quais recursos no esto diretamente
disponveis para instalao executando o seguinte comando:
Get-WindowsFeature | Where-Object {$_.InstallState -eq Removed}
Voc pode adicionar uma funo ou um recurso que no est diretamente disponvel para instalao
usando o parmetro -Source do cmdlet Install-WindowsFeature. Voc deve especificar um local
de origem que hospede uma imagem de instalao montada incluindo a verso completa do
Windows Server 2012. possvel montar uma imagem de instalao usando a ferramenta de linha de
comando DISM.exe. Se voc no especificar um caminho de origem ao instalar um componente que
no est disponvel, e o servidor tiver conectividade com a Internet, o cmdlet Install-WindowsFeature
tentar recuperar arquivos de origem do Windows Update.
Adicionar a GUI
Voc pode configurar um computador Server Core com a GUI usando a ferramenta de linha de comando
sconfig.cmd. Para fazer isso, escolha a option 12 no menu Configurao do Servidor de sconfig.cmd.
Observao: Voc pode adicionar ou remover o componente grfico do sistema
operacional Windows Server 2012 usando o cmdlet Install-WindowsFeature.
Tambm pode usar a ferramenta de linha de comando dism.exe para adicionar e remover funes
e recursos do Windows a partir de uma implantao Server Core, mesmo que essa ferramenta seja
usada principalmente para o gerenciamento de arquivos de imagem.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-37
Lio 5
Introduo ao Windows PowerShell
O Windows PowerShell uma interface de linha de comando e uma tecnologia de script baseada
em tarefas que est embutida no sistema operacional Windows Server 2012. O Windows PowerShell
simplifica a automao de tarefas comuns de administrao de sistemas. Com o Windows PowerShell,
voc pode automatizar tarefas, reservando mais tempo para tarefas de administrao de sistema
mais difceis.
Nesta lio, voc aprender sobre o Windows PowerShell e por que o Windows PowerShell
um componente crtico do conjunto de ferramentas para um administrador de servidor.
Esta lio descreve como usar os recursos de descoberta embutidos do Windows PowerShell para
aprender a usar cmdlets especficos e a encontrar cmdlets relacionados. Esta lio tambm discute
como otimizar o ISE (Ambiente de Script Integrado) do Windows PowerShell para auxiliar na criao
de scripts eficazes do Windows PowerShell.
Objetivos da lio
Descrever a finalidade do Windows PowerShell.
Descrever a sintaxe de cmdlets do Windows PowerShell e explicar como determinar comandos
associados a um cmdlet especfico.
Descrever cmdlets comuns do Windows PowerShell usados para gerenciar servios, processos,
funes e recursos.
Descrever a funcionalidade do ISE do Windows PowerShell.
Explicar como usar o Windows PowerShell.
Explicar como usar o ISE do Windows PowerShell.
O que o Windows PowerShell?
O Windows PowerShell uma linguagem de script
e uma interface de linha de comando projetada
para ajudar voc a realizar tarefas administrativas
de rotina. O Windows PowerShell formado por
cmdlets que voc executa em um prompt de
comando do Windows PowerShell ou combina
em scripts do Windows PowerShell. Ao contrrio
de outras linguagens de script que foram
projetadas inicialmente para outra finalidade,
mas que foram adaptadas para tarefas de
administrao do sistema, o Windows PowerShell
foi concebido com tarefas de administrao
de sistema em mente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Um nmero cada vez maior de produtos da Microsoft, como o Exchange Server 2010, apresenta
interfaces grficas que criam comandos do Windows PowerShell. Esses produtos permitem visualizar
o script do Windows PowerShell gerado, para que voc possa executar a tarefa posteriormente sem
ter que concluir todas as etapas na GUI. A capacidade de automatizar tarefas complexas simplifica
o trabalho de um administrador do servidor, alm de poupar tempo.
Voc pode estender a funcionalidade do Windows PowerShell adicionando mdulos. Por exemplo,
o mdulo Active Directory inclui cmdlets do Windows PowerShell que so especificamente teis para
a realizao de tarefas de gerenciamento relacionadas ao Active Directory. Por exemplo, o mdulo
Servidor DNS inclui cmdlets do Windows PowerShell que so especificamente teis para a realizao
de tarefas de gerenciamento relacionadas ao servidor DNS. O Windows PowerShell inclui recursos como
o preenchimento com Tab, que permite aos administradores preencher comandos pressionando a tecla
Tab, em vez de precisarem digitar o comando inteiro. Voc pode saber mais sobre a funcionalidade
de qualquer cmdlet do Windows PowerShell usando o cmdlet Get-Help.
Sintaxe de cmdlets do Windows PowerShell
Cmdlets do Windows PowerShell usam uma
sintaxe de verbo e substantivo. Cada substantivo
tem uma coleo de verbos associados. Os verbos
disponveis variam dependendo do substantivo
de cada cmdlet.
Os verbos comuns de cmdlets
do Windows PowerShell incluem:
Get (Obter)
New
Set
Restart (Reiniciar)
Resume
Stop (Parar)
Suspend
Clear (Limpar)
Limit
Remove (Remover)
Add (Adicionar)
Show
Write (Gravar)
possvel descobrir os verbos disponveis para um substantivo especfico do Windows PowerShell
executando o seguinte comando:
Get-Command -Noun NounName

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-39
possvel descobrir os substantivos disponveis do Windows PowerShell para um verbo especfico
executando o seguinte comando:
Get-Command -Verb VerbName
Os parmetros do Windows PowerShell comeam com um trao. Cada cmdlet do Windows PowerShell
tem seu prprio conjunto de parmetros associado. possvel descobrir os parmetros de um cmdlet
especfico do Windows PowerShell executando o seguinte comando:
Get-Command CmdletName
possvel determinar quais cmdlets do Windows PowerShell esto disponveis executando o cmdlet
Get-Command. Os cmdlets do Windows PowerShell disponveis dependem dos mdulos que esto
carregados.
Cmdlets comuns para administrao de servidores
Como administrador de servidor, h alguns
cmdlets que voc provavelmente ir usar mais.
Esses cmdlets esto relacionados principalmente
a servios, logs de eventos, processos
e ao mdulo Gerenciador de Servidores
em execuo no servidor.
Cmdlets de servio
Voc pode usar os seguintes cmdlets do
Windows PowerShell para gerenciar servios
em um computador que esteja executando
o Windows Server 2012:
Get-Service. Exibir as propriedades de um servio.
New-Service. Cria um novo servio.
Restart-Service. Reinicia um servio existente.
Resume-Service. Retoma um servio suspenso.
Set-Service. Configura as propriedades de um servio.
Start-Service. Inicia um servio interrompido.
Stop-Service. Para de executar um servio.
Suspend-Service. Suspende um servio.
Cmdlets de log de eventos
Voc pode usar os seguintes cmdlets do Windows PowerShell para gerenciar logs de eventos
em um computador que esteja executando o Windows Server 2012:
Get-EventLog. Exibe eventos no log de eventos especificado.
Clear-EventLog. Exclui todas as entradas do log de eventos especificado.
Limit-EventLog. Define os limites de idade e tamanho do log de eventos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
New-EventLog. Cria um novo log de eventos e uma nova fonte de eventos em um computador
que executa o Windows Server 2012.
Remove-EventLog. Remove um log de eventos personalizado e cancela o registro de todas as fontes
de eventos para o log
Show-EventLog. Mostra os logs de eventos de um computador.
Write-EventLog. Permite gravar eventos em um log de eventos.
Cmdlets de processo
Voc pode usar os seguintes cmdlets do Windows PowerShell para gerenciar processos
em um computador que esteja executando o Windows Server 2012:
Get-Process. Fornece informaes sobre um processo.
Start-Process. Inicia um processo.
Stop-Process. Para um processo.
Wait-Process. Aguarda a interrupo do processo antes de aceitar uma entrada.
Debug-Process. Conecta um depurador a um ou mais processos em execuo.
Mdulo Gerenciador de Servidores
O mdulo Gerenciador de Servidores permite que voc adicione uma dos trs cmdlets que so teis
para o gerenciamento de recursos e funes. Esses cmdlets so:
Get-WindowsFeature. Visualizar uma lista de funes e recursos disponveis. Tambm mostra
se o recurso est instalado e se ele est disponvel. Voc s poder instalar um recurso disponvel
se tiver acesso a uma origem de instalao.
Install-WindowsFeature. Instala uma funo ou um recurso especfico do Windows Server.
O cmdlet Add-WindowsFeature est definido como alias nesse comando e disponvel em verses
anteriores de sistemas operacionais Windows.
Remove-WindowsFeature. Remove uma funo ou um recurso especfico do Windows Server.
O que o ISE do Windows PowerShell?
O ISE do Windows PowerShell um ambiente de
script integrado que fornece assistncia durante
o uso do Windows PowerShell. Ele fornece uma
funcionalidade de preenchimento de comandos
e permite que voc veja todos os comandos
disponveis e os parmetros que podem ser
usados com esses comandos.
O ISE do Windows PowerShell simplifica o
processo de usar o Windows PowerShell, pois
voc pode executar cmdlets a partir do ISE. Voc
tambm pode usar uma janela de script do ISE
do Windows PowerShell para construir e salvar
scripts do Windows PowerShell. A capacidade de visualizar parmetros de cmdlet garante que voc
fique ciente de toda a funcionalidade de cada cmdlet e possa criar comandos do Windows PowerShell
sintaticamente corretos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-41
O ISE do Windows PowerShell fornece cmdlets com cdigos de cor para auxiliar na soluo de problemas.
O ISE tambm fornece ferramentas de depurao que podem ser usadas para depurar scripts simples
e complexas do Windows PowerShell.
Voc pode usar o ambiente ISE do Windows PowerShell para visualizar cmdlets disponveis por mdulo.
Isso permite determinar qual mdulo do Windows PowerShell voc precisa carregar para acessar
um cmdlet especfico.
Demonstrao: Uso do Windows PowerShell
Nesta demonstrao, voc ver como usar o Windows PowerShell para exibir os servios e processos
em execuo em um servidor.
Usar o Windows PowerShell para exibir os servios e processos em execuo
em um servidor
1. Em LON-DC1, abra uma sesso do Windows PowerShell.
2. Execute os comandos a seguir e pressione Enter:
Get-Service | where-object {$_.status -eq Running}
Get-Command -Noun Service
Get-Process
Get-Help Process
Get-Help Full Start-Process
3. Na barra de tarefas, clique com o boto direito do mouse no cone do Windows PowerShell
e clique em Executar como Administrador.
Demonstrao: Uso do ISE do Windows PowerShell
Nesta demonstrao, voc ver como concluir as seguintes tarefas:
Usar o Windows PowerShell ISE para importar o mdulo Gerenciador de Servidores.
Ver os cmdlets disponibilizados no mdulo Gerenciador de Servidores.
Usar o cmdlet Get-WindowsFeature no Windows PowerShell ISE.
Usar o Windows PowerShell ISE para importar o mdulo Gerenciador de Servidores
1. Verifique se voc est conectado em LON-DC1 como Administrador.
2. No Gerenciador de Servidores, clique em Ferramentas e em Windows PowerShell ISE.
3. No prompt de comando, digite Import-Module ServerManager.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ver os cmdlets disponibilizados no mdulo Gerenciador de Servidores
No painel Comandos, use o menu suspenso Mdulos para selecionar o mdulo ServerManager.
Usar o cmdlet Get-WindowsFeature no Windows PowerShell ISE
1. Clique em Get-WindowsFeature, e clique em Mostrar Detalhes.
2. No campo Computer Name, digite LON-DC1 e clique em Executar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-43
Laboratrio: Implantao e gerenciamento
Cenrio
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Inglaterra. Recentemente, a A. Datum implantou uma infraestrutura do Windows Server 2012
com clientes Windows 8.
Voc trabalha para a A. Datum h vrios anos como especialista em suporte para desktop
e, recentemente, aceitou uma promoo para trabalhar na equipe de suporte a servidores.
O departamento de marketing comprou um novo aplicativo baseado na Web. Voc precisa instalar
e configurar os servidores do data center para esse aplicativo. Um dos servidores tem uma GUI,
e o outro est configurado como Server Core.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Implantar o Windows Server
2012.
Configurar o Server Core do Windows Server 2012.
Gerenciar servidores usando o Gerenciador de Servidores.
Gerenciar servidores com o Windows PowerShell.
Configurao do laboratrio
Tempo previsto: 60 minutos

Mquinas virtuais 24410B-LON-DC1
24410B-LON-SVR3
24410B-LON-CORE
Nome de usurio ADATUM\Administrador
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em
Gerenciador do Hyper-V.
2. No Gerenciador do Hyper-V, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.
3. No painel Aes, clique em Conectar. Aguarde a inicializao da mquina virtual.
4. Entre usando as seguintes credenciais:
a. Nome de usurio: ADATUM\Administrador
b. Senha: Pa$$w0rd
5. Repita as etapas de 1 a 3 para 24410B-LON-CORE e 24410B-LON-SVR3. No entre at receber
instrues.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Implantao do Windows Server
2012
Cenrio
O primeiro servidor do Windows Server 2012 que voc est instalando para o departamento
de Marketing hospedar uma instncia de mecanismo de banco de dados do SQL Server 2012.
Voc deseja configurar o servidor para que ele tenha a GUI completa, pois isso permitir que
o fornecedor do aplicativo execute ferramentas de suporte diretamente nesse servidor, em vez
de exigir uma conexo remota.
O primeiro servidor que voc est instalando para o novo aplicativo de marketing para um banco
de dados do SQL Server 2012. Esse servidor ter a GUI completa para permitir que o fornecedor do
aplicativo execute ferramentas de suporte diretamente no servidor.
As principais tarefas deste exerccio so:
1. Instalar o servidor do Windows Server 2012
2. Alterar o nome do servidor
3. Alterar a data e a hora
4. Configurar a rede e o agrupamento NIC
5. Adicionar o servidor ao domnio
Tarefa 1: Instalar o servidor do Windows Server 2012
1. No console do Gerenciador do Hyper-V, abra as configuraes para 24410B-LON-SVR3.
2. Configure a unidade de DVD para usar o arquivo de imagem do Windows Server 2012 denominado
Windows2012_RTM.iso. Esse arquivo est localizado em C:\Program Files\Microsoft Learning\
24410\Drives.
3. Inicie 24410B-LON-SVR3. Na pgina Windows Server 2012 do Assistente de Instalao
do Windows, verifique as seguintes configuraes, clique em Next e clique em Install Now.
o Idioma a instalar: English (United States)
o Formato de hora e moeda: English (United States)
o Teclado ou mtodo de entrada: US
4. Clique para instalar o sistema operacional Windows Server 2012 Datacenter Evaluation
(Server with a GUI).
5. Aceite os termos de licena e clique em Custom: Install Windows only (advanced).
6. Instale o Windows Server 2012 na Drive 0.
Observao: Dependendo da velocidade do equipamento, a instalao ir demorar cerca
de 20 minutos. A mquina virtual ser reiniciada vrias vezes durante esse processo.
7. Insira a senha Pa$$w0rd nas caixas Password e Reenter password e clique em Finish para concluir
a instalao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-45
Tarefa 2: Alterar o nome do servidor
1. Entre em LON-SVR3 como Administrador com a senha Pa$$w0rd.
2. No Server Manager, no n Servidor Local, clique no nome gerado aleatoriamente ao lado
de Computer name.
4. Na caixa Computer Name, digite LON-SVR3 e clique em OK.
5. Clique em OK novamente e clique em Fechar.
6. Reinicie o computador.
Tarefa 3: Alterar a data e a hora
1. Entre no servidor LON-SVR3 como Administrador com a senha Pa$$w0rd.
2. Na barra de tarefas, clique na exibio de hora e clique em Change date and time settings.
3. Clique em Change Time Zone e defina o fuso horrio para o fuso horrio atual.
4. Clique em Change Date and Time e verifique se a data e a hora que aparecem na caixa
de dilogo Time Zone Settings correspondem s configuraes de sala de aula.
5. Feche a caixa de dilogo Date and Time.
Tarefa 4: Configurar a rede e o agrupamento NIC
1. Em LON-SVR3, clique em Local Server e, ao lado de NIC Teaming, clique em Disabled.
2. Pressione e segure a tecla Ctrl e, na rea Adapters And Interfaces, clique em
Local Area Connection e Local Area Connection 2.
3. Clique com o boto direito do mouse nos adaptadores de rede selecionados e clique em
Add to New Team.
4. Insira LON-SVR3 na caixa Team name, clique em OK e feche a caixa de dilogo NIC Teaming.
Atualize o painel do console.
5. Ao lado de LON-SVR3, clique em IPv4 Address Assigned by DHCP, IPv6 enabled.
6. Na caixa de dilogo Network Connections, clique com o boto direito do mouse em LON-SVR3
7. Clique em Internet Protocol Version 4 (TCP/IPv4) e clique em Properties.
8. Insira as seguintes informaes de endereo IP e clique em OK:
o IP Address: 172.16.0.101
o Subnet Mask: 255.255.0.0
o Default Gateway: 172.16.0.1
o Preferred DNS server: 172.16.0.10
9. Feche todas as caixas de dilogo.
Tarefa 5: Adicionar o servidor ao domnio
1. Em LON-SVR3, no console Gerenciador de Servidores, clique em Local Server.
2. Ao lado de Grupo de Trabalho, clique em WORKGROUP.
3. Na guia Computer Name, clique em Change.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Clique na opo Domain e, na caixa Domain, insira adatum.com.
5. Insira os seguintes detalhes da conta
o Nome de usurio: Administrador
o Senha: Pa$$w0rd
6. Na caixa de dilogo Computer Name/Domain Changes, clique em OK.
7. Reinicie o computador para aplicar as alteraes.
8. Na caixa de dilogo System Properties, clique em Close.
9. Aps a reinicializao de LON-SVR3, entre como ADATUM\Administrador com a senha Pa$$w0rd.

Resultados: Depois de concluir este exerccio, voc ter implantado o Windows Server 2012 em
LON-SVR3. Tambm ter configurado LON-SVR3, incluindo alterao do nome, data e hora, conexo
de rede e agrupamento de rede.
Exerccio 2: Configurao do Windows Server 2012 Server Core
Cenrio
A camada baseada na Web do aplicativo de marketing um aplicativo .NET. Para minimizar a superfcie
do sistema operacional e reduzir a necessidade de aplicar atualizaes de software, voc optou por
hospedar o componente IIS em um computador que est executando a opo de instalao Server Core
do sistema operacional Windows Server 2012.
Para permitir isso, voc precisar configurar um computador que execute o Windows Server 2012 com
a opo de instalao Server Core.
1. Definir o nome do computador
2. Alterar a data e a hora do computador
3. Configurar a rede
4. Adicionar o servidor ao domnio
Tarefa 1: Definir o nome do computador
1. Entre em LON-CORE como Administrador com a senha Pa$$w0rd.
2. Em LON-CORE, digite sconfig.cmd.
3. Clique na opo 2 para selecionar Computer Name.
4. Defina o nome do computador como LON-CORE.
5. Na caixa de dilogo Restart, clique em Yes para reiniciar o computador.
6. Aps a reinicializao do computador, entre no servidor LON-CORE usando a conta
de Administrator com a senha Pa$$w0rd.
7. No prompt de comando, digite hostname e pressione Enter para verificar o nome do computador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-47
Tarefa 2: Alterar a data e a hora do computador
1. Verifique se voc est conectado ao servidor LON-CORE como Administrator com a senha
Pa$$w0rd.
2. No prompt de comando, digite sconfig.cmd.
3. Para selecionar Date and Time, digite 9.
4. Clique em Change time zone e defina o fuso horrio como o mesmo fuso horrio usado em sala
de aula.
5. Na caixa de dilogo Date and Time, clique em Change Date and Time e verifique se a data
e a hora correspondem s configuraes do seu local.
6. Saia de sconfig.cmd.
Tarefa 3: Configurar a rede
1. Verifique se voc est conectado ao servidor LON-CORE usando a conta de Administrador
e a senha Pa$$w0rd.
2. No prompt de comando, digite sconfig.cmd e pressione Enter.
3. Para definir Network Settings, digite 8.
4. Digite o nmero do adaptador de rede que voc deseja configurar.
5. Digite 1 para definir o Endereo do Adaptador de Rede.
6. Clique em Static IP address configuration e insira o endereo 172.16.0.111.
7. No prompt Enter subnet mask, digite 255.255.0.0.
8. No prompt Enter default gateway, digite 172.16.0.1.
9. Digite 2 para configurar o endereo do servidor DNS.
10. Defina o servidor DNS preferencial como 172.16.0.10.
11. No configure um endereo de servidor DNS alternativo.
12. Saia de sconfig.cmd.
13. Verifique a conectividade de rede com lon-dc1.adatum.com usando a ferramenta PING.
com a senha Pa$$w0rd.
3. Digite 1 para alternar para Configure Domain/Workgroup.
4. Digite D para ingressar em um domnio.
5. No prompt Name of domain to join, digite adatum.com.
6. No prompt Specify an authorized domain\user, digite ADATUM\Administrador.
7. No prompt Type the password associated with the domain user, digite Pa$$w0rd.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. No prompt, clique em No.
9. Reinicie o servidor.
10. Entre no servidor LON-CORE com a conta ADATUM\Administrador usando a senha Pa$$w0rd.

Resultados: Ao terminar o exerccio, voc ter configurado uma implantao Server Core
do Windows Server 2012 e verificado o nome do servidor.
Exerccio 3: Gerenciamento de servidores
Cenrio
Depois de implantar os servidores LON-SVR3 e LON-CORE para hospedar o aplicativo de Marketing,
necessrio instalar recursos e funes de servidor apropriados para dar suporte a esse aplicativo.
Com isso em mente, voc ir instalar o recurso Backup do Windows Server em LON-SVR3 e em
LON-CORE. Voc ir instalar a funo de Servidor Web em LON-CORE.
Tambm necessrio configurar o servio de Publicao na World Wide Web em LON-CORE.
1. Criar um grupo de servidores
2. Implantar recursos e funes em ambos os servidores
3. Rever os servios e alterar uma configurao de servio
Tarefa 1: Criar um grupo de servidores
1. Entre em LON-DC1 com a conta de Administrador e a senha Pa$$w0rd.
2. No console Gerenciador de Servidores, clique em Painel e depois em Criar um grupo de servidores.
3. Clique na guia Active Directory e em Localizar Agora.
4. Na caixa Nome do grupo de servidores, digite LAB-1.
5. Adicione LON-CORE e LON-SVR3 ao grupo de servidores.
6. Clique em LAB-1. Selecione LON-CORE e LON-SVR3.
7. Role para baixo e, na seo Desempenho, selecione LON-CORE e LON-SVR3.
8. Clique com o boto direito do mouse em LON-CORE e clique em Iniciar Contadores
de Desempenho.
Tarefa 2: Implantar recursos e funes em ambos os servidores
1. No Gerenciador de Servidores em LON-DC1, clique no grupo de servidores LAB-1, clique
com o boto direito do mouse em LON-CORE e clique em Adicionar Funes e Recursos.
2. No Assistente de Adio de Funes e Recursos, clique em Prximo, em Instalao baseada
em funo ou recurso e em Prximo.
3. Verifique se a opo LON-CORE.Adatum.com est selecionada e clique em Prximo.
4. Selecione a funo de servidor Servidor Web (IIS).
5. Selecione o recurso Windows Server Backup.
6. Adicione o servio de funo Window Authentication e clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-49
7. Marque a caixa de seleo Reiniciar cada servidor de destino automaticamente, se necessrio
e clique em Instalar.
8. Clique em Fechar.
9. Clique com o boto direito do mouse em LON-SVR3, clique em Adicionar Funes e Recursos
e clique em Prximo.
10. No Assistente de Adio de Funes e Recursos, clique em Instalao baseada em funo
ou recurso e depois em Prximo.
11. Verifique se a opo LON-SVR3.Adatum.com est selecionada e clique em Prximo duas vezes.
12. Clique em Windows Server Backup e depois em Prximo.
13. Marque a caixa de seleo Reiniciar cada servidor de destino automaticamente, se necessrio,
clique em Instalar e depois em Fechar.
14. No Gerenciador de Servidores, clique no n IIS e verifique se LON-CORE est listado.
Tarefa 3: Rever os servios e alterar uma configurao de servio
1. Entre em LON-CORE com a conta ADATUM\Administrador e a senha Pa$$w0rd.
2. Na janela do prompt de comando, digite o seguinte comando:
netsh.exe firewall set service remoteadmin enable ALL
3. Entre no servidor LON-DC1 com a conta ADATUM\Administrador.
4. No Gerenciador de Servidores, clique em LAB-1, clique com o boto direito do mouse
em LON-CORE e clique em Gerenciamento do Computador.
5. Expanda Servios e aplicativos e clique em Servios.
6. Verifique se o Tipo de inicializao do servio de World Wide Web Publishing Service
est definido como Automtico.
7. Verifique se o servio est configurado para usar a conta de Sistema Local.
8. Defina as seguintes configuraes de recuperao de servio:
o Primeira falha: Reiniciar o servio
o Segunda falha: Reiniciar o servio
o Falhas subsequentes: Reiniciar o Computador.
o Zerar a contagem de falhas aps: 1 dias
o Reiniciar o servio aps: 1 minuto
9. Configure a opo Reinicializar Computador como 2 minutos e feche a caixa de dilogo
Propriedades do Servio.
10. Feche o console Gerenciamento do computador.

Resultados: Ao concluir o exerccio, voc ter criado um grupo de servidores, implantado funes
e recursos e configurado as propriedades de um servio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 4: Como usar o Windows PowerShell para gerenciar servidores
Cenrio
O fornecedor do aplicativo de marketing indicou que pode fornecer alguns scripts
do Windows PowerShell para configurar o servidor Web que hospeda esse aplicativo.
necessrio verificar se a administrao est funcional antes de executar os scripts.
1. Usar o Windows PowerShell
para conectar-se remotamente a servidores e visualizar informaes

2. Usar o Windows PowerShell para instalar novos recursos remotamente
3. Para se preparar para o prximo mdulo
Tarefa 1: Usar o Windows PowerShell
para conectar-se remotamente a servidores

e visualizar informaes
1. Entre em LON-DC1 com a conta ADATUM\Administrador e a senha Pa$$w0rd.
2. Em LON-DC1, no Gerenciador de Servidores, clique no grupo de servidores LAB-1.
3. Clique com o boto direito do mouse em LON-CORE e clique em Windows PowerShell.
4. Digite Import-Module ServerManager.
5. Digite Get-WindowsFeature e examine as funes e os recursos.
6. Use o comando a seguir para examinar os servios em execuo em LON-CORE:
Get-service | where-object {$_.status -eq Running}
7. Digite get-process para visualizar uma lista de processos em LON-CORE.
8. Examine os endereos IP atribudos ao servidor digitando o seguinte comando:
Get-NetIPAddress | Format-table
9. Examine os 10 itens mais recentes no log de segurana, digitando o seguinte comando:
Get-EventLog Security -Newest 10
10. Feche o Windows PowerShell.
Tarefa 2: Usar o Windows PowerShell para instalar novos recursos remotamente
1. Na barra de tarefas de LON-DC1, clique no cone do Windows PowerShell.
2. Digite import-module ServerManager.
3. Digite o comando a seguir para verificar se o recurso Visualizador XPS no foi instalado
em LON-SVR3
Get-WindowsFeature -ComputerName LON-SVR3
4. Para implantar o recurso Visualizador XPS em LON-SVR3, digite o seguinte comando e pressione
Enter:
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 1-51
5. Digite o comando a seguir para verificar se o recurso Visualizador XPS est agora implantado
em LON-SVR3:
6. No console Gerenciador de Servidores, no menu suspenso Ferramentas, clique em
Windows PowerShell ISE.
7. No painel do script Untitled1.ps1, digite o seguinte:
Import-Module ServerManager
Install-WindowsFeature WINS -ComputerName LON-SVR3
Install-WindowsFeature WINS -ComputerName LON-CORE
8. Salve o script como InstallWins.ps1 em uma nova pasta denominada Scripts.
9. Pressione a tecla F5 para executar InstallWins.ps1.

Resultados: Ao concluir o exerccio, voc ter usado o Windows PowerShell para realizar uma instalao
remota de recursos em vrios servidores.
Para se preparar para o prximo mdulo
Quando tiver concludo o laboratrio, retorne as mquinas virtuais para o estado inicial. Para fazer isso,
execute estas etapas:
1. No computador host, mude para o console Gerenciador do Hyper-V.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1
e clique em Reverter.
3. Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-CORE e 24410B-LON-SVR3.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Reviso e informaes complementares do mdulo
Perguntas de reviso
Pergunta: Qual o benefcio de usar o Windows PowerShell para automatizar tarefas
comuns?
Pergunta: Quais so as vantagens de realizar uma implantao Server Core em comparao
com a implantao de GUI completa?
Pergunta: Que ferramenta voc pode usar para determinar quais cmdlets esto contidos
em um mdulo do Windows PowerShell?
Pergunta: Que funo voc pode usar para gerenciar o KMS?
Problemas comuns e dicas de soluo de problemas
Problema comum Dica para a soluo de problemas
Falha nas conexes com o WinRM.

Cmdlets do Windows PowerShell no disponveis.

No possvel instalar os recursos de GUI
em implantaes Server Core.

No possvel reiniciar um computador
que executa o Server Core.

No possvel ingressar no domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2-1
Mdulo 2
Introduo aos Servios de Domnio do Active Directory
Contedo:
Lio 1: Viso geral do AD DS 2-2
Lio 2: Viso geral de controladores de domnio 2-9
Lio 3: Instalao de um controlador de domnio 2-15
Laboratrio: Instalao de controladores de domnio 2-21

Viso geral do mdulo
O AD DS (Servios de Domnio do Active Directory
) e seus servios relacionados formam a base para

as redes corporativas que executam sistemas operacionais Windows
. O banco de dados do AD DS
o repositrio central de todos os objetos do domnio, como contas de usurio, contas de computador
e grupos. O AD DS oferece um diretrio hierrquico pesquisvel, alm de um mtodo de aplicao de
parmetros de configurao e segurana para objetos da empresa. Este mdulo aborda a estrutura do
AD DS e seus diversos componentes, como a floresta, o domnio e as UOs (unidades organizacionais).
O processo de instalao do AD DS em um servidor aprimorado e aperfeioado com o
Windows Server

2012. Este mdulo examina algumas das opes que esto disponveis
com o Windows Server 2012 para instalar o AD DS em um servidor.
Objetivos
Descrever a estrutura do AD DS.
Descrever a finalidade dos controladores de domnio.
Explicar como instalar um controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2-2 Introduo aos Servios de Domnio do Active Directory
Lio 1
Viso geral do AD DS
O banco de dados do AD DS armazena informaes sobre identidade de usurio, computadores, grupos,
servios e recursos. Os controladores de domnio do AD DS tambm hospedam o servio que autentica
contas de usurio e computador quando eles fazem logon no domnio. Como o AD DS armazena
informaes sobre todos os objetos do domnio, e todos os usurios e computadores devem se conectar
a controladores de domnio do AD DS ao entrar na rede, o AD DS o principal meio pelo qual voc
pode configurar e gerenciar contas de usurio e computador em sua rede.
Esta lio aborda os componentes lgicos bsicos que formam uma implantao do AD DS.
Objetivos da lio
Descrever os componentes do AD DS.
Descrever domnios do AD DS.
Descrever UOs e sua finalidade.
Descrever florestas e rvores do AD DS, e explicar como implant-las em uma rede.
Explicar como um esquema do AD DS fornece um conjunto de regras que gerenciam os objetos
e atributos armazenados no banco de dados de domnio do AD DS.
Viso geral do AD DS
O AD DS composto de componentes fsicos e
lgicos. Voc precisa entender a maneira como os
componentes do AD DS funcionam em conjunto,
para que possa gerenciar sua rede com eficincia
e controlar quais recursos seus usurios podem
acessar. Alm disso, voc pode usar muitas
outras opes do AD DS, inclusive a instalao
e configurao de softwares e atualizaes, o
gerenciamento da infraestrutura de segurana,
a habilitao de Acesso Remoto e DirectAccess,
e a manipulao de certificados.
Um dos recursos do AD DS a Poltica de Grupo,
que permite a configurao de polticas centralizadas que voc poder usar para gerenciar a maioria dos
objetos no AD DS. importante entender os vrios componentes do AD DS para usar a Poltica de Grupo
com xito.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-3
Componentes fsicos
As informaes do AD DS so armazenadas em um nico arquivo no disco rgido de cada controlador
de domnio. A tabela a seguir lista alguns dos componentes fsicos e onde eles esto armazenados.
Componente fsico Descrio
Controladores de domnio Contm cpias do banco de dados do AD DS.
Repositrio de dados O arquivo em cada controlador de domnio que armazena as
informaes do AD DS.
Servidores de catlogo
global
Hospedam o catlogo global, que uma cpia parcial e somente
leitura de todos os objetos da floresta. Um catlogo global acelera
as pesquisas por objetos que possam estar armazenados em
controladores de um domnio diferente da floresta.
RODC (controladores de
domnio somente leitura)
Uma instalao especial do AD DS em um formato somente leitura.
Em geral, so usados em filiais nas quais a segurana e o suporte de TI
so menos avanados do que nas matrizes.
Componentes lgicos
Os componentes lgicos do AD DS so estruturas que voc usa para implementar um design do
Active Directory que seja apropriado para uma organizao. A tabela a seguir descreve alguns
dos tipos de estruturas lgicas que um banco de dados do Active Directory pode conter.
Componente lgico Descrio
Partio Uma seo do banco de dados do AD DS. Embora o banco de dados
seja um arquivo denominado NTDS.DIT, ele exibido, gerenciado e
replicado como se consistisse de sees ou instncias distintas. Essas
so chamadas de parties, que tambm so conhecidas como
contextos de nomenclatura.
Esquema Define a lista de tipos e atributos que todos os objetos do AD DS
podem ter.
Domnio Um limite administrativo lgico para usurios e computadores.
rvore de domnio Uma coleo de domnios que compartilham um domnio raiz comum
e um namespace DNS (Sistema de Nomes de Domnio).
Floresta Uma coleo de domnios que compartilham um AD DS comum.
Site Uma coleo de usurios, grupos e computadores conforme definidos
por suas localizaes fsicas. Os sites so teis no planejamento de
tarefas administrativas, como a replicao de alteraes no banco
de dados do AD DS.
UO As UOs so contineres do AD DS que oferecem uma estrutura
para delegar direitos administrativos e para vincular GPOs (Objetos
de Poltica de Grupo).
Leitura adicional: Para obter mais informaes sobre domnios e florestas, consulte a
Referncia tcnica sobre domnios e florestas em http://go.microsoft.com/fwlink/?LinkId=104447.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O que so domnios do AD DS?
Um domnio do AD DS um agrupamento
lgico de objetos de usurio, computador
e grupo para fins de gerenciamento e segurana.
Todos esses objetos so armazenados no banco
de dados do AD DS, e uma cpia desse banco
de dados armazenada em cada controlador de
domnio no domnio do AD DS.
H vrios tipos de objetos que podem ser
armazenados no banco de dados do AD DS,
inclusive contas de usurio. As contas de usurio
oferecem um mecanismo que voc pode usar
para autenticar e, em seguida, autorizar os
usurios a acessar recursos na rede. Cada computador includo no domnio deve ter uma conta no AD DS.
Isso permite que os administradores de domnios usem polticas que so definidas no domnio para
gerenciar os computadores. O domnio tambm armazena grupos, que so o mecanismo para agrupar
objetos por razes administrativas ou de segurana por exemplo, contas de usurio e de computador.
O domnio do AD DS tambm um limite de replicao. Quando so feitas alteraes em qualquer
objeto no domnio, essa alterao automaticamente replicada em todos os outros controladores
de domnio desse domnio.
Um domnio do AD DS um centro administrativo. Ele contm uma conta Administrador e um grupo
Admins. do Domnio, que tm ambos controle total sobre cada objeto no domnio. Porm, a menos
que estejam no domnio raiz da floresta, sua faixa de controle limitada ao domnio. As regras de senha
e conta so gerenciadas no nvel do domnio por padro. O domnio do AD DS fornece um centro de
autenticao. Todas as contas de usurio e de computador no domnio so armazenadas no banco
de dados do domnio, e os usurios e computadores devem se conectar a um controlador de domnio
para autenticao.
Um nico domnio pode conter mais de 1 milho de objetos, portanto a maioria das organizaes precisa
implantar apenas um nico domnio. As organizaes que descentralizaram as estruturas administrativas,
ou que esto distribudas em vrios locais, podem implementar vrios domnios na mesma floresta

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-5
O que so UOs?
Uma unidade organizacional (UO) um objeto
continer dentro de um domnio que voc
pode usar para consolidar usurios, grupos,
computadores e outros objetos. H dois
motivos para voc criar UOs:
Para configurar objetos contidos na UO.
Voc pode atribuir GPOs UO, e as
configuraes so aplicadas a todos os
objetos contidos na UO. GPOs so polticas
que os administradores criam para gerenciar
e configurar contas de computador e
de usurio. A maneira mais comum de
implantar essas polticas vincul-las a UOs.
Para delegar o controle administrativo de objetos dentro da UO. Voc pode atribuir permisses
de gerenciamento em uma UO, dessa forma delegando o controle dessa UO a um usurio
ou grupo no AD DS que no seja o administrador.
possvel usar UOs para representar estruturas hierrquicas lgicas dentro de sua organizao.
Por exemplo, voc pode criar UOs que representem os departamentos de sua organizao, as
regies geogrficas da organizao ou uma combinao de regies departamentais e geogrficas.
As UOs podem ser usadas para gerenciar a configurao e o uso de contas de usurio, grupo
e computador com base em seu modelo organizacional.
Cada domnio do AD DS contm um conjunto padro de contineres e UOs que so criados quando
voc instala o AD DS, incluindo o seguinte:
Continer de domnio. Serve como o continer raiz da hierarquia.
Continer interno. Armazena uma srie de grupos padro.
Continer de usurios. O local padro para as novas contas de usurio e os grupos que voc cria
no domnio. O continer de usurios tambm contm as contas de administrador e convidado
para o domnio, alm de alguns grupos padro.
Continer de computadores. O local padro para as novas contas de computador que voc cria
no domnio.
UO de controladores de domnio. O local padro para as contas de computador de controladores
de domnio. Essa a nica UO que est presente em uma nova instalao do AD DS.
Observao: Nenhum dos contineres padro no domnio do AD DS podem ter GPOs
vinculados a eles, exceto a UO de controladores de domnio e o prprio domnio. Todos
os outros contineres so apenas pastas. Para vincular GPOs a fim de aplicar configuraes
e restries, crie uma hierarquia de UOs e, em seguida, vincule GPOs a elas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Design da hierarquia
O design de uma hierarquia de UOs estabelecido pelas necessidades administrativas da organizao.
O design poder ser baseado em classificaes geogrficas, funcionais, de recursos ou de usurios. Seja
qual for a ordem, a hierarquia deve tornar possvel administrar recursos do AD DS com o mximo de
eficincia e flexibilidade possvel. Por exemplo, se todos os computadores que os administradores de TI
usam devem ser configurados de uma determinada forma, voc pode agrupar todos os computadores
em uma UO e designar um GPO para gerenciar seus computadores. Para simplificar a administrao,
voc tambm pode criar UOs dentro de outras UOs.
Por exemplo, sua organizao pode ter vrios escritrios, e cada um deles pode ter um conjunto
de administradores responsveis por gerenciar contas de usurio e computador em seus escritrios.
Alm disso, cada escritrio pode ter diferentes departamentos com requisitos distintos de configurao
de computadores. Nesse caso, voc poderia criar uma UO para o escritrio que usado para delegar a
administrao e, em seguida, criar uma UO do departamento dentro da UO do escritrio para atribuir
configuraes de rea de trabalho.
Embora no haja um limite tcnico para o nmero de nveis de sua estrutura de UO, para fins de
capacidade de gerenciamento, limite sua estrutura a uma profundidade de, no mximo, 10 nveis.
A maioria das organizaes usa cinco nveis ou menos para simplificar a administrao. Observe que
os aplicativos habilitados para o Active Directory podem ter restries na profundidade de UO dentro
da hierarquia. Esses aplicativos tambm podem ter restries no nmero de caracteres que podem
ser usados no nome distinto, que o caminho LDAP completo do objeto no diretrio.
O que uma floresta do AD DS?
Uma floresta uma coleo de uma ou mais
rvores de domnio. Uma rvore uma coleo
de um ou mais domnios. O primeiro domnio
que criado na floresta chamado de domnio
raiz da floresta. O domnio raiz da floresta
contm alguns objetos que no existem em
outros domnios da floresta. Por exemplo, o
domnio raiz da floresta contm duas funes
especiais de controlador de domnio, o mestre de
esquema e o mestre de nomeao de domnios.
Alm disso, o grupo Administradores de Empresa
e o grupo Administradores de Esquema existem
apenas no domnio raiz da floresta. O grupo Administradores de Empresa tem controle total sobre
cada domnio da floresta.
A floresta do AD DS um limite de segurana. Isso significa que, por padro, nenhum usurio de fora
da floresta pode acessar recursos dentro da floresta. Significa tambm que os administradores de fora
da floresta no tm acesso administrativo dentro da floresta. Um dos principais motivos pelos quais as
organizaes implantam vrias florestas porque elas precisam isolar permisses administrativas entre
partes diferentes da organizao.
A floresta do AD DS tambm o limite de replicao para as parties de configurao e esquema
no banco de dados do AD DS. Isso significa que todos os controladores de domnio da floresta devem
compartilhar o mesmo esquema. Um segundo motivo pelo qual as organizaes implantam vrias
florestas porque elas devem implantar esquemas incompatveis em duas partes da organizao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-7
A floresta do AD DS tambm o limite de replicao do catlogo global. Isso facilita a maioria das
formas de colaborao entre os usurios de domnios diferentes. Por exemplo, todos os destinatrios
do Microsoft

Exchange Server 2010 so listados no catlogo global, tornando fcil enviar email para
qualquer um dos usurios da floresta, at aqueles de domnios diferentes.
Por padro, todos os domnios de uma floresta confiam automaticamente nos outros domnios da
floresta. Isso torna fcil habilitar o acesso a recursos como compartilhamentos de arquivos e sites
para todos os usurios de uma floresta, independentemente do domnio em que a conta de usurio
est localizada.
O que o esquema do AD DS?
O esquema do AD DS o componente do AD DS
que define todos os tipos e atributos de objetos
que o AD DS usa para armazenar dados. Ele
s vezes chamado de plano grfico do AD DS.
O AD DS armazena e recupera informaes de
uma ampla variedade de aplicativos e servios.
O AD DS padroniza a forma como os dados so
armazenados no diretrio do AD DS, para que ele
possa armazenar e replicar dados dessas diversas
fontes. Ao padronizar a forma como os dados so
armazenados, o AD DS pode recuperar, atualizar
e replicar dados, garantindo ao mesmo tempo
que a integridade dos dados seja mantida.
Alm disso, o AD DS usa objetos como unidades de armazenamento. Todos os tipos de objetos so
definidos no esquema. Sempre que o diretrio manipula dados, ele consulta o esquema a respeito de
uma definio de objeto apropriada. Com base na definio de objeto do esquema, o diretrio cria
o objeto e armazena os dados.
As definies de objetos controlam ambos os tipos de dados que os objetos podem armazenar e
a sintaxe dos dados. Usando essas informaes, o esquema garante que todos os objetos estejam de
acordo com suas definies padro. Com isso, o AD DS pode armazenar, recuperar e validar os dados que
gerencia, independentemente do aplicativo que a fonte original dos dados. Somente os dados que tm
uma definio de objeto existente no esquema podem ser armazenados no diretrio. Se um novo tipo de
dados precisar ser armazenado, primeiro dever ser criada uma nova definio de objeto para os dados
no esquema.
No AD DS, o esquema define o seguinte:
Os objetos que so usados para armazenar dados no diretrio
As regras que definem que tipos de objetos voc pode criar, que atributos devem ser definidos
(obrigatrios) quando voc cria o objeto e que atributos so opcionais
A estrutura e o contedo do prprio diretrio
Voc pode usar uma conta que seja membro dos Administradores de Esquema para modificar os
componentes do esquema em um formato grfico. Exemplos de objetos que so definidos no esquema
incluem usurio, computador, grupo e site. Entre os muitos atributos esto location, accountExpires,
buildingName, company, manager e displayName.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O mestre de esquema um dos controladores de domnio de operaes de mestre nico no AD DS.
Como um mestre nico, voc deve fazer alteraes no esquema visando ao controlador de domnio
que tem a funo de mestre de operaes de esquema.
O esquema replicado entre todos os controladores de domnio da floresta. Qualquer alterao feita no
esquema replicada em cada controlador de domnio da floresta do proprietrio da funo de mestre
de operaes de esquema, geralmente o primeiro controlador de domnio da floresta.
Como o esquema estabelece o modo como as informaes so armazenadas, e quaisquer alteraes que
so feitas no esquema afetam cada controlador de domnio, as alteraes no esquema devem ser feitas
somente quando necessrio. Antes de fazer qualquer alterao, voc deve revisar as alteraes usando
um processo rigorosamente controlado, e implement-las somente depois de executar testes que
assegurem que as alteraes no afetaro o restante da floresta e quaisquer aplicativos que usem
o AD DS de maneira adversa.
Embora voc talvez no faa alteraes no esquema diretamente, alguns aplicativos alteram o esquema
para dar suporte a recursos adicionais. Por exemplo, quando voc instala o Exchange Server 2010 em
sua floresta do AD DS, o programa de instalao estende o esquema para dar suporte a novos tipos
e atributos de objetos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-9
Lio 2
Viso geral de controladores de domnio
Como os controladores de domnio autenticam todos os usurios e computadores no domnio,
a implantao de controlador de domnio essencial para o funcionamento correto da rede.
Esta lio examina os controladores de domnio, o processo de logon e a importncia do DNS nesse
processo. Alm disso, esta lio discute a finalidade do catlogo global.
Todos os controladores de domnio so basicamente iguais, com duas excees. Os RODCs contm uma
cpia somente leitura do banco de dados do AD DS, enquanto outros controladores de domnio tm
uma cpia de leitura/gravao. Tambm h determinadas operaes que podem ser executadas apenas
em controladores de domnio especficos chamados mestres de operaes, que so discutidos no final
desta lio.
Objetivos da lio
Descrever a finalidade dos controladores de domnio.
Descrever a finalidade do catlogo global.
Descrever o processo de logon do AD DS, e a importncia dos registros DNS e SRV no processo
de logon.
Descrever a funcionalidade dos registros SRV.
Explicar as funes de mestres de operaes.
O que um controlador de domnio?
Um controlador de domnio um servidor
configurado para armazenar uma cpia
do banco de dados de diretrios do AD DS
(NTDS.DIT) e uma cpia da pasta SYSVOL. Todos
os controladores de domnio, exceto os RODCs,
armazenam uma cpia de leitura/gravao do
NTDS.DIT e da pasta SYSVOL. O NTDS.DIT
o prprio banco de dados, e a pasta SYSVOL
contm todas as configuraes de modelo
para GPOs.
As alteraes no banco de dados do AD DS
podem ser iniciadas em qualquer controlador
de um domnio, exceto os RODCs. Em seguida, o servio de replicao do AD DS sincroniza todas as
alteraes e atualizaes do banco de dados do AD DS com todos os outros controladores de domnio no
domnio. As pastas SYSVOL so replicadas pelo FRS (servio de replicao de arquivos) ou pela replicao
DFS (sistema de arquivos distribudo) mais recente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os controladores de domnio hospedam vrios outros servios relacionados ao Active Directory, inclusive
o servio de autenticao Kerberos, que usado pelas contas Usurio e Computador para a autenticao
de logon, e o KDC (centro de distribuio de chaves). O KDC o servio que emite o TGT (tquete de
concesso de tquete) para uma conta que faz logon no domnio do AD DS. Como opo, voc pode
configurar controladores de domnio para hospedar uma cpia do catlogo global do Active Directory.
Um domnio do AD DS deve sempre ter um mnimo de dois controladores de domnio. Desse modo, se
um dos controladores de domnio falhar, haver um backup para garantir a continuidade dos servios
de domnio do AD DS. Quando voc decidir adicionar mais de dois controladores de domnio, leve em
considerao o tamanho de sua organizao e os requisitos de desempenho.
Observao: Dois controladores de domnio devem ser considerados um mnimo absoluto.
Quando voc implanta um controlador de domnio em uma filial em que a segurana fsica abaixo
da ideal, h algumas medidas adicionais que podem ser usadas para reduzir o impacto de uma violao
de segurana. Uma opo implantar um RODC.
O RODC contm uma cpia somente leitura do banco de dados do AD DS e, por padro, no armazena
em cache nenhuma senha de usurio. Voc pode configurar o RODC para armazenar em cache as
senhas dos usurios da filial. Se um RODC for comprometido, a potencial perda de informaes ser
muito menor do que com um controlador de domnio de leitura/gravao completo. Uma outra opo
usar a Criptografia de Unidade de Disco BitLocker do Windows para criptografar o disco rgido do
controlador de domnio. Se o disco rgido for roubado, a criptografia BitLocker garantir que haja
uma chance muito baixa de um usurio mal-intencionado obter informaes teis dele.
Observao: O BitLocker um sistema de criptografia de unidade de disco que est
disponvel para sistemas operacionais Windows Server e para determinadas verses de sistemas
operacionais cliente do Windows. O BitLocker criptografa com segurana todo o sistema
operacional, para que o computador no possa ser iniciado sem que seja fornecida uma chave
privada e (opcionalmente) uma verificao de integridade. Um disco permanecer criptografado
mesmo se voc o transferir para outro computador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-11
O que o catlogo global?
Dentro de um nico domnio, o banco de dados
do AD DS contm todas as informaes sobre
cada objeto do domnio. Essas informaes no
so replicadas fora do domnio. Por exemplo,
uma consulta de um objeto no AD DS
redirecionada para um dos controladores desse
domnio. Se houver mais de um domnio na
floresta, essa consulta no fornecer nenhum
resultado para objetos de um domnio diferente.
Para habilitar a pesquisa em vrios domnios,
voc pode configurar um ou mais controladores
de domnio para armazenar uma cpia do
catlogo global. O catlogo global um banco de dados distribudo que contm uma representao
pesquisvel de cada objeto de todos os domnios de uma floresta de vrios domnios. Por padro, o nico
servidor de catlogo global que criado o primeiro controlador de domnio no domnio raiz da floresta.
O catlogo global no contm todos os atributos de cada objeto. Em vez disso, ele mantm o
subconjunto de atributos que provavelmente sero os mais teis em pesquisas entre domnios. Esses
atributos podem incluir firstname, displayname e location. H diversas razes pelas quais voc pode
executar uma pesquisa em um catlogo global, em vez de em um controlador de domnio que no
um catlogo global. Por exemplo, quando um servidor Exchange recebe um email, ele precisa procurar a
conta do destinatrio para poder decidir como encaminhar a mensagem. Ao consultar automaticamente
um catlogo global, o servidor Exchange capaz de localizar o destinatrio em um ambiente de vrios
domnios. Quando um usurio faz logon em sua conta do Active Directory, o controlador de domnio que
est executando a autenticao devem contatar um catlogo global para procurar associaes ao grupo
universal antes de o usurio ser autenticado.
Em um nico domnio, todos os controladores de domnio devem ser configurados como proprietrios do
catlogo global; entretanto, em um ambiente de vrios domnios, o mestre de infraestrutura no deve ser
um servidor de catlogo global. A deciso sobre quais controladores de domnio sero configurados para
conter uma cpia do catlogo global depende do trfego de replicao e da largura de banda da rede.
Muitas organizaes esto optando por tornar cada controlador de domnio um servidor de catlogo
global.
Pergunta: Um controlador de domnio deveria ser um catlogo global?
O processo de logon do AD DS
Quando voc faz logon no AD DS, seu sistema
examina o DNS procura de registros de recurso
de servios (SRV) para localizar o controlador de
domnio adequado mais prximo. Registros SRV
so registros que especificam informaes sobre
servios disponveis, e so registrados no DNS por
todos os controladores de domnio. Usando
pesquisas de DNS, os clientes podem localizar um
controlador de domnio adequado para atender
s suas solicitaes de logon.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Se o logon for bem-sucedido, a LSA (autoridade de segurana local) cria um token de acesso para o
usurio contendo os SIDs (identificadores de segurana) do usurio e de quaisquer grupos dos quais
o usurio seja membro. O token fornece as credenciais de acesso para qualquer processo iniciado por
esse usurio. Por exemplo, depois de fazer logon no AD DS, um usurio executa o Microsoft Office Word
e tenta abrir um arquivo. O Office Word usa as credenciais no token de acesso do usurio para verificar
o nvel das permisses do usurio para esse arquivo.
Observao: Um SID um nmero exclusivo no formato S-1-5-21-4130086281-
3752200129-271587809-500, onde:
Os primeiros quatro blocos de letras e nmeros (S-1-5-21) representa o tipo de ID
Os prximos trs blocos de nmeros (4130086281-3752200129-271587809) so o nmero do banco
de dados onde a conta est armazenada (normalmente o domnio do AD DS)
A ltima parte (500) a RID (ID relativa), que faz parte do SID que identifica a conta no banco
de dados de forma exclusiva
Cada conta de usurio e de computador e cada grupo que voc cria tem um SID exclusivo. Eles
s diferem uns dos outros por causa da RID exclusiva. Voc pode dizer que esse SID em particular
o SID da conta de administrador porque termina com a RID 500.
Sites
Os sites so usados por um sistema cliente quando ele precisa contatar um controlador de domnio.
Ele comea pesquisando registros SRV no DNS. Em seguida, o sistema cliente tenta conectar-se
a um controlador de domnio no mesmo site antes de tentar em outro lugar.
Os administradores podem definir sites no AD DS. Normalmente, os sites se alinham s partes da rede
que tm conectividade e largura de banda adequadas. Por exemplo, se uma filial estiver conectada ao
data center principal por um link de WAN no confivel, melhor definir o data center e a filial como
sites separados no AD DS.
Os registros SRV so registrados no DNS pelo servio Logon de Rede que executado em cada
controlador de domnio. Se os registros SRV no forem inseridos no DNS corretamente, voc poder
acionar o controlador de domnio para cancelar esses registros reiniciando o servio Logon de Rede
nesse controlador de domnio. Esse processo cancela apenas os registros SRV; se voc desejar cancelar
as informaes do registro de host (A) no DNS, dever executar ipconfig /registerdns a partir de um
prompt de comando, conforme faria para qualquer outro computador.
Embora o processo de logon aparea para o usurio como um evento nico, ele na verdade composto
de duas partes:
O usurio fornece as credenciais, geralmente um nome de conta de usurio e uma senha, que so
ento verificadas no banco de dados do AD DS. Se o nome da conta de usurio e a senha coincidirem
com as informaes que esto armazenadas no banco de dados do AD DS, o usurio se tornar
um usurio autenticado e o controlador de domnio emitir um TGT para ele. Nesse ponto, o usurio
no tem acesso a nenhum recurso da rede.
Um processo secundrio em segundo plano envia o TGT ao controlador de domnio e solicita acesso
ao computador local. O controlador de domnio emite um tquete de servio ao usurio, que ento
capaz de interagir com o computador local. Nesse ponto do processo, o usurio autenticado
no AD DS e faz logon no computador local.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-13
Quando um usurio tenta subsequentemente se conectar a outro computador na rede, o processo
secundrio executado novamente, e o TGT enviado ao controlador de domnio mais prximo.
Quando o controlador de domnio retorna um tquete de servio, o usurio pode acessar o computador
na rede, o que gera um evento de logon nesse computador.
Observao: Um computador includo no domnio tambm faz logon no AD DS quando
iniciado um fato que geralmente ignorado. Voc no v a transao quando o computador
usa o nome de sua conta de computador e uma senha para fazer logon no AD DS. Uma vez
autenticado, o computador se torna um membro do grupo Usurios Autenticados. Embora o
processo de logon do computador no tenha nenhuma confirmao visual na forma de uma GUI,
h eventos no log de eventos que registram a atividade. Alm disso, se a auditoria estiver
habilitada, haver mais eventos visveis no Log de Segurana do Visualizador de Eventos.
Demonstrao: Exibindo os registros SRV no DNS
A demonstrao mostra a voc como exibir os vrios tipos de registros SRV que os controladores de
domnio registram no DNS. Esses registros so cruciais para a operabilidade do AD DS, pois so usados
para localizar controladores de domnio para logons, alteraes de senha e edio de GPOs. Os registros
SRV tambm so usados pelos controladores de domnio para localizar parceiros de replicao.
Exiba os registros SRV usando o Gerenciador DNS
1. Abra a janela do Gerenciador DNS e explore os domnios DNS com sublinhado.
2. Exiba os registros SRV registrados pelos controladores de domnio. Esses registros fornecem
caminhos alternativos para que os clientes possam descobri-los.
O que so mestres de operaes?
Embora todos os controladores de domnio
sejam basicamente iguais, h algumas tarefas
que podem ser executadas apenas com foco
em um controlador de domnio em particular.
Por exemplo, se voc precisar adicionar um
domnio extra floresta, dever ser capaz de se
conectar ao mestre de nomeao de domnios.
Os controladores de domnio que tm essas
funes so:
Mestres de operaes
Funes de mestre nico
FSMOs (operaes de mestre nico flexveis)
Essas funes so distribudas da seguinte forma:
Cada floresta tem um mestre de esquema e um mestre de nomeao de domnios
Cada domnio do AD DS tem um mestre RID, um mestre de infraestrutura e um emulador PDC
(controlador de domnio primrio)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Mestres de operaes de floresta
A seguir esto as funes de mestre nico encontradas em uma floresta:
Mestre de nomeao de domnios. Esse o controlador de domnio que deve ser contatado quando
voc adiciona ou remove um domnio, ou quando voc faz alteraes em nomes de domnios.
Mestre de esquema. Esse o controlador de domnio onde so feitas todas as alteraes de esquema.
Para fazer alteraes, voc normalmente faria logon no mestre de esquema como um membro dos
grupos Administradores de Esquema e Administradores de Empresa. Um usurio que for membro
desses dois grupos e tiver as permisses adequadas tambm poder editar o esquema usando
um script.
Mestres de operaes de domnios
A seguir esto as funes de mestre nico encontradas em um domnio:
Mestre RID. Sempre que um objeto criado no AD DS, o controlador de domnio onde o objeto
criado atribui ao objeto um nmero de identificao exclusivo conhecido como SID. Para assegurar
que dois controladores de domnio no atribuam o mesmo SID a dois objetos diferentes, o mestre
RID aloca blocos de RIDs para cada controlador de domnio dentro do domnio.
Mestre de infraestrutura. Essa funo responsvel por manter referncias de objetos entre domnios,
como, por exemplo, quando um grupo em um domnio contm um membro de outro domnio.
Nesse caso, o mestre de infraestrutura responsvel por manter a integridade dessa referncia. Por
exemplo, quando voc observa a guia de segurana de um objeto, o sistema pesquisa os SIDs que
esto listados e os traduz em nomes. Em uma floresta de vrios domnios, o mestre de infraestrutura
pesquisa SIDs de outros domnios.
A funo de infraestrutura no deve residir em um servidor de catlogo global. A exceo quando
voc segue as prticas recomendadas e torna cada controlador de domnio um catlogo global.
Nesse caso, a funo de infraestrutura desabilitada porque cada controlador de domnio sabe a
respeito de cada objeto da floresta.
Mestre emulador PDC. O controlador de domnio que tem a funo de emulador PDC a fonte
de tempo do domnio. Os controladores de domnio que tm a funo de emulador PDC em cada
domnio de uma floresta sincronizam seu tempo com o controlador de domnio que tem a funo
de emulador PDC no domnio raiz da floresta. Voc define o emulador PDC no domnio raiz da
floresta para sincronizar com uma fonte de tempo atmica externa.
O emulador PDC tambm o controlador de domnio que recebe alteraes de senha urgentes.
Se a senha de um usurio for alterada, as informaes sero enviadas imediatamente ao controlador
de domnio que tem a funo de emulador PDC. Isso significa que, se o usurio subsequentemente
tentasse fazer logon e fosse autenticado por um controlador de domnio em um local diferente que
ainda no tivesse recebido uma atualizao sobre a nova senha, o controlador de domnio do local
no qual o usurio tentou fazer logon contataria o controlador de domnio que tem a funo de
emulador PDC e procuraria as alteraes recentes.
O emulador PDC tambm usado na edio de GPOs. Quando um GPO que no seja um GPO local
aberto para edio, a cpia que editada aquela armazenada no emulador PDC.
Observao: O catlogo global no uma das funes de mestre de operaes.
Pergunta: Por que voc tornaria um controlador de domnio um servidor
de catlogo global?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-15
Lio 3
Instalao de um controlador de domnio
Algumas vezes voc precisa instalar controladores de domnio adicionais em seu sistema operacional
Windows Server 2012. Pode ser que os controladores de domnio existentes estejam sobrecarregados
e voc precise de recursos adicionais. Talvez voc esteja planejando um novo escritrio remoto que
requeira a implantao de um ou mais controladores de domnio. Voc pode estar montando um
laboratrio de teste ou um site de backup. O mtodo de instalao que voc usa varia conforme
as circunstncias.
Esta lio examina vrias maneiras de instalar controladores de domnio adicionais. Ela tambm
demonstra o processo de uso do Gerenciador do Servidor para instalar o AD DS em um computador
local e em um servidor remoto. Ela tambm discute a instalao do AD DS em uma instalao Server Core,
alm da instalao do AD DS em um computador que usa um instantneo do banco de dados do
AD DS que armazenado em mdia removvel. Finalmente, ela examina o processo de atualizao de
um controlador de domnio de um sistema operacional Windows anterior para o Windows Server 2012.
Objetivos da lio
Explicar como instalar um controlador de domnio usando a GUI.
Explicar como instalar um controlador de domnio em uma instalao Server Core
Explicar como atualizar um controlador de domnio usando Instalar da Mdia.
Explicar como instalar um controlador de domnio usando Instalar da Mdia.
Instalando um controlador de domnio do Gerenciador do Servidor
Antes do Windows Server 2012, era uma prtica
comum usar a ferramenta dcpromo.exe para
instalar controladores de domnio. Se voc
tentar executar dcpromo.exe em um servidor
Windows Server 2012, receber a seguinte
mensagem de erro: O Assistente de Instalao
dos Servios de Domnio do Active Directory
foi realocado no Gerenciador do Servidor.
Para obter mais informaes, consulte
http://go.microsoft.com/fwlink/?LinkId=220921.
Observao: A ferramenta dcpromo.exe
uma ferramenta que voc executa em um servidor para torn-lo um controlador de domnio do
AD DS. At o Windows Server 2012, a ferramenta dcpromo.exe era o mtodo preferencial para
instalar o AD DS, e normalmente era executada em modo de GUI. No Windows Server 2012, essa
ferramenta foi substituda pelo Gerenciador do Servidor. A dcpromo.exe ainda est disponvel,
mas s pode ser usada para instalaes autnomas da interface de linha de comando.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ao executar o Gerenciador do Servidor, voc pode escolher se a operao executada no computador
local, em um computador remoto ou por membros de um pool de servidores. Em seguida, voc adiciona
a funo AD DS. Ao trmino do processo de instalao inicial, os binrios do AD DS so instalados, mas
o AD DS ainda no est configurado no servidor. Uma mensagem nesse sentido exibida no Gerenciador
do Servidor.
Voc pode selecionar o link para Promover este servidor a um controlador de domnio e, em seguida,
o Assistente de Configurao dos Servios de Domnio do Active Directory executado. Voc poder
ento fornecer as informaes listadas na tabela a seguir sobre a estrutura proposta.
Informaes necessrias Descrio
Adicionar um controlador de domnio
a um domnio existente
Escolha se deseja adicionar um controlador
de domnio extra a um domnio.
Adicionar um novo controlador de domnio
a uma floresta existente
Crie um novo domnio na floresta.
Adicionar uma nova floresta Crie uma nova floresta.
Especificar as informaes de domnio
para esta operao
Fornea informaes sobre o domnio existente ao
qual o novo controlador de domnio se conectar.
Fornecer as credenciais para executar
esta operao
Insira o nome de uma conta de usurio que tenha
os direitos para executar esta operao.
Algumas informaes adicionais que voc precisa ter antes de executar a promoo de controlador
de domnio so listadas na tabela a seguir.
Informaes necessrias Descrio
Nome DNS para o domnio do AD DS Por exemplo, adatum.com
Nome NetBIOS para o domnio do AD DS Por exemplo, adatum
Se a nova floresta precisa dar suporte
a controladores de domnio que
executam verses anteriores de sistemas
operacionais Windows (afeta a escolha
do nvel funcional)
Por exemplo, se voc estiver considerando implantar
controladores de domnio do Windows Server 2008
R2, dever selecionar o domnio Windows Server 2008
R2 e o nvel funcional da floresta.
Se o controlador de domnio tambm ser
um servidor DNS
Seu DNS deve estar funcionando bem para dar
suporte ao AD DS.
Local para armazenar os arquivos de banco
de dados, por exemplo, NTDS.DIT, edb.log
ou edb.chk.
Por padro, esses arquivos sero armazenados
em C:\Windows\NTDS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-17
O Assistente de Configurao dos Servios de Domnio do Active Directory continua por vrias pginas
diferentes, onde voc poder inserir pr-requisitos como o nome de domnio NetBIOS, a configurao
DNS, se o controlador de domnio dever ser um servidor de catlogo global e a senha do Modo
de Restaurao dos Servios de Diretrio. Finalmente, voc deve reiniciar para concluir a instalao.
Observao: Se voc precisar restaurar o banco de dados do AD DS de um backup,
reinicie o controlador de domnio no Modo de Restaurao dos Servios de Diretrio. Quando
o controlador de domnio iniciado, ele no est executando os servios do AD DS; em vez disso,
est sendo executado como um servidor membro do domnio. Para fazer logon nesse servidor na
ausncia do AD DS, entre usando uma senha do Modo de Recuperao dos Servios de Diretrio.
Instalando um controlador de domnio em uma instalao Server Core
Configurar um servidor do Windows Server 2012
que est executando o Server Core como um
controlador de domnio mais difcil porque voc
no pode executar o Assistente de Configurao
dos Servios de Domnio do Active Directory
no servidor. Para instalar os binrios do AD DS
no servidor, voc pode usar o Gerenciador
do Servidor para se conectar remotamente
ao servidor Server Core. Voc tambm pode
usar o comando do Windows PowerShell
Install-Windowsfeature -name AD-Domain-
Services para instalar os binrios.
Depois de instalar os binrios do AD DS, voc poder concluir a instalao e a configurao
de uma destas quatro maneiras:
No Gerenciador do Servidor, clique no cone de notificao para concluir a configurao
ps-implantao. Isso inicia a configurao e a instalao do controlador de domnio.
Execute o comando do Windows PowerShell Install-ADDSDomainController domainname
Adatum.com, com outros argumentos conforme necessrio.
Crie um arquivo de resposta e execute dcpromo /unattend:"D:\answerfile.txt" em um prompt
de comando, onde D:\answerfile.txt o caminho do arquivo de resposta.
Execute dcpromo /unattend em um prompt de comando com as opes apropriadas, por exemplo:
dcpromo /unattend /InstallDns:yes /confirmglobal catalog:yes /replicaOrNewDomain:replica
/replicadomaindnsname:"mynewdomain.com" /databasePath:"c:\ntds" /logPath:"c:\ntdslogs"
/sysvolpath:"c:\sysvol" /safeModeAdminPassword:Pa$$w0rd /rebootOnCompletion:yes

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Atualizando um controlador de domnio
Voc pode atualizar de dois modos para um
controlador de domnio do Windows Server 2012.
Voc pode atualizar o sistema operacional
em controladores de domnio existentes que
estejam executando o Windows Server 2008
ou o Windows Server 2008 R2. Como
alternativa, voc pode introduzir servidores
do Windows Server 2012 como controladores
de domnio em um domnio que contm
controladores que executam verses anteriores
do Windows Server. Dos dois, o segundo o
mtodo preferencial porque, ao terminar, voc
ter uma instalao limpa no servidor do sistema operacional Windows Server 2012 e do banco de dados
do AD DS.
Atualizao para o Windows Server 2012
Para atualizar um domnio do AD DS que est sendo executado em um nvel funcional
do Windows Server mais antigo para um domnio do AD DS executado no nvel funcional do
Windows Server 2012, voc deve primeiro atualizar todos os controladores de domnio para
o sistema operacional Windows Server 2012. Para isso, atualize todos os controladores de
domnio existentes para o Windows Server 2012, ou introduza novos controladores de domnio que
executem o Windows Server 2012 e, em seguida, desative os controladores de domnio existentes.
Para executar uma atualizao in-loco de um computador que tem a funo AD DS instalada, voc deve
usar primeiro os comandos de linha de comando Adprep.exe /forestprep e Adprep.exe /domainprep
para preparar a floresta e o domnio. Uma atualizao de sistema operacional in-loco no executa a
preparao automtica de esquema e domnio. O Adprep.exe est includo na mdia de instalao
na pasta \Support\Adprep. No h nenhuma etapa de configurao adicional aps esse ponto,
e voc pode continuar a executar a atualizao do sistema operacional Windows Server 2012.
Quando voc promover um servidor do Windows Server 2012 para ser um controlador de domnio
em um domnio existente, e se voc estiver conectado como um membro dos grupos Administradores
de Esquema e Administradores de Empresa, o esquema AD DS ser atualizado automaticamente para
o Windows Server 2012. Nesse cenrio, voc no precisa executar os comandos do Adprep.exe antes
de iniciar a instalao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-19
Implantao de controladores de domnio do Windows Server 2012
Para atualizar o sistema operacional de um controlador de domnio do Windows Server 2008
para o Windows Server 2012, execute as seguintes etapas:
1. Insira o disco de instalao do Windows Server 2012 e execute Setup.
2. Aps a pgina de seleo de idioma, clique em Instalar agora.
3. Aps a janela de seleo de sistema operacional e a pgina de aceitao da licena, na janela Que
tipo de instalao voc quer?, clique em Atualizao: Instalar o Windows e manter arquivos,
configuraes e aplicativos.
Observao: Com esse tipo de atualizao, no h nenhuma necessidade de preservar
as configuraes dos usurios e reinstalar aplicativos; tudo atualizado no local. Lembre-se
de verificar a compatibilidade de hardware e software antes de executar uma atualizao.
Para introduzir uma instalao limpa do Windows Server 2012 como um controlador de domnio,
execute as seguintes etapas:
1. Implante e configure uma nova instalao do Windows Server 2012 e inclua-a no domnio.
2. Promova o novo servidor para ser um controlador de domnio usando o Gerenciador
do Servidor 2012 ou um dos outros mtodos descritos anteriormente.
Observao: Voc pode atualizar diretamente do Windows Server 2008
e do Windows Server 2008 R2 para o Windows Server 2012.
Instalao de um controlador de domnio usando Instalar da Mdia
Se voc tiver uma rede intermediria que seja
lenta, no confivel ou dispendiosa, poder
achar necessrio adicionar outro controlador
de domnio em um local remoto ou uma filial.
Nesse cenrio, geralmente melhor implantar
o AD DS em um servidor usando o mtodo
Instalar da Mdia (IFM).
Por exemplo, se voc se conectar a um servidor
em um escritrio remoto e usar o Gerenciador do
Servidor para instalar o banco de dados do AD DS,
precisar copiar o banco de dados do AD DS
inteiro e a pasta SYSVOL para o novo controlador
de domnio. Esse processo deve ocorrer em uma conexo WAN potencialmente no confivel. Como
alternativa, e para reduzir significativamente a quantidade de trfego copiada em um link WAN, voc
pode fazer um backup do AD DS usando a ferramenta Ntdsutil. Quando voc executar o Gerenciador
do Servidor para instalar o AD DS, poder selecionar a opo para Instalar da Mdia. A maior parte da
cpia feita localmente (talvez de uma unidade USB), e o link WAN usado somente para trfego de
segurana e para assegurar que o novo controlador de domnio receba quaisquer alteraes feitas depois
que voc criar o backup de IFM.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Para instalar um controlador de domnio usando IFM, navegue at um controlador de domnio que
no seja um RODC. Use a ferramenta Ntdsutil para criar um instantneo do banco de dados do AD DS e
depois copie o instantneo no servidor que ser promovido a controlador de domnio. Use o Gerenciador
do Servidor para promover o servidor a controlador de domnio selecionando a opo Instalar da Mdia
e, em seguida, fornecendo o caminho local do diretrio IFM que voc criou anteriormente.
O procedimento completo o seguinte:
1. No controlador de domnio completo, em um prompt de comando administrativo, digite os seguintes
comandos (onde C:\IFM o diretrio de destino que conter o instantneo do banco de dados do
AD DS) e pressione Enter depois de cada linha:
Ntdsutil
activate instance ntds
ifm
create SYSVOL full C:\IFM
2. No servidor que voc est promovendo a controlador de domnio, execute as seguintes etapas:
a. Use o Gerenciador do Servidor para adicionar a funo AD DS.
b. Aguarde enquanto os binrios do AD DS so instalados.
c. No Gerenciador do Servidor, clique no cone de notificao para concluir a configurao
ps-implantao. O Assistente de Configurao dos Servios de Domnio do Active Directory
executado.
d. No momento apropriado durante o assistente, selecione a opo para instalar de IFM e fornea
o caminho local do diretrio de instantneo.
O AD DS faz ento a instalao a partir do instantneo. Quando o controlador de domnio reiniciado,
ele entra em contato outros controladores no domnio e atualiza o AD DS com as alteraes feitas desde
que o instantneo foi criado.
Leitura adicional: Para obter mais informaes sobre as etapas necessrias para
instalar o AD DS, consulte Instalar os Servios de Domnio do Active Directory (nvel 100)
em http://go.microsoft.com/fwlink/?LinkID=266739.
Pergunta: Qual a razo para especificar a senha do Modo de Restaurao dos Servios
de Diretrio?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-21
Laboratrio: Instalao de controladores de domnio
Cenrio
Inglaterra. Um escritrio de TI e um data center esto localizados em Londres para dar suporte a Londres
e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura do Windows Server 2012
Seu gerente pediu a voc para instalar um novo controlador de domnio no data center para melhorar
o desempenho de logon. Ele tambm pediu para voc criar um novo controlador de domnio para uma
filial usando o mtodo IFM.
Objetivos
Instalar um controlador de domnio.
Instalar um controlador de domnio usando IFM.

Mquinas virtuais 24410B-LON-DC1 (iniciar primeiro)
24410B-LON-SVR1
24410B-LON-RTR
24410B-LON-SVR2
Senha Pa$$w0rd
preciso concluir as seguintes etapas:
2. No Gerenciador do Hyper-V
, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
o Domnio: ADATUM
5. Repita as etapas de 1 a 3 para 24410B-LON-SVR1, 24410B-LON-RTR e 24410B-LON-SVR2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Instalao de um controlador de domnio
Cenrio
Usurios tm experimentado logons lentos em Londres durante as horas de uso mximo. A equipe de
servidor determinou que os controladores de domnio ficam sobrecarregados quando muitos usurios
esto autenticando simultaneamente. Para melhorar o desempenho de logon, voc est adicionando
um novo controlador de domnio no data center de Londres.
1. Adicionar uma funo AD DS (Servios de Domnio do Active Directory) a um servidor membro
2. Configurar um servidor como controlador de domnio
3. Configurar um servidor como um servidor de Catlogo Global
Tarefa 1: Adicionar uma funo AD DS (Servios de Domnio do Active Directory)
a um servidor membro
1. Em LON-DC1, no Gerenciador do Servidor, adicione LON-SVR1 lista de servidores.
2. Adicione a funo de servidor Servios de Domnio Active Directory a LON-SVR1. Adicione
todos os recursos necessrios conforme solicitado.
3. A instalao levar vrios minutos. Quando a instalao for concluda, clique em Fechar para fechar
o Assistente de Adio de Funes e Recursos.
Tarefa 2: Configurar um servidor como controlador de domnio
Em LON-DC1, use o Gerenciador do Servidor para promover LON-SVR1 a um controlador
de domnio e escolha as seguintes opes:
o Adicione um controlador de domnio ao domnio Adatum.com existente.
o Use as credenciais ADATUM\Administrador com a senha Pa$$w0rd.
o Para Opes do Controlador de Domnio, instale o Sistema de Nomes de Domnio,
mas remova a seleo para instalar o catlogo global.
o A senha de DSRM Pa$$w0rd.
o Para todas as outras opes, use as opes padro.
Tarefa 3: Configurar um servidor como um servidor de Catlogo Global
1. Entre em LON-SVR1 como ADATUM\Administrador com a senha Pa$$w0rd.
2. Use Servios e Sites do Active Directory para tornar LON-SVR1 um servidor de catlogo global.

Resultados: Depois de concluir este exerccio, voc ter explorado o Gerenciador do Servidor
e promovido um servidor membro para ser um controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-23
Exerccio 2: Instalao de um controlador de domnio usando IFM
Cenrio
Voc foi designado para gerenciar uma das novas filiais que esto sendo configuradas. Uma conexo
de rede mais rpida est agendada para ser instalada em algumas semanas. At l, a conectividade de
rede muito lenta.
Foi determinado que a filial requer um controlador de domnio para dar suporte a logons locais.
Para evitar problemas com a conexo de rede lenta, voc est usando o mtodo IFM para instalar
o controlador de domnio na filial.
1. Use a ferramenta Ntdsutil para gerar IFM
2. Adicionar a funo AD DS ao servidor membro
3. Usar IFM para configurar um servidor membro como um novo controlador de domnio
Tarefa 1: Use a ferramenta Ntdsutil para gerar IFM
1. Em LON-DC1, abra uma interface de linha de comando administrativa e use Ntdsutil para criar um
backup IFM do banco de dados do AD DS e da pasta SYSVOL. Os comandos para criar o backup so
os seguintes:
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
Tarefa 2: Adicionar a funo AD DS ao servidor membro
1. Alterne para LON-SVR2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2. Abra um prompt de comando e mapeie a letra de unidade K: para \\LON-DC1\C$\IFM.
3. Use o Gerenciador do Servidor para instalar a funo de servidor AD DS em LON-SVR2.
Tarefa 3: Usar IFM para configurar um servidor membro como um novo controlador
de domnio
1. Em LON-SVR2, abra um prompt de comando e copie o backup IFM de K: para C:\ifm.
2. Em LON-SVR2, use o Gerenciador do Servidor com as opes a seguir para executar a configurao
ps-implantao do AD DS:
o Adicione um controlador de domnio ao domnio Adatum.com existente.
o Use ADATUM\administrador com a senha Pa$$w0rd para as credenciais.
o Use Pa$$w0rd para a senha do DSRM.
o Use a mdia IFM para configurar e instalar o AD DS. Use o local C:\IFM para a mdia IFM.
o Aceite todos os outros padres.
3. Reinicie LON-SVR2 para concluir a instalao do AD DS.

Resultados: Depois de concluir este exerccio, voc ter instalado um controlador de domnio adicional
para a filial usando IFM.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
1. No computador host, inicie o Gerenciador do Hyper-V.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1, 24410B-LON-RTR e 24410B-LON-SVR2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 2-25
Perguntas de reviso
Pergunta: Quais so as duas principais finalidades das UOs?
Pergunta: Por que voc precisaria implantar uma rvore adicional na floresta do AD DS?
Pergunta: Qual mtodo de implantao voc usaria se precisasse instalar um controlador
de domnio adicional em um local remoto com uma conexo WAN limitada?
Pergunta: Se voc precisasse promover uma instalao Server Core do Windows Server 2012
para ser um controlador de domnio, que ferramenta ou ferramentas voc poderia usar?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3-1
Mdulo 3
Gerenciamento de objetos dos Servios de Domnio
do Active Directory
Contedo:
Lio 1: Gerenciamento de contas de usurio 3-3
Lio 2: Gerenciamento de contas de grupo 3-11
Lio 3: Gerenciamento de contas de computador 3-19
Lio 4: Delegao da administrao 3-25
Laboratrio: Gerenciamento de objetos dos Servios de Domnio
do Active Directory 3-29

Viso geral do mdulo
As contas de usurio so componentes fundamentais da segurana de rede. Armazenadas no AD DS
(Servios de Domnio do Active Directory
), elas identificam os usurios para fins de autenticao

e autorizao. Devido sua importncia, uma compreenso das contas de usurio e das tarefas
relacionadas ao suporte a elas um aspecto fundamental da administrao de uma rede corporativa
do sistema operacional Windows
Server.
Embora usurios e computadores, e at mesmo servios, mudem com o passar do tempo, as funes
e as regras corporativas tendem a permanecer mais estveis. Sua empresa provavelmente tem uma
funo financeira que requer determinados recursos na empresa. O(s) usurio(s) que executa(m) essa
funo pode(m) mudar com o passar do tempo, mas a funo permanecer relativamente a mesma.
Por esse motivo, no sensato gerenciar uma rede corporativa atribuindo direitos e permisses a
usurios, computadores ou identidades de servio individuais. Em vez disso, voc deve associar tarefas
de gerenciamento a grupos. Consequentemente, importante que voc saiba como usar grupos para
identificar funes administrativas e de usurio, para filtrar a Poltica de Grupo, para atribuir polticas
de senha exclusivas e para atribuir direitos e permisses.
Os computadores, assim como os usurios, so entidades de segurana:
Eles tm uma conta com nome de logon e senha que o Windows Server altera automaticamente
periodicamente.
Eles so autenticados com o domnio.
Eles podem pertencer a grupos, ter acesso a recursos e voc pode configur-los usando a Poltica
de Grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3-2 Gerenciamento de objetos dos Servios de Domnio do Active Directory
O gerenciamento de computadores, tanto dos objetos no AD DS quanto dos dispositivos fsicos,
uma das tarefas dirias da maioria dos profissionais de IT. Novos computadores so adicionados
sua organizao, colocados offline para reparos, trocados entre usurios ou funes e desativados
ou atualizados. Cada uma dessas atividades requer o gerenciamento da identidade do computador,
que representada por seu objeto, ou conta, e o AD DS. Como resultado, importante que voc
saiba como criar e gerenciar objetos de computador.
Em organizaes pequenas, uma pessoa pode ser responsvel por executar todas essas tarefas
administrativas dirias. Porm, em grandes redes corporativas, com milhares de usurios e computadores,
isso invivel. importante que um administrador de empresa saiba como delegar tarefas administrativas
especficas a usurios ou grupos designados para assegurar que a administrao da empresa seja eficiente
e efetiva.
Objetivos
Gerenciar contas de usurio com ferramentas grficas.
Gerenciar contas de grupo com ferramentas grficas.
Gerenciar contas de computador.
Delegar permisses para executar a administrao do AD DS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-3
Lio 1
Gerenciamento de contas de usurio
Um objeto de usurio no AD DS muito mais do que apenas propriedades relacionadas identidade
de segurana, ou conta, do usurio. Ele a base da identidade e do acesso no AD DS. Portanto,
processos consistentes, eficientes e seguros relativos administrao das contas de usurio so
a base do gerenciamento da segurana corporativa.
Objetivos da lio
Exibir objetos do AD DS usando vrias ferramentas de administrao do AD DS.
Explicar como criar contas de usurio que podem ser usadas em uma rede corporativa.
Descrever como configurar atributos importantes de conta de usurio.
Descrever como criar perfis de usurio.
Explicar como gerenciar as contas de usurio.
Ferramentas de administrao do AD DS
Antes de comear a criar e gerenciar contas de
usurio, grupo e computador, importante que
voc entenda quais ferramentas pode usar para
executar essas diversas tarefas de gerenciamento.
Snap-ins administrativos
do Active Directory
A maioria da administrao do AD DS executada
com os seguintes snap-ins e consoles:
Usurios e Computadores do Active Directory.
Esse snap-in gerencia a maioria dos recursos
cotidianos comuns, incluindo usurios,
grupos, computadores e OUs (unidades organizacionais). provvel que ele seja o snap-in mais
usado por um administrador do Active Directory.
Servios e sites do Active Directory. Esse snap-in gerencia replicao, topologia de rede e servios
relacionados.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Domnios e relaes de confiana do Active Directory. Esse snap-in configura e mantm relaes
de confiana e o nvel funcional da floresta.
Snap-in Esquema do Active Directory. Esse snap-in examina e modifica a definio dos atributos
e objetos de classe do Active Directory. Ele o plano grfico do AD DS. Ele raramente exibido
e ainda mais raramente alterado. Portanto, o snap-in Esquema do Active Directory no instalado,
por padro.
Observao: Para administrar o AD DS de um computador que no seja um controlador
de domnio, voc deve instalar o RSAT (Ferramentas de Administrao de Servidor Remoto).
O RSAT um recurso que pode ser instalado do n Recursos do Gerenciador de Servidor
no Windows Server
2012.
Voc tambm pode instalar o RSAT em clientes Windows, incluindo o Windows Vista
Service Pack 1
(ou mais recente), o Windows 7 e o Windows 8. Depois que voc baixar os arquivos de instalao do RSAT
do site da Microsoft, execute o Assistente de Configurao, que o orientar atravs da instalao. Aps
instalar o RSAT, ative a(s) ferramenta(s) que deseja usar. Para isso, no Painel de Controle, no aplicativo
Programas e Recursos, use o comando Ativar ou desativar recursos do Windows.
Leitura adicional: Para baixar os arquivos de instalao do RSAT, consulte o
Centro de Download da Microsoft em http://go.microsoft.com/fwlink/?LinkID=266735.
Central Administrativa do Active Directory
O Windows Server 2012 fornece outra opo para gerenciar os objetos do AD DS. O Central
Administrativa do Active Directory fornece uma GUI (interface grfica do usurio) compilada
no Windows PowerShell
. Essa interface aprimorada lhe permite executar o gerenciamento

dos objetos AD DS por meio de navegao orientada a tarefas. As tarefas que voc pode
executar usando o Central Administrativa do Active Directory incluem:
Criar e gerenciar contas de usurio, computador e grupo.
Criar e gerenciar unidades organizacionais.
Conectar-se a vrios domnios dentro de uma nica instncia do Central Administrativa
do Active Directory e gerenci-los.
Pesquisar e filtrar os dados do Active Directory, compilando consultas.
Windows PowerShell
Voc pode usar o mdulo do Active Directory para o Windows PowerShell (mdulo Active Directory)
para criar e gerenciar objetos no AD DS. O Windows PowerShell no s uma linguagem de scripts
como tambm lhe permite executar comandos que realizam tarefas administrativas, como criar
novas contas de usurio, configurar servios, excluir caixas de correio e funes semelhantes.
O Windows PowerShell instalado, por padro, no Windows Server 2012, mas o mdulo Active Directory
apenas est presente quando:
Voc instala a funo de servidor AD DS ou AD LDS (Active Directory Lightweight Directory Services).
Voc executa Dcpromo.exe para elevar um computador a um controlador de domnio.
Voc instala o RSAT.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-5
Ferramentas de linha de comando do servio de diretrio
Voc tambm pode usar as ferramentas de linha de comando de Servio de Diretrio, alm do
Windows PowerShell. Essas ferramentas permitem criar, modificar, gerenciar e excluir objetos AD DS,
como usurios, grupos e computadores. Voc pode usar os seguintes comandos:
Dsadd. Use para criar novos objetos.
Dsget. Use para exibir objetos e as respectivas propriedades.
Dsmod. Use para editar objetos e as respectivas propriedades.
Dsmove. Use para mover objetos.
Dsquery. Use para consultar objetos no AD DS que correspondem aos critrios fornecidos.
Dsrm. Use para excluir objetos.
Observao: possvel redirecionar os resultados do comando Dsquery para outros
comandos do servio de diretrio. Por exemplo, se voc digitar o seguinte em um prompt
de comando, o nmero de telefone do escritrio de todos os usurios cujo nome comea
com John sero retornados.
dsquery user name John* | dsget user office
Criao de contas de usurio
No AD DS, todos os usurios que exigem acesso
aos recursos de rede devem ser configurados com
uma conta de usurio. Com essa conta de usurio,
os usurios podem se autenticar no domnio do
AD DS e receber acesso aos recursos de rede.
No Windows Server 2012, uma conta de usurio
um objeto que contm todas as informaes que
definem um usurio. Uma conta de usurio inclui
o nome de usurio e a senha e associaes de
grupo. Uma conta de usurio tambm contm
vrias outras configuraes que voc pode definir
com base em seus requisitos organizacionais.
Com uma conta de usurio, voc pode:
Permitir ou negar permisso a usurios para fazer logon em um computador com base na identidade
de sua conta de usurio.
Permitir acesso dos usurios a processos e servios para um contexto de segurana especfico.
Gerenciar o acesso dos usurios a recursos, como objetos do AD DS e respectivas propriedades,
pastas compartilhadas, arquivos, diretrios e filas de impressora.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Uma conta de usurio permite que um usurio faa logon em computadores e domnios com uma
identidade que possa ser autenticada pelo domnio. Ao criar uma conta de usurio, voc deve fornecer
um nome de logon de usurio que deve ser exclusivo no domnio/floresta em que a conta de usurio
criada.
Para maximizar a segurana, voc deve evitar que vrios usurios compartilhem uma nica conta
e, em vez disso, garantir que cada usurio que faz logon na rede tenha uma conta de usurio
e uma senha exclusiva.
Observao: Embora as contas do AD DS sejam o foco deste curso, voc tambm pode
armazenar contas de usurio no banco de dados SAM (gerenciador de contas de segurana)
local de cada computador, habilitando o logon e o acesso local aos recursos locais. A maioria
das contas de usurio locais est alm do escopo deste curso.
Criao de contas de usurio
Uma conta de usurio inclui o nome de usurio e a senha, que servem como as credenciais de logon
de um usurio. Um objeto de usurio tambm inclui vrios outros atributos que descrevem e gerenciam
o usurio.
Voc pode usar o snap-in Usurios e Computadores do Active Directory, Central Administrativa do
Active Directory, Windows PowerShell ou a ferramenta de linha de comando dsadd.exe para criar
um objeto de usurio.
Ao criar contas de usurio locais, considere as seguintes propriedades:
A propriedade de conta de usurio Nome completo usada para criar vrios atributos de um objeto
de usurio, particularmente, as propriedades CN (nome comum) e nome para exibio. O CN de um
usurio o nome exibido no painel de detalhes do snap-in e deve ser exclusivo dentro do continer
ou da unidade organizacional. Se estiver criando um objeto de usurio para uma pessoa com o
mesmo nome de um usurio existente na mesma unidade organizacional ou no mesmo continer,
voc precisar inserir um nome exclusivo no campo Nome completo.
A propriedade Logon UPN do usurio consiste em um prefixo de nome de logon de usurio
e um sufixo UPN que ser acrescentado ao nome de logon de usurio aps o smbolo @.
o Os nomes de usurio no AD DS podem conter caracteres especiais, incluindo pontos, hfens e
apstrofos. Esses caracteres especiais permitem gerar nomes de usurio precisos, como O'Hare
e Smith-Bates. Porm, certos aplicativos podem ter outras restries, portanto, recomendamos
que voc use apenas numerais e letras padro at testar completamente os aplicativos em seu
ambiente corporativo para verificar a compatibilidade com caracteres especiais.
o Voc pode gerenciar a lista de sufixos UPN disponveis usando o snap-in Domnios e Relaes
de Confiana do Active Directory. Clique com o boto direito do mouse na raiz do snap-in,
clique em Propriedadese use a guia Sufixos UPN para adicionar ou remover sufixos. O nome
DNS de seu domnio do AD DS est sempre disponvel como sufixo, e voc no pode remov-lo.
Observao: importante que voc implemente uma estratgia de nomeao de conta de
usurio, principalmente em grandes redes onde os usurios podem compartilhar o mesmo nome
completo. Uma combinao de sobrenome e nome, e onde for necessrio, caracteres adicionais,
deve resultar em um nome de conta de usurio exclusivo. Especificamente, somente o nome
UPN deve ser exclusivo na sua floresta do AD DS. O Nome completo somente precisa ser
exclusivo dentro da unidade organizacional em que reside, enquanto o Nome de usurio
SamAccountName deve ser exclusivo dentro desse domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-7
Configurao dos atributos da conta de usurio
Ao criar uma conta de usurio no AD DS,
voc tambm configura todas as propriedades
de conta ou os atributos associados.
Observao: Os atributos associados a
uma conta de usurio so definidos como parte
do esquema AD DS, que os membros do grupo
de segurana Administradores de Esquema
podem modificar.
Geralmente, o esquema no alterado com
frequncia. Porm, quando um aplicativo de nvel
empresarial (como o Microsoft

Exchange Server 2010) introduzido, vrias alteraes
de esquema so necessrias. Essas alteraes permitem que objetos, incluindo objetos de usurio,
tenham atributos adicionais.
Ao criar um novo objeto de usurio, voc no precisa definir vrios atributos alm dos necessrios
para permitir que o usurio faa logon usando a conta. Como um objeto de usurio pode ser associado
a vrios atributos, importante que voc entenda o que so esses atributos e como voc pode us-los
em sua organizao.
Categorias de atributo
Os atributos de um objeto de usurio esto includos em vrias categorias abrangentes. Essas categorias
so exibidas no painel de navegao da caixa de dilogo Propriedades do Usurio no Central
Administrativa do Active Directory e incluem o seguinte:
Conta. Alm das propriedades de nome do usurio (Nome, Inicial do segundo nome, Sobrenome,
Nome completo) e dos diversos nomes de logon do usurio (Logon UPN do usurio, Logon
do usurio SamAccountName), voc pode configurar as seguintes propriedades adicionais:
o Horrio de logon. Essa propriedade define quando a conta pode ser usada para acessar os
computadores de domnio. Voc pode usar a exibio de estilo de calendrio semanal para
definir o horrio de logon permitido e o horrio de logon negado.
o Fazer logon em. Use essa propriedade para definir quais computadores um usurio pode usar
para fazer logon no domnio. Especifique o nome do computador e adicione-o a uma lista de
computadores permitidos.
o Vencimento da conta. Esse valor til quando voc desejar criar contas de usurio de uso
temporrio. Por exemplo, voc talvez queira criar contas de usurio para estagirios que
sejam usadas apenas por um ano. Voc pode usar esse valor para definir antecipadamente
uma data de validade da conta. A conta no poder ser usada aps a data de validade at
ser reconfigurada manualmente por um administrador.
o O usurio dever alterar a senha no prximo logon. Essa propriedade permite forar um
usurio a definir a prpria senha na prxima vez que ele fizer logon. Isso normalmente algo
que voc pode habilitar aps redefinir a senha de um usurio.
o Carto inteligente necessrio para logon interativo. Esse valor redefine a senha do usurio
a um sequncia aleatria complexa de caracteres e define uma propriedade que exige que
o usurio utilize um carto inteligente para se autenticar durante o logon.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
o A senha nunca expira. Essa uma propriedade normalmente usada com contas de servio, ou
seja, as contas que no so usadas por usurios normais, mas pelos servios. Ao definir esse valor,
lembre-se de atualizar a senha manualmente periodicamente, porm, voc no forado a fazer
essa atualizao em um intervalo predeterminado. Consequentemente, a conta nunca poder
ser bloqueada devido expirao da senha, um recurso particularmente importante para contas
de servio.
o O usurio no pode alterar a senha. Em geral, essa opo tambm usada para contas
de servio.
o Armazene senha c/ criptografia reversvel. Essa poltica oferece suporte a aplicativos que
usam protocolos que necessitam conhecer a senha do usurio para fins de autenticao. O
armazenamento de senhas que usam criptografia reversvel essencialmente o mesmo que
armazenar verses das senhas com texto sem formatao. Por esse motivo, essa poltica nunca
deve ser habilitada, a menos que os requisitos do aplicativo sejam maiores que a necessidade
de proteger as informaes de senha. Essa poltica necessria ao usar a autenticao CHAP
atravs de acesso remoto ou o IAS (Servio de Autenticao da Internet). Ela tambm
necessria ao usar a autenticao Digest no IIS (Servios de Informaes da Internet).
o A conta confivel para delegao. Voc pode usar essa propriedade para permitir que
uma conta de servio represente um usurio padro para acessar recursos de rede em nome
de um usurio.
Organizao. Isso inclui propriedades do usurio, como o Nome para exibio, o Escritrio,
o Endereo de email, vrios nmeros de telefone de contato, estrutura administrativa,
departamento e nomes de empresa, endereos etc.
Membro de. Essa seo permite que voc defina as associaes de grupo do usurio.
Perfil. Essa seo permite que voc configure um local para os dados pessoais do usurio
e defina um local para salvar o perfil de rea de trabalho do usurio quando ele fizer logoff.
Extenses. Essa seo expe vrias propriedades de usurio adicionais, cuja maioria normalmente
no requer configurao manual.
Criao de perfis de usurio
Quando os usurios fazem logoff, as
configuraes de sua rea de trabalho e de
seus aplicativos so salvos em uma subpasta
criada na pasta C:\Users do disco rgido local
que corresponde ao seu nome de usurio.
Essa pasta contm seu perfil de usurio. Dentro
dessa pasta, so criadas subpastas contendo
documentos e configuraes que representam
o perfil do usurio, incluindo Documentos,
Vdeos, Imagens e Downloads.
Se um usurio provavelmente fizer logon de
maneira interativa em mais de uma estao de
trabalho cliente, prefervel que essas configuraes e esses documentos estejam disponveis nessas
outras estaes de trabalho cliente. Como administrador, voc tem vrios mtodos que podem ser
usados para assegurar que os usurios possam acessar seus perfis de vrias estaes de trabalho.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-9
Configurao das propriedades de conta de usurio para gerenciar perfis
A utilizao das configuraes de conta de usurio no Central Administrativa do Active Directory
permite que voc defina as propriedades a seguir relativas ao perfil da rea de trabalho de um usurio:
Caminho do perfil. Esse caminho pode ser local ou, mais normalmente, um caminho UNC.
As configuraes de rea de trabalho do usurio so armazenadas no perfil. Aps voc definir
um perfil de usurio usando um caminho UNC, qualquer computador de domnio que atender
ao logon de um usurio disponibilizar suas configuraes de rea de trabalho. Isso conhecido
como perfil mvel.
Observao: Como prtica recomendada, use uma subpasta da pasta base do usurio para
o caminho de perfil do usurio.
Script de logon. Esse script o nome de um arquivo em lotes contendo comandos executados
quando o usurio fizer logon. Normalmente, voc usa esses comandos para criar mapeamentos
de unidade. Em vez de usar um arquivo em lotes de script de logon, os administradores
normalmente implementam os scripts de logon usando GPOs (Objetos de Poltica de Grupo)
ou as preferncias da Poltica de Grupo. Se voc usar um script de logon, esse valor dever estar
apenas no formato de um nome de arquivo (com extenso). Os scripts devem ser armazenados
na pasta C:\Windows\SYSVOL\domain\scripts de todos os controladores de domnio.
Pasta base. Esse valor permite criar uma rea de armazenamento pessoal na qual os usurios podem
salvar seus documentos pessoais. Voc pode especificar um caminho local ou, mais normalmente,
um caminho UNC para a pasta do usurio. Voc tambm deve especificar uma letra de unidade
usada para mapear uma unidade de rede para o caminho UNC especificado. Em seguida, voc
poder configurar os documentos pessoais de um usurio para essa pasta base redirecionada.
Uso da Poltica de Grupo para gerenciar perfis
Como alternativa para usar as configuraes de conta de usurio individual, voc tambm pode usar
GPOs para gerenciar essas configuraes. Voc pode definir as configuraes de Redirecionamento
de Pasta usando o Editor de Gerenciamento de Poltica de Grupo para abrir um GPO para edio
e, em seguida, navegar at o n Configurao do Usurio\Polticas\Configuraes do Windows.
Essas configuraes contm os subns da tabela a seguir.
Subns do n Configuraes do Windows
AppData (Roaming)
rea de Trabalho
Menu Iniciar
Documento
Imagens
Msica
Vdeos
Favoritos
Contatos
Downloads
Links
Pesquisas
Jogos Salvos
Voc pode usar esses subns para definir todos os aspectos de perfil de rea de trabalho de um usurio
e as configuraes de aplicativo. Para um determinado subn, como Documentos, voc pode escolher
entre o redirecionamento Bsico e Avanado. No redirecionamento Bsico, todos os usurios afetados
pelo GPO tm a pasta Documentos redirecionada para uma subpasta nomeada individual fora de uma
pasta raiz comum definida por um nome UNC, por exemplo, \\LON-SVR1\Usurios\. O redirecionamento
avanado permite que voc use a associao de grupo de segurana para determinar onde as
configuraes e os documentos de um usurio sero armazenados.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Gerenciamento de contas de usurio
Esta demonstrao mostra a voc como:
Abrir o Central Administrativa do Active Directory.
Excluir uma conta de usurio.
Criar uma nova conta de usurio.
Mover a conta de usurio.
Abrir o Central Administrativa do Active Directory
Em LON-DC1, abra o Central Administrativa do Active Directory.
Excluir uma conta de usurio
Localize Ed Meadows na unidade organizacional Managers e exclua a conta.
Criar uma nova conta de usurio
Crie uma nova conta de usurio denominada Ed Meadows. Verifique se a conta foi criada
com uma senha forte.
Mover a conta de usurio
Mova a conta Ed Meadows para a unidade organizacional IT.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-11
Lio 2
Gerenciamento de contas de grupo
Embora possa ser prtico atribuir permisses e recursos a contas de usurio individuais em redes
pequenas, isso fica impraticvel e ineficiente em grandes redes corporativas. Por exemplo, se vrios
usurios precisarem do mesmo nvel de acesso a uma pasta, ser mais eficiente criar um grupo
contendo as contas de usurio necessrias e, depois, atribuir o grupo s permisses exigidas.
Como benefcio adicional, isso permite que voc altere as permisses de arquivo de um usurio,
adicionando-os ou removendo-os de grupos, em vez de editar as permisses de arquivo diretamente.
Antes de implementar grupos em sua organizao, voc deve entender o escopo dos vrios tipos
de grupo do Windows Server e como us-los melhor para gerenciar o acesso aos recursos ou atribuir
direitos e capacidades de gerenciamento.
Objetivos da lio
Descrever os tipos de grupo.
Descrever os escopos do grupo.
Explicar como implementar o gerenciamento do grupo.
Descrever os grupos padro.
Descrever as identidades especiais.
Gerenciar grupos no Windows Server.
Tipos de grupo
Em uma rede corporativa baseada no
Windows Server 2012, h dois tipos de grupo:
segurana e distribuio. Ao criar um grupo,
escolha o tipo e o escopo de grupo.
Os grupos de distribuio, que no so habilitados
para segurana, so usados principalmente
por aplicativos de email. Isso significa que eles
no tm SIDs, portanto, eles no podem obter
permisso para recursos. O envio de uma
mensagem a um grupo de distribuio
faz com que ela seja enviada a todos
os membros do grupo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os grupos de segurana so entidades de segurana com SIDs. Portanto, voc pode usar esses grupos
em entradas de permisso de ACLs (listas de controle de acesso) para controlar a segurana do acesso
aos recursos. Voc tambm pode usar grupos de segurana como meio de distribuio para aplicativos
de email. Se voc desejar usar um grupo para gerenciar a segurana, ele deve ser um grupo de segurana.
Observao: O tipo de grupo padro segurana.
Como voc pode usar grupos de segurana para acesso a recursos e distribuio de emails, vrias
organizaes usam apenas grupos de segurana. Porm, recomendamos que se um grupo for usado
apenas para distribuio de emails, voc crie o grupo como um grupo de distribuio. Caso contrrio,
o grupo receber um SID, que ser adicionado ao token de acesso de segurana do usurio, podendo
resultar em um aumento de tamanho desnecessrio do token de segurana.
Observao: Considere que, quando voc adicionar um usurio a um grupo de segurana,
o token de acesso do usurio, que autentica os processos do usurio, somente ser atualizado
quando o usurio entrar no servio. Portanto, se o usurio j estiver conectado, ele dever fazer
logoff e logon novamente para atualizar seu token de acesso com qualquer associao de grupo
alterada.
Observao: O benefcio da utilizao de grupos de distribuio fica mais evidente nas
implantaes do Exchange Server de grande escala, principalmente onde h uma necessidade
de aninhar esses grupos de distribuio pela empresa.
Escopos de grupo
O Windows Server 2012 d suporte ao escopo
de grupo. O escopo de um grupo determina
o intervalo de recursos ou permisses
de um grupo e a associao de grupo.
H quatro escopos de grupo:
Local. Esse tipo de grupo destinado
a servidores ou estaes de trabalho
autnomas, em servidores membro
de domnio que no so controladores
de domnio ou em estaes de trabalho
membro de domnio. Os grupos locais so
verdadeiramente locais, ou seja, eles s esto
disponveis no computador em que existem. As caractersticas importantes de um grupo local so:
o Voc s pode atribuir recursos e permisses em recursos locais, ou seja, no computador local.
o Os membros podem ser de qualquer local da floresta AD DS e podem incluir:
Qualquer entidade de segurana do domnio: usurios, computadores, grupos globais
ou grupos locais de domnio.
Usurios, computadores e grupos globais de qualquer domnio na floresta.
Usurios, computadores e grupos globais de qualquer domnio confivel.
Grupos universais definidos em qualquer domnio na floresta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-13
Domnio Local. Esse tipo de grupo principalmente usado para gerenciar o acesso aos recursos
ou para atribuir responsabilidades (direitos) de gerenciamento (direitos). Os grupos de domnios
locais existem nos controladores de domnio de uma floresta AD DS e, consequentemente, o escopo
do grupo localizado para o domnio em que residem. As caractersticas importantes dos grupos
de domnios locais so:
o Voc s pode atribuir recursos e permisses em recursos do domnio local, ou seja, em todos
os computadores do domnio local.
Qualquer entidade de segurana do domnio: usurios, computadores, grupos globais
ou grupos locais de domnio.
Usurios, computadores e grupos globais de qualquer domnio confivel.
Global. Esse tipo de grupo principalmente usado para consolidar usurios com caractersticas
semelhantes. Por exemplo, os grupos globais so geralmente usados para consolidar os usurios
que fazem parte de um departamento ou de um local geogrfico. As caractersticas importantes
dos grupos globais so:
o Voc pode atribuir recursos e permisses em qualquer local da floresta.
o Os membros s podem ser do domnio local e podem incluir:
Usurios, computadores e grupos globais do domnio local.
Universal. Esse tipo de grupo muito til em redes de vrios domnios, pois combina
as caractersticas dos grupos de domnios locais e dos grupos globais. Especificamente,
as caractersticas importantes dos grupos universais so:
o Voc pode atribuir recursos e permisses em qualquer local da floresta, assim como ocorre
com os grupos globais.
o As propriedades dos grupos universais so propagadas para o catlogo global e disponibilizadas
pela rede corporativa em todos os controladores de domnio que hospedam a funo
de catlogo global. Isso torna as listas de associao dos grupos universais mais acessveis,
o que pode ser til em cenrios de vrios domnios. Por exemplo, se um grupo universal for
usado para fins de distribuio de e-mail, o processo para determinar a lista de associao
normalmente ser mais rpido nas redes distribudas de vrios domnios.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Implementao do gerenciamento de grupos
A adio de grupos a outros grupos
um processo denominado aninhamento.
O aninhamento cria uma hierarquia de grupos
que do suporte s suas funes corporativas
e regras de gerenciamento.
Uma prtica recomendada para o aninhamento
de grupos conhecida como IGDLA que um
acrnimo para o seguinte:
Identidades
Grupos globais
Grupos de domnios locais
Acesso
As identidades (contas de usurio e de computador) so membros dos grupos globais, que representam
funes corporativas. Esses grupos de funes (grupos globais) so membros dos grupos de domnios
locais, que representam as regras de gerenciamento, por exemplo, determinando quem tem permisso
de leitura para um conjunto especfico de pastas. Esses grupos de regras (grupos de domnios locais)
obtm acesso aos recursos. No caso de uma pasta compartilhada, o acesso concedido adicionando o
grupo de domnios locais ACL da pasta, com uma permisso que fornece o nvel de acesso apropriado.
Em uma floresta de vrios domnios, h tambm grupos universais, que so ajustados entre os grupos
globais e os grupos de domnios locais. Os grupos globais de vrios domnios so membros de um
nico grupo universal. Esse grupo universal membro dos grupos de domnios locais em vrios domnios.
Voc talvez se lembre do aninhamento como IGUDLA.
Exemplo de IGDLA
Esta figura do slide representa uma implementao de grupo que reflete a exibio tcnica de prticas
recomendadas de gerenciamento de grupo (IGDLA) e a exibio comercial do gerenciamento baseado
em regras e funes.
Considere o cenrio a seguir.
A fora de vendas da Contoso, Ltd acabou de concluir seu ano fiscal. Os arquivos de vendas do ano
anterior esto em uma pasta denominada Sales. A fora de vendas necessita de acesso de leitura a essa
pasta. Alm disso, uma equipe de auditores do Woodgrove Bank, um investidor potencial, necessita de
acesso de leitura pasta Sales para executar a auditoria. Execute as etapas a seguir para implementar
a segurana necessria a este cenrio:
1. Atribua responsabilidades do cargo ou outras caractersticas comerciais comuns aos usurios para os
grupos de funes implementados como grupos de segurana globais. Faa isso separadamente em
cada domnio. Os vendedores da Contoso so adicionados a um grupo de funes Sales; os auditores
do Woodgrove Bank so adicionados a um grupo de funo Auditores.
2. Crie um grupo para gerenciar o acesso s pastas Sales com permisso de leitura. Implemente isso no
domnio contendo o recurso que est sendo gerenciado. Nesse caso, a pasta Sales reside no domnio
Contoso. Portanto, crie o grupo de regras de gerenciamento de acesso aos recursos como um grupo
de domnios locais denominado ACL_Sales Folders_Read.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-15
3. Adicione os grupos de funes ao grupo de regras de gerenciamento de acesso aos recursos para
representar a regra de gerenciamento. Esses grupos podem ser provenientes de qualquer domnio
na floresta ou de um domnio confivel, como o Woodgrove Bank. Os grupos globais dos domnios
externos confiveis, ou de qualquer domnio na mesma floresta, podem ser membros de um grupo
de domnios locais.
4. Atribua a permisso que implementa o nvel de acesso necessrio. Nesse caso, conceda a permisso
Permitir Ler ao grupo de domnios locais.
Essa estratgia resulta em dois nicos pontos de gerenciamento, reduzindo a sobrecarga de
gerenciamento. Um ponto de gerenciamento define quem est em Sales, o outro ponto
de gerenciamento define quem Auditor. Como provvel que essas funes tenham acesso
a uma variedade de recursos alm da pasta Sales, h um outro ponto de gerenciamento nico
para determinar quem tem acesso de leitura pasta Sales. Alm disso, a pasta Sales talvez no
seja a nica pasta em um nico servidor; ela pode ser um conjunto de pastas em vrios servidores
e, cada uma delas atribui a permisso Permitir Ler ao nico grupo de domnios locais.
Grupos padro
O servidor do Windows Server 2012 cria vrios
grupos automaticamente. Eles so denominados
grupos locais padroe incluem grupos conhecidos,
como Administradores, Operadores de Backup e
Usurios da rea de Trabalho Remota. H grupos
adicionais criados em um domnio, ambos nos
contineres Builtin e Usurios, incluindo Admins.
do Domnio, Administradores de Empresa
e Administradores de Esquema.
A lista a seguir exibe um resumo dos recursos para
o subconjunto de grupos padro com permisses
e direitos de usurio significativos relacionados
ao gerenciamento do AD DS:
Administradores de Empresa (no continer Usurios do domnio raiz da floresta). Esse grupo
membro do grupo Administradores em cada domnio da floresta, o que lhe concede acesso completo
configurao de todos os controladores de domnio. Ele tambm possui a partio de configurao
do diretrio e tem controle total do contexto de nomenclatura de domnio em todos os domnios
de floresta.
Administradores de Esquema (continer Usurios do domnio raiz da floresta). Esse grupo possui
e tem controle total do esquema do Active Directory.
Administradores (continer interno de cada domnio). Os membros desse grupo tm controle
completo sobre todos os controladores de domnio e dados no contexto de nomenclatura de
domnio. Eles podem alterar a associao de todos os outros grupos administrativos no domnio,
e o grupo Administradores no domnio raiz da floresta pode alterar a associao de Administradores
de Empresa, Administradores de Esquema e Admins. do Domnio. O grupo Administradores no
domnio raiz da floresta comprovadamente o grupo de administrao de servio mais poderoso
da floresta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Admins. do Domnio (continer Usurios de cada domnio). Esse grupo adicionado ao grupo
Administradores de seu domnio. Portanto, ele herda todos os recursos do grupo Administradores.
Por padro, ele tambm adicionado ao grupo local Administradores de cada computador membro
de domnio, dando a Admins. do Domnio a propriedade de todos os computadores de domnio.
Opers de servidores (continer interno de cada domnio). Os membros desse grupo podem executar
tarefas de manuteno nos controladores de domnio. Eles tm o direito de fazer logon localmente,
iniciar e parar servios, executar operaes de backup e restaurao, formatar discos, criar ou excluir
compartilhamentos e desligar controladores de domnio. Por padro, esse grupo no tem membros.
Operadores de Conta (continer interno de cada domnio). Os membros desse grupo podem criar,
modificar e excluir contas de usurios, grupos e computadores localizados em qualquer unidade
organizacional do domnio (exceto na unidade organizacional Controladores de Domnio) e
no continer Usurios e Computadores. Os membros do grupo Operador de Conta no podem
modificar as contas que so membros dos grupos Administradores ou Admins. do Domnio nem
modificar esses grupos. Os membros do grupo Operador de Conta tambm podem fazer logon
localmente nos controladores de domnio. Por padro, esse grupo no tem membros.
Operadores de Backup (continer interno de cada domnio). Os membros desse grupo podem
executar operaes de backup e restaurao nos controladores de domnio, fazer logon
localmente e desligar os controladores de domnio. Por padro, esse grupo no tem membros.
Operadores de Impresso (continer interno de cada domnio). Os membros desse grupo podem
manter a filas de impresso nos controladores de domnio. Eles tambm podem fazer logon
localmente e desligar os controladores de domnio.
Voc precisa gerenciar cuidadosamente os grupos padro que fornecem privilgios administrativos,
pois eles geralmente tm privilgios mais amplos do que necessrio para a maioria dos ambientes
delegados e porque eles aplicam proteo com frequncia aos seus membros.
O grupo Operadores de Conta um bom exemplo disso. Se voc examinar os recursos do grupo
Operadores de Conta na lista anterior, poder verificar que os membros desse grupo tm direitos
muito amplos. Eles podem inclusive fazer logon localmente em um controlador de domnio. Em redes
muito pequenas, esses direitos provavelmente seriam apropriados para um ou dois indivduos que
normalmente seriam os administradores de domnio de qualquer forma. Em grandes empresas, os
direitos e as permisses concedidas ao grupo Operadores de Conta geralmente so bem mais amplos.
Alm disso, o grupo Operadores de Conta , assim como os outros grupos administrativos, um grupo
protegido.
Os grupos protegidos so definidos pelo sistema operacional e no podem ser desprotegidos. Os
membros de um grupo protegido tornam-se protegidos por associao. O resultado da proteo
que as permisses (ACLs) dos membros so modificadas, para que eles no herdem mais as permisses
de sua unidade organizacional e recebam uma cpia de uma ACL bastante restritiva. Por exemplo, se
voc adicionar Jeff Ford ao grupo Operadores de Conta, a conta dele ficar protegida e o suporte tcnico,
que pode redefinir todas as outras senhas de usurio na unidade organizacional Funcionrios, no poder
redefinir a senha de Jeff Ford.
Tente evitar adicionar usurios aos grupos que no tm membros por padro (Operadores de Conta,
Operadores de Backup, Opers de servidores e Operadores de Impresso). Em vez disso, crie grupos
personalizados aos quais voc atribuir permisses e direitos de usurio para atender aos seus requisitos
administrativos e de negcios.
Por exemplo, se Scott Mitchell puder executar operaes de backup em um controlador de domnio,
mas no conseguir executar operaes de restaurao que possam levar a uma reverso ou corrupo
do banco de dados e no conseguir desligar um controlador de domnio, no o coloque no grupo
Operadores de Backup. Em vez disso, crie um grupo e atribua a ele somente o direito de usurio
Fazer Backup de Arquivos e Diretrios e, em seguida, adicione Scott como um membro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-17
Identidades especiais
O Windows e o AD DS tambm do suporte
a identidades especiais, que so grupos para
os quais a associao controlada pelo sistema
operacional. Voc no pode exibir os grupos
em qualquer lista (no snap-in Usurios e
Computadores do Active Directory, por exemplo),
no pode exibir ou modificar a associao dessas
identidades especiais nem pode adicion-los
a outros grupos. Porm, voc pode usar esses
grupos para atribuir direitos e permisses.
As identidades especiais mais importantes,
geralmente denominadas grupos (por
convenincia), so descritas na lista a seguir:
Logon Annimo. Essa identidade representa as conexes com um computador e seus recursos
que so feitas sem que sejam fornecidos nome de usurio e senha. Antes do Windows Server 2003,
esse grupo era membro do grupo Todos. A partir do Windows Server 2003, esse grupo no mais
membro padro do grupo Todos.
Usurios Autenticados. Representa as identidades que foram autenticadas. Esse grupo no inclui
a conta Convidado, mesmo que ela tenha uma senha.
Todos. Essa identidade inclui o grupo Usurios Autenticados e a conta Convidado.
(Nos computadores que executam verses do sistema operacional Windows Server que
antecedem o Windows Server 2003, esse grupo inclui a identidade Logon Annimo.)
Interativo. Representa os usurios que esto acessando um recurso durante sua conexo local com
o computador que est hospedando o recurso, ao contrrio dos usurios que esto acessando o
recurso na rede. Quando um usurio acessa um determinado recurso em um computador ao qual
est conectado localmente, ele automaticamente adicionado ao grupo Interativo para esse recurso.
O grupo Interativo tambm inclui os usurios que fazem logon atravs de uma conexo de rea
de Trabalho Remota.
Rede. Representa os usurios que esto acessando um recurso na rede, ao contrrio dos usurios
que esto conectados localmente no computador que est hospedando o recurso. Quando um
usurio acessa qualquer recurso especfico na rede, ele automaticamente adicionado ao grupo
Rede para esse recurso.
A importncia dessas identidades especiais que voc pode us-las para fornecer acesso aos recursos
com base no tipo de autenticao ou conexo, em vez de usar a conta de usurio. Por exemplo, voc
pode criar uma pasta em um sistema que permita aos usurios exibir contedo da pasta quando
eles estiverem conectados localmente no sistema, mas que no permita que esses mesmos usurios
exibam o contedo de uma unidade mapeada na rede. Para que isso seja possvel, atribua permisses
identidade especial interativa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Gerenciamento de grupos
Criar um novo grupo.
Adicionar membros ao grupo.
Adicionar um usurio ao grupo.
Alterar o tipo e escopo do grupo.
Modificar a propriedade Gerenciado por do grupo.
Criar um novo grupo
1. Em LON-DC1, abra o Central Administrativa do Active Directory.
2. Crie um novo grupo de segurana global na unidade organizacional IT denominado IT Managers.
Adicionar membros ao grupo
Adicione vrios usurios ao novo grupo.
Adicionar um usurio ao grupo
Adicione Ed Meadows ao grupo IT Managers.
Alterar o tipo e o escopo do grupo
Nas propriedades do grupo IT Managers, altere o escopo do grupo para Universal e o tipo
de grupo para Distribuio.
Modificar a propriedade Gerenciado por do grupo
Adicione Ed Meadows lista Gerenciado por e, em seguida, conceda a ele a permisso O gerente
pode atualizar a lista de membros.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-19
Lio 3
Gerenciamento de contas de computador
Uma conta de computador comea seu ciclo de vida quando voc o cria e ingressa no seu domnio.
Depois disso, as tarefas administrativas dirias incluiro o seguinte:
Configurao das propriedades do computador.
Movimentao do computador entre unidades organizacionais.
Gerenciamento do prprio computador.
Renomeao, redefinio, desabilitao, habilitao e, finalmente, excluso do objeto de computador.
importante que voc saiba como executar essas vrias tarefas de gerenciamento de computador
para poder configurar e manter os objetos de computador dentro de sua organizao.
Objetivos da lio
Explicar a finalidade do continer Computadores do AD DS.
Descrever como configurar o local das contas de computador.
Explicar como controlar quem tem permisso para criar contas de computador.
Descrever as contas de computador e o canal de segurana.
Explicar como redefinir o canal de segurana.
O que o continer Computadores?
Antes de voc criar um objeto de computador
no servio de diretrio, necessrio que tenha
um local para coloc-lo.
Quando voc criar um domnio, o continer
Computadores ser criado por padro
(CN=Computers). Esse continer no uma
unidade organizacional; ele um objeto
da classe Continer.
H diferenas sutis, mas importantes entre um
continer e uma unidade organizacional. Voc
no pode criar uma unidade organizacional
dentro de um continer, portanto, no pode
subdividir a unidade organizacional Computadores. Voc tambm no pode vincular um GPO
a um continer. Portanto, recomendamos que voc crie unidades organizacionais personalizadas
para hospedar os objetos de computador, em vez de usar o continer Computadores.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Especificao do local das contas de computador
A maioria das organizaes cria, no mnimo,
duas unidades organizacionais para os objetos
de computador: uma para os servidores e outra
para hospedar as contas dos computadores
cliente, como reas de trabalho, laptops
e outros sistemas de usurio. Essas duas
unidades organizacionais so adicionais unidade
organizacional Controladores de Domnio criada
por padro durante a instalao do AD DS.
Os objetos de computador so criados nas duas
unidades organizacionais. No h nenhuma
diferena tcnica entre um objeto de computador
na unidade organizacional de um cliente e um objeto de computador na unidade organizacional de
um servidor ou de um controlador de domnio; os objetos de computador so objetos de computador.
Porm, unidades organizacionais separadas geralmente so criadas para fornecer escopos exclusivos
de gerenciamento, para que voc possa delegar o gerenciamento dos objetos de cliente a uma equipe
e o gerenciamento dos objetos de servidor outra.
Seu modelo administrativo posteriormente talvez precise dividir as unidades organizacionais de cliente
e de servidor. Vrias organizaes criam subunidades organizacionais sob a unidade organizacional
de servidor para coletar e gerenciar tipos especficos de servidores. Por exemplo, voc pode criar uma
unidade organizacional para servidores de arquivo e impresso e uma unidade organizacional para
servidores de banco de dados. Desse modo, voc poder delegar permisses para gerenciar os objetos
de computador na unidade organizacional apropriada equipe de administradores de cada tipo de
servidor. Da mesma forma, as organizaes distribudas geograficamente com equipes de suporte de rea
de trabalho locais geralmente dividem uma unidade organizacional pai para os clientes em subunidades
organizacionais para cada site. Essa abordagem permite que a equipe de suporte de cada site crie objetos
de computador no site para computadores cliente e ingresse os computadores no domnio usando esses
objetos de computador.
Independentemente desses exemplos especficos, o mais importante que a estrutura de sua unidade
organizacional reflita seu modelo administrativo, de modo que as suas unidades organizacionais possam
fornecer pontos de gerenciamento nicos para a delegao da administrao.
Alm disso, ao usar unidades organizacionais separadas, voc poder criar vrias configuraes de
linha de base usando GPOs diferentes que so vinculados s unidades organizacionais de cliente e de
servidor. Com a Poltica de Grupo, voc pode especificar a configurao para colees de computadores,
vinculando GPOs que contm instrues de configurao a unidades organizacionais. comum as
organizaes separarem os clientes em unidades organizacionais de rea de trabalho e de laptop.
Voc pode vincular os GPOs que especificam a configurao da rea de trabalho ou do laptop
s unidades organizacionais apropriadas.
Observao: Voc pode usar a ferramenta de linha de comando Redircmp.exe para
reconfigurar o continer de computador padro. Por exemplo, se desejar alterar o continer
de computador padro para uma unidade organizacional denominada mycomputers,
use esta sintaxe:
redircmp ou=mycomputers,DC=contoso,dc=com

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-21
Controle de permisses para criar contas de computador
Para ingressar um computador em um domnio
do Active Directory, quatro condies devem
ser satisfeitas:
Um objeto de computador deve existir
no servio de diretrio.
Voc deve ter permisses apropriadas no
objeto de computador que lhe permitam
ingressar um computador fsico no domnio
usando um nome que corresponda
ao existente no objeto no AD DS.
Voc deve ser membro do grupo local
Administradores no computador. Isso lhe permitir alterar o domnio do computador ou a associao
do grupo de trabalho.
Voc no deve ter excedido o nmero mximo de contas de computador que possvel adicionar
ao domnio. Por padro, os usurios somente podem adicionar, no mximo, dez computadores
ao domnio; esse valor conhecido como a cota de conta da mquina e controlado pelo valor
de MS-DS-MachineQuota. Voc pode modificar esse valor usando o snap-in do ADSIEdit.
Observao: Voc no precisa criar um objeto de computador no servio de diretrio,
mas isso recomendvel. Vrios administradores ingressam computadores em um domnio sem
primeiro criar um objeto de computador. Porm, quando voc faz isso, o Windows Server tenta
ingressar o domnio em um objeto existente. Quando o Windows Server no localiza o objeto,
ele realiza failback e cria um objeto de computador no continer padro Computador.
O processo de criao antecipada de uma conta de computador denominado pr-configurao
de um computador. H duas vantagens principais de pr-configurar um computador:
A conta colocada na unidade organizacional correta e, portanto, delegada de acordo
com a poltica de segurana definida pela ACL da unidade organizacional.
O computador estar dentro do escopo dos GPOs vinculados unidade organizacional,
antes de o computador ingressar no domnio.
Aps receber permisso para criar objetos de computador, voc poder fazer isso clicando com o boto
direito do mouse na unidade organizacional e, no menu Novo, clicando em Computador. Em seguida,
insira o nome do computador, seguindo a conveno de nomenclatura de sua empresa, e selecione
o usurio ou o grupo que ter permisso para ingressar o computador no domnio com essa conta.
O dois nomes computador, Nome de Computador e Nome de Computador (anterior ao Windows 2000),
devem ser idnticos. Muito raramente h uma justificativa para configur-los separadamente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Delegao de permisses
Por padro, os grupos Administradores de Empresa, Admins. do Domnio, Administradores e Operadores
de Conta tm permisso para criar objetos de computador em qualquer nova unidade organizacional.
Porm, conforme discutido anteriormente, recomendamos que voc restrinja a associao rigorosamente
nos trs primeiros grupos e no adicione Administradores ao grupo Operadores de Conta.
Nesse caso, delegue a permisso para criar objetos de computador (denominada Criar Computador
objetos) aos administradores ou equipe de suporte apropriada. Essa permisso, que atribuda ao
grupo de uma unidade organizacional, permite que os membros do grupo criem objetos de computador
nessa unidade organizacional. Por exemplo, voc pode permitir que sua equipe de suporte de rea de
trabalho crie objetos de computador na unidade organizacional de clientes e que seus administradores de
servidor de arquivos criem objetos de computador na unidade organizacional de servidores de arquivos.
Para delegar permisses para criar contas de computador, voc pode usar o Assistente para Delegao
de Controle a fim de escolher uma tarefa personalizada para delegar.
Ao delegar permisses para gerenciar contas de computador, voc pode conceder permisses adicionais
alm das necessrias para criar contas de computador. Por exemplo, voc pode decidir permitir que um
administrador delegado gerencie as propriedades das contas de computador existentes, excluir a conta
de computador ou mover a conta de computador.
Observao: Se desejar permitir que um administrador delegado mova contas de
computador, observe que ele requer a permisso apropriada tanto no continer do AD DS
(onde o computador j existe) quanto no continer de destino (para o qual mover
o computador). Especificamente, ele deve ter as permisses Excluir Computador no
continer de origem e as permisses Criar Computador no continer de destino.
Contas de computador e canais de segurana
Todo computador membro de um domnio
do AD DS mantm uma conta de computador
com um nome de usurio (SamAccountName)
e uma senha, da mesma forma que uma conta
de usurio. O computador armazena sua senha
na forma de um segredo LSA (autoridade de
segurana local) e altera a senha no domnio
a cada 30 dias aproximadamente. O servio
NetLogon usa as credenciais para fazer logon
no domnio, que estabelece o canal de segurana
com um controlador de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-23
As contas de computador e as relaes seguras entre computadores e seu domnio so robustas.
No entanto, alguns cenrios podem ocorrer em que um computador no consiga mais se autenticar
com o domnio. Alguns exemplos desses cenrios so apresentados a seguir:
Aps reinstalar o sistema operacional em uma estao de trabalho, a estao de trabalho no
consegue se autenticar, embora o tcnico tenha usado o mesmo nome de computador da instalao
anterior. Como a nova instalao gerou um novo SID e o novo computador no sabe a senha original
da conta de computador no domnio, ela no pertence ao domnio e no pode se autenticar
no domnio.
Um computador no foi usado por um longo perodo, talvez porque o usurio estivesse de frias
ou trabalhando longe do escritrio. Os computadores mudam de senha a cada 30 dias, e o AD DS
lembra-se das senhas atual e anterior. Se o computador no for usado dentro desse perodo, poder
ocorrer falha da autenticao.
O segredo LSA de um computador fica fora de sincronizao com a senha conhecida do domnio.
Voc pode imaginar que o computador tenha esquecido a senha. Embora no tenha esquecido
a senha, ele simplesmente discorda do domnio em relao senha real. Quando isso ocorrer,
o computador no poder ser autenticado, e o canal de segurana no poder ser criado.
Redefinio do canal de segurana
Ocasionalmente, a relao de segurana entre
uma conta de computador e seu domnio pode
ser interrompida, o que resulta em vrios sintomas
e erros. Os sinais mais comuns de problemas
com a conta de computador so:
As mensagens no logon indicam que
um controlador de domnio no pode
ser contatado, que a conta de computador
pode estar ausente, que a senha na conta de
computador est incorreta ou que a relao
de confiana (outro modo de denominar
a relao de segurana) entre o computador
e o domnio foi perdida.
As mensagens de erro ou os eventos no log de eventos indicam problemas semelhantes ou sugerem
falhas de senhas, relaes de confiana, canais de segurana ou relaes com o domnio ou com um
controlador de domnio. Um desses erros o NETLOGON ID do Evento 3210: Falha na autenticao
que aparece no log de eventos do computador.
Uma conta de computador est ausente no AD DS.
Quando o canal de segurana falhar, voc deve redefini-lo. Vrios administradores fazem isso removendo
o computador do domnio, colocando-o em um grupo de trabalho e, em seguida, reingressando-o no
domnio. Porm, essa no uma prtica recomendada, pois tem a possibilidade de excluir a conta de
computador completamente. A excluso da conta de computador remove o SID do computador e,
principalmente, suas associaes de grupo. Quando voc reingressa-o no domnio executando esse
procedimento, embora o computador tenha o mesmo nome, a conta tem um novo SID e todas as
associaes de grupo do objeto de computador anterior devem ser recriadas para incluir o novo SID.
Portanto, se a relao de confiana com o domnio tiver sido perdida, no remova um computador
do domnio e depois reingresse-o. Em vez disso, redefina o canal de segurana. Isso garantir que
a conta de computador existente poder ser reutilizada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Para redefinir o canal de segurana entre um membro de domnio e o domnio, use o snap-in Usurios
e Computadores do Active Directory, DSMod.exe, NetDom.exe ou NLTest.exe. Se voc redefinir a conta,
o SID do computador permanecer o mesmo e manter suas associaes de grupo.
Para redefinir o canal de segurana usando o Central Administrativa do Active Directory:
1. Clique com o boto direito do mouse em um computador e clique em Redefinir Conta.
2. Clique em Sim para confirmar sua escolha.
3. Reingresse o computador no domnio e reinicie o computador.
Para redefinir o canal de segurana usando DSMod:
1. Em um prompt de comando, digite o seguinte comando:
dsmod computer ComputerDN reset
2. Reingresse o computador no domnio e reinicie o computador.
Para redefinir o canal de segurana usando NetDom.exe, digite o seguinte comando em um prompt
de comando, onde as credenciais pertencem ao grupo local Administradores do computador:
netdom reset MachineName /domain DomainName /UserO UserName /PasswordO {Password |
*}
Esse comando redefine o canal de segurana tentando redefinir a senha no computador e no domnio,
portanto, ele no exige reingresso ou reinicializao.
Para redefinir o canal de segurana usando NLTest.exe, no computador que perdeu sua relao
de confiana, digite o seguinte comando em um prompt de comando:
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER
Voc tambm pode usar o Windows PowerShell com mdulo Active Directory para redefinir uma conta
de computador. O exemplo a seguir demonstra como redefinir o canal de segurana entre o computador
local e o domnio no qual feito seu ingresso.
Voc deve executar este comando no computador local:
Test ComputerSecureChannel Repair
Observao: Voc tambm pode redefinir a senha de um computador remoto com
o Windows PowerShell:
invoke-command -computername Workstation1 -scriptblock {reset-computermachinepassword}
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-25
Lio 4
Delegao da administrao
Embora uma nica pessoa possa gerenciar uma rede pequena com algumas contas de usurio e de
computador, medida que a rede aumentar, o volume de trabalho relacionado ao gerenciamento da
rede tambm aumentar. Em um certo momento, as equipes com especializaes especficas evoluem,
cada uma com responsabilidade por algum aspecto especfico do gerenciamento de rede. Nos ambientes
do AD DS, prtica comum criar unidades organizacionais para organizar os objetos em rede em
uma estrutura departamental ou geogrfica e habilitar a configurao da delegao administrativa.
importante que voc saiba por que e como criar unidades organizacionais e como delegar tarefas
administrativas aos usurios nos objetos dentro dessas unidades organizacionais.
Objetivos da lio
Descrever as permisses do AD DS.
Determinar as permisses efetivas de AD DS de um usurio em um objeto AD DS.
Delegar o controle administrativo de um objeto AD DS a um usurio ou grupo de usurios
especificado.
Permisses do AD DS
Todos os objetos AD DS, como usurios,
computadores e grupos, podem ser protegidos
usando uma lista de permisses. As permisses
em um objeto so chamadas de ACEs (entradas
de controle de acesso) e so atribudas a usurios,
grupos ou computadores, que tambm so
conhecidos como entidades de segurana. As
ACEs so salvas na DACL (lista de controle de
acesso discricionrio) do objeto, que faz parte
da ACL do objeto. A ACL contm a SACL (lista
de controle de acesso do sistema) que inclui
configuraes de auditoria.
Cada objeto no AD DS tem sua prpria ACL. Se voc tiver permisses suficientes, poder modificar as
permisses para controlar o nvel de acesso em um objeto AD DS especfico. A delegao do controle
administrativo envolve a atribuio de permisses que gerenciem o acesso a objetos e propriedades no
AD DS. Da mesma maneira que voc pode permitir que um grupo altere arquivos em uma pasta, voc
tambm pode permitir que um grupo, por exemplo, redefina senhas em objetos de usurio.
A DACL de um objeto tambm permite que voc atribua permisses s propriedades especficas de um
objeto. Por exemplo, voc pode permitir (ou negar) permisso para alterar as opes de telefone e email.
Isso, na verdade, no apenas uma propriedade. Ela forma um conjunto de propriedades que inclui vrias
propriedades especficas. A utilizao de conjuntos de propriedades permite que voc gerencie facilmente
os conjuntos de propriedades mais usados com frequncia. Entretanto, voc tambm pode atribuir
permisses mais granulares e permitir ou negar permisso para alterar apenas algumas informaes,
como o nmero de telefone do celular ou o endereo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A atribuio da permisso de suporte tcnico para redefinir as senhas de cada objeto de usurio
individual entediante. Mesmo assim, no AD DS, no uma prtica recomendada atribuir permisses
a objetos individuais. Em vez disso, voc deve atribuir permisses no nvel de unidade organizacional.
As permisses que voc atribui a uma unidade organizacional so herdadas por todos os objetos da
unidade organizacional. Portanto, se voc der a permisso de suporte tcnico para redefinir as senhas
dos objetos de usurio e anexar essa permisso unidade organizacional que contm os usurios, todos
os objetos de usurio dentro dessa unidade organizacional herdaro essa permisso. Em apenas uma
nica etapa, voc ter delegado essa tarefa administrativa.
Os objetos filho herdam as permisses do continer pai ou da unidade organizacional. Esse continer
ou essa unidade organizacional herda suas permisses da unidade organizacional do continer pai. Se
for uma unidade organizacional ou um continer de primeiro nvel, ele herdar as permisses do prprio
domnio. O motivo de os objetos filho herdarem as permisses de seus pais que, por padro, cada
novo objeto criado com a opo Incluir permisses herdveis provenientes do pai deste objeto
habilitada.
Permisses efetivas do AD DS
As permisses efetivas so as permisses
resultantes para uma entidade de segurana
(como um usurio ou um grupo), com base no
efeito cumulativo de cada ACE herdada e explcita.
Por exemplo, a sua capacidade de redefinir a
senha de um usurio pode estar vinculada sua
associao em um grupo com permisso Redefinir
Senha em uma unidade organizacional vrios
nveis acima do objeto de usurio. A permisso
herdada atribuda a um grupo ao qual voc
pertence resulta na permisso efetiva Permitir:
Redefinir Senha. Suas permisses efetivas podem
ser complicadas quando voc considerar as permisses Permitir e Negar, as ACEs explcitas e herdadas e
o fato de voc poder pertencer a vrios grupos, cada um dos quais podendo obter permisses diferentes.
As permisses, independentemente de serem atribudas sua conta de usurio ou a um grupo ao qual
voc pertence, so equivalentes. Isso significa que uma ACE aplica-se basicamente a voc, o usurio.
Como prtica recomendada, gerencie as permisses atribuindo-as a grupos, mas tambm possvel
atribuir ACEs a usurios ou computadores individuais. Uma permisso atribuda diretamente a voc,
o usurio, no mais importante nem menos importante do que uma permisso atribuda a um grupo
ao qual voc pertence.
As permisses Permitir, que permitem acesso, so cumulativas. Quando voc pertencer a vrios grupos,
e quando esses grupos tiverem obtido permisses que permitam uma variedade de tarefas, voc poder
executar todas as tarefas atribudas a todos esses grupos e as tarefas atribudas diretamente sua conta
de usurio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-27
As permisses Negar, que negam acesso, substituem as permisses Permitir equivalentes. Se voc estiver
em um grupo com permisso para redefinir senhas e tambm estiver em outro grupo cuja permisso
para redefinir senhas tenha sido negada, a permisso Negar lhe impedir de redefinir senhas.
Observao: Use raramente as permisses Negar. Na verdade, desnecessrio atribuir
as permisses Negar, pois se voc no atribuir uma permisso Permitir, os usurios no podero
executar a tarefa. Antes de atribuir uma permisso Negar, certifique-se de que voc no consiga
atingir seu objetivo removendo uma permisso Permitir. Por exemplo, se desejar delegar uma
permisso Permitir a um grupo, mas isentar apenas um membro desse grupo, voc poder
usar uma permisso Negar nessa conta de usurio especfica enquanto o grupo ainda mantm
a permisso Permitir.
Toda permisso granular. At mesmo se fosse negado a voc a capacidade de redefinir senhas, ainda
seria possvel voc obter essa capacidade atravs de outras permisses Permitir para alterar o nome
de logon ou o endereo de email do usurio.
Como os objetos filho herdam as permisses herdveis dos objetos pai, por padro, e como as permisses
explcitas podem substituir as permisses herdveis, uma permisso explcita Permitir na verdade
substituir uma permisso herdada Negar.
Infelizmente, a interao complexa das permisses de usurio, de grupo, explcitas, herdadas, Permitir
e Negar podem tornar as permisses efetivas entediantes. Voc pode usar as permisses relatadas pelo
comando DSACL ou listadas na guia Acesso Efetivo da caixa de dilogo Configuraes de Segurana
Avanadas para comear a avaliar as permisses efetivas, mas isso ainda uma tarefa manual.
Demonstrao: Delegao do controle administrativo
Delegar uma tarefa padro.
Delegar uma tarefa personalizada.
Exibir permisses do AD DS resultantes dessas delegaes.
Delegar uma tarefa padro
1. Abra Usurios e Computadores do Active Directory.
2. Use o Assistente para Delegao de Controle para conceder ao grupo IT as seguintes tarefas
de gerenciamento padro na unidade organizacional IT:
o Criar, excluir e gerenciar contas de usurio
o Redefinir senhas de usurio e forar alterao no prximo logon
o Ler todas as informaes dos usurios
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Delegar uma tarefa personalizada
Use o Assistente para Delegao de Controle para conceder ao grupo IT as seguintes permisses
na unidade organizacional IT:
o Controle total em objetos de computador
o Criar objetos de computador
o Excluir objetos de computador
Exibir permisses do AD DS resultantes dessas delegaes
1. Habilite a exibio Recursos avanados em Usurios e Computadores do Active Directory.
2. Exiba as Propriedades da unidade organizacional IT.
3. Use a guia Segurana para verificar as permisses atribudas. Feche todas as janelas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-29
Laboratrio: Gerenciamento de objetos dos Servios
de Domnio do Active Directory
Cenrio
Inglaterra. Um escritrio de IT e um data center esto localizados em Londres para dar suporte ao
escritrio de Londres e a outros locais. Recentemente, a A. Datum implantou uma infraestrutura
do Windows Server 2012 com clientes Windows 8.
Voc tem trabalhado para a A. Datum como especialista de suporte de desktop e inspecionou os
computadores desktop para solucionar problemas de aplicativo e de rede. Voc aceitou uma promoo
recentemente para a equipe de suporte de servidores. Uma de suas primeiras atribuies foi configurar
o servio de infraestrutura para uma nova filial.
Para comear a implantao da nova filial, voc est preparando objetos AD DS. Como parte dessa
preparao, voc precisa criar uma unidade organizacional para a filial e delegar permisso para
gerenci-la. Depois disso, voc precisar criar usurios e grupos para a nova filial. Finalmente, voc
precisar redefinir o canal de segurana para uma conta de computador que perdeu conectividade
com o domnio na filial.
Objetivos
Delegar a administrao de uma filial.
Criar e configurar contas de usurio no AD DS.
Gerenciar objetos de computador no AD DS.

24410B-LON-CL1
Nome de usurio ADATUM\Administrator
Senha Pa$$w0rd
1. No computador host, em Iniciar, aponte para Ferramentas Administrativas e clique em
Gerenciador Hyper-V.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
a. Nome de usurio: Administrador
b. Senha: Pa$$w0rd
c. Domnio: ADATUM
5. Repita as etapas 2 a 4 para 24410B-LON-CL1.
Exerccio 1: Delegao da administrao de uma filial
Cenrio
A A. Datum delega o gerenciamento de cada filial a um grupo especfico. Isso permite que um
funcionrio que trabalha no local seja configurado como um administrador quando necessrio. Cada filial
tem um grupo de administradores de filial capaz de executar administrao completa dentro da unidade
organizacional Filial. Tambm h um grupo de suporte tcnico de filial capaz de gerenciar os usurios
da unidade organizacional Filial, mas no outros objetos. Voc precisa criar esses grupos para a nova
filial e delegar permisses aos grupos.
1. Delegar a administrao para Administradores de Filial
2. Delegar um administrador de usurio para o Suporte Tcnico da Filial
3. Adicionar um membro a Administradores da Filial
4. Adicionar um membro ao grupo Suporte Tcnico da Filial
Tarefa 1: Delegar a administrao para Administradores de Filial
1. Em LON-DC1, abra Usurios e Computadores do Active Directory e crie no domnio Adatum.com
uma nova unidade organizacional denominada Filial 1.
2. Crie os seguintes grupos de segurana global na unidade organizacional Filial 1:
o Suporte Tcnico da Filial 1
o Administradores da Filial 1
o Usurios da Filial 1
3. Mova Holly Dickson da unidade organizacional IT para a unidade organizacional Filial 1.
4. Mova os seguintes usurios para a unidade organizacional Filial 1:
o Development\Bart Duncan
o Managers\Ed Meadows
o Marketing\Connie Vrettos
o Research\Barbara Zighetti
o Sales\Arlene Huff
5. Mova o computador LON-CL1 para a unidade organizacional Filial 1 e, em seguida,
reinicie o computador LON-CL1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-31
6. Entre em LON-CL1 como ADATUM\Administrador com a senha Pa$$w0rd.
7. Em LON-DC1, em Usurios e Computadores do Active Directory, use o Assistente para Delegao
de Controle para delegar a administrao da unidade organizacional Filial 1 ao grupo de segurana
Administradores da Filial 1, delegando as seguintes tarefas comuns e personalizadas:
a. Delegue as seguintes tarefas comuns:
Criar, excluir e gerenciar contas de usurio
Redefinir senhas de usurio e forar mudana de senha no prximo logon
Ler todas as informaes dos usurios
Criar, excluir e gerenciar grupos
Modificar os membros de um grupo
Gerenciar vnculos de Diretivas de Grupo
b. Delegue as seguintes tarefas personalizadas:
Criar e excluir objetos de computador na unidade organizacional atual
Controlar totalmente os objetos de computador na unidade organizacional atual
Tarefa 2: Delegar um administrador de usurio para o Suporte Tcnico da Filial
1. Em LON-DC1, em Usurios e Computadores do Active Directory, use o Assistente para Delegao
de Controle para delegar a administrao da unidade organizacional Filial 1 ao grupo de segurana
Suporte Tcnico da Filial 1.
2. Delegue as seguintes tarefas comuns:
o Redefinir senhas de usurio e forar mudana de senha no prximo logon
o Modificar os membros de um grupo
Tarefa 3: Adicionar um membro a Administradores da Filial
1. Em LON-DC1, adicione Holly Dickson ao grupo global Administradores da Filial 1.
2. Adicione o grupo global Administradores da Filial 1 ao grupo de domnio local Opers de servidor.
Saia de LON-DC1.
3. Entre como ADATUM\Holly com a senha Pa$$w0rd. Voc pode fazer logon localmente
em um controlador de domnio, pois Holly pertence indiretamente ao grupo de domnio
local Opers de servidores.
4. No Gerenciador de Servidor, abra Usurios e Computadores do Active Directory. Confirme
as credenciais atuais de Holly na caixa de dilogo Controle de Conta de Usurio.
5. Tente excluir Sales\Aaren Ekelund. Voc no consegue porque Holly no tem as permisses
necessrias.
6. Tente excluir Filial 1\Ed Meadows. Voc consegue porque Holly tem as permisses necessrias.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Adicionar um membro ao grupo Suporte Tcnico da Filial
1. Em LON-DC1, adicione Bart Duncan ao grupo global Suporte Tcnico da Filial 1.
2. Feche Usurios e Computadores do Active Directory e, em seguida, feche o Gerenciador de Servidor.
3. Abra o Gerenciador de Servidor e, em seguida, abra Usurios e Computadores
do Active Directory. Na caixa de dilogo Controle de Conta de Usurio, especifique
ADATUM\Administrador e Pa$$w0rd como as credenciais exigidas.
Observao: Para modificar a lista de associao Opers de servidores, voc deve ter permisses
alm das disponveis no grupo Administradores da Filial 1.
4. Adicione o grupo global Suporte Tcnico da Filial 1 ao grupo de domnio local Opers
de servidores. Saia de LON-DC1.
5. Entre como ADATUM\Bart com a senha Pa$$w0rd. Voc pode fazer logon localmente
em um controlador de domnio, pois Bart pertence indiretamente ao grupo de domnio
local Opers de servidores.
6. Abra o Gerenciador de Servidor e, em seguida, abra Usurios e Computadores
do Active Directory. Confirme suas credenciais atuais na caixa de dilogo Controle
de Conta de Usurio.
7. Tente excluir Filial 1\Connie Vrettos. Voc no consegue porque Bart no tem as permisses
necessrias.
8. Redefina a senha de Connie para Pa$$w0rd.
9. Depois de confirmar a redefinio bem-sucedida da senha, saia de LON-DC1.
10. Entre em LON-DC1 como ADATUM\Administrador com a senha Pa$$w0rd.

Resultados: Depois de concluir este exerccio, voc deve ter criado uma unidade organizacional
com xito e delegado a administrao dela ao grupo apropriado.
Exerccio 2: Criao e configurao de contas de usurio no AD DS
Cenrio
Voc recebeu uma lista de novos usurios para a filial e precisa comear a criar contas de usurio
para eles.
1. Criar um modelo de usurio para a filial
2. Definir as configuraes de modelo
3. Criar um novo usurio para a filial, com base no modelo
4. Entrar como um usurio para testar as configuraes de conta
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-33
Tarefa 1: Criar um modelo de usurio para a filial
1. Em LON-DC1, crie uma pasta denominada C:\branch1-userdata, e compartilhe-a.
2. Modifique as permisses de pasta compartilhada, para que o grupo Todos tenha as permisses
Permitir Controle Total.
3. No Gerenciador de Servidor, abra Usurios e Computadores do Active Directory e
crie um novo usurio com as seguintes propriedades na unidade organizacional Filial 1:
o Nome completo: _Branch_template
o Nome de logon do usurio: _Branch_template
o Senha: Pa$$w0rd
o Conta desativada
Tarefa 2: Definir as configuraes de modelo
Em LON-DC1, modifique as seguintes propriedades da conta _Branch_template:
o Cidade: Slough
o Grupo: Usurios da Filial 1
o Pasta base: \\lon-dc1\branch1-userdata\%username%
Tarefa 3: Criar um novo usurio para a filial, com base no modelo
1. Em LON-DC1, copie a conta de usurio _Branch_template e configure as seguintes propriedades:
o Nome: Ed
o Sobrenome: Meadows
o Senha: Pa$$w0rd
o O usurio deve alterar a senha no prximo logon est desmarcada.
o Conta desativada est desmarcada.
2. Verifique se as propriedades a seguir foram copiadas durante a criao da conta:
o Cidade: Slough
o Caminho da pasta base: \\lon-dc1\branch1-userdata\Ed
o Grupo: Usurios da Filial 1
3. Saia de LON-DC1.
Tarefa 4: Entrar como um usurio para testar as configuraes de conta
1. Alterne para LON-CL1 e desconecte-se.
2. Entre em LON-CL1 como ADATUM\Ed com a senha Pa$$w0rd. Voc conseguiu entrar com xito.
3. Verifique se voc tem um mapeamento da unidade Z para a pasta base de Ed em LON-DC1.
4. Saia de LON-CL1.

Resultados: Depois de concluir este exerccio, voc ter criado e testado com xito uma conta de usurio
criada a partir de um modelo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Gerenciamento de objetos de computador no AD DS
Cenrio
Uma estao de trabalho perdeu sua conectividade com o domnio e no consegue autenticar os usurios
corretamente. Quando os usurios tentam acessar recursos dessa estao de trabalho, o acesso negado.
Voc precisa redefinir a conta de computador para recriar a relao de confiana entre o cliente e o
domnio.
1. Redefinir uma conta de computador
2. Observar o comportamento quando um cliente fizer logon
3. Reingressar o domnio para reconectar a conta de computador
Tarefa 1: Redefinir uma conta de computador
1. Em LON-DC1, entre como ADATUM\Holly com a senha Pa$$w0rd.
3. Confirme suas credenciais na caixa de dilogo Controle de Conta de Usurio.
4. Navegue at Filial 1.
5. Redefina a conta de computador LON-CL1.
Tarefa 2: Observar o comportamento quando um cliente fizer logon
1. Alterne para LON-CL1 e tente entrar como ADATUM\Ed com a senha Pa$$w0rd. Uma mensagem
exibida e informa que ocorreu Falha na relao de confiana entre esta estao de trabalho
e o domnio primrio.
2. Clique em OK para confirmar a mensagem.
Tarefa 3: Reingressar o domnio para reconectar a conta de computador
2. Abra o Painel de Controle, alterne para a exibio cones grandes e abra Sistema.
3. Exiba as Configuraes avanadas do sistema e clique na guia Nome do Computador.
4. Na caixa de dilogo Propriedades do Sistema, use o boto ID de Rede para reingressar
o computador no domnio.
5. Preencha o assistente usando as configuraes a seguir:
o Nome de usurio: administrador
o Senha: Pa$$w0rd
o Domnio: ADATUM
o Deseja habilitar uma conta de usurio de domnio nesse computador: No
6. Quando solicitado, reinicie o computador.
7. Entre como ADATUM\Ed com a senha Pa$$w0rd. Voc foi bem-sucedido, pois o computador
foi reingressado com xito.

Resultados: Depois de concluir este exerccio, voc ter redefinido uma relao de confiana com xito.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-35
1. No computador host, inicie o Gerenciador Hyper-V.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1 e clique
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-DC1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Perguntas de reviso
Pergunta: Uma empresa com filiais em vrias cidades tem membros de uma equipe
de vendas que viajam com frequncia entre domnios. Cada um desses domnios tem
impressoras prprias que so gerenciadas usando grupos de domnios locais. Como
voc pode fornecer acesso a esses membros para as vrias impressoras dos domnios?
Pergunta: Voc responsvel por gerenciar as contas e o acesso aos recursos pelos
membros do seu grupo. Um usurio do seu grupo transferido para outro departamento
dentro da empresa. O que voc deve fazer com a conta do usurio?
Pergunta: Qual a principal diferena entre o continer Computadores e uma unidade
organizacional?
Pergunta: Quando voc deve redefinir uma conta de computador? Por que melhor
redefinir a conta de computador em vez de separ-la e depois reingress-la no domnio?
Pergunta: Um gerente de projeto de seu departamento est iniciando um projeto de grupo
que continuar no prximo ano. Vrios usurios do seu departamento e de outros estaro
dedicados ao projeto durante esse perodo. A equipe de projeto deve ter acesso aos mesmos
recursos compartilhados. O gerente de projeto deve ser capaz de gerenciar as contas de
usurio e as contas de grupo no AD DS; entretanto, voc no deseja dar a permisso de
gerente de projeto para que nada alm disso seja gerenciado no AD DS. Qual a melhor
maneira de fazer isso?
Pergunta: Voc est trabalhando como um tcnico de IT na Contoso, Ltd., gerenciando
a infraestrutura baseada no Windows Server. Voc deve descobrir um mtodo para ingressar
novos computadores baseados no Windows 8 em um domnio durante o processo de
instalao, sem a interveno de um usurio ou de um administrador. Qual a melhor
maneira de fazer isso?
Ferramentas
Ferramenta Uso Onde encontrar
Usurios e Computadores
do Active Directory
Gerenciar grupos Ferramentas Administrativas
Mdulo Active Directory
para Windows PowerShell
Gerenciar grupos Instalado como recurso
do Windows
Utilitrios do DS Gerenciar grupos Linha de comando
Mdulo Active Directory
para Windows PowerShell
Gerenciamento de contas
de computador
Ferramentas Administrativas
Djoin.exe Associao offline de domnio Linha de comando
Redircmp.exe Alterar o continer de
computador padro
Linha de comando
DSACLS Exibir e modificar as permisses
do AD DS
Linha de comando

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 3-37
Prtica recomendada
Prticas recomendadas para gerenciamento das contas de usurio
No deixe os usurios compartilharem contas de usurio. Sempre crie uma conta de usurio para
cada indivduo, at mesmo se essa pessoa no permanecer muito tempo na sua organizao.
Instrua os usurios sobre a importncia da segurana da senha.
Certifique-se de escolher uma estratgia de nomenclatura para as contas de usurio que lhe permita
identificar o usurio ao qual a conta est relacionada. Certifique-se tambm de que a sua estratgia
de nomenclatura utilize nomes exclusivos dentro do seu domnio.
Prticas recomendadas para gerenciamento de grupos
Ao gerenciar o acesso aos recursos, tente usar o grupo de domnio local e os grupos de funes.
Somente use grupos universais quando necessrio, pois eles sobrecarregam o trfego de replicao.
Use o Windows PowerShell com o Mdulo Active Directory para os trabalhos em lotes nos grupos.
Evite adicionar usurios a grupos internos e padro.
Prticas recomendadas relacionadas ao gerenciamento das conta de computador
Sempre provisione uma conta de computador antes de ingressar computadores em um domnio
e, em seguida, coloque-a na unidade organizacional apropriada.
Redirecione o continer de computador padro para outro local.
Redefina a conta de computador, em vez de separ-la e reingress-la.
Integre a funcionalidade Associao Offline de Domnio s instalaes autnomas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4-1
Mdulo 4
Como automatizar a administrao dos Servios de Domnio
do Active Directory
Contedo:
Lio 1: Como usar ferramentas de linha de comando para administrao
do AD DS 4-2
Lio 2: Como usar o Windows PowerShell para administrao do AD DS 4-8
Lio 3: Execuo de operaes em massa com o Windows PowerShell 4-15
Laboratrio: Automao da administrao do AD DS usando
o Windows PowerShell 4-23

Viso geral do mdulo
Voc pode usar ferramentas de linha de comando e o Windows PowerShell
para automatizar a
administrao do AD DS (Servios de Domnio do Active Directory
). A automao da administrao
acelera processos que, de outra forma, voc poderia realizar manualmente. O Windows PowerShell
inclui cmdlets para administrao do AD DS e para a realizao de operaes em massa. Voc pode
usar operaes em massa para alterar vrios objetos do AD DS em uma nica etapa em vez de atualizar
cada objeto manualmente.
Objetivos
Usar ferramentas de linha de comando para administrao do AD DS.
Usar cmdlets do Windows PowerShell para administrao do AD DS.
Realizar operaes em massa usando o Windows PowerShell.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4-2 Como automatizar a administrao dos Servios de Domnio do Active Directory
Lio 1
Como usar ferramentas de linha de comando
para administrao do AD DS
O Windows Server
2012 inclui vrias ferramentas de linha de comando que podem ser usadas para
realizar a administrao do AD DS. Muitas organizaes criam scripts que usam ferramentas de linha de
comando para automatizar a criao e o gerenciamento de objetos do AD DS, como contas de usurios
e grupos. necessrio compreender como usar essas ferramentas de linha de comando para garantir
que, se for necessrio, voc possa modificar os scripts usados pela sua organizao.
Objetivos da lio
Descrever os benefcios de usar ferramentas de linha de comando para administrao do AD DS.
Descrever como e quando usar csvde.
Descrever como e quando usar ldifde.
Descrever como e quando usar comandos DS.
Benefcios de usar ferramentas de linha de comando para administrao
do AD DS
Muitos administradores preferem usar
ferramentas grficas para administrao do AD DS
sempre que possvel. Ferramentas grficas,
como o snap-in Usurios e Computadores do
Active Directory, so intuitivas de usar porque
representam as informaes visualmente e
oferecem opes no formato de botes de rdio
e caixas de dilogo. Quando as informaes so
representadas graficamente, voc no precisa
memorizar a sintaxe.
Ferramentas grficas funcionam bem em muitas
situaes, mas no podem ser automatizadas. Para
automatizar a administrao do AD DS, voc precisa de ferramentas de linha de comando. Ferramentas
de linha de comando podem ser usadas em scripts ou podem ser usadas por outros aplicativos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-3
Alguns benefcios do uso de ferramentas de linha de comando so:
Implementao mais rpida de operaes em massa. Por exemplo, possvel exportar uma lista
de novas contas de usurio de um aplicativo de recursos humanos. Voc usa uma ferramenta de
linha de comando ou um script para criar as novas contas de usurio com base nas informaes
exportadas. Isso muito mais rpido do que criar cada nova conta de usurio manualmente.
Processos personalizados para administrao do AD DS. possvel usar um programa grfico
personalizado para coletar informaes sobre um novo grupo e ento criar esse novo grupo.
Quando as informaes so coletadas, o programa grfico pode confirmar que o formato delas,
por exemplo, a conveno de nomenclatura, est correto. Em seguida, o programa grfico usa
uma ferramenta de linha de comando para criar o novo grupo. Esse processo permite a aplicao
de regras especficas da empresa.
Administrao do AD DS no Server Core. A instalao Server Core do Windows Server no pode
executar ferramentas grficas de administrao, como Usurios e Computadores do Active Directory.
No entanto, possvel usar ferramentas de linha de comando no Server Core.
Observao: Voc pode administrar o Server Core remotamente usando ferramentas
grficas.
O que Csvde?
Csvde uma ferramenta de linha de
comando que exporta ou importa objetos do
Active Directory para ou a partir de um arquivo
de valores separados por vrgula (.csv). Muitos
aplicativos so capazes de exportar ou importar
dados de arquivos. csv. Isso torna o csvde til para
interoperabilidade com outros aplicativos, como
bancos de dados ou planilhas.
A principal limitao de csvde que ele no pode
modificar objetos existentes do Active Directory.
Ele apenas pode criar novos objetos. Por exemplo,
voc pode usar csvde para criar um conjunto de
novas contas de usurio, mas no pode us-lo para modificar as propriedades das contas de usurio
depois que elas so criadas. Tambm possvel usar csvde para exportar propriedades de objetos,
como uma lista de usurios e seus endereos de email.
Exportar objetos usando csvde
Para exportar objetos usando csvde, voc precisa especificar pelo menos o nome do arquivo .csv para
o qual os dados sero exportados. Com apenas o nome do arquivo especificado, todos os objetos no
domnio sero exportados.
A sintaxe bsica para usar csvde para exportao :
csvde -f filename

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Outras opes que podem ser usadas com csvde esto listadas na tabela a seguir.
Opo Descrio
-d RootDN Especifica o nome distinto do continer a partir do qual a exportao
comear. O padro o domnio.
-p SearchScope Especifica o escopo da pesquisa em relao ao continer especificado
pela opo -d. A opo SearchScope pode ser base (somente este objeto),
onelevel (objetos dentro deste continer) ou subtree (este continer
e todos os subcontineres). O padro subtree.
-r Filter Limita os objetos retornados queles que correspondem ao filtro. O filtro
se baseia na sintaxe de consulta do protocolo LDAP.
-l ListOfAtrributes Especifica os atributos a serem exportados. Use o nome LDAP para cada
atributo e separe-os com vrgulas.
Terminada a exportao, o arquivo .csv conter uma linha de cabealho e uma linha para cada objeto
que foi exportado. A linha de cabealho uma lista separada por vrgulas com os nomes dos atributos
para cada objeto.
Criar objetos usando csvde
A sintaxe bsica para usar csvde de forma a criar objetos :
csvde -i -f filename -k
O parmetro -i especifica o modo de importao. O parmetro -f identifica o nome de arquivo a partir do
qual importar. O parmetro -k instrui csvde a ignorar mensagens de erro, incluindo a mensagem de erro
O objeto j existe. A opo suppress errors til na importao de objetos para garantir que todos
os objetos possveis sejam criados, em vez de parar quando a importao est parcialmente completa.
O arquivo .csv em uso para uma importao deve ter uma linha de cabealho que contm nomes de
atributos LDAP para os dados no arquivo .csv. Cada linha deve conter exatamente o nmero correto
de itens, conforme especificado na linha de cabealho.
Voc no pode usar csvde para importar senhas, pois as senhas em um arquivo .csv no so protegidas.
Como resultado, as contas de usurio criadas com csvde tm uma senha em branco e esto desabilitadas.
Observao: Para obter mais informaes sobre os parmetros de csvde, em um prompt
de comando, digite csvde /? e pressione Enter.
Leitura adicional: Para obter mais informaes sobre a sintaxe de consulta LDAP, consulte
Noes bsicas sobre consultas LDAP em http://go.microsoft.com/fwlink/?LinkId=168752.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-5
O que Ldifde?
Ldifde uma ferramenta de linha de
comando que voc pode usar para exportar,
criar, modificar ou excluir objetos do AD DS.
Como csvde, ldifde usa dados que esto
armazenados em um arquivo. O arquivo deve
estar no formato LDIF (Formato de Intercmbio
de Dados LDAP). A maioria dos aplicativos no
consegue exportar ou importar dados no
formato LDIF. mais provvel que voc obtenha
dados no formato LDIF a partir de outro servio
de diretrio.
Um arquivo LDIF baseado em texto, com blocos
de linhas que englobam uma nica operao, como criar ou modificar um objeto de usurio. Cada linha
na operao especifica algo sobre essa operao, como um atributo ou o tipo de operao. Uma linha
em branco separa vrias operaes dentro do arquivo LDIF.
Veja a seguir um exemplo de um arquivo LDIF que cria um nico usurio:
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=adatum,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Operations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@adatum.com
mail: bonnie.kearney@adatum.com
Para cada operao em um arquivo LDIF, a linha changetype define a operao a ser realizada.
Os valores vlidos so add, modify ou delete.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exportar objetos usando Ldifde
Ao usar ldifde para exportar objetos, as informaes mnimas que voc deve fornecer so um nome
de arquivo para manter os dados. Quando nenhuma outra opo selecionada, todos os objetos
no domnio so exportados.
A sintaxe bsica para exportar objetos usando LDIFE :
ldifde -f filename
Algumas outras opes que podem ser usadas ao exportar objetos com ldifde esto listadas na tabela
a seguir.
Opo Descrio
-d RootDN A raiz da pesquisa LDAP. O padro a raiz do domnio.
-r Filter Um filtro de pesquisa LDAP que limita os resultados retornados.
-p SearchScope O escopo, ou profundidade, da pesquisa. Ele pode ser:
subtree (este continer e todos os contineres filhos)
base (somente os objetos filhos imediatos do continer)
onelevel (este continer e seus contineres filhos imediatos)
-l ListOfAttributes Uma lista separada por vrgulas de atributos a serem includos na exportao.
-o ListOfAttributes Uma lista separada por vrgulas de atributos a serem excludos da exportao.
Importar objetos usando Ldifde
Ao usar ldifde para importar objetos, voc deve especificar a operao a ser realizada nesses objetos.
Para cada operao em um arquivo LDIF, a linha changetype define a operao a ser realizada.
A sintaxe bsica para usar ldifde de forma a importar objetos :
ldifde -i -f filename -k
O parmetro -i especifica o modo de importao. O parmetro -f identifica o nome de arquivo a partir
do qual importar. O parmetro -k instrui ldifde a ignorar erros, incluindo o erro O objeto j existe.
A opo suppress errors til na importao de objetos para garantir que todos os objetos possveis
sejam criados, em vez de parar quando a importao est parcialmente completa.
Voc no pode usar ldifde para importar senhas, pois as senhas em um arquivo LDIF no estariam
seguras. Como resultado, as contas de usurio criadas por ldifde tm uma senha em branco e esto
desabilitadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-7
O que so comandos DS?
O Windows Server 2012 inclui ferramentas de
linha de comando chamadas de comandos DS,
que so adequados para uso em scripts. Voc
pode usar ferramentas de linha de comando DS
para criar, visualizar, modificar e remover objetos
do AD DS. A tabela a seguir descreve ferramentas
de linha de comando DS.

Ferramenta Descrio
DSadd Cria objetos do AD DS.
DSget Exibe propriedades de objetos do AD DS.
DSquery Procura objetos do AD DS.
DSmod Modifica objetos do AD DS.
DSrm Remove objetos do AD DS.
DSmove Move objetos do AD DS.
Exemplos de comandos para o gerenciamento de usurios
Veja a seguir alguns exemplos de comandos DS que voc pode digitar em um prompt de comando.
Para modificar o departamento de uma conta de usurio, digite:
dsmod user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" -dept IT
Para exibir o email de uma conta de usurio, digite:
dsget user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" -email
Para excluir uma conta de usurio, digite:
dsrm "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"
Para criar uma nova conta de usurio, digite:
dsadd user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"
Pergunta: Que critrios voc pode usar para escolher entre csvde, ldifde e os comandos DS?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Como usar o Windows PowerShell para administrao
do AD DS
O Windows PowerShell o ambiente de script preferencial no Windows Server 2012. Ele muito
mais fcil de usar em comparao s linguagens de script anteriores, como o Microsoft
Visual Basic
Scripting Edition (VBScript). O Windows PowerShell inclui uma ampla lista de cmdlets para gerenciar
objetos do AD DS. Voc pode usar cmdlets para criar, modificar e remover contas de usurio, grupos,
contas de computador e unidades organizacionais (UOs).
Objetivos da lio
Usar cmdlets do Windows PowerShell para gerenciar contas de usurio.
Usar cmdlets do Windows PowerShell para gerenciar grupos.
Usar cmdlets do Windows PowerShell para gerenciar contas de computador.
Usar cmdlets do Windows PowerShell para gerenciar UOs.
Como usar cmdlets do Windows PowerShell para gerenciar contas
de usurio
Voc pode usar cmdlets do Windows PowerShell
para criar, modificar e excluir contas de usurio.
Esses cmdlets podem ser usados para operaes
individuais ou como parte de um script para
realizar operaes em massa. Alguns dos cmdlets
para o gerenciamento de contas de usurio esto
listados na tabela a seguir.
Cmdlet Descrio
New-ADUser Cria contas de usurio.
Set-ADUser Modifica propriedades de contas de usurio.
Remove-ADUser Exclui contas de usurios.
Set-ADAccountPassword Redefine a senha de uma conta de usurio.
Set-ADAccountExpiration Modifica a data de expirao de uma conta de usurio.
Unlock-ADAccount Desbloqueia uma conta de usurio quando ela bloqueada depois
de exceder o nmero aceito de tentativas de logon incorretas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-9
(continuao)
Cmdlet Descrio
Enable-ADAccount Habilita uma conta de usurio.
Disable-ADAccount Desabilita uma conta de usurio.
Criar novas contas de usurio
Ao usar o cmdlet New-ADUser para criar novas contas de usurio, voc pode definir a maioria das
propriedades do usurio, incluindo uma senha. Por exemplo:
Se voc no usar o parmetro -AccountPassword, nenhuma senha ser definida, e a conta de
usurio ficar desabilitada. O parmetro -Enabled no pode ser definido como $true quando
nenhuma senha est definida.
Se voc usar o parmetro -AccountPassword para especificar uma senha, ser necessrio especificar
uma varivel que contenha a senha como uma cadeia de caracteres segura ou optar por receber um
prompt de senha. Uma cadeia de caracteres segura criptografada na memria. Se voc definir uma
senha, ser possvel habilitar a conta de usurio definindo o parmetro -Enabled como $true.
Alguns parmetros comuns usados para o cmdlet New-ADUser esto listados na tabela a seguir.
Parmetro Descrio
AccountExpirationDate Define a data de expirao da conta de usurio.
AccountPassword Define a senha para a conta de usurio.
ChangePasswordAtLogon Exige que a conta de usurio troque de senha no prximo logon.
Department Define o departamento para a conta de usurio.
Habilitado Define se a conta de usurio est habilitada ou desabilitada.
HomeDirectory Define o local do diretrio base para uma conta de usurio.
HomeDrive Define as letras de unidade que so mapeadas para o diretrio base
de uma conta de usurio.
GivenName Define o nome de uma conta de usurio.
Surname Define o sobrenome de uma conta de usurio.
Path Define a UO ou o continer em que a conta de usurio ser criada.
Veja a seguir um exemplo de comando que voc pode usar para criar uma conta de usurio com um
prompt de senha:
New-ADUser "Sten Faerch" -AccountPassword (Read-Host -AsSecureString "Digitar senha")
-Department IT
Pergunta: Todos os parmetros de cmdlets que voc usa para gerenciar contas de usurio
so os mesmos?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como usar cmdlets do Windows PowerShell para gerenciar grupos
Voc pode usar o Windows PowerShell para criar,
modificar e excluir grupos. Esses cmdlets podem
ser usados para operaes individuais ou como
parte de um script para realizar operaes em
massa.
Alguns dos cmdlets para o gerenciamento de
grupos esto listados na tabela a seguir.
Cmdlet Descrio
New-ADGroup Cria novos grupos.
Set-ADGroup Modifica as propriedades de grupos.
Get-ADGroup Exibe as propriedades de grupos.
Remove-ADGroup Exclui grupos.
Add-ADGroupMember Adiciona membros a grupos.
Get-ADGroupMember Exibe a associao de grupos.
Remove-ADGroupMember Remove membros de grupos.
Add-ADPrincipalGroupMembership Adiciona uma associao de grupo a objetos.
Get-ADPrincipalGroupMembership Exibe a associao de grupo de objetos.
Remove-ADPrincipalGroupMembership Remove a associao de grupo de um objeto.
Criar novos grupos
Voc pode usar o cmdlet New-ADGroup para criar grupos. No entanto, quando voc cria grupos
usando o cmdlet New-ADGroup, voc deve usar o parmetro GroupScope alm do nome do grupo.
Esse o nico parmetro necessrio. A tabela a seguir lista os parmetros comumente usados
para New-ADGroup.
Parmetro Descrio
Name (Nome) Define o nome do grupo.
GroupScope Define o escopo do grupo como DomainLocal, Global ou Universal.
Voc deve fornecer esse parmetro.
DisplayName Define o nome de exibio LDAP do objeto.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-11
(continuao)
Parmetro Descrio
GroupCategory Define se um grupo de segurana ou um grupo de distribuio. Se voc
no especificar nada, um grupo de segurana ser criado.
ManagedBy Define um usurio ou grupo que pode gerenciar o grupo.
Path Define a UO ou o continer no qual o grupo criado.
SamAccountName Define um nome que compatvel com sistemas operacionais mais antigos.
O comando a seguir um exemplo do que voc pode digitar em um prompt do Windows PowerShell
para criar um novo grupo:
New-ADGroup -Name "CustomerManagement" -Path "ou=managers,dc=adatum,dc=com" -GroupScope
Global -GroupCategory Security
Gerenciar a associao a um grupo
Existem dois conjuntos de cmdlets que voc pode usar para gerenciar a associao a um grupo: *-
ADGroupMember e *-ADPrincipalGroupMembership. A distino entre esses dois conjuntos
de cmdlets a perspectiva usada ao modificar a associao de grupo. Esses conjuntos so:
Os cmdlets *-ADGroupMember modificam a associao de um grupo. Por exemplo, voc pode
adicionar ou remover membros de um grupo.
o No possvel conectar uma lista de membros a esses cmdlets.
o possvel transmitir uma lista de grupos para esses cmdlets.
Os cmdlets *-ADPrincipalGroupMembership modificam a associao de grupo de um objeto,
como um usurio. Por exemplo, voc pode modificar uma conta de usurio para adicion-la
como membro de um grupo.
o possvel conectar uma lista de membros a esses cmdlets.
o No possvel fornecer uma lista de grupos para esses cmdlets.
Observao: Ao conectar uma lista de objetos a um cmdlet, voc transmite essa lista
para o cmdlet.
O comando a seguir pode ser usado para adicionar um membro a um grupo:
Add-ADGroupMember CustomerManagement -Members "Joe"
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como usar cmdlets do Windows PowerShell para gerenciar contas de
computador
Voc pode usar o Windows PowerShell para
criar, modificar e excluir contas de computador.
Esses cmdlets podem ser usados para operaes
individuais ou como parte de um script para
realizar operaes em massa. Alguns dos cmdlets
para o gerenciamento de contas de computador
esto listados na tabela a seguir.
Cmdlet Descrio
New-ADComputer Cria uma nova conta de computador.
Set-ADComputer Modifica as propriedades de uma conta de computador.
Get-ADComputer Exibe as propriedades de uma conta de computador.
Remove-ADComputer Exclui uma conta de computador.
Test-ComputerSecureChannel Verifica ou repara a relao de confiana entre
um computador e o domnio.
Reset-ComputerMachinePassword Redefine a senha para uma conta de computador.
Criar novas contas de computador
Voc pode usar o cmdlet New-ADComputer para criar uma nova conta de computador antes
de o computador ingressar no domnio. Isso pode ser feito para que voc possa criar a conta
de computador na UO correta antes de implantar o computador.
A tabela a seguir lista os parmetros comumente usados para New-ADComputer.
Parmetro Descrio
Name (Nome) Define o nome da conta de computador.
Path Define a UO ou o continer em que a conta de computador ser criada.
Habilitado Define se a conta de computador est habilitada ou desabilitada. Por padro,
a conta de computador est habilitada, e uma senha aleatria gerada.
Veja a seguir um exemplo que voc pode usar para criar uma conta de computador:
New-ADComputer -Name LON-SVR8 -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-13
Reparar a relao de confiana para uma conta de computador
Voc pode usar o cmdlet Test-ComputerSecureChannel com o parmetro -Repair para reparar
uma relao de confiana perdida entre um computador e o domnio. Voc deve executar o cmdlet
no computador com a relao de confiana perdida.
Veja a seguir um comando que pode ser usado para reparar a relao de confiana para uma conta
de computador:
Test-ComputerSecureChannel -Repair
Como usar cmdlets do Windows PowerShell para gerenciar UOs
Voc pode usar cmdlets do Windows PowerShell
para criar, modificar e excluir UOs. Esses cmdlets
podem ser usados para operaes individuais ou
como parte de um script para realizar operaes
em massa.
Alguns dos cmdlets para o gerenciamento de UOs
esto listados na tabela a seguir.
Cmdlet Descrio
New-ADOrganizationalUnit Cria UOs.
Set-ADOrganizationalUnit Modifica as propriedades de UOs.
Get-ADOrganizationalUnit Exibe as propriedades de UOs.
Remove-ADOrganizationalUnit Exclui UOs.
Criar novas UOs
Voc pode usar o cmdlet New-ADOrganizationalUnit para criar uma nova UO de forma a representar
departamentos ou locais fsicos dentro da sua organizao.
A tabela a seguir mostra os parmetros usados com frequncia para o cmdlet
New-ADOrganizationalUnit.
Parmetro Descrio
Name (Nome) Define o nome da nova UO.
Path Define o local da nova UO.
ProtectedFromAccidentalDeletion Impede que a UO seja excluda acidentalmente. O valor
padro $true.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O seguinte um exemplo que voc pode usar quando deseja criar uma nova UO:
New-ADOrganizationalUnit -Name Sales -Path "ou=marketing,dc=adatum,dc=com"
-ProtectedFromAccidentalDeletion $true
Pergunta: No exemplo do slide, o parmetro ProtectedFromAccidentalDeletion
necessrio?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-15
Lio 3
Execuo de operaes em massa
com o Windows PowerShell
O Windows PowerShell um poderoso ambiente de script que voc pode usar para realizar em massa
operaes que normalmente seriam entediantes de realizar manualmente. Voc tambm pode realizar
algumas operaes em massa em ferramentas grficas.
Para realizar operaes em massa usando o Windows PowerShell, primeiro voc deve entender como
criar consultas para uma lista de objetos do AD DS e como trabalhar com arquivos .csv. Em seguida,
pode criar scripts que realizam as operaes em massa necessrias.
Objetivos da lio
Descrever operaes em massa.
Usar ferramentas grficas para realizar operaes em massa.
Consultar objetos do AD DS usando o Windows PowerShell.
Modificar objetos do AD DS usando o Windows PowerShell.
Usar arquivos .csv com o Windows PowerShell.
Modificar e executar scripts do Windows PowerShell para realizar operaes em massa.
O que so operaes em massa?
Uma operao em massa uma nica ao que
altera vrios objetos. Realizar uma operao em
massa muito mais rpido do que alterar vrios
objetos individualmente. Alm disso, o processo
tambm pode ser mais preciso, pois realizar
vrias aes individuais aumenta a probabilidade
de erros tipogrficos.
O processo geral para a realizao de operaes
em massa o seguinte:
1. Defina uma consulta. Use a consulta
para selecionar os objetos que voc deseja
modificar. Por exemplo, talvez voc queira
modificar todas as contas de usurios em uma UO especfica.
2. Modifique os objetos definidos pela consulta. Ao usar ferramentas grficas, voc normalmente
seleciona os objetos que deseja modificar e ento edita as propriedades desses objetos. Ao usar
ferramentas de linha de comando, existe a opo de usar uma lista de objetos ou variveis para
identificar os objetos que voc deseja modificar.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Operaes em massa podem ser realizadas com ferramentas grficas, em um prompt de comando ou
com o uso de scripts. Cada mtodo para a realizao de operaes em massa tem capacidades diferentes.
Por exemplo:
Ferramentas grficas tendem a ser limitadas nas propriedades que elas podem modificar.
Ferramentas de linha de comando tendem a ser mais flexveis do que ferramentas grficas na
definio de consultas e apresentam mais opes para modificar propriedades de objetos.
Scripts podem combinar vrias aes de linha de comando para proporcionar maior complexidade
e flexibilidade.
Demonstrao: Como usar ferramentas grficas para realizar operaes
em massa
Voc pode usar as ferramentas grficas Centro Administrativo do Active Directory e snap-in Usurios e
Computadores do Active Directory para modificar as propriedades de vrios objetos ao mesmo tempo.
Observao: Ao usar ferramentas grficas para modificar vrias contas de usurio ao
mesmo tempo, voc fica limitado a modificar as propriedades que aparecem na interface
do usurio.
Para realizar uma operao em massa usando ferramentas grficas, siga estas etapas:
1. Faa uma pesquisa ou crie um filtro para exibir os objetos que voc deseja modificar.
2. Selecione os objetos.
3. Examine as propriedades dos objetos.
4. Modifique as propriedades que voc deseja alterar.
Nesta demonstrao, voc ver como:
Criar uma consulta para todos os usurios.
Configurar o atributo Company para todos os usurios.
Verificar se o atributo Company foi modificado.
Criar uma consulta para todos os usurios
1. Inicie 24410B-LON-DC1 e entre como ADATUM\Administrador usando a senha Pa$$w0rd.
2. Em LON-DC1, abra a Central Administrativa do Active Directory.
3. Navegue at Pesquisa Global e adicione os critrios O tipo de objeto usurio/inetOrgPerson/
computador/grupo/unidade organizacional.
4. Verifique se os critrios adicionados so para o tipo Usurio e faa a pesquisa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-17
Configurar o atributo Company para todos os usurios
1. Selecione todas as contas de usurio e modifique suas propriedades.
2. Digite Empresa como A. Datum.
Verificar se o atributo Company foi modificado
Abra as propriedades de Adam Barr e verifique se Company A. Datum.
Consulta de objetos com o Windows PowerShell
No Windows PowerShell, os cmdlets Get-* so
usados para obter listas de objetos, como contas
de usurio. Voc tambm pode usar esses cmdlets
para gerar consultas em busca de objetos nos
quais possvel realizar operaes em massa.
A tabela a seguir lista os parmetros comumente
usados com os cmdlets Get-AD*.
Parmetro Descrio
SearchBase Define o caminho do AD DS para iniciar a pesquisa, por exemplo, em busca
do domnio ou de uma UO.
SearchScope Define em que nvel abaixo de SearchBase uma pesquisa deve ser realizada.
Voc pode optar por procurar apenas na base, um nvel baixo ou por toda
a subrvore.
ResultSetSize Define quantos objetos devem ser retornados em resposta a uma consulta.
Para garantir que todos os objetos sejam retornados, convm definir esse valor
como $null.
Propriedades Define quais propriedades de objeto devem ser retornadas e exibidas. Para
retornar todas as propriedades, digite um asterisco (*). No necessrio usar
esse parmetro para usar uma propriedade para filtragem.
Criar uma consulta
Voc pode usar o parmetro Filter ou o parmetro LDAPFilter para criar consultas para objetos com
os cmdlets Get-AD*. O parmetro Filter usado para consultas escritas no Windows PowerShell. O
parmetro LDAPFilter usado para consultas escritas como cadeias de caracteres de consulta LDAP.
prefervel usar o Windows PowerShell porque:
mais fcil escrever consultas no Windows PowerShell.
possvel usar variveis dentro de consultas.
H uma converso automtica de tipos de variveis quando necessrio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A tabela a seguir lista os operadores comuns que voc pode usar no Windows PowerShell.
Operador Descrio
-eq Igual a
-ne Diferente de
-lt Menor que
-le Menor que ou igual a
-gt Maior que
-ge Maior que ou igual a
-like Usa curingas para a correspondncia de padres
Veja a seguir um comando que pode ser usado para exibir todas as propriedades de uma conta
de usurio:
Get-ADUser Administrador -Properties *
Veja a seguir um comando que pode ser usado para retornar todas as contas de usurio na UO Marketing
e todas as suas UOs filhas:
Get-ADUser -Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree
Veja a seguir um comando que pode ser usado para mostrar todas as contas de usurio cuja ltima data
de logon anterior a uma data especfica:
Get-ADUser -Filter {lastlogondate -lt "maro 29, 2013"}
Veja a seguir um comando que pode ser usado para mostrar todas as contas de usurio no departamento
de Marketing cuja ltima data de logon anterior a uma data especfica:
Get-ADUser -Filter {(lastlogondate -lt "maro 29, 2013") | (department -eq "Marketing")}
Leitura adicional: Para mais informaes sobre filtragem com cmdlets Get AD*,
consulte about_ActiveDirectory_Filter em http://go.microsoft.com/fwlink/?LinkID=266740.
Pergunta: Qual a diferena entre usar -eq e -like ao comparar cadeias de caracteres?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-19
Modificao de objetos com o Windows PowerShell
Para realizar uma operao em massa, voc
precisa transmitir a lista de objetos consultados
para outro cmdlet de forma a modificar esses
objetos. Na maioria dos casos, os cmdlets
Set-AD* para modificar os objetos.
Para transmitir a lista de objetos consultados a
outro cmdlet para processamento adicional, use o
caractere de barra vertical (|). O caractere de barra
vertical transmite cada objeto da consulta para um
segundo cmdlet, que ento realiza uma operao
especificada em cada objeto.
Veja a seguir um comando que pode ser usado
para contas que no tm o atributo Company definido. Ela gera uma lista de contas de usurio e define
o atributo Company como A. Datum
Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A. Datum"
Veja a seguir um comando que pode ser usado para gerar uma lista de contas de usurio que no fizeram
logon desde uma data especificada e, em seguida, desabilitar essas contas:
Get-ADUser -Filter {lastlogondate -lt "maro 29, 2013"} | Disable-ADAccount
Usar objetos de um arquivo de texto
Em vez de usar uma lista de objetos a partir de uma consulta para realizar uma operao em massa,
voc pode usar uma lista de objetos em um arquivo de texto. Isso til quando voc possui uma lista
de objetos para modificar ou remover, e no possvel gerar essa lista com o uso de uma consulta.
Por exemplo, o departamento de recursos humanos pode gerar uma lista de contas de usurio
a serem desabilitadas. No existe uma consulta que possa identificar uma lista de usurios que
deixaram a organizao.
Quando voc usa um arquivo de texto para especificar uma lista de objetos, esse arquivo deve ter
o nome de cada objeto em uma nica linha.
A seguir, um comando que voc poderia usar para desabilitar as contas de usurio que esto listadas
em um arquivo de texto:
Get-Content C:\users.txt | Disable-ADAccount
Pergunta: Que atributos de uma conta de usurio voc pode usar ao criar uma consulta
usando o parmetro Filter?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como trabalhar com arquivos CSV
Um arquivo .csv pode conter muito mais
informaes do que uma simples lista. Semelhante
a uma planilha, um arquivo .csv pode ter vrias
linhas e colunas de informaes. Cada linha no
arquivo .csv representa um nico objeto, e cada
coluna nesse arquivo representa uma propriedade
do objeto. Isso til para operaes em massa,
como criar contas de usurio, em que vrias
informaes sobre cada objeto so necessrias.
possvel usar o cmdlet Import-CSV para ler o
contedo de um arquivo .csv em uma varivel e
ento trabalhar com os dados. Aps a importao
dos dados para a varivel, voc pode fazer referncia a cada linha individual de dados e a cada coluna
individual de dados. Cada coluna de dados tem um nome que se baseia na linha de cabealho
(a primeira linha) do arquivo .csv. possvel fazer referncia a cada coluna por nome.
Veja a seguir um exemplo de arquivo .csv com uma linha de cabealho:
FirstName,LastName,Department
Greg,Guzik,IT
Robin,Young,Research
Qiong,Wu,Marketing
Usar Foreach para processar dados CSV
Em muitos casos, voc est criando um script que ser reutilizado para vrios arquivos .csv e no sabe
quantas linhas existem em cada arquivo .csv. possvel usar um loop foreach para processar cada linha
em um arquivo .csv. Esse tipo de loop no exige que voc saiba quantas linhas existem. Durante cada
iterao do loop foreach, uma linha do arquivo .csv importada para uma varivel que pode ser
processada.
Veja a seguir um comando que pode ser usado para importar um arquivo .csv para uma varivel
e usar um loop foreach para exibir o primeiro nome de cada linha em um arquivo .csv:
$users=Import-CSV C:\users.csv
Foreach ($i in $users) {
Write Host "The first name is:" $i.FirstName
}
Pergunta: No loop foreach, como $i alterada?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-21
Demonstrao: Execuo de operaes em massa
com o Windows PowerShell
Voc pode usar um script para combinar vrios comandos do Windows PowerShell de forma a realizar
tarefas mais complexas. Em um script, voc costuma usar variveis e loops para processar dados.
Os scripts do Windows PowerShell tm uma extenso .ps1.
A poltica de execuo em um servidor determina se os scripts podem ser executados. A poltica de
execuo padro no Windows Server 2012 RemoteSigned. Isso significa que scripts locais podem
ser executados sem serem digitalmente assinados. Voc pode controlar a poltica de execuo usando
o cmdlet Set-ExecutionPolicy.
Configurar um departamento para os usurios.
Criar uma UO.
Executar um script para criar novas contas de usurio.
Verificar se as novas contas de usurios foram criadas.
Configurar um departamento para os usurios
1. Inicie 24410B-LON-DC1 e entre como ADATUM\Administrador usando a senha Pa$$w0rd.
2. Em LON-DC1, abra um prompt do Windows PowerShell.
3. No prompt do Windows PowerShell, procure contas de usurio na UO Research usando
o seguinte comando:
Get-ADUser Filter * -SearchBase "ou=Research,dc=adatum,dc=com"
4. Defina o atributo Department de todos os usurios da UO Research usando o seguinte comando:
Get-ADUser Filter * -SearchBase "ou=Research,dc=adatum,dc=com" | Set-ADUser -
Department Research
5. Exiba uma lista de usurios formatada em tabela no departamento Research. Exiba o nome distinto
e o departamento usando o seguinte comando:
Get-ADUser Filter 'department -eq "Research"' | Format-Table
DistinguishedName,Department
6. Use o parmetro Properties para permitir que o comando anterior mostre o departamento
corretamente. Usar o seguinte comando:
Get-ADUser Filter 'department -eq "Research"' -Properties Department | Format-Table
DistinguishedName,Department
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Criar uma UO
No prompt do Windows PowerShell, crie uma nova UO denominada LondonBranch usando
o seguinte comando:
New-ADOrganizationalUnit LondonBranch -Path "dc=adatum,dc=com"
Executar um script para criar novas contas de usurio
1. Abra E:\Labfiles\Mod04\DemoUsers.csv e leia a linha de cabealho.
2. Edite DemoUsers.ps1 e examine o contedo do script. Note que o script:
o Faz referncia ao local do arquivo .csv.
o Usa um loop foreach para processar o contedo do arquivo .csv.
o Faz referncia s colunas pelo cabealho no arquivo .csv.
3. No prompt do Windows PowerShell, mude para o diretrio E:\Labfiles\Mod04 e execute o seguinte
comando:
.\DemoUsers.ps1
Verificar se as novas contas de usurios foram criadas
1. No Gerenciador do Servidor, abra a Central Administrativa do Active Directory.
2. No Centro Administrativo do Active Directory, navegue at Adatum (local)>LondonBranch
e verifique se as contas de usurio foram criadas. Observe que as contas esto desabilitadas
porque nenhuma senha foi definida durante a criao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-23
Laboratrio: Automao da administrao do AD DS
usando o Windows PowerShell
Cenrio
Inglaterra. Um escritrio de TI e um data center esto localizados em Londres para dar suporte a Londres
Voc trabalha para a A. Datum h vrios anos como especialista em suporte para desktop. Neste cargo,
voc visitou computadores desktop para solucionar problemas com aplicativos e redes. Voc aceitou
uma promoo recentemente para a equipe de suporte de servidores. Uma de suas primeiras atribuies
foi configurar o servio de infraestrutura para uma nova filial.
Como parte da configurao de uma nova filial, voc precisa criar contas de usurio e de grupo. No
eficiente criar vrios usurios com ferramentas grficas e, portanto, voc usar o Windows PowerShell.
Objetivos
Criar contas de usurios e grupos usando o Windows PowerShell.
Usar o Windows PowerShell para criar contas de usurio em massa.
Usar o Windows PowerShell para modificar contas de usurio em massa.

24410B-LON-CL1
Senha Pa$$w0rd

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
o Nome de usurio: ADATUM\Administrador
o Senha: Pa$$w0rd
5. Repita as etapas 2 e 3 para 24410B-LON-CL1. No entre em LON-CL1 at receber instrues.
Exerccio 1: Criao de contas de usurio e grupo usando
o Windows PowerShell
Cenrio
A. Datum Corporation tem uma srie de scripts que foram usados no passado para criar contas
de usurios com o uso de ferramentas de linha de comando. Foi determinado que todos os scripts
futuros sero feitos com o uso do Windows PowerShell. Como primeira etapa na criao de scripts,
voc precisa identificar a sintaxe necessria para gerenciar objetos do AD DS no Windows PowerShell.
1. Criar contas de usurios usando o Windows PowerShell
2. Criar um grupo usando o Windows PowerShell
Tarefa 1: Criar contas de usurios usando o Windows PowerShell
2. No prompt do Windows PowerShell, crie uma nova UO denominada LondonBranch digitando
o seguinte comando:
New-ADOrganizationalUnit LondonBranch
3. Crie uma nova conta de usurio para Ty Carlson na UO LondonBranch usando o seguinte comando:
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname Carlson -Path
"ou=LondonBranch,dc=adatum,dc=com"
4. Altere a senha em branco da nova conta para Pa$$w0rd usando o seguinte comando:
Set-ADAccountPassword Ty
5. Habilite a nova conta de usurio usando o seguinte comando:
Enable-ADAccount Ty
6. Em LON-CL1, entre como Ty usando uma senha de Pa$$w0rd.
7. Verifique se a entrada foi bem-sucedida e saia de LON-CL1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-25
Tarefa 2: Criar um grupo usando o Windows PowerShell
1. Em LON-DC1, no prompt do Windows PowerShell, crie um novo grupo de segurana global para
os usurios na filial de Londres, usando o seguinte comando:
New-ADGroup LondonBranchUsers -Path "ou=LondonBranch,dc=adatum,dc=com" -GroupScope
2. No prompt do Windows PowerShell, adicione Ty como membro de LondonBranchUsers usando
o seguinte comando:
Add-ADGroupMember LondonBranchUsers -Members Ty
3. No prompt do Windows PowerShell, confirme que Ty foi adicionado como membro de
LondonBranchUsers usando o seguinte comando:
Get-ADGroupMember LondonBranchUsers

Resultados: Depois de concluir este exerccio, voc ter criado contas de usurio e grupos usando
Exerccio 2: Como usar o Windows PowerShell para criar contas de usurio
em massa
Cenrio
Voc recebeu um arquivo .csv que contm uma longa lista de novos usurios para a filial. Seria
ineficiente criar esses individualmente com ferramentas grficas. Em vez disso, voc usar um script
do Windows PowerShell para criar os usurios. Uma colega experiente com scripts forneceu a voc
um script que ela mesma criou. Voc precisa modificar esse script para que ele corresponda ao formato
do seu arquivo .csv.
1. Preparar o arquivo .csv
2. Preparar o script
3. Executar o script
Tarefa 1: Preparar o arquivo .csv
1. Em LON-DC1, leia o contedo em E:\Labfiles\Mod04\LabUsers.ps1 para identificar os requisitos
de cabealho para o arquivo .csv
2. Edite o contedo em C:\Labfiles\Mod04\LabUsers.csv e adicione o cabealho apropriado.
Tarefa 2: Preparar o script
1. Em LON-DC1, use o ISE (Ambiente de Script Integrado) do Windows PowerShell para modificar
as variveis em LabUsers.ps1:
o $csvfile: E:\Labfiles\Mod04\labUsers.csv
o $OU: "ou=LondonBranch,dc=adatum,dc=com"
2. Salve o arquivo LabUsers.ps1 modificado.
3. Examine o contedo do script.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Executar o script
1. Em LON-DC1, abra um prompt do Windows PowerShell e execute E:\Labfiles\Mod04\LabUsers.ps1.
2. No prompt do Windows PowerShell, use o seguinte comando para verificar se os usurios foram
criados:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com"
3. Em LON-CL1, entre como Luka usando uma senha de Pa$$w0rd.

Resultados: Depois de concluir este exerccio, voc ter usado o Windows PowerShell para criar contas
de usurio em massa.
Exerccio 3: Como usar o Windows PowerShell para modificar contas
de usurio em massa
Cenrio
Voc recebeu uma solicitao para atualizar todas as contas de usurio na UO da nova filial com o
endereo correto do novo edifcio. Essa solicitao tambm inclui garantir que todas as novas contas
de usurio na filial sejam configuradas para forar os usurios a alterarem suas senhas no prximo logon.
1. Forar todas as contas de usurio em LondonBranch a alterar suas senhas no prximo logon
2. Configurar o endereo para contas de usurio em LondonBranch
Tarefa 1: Forar todas as contas de usurio em LondonBranch a alterar suas senhas no
prximo logon
2. No prompt do Windows PowerShell, crie uma consulta para contas de usurio na UO LondonBranch
usando o seguinte comando:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Format-Wide
DistinguishedName
3. No prompt do Windows PowerShell, modifique o comando anterior para forar todas as contas
de usurio a alterarem suas senhas no prximo logon usando o seguinte comando:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Set-ADUser -
ChangePasswordAtLogon $true
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 4-27
Tarefa 2: Configurar o endereo para contas de usurio em LondonBranch
1. Em LON-DC1, abra a Central Administrativa do Active Directory.
2. Abra as propriedades de todas as contas de usurio em LondonBranch.
3. Defina o endereo para vrios usurios, da seguinte maneira:
o Rua: Filial
o Cidade: Londres
o Pas/Regio: Reino Unido

Resultados: Depois de concluir este exerccio, voc ter modificado contas de usurio em massa.
Quando terminar o laboratrio, retorne todas as mquinas virtuais para o seu estado inicial, seguindo
estas etapas:
em Reverter.
4. Repita as etapas de 2 a 3 para 24410B-LON-DC1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Perguntas de reviso
Pergunta: Um colega est criando um script do Windows PowerShell que cria contas de
usurio a partir de dados em um arquivo .csv. No entanto, esse script est apresentando
erros ao tentar definir uma senha padro. Por que isso pode estar acontecendo?
Pergunta: Voc o administrador de um distrito escolar que cria 20.000 novas contas de
usurio para os alunos todos os anos. O sistema de administrao dos alunos pode gerar
uma lista dos novos alunos e, em seguida, export-la como um arquivo .csv. Aps a
exportao dos dados para um arquivo .csv, de quais informaes voc precisa para
trabalhar com os dados em um script?
Pergunta: O departamento de Pesquisa na sua organizao foi renomeado como
Pesquisa e Desenvolvimento. Voc precisa atualizar a propriedade Department
dos usurios no departamento de Pesquisa para refletir essa alterao.
Voc criou uma consulta para contas de usurio com a propriedade department definida
como Pesquisa, usando o cmdlet Get-ADUser e o parmetro -Filter. Qual a prxima
etapa para atualizar a propriedade department para Pesquisa e Desenvolvimento?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5-1
Mdulo 5
Implementao do IPv4
Contedo:
Lio 1: Viso geral do TCP/IP 5-2
Lio 2: Noes bsicas sobre endereamento IPv4 5-7
Lio 3: Sub-redes e super-redes 5-12
Lio 4: Configurao e soluo de problemas do IPv4 5-18

Viso geral do mdulo
IPv4 o protocolo de rede usado na Internet e nas redes locais. Para garantir que seja possvel
compreender e solucionar problemas da comunicao de rede, essencial que voc entenda
como o IPv4 implementado. Neste mdulo, voc aprender a implantar um esquema de
endereamento IPv4, alm de determinar e solucionar problemas relacionados rede.
Objetivos
Descrever o pacote de protocolos TCP/IP.
Descrever o endereamento IPv4.
Determinar uma mscara de sub-rede necessria para super ou sub-rede.
Configurar IPv4 e solucionar problemas de comunicao do IPv4.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5-2 Implementao do IPv4
Lio 1
Viso geral do TCP/IP
TCP/IP um pacote de protocolos padro do setor que fornece comunicao em uma rede heterognea.
Esta lio fornece uma viso geral do IPv4 e como ele se relaciona com outros protocolos para habilitar
a comunicao de rede. Ela tambm abrange o conceito de soquetes, quais aplicativos eles usam para
aceitar comunicaes de rede. No geral, esta lio fornece uma base para compreender e solucionar
problemas na comunicao de rede.
Objetivos da lio
Descrever os elementos do pacote de protocolos TCP/IP.
Descrever os protocolos individuais que constituem o pacote TCP/IP.
Descrever protocolos da camada de aplicativo TCP/IP.
Descrever um soquete e identificar nmeros de porta para protocolos especificados.
O pacote de protocolos TCP/IP
As tarefas realizadas por TCP/IP no processo de
comunicao so distribudas entre protocolos.
Esses protocolos so organizados em quatro
camadas distintas dentro da pilha TCP/IP:
Camada de aplicativo. Os aplicativos usam
os protocolos da camada de aplicativo
para acessar recursos de rede.
Camada de transporte. Os protocolos
da camada de transporte controlam
a confiabilidade da transferncia de dados
na rede.
Camada da Internet. Os protocolos da camada da Internet controlam a movimentao de pacotes
entre redes.
Camada da interface de rede. Os protocolos da camada da interface de rede definem como os
datagramas da camada da Internet so transmitidos na mdia.
Benefcios das camadas de arquitetura
Em vez de criar um protocolo nico, a diviso das funes de rede em uma pilha de protocolos separados
proporciona vrios benefcios:
Protocolos separados facilitam o suporte a vrias plataformas de computao.
A criao ou a modificao de protocolos para dar suporte a novos padres no exige a modificao
de toda a pilha de protocolos.
A existncia de vrios protocolos em operao na mesma camada permite que os aplicativos
selecionem os protocolos que fornecem apenas o nvel de servio necessrio.
Como a pilha dividida em camadas, o desenvolvimento dos protocolos pode continuar
simultaneamente pela equipe qualificada exclusivamente nas operaes das camadas especficas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-3
Protocolos no conjunto TCP/IP
O modelo OSI (Open Systems Interconnection)
define camadas distintas relacionadas ao
empacotamento, ao envio e ao recebimento
de transmisses de dados por meio de uma
rede. O pacote de protocolos em camadas que
formam a pilha TCP/IP executa essas funes.
Camada de aplicativo
A camada de aplicativo do modelo TCP/IP
corresponde camada de aplicativo, de
apresentao e de sesso do modelo de
referncia OSI. Essa camada fornece servios
e utilitrios que permitem que os aplicativos
acessem recursos de rede.
Camada de transporte
A camada de transporte corresponde camada de transporte do modelo OSI e responsvel
pela comunicao de ponta a ponta usando TCP ou UDP (User Datagram Protocol). O pacote de
protocolos TCP/IP oferece aos programadores de aplicativos a opo de TCP ou UDP ou como
um protocolo da camada de transporte:
TCP. Fornece comunicao confivel orientada a conexo para aplicativos. A comunicao orientada
a conexes confirma que o destino est pronto para receber dados antes de envi-los. Para tornar
a comunicao confivel, TCP confirma que todos os pacotes so recebidos. Comunicao confivel
desejada na maioria dos casos e usada pela maioria dos aplicativos. Servidores Web, clientes FTP
(File Transfer Protocol) e outros aplicativos que movem grandes quantidades de dados usam o TCP.
UDP. Fornece comunicao sem conexo e no confivel. Durante o uso de UDP, a entrega confivel
de responsabilidade do aplicativo. Os aplicativos usam UDP para comunicao mais rpida com
menos sobrecarga do que TCP. Aplicativos, como streaming de udio e vdeo, usam o UDP de forma
que um nico pacote ausente no atrase a reproduo. O UDP tambm usado por aplicativos que
enviam pequenas quantidades de dados, como pesquisas de nome do DNS (Sistema de Nomes
de Domnio).
O protocolo da camada de transporte usado por um aplicativo determinado pelo desenvolvedor
de um aplicativo e se baseia nos requisitos de comunicao do aplicativo.
Camada da Internet
A camada da Internet corresponde camada de rede do modelo OSI e consiste em vrios protocolos
separados, inclusive: IP; ARP (Address Resolution Protocol); IGMP (Internet Group Management Protocol)
e ICMP (Internet Control Message Protocol). Os protocolos na camada da Internet encapsulam dados da
camada de transporte em unidades chamadas pacotes, as endeream e encaminham para os respectivos
destinos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os protocolos da camada da Internet so:
IP. IP responsvel por encaminhar e enderear. O sistema operacional Windows
8 e o sistema
operacional Windows Server
2012 implementam uma pilha de protocolos IP de camada dupla,

inclusive suporte para IPv4 e IPv6.
ARP. O ARP usado pelo IP para determinar o endereo MAC (controle de acesso mdia) de
adaptadores de rede local ou seja, adaptadores instalados em computadores na rede local
a partir do endereo IP de um host local. O ARP se baseia em difuso, o que significa que
quadros ARP no podem passar por um roteador e, assim, so localizados. Algumas implementaes
do TCP/IP do suporte a RARP (ARP Inverso) em que o endereo MAC de um adaptador de rede
usado para determinar o endereo IP correspondente.
IGMP. O IGMP d suporte a aplicativos multitarefa em roteadores em redes IPv4.
ICMP. O ICMP envia mensagens de erro em uma rede baseada em IP.
Camada da interface de rede
A camada da interface de rede (s vezes, chamada de camada de vnculo ou camada de vnculo de dados)
corresponde s camadas de vnculo de dados e fsica do modelo OSI. A camada da interface de rede
especifica os requisitos para enviar e receber pacotes na mdia de rede. Essa camada no costuma ser
considerada formalmente como parte do pacote de protocolos TCP/IP porque as tarefas so realizadas
pela combinao do driver do adaptador de rede e do adaptador de rede.
Aplicativos TCP/IP
Os aplicativos usam protocolos da camada
de aplicativo para se comunicar pela rede.
Um cliente e um servidor devem estar usando
o mesmo protocolo da camada de aplicativo
para se comunicarem. A tabela a seguir lista
alguns protocolos comuns da camada
de aplicativo.

Protocolo Descrio
HTTP Usado para comunicao entre navegadores da Web e servidores Web.
HTTPS (HTTP/seguro) Uma verso do HTTP que criptografa a comunicao entre
navegadores da Web e servidores Web.
FTP Usado para transferir arquivos entre clientes e servidores FTP.
RDP (Remote Desktop
Protocol)
Usado para controlar remotamente um computador que est
executando sistemas operacionais Windows por meio de uma rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-5
(continuao)
Protocolo Descrio
SMB (Bloco de Mensagens
de Servidor)
Usados por computadores servidor e cliente para compartilhamento
de arquivos e impressoras.
SMTP (Simple Mail
Transfer Protocol)
Usado para transferir mensagens de email pela Internet.
POP3 (Post Office Protocol
verso 3)
Usado para recuperar mensagens de alguns servidores de email.
IMAP (Internet Message
Application Protocol)
Usado para recuperar mensagens de alguns servidores de email.
O que um soquete?
Quando um aplicativo deseja estabelecer
comunicao com um aplicativo em um
host remoto, ele cria um soquete TCP ou UDP,
conforme apropriado. Um soquete identifica
o seguinte como parte do processo
de comunicao:
O protocolo de transporte usado pelo
aplicativo, que poderia ser TCP ou UDP
Os nmeros de porta TCP ou UDP
que os aplicativos esto usando
O endereo IPv6 ou IPv4 dos hosts
de origem e destino
Essa combinao de protocolo de transporte, endereo IP e porta cria um soquete.
Portas bem conhecidas
Os aplicativos recebem um nmero de porta entre 0 e 65.535. As primeiras 1.024 portas so conhecidas
como portas bem conhecidas e so atribudas a aplicativos especficos. Aplicativos que escutam conexes
usam nmeros de porta consistentes para facilitar a conexo de aplicativos clientes. Se um aplicativo
escuta em um nmero de porta no padro, voc precisa especificar o nmero de porta ao se conectar
a ele. Aplicativos clientes normalmente usam um nmero de porta de origem aleatrio acima de 1.024.
A tabela a seguir identifica algumas dessas portas bem conhecidas.
Porta Protocolo Aplicativo
80 TCP HTTP usado por um servidor Web
443 TCP HTTP para um servidor Web protegido
110 TCP POP3 usado para recuperao de email

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Porta Protocolo Aplicativo
143 TCP IMAP usado para recuperao de email
25 TCP SMTP usado para enviar mensagens de email
53 UDP DNS usado para a maioria das solicitaes de resoluo de nomes
53 TCP DNS usado para transferncias de zona
20, 21 TCP FTP usado para transferncias de arquivo
Voc precisa saber os nmeros de porta usados pelos aplicativos de forma que seja possvel configurar
firewalls para permitir a comunicao. A maioria dos aplicativos tem um nmero de porta padro para
essa finalidade, mas isso pode ser alterado quando necessrio. Por exemplo, alguns aplicativos baseados
na Web so executados em uma porta que no seja 80 ou 443.
Pergunta: H outras portas bem conhecidas nas quais voc consegue pensar?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-7
Lio 2
Noes bsicas sobre endereamento IPv4
A compreenso da comunicao de rede IPv4 fundamental para garantir que seja possvel implementar,
solucionar problemas e manter redes IPv4. Um dos componentes bsicos do endereamento IPv4 o
endereamento. A compreenso do endereamento, das mscaras de sub-rede e dos gateways padro
permite identificar a comunicao apropriada entre hosts. Para identificar erros de comunicao IPv4,
voc precisa compreender como o processo de comunicao deve funcionar.
Objetivos da lio
Identificar endereos IPv4 pblicos e privados.
Explicar como a notao decimal com pontos se relaciona com nmeros binrios.
Descrever uma rede IPv4 simples com endereamento com classes.
Descrever uma rede IPv4 mais complexa com endereamento sem classes.
Endereamento IPv4
Para configurar a conectividade de rede,
voc deve estar familiarizado com os
endereos IPv4 e com a maneira como eles
funcionam. A comunicao de rede de um
computador dirigida ao endereo IPv4 desse
computer. Por isso, cada computador em rede
deve receber um endereo IPv4 exclusivo.
Cada endereo IPv4 tem 32 bits. Para deixar
endereos IP mais legveis, eles so exibidos em
notao decimal com pontos. A notao decimal
com pontos divide um endereo IPv4 de 32 bits
em quatro grupos de oito bits, convertidos em um
nmero decimal entre zero e 255. Os nmeros decimais so separados por um ponto. Cada nmero
decimal chamado de um octeto.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Mscara de sub-rede
Cada endereo IPv4 formado por uma ID de rede e uma ID de host. A ID de rede identifica a rede na
qual o computador est localizado. A ID do host identifica com exclusividade o computador nessa rede
especfica. Uma mscara de sub-rede identifica que parte de um endereo IPv4 a ID da rede, alm
de qual parte a ID do host.
Nos cenrios mais simples, cada octeto em uma mscara de sub-rede 255 ou 0. Um 255 representa
um octeto que faz parte da ID de rede e um 0 representa um octeto que faz parte da ID do host.
Por exemplo, um computador com um endereo IP 192.168.23.45 e uma mscara de sub-rede
255.255.255.0 tem uma ID da rede 192.168.23.0 e uma ID do host 0.0.0.45.
Observao: Os termos rede, sub-rede e VLAN (rede local virtual) costumam ser usados
entre si. Uma grande rede costuma ser subdividida em sub-redes, e VLANs so configuradas
em comutadores para representar sub-redes.
Gateway padro
Um gateway padro um dispositivo (normalmente um roteador), em uma rede TCP/IP que encaminha
pacotes IP para outras redes. As vrias redes internas em uma organizao podem ser conhecidas como
uma intranet.
Em uma intranet, qualquer rede especfica pode ter vrios roteadores que a conectam a outras redes,
tanto locais quanto remotas. Voc deve configurar um dos roteadores como o gateway padro para
hosts locais. Isso permite que os hosts locais se comuniquem com hosts em redes remotas.
Antes de enviar um pacote IPv4, um host usa a prpria mscara de sub-rede para determinar se o host
de destino est na mesma rede ou em uma rede remota. Se o host de destino estiver na mesma rede,
o host de envio transmitir o pacote diretamente ao host de destino. Se o host de destino estiver em
uma rede diferente, o host transmitir o pacote a um roteador para entrega.
Quando um host transmite um pacote para uma rede remota, o IPv4 consulta a tabela de roteamento
interna para determinar o roteador apropriado para que o pacote alcance a sub-rede de destino. Se a
tabela de roteamento no contiver nenhuma informao de roteamento sobre a sub-rede de destino,
o IPv4 encaminhar o pacote para o gateway padro. O host assume que o gateway padro contm
as informaes de roteamento necessrias. O gateway padro usado na maioria dos casos.
Os computadores clientes normalmente obtm as informaes de endereamento IP a partir de um
servidor DHCP. Isso mais simples do que atribuir manualmente um gateway padro em cada host.
A maioria dos servidores tem uma configurao IP esttica atribuda manualmente.
Pergunta: Como a comunicao de rede ser afetada se um gateway padro for
configurado incorretamente?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-9
Endereos IPv4 pblicos e privados
os dispositivos e hosts que se conectam
diretamente Internet exigem um endereo IPv4
pblico. Os hosts e os dispositivos que no se
conectam diretamente Internet no exigem
um endereo IPv4 pblico.
Endereos IPv4 pblicos
Os endereos IPv4 pblicos devem ser exclusivos.
A IANA (Internet Assigned Numbers Authority)
atribui endereos IPv4 pblicos a RIRs (registros
de Internet regionais). Os RIRs atribuem endereos
IPv4 a ISPs (provedores de servios de Internet).
Normalmente, o ISP aloca um ou mais endereos
pblicos do pool de endereos. O nmero de endereos que o provedor de servios de Internet aloca
para voc depende de quantos dispositivos e hosts preciso conectar Internet.
Endereos IPv4 privados
Como o pool de endereos IPv4 est ficando menor, os RIRs esto relutantes em alocar endereos IPv4
suprfluos. Tecnologias como NAT (converso de endereos de rede) permitem que os administradores
usem um nmero relativamente pequeno de endereos IPv4 pblicos e, ao mesmo tempo, permitem
que hosts locais se conectem a hosts remotos e servios na Internet.
A IANA define os intervalos de endereos na tabela a seguir como privados. Os roteadores baseados
na Internet no encaminham pacotes que se originam desses intervalos ou que se destinem a eles.
Rede Intervalo
10.0.0.0/8 10.0.0.0-10.255.255.255
172.16.0.0/12 172.16.0.0-172.31.255.255
192.168.0.0/16 192.168.0.0-192.168.255.255
Relao entre a notao decimal com pontos e os nmeros binrios
Ao atribuir endereos IP, voc usa notao
decimal com pontos. A notao decimal com
pontos se baseia no sistema de nmero decimal.
No entanto, em segundo plano, os computadores
usam endereos IP em binrio. Para entender
como escolher uma mscara de sub-rede
para redes complexas, voc deve entender
endereos IP binrios.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Dentro de um octeto de oito bits, cada posio de bit tem um valor decimal. Um bit definido
como 0 sempre tem um valor zero. Um bit definido como 1 pode ser convertido em um valor
decimal. O bit de ordem inferior o bit mais direita no octeto representa um valor decimal 1.
O bit de ordem superior o bit mais esquerda no octeto representa um valor decimal 128.
Se todos os bits em um octeto forem definidos como 1, o valor decimal do octeto ser 255
(ou seja: 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1). Esse o valor mais alto possvel de um octeto.
Na maioria das vezes, possvel usar uma calculadora para converter nmeros decimais em binrios
e vice-versa. O aplicativo Calculadora includo em sistemas operacionais Windows pode executar
converses de decimal em binrio, conforme mostrado no exemplo a seguir.
Binrio Notao decimal com pontos
10000011 01101011 00000011 00011000 131.107.3.24
Implementaes de IPv4 simples
Classes do endereo IPv4
A IANA organiza endereos IPv4 em classes. Cada
classe de endereo tem uma mscara de sub-rede
padro diferente que define o nmero de hosts
vlidos na rede. A IANA nomeou as classes de
endereo IPv4 de Classe A at Classe E.
As classes A, B e C so redes IP que possvel
atribuir a endereos IP em computadores host.
Os endereos de Classe D so usados por
computadores e aplicativos para multicasting.
A IANA reserva a Classe E para uso experimental.
A tabela a seguir lista as caractersticas de cada classe de endereo IP.

Classe Primeiro octeto
Mscara de sub-rede
padro
Nmero de redes
Nmero de hosts
por rede
A 1-127 255.0.0.0 126 16,777,214
B 128-191 255.255.0.0 16,384 65,534
C 192-223 255.255.255.0 2,097,152 254
Observao: A Internet no usa mais o roteamento com base na mscara de sub-rede
padro de classes de endereo IPv4.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-11
Redes IPv4 simples
possvel usar a sub-rede para dividir uma rede grande em vrias redes menores. Em redes IPv4 simples,
a mscara de sub-rede define octetos completos como parte da ID de rede e da ID do host. Um 255
representa um octeto que faz parte da ID de rede, e um 0 representa um octeto que faz parte da
ID do host. Por exemplo, possvel usar a rede 10.0.0.0 com uma mscara de sub-rede 255.255.0.0
para criar 256 redes menores.
Observao: O endereo IPv4 127.0.0.1 usado como um endereo de loopback;
possvel usar esse endereo para testar a configurao local da pilha do protocolo IPv4.
Consequentemente, o endereo de rede 127 no permitido para configurar hosts de IPv4.
Implementaes IPv4 mais complexas
Em redes complexas, as mscaras de sub-rede
podem no ser combinaes simples de 255 e 0.
Em vez disso, convm subdividir um octeto
com alguns bits para a ID da rede e alguns
para a ID do host. Isso permite ter o nmero
especfico de sub-redes e hosts necessrios.
O seguinte exemplo mostra uma mscara
de sub-rede que pode ser usada para dividir
uma rede classe B em 16 sub-redes:
172.16.0.0/255.255.240.0
Em muitos casos, em vez de usar uma
representao decimal com pontos da mscara de sub-rede, o nmero de bits na ID da rede
especificado. Isso chamado de CIDR (Roteamento entre Domnios sem Classificao).
Este um exemplo da notao CIDR:
172.16.0.0/20
Mscaras de sub-rede de comprimento varivel
Roteadores modernos do suporte ao uso de VLSMs (mscaras de sub-rede de comprimento varivel).
As VLSMs permitem criar sub-redes de tamanhos diferentes quando voc subdivide uma rede maior.
Por exemplo, voc poderia subdividir uma rede pequena com 256 endereos em trs redes menores
com 128 endereos, 64 endereos e 64 endereos. Isso permite usar endereos IP mais em uma rede
de maneira mais eficiente.
Pergunta: A organizao usa uma rede simples ou complexa?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 3
Sub-redes e super-redes
Na maioria das organizaes, voc precisa realizar a sub-rede para dividir a rede em sub-redes menores
e alocar essas sub-redes para finalidades ou locais especficos. Para isso, voc precisa compreender como
selecionar o nmero correto de bits a serem includos nas mscaras de sub-rede. Em alguns casos, voc
talvez tambm precise integrar vrias redes em uma nica rede maior por meio de super-redes.
Objetivos da lio
Descrever como bits so usados em uma mscara de sub-rede ou comprimento de prefixo.
Identificar quando usar super-redes.
Calcular uma mscara de sub-rede que d suporte a um nmero especfico de endereos
de sub-rede.
Calcular uma mscara de sub-rede que d suporte a um nmero especfico de endereos de host.
Identificar uma mscara de sub-rede adequada a um cenrio.
Descrever as super-redes.
Como so usados bits em uma mscara de sub-rede ou comprimento
de prefixo
Em redes simples, as mscaras de sub-rede so
compostas de quatro octetos e cada octeto tem
um valor de 255 ou de 0. Se o octeto for 255,
esse octeto far parte da ID de rede. Se o octeto
for 0, esse octeto far parte da ID do host.
Em redes complexas, possvel converter a
mscara de sub-rede em binrio e avaliar cada
bit da mscara de sub-rede. Uma mscara de
sub-rede composta de 1s e 0s contguos. Os 1s
iniciam no bit da extrema esquerda e continuam
sem interrupo at que todos os bits sejam
alterados para 0s.
Observao: Os cmdlets do Windows PowerShell
para configurar o IPv4 usam um valor

de comprimento de prefixo, e no uma mscara de sub-rede para definir o nmero de bits da
rede. O comprimento do prefixo tem o mesmo nmero de bits usado pela notao CIDR.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-13
possvel identificar a ID da rede de uma mscara de sub-rede pelos 1s. possvel identificar a ID
do host pelos 0s. Qualquer bit obtido da ID do host e alocado para a ID de rede deve ser contguo
com a ID de rede original.
Cada bit 1 faz parte da ID da rede.
Cada bit 0 faz parte da ID do host.
O processo matemtico usado para comparar um endereo IP e uma mscara de sub-rede chamado
de ANDing.
Quando voc usa mais bits para a mscara de sub-rede, mais sub-redes voc ter, mas menos hosts em
cada sub-rede. Usar mais bits do que voc precisa permite aumentar a sub-rede, mas limita o aumento
de hosts. Usar menos bits do que o necessrio permite aumentar o nmero de hosts que voc pode ter,
mas limita o aumento nas sub-redes.
Os benefcios do uso da sub-rede
Ao subdividir uma rede em sub-redes, voc deve
criar uma ID exclusiva para cada sub-rede. Essas
IDs exclusivas derivam da ID da rede principal
voc aloca alguns dos bits na ID do host para
a ID da rede. Isso permite criar mais redes.
Usando sub-redes, possvel:
Usar uma nica rede grande em vrios
locais fsicos.
Reduzir o congestionamento da rede
segmentando o trfego e reduzindo
as difuses em cada segmento.
Aumentar a segurana dividindo a rede e usando firewalls para controlar a comunicao.
Superar as limitaes das tecnologias atuais, como exceder o nmero mximo de hosts
que cada segmento pode ter.
Clculo dos endereos de sub-rede
Antes de definir uma mscara de sub-rede, estime
de quantas sub-redes e hosts para cada sub-rede
voc pode precisar. Isso permite usar o nmero
apropriado de bits para a mscara de sub-rede.
possvel calcular o nmero de bits de sub-rede
necessrios na rede. Use a frmula 2 ^
n
, em que n
o nmero de bits. O resultado o nmero
de sub-redes que sua rede exige.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A tabela a seguir indica o nmero de sub-redes que voc pode criar usando um nmero especfico
de bits.
Nmero de bits (n) Nmero de sub-redes (2
n
)
1 2
2 4
3 8
4 16
5 32
6 64
Para determinar os endereos de sub-rede rapidamente, possvel usar o bit de valor baixo na mscara
de sub-rede. Por exemplo, se voc escolher dividir em sub-redes a rede 172.16.0.0 usando trs bits, isso
significa que a mscara de sub-rede ser 255.255.224.0. O decimal 224 11100000 no binrio e o bit
mais baixo tem um valor de 32, de forma que o incremento entre cada endereo de sub-rede.
A tabela a seguir mostra os endereos de sub-rede para este exemplo; os trs bits que voc opta
por usar na sub-rede da rede so mostrados em negrito.
Nmero de rede binrio Nmero de rede decimal
172.16.00000000.00000000 172.16.0.0
172.16.00100000.00000000 172.16.32.0
172.16.01000000.00000000 172.16.64.0
172.16.01100000.00000000 172.16.96.0
172.16.10000000.00000000 172.16.128.0
172.16.10100000.00000000 172.16.160.0
172.16.11000000.00000000 172.16.192.0
172.16.11100000.00000000 172.16.224.0
Observao: possvel usar uma calculadora de sub-rede para determinar as sub-redes
apropriadas rede, em vez de calcul-las manualmente. As calculadoras de sub-rede esto
amplamente disponveis na Internet.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-15
Clculo de endereos do host
Para determinar bits de host na mscara,
determine o nmero de bits obrigatrios para
o suporte a hosts em uma sub-rede. Calcule o
nmero de bits de host obrigatrios usando
a frmula 2
n
-2, em que n o nmero de bits.
Esse resultado deve ser pelo menos o nmero
de hosts dos quais voc precisa para a rede
e o nmero mximo de hosts que possvel
configurar nessa sub-rede.
Em cada sub-rede, duas IDs de host so alocadas
automaticamente e no podem ser usadas por
computadores. Um endereo com a ID do host
de todos os 0s representa a rede. Um endereo com a ID do host de todos os 1s o endereo
de difuso para essa rede.
A tabela a seguir mostra quantos hosts so disponibilizados para uma rede de classe C com base
no nmero de bits de host.
Nmero de bits (n) Nmero de hosts (2
n
-2)
1 0
2 2
3 6
4 14
5 30
6 62
Voc pode calcular o intervalo de endereos de host de cada sub-rede usando o seguinte processo:
1. O primeiro host um dgito binrio mais alto que a ID da sub-rede atual.
2. O ltimo host dois dgitos binrios mais baixo que a prxima ID de sub-rede.
A tabela a seguir mostra exemplos de como calcular endereos de host.
Rede Intervalo de hosts
172.16.64.0/19 172.16.64.1 172.16.95.254
172.16.96.0/19 172.16.96.1 172.16.127.254
172.16.128.0/19 172.16.128.1 172.16.159.254
Para criar um esquema de endereamento apropriado organizao, voc deve saber de quantas
sub-redes precisa e de quantos hosts precisa em cada sub-rede. Assim que tiver essas informaes,
ser possvel calcular uma mscara de sub-rede apropriada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Discusso: Criao de um esquema de sub-rede para um novo escritrio
Leia o seguinte cenrio e responda as perguntas
no slide.
Voc est identificando uma configurao de rede
apropriada a um novo campus. Voc recebeu
a rede 10.34.0.0/16 em que possvel colocar
a sub-rede conforme necessrio.
H quatro edifcios no novo campus e cada
um deve ter a prpria sub-rede para permitir
o encaminhamento entre os edifcios. Cada
edifcio ter at 700 usurios. Cada edifcio
tambm ter impressoras. A taxa tpica de
usurios para impressoras de 50 para 1.
Voc tambm precisa alocar uma sub-rede para o data center do servidor que manter
at 100 servidores.
O que super-rede?
Super-rede integra vrias redes pequenas a
uma nica rede maior. Isso pode ser apropriado
quando voc tem uma rede pequena que
cresceu e precisa expandir o espao do endereo.
Por exemplo, uma filial que est usando a rede
192.168.16.0/24 e que usa todos os endereos
IP poderia ter a rede 192.168.17.0/24 adicional
alocada. Se usar a mscara de sub-rede padro
255.255.255.0 para essas redes, voc dever
realizar o roteamento entre elas. possvel usar a
super-rede para integr-las em uma nica rede.
Para realizar a super-rede, as redes que voc est
integrando devem ser contguas. Por exemplo, 192.168.16.0/24 e 192.168.17.0/24 podem ser super-redes,
mas no possvel usar 192.168.16.0/24 e 192.168.54.0/24 na super-rede.
Super-rede o oposto da sub-rede. Ao usar a super-rede, voc aloca bits da ID da rede para a ID do host.
A tabela a seguir mostra quantas redes possvel integrar usando um nmero especfico de bits.
Nmero de bits Nmero de redes integradas
1 2
2 4
3 8
4 16

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-17
A seguinte tabela mostra um exemplo de super-rede para duas redes de classe C. A parte da mscara
de sub-rede que voc est usando como parte da ID da rede mostrada em negrito.
Rede Intervalo
192.168.00010000.00000000/24 192.168.16.0-192.168.16.255
192.168.00010001.00000000/24 192.168.17.0-192.168.17.255
192.168.00010000.00000000/23 192.168.16.0-192.168.17.255
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 4
Configurao e soluo de problemas do IPv4
Se IPv4 for configurado incorretamente, isso afetar a disponibilidade de servios em execuo em um
servidor. Para garantir a disponibilidade dos servios de rede, voc precisa compreender como configurar
e solucionar problemas do IPv4. O Windows Server 2012 apresenta a possibilidade de configurar o IPv4
usando o Windows PowerShell til para script.
As ferramentas para soluo de problemas no Windows Server 2012 so semelhantes a verses anteriores
de sistemas operacionais clientes Windows e sistemas operacionais de servidor. Porm, voc talvez no
esteja familiarizado com o Monitor de Rede, que possvel usar para realizar a anlise detalhada da
comunicao de rede.
Objetivos da lio
Configurar o IPv4 manualmente para fornecer uma configurao esttica a um servidor.
Configurar um servidor para que ele obtenha uma configurao do IPv4 automaticamente.
Explicar como usar ferramentas para soluo de problemas do IPv4.
Explicar como usar cmdlets do Windows PowerShell a fim de solucionar problemas do IPv4.
Descrever o processo da soluo de problemas usado para resolver problemas fundamentais do IPv4.
Descrever a funo do Monitor de Rede.
Usar o Monitor de Rede para capturar e analisar o trfego de rede.
Configurao manual do IPv4
Voc normalmente configura servidores com um
endereo IP esttico. Isso feito para garantir que
voc saiba e possa documentar os endereos IP
usados para vrios servios na rede. Por exemplo,
um servidor DNS acessado em um endereo IP
especfico que no deve ser alterado.
A configurao do IPv4 inclui:
Endereo IPv4
Mscara de sub-rede
Gateway padro
Servidores DNS

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-19
A configurao esttica exige que voc visite cada computador e informe manualmente a configurao
do IPv4. Esse mtodo de gerenciamento do computador razovel para servidores, mas demora muito
para computadores clientes. A entrada manual em uma configurao esttica aumenta o risco de
equvocos de configurao.
possvel configurar um endereo IP esttico nas propriedades da conexo de rede ou usando a
ferramenta de linha de comando netsh. Por exemplo, o seguinte comando configura a conexo
local da interface com os seguintes parmetros:
Endereo IP esttico 10.10.0.10
Mscara de sub-rede 255.255.255.0
Gateway padro 10.10.0.1
Netsh interface ipv4 set address name="Conexo Local" source=static addr=10.10.0.10
mask=255.255.255.0 gateway=10.10.0.1
O Windows Server 2012 tambm tem cmdlets do Windows PowerShell que possvel usar para gerenciar
a configurao de rede. A tabela a seguir descreve alguns dos cmdlets do Windows PowerShell
disponveis para configurar o IPv4.
Cmdlet Descrio usada pela configurao do IPv4
New-NetIPAddress Cria um novo endereo IP e o associa a um adaptador de rede.
No possvel modificar um endereo IP existente; voc deve
remover um endereo IP existente e criar um novo endereo IP.
Set-NetIPInterface Habilita ou desabilita DHCP para uma interface
New-NetRoute Cria entradas da tabela de roteamento, inclusive o gateway
padro (0.0.0.0). No possvel modificar o prximo salto de
uma rota existente; em vez disso, voc deve remover uma rota
existente e criar uma nova rota com o prximo salto correto.
Set-DNSClientServerAddresses Configura o servidor DNS usado em uma interface
O seguinte cdigo um exemplo dos cmdlets do Windows PowerShell que possvel usar para configurar
a conexo local da interface com os seguintes parmetros:
Endereo IP esttico 10.10.0.10
Mscara de sub-rede 255.255.255.0
Gateway padro 10.10.0.1
A conexo local tambm configurada para usar servidores DNS 10.12.0.1 e 10.12.0.2.
New-NetIPAddress -InterfaceAlias "Conexo Local" -IPAddress 10.10.0.10 -PrefixLength 24
DefaultGateway 10.10.0.1
Set-DNSClientServerAddresses -InterfaceAlias "Conexo Local" -ServerAddresses
10.12.0.1,10.12.0.2
Pergunta: Algum computador ou dispositivo na organizao tem endereos IP estticos?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao automtica do IPv4
O DHCP para IPv4 permite atribuir
configuraes automticas do IPv4 a
grandes nmeros de computadores sem
precisar faz-lo individualmente. O servio DHCP
recebe solicitaes para configurao do IPv4
de computadores que voc configura para
obter um endereo IPv4 automaticamente.
Ele tambm atribui configuraes adicionais do
IPv4 de escopos que voc define para cada uma
das sub-redes da rede. O servio DHCP identifica
a sub-rede da qual a solicitao foi originada e
atribui a configurao de IP do escopo pertinente.
O DHCP ajuda a simplificar o processo de configurao do IP; porm, voc deve saber que, se usar
o DHCP para atribuir informaes do IPv4 e o servio for essencial aos negcios, voc dever fazer
o seguinte:
Incluir resilincia no design do servio DHCP, de forma que a falha de um nico servidor no
interrompa o servio.
Configure os escopos cuidadosamente no servidor DHCP. Se voc cometer um erro, isso poder
afetar a rede inteira e impedir a comunicao.
Se voc usar um laptop para se conectar a vrias redes (como no trabalho e em casa), cada rede poder
exigir uma configurao de IP diferente. Os sistemas operacionais Windows do suporte ao uso do APIPA
(Automatic Private IP Addressing) ou um endereo IP esttico para essa situao.
Ao configurar computadores baseados no Windows para obter um endereo IPv4 do DHCP, use a guia
Configurao alternativa para controlar o comportamento se um servidor DHCP no estiver disponvel.
Por padro, o Windows usa o APIPA para atribuir automaticamente a si mesmo um endereo IP do
intervalo de endereos 169.254.0.0 a 169.254.255.255, mas sem nenhum gateway padro ou servidor
DNS; isso permite funcionalidade limitada.
O APIPA til na soluo de problemas de DHCP; se o computador tiver um endereo do intervalo
APIPA, isso indicar que o computador no pode se comunicar com um servidor DHCP.
O Windows Server 2012 tambm tem cmdlets do Windows PowerShell que possvel usar para habilitar
o DHCP para uma interface. A tabela a seguir descreve alguns dos cmdlets do Windows PowerShell
disponveis para configurar o DHCP em uma interface.
Cmdlet Descrio
Get-NetIPInterface Obtm uma lista de interfaces e a respectiva configurao. Isso no inclui
a configurao do IPv4 da interface.
Set-NetIPInterface Habilita ou desabilita DHCP para uma interface.
Get-NetAdapter Obtm uma lista dos adaptadores de rede em um computador.
Restart-NetAdapter Desabilita e reabilita um adaptador de rede. Isso fora um cliente DHCP
a obter uma nova concesso do DHCP.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-21
O seguinte cdigo um exemplo de como possvel habilitar o DHCP para a conexo local do adaptador
e garantir que ele receba um endereo:
Set-NetIPInterface InterfaceAlias "Conexo Local" Dhcp Enabled
Restart-NetAdapter Name-"Conexo Local"
Ferramentas para soluo de problemas do IPv4
Grande parte da soluo de problemas de
conectividade do IPv4 realizada em uma linha
de comando. O Windows Server 2008 inclui vrias
ferramentas de linha de comando que podem
ajudar a diagnosticar problemas de rede.
Ipconfig
Ipconfig uma ferramenta de linha de comando
que exibe a configurao de rede TCP/IP atual.
Alm disso, possvel usar o comando ipconfig
para atualizar as configuraes do DHCP e do
DNS. A tabela a seguir descreve as opes
de linha comando para ipconfig.
Comando Descrio
ipconfig /all Exibir informaes detalhadas de configurao
ipconfig /release Liberar a configurao concedida de volta ao servidor DHCP
ipconfig /renew Renovar a configurao concedida
ipconfig /displaydns Exibir as entradas do cache do resolvedor de DNS
ipconfig /flushdns Limpar o cache do resolvedor de DNS
Ping
Ping uma ferramenta de linha de comando que verifica a conectividade no nvel de IP com outro
computador TCP/IP. Ela envia mensagens de solicitao de eco ICMP e exibe o recebimento das
mensagens de resposta de eco correspondentes. Ping o principal comando de TCP/IP usado para
solucionar problemas de conectividade; no entanto, os firewalls podem bloquear as mensagens ICMP.
Tracert
Tracert uma ferramenta de linha de comando que identifica o caminho usado at um computador de
destino enviando uma srie de solicitaes de eco ICMP. Tracert exibe a lista de interfaces do roteador
entre uma origem e um destino. Essa ferramenta tambm determina qual roteador falhou e em que
latncia (ou velocidade). Esses resultados talvez no sejam precisos caso o roteador esteja ocupado,
pois os pacotes ICMP recebem uma prioridade baixa do roteador.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Pathping
Pathping uma ferramenta de linha de comando que rastreia uma rota pela rede de maneira semelhante
ao Tracert. Porm, Pathping fornece estatsticas mais detalhadas sobre as etapas individuais, ou saltos,
pela rede. Pathping pode fornecer mais detalhes, pois envia 100 pacotes para cada roteador, o que
permite estabelecer tendncias.
Rota
Route uma ferramenta de linha de comando que permite exibir e modificar a tabela de
roteamento local. possvel us-lo para verificar o gateway padro, listado como a rota 0.0.0.0.
No Windows Server 2012, tambm possvel usar os cmdlets do Windows PowerShell para exibir
e modificar a tabela de roteamento. Entre os cmdlets para exibir e modificar a tabela de roteamento
local esto Get-NetRoute, New-NetRoute e Remove-NetRoute.
Telnet
possvel usar o recurso Cliente Telnet para verificar se uma porta de servidor est escutando.
Por exemplo, o comando telnet 10.10.0.10 25 tenta abrir uma conexo com o servidor de destino,
10.10.0.10, na porta 25, SMTP. Se estiver ativa e escutando, a porta retornar uma mensagem ao
Cliente Telnet.
Netstat
Netstat uma ferramenta de linha de comando que permite exibir estatsticas e conexes da rede. Por
exemplo, o comando netstat ab retorna todas as portas de escuta e o executvel que est escutando.
Monitor de Recursos
Monitor de Recursos uma ferramenta grfica que permite monitorar a utilizao de recursos do sistema.
possvel usar o Monitor de Recursos para exibir portas TCP e UDP em uso. Tambm possvel verificar
quais aplicativos esto usando portas especficas e o volume de dados que eles esto transferindo nessas
portas.
Diagnstico de Rede
Use o Diagnstico de Rede do Windows para diagnosticar e corrigir problemas de rede. No caso de
um problema de rede no Windows Server, a opo Diagnosticar Problemas de Conexo ajuda a
diagnosticar e reparar o problema. O Diagnstico de Rede do Windows retorna uma descrio possvel
do problema e uma soluo em potencial. Porm, a soluo pode exigir a interveno manual do usurio.
Visualizador de Eventos
Logs de eventos so arquivos que registram eventos significativos em um computador, como quando
um processo encontra um erro. Quando esses eventos ocorrem, o sistema operacional Windows registra
o evento em um log de eventos apropriado. possvel usar o Visualizador de Eventos para ler o log de
eventos. Os conflitos de IP, que podem impedir a inicializao dos servios, so listados no log de eventos
do sistema.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-23
Uso de cmdlets do Windows PowerShell para solucionar problemas
do IPv4
O Windows PowerShell no Windows Server 2012
tem cmdlets de configurao de rede adicionais
que possvel usar para solucionar problemas
em vez de ferramentas de linha de comando.
Embora pudesse usar o Windows PowerShell
em verses anteriores do Windows Server para
realizar a configurao de rede e a soluo de
problemas, voc precisava usar os objetos WMI
(Instrumentao de Gerenciamento do Windows),
que so mais difceis de usar que cmdlets nativos
do Windows PowerShell.
A tabela a seguir lista alguns dos novos cmdlets
do Windows PowerShell que possvel usar.
Cmdlet Objetivo
Get-NetAdapter Obtm uma lista dos adaptadores de rede em um computador.
Restart-NetAdapter Desabilita e reabilita um adaptador de rede.
Get-NetIPInterface Obtm uma lista de interfaces e a respectiva configurao.
Get-NetIPAddress Obtm uma lista de endereos IP configurados para interfaces.
Get-NetRoute Obtm a lista de rotas na tabela de roteamento local.
Get-NetConnectionProfile Obtm o tipo de rede (pblico, particular, domnio) qual um
adaptador de rede est conectado.
Get-DNSClientCache Obtm a lista de nomes DNS resolvidos armazenados no cache
do cliente DNS.
Get-DNSClientServerAddress Obtm a lista de servidores DNS usados em cada interface.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O processo da soluo de problemas do IPv4
A primeira etapa da soluo de um problema
a identificao do escopo do problema. As causas
de um problema que afeta um usurio nico
devero ser diferentes de um problema que afeta
todos os usurios. Se um problema afetar apenas
um nico usurio, o problema dever estar
relacionado configurao desse computador.
Se afetar todos os usurios, um problema
dever ser de configurao do servidor ou de
configurao da rede. Se um problema afetar
apenas um grupo de usurios, voc precisar
determinar o denominador comum entre esse
grupo de usurios.
Para solucionar problemas da comunicao de rede, voc precisa compreender o processo de
comunicao geral. S ser possvel identificar onde o processo est interrompendo e impedindo a
comunicao se voc compreender como funciona o processo de comunicao geral. Para compreender
o processo de comunicao geral, voc precisa entender o roteamento e a configurao do firewall
na rede. Para ajudar a identificar o caminho de roteamento pela rede, possvel usar tracert.
Algumas das etapas que possvel usar para identificar a causa dos problemas da comunicao
de rede so:
1. Se souber qual deve ser a configurao de rede correta para o host, use ipconfig para verificar
se ele est configurado dessa maneira. Se ipconfig retornar um endereo na rede 169.254.0.0/16,
ele indicar que houve falha no host para obter um endereo IP do DHCP.
2. Use ping para saber se o host remoto responde. Se usar ping para retornar o nome DNS do host
remoto, voc verificar a resoluo de nomes e se o host responde. Lembre-se de que o Firewall
do Windows em servidores membros e computadores clientes costumam bloquear tentativas de
ping. Em um caso assim, a falta de uma resposta de ping talvez no indique que o host remoto
no funcional. Se voc conseguir executar ping em outros hosts remotos na mesma rede,
isso normalmente indicar que o problema est no host remoto.
3. possvel usar um aplicativo para testar o servio que voc est conectando ao host remoto.
Por exemplo, use o Windows Internet Explorer
para testar a conectividade com um servidor

Web. Tambm possvel usar Telnet para se conectar porta do aplicativo remoto.
4. Use ping para saber se o gateway padro responde. A maioria dos roteadores responde a
solicitaes de ping. Se voc no receber uma resposta ao executar ping no gateway padro,
dever haver um erro de configurao no computador cliente, como o gateway padro
configurado incorretamente. Tambm possvel que o roteador esteja enfrentando erros.
Observao: possvel forar ping para usar o IPv4 em vez do IPv6 utilizando a opo -4.
Pergunta: Existe alguma outra etapa que voc usa para solucionar problemas
da conectividade de rede?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-25
O que Monitor de Rede?
Monitor de Rede uma analisador de pacotes
que permite capturar e examinar pacotes de rede
na rede qual o computador est conectado.
A captura de pacotes uma tcnica avanada
de soluo de problemas que ajuda a identificar
problemas de rede incomuns e auxilia em uma
resoluo. Por exemplo, examinando os pacotes
transmitidos em uma rede, voc talvez consiga
ver erros no relatados por um aplicativo.
possvel instalar o Monitor de Rede em
qualquer ponto de extremidade no processo de
comunicao, ou em um terceiro computador.
Se instalar o Monitor de Rede em um terceiro computador, voc dever configurar o espelhamento de
porta nos computadores de rede. No se esquea de configurar o espelhamento de porta para copiar
os pacotes de rede destinados para pontos de extremidade no processo de comunicao para a porta
do comutador na qual o computador com o Monitor de Rede est conectado. O Monitor de Rede pode
monitorar os pacotes enviados para outros computadores, porque opera em modo promscuo.
possvel baixar o Monitor de Rede no site de download da Microsoft e instal-lo em uma estao
de trabalho na qual o Windows 8 ou o Windows Server 2012 esteja em execuo. Depois de instalado,
o Monitor de Rede associado aos adaptadores de rede local. Quando voc inicia o Monitor de Rede,
possvel exibir as capturas existentes ou iniciar uma nova captura.
Uso do Monitor de Rede
Depois de ter capturado pacotes de rede, voc dever ser capaz de interpretar o que v e se
o comportamento o esperado ou no. Para ajudar, o Monitor de Rede exibe os pacotes em
uma lista resumida no painel Resumo do Quadro.
O painel Resumo do Quadro exibe todos os pacotes capturados e fornece as seguintes informaes:
Hora e data: isso permite determinar em qual ordem os pacotes foram transmitidos.
Origem e destino: isso fornece os endereos IP de origem e destino de forma que seja possvel
determinar quais computadores esto envolvidos na caixa de dilogo.
Nome do protocolo: o protocolo de nvel mais alto que o Monitor de Rede pode identificar
listado por exemplo, ARP, ICMP, TCP e SMB. Conhecer o protocolo de alto nvel permite localizar
quais servios podem estar enfrentando ou causando o problema que voc est solucionando.
Quando voc seleciona um quadro no painel Resumo do Quadro, o painel Detalhes do Quadro
atualizado com o contedo desse quadro especfico. possvel passar pelos detalhes do quadro,
examinando o contedo de cada elemento conforme segue adiante.
Cada camada na arquitetura de rede do aplicativo para baixo encapsula seus dados no continer
da camada abaixo. Em outras palavras, uma solicitao HTTP encapsulada em um pacote IPv4 que,
por sua vez, encapsulada em um quadro Ethernet.
Quando voc coleta um grande volume de dados, pode ser difcil determinar quais quadros so
relevantes para seu problema especfico. Voc pode usar a filtragem para mostrar apenas os quadros
de interesse. Por exemplo, possvel selecionar para mostrar apenas pacotes relacionados ao DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Como capturar e analisar o trfego de rede usando
o Monitor de Rede
possvel usar o Monitor de Rede para capturar e exibir pacotes transmitidos na rede. Isso permite exibir
informaes detalhadas que normalmente no seriam possveis de ver. Esse tipo de informaes pode ser
til para solucionar problemas.
Capturar o trfego de rede com o Monitor de Rede.
Analisar o trfego de rede capturado.
Filtrar o trfego de rede.
Capturar trfego de rede com o Monitor de Rede
Preparar execuo de uma captura de pacote
1. Entre em LON-SVR2 como ADATUM\Administrador com uma senha Pa$$w0rd.
2. Abra um prompt do Windows PowerShell e execute os seguintes comandos:
o ipconfig /flushdns
3. Abra o Monitor de Rede 3.4 e crie uma nova guia de captura.
Capturar pacotes de uma solicitao de ping
1. No Monitor de Rede, inicie uma captura de pacote.
2. No prompt do Windows PowerShell, execute ping LON-DC1.adatum.com.
3. No Monitor de Rede, pare a captura de pacote.
Analisar o trfego de rede capturado
1. No Monitor de Rede, role a tela para baixo e selecione o primeiro pacote ICMP.
2. Expanda a parte Icmp do pacote para exibir se ela uma Echo Request. Essa uma solicitao
de ping.
3. Expanda a parte Ipv4 do pacote para exibir os endereos IP de origem e de destino.
4. Expanda a parte Ethernet do pacote para exibir os endereos MAC de origem e de destino.
5. Selecione o segundo pacote ICMP.
6. Na parte Icmp do pacote, verifique se ela uma Eco Reply. Essa a resposta solicitao de ping.
Filtrar o trfego de rede
1. No Monitor de Rede, no painel Filtro de Exibio, carregue o filtro DNS padro DNSQueryName.
2. Edite o filtro a ser aplicado a consultas DNS para LON-DC1.adatum.com.
3. Aplique o filtro.
4. Verifique se os pacotes foram filtrados para mostrar apenas os pacotes correspondentes ao filtro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-27
Laboratrio: Implementao do IPv4
Cenrio
A. Datum Corporation tem um escritrio de TI e um data center em Londres, que d suporte a Londres
e a outros locais. Eles implantaram recentemente uma infraestrutura do Windows Server 2012 com
clientes Windows 8. Voc aceitou uma promoo recentemente para a equipe de suporte de servidores.
Uma de suas primeiras atribuies foi configurar o servio de infraestrutura para uma nova filial.
Aps uma reviso de segurana, o gerente solicitou o clculo de novas sub-redes para a filial a fim
de dar suporte segmentao do trfego de rede. Voc tambm precisa solucionar um problema
de conectividade em um servidor na filial.
Objetivos
Identificar sub-redes apropriadas a um determinado conjunto de requisitos.
Solucionar problemas de conectividade do IPv4.

24410B-LON-RTR
24410B-LON-SVR2
Senha: Pa$$w0rd

o Senha: Pa$$w0rd
5. Repita as etapas de 2 a 4 para 24410B-LON-RTR, e 24410B-LON-SVR2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Identificao de sub-redes apropriadas
Cenrio
A nova filial configurada com uma nica sub-rede. Depois de uma reviso de segurana, todas as
configuraes de rede da filial esto sendo modificadas para colocar servidores em uma sub-rede
separada dos computadores clientes. Voc precisa calcular a nova mscara de sub-rede e os gateways
padro para as sub-redes na filial.
A rede atual da filial 192.168.98.0/24. Essa rede precisa ser subdividida em trs sub-redes
da seguinte forma:
Uma sub-rede com pelo menos 100 endereos IP para clientes
Uma sub-rede com pelo menos 10 endereos IP para servidores
Uma sub-rede com pelo menos 40 endereos IP para expanso futura
1. Calcular os bits obrigatrios para dar suporte aos hosts em cada sub-rede
2. Calcular mscaras de sub-rede e IDs de rede
Tarefa 1: Calcular os bits obrigatrios para dar suporte aos hosts em cada sub-rede
1. Quantos bits so obrigatrios para dar suporte a 100 hosts na sub-rede do cliente?
2. Quantos bits so obrigatrios para dar suporte a 10 hosts na sub-rede do servidor?
3. Quantos bits so obrigatrios para dar suporte a 40 hosts na sub-rede de expanso futura?
4. Se tiverem o mesmo tamanho, todas as sub-redes podero ser acomodadas?
5. Qual recurso permite que uma nica rede seja dividida em sub-redes de tamanhos variados?
6. Quantos bits de host voc usar em cada sub-rede? Use a alocao mais simples possvel,
que uma sub-rede grande e duas sub-redes menores de mesmo tamanho.
Tarefa 2: Calcular mscaras de sub-rede e IDs de rede
1. Dado o nmero de bits de host alocado, qual a mscara de sub-rede que voc usar na sub-rede
do cliente? Calcule a mscara de sub-rede em binrio e decimal.
o A sub-rede do cliente est usando sete bits para a ID do host. Por isso, voc usar 25 bits
para a mscara de sub-rede.
Binrio Decimal

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-29
do servidor? Calcule a mscara de sub-rede em binrio e decimal.
o A sub-rede do servidor est usando seis bits para a ID do host. Por isso, voc usar 26 bits
para a mscara de sub-rede.
Binrio Decimal

de expanso futura? Calcule a mscara de sub-rede em binrio e decimal.
o A sub-rede de expanso futura est usando seis bits para a ID do host. Por isso, voc
usar 26 bits para a mscara de sub-rede.
Binrio Decimal

4. Para a sub-rede do cliente, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do cliente seja a primeira sub-rede alocada
no pool de endereos disponveis. Calcule as verses binria e decimal de cada endereo.
Descrio Binrio Decimal
ID de rede
Primeiro host
ltimo host
Difuso
5. Para a sub-rede do servidor, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do servidor seja a segunda sub-rede alocada
ID de rede
Primeiro host
ltimo host
Difuso
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Para a sub-rede de alocao futura, defina a ID da rede, o primeiro host disponvel, o ltimo host
disponvel e o endereo de difuso. Pressuponha que a sub-rede de alocao futura seja a
terceira sub-rede alocada no pool de endereos disponveis. Calcule as verses binria e decimal
de cada endereo.
ID de rede
Primeiro host
ltimo host
Difuso

Resultados: Depois de concluir este exerccio, voc ter identificado as sub-redes obrigatrias para
atender aos requisitos do cenrio de laboratrio.
Exerccio 2: Soluo de problemas do IPv4
Cenrio
Um servidor na filial no consegue se comunicar com o controlador de domnio na matriz. Voc precisa
resolver o problema de conectividade de rede.
1. Preparar para soluo de problemas
2. Solucionar problemas de conectividade do IPv4 entre LON-SVR2 e LON-DC1
Tarefa 1: Preparar para soluo de problemas
1. Em LON-SVR2, abra o Windows PowerShell.
2. No Windows PowerShell, execute ping LON-DC1 e verifique se isso funcional.
3. Execute o script Break.ps1 localizado em \\LON-DC1\E$\Labfiles\Mod05. Esse script cria
o problema que voc ir solucionar e reparar na prxima tarefa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-31
Tarefa 2: Solucionar problemas de conectividade do IPv4 entre LON-SVR2
e LON-DC1
1. Use o conhecimento do IPv4 para solucionar problemas e reparar o problema de conectividade
entre LON-SVR2 e LON-DC1. Considere o uso das seguintes ferramentas:
o Ipconfig
o Ping
o Tracert
o Rota
o Monitor de Rede
2. Ao reparar o problema, execute ping LON-DC1 em LON-SVR2 para confirmar se o problema
foi resolvido.
Observao: Se voc tiver mais tempo, execute um script de parada adicional em
\\LON-DC1\E $ \Labfiles\Mod05 e solucione esse problema.
Resultados: Depois de concluir este laboratrio, voc ter resolvido um problema de conectividade
do IPv4.
Quando voc terminar o laboratrio, reverta as mquinas virtuais para o estado inicial. Para fazer isso,
execute estas etapas.
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-RTR e 24410B-LON-SVR2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Prtica recomendada
Ao implementar o IPv4, use as seguintes prticas recomendadas:
Permita o crescimento ao planejar sub-redes do IPv4. Isso garante que voc no precisa alterar
o esquema de configurao do IPv4.
Defina finalidades para intervalos de endereos especficos e sub-redes. Isso permite identificar
facilmente hosts com base nos respectivos endereos IP e usar firewalls para aumentar a segurana.
Use endereos IPv4 dinmicos para clientes. muito mais fcil gerenciar a configurao do IPv4
para computadores clientes usando o DHCP do que com a configurao manual.
Use endereos IPv4 estticos para servidores. Quando servidores tm um endereo IPv4 esttico,
mais fcil identificar onde os servios esto localizados na rede.
Conflitos de IP

Vrios gateways padro definidos

Configurao do IPv4 incorreta

Perguntas de reviso
Pergunta: Voc acabou de comear como um administrador de servidor para uma
organizao pequena com um nico local. A organizao est usando o intervalo de
endereos 131.107.88.0/24 para a rede interna. Isso uma preocupao?
Pergunta: Voc est trabalhando para uma organizao que presta servios de hospedagem
da Web a outras organizaes. Voc tem uma nica rede /24 do ISP para os hosts da Web.
Voc est quase sem endereos IPv4 e solicitou ao ISP um intervalo de endereos adicional.
O ideal que colocasse a rede existente na super-rede com a nova rede. Existe algum
requisito especfico para super-rede?
Pergunta: Voc instalou um novo aplicativo baseado na Web executado em um nmero
de porta no padro. Um colega est testando o acesso ao novo aplicativo baseado
na Web e indica que ele no consegue se conectar a ele. Quais so as causas mais provveis
do problema?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 5-33
Ferramentas
Ferramenta Use para Onde encontrar
Monitor de Rede Capturar e analisar o trfego de rede Baixar no site da Microsoft
Ipconfig Exibir a configurao de rede Prompt de comando
Ping Verificar a conectividade de rede Prompt de comando
Tracert Verificar caminho de rede entre
hosts
Prompt de comando
Pathping Verificar caminho de rede e
confiabilidade entre hosts
Prompt de comando
Rota Exibir e configurar a tabela
de roteamento local
Prompt de comando
Telnet Testar conectividade com uma porta
especfica
Prompt de comando
Netstat Exibir informaes da conectividade
de rede
Prompt de comando
Monitor de recursos Exibir informaes da conectividade
de rede
Ferramentas no Gerenciador do
Servidor
Diagnsticos de
Rede do Windows
Diagnosticar problema com uma
conexo de rede
Propriedades da conexo de rede
Visualizador
de Eventos
Exibir eventos do sistema
relacionados rede
Ferramentas no Gerenciador
do Servidor

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6-1
Mdulo 6
Implementao do protocolo DHCP
Contedo:
Lio 1: Instalao de uma funo de servidor DHCP 6-2
Lio 2: Configurao de escopos DHCP 6-8
Lio 3: Gerenciamento de um banco de dados DHCP 6-13
Lio 4: Proteo e monitoramento do DHCP 6-17
Laboratrio: Implementao de DHCP 6-23

Viso geral do mdulo
O protocolo DHCP desempenha uma funo importante na infraestrutura do Windows Server
2012.
Ele o principal meio de distribuio de importantes informaes sobre configurao de rede para os
clientes da rede, alm de fornecer informaes de configurao a outros servios habilitados para rede,
inclusive Windows DS (Servios de Implantao do Windows
) e NAP (Proteo de Acesso Rede).

Para dar suporte e solucionar problemas de uma infraestrutura de rede baseada no Windows Server,
importante compreender como implantar, configurar e solucionar problemas da funo de servidor
DHCP.
Objetivos
Instalar a funo de servidor DHCP.
Configurar escopos DHCP.
Gerenciar um banco de dados DHCP.
Proteger e monitorar a funo de servidor DHCP.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6-2 Implementao do protocolo DHCP
Lio 1
Instalao de uma funo de servidor DHCP
O uso do DHCP pode ajudar a simplificar a configurao do computador cliente. Esta lio descreve
os benefcios do DHCP, explica como o protocolo DHCP funciona e aborda como controlar DHCP
em uma rede Windows Server 2012 com AD DS (Servios de Domnio do Active Directory
).
Objetivos da lio
Descrever os benefcios do uso de DHCP.
Explicar como o DHCP aloca endereos IP para clientes de rede.
Explicar como funciona o processo de gerao de concesso DHCP.
Explicar como funciona o processo de renovao de concesso DHCP.
Descrever a finalidade de um agente de retransmisso DHCP.
Explicar como uma funo de servidor DHCP autorizada.
Explicar como adicionar e autorizar a funo de servidor DHCP.
Vantagens do uso do DHCP
O protocolo DHCP simplifica a configurao de
clientes IP em um ambiente de rede. Sem usar
DHCP, sempre que adiciona um cliente rede,
voc precisa configur-lo com informaes
sobre a rede na qual ele foi instalado, inclusive
o endereo IP, a mscara de sub-rede e o
gateway padro para o acesso a outras redes.
Quando voc precisa gerenciar
vrios computadores em uma rede,
o gerenciamento manual deles se torna
um processo muito demorado. Vrias
empresas gerenciam milhares de dispositivos
de computador, inclusive dispositivos de mo, computadores desktop e laptops. No vivel gerenciar
manualmente as configuraes de IP de rede para organizaes desse tamanho.
Com a funo de servidor DHCP, possvel ajudar a garantir que todos os clientes tenham as informaes
de configurao apropriadas, o que ajuda a eliminar erros humanos durante a configurao. Quando
as informaes-chave de configurao so alteradas na rede, possvel atualiz-las usando a funo
de servidor DHCP sem ter que alterar as informaes diretamente em cada computador.
O DHCP tambm um servio importante para usurios mveis que mudam de rede com frequncia.
O DHCP permite que os administradores da rede ofeream informaes complexas de configurao da
rede para usurios no tcnicos, sem que os usurios tenham que lidar com os detalhes de configurao
de suas redes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-3
As configuraes com e sem estado do DHCP verso 6 (v6) tm suporte para configurao de clientes em
um ambiente do IPv6. A configurao com estado ocorre quando o servidor DHCPv6 atribui o endereo
IPv6 ao cliente com os dados adicionais DHCP. A configurao sem estado ocorre quando o roteador
de sub-rede atribui o endereo IPv6 automaticamente, e o servidor DHCPv6 atribui apenas outras
definies de configurao IPv6.
A NAP faz parte de um novo conjunto de ferramentas que impede acesso completo intranet de
computadores que no esto em conformidade com os requisitos de integridade do sistema. A NAP
com DHCP ajuda a isolar da rede corporativa os computadores possivelmente infectados por malware.
A NAP DHCP permite que os administradores confirmem se os clientes DHCP so compatveis com as
polticas de segurana internas. Por exemplo, todos os clientes da rede devem estar atualizados e ter um
programa antivrus vlido e atualizado instalado antes de receberem uma configurao de IP que permita
acesso completo intranet.
possvel instalar o DHCP como uma funo em uma instalao Server Core do Windows Server 2012.
Uma instalao Server Core permite criar um servidor com uma superfcie de ataque reduzida. Para
gerenciar o DHCP no Server Core, voc deve instalar e configurar a funo usando a interface de linha
de comando. Tambm possvel gerenciar a funo DHCP em execuo na instalao Server Core do
Windows Server 2012 em um console baseado em GUI (interface grfica do usurio), em que a funo
DHCP j est instalada.
Como o DHCP aloca endereos IP
O DHCP aloca endereos IP em um processo
dinmico, outrora conhecido como uma
concesso. Embora seja possvel definir a
durao da concesso como Ilimitada, voc
normalmente define a durao como um valor
inferior a algumas horas ou dias. O tempo de
concesso padro para clientes com fio de
oito dias e de trs dias para clientes sem fio.
O DHCP usa as difuses IP para iniciar a
comunicao. Portanto, os servidores DHCP so
limitados comunicao dentro de sua sub-rede
IP. Isso significa que, em diversas redes, existe
um servidor DHCP para cada sub-rede IP.
Para ser considerado um cliente DHCP, um computador precisa ser configurado a fim de obter um
endereo IP automaticamente. Por padro, cada computador est configurado para obter um endereo IP
automaticamente. Em uma rede na qual um servidor DHCP esteja instalado, um cliente DHCP responder
a uma difuso DHCP.
Se um computador for configurado com um endereo IP por um administrador, esse computador
tem um endereo IP esttico e considerado um cliente no DHCP, alm de no se comunicar
com um servidor DHCP.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como funciona a gerao de concesso DHCP
Voc usa o processo de concesso DHCP de
quatro etapas para atribuir um endereo IP aos
clientes. A compreenso de como funciona cada
etapa ajuda a solucionar problemas quando os
clientes no conseguem obter um endereo IP.
As quatro etapas so as seguintes:
1. O cliente DHCP transmite um pacote
DHCPDISCOVER a todos os computadores
na sub-rede. Somente um computador
com a funo de servidor DHCP ou
um computador ou roteador que esteja
executando um agente de retransmisso
DHCP responde. N ltimo caso, o agente de retransmisso DHCP encaminha a mensagem
para o servidor DHCP com o qual ele est configurado.
2. Um servidor DHCP responde com um pacote DHCPOFFER. Esse pacote contm um endereo
potencial do cliente.
3. O cliente recebe o pacote DHCPOFFER. Ele pode receber pacotes de vrios servidores; nesse caso,
ele costuma selecionar o servidor que deu a resposta mais rpida ao pacote DHCPDISCOVER.
Ele costuma ser o servidor DHCP mais prximo ao cliente. Em seguida, o cliente transmite
um DHCPREQUEST contendo um identificador de servidor. Isso informa aos servidores DHCP
que recebem a transmisso qual DHCPOFFER do servidor o cliente optou por aceitar.
4. Os servidores DHCP recebem o DHCPREQUEST. Esses servidores no aceitos pelo cliente usam
a mensagem como notificao de que o cliente recusa a oferta do servidor. O servidor escolhido
armazena as informaes de endereo IP do cliente no banco de dados DHCP e responde com
uma mensagem DHCPACK. Se, por algum motivo, o servidor DHCP no conseguir fornecer o
endereo oferecido no DHCPOFFER inicial, o servidor DHCP enviar uma mensagem DHCPNAK.
Como funciona a renovao de concesso DHCP
Quando a concesso DHCP alcana 50% do
tempo de concesso, o cliente tenta renovar
a concesso. Esse processo automtico ocorre
em segundo plano. Os computadores
podem ter o mesmo endereo IP atribudo pelo
servidor DHCP por um longo perodo caso
operem continuamente em uma rede sem
serem desligados.
Para renovar a concesso do endereo IP,
o cliente transmite uma mensagem
DHCPREQUEST. O servidor que concedeu
o endereo IP originalmente reenvia uma
mensagem DHCPACK para o cliente; essa mensagem contm novos parmetros alterados desde
que a concesso original foi criada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-5
Se o cliente DHCP no conseguir entrar em contato com o servidor DHCP, o cliente aguardar 87,5% do
tempo de concesso. Se a renovao for malsucedida, que significa que 100% do tempo de concesso
expirou, o computador cliente tentar entrar em contato com o gateway padro configurado. Se o
gateway no responder, o cliente ir pressupor que ele esteja em uma nova sub-rede e entrar na fase
de descoberta, na qual tenta obter uma configurao IP de qualquer servidor DHCP.
Os computadores cliente tambm tentam efetuar a renovao durante o processo de inicializao ou
quando o computador detecta uma alterao na rede. Isso porque os computadores clientes podem
ter sido movidos enquanto estavam offline; por exemplo, um laptop pode ser ter sido conectado a uma
nova sub-rede. Se a renovao for bem-sucedida, o perodo de concesso ser redefinido. A funo DHCP
no Windows Server 2012 d suporte a um novo recurso, protocolo Failover do Servidor DHCP. Esse
protocolo permite a sincronizao das informaes de concesso entre servidores DHCP e aumenta a
disponibilidade de servio DHCP. Se um servidor DHCP no estiver disponvel, os outros servidores DHCP
continuaro atendendo a clientes na mesma sub-rede.
O que um agente de retransmisso DHCP?
O DHCP usa as difuses IP para iniciar a
comunicao. Portanto, os servidores DHCP so
limitados comunicao dentro de sua sub-rede
IP. Isso significa que, em diversas redes, existe
um servidor DHCP para cada sub-rede IP. Se
houver uma grande quantidade de sub-redes,
a implantao de servidores para cada sub-rede
pode custar caro. Um nico servidor DHCP pode
atender a colees de sub-redes menores. Para
que o servidor DHCP responda a uma solicitao
de cliente DHCP, ele deve estar apto a receber
solicitaes DHCP. possvel habilitar essa funo
configurando um agente de retransmisso DHCP em cada sub-rede. Um agente de retransmisso DHCP
um computador ou roteador que escuta difuses DHCP de clientes DHCP e, em seguida, as retransmite
para servidores DHCP em sub-redes diferentes
Com o agente de retransmisso DHCP, o DHCP transmite pacotes que podem ser retransmitidos para
outra sub-rede IP por um roteador. Em seguida, possvel configurar o agente de retransmisso DHCP
na sub-rede que exige endereos IP. Alm disso, possvel configurar o agente com o endereo IP do
servidor DHCP. Assim, o agente pode capturar as difuses clientes e encaminh-las ao servidor DHCP
em outra sub-rede. Voc tambm pode retransmitir pacotes DHCP para outras sub-redes usando
um roteador compatvel com a RFC 1542.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Autorizao de Servidor DHCP
O DHCP permite que o computador cliente
obtenha informaes de configurao sobre
a rede em que ele iniciado. A comunicao
DHCP normalmente ocorre antes de qualquer
autenticao do usurio ou do computador; e
como o protocolo DHCP se baseia em difuses IP,
um servidor DHCP configurado incorretamente
em uma rede pode fornecer informaes invlidas
aos clientes. Para evitar isso, o servidor deve ser
autorizado. A autorizao DHCP o processo
de registro do servio Servidor DHCP no
domnio Active Directory para dar suporte
aos clientes DHCP.
Requisitos do Active Directory
Voc deve autorizar a funo de servidor DHCP do Windows Server 2012 no AD DS para que
ela possa iniciar a concesso de endereos IP. possvel ter um nico servidor DHCP que fornea
endereos IP para sub-redes que contenham vrios domnios AD DS. Portanto, uma conta de
Administrador Corporativo deve autorizar o servidor DHCP.
Consideraes sobre o servidor DHCP autnomo
Um servidor DHCP autnomo um computador que executa o Windows Server 2012, no faz parte
de um domnio AD DS e que possui a funo de servidor DHCP instalada e configurada. Se detectar
um servidor DHCP autorizado no domnio, o servidor DHCP autnomo no conceder endereos IP
e ser desligado automaticamente.
Servidores DHCP no autorizados
Muitos dispositivos de rede possuem software de servidor DHCP interno. Assim, muitos roteadores
podem atuar como um servidor DHCP, mas esses servidores normalmente no reconhecem servidores
autorizados por DHCP e podem conceder endereos IP aos clientes. Nessa situao, voc deve realizar
uma investigao para detectar servidores DHCP no autorizados, independentemente de serem
instalados em dispositivos ou servidores no Microsoft. Assim que os detectar, voc dever desabilitar
o servio DHCP neles. possvel localizar o endereo IP do servidor DHCP emitindo o comando
ipconfig /all no computador cliente DHCP.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-7
Demonstrao: Adio da funo de servidor DHCP
Nesta demonstrao, voc ver como instalar e autorizar a funo de servidor DHCP.
Instalar a funo Servidor DHCP
2. Abra o Gerenciador do Servidor e instale a funo Servidor DHCP.
3. No Assistente de Adio de Funo, aceite todas as configuraes padro.
4. Fechar o Gerenciador do Servidor.
Autorizar o servidor DHCP
1. Alterne para LON-SVR1.
2. Abra o console do DHCP.
3. Autorize o servidor lon-svr1.adatum.com no AD DS.
Observao: Deixe todas as mquinas virtuais no estado em que se encontram
para a prxima demonstrao.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Configurao de escopos DHCP
Depois de instalar a funo DHCP em um servidor, voc dever configurar os escopos DHCP.
Um escopo DHCP o principal mtodo para a configurao de opes de um grupo de endereos IP.
Um escopo DHCP se baseia em uma sub-rede IP e pode ter configuraes especficas de hardware
ou grupos personalizados de clientes. Esta lio explica escopos DHCP e como gerenci-los.
Objetivos da lio
Descrever a finalidade de um escopo DHCP.
Descrever uma reserva DHCP.
Descrever as opes DHCP.
Explicar como aplicar opes DHCP.
Criar e configurar um escopo DHCP.
O que so escopos DHCP?
Um escopo DHCP um intervalo de
endereos IP disponveis para concesso e
que so gerenciados por um servidor DHCP.
Um escopo DHCP costuma estar confinado aos
endereos IP de uma determinada sub-rede.
Por exemplo, um escopo DHCP para a rede
192.168.1.0/24 (mscara de sub-rede de
255.255.255.0) d suporte a um intervalo
de 192.168.1.1 a 192.168.1.254. Quando
um computador ou dispositivo na sub-rede
192.168.1.0/24 solicita um endereo IP, o escopo
que definiu o intervalo nesse exemplo aloca um
endereo entre 192.168.1.1 e 192.168.1.254.
Observao: Lembre-se de que o servidor DHCP, se implantado na mesma sub-rede,
consumir um endereo IPv4. Esse endereo deve ser excludo do intervalo de endereos IPv4.
Para configurar um escopo, voc deve definir as seguintes propriedades:
Nome e descrio. Esta propriedade identifica o escopo.
Intervalo de endereos IP. Esta propriedade lista o intervalo de endereos que pode ser oferecido
para concesso e costuma listar todo o intervalo de endereos para uma determinada sub-rede.
Mscara de sub-rede. Esta propriedade usada por computadores clientes para determinar
os respectivos locais na infraestrutura de rede da organizao.
Excluses. Esta propriedade lista endereos nicos ou blocos de endereos que esto dentro
do intervalo de endereos IP, mas que no sero oferecidos para concesso.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-9
Atraso. Esta propriedade o tempo de atraso antes de executar DHCPOFFER.
Durao da concesso. Esta propriedade lista a durao da concesso. Use duraes mais curtas
para escopos com endereos IP limitados e duraes mais longas para redes mais estticas.
Opes. possvel configurar muitas propriedades opcionais em um escopo, mas voc normalmente
configurar:
o opo 003 Roteador (o gateway padro para a sub-rede)
o opo 006 servidores DNS (Sistema de Nomes de Domnio)
o opo 015 sufixo DNS
Escopos IPv6
possvel configurar as opes do escopo IPv6 como um escopo separado no n IPv6 do console DHCP.
O n IPv6 contm vrias opes diferentes que possvel modificar e um mecanismo de concesso
aprimorado.
Ao configurar um escopo DHCPv6, voc deve definir as seguintes propriedades:
Nome e descrio. Esta propriedade identifica o escopo.
Prefixo. O prefixo de endereo IPv6 parecido com o intervalo de endereos IPv4; basicamente,
ele define o endereo de rede.
Excluses. Esta propriedade lista endereos nicos ou blocos de endereos que esto dentro
do prefixo IPv6, mas que no sero oferecidos para concesso.
Tempos de vida desejados. Esta propriedade define por quanto tempo os endereos concedidos
sero vlidos.
Opes. Assim como acontece com IPv4, possvel configurar muitas opes.
O que uma reserva DHCP?
Como uma prtica recomendada, voc deve
considerar o fornecimento de dispositivos de
rede como impressoras de rede com
um endereo IP predeterminado. Usando uma
reserva DHCP, voc pode verificar se os endereos
IP definidos alm de um escopo configurado
no atribudos a outro dispositivo. Uma reserva
DHCP um endereo IP especfico, dentro de
um escopo, reservado permanentemente para
concesso a um determinado cliente DHCP. Uma
reserva DHCP tambm garante que os dispositivos
com reservas tenham um endereo IP, mesmo se
um escopo estiver com endereos esgotados. A configurao de reservas permite que voc centralize
o gerenciamento de endereos IP fixos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao de reservas DHCP
Para configurar uma reserva, voc deve saber o endereo MAC (controle de acesso mdia) da interface
de rede do dispositivo ou o endereo fsico. Esse endereo indica ao servidor DHCP que o dispositivo
deve ter uma reserva. Voc pode adquirir um endereo MAC da interface de rede usando o comando
ipconfig/all. Geralmente, os endereos MAC para impressoras de rede e outros dispositivos de rede
esto impressos no dispositivo. A maioria dos computadores laptop tambm possui essas informaes
na parte inferior do chassi.
O que so opes DHCP?
Os servidores DHCP podem configurar mais
do que apenas um endereo IP; eles tambm
fornecem informaes sobre recursos de rede,
como servidores DNS e o gateway padro.
Opes DHCP so valores para os dados de
configurao comuns que se aplicam a opes
de servidor, escopos, reservas e classe. Voc
pode aplicar as opes DHCP nos nveis
de servidor, escopo, usurio e fornecedor.
Um cdigo de opo identifica as opes DHCP,
e a maioria dos cdigos de opo vem da
documentao RFC encontrada no site da IETF
(Internet Engineering Task Force).
Opes DHCP comuns
A tabela a seguir lista os cdigos de opo de comando solicitados pelos clientes DHCP baseados
no Windows.
Cdigo de opo Nome
1 Mscara de sub-rede
3 Roteador
6 Servidores DNS
15 Nome de domnio DNS
44 Servidores WINS/NBNS (Servio de Cadastramento na Internet
do Windows/Servio de Nome NetBIOS)
46 Tipo de n WINS/NetBT (WINS/NetBIOS via TCP/IP)
47 ID do escopo NetBIOS
51 Tempo de concesso
58 Valor do tempo de renovao (T1)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-11
(continuao)
Cdigo de opo Nome
59 Valor do tempo de reassociao (T2)
31 Realizar descoberta de roteador
33 Rota esttica
43 Informaes especficas do fornecedor
249 Rotas estticas sem classe
Como as opes DHCP so aplicadas?
O DHCP aplica opes aos computadores clientes
na seguinte ordem:
1. Nvel do servidor. Uma opo no
nvel de servidor atribuda a todos
os clientes DHCP do servidor DHCP.
2. Nvel do escopo. Uma opo no nvel
de escopo atribuda a todos os clientes
de um escopo.
3. Nvel da classe. Uma opo no nvel de
classe atribuda a todos os clientes que se
identificam como membros de uma classe.
4. Nvel de cliente reservado. Uma opo no nvel de reserva atribuda a um cliente DHCP.
Voc precisa compreender essas opes ao configurar o DHCP, logo, saber quais configuraes de nvel
tm prioridade ao definir configuraes diferentes em vrios nveis.
Se as configuraes de opo DHCP forem aplicadas em cada nvel, a opo aplicada pela ltima vez
substituir a configurao aplicada anteriormente. Por exemplo, se o gateway padro for configurado
no nvel de escopo e um gateway padro diferente for aplicado para um cliente reservado, a configurao
de cliente reservada se tornar a configurao efetiva.
Tambm possvel configurar polticas de atribuio de endereo no nvel do servidor ou no nvel
do escopo. A poltica de atribuio do endereo contm um conjunto de condies que voc define
para conceder endereos IP DHCP diferentes e configuraes a tipos diferentes de clientes DHCP,
como computadores, laptops, impressoras de rede ou telefones IP. As condies definidas nessas
polticas diferenciam vrios tipos de clientes e incluem vrios critrios, como endereo MAC
ou informaes do fornecedor.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Criao e configurao de um escopo DHCP
possvel criar escopos usando o MMC (Console de Gerenciamento Microsoft) para a funo de
servidor DHCP ou o comando de configurao da rede Netsh. A ferramenta de linha de comando Netsh
permitir gerenciar escopos remotamente se o servidor DHCP estiver em execuo em uma instalao
Server Core do Windows Server 2012. A ferramenta de linha de comando Netsh tambm til para script
e automatizao do provisionamento de servidor.
Nesta demonstrao, voc ver como configurar escopo e opes de escopo em DHCP.
Configurar escopo e opes de escopo em DHCP
1. No DHCP, no painel de navegao, expanda lon-svr1.adatum.com, clique com o boto direito
do mouse em IPv4 e clique em Novo escopo.
2. Crie um novo escopo com as seguintes propriedades:
o Nome: Filial
o Intervalo de endereos IP: 172.16.0.100-172.16.0.200
o Comprimento: 16
o Mscara de sub-rede: 255.255.0.0
o Excluses: 172.16.0.190-172.16.0.200
o Outras configuraes: usar valores padro
o Configurar opes Roteador 172.16.0.1
3. Use configuraes padro para todas as outras pginas e ative o escopo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-13
Lio 3
Gerenciamento de um banco de dados DHCP
O banco de dados DHCP armazena informaes sobre as concesses de endereos IP. Se houver
um problema, ser importante saber como fazer backup do banco de dados e resolver problemas
do banco de dados. Esta lio explica como gerenciar o banco de dados e seus dados.
Objetivos da lio
Descrever o banco de dados DHCP.
Explicar como fazer backup e restaurar um banco de dados DHCP.
Explicar como reconciliar um banco de dados DHCP.
Explicar como mover um banco de dados DHCP.
O que um banco de dados DHCP?
O banco de dados DHCP um banco de dados
dinmico que contm dados relacionados a
escopos, concesses de endereo e reservas.
O banco de dados tambm contm o arquivo
de dados que armazena as informaes de
configurao do DHCP e os dados de concesso
para os clientes que obtiveram a concesso de
um endereo IP do servidor DHCP. Por padro,
os arquivos do banco de dados DHCP
so armazenados na pasta
%systemroot%\System32\Dhcp.
Arquivos de banco de dados do servio DHCP
A tabela a seguir descreve alguns dos arquivos de banco de dados do servio DHCP.
Arquivo Descrio
Dhcp.mdb Dhcp.mdb o arquivo de banco de dados do servidor DHCP.
Dhcp.tmp Dhcp.tmp um arquivo temporrio que o banco de dados DHCP usa como
arquivo de permuta durante operaes de manuteno do ndice do banco
de dados. Depois de uma falha no sistema, Dhcp.tmp s vezes permanece
no diretrio Systemroot\System32\Dhcp.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Arquivo Descrio
J50.log e
J50#####.log
J50.log e J50 #####.log so logs de todas as transaes de banco de dados.
O banco de dados DHCP usa esse log para recuperar dados quando necessrio.
J50.chk Este um arquivo do ponto de verificao.
Observao: Voc no deve remover ou alterar nenhum dos arquivos de banco de dados
do servio DHCP.
O banco de dados do servidor DHCP dinmico. Ele atualizado quando os clientes DHCP so
atribudos, ou quando liberam os respectivos parmetros de configurao TCP/IP. Como o banco
de dados DHCP no um banco de dados distribudo como o banco de dados do servidor WINS,
a manuteno do banco de dados do servidor DHCP menos complexo.
Por padro, o backup do banco de dados DHCP e das entradas de registro relacionadas feito
automaticamente em intervalos de 60 minutos. possvel alterar esse intervalo padro alterando
o valor de BackupInterval na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Tambm possvel fazer backup manualmente de um banco de dados DHCP a qualquer momento.
Backup e restaurao de um banco de dados do DHCP
possvel fazer backup de um banco de
dados DHCP manualmente, ou configur-lo
para backup automtico. Um backup automtico
chamado de backup sncrono. Um backup
manual chamado de backup assncrono.
Backup automtico (sncrono)
O caminho padro para o backup de DHCP
systemroot\System32\Dhcp\Backup. Como prtica
recomendada, voc pode modificar esse caminho
nas propriedades do servidor para apontar para
outro volume.
Backup manual (assncrono)
Se houver uma necessidade urgente de criar um backup, voc poder executar a opo de backup
manual no console DHCP. Essa ao exige permisses de nvel administrativo ou a conta do usurio
deve ser membro do grupo Administradores DHCP.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-15
O que includo no backup?
Quando um backup sncrono ou assncrono ocorre, todo o banco de dados DHCP salvo, incluindo
o seguinte:
Todos os escopos
Reservas
Concesses
Todas as opes, inclusive as opes de servidor, escopo, reserva e classe
Todas as chaves do Registro e outras definies de configurao (por exemplo, configuraes do log
de auditoria e configuraes do local da pasta) definidas nas propriedades do servidor DHCP. Essas
configuraes so armazenadas na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Para fazer backup dessa chave, abra o Editor do Registro e salve a chave especificada em um arquivo
de texto.
Observao: As credenciais para a atualizao dinmica de DNS (nome do usurio,
domnio e senha) usadas pelo servidor DHCP durante o registro de computadores clientes
DHCP no DNS no so includas no backup com qualquer mtodo.
Restaurao de um banco de dados
Se voc precisar restaurar o banco de dados, use a funo Restaurar no console do servidor DHCP. Ser
exibida uma solicitao para voc informar o local do backup. Depois de selecionar o local, o servio
DHCP ser parado e o banco de dados ser restaurado. Para restaurar o banco de dados, a conta do
usurio deve ter permisses de nvel administrativo ou ser membro do grupo Administradores DHCP.
Segurana de backup
Depois que o backup do arquivo do banco de dados DHCP for feito, ele dever ser colocado em um local
protegido que somente os Administradores DHCP possam acessar. Isso garante que todas as informaes
da rede contidas nos arquivos de backup permaneam protegidas.
Uso de Netsh
Tambm possvel usar comandos no contexto Netsh DHCP Server para fazer backup do banco de
dados; isso ser til quando voc quiser fazer backup do banco de dados em um local remoto usando
um arquivo de script.
O comando a seguir um script que pode ser usado no prompt DHCP Netsh Server para fazer backup
dos dados DHCP de todos os escopos:
export "c:\My Folder\Dhcp Configuration" all
Para restaurar o banco de dados DHCP, use o comando a seguir:
import "c:\My Folder\Dhcp Configuration" all
Observao: O contexto Netsh DHCP Server no existe em computadores servidor que
no tm a funo de servidor DHCP instalada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Reconciliao de um banco de dados DHCP
A reconciliao de escopos pode corrigir
inconsistncias que podem afetar os
computadores cliente.
O servio do Servidor DHCP armazena as
informaes de concesso de endereos IP
do escopo de duas formas:
Informaes detalhadas sobre a concesso
de endereos IP, que o banco de dados DHCP
armazena
Informaes resumidas sobre a concesso
de endereos IP, que o Registro do servidor
armazena
Quando estiver reconciliando escopos, as entradas resumidas e detalhadas so comparadas para localizar
as inconsistncias.
Para corrigir e reparar essas inconsistncias, necessrio reconciliar todas as inconsistncias do escopo.
Assim que voc selecionar e reconciliar as inconsistncias do escopo, o servio DHCP restaurar os
endereos IP para o proprietrio original ou criar uma reserva temporria para eles. Essas reservas so
vlidas pelo perodo de concesso atribudo ao escopo. Aps o vencimento do perodo de concesso,
os endereos sero recuperados para uso futuro.
Como mover um banco de dados DHCP
Caso precise mover a funo de servidor DHCP
para outro servidor, como uma prtica
recomendada, voc tambm deve mover o
banco de dados DHCP para o mesmo servidor.
Isso garante a manuteno das concesses de
cliente e reduz a probabilidade de problemas
na configurao do cliente.
Inicialmente, voc move o banco de dados
fazendo o respectivo backup no antigo servidor
DHCP. Em seguida, feche o servio DHCP no
antigo servidor DHCP. Depois, copie o banco de
dados DHCP para o novo servidor, onde possvel
restaur-lo usando o procedimento de restaurao de bancos de dados normal.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-17
Lio 4
Proteo e monitoramento do DHCP
O protocolo DHCP no tem nenhum mtodo interno pra autenticao de usurios. Isso significa que
se voc no tiver cuidado, as concesses de IP podero ser para dispositivos e usurios no autorizados.
O DHCP o servio principal em ambientes de rede de muitas organizaes. Se o servio DHCP no
estiver funcionando corretamente ou se houver uma situao que esteja causando problemas com
o servidor DHCP, ser importante que voc possa identificar o problema e determinar as provveis
causas para resolv-lo.
Esta lio explica como impedir que usurios no autorizados obtenham uma concesso, como gerenciar
servidores DHCP no autorizados e como configurar servidores DHCP para que um grupo especfico
possa gerenci-los.
Objetivos da lio
Explicar como impedir um computador no autorizado de obter uma concesso.
Explicar como restringir servidores DHCP no Microsoft no autorizados de conceder endereos IP.
Explicar como delegar a administrao da funo de servidor DHCP.
Descrever estatsticas do DHCP.
Descrever o registro em log de auditoria do DHCP.
Identificar problemas comuns possveis com o DHCP.
Impedimento de um computador no autorizado de obter uma concesso
Sozinho, o DHCP pode ser difcil de proteger
ele foi projetado para funcionar antes que as
informaes necessrias estejam prontas para
a autenticao de um computador cliente com
um controlador de domnio. Isso porque voc
deve tomar as precaues para evitar que
computadores sem autorizao obtenham
uma concesso com DHCP.
As precaues bsicas necessrias para limitar
o acesso no autorizado incluem:
Garantia de que voc reduza o acesso fsico:
se os usurios puderem acessar uma conexo
de rede ativa com a rede, os computadores devero ser capazes de obter um endereo IP. Se uma
porta de rede no estiver sendo usada, recomendvel desconect-la fisicamente da infraestrutura
de alternncia.
Habilitao do registro em log de auditoria em todos os servidores DHCP: isso pode dar uma viso
histrica da atividade, alm de permitir o rastreamento quando um usurio no autorizado obtiver
um endereo IP na rede. Certifique-se de programar o tempo em intervalos regulares para verificar
os logs de auditoria.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exigncia de conexes de Camada 2 autenticadas com a rede: a maioria dos comutadores
corporativos de hardware oferece suporte autenticao IEEE (Institute of Electrical and
Electronics Engineers, Inc.) 802.1X Isso permite a autenticao do usurio no nvel de porta.
Proteja padres sem fio, como WPA (Wi-Fi Protected Access) Enterprise e WPA2 Enterprise,
tambm usando a autenticao 802.1X.
Implementao da NAP: a NAP permite aos administradores confirmar se um computador cliente
compatvel com os requisitos de integridade do sistema, como estar executando todas as atualizaes
mais recentes do sistema operacional Windows ou executando um cliente antivrus atualizado.
Se tentarem acessar a rede, usurios que no atendam aos requisitos de segurana recebero
uma configurao de endereo IP para acessar uma rede de correo na qual eles podem receber
as atualizaes necessrias. O administrador tambm pode restringir o acesso rede permitindo
que somente computadores ntegros acessem a LAN (rede local) interna.
Impedir os servidores DHCP no Microsoft e no autorizados de conceder
endereos IP
Vrios dispositivos e sistemas operacionais de
rede tm vrias implementaes de servidor
DHCP. A natureza das redes raramente
homognea; por isso, possvel que, em algum
momento, um servidor DHCP que no procure
servidores autenticados pelo Active Directory seja
habilitado na rede. Nesse caso, os clientes podem
obter dados de configurao incorretos.
Para eliminar um servidor DHCP no autorizado,
voc deve localiz-lo primeiro. Voc deve
impedi-lo de se comunicar na rede desabilitando-
o fisicamente ou desabilitando o servio DHCP.
Se os usurios reclamarem que no tm conectividade rede, verifique o endereo IP dos seus
servidores DHCP. Use o comando ipconfig/all para verificar o endereo IP do campo Servidor DHCP.
Se esse no for o endereo IP de um servidor DHCP autorizado, dever haver um servidor no autorizado
na rede.
Use o utilitrio Localizador de Servidor DHCP (Dhcploc.exe) para localizar os servidores DHCP ativos
em uma sub-rede. O utilitrio Localizador de Servidor DHCP pode ser obtido nas Ferramentas do
Windows Server 2003 Resource Kit, nas Ferramentas de Suporte do Windows XP ou na TechNet Gallery.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-19
Delegao da administrao do DHCP
Verifique se apenas pessoas autorizadas podem
administrar a funo de servidor DHCP. Isso
pode ser feito de duas maneiras:
Limite a associao do grupo
Administradores DHCP.
Atribua usurios que exijam acesso
somente leitura associao DHCP
do grupo Usurios DHCP.
O grupo local Administradores DHCP
usado para restringir e conceder acesso para
administrar servidores DHCP. Portanto, o grupo
Administradores DHCP criado no AD DS quando a funo de servidor DHCP instalada em um
controlador de domnio ou criado no computador local quando a funo de servidor DHCP instalada
em membros do domnio ou em servidores autnomos.
Permisses necessrias para autorizar e administrar o DHCP
Somente administradores corporativos podem autorizar um servio DHCP. Se um administrador com
credenciais inferiores s que um administrador corporativo precisar autorizar o domnio, o administrador
dever usar a delegao do Active Directory. Todo usurio pertencente ao grupo Administradores DHCP
pode gerenciar o servio DHCP no servidor. Qualquer usurio no grupo Usurios DHCP pode ter acesso
somente leitura no console DHCP.
O que so as estatsticas de DHCP?
As estatsticas de DHCP fornecem informaes
sobre a atividade e o uso do DHCP. Voc pode
usar esse console para determinar rapidamente se
h algum problema com o servio DHCP ou com
os clientes DHCP da rede. Um exemplo em que as
estatsticas podem ser teis caso voc perceba um
grande volume de pacotes NAK (mensagem de
recusa), o que pode indicar que o servidor no
est fornecendo os dados corretos aos clientes.
possvel configurar a taxa de atualizao das
estatsticas na guia Geral da caixa de dilogo
Propriedades do servidor.
Estatsticas de servidor DHCP
As estatsticas do servidor DHCP apresentam uma viso geral do uso do servidor DHCP. possvel usar
esses dados para compreender rapidamente o estado do servidor DHCP. Informaes como nmero de
ofertas, nmero de solicitaes, total de endereos em uso e total de endereos disponvel podem ajudar
a dar uma ideia sobre a integridade do servidor. Estatsticas de servidor so mantidas separadamente
para o IPv4 e o IPv6.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Estatsticas do escopo DHCP
As estatsticas de escopo DHCP do menos detalhes como o total de endereos no escopo, a
quantidade de endereos em uso e a quantidade de endereos disponvel. Se voc perceber que existe
um nmero baixo de endereos disponveis nas estatsticas do servidor, pode ser que seja apenas um
escopo prximo ao ponto de esgotamento. Ao usar as estatsticas do escopo, um administrador pode
determinar rapidamente o status do escopo especfico em relao aos endereos disponveis.
O que registro em log de auditoria DHCP?
O log de auditoria DHCP um log que fornece
um log rastrevel da atividade do servidor
DHCP. possvel usar esse log para acompanhar
solicitaes de concesso, concesses e
negaes. Essas informaes permitem solucionar
problemas de desempenho do servidor DHCP.
Os arquivos de log so armazenados na pasta
%systemroot%\system32\dhcp por padro.
possvel definir as configuraes do arquivo de
log na caixa de dilogo Propriedades do servidor.
Os arquivos de log de auditoria DHCP recebem
nomes com base no dia da semana em que so
gerados. Por exemplo, se o log de auditoria for habilitado em uma segunda-feira, o nome do arquivo ser
DhcpSrvLog-Seg.log.
Arquivos de log de auditoria DHCP
A tabela a seguir descreve os campos em um log de auditoria de DHCP.
Campo Descrio
ID Um cdigo de identificao de evento do servidor DHCP.
Data A data na qual a entrada foi registrada em log no servidor DHCP.
Hora A hora na qual a entrada foi registrada em log no servidor DHCP.
Descrio Uma descrio do evento do servidor DHCP.
Endereo IP O endereo IP do cliente DHCP.
Nome do host O nome do host do cliente DHCP.
Endereo MAC O endereo MAC usado pelo hardware do adaptador de rede do cliente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-21
Cdigos comuns de ID do evento
Cdigos de ID do evento comuns so escritos da seguinte maneira:
ID,Data,Hora,Descrio,Endereo IP,Nome de Host,Endereo MAC
Os cdigos comuns de ID do evento incluem:
00,06/22/99,22:35:10,Started,,,,
56,06/22/99,22:35:10,Authorization failure, stopped servicing,,domain1.local,,
55,06/22/99,22:45:38,Authorized(servicing),,domain1.local
Discusso: Problemas comuns do DHCP
A tabela a seguir descreve alguns problemas
de DHCP comuns. Insira as possveis solues
na coluna Soluo e aborde as respostas com
a turma.
Problema Descrio Exemplo Soluo
Conflitos de
endereo
O mesmo endereo IP
oferecido a dois clientes
distintos.
Um administrador exclui uma
concesso. No entanto, o cliente
que tinha a concesso continua
funcionando como se a concesso
fosse vlida. Se no verificar o
endereo IP, o servidor DHCP
poder conceder o endereo IP
outra mquina, causando um
conflito de endereos. Isso tambm
ocorrer se dois servidores DHCP
tiverem escopos sobrepostos.

Falha ao obter
um endereo
DHCP
O cliente no recebe um
endereo DHCP e recebe
um endereamento
APIPA autoatribudo.
Se o driver de placa de rede do
cliente estiver configurada
incorretamente, poder ocorrer
uma falha ao obter um endereo
DHCP. Alm disso, a falha pode
ocorrer no servidor DHCP ou o
agente de retransmisso na sub-
rede do cliente talvez no esteja
online. Outra razo poderia ser
que o servidor DHCP no tem
mais escopo, logo, o escopo deve
ser estendido ou modificado.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Problema Descrio Exemplo Soluo
Endereo obtido
de um escopo
incorreto
O cliente est obtendo
um endereo IP do
escopo incorreto,
causando problemas
de comunicao.
Se o cliente estiver conectado
rede errada ou se o agente
de retransmisso DHCP for
configurado incorretamente,
esse erro poder ocorrer.

O banco de
dados DHCP
sofre danos ou
perda de dados
O banco de dados DHCP
ficou ilegvel ou se
perdeu devido a uma
falha de hardware.
Uma falha de hardware pode
corromper o banco de dados.

O servidor
DHCP esgotou
seu pool de
endereos IP
Os escopos de IP do
servidor DHCP se
esgotaram. Qualquer
cliente novo que
solicite um endereo
IP recusado.
Se todos os endereos IP atribudos
a um escopo forem concedidos,
esse erro ocorrer.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-23
Laboratrio: Implementao de DHCP
Cenrio
Voc aceitou uma promoo recentemente para a equipe de suporte de servidores. Uma de suas
primeiras atribuies foi configurar o servio de infraestrutura para uma nova filial. Como parte dessa
atribuio, voc precisa configurar um servidor DHCP que fornecer endereos IP e configurao para
computadores clientes. Os servidores so configurados com endereos IP estticos e no usam DHCP.
Objetivos
Implementar DHCP
Implementar um agente de retransmisso DHCP (opcional)

24410B-LON-SVR1
24410B-LON-RTR
24410B-LON-CL1
24410B-LON-CL2
Senha Pa$$w0rd
1. No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique
em Gerenciador do Hyper-V.
2. No Gerenciador do Microsoft Hyper-V
, clique em 24410B-LON-DC1 e, no painel Aes,

clique em Iniciar.
o Senha: Pa$$w0rd
o Domnio: ADATUM
5. Repita as etapas de 2 a 4 para 24410B-LON-SVR1 e 24410B-LON-CL1.
6. Para o Exerccio 2 opcional, voc deve repetir as etapas de 2 a 4 para 24410B-LON-RTR
e 24410B-LON-CL2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Implementao de DHCP
Cenrio
Como parte da configurao da infraestrutura para a nova filial, voc precisa configurar um
servidor DHCP que fornecer endereos IP e configurao para computadores clientes. Os servidores
so configurados com endereos IP estticos e normalmente no usam o DHCP para obter endereos IP.
Um dos computadores clientes na filial precisa acessar um aplicativo contbil na matriz. A equipe de
rede usa firewalls com base em endereos IP para restringir o acesso a esse aplicativo. A equipe de rede
solicitou que voc atribua um endereo IP esttico a esse computador cliente. Em vez de configurar um
endereo IP esttico no computador cliente manualmente, voc opta por criar uma reserva no DHCP
para o computador cliente.
1. Instalar a funo de servidor DHCP
2. Configurar o escopo e as opes DHCP
3. Configurar cliente para usar o DHCP e testar a configurao
4. Configurar uma concesso como uma reserva
Tarefa 1: Instalar a funo de servidor DHCP
2. Abra o Gerenciador do Servidor, e instale a funo Servidor DHCP.
3. No Assistente de Adicionar Funes e Recursos, aceite todos os padres.
Tarefa 2: Configurar o escopo e as opes DHCP
1. No Gerenciador do Servidor, abra o console DHCP.
2. Autorize o servidor lon-svr1.adatum.com no AD DS.
3. No painel de navegao DHCP, navegue at IPv4, clique com o boto direito do mouse em IPv4
e clique em Novo escopo.
o Nome: Filial
o Comprimento: 16
o Excluses: 172.16.0.190-172.16.0.200
o Configurar opes Roteador 172.16.0.1
o Para todas as outras configuraes, usar valores padro
5. Ative o escopo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-25
Tarefa 3: Configurar cliente para usar o DHCP e testar a configurao
1. Alterne para LON-CL1.
2. Reconfigure a Conexo Local usando as seguintes informaes:
o Configurar Protocolo TCP/IP Verso 4 (TCP/IPv4)
o Obter um endereo IP automaticamente
o Obter o endereo do servidor DNS automaticamente
3. Abra a janela Prompt de Comando e inicie o processo DHCP usando o comando ipconfig /renew.
4. Para testar a configurao, verifique se LON-CL1 recebeu um endereo IP do escopo DHCP digitando
ipconfig /all na janela Prompt de Comando.
Esse comando retornar informaes como endereo IP, Mscara de Sub-rede e status do DHCP
habilitado, que deveria ser Sim.
Tarefa 4: Configurar uma concesso como uma reserva
1. Na janela Prompt de Comando, digite ipconfig/all para exibir o endereo fsico do adaptador
de rede.
4. No console DHCP, no painel de navegao, navegue at Filial, clique com o boto direito do mouse
em Reservas e clique em Nova Reserva.
5. Crie uma nova reserva para LON-CL1 usando o endereo fsico do adaptador de rede LON-CL1
e o endereo IP 172.16.0.155.
6. Em LON-CL1, use o comando ipconfig para renovar e verifique o endereo IP.

Resultados: Depois de concluir esse exerccio, voc ter implementado o DHCP, configurado o escopo
e as opes DHCP, alm de uma reserva DHCP.
Para se preparar para o exerccio opcional
Se voc for concluir o laboratrio opcional, reverta a mquina virtual seguinte: 24410B-LON-CL1.
Para fazer isso, execute estas etapas.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Implementao de um agente de retransmisso DHCP
(exerccio opcional)
Cenrio
Para evitar a configurao de um servidor DHCP adicional na sub-rede, o gerente solicitou a configurao
de um agente de retransmisso DHCP para outra sub-rede na filial.
1. Instalar um agente de retransmisso DHCP
2. Configurar um agente de retransmisso DHCP
3. Testar o agente de retransmisso DHCP com um cliente
Tarefa 1: Instalar um agente de retransmisso DHCP
1. Alterne para LON-RTR.
2. No Gerenciador do Servidor, abra Roteamento e Acesso Remoto.
3. Use as etapas a seguir para adicionar o agente de retransmisso DHCP ao roteador:
o No painel de navegao, expanda IPv4, clique com o boto direito do mouse em Geral e clique
em Novo protocolo de roteamento.
o Na lista Protocolos de roteamento, clique em Agente de Retransmisso DHCP, e em OK.
Tarefa 2: Configurar um agente de retransmisso DHCP
1. Abra o Roteamento e Acesso Remoto.
2. Use as seguintes etapas para configurar o agente de retransmisso DHCP:
o No painel de navegao, clique com o boto direito do mouse em Agente de
Retransmisso DHCP e clique em Nova Interface.
o Na caixa de dilogo Nova Interface para Agente de Retransmisso DHCP, clique em
Conexo Local 2, e em OK.
o Na caixa de dilogo Propriedades do Propriedades de Retransmisso DHCP Conexo
Local 2, clique em OK.
o Clique com o boto direito do mouse em Agente de Retransmisso DHCP e clique em
Propriedades.
o Na caixa de dilogo Propriedades do Agente de Retransmisso DHCP, na caixa Endereo
do servidor, digite 172.16.0.21, clique em Adicionar e em OK.
3. Feche Roteamento e Acesso Remoto.
Tarefa 3: Testar o agente de retransmisso DHCP com um cliente
Observao: Para testar como um cliente recebe um endereo IP do agente de retransmisso DHCP
em outra sub-rede, precisamos criar outro escopo DHCP.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 6-27
3. No DHCP, no painel de navegao, expanda lon-svr1.adatum.com, IPv4, clique com o boto direito
do mouse em IPv4 e clique em Novo escopo.
o Nome: Filial 2
o Comprimento: 16
o Excluses: 10.10.0.190-10.10.0.200
o Outras configuraes usam valor padro
o Configure opes Roteador 10.10.0.1. Outra configurao usa valores padro
5. Ative o escopo.
6. Para testar o cliente, alterne para LON-CL2.
7. Abra a janela Central de Rede e Compartilhamento e configure as propriedades de Conexo Local,
Protocolo TCP/IP Verso 4 (TCP/IPv4) com as seguintes configuraes:
o Obter endereo IP automaticamente
o Obter o endereo do servidor DNS automaticamente
8. Abra a janela Prompt de Comando.
9. Na janela Prompt de Comando, em um prompt de comando, digite o seguinte comando:
ipconfig /renew
10. Verifique se o endereo IP e as configuraes do servidor DNS em LON-CL2 so obtidas do escopo
Servidor DHCP instalado em LON-SVR1.
Observao: O endereo IP deve ser do seguinte intervalo: 10.10.0.100/16 a 10.10.0.200/16.

Resultados: Depois de concluir este exerccio, voc ter implementado um agente de
retransmisso DHCP.
Quando voc terminar o laboratrio, reverta as mquinas virtuais para o estado inicial. Para fazer isso,
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1, 24410B-LON-RTR, e 24410B-LON-CL2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Prtica recomendada
Passe um tempo criando o esquema de endereamento IP de forma que ele acomode a
infraestrutura de TI atual e qualquer necessidade de infraestrutura de TI futura potencial.
Determine quais dispositivos precisam de reservas DHCP, como impressoras de rede, scanners
de rede ou cmeras baseadas em IP.
Proteja a rede dos servidores DHCP no autorizados.
Configure o banco de dados DHCP em configuraes de unidade de disco altamente disponvel,
como matriz redundante de discos independentes (RAID)-5 ou RAID-1 para oferecer disponibilidade
do servio DHCP no caso de falha de um nico disco.
Faa backup do banco de dados DHCP regularmente e teste o procedimento de restaurao
em um ambiente isolado de no produo.
Monitore a utilizao do sistema de servidores DHCP e atualize o hardware do servidor DHCP
se for necessrio oferecer um melhor desempenho de servio.
Perguntas de reviso
Pergunta: Voc tem duas sub-redes em sua organizao e deseja usar o DHCP para alocar
endereos a computadores cliente em ambas as sub-redes. Voc no deseja implantar dois
servidores DHCP. Quais fatores devem ser considerados?
Pergunta: A organizao cresceu e o escopo IPv4 chegou perto de esgotar os endereos.
O que fazer?
Pergunta: Quais informaes so necessrias para configurar uma reserva DHCP?
Pergunta: possvel configurar a opo 003 - Roteador como uma opo de escopo DHCP
no nvel de servidor?
Ferramentas
DHCP Interface grfica do usurio para gerenciar Servidor
DHCP
Gerenciador do Servidor
PowerShell Interface da linha de comando para gerenciar Servidor
DHCP
Barra de tarefas do
Windows na rea de
Trabalho
Ipconfig.exe Gerenciar e solucionar problemas de configuraes
de IP do cliente
Linha de comando
Netsh.exe Configurar definies de IP do cliente e do servidor,
inclusive as da funo de servidor DHCP
Linha de comando
Regedit.exe Editar e fazer o ajuste fino das configuraes, incluindo
as da funo de servidor DHCP
Interface do Windows
ou linha de comando

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7-1
Mdulo 7
Implementao do Sistema de Nomes de Domnio
Contedo:
Lio 1: Resoluo de nomes para clientes e servidores Windows 7-2
Lio 2: Instalao e gerenciamento de um servidor DNS 7-12
Lio 3: Gerenciamento de zonas DNS 7-19
Laboratrio: Implementao do DNS 7-23

Viso geral do mdulo
Resoluo de nomes o processo de traduo por software de nomes que os usurios possam ler e
compreender, alm de endereos IP numricos, necessrios comunicao TCP/IP. Por isso, resoluo
de nomes um dos conceitos mais importantes de toda a infraestrutura de rede. Voc pode ver o DNS
como sendo a lista telefnica da Internet para computadores. Computadores clientes usam o processo
de resoluo de nomes ao localizar hosts na Internet e ao localizar outros hosts e servios em uma rede
interna. DNS uma das tecnologias mais comuns para resoluo de nomes. AD DS (Servios de Domnio
do Active Directory
) depende muito do DNS, assim como o trfego da Internet. Este mdulo aborda
alguns conceitos bsicos da resoluo de nomes, alm da instalao e da configurao de um servio
Servidor DNS e seus componentes.
Objetivos
Descrever a resoluo de nomes para clientes do sistema operacional Windows

e servidores Windows Server
.
Instalar e gerenciar o servio Servidor DNS.
Gerenciar zonas DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7-2 Implementao do Sistema de Nomes de Domnio
Lio 1
Resoluo de nomes para clientes e servidores Windows
possvel configurar um computador para se comunicar por uma rede usando um nome no lugar de
um endereo IP. O computador acaba usando a resoluo de nomes para localizar um endereo IP que
corresponda a um nome, como um nome de host. Esta lio se concentra nos tipos diferentes de nomes
de computador, nos mtodos usados para resolv-los e em como solucionar problemas relacionados
resoluo de nomes.
Objetivos da lio
Descrever nomes de computador.
Descrever o DNS.
Descrever zonas e registros DNS.
Descrever como nomes DNS da Internet so resolvidos.
Descrever resoluo de nomes multicast local de link.
Descrever como um cliente resolve um nome.
Solucionar problemas da resoluo de nomes.
O que so nomes de computador?
O pacote de protocolos TCP/IP identifica
computadores de origem e de destino pelos
respectivos endereos IP. No entanto, os usurios
de computador so muito melhores usando e se
lembrando de nomes do que nmeros. Por isso,
administradores normalmente atribuem nomes
a computadores. Assim, os administradores
vinculam esses nomes a endereos IP de
computador em um sistema de resoluo
de nomes como DNS. Esses nomes esto em
qualquer formato de nome de host, por exemplo,
dc1.contoso.com (reconhecido pelo DNS) ou no
formato nome NetBIOS, por exemplo, DC1, (reconhecido pelo WINS [servio de cadastramento
na Internet do Windows]).

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-3
Tipo de nome
O tipo de nome (nome de host ou nome NetBIOS) usado por um aplicativo determinado pelo
desenvolvedor de aplicativo. Se o desenvolvedor criar um aplicativo para solicitar servios de rede
por meio de soquetes Windows, nomes de host sero usados. Se, por outro lado, o desenvolvedor
criar um aplicativo para solicitar servios por meio de NetBIOS, um nome NetBIOS ser usado.
A maioria dos aplicativos atuais, inclusive aplicativos de Internet, usam o soquetes Windows e, assim,
nomes de host, para acessar servios de rede. NetBIOS usado por muitos aplicativos anteriores
do sistema operacional Windows.
Verses anteriores de sistemas operacionais Windows, como Microsoft
Windows 98 e
Windows Millennium Edition, exigem o NetBIOS para dar suporte a recursos de rede, como o
compartilhamento de arquivos. Porm, a partir do Microsoft Windows 2000, todos os sistemas
operacionais do suporte ao NetBIOS para que haja compatibilidade com verses anteriores
do Windows, mas eles mesmos no precisam do NetBIOS.
Observao: possvel usar aplicativos de soquetes Windows para especificar o
host de destino por endereo IP ou nome de host. Os aplicativos NetBIOS exigem o uso
de um nome NetBIOS.
Nomes de host
Um nome de host um nome amigvel que associado ao endereo IP de um computador para
identific-lo como um host TCP/IP. O nome de host pode ter at 255 caracteres e conter caracteres
alfabticos e numricos, pontos e hfens.
possvel usar nomes de host de diversas formas. As duas formas mais comuns so como um alias
e como um nome de domnio totalmente qualificado (FQDN). Um alias um nome nico associado
a um endereo IP, como payroll. possvel integrar um alias a um nome de domnio para criar um
FQDN. Um FQDN estruturado para uso na Internet e inclui pontos como separadores. Um exemplo
de FQDN payroll.contoso.com.
Nomes NetBIOS
Um nome NetBIOS um nome de 16 caracteres que identifica um recurso NetBIOS na rede.
Um nome NetBIOS pode representar um nico computador ou um grupo de computadores.
Os 15 primeiros caracteres so usados para o nome; o caractere final identifica o recurso ou o servio
ao qual o computador est se referindo. O nome de 15 caracteres pode incluir o nome do computador,
o nome do domnio e o nome do usurio conectado. O dcimo sexto caractere um identificador
hexadecimal de um byte.
O namespace NetBIOS simples, o que significa que os nomes s podem ser usados uma vez dentro
de uma rede. No possvel organizar nomes NetBIOS em uma estrutura hierrquica, assim como
possvel com FQDNs.
Leitura adicional: Para obter mais informaes sobre a resoluo de nomes NetBIOS,
consulte Resoluo de nomes NetBIOS em http://go.microsoft.com/fwlink/?LinkId=269710.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O que DNS?
DNS um servio que resolve FQDNs e
outros nomes de host para endereos IP.
Todos os sistemas operacionais Windows Server
incluem um servio Servidor DNS.
Quando voc usa o DNS, os usurios na rede
podem localizar recursos de rede digitando nomes
amigveis (por exemplo, www.microsoft.com),
que o computador resolve como um endereo IP.
A vantagem que endereos IPv4 podem ser
difceis de lembrar (por exemplo, 131.107.0.32),
e um nome de domnio costuma ser mais fcil
de ser memorizado. Alm disso, possvel usar
nomes de host que no se alteram, enquanto os endereos IP subjacentes podem ser alterados de acordo
com as suas necessidades organizacionais.
O DNS usa um banco de dados (armazenado em um arquivo ou no AD DS) de nomes e endereos IP para
fornecer esse servio. O software cliente DNS executa consultas e atualizaes no banco de dados DNS.
Por exemplo, dentro de uma organizao, um usurio que est tentando para localizar um servidor de
impresso pode usar o nome DNS printserver.contoso.com, e o software cliente DNS resolver o nome
para o endereo IP de uma impressora, como 172.16.23.55. Mesmo que o endereo IP da impressora
mude, o nome amigvel pode permanecer o mesmo.
Originalmente, havia apenas um arquivo na Internet com uma lista de todos os nomes de
domnio e os respectivos endereos IP. Rapidamente, essa lista se tornou extensa demais para ser
gerenciada e distribuda. O DNS foi desenvolvido para solucionar os problemas associados ao uso
de um nico arquivo de Internet. Com a adoo do IPv6, o DNS se tornou ainda mais importante,
porque os endereos IPv6 so ainda mais complexos que os endereos IPv4
(por exemplo, 2001:db8:4136:e38c:384f:3764:b59c:3d97).
O DNS agrupa informaes sobre recursos de rede em uma estrutura hierrquica de domnios. A estrutura
hierrquica de domnios uma estrutura de rvore invertida que comea com um domnio raiz no pice e
desce at ramificaes separadas com nveis comuns de domnios pai, descendo at chegar aos domnios
filho individuais. A representao de toda a estrutura de domnio hierrquica conhecida como um
namespace DNS.
A Internet usa um nico namespace DNS com vrios servidores raiz. Para participar do namespace DNS
da Internet, um nome de domnio deve ser registrado com um registrador DNS. Isso garante que duas
organizaes no tentem usar o mesmo nome de domnio.
Se hosts localizados na Internet no precisarem resolver nomes no domnio, ser possvel hospedar um
domnio internamente, sem registr-lo. Porm, voc ainda deve garantir que o nome de domnio seja
exclusivo de nomes de domnios da Internet, ou a conectividade com recursos de Internet pode ser
afetada. Uma maneira comum de assegurar a exclusividade criar um domnio interno no domnio .local.
O domnio .local reservado para uso interno de maneira muito semelhante reserva de endereos IP
particulares para uso interno.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-5
Alm de resolver nomes de host para endereos IP, o DNS pode ser usado para:
Localizar controladores de domnio e servidores de catlogo global. Isso usado durante o logon
no AD DS.
Resolver endereos IP para nomes de host. Isso til quando um arquivo de log contm apenas
o endereo IP de um host.
Localizar um servidor de email para entrega de email. Isso usado para a entrega de todo o email
da Internet.
Zonas e registros DNS
Uma zona DNS uma parte especfica do
namespace DNS que contm registros DNS.
Uma zona DNS hospedada em um
servidor DNS que responsvel por responder a
consultas de registros em um domnio especfico.
Por exemplo, o servidor DNS responsvel por
resolver www.contoso.com para um endereo IP
conteria a zona contoso.com.
O contedo da zona pode ser armazenado em um
arquivo ou no banco de dados do AD DS. Quando
o servidor DNS armazena a zona em um arquivo,
este arquivo permanece localizado em uma pasta
local no servidor. Quando a zona no armazenada no AD DS, apenas uma cpia da zona pode
ser gravvel, e todas as outras so somente leitura.
Os tipos mais usados de zonas no DNS do Windows Server so zonas de pesquisa direta e zonas
de pesquisa inversa.
Zonas de pesquisa direta
As zonas de pesquisa direta resolvem nomes de host para endereos IP e hospedam registros de recurso
comuns, inclusive host (A), alias (CNAME), servio (SRV), servidor de mensagens (MX), incio de autoridade
(SOA), e registros de recurso de servidor de nomes (NS). O tipo de registro mais comum o registro
de recurso de host (A).
Zonas de pesquisa inversa
As zonas de pesquisa inversa resolvem endereos IP para nomes de domnio. Uma zona inversa funciona
da mesma maneira que uma zona direta, mas o endereo IP faz parte da consulta e o nome do host a
informao retornada. As zonas de pesquisa inversa hospedam registros de recurso SOA, NS e ponteiro
(PTR). Nem sempre as zonas inversas so configuradas, mas voc deve configur-las para reduzir as
mensagens de aviso e de erro.
Vrios protocolos padro de Internet dependem dos dados de pesquisa das zonas inversas para validar
as informaes das zonas diretas. Por exemplo, se a pesquisa direta indicar que training.contoso.com
est resolvido para 192.168.2.45, ser possvel usar uma pesquisa inversa para confirmar se 192.168.2.45
est associado a training.contoso.com.
Observao: No Windows Server 2008 R2 e no Windows Server 2012, tambm possvel
usar a tecnologia DNSSec para realizar um tipo de verificao semelhante.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Muitos servidores de email usam uma pesquisa inversa como uma maneira de reduzir o spam. Realizando
uma pesquisa inversa, os servidores de email tentam detectar servidores SMTP (Simple Mail Transfer
Protocol) abertos (retransmisses abertas).
Ser importante ter uma zona inversa, se voc tiver aplicativos que precisem procurar hosts pelos
respectivos endereos IP. Vrios aplicativos registram essas informaes em logs de segurana ou de
evento. Se vir uma atividade suspeita em um determinado endereo IP, voc poder pesquisar o nome
de host usando as informaes de zona inversa.
Registros de recurso
O arquivo de zona DNS armazena registros de recurso. Os registros de recurso especificam um tipo
de recurso e o endereo IP para localizar o recurso. O registro de recurso mais comum o registro
de recurso de host (A). Esse um registro simples que resolve um nome de host para um endereo IP.
O host pode ser uma estao de trabalho, um servidor ou outro dispositivo de rede, como um roteador.
Os registros de recurso tambm ajudam a localizar recursos para um domnio especfico.
Por exemplo, ao precisar localizar o servidor responsvel por entregar o email para outro domnio, um
Microsoft Exchange Server solicita o registro de recurso do servidor de mensagens (MX) desse domnio.
Esse registro aponta para o registro de recurso de host (A) do host que est executando o servio de
email SMTP.
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma organizao tiver vrios servidores de email.
O registro MX informa ao servidor de envio o servidor de email preferido pela organizao de destino.
Os registros SRV tambm contm informaes sobre a porta que est sendo escutada pelo servio
e sobre o protocolo que voc deve usar para se comunicar com o servio.
Como so resolvidos os nomes DNS de Internet
Durante a resoluo de nomes DNS na Internet,
usado um sistema inteiro de computadores,
e no apenas um nico servidor. H centenas de
servidores na Internet, chamados de servidores
raiz, que gerenciam a prtica geral da resoluo
DNS. Esses servidores so representados por
13 FQDNs; uma lista desses 13 servidores
pr-carregada em cada servidor DNS. Ao registrar
um nome de domnio na Internet, voc est
pagando para fazer parte desse sistema.
Para saber como esses servidores funcionam
juntos para resolver um nome DNS, observe
o seguinte processo de resoluo de nomes para o nome www.microsoft.com:
1. Uma estao de trabalho consulta o servidor DNS local para obter o endereo IP www.microsoft.com.
2. Se no tiver as informaes, o servidor DNS local consultar um servidor DNS raiz para obter o local
dos servidores DNS .com.
3. O servidor DNS local consulta um servidor DNS .com para obter a localizao dos servidores DNS
microsoft.com.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-7
4. O servidor DNS local consulta o servidor DNS microsoft.com para obter o endereo IP
de www.microsoft.com.
5. O endereo IP de www.microsoft.com devolvido estao de trabalho.
O processo de resoluo de nomes pode ser modificado por cache ou encaminhamento:
Cache. Depois que resolve um nome DNS, um servidor DNS local armazena os resultados em cache
por aproximadamente 24 horas. Solicitaes de resoluo subsequentes do nome DNS recebem
as informaes armazenadas em cache.
Encaminhamento. Em vez de consultar servidores raiz, possvel configurar um servidor DNS para
encaminhar solicitaes DNS a outro servidor DNS. Por exemplo, solicitaes de todos os nomes
da Internet podem ser encaminhadas para um servidor DNS em um ISP (provedor de servios
de Internet).
O que resoluo de nomes multicast local de link?
No Windows Server 2012, um novo mtodo de
resoluo de nomes para endereos IP LLMNR
(Resoluo de Nomes Multicast Local de Link).
Por conta das diversas limitaes (que vo alm
do escopo desta lio), a LLMNR s costuma
ser usada em redes localizadas. Embora possa
resolver endereos IPv4, a LLMNR foi projetada
especificamente para IPv6; portanto, se quiser
us-la, voc dever ter IPv6 compatvel
e habilitado em seus hosts.
A LLMNR costuma ser usada em redes nas quais:
No haja nenhum servio DNS ou NetBIOS
para resoluo de nomes.
A implementao desses servios no seja vivel por qualquer motivo.
Esses servios no estejam disponveis.
Por exemplo, convm configurar uma rede temporria para fins de teste sem uma infraestrutura
de servidor.
A LLMNR tem suporte no Windows Vista
, no Windows Server 2008 e em todos os sistemas operacionais

Windows mais novos. Ela usa um sistema simples de mensagens de solicitao e resposta a fim de resolver
nomes de computador para endereos IPv6 ou IPv4. Para um n responder a uma solicitao LLMNR,
a descoberta de rede deve ser habilitada, mas a descoberta de rede no necessria para fazer uma
solicitao para resoluo de nomes.
Para usar a LLMNR, voc precisa ativar o recurso Descoberta de Rede para todos os ns na sub-rede local.
Esse recurso est disponvel na Central de Rede e Compartilhamento. Lembre-se de que a descoberta
de rede costuma estar desabilitada para qualquer rede designada como pblica.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Se voc quiser controlar o uso da LLMNR na rede, ser possvel configur-la via Poltica de Grupo.
Para desabilitar a LLMNR via Poltica de Grupo, defina o seguinte valor da Poltica de Grupo:
Poltica de Grupo = Configurao do Computador\Modelos Administrativos\Rede\Cliente DNS\
Desativar Inicializao por Multicast.
Defina esse valor como Habilitado caso voc no queira usar a LLMNR ou como Desabilitado caso
queira us-la.
Como um cliente resolve um nome
Os sistemas operacionais Windows do suporte
a vrios mtodos diferentes de resoluo de
nomes de computador, como DNS, WINS
e o processo de resoluo de nome de host.
DNS
Conforme abordado anteriormente, DNS o
padro Microsoft para resolver nomes de host
para endereos IP. Para obter mais informaes
sobre DNS, consulte o segundo tpico desta
Lio, O que DNS.
WINS
O WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes
NetBIOS de uma rede. Os sistemas operacionais Windows continuam tendo suporte a WINS para
fornecer compatibilidade com verses anteriores.
Voc pode resolver nomes NetBIOS usando:
Mensagens de difuso. Porm, as mensagens de difuso no funcionam bem em redes grandes
porque os roteadores no propagam difuses.
Arquivo Lmhosts em todos os computadores. O uso de um arquivo Lmhosts na resoluo de nomes
NetBIOS uma soluo que exige muita manuteno, porque voc deve manter o arquivo
manualmente em todos os computadores.
Arquivo de hosts em todos os computadores. Semelhante a um arquivo Lmhosts, tambm possvel
usar um arquivo de hosts para resoluo de nomes NETBIOS. Esse arquivo tambm armazenado
localmente em cada mquina e usado em mapeamentos fixos de nomes para endereos IP,
no segmento de rede local.
Observao: A funo do servidor DNS no Windows Server 2008 R2 e no
Windows Server 2012 tambm fornece um novo tipo de zona, a zona GlobalNames. possvel
usar a zona GlobalNames para resolver nomes de rtulo nico exclusivos em toda a floresta.
Isso elimina a necessidade de usar o WINS baseado em NetBIOS para dar suporte a nomes
de rtulo nico.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-9
Processo de resoluo de nomes de host
Quando um aplicativo especifica um nome do host e usa os soquetes Windows, o TCP/IP usa o cache
do resolvedor de DNS e o DNS ao tentar resolver o nome do host. O arquivo de hosts carregado
no cache do Resolver de DNS. Se NetBIOS sobre TCP/IP estiver habilitado, o TCP/IP tambm usar
mtodos de resoluo de nome NetBIOS ao resolver nomes de host.
Os sistemas operacionais Windows resolvem nomes de host realizando as seguintes tarefas nesta
ordem especfica:
1. Verificando se o nome do host igual ao nome do host local.
2. Pesquisando o cache do Resolvedor de DNS. No cache do resolvedor cliente de DNS, as entradas
do arquivo de hosts so pr-carregadas.
3. Enviando uma solicitao DNS a seus servidores DNS configurados.
4. Convertendo o nome do host em um nome NetBIOS e verificando o cache do nome NetBIOS local.
5. Entrando em contato com os servidores WINS configurados pelo host.
6. Difundindo at trs mensagens de solicitao de consulta de nome NetBIOS na sub-rede
conectada diretamente.
7. Pesquisando o arquivo Lmhosts.
Observao: possvel controlar a ordem usada para resolver nomes. Por exemplo, se voc
desabilitar NetBIOS sobre TCP/IP, nenhum dos mtodos de resoluo de nome NetBIOS ser
tentado. Como alternativa, possvel modificar o tipo de n NetBIOS, que altera a ordem na
qual os mtodos de resoluo de nome NetBIOS so tentados.
Soluo de problemas da resoluo de nomes
Assim como a maioria das outras tecnologias,
s vezes, a resoluo de nomes exige a soluo
de problemas. Podem ocorrer problemas
quando o servidor DNS, as respectivas zonas e
os respectivos recursos no esto configurados
corretamente. Quando os registros de recurso
esto causando problemas, pode ser mais difcil
identificar o problema, pois problemas de
configurao nem sempre so bvios.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ferramentas e comandos
As ferramentas de linha de comando e os comandos usados por voc para solucionar esses e outros
problemas de configurao so os seguintes:
Nslookup: Use essa ferramenta para consultar informaes do DNS. A ferramenta flexvel
e pode fornecer muitas informaes sobre o status do servidor DNS. Tambm possvel us-la
para pesquisar registros de recurso e validar as respectivas configuraes. Alm disso, tambm
possvel testar transferncias de zona, opes de segurana e resoluo de registro MX.
DNSCmd: use esta ferramenta de linha de comando para gerenciar a funo de servidor DNS.
Essa ferramenta ajuda a criar scripts de arquivos em lote para ajudar a automatizar tarefas
de gerenciamento do DNS de rotina ou realizar uma instalao autnoma simples e uma
configurao de novos servidores DNS na rede.
Dnslint: use esta ferramenta para diagnosticar problemas comuns do DNS. Essa ferramenta
diagnostica problemas de configurao ocorridos no DNS rapidamente e pode gerar uma
relatrio em HTML sobre o status do domnio que voc est testando.
Ipconfig: use este comando para exibir e modificar detalhes da configurao de IP usada pelo
computador. Essa ferramenta inclui outras opes de linha de comando que possvel usar para
solucionar problemas e dar suporte aos clientes DNS. possvel exibir o cache DNS local do cliente
usando o comando ipconfig/displaydns e limp-lo usando ipconfig/flushdns. Se voc quiser
registrar novamente um host no DNS, ser possvel usar ipconfig /registerdns.
Monitoramento em um servidor DNS: para testar se o servidor pode se comunicar com servidores
upstream, possvel realizar consultas locais simples e recursivas na guia Monitoramento. Tambm
possvel programar esses testes para intervalos regulares. A guia Monitoramento do servidor DNS
s est disponvel no Windows Server 2008 e no Windows Server 2012 dentro da caixa de dilogo
Propriedades do Nome do Servidor DNS. O cmdlet TestDNSServer tambm pode ser usado
para verificar a funcionalidade do servidor DNS.
No Windows Server 2012, existe um novo conjunto de cmdlets Windows PowerShell
que possvel
usar no gerenciamento do cliente e do servidor DNS. Alguns dos cmdlets mais usados so os seguintes:
Clear-DNSClientCache. Este cmdlet limpa o cache do cliente, semelhante a ipconfing /flushdns.
Get-DNSClient. Este cmdlet exibe os detalhes das interfaces de rede.
Get-DNSClientCache. Este cmdlet exibe o contedo do cache do cliente DNS local.
Register-DNSClient. Este cmdlet registra todos os endereos IP no computador no servidor DNS
configurado.
Resolve-DNSName. Este cmdlet realiza uma resoluo de nomes DNS para um nome especfico,
semelhante a Nslookup.
Set-DNSClient. Este cmdlet define as configuraes do cliente DNS especficas da interface
no computador.
Esses cmdlets tambm permitem usar vrias opes, o que proporciona opes e funcionalidades
adicionais.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-11
O processo da soluo de problemas
Ao solucionar problemas da resoluo de nomes, voc deve compreender quais mtodos de resoluo
do nome o computador est usando e em que ordem. Lembre-se de limpar o cache do Resolvedor de
DNS entre as tentativas de resoluo. Se no for possvel se conectar a um host remoto e voc suspeitar
de um problema na resoluo de nomes, ser possvel solucionar o problema da seguinte maneira:
1. Abra um prompt de comando com privilgios elevados e limpe o cache do resolvedor de DNS
digitando ipconfig /flushdns. Tambm possvel pode abrir o Windows PowerShell e usar
o cmdlet equivalente Clear-DNSClientCache.
2. Tente executar ping no host remoto pelo prprio endereo IP. Isso ajuda a identificar se o problema
est relacionado resoluo de nomes. Se o ping for bem-sucedido com o endereo IP, mas houver
falha pelo nome de host, ento o problema estar relacionado resoluo de nomes.
3. Tente executar ping no host remoto pelo prprio nome do host. Para maior preciso, use o FQDN
com um ponto direita. Por exemplo, se estivesse trabalhando na Contoso, Ltd, voc digitaria
o seguinte comando no prompt de comando: Ping LON-dc1.contoso.com.
4. Se o ping for bem-sucedido, o problema no dever estar relacionado resoluo de nomes. Se o
ping for malsucedido, edite o arquivo de texto C:\windows\system32\drivers\etc\hosts e adicione
a entrada apropriada ao final do arquivo. No exemplo anterior da Contoso, Ltd, voc adicionaria
a seguinte linha e salvaria o arquivo:
10.10.0.10 LON-dc1.contoso.com
5. Execute o teste Ping-by-host-name mais uma vez. Agora a resoluo de nomes deve ser
bem-sucedida. Verifique se o nome foi resolvido corretamente examinando o cache do resolvedor
de DNS. Para exibir o cache do resolvedor de DNS, em um prompt de comando, digite IPConfig
/displaydns, ou use o cmdlet Windows PowerShell equivalente.
6. Remova a entrada que voc adicionou ao arquivo de hosts e limpe o cache do resolvedor mais
uma vez.
7. No prompt de comando, digite o seguinte comando e examine o contedo do arquivo filename.txt
para identificar o estgio com falha na resoluo de nomes:
Nslookup.exe -d2 LON-dc1.contoso.com. filename.txt
Observao: Voc tambm deve saber como interpretar a sada do cache do
resolvedor de DNS para identificar se o problema da resoluo de nomes est na configurao
do computador cliente, no servidor de nomes ou na configurao de registros dentro do banco
de dados da zona do servidor de nomes. A interpretao da sada do cache do resolvedor de
DNS vai alm do escopo desta lio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Instalao e gerenciamento de um servidor DNS
Para usar um servio Servidor DNS, voc deve instal-lo primeiro. A instalao do servio Servidor DNS
em um servidor DNS um procedimento simples. Para gerenciar o servio Servidor DNS, importante
que voc compreenda os componentes do servidor DNS e suas respectivas finalidades. Nesta lio,
voc conhecer os componentes DNS como instalar e gerenciar a funo Servidor DNS.
Objetivos da lio
Descrever os componentes de uma soluo DNS.
Descrever dicas de raiz.
Descrever consultas DNS.
Descrever encaminhamento.
Explicar como funciona o cache do servidor DNS.
Explicar como instalar a funo de servidor DNS.
Quais so os componentes de uma soluo DNS?
Entre os componentes de uma soluo DNS
esto servidores DNS, servidores DNS na Internet
e resolvedores de DNS (ou clientes DNS).
Servidor DNS
Um servidor DNS responde a consultas DNS
recursivas e iterativas. Os servidores DNS tambm
podem hospedar uma ou mais zonas de um
domnio especfico. As zonas contm diferentes
registros de recursos. Os servidores DNS tambm
podem armazenar as pesquisas em cache para
reservar tempo para as consultas comuns.
Servidores DNS na Internet
Os servidores DNS na Internet esto acessveis publicamente. Essas informaes de host
de servidores sobre domnios pblicos, como TLDs (domnios de primeiro nvel) comuns
(por exemplo, .com, .net e .edu).
Resolvedor de DNS
O resolvedor de DNS gera e envia consultas iterativas ou recursivas ao servidor DNS. Um resolvedor
de DNS pode ser qualquer computador que execute uma pesquisa de DNS que exija interao com
o servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-13
O que so as dicas de raiz?
As dicas de raiz formam uma lista dos 13 FQDNs
na Internet que o servidor DNS usa caso no
consiga resolver uma consulta DNS usando os
dados da prpria zona, um encaminhador DNS
ou o prprio cache. As dicas de raiz listam os
servidores mais altos na hierarquia do DNS
e podem fornecer as informaes necessrias
para um servidor DNS fazer uma consulta
iterativa para a prxima camada mais inferior
do namespace DNS.
Os servidores raiz so instalados automaticamente
quando voc instala a funo DNS. Eles so
copiados do arquivo cache.dns includo nos arquivos de instalao da funo DNS. Tambm possvel
adicionar dicas de raiz a um servidor DNS para dar suporte a pesquisas de domnios no contguos em
uma floresta.
Ao se comunicar com um servidor de dica de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio (na caixa de dilogo DNS Propriedades
do Servidor), o servidor no poder realizar consultas nas dicas de raiz. Se voc configurar o servidor
que usa um encaminhador, ele tentar enviar uma consulta recursiva ao respectivo servidor de
encaminhamento; se o servidor de encaminhamento no responder essa consulta, o primeiro servidor
responder que no foi possvel localizar o host.
importante compreender que a recurso em um servidor DNS e consultas recursivas no significam a
mesma coisa. Recurso em um servidor DNS significa que o servidor usa as respectivas dicas de raiz para
tentar resolver uma consulta de DNS, e uma consulta recursiva uma consulta feita a um servidor DNS
na qual o solicitante pede para o servidor assumir a responsabilidade de fornecer uma resposta completa
para a consulta. Os prximos tpicos abordam consultas recursivas em mais detalhes.
O que so as consultas DNS?
Uma consulta DNS uma consulta de resoluo
de nomes enviada para um servidor DNS. Em
seguida, o servidor DNS fornece uma resposta
autoritativa ou no para a consulta do cliente.
Observao: importante observar que
servidores DNS tambm podem atuar como
resolvedores de DNS e enviar consultas DNS
a outros servidores DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Respostas autoritativas e no autoritativas
Os dois tipos de respostas so:
Autoritativa. Uma resposta autoritativa aquela na qual o servidor retorna uma resposta que ele sabe
estar correta, porque a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS autoritativo ao hospedar uma cpia primria ou secundria de uma zona DNS.
No autoritativa. Uma resposta no autoritativa aquela na qual o servidor DNS que contm o
domnio solicitado no respectivo cache responde a uma consulta usando encaminhadores ou dicas
de raiz. Como a resposta fornecida pode no ser exata (porque somente o servidor DNS autoritativo
no domnio especificado pode emitir essas informaes), ela chamada de resposta no autoritativa.
Se for autoritativo para o namespace da consulta, o servidor DNS ir verificar a zona e fazer uma
das coisas a seguir:
Retorna o endereo solicitado.
Retorna uma resposta autoritativa, No, o nome no existe.
Observao: Uma resposta autoritativa s pode ser dada pelo servidor com autoridade
direta para o nome consultado.
Se for no autoritativo para o namespace da consulta, o servidor DNS local far uma das coisas a seguir:
Verifica o respectivo cache e retorna uma resposta armazenada em cache.
Encaminha a consulta no resolvida para um servidor especfico, chamado de encaminhador.
Usa endereos bem conhecidos de vrios servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Em uma consulta recursiva, o solicitante pede para o servidor DNS obter um endereo IP completamente
resolvido do recurso solicitado, antes de retornar a resposta ao solicitante. O servidor DNS pode precisar
executar vrias consultas a outros servidores DNS antes de localizar a resposta. As consultas recursivas
costumam ser feitas por um cliente DNS a um servidor DNS, ou por um servidor DNS configurado para
passar consultas no resolvidas a outro servidor DNS, no caso de um servidor DNS configurado para usar
um encaminhador.
Uma consulta recursiva tem dois resultados possveis:
O servidor DNS retorna o endereo IP do host solicitado.
O servidor DNS no pode resolver um endereo IP.
Por motivos de segurana, s vezes necessrio desabilitar consultas recursivas em um servidor DNS.
Assim, o servidor DNS em questo no tentar encaminhar suas solicitaes DNS para outro servidor.
Isso til quando voc no deseja que um determinado servidor DNS se comunique fora da prpria
rede local.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-15
Consultas iterativas
As consultas iterativas acessam informaes do nome de domnio residentes no sistema DNS;
usando consultas iterativas, possvel resolver nomes em vrios servidores rpida e eficientemente.
Ao receber uma solicitao que no pode ser respondida com as informaes locais ou com as pesquisas
armazenadas no cache, um servidor DNS faz a mesma solicitao a outro servidor DNS usando uma
consulta iterativa. Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereo
IP do nome do domnio (se for conhecido) ou com uma referncia aos servidores DNS responsveis
pelo domnio que est sendo consultado. O servidor DNS continuar esse processo at localizar um
servidor DNS que seja autoritativo para o nome consultado ou at ocorrer um erro ou uma condio
de tempo limite.
O que o encaminhamento?
Um encaminhador um servidor DNS de rede
que encaminha consultas de nomes externos
para servidores DNS fora da respectiva rede.
Tambm possvel criar e usar encaminhadores
condicionais para encaminhar consultas de
acordo com nomes de domnio especficos.
Assim que voc designa um servidor DNS
de rede como um encaminhador, outros
servidores DNS na rede encaminham as
consulta que no conseguem resolver localmente
para esse servidor. Usando um encaminhador,
possvel gerenciar a resoluo de nomes fora da
rede, como nomes na Internet. Isso melhora a eficincia da resoluo de nomes pelos computadores
da rede.
O encaminhador deve ser capaz de se comunicar com o servidor DNS localizado na Internet. Isso significa
que voc o configura para encaminhar solicitaes a outro servidor DNS ou para usar dicas de raiz para
se comunicar.
Prtica recomendada: Use um servidor DNS de encaminhamento central na resoluo
de nomes da Internet. Isso pode aumentar a segurana porque possvel isolar o servidor DNS
de encaminhamento em uma rede de permetro, o que garante que nenhum servidor dentro
da rede se comunique diretamente com a Internet.
Encaminhador condicional
Um encaminhador condicional um servidor DNS em uma rede que encaminha consultas DNS de acordo
com o nome de domnio DNS da consulta. Por exemplo, possvel configurar um servidor DNS para
encaminhar todas as consultas por ele recebidas sobre nomes que terminam com corp.contoso.com
para o endereo IP de um servidor DNS especfico ou para os endereos IP de vrios servidores DNS.
Isso pode ser til quando voc tem vrios namespaces DNS em uma floresta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Encaminhamento condicional no Windows Server 2008 R2 e no Windows Server 2012
No Windows Server 2008 R2 e no Windows Server 2012, a configurao de encaminhador condicional foi
migrada para um n no console do DNS. possvel replicar essas informaes para outros servidores DNS
por meio do DNS integrado ao Active Directory.
Prtica recomendada: Use encaminhadores condicionais, se existirem vrios namespaces
internos. Isso agiliza a resoluo de nomes.
Como funciona o cache do servidor DNS
O cache do DNS aumenta o desempenho do
sistema DNS da organizao, diminuindo o tempo
que ele leva para fornecer pesquisas DNS.
Ao resolver com xito um nome DNS, um servidor
DNS adiciona esse nome ao seu cache. Com o
tempo, isso cria um cache de nomes de domnio
e os respectivos endereos IP da maioria dos
domnios mais comuns que a organizao usa ou
acessa. O tempo padro para manter um nome
no cache uma hora. O proprietrio da zona
pode alterar isso modificando o registro SOA
da zona DNS apropriada.
Um servidor apenas de cache o tipo ideal de servidor DNS a ser usado como um encaminhador.
Ele no hospedar dados de zona DNS; apenas responde solicitaes de pesquisa de clientes DNS.
No Windows Server 2012, possvel acessar o contedo do cache de servidor DNS selecionando a
exibio Avanado no console Gerenciador DNS. Quando voc habilita essa exibio, o contedo
armazenado em cache exibido como um n no Gerenciador DNS. Tambm possvel excluir
entradas nicas (ou todo o cache) do cache do servidor DNS. Tambm possvel usar o cmdlet
Windows PowerShell Get-DNSServerCache para exibir o contedo do cache.
O cache do cliente DNS armazenado no computador local pelo servio Cliente DNS. Para exibir o
armazenamento em cache ocorrido do lado do cliente, execute o comando ipconfig /displaydns.
Isso exibir o cache do cliente DNS local. Se voc precisar limpar o cache local, ser possvel usar
ipconfig /flushdns. Para essa finalidade, tambm possvel usar os cmdlets Windows PowerShell
Get-DNSClientCache e Clear-DNSClientCache.
Para evitar que caches de cliente DNS sejam substitudos, use o recurso Bloqueio de Cache DNS
disponvel no Windows Server 2008 R2 e no Windows Server 2012. Quando habilitado, os registros
armazenados em cache no sero substitudos durante o valor TTL (vida til). O bloqueio de cache
fornece segurana aprimorada contra ataques por envenenamento do cache.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-17
Como instalar a funo Servidor DNS
A funo do servidor DNS no instalada no
Windows Server 2012 por padro. Em vez disso,
voc deve adicion-la com base em uma funo
ao configurar o servidor para executar a funo.
Voc instala a funo de servidor DNS usando
o Assistente de Adio de Funes e Recursos
no Gerenciador do Servidor.
Tambm possvel adicionar a funo de
servidor DNS quando voc eleva o servidor a um
controlador de domnio. Voc faz isso na pgina
Opes do controlador de domnio do Assistente
de Instalao dos Servios de Domnio do Active
Directory.
Quando voc instala a funo de servidor DNS, o snap-in Gerenciador DNS fica disponvel para adio
aos consoles administrativos. O snap-in adicionado automaticamente ao console Gerenciador do
Servidor e ao console Gerenciador DNS. possvel executar o Gerenciador DNS na caixa Iniciar digitando
dnsmgmt.msc.
Quando voc instala a funo de servidor DNS, a ferramenta de linha de comando dnscmd.exe tambm
adicionada. possvel usar a ferramenta DNSCmd para criar o script e automatizar a configurao
do DNS. Para ajudar nessa ferramenta, no prompt de comando, digite: dnscmd.exe /?.
No Windows Server 2012, tambm possvel usar o Windows PowerShell para gerenciar um servidor
DNS. recomendado que voc use cmdlets Windows PowerShell no gerenciamento baseado em linha
de comando do servidor DNS. Alm disso, possvel usar as ferramentas de linha de comando Nslookup,
DNSCmd, Dnslint,e Ipconfig no ambiente do Windows PowerShell.
Para administrar um servidor DNS remoto, adicione as Ferramentas de Administrao de Servidor Remoto
estao de trabalho administrativa, que deve estar executando um Windows Vista Service Pack 1 (SP1)
ou um sistema operacional Windows mais novo.
Demonstrao: Instalao da funo Servidor DNS
Muitas organizaes agora tm ou desejaro mais de um servidor DNS na respectiva rede. possvel
instalar servidores DNS adicionais usando o console Gerenciador do Servidor. Se quiser habilitar
o servidor DNS para resolver nomes da Internet, voc dever habilitar o encaminhamento.
Instalar um segundo servidor DNS
Configurar encaminhamento

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Instalar um segundo servidor DNS
1. Entre em LON-DC1 e LON-SVR1 como ADATUM\Administrador com uma senha Pa$$w0rd.
2. Em LON-SVR1, abra o Gerenciador do Servidor.
3. Inicie o Assistente de Adicionar Funes e Recursos.
4. Adicione a funo Servidor DNS.
Configurar encaminhamento
Configure o Servidor DNS com um encaminhador no endereo IP 172.16.0.10.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-19
Lio 3
Gerenciamento de zonas DNS
O servidor DNS hospeda dados da zona em um banco de dados do Active Directory ou no arquivo
da zona. Alm disso, o servidor DNS pode hospedar vrios tipos de zonas. Nessa lio, voc conhecer
tipos de zona DNS e zonas DNS integradas ao Active Directory.
Objetivos da lio
Descrever tipos de zona DNS.
Descrever atualizaes dinmicas.
Descrever zonas integradas ao Active Directory.
Explicar como criar uma zona integrada ao Active Directory.
O que so tipos de zona DNS?
Existem quatro tipos de zona DNS:
Primria
Secundria
Stub
Integrada ao Active Directory
Zona primria
Uma zona primria uma zona para a qual o
servidor DNS tanto o host quanto a origem
primria de informaes sobre essa zona. Alm
disso, o servidor DNS armazena a cpia mestra
dos dados da zona em um arquivo local ou no AD DS. Quando o servidor DNS armazena a zona em um
arquivo, o arquivo de zona primria , por padro, chamado de nome_da_zona.dns, e est localizado na
pasta %windir%\System32\Dns do servidor. Quando a zona no armazenada no AD DS, este o nico
servidor DNS que possui uma cpia gravvel do banco de dados.
Zona secundria
Quando uma zona secundria uma zona na qual o servidor DNS o host, mas uma fonte secundria
de informaes da zona. As informaes sobre a zona nesse servidor devem ser obtidas em outro servidor
DNS remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto
para receber informaes atualizadas da zona. Como uma cpia de uma zona primria hospedada em
outro servidor, uma zona secundria no pode ser armazenada no AD DS. As zonas secundrias podero
ser teis se voc estiver replicando dados de zonas DNS no Windows.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Zona de stub
Uma zona de stub a cpia replicada de uma zona que contm apenas esses registros de recurso
necessrios para identificar os servidores DNS autoritativos dessa zona. A zona de stub resolve nomes
entre namespaces DNS distintos, que podem ser necessrios quando uma fuso corporativa exige que os
servidores DNS de dois namespaces DNS distintos resolvam nomes de clientes em ambos os namespaces.
Uma zona de stub apresenta:
Registro de recurso SOA da zona delegada, registros de recurso NS e registros de recurso A.
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona
de stub.
Os servidores mestres para uma zona de stub so um ou mais servidores DNS autoritativos para a zona
filho. Esse costuma ser o servidor DNS que hospeda a zona primria para o nome de domnio delegado.
Zona integrada ao Active Directory
Se o AD DS armazenar os dados da zona, o DNS poder usar o modelo de replicao de vrios mestres
para replicar os dados da zona primria. Isso permite editar dados da zona em mais de um servidor DNS
simultaneamente.
O que so atualizaes dinmicas?
Uma atualizao dinmica uman atualizao
feita no DNS em tempo real. As atualizaes
dinmicas so importantes para clientes DNS
que alteram locais, porque eles podem registrar
e atualizar dinamicamente os respectivos
registros de recurso sem interveno manual.
O servio cliente DHCP (Dynamic Host
Configuration Protocol) executa o registro,
independentemente do endereo IP do cliente
ser obtido de um servidor DHCP, ou ser corrigido.
O registro ocorre durante os seguintes eventos:
Quando o cliente inicia e o servio
cliente DHCP iniciado
Quando um endereo IP configurado, adicionado ou alterado em qualquer conexo de rede
Quando um administrador executa o comando de linha de comando ipconfig /registerdns
ou executa o cmdlet Windows PowerShell Register-DNSClient

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-21
O processo de atualizaes dinmicas o seguinte:
1. O cliente identifica um servidor de nomes e envia uma atualizao. Se o servidor de nomes hospedar
apenas uma zona secundria, o servidor de nomes recusar a atualizao do cliente. Se a zona no
for uma zona integrada ao Active Directory, o cliente poder precisar fazer isso vrias vezes.
2. Se a zona der suporte a atualizaes dinmicas, o cliente acabar alcanando um servidor DNS
capaz de gravar na zona. Esse servidor DNS o servidor primrio para uma zona baseada em
arquivo padro ou qualquer controlador de domnio que seja um servidor de nomes para uma
zona integrada ao Active Directory.
3. Se a zona for configurada para atualizaes dinmicas seguras, o servidor DNS recusar a alterao.
Assim, o cliente autentica e reenvia a atualizao.
Em algumas configuraes, voc talvez no queira que os clientes atualizem os respectivos registros,
mesmo em uma zona de atualizao dinmica. Nesse caso, possvel configurar o servidor DHCP
para confirmar os registros em nome dos clientes. Por padro, um cliente confirma o que um
registro (host/endereo), e o servidor DHCP define o registro PTR (ponteiro/pesquisa inversa).
Por padro, os sistemas operacionais Windows tentam confirmar os respectivos registros com o respectivo
servidor DNS. possvel modificar esse comportamento na configurao do IP cliente ou por meio da
Poltica de Grupo. Os controladores de domnio tambm confirmam os respectivos registros SRV no DNS,
alm dos registros de host. Os registros SRV so confirmados sempre que o servio NETLOGON iniciado.
O que so zonas integradas ao Active Directory?
Um servidor DNS pode armazenar dados da
zona no banco de dados do AD DS, desde que
o servidor DNS seja um controlador de domnio
do AD DS. Quando o servidor DNS armazena
dados de zona dessa maneira, isso cria uma
zona integrada ao Active Directory.
Os benefcios de uma zona integrada
ao Active Directory so significativos:
Atualizaes de vrios mestres.
Diferentemente das zonas primrias
padro que s podem ser modificadas
por um nico servidor primrioas zonas
integradas ao Active Directory podem ser gravadas por qualquer controlador de domnio
para o qual a zona replicada. Isso gera redundncia na infraestrutura do DNS. Alm disso,
as atualizaes de vrios mestres so especialmente importantes em organizaes distribudas
geograficamente que usam zonas de atualizao dinmicas, porque os clientes podem atualizar
os respectivos registros DNS sem que seja necessrio se conectar a um servidor primrio potencial
e geograficamente distante.
Replicao de dados da zona DNS usando a replicao do AD DS. Uma das caractersticas da
replicao do Active Directory a replicao no nvel do atributo em que apenas atributos
alterados so replicados. Uma zona integrada ao Active Directory pode aproveitar esses benefcios
da replicao do Active Directory, em vez de replicar todo o arquivo de zona assim como acontece
em modelos de transferncia de zona DNS tradicionais.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Atualizaes dinmicas seguras. Uma zona integrada ao Active Directory pode impor atualizaes
dinmicas seguras.
Segurana granular. Assim como acontece com outros objetos do Active Directory, uma zona
integrada ao Active Directory permite delegar a administrao de zonas, domnios e registros
de recurso modificando a ACL (lista de controle de acesso) na zona.
Pergunta: Voc consegue pensar em alguma desvantagem em relao ao armazenamento
de informaes de DNS no AD DS?
Demonstrao: Criao de uma zona integrada ao Active Directory
Para criar uma zona integrada ao Active Directory, voc deve instalar um servidor DNS em um
controlador de domnio. Todas as alteraes feitas em uma zona integrada ao Active Directory
so replicadas para os outros servidores DNS que estejam em controladores de domnio por
meio do modelo de replicao de vrios mestres do AD DS.
Promover um servidor como um controlador de domnio
Criar uma zona integrada ao Active Directory
Criar um registro
Verificar a replicao para um segundo servidor DNS
Promover LON-SVR1 como um controlador de domnio adicional
1. Instale a funo de servidor do AD DS.
2. Inicie o Assistente de Configurao dos Servios de Domnio Active Directory.
3. Instale o servio Servidor DNS.
Criar uma zona integrada ao Active Directory
1. Em LON-DC1, abra o console Gerenciador DNS.
2. Inicie o Assistente de Nova Zona.
3. Crie a novas Zonas de pesquisa direta integrada ao Active Directory.
4. Nomeie o zona como Contoso.com.
5. Permita apenas atualizaes dinmicas seguras.
6. Revise os registros na nova zona.
Criar um registro
Crie um registro Novo Host na zona Contoso.com chamada de www e aponte-o para 172.16.0.100.
Verificar a replicao para um segundo servidor DNS
Verifique se o novo registro est replicando para o servidor DNS LON-SVR1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-23
Laboratrio: Implementao do DNS
Cenrio
com clientes Windows 8. Voc precisa configurar o servio de infraestrutura para uma nova filial.
O gerenciador solicitou a voc a configurao do controlador de domnio na filial como um servidor DNS.
Voc tambm foi solicitado a criar alguns registros de host novos para dar suporte a um novo aplicativo
instalado. Por fim, voc precisa configurar o encaminhamento no servidor DNS na filial para dar suporte
resoluo de nomes da Internet.
Objetivos
Instalar e configurar o DNS.
Criar registros de host no DNS.
Gerenciar o cache do servidor DNS.

24410B-LON-SVR1
24410B-LON-CL1
Senha Pa$$w0rd

o Senha: Pa$$w0rd
o Domnio: ADATUM
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Instalao e configurao do DNS
Cenrio
Como parte da configurao da infraestrutura para a nova filial, voc precisa configurar um servidor DNS
que fornecer a resoluo de nomes para a filial. O servidor DNS na filial tambm ser um controlador
de domnio. As zonas integradas ao Active Directory obrigatrias para dar suporte aos logons sero
replicadas automaticamente para a filial.
1. Configurar LON-SVR1 como um controlador de domnio sem instalar a funo de servidor DNS
2. Criar e configurar uma zona nwtraders.msft em LON-DC1
3. Revisar configuraes de servio no servidor DNS existente para confirmar dicas de raiz
4. Adicione a funo de servidor DNS para a filial no controlador de domnio.
5. Verificar a replicao da zona integrada ao Active Directory Adatum.com
6. Usar Nslookup para testar a resoluo no local
7. Configurar a resoluo de nomes da Internet a fim de encaminhar para a matriz
8. Usar Nslookup para confirmar a resoluo de nomes
Tarefa 1: Configurar LON-SVR1 como um controlador de domnio sem instalar
a funo de servidor DNS
1. Use Adicionar Funes e Recursos no Gerenciador do Servidor para adicionar a funo Servios
de Domnio Active Directory a LON-SVR1.
2. Inicie o Assistente de Adio de Funes e Recursos para promover LON-SVR1 a controlador
de domnio.
3. Opte por adicionar LON-SVR1 como um controlador de domnio no domnio Adatum.com.
4. No instale o servidor DNS.
Tarefa 2: Criar e configurar uma zona nwtraders.msft em LON-DC1
1. Na mquina LON-DC1, abrir o console Gerenciador DNS.
2. Crie a nova zona de pesquisa direta com os seguintes parmetros:
a. Nome da zona: nwtraders.msft
b. Tipo de zona: Zona primria
c. No armazenar a zona no Active Directory
Tarefa 3: Revisar configuraes de servio no servidor DNS existente para confirmar
dicas de raiz
1. No Gerenciador DNS em LON-DC1, abra a caixa de dilogo Propriedades para LON-DC1.
2. Revise as dicas de raiz e a configurao do encaminhador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-25
Tarefa 4: Adicione a funo de servidor DNS para a filial no controlador de domnio.
Use o Gerenciador do Servidor para adicionar a funo Servidor DNS a LON-SVR1.
Tarefa 5: Verificar a replicao da zona integrada ao Active Directory Adatum.com
1. Em LON-SVR1, abra o console Gerenciador DNS.
2. Expanda Zonas de pesquisa Direta, e verifique se as zonas Adatum.com e _msdcs.Adatum.com
so replicadas.
Se voc no vir essas zonas, abra Servios e Sites do Active Directory, force a replicao
entre LON-DC1 e LON-SVR1 e, em seguida, tente novamente.
Tarefa 6: Usar Nslookup para testar a resoluo no local
1. Em LON-SVR1, em Adaptador de Rede da Conexo de rea Local, no campo servidor DNS
preferido, remova o endereo IP 172.16.0.10.
2. Defina 127.0.0.1 como o servidor DNS preferido para LON-SVR1.
3. Abra uma janela Windows PowerShell em LON-SVR1, e tente resolver www.nwtraders.msft
com o cmdlet Resolve-DNSName.
4. Voc receber uma resposta negativa (isso esperado).
Tarefa 7: Configurar a resoluo de nomes da Internet a fim de encaminhar
para a matriz
2. Configure um encaminhador para LON-SVR1 para ser 172.16.0.10.
3. Reinicie o servio Servidor DNS em LON-SVR1.
Tarefa 8: Usar Nslookup para confirmar a resoluo de nomes
Em LON-SVR1, em uma janela do prompt de comando, inicie a ferramenta nslookup e tente resolver
www.nwraders.msft. Voc deve obter uma resposta e um endereo IP.

Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o DNS em LON-SVR1.
Exerccio 2: Criao de registros de host no DNS
Cenrio
Vrios aplicativos baseados na Web novos esto sendo implementados na matriz de A. Datum. Cada
aplicativo exige que voc configure um registro de host no DNS. Voc foi solicitado a criar os novos
registros de host para esses aplicativos.
1. Configurar um cliente para usar LON-SVR1 como um servidor DNS
2. Criar vrios registros de host no domnio Adatum.com para aplicativos Web
3. Verificar a replicao de novos registros para LON-SVR1
4. Usar o comando ping para localizar novos registros em LON-CL1
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 1: Configurar um cliente para usar LON-SVR1 como um servidor DNS
1. Entre em LON-CL1 como ADATUM\Administrador usando a senha Pa$$w0rd.
2. Abra o Painel de Controle.
3. Abra a caixa de dilogo Propriedades do adaptador Conexo via Rede Local.
4. Configure o servidor DNS preferido para ser 172.16.0.21.
Tarefa 2: Criar vrios registros de host no domnio Adatum.com para aplicativos Web
1. Em LON-DC1, abra o Gerenciador DNS.
2. Navegue at a zona de pesquisa direta Adatum.com.
3. Crie um novo registro chamado de www com o endereo IP 172.16.0.200.
4. Crie um novo registro chamado de ftp com endereo IP 172.16.0.201.
Tarefa 3: Verificar a replicao de novos registros para LON-SVR1
1. Em LON-SVR1, abra o Gerenciador DNS.
2. Navegue at a zona de pesquisa direta Adatum.com.
3. Verifique se os registros www e ftp so exibidos. (Convm atualizar a zona Adatum.com e aguardar
alguns minutos para que esses registros sejam exibidos em LON-SVR1.)
Tarefa 4: Usar o comando ping para localizar novos registros em LON-CL1
1. Em LON-CL1, abra uma janela Prompt de Comando.
2. Execute ping em www.adatum.com. Verifique se ping resolve esse nome para 172.16.0.100.
3. Execute ping em ftp.adatum.com. Verifique se ping resolve esse nome para 172.16.0.200.

Resultados: Depois de concluir este exerccio, voc ter configurado registros DNS.
Exerccio 3: Gerenciamento do cache do servidor DNS
Cenrio
Depois de alterar alguns registros de host em zonas configuradas em LON-DC1, voc percebeu que
clientes que usam LON-SVR1 como o respectivo servidor DNS ainda esto recebendo endereos IP
anteriores durante o processo de resoluo de nomes. Convm determinar qual componente est
armazenando esses dados em cache.
1. Usar o comando ping para localizar um registro da Internet em LON-CL1
2. Atualizar um registro da Internet a fim de apontar para o endereo IP LON-DC1
3. Examinar o contedo do cache DNS
4. Desmarcar o cache e tentar novamente o comando ping
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 7-27
Tarefa 1: Usar o comando ping para localizar um registro da Internet em LON-CL1
1. Em LON-CL1, na janela Prompt de Comando, use ping para localizar www.nwtraders.msft.
2. Verifique se o nome resolvido para um endereo IP e documente o endereo IP.
Tarefa 2: Atualizar um registro da Internet a fim de apontar para
o endereo IP LON-DC1
1. Em LON-DC1, abra o console Gerenciador DNS.
2. Navegue at a zona de pesquisa direta nwtraders.msft.
3. Altere o endereo IP do registro www para 172.16.0.10.
4. Em LON-CL1, execute ping em www.nwtraders.msft.
5. Observe que voc continuar tendo esse registro resolvido com o IP anterior.
Tarefa 3: Examinar o contedo do cache DNS
1. Em LON-SVR1, no console Gerenciador DNS, habilite Exibio Avanada.
2. Procure no contedo do continer Pesquisas em cache o namespace msft.
3. Em LON-CL1, em um prompt de comando, digite ipconfig /displaydns.
4. Examine o contedo armazenado em cache.
Tarefa 4: Desmarcar o cache e tentar novamente o comando ping
1. Desmarque o cache no servidor DNS LON-SVR1 usando o cmdlet Clear-DNSServerCache.
2. Tentar novamente o ping em www.nwtraders.msft em LON-CL1 (O resultado continuar
retornando o endereo IP anterior.)
3. Limpe o cache de resolvedor cliente em LON-CL1 digitando ipconfig /flushdns em uma janela
Prompt de Comando.
4. Em LON-CL1, tente novamente o ping em www.nwtraders.msft. (O resultado deve funcionar.)

Resultados: Depois de concluir este exerccio, voc ter examinado o cache do servidor DNS.
Quando voc terminar o laboratrio, reverta as mquinas virtuais para o estado inicial.
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1 e 24410B-LON-CL1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Perguntas de reviso
Pergunta: Voc est solucionando problemas na resoluo de nomes DNS de um
computador cliente. Do que voc deve se lembrar antes de cada teste?
Pergunta: voc est implantando servidores DNS em um domnio Active Directory
e seu cliente exige que a infraestrutura seja resistente a pontos isolados de falha.
O que voc deve considerar ao planejar a configurao do DNS?
Pergunta: Quais benefcios voc percebe no uso de encaminhadores?
Ferramentas
Nome da ferramenta Usado para Onde encontrar
Console Gerenciador DNS Funo de servidor Gerenciar DNS Ferramentas Administrativas
Nslookup Soluo de problemas de DNS Ferramenta da linha de comando
Ipconfig Soluo de problemas de DNS Ferramenta da linha de comando
Cmdlets do
Windows PowerShell
Gerenciar e solucionar problemas
de DNS
Windows PowerShell
Prtica recomendada
Ao implementar o DNS, use as seguintes prticas recomendadas:
Sempre use nomes de host em vez de nomes NetBIOS.
Use encaminhadores em vez de dicas de raiz.
Fique atento a problemas de cache em potencial ao solucionar problemas da resoluo de nomes.
Use zonas integradas ao Active Directory em vez de zonas primrias e secundrias.
s vezes, os clientes armazenam em cache
registros de DNS invlidos.

Lentido no servidor DNS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8-1
Mdulo 8
Implementao do IPv6
Contedo:
Lio 1: Viso geral do IPv6 8-2
Lio 2: Endereamento IPv6 8-8
Lio 3: Coexistncia com o IPv4 8-15
Lio 4: Tecnologias de transio do IPv6 8-20

Viso geral do mdulo
IPv6 uma tecnologia que ajuda a Internet a dar suporte a uma base crescente e a um nmero cada vez
maior de dispositivos habilitados para IP. IPv4 foi o protocolo de Internet subjacente durante quase trinta
anos. A robustez, a escalabilidade e o conjunto de recurso limitado agora so desafiados pela necessidade
crescente de novos endereos IP. Isso se deve em grande parte ao crescimento rpido de novos
dispositivos com reconhecimento de rede.
Objetivos
Descrever os recursos e os benefcios do IPv6.
Descrever a coexistncia do IPv6 com o IPv4.
Descrever tecnologias de transio do IPv6.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 1
Viso geral do IPv6
O IPv6 foi includo em sistemas operacionais Windows
clientes e servidores desde

o Windows Server

2008 e o Windows Vista
. O uso do IPv6 est se tornando mais

comum em redes corporativas e partes da Internet.
importante que voc compreenda como essa tecnologia afeta as redes atuais e como integrar
o IPv6 a essas redes. Esta lio aborda os benefcios do IPv6 e em que ele difere do IPv4.
Objetivos da lio
Descrever os benefcios do IPv6.
Descrever as diferenas entre o IPv4 e o IPv6.
Descrever o formato de endereo IPv6.
Benefcios do IPv6
O suporte do IPv6 est includo no
Windows Server 2012 e no Windows 8. A lista
de benefcios a seguir descreve por que o IPv6
est sendo implementado.
Maior espao de endereo
O espao de endereo IPv6 de 128 bits,
muito maior que o espao de endereo de
32 bits no IPv4. Um espao de endereo
de 32 bits tem 2
32
ou 4.294.967.296 endereos
possveis; um espao de endereo de 128 bits
tem 2
128
ou
340.282.366.920.938.463.463.374.607.431.768.211.
456 (ou 3,4x10
38
ou 340 undecilhes) endereos possveis. medida que a Internet continua crescendo,
o IPv6 fornece o espao de endereo maior obrigatrio.
Infraestrutura hierrquica de endereamento e roteamento
O espao de endereo IPv6 pblico alocado de maneira mais eficiente do que para o IPv4. Nem todos
os endereos IPv4 so alocados em blocos geogrficos, mas endereos pblicos IPv6 so. Isso significa
que, muito embora haja muito mais endereos, os roteadores da Internet podem processar dados de
maneira muito mais eficiente por conta da otimizao de endereo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-3
Configurao de endereo sem monitorao de estado e com monitorao de estado
O IPv6 tem o recurso de configurao automtica sem um protocolo DHCP (Dynamic Host Configuration
Protocol) e pode detectar informaes do roteador de forma que os hosts possam acessar a Internet.
Isso conhecido como uma configurao de endereo sem estado. Uma configurao de endereo
com estado acontece quando voc usa o protocolo DHCPv6. Isso d aos administradores de rede a
flexibilidade quanto maneira como endereos IPv6 e informaes de configurao so distribudos
para clientes.
Suporte obrigatrio para IPsec
Os padres do IPv6 exigem suporte para o AH (Cabealho de Autenticao) e os cabealhos ESP (carga
til de segurana de encapsulamento) definidos pelo IPsec (segurana do protocolo de Internet). Embora
o suporte aos mtodos de autenticao do IPsec e os algoritmos criptogrficos no sejam especificados,
o IPsec foi definido desde o comeo como uma maneira de proteger os pacotes IPv6. Isso assegura a
disponibilidade do IPsec em todos os hosts IPv6. O suporte a IPsec no era obrigatrio para hosts IPv4,
mas costumava ser implementado.
Comunicao de ponta a ponta
Uma das metas de design do IPv6 fornecer espao de endereo suficiente para que voc no
precise usar mecanismos de traduo, como NAT (converso de endereos de rede). Isso simplifica a
comunicao porque hosts IPv6 podem se comunicar diretamente entre si pela Internet. Isso tambm
simplifica o suporte a aplicativos, como videoconferncia e outros aplicativos ponto a ponto. Porm,
muitas organizaes podem optar por continuar usando mecanismos de traduo como medida de
segurana.
Suporte obrigatrio para QoS
Um pacote IPv6 contm um campo QoS (Qualidade de Servio) que especifica a velocidade com
que o pacote deve ser processado. Isso permite que o trfego de pacote IPv6 receba uma prioridade.
Por exemplo, quando voc estiver fazendo o streaming do trfego de vdeo, essencial que os pacotes
cheguem em tempo hbil. possvel definir o campo QoS para garantir que os dispositivos de rede
reconheam que a entrega do pacote tenha deteco de hora. O suporte para QoS era opcional
para hosts IPv4.
Suporte aperfeioado para ambientes de nica sub-rede
Todos os hosts IPv6 so configurados automaticamente com um endereo local de link que permite
ao host se comunicar na sub-rede local. Porm, assim como o APIPA (Automatic Private IP Addressing),
implementado como uma opo em ambientes IPv4, os computadores no so configurados
automaticamente com um gateway padro ou um servidor DNS (Sistema de Nomes de Domnio).
Extensibilidade
O IPv6 foi criado para que os desenvolvedores pudessem estend-lo com muito menos restries do
que o IPv4. Como um administrador de rede, voc no estender o IPv6, mas aplicativos comprados
podem usufruir isso para aprimorar a funcionalidade do IPv6.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Diferenas entre o IPv4 e o IPv6
Quando o espao de endereo IPv4 foi criado,
era impossvel imaginar que ele se esgotaria.
No entanto, por conta das mudanas tecnolgicas
e de uma prtica de alocao que no previu a
exploso dos hosts da Internet, ficou claro em
1992 que uma substituio seria necessria.
Quando o espao de endereo IPv6 foi projetado,
os endereos tinham 128 bits, logo, o espao de
endereo pode ser subdividido em domnios de
roteamento hierrquico que reflitam a topologia
da Internet dos dias atuais. Com 128 bits, h bits
o suficiente para criar vrios nveis de hierarquia
e existe flexibilidade para projetar endereamento e roteamento hierrquicos. Esses recursos esto
fazendo falta na Internet baseada no IPv4.
Comparao entre o IPv4 e o IPv6
A tabela a seguir reala as diferenas adicionais entre IPv4 e IPv6.
IPv4 IPv6
A fragmentao realizada pelos
roteadores e pelo host de envio.
A fragmentao no realizada pelos roteadores, e sim
apenas pelo host de envio.
O ARP (Address Resolution Protocol) usa
quadros de solicitao ARP de difuso a
fim de resolver um endereo IPv4 para
o endereo da camada de link.
Os quadros de solicitao ARP foram substitudos por
mensagens de solicitao de vizinho multicast.
O IGMP (Internet Group Management
Protocol) gerencia a associao ao grupo
de sub-redes local.
O IGMP substitudo por mensagens MLD (Multicast
Listener Discovery).
A descoberta do roteador ICMP
opcional determina o endereo IPv4
do melhor gateway padro.
A descoberta do roteador ICMP substituda pelas
mensagens de solicitao e anncio de roteador ICMP
verso 6 (v6).
Usa registros de recurso de host (A)
no DNS a fim de mapear nomes de host
para endereos IPv4.
Usa registros de recurso de host IPv6 (AAAA) no DNS a
fim de mapear nomes de host para endereos IPv6.
Usa registros de recursos (PTR) de
ponteiro no domnio IN-ADDR.ARPA
DNS para mapear endereos IPv4 para
nomes de host.
Usa registros de recurso (PTR) de ponteiro no domnio
IP6.ARPA DNS a fim de mapear endereos IPv6 para
nomes de host.
Deve ser compatvel com um pacote de
576 bytes (possivelmente fragmentado).
Deve ser compatvel com um pacote de 1.280 bytes (sem
fragmentao).

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-5
Formato do endereo IPv6
A caracterstica diferencial mais evidente do IPv6
o uso de endereos muito maiores. Os endereos
IPv4 so expressos em quatro grupos de nmeros
decimais, como 192.168.1.1. Cada agrupamento
de nmeros representa um octeto binrio.
Em binrio, 192.168.1.1 o seguinte:
11000000.10101000.00000001.00000001
(quatro octetos = 32 bits)
Porm, um endereo IPv6 quatro vezes maior
que um endereo IPv4. Por isso, endereos IPv6
so expressos em hexadecimal (hex). Por exemplo:
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Isso pode parecer complexo para os usurios finais, mas a suposio de que os usurios dependam
de nomes DNS para resolver hosts e raramente digitem endereos IPv6 manualmente. O endereo IPv6
em hexadecimal tambm mais fcil de converter entre binrio e hexadecimal do que entre binrio
e decimal. Isso simplifica o trabalho com sub-redes e o clculo de hosts e redes.
Sistema de numerao hexadecimal (base 16)
No sistema de numerao hexadecimal, algumas letras representam nmeros; isso porque deve
haver 16 smbolos exclusivos para cada posio. Como j existem dez smbolos (de zero a nove),
deve haver seis novos smbolos para o sistema hexadecimal; assim, as letras de A a F so usadas.
O nmero 10 hexadecimal igual ao nmero 16 decimal.
Observao: possvel usar o aplicativo Calculadora includo no Windows Server 2012
para converter nmeros entre binrio, decimal e hexadecimal.
Para converter um endereo IPv6 binrio com 128 bits, voc o divide em oito blocos de 16 bits.
Em seguida, voc converte cada um desses oito blocos de 16 bits em quatro caracteres hexadecimais.
Para cada um dos blocos, voc avalia quatro bits por vez. Voc deve numerar cada seo de quatro
nmeros binrios 1, 2, 4 e 8, comeando da direita para a esquerda. Ou seja:
O primeiro bit [0010] recebe o valor 1.
O segundo bit [0010] recebe o valor 2.
O terceiro bit [0010] recebe o valor 4.
O quarto bit [0010] recebe o valor 8.
Para calcular o valor hexadecimal para essa seo de quatro bits, adicione o valor de cada bit definido
como 1. No exemplo de 0010, o nico bit definido como 1 o bit atribudo ao valor 2. O resto definido
como zero. Por isso, o valor hexadecimal dessa seo de quatro bits 2.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Converso de binrio para hexadecimal
A seguinte tabela descreve a converso de oito bits de binrio em hexadecimal para o nmero binrio
[0010] [1111]:
Binrio 0010 1111
Valores de cada posio binria 8421 8421
Adio de valores em que o bit seja 1 0+0+2+0=2 8+4+2+1=15 ou hexadecimal F
O exemplo a seguir um endereo IPv6 nico na forma binria. Observe que a representao binria do
endereo IP bastante longa. As duas linhas seguintes de nmeros binrios representam um endereo IP:
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
O endereo de 128 bits agora dividido em limites de 16 bits (oito blocos de 16 bits):
0010000000000001 0000110110111000 0000000000000000 0010111100111011
0000001010101010 0000000011111111 1111111000101000 1001110001011010
Cada bloco dividido em sees de quatro bits. A seguinte tabela mostra os valores binrio
e hexadecimal correspondentes para cada seo de quatro bits:
Binrio Hexadecimal
[0010][0000][0000][0001] [2][0][0][1]
[0000][1101][1011][1000] [0][D][B][8]
[0000][0000][0000][0000] [0][0][0][0]
[0010][1111][0011][1011] [2][F][3][B]
[0000][0010][1010][1010] [0][2][A][A]
[0000][0000][1111][1111] [0][0][F][F]
[1111][1110][0010][1000] [F][E][2][8]
[1001][1100][0101][1010] [9][C][5][A]
Cada bloco de 16 bits expressado como quatro caracteres hexadecimais e delimitado por dois-pontos.
O resultado o seguinte:
2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
Voc pode simplificar ainda mais a representao do IPv6 removendo os zeros esquerda em cada
bloco de 16 bits. No entanto, cada bloco deve ter pelo menos um dgito. Com a supresso dos zeros
esquerda, a representao do endereo demonstrada da seguinte maneira:
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-7
Compresso de zeros
Quando ocorrem vrios blocos de zeros contguos, possvel suprimi-los e represent-los no endereo
como dois-pontos duplo (::), o que simplifica ainda mais a notao IPv6. O computador reconhece "::"
e o substitui pelo nmero de blocos necessrios para tornar o endereo IPv6 correto.
No exemplo a seguir, o endereo expresso usando-se a compresso de zeros:
2001:DB8::2F3B:2AA:FF:FE28:9C5A
Para saber a quantidade de bits 0 representados pelo caractere "::", possvel contar o nmero de blocos
no endereo compactado, subtrair esse nmero de oito e multiplicar o resultado por 16. Usando o
exemplo anterior, existem sete blocos. Subtraia sete de oito e multiplique o resultado (um) por 16.
Dessa forma, haver 16 bits ou 16 zeros no endereo em que o dois-pontos duplo est localizado.
S possvel usar a compactao de zeros uma vez em um determinado endereo. Se voc us-la
duas vezes ou mais, no haver como mostrar quantos bits 0 so representados pela instncia
do dois-pontos (::) duplo.
Para converter um endereo em binrio, use a inverso do mtodo descrito acima:
1. Adicione zeros usando a compactao de zeros.
2. Adicione zeros esquerda.
3. Converta cada nmero l no binrio equivalente.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 2
Endereamento IPv6
Uma parte essencial do trabalho com IPv6 a compreenso dos tipos de endereo diferentes e quando
eles so usados. Isso permite compreender o processo de comunicao geral entre hosts IPv6 e realizar
a soluo de problemas. Voc tambm precisa compreender os processos disponveis para configurar
um host com um endereo IPv6 a fim de garantir que os hosts sejam configurados corretamente.
Objetivos da lio
Descrever a estrutura dos endereos IPv6.
Descrever a estrutura dos endereos unicast globais.
Descrever endereos unicast locais exclusivos.
Descrever endereos unicast locais de link e IDs de zona.
Descrever a configurao automtica do endereo para IPv6.
Explicar como definir configuraes de cliente IPv6 em um host de rede.
Estrutura do endereo IPv6
Cada endereo IPv6 tem 128 bits. O prefixo a
parte do endereo que indica os bits com valores
fixos ou que so os bits do prefixo da sub-rede.
Isso equivale ID da rede para endereos IPv4.
Os prefixos das sub-redes, das rotas e dos
intervalos de endereos IPv6 so expressos
da mesma forma que a notao CIDR
(Roteamento entre Domnios sem Classificao)
IPv4. Um prefixo IPv6 escrito na notao
endereo/comprimento do prefixo. Por exemplo,
2001:DB8::/48 e 2001:DB8:0:2F3B::/64 so prefixos
de endereo IPv6.
Observao: O IPv6 usa prefixos em vez de uma mscara de sub-rede.
Quando um endereo IPv6 unicast atribudo a um host, o prefixo 64 bits. Os 64 bits restantes
so alocados para o identificador da interface, que identifica com exclusividade o host nessa rede.
O identificador da interface pode ser gerado aleatoriamente, atribudo por DHCPv6 ou se basear
no endereo MAC (controle de acesso mdia) da rede. Por padro, os bits de host so gerados
aleatoriamente, a menos que tenham sido atribudos por DHCPv6.
Observao: As rotas em um roteador IPv6 tm tamanhos de prefixo variados
determinados pelo tamanho da rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-9
Equivalentes IPv6 a endereos especiais IPv4
A tabela a seguir mostra equivalentes IPv6 a alguns endereos IPv4 comuns.
Endereo IPv4 Endereo IPv6
Endereo no especificado 0.0.0.0 ::
Endereo de loopback 127.0.0.1 ::1
Endereos configurados
automaticamente
169.254.0.0/16 FE80::/64
Endereo de difuso 255.255.255.255 Usa multicasts em seu lugar
Endereos multicast 224.0.0.0/4 FF00::/8
Endereos unicast globais
Endereos unicast globais equivalem a
endereos IPv4 pblicos disponibilizados
por um ISP (provedor de servios de Internet).
Eles so globalmente roteveis e alcanveis
na parte IPv6 da Internet. Diferentemente do
nmero limitado de endereos IPv4 endereveis
da Internet restantes, existem muitos endereos
unicast globais disponveis para uso.
O espao de endereo unicast global foi
projetado para permitir que cada cliente ISP
obtivesse um grande nmero de endereos IPv6.
Os primeiros 48 bits so usados para identificar o
site do cliente. Os prximos 16 bits so alocados para o cliente usar a sub-rede dentro da prpria rede.
Observao: A rede 2001:0db8::/32 reservada para documentao e no rotevel.
A estrutura de um endereo unicast global a seguinte:
Parte corrigida definida como 001. Os trs bits de ordem superior so definidos como 001. O prefixo
dos endereos globais atribudos atualmente 2000::/3. Por isso, todos os endereos unicast globais
comeam com 2 ou 3.
Prefixo de roteamento global. Esse campo identifica o prefixo de roteamento global para o site
especfico de uma organizao. A combinao dos trs bits fixos e do prefixo de roteamento global
de 45 bits usada para criar um prefixo de site de 48 bits, atribudo ao site individual de uma
organizao. Depois da atribuio, os roteadores na Internet IPv6 encaminharo o trfego
IPv6 correspondente ao prefixo de 48 bits para os roteadores do site da organizao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
ID da sub-rede. A ID da sub-rede usada dentro do site de uma organizao para identificar
sub-redes. O tamanho desse campo de 16 bits. O site da organizao pode usar esses 16 bits
no prprio site para criar 65.536 sub-redes ou vrios nveis de hierarquia de endereamento
e uma infraestrutura eficiente de roteamento.
ID da interface. A ID da interface identifica a interface em uma sub-rede especfica no site.
O tamanho desse campo de 64 bits. Ela gerada aleatoriamente ou atribuda pelo DHCPv6.
Antigamente, a ID da interface se baseava no endereo MAC da placa de interface de rede
ao qual o endereo estava associado.
Endereos unicast locais exclusivos
Endereos locais exclusivos so o equivalente IPv6
dos endereos particulares IPv4. Esses endereos
so roteveis dentro de uma organizao, mas
no na Internet.
Os endereos IP particulares IPv4 eram uma parte
relativamente pequena do espao de endereo
IPv4 geral, e muitas empresas usavam o mesmo
espao de endereo. Isso causava problemas
quando organizaes separadas tentavam se
comunicar diretamente. Isso tambm causava
problemas durante a mesclagem das redes de
duas organizaes possivelmente depois
de uma fuso ou compra.
Para evitar os problemas de duplicao enfrentados com endereos particulares IPv4, a estrutura
de endereo local exclusiva IPv6 aloca 40 bits a um identificador de organizao. O identificador da
organizao de 40 bits gerado aleatoriamente. A probabilidade de dois identificadores de 40 bits
gerados aleatoriamente serem iguais muito pequena. Isso garante que cada organizao tenha um
espao de endereo exclusivo.
Os sete primeiros bits do identificador da organizao tm o valor binrio fixo 1111101. Todos os
endereos locais exclusivos tm o prefixo de endereo FC00::/7. O sinalizador Local (L) definido como 1
para indicar um endereo local. Um valor de sinalizador L configurado com 0 ainda no foi definido. Por
isso, os endereos locais exclusivos com o sinalizador L definido como 1 tm o prefixo de endereo FD::/8.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-11
Endereos unicast de link-local
Todos os hosts IPv6 tm um endereo de
link-local usado apenas na comunicao na
sub-rede local. O endereo de link-local
gerado automaticamente e no rotevel.
Dessa forma, os endereos de link-local so
semelhantes aos endereos APIPA IPv4. Porm,
um endereo de link-local uma parte essencial
da comunicao IPv6.
Os endereos de link-local so usados na
comunicao em muitos cenrios nos quais
IPv4 usaria difuses. Por exemplo, os endereos
de link-local so usados durante a comunicao
com um servidor DHCPv6. Os endereos de link-local tambm so usados na descoberta de vizinho,
que o equivalente IPv6 de ARP em IPv4.
O prefixo de endereos de link-local sempre FE80::/64. Os 64 bits finais so o identificador da interface.
ID da zona
Independentemente do nmero de interfaces de rede no host, cada host IPv6 tem um nico endereo
de link-local. Se o host tiver vrias interfaces de rede, o mesmo endereo de link-local ser reutilizado em
cada interface da rede. Para permitir que hosts identifiquem a comunicao link-local em cada interface
da rede exclusiva, uma ID da zona adicionada ao endereo de link-local.
Uma ID da zona usada no seguinte formato:
Endereo%ID_zona
Cada host de envio determina a ID da zona a ser associada a cada interface. No h negociao da ID
da zona entre hosts. Por exemplo, na mesma rede, o host A pode usar 3 para a ID da zona na respectiva
interface e o host B pode usar 6 para a ID da zona na respectiva interface.
Cada interface em um host baseado no Windows recebe um ndice de interface exclusivo, que um
inteiro. Alm das placas de rede fsicas, as interfaces tambm incluem interfaces de loopback e tnel.
Os hosts IPv6 baseados no Windows usam o ndice de uma interface como a ID da zona dessa interface.
No exemplo a seguir, a ID da interface de rede 3.
fe80::2b0:d0ff:fee9:4143%3

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao automtica de endereos IPv6
Na maioria dos casos, voc usar a configurao
automtica para fornecer aos hosts IPv6 um
endereo IPv6. Diferentemente do IPv4, que usa
principalmente servidores DHCP para fornecer
informaes de endereamento, o IPv6 tambm
usa roteadores como parte do processo de
configurao automtica. Os roteadores podem
fornecer o endereo de rede e um gateway
padro a clientes em mensagens de anncio de
rota.
Tipos de configurao automtica
Entre os tipos de configurao automtica esto:
Sem estado. Com a configurao automtica sem estado, a configurao de endereo se baseia
apenas no recebimento de mensagens de anncio de roteador. A configurao automtica sem
estado inclui um prefixo de roteador, mas no inclui opes de configurao adicionais como
servidores DNS.
Com estado. Com a configurao automtica com estado, a configurao se endereo se baseia
no uso de um protocolo de configurao de endereo com estado, como o DHCPv6, para obter
endereos e outras opes de configurao. Um host usa a configurao de endereo com estado
quando:
o Recebe instrues para fazer isso em mensagens de anncio do roteador.
o No h roteador no link local.
Ambos. Com ambos, a configurao se baseia tanto no recebimento de mensagens de anncio
de roteador quanto no DHCPv6.
Configurao com estado
Com uma configurao com estado, as organizaes podem controlar como os endereos IPv6
so atribudos usando-se DHCPv6. Se houver alguma opo especfica de escopo que voc precise
configurar como os endereos IPv6 de servidores DNS , ser necessrio um servidor DHCPv6.
Ao tentar se comunicar com um servidor DHCPv6, o IPv6 usa endereos IPv6 multicast. O processo
difere do IPv4, que usa endereos IPv4 de difuso.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-13
Estados de endereo configurados automaticamente
Durante a configurao automtica, o endereo IPv6 de um host passa por vrios estados que definem
o ciclo de vida do endereo IPv6. Os endereos configurados se encontram em um ou mais dos seguintes
estados:
Provisrio. No estado provisrio, a verificao ocorre para determinar se o endereo exclusivo.
A deteco de endereos duplicados executa a verificao. Quando um endereo est no estado
provisrio, um n no pode receber trfego de unicast.
Vlido. No estado vlido, o endereo foi verificado como exclusivo e pode enviar e receber trfego
unicast.
Preferencial. No estado preferencial, o endereo permite que um n envie e receba trfego unicast.
Preterido. Em um estado preterido, o endereo vlido, mas seu uso desestimulado para uma
nova comunicao.
Invlido. No estado invlido, o endereo no permite mais que um n receba ou envie trfego
unicast.
Demonstrao: Definio das configuraes do cliente IPv6
Na maioria dos casos, o IPv6 configurado dinamicamente usando DHCPv6 ou anncios de roteador.
Porm, tambm possvel configurar IPv6 manualmente com um endereo IPv6 esttico. O processo
de configurao do IPv6 semelhante ao processo de configurao do IPv4.
Exibir a configurao IPv6 usando IPconfig.
Configurar o IPv6 em um controlador de domnio e um servidor.
Verificar se a comunicao IPv6 funcional.
Exibir a configurao IPv6 usando IPconfig
1. Entre em LON-DC1 e LON-SVR1 como ADATUM\Administrador usando a senha Pa$$w0rd.
2. Em LON-DC1, abra um prompt do Windows PowerShell
.
3. Use ipconfig para exibir o Endereo IPv6 de link-local na conexo local.
4. Use o cmdlet Get-NetIPAddress para exibir a configurao de rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurar IPv6 em LON-DC1
1. Em LON-DC1, use o Gerenciador do Servidor para abrir a caixa de dilogo PROPRIEDADES
e clique em Conexo Local.
2. Abra a caixa de dilogo Propriedades do Protocolo TCP/IP verso 6 (TCP/IPv6) e digite
as seguintes informaes:
o Usar o seguinte Endereo IPv6
o Endereo IPv6: FD00:AAAA:BBBB:CCCC::A
o Comprimento do prefixo de sub-rede: 64
o Usar os seguintes endereos de servidor DNS
o Servidor DNS preferencial: ::1
Configurar IPv6 em LON-SVR1
1. Em LON-DC1, use o Gerenciador do Servidor para abrir a caixa de dilogo PROPRIEDADES
e clique em Conexo Local.
2. Abra a caixa de dilogo Propriedades do Protocolo TCP/IP Verso 6 (TCP/IPv6) e digite
o seguintes:
o Usar o seguinte Endereo IPv6
o Endereo IPv6: FD00:AAAA:BBBB:CCCC::15
o Comprimento do prefixo de sub-rede: 64
o Usar os seguintes endereos de servidor DNS
o Servidor DNS preferencial: FD00:AAAA:BBBB:CCCC::A
Verificar se a comunicao IPv6 funcional
1. Em LON-SVR1, abra um prompt do Windows PowerShell.
2. Use ipconfig para exibir o Endereo IPv6 da conexo local.
3. Use ping -6 para testar a comunicao IPv6 com LON-DC1.
4. Use ping -4 para testar a comunicao IPv4 com LON-DC1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-15
Lio 3
Coexistncia com o IPv4
Desde sua criao, o IPv6 foi projetado para coexistncia a longo prazo com IPv4; na maioria dos casos,
a rede usar IPv4 e IPv6 por muitos anos. Consequentemente, voc precisa compreender como eles
coexistem.
Esta lio oferece uma viso geral das tecnologias que do suporte coexistncia dos dois protocolos IP.
Esta lio tambm descreve os tipos de n diferentes e as implementaes de pilha IP de IPv6. Por fim,
esta lio explica como o DNS resolve nomes para endereos IPv6 e os vrios tipos de tecnologias
de transio IPv6.
Objetivos da lio
Descrever tipos de n IP.
Descrever mtodos para fornecer coexistncia para IPv4 e IPv6.
Configurar o DNS para dar suporte ao IPv6.
Explicar o encapsulamento IPv6 via IPv6.
Quais so os tipos de n?
Ao planejar uma rede IPv6, voc deve saber quais
tipos de ns ou hosts esto na rede. A descrio
dos ns de uma maneira especfica ajuda a
definir os recursos na rede. As noes bsicas dos
recursos de cada tipo de n so importantes caso
voc use encapsulamento, porque determinados
tipos de tneis exigem tipos de n especficos.
As descries dos diversos tipos de ns so as
seguintes:
N somente IPv4. Este um n que
implementa apenas IPv4 (e possui apenas
endereos IPv4) e no d suporte ao IPv6.
N somente IPv6. Este um n que implementa apenas IPv6 (e possui apenas endereos IPv6) e no
d suporte ao IPv4. Esse n s pode se comunicar com os ns e aplicativos IPv6 e no comum nos
dias de hoje. No entanto, talvez seu uso se torne mais frequente, pois dispositivos menores (como
celulares e computadores de mos) usam o protocolo IPv6 com exclusividade.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
N IPv4/IPv6. Este um n que implementa o IPv4 e o IPv6. O Windows Server 2008 e os sistemas
operacionais Windows Server e Windows Vista mais novos, alm dos sistemas operacionais clientes
Windows mais recentes usam IPv4 e IPv6 por padro.
N IPv4. Este um n que implementa o IPv4. Pode ser um n somente IPv4 ou um n IPv6/IPv4.
N IPv6. Este um n que implementa o IPv6. Pode ser um n somente IPv6 ou um n IPv6/IPv4.
A coexistncia ocorre quando o maior nmero de ns (IPv4 ou IPv6) pode se comunicar usando uma
infraestrutura IPv4, uma infraestrutura IPv6 ou uma infraestrutura que uma combinao de IPv4 e
IPv6. Voc migrar efetivamente quando todos os ns IPv4 forem convertidos em ns somente IPv6.
No entanto, em um futuro prximo, a migrao prtica ser alcanada quando a maior quantidade
possvel de ns somente IPv4 for convertida em ns IPv6/IPv4. Os ns somente IPv4 podero se
comunicar com os ns somente IPv6 apenas quando voc estiver usando um proxy IPv4-para-IPv6
ou um gateway de converso.
Coexistncia entre o IPv4 e o IPv6
Em vez de substituir IPv4, a maioria das
organizaes adiciona o IPv6 rede IPv4 existente.
Desde o Windows Server 2008 e o Windows Vista,
os sistemas operacionais Windows do suporte ao
uso simultneo de IPv4 e IPv6 por uma arquitetura
de camada IP dupla. Os sistemas operacionais
Windows XP e Windows Server 2003 usam
uma arquitetura de pilha dual menos eficiente.
Arquitetura de camada IP dupla
Uma arquitetura de camada IP dupla foi
implementada desde o Windows Vista e continua
no Windows Server 2012 e no Windows 8. Essa
arquitetura contm camadas de Internet IPv4 e IPv6 com uma nica implementao de protocolos de
camada de transporte, como TCP e UDP (User Datagram Protocol). A pilha dual possibilita uma migrao
mais fcil para IPv6 e existem menos arquivos a serem mantidos para fornecer conectividade IPv6.
O IPv6 tambm est disponvel sem a adio de novos protocolos na configurao da placa de rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-17
Arquitetura de pilha dual
Uma arquitetura de pilha dual contm as camadas da Internet IPv4 e IPv6 e tem pilhas de protocolos
separadas com implementaes distintas dos protocolos da camada de transporte, como TCP e UDP.
Tcpip6.sys, o driver do protocolo IPv6 no Windows Server 2003 e no Windows XP, contm uma
implementao separada de TCP e UDP.
Requisitos da infraestrutura DNS
Assim como usado como um servio de suporte em uma rede IPv4, o DNS tambm obrigatrio
em uma rede IPv6. Ao adicionar IPv6 rede, voc precisa verificar se adicionou os registros necessrio
ao suporte resoluo de nome para endereo e de endereo para nome IPv6. Os registros DNS
obrigatrios para coexistncia so:
Registros de recurso de host (A) para ns IPv4
Registros de recurso de host IPv6 (AAAA)
Registros de recurso PTR (Ponteiro de pesquisa inversa) para ns IPv4 e IPv6
Observao: Na maioria dos casos, os registros de recurso de host IPv6 (AAAA)
que os ns IPv6 exigem so registrados dinamicamente no DNS.
Quando um nome pode ser resolvido para endereos IPv4 e IPv6, os endereos so retornados para o
cliente. Assim, o cliente escolhe qual endereo usar com base em polticas de prefixo. Nessas polticas
de prefixo, cada prefixo tem um nvel de precedncia atribudo. Uma precedncia mais alta preferida
em relao a uma precedncia mais baixa. A tabela a seguir exibe polticas de prefixo tpicas para
Prefixo Precedncia Rtulo Descrio
::1/128 50 0 Loopback IPv6
::/0 40 1 Gateway padro
::ffff:0:0/96 10 4 Endereo compatvel com IPv4
2002::/16 7 2 6to4
2001::/32 5 5 Teredo
FC00::/7 3 13 Exclusivo local
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Prefixo Precedncia Rtulo Descrio
::/96 1 3 Endereo compatvel com IPv4
(depreciado)
fec0::/10 1 11 Local do site (depreciado)
3ffe::/16 1 12 6Bone (depreciado)
Observao: possvel exibir as polticas de prefixo no Windows Server 2012 usando
o cmdlet do Windows PowerShell Get-NetPrefixPolicy.
Leitura adicional: Para obter mais informaes sobre polticas de prefixo,
consulte Seleo de endereos de origem e de destino para IPv6 em
Demonstrao: Configurao do DNS para dar suporte ao IPv6
De maneira semelhante aos ns IPv4, os ns IPv6 usam registros do host criados automaticamente pelo
DNS dinmico. Tambm possvel criar manualmente registros de host para endereos IPv6. Um registro
de recurso de host IPv6 (AAAA) um tipo de registro exclusivo e diferente de um registro de recurso
de host IPv4 (A).
Configurar um registro de recurso de host IPv6 (AAAA) para um endereo IPv6.
Verificar resoluo de nomes para um registro de recurso de host IPv6 (AAAA).
Configurar um registro de recurso de host IPv6 (AAAA)
1. Em LON-DC1, no Gerenciador do Servidor, abra a ferramenta DNS e navegue at a zona de pesquisa
direta Adatum.com.
2. No Gerenciador DNS, verifique se os endereos IPv6 foram registrados dinamicamente para LON-DC1
e LON-SVR1.
3. Crie um novo registro de host em Adatum.com com as seguintes configuraes:
o Nome: WebApp
o Endereo IP: FD00:AAAA:BBBB:CCCC::A
Verificar resoluo de nomes para um registro de recurso de host IPv6 (AAAA)
1. Em LON-SVR1, se necessrio, abra um prompt do Windows PowerShell.
2. Use ping para testar a comunicao com WebApp.adatum.com.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-19
O que encapsulamento IPv6 atravs do IPv4?
O encapsulamento IPv6 via IPv4 o
encapsulamento de pacotes IPv6 com um
cabealho IPv4 para que os pacotes IPv6
possam ser enviados por meio de uma
infraestrutura somente IPv4. No cabealho IPv4:
O campo Protocolo IPv4 definido como 41
para indicar um pacote IPv6 encapsulado.
Os campos Origem e Destino so definidos
como os endereos IPv4 dos pontos de
extremidade do tnel. possvel configurar
pontos de extremidade de encapsulamento
manualmente como parte da interface de
encapsulamento, ou eles podem ser derivados automaticamente.
Diferentemente do tnel para o protocolo PPTP e protocolo L2TP, no h troca de mensagens para
a instalao, manuteno ou trmino do tnel. Alm disso, o encapsulamento IPv6 atravs do IPv4
no oferece segurana para os pacotes IPv6 em encapsulamento. Isso significa que quando voc
usa o encapsulamento IPv6, ele no precisa estabelecer primeiramente uma conexo protegida.
possvel configurar manualmente o encapsulamento IPv6 via IPv4 ou usar tecnologias automatizadas,
como ISATAP, 6to4 ou Teredo que implementam o encapsulamento IPv6 via IPv4.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 4
Tecnologias de transio do IPv6
A transio de IPv4 para IPv6 exige coexistncia entre os dois protocolos. Muitos aplicativos e servios
dependem do IPv4 para serem removidos rapidamente. Porm, existem vrias tecnologias que ajudam na
transio permitindo a comunicao entre hosts apenas IPv4 e apenas IPv6. Tambm existem tecnologias
que permitem a comunicao IPv6 via redes IPv4.
Esta lio fornece informaes sobre ISATAP (Intra-Site Automatic Tunnel Addressing Protocol), 6to4
e Teredo, que ajudam a fornecer conectividade entre as tecnologias IPv4 e IPv6. Esta lio tambm
aborda proxy de porta, que fornece compatibilidade para aplicativos.
Objetivos da lio
Descrever ISATAP.
Descrever 6to4.
Descrever Teredo.
Descrever proxy de porta.
Descrever o processo de transio de IPv4 para IPv6.
O que ISATAP?
ISATAP uma tecnologia de atribuio
de endereos que possvel usar para
fornecer a conectividade IPv6 unicast entre
hosts IPv6/IPv4 via intranet IPv4. Os pacotes IPv6
so encapsulados em pacotes IPv4 para
transmisso via rede. A comunicao pode
ocorrer diretamente entre dois hosts ISATAP em
uma rede IPv4 ou passar por um roteador ISATAP
caso uma rede s tenha hosts apenas IPv6.
Os hosts ISATAP no exigem configurao
manual e podem criar endereos ISATAP
usando mecanismos de configurao automtica
de endereo padro. Embora seja habilitado por padro, o componente ISATAP s atribuir endereos
baseados em ISATAP se puder resolver o nome ISATAP na rede.
Um endereo ISATAP baseado em um endereo IPv4 particular formatado como o seguinte exemplo:
[prefixo unicast de 64 bits]:0:5EFE:w.x.y.z
Um endereo ISATAP baseado em um endereo IPv4 pblico formatado como o seguinte exemplo:
[prefixo unicast de 64 bits]:200:5EFE:w.x.y.z
Por exemplo, FD00::5EFE:192 .168.137.133 um exemplo de um endereo IPv4 particular
e 2001:db8::200:5EFE:131 .107.137.133 um exemplo de um endereo IPv4 pblico.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-21
O que um roteador ISATAP?
Se no houver hosts apenas IPv6, o roteador ISATAP anunciar o prefixo IPv6 usado por clientes ISATAP.
A interface ISATAP em computadores clientes configurada para usar esse prefixo. Quando aplicativos
usam a interface ISATAP para entregar dados, o pacote IPV6 encapsulado em um pacote IPv4 para
entrega ao endereo IPv4 do host ISATAP de destino.
Se houver hosts apenas IPv6, o roteador ISATAP tambm descompactar pacotes IPv6. Os hosts ISATAP
enviam pacotes para o endereo IPv4 do roteador ISATAP. O roteador ISATAP descompacta os pacotes
IPv6 e os envia para a rede somente IPv6.
Como habilitar o encapsulamento ISATAP
possvel iniciar o encapsulamento ISATAP de vrias formas, mas a maneira mais simples configurar
um registro de host ISATAP no DNS resolvido para o endereo IPv4 do roteador ISATAP. Os hosts
do Windows que podem resolver esse nome automaticamente comeam a usar o roteador ISATAP
especificado. Usando esse mtodo, possvel configurar ISATAP para vrios computadores
simultaneamente.
Tambm possvel definir a resoluo de nomes ISATAP em arquivo de hosts, mas isso no
recomendvel porque difcil de gerenciar.
Observao: Por padro, os servidores DNS no Windows Server 2008 ou em sistemas
operacionais Windows Server mais novos tm uma lista global de consultas no autorizadas que
impede a resoluo ISATAP, mesmo se o registro de host for criado e configurado corretamente.
Voc precisa remover ISATAP da lista global de consultas no autorizadas no DNS caso esteja
usando um registro de host ISATAP para configurar clientes ISATAP.
Outras maneiras como possvel configurar hosts com um roteador ISATAP so:
Use o cmdlet do Windows PowerShell Set-NetIsatapConfiguration -Router x.x.x.x.
Use Netsh Interface IPv6 ISATAP Set Router x.x.x.x.
Configure a definio ISATAP Nome do Roteador Poltica de Grupo.
Observao: Todos os ns ISATAP so conectados a uma nica sub-rede IPv6. Isso significa
que todos os ns ISATAP fazem parte do mesmo site do AD DS
(Servios de Domnio do
Active Directory), o que talvez no seja desejvel.
Assim, voc deve usar ISATAP apenas para testes limitados. Para implantao em toda a intranet,
voc deve implantar o suporte a IPv6 nativo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O que 6to4?
6to4 uma tecnologia usada para fornecer
conectividade IPv6 unicast via Internet IPv4.
possvel usar 6to4 para fornecer conectividade
IPv6 entre dois sites IPv6 ou entre um host IPv6 e
um site IPv6. Porm, 6to4 no apropriado a
cenrios que exijam NAT.
Um roteador 6to4 fornece a um site conectividade
IPv6 via Internet IPv4. O roteador 6to4 tem um
endereo IPv4 pblico configurado na interface
externa e um endereo IPv6 6to4 configurado na
interface interna. Para configurar computadores
clientes, a interface interna anuncia a rede 6to4.
Qualquer computador cliente que comece a usar o endereo de rede 6to4 um host 6to4. Os hosts 6to4
no site enviam pacotes 6to4 ao roteador 6to4 para entrega para outros sites via Internet IPv4.
O endereo de rede IPv6 usado para 6to4 se baseia no endereo IPv4 da interface externa em um
roteador IPv6. O formato do IPv6 2002:WWXX:YYZZ:Subnet_ID:Interface_ID, em que WWXX:YYZZ
a representao hexadecimal de dois-pontos de w.x.y.z, um endereo IPv4 pblico.
Quando na Internet IPv4 participa de 6to4, um nico host configurado como um host/roteador.
Um host/roteador 6to4 no realiza o encaminhamento para outros hosts, mas gera a prpria rede
Ipv6 usada para 6to4.
Habilitao da funcionalidade de roteador 6to4 em sistemas operacionais Windows
Na maioria dos casos, voc usa componentes da infraestrutura de rede existentes para atuar como
um roteador 6to4. Porm, possvel configurar o Windows Server 2012 como um roteador 6to4 das
seguintes maneiras:
Habilite o ICS (Compartilhamento de Conexo com a Internet). Quando voc habilita o ICS,
o Windows Server 2012 configurado automaticamente como um roteador 6to4.
Use o Windows PowerShell. possvel usar o cmdlet Set-Net6to4Configuration
para configurar 6to4.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-23
O que Teredo?
Teredo semelhante a 6to4 ao permitir
encapsular pacotes IPv6 via Internet IPv4.
Porm, Teredo funciona corretamente mesmo
quando a NAT usada na conectividade com
a Internet. Teredo obrigatrio porque muitas
organizaes usam endereos IP particulares,
que exigem a NAT para acessar a Internet. Se um
dispositivo NAT puder ser configurado como
um roteador 6to4, Teredo no ser obrigatrio.
Observao: Teredo s ser usado
se IPv6 nativo, 6to4 ou ISATAP no fornecer
conectividade.
A comunicao IPv6 entre dois clientes Teredo via Internet IPv4 exige um servidor Teredo hospedado na
Internet IPv4. O servidor Teredo facilita a comunicao entre os dois clientes Teredo que atuam como um
ponto central conhecido para iniciar a comunicao. Normalmente, os hosts atrs de um dispositivo NAT
tm permisso para iniciar a comunicao de sada, mas no para aceitar a comunicao de entrada. Para
contornar esse problema, os clientes Teredo iniciam a comunicao com o servidor Teredo. Depois que
conexo iniciada com o servidor Teredo e depois que o dispositivo NAT tiver permitido a comunicao
de sada, qualquer comunicao adicional ocorrer diretamente entre os dois clientes Teredo.
Observao: Vrios servidores Teredo pblicos esto disponveis para uso na Internet.
Os sistemas operacionais Windows usam o servidor Teredo fornecido pela Microsoft em
teredo.ipv6.microsoft.com por padro.
Teredo tambm pode facilitar a comunicao com hosts somente IPv6 na Internet IPv6 usando
uma retransmisso Teredo. A retransmisso Teredo encaminha pacotes de um cliente Teredo
para a Internet IPv6.
possvel configurar o Windows Server 2012 como um cliente, retransmisso ou servidor Teredo. Para
configurar Teredo, use o cmdlet do Windows PowerShell Set-NetTeredoConfiguration. A configurao
padro de Teredo como um cliente. Quando configurado como um cliente, Teredo desabilitado
quando conectado a uma rede de domnio. Para habilitar Teredo em uma rede de domnio, voc deve
configur-lo como um cliente corporativo.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Estrutura de endereo Teredo
Um endereo Teredo um endereo IPv6 de 128 bits, mas usa uma estrutura diferente de endereos IPv6
unicast tpicos. A estrutura a seguinte:
2001::/32 (32 bits). Este o prefixo especfico de Teredo usado por todos os endereos Teredo.
Endereo IPv4 do servidor Teredo (32 bits). Isso identifica o servidor Teredo.
Opes (16 bits). H vrias opes que descrevem a configurao de comunicao, como se o cliente
est atrs da NAT.
Porta externa obscura (16 bits). Essa a porta externa usada na comunicao pelo dispositivo NAT
para a comunicao. Ela obscura para evitar que o dispositivo NAT a traduza.
Endereo IP externo obscuro (32 bits). Esse o endereo IP externo do dispositivo NAT. Ela obscura
para evitar que o dispositivo NAT a traduza.
O que proxy de porta?
Desenvolvedores de aplicativos usam APIs
(interfaces de programao de aplicativo) de
rede especficas para acessar recursos de rede
ao criarem aplicativos. As APIs modernas podem
usar IPv4 ou IPv6 e deixam a responsabilidade
de escolher a verso IP para o sistema operacional.
Porm, alguns aplicativos mais antigos usam APIs
que s podem usar IPv4.
Voc usa o servio proxy de porta para permitir
que aplicativos no compatveis com IPv6 se
comuniquem com hosts IPv6. Voc habilita proxy
de porta no servidor no qual o aplicativo est em
execuo. Os pacotes IPv6 de entrada do aplicativo so traduzidos para IPv4 e passados para o aplicativo.
Tambm possvel usar proxy de porta como um proxy entre hosts somente IPv4 e somente IPv6. Para
isso, voc deve configurar o DNS para resolver o nome do host remoto como o endereo do computador
do proxy de porta. Por exemplo, um host somente IPv4 resolveria o nome de um host somente IPv6 como
o endereo IPv4 do computador do proxy de porta. Os pacotes seriam enviados ao computador do proxy
de porta, que seriam colocados no proxy para o computador somente IPv6.
O proxy de porta tem as seguintes limitaes:
Ele limitado a apenas conexes TCP. Ele no pode ser usado em aplicativos que usam UDP.
Ele no pode alterar informaes de endereo inseridas na parte de dados do pacote. Se o aplicativo
(como FTP [File Transfer Protocol]) inserir informaes de endereo na parte dos dados, ele no
funcionar.
possvel configurar proxy de porta no Windows Server 2012 usando netsh interface portproxy.
Porm, a preferncia costuma ser usar uma tecnologia de encapsulamento em vez do proxy de porta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-25
Processo de transio para IPv6
A migrao em todo o setor do IPv4 para o IPv6
deve consumir um tempo considervel. Esse fator
foi considerado durante o desenvolvimento do
IPv6 e, consequentemente, o plano de transio
para o IPv6 um processo em vrias etapas que
permite a coexistncia prolongada.
Para alcanar a meta de um ambiente
somente IPv6, use as seguintes diretrizes gerais:
Atualize os aplicativos para que no
dependam do IPv6 ou do IPv4. Por exemplo,
possvel alterar aplicativos para usarem as
novas APIs do Windows Sockets, de maneira
que a resoluo de nomes, a criao de soquetes e outras funes sejam independentes,
sem levar em considerao o uso de IPv4 ou IPv6.
Atualize a infraestrutura de roteamento para o roteamento IPv6 nativo. Voc deve atualizar os
roteadores para dar suporte aos protocolos de roteamento IPv6 e ao roteamento IPv6 nativo.
Atualize dispositivos para dar suporte a IPv6. Grande parte do hardware de rede atual d suporte
a IPv6, mas muitos outros tipos de dispositivos no. Voc precisa verificar se todos os dispositivos
conectados rede como impressoras e scanners tambm do suporte a IPv6.
Atualize a infraestrutura DNS para dar suporte ao endereo IPv6 e aos registros de recurso PTR.
Convm atualizar a infraestrutura DNS para dar suporte aos novos registros de recurso de endereo
de host IPv6 (AAAA) (obrigatrios) e aos registros de recurso PTR no domnio inverso IP6.ARPA, mas
isso opcional. Alm disso, verifique se os servidores DNS do suporte ao trfego DNS via IPv6 e
atualizao dinmica DNS para registros de recurso de endereo de host IPv6 (AAAA) de maneira
que os hosts IPv6 possam registrar automaticamente nomes e endereos IPv6.
Atualize os hosts para ns IPv6/IPv4. Voc deve atualizar os hosts para usar IPv4 e IPv6. Isso permite
que os hosts acessem recursos IPv4 e IPv6 durante o processo de migrao.
A maioria das organizaes dever adicionar IPv6 a um ambiente IPv4 existente e continuar tendo
coexistncia durante uma hora estendida. Muitos aplicativos e dispositivos herdados que no do
suporte a IPv6 continuam existindo, e a coexistncia muito mais simples do que o uso de tecnologias
de transio como ISATAP. Voc s dever remover IPv4 depois que os recursos que dependem dele
forem removidos ou atualizados para usar IPv6.
IPv6 habilitado por padro para o Windows Vista e sistemas operacionais clientes Windows mais
novos, alm do Windows Server 2008 e dos sistemas operacionais Windows Server mais novos. Como
uma prtica recomendada, voc no deve desabilitar IPv6 a menos que haja uma razo tcnica para
isso. Alguns recursos em sistemas operacionais Windows dependem do IPv6.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Cenrio
A. Datum Corporation tem um escritrio de TI e um data center em Londres, que do suporte a
Londres e a outros locais. Eles implantaram recentemente uma infraestrutura do Windows Server 2012
com clientes Windows 8. Agora voc precisa configurar o servio de infraestrutura para uma nova filial.
O gerenciador de TI na A. Datum recebeu a instruo de vrios fornecedores de aplicativo sobre o
suporte recm-adicionado para IPv6 nos respectivos produtos. A. Datum no tem suporte a IPv6 no
momento. O gerenciador de TI gostaria que voc configurasse um laboratrio de teste usando IPv6.
Como parte da configurao do laboratrio de teste, voc tambm precisa configurar ISATAP para
permitir a comunicao entre uma rede IPv4 e uma rede IPv6.
Este o layout do ambiente de teste concludo.

FIGURA 8.1: RESULTADO FINAL DO LABORATRIO
Objetivos
Configurar uma rede IPv6.
Configurar um roteador ISATAP.

24410B-LON-RTR
24410B-LON-SVR2
Senha Pa$$w0rd
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-27
em Gerenciador do Hyper-V
.

o Senha: Pa$$w0rd
o Domnio: ADATUM
5. Repita as etapas de 2 a 4 para 24410B-LON-RTR e 24410B-LON-SVR2.
Exerccio 1: Configurao de uma rede IPv6
Cenrio
Para a primeira etapa na configurao do laboratrio de teste, voc precisa configurar LON-DC1 como
um n somente IPv4 e LON-SVR2 como um n somente IPv6. Voc tambm precisa configurar LON-RTR
para dar suporte ao roteamento IPv6 adicionando uma rede a uma interface na rede IPv6 e habilitando
anncios de roteador. Os anncios de roteador permitem que os clientes IPv6 na rede IPv6 obtenham
a rede IPv6 correta automaticamente por meio da configurao sem estado.
1. Verificar roteamento IPv4
2. Desabilitar o IPv6 em LON-DC1
3. Desabilitar o IPv4 em LON-SVR2
4. Configurar uma rede IPv6 em LON-RTR
5. Verificar IPv6 em LON-SVR2
Tarefa 1: Verificar roteamento IPv4
1. Em LON-SVR2, abra um prompt do Windows PowerShell.
2. Execute ping em LON-DC1 para verificar se IPv4 est encaminhando por LON-RTR.
3. Use ipconfig para verificar se LON-SVR2 s tem um endereo IPv6 de link-local que no
pode ser encaminhado.
Tarefa 2: Desabilitar o IPv6 em LON-DC1
1. Em LON-DC1, no Gerenciador do Servidor, no Servidor Local, abra as propriedades
de Conexo Local.
2. Desabilite IPv6 para Conexo Local a fim de tornar LON-DC1 um host somente IPv4.
Tarefa 3: Desabilitar o IPv4 em LON-SVR2
1. Em LON-SVR2, no Gerenciador do Servidor, no Servidor Local, abra as propriedades
de Conexo Local.
2. Desabilite IPv4 para Conexo Local a fim de tornar LON-SVR2 um host somente IPv6.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Configurar uma rede IPv6 em LON-RTR
1. Em LON-RTR, abra o Windows PowerShell.
2. Configure um endereo de rede que ser usado na rede IPv6 usando o cmdlet New-NetRoute do
Windows PowerShell para adicionar uma rede IPv6 na Conexo Local 2 tabela de roteamento local:
New-NetRoute -InterfaceAlias "Conexo Local 2" -DestinationPrefix 2001:db8:0:1::/64 -
Publish Yes
3. Permita que os clientes obtenham o endereo de rede IPv6 automaticamente de LON-RTR usando
o seguinte cmdlet Set-NetIPInterface para permitir anncios de roteador na Conexo Local 2:
Set-NetIPInterface -InterfaceAlias "Conexo Local 2" -AddressFamily IPv6 -Advertising
Enabled
4. Use ipconfig para verificar se a Conexo Local 2 tem um Endereo IPv6 na rede 2001:db8:0:1::/64.
Esse endereo usado para comunicao na rede somente IPv6.
Tarefa 5: Verificar IPv6 em LON-SVR2
Em LON-SVR2, use ipconfig para verificar se a Conexo Local tem um Endereo IPv6
na rede 2001:db8:0:1::/64. O endereo de rede foi obtido do roteador pela configurao sem estado.

Resultados: Depois de concluir este exerccio, os alunos tero configurado uma rede somente IPv6.
Exerccio 2: Configurao de um roteador ISATAP
Cenrio
Depois de configurar a infraestrutura para uma rede somente IPv4 e uma rede somente IPv6, voc
precisar configurar LON-RTR como um roteador ISATAP para dar suporte comunicao entre os
ns somente IPv4 e os ns somente IPv6.
Para configurar LON-RTR como um roteador ISATAP, voc precisa habilitar a interface IPv4 como o
roteador ISATAP. Em seguida, voc configura uma rede IPv6 na interface ISATAP e habilita o anncio da
rota de rede que inclui essa rede. Os clientes ISATAP obtero a rede IPv6 automaticamente dos anncios.
Para habilitar ISATAP automaticamente em clientes, voc precisa criar um registro de host ISATAP em
DNS. Clientes capazes de resolver esse nome se tornam clientes ISATAP automaticamente. Para permitir
que clientes resolvam esse nome, voc deve remover ISATAP da lista global de consultas no autorizadas
no servidor DNS.
1. Adicionar um registro de host ISATAP a DNS
2. Habilitar o roteador ISATAP em LON-RTR
3. Remover ISATAP da lista global de consultas no autorizadas
4. Habilitar LON-DC1 como um cliente ISATAP
5. Testar a conectividade
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-29
Tarefa 1: Adicionar um registro de host ISATAP a DNS
1. Em LON-DC1, no Gerenciador do Servidor, abra a ferramenta DNS.
2. Adicione um registro de host ISATAP no domnio Adatum.com resolvido para 172.16.0.1. Os clientes
ISATAP resolvem esse nome de host para localizar o roteador ISATAP.
Tarefa 2: Habilitar o roteador ISATAP em LON-RTR
1. Em LON-RTR, configure o Endereo IP de Conexo Local como o roteador ISATAP. Use o seguinte
cmdlet Set-NetIsatapConfiguration para habilitar ISATAP:
Set-NetIsatapConfiguration -Router 172.16.0.1
2. Use o seguinte cmdlet Get-NetIPAddress para identificar o ndice da interface ISATAP com
172.16.0.1 no Endereo de link-local.
Get-NetIPAddress | Format-Table InterfaceAlias,InterfaceIndex,IPv6Address
Registre o ndice da interface aqui:
3. Use o cmdlet Get-NetIPInterface para verificar o seguinte na interface ISATAP:
o O encaminhamento habilitado
o O anncio desabilitado
Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |
Format-List
4. A interface ISATAP de um roteador ISATAP deve ter encaminhamento e anncio habilitados. Use
o seguinte cmdlet Set-NetIPInterface para habilitar anncios de roteador na interface ISATAP:
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Advertising Enabled
5. Crie uma nova rede IPv6 que ser usada na rede ISATAP. Use o seguinte cmdlet New-NetRoute
para configurar uma rota de rede para a interface ISATAP:
New-NetRoute -InterfaceIndex IndexYouRecorded -DestinationPrefix 2001:db8:0:2::/64 -
Publish Yes
6. Use o seguinte cmdlet Get-NetIPAddress para verificar se a interface ISATAP tem um Endereo IPv6
na rede 2001:db8:0:2::/64:
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
Tarefa 3: Remover ISATAP da lista global de consultas no autorizadas
1. Em LON-DC1, abra Regedit e navegue at
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters.
2. Modifique GlobalQueryBlockList para remover isatap da lista.
3. Reinicie o servio DNS.
4. Execute ping em isatap para verificar se ele pode ser resolvido. O nome deve ser resolvido e voc
deve receber quatro respostas de 172.16.0.1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 4: Habilitar LON-DC1 como um cliente ISATAP
1. Em LON-DC1, use o seguinte cmdlet Set-NetIsatapConfiguration para habilitar ISATAP:
Set-NetIsatapConfiguration -State Enabled
2. Use ipconfig para verificar se o adaptador Tnel de ISATAP tem um Endereo IPv6 na rede
2001:db8:0:2/64. Observe que esse endereo inclui o Endereo IPv4 de NYC-DC1.
Tarefa 5: Testar a conectividade
1. Em LON-SVR2, use o seguinte comando ping para testar a conectividade com o endereo ISATAP
para LON-DC1:
ping 2001:db8:0:2:0:5efe:172.16.0.10
2. Use o Gerenciador do Servidor para modificar as propriedades de TCP/IPv6 na Conexo Local
e adicione 2001:db8:0:2:0:5efe:172.16.0.10 como o servidor DNS preferencial.
3. Use o comando ping para testar a conectividade com LON-DC1.
Observao: Um ping de LON-DC1 para LON-SVR2 no responde porque a configurao
do firewall em LON-SVR2 bloqueia solicitaes de ping.
Resultados: Depois de concluir este exerccio, os alunos tero configurado um roteador ISATAP
em LON-RTR para permitir a comunicao entre uma rede somente IPv6 e uma rede somente IPv4.
Depois de concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
em Reverter.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 8-31
Perguntas de reviso
Pergunta: Qual a diferena principal entre 6to4 e Teredo?
Pergunta: Como possvel fornecer a um servidor DNS um host IPv6 dinamicamente?
Pergunta: A organizao est planejando implementar IPv6 internamente. Depois uma
pesquisa, voc identificou endereos IPv6 locais exclusivos como o tipo correto de endereos
IPv6 a ser usado em redes particulares. Para usar endereos IPv6 locais exclusivos, voc deve
selecionar um identificador de 40 bits que faa parte da rede. Um colega sugere o uso de
todos os zeros para os 40 bits. Por que essa no uma boa ideia?
Pergunta: Com quantos endereos IPv6 um n IPv6 deve ser configurado?
Prtica recomendada
Use as seguintes prticas recomendadas ao implementar IPv6:
No desabilite IPv6 no Windows 8 ou no Windows Server 2012.
Habilite a coexistncia de IPv4 e IPv6 na organizao em vez de usar tecnologias de transio.
Use endereos IPv6 locais exclusivos na rede interna.
Use Teredo para implementar a conectividade IPv6 via Internet IPv4.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9-1
Mdulo 9
Implementao de armazenamento local
Contedo:
Lio 1: Viso geral de armazenamento 9-2
Lio 2: Gerenciamento de discos e volumes 9-13
Lio 3: Implementao de espaos de armazenamento 9-24
Laboratrio: Implementao de armazenamento local 9-29

Viso geral do mdulo
O armazenamento um dos componentes-chave que voc deve considerar ao planejar e implantar um
2012 sistema operacional Windows Server
. A maioria das organizaes exige uma grande quantidade

de armazenamento, pois os usurios trabalham regularmente com aplicativos que criam novos arquivos
que necessitam de armazenamento em um local central. Quando os usurios mantm seus arquivos por
perodos de tempo mais longos, a demanda por armazenamento aumenta ainda mais. Cada vez que um
usurio faz logon em um servidor, uma trilha de auditoria criada em um log de eventos. Isso tambm
utiliza armazenamento. O armazenamento tambm necessrio medida que os arquivos so criados,
copiados e movidos.
Este mdulo apresenta as diferentes tecnologias de armazenamento. Ele discute como implementar as
solues de armazenamento no Windows Server 2012 e como usar Espaos de Armazenamento, um
novo recurso que voc pode usar para combinar discos em pools que so gerenciados automaticamente.
Objetivos
Descrever as vrias tecnologias de armazenamento.
Explicar como gerenciar discos e volumes.
Explicar como implementar Espaos de Armazenamento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9-2 Implementao de armazenamento local
Lio 1
Viso geral de armazenamento
Quando voc planeja uma implantao de servidor, o armazenamento um dos principais
componentes que voc precisar usar. Existem vrios tipos de armazenamento que podem ser utilizados,
desde o armazenamento localmente conectado at o armazenamento que acessado remotamente
via Ethernet ou at mesmo conectado com fibra ptica. Voc deve estar ciente dos benefcios de cada
soluo e suas limitaes.
medida que voc se prepara para implantar o armazenamento no seu ambiente, ser necessrio tomar
algumas decises importantes. Esta lio aborda questes que voc pode levar em considerao, como
as seguintes:
O armazenamento precisa ser rpido?
O armazenamento precisa ser altamente disponvel?
Quanto armazenamento a sua implantao realmente precisa?
Quanta resistncia voc precisa adicionar ao requisito inicial de armazenamento para garantir
que o seu investimento permanea seguro no futuro?
Objetivos da lio
Descrever os tipos de disco e seus desempenhos.
Descrever o armazenamento com conexo direta.
Descrever o armazenamento conectado rede.
Descrever a rede SAN.
Descrever o RAID.
Descrever nveis de RAID.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-3
Tipos de discos e seus desempenhos
Existem vrios tipos de discos disponveis que
voc pode usar para fornecer armazenamento
a sistemas de servidor e cliente. A velocidade
dos discos medida em Entradas e Sadas
por Segundo (ESPS). Os tipos mais comuns
de discos so:
EIDE (interface IDE Aprimorada). A EIDE se
baseia em padres que foram criados em
1986. A interface IDE oferece suporte para os
padres ATA 2 e ATAPI. Aprimorada se refere
ao padro ATA-2 (ATA Rpido). Devido aos
padres de endereamento dessa tecnologia,
existe com o EIDE uma limitao de 128 GB em armazenamento. Alm disso, as velocidades do EIDE
esto limitadas a um mximo de 133 MB por segundo. Atualmente, unidades EIDE quase nunca so
usadasem servidores.
SATA (Serial Advanced Technology Attachment). A SATA uma interface, ou canal, de barramento
de computador para conectar a placa-me ou adaptadores de dispositivo a dispositivos de
armazenamento em massa, como unidades de discos rgidos e unidades pticas. A SATA foi projetada
para substituir a EIDE. Ela capaz de usar os mesmos comandos de baixo nvel, mas os dispositivos
e adaptadores de host SATA se comunicam usando um cabo serial de alta velocidade atravs de dois
pares de condutores. A SATA foi introduzida em 2003. Ela pode operar com velocidades de 1,5, 3,0
e 6,0 GB por segundo, dependendo da reviso SATA (1, 2 ou 3, respectivamente). Unidades SATA
so mais econmicas em comparao a outras opes de unidade, mas tambm oferecem menos
desempenho. As organizaes podem optar por implantar unidades SATA quando precisarem de
grandes quantidades de armazenamento, mas sem alto desempenho. Discos SATA so geralmente
discos de baixo custo que oferecem armazenamento em massa. No entanto, por serem mais
econmicas, tambm so menos confiveis em comparao a discos SAS (SCSI conectado).
Uma variao na interface SATA a eSATA, projetada para permitir acesso de alta velocidade
a unidades SATA externamente conectadas.
SCSI (Small Computer System Interface). A SCSI um conjunto de padres para conexo fsica e
transferncia de dados entre computadores e dispositivos perifricos. A SCSI foi originalmente
introduzida em 1978, tendo sido concebida como uma interface em uma comunicao de nvel
inferior, permitindo que ela consuma menos energia de processamento e realize transaes
em velocidades mais altas. A SCSI se tornou um padro em 1986. Semelhante EIDE, a SCSI foi
projetada para execuo atravs de cabos paralelos. No entanto, recentemente, o uso foi ampliado
para a execuo atravs de outros meios. A especificao paralela de 1986 da SCSI apresentava
transferncias com velocidades iniciais de at 5 MB por segundo. A implementao mais recente
de 2003, a SCSI Ultra 640, tambm conhecida como Ultra 5, pode transferir dados com velocidades
de 640 MB por segundo. Discos SCSI proporcionam maior desempenho em comparao a discos
SATA, mas tambm so mais caros.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
SAS. A SAS uma implementao adicional do padro SCSI. A SAS depende de um protocolo
serial ponto a ponto que substitui a tecnologia de barramento SCSI paralelo e utiliza o conjunto
de comandos SCSI padro. A SAS oferece compatibilidade retroativa com unidades SATA de
segunda gerao. Unidades SAS so confiveis e projetadas para operao 24 horas por dia
e sete dias por semana em datacenters. Com at 15.000 rotaes por minuto (RPM), esses
discos so tambm os discos rgidos tradicionais mais rpidos.
SSDs (Unidades de Estado Slido). SSDs so dispositivos de armazenamento de dados que utilizam
a memria de estado slido para armazenar dados em vez de utilizarem os discos giratrios e os
cabeotes mveis de leitura/gravao que so utilizados em outros discos. SSDs usam microchips
para armazenar os dados e no contm partes mveis. SSDs fornecem acesso rpido ao disco,
consomem menos energia e so menos suscetveis a falhas por queda do que os discos rgidos
tradicionais (como unidades SAS), mas tambm so muito mais caros por GB de armazenamento.
Em geral, SSDs usam uma interface SATA e, portanto, voc pode substituir unidades de disco
rgido por SSDs sem exigir modificaes.
Observao: Discos de Fibre Channel, Firewire ou conectados via USB tambm so opes
de armazenamento disponveis. Eles definem o barramento de transporte ou o tipo de disco. Por
exemplo, discos conectados via USB so usados principalmente com unidades SATA ou SSD para
armazenar dados.
O que o armazenamento com conexo direta?
Quase todos os servidores fornecem algum
tipo de armazenamento embutido. Esse
tipo de armazenamento chamado de DAS
(armazenamento com conexo direta). O DAS
pode incluir discos fisicamente localizados dentro
do servidor ou que se conectam diretamente a
uma matriz externa, ou discos que se conectam
ao servidor com um cabo USB ou uma
metodologia de comunicao alternativa.
Em essncia, o armazenamento DAS est
conectado fisicamente ao servidor. Por causa
disso, se o servidor sofrer uma falha de energia,
o armazenamento no ficar disponvel. O DAS fornecido em vrios tipos de discos, como discos SATA,
SAS ou SSD, o que afeta a velocidade e o desempenho do armazenamento e apresenta vantagens
e desvantagens.
Vantagens do uso do DAS
Um sistema DAS tpico composto por um dispositivo de armazenamento de dados que inclui
vrias unidades de disco rgido que se conectam diretamente a um computador atravs de um HBA
(adaptador de barramento de host). Entre o DAS e o computador, no h dispositivos de rede como,
hubs, comutadores ou roteadores. Em vez disso, o armazenamento est conectado diretamente ao
servidor que o utiliza, tornando o DAS o sistema de armazenamento mais fcil de se implantar e manter.
Em geral, o DAS tambm o armazenamento mais econmico disponvel hoje em dia e est amplamente
disponvel em vrias velocidades e tamanhos para acomodar diversas instalaes. Alm de ser econmico,
o DAS muito fcil de configurar. Na maioria dos casos, basta ligar o dispositivo, verificar se o sistema
operacional Windows
em execuo o reconhece e ento usar o Gerenciamento de Disco para configurar

os discos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-5
Desvantagens do uso do DAS
O armazenamento local dos dados no DAS torna a centralizao de dados mais difcil, pois eles esto
localizados em vrios servidores. Isso pode tornar o backup dos dados mais complexo e, para os usurios,
mais difcil localizar os dados que eles esto procurando. Alm disso, se qualquer dispositivo com um
DAS conectado passar por uma falha de energia, o armazenamento nesse computador se tornar
indisponvel.
O DAS tambm possui desvantagens no que diz respeito a suas metodologias de acesso. Devido forma
como operaes de leitura e gravao so manipuladas pelo sistema operacional do servidor, o DAS pode
ser mais lento em comparao a outras tecnologias de armazenamento. Outra desvantagem que o DAS
compartilha a capacidade de processamento e a memria do servidor ao qual ele est conectado. Isso
significa que, em servidores muito ocupados, o acesso ao disco ficar lento quando o sistema operacional
est sobrecarregado.
O que o armazenamento conectado rede?
O NAS (armazenamento conectado rede)
o armazenamento que conectado a um
dispositivo de armazenamento dedicado e,
em seguida, acessado atravs da rede. O NAS
diferente do DAS porque o armazenamento
no est diretamente conectado a cada servidor
individual, mas, em vez disso, est acessvel
atravs da rede a vrios servidores. O NAS tem
duas solues distintas: um aparelho popular
(somente para o NAS) e um NAS de classe
empresarial que se integra rede SAN.
Cada dispositivo NAS tem um sistema operacional
dedicado que controla exclusivamente o acesso aos dados no dispositivo, o que reduz a sobrecarga
associada ao compartilhamento do dispositivo de armazenamento com outros servios de servidor.
Um exemplo de software NAS o Windows Storage Server, um recurso do Windows Server 2012.
Para permitir o armazenamento NAS, voc precisa de um dispositivo de armazenamento.
Frequentemente, esses dispositivos so aparelhos que no possuem nenhuma interface de servidor, como
teclados, mouses e monitores. Em vez disso, para configurar o dispositivo, voc fornece uma configurao
de rede e ento acessa o dispositivo atravs da rede. Em seguida, possvel criar compartilhamentos
de rede no dispositivo usando o nome do NAS e o compartilhamento criado. Esses compartilhamentos
ficam ento acessveis para os usurios na rede.
Hoje em dia, a maioria das solues de SAN oferece a tecnologia SAN junto com a tecnologia NAS.
As unidades de cabeote, os discos e as tecnologias de back-end so idnticos. O que muda apenas
o mtodo de acesso. Muitas vezes, as empresas provisionam armazenamento a partir da rede SAN
para os os servidores usando o FCoE (Fibre Channel over Ethernet) ou iSCSI (Internet Small Computer
System Interface), enquanto servios de NAS so disponibilizados via CIFS e NFS. As unidades de disco
(agregados) so as mesmos, os mtodos para gravao so os mesmos, e a sobrecarga e a confiabilidade
tambm so as mesmas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Vantagens do uso do NAS
O NAS a escolha ideal para organizaes que esto procura de uma maneira simples e econmica
de obter acesso rpido aos dados para vrios clientes em nvel de arquivos. Os usurios do NAS se
beneficiam com ganhos de desempenho e produtividade, pois a capacidade de processamento do
dispositivo NAS dedicada exclusivamente distribuio dos arquivos.
O NAS tambm se encaixa muito bem no mercado como uma soluo de preo mdio. Ele no caro,
mas atende a mais necessidades do que o DAS das seguintes maneiras:
O armazenamento NAS geralmente muito maior que o DAS.
O NAS oferece um nico local para todos os arquivos crticos, em vez de os espalhar internamente
em vrios servidores ou dispositivos com o DAS.
O NAS oferece armazenamento centralizado a preos acessveis.
Unidades NAS so acessveis a partir de qualquer sistema operacional. Muitas vezes, elas tm suporte
a vrios protocolos e pode servir dados via CIFS e NFS simultaneamente. Por exemplo, hosts Windows
e Linux podem acessar simultaneamente uma unidade NAS.
O NAS tambm pode ser considerado uma soluo Plug and Play fcil de instalar, implantar e gerenciar,
com ou sem a equipe de TI no local.
Desvantagens do uso do NAS
O NAS mais lento que as tecnologias de SAN. O NAS frequentemente acessados atravs de
protocolos Ethernet. Por causa disso, ele depende intensamente da rede que oferece suporte
soluo NAS. Por esse motivo, o NAS comumente usado como uma soluo de
compartilhamento/armazenamento de arquivos e no pode (e no deve) ser usado com aplicativos
que utilizam dados intensamente, como o Microsoft
Exchange Server e o Microsoft SQL Server
.
O NAS acessvel para empresas de pequeno e mdio porte e, de maneira semelhante ao DAS, tem as
sobrecargas de um sistema operacional que l e grava dados de forma diferente de uma soluo SAN.
Dessa forma, os sistemas NAS esto mais propensos a perdas de dados, dependendo do tamanho dos
dados que esto sendo copiados.
Leitura adicional: Para obter mais informaes sobre sobre o
Windows Storage Server 2012, consulte http://go.microsoft.com/fwlink/?LinkID=199647.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-7
O que uma SAN?
O terceiro tipo de armazenamento uma
SAN. A SAN uma rede especializada de
alta velocidade que conecta sistemas de
computador ou servidores host a subsistemas
de armazenamento de alto desempenho.
Em geral, uma SAN inclui vrios componentes,
como HBAs (adaptadores de barramento de host),
comutadores especiais para ajudar a rotear o
trfego e matrizes de disco de armazenamento
com LUNs (nmeros de unidades lgicas) para
armazenamento.
Uma SAN permite que vrios servidores acessem
um pool de armazenamento em que qualquer servidor pode acessar qualquer unidade de
armazenamento. Uma SAN usa uma rede, como qualquer outra rede, como uma LAN. Portanto, voc
pode usar uma SAN para conectar vrios dispositivos e hosts diferentes para fornecer acesso a qualquer
dispositivo de qualquer lugar.
Ao contrrio do DAS ou do NAS, uma SAN controlada por um dispositivo de hardware, oferece o
acesso mais rpido possvel ao armazenamento e proporciona mtodos para minimizar a sobrecarga
(como o uso de discos brutos).
Vantagens do uso da Rede SAN
Tecnologias SAN fazem operaes de leitura e gravao em nveis de blocos, tornando o acesso aos
dados muito mais rpido. Por exemplo, com a maioria de DAS e NAS, se voc gravar um arquivo de 8 GB,
o arquivo inteiro dever ser lido/gravado, e sua soma de verificao dever ser calculada. Com a SAN,
o arquivo gravado no disco com base no tamanho do bloco para o qual a SAN est configurada. Essa
velocidade obtida por metodologias de acesso de fibra e gravao em nvel de bloco, em vez de exigir
a leitura/gravao de um arquivo inteiro com o uso de uma soma de verificao.
SANs tambm fornecem:
Centralizao do armazenamento em um nico pool, que permite que recursos de armazenamento
e recursos de servidor cresam de forma independente. Elas tambm permitem o armazenamento
seja atribudo dinamicamente a partir do pool quando for necessrio. O armazenamento em um
determinado servidor pode ser aumentado ou diminudo conforme necessrio sem a reconfigurao
complexa ou o recabeamento de dispositivos.
Infraestrutura comum para a conexo do armazenamento, o que permite um modelo
de gerenciamento nico e comum para configurao e implantao.
Dispositivos de armazenamento que so compartilhados de maneira natural por vrios sistemas.
Transferncia de dados diretamente de um dispositivo para outro, sem a interveno do servidor.
Alto nvel de redundncia. A maioria das SANs implantada com vrios dispositivos de rede e
caminhos atravs da rede. Alm disso, o dispositivo de armazenamento contm componentes
redundantes, como fontes de alimentao e discos rgidos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Desvantagens do uso da SAN
A principal desvantagem da tecnologia SAN que, devido a complexidades de configurao,
a SAN muitas vezes requer ferramentas de gerenciamento e habilidades tcnicas. Ela tambm
consideravelmente mais cara que as tecnologias DAS ou NAS. Uma SAN de baixo custo pode custar
tanto quanto um servidor totalmente carregado com um dispositivo DAS ou NAS, e isso sem nenhuma
configurao ou discos de SAN.
Para gerenciar uma SAN, comum usar ferramentas de linha de comando. Voc deve ter uma
compreenso slida da tecnologia subjacente, incluindo a configurao de LUNs, a rede de Fibre Channel,
o dimensionamento de blocos e outros fatores. Alm disso, cada fornecedor de armazenamento muitas
vezes implementa SANs usando diferentes ferramentas e recursos. Por causa disso, as organizaes
geralmente tm um pessoal dedicado cuja nica funo gerenciar a implantao da SAN.
Observao: Voc pode implementar SANs usando vrias tecnologias. As opes mais
comuns so Fibre Channel e iSCSI.
O que o RAID?
RAID uma tecnologia que voc pode usar para
configurar sistemas de armazenamento que
oferecem alta confiabilidade e (potencialmente)
alto desempenho. O RAID implementa sistemas
de armazenamento combinando vrios discos em
uma nica unidade lgica, chamada de matriz
RAID. Dependendo da configurao, uma matriz
RAID pode suportar a falha de um ou mais dos
discos rgidos fsicos ou pode proporcionar maior
desempenho em comparao capacidade
disponvel usando um nico disco.
O RAID fornece um importante componente,
redundncia, que voc pode usar ao planejar e implantar servidores Windows Server 2012. Na maioria das
organizaes, importante que os servidores estejam disponveis todo o tempo. A maioria dos servidores
fornece componentes altamente redundantes, como fontes de alimentao redundantes e adaptadores
de rede redundantes. O objetivo dessa redundncia assegurar que o servidor permanea disponvel
mesmo quando um nico componente dentro dele falhar. Com a implementao do RAID, voc pode
fornecer o mesmo nvel de redundncia para o sistema de armazenamento.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-9
Como o RAID funciona
O RAID permite tolerncia a falhas usando discos adicionais para garantir que o subsistema de disco
possa continuar a funcionar mesmo que um ou mais discos no subsistema venham a falhar. O RAID
usa duas opes para permitir tolerncia a falhas:
Espelho de disco. Com o espelhamento de disco, todas as informaes gravadas em um disco
tambm so gravadas em outro disco. Se um dos discos falhar, o outro ainda est disponvel.
Informaes de paridade. Informaes de paridade so usadas no caso de uma falha do disco para
calcular as informaes que estavam armazenadas em um disco. Se voc usar essa opo, o servidor
ou controlador RAID calcular as informaes de paridade para cada bloco de dados gravado nos
discos e, em seguida, ir armazena essas informaes em outro disco ou em vrios discos. Se um dos
discos da matriz RAID falhar, o servidor pode usar os dados que ainda esto disponveis nos discos
funcionais junto com as informaes de paridade para recriar os dados que estavam armazenados
no disco que falhou.
Subsistemas RAID tambm podem fornecer um desempenho potencialmente melhor do que discos
nicos, distribuindo leituras e gravaes de discos entre vrios discos. Por exemplo, ao implementar
a diviso de discos, o servidor pode ler informaes de todos os discos rgidos no conjunto de diviso.
Quando combinado com vrios controladores de disco, isso pode proporcionar melhorias significativas
no desempenho do disco.
Observao: Embora o RAID possa fornecer um nvel mais alto de tolerncia a falhas
de disco, voc no deve usar o RAID para substituir backups tradicionais. Se um servidor tivesse
um pico de energia ou uma falha catastrfica, e todos os discos falhassem, voc ainda precisaria
depender de backups padro.
RAID de hardware vs. RAID de software
Voc implementa o RAID de hardware atravs da instalao de um controlador RAID no servidor e
depois configurando o RAID com o uso da ferramenta de configurao de controladores RAID. Com
essa implementao, a configurao RAID fica oculta no sistema operacional, mas as matrizes RAID
ficam expostas ao sistema operacional como discos nicos. A nica configurao que voc precisa
executar no sistema operacional criar volumes nos discos.
O RAID de software executado expondo todos os discos que esto disponveis no servidor ao sistema
operacional e depois configurando o RAID a partir do sistema operacional. O Windows Server 2012 d
suporte ao uso de RAID de software, e voc pode usar o Gerenciamento de Disco para configurar vrios
nveis de RAID.
Ao optar pela implementao do RAID de hardware ou software, considere o seguinte:
O RAID de hardware requer controladores de disco compatveis com RAID. A maioria dos
controladores de disco fornecidos com novos servidores apresenta essa funcionalidade.
Para configurar o RAID de hardware, voc precisa acessar o programa de gerenciamento de
controlador de disco. Normalmente, possvel acessar esse programa durante o processo de
inicializao do servidor ou usando uma pgina da Web que executa um software de gerenciamento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A implementao do espelhamento de disco para o disco que contm o sistema e o volume de
inicializao com o RAID de software pode exigir configurao adicional quando um disco falha.
Como a configurao do RAID gerenciada pelo sistema operacional, voc deve configurar um
dos discos no espelhamento como o disco de inicializao. Se esse disco falhar, talvez seja necessrio
modificar a configurao de inicializao para que o servidor seja iniciado. Isto no um problema
com o RAID de hardware, pois o controlador de disco acessa o disco disponvel e o expe no sistema
operacional.
Em servidores mais antigos, voc pode obter melhor desempenho com o RAID de software ao usar
a paridade, pois o processador do servidor pode calcular a paridade mais rapidamente do que o
controlador de disco. Este no mais um problema com servidores mais recentes, nos quais voc
pode obter melhor desempenho no servidor ao descarregar os clculos de paridade no controlador
de disco.
Nveis de RAID
Ao implementar o RAID, voc precisa decidir que
nvel ser implementado.
A tabela abaixo lista os recursos para cada nvel
de RAID diferente.
Nvel Descrio Desempenho
Utilizao
do espao
Redundncia Comentrios
RAID 0 Conjunto dividido
sem paridade ou
espelhamento
Os dados so
escritos
sequencialmente em
cada disco
Alto
desempenho
de leitura e
gravao
Todo o espao
nos discos est
disponvel
Uma nica falha
de disco resulta
na perda de
todos os dados
Use apenas em
situaes nas quais
voc precisa de
alto desempenho e
pode tolerar a
perda de dados
RAID 1 Conjunto espelhado
sem paridade
ou diviso
Os dados so
gravados nos
dois discos
simultaneamente
Bom
desempenho
S pode usar
a quantidade
de espao
disponvel no
menor dos
discos
Pode tolerar
uma falha de
apenas um disco
Usado
frequentemente
para volumes do
sistema e de
inicializao com
RAID de hardware

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-11
(continuao)
Utilizao
do espao
RAID 2 Os dados so
gravados em bits
em cada disco com
paridade gravada
em um ou mais
discos separados
Desempenho
extremamente
alto
Usa um ou
mais discos
para paridade
Pode tolerar
uma falha de
apenas um disco
Requer que todos
os discos sejam
sincronizados
No usado no
momento
RAID 3 Os dados so
gravados em bytes
em cada disco com
paridade gravada
em um ou mais
discos separados
Desempenho
muito alto
Usa um disco
para paridade
Pode tolerar
uma falha de
apenas um disco
Requer que todos
os discos sejam
sincronizados
Raramente
utilizado
RAID 4 Os dados so
gravados em blocos
em cada disco com
paridade gravada
em um disco
dedicado
Bom
desempenho
de leitura,
fraco
desempenho
de gravao
Usa um disco
para paridade
Pode tolerar
uma falha de
apenas um disco
Raramente
utilizado
com paridade
distribuda
Os dados so
gravados em blocos
em cada disco com
paridade espalhada
entre todos os
discos
Bom
desempenho
de leitura,
fraco
desempenho
de gravao
Usa o
equivalente a
um disco para
paridade
Pode tolerar
uma falha de
apenas um disco
Normalmente
usado para
armazenamento de
dados, quando o
desempenho no
crtico, mas
importante
maximizar o uso do
disco
com paridade
distribuda dupla
Os dados so
gravados em blocos
em cada disco com
paridade dupla
gravada entre
todos os discos
Bom
desempenho
de leitura,
fraco
desempenho
de gravao
Usa o
equivalente a
dois discos
para paridade
Pode tolerar
duas falhas de
disco
Normalmente
usado para
armazenamento
de dados, quando
o desempenho
no crtico, mas
importante
maximizar o uso
do disco e a
disponibilidade
RAID
0+1
Conjuntos divididos
em um conjunto
espelhado
Um conjunto de
unidades dividido
e, em seguida, o
conjunto de diviso
espelhado
Desempenho
de leitura e
gravao
muito bom
Apenas
metade do
espao em
disco est
disponvel
devido ao
espelhamento
Pode tolerar a
falha de dois ou
mais discos,
desde que todos
os discos com
falha estejam no
mesmo conjunto
de diviso
No costuma
ser usado
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Utilizao
do espao
RAID
1+0
(ou 10)
Conjunto espelhado
em um conjunto
de distribuio
Vrias unidades so
espelhadas em um
segundo conjunto
de unidades, e em
seguida, uma
unidade de cada
espelhamento
dividida
Desempenho
de leitura e
gravao
muito bom
Apenas
metade do
espao em
disco est
disponvel
devido ao
espelhamento
Pode tolerar a
falha de dois ou
mais discos,
desde que
ambos os discos
em um
espelhamento
no falhem
Usado
frequentemente
em cenrios
nos quais
desempenho e
redundncia so
fatores crticos, e o
custo dos discos
adicionais
necessrios
aceitvel
RAID
5+0
(ou 50)
Conjunto dividido
com paridade
distribuda em um
conjunto de diviso
As unidades so
divididas com RAID
5 e depois divididas
sem paridade
Bom
desempenho
de leitura,
melhor
desempenho
de gravao
que o RAID 5
O equivalente
a pelo menos
dois discos
usado para
paridade
Fornece melhor
tolerncia a
falhas do que
um nico nvel
de RAID
Esse nvel
recomendado para
aplicativos que
exigem alta
tolerncia a falhas,
capacidade e
desempenho de
posicionamento
aleatrio
Requer pelo menos
seis unidades
Observao: Os nveis de RAID mais comuns so RAID 1 (tambm conhecido como
espelhamento), RAID 5 (tambm conhecido como conjunto dividido com paridade distribuda)
e RAID 1 +0 (tambm conhecido como conjunto espelhado em um conjunto de diviso).
Pergunta: Todos os discos devem ser configurados com a mesma quantidade de tolerncia
a falhas?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-13
Lio 2
Gerenciamento de discos e volumes
Identificar qual a tecnologia de armazenamento que voc deseja implantar a primeira etapa crtica
para assegurar que o seu ambiente esteja preparado para exigncias de armazenamento de dados.
No entanto, esta apenas a primeira etapa. Existem outras etapas que voc precisa seguir para se
preparar para as exigncias de armazenamento de dados.
Por exemplo, depois de identificar a melhor soluo de armazenamento ou escolher uma combinao de
solues de armazenamento, voc precisa descobrir a melhor maneira de gerenciar esse armazenamento.
Faa a si mesmo as seguintes perguntas:
Que discos voc ir alocar a um pool de armazenamento?
O tipo de sistema de arquivos ser o mesmo para todos os discos?
Esta lio aborda estas e outras questes semelhantes, incluindo por que importante gerenciar discos
e que ferramentas que voc precisa usar para isso.
Objetivos da lio
Explicar como selecionar um formato de tabela de partio.
Descrever a diferena entre tipos de disco bsicos e dinmicos.
Explicar como selecionar um sistema de arquivos.
Descrever um sistema de arquivos resiliente.
Descrever pontos de montagem e links.
Explicar como criar pontos de montagem e links.
Descrever o processo de extenso e reduo de volumes.
Seleo de um formato de tabela de parties
Um formato de tabela de parties, ou
estilo de partio, refere-se ao mtodo
usado por um sistema operacional, como o
Windows Server 2012, para organizar parties
ou volumes em um disco. Para sistemas
operacionais Windows, voc pode decidir
entre o MBR (registro mestre de inicializao)
e a GPT (tabela de partio GUID).

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
MBR
O formato de tabela de parties MBR o esquema de particionamento padro que tem sido utilizado
em discos rgidos desde os primeiros computadores pessoais na dcada de 80. O formato da tabela de
parties MBR tem as seguintes caractersticas:
Uma partio d suporte a um mximo de quatro parties primrias por unidade.
Uma partio pode ter no mximo 2 TB (2.19 x 10^12 bytes).
Se voc inicializar um disco com mais de 2 TB usando o MBR, os discos apenas podero armazenar
volumes de at 2 TB, e o restante do armazenamento no ser usado. Voc dever converter
o disco em GPT se quiser usar todo o espao.
Observao: Voc pode usar o formato de tabela de parties MBR para unidades de disco
que nunca ultrapassam 2 TB de tamanho. Isso proporciona um pouco mais de espao, pois a GPT
requer mais espao em disco que o MBR. No entanto, a Microsoft recomenda que a GPT sempre
seja usada como prtica recomendada.
GPT
A GPT foi introduzida com o Windows Server 2003 e o Windows XP 64-bit Edition para superar
aslimitaes do MBR e para manipular discos maiores. A GPT tem as seguintes caractersticas:
A GPT a sucessora do formato de tabela de parties MBR.
A GPT d suporte a um mximo de 128 parties por unidade.
Uma partio pode ter at 8 ZB (zettabytes).
Um disco rgido pode ter at 18 EB (exabytes), com 512 KB de endereamento LBA.
Para inicializar a partir de uma tabela de parties GPT, o BIOS deve dar suporte para GPT.
Observao: Se o disco rgido for maior que 2 TB, voc dever usar o formato de tabela
de parties GPT.
Leitura adicional: Para ver perguntas frequentes sobre a arquitetura de discos de tabelas
de particionamento GUID, consulte http://go.microsoft.com/fwlink/?LinkID=266748.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-15
Seleo de um tipo de disco
Ao selecionar um tipo de disco para uso
no Windows Server 2012, voc pode escolher
entre discos bsicos e discos dinmicos.
Disco bsico
O armazenamento bsico usa tabelas de parties
normais que so usadas por todas as verses
do sistema operacional Windows. Um disco
que inicializado para armazenamento bsico
chamado de disco bsico. Um disco bsico
contm parties bsicas, como parties
primrias e parties estendidas. Voc pode
subdividir parties estendidas em unidades
lgicas.
Por padro, quando voc inicializa um disco no sistema operacional Windows, esse disco est configurado
como um disco bsico. possvel converter discos bsicos facilmente em discos dinmicos sem qualquer
perda de dados. No entanto, ao converter um disco dinmico em um disco bsico, todos os dados do
disco so perdidos.
No h ganho de desempenho ao se converter discos bsicos em discos dinmicos, e alguns aplicativos
no podem manipular os dados que esto armazenados em discos dinmicos. Por esses motivos,
a maioria dos administradores no converte discos bsicos em discos dinmicos, a menos que seja
necessrio usar algumas das opes adicionais de configurao de volume que esto disponveis
com discos dinmicos.
Disco dinmico
O armazenamento dinmico foi introduzido no sistema operacional Microsoft Windows 2000 Server.
Um disco que inicializado para armazenamento dinmico chamado de disco dinmico. Um disco
dinmico contm volumes dinmicos. Com o armazenamento dinmico, voc pode realizar o
gerenciamento de discos e volumes sem a necessidade de reiniciar os computadores que executam
sistemas operacionais Windows.
Ao configurar discos dinmicos, voc cria volumes ao invs de parties. Um volume uma unidade de
armazenamento formada a partir do espao livre em um ou mais discos. Voc pode formatar o volume
com um sistema de arquivos e pode atribuir a ele uma letra de unidade ou configur-lo com um ponto
de montagem.
A lista a seguir representa os volumes dinmicos que esto disponveis:
Volumes simples. Um volume simples usa espao livre a partir de um nico disco. Pode ser uma nica
regio em um disco ou pode consistir de vrias regies concatenadas. Um volume simples pode ser
estendido no mesmo disco ou em discos adicionais. Se um volume simples for estendido entre vrios
discos, ele se tornar um volume estendido.
Volumes estendidos. Um volume estendido criado a partir do espao livre em disco que vinculado
em vrios discos. Voc pode ampliar um volume estendido at um mximo de 32 discos. Um volume
estendido no pode ser espelhado e no tolerante a falhas. Portanto, se voc perder um disco,
perder todo o volume estendido.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Volumes divididos. Um volume dividido tem dados que so distribudos em dois ou mais discos fsicos.
Os dados sobre esse tipo de volume so alocados de maneira uniforme e alternativa a cada um dos
discos fsicos. Um volume dividido no pode ser espelhado ou estendido e no tolerante a falhas.
Isso significa que a perda de um disco provoca a perda imediata de todos os dados. A diviso
tambm conhecida como RAID-0.
Volumes espelhados. Um volume espelhado um volume tolerante a falhas que tem todos os dados
duplicados em dois discos fsicos. Todos os dados em um volume so copiados para outro disco
de modo a fornecer redundncia de dados. Se um dos discos falhar, os dados ainda podero ser
acessados pelo disco restante. Um volume espelhado no pode ser estendido. O espelhamento
tambm chamado de RAID-1.
Volumes RAID-5. Um volume RAID-5 um volume tolerante a falhas que tem dados divididos entre
um mnimo de trs ou mais discos. A paridade tambm dividida entre a matriz de discos. Se um
disco fsico falhar, a parte do volume RAID-5 que estava no disco que falhou poder ser recriada a
partir dos dados restantes e da paridade. Um volume RAID-5 no pode ser estendido ou espelhado.
Volumes de disco necessrios
Independentemente de qual tipo de disco for usado, voc deve configurar um volume do sistema
e um volume de inicializao em um dos discos rgidos do servidor:
Volumes do sistema. O volume do sistema contm os arquivos especficos de hardware que so
necessrios para carregar o sistema operacional Windows (por exemplo, Bootmgr e BOOTSECT.bak).
O volume do sistema pode, mas no precisa, ser o mesmo que o volume de inicializao.
Volumes de inicializao. O volume de inicializao contm os arquivos do sistema operacional
Windows que esto localizados nas pastas %Systemroot% e %Systemroot%\System32. O volume
de inicializao pode, mas no precisa, ser o mesmo que o volume do sistema.
Observao: Quando voc instala o sistema operacional Windows 8 ou
Windows Server 2012 em uma instalao limpa, um volume de sistema separado criado
para permitir a criptografia do volume de inicializao usando a criptografia de unidade
Windows BitLocker
.
Leitura adicional:
Para obter mais informaes sobre sobre o funcionamento de volumes e discos bsicos,
consulte http://go.microsoft.com/fwlink/?LinkID=199648.
Para obter mais informaes sobre sobre o funcionamento de volumes e discos bsicos,
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-17
Selecionando um sistema de arquivos
Ao configurar seus discos no
Windows Server 2012, voc pode escolher
entre a tabela de alocao de arquivos (FAT),
o sistema de arquivos NTFS e sistemas de
arquivos ReFS (Sistema de Arquivos Resiliente).
FAT
O FAT o mais simples dos sistemas de arquivos
com suporte pelo sistema operacional Windows.
O sistema de arquivos FAT caracterizado por
uma tabela que reside no topo do volume. Para
proteger o volume, duas cpias do sistema de
arquivos FAT so mantidas no caso de uma ficar
danificada. Alm disso, as tabelas de alocao de arquivos e o diretrio raiz devem ser armazenados
em um local fixo para que os arquivos de inicializao do sistema possam ser corretamente localizados.
Um disco formatado com o sistema de arquivos FAT alocado em clusters, cujas dimenses so
determinadas pelo tamanho do volume. Quando um arquivo criado, criada uma entrada no
diretrio, e o primeiro nmero de cluster contendo dados estabelecido. Essa entrada na tabela
indica que este o ltimo cluster do arquivo ou aponta para o prximo cluster. No h organizao
na estrutura de diretrios FAT, e os arquivos recebem a primeira localizao aberta na unidade.
Por causa da limitao de tamanho com a tabela de alocao de arquivos, a verso original do FAT
s podia acessar parties que tivessem menos de 2 GB de tamanho. Para permitir discos maiores,
a Microsoft desenvolveu o FAT32. O FAT32 d suporte para parties de at 2 TB.
O FAT no oferece qualquer segurana para arquivos na partio. Voc nunca deve usar o FAT
ou o FAT32 como sistema de arquivos para discos conectados a servidores Windows Server 2012.
Considere o uso do FAT ou do FAT32 para formatar mdias externas, como uma mdia flash USB.
O sistema de arquivos projetado especialmente para unidades flash o exFAT (FAT Estendido). Ele pode
ser usado nos casos em que o FAT32 no adequado, por exemplo, quando voc precisa de um formato
de disco que funcione com uma televiso, o que requer um disco com mais de 2 TB. Vrios dar suportes
de mdia tm suporte para o exFAT, como televisores modernos de tela plana, centrais de mdia e players
de mdia portteis.
NTFS
O NTFS o sistema de arquivos padro para todos os sistemas operacionais Windows a partir
do Windows NT
Server 3.1. Ao contrrio do FAT, no existem objetos especiais no disco e no h

nenhuma dependncia em relao ao hardware subjacente, como setores de 512 bytes. Alm disso,
no NTFS, no existem locais especiais no disco, como tabelas.
O NTFS um aperfeioamento do FAT em vrios sentidos, como melhor suporte para metadados e o
uso de estruturas de dados avanadas para melhorar a confiabilidade, o desempenho e a utilizao do
espao em disco. O NTFS tambm tem extenses adicionais, como ACLs (listas de controle de acesso)
de segurana, que voc pode usar para auditoria, dirio de sistema de arquivos e criptografia.
O NTFS necessrio para vrias funes e recursos do Windows Server 2012, como o AD DS (Servios
de Domnio Active Directory
, VSS (Servio de Cpias de Sombra de Volume), DFS (Sistema de Arquivos

Distribudo) e FRS (Servio de Replicao de Arquivos). O NTFS tambm oferece um nvel muito mais alto
de segurana que o FAT ou o FAT 32.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
ReFS (Sistema de Arquivos Resiliente)
O ReFS foi introduzido com o Windows Server 2012 para aumentar as capacidades do NTFS. O ReFS foi
desenvolvido para melhorar o NTFS, oferecendo tamanhos mximos maiores para arquivos individuais,
diretrios, volumes de disco e outros itens. Alm disso, o ReFS oferece maior resilincia, ou seja, melhor
verificao de dados, correo de erros e escalabilidade.
Voc deve usar o ReFS com volumes muito grandes e compartilhamentos de arquivos muito grandes para
superar a limitao do NTFS de correo e verificao de erros. Como o ReFS no estava disponvel antes
do Windows Server 2012 (a nica opo era o NTFS), faz sentido us-lo com o Windows Server 2012
em vez do NTFS para obter melhor verificao de erros, melhor confiabilidade e menos corrupo.
Leitura adicional:
Para obter mais informaes sobre como o FAT funciona,
Para obter mais informaes sobre como o NTFS funciona,
Pergunta: Que sistema de arquivos voc usa atualmente no seu servidor de arquivos?
Pretende continuar a us-lo?
O que o ReFS?
O ReFS um novo recurso no
Windows Server 2012. Ele se baseia no sistema de
arquivos NTFS e oferece as seguintes vantagens:
Integridade de metadados com somas
de verificao
Proteo expandida contra corrupo
de dados
Maximiza a confiabilidade, especialmente
durante falhas de energia (enquanto o NTFS
apresentava corrupo em circunstncias
semelhantes)
Tamanhos grandes de volumes, arquivos e diretrios
Pooling de armazenamento e virtualizao, que facilitam a criao e o gerenciamento de sistemas
de arquivos
Diviso de dados para desempenho (a largura de banda pode ser gerenciada)

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-19
Redundncia para tolerncia a falhas
Depurao de discos para proteo contra erros de discos latentes
Resilincia a corrupes com recuperao para o mximo de disponibilidade do volume
Pools de armazenamento compartilhados em mquinas para tolerncia a falhas e balanceamento
de carga adicionais
O ReFS herda alguns recursos do NTFS, entre eles:
Criptografia de unidade de disco BitLocker
ACLs para segurana
Dirio USN (nmero de sequncia de atualizao)
Notificaes de alterao
Links simblicos, pontos de juno, pontos de montagem e pontos de nova anlise
Instantneos de volume
IDs de arquivo
Como o ReFS usa um subconjunto de recursos do NTFS, ele foi projetado para manter a compatibilidade
com verses mais antigas do NTFS. Portanto, aplicativos que so executados no Windows Server 2012
podem acessar arquivos no ReFS como fariam no NTFS. No entanto, uma unidade formatado para
ReFS no reconhecida quando colocada em computadores que executam sistemas operacionais
Windows Server anteriores ao Windows Server 2012.
Com o NTFS, voc pode alterar o tamanho de um cluster. Porm, com o ReFS, cada cluster tem
um tamanho fixo de 64 KB, que no pode ser alterado. O EFS (Sistema de Arquivos Criptografado)
para arquivos no tm suporte no ReFS.
Como o prprio nome indica, o novo sistema de arquivos oferece maior resilincia, ou seja, melhor
verificao de dados, correo de erros e escalabilidade.
Alm da sua maior resilincia, o ReFS tambm supera o NTFS, oferecendo tamanhos mximos maiores
para arquivos individuais, diretrios, volumes de disco e outros itens.
Atributo Limite
Tamanho mximo de um nico
arquivo
Aproximadamente 16 EB
(18.446.744.073.709.551.616 bytes)
Tamanho mximo de um nico
volume
2^78 bytes com tamanho de cluster de 16 KB
(2^64 * 16 * 2^10)
O endereamento de pilhas do Windows permite 2^64 bytes
Nmero mximo de arquivos
em um diretrio
2^64
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Atributo Limite
Nmero mximo de diretrios
em um volume
2^64
Comprimento mximo de nome
de arquivos
32.000 caracteres Unicode
Comprimento mximo do caminho 32,000
Tamanho mximo de qualquer
pool de armazenamento
4 petabytes (PB)
Nmero mximo de pools de
armazenamento em um sistema
Sem limite
Nmero mximo de espaos em
um pool de armazenamento
Sem limite
O que so pontos de montagem e links?
Com os sistemas de arquivos NTFS e ReFS, voc
pode criar pontos de montagem e links para
fazer referncia a arquivos, diretrios e volumes.
Pontos de montagem
Pontos de montagem so usados em sistemas
operacionais Windows para tornar uma parte
de um disco ou o disco inteiro utilizvel pelo
sistema operacional. Mais comumente, pontos
de montagem esto associados a mapeamentos
de letras de unidade, para que o sistema
operacional possa obter acesso ao disco
atravs da letra de unidade.
Desde a introduo do Windows Server 2000, possvel habilitar pontos de montagem de volume, que
voc pode usar em seguida para montar um disco rgido em uma pasta vazia que est localizada em
outra unidade. Por exemplo, se voc adicionar um novo disco rgido a um servidor, em vez de montar
a unidade usando uma letra de unidade, ser possvel atribuir um nome de pasta, como C:\datadrive,
a essa unidade. Quando isso feito, sempre que voc acessar a pasta C:\datadrive, na verdade voc
estar acessando o novo disco rgido.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-21
Pontos de montagem de volume podem ser teis nos seguintes cenrios:
Se voc est ficando sem espao em disco em um servidor e deseja adicionar espao em disco sem
modificar a estrutura de pastas. possvel adicionar o disco rgido e configurar uma pasta de forma
que ela aponte para o disco rgido.
Se voc est ficando sem letras disponveis para atribuir a parties ou volumes. Se voc possui vrios
discos rgidos que esto conectados ao servidor, talvez fique sem letras do alfabeto disponveis para
usar como letras de unidade. Usando um ponto de montagem de volume, voc pode adicionar
outras parties ou volumes sem usar mais letras de unidade.
Se voc precisa separar a E/S (entrada/sada) de disco em uma estrutura de pastas. Por exemplo,
se voc estiver usando um aplicativo que requer uma estrutura de arquivos especfica, mas que
utiliza os discos rgidos extensivamente, ser possvel separar a E/S de disco criando um ponto
de montagem de volume dentro da estrutura de pastas.
Observao: Somente possvel atribuir pontos de montagem de volume a pastas vazias
em uma partio NTFS. Isso significa que, se voc quiser usar um nome de pasta existente,
primeiro ser necessrio renomear a pasta, criar e montar o disco rgido usando o nome
de pasta necessrio e depois copiar os dados para a pasta montada.
Links
Um link um tipo especial de arquivo que contm uma referncia a outro arquivo ou diretrio no
formato de um caminho absoluto ou relativo. O Windows d suporte aos dois tipos de links a seguir:
Um link de arquivo simblico (tambm conhecido como link flexvel)
Um link de diretrio simblico (tambm conhecido como juno de diretrio)
Um link armazenado em um compartilhamento de servidor pode fazer referncia a um diretrio em um
cliente que no est realmente acessvel a partir do servidor no qual esse link est armazenado. Como o
processamento de links feito a partir do cliente, o link funcionaria corretamente para acessar o cliente,
mesmo que o servidor no conseguisse acessar esse cliente.
Links operam de maneira transparente. Aplicativos que fazem leituras ou gravaes em arquivos
nomeados por um link se comportam como se estivessem operando diretamente no arquivo de destino.
Por exemplo, voc pode usar um link simblico para se vincular a um arquivo de disco rgido virtual pai
do Hyper-V
(.vhd) a partir de outro local. O Hyper-V usa o link para trabalhar com o disco rgido virtual
(VHD) pai, como faria o arquivo original. A vantagem de usar links simblicos que voc no precisa
modificar as propriedades do seu VHD diferencial.
Observao: No Hyper-V, voc pode usar um disco rgido virtual (VHD) diferencial para
poupar espao, fazendo alteraes apenas no VHD filho, quando esse VHD filho faz parte
de uma relao de VHD pai/filho.
Links so s vezes mais fceis de gerenciar do que pontos de montagem. Pontos de montagem foram
voc a colocar os arquivos na raiz dos volumes, enquanto, com links, voc pode ser mais flexvel em
termos do local onde salvar arquivos.
Voc pode criar links usando o comando mklink no aplicativo Prompt de Comando
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Criao de pontos de montagem e links
Criar um ponto de montagem.
Criar uma juno de diretrio para uma pasta.
Criar um link fixo para um arquivo.
Criar um ponto de montagem
1. Entre em LON-SVR1 com o nome de usurio ADATUM\Administrador e a senha Pa$$w0rd.
2. Abra Gerenciamento do computador e expanda Gerenciamento de disco.
3. Em Gerenciamento de Disco, inicialize Disco 2 com GPT (Tabela de Partio GUID).
4. Em Disco 2, crie um Volume Simples com os seguintes parmetros:
o Tamanho: 4000 MB
o No atribuir uma letra ou caminho de unidade
o Sistema de arquivos: NTFS
o Rtulo de volume: PontoDeMontagem
5. Espere at que o volume seja criado, clique com o boto direito do mouse em PontoDeMontagem
e depois clique em Alterar letra de unidade e caminho.
6. Altere a letra da unidade da seguinte forma:
o Montar na seguinte pasta NTFS vazia
o Crie uma nova pasta C:\PastaDePontoDeMontagem e use-a como ponto de montagem.
7. Na barra de tarefas, abra uma janela do Explorador de Arquivos e clique em Disco Local (C:).
Agora, voc ver a pasta PontoDeMontagem com um tamanho de 4.095.996 KB atribuda.
Observe o cone atribudo ao ponto de montagem.
Criar uma juno de diretrio para uma pasta
1. Abra uma janela do prompt de comando.
2. Crie uma pasta em C:\ denominada AplicativoPersonalizado e execute o seguinte:
copy C:\windows\system32\notepad.exe C:\AplicativoPersonalizado.
3. No prompt de comando, digite mklink /j AppLink AplicativoPersonalizado e pressione Enter.
4. Em uma janela do Explorador de Arquivos, navegue at C:\AppLink. Observe que, como
se trata de um link, o caminho de diretrio na barra de endereo no est atualizado para
C:\AplicativoPersonalizado.
Criar um link fixo para um arquivo
1. Em um prompt de comando, digite mklink /h C:\AppLink\Notepad2.exe
C:\AppLink\Notepad.exe.
2. No Explorador de Arquivos, observe que Notepad2.exe aparece exatamente igual a Notepad.exe.
Ambos os nomes de arquivos apontam para o mesmo arquivo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-23
Como estender e diminuir volumes
Em verses do Windows anteriores ao
Windows Server 2008 ou ao Windows Vista
,
era necessrio usar softwares adicionais para
diminuir ou estender um volume no disco.
Desde o Windows Server 2008 e o Windows Vista,
essa funcionalidade est includa no sistema
operacional Windows e, portanto, voc pode
usar o snap-in Gerenciamento de Disco para
redimensionar volumes NTFS.
Se quiser redimensionar um volume, lembre-se
do seguinte:
Voc s pode diminuir ou estender
volumes NTFS. Volumes FAT, FAT32 ou exFAT no podem ser redimensionados.
Voc s pode estender volumes ReFS, mas no pode diminui-los.
Ao estender um volume com outros discos, voc cria um disco dinmico com um volume estendido.
Em um volume estendido, se um disco falhar, todos os dados nesse volume sero perdidos. Alm
disso, um volume estendido no pode conter parties de inicializao ou do sistema e, portanto,
voc no pode estender suas parties de inicializao usando outro disco.
Se existirem clusters invlidos na partio, voc no poder diminui-la.
Quando voc deseja diminuir uma partio, arquivos imveis, como arquivos de pgina, no so
realocados. Isso significa que voc no pode recuperar o espao alm do local em que esses arquivos
se encontram no volume. Se for necessrio diminuir ainda mais uma partio, voc precisar excluir
ou mover esses arquivos imveis. Por exemplo, possvel remover o arquivo de pgina, diminuir
o volume e, em seguida, adicionar o arquivo de pgina de volta.
Observao: Como prtica recomendada para diminuir volumes, voc deve desfragmentar
os arquivos no volume antes de diminui-lo. Esse mtodo retorna a quantidade mxima de espao
livre em disco. Durante o processo de desfragmentao, voc pode identificar qualquer arquivo
imvel.
Para modificar um volume, voc pode usar o Gerenciamento de Disco, a ferramenta Diskpart.exe
ou o cmdlet Resize-Partition no Windows PowerShell
.
Leitura adicional:
Para obter mais informaes sobre como estender um volume bsico,
Para obter mais informaes sobre como diminuir um volume bsico,

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 3
Implementao de espaos de armazenamento
O gerenciamento de discos fsicos que esto conectados diretamente a um servidor tem provado ser uma
tarefa entediante para os administradores. Para superar esse problema, muitas organizaes usam SANs,
que essencialmente agrupam discos fsicos.
SANs exigem uma configurao especializada e, por vezes, componentes de hardware especializados,
o que as torna muito caras. Para superar esses problemas, voc pode usar Espaos de Armazenamento,
um recurso do Windows Server 2012 que agrupa discos e os apresenta ao sistema operacional como um
nico disco. Esta lio explica como configurar e implementar o recurso Espaos de Armazenamento.
Objetivos da lio
Descrever o recurso Espaos de Armazenamento.
Descrever vrias opes para configurar discos virtuais.
Descrever opes avanadas de gerenciamento para Espaos de Armazenamento.
Configurar Espaos de Armazenamento.
O que o recurso Espaos de Armazenamento?
Espaos de Armazenamento um recurso
de virtualizao de armazenamento que
est embutido no Windows Server 2012 e
no Windows 8. Esse recurso est disponvel
para volumes NTFS e ReFS, proporcionando
redundncia e armazenamento em pool para
vrias unidades internas e externas de diferentes
tamanhos e interfaces. Voc pode usar Espaos
de Armazenamento para adicionar discos fsicos
de qualquer tipo e tamanho a um pool de
armazenamento e, em seguida, criar discos
virtuais altamente disponveis a partir desse pool
de armazenamento. A principal vantagem de Espaos de Armazenamento que voc no gerencia discos
individuais, mas pode gerenciar vrios discos como uma s unidade.
Para criar um disco virtual altamente disponvel, necessrio o seguinte:
Unidade de disco. Um volume que voc pode acessar a partir do seu sistema operacional Windows,
por exemplo, usando uma letra de unidade.
Disco virtual (ou espao de armazenamento). Semelhante a um disco fsico sob a perspectiva de
usurios e aplicativos. No entanto, discos virtuais so mais flexveis porque incluem provisionamento
dinmico ou alocaes JIT (just-in-time) e incluem resilincia a falhas de disco fsico com
funcionalidade interna, como espelhamento.
Pool de armazenamento. Um pool de armazenamento um conjunto de um ou mais discos fsicos
que voc pode usar para criar discos virtuais. possvel adicionar a um pool de armazenamento
qualquer disco fsico disponvel que no esteja formatado ou conectado a outro pool de
armazenamento.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-25
Disco fsico. Discos fsicos so discos como SATA ou SAS. Se voc quiser adicionar discos fsicos
a um pool de armazenamento, esses discos precisam atender aos seguintes requisitos:
o Um disco fsico necessrio para criar um pool de armazenamento. No mnimo dois discos
fsicos so necessrios para criar um disco virtual espelho resistente.
o No mnimo trs discos fsicos so necessrios para criar um disco virtual com a resilincia
atravs de paridade.
o O espelhamento em trs direes requer pelo menos cinco discos fsicos.
o Os discos devem estar em branco e no formatados. Nenhum volume deve existir neles.
o Os discos podem ser conectados usando uma variedade de interfaces de barramento,
entre elas SAS, SATA, SCSI e USB. Se voc quiser usar clustering de failover com pools
de armazenamento, no poder usar discos SATA, USB ou SCSI.
Opes de configurao de disco virtual
Voc pode criar discos virtuais a partir de
pools de armazenamento. Se o seu pool de
armazenamento contiver mais de um disco, voc
tambm poder criar discos virtuais redundantes.
Para configurar discos virtuais ou Espaos de
Armazenamento no Gerenciador do Servidor
ou no Windows PowerShell, voc precisa levar
em considerao os seguintes recursos e suas
funcionalidades de redundncia.
Layout de Armazenamento
Esse recurso define o nmero de discos no pool
de armazenamento que so alocados. As opes
vlidas incluem:
Simples. Um espao simples tem diviso de dados, mas no tem nenhuma redundncia. Na diviso
de dados, os dados logicamente sequenciais so segmentados em todos os discos, de modo que o
acesso a esses segmentos sequenciais possa ser feito a diferentes unidades de armazenamento fsico.
A diviso torna possvel o acesso a vrios segmentos de dados simultaneamente. No hospede dados
importantes em um volume simples, pois ele no fornece recursos de failover no caso de falha do
disco que est armazenando os dados.
Espelhamentos em duas e trs direes. Espaos espelho mantm duas ou trs cpias dos dados que
eles hospedam (duas cpias de dados para dois espelhos em duas direes e trs cpias de dados
para espelhos em trs direes). A duplicao acontece com cada escrita para assegurar que todas
as cpias de dados sempre sejam atuais. Espaos espelho tambm dividem os dados entre vrias
unidades fsicas. Espaos espelho proporcionam o benefcio de uma maior taxa de transferncia
de dados e uma menor latncia de acesso. Tambm no apresentam riscos de corromper os dados
em repouso e no exigem um estgio extra de dirio durante a gravao de dados.
Paridade. Um espao de paridade semelhante ao RAID 5. Os dados e as informaes de
paridade so divididos entre vrias unidades fsicas. A paridade permite que o recurso Espaos
de Armazenamento continue a atender a solicitaes de leitura e gravao, mesmo quando
uma unidade falhou. A paridade sempre alternada entre os discos disponveis para permitir
a otimizao de E/S. Espaos de armazenamento exigem um mnimo de trs unidades fsicas
para espaos de paridade. Espaos de paridade apresentam maior resilincia atravs de dirios.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tamanho do setor do disco
O tamanho do setor de um pool de armazenamento definido quando ele criado. Se a lista de
unidades em uso contiver apenas unidades 512 e/ou 512e, ento o pool ter o padro de 512e. Um disco
512 usa setores de 512 bytes. Uma unidade 512e um disco rgido com setores de 4.096 bytes que emula
setores de 512 bytes. Se a lista contiver pelo menos uma unidade de 4 KB, o tamanho do setor do pool
ser padronizado como 4 KB. Como opo, um administrador pode definir explicitamente o tamanho do
setor que herdado por todos os espaos contidos no pool. Depois que um administrador definir isso,
o sistema operacional Windows s permitir que voc adicione unidades que possuam um tamanho de
setor compatvel, ou seja: 512 ou 512e para um conjunto de armazenamento 512e e 512, 512e ou 4 KB
para um pool de 4 KB.
Alocao de unidade
Define como a unidade est alocada ao pool. As opes so:
Automtica. Esta a atribuio padro quando qualquer unidade adicionada a um pool. O recurso
Espaos de Armazenamento pode selecionar automaticamente a capacidade disponvel em unidades
de repositrio de dados tanto para criao de espao de armazenamento quanto para alocao JIT.
Espera Ativa. Unidades adicionadas como Esperas Ativas a um pool so unidades de reserva que no
so usadas para a criao de um espao de armazenamento. Se ocorrer uma falha em uma unidade
que esteja hospedando colunas de um espao de armazenamento, uma unidade de reserva ser
chamada para substituir a unidade com falha.
Esquemas de provisionamento
Voc pode provisionar um disco virtual usando dois esquemas diferentes:
Espao de provisionamento dinmico. O provisionamento dinmico um mecanismo que permite
que o armazenamento seja facilmente alocados com base em critrios JIT e em quantidades
suficientes. A capacidade de armazenamento no pool est organizada em slabs de provisionamento
que no so alocadas at o ponto no tempo em que os conjuntos de dados crescem e exigem esse
armazenamento. Em oposio ao tradicional mtodo de alocao fixa de armazenamento, em que
grandes pools de capacidade de armazenamento so alocados, mas podem permanecer inutilizados,
o provisionamento dinmico otimiza a utilizao do armazenamento disponvel. As organizaes
tambm conseguem economizar em custos operacionais, como energia eltrica e superfcie til,
que esto associados a manter unidades inutilizadas em operao. A desvantagem de usar
o provisionamento dinmico o menor desempenho do disco.
Espao de provisionamento fixo. Com Espaos de Armazenamento, espaos fixos provisionados
tambm utilizam slabs de provisionamento flexveis. A diferena entre o provisionamento dinmico
e um espao de provisionamento fixo que a capacidade de armazenamento no espao
de provisionamento fixo alocado ao mesmo tempo em que o espao criado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-27
Requisitos de discos de cluster
O clustering de failover impede a interrupo em cargas de trabalho ou dados em caso de uma falha na
mquina. Para que um pool possa dar suporte para failover, o clustering de todas as unidades atribudas
deve dar suporte um protocolo multi-iniciador, como o SAS.
Observao: Voc pode usar Espaos de Armazenamento para discos virtuais de
provisionamento fixo e dinmico dentro do mesmo pool de armazenamento. conveniente
ter ambos os tipos provisionados no mesmo pool de armazenamento, principalmente quando
eles esto relacionados com a mesma carga de trabalho. Por exemplo, voc pode optar por ter
um espao de provisionamento dinmico para hospedar um banco de dados e um espao de
provisionamento fixo para hospedar seu log.
Pergunta: Qual o nome de um disco virtual que maior que a quantidade de espao
em disco disponvel na parte de discos fsicos do pool de armazenamento?
Opes avanadas de gerenciamento para Espaos de Armazenamento
O Gerenciador do Servidor fornece o
gerenciamento bsico de discos virtuais e
pools de armazenamento. No Gerenciador
do Servidor, voc pode criar pools de
armazenamento, adicionar e remover discos fsicos
de pools e criar, gerenciar e excluir discos virtuais.
Por exemplo, no Gerenciador do Servidor,
possvel ver os discos fsicos que esto conectados
a um disco virtual. Se qualquer um desses discos
no estiver ntegro, voc ver um cone do disco
no ntegro ao lado do nome do disco.
Para corrigir um disco com falha em um disco
virtual ou pool de armazenamento, voc deve remover o disco que est causando o problema.
Ferramentas como desfragmentao, varredura de disco ou chkdsk no podem reparar um pool de
armazenamento. Para substituir um disco com falha, voc adiciona um novo disco ao pool. O novo
disco ressincronizado automaticamente quando a manuteno de discos ocorre durante o processo
de manuteno diria. Como alternativa, voc pode acionar a manuteno dos discos manualmente.
O Windows PowerShell oferece opes avanadas de gerenciamento para discos virtuais e pools de
armazenamento. Alguns exemplos de cmdlets de gerenciamento esto listados na tabela a seguir.
Cmdlet do Windows PowerShell Descrio
Get-StoragePool Lista pools de armazenamento
Get-VirtualDisk Lista discos virtuais
Repair-VirtualDisk Repara um disco virtual

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Cmdlet do Windows PowerShell Descrio
Get-PhysicalDisk |
Where{$_.HealthStatus ne Healthy}
Lista discos fsicos no ntegros
Reset-PhysicalDisk Remove um disco fsico de um pool de armazenamento
Get-VirtualDisk | Get-PhysicalDisk Lista discos fsicos que so usados para um disco virtual
Leitura adicional: Para saber mais sobre cmdlets de armazenamento no
Windows PowerShell, consulte http://go.microsoft.com/fwlink/?LinkID=266751.
Demonstrao: Configurao de Espaos de Armazenamento
Criar um pool de armazenamento.
Criar um disco virtual e um volume.
Criar um pool de armazenamento
1. Entre como ADATUM\Administrador com a senha Pa$$w0rd.
2. Em LON-SVR1, no Gerenciador do Servidor, acesse Servios de Arquivo e Armazenamento
e Pools de Armazenamento.
3. No painel POOLS DE ARMAZENAMENTO, crie um Novo Pool de Armazenamento denominado
PoolDeArmazenamento1 e adicione todos os discos disponveis.
Criar um disco virtual e um volume
1. No painel DISCOS VIRTUAIS, crie um Novo Disco Virtual com as seguintes configuraes:
o Pool de armazenamento: StoragePool1
o Nome do disco: Disco Virtual Simples
o Layout de armazenamento: Simples
o Tipo de provisionamento: Dinmico
o Tamanho: 2 GB
2. Na pgina Exibir resultados, aguarde at que a tarefa seja concluda e verifique se a caixa de seleo
Criar um volume quando este assistente fechar est marcada.
3. No Assistente de Novo Volume, crie um volume com estas configuraes:
o Disco virtual: Disco Virtual Simples
o Sistema de arquivos: ReFS
o Rtulo de volume: Volumes Simples
4. Aguarde a concluso da tarefa e clique em Fechar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-29
Laboratrio: Implementao de armazenamento local
Cenrio
Inglaterra. Um escritrio de TI e um datacenter esto localizados em Londres como suporte localizao
em Londres e outras localizaes. Recentemente, a A. Datum implantou uma infraestrutura do
Windows Server 2012 com clientes Windows 8.
voc visitou computadores desktop para solucionar problemas com aplicativos e redes. Recentemente,
voc aceitou uma promoo para trabalhar na equipe de suporte a servidores. Uma de suas primeiras
atribuies foi configurar o servio de infraestrutura para uma nova filial.
Seu gerente lhe pediu para adicionar espao em disco a um servidor de arquivos. Apos a criao dos
volumes, seu gerente tambm lhe pediu para redimensionar esses volumes com base em informaes
atualizadas que ele recebeu. Por fim, voc precisa tornar o armazenamento de dados redundante,
criando um disco virtual com espalhamento em trs direes.
Objetivos
Instalar e configurar um novo disco.
Redimensionar volumes.
Configurar um espao e armazenamento redundante.

24410B-LON-SVR1
Senha Pa$$w0rd
No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em

o Senha: Pa$$w0rd
o Domnio: ADATUM
4. Repita as etapas de 1 a 3 para 24410B-LON-SVR1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Instalao e configurao de um novo disco
Cenrio
O servidor de arquivos na sua filial est com pouco espao em disco. Voc precisa adicionar um novo
disco ao servidor e criar volumes com base em especificaes fornecidas pelo seu gerente.
1. Inicializar um novo disco
2. Criar e formatar dois volumes simples no disco
3. Verificar a letra de unidade ema janela do Windows
Explorer
Tarefa 1: Inicializar um novo disco
2. No Gerenciador do Servidor, abra Gerenciamento do computador e acesse Gerenciamento
de disco.
3. Inicialize Disco 2 e configure-o para usar GPT (Tabela de Partio GUID).
Tarefa 2: Criar e formatar dois volumes simples no disco
1. No console Gerenciamento do Computador, em Disco 2, crie um Volume Simples com os seguintes
atributos:
o Tamanho do volume: 4000 MB
o Letra de Unidade: F
o Sistema de arquivos: NTFS
o Rtulo de volume: Volume1
2. No console Gerenciamento do Computador, em Disco 2, crie um Volume Simples com os seguintes
atributos:
o Tamanho do volume: 5000 MB
o Letra de Unidade: G
o Rtulo de volume: Volume2
Tarefa 3: Verificar a letra de unidade ema janela do Windows
Explorer
1. Use o Explorador de Arquivos para se certificar de que voc consegue acessar os seguintes volumes:
o Volume1 (F:)
o Volume2 (G:)
2. Em Volume2 (G:), crie uma pasta denominada Pasta1.

Resultados: Aps a concluso deste exerccio, voc ter inicializado um novo disco e, em seguida, ter
criado e formatado dois volumes simples. Voc tambm ter confirmado que as letras de unidade esto
disponveis no Explorador de Arquivos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-31
Exerccio 2: Redimensionamento de volumes
Cenrio
Aps a instalao do novo disco no servidor de arquivos, seu gerente lhe procura para comunicar que
as informaes fornecidas estavam incorretas. Ele agora precisa que voc redimensione os volumes
sem perder dados.
1. Diminuir o Volume1
2. Estender o Volume2
Tarefa 1: Diminuir o Volume1
Use Gerenciamento de Disco para diminuir o Volume1 (F:) para 3000 MB.
Tarefa 2: Estender o Volume2
1. Usar Gerenciamento de Disco para estender o Volume2 (G:) em 1000 MB.
2. Usar o Explorador de Arquivos para verificar se a Pasta1 ainda est na unidade G.

Resultados: Depois de concluir este exerccio, voc dever ter um volume menor e estender outro.
Exerccio 3: Configurao de um espao de armazenamento redundante
Cenrio
Seu servidor no tem uma placa RAID baseada em hardware, mas voc foi convidado a configurar
o armazenamento redundante. Para dar suporte a este recurso, voc precisa criar um pool de
armazenamento.
Depois de criar o pool de armazenamento, voc tambm precisa criar um disco virtual redundante.
Como os dados so crticos, a solicitao de armazenamento redundante especifica que voc precisa
usar um volume com espelhamento em trs direes. Pouco depois de o volume entrar em uso, um
disco apresenta falha, e voc precisa adicionar outro disco ao pool de armazenamento para substitu-lo.
1. Criar um pool de armazenamento a partir de cinco discos conectados ao servidor
2. Criar um disco virtual com espelhamento em trs direes
3. Copiar um arquivo para o volume e verificar se ele est visvel no Explorador de Arquivos
4. Remover uma unidade fsica
5. Verificar se o arquivo write.exe ainda est acessvel
6. Adicionar um novo disco ao pool de armazenamento e remover um disco quebrado
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 1: Criar um pool de armazenamento a partir de cinco discos conectados
ao servidor
2. No painel esquerdo, clique em Servios de Arquivo e Armazenamento e, no painel Servidores,
clique em Pools de Armazenamento.
3. Crie um pool de armazenamento com as seguintes configuraes:
o Nome: StoragePool1
o Discos fsicos:
o PhysicalDisk3
o PhysicalDisk4
o PhysicalDisk5
o PhysicalDisk6
o PhysicalDisk7
Tarefa 2: Criar um disco virtual com espelhamento em trs direes
1. Em LON-SVR1, no Gerenciador do Servidor, no painel DISCOS VIRTUAIS, crie um disco virtual
com as seguintes configuraes:
o Pool de armazenamento: PoolDeArmazenamento1
o Nome: Disco Espelhado
o Layout de Armazenamento: Espelhamento
o Configuraes de resilincia: Espelhamento em trs direes
o Tipo de provisionamento: Dinmico
o Tamanho do disco virtual: 10 GB
2. No Assistente de Novo Volume, crie um volume com as seguintes configuraes:
o Disco virtual: Disco Espelhado
o Letra de unidade: H
o Rtulo de volume: Volume espelhado
Tarefa 3: Copiar um arquivo para o volume e verificar se ele est visvel
no Explorador de Arquivos
1. Abra uma janela do prompt de comando.
2. Digite o seguinte comando:
Copy C:\windows\system32\write.exe H:\
3. Abra o Explorador de Arquivos na barra de tarefas e acesse Volume Espelhado (H:). Voc ver
write.exe na lista de arquivos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 9-33
Tarefa 4: Remover uma unidade fsica
Na mquina Host, no Gerenciador do Hyper-V, no painel Mquinas Virtuais, altere as configuraes
de 24410B-LON-SVR1 para o seguinte:
o Remova a Disco Rgido que comea com 24410B-LON-SVR1-Disk5.
Tarefa 5: Verificar se o arquivo write.exe ainda est acessvel
2. Abra o Explorador de Arquivos e navegue at H:\write.exe para garantir que o acesso ao arquivo
ainda esteja disponvel.
3. No Gerenciador do Servidor, no painel POOLS DE ARMAZENAMENTO, na barra de menus, clique
no boto Atualizar Pools de Armazenamento. Observe o aviso que exibido ao lado do Disco
Espelhado.
4. Abra a caixa de dilogo Propriedades do Disco Espelhado e acesse o painel Integridade. Observe
que o Estado de Integridade indica um Aviso. O Status Operacional deve indicar Incompleto
ou Degradado.
Tarefa 6: Adicionar um novo disco ao pool de armazenamento e remover
um disco quebrado
2. No Gerenciador do Servidor, no painel POOLS DE ARMAZENAMENTO, na barra de menus,
clique no boto Atualizar Pools de Armazenamento.
3. No painel POOLS DE ARMAZENAMENTO, clique com o boto direito do mouse em
PoolDeArmazenamento1, clique em Adicionar Disco Fsico e depois clique em
PhysicalDisk8 (LON-SVR1).
4. No painel DISCOS FSICOS, clique com o boto direito do mouse no disco que exibe um aviso
ao lado e depois selecione Remover Disco.
5. Clique no boto Atualizar Pools de Armazenamento para ver os avisos que desaparecem.

Resultados: Aps a concluso deste laboratrio, voc ter criado um pool de armazenamento e
adicionado cinco discos a ele. Em seguida, voc ter criado um disco virtual de provisionamento dinmico
com espelhamento em trs direes a partir desse pool de armazenamento. Voc tambm ter copiado
um arquivo para o novo volume e confirmado que ele acessvel. Em seguida, aps a remoo de uma
unidade fsica, voc ter verificado que o disco virtual ainda estava disponvel e acessvel. Finalmente,
voc ter adicionado outro disco fsico ao pool de armazenamento.
Quando voc concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso,
e depois clique em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Perguntas de reviso
Pergunta: Seu volume atual est sem espao em disco. Voc tem um outro disco disponvel
no mesmo servidor. Que aes no sistema operacional Windows voc pode realizar para
ajudar a adicionar espao em disco?
Pergunta: Quais so os dois tipos diferentes de discos em Gerenciamento de Disco?
Pergunta: Quais so as implementaes mais importantes do RAID?
Pergunta: Voc conecta cinco discos de 2 TB ao seu computador com o
Windows Server 2012. Voc deseja gerenci-los de forma quase automtica
e, se um disco falhar, deseja garantir que os dados no sejam perdidos.
Que recurso possvel implementar para alcanar este objetivo?
Ferramentas
Gerenciamento de Disco Inicializar discos
Criar e modificar volumes
No Gerenciador do Servidor, no
menu Ferramentas (parte de
Gerenciamento do Computador)
Diskpart.exe Inicializar discos
Criar e modificar volumes a partir
de um prompt de comando
Prompt de comando
Mklink.exe Criar um link simblico
para um arquivo ou pasta
Prompt de comando
Chkdsk.exe Verificar um disco para um
volume formatado em NTFS
No pode ser usado para ReFS
ou discos virtuais
Prompt de comando
Defrag.exe Ferramenta de desfragmentao
de disco para volumes
formatados em NTFS.
No pode ser usado para ReFS
ou discos virtuais
Prompt de comando
Prtica recomendada
Veja a seguir as prticas recomendadas:
Se voc deseja diminuir um volume, desfragmente-o primeiro para que voc possa recuperar
mais espao do volume.
Use o formato de tabela de parties GPT para discos com mais de 2 TB.
Para volumes muito grandes, use o ReFS.
No use o FAT ou o FAT32 em discos do sistema operacional Windows Server.
Use o recurso Espaos de Armazenamento para que o sistema operacional Windows gerencie
seus discos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10-1
Mdulo 10
Implementao de servios de arquivo e impresso
Contedo:
Lio 1: Proteo de arquivos e pastas 10-2
Lio 2: Proteo de arquivos e pastas compartilhados usando cpias
de sombra 10-17
Lio 3: Configurao da impresso pela rede 10-21
Laboratrio: Implementao de servios de arquivo e impresso 10-28

Viso geral do mdulo
O acesso a arquivos e impressoras na rede um das atividades mais comuns no ambiente
Windows Server
. Um acesso seguro e confivel a arquivos e pastas e recursos de impresso

so frequentemente o primeiro requisito de uma rede baseada no Windows Server 2012.
Para fornecer acesso aos recursos de arquivo e impresso na sua rede, voc deve entender
como configurar esses recursos dentro do servidor Windows Server 2012 e como configurar
o acesso apropriado aos recursos para os usurios em seu ambiente.
Este mdulo discute como fornecer esses importantes recursos de arquivo e impresso com o
WindowsServer 2012. Voc aprender a habilitar e configurar servios de arquivo e impresso
no Windows Server 2012 e aprender consideraes importantes e prticas recomendadas para
trabalhar com os servios de arquivo e impresso.
Objetivos
Proteger arquivos e pastas compartilhados.
Proteger arquivos e pastas compartilhados usando cpias de sombra.
Configurar a impresso de rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
10-2 Implementao de servios de arquivo e impresso
Lio 1
Proteo de arquivos e pastas
Os arquivos e pastas armazenados pelos seus servidores normalmente contm dados funcionais
e corporativos da sua organizao. Fornecer o acesso apropriado a esses arquivos e pastas,
normalmente pela rede, uma parte importante do gerenciamento de servios de arquivo
e impresso no Windows Server 2012.
Esta lio fornece as informaes necessrias para voc proteger arquivos e pastas nos seus servidores
Windows Server 2012, para que os dados de sua organizao estejam disponveis, mas protegidos.
Objetivos da lio
Descrever as permisses do sistema de arquivos NTFS.
Descrever uma pasta compartilhada.
Descrever a herana de permisses.
Explicar como as permisses efetivas funcionam quando voc acessa pastas compartilhadas.
Descrever a enumerao baseada em acesso.
Descrever os arquivos offline.
Explicar como criar e configurar uma pasta compartilhada.
O que so permisses NTFS?
As permisses NTFS so atribudas a arquivos
ou pastas em uma unidade de armazenamento
formatada com o NTFS. As permisses atribudas
a arquivos e pastas NTFS controlam o acesso
do usurio a esses arquivos e pastas.
Os pontos a seguir descrevem os principais
aspectos das permisses NTFS:
As permisses NTFS podem ser configuradas
para um arquivo ou uma pasta individual
ou para conjuntos de arquivos ou pastas.
As permisses NTFS podem ser atribudas
individualmente a objetos que incluem usurios, grupos e computadores.
As permisses NTFS so controladas negando ou concedendo tipos especficos de acesso a arquivos
e pastas NTFS, como Leitura ou Gravao.
As permisses NTFS podem ser herdadas de pastas pai. Por padro, as permisses NTFS atribudas
a uma pasta tambm so atribudas a pastas ou arquivos recm-criados dentro dessa pasta pai.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-3
Tipos de permisses NTFS
H dois tipos de permisses NTFS atribuveis: padro e avanado.
Permisses padro
As permisses padro fornecem as configuraes de permisso usadas com mais frequncia para arquivos
e pastas. As permisses padro so atribudas na janela Atribuio de Permisses NTFS.
A tabela a seguir fornece detalhes das opes de permisso padro para arquivos e pastas NTFS.
Permisses de arquivo Descrio
Controle Total Concede ao usurio controle total do arquivo ou da pasta, incluindo
controle de permisses.
Modificar Concede ao usurio a permisso para ler, gravar ou excluir um arquivo
ou uma pasta, inclusive criar um arquivo ou uma pasta. Tambm concede
permisso para executar arquivos.
Ler e Executar Concede ao usurio permisso para ler um arquivo e iniciar programas.
Leitura Concede ao usurio permisso para exibir um arquivo ou o contedo
de uma pasta.
Gravar Concede ao usurio permisso para gravar em um arquivo.
Listar contedo da
pasta (somente pastas)
Concede ao usurio permisso para exibir uma lista de contedos
de uma pasta.
Observao: Conceder aos usurios as permisses Controle Total em um arquivo ou uma
pasta lhes permite executar qualquer operao de sistema de arquivos no objeto e tambm
alterar permisses no objeto. Eles tambm podem remover permisses no recurso para qualquer
usurio ou todos eles, inclusive voc.
Permisses avanadas
As permisses avanadas podem fornecer um nvel muito maior de controle sobre arquivos e pastas NTFS.
Para acess-las, clique no boto Avanado da guia Segurana da caixa de dilogo Propriedades de um
arquivo ou de uma pasta.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
A tabela a seguir fornece detalhes das permisses avanadas para arquivos e pastas NTFS.
Desviar Pasta/
Executar Arquivo
A permisso Desviar Pasta aplica-se somente s pastas. Essa permisso
concede ou nega aos usurios o direito de percorrer pastas para alcanar
outros arquivos ou pastas, mesmo que o usurio no tenha permisses
para as pastas atravessadas. A permisso Desviar Pasta somente entrar
em vigor quando o grupo ou o usurio no receber o direito de usurio
Ignorar a Verificao Completa. Por padro, o grupo Todos tem o direito
de usurio Ignorar a Verificao Completa.
A permisso Executar Arquivo concede ou nega acesso para executar
arquivos de programa.
Se voc definir a permisso Desviar Pasta em uma pasta, a permisso
Executar Arquivo no ser definida automaticamente em todos os arquivos
dessa pasta.
Listar Pasta/Ler Dados A permisso Listar Pasta concede ao usurio permisso para exibir nomes
de arquivo e nomes de subpasta. A permisso Listar Pasta somente
aplicvel a pastas e afeta apenas o contedo dessa pasta, ela no afeta
se a prpria pasta ser listada. Alm disso, essa configurao no tem
nenhum efeito na exibio da estrutura de arquivos de uma interface
de linha de comando.
A permisso Ler Dados concede ou nega a permisso de usurio para
exibir dados em arquivos. A permisso Ler Dados aplica-se somente
a arquivos.
Ler Atributos A permisso Ler Atributos concede ao usurio permisso para exibir os
atributos bsicos de um arquivo ou de uma pasta, como os atributos
Somente leitura e Oculto. Os atributos so definidos pelo NTFS.
Ler Atributos
Estendidos
A permisso Ler Atributos Estendidos concede ao usurio permisso
para exibir os atributos estendidos de um arquivo ou de uma pasta.
Os atributos estendidos so definidos pelos aplicativos e podem variar
de acordo com cada um deles.
Criar Arquivos/
Gravar Dados
A permisso Criar Arquivos aplica-se somente a pastas e concede
ao usurio permisso para criar arquivos na pasta.
A permisso Gravar Dados concede ao usurio permisso para fazer
alteraes no arquivo e substituir o contedo existente pelo NTFS.
A permisso Gravar Dados aplica-se somente a arquivos.
Criar Pastas/
Acrescentar Dados
A permisso Criar Pastas concede ao usurio permisso para criar pastas
dentro da pasta. A permisso Criar Pastas aplica-se somente a pastas.
A permisso Acrescentar Dados concede ao usurio permisso para fazer
alteraes no final do arquivo, mas no excluir ou substituir os dados
existentes. A permisso Acrescentar Dados aplica-se somente a arquivos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-5
(continuao)
Gravar Atributos A permisso Gravar Atributos concede ao usurio permisso para alterar
os atributos bsicos de um arquivo ou de uma pasta, como Somente
leitura ou Oculto. Os atributos so definidos pelo NTFS.
A permisso Gravar Atributos no implica que voc possa criar ou excluir
arquivos ou pastas; ela inclui apenas a permisso para alterar os atributos
de um arquivo ou de uma pasta. Para conceder permisses Criar
ou Excluir, consulte as entradas Criar Arquivos/Gravar Dados, Criar
Pastas/Acrescentar Dados, Excluir Subpastas e Arquivos e Excluir
desta tabela.
Gravar Atributos
Estendidos
A permisso Gravar Atributos Estendidos concede ao usurio permisso
para alterar os atributos estendidos de um arquivo ou de uma pasta.
Os atributos estendidos so definidos pelos programas e podem variar
de acordo com cada um deles.
A permisso Gravar Atributos Estendidos no implica que o usurio possa
criar ou excluir arquivos ou pastas; ela inclui apenas a permisso para
alterar os atributos de um arquivo ou de uma pasta. Para conceder
permisses Criar ou Excluir, consulte as entradas Criar Arquivos/Gravar
Dados, Criar Pastas/Acrescentar Dados, Excluir Subpastas e Arquivos
e Excluir desta tabela.
Excluir Subpastas
e Arquivos
A permisso Excluir Subpastas e Arquivos concede ao usurio permisso
para excluir subpastas e arquivos, mesmo que a permisso Excluir no
seja concedida na subpasta ou no arquivo. A permisso Excluir Subpastas
e Arquivos aplica-se somente a pastas.
Excluso A permisso Excluir concede ao usurio permisso para excluir o arquivo
ou a pasta. Se voc no tiver recebido a permisso Excluir em um arquivo
ou em uma pasta, ainda poder excluir o arquivo ou a pasta se tiver
recebido as permisses Excluir Subpastas e Arquivos na pasta pai.
Ler Permisses Ler Permisses concede ao usurio permisso para ler permisses sobre
o arquivo ou a pasta, como Controle Total, Ler e Gravar.
Alterar Permisses Alterar Permisses concede ao usurio permisso para alterar permisses
no arquivo ou na pasta, como Controle Total, Ler e Gravar.
Apropriar-se A permisso Apropriar-se concede ao usurio permisso para apropriar-se
do arquivo ou da pasta. O proprietrio de um arquivo ou uma pasta pode
alterar suas permisses, independentemente das permisses existentes
que protegem o arquivo ou a pasta.
Sincronizar A permisso Sincronizar atribui threads diferentes que aguardaro no
identificador do arquivo ou da pasta e que, depois, sero sincronizados
com outro thread que pode sinaliz-lo. Essa permisso aplica-se somente
a programas com vrios threads e vrios processos.
Observao: As permisses padro so combinaes de vrias permisses, permisses
individuais Avanado que so agrupadas em cenrios de uso de arquivo e pasta mais comuns.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exemplos de permisses NTFS
A seguir so apresentados exemplos bsicos de atribuio de permisses NTFS:
Para a pasta Imagens de Marketing, um administrador optou por atribuir permisses Permitir
a Adam Carter para o tipo de permisso Ler. No comportamento padro de permisses NTFS,
Adam Carter ter acesso de Leitura aos arquivos e s pastas contidas na pasta Imagens de Marketing.
Quando as permisses NTFS forem aplicadas, os resultados sero cumulativos. Por exemplo, no
exemplo anterior, suponha que Adam Carter tambm faa parte do grupo Marketing. O grupo
Marketing recebeu permisses de Gravao na pasta Imagens de Marketing. Quando combinarmos
as permisses atribudas conta de usurio de Adam Carter com as permisses atribudas ao grupo
Marketing, Adam teria as permisses Ler e Gravar para a pasta Imagens de Marketing.
Regras importantes para as permisses NTFS
H dois grupos importantes de permisses NTFS:
Explcita versus Herdada. Quando voc aplica permisses NTFS, as permisses aplicadas
explicitamente a um arquivo ou uma pasta tm precedncia sobre as herdadas de uma pasta pai.
Negar versus Permitir. Depois que as permisses NTFS forem divididas em permisses explcitas
e herdadas, qualquer permisso Negar existente substituir as permisses Permitir conflitantes
dentro do grupo.
Portanto, levando em conta essas regras, as permisses NTFS sero aplicadas na seguinte ordem:
1. Negar Explcita
2. Permitir Explcita
3. Negar Herdada
4. Permitir Herdada
importante lembrar que as permisses NTFS so cumulativas, e essas regras s se aplicam quando duas
configuraes de permisso NTFS esto em conflito entre si.
Como configurar permisses NTFS
Voc pode exibir e configurar as permisses NTFS seguindo estas etapas:
1. Clique com o boto direito do mouse no arquivo ou na pasta para a qual deseja atribuir permisses
e, em seguida, clique em Propriedades.
2. Na caixa de dilogo Propriedades, clique na guia Segurana. Nessa guia, voc pode selecionar
os usurios ou os grupos atuais que receberam as permisses atribudas para exibir as permisses
especficas designadas a cada entidade de segurana.
3. Para abrir uma caixa de dilogo de permisses editvel, que lhe permitir modificar as permisses
existentes ou adicionar novos usurios ou grupos, clique no boto Editar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-7
O que so pastas compartilhadas?
As pastas compartilhadas so um componente
importante que concedem acesso aos arquivos
no seu servidor da rede. Quando uma pasta
compartilhada, ela e todo o seu contedo
so disponibilizados a vrios usurios
simultaneamente atravs da rede. As pastas
compartilhadas mantm um conjunto de
permisses separado das permisses NTFS, que
se aplica ao contedo da pasta. Essas permisses
so usadas para fornecer um nvel de segurana
adicional aos arquivos e s pastas disponibilizadas
na rede.
A maioria das organizaes implanta servidores de arquivos dedicados para hospedar as pastas
compartilhadas. Os arquivos podem ser armazenados em pastas compartilhadas de acordo com
categorias ou funes. Por exemplo, voc pode colocar os arquivos compartilhados do Departamento
de Vendas em uma pasta compartilhada e os arquivos compartilhados do Departamento de Marketing
em outra.
Observao: O processo de compartilhamento s se aplica ao nvel de pasta.
Voc no pode compartilhar um arquivo individual ou um grupo de arquivos.
Acesso a uma pasta compartilhada
Usurios geralmente acessam uma pasta compartilhada atravs da rede usando seu endereo UNC
(Conveno de Nomenclatura Universal). O endereo UNC contm o nome do servidor no qual a pasta
est hospedada e o nome real da pasta compartilhada, separado por uma barra invertida (\) e precedida
por duas barras invertidas (\\). Por exemplo, o caminho UNC da pasta compartilhada Vendas no servidor
LON-SVR1 seria \\LON-SVR1\Vendas.
Compartilhamento de uma pasta na rede
O Windows Server 2012 compartilhar uma pasta de vrias maneiras:
Clique na unidade apropriada e, na seo Servios de Arquivo e Armazenamento no Gerenciador
do Servidor, clique na tarefa Novo Compartilhamento.
Use o Assistente de Compartilhamento de Arquivos no menu de atalho da pasta ou clicando no
boto Compartilhar na guia Compartilhamento da caixa de dilogo Propriedades da pasta.
Use Compartilhamento Avanado, clicando no boto Compartilhamento Avanado na guia
Compartilhamento da caixa de dilogo Propriedades da pasta.
Use a ferramenta de linha de comando Net use em uma janela de linha de comando.
Use o cmdlet New-SMBShare no Windows PowerShell
.
Observao: Ao compartilhar uma pasta, voc ser solicitado a atribuir um nome
pasta compartilhada. Esse nome no precisa ser o mesmo da pasta real; ele pode ser
um nome descritivo que melhor descreva o contedo da pasta para os usurios da rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Compartilhamentos administrativos
Voc pode criar pastas compartilhadas administrativas (ou ocultas) que precisam estar disponveis na
rede, mas devem estar ocultas para os usurios que navegam na rede. Voc pode acessar uma pasta
compartilhada administrativa digitando seu caminho UNC, mas ela no ser exibida se voc pesquisar
o servidor usando uma janela do Windows
Explorer. As pastas compartilhadas administrativas

normalmente tambm tm um conjunto de permisses mais restritivo atribudo pasta compartilhada
para refletir a natureza administrativa do contedo da pasta.
Para ocultar uma pasta compartilhada, acrescente o smbolo de dlar ($) ao nome da pasta.
Por exemplo, uma pasta compartilhada em LON-SVR1 denominada Vendas pode ser transformada
em pasta compartilhada oculta se for denominada Vendas$. A pasta compartilhada estar acessvel
pela rede usando o caminho UNC \\LON-SVR1\Vendas$.
Observao: As permisses de pasta compartilhada aplicam-se somente aos usurios que
acessam a pasta atravs da rede. Elas no afetam os usurios que acessam a pasta localmente no
computador no qual a pasta est armazenada.
Permisses de pasta compartilhada
Da mesma forma que as permisses NTFS, voc pode atribuir permisses de pasta compartilhada a
usurios, grupos ou computadores. Porm, ao contrrio das permisses NTFS, as permisses de pasta
compartilhada no so configurveis para arquivos ou pastas individuais dentro da pasta compartilhada.
As permisses de pasta compartilhada so definidas uma vez para a prpria pasta compartilhada e
aplicadas universalmente a todo o contedo da pasta compartilhada para os usurios que acessam
a pasta atravs da rede.
Quando voc cria uma pasta compartilhada, a permisso compartilhada padro atribuda para o grupo
Todos definido como Ler.
A tabela a seguir lista as permisses que voc pode conceder a uma pasta compartilhada.
Permisso de pasta
compartilhada
Descrio
Leitura Os usurios podem exibir nomes de arquivo e de pasta, exibir dados e
atributos de arquivos, executar arquivos de programa e scripts e navegar
na estrutura de pastas dentro da pasta compartilhada.
Alterar Os usurios podem criar pastas, adicionar arquivos a pastas, alterar dados
nos arquivos, acrescentar dados aos arquivos, alterar os atributos dos
arquivos, excluir pastas e arquivos e executar todas as tarefas permitidas
pela permisso Ler.
Controle Total Os usurios podem alterar as permisses de arquivo, apropriar-se de
arquivos e executar todas as tarefas permitidas pela permisso Alterar.
Observao: Quando voc atribui as permisses Controle Total a um usurio em uma
pasta compartilhada, esse usurio pode modificar as permisses na pasta compartilhada,
inclusive remover todos os usurios (incluindo os administradores) da lista de permisses da
pasta compartilhada. Na maioria dos casos, voc deve conceder a permisso Alterar em vez
da permisso Controle Total.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-9
Herana de permisses
Por padro, o NTFS e as pastas compartilhadas
usam herana para propagar permisses em
toda a estrutura de pastas. Quando voc cria
um arquivo ou uma pasta, ela atribuda
automaticamente s permisses definidas em
qualquer pasta existente acima dela (pasta pai)
na hierarquia da estrutura de pastas.
Como a herana aplicada
Considere o exemplo a seguir. Adam Carter
membro do grupo Marketing e do grupo Editores
de Nova York. A tabela a seguir um resumo das
permisses para esse exemplo:
Pasta ou arquivo Permisses atribudas Permisses de Adam
Marketing (pasta)
Imagens de Marketing (pasta)
Nova York (pasta)
Fall_Composite.jpg (arquivo)
Ler Marketing
Nenhum conjunto
Gravar Editores de Nova York
Nenhum conjunto
Leitura
Ler (herdada)
Ler(i) + Gravar
Ler(i) + Gravar(i)
Nesse exemplo, Adam membro de dois grupos que receberam permisses para arquivos ou pastas
da estrutura de pastas. So eles:
A pasta de nvel superior, Marketing, tem uma permisso atribuda para o Grupo Marketing que
lhe d acesso de leitura.
No prximo nvel, a pasta Imagens de Marketing no tem nenhuma permisso explcita definida,
mas, por causa da herana de permisses, Adam tem acesso de Leitura a essa pasta e seu contedo
a partir das permisses definidas na pasta Marketing.
No terceiro nvel, a pasta Nova York tem permisses Gravar atribudas a um dos grupos de Adam
Editores de Nova York. Alm dessa permisso Gravar explicitamente atribuda, a pasta Nova York
tambm herda a permisso Ler da pasta Marketing. Essas permisses so transmitidas para objetos de
arquivo e pasta e acumuladas com qualquer permisso explcita Ler e Gravar definida nesses arquivos.
O quarto e ltimo nvel o arquivo Fall_Composite.jpg. Embora nenhuma permisso explcita
tenha sido definida para esse arquivo, Adam tem acesso de Leitura e Gravao ao arquivo devido
s permisses herdadas tanto das pasta Marketing quanto da pasta Nova York.
Conflitos de permisso
s vezes, as permisses explicitamente definidas em um arquivo ou uma pasta entraro em conflito
com as permisses herdadas de uma pasta pai. Nesses casos, as permisses explicitamente atribudas
sempre substituiro as permisses herdadas. No exemplo especfico, se fosse negado o acesso Gravar
Adam Carter para a pasta pai Marketing, mas tivesse sido concedido acesso Gravar explicitamente
pasta Nova York, as permisses de acesso Gravar concedidas teriam precedncia sobre a permisso
herdada Negar acesso de gravao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Bloqueio de herana
Voc tambm pode desabilitar o comportamento de herana para um arquivo ou uma pasta (e seu
contedo) em uma unidade NTFS a fim de definir permisses explicitamente para um conjunto de
objetos sem incluir nenhuma das permisses herdadas de qualquer pasta pai. O Windows Server 2012
fornece uma opo para bloquear a herana em um arquivo ou uma pasta. Para bloquear a herana
em um arquivo ou uma pasta, execute as etapas a seguir:
Clique com o boto direito do mouse no arquivo ou na pasta em que deseja bloquear a herana
Na janela Propriedades, clique na guia Segurana e, em seguida, clique no boto Avanado.
Na janela Configuraes de Segurana Avanadas, clique no boto Alterar Permisses.
Na prxima janela Configuraes de Segurana Avanadas, clique no boto Desabilitar herana.
Neste momento, voc ser solicitado a converter as permisses herdadas em permisses explcitas ou
remover todas as permisses herdadas do objeto para iniciar com uma lista de permisses em branco.
Redefinio do comportamento de herana padro
Depois que voc bloquear a herana, as alteraes feitas nas permisses na estrutura de pastas pai no
ter mais efeito nas permisses para o objeto filho (e seu contedo) que bloqueou herana, a menos que
voc redefina esse comportamento de uma das pastas pai, marcando a caixa de seleo Substituir todas
as entradas de permisso de objeto filho por entradas hereditrias deste objeto. Quando voc
marca essa caixa de seleo, o conjunto de permisses existente na pasta atual propagado at todos
os objetos filho na estrutura de rvore e substitui todas as permisses atribudas explicitamente para
esses arquivos e pastas. Essa caixa de seleo est localizada diretamente abaixo da caixa de seleo
Incluir permisses herdveis provenientes do pai deste objeto.
Permisses efetivas
O acesso a um arquivo ou uma pasta no
Windows Server 2012 concedido com base
em uma combinao de permisses. Quando um
usurio tenta acessar um arquivo ou uma pasta,
a permisso aplicvel depende de vrios fatores,
incluindo:
Permisses explicitamente definidas
e herdadas que se aplicam ao usurio.
Permisses explicitamente definidas
e herdadas que se aplicam aos grupos
aos quais pertence o usurio.
Como o usurio est acessando o arquivo ou as pastas: localmente ou atravs da rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-11
As permisses NTFS efetivas so as permisses cumulativas atribudas a um usurio para um arquivo de
pasta com base nos fatores listados acima. Os princpios a seguir determinam as permisses NTFS efetivas:
As permisses cumulativas so a combinao das permisses NTFS mais altas concedidas ao usurio
e a todos os grupos dos quais o usurio membro. Por exemplo, se um usurio for membro de
um grupo que tenha a permisso Ler e for membro de um grupo que tenha a permisso Modificar,
ele obter as permisses Modificar cumulativas.
As permisses Negar substituem as permisses Permitir equivalentes. Entretanto, uma permisso
Permitir explcita poder substituir uma permisso Negar herdada. Por exemplo, se for negado
o acesso Gravar ao usurio a uma pasta atravs de uma permisso Negar herdada, mas tiver sido
concedido acesso Gravar explicitamente a uma subpasta ou um arquivo especfico, a permisso
Permitir explcita substituir a permisso Negar herdada para a subpasta ou o arquivo especfico.
Voc pode aplicar permisses a um usurio ou um grupo. A atribuio de permisses a grupos
preferida, pois elas so mais eficientes que o gerenciamento das permisses definidas para vrios
indivduos.
As permisses de arquivos NTFS tm prioridade sobre as permisses de pasta. Por exemplo,
se um usurio tiver a permisso Ler para uma pasta, mas tiver obtido a permisso Modificar
para determinados arquivos dessa pasta, a permisso efetiva para esses arquivos ser definida
como Modificar.
Cada objeto de uma unidade NTFS ou do Servios de Domnio Active Directory
(AD DS)
proprietrio. O proprietrio controla como as permisses so definidas no objeto e para
quem elas so concedidas. Por exemplo, um usurio que cria um arquivo em uma pasta
onde tem permisses Modificar pode alterar as permisses no arquivo para Controle Total.
Ferramenta Permisses Efetivas
O Windows Server 2012 fornece a ferramenta Permisses Efetivas que mostra as permisses NTFS efetivas
em um arquivo ou uma pasta para um usurio, com base nas permisses atribudas conta de usurio
e aos grupos aos quais a conta de usurio pertence. possvel acessar a ferramenta Permisses Efetivas
executando as seguintes etapas:
1. Clique com o boto direito do mouse no arquivo ou na pasta cujas permisses deseja analisar
2. Na caixa de dilogo Propriedades, clique no boto Avanado.
3. Na janela Configuraes de Segurana Avanadas, clique na guia Permisses Efetivas.
4. Escolha um usurio ou um grupo para avaliao usando o boto Selecionar.
Combinao de permisses NTFS e permisses de pasta compartilhada
As permisses NTFS e as permisses de pasta compartilhada trabalham em conjunto para controlar
o acesso aos recursos de arquivo e pasta acessados de uma rede. Ao configurar o acesso aos recursos
de rede em uma unidade NTFS, use as permisses NTFS mais restritivas para controlar o acesso a pastas
e arquivos e combine-as com as permisses de pasta compartilhada para controlar o acesso rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como funciona a combinao das permisses NTFS e com as permisses
de pasta compartilhada
Quando voc aplicar as permisses NTFS e as permisses de pasta compartilhada, lembre-se de que
a mais restritiva das duas permisses determinar o acesso de um usurio a um arquivo ou uma pasta.
Os dois exemplos a seguir explicam isso em mais detalhes:
Se voc definir as permisses NTFS em uma pasta como Controle Total, mas definir as permisses
de pasta compartilhada como Ler, o usurio ter apenas a permisso Ler ao acessar a pasta atravs
da rede. O acesso ser restrito no nvel de pasta compartilhada e qualquer acesso mais elevado
no nvel de permisses NTFS no ser aplicado.
Da mesma forma, se voc definir a permisso de pasta compartilhada como Controle Total e
definir as permisses NTFS como Gravar, o usurio no ter nenhuma restrio no nvel de pasta
compartilhada, mas as permisses NTFS na pasta concedero apenas permisses Gravar a essa pasta.
O usurio deve ter permisses apropriadas tanto no arquivo ou na pasta NTFS como na pasta
compartilhada. Se nenhuma permisso existir para o usurio (como indivduo ou como membro
de um grupo) em qualquer um dos dois recursos, o acesso ser negado.
Consideraes para as permisses combinadas NTFS e de pasta compartilhada
A seguir so apresentadas vrias consideraes que tornam a administrao das permisses mais
gerencivel:
Conceda permisses a grupos, em vez de a usurios. Os grupos podem ter sempre indivduos
adicionados ou excludos, enquanto as permisses analisadas caso a caso so difceis
de acompanhar e trabalhosas de gerenciar.
Use as permisses Negar somente quando necessrio. Como as permisses Negar so herdadas,
a atribuio de permisses Negar a uma pasta poder impedir o acesso dos usurios aos arquivos
mais abaixo na rvore de estrutura de pastas. Somente atribua permisses Negar nestas situaes:
Para excluir um subconjunto de um grupo que tenha permisses Permitir
Para excluir uma permisso especfica quando voc tiver concedido permisses Controle Total
a um usurio ou um grupo
Nunca negue ao grupo o acesso Todos a um objeto. Caso contrrio, voc negar o acesso
Administradores, inclusive para voc. Nesse caso, remova o grupo Todos da lista de permisses,
desde que voc conceda permisses a outros usurios, grupos ou computadores para o objeto.
Conceda permisses a um objeto localizado no nvel mais alto possvel na estrutura de pastas, de
modo que as configuraes de segurana se propaguem por toda a rvore. Por exemplo, em vez
de colocar os grupos que representam todos os departamentos da empresa juntos em uma pasta Ler,
atribua Usurios do Domnio (que um grupo padro para todas as contas de usurio no domnio)
ao compartilhamento. Dessa maneira, voc no precisar atualizar os grupos de departamento antes
de os novos usurios receberem a pasta compartilhada.
Use permisses NTFS em vez de permisses compartilhadas para um acesso refinado. A configurao
de permisses NTFS e de permisses de pasta compartilhada pode ser difcil. Considere atribuir as
permisses mais restritivas para um grupo contendo vrios usurios no nvel de pasta compartilhada
e, em seguida, use as permisses NTFS para atribuir permisses mais especficas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-13
O que enumerao baseada em acesso?
Com a enumerao baseada em acesso, os
usurios veem apenas os arquivos e pastas
que eles tm permisso para acessar.
A enumerao baseada em acesso fornece uma
melhor experincia de usurio, pois apresenta
uma exibio menos complexa do contedo de
uma pasta compartilhada, facilitando para os
usurios a localizao dos arquivos necessrios.
O Windows Server 2012 permite a enumerao
baseada em acesso das pastas compartilhadas
por um servidor na rede.
Como habilitar a enumerao baseada em acesso
Para habilitar a enumerao baseada em acesso para uma pasta compartilhada:
1. Abra o Gerenciador do Servidor.
2. No painel de navegao, clique em Servios de Arquivo e Armazenamento.
3. No painel de navegao, clique em Compartilhamentos.
4. No painel Compartilhamentos, clique com o boto direito do mouse na pasta compartilhada para a
qual voc deseja habilitar a enumerao baseada em acesso e, em seguida, clique em Propriedades.
5. Na caixa de dilogo Propriedades, clique em Configuraes e marque a caixa de seleo Habilitar
enumerao baseada em acesso.
Quando a caixa de seleo Quando a caixa de seleo estiver selecionada, a enumerao baseada em
acesso ser habilitada na pasta compartilhada. Essa configurao exclusiva a cada pasta compartilhada
no servidor.
Observao: O console Servios de Arquivo e Armazenamento o nico local na interface
do Windows Server 2012 onde voc pode configurar enumerao baseada em acesso para uma
pasta compartilhada. A enumerao baseada em acesso no est disponvel em nenhuma caixa
de dilogo de propriedades que pode ser acessada clicando com o boto direito do mouse na
pasta compartilhada, no Explorador de Arquivos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O que so arquivos offline?
Um arquivo offline uma cpia de um arquivo
de rede armazenado em um computador cliente.
A utilizao de arquivos offline permitir que os
usurios acessem arquivos baseados em rede
quando seu computador cliente for desconectado
da rede.
Os arquivos e as pastas offline sero editados
ou modificados pelo cliente e as alteraes sero
sincronizadas com a cpia de rede dos arquivos
na prxima vez que o cliente se reconectar
rede. O agendamento da sincronizao e
o comportamento dos arquivos offline so
controlados pelo sistema operacional cliente Windows.
Os arquivos offline esto disponveis com os seguintes sistemas operacionais:
Windows 8
Windows Server 2012
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Vista

Windows Server 2003
Windows XP
Com o Windows Server 2012, voc exibe a janela Configuraes Offline para uma pasta compartilhada,
clicando no boto Cache na janela Compartilhamento Avanado. As seguintes opes esto disponveis
na janela Configuraes Offline:
Somente os arquivos e programas especificados pelos usurios ficam disponveis offline. Essa
a opo padro quando voc configura uma pasta compartilhada. Quando voc usa essa opo,
por padro, nenhum arquivo ou programa est disponvel offline, e os usurios controlam quais
arquivos e programas desejaro acessar quando no estiverem conectados rede. Se preferir,
voc pode escolher a opo Habilitar BranchCache. Essa opo habilita os computadores que
esto acessando os arquivos para armazenar em cache os arquivos baixados da pasta que usa
o Windows BranchCache
. Voc deve instalar e configurar o BranchCache no servidor

Windows Server 2012 para selecionar essa opo.
Nenhum arquivo ou programa da pasta compartilhada fica disponvel offline. Essa opo impede
que os computadores cliente faam cpias dos arquivos e programas na pasta compartilhada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-15
Todos os arquivos e programas que os usurios abrem da pasta compartilhada ficam
automaticamente disponveis offline. Sempre que um usurio acessa a unidade ou a pasta
compartilhada e abre um arquivo ou um programa dentro dela, esse arquivo ou programa
automaticamente disponibilizado offline para esse usurio. Os arquivos e os programas
automaticamente disponibilizados offline permanecero no cache de arquivos offline e sero
sincronizados com a verso no servidor at que o cache esteja cheio ou o usurio exclua
os arquivos. Os arquivos e os programas no abertos no estaro disponveis offline.
Otimizado para desempenho. Se voc marcar a caixa de seleo Otimizado para desempenho,
os arquivos executveis (.exe, .dll) executados a partir da pasta compartilhada por um computador
cliente sero automaticamente armazenados em cache nesse computador cliente. Na prxima vez
que o computador cliente executar os arquivos executveis, ele acessar seu cache local em vez
da pasta compartilhada no servidor.
Observao: O recurso Arquivos Offline deve ser habilitado no computador cliente
para que os arquivos e programas sejam armazenados em cache automaticamente. Alm disso,
a opo Otimizado para desempenho no tm nenhum efeito nos computadores cliente
que usam o Windows Vista ou sistemas operacionais Windows mais antigos, pois esses sistemas
operacionais executam automaticamente o armazenamento em cache no nvel de programa,
conforme especificado por essa opo.
Definio da configurao Sempre Offline
Voc pode configurar os computadores que executam o Windows Server 2012 e o Windows 8 para
usar o modo Sempre disponvel offline quando eles acessarem as pastas compartilhadas. Quando voc
configura essa opo, os computadores cliente sempre usam a verso armazenada localmente em cache
dos arquivos de um compartilhamento de rede, at mesmo se eles estiverem conectados ao servidor
de arquivos por uma conexo de rede de alta velocidade.
Essa configurao normalmente resulta em um acesso mais rpido aos arquivos dos computadores
cliente, principalmente quando a conectividade ou a velocidade de uma conexo de rede est
intermitente. A sincronizao com os arquivos no servidor ocorre de acordo com a configurao
dos arquivos offline do computador cliente.
Como habilitar o modo Sempre offline
Para habilitar o modo Sempre Offline, use a Poltica de Grupo para habilitar a configurao Configurar
modo de vnculos lentos e defina o valor de latncia para 1. A configurao Configurar modo
de vnculos lentos est localizada na Poltica de Grupo, sob o n Configurao do Computador\
Polticas Administrativas\Rede\Arquivos Offline.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Criao e configurao de uma pasta compartilhada
A criao e a configurao de uma pasta compartilhada so normalmente realizadas dentro
do Explorador de Arquivos, na caixa de dilogo Propriedades do arquivo ou da pasta, na guia
Compartilhamento. Ao criar uma pasta compartilhada, verifique sempre se voc definiu as
permisses apropriadas para todos os arquivos e pastas dentro do local da pasta compartilhada.
Criar uma pasta compartilhada.
Atribuir permisses para a pasta compartilhada.
Configurar a enumerao baseada em acesso.
Configurar arquivos offline.
Criar uma pasta compartilhada
2. Na unidade E, crie uma pasta denominada Dados.
3. Compartilhe a pasta Dados.
Atribuir permisses para a pasta compartilhada
Conceda as permisses Alterar aos Usurios Autenticados para \\LON-SVR1\Dados.
Configurar a enumerao baseada em acesso
2. Navegue at o painel Compartilhar no console de gerenciamento Servios de Arquivo
e Armazenamento.
3. Abra a caixa de dilogo Propriedades de Dados para \\LON-SVR1\Dados e habilite
a enumerao baseada em acesso.
Configurar arquivos offline
1. Abra a caixa de dilogo Propriedades de Dados para E:\Dados.
2. Navegue at a guia Compartilhamento e abra as configuraes de Compartilhamento Avanado.
3. Abra as configuraes de Cache e desabilite os arquivos offline.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-17
Lio 2
Proteo de arquivos e pastas compartilhados usando
cpias de sombra
Use cpias de sombra para restaurar as verses anteriores de arquivos e pastas. muito mais rpido
restaurar uma verso anterior de um arquivo usando uma cpia de sombra do que de uma cpia
de backup tradicional, que pode ser armazenada fora do local. Os arquivos e as pastas podem ser
recuperadas por administradores ou diretamente pelos usurios finais.
Esta lio apresenta as cpias de sombra e mostra como configurar um agendamento de cpias
de sombra no Windows Server 2012.
Objetivos da lio
Descrever cpias de sombra.
Descrever as consideraes para agendar cpias de sombra.
Identificar mtodos para restaurar dados de cpias de sombra.
Restaurar dados de uma cpia de sombra.
O que so cpias de sombra?
Uma cpia de sombra uma imagem esttica
(ou um instantneo) de um conjunto de dados,
como um arquivo ou uma pasta. As cpias de
sombra permitem recuperar arquivos e pastas
com base em instantneos tirados das unidades
de armazenamento. Depois que um instantneo
tirado, voc poder exibir e, possivelmente,
restaurar as verses anteriores dos arquivos
e pastas existentes no momento em que
o instantneo foi tirado.
Uma cpia de sombra no faz uma cpia
completa de todos os arquivos de cada
instantneo. Nesse caso, depois que um instantneo tirado, o Windows Server 2012 acompanha as
alteraes na unidade. Uma quantidade especfica de espao em disco alocada para acompanhar
os blocos de disco alterados. Quando voc acessar uma verso anterior de um arquivo, uma parte
do contedo talvez esteja na verso atual do arquivo e uma outra, no instantneo.
Por padro, os blocos de disco alterados so armazenados na mesma unidade do arquivo original, mas
esse comportamento pode ser modificado. Voc tambm pode definir a quantidade de espao em disco
alocada para as cpias de sombra. Vrios instantneos so retidos at que o espao em disco alocado
esteja cheio. Depois disso, os instantneos mais antigos so removidos para liberar espao para novos
instantneos. A quantidade de espao em disco usada por um instantneo baseada no tamanho das
alteraes de disco entre os instantneos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como um instantneo no uma cpia completa de arquivos, voc no pode usar cpias de sombra
para substituir os backups tradicionais. Se o disco que contm uma unidade for perdido ou danificado,
os instantneos dessa unidade tambm sero perdidos.
As cpias de sombra so adequadas para recuperar arquivos de dados, mas no para dados mais
complexos (como bancos de dados), que precisam ser logicamente consistentes antes da execuo
de um backup. Um banco de dados restaurado de verses anteriores provavelmente estar corrompido
e necessitar de reparos do banco de dados.
Consideraes sobre o agendamento de cpias de sombra
O agendamento padro para a criao de cpias
de sombra de segunda-feira a sexta-feira, s
07:00, e novamente ao meio-dia. Voc pode
modificar o agendamento padro, conforme
desejado, para a sua organizao.
Ao agendar cpias de sombra:
Considere que aumentar a frequncia
das cpias de sombra aumenta a carga
no servidor. Como prtica recomendada,
voc no deve agendar cpias de sombra
da unidade mais de uma vez a cada hora.
Aumente a frequncia das cpias de sombra para os dados alterados com frequncia. Isto aumenta
a probabilidade de que as alteraes recentes de arquivo sejam capturadas.
Aumente a frequncia de cpias de sombra para dados importantes. Isso aumentar a probabilidade
de captura das alteraes recentes no arquivo.
Restaurao de dados de um cpia de sombra
As verses anteriores dos arquivos podem ser
restauradas por usurios ou administradores.
A maioria dos usurios no esto cientes de
que podem fazer isso e precisaro de instrues
sobre como restaurar uma verso anterior de
um arquivo.
Os administradores podem acessar verses
anteriores de arquivos diretamente no servidor
que armazena os arquivos. Os usurios podem
acessar as verses anteriores dos arquivos
atravs da rede usando um compartilhamento de
arquivos. Em ambos os casos, as verses anteriores
so acessadas pela caixa de dilogo Propriedades do arquivo ou da pasta. Os administradores podem
restaurar as verses anteriores dos arquivos diretamente no servidor, enquanto os usurios podem
restaurar as verses anteriores dos arquivos e das pastas compartilhadas que eles podem acessar
atravs da rede.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-19
Ao exibir as verses anteriores de uma pasta, voc pode procurar os arquivos disponveis e selecionar
apenas o arquivo necessrio. Se vrias verses de arquivos estiverem disponveis, voc poder examinar
cada verso antes de decidir qual delas restaurar. Finalmente, voc pode copiar uma verso anterior
de um arquivo para um local alternativo em vez de restaur-la ao seu local anterior. Isso impede a
substituio da verso de arquivo atual.
Os clientes dos sistemas operacionais Windows XP com Service Pack 2 (SP2) ou verso mais recente,
Windows Vista e Windows 7 so capazes de acessar as verses anteriores dos arquivos sem a instalao
de nenhum software adicional. A capacidade de acessar as verses anteriores dos arquivos no tem
mais suporte nos sistemas operacionais Windows anteriores ao Windows XP com SP2.
Demonstrao: Restaurao de dados de um cpia de sombra
Voc pode criar cpias de sombra usando o agendamento padro ou modificar o agendamento
para fornecer mais instantneos frequentes. Em qualquer um dos casos, voc ver apenas as verses
do arquivo conforme sua alterao. Uma cpia de sombra tirada de um arquivo no alterado no
ter nenhum efeito real na cpia de sombra. Nenhuma verso adicional estar disponvel e nenhum
espao ser usado no instantneo para esse arquivo especfico.
Configurar cpias de sombra.
Criar um novo arquivo.
Criar uma cpia de sombra.
Modificar o arquivo.
Restaurar a verso anterior.
Configurar cpias de sombra
1. Em LON-SVR1, abra o Explorador de Arquivos.
2. Habilite as cpias de sombra para Disco Local (C:).
Criar um novo arquivo
1. Abra o Explorador de Arquivos.
2. Crie uma pasta na unidade C denominada Dados.
3. Crie um arquivo de texto denominado TestFile.txt na pasta Dados.
4. Altere os contedo de TestFile.txt, adicionando e salvando o texto Verso 1.
Criar uma cpia de sombra
1. No Explorador de Arquivos, clique com o boto direito do mouse em Disco Local (C:) e, em seguida,
clique em Configurar cpias de sombra.
2. Na janela Cpias de Sombra, clique em Criar Agora.
3. Quando a cpia de sombra estiver concluda, clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Modificar o arquivo
1. No Explorador de Arquivos, clique duas vezes em TestFile.txt para abrir o documento.
2. No Bloco de Notas, digite Verso 2.
3. Feche o Bloco de Notas e clique em Salvar para salvar as alteraes.
Restaurar a verso anterior
1. No Explorador de Arquivos, clique com o boto direito do mouse em ArquivoTeste.txt e,
em seguida, clique em Restaurar verses anteriores.
2. Restaure a verso mais recente.
3. Na janela de aviso, clique em Restaurar.
4. Abra TestFile.txt para abrir o documento e verifique se a verso anterior foi restaurada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-21
Lio 3
Configurao da impresso pela rede
Ao usar a funo Servios de Impresso e Documentos no Windows Server 2012, voc pode compartilhar
impressoras em uma rede e centralizar o gerenciamento do servidor de impresso e da impressora
de rede. Ao usar o console Gerenciamento de Impresso, voc pode monitorar as filas de impresso
e receber notificaes importantes referentes atividade do servidor de impresso.
O Windows Server 2012 apresenta novos recursos e alteraes importantes na funo Servios de
Impresso e Documentos que podem ser usados para voc gerenciar melhor seu ambiente de impresso
pela rede. Esta lio explica os aspectos importantes da impresso pela rede e introduz novos recursos
de impresso pela rede disponveis no Windows Server 2012.
Objetivos da lio
Depois de concluir a lio, voc ser capaz de:
Identificar os benefcios da impresso pela rede.
Descrever o recurso avanado de Apontar e Imprimir.
Identificar as opes de segurana para impresso pela rede.
Criar vrias configuraes para um dispositivo de impresso.
Descrever um pool de impresso.
Descrever a Impresso Direta na Filial.
Identificar mtodos para a implantao de impressoras em clientes.
Benefcios da impresso pela rede
Voc pode configurar a impresso pela rede
usando o Windows Server 2012 como um
servidor de impresso para os usurios. Nessa
configurao, os computadores cliente enviam os
trabalhos de impresso ao servidor de impresso
para serem entregues para uma impressora
conectada rede.
Benefcios da impresso pela rede
Gerenciamento centralizado. O maior
benefcio de usar o Windows Server 2012
como um servidor de impresso o
gerenciamento centralizado da impresso.
Em vez de gerenciar as conexes dos clientes com vrios dispositivos individuais, voc gerencia
sua conexo com o servidor. Instale os drivers de impresso centralmente no servidor e, depois,
distribua-os pelas estaes de trabalho.
Soluo de problemas simplificada. Ao instalar os drivers de impressora centralmente em um servidor,
voc tambm simplifica a soluo de problemas. relativamente fcil determinar se os problemas
de impresso so causados pela impressora, pelo servidor ou pelo computador cliente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Custos reduzidos. Uma impressora de rede mais cara do que as impressoras geralmente usadas para
impresso local, mas ela tambm reduz significativamente os custos com consumveis e apresenta
melhor qualidade de impresso. Portanto, o custo de impresso ainda minimizado, pois o custo
inicial da impressora dividido entre todos os computadores que se conectam com essa impressora.
Por exemplo, uma nica impressora de rede pode atender 100 usurios ou mais.
Os usurios podem procurar impressoras facilmente. Voc tambm pode publicar impressoras
de rede no AD DS, que permite que os usurios procurem impressoras em seu domnio.
O que o recurso avanado de Apontar e Imprimir?
O recurso avanado de Apontar e Imprimir novo
no Windows Server 2012 e facilita a instalao de
drivers para impressoras de rede. Ele usa o novo
tipo de driver de verso 4 (v4) que introduzido
no Windows Server 2012 e no Windows 8.
Noes bsicas sobre drivers V3
e drivers V4
O padro de driver de impressora do Windows
usado nas verses anteriores do Windows Server
existiu relativamente no mesmo formulrio desde
a introduo dos drivers da verso 3 (v3) nos
sistemas operacionais Microsoft Windows 2000.
Com os drivers v3, os fabricantes de impressora criaram drivers de impresso personalizados para cada
dispositivo especfico produzido por eles, para assegurar que os aplicativos do Windows pudessem usar
todos os recursos de sua impressora. Com o modelo V3, o gerenciamento da infraestrutura da impressora
requer que os administradores mantenham drivers para cada dispositivo de impresso no ambiente e
separem os drivers de 32 bits e de 64 bits para um nico dispositivo de impresso, a fim de dar suporte
s duas plataformas.
Apresentao do driver de impressora V4
O Windows Server 2012 e o Windows 8 incluem suporte para os drivers de impresso v4, que permite
gerenciamento e instalao aprimorados do driver do dispositivo de impresso. Com base no modelo v4,
os fabricantes de dispositivo de impresso podem criar Drivers de Classe de Impresso que do suporte
a recursos e linguagem de impresso semelhantes que podem ser comuns a um grande conjunto de
dispositivos. As linguagens de impresso comuns podem incluir PCL, .ps ou XPS (XML Paper Specification).
Os drivers V4 so normalmente entregues usando o Windows Update ou o Windows Software Update
Services. Ao contrrio dos drivers v3, os drivers V4 no so entregues de um repositrio de impressora
hospedado no servidor de impresso.
O modelo de driver V4 oferece os seguintes benefcios:
O compartilhamento de uma impressora no requer drivers de provisionamento que correspondam
arquitetura de cliente.
Os arquivos de driver so isolados por driver, evitando conflitos de nomeao de arquivos de driver.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-23
Um nico driver pode dar suporte a vrios dispositivos.
Os pacotes de driver so menores e mais simplificados do que os drivers v3, resultando em tempos
de instalao de driver mais rpidos.
O driver de impressora e a interface de usurio da impressora podem ser implantados de forma
independente.
Utilizao do recurso avanado de Apontar e Imprimir para instalao do driver
Com base no modelo v4, o compartilhamento de impressora e a instalao do driver opera
automaticamente no recurso avanado de Apontar e Imprimir. Quando uma impressora de rede
instalada em um computador cliente, o servidor e o cliente trabalham juntos para identificar
o dispositivo de impresso. Em seguida, o driver instalado diretamente do repositrio de drivers
na mquina cliente ou do Windows Update ou Windows Software Update Services.
Com o recurso avanado de Apontar e Imprimir, os drivers de dispositivo de impresso no precisaro
mais ser mantidos no servidor de impresso. A instalao do driver para os dispositivos de impresso
de rede fica mais rpida, pois os drivers de impressora no precisam mais ser transferidos pela rede
do servidor para o cliente.
Se o repositrio de drivers na mquina cliente no contiver um driver para a impressora de rede
que est sendo instalada e se um driver apropriado no puder ser obtido do Windows Update ou
do Windows Server Update Services, o Windows usar um mecanismo de fallback para permitir
a impresso entre plataformas usando o driver de impresso do servidor de impresso.
Opes de segurana para impresso de rede
Quando uma impressora compartilhada
por uma rede, em muitos casos, nenhuma
segurana necessria. A impressora
considerada um dispositivo de acesso aberto,
ou seja, todos tm permisso para imprimir
com ela. Essa a configurao padro de uma
impressora compartilhada em um servidor
que executa o Windows.
As permisses que esto disponveis para
impresso compartilhada incluem:
Imprimir: Esta permisso permite que
os usurios imprimam documentos na
impressora. Por padro, o grupo Everyone tem esta permisso.
Gerenciar esta impressora: Esta permisso permite que os usurios modifiquem configuraes
de impresso, inclusive atualizar drivers. Por padro, esta permisso dada a Administradores,
Operadores de Servidor e Operadores de Impresso.
Gerenciar documentos: essa permisso permite que os usurios modifiquem e excluam os trabalhos
de impresso na fila. Essa permisso atribuda ao PROPRIETRIO CRIADOR, que significa que o
usurio que cria um trabalho de impresso gerencia esse trabalho. Administradores, Operadores
de Servidor e Operadores de Impresso tambm recebem essa permisso para todos os trabalhos
de impresso.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Criao de vrias configuraes para um dispositivo
de impresso
A criao de vrias configuraes para um dispositivo de impresso permite que voc atribua filas de
impresso a usurios ou grupos especficos, para que eles possam imprimir trabalhos de alta prioridade
em uma impressora usada por outros usurios. Quando um trabalho de impresso for enviado fila de
impresso de alta prioridade, o servidor de impresso processar esse trabalho antes de qualquer outro
proveniente da fila de prioridade normal.
Criar uma impressora compartilhada.
Criar uma segunda impressora compartilhada usando a mesma porta.
Aumentar a prioridade de impresso para uma fila de impresso de alta prioridade.
Criar uma impressora compartilhada
1. Abra a janela Devices e Impressora.
2. Adicione uma impressora usando a porta local LPT1 e o driver Brother Color Leg Type1 Class
driver.
3. Nomeie a impressora como AllUsers.
4. Compartilhe a impressora usando as configuraes padro.
Criar uma segunda impressora compartilhada usando a mesma porta
1. Abra a janela Dispositivos e Impressora.
2. Adicione uma impressora usando a porta local LPT1 e o driver Brother Color Leg Type1 Class
driver.
3. Nomeie a impressora como Executives.
4. Compartilhe a impressora usando as configuraes padro.
Aumentar a prioridade de impresso para uma fila de impresso de alta prioridade
1. Abra a janela de propriedades da Impressora Executives.
2. Aumente a Prioridade para 10.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-25
O que um pool de impressoras?
O pool de impressoras uma maneira
de combinar vrias impressoras fsicas em
uma nica unidade lgica. Nos computadores
cliente, o pool de impressoras parece ser
uma nica impressora. Quando trabalhos so
enviados ao pool de impressoras, eles podem ser
processados por qualquer impressora disponvel
no pool de impressoras.
Com o pool de impressoras, a escalabilidade e a
disponibilidade de impresso da rede aumentam.
Se uma impressora no pool no estiver disponvel
(por exemplo, se estiver realizando um grande
trabalho de impresso, ocorrer obstruo de papel ou estiver offline), todos os trabalhos sero
distribudos para as demais impressoras. Se um pool de impressoras no tiver capacidade suficiente,
voc poder adicionar outra impressora no pool de impressoras sem executar nenhuma configurao
do cliente.
Um pool de impressoras configurado em um servidor especificando-se vrias portas para uma
impressora. Cada porta o local de uma impressora fsica. Na maioria dos casos, as portas so
um endereo IP na rede, em vez de uma porta LPT local ou uma conexo USB.
Os requisitos para um pool de impressoras so os seguintes:
As impressoras devem usar o mesmo driver: Os clientes usam um nico driver de impressora
para gerar trabalhos de impresso. Todas as impressoras devem aceitar trabalhos de impresso
no mesmo formato. Em muitos casos, isso significa que um nico modelo de impressora usado.
As impressoras devem estar no mesmo local: As impressoras em um pool de impressoras devem
estar localizadas fisicamente perto umas das outras. Quando os usurios forem recuperar os trabalhos
de impresso, eles devem verificar todas as impressoras no pool para localizar seus respectivos
documentos. Os usurios no tm como saber qual impressora imprimiu seu documento.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O que Impresso Direta na Filial?
A Impresso Direta na Filial reduz os custos com
a rede das organizaes que centralizaram suas
funes do Windows Server. Quando a Impresso
Direta na Filial est habilitada, os clientes Windows
obtm informaes da impressora do servidor de
impresso, mas enviam os trabalhos de impresso
diretamente para a impressora. Os dados de
impresso no vo mais para o servidor central e,
depois, retornam para a impressora da filial. Essa
configurao reduz o trfego entre o computador
cliente, o servidor de impresso e a impressora
da filial e resulta em mais eficincia da rede.
A Impresso Direta na Filial transparente ao usurio. Alm disso, o usurio poder imprimir at
mesmo se o servidor de impresso no estiver disponvel por algum motivo (por exemplo, se o link WAN
(rede de longa distncia) para o data center estiver inoperante). Isso porque as informaes da impressora
so armazenadas em cache no computador cliente da filial.
Configurao da Impresso Direta na Filial
A Impresso Direta na Filial configurada por um administrador usando o console Gerenciamento
de Impresso ou umainterface de linha de comando do Windows PowerShell.
Para configurar Impresso Direta na Filial do console Gerenciamento de Impresso, use as etapas
seguintes:
1. No Gerenciador do Servidor, abra o console Gerenciamento de Impresso.
2. No painel de navegao, expanda Servidores de Impresso e, em seguida, expanda o servidor
de impresso que est hospedando a impressora de rede para a qual a Impresso Direta na Filial
ser habilitada.
3. Clique no n Impressoras, clique com o boto direito do mouse na impressora desejada
e, em seguida, clique em Habilitar Impresso Direta na Filial.
Para configurar a Impresso Direta na Filial usando o Windows PowerShell, digite o cmdlet a seguir
em um prompt do Windows PowerShell:
Set-Printer -name "<Nome de Impressora>" -ComputerName <Nome do Servidor de Impresso> -
RenderingMode BranchOffice

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-27
Implantao de impressoras para clientes
A implantao de impressoras para clientes uma
parte crtica do gerenciamento dos servios de
impresso na rede. Um sistema bem projetado
para a implantao de impressoras escalonvel
e pode ser usado para gerenciar centenas
ou milhares de computadores.
As opes para implantar impressoras so:
Preferncias de Poltica de Grupo. Voc pode
usar as preferncias de Poltica de Grupo
para implantar impressoras compartilhadas
em clientes que executam o Windows XP, o
Windows Vista, o Windows 7 e o Windows 8.
A impressora pode ser associada conta de usurio ou conta de computador e tambm pode ser
destinada por grupo. Para computadores que executam o Windows XP, voc deve instalar a Extenso
Cliente da Preferncia de Poltica de Grupo.
GPO criado pelo Gerenciamento de Impresso. A ferramenta administrativa Gerenciamento de
Impresso pode adicionar impressoras a um GPO para distribuio a computadores cliente com
base em uma conta de usurio ou uma conta de computador. Os computadores que executam
o Windows XP devem ser configurados para executar o PushPrinterConnections.exe.
Instalao manual. Cada usurio pode adicionar impressoras manualmente, navegando na rede ou
usando o Assistente para Adicionar Impressora. importante observar que as impressoras de rede
instaladas manualmente s estaro disponveis para o usurio que as instalou. Se vrios usurios
compartilharem um computador, cada um deles dever instalar a impressora manualmente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio: Implementao de servios de arquivo
e impresso
Cenrio
Seu gerente lhe pediu recentemente para configurar os servios de arquivo e impresso para a filial.
Isso requer que voc configure uma nova pasta compartilhada que ser usada por vrios departamentos,
configure cpias de sombra nos servidores de arquivos e configure um pool de impressoras.
Objetivos
Criar e configurar um compartilhamento de arquivos.
Configurar cpias de sombra.
Criar e configurar um pool de impressoras.

Mquinas virtuais 24410B-LON-CL1
24410B-LON-DC1
24410B-LON-SVR1
Senha Pa$$w0rd
em Gerenciador Hyper-V
.
2. No Gerenciador Hyper-V, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.
o Senha: Pa$$w0rd
o Domnio: ADATUM
5. Repita as etapas 2 a 4 para 24410B-LON-SVR1. Repita as etapas 2 e 3 para 24410B-LON-CL1.
No entre em LON-CL1 at receber instrues.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-29
Exerccio 1: Criao e configurao de um compartilhamento de arquivos
Cenrio
Seu gerente lhe pediu para criar uma nova pasta compartilhada para ser usada por todos os
departamentos. Haver um nico compartilhamento de arquivos com pastas separadas para
cada departamento. Para assegurar que os usurios vejam apenas os arquivos para os quais
tm acesso, voc precisa habilitar a enumerao baseada em acesso no compartilhamento.
Ocorreram problemas em outras filiais com conflitos quando arquivos offline foram usados para
as estruturas de dados compartilhados. Para evitar conflitos, voc precisa desabilitar Arquivos Offline
para este compartilhamento.
1. Criar a estrutura de pastas para o novo compartilhamento
2. Configurar permisses NTFS na estrutura de pastas
3. Criar a pasta compartilhada
4. Testar o acesso pasta compartilhada
5. Habilitar a enumerao baseada em acesso
6. Testar o acesso ao compartilhamento
7. Desabilitar Arquivos Offline para o compartilhamento
Tarefa 1: Criar a estrutura de pastas para o novo compartilhamento
1. Em LON-SVR1, abra uma janela do Explorador de Arquivos e crie as seguintes pastas:
o E:\Dados
o E:\Dados\Development
o E:\Dados\Marketing
o E:\Dados\Research
o E:\Dados\Sales
Tarefa 2: Configurar permisses NTFS na estrutura de pastas
1. No Explorador de Arquivos, bloqueie a herana de permisses NTFS para E:\Dados e, quando
solicitado, converta as permisses herdadas em permisses explcitas.
2. No Explorador de Arquivos, remova as permisses para LON-SVR1\Usurios nos subdiretrios
em E:\Dados.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. No Explorador de Arquivos, adicione as seguintes permisses NTFS para a estrutura de pastas:
Pasta Permisses
E:\Dados Nenhuma alterao
E:\Dados\Desenvolvimento Modificar: ADATUM\Desenvolvimento
E:\Dados\Marketing Modificar: ADATUM\Marketing
E:\Dados\Pesquisa Modificar: ADATUM\Pesquisa
E:\Dados\Vendas Modificar: ADATUM\Vendas
Tarefa 3: Criar a pasta compartilhada
1. No Explorador de Arquivos, compartilhe a pasta E:\Dados.
2. Atribua as seguintes permisses pasta compartilhada:
Alterar: ADATUM\Usurios autenticados
Tarefa 4: Testar o acesso pasta compartilhada
1. Entre em LON-CL1 como ADATUM\Bernard com a senha Pa$$w0rd.
Observao: Bernard no membro do grupo Desenvolvimento.
3. Navegue at \\LON-SVR1\Dados.
4. Tente abrir as pastas Development, Marketing, Research e Sales.
Observao: Bernard no deve ter acesso pasta Desenvolvimento. Porm, embora Bernard
ainda possa ver as outras pastas, ele no tem acesso ao seu contedo.
5. Saia de LON-CL1.
Tarefa 5: Habilitar a enumerao baseada em acesso
3. Clique em Gerenciamento de Arquivos e Armazenamento.
4. Clique em Compartilhamentos.
5. Abra a janela Propriedades para o compartilhamento Dados e, na pgina Configuraes,
habilite Habilitar enumerao baseada em acesso.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-31
Tarefa 6: Testar o acesso ao compartilhamento
2. Abra uma janela do Explorador de Arquivos e navegue at \\LON-SVR1\Dados.
Observao: Bernard agora pode exibir apenas a pasta Desenvolvimento, a pasta para
a qual ele recebeu permisses.
3. Abra a pasta Desenvolvimento para confirmar o acesso.
4. Saia de LON-CL1.
Tarefa 7: Desabilitar Arquivos Offline para o compartilhamento
3. Navegue at a unidade E.
4. Abra a janela Propriedades para a pasta Dados e desabilite o modo de cache de arquivos offline.

Resultados: Depois de concluir este exerccio, voc ter criado uma nova pasta compartilhada para ser
usada por vrios departamentos.
Exerccio 2: Configurao de cpias de sombra
Cenrio
A A. Datum Corporation armazena backups diariamente fora do local para a recuperao de desastres.
Todas as manhs, o backup da noite anterior levado para fora do local. Para recuperar um arquivo do
backup, necessrio trazer as fitas de backup de volta ao local. Em geral, o tempo para a recuperao
de um arquivo de backup pode ser um dia ou mais.
Seu gerente lhe pediu para assegurar que as cpias de sombra estejam habilitadas no servidor de
arquivos para que voc possa restaurar os arquivos modificados ou excludos recentemente sem
usar uma fita de backup. Como os dados nessa filial so alterados com frequncia, pediram a voc
para configurar uma cpia de sombra que fosse criada uma vez por hora.
1. Configurar cpias de sombra para o compartilhamento de arquivos
2. Criar vrias cpias de sombra de um arquivo
3. Recuperar um arquivo excludo de uma cpia de sombra
Tarefa 1: Configurar cpias de sombra para o compartilhamento de arquivos
3. Navegue at a unidade E, clique com o boto direito do mouse em Allfiles (E:) e, em seguida,
4. Habilite Cpias de Sombra para a unidade E.
5. Defina as configuraes para agendar cpias de sombra de hora em hora para a unidade E.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Criar vrias cpias de sombra de um arquivo
1. Em LON-SVR1, alterne para Explorador de Arquivos e navegue at a pasta
E:\Dados\Development.
2. Crie um novo arquivo de texto denominado Relatrio.txt.
3. Retorne caixa de dilogo Cpias de Sombra; ela ainda deve estar aberta na guia Cpias
de Sombra. Clique em Criar Agora.
Tarefa 3: Recuperar um arquivo excludo de uma cpia de sombra
1. Em LON-SVR1, retorne janela do Explorador de Arquivos.
2. Exclua o arquivo Relatrio.txt.
3. Abra a caixa de dilogo Propriedades para E:\Dados\Development clique na guia Verses
Anteriores.
4. Abra a verso mais recente da pasta Development e copie o arquivo Relatrio.txt.
5. Cole o arquivo de volta na pasta Development.
6. Feche o Explorador de Arquivos e todas as janelas abertas.

Resultados: Depois de concluir este exerccio, voc ter habilitado cpias de sombra no servidor
de arquivos.
Exerccio 3: Criao e configurao de um pool de impressoras
Cenrio
Seu gerente lhe pediu para criar uma nova impressora compartilhada para sua filial. Porm, em vez de
criar a impressora compartilhada no servidor local na filial, ele lhe pediu para cri-la na matriz e usar a
Impresso Direta na Filial. Isso permite gerenciar a impressora na matriz, mas impede que os trabalhos
de impresso percorram links WAN.
Para assegurar a alta disponibilidade dessa impressora, voc precisa format-la como uma impressora
em pool. Dois dispositivos de impresso fsicos do mesmo modelo foram instalados na filial para essa
finalidade.
1. Instalar a funo de servidor Servios de Impresso e Documento
2. Instalar uma impressora
3. Configurar o pool de impressoras
4. Instalar uma impressora em um computador cliente
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-33
Tarefa 1: Instalar a funo de servidor Servios de Impresso e Documento
2. Instale a funo Servios de Impresso e Documento e aceite as configuraes padro.
Tarefa 2: Instalar uma impressora
1. Em LON-SVR1, use o console Gerenciamento de Impresso para instalar uma impressora
com os seguintes parmetros:
Endereo IP: 172.16.0.200
Driver: Microsoft XPS Class Driver
Nome: Impressora da Filial
2. Compartilhe a impressora.
3. Liste a impressora no AD DS.
4. Habilite a Impresso Direta na Filial.
Tarefa 3: Configurar o pool de impressoras
1. Em LON-SVR1, no console Gerenciamento de Impresso, crie uma nova porta com a seguinte
configurao:
Tipo: Standard TCP/IP Port
Endereo IP: 172.16.0.201
Conexo: Placa de Rede Genrica
2. Abra a pgina Propriedades de Impressora da Filial e, na guia Portas, habilite o pool
de impressoras.
3. Selecione a porta 172.16.0.201 como a segunda porta.
Tarefa 4: Instalar uma impressora em um computador cliente
2. Adicione uma impressora, selecionando a impressora Impressora da Filial em LON-SVR1.
Tarefa 5: Para se preparar para o prximo mdulo
Depois de concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso,
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-SVR1
e, em seguida, clique em Reverter.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Repita as etapas 2 e 3 para 24410B-LON-CL1 e 24410B-LON-DC1.

Resultados: Depois de concluir este exerccio, voc ter instalado a funo de servidor Servios
de Impresso e Documento e instalado uma impressora com o pool de impressoras.
Pergunta: Como a implementao da enumerao baseada em acesso beneficia os usurios
da pasta compartilhada Dados neste laboratrio?
Pergunta: H outro modo de recuperar o arquivo no exerccio de cpia de sombra? Qual
o benefcio das cpias de sombra em comparao?
Pergunta: No Exerccio 3, como voc configuraria a Impresso Direta na Filial se estivesse
em um local remoto e no tivesse acesso GUI do Windows Server 2012 para o servidor
de impresso?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 10-35
Perguntas de reviso
Pergunta: Como a herana afeta as permisses atribudas explicitamente em um arquivo?
Pergunta: Por que voc no deve usar cpias de sombra como uma maneira de fazer
backup de dados?
Pergunta: Em quais cenrios a Impresso Direta na Filial poderia ser benfica?
Ferramentas
Nome da ferramenta Usada para Onde encontrar
Ferramenta
Permisses Efetivas
Avaliar as permisses combinadas
para um arquivo, uma pasta ou
uma pasta compartilhada.
Em Avanada, na guia Segurana
da caixa de dilogo Propriedades de
um arquivo, uma pasta ou uma pasta
compartilhada.
Ferramenta de linha
de comando Net use
Configurar os componentes de rede
Janela do prompt de comando.
Console
Gerenciamento
de Impresso
Gerenciar o ambiente de impresso
no Windows Server 2012.
No menu Ferramentas do Gerenciador
do Servidor.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11-1
Mdulo 11
Implementao da Poltica de Grupo
Contedo:
Lio 1: Viso geral da Poltica de Grupo 11-2
Lio 2: Processamento da Poltica de Grupo 11-11
Lio 3: Implementao de um repositrio central para modelos
administrativos 11-18
Laboratrio: Implementao da Poltica de Grupo 11-23

Viso geral do mdulo
Manter um ambiente de computao consistente em uma organizao uma tarefa desafiadora.
Os administradores precisam de um mecanismo para configurar e impor as configuraes e
as restries de computador e de usurio. A Poltica de Grupo pode oferecer essa consistncia,
permitindo que os administradores gerenciem centralmente e apliquem definies de configurao.
Este mdulo apresenta uma viso geral da Poltica de Grupo e fornece detalhes como sobre
implemente GPOs.
Objetivos
Criar e gerenciar Objetos de Poltica de Grupo.
Descrever o processamento da Poltica de Grupo.
Implementar um repositrio central para modelos administrativos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
11-2 Implementao da Poltica de Grupo
Lio 1
Viso geral da Poltica de Grupo
A Poltica de Grupo lhe permite controlar o ambiente de computao. importante que voc entenda
o modo de funcionamento da Poltica de Grupo, para poder aplicar a Poltica de Grupo corretamente.
Esta lio apresenta uma viso geral da estrutura da Poltica de Grupo e define os Objetos de Poltica de
Grupo (GPOs) locais e baseados em domnio. Ele tambm descreve os tipos de configuraes disponveis
para usurios e grupos.
Objetivos da lio
Descrever os componentes da Poltica de Grupo.
Descrever vrios GPOs locais.
Descreva as opes de armazenamento para os GPOs de domnio.
Descrever as polticas e as preferncias de GPO.
Descrever os GPOs de incio.
Descrever o processo de delegao do gerenciamento de GPOs.
Descrever o processo de criao e gerenciamento de GPOs.
Componentes da Poltica de Grupo
As configuraes de Poltica de Grupo so
definies de configurao que permitem
aos administradores impor configuraes,
modificando as configuraes do Registro
especficas de computador e do usurio em
computadores baseados em domnio. Voc pode
agrupar as configuraes de Poltica de Grupo
para criar GPOs, que depois podero ser aplicados
a usurios ou computadores.
GPOs
Um GPO um objeto que contm uma ou mais
configuraes de poltica que aplicam definies
de configurao para usurios, computadores ou ambos. Os modelos de GPO so armazenados no
SYSVOL, enquanto os objetos contineres de GPO so armazenados no AD DS. Os GPOs podem ser
gerenciados atravs do GPMC (Console de Gerenciamento de Poltica de Grupo). GPOs no podem ser
vinculados aos contineres de Usurios e Computadores. GPOs podem ser vinculados a sites, domnios
e unidades organizacionais.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-3
Configuraes da Poltica de Grupo
Uma configurao de Poltica de Grupo o componente mais granular da Poltica de Grupo. Ela define
uma alterao de configurao especfica a ser aplicada a um objeto (um computador ou um usurio,
ou ambos) dentro do AD DS (Servios de Domnio Active Directory). A Poltica de Grupo tem milhares
de definies configurveis. Essas configuraes podem afetar praticamente toda a rea do ambiente
de computao. Nem todas as configuraes podem ser se aplicadas a todas as verses anteriores dos
sistemas operacionais Windows Server
e Windows
. Cada nova verso introduz novas configuraes e

recursos que somente so aplicveis a essa verso especfica. Se um computador tiver uma configurao
de Poltica de Grupo aplicada que ele no consiga processar, ele simplesmente a ignorar.
A maioria das configuraes de poltica tm trs estados:
No Configurado. O GPO no modificar a configurao existente da definio especfica do usurio
ou do computador.
Habilitado. A configurao de poltica ser aplicada.
Desabilitado. A configurao de poltica especificamente invertida.
Por padro, a maioria das configuraes so definidas como No Configurado.
Observao: Algumas configuraes tm mltiplos valores ou valores de cadeia de texto.
Elas so normalmente usadas para fornecer detalhes especficos de configurao a aplicativos
ou componentes do sistema operacional. Por exemplo, uma configurao pode fornecer a URL
da home page para o Windows Internet Explorer
ou para aplicativos bloqueados.

Os efeitos da alterao de configurao da configurao de poltica. Por exemplo, se voc habilitar
a configurao de poltica Proibir Acesso ao Painel de Controle, os usurios no podero abrir o
Painel de Controle. Se voc desabilitar a configurao de poltica, os usurios podero abrir o Painel
de Controle. Observe o duplo aspecto negativo dessa configurao de poltica: voc desabilita uma
poltica que impede uma ao, permitindo, portanto, a execuo da ao.
Estrutura das configuraes de Poltica de Grupo
H duas reas distintas de configuraes de Poltica de Grupo:
Configuraes do usurio. So configuraes que modificam o hive HKey_Current_User do Registro.
Configuraes do computador. So configuraes que modificam o hive HKey_Local_Machine
do Registro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
As configuraes de usurio e computador tm, cada uma, trs reas de configurao, conforme descrito
na tabela a seguir.
Seo Descrio
Configuraes de software Contm as configuraes de software que podem ser implantadas para
o usurio ou o computador. O software implantado para um usurio
especfico a esse usurio. O software implantado para o computador
est disponvel a todos os usurios desse computador.
Configuraes do sistema
operacional Windows
Contm configuraes de script e configuraes de segurana para
o usurio e o computador e manuteno do Internet Explorer para
a configurao de usurio.
Modelos administrativos Contm centenas de configuraes que modificam o Registro para
controlar diversos aspectos do ambiente do usurio e do computador.
Novos modelos administrativos podem ser criados pela Microsoft ou
por outros fornecedores. Voc pode adicionar esses novos modelos
ao GPMC. Por exemplo, a Microsoft tem modelos do Office 2010 que
esto disponveis para download e que voc pode adicionar ao GPMC.
Editor de Gerenciamento de Poltica de Grupo
O Editor de Gerenciamento de Poltica de Grupo exibe as configuraes individuais de Poltica de Grupo
que esto disponveis em um GPO. Elas so exibidas em uma hierarquia organizada que comea com a
diviso entre as configuraes de computador e as configuraes de usurio e, depois, expande-se para
mostrar o n Configurao do Computador e o n Configurao do Usurio. O Editor de Gerenciamento
de Poltica de Grupo onde todas as configuraes e preferncias de Poltica de Grupo so configuradas.
Preferncias de Poltica de Grupo
Alm das sees de Poltica de Grupo mostradas na tabela anterior, um n Preferncias est presente sob
os ns Configurao do Computador e Configurao do Usurio no Editor de Gerenciamento de Poltica
de Grupo. As preferncias fornecem ainda mais recursos para configurar o ambiente e sero abordadas
posteriormente neste mdulo.
Poltica de Grupo Local
Todos os sistemas que executam sistemas operacionais de cliente ou servidor Microsoft
Windows 2000,
ou verso mais recente, tambm tm GPOs locais disponveis. As configuraes de poltica local s se
aplicam mquina local, mas voc pode export-las para outros computadores ou import-las deles.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-5
Quais so os vrios GPOs locais?
Nos sistemas operacionais Windows anteriores ao
Windows Vista
, havia apenas uma configurao

de usurio disponvel na Poltica de Grupo local.
Essa configurao foi aplicada a todos os usurios
que fizeram logon a partir desse computador
local. Isso ainda verdade, mas o Windows Vista

e os sistemas operacionais cliente Windows mais
novos e o Windows Server 2008 e sistemas
operacionais Windows Server mais atuais tm um
recurso adicional, ou seja, vrios GPOs locais.
No Windows 8 e no Windows Server 2012, voc
agora tambm pode ter configuraes de usurio
diferentes para usurios locais distintos, mas isso s estar disponvel para as configuraes dos usurios
que estiverem na Poltica de Grupo. Na verdade, s h um conjunto de configuraes de computador
disponvel no Windows 8 e no Windows Server 2012 que afeta todos os usurios do computador.
O Windows 8 e o Windows Server 2012 permitem isso com as trs camadas de GPOs locais a seguir:
Poltica de Grupo Local (contm as definies de configurao do computador)
Poltica de Grupo de Administradores e No Administradores
Poltica de Grupo Local especfica do usurio
Observao: Os controladores de domnio so uma exceo desse recurso. Devido
natureza de sua funo, os controladores de domnio no podem ter GPOs locais.
Como as camadas so processadas
As camadas dos GPOs locais so processadas na seguinte ordem:
1. Poltica de Grupo Local
2. Poltica de Grupo de administradores e no administradores
3. Poltica de Grupo Local especfica do usurio
Com exceo das categorias Administrador ou No administrador, no possvel aplicar GPOs locais
a grupos, mas somente a contas de usurios locais individuais. Os usurios de domnio esto sujeitos
Poltica de Grupo local ou s configuraes de Administrador ou No administrador, conforme
apropriado.
Observao: Os administradores de domnio podem desabilitar o processamento dos
GPOs locais nos clientes que estejam executando sistemas operacionais cliente Windows e
sistemas operacionais Windows Server, habilitando a configurao de poltica Desativar
Processamento de Objetos de Polticas de Grupo Locais em um GPO de domnio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Armazenamento de GPOs de domnio
As configuraes de Poltica de Grupo so
apresentadas como GPOs no GPMC, mas,
na verdade, um GPO compreende dois
componentes: um modelo de Poltica de
Grupo e um continer de Poltica de Grupo.
Modelo de Poltica de Grupo
Os modelos de Poltica de Grupo so a coleo
real de configuraes que voc pode alterar.
O modelo de Poltica de Grupo uma coleo
de arquivos armazenados no SYSVOL de
cada controlador de domnio. O SYSVOL est
localizado no caminho %SystemRoot%
\SYSVOL\Domain\Policies\GPOGUID, onde GPOGUID o GUID do continer de Poltica de Grupo.
Quando voc cria um GPO, um novo modelo de Poltica de Grupo criado na pasta SYSVOL, e um novo
continer de Poltica de Grupo criado no AD DS.
Continer de Poltica de Grupo
O continer de Poltica de Grupo um objeto do Active Directory armazenado no banco de dados
do Active Directory. Cada continer de Poltica de Grupo inclui um atributo GUID (identificador global
exclusivo) que identifica o objeto no AD DS de forma exclusiva. O continer de Poltica de Grupo
define os atributos bsicos do GPO, como links e nmeros de verso, mas no contm nenhuma
das configuraes.
Por padro, quando ocorre atualizao da Poltica de Grupo, as CSEs (extenses do lado do cliente
da Poltica de Grupo) somente aplicaro as configuraes a um GPO se o GPO tiver sido atualizado.
O Cliente de Poltica de Grupo pode identificar um GPO atualizado pelo seu nmero de verso. Cada GPO
tem um nmero de verso que incrementado toda vez que feita uma alterao. O nmero de verso
armazenado como um atributo do continer de Poltica de Grupo e em um arquivo de texto, o GPT.ini,
na pasta Modelo de Poltica de Grupo. O Cliente de Poltica de Grupo sabe o nmero de verso de cada
GPO que foi aplicado anteriormente. Se, durante a atualizao da Poltica de Grupo, o Cliente de Poltica
de Grupo descobrir que o nmero de verso do continer de Poltica de Grupo foi alterado, as CSEs sero
informadas de que o GPO foi atualizado.
Durante a edio de uma Poltica de Grupo, a verso no computador com a funo FSMO (operaes de
mestre nico flexveis) do emulador PDC (controlador de domnio primrio) a verso que est sendo
editada. Por padro, o GPMC focalizado no emulador PDC, independentemente do computador usado
para executar a edio. possvel alterar o foco do GPMC para editar uma verso em um controlador
de domnio diferente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-7
Quais so as preferncias de Poltica de Grupo?
As preferncias de Poltica de Grupo
so um recurso no sistema operacional
Windows Server 2012. Elas incluem mais
de 20 extenses de Poltica de Grupo
que expandem o intervalo de definies
configurveis em um GPO. As preferncias
ajudam reduzir a necessidade de scripts de logon.
Observao: Os sistemas operacionais
Windows XP precisam ter as extenses do lado
do cliente da Poltica de Grupo instaladas para
processar as preferncias de Poltica de Grupo.
Elas podem ser baixadas do site de download da Microsoft.
Caractersticas das preferncias
As preferncias tm as seguintes caractersticas:
As preferncias existem para computadores e usurios.
Diferentemente das configuraes de Poltica de Grupo, as preferncias no so impostas
e os usurios podem alterar as configuraes estabelecidas pelas preferncias.
As preferncias podem ser gerenciadas atravs da RSAT (Ferramenta de Administrao
de Servidor Remoto).
As preferncias podem ser aplicadas apenas uma vez na inicializao ou no logon ou podem ser
atualizadas em intervalos.
Diferentemente das configuraes de Poltica de Grupo, as preferncias no so removidas quando
o GPO no mais aplicado, mas voc pode alterar esse comportamento.
As preferncias podem ser facilmente destinadas a certos usurios ou computadores por vrias
maneiras, como associao a um grupo de segurana ou verso do sistema operacional.
As preferncias no esto disponveis para GPOs locais.
Diferentemente da Poltica de Grupo, a interface do usurio da configurao no desabilitada.
Usos comuns das preferncias de Poltica de Grupo
Embora voc possa configurar vrias configuraes atravs das preferncias de Poltica de Grupo,
alguns usos mais comuns so:
Mapear as unidades de rede para usurios
Configurar atalhos na rea de trabalho para usurios ou computadores
Definir variveis de ambiente
Mapear impressoras
Definir opes de energia

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurar os menus Iniciar
Configurar fontes de dados
Configurar as opes da Internet
Agendar tarefas
O que so GPOs de incio?
Os GPOs de incio so modelos que ajudam na
criao de GPOs. Ao criar novos GPOs, voc pode
optar por usar um GPO de incio como a origem.
Isso facilita e agiliza a criao de vrios GPOs
com a mesma configurao de linha de base.
Configuraes disponveis
Os GPOs de incio s podem conter
configuraes do n Modelos Administrativos
da seo Configurao do Usurio ou da
seo Configurao do Computador. Os ns
Configuraes de Software e Configuraes
do Windows da Poltica de Grupo no esto
disponveis, pois envolvem a interao de servios e so mais complexos e dependentes de domnio.
Exportao de GPOs de incio
Voc pode exportar GPOs de incio para um arquivo de gabinete (.cab) e, em seguida, carregar esse
arquivo em outro ambiente completamente independente do domnio/floresta de origem. Exportando
um GPO de incio lhe permite enviar o arquivo .cab a outros administradores que podem usar isto ento
em outras reas. Por exemplo, voc pode criar um GPO que defina as configuraes de segurana do
Internet Explorer. Se voc quiser que todos os sites e domnios empreguem as mesmas configuraes,
voc poder exportar o GPO de incio para um arquivo .cab e distribu-lo.
Quando usar GPOs de incio
A situao mais comum na qual um GPO de incio seria usado quando voc deseja um grupo de
configuraes para um tipo de funo de computador. Por exemplo, voc talvez queira que todos os
laptops corporativos tenham as mesmas restries de rea de trabalho ou que todos os servidores de
arquivos tenham as mesmas configuraes de Poltica de Grupo de linha de base, mas deseja permitir
variaes para departamentos diferentes.
GPOs de incio includos
O GPMC inclui um link para criar uma pasta GPO de incio, que contm vrios GPOs de incio
predefinidos. Essas polticas fornecem configuraes pr-configuradas, orientadas segurana,
para EC (Clientes Enterprise) e clientes SSLF (Specialized Security Limited Functionality) para
configuraes de usurio e computador nos sistemas operacionais Windows Vista e Windows XP
com Service Pack 2 (SP2). Voc pode usar essas polticas como pontos de partida ao criar polticas
de segurana.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-9
Delegao do gerenciamento de GPOs
Os administradores podem delegar algumas
tarefas administrativas de Poltica de Grupo
para outros usurios. Esses usurios no precisam
ser administradores de domnio; eles podem
ter recebido direitos especficos para os GPOs.
Por exemplo, um usurio que gerencia uma UO
(unidade organizacional) especfica poderia
receber como tarefa a execuo de anlise e
criao de relatrios, ao passo que o grupo de
suporte tcnico poderia receber permisso para
editar GPOs para essa UO. Um terceiro grupo de
desenvolvedores poderia receber como tarefa a
criao de filtros WMI (Instrumentao de Gerenciamento do Windows).
As tarefas de Poltica de Grupo a seguir podem ser delegadas de forma independente:
Criao de GPOs, incluindo GPOs de Incio
Edio de GPOs
Gerenciamento de links de Poltica de Grupo para um site, um domnio ou uma UO
Execuo de anlise de modelagem de Poltica de Grupo
Leitura de dados dos resultados da Poltica de Grupo
Criao de filtros WMI
O grupo Proprietrios Criadores de Poltica de Grupo permite que seus membros criem novos GPOs
e editem ou excluam os GPOs criados por eles.
Permisses padro de Poltica de Grupo
Por padro, os usurios e grupos a seguir tm acesso total para gerenciar a Poltica de Grupo:
Admins. do Domnio
Administradores de Empresa
Proprietrio Criador
Sistema Local
O grupo Usurios Autenticados tem as permisses Leitura e Aplicar Poltica de Grupo.
Permisses para criar GPOs
Por padro, somente Admins. de Domnio, Administradores de Empresa e Proprietrios Criadores de
Poltica de Grupo podem criar novos GPOs. Voc pode usar dois mtodos para conceder esse direito
a um grupo ou um usurio:
Adicionar o usurio ao grupo Proprietrios Criadores de Poltica de Grupo
Conceder permisso explicitamente ao grupo ou ao usurio para criar GPOs usando o GPMC

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Permisses para editar GPOs
Para editar um GPO, o usurio deve ter acesso de Leitura e Gravao ao GPO. Voc pode conceder essa
permisso usando o GPMC.
Gerenciamento de links de GPO
A capacidade de vincular GPOs a um continer uma permisso especfica do continer em questo.
No GPMC, voc pode gerenciar essa permisso usando a guia Delegao no continer. Voc tambm
pode deleg-la por meio do Assistente para Delegao de Controle em Usurios e Computadores do
Active Directory.
Modelagem e resultados da Poltica de Grupo
Voc pode delegar a capacidade de usar as ferramentas de relatrio por meio do GPMC ou do Assistente
para Delegao de Controle em Usurios e Computadores do Active Directory.
Criao de filtros WMI
Voc pode delegar a capacidade de criar e gerenciar filtros WMI por meio do GPMC ou do Assistente
para Delegao de Controle em Usurios e Computadores do Active Directory.
Demonstrao: Criao e gerenciamento de GPOs
Criar um GPO usando o GPMC.
Editar um GPO com o Editor de Gerenciamento da Poltica de Grupo.
Usar o Windows PowerShell para criar um GPO.
Criar um GPO usando o GPMC
Entre em LON-DC1 como Administrador com a senha Pa$$w0rd e crie uma poltica denominada
Proibir o Windows Messenger.
Editar um GPO com o Editor de Gerenciamento de Poltica de Grupo
1. Edite a poltica para proibir o uso do Windows Messenger.
2. Vincule o GPO Proibir o Windows Messenger ao domnio.
Usar o Windows PowerShell para criar um GPO denominado Bloqueio da rea
de Trabalho
No Windows PowerShell, importe o mdulo grouppolicy e use o cmdlet New-GPO da seguinte
forma:
New-GPO Name Bloqueio da rea de Trabalho
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-11
Lio 2
Processamento da Poltica de Grupo
Entender como a Poltica de Grupo aplicada fundamental para poder desenvolver uma estratgia de
Poltica de Grupo. Esta lio mostra como a Poltica de Grupo associada a objetos do Active Directory,
como ela processada e como controlar o aplicativo de Poltica de Grupo. Depois de voc criar os
GPOs e definir as configuraes a serem aplicadas, eles devem ser vinculados a contineres. Os GPOs
so aplicados em uma ordem especfica. Essa ordem pode determinar quais configuraes sero aplicadas
aos objetos. H duas polticas padro criadas automaticamente. Essas polticas so usadas para entregar
a senha e as configuraes de segurana para o domnio e os controladores de domnio. A aplicao
de polticas tambm pode ser controlada pela filtragem de segurana.
Objetivos da lio
Descrever um link de GPO.
Explicar como aplicar GPOs a contineres e objetos.
Descrever a ordem de processamento das Polticas de Grupo.
Descrever os GPOs padro.
Descrever a filtragem de segurana do GPO.
Links de GPO
Depois que voc criar um GPO e definir todas
as configuraes a serem entregues, a prxima
etapa ser vincular a poltica a um continer do
Active Directory. Um link de GPO a conexo
lgica da poltica com um continer. Voc pode
vincular um nico GPO a vrios contineres
usando o GPMC. Voc pode vincular GPOs
aos seguintes tipos de contineres:
Sites
Domnios
UOs
Quando um GPO vinculado a um continer, por padro, a poltica aplicada a todos os objetos no
continer e subsequentemente a todos os contineres filho sob esse objeto pai. Isso ocorre porque as
permisses padro do GPO so definidas de modo que Usurios Autenticados tenham as permisses
Leitura e Aplicar Poltica de Grupo. Voc pode modificar esse comportamento, gerenciando permisses
no GPO.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Voc pode desabilitar os links para os contineres, o que remover as definies de configurao. Voc
tambm pode excluir links. A excluso de links no exclui o GPO real, somente a conexo lgica com
o continer.
Os GPOs no podem ser vinculados diretamente a usurios, grupos ou computadores. Alm disso, eles
no podem ser vinculados a contineres de sistema no AD DS, incluindo Builtin, Computadores, Usurios
ou Contas de Servio Gerenciado. Os contineres de sistema do AD DS recebem configuraes de Poltica
de Grupo dos GPOs vinculados apenas ao nvel de domnio.
Aplicao de GPOs
As definies de configurao de computador
so aplicadas na inicializao e, em seguida,
atualizadas em intervalos regulares. Qualquer
script de inicializao executado na inicializao
do computador. O intervalo padro a cada
90 minutos, mas isso configurvel. A exceo ao
intervalo definido em relao aos controladores
de domnio, cujas configuraes so atualizadas
a cada cinco minutos.
As configuraes de usurio so aplicadas no
logon e atualizadas em intervalos regulares
configurveis; o padro tambm 90 minutos.
Qualquer script de logon executado no logon.
Observao: Vrias configuraes de usurio requerem dois logons para que o usurio
perceba o efeito do GPO. Isso porque os usurios que fazem logon no mesmo computador
usam credenciais armazenadas em cache para acelerar os logons. Isso significa que, embora as
configuraes de poltica estejam sendo entregues ao computador, o usurio j est conectado
e, portanto, as configuraes s entraro em vigor no prximo logon. A configurao de
redirecionamento de pasta um exemplo disso.
Voc pode alterar o intervalo de atualizao, definindo uma configurao de Poltica de Grupo.
Para configuraes de computador, a configurao de intervalo de atualizao est localizada no
n Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Poltica de Grupo. Para
configuraes de usurio, o intervalo de atualizao est localizado nas configuraes correspondentes
em Configurao do Usurio. Uma exceo ao intervalo de atualizao em relao s configuraes de
segurana. A seo de configuraes de segurana da Poltica de Grupo ser atualizada a cada 16 horas,
independentemente do intervalo definido para o intervalo de atualizao.
Voc tambm pode atualizar a Poltica de Grupo manualmente. O utilitrio de linha de comando
Gpupdate atualiza e entrega qualquer nova configurao de Poltica de Grupo. O comando
Gpupdate /force atualiza todas as configuraes de Poltica de Grupo. Tambm h um novo
cmdlet do Windows PowerShell, o Invoke-Gpupdate, que executa a mesma funo.
Um novo recurso do Windows Server 2012 a Atualizao Remota de Polticas. Esse recurso permite
que os administradores utilizem o GPMC para direcionar uma UO e forar a atualizao da Poltica de
Grupo em todos os seus computadores e nos usurios conectados. Para isso, clique com o boto direito
do mouse em qualquer UO e, em seguida, clique em Atualizao da Poltica de Grupo. A atualizao
ocorrer em at 10 minutos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-13
Ordem de processamento das Polticas de Grupo
Os GPOs no so aplicados simultaneamente,
mas em uma ordem lgica. Os GPOs aplicados
posteriormente no processo de aplicao de GPOs
substituiro qualquer configurao de poltica
conflitante que tenha sido aplicada anteriormente.
Os GPOs so aplicados na seguinte ordem:
1. GPOs locais. Cada sistema operacional que
executa o Windows 2000 ou uma verso mais
recente possivelmente j tem uma Poltica
de Grupo local configurada.
2. GPOs de site. As polticas vinculadas a sites
so processadas em seguida.
3. GPOs de domnio. As polticas vinculadas ao domnio so processadas em seguida. Normalmente,
h vrias polticas no nvel de domnio. Essas polticas so processadas em ordem de preferncia.
4. GPOs de UO. As polticas vinculadas a UOs so processadas em seguida. Essas polticas contm
configuraes que so exclusivas aos objetos nessa UO. Por exemplo, os usurios de Vendas podem
ter configuraes necessrias especiais. Voc pode vincular uma poltica UO Vendas para entregar
essas configuraes.
5. Polticas de UO filho. As polticas vinculadas a UOs filho so processadas por ltimo.
Os objetos nos contineres recebem o efeito cumulativo de todas as polticas em sua ordem de
processamento. No caso de um conflito entre as configuraes, a ltima poltica aplicada ter efeito.
Por exemplo, uma poltica no nvel de domnio pode restringir o acesso s ferramentas de edio do
Registro, mas voc pode configurar uma poltica no nvel de UO e vincul-la UO IT para reverter
essa poltica. Como a poltica no nvel de UO aplicada posteriormente no processo, o acesso s
ferramentas do Registro estaria disponvel.
Observao: Outros mtodos, como Imposio e Bloqueio de Herana, podem alterar
o efeito das polticas nos contineres.
Se forem aplicadas vrias polticas no mesmo nvel, o administrador poder atribuir um valor preferencial
para controlar a ordem de processamento. A ordem de preferncia padro a ordem em que as polticas
foram vinculadas.
Voc tambm pode desabilitar a configurao de usurio ou de computador de um GPO especfico. Se
uma seo de uma poltica for conhecidamente vazia, voc dever desabilitar a seo vazia para acelerar
o processamento da poltica. Por exemplo, se voc tiver uma poltica que s entregue configurao da
rea de trabalho do usurio, poder desabilitar o lado do computador da poltica.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Quais so os GPOs padro?
Durante a instalao da funo AD DS, dois GPOs
padro so criados: Poltica de Domnio Padro
e Poltica de Controladores de Domnio Padro.
Poltica de Domnio Padro
A Poltica de Domnio Padro vinculada ao
domnio e afeta todos os princpios de segurana
no domnio. Ela contm as configuraes de
poltica de senha, as configuraes de bloqueio
de conta e o protocolo Kerberos. Como prtica
recomendada, essa poltica no deve ter outras
configuraes definidas. Se voc precisar definir
outras configuraes para aplicar ao domnio
inteiro, crie novas polticas para entregar as configuraes e vincule as polticas ao domnio.
Poltica de Controlador de Domnio Padro
A Poltica de Controlador de domnio Padro vinculada UI dos controladores de domnio e s deve
afetar os controladores de domnio. Essa poltica criada para fornecer configuraes de auditoria
e direitos de usurio e no deve ser usada para outras finalidades.
Filtragem de segurana de GPO
Por natureza, um GPO aplica-se a todos os
princpios de segurana no continer e a todos
os contineres filho sob o pai. Porm, voc talvez
queira alterar esse comportamento, para que
determinados GPOs sejam aplicados apenas a
princpios de segurana especficos. Por exemplo,
voc talvez queira isentar determinados usurios
de uma UO de uma poltica restritiva de rea de
trabalho. Isso pode ser feito atravs da filtragem
de segurana.
Cada GPO tem uma ACL (Lista de Controle
de Acesso) que define permisses para o GPO.
A permisso padro definida para que as permisses Leitura e Aplicar Poltica de Grupo sejam aplicadas
a Usurios Autenticados. Com o ajuste das permisses na ACL, voc pode controlar quais princpios de
segurana recebero permisso para ter as configuraes de GPO aplicadas. H duas abordagens para
voc fazer isso: negar acesso Poltica de Grupo ou limitar as permisses Poltica de Grupo.
Observao: O grupo Usurios Autenticados inclui todas as contas de usurio
e computador autenticadas no AD DS.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-15
Como negar acesso Poltica de Grupo
Se a maioria dos princpios de segurana no continer precisarem receber as configuraes de poltica,
mas alguns no, voc poder isentar princpios de segurana especficos, negando acesso a eles para a
Poltica de Grupo. Por exemplo, voc pode ter uma Poltica de Grupo que deva ser recebida por todos os
usurios na UO Vendas, exceto o grupo Gerentes de vendas. Voc pode isentar esse grupo (ou usurio),
adicionando-o ACL do GPO e, em seguida, definido a permisso como Negar.
Limite de permisses para a Poltica de Grupo
Como alternativa, se tiver criado um GPO que s deva ser se aplicado a alguns princpios de segurana
em um continer, voc poder remover o grupo Usurios Autenticados da ACL, adicionar os princpios
de segurana que devem receber as configuraes de GPO e conceder a eles as permisses Leitura
e Aplicar Poltica de Grupo. Por exemplo, voc pode ter um GPO com definies de configurao de
computador que s devam ser aplicadas a laptops. Voc pode remover o grupo Usurios Autenticados
da ACL, adicionar as contas de computador dos laptops e conceder a elas as permisses Leitura
e Aplicar Poltica de Grupo.
Observao: Como prtica recomendada, nunca negue acesso ao grupo Usurio
Autenticado. Caso contrrio, os princpios de segurana nunca recebero as configuraes
de GPO.
A ACL de um GPO acessada no GPMC, selecionando o GPO na pasta Objeto de Poltica de Grupo
e clicando na guia Delegao>Avanado.
Discusso: Identificando a aplicao da Poltica de Grupo
Para esta discusso, examine a estrutura do AD DS
no elemento grfico, leia o cenrio e responda s
perguntas no slide.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Scenario
A ilustrao a seguir representa uma parte da estrutura do AD DS da A. Datum Corporation que contm
a UO Vendas com suas UOs filho e a UO Servidores.
O GPO1 vinculado ao
continer do domnio
Adatum. O GPO configura
opes de energia
que desligam os monitores
e os discos aps 30 minutos
de inatividade e restringe
o acesso s ferramentas
de edio do Registro.
O GPO2 tem configuraes
para bloquear as reas de
trabalho da UO Usurios
de Vendas e configurar
impressoras para Usurios
de Vendas.
O GPO3 configura opes de
energia para laptops na UO Laptops de Vendas.
O GPO4 configura um conjunto diferente de opes de energia para assegurar que os servidores
nunca entrem no modo de economia de energia.
Alguns usurios na UO Vendas tm direitos administrativos em seus computadores e criaram polticas
locais para conceder acesso especificamente ao Painel de Controle.
Pergunta da discusso
Com base nesse cenrio, responda s perguntas a seguir:
Pergunta: Quais opes de energia os servidores recebero na UO Servidores?
Pergunta: Quais opes de energia os laptops recebero na UO Laptops de Vendas?
Pergunta: Quais opes de energia todos os outros computadores no domnio recebero?
Pergunta: Os usurios na UO Usurios de Vendas que criaram polticas locais para conceder
acesso ao Painel de Controle podero acessar o Painel de Controle?
Pergunta: Se voc precisasse conceder acesso ao Painel de Controle para alguns usurios,
como voc faria isso?
Pergunta: O GPO2 pode ser se aplicado a outras UOs de departamento?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-17
Demonstrao: Utilizao de ferramentas de diagnstico de Poltica
de Grupo
Usar GPUpdate para atualizar a Poltica de Grupo.
Usar o cmdlet Gpresult para enviar a sada dos resultados para um arquivo HTML.
Usar o Assistente para Modelagem de Poltica de Grupo para testar a poltica.
Usar Gpupdate para atualizar a Poltica de Grupo
Em LON-DC1, use Gpupdate para atualizar os GPOs.
Usar o cmdlet Gpresult para enviar a sada dos resultados para um arquivo HTML
1. Use Gpresult /H para criar um arquivo HTML que exiba as configuraes atuais de GPO.
2. Abra o relatrio HTML e examine os resultados.
Usar o Assistente para Modelagem de Poltica de Grupo para testar a poltica
Use o Assistente para Modelagem de Poltica de Grupo para simular uma aplicao de poltica
para os usurios na UO Gerentes que entram em qualquer computador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 3
Implementao de um repositrio central para modelos
administrativos
As organizaes maiores podem ter diversos GPOs com vrios administradores gerenciando-os. Quando
um administrador edita um GPO, os arquivos de modelo so recebidos da estao de trabalho local.
O repositrio central fornece uma nica pasta no SYSVOL que contm todos os modelos necessrios
criar e editar GPOs. Esta lio aborda os arquivos que compem os modelos e discute como criar
um local de repositrio central para fornecer consistncia nos modelos usados pelos administradores.
Objetivos da lio
Descrever o repositrio central.
Descrever os modelos administrativos.
Descrever o modo de funcionamento dos modelos administrativos.
Descrever as configuraes de poltica gerenciadas e no gerenciadas.
O que o Repositrio Central?
Se a sua organizao tiver vrias estaes
de trabalho de administrao, possvel que
ocorram problemas durante a edio de GPOs.
Se voc no tiver um Repositrio Central para
incluir os arquivos de modelo, a estao de
trabalho da qual voc est editando usar
os arquivos .admx (ADMX) e .adml (ADML)
armazenados na pasta local PolicyDefinitions.
Se estaes de trabalho de administrao
diferentes tiverem sistemas operacionais distintos
ou estiverem em nveis de service pack diferentes,
poder haver diferenas nos arquivos ADMX e
ADML. Por exemplo, os arquivos ADMX e ADML armazenados em uma estao de trabalho que esteja
executando o Windows 7 sem service pack instalado podem no ser iguais aos arquivos armazenados
em um controlador de domnio que esteja executando o Windows Server 2012.
O Repositrio Central trata desse problema. O Repositrio Central fornece um nico ponto a partir
do qual as estaes de trabalho de administrao podem baixar os mesmos arquivos ADMX e ADML
ao editarem um GPO. O Repositrio Central detectado automaticamente pelos sistemas operacionais
Windows a partir da verso Windows Vista em diante e pelos sistemas operacionais Windows Server 2008.
Desse modo, a estao de trabalho local usada pelo administrador para realizar a administrao verificar
sempre a existncia de um Repositrio Central antes de carregar os arquivos ADMX e ADML locais no
Editor de Objeto de Poltica de Grupo. Quando a estao de trabalho local detectar um Repositrio
Central, ela baixar os arquivos de modelo desse local. Assim, a experincia de administrao ser
consistente em vrias estaes de trabalho.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-19
Voc deve criar e provisionar o Repositrio Central manualmente. Primeiro crie uma pasta em
um controlador de domnio, atribua a ela o nome PolicyDefinitions e armazene a pasta em
C:\Windows\SYSVOL\sysvol\{Nome de Domnio}\Policies\. Essa pasta agora ser seu Repositrio Central.
Em seguida, copie todo o contedo da pasta C:\Windows\PolicyDefinitions para o Repositrio Central.
Os arquivos ADML nessa pasta tambm esto em uma pasta especfica de idioma (por exemplo, en-US).
O que so modelos administrativos?
Um modelo administrativo composto
de dois tipos de arquivos XML:
Os arquivos ADMX especificam
a configurao do Registro a
ser alterada. Os arquivos AMDX
apresentam neutralidade de idioma.
Os arquivos ADML geram a interface
do usurio para definir as configuraes
de poltica dos Modelos Administrativos
no Editor de Gerenciamento de Poltica
de Grupo. Os arquivos ADML so
especficos a um idioma.
Os arquivos ADMX e ADML so armazenados na pasta %SystemRoot%\PolicyDefinitions. Voc
tambm pode criar seus prprios modelos administrativos personalizados no formato XML. Os
modelos administrativos que controlam os produtos do Microsoft Office (como o Office Word, o
Office Excel
e o Office PowerPoint
) tambm esto disponveis no site de download da Microsoft.

Os modelos administrativos tm as seguintes caractersticas:
Eles so organizados em subpastas que armazenam opes de configurao para reas especficas
do ambiente, como rede, sistema e componentes do Windows.
As configuraes na seo Computador editam o hive do Registro HKEY_LOCAL_MACHINE
e as configuraes na seo Usurio editam o hive do Registro HKEY_CURRENT_USER.
Algumas configuraes existem para Usurio e Computador. Por exemplo, h uma configurao
para impedir que o Windows Messenger seja executado nos modelos Usurio e Computador.
No caso de configuraes conflitantes, a configurao Computador prevalecer.
Algumas configuraes s esto disponveis para certas verses dos sistemas operacionais Windows,
como vrias novas configuraes que somente podem ser se aplicadas ao Windows 7 e s verses
mais recentes dos sistemas operacionais. Clicar duas vezes nas configuraes exibir as verses
suportadas para essa configurao. Qualquer configurao que no possa ser processada por
um sistema operacional Windows mais antigo simplesmente ser ignorada por esse sistema.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Arquivos ADM
Antes do Windows Vista, os modelos administrativos tinham uma extenso de arquivo .adm (ADM). Os
arquivos ADM eram especficos a um idioma e eram difceis de serem personalizados. Os arquivos ADM
so armazenados no SYSVOL como parte do modelo Poltica de Grupo. Se um arquivos ADM for usado
em vrios GPOs, o arquivo ser armazenado vrias vezes. Isso aumenta o tamanho de SYSVOL e, portanto,
aumenta o tamanho do trfego de replicao do Active Directory.
Como os modelos administrativos funcionam
Os modelos administrativos tm configuraes
para praticamente todo aspecto do ambiente
de computao. Cada configurao no modelo
corresponde a uma configurao do Registro que
controla um aspecto do ambiente de computao.
Por exemplo, quando voc habilita a configurao
que impede o acesso ao Painel de Controle, isso
altera o valor na chave do Registro que controla
esse aspecto.
O n Modelos Administrativos organizado
conforme mostrado na tabela a seguir.
Seo Ns
Configuraes do computador Painel de Controle
Rede
Impressoras
Sistema
Componentes do Windows
Todas as Configuraes
Configuraes do usurio Painel de Controle
rea de Trabalho
Rede
Pastas Compartilhadas
Menu Iniciar e barra de tarefas
Sistema
Componentes do Windows
Todas as Configuraes

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-21
A maioria dos ns contm vrias subpastas para organizar ainda mais as configuraes em agrupamentos
lgicos. At mesmo com essa organizao, localizar a configurao necessria pode ser uma tarefa
assustadora. Para ajud-lo a localizar as configuraes, na pasta Todas as Configuraes, voc pode
filtrar a lista inteira de configuraes na seo Computador ou Usurio. As opes de filtro a seguir
esto disponveis:
Gerenciado ou no gerenciado
Configurado ou no configurado
Comentado
Por palavra-chave
Por plataforma
Voc tambm pode combinar vrios critrios. Por exemplo, voc pode filtrar para localizar todas
as configuraes definidas aplicveis ao Internet Explorer 10, usando a palavra-chave ActiveX.
Configuraes de poltica gerenciadas e no gerenciadas
H dois tipos de configuraes de poltica:
gerenciadas e no gerenciadas. Todas as
configuraes de poltica nos Modelos
Administrativos de um GPO so polticas
gerenciadas. O servio Poltica de Grupo
controla as configuraes de poltica gerenciadas
e remove uma configurao de poltica quando
ela no estiver mais dentro do escopo do usurio
ou do computador. O servio Poltica de Grupo
no controla as configuraes de poltica no
gerenciadas. Essas configuraes de poltica
so persistentes. O servio Poltica de Grupo no
remova as configuraes de poltica no gerenciadas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configuraes de poltica gerenciadas
Uma configurao de poltica gerenciada tem as seguintes caractersticas:
A interface do usurio bloqueada, de modo que um usurio no pode alterar a configurao.
As configuraes de poltica gerenciadas resultam na desabilitao da interface do usurio
apropriada. Por exemplo, se voc configurar o papel de parede da rea de trabalho atravs
de uma configurao de Poltica de Grupo, o usurio ver essas configuraes esmaecidas
em sua interface do usurio local.
So feitas alteraes em reas restritas do Registro, para as quais somente os administradores
tm acesso. Essas chave do Registro reservadas so:
o HKLM\Software\Policies (configuraes de computador)
o HKCU\Software\Policies (configuraes de usurio)
o HKLM\Software\Microsoft\Windows\Current Version\Policies (configuraes de computador)
o HKCU\Software\Microsoft\Windows\Current Version\Policies (configuraes de usurio)
As alteraes feitas por uma configurao de Poltica de Grupo e o bloqueio da interface do usurio
sero liberados se o usurio ou o computador ficar fora do escopo do GPO. Por exemplo, se voc
excluir um GPO, as configuraes de poltica gerenciadas que tinham sido aplicadas a um usurio
sero liberadas. Isso significa que, geralmente, a configurao redefinida para seu estado anterior.
Alm disso, a interface do usurio para a configurao est habilitada.
Configuraes de poltica no gerenciadas
Por outro lado, uma configurao de poltica no gerenciada faz uma alterao que persistente
no Registro. Se o GPO no se aplicar mais, a configurao permanecer. Isso geralmente chamado
de tatuagem do Registro, ou seja, quando feita uma alterao permanente. Para reverter o efeito
da configurao de poltica, voc deve implantar uma alterao que reverta a configurao
ao estado desejado. Alm disso, uma configurao de poltica no gerenciada no bloqueia
a interface do usurio para essa configurao.
Por padro, o Editor de Gerenciamento de Poltica de Grupo oculta configuraes de poltica
no gerenciadas para desencoraj-lo de implementar uma configurao difcil de reverter. Vrias
configuraes disponveis nas preferncias de Poltica de Grupo so configuraes no gerenciadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-23
Laboratrio: Implementao da Poltica de Grupo
Cenrio
Inglaterra. Um escritrio de IT e um datacenter esto localizados em Londres como suporte
localizao em Londres e outras localizaes. Recentemente, ela implantou uma infraestrutura
do Windows Server 2012 com clientes Windows 8.
Em sua funo como membro da equipe de suporte de servidor, voc ajuda a implantar e configurar
novos servidores e servios na infraestrutura existente com base nas instrues recebidos pelos seu
gerente de IT.
Seu gerente lhe pediu para criar um repositrio central para os arquivos ADMX a fim de assegurar que
todos possam editar os GPOs criados com os arquivos ADMX personalizados. Voc tambm precisa
criar um GPO de incio que inclua as configuraes do Internet Explorer e, portanto, configura um
GPO que aplica configuraes de GPO para o departamento de Marketing e o departamento de IT.
Objetivos
Configurar um Repositrio Central.
Criar GPOs.

24410B-LON-CL1
Senha Pa$$w0rd
Instrues de configurao do laboratrio
execute as etapas a seguir:
em Gerenciador Hyper-V
.
2. No Gerenciador Hyper-V, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.
o Senha: Pa$$w0rd
5. Repita as etapas 2 e 3 para 24410B-LON-CL1. No entre at receber instrues para isso.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 1: Configurao de um Repositrio Central
Cenrio
A A. Datum implementou recentemente um modelo personalizado ADMX para configurar um aplicativo.
Um colega obteve os arquivos ADMX do fornecedor antes de criar o GPO com as definies
de configurao. As configuraes foram aplicadas ao aplicativo como esperado.
Aps a implementao, voc observou que no consegue modificar as configuraes de aplicativo
no GPO de qualquer local diferente da estao de trabalho usada originalmente pelo seu colega.
Para resolver esse problema, seu gerente lhe pediu para criar um Repositrio Central para os modelos
administrativos. Depois que voc criar o Repositrio Central, seu colega copiar o modelo ADMX
do fornecedor da estao de trabalho para o Repositrio Central.
1. Exibir o local dos modelos administrativos em um GPO (Objeto de Poltica de Grupo)
2. Criar um repositrio central
3. Copiar modelos administrativos para o repositrio central
4. Verifique o local dos modelos administrativos no GPMC
Tarefa 1: Exibir o local dos modelos administrativos em um GPO (Objeto de Poltica
de Grupo)
1. Entre em LON-DC1 como Administrador com a senha Pa$$w0rd.
2. Inicie o GPMC.
3. Na pasta Objeto de Poltica de Grupo, abra a Poltica de Domnio Padro e exiba o local dos
modelos administrativos.
Tarefa 2: Criar um repositrio central
1. Abra o Explorador de Arquivos e navegue at C:\Windows\SYSVOL\sysvol\
Adatum.com\Policies.
2. Crie uma pasta denominada PolicyDefinitions que ser usada para o Repositrio Central.
Tarefa 3: Copiar modelos administrativos para o repositrio central
Copie o contedo da pasta padro PolicyDefinitions, localizada em
C:\Windows\PolicyDefinitions, para a nova pasta PolicyDefinitions, localizada em
C:\Windows\SYSVOL\sysvol\Adatum.com\Policies.
Tarefa 4: Verifique o local dos modelos administrativos no GPMC
Verifique se o Editor de Objeto de Poltica de Grupo est usando os arquivos ADMX da pasta central
PolicyDefinitions, exibindo o texto de informaes de local da pasta Modelos administrativos.

Resultados: Depois de concluir este exerccio, voc ter configurado um Repositrio Central.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-25
Exerccio 2: Criao de GPOs
Cenrio
Aps uma recente reunio do comit de polticas de IT, a equipe de gerenciamento decidiu que
a A. Datum usar uma Poltica de Grupo para restringir o acesso dos usurios pgina Geral do
Internet Explorer.
Seu gerente lhe pediu para criar um GPO de incio que pudesse ser usado para todos os departamentos
com configuraes de restrio padro para o Internet Explorer. Nesse caso, voc precisa criar os GPOs
que entregaro as configuraes para os membros de todos os departamentos, exceto o departamento
de IT.
1. Criar um GPO de incio padro de restrio do Windows Internet Explorer
2. Configurar o GPO de incio de restrio do Internet Explorer
3. Criar um GPO de restries do Internet Explorer a partir do GPO de incio Restries
do Internet Explorer
4. Testar o GPO para os usurios do domnio
5. Usar a filtragem de segurana para isentar o Departamento de IT da poltica Restries
do Internet Explorer
6. Teste a aplicao do GPO para os usurios do departamento de IT
7. Testar a aplicao do GPO para outros usurios do domnio
Tarefa 1: Criar um GPO de incio padro de restrio do Windows Internet Explorer
1. Abra o GPMC e crie um GPO de incio denominado Restries do Internet Explorer.
2. Digite o comentrio Este GPO desabilita a pgina Geral em Opes da Internet.
Tarefa 2: Configurar o GPO de incio de restrio do Internet Explorer
Configure o GPO de incio denominado Restries do Internet Explorer para desabilitar a pgina
Geral de Opes da Internet.
Auxlio ao leitor: Selecione Todas as Configuraes em Modelos Administrativos e filtre
por uma correspondncia exata pela palavras-chave Pgina Geral.
Tarefa 3: Criar um GPO de restries do Internet Explorer a partir do GPO de incio
Restries do Internet Explorer
Crie um novo GPO denominado Restries do IE com base no GPO de incio Restries
do Internet Explorer e vincule-o ao domnio Adatum.com.
Tarefa 4: Testar o GPO para os usurios do domnio
1. Entre em LON-CL1 como Adatum\Brad, com a senha Pa$$w0rd.
3. Tente alterar sua home page.
4. Abra Opes da Internet para verificar se a guia Geral foi restringida.
5. Saia de LON-CL1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Usar a filtragem de segurana para isentar o Departamento de IT da poltica
1. Em LON-DC1, abra o GPMC.
2. Configure a filtragem de segurana na poltica Restries do Internet Explorer para negar acesso
ao departamento de IT.
Tarefa 6: Teste a aplicao do GPO para os usurios do departamento de IT
1. Entre em LON-CL1 como Brad, com a senha Pa$$w0rd.
3. Tente alterar sua home page. Verifique se a caixa de dilogo Propriedades da Internet aberta
para a guia Geral e se todas as configuraes esto disponveis.
4. Saia de LON-CL1.
Tarefa 7: Testar a aplicao do GPO para outros usurios do domnio
1. Entre em LON-CL1 como Boris, com a senha Pa$$w0rd.
3. Tente alterar sua home page.
4. Abra Opes da Internet para verificar se a guia Geral foi restringida.
5. Saia de LON-CL1.

Resultados: Aps a concluso deste laboratrio, voc ter criado um GPO.
Quando voc concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso,
4. Repita as etapas 2 e 3 para 24410B-LON-CL1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 11-27
Perguntas de reviso
Pergunta: Quais so algumas vantagens e desvantagens da utilizao de GPOs no nvel
de site?
Pergunta: Voc tem vrios scripts de logon que mapeiam as unidades de rede para os
usurios. Nem todos os usurios precisam desses mapeamentos de unidade, portanto, voc
deve assegurar que apenas os usurios desejados recebam os mapeamentos. Voc deseja
abandonar o uso de scripts. Qual a melhor maneira de mapear unidades de rede sem usar
scripts para os usurios selecionados?
Ferramentas
GPMC (Console de
Gerenciamento de
Poltica de Grupo)
Controla todos os aspectos da Poltica
de Grupo
No Gerenciador do Servidor,
no menu Ferramentas
Editor de Objeto de
Poltica de Grupo
Define as configuraes nos GPOs Acessado com a edio
de qualquer GPO
RSoP (Conjunto de
Polticas Resultante)
Determina quais configuraes esto
sendo aplicadas a um usurio ou
computador
No GPMC
Assistente para
Modelagem de
Poltica de Grupo
Testa o que ocorreria se fossem
aplicadas configuraes a usurios
ou computadores, antes de as
configuraes serem realmente
aplicadas
No GPMC
Editor de Poltica
de Grupo Local
Define as configuraes da Poltica de
Grupo que somente so aplicadas ao
computador local
Acessado criando um
novo MMC (Console de
Gerenciamento Microsoft)
no computador local e
adicionando o Editor de
Objeto de Poltica de Grupo
Prtica recomendada
No use as polticas Domnio Padro e Controladores de Domnio Padro para outras utilizaes.
Em vez disso, crie novas polticas.
Limite o uso da filtragem de segurana e de outros mecanismos que fazem diagnsticos mais
complexos.
Desabilite a seo Usurio ou Computador das polticas se ela no tiver nenhuma configurao
definida.
Se voc tiver vrias estaes de trabalho de administrao, crie um Repositrio Central.
Adicione comentrios aos seus GPOs para explicar a funo das polticas.
Crie sua estrutura de UO para dar suporte aplicao da Poltica de Grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Um usurio est observando um comportamento
anormal em sua estao de trabalho.

Todos os usurios de uma UO especfica esto tendo
problemas, e a UO tem vrios GPOs aplicados.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
12-1
Mdulo 12
Proteo de servidores Windows usando Objetos
de Poltica de Grupo
Contedo:
Lio 1: Viso geral da segurana de sistemas operacionais Windows 12-2
Lio 2: Definio de configuraes de segurana 12-7
Laboratrio A: Aumento da segurana de recursos do servidor 12-18
Lio 3: Restrio de softwares 12-26
Lio 4: Configurao do Firewall do Windows com Segurana Avanada 12-31
Laboratrio B: Configurao do AppLocker e do Firewall do Windows 12-36

Viso geral do mdulo
Proteger a infraestrutura de TI sempre foi uma prioridade para as organizaes. Muitos riscos
de segurana ameaam empresas e seus dados crticos. Quando as empresas no tm polticas
de segurana adequadas, elas podem perder dados, passar por situaes de indisponibilidade
do servidor e perder credibilidade.
Para se proteger contra ameaas de segurana, as empresas devem ter polticas de segurana bem
projetadas que incluem vrios componentes organizacionais e relacionados a TI. Polticas de segurana
devem ser avaliadas regularmente, pois, conforme as ameaas de segurana evoluem, o setor de TI
tambm precisa evoluir.
Antes de comear a projetar polticas de segurana para ajudar a proteger os dados, os servios e a
infraestrutura de TI da sua organizao, voc deve aprender a identificar ameaas de segurana, planejar
sua estratgia para reduzir essas ameaas e proteger a infraestrutura do seu Windows Server
2012.
Objetivos
Descreva a segurana do sistema operacional Windows

Server.
Definir configuraes de segurana usando a Poltica de Grupo.
Restringir a execuo de softwares no autorizados em servidores e clientes.
Configurar o Firewall do Windows com Segurana Avanada.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
12-2 Proteo de servidores Windows usando Objetos de Poltica de Grupo
Lio 1
Viso geral da segurana de sistemas
operacionais Windows
medida que as organizaes expandem sua disponibilidade de dados de rede, aplicativos e sistemas,
garantir a segurana da infraestrutura de rede se torna cada vez mais difcil. Tecnologias de segurana no
Windows Server 2012 permitem que as organizaes forneam melhor proteo para seus recursos de
rede e ativos organizacionais em ambientes e cenrios de negcios cada vez mais complexos. Esta lio
examina as ferramentas e os conceitos que esto disponveis para a implementao da segurana dentro
de uma infraestrutura do Windows 8 e do Windows Server 2012.
O Windows Server 2012 inclui diversos recursos que oferecem mtodos diferentes para a implementao
da segurana. Esses recursos se combinam para formar o ncleo da funcionalidade de segurana do
Windows Server 2012. Para manter um ambiente seguro, essencial entender esses recursos e seus
conceitos associados e estar familiarizado com a sua implementao bsica.
Objetivos da lio
Identificar riscos de segurana para o Windows Server 2012 e os custos associados a eles.
Aplicar o modelo de proteo em camadas para aumentar a segurana.
Descrever prticas recomendadas para aumentar a segurana do Windows Server 2012.
Discusso: Identificao de custos e riscos de segurana
A primeira etapa na defesa dos seus sistemas
identificar os riscos de segurana potenciais e seus
custos associados. Depois de fazer isso, voc pode
comear a tomar decises mais precisas sobre
como alocar recursos para reduzir esses riscos.
Analise a questo no slide e participe de sua
discusso para identificar alguns dos riscos de
segurana em redes baseadas no Windows
e seus custos associados.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-3
Aplicao da proteo em camadas para aumentar a segurana
Voc pode reduzir os riscos para a rede de
computao da sua organizao fornecendo
segurana em vrias camadas de infraestrutura.
O termo proteo em camadas costuma ser usado
para descrever o uso de vrias tecnologias de
segurana em diferentes pontos ao longo da
sua organizao.
Tecnologias de proteo em camadas incluem
camadas de segurana que se estendem desde
polticas de usurio at aplicativos e dados
propriamente ditos.
Polticas, procedimentos e conhecimento
Medidas de poltica de segurana precisam operar no contexto das polticas organizacionais sobre
prticas recomendadas de segurana. Por exemplo, a execuo de uma poltica de senha forte do usurio
no ser til se os usurios anotarem suas senhas e coloc-las ao lado de suas telas de computador.
Esses usurios precisam ser instrudos sobre como proteger suas senhas. Outro exemplo de prtica
recomendada de segurana garantir que os usurios no deixem seus computadores sem primeiro
bloquearem a rea de trabalho ou sarem do computador. Ao estabelecer uma base de segurana para
a rede da sua organizao, uma boa idia comear estabelecendo as polticas e os procedimentos
apropriados e, em seguida, tornar os usurios cientes deles. Voc pode ento Avanar para os outros
aspectos do modelo de proteo em camadas.
Segurana fsica
Se qualquer pessoa no autorizada puder obter acesso fsico a um computador na sua rede, a maioria
das outras medidas de segurana no ser til. Voc deve garantir que os computadores que contm os
dados mais sensveis (como servidores) sejam fisicamente seguros e que o acesso seja concedido apenas
a pessoas autorizadas.
Permetro
Nos dias de hoje, nenhuma organizao uma empresa isolada. Organizaes operam na Internet,
e muitos recursos de rede organizacionais esto disponveis na Internet. Isso pode incluir um site que
descreva os servios da sua organizao, ou os servios internos que voc disponibiliza externamente,
como Webconferncias e emails, de modo que os usurios possam trabalhar a partir de casa ou de
escritrios remotos.
Redes de permetro marcam o limite entre redes pblicas e privadas. Fornecer servidores de proxy
reverso na rede de permetro permite que voc fornea mais servios corporativos seguros em toda
a rede pblica.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Muitas organizaes implementam o controle de quarentena de acesso rede, em que os computadores
que se conectam rede corporativa so verificados em busca de diferentes critrios de segurana,
como se o computador tem as ltimas atualizaes de segurana, atualizaes de antivrus e outras
configuraes de segurana recomendadas pela empresa. Se esses critrios forem atendidos, o
computador poder se conectar rede corporativa. Se no forem, o computador ser colocado em
uma rede isolada, chamada de quarentena, sem acesso a recursos corporativos. Quando o computador
tiver suas configuraes de segurana remediadas, ele ser removido da rede de quarentena e poder
se conectar a recursos corporativos.
Observao: Um proxy reverso, como o Microsoft
Forefront

Threat Management Gateway 2010 (Forefront TMG), permite que voc publique servios
como email ou servios Web a partir da intranet corporativa sem colocar servidores de email
ou servidores Web no permetro ou os expor a usurios externos. O Forefront TMG atua
como proxy reverso e como uma soluo de firewall.
Redes
Depois de conectados a uma rede (interna ou pblica), seus computadores ficam suscetveis a uma
srie de ameaas, incluindo espionagem, falsificao, negao de servio e ataques de reproduo.
Ao implementar o protocolo IPsec, voc pode criptografar o trfego de rede e proteger os dados
enquanto em transferncia entre computadores.
Quando a comunicao ocorre atravs de redes pblicas, como por funcionrios que esto trabalhando
de casa ou de escritrios remotos, como prtica recomendada, voc deve se conectar a uma soluo
de firewall, como o Forefront TMG 2010, para se proteger de diferentes tipos de ameaas de rede.
Proteo de segurana de computadores host
A prxima camada de defesa a camada que usada para o computador host. Juntas, as etapas a seguir
formam um processo que chamado de proteo de segurana de computadores host. No computador
host, voc deve:
Manter os computadores seguros com as atualizaes de segurana mais recentes.
Configurar polticas de segurana, como a complexidade de senhas.
Configurar o firewall de host.
Instalar software antivrus.
Proteo de segurana de aplicativos
Aplicativos so to seguros quanto a sua ltima atualizao de segurana. Juntas, as etapas a seguir
formam um processo que chamado de proteo de segurana de aplicativos.
Use consistentemente o recurso Windows Update em sistemas operacionais Windows para manter
seus aplicativos atualizados.
Teste aplicativos para determinar se eles tm vulnerabilidades de segurana que possam permitir
que um invasor externo comprometa aplicativos ou outros componentes de rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-5
Segurana de dados
A camada final de segurana a proteo de dados. Para ajudar a garantir a proteo da sua rede,
voc deve:
Verificar o uso apropriado de permisses de usurio para arquivos usando ACLs (Listas de Controle
de Acesso).
Implementar a criptografia de dados confidenciais com o EFS (Sistema de Arquivos de Criptografia).
Realizar backups de dados regulares.
Leitura adicional:
Para obter os informes e os boletins de segurana mais recentes da Microsoft, consulte o artigo
sobre segurana para profissionais de TI em http://go.microsoft.com/fwlink/?LinkID=266741.
Para obter mais informaes sobre tipos comuns de ataques de rede, consulte
http://go.microsoft.com/fwlink/?LinkID=266742.
Pergunta: Quantas camadas do modelo de proteo em camadas voc deve implementar
na sua organizao?
Prticas recomendadas para aumentar a segurana
Considere as seguintes prticas recomendadas
para aumentar a segurana:
Aplique todas as atualizaes de segurana
disponveis o mais rpido possvel aps a
sua publicao. Voc deve se esforar para
implementar atualizaes de segurana o
mais rpido possvel para garantir que os
seus sistemas fiquem protegidos contra
vulnerabilidades conhecidas. A Microsoft
libera publicamente os detalhes de todas
as vulnerabilidades conhecidas aps a
publicao de uma atualizao, o que pode
resultar em um aumento no volume de malwares que tentam explorar essas vulnerabilidades. No
entanto, voc ainda deve garantir o teste adequado de atualizaes antes que elas sejam aplicadas
amplamente na sua organizao.
Siga o princpio do privilgio mais baixo. Fornea a usurios e contas de servio os nveis de
permisso mais baixos necessrios para concluir tarefas. Isso garante menor impacto caso
algum malware use essas credenciais. Garante tambm que os usurios fiquem limitados em
suas capacidades de excluso acidental de dados ou modificao de importantes configuraes
do sistema operacional.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Restrinja o logon no console do administrador. Fazer logon localmente em um console um risco
maior para um servidor do que acessar dados remotamente. Isso porque alguns malwares s podem
infectar um computador usando uma sesso de usurio na rea de trabalho. Se voc permitir que
os administradores usem a Conexo de rea de Trabalho Remota para administrao do servidor,
verifique se recursos avanados de segurana, como o Controle de Conta de Usurio, esto
habilitados.
Restrinja o acesso fsico. Se algum tiver acesso fsico a seus servidores, essa pessoa ter praticamente
acesso ilimitado aos dados desses servidores. Uma pessoa no autorizada pode usar uma ampla
variedade de ferramentas para redefinir rapidamente a senha em contas de administrador local
e permitir acesso local, ou utilizar uma unidade USB para introduzir malwares.
Leitura adicional: Para obter mais informaes sobre prticas recomendadas
para segurana corporativa, consulte http://go.microsoft.com/fwlink/?LinkID=266743.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-7
Lio 2
Definio de configuraes de segurana
Depois de ter aprendido sobre ameaas de segurana, riscos e prticas recomendadas para
aumentar a segurana, voc pode comear a configurar a segurana para o seu ambiente
Windows 8 e Windows Server 2012. Esta lio explica a definir configuraes de segurana.
Para aplicar essas configuraes de segurana a vrios usurios e computadores na sua organizao,
voc pode usar a Poltica de Grupo. Por exemplo, voc pode definir configurao de poltica de senha
usando a Poltica de Grupo e, em seguida, implant-las para vrios usurios.
A Poltica de Grupo tem um amplo componente de segurana que voc pode usar para configurar
a segurana tanto para usurios quanto para computadores. Voc pode aplicar a segurana
consistentemente em toda a organizao no AD DS (Servios de Domnio Active Directory
)
definindo configuraes de segurana em um GPO (Objeto de Poltica de Grupo) associado
a um site, um domnio ou uma UO (Unidade Organizacional).
Descrever como configurar modelos de segurana.
Descrever quais so os direitos dos usurios e como configur-los.
Descrever como configurar Opes de Segurana.
Descrever como configurar o Controle de Conta de Usurio.
Descrever como configurar a Auditoria de Segurana.
Descrever como configurar Grupos Restritos.
Descrever como definir Configuraes de Poltica de Conta.
Leitura adicional: Clique no seguinte link para procurar uma lista detalhada
de configuraes da Poltica de Grupo: http://go.microsoft.com/fwlink/?LinkID=266744.
Configurao de modelos de segurana
Modelos de segurana so arquivos que voc
pode usar para gerenciar e definir configuraes
de segurana em computadores baseados no
Windows. Dependendo das vrias categorias
de configuraes de segurana, modelos de
segurana so divididos em sees lgicas. Voc
pode configurar cada uma das seguintes sees
de acordo com as necessidades e as solicitaes
de uma empresa:
Polticas de Conta. Poltica de senha, Poltica
de bloqueio de conta e Poltica Kerberos
Polticas locais Poltica de auditoria, Atribuio
de direitos do usurio e Opes de segurana
Log de Eventos. Configuraes de log de eventos de segurana, aplicativo e sistema

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Grupos Restritos. Associao de grupos que podem ter direitos e permisses especiais
Servios do Sistema. Inicializao e permisses para servios do sistema
Registro. Permisses para chaves do Registro
Sistema de Arquivos. Permisses para pastas e arquivos
Ao configurar um modelo de segurana, voc pode us-lo para configurar um nico computador ou
para configurar vrios computadores na rede. Veja a seguir algumas maneiras de configurar e distribuir
modelos de segurana:
Secedit.exe. A ferramenta de linha de comando secedit.exe configura e analisa a segurana do
sistema, comparando a configurao atual de um computador que executa o Windows Server 2012
com modelos de segurana especificados.
Snap-in de Modelos de Segurana. Os snap-in de Modelos de Segurana pode ser usado para criar
uma poltica de segurana com o uso de modelos de segurana.
Assistente de Configurao e Anlise de Segurana. Esse assistente uma ferramenta que voc pode
usar para analisar e configurar a segurana do computador.
Poltica de Grupo. A Poltica de Grupo uma tecnologia que voc pode usar para analisar e definir
configuraes de computador, incluindo a distribuio de configuraes de segurana especficas.
Gerenciador de Compatibilidade de Segurana. O Gerenciador de Compatibilidade de Segurana
uma ferramenta que fornece recursos centralizados de gerenciamento de linha de base de segurana
e funcionalidade de exportao de linha de base de segurana.
Configurao de direitos do usurio
A atribuio de direitos do usurio refere-se
capacidade de realizar aes no sistema
operacional. Cada computador tem o seu prprio
conjunto de direitos do usurio, como o direito de
alterar a hora do sistema. A maioria dos direitos
concedida ao Sistema Local ou ao Administrador.
Privilgios e direitos de logon so dois tipos
de direitos de usurio:
Privilgios definem o acesso a recursos de
computador e domnio. Por exemplo, direitos
para fazer backup de arquivos e diretrios.
Direitos de logon definem quem tem autorizao para fazer logon em um computador e como esses
usurios podem fazer logon. Por exemplo, direitos de logon podem definir o direito de fazer logon
em um sistema localmente.
Voc pode configurar direitos atravs da Poltica de Grupo. Inicialmente, a poltica de domnio padro
no tem direitos de usurio definidos.
Voc pode definir configuraes para Direitos de Usurio acessando Configurao do Computador\
Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas Locais\Atribuio de Direitos
de Usurio no GPMC (Console de Gerenciamento de Poltica de Grupo).

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-9
Alguns exemplos de direitos de usurio comumente utilizados (e as polticas configuradas por eles) so:
Adicionar estaes de trabalho ao domnio. Determina quais usurios ou grupos podem adicionar
estaes de trabalho ao domnio.
Permitir logon localmente. Determina quais usurios podem fazer logon no computador.
Permitir logon atravs dos Servios de rea de Trabalho Remota. Determina quais usurios
ou grupos tm permisso para fazer logon como Cliente de Servios de rea de Trabalho Remota.
Fazer backup de arquivos e diretrios. Determina quais usurios tm permisso para fazer backup
de arquivos e pastas em um computador.
Alterar a hora do sistema. Determina quais usurios ou grupos tm os direitos de alterar a data
e a hora no relgio interno do computador.
Forar o desligamento de um sistema remoto. Determina quais usurios tm permisso para
desligar um computador a partir de um local remoto na rede.
Desligar o sistema. Determina quais dos usurios que so localmente conectados a um computador
tm permisso para desligar esse computador.
Configurando as opes de segurana
Voc tambm pode usar a Poltica de Grupo
para acessar e configurar Opes de Segurana.
As configuraes de segurana do computador
que voc pode definir em Opes de Segurana
incluem:
Nomes de contas de Administrador e
Convidados
Acesso a unidades de CD/DVD
Assinaturas de dados digitais
Comportamento de instalao de drivers
Prompts de logon
Controle de conta de usurio
Voc tambm pode definir configuraes para Opes de Segurana acessando o seguinte local
no GPMC: Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas Locais\Opes de Segurana
Os exemplos a seguir representam Opes de Segurana utilizadas com frequncia:
Pedir que o usurio altere a senha antes que ela expire. Determina quantos dias antes de a senha
de um usurio expirar o sistema operacional fornece um aviso.
Logon interativo: no exibir o ltimo nome do usurio. Determina se o nome do ltimo usurio
a fazer logon no computador exibido na janela de logon do Windows.
Contas: renomear conta do administrador. Determina se um nome de conta diferente est
associado ao SID (identificador de segurana) do Administrador da conta.
Dispositivos: restringir acesso ao CD-ROM apenas aos usurios com logon local. Determina
se um CD-ROM est acessvel para usurios locais e remotos simultaneamente.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao do Controle de Conta de Usurio
Contas administrativas implicam um grau maior
de riscos de segurana. Quando uma conta
administrativa est conectada, seus privilgios
permitem o acesso ao sistema operacional
Windows inteiro, incluindo o Registro, arquivos
de sistema e definies de configurao.
Enquanto uma conta administrativa estiver
conectada, o sistema ficar vulnervel a
ataques, podendo ficar comprometido.
O Controle de Conta de Usurio um recurso
de segurana que ajuda a impedir alteraes
no autorizadas em um computador. Ele faz isso
solicitando a permisso do usurio ou as credenciais do administrador antes de realizar aes que possam
afetar a operao do computador ou alterar configuraes que afetariam vrios usurios.
Por padro, usurios padro e administradores executam aplicativos e acessam recursos no contexto de
segurana de um usurio padro. O prompt do Controle de Conta de Usurio fornece uma maneira para
um usurio elevar seu estatuto de uma conta de usurio padro para uma conta de administrador sem
fazer logoff, trocar de usurio ou usar Executar como. Por causa disso, o Controle de Conta de Usurio
cria um ambiente mais seguro no qual executar e instalar aplicativos.
Quando um aplicativo requer permisso em nvel de administrador, o Controle de Conta de Usurio
notifica o usurio da seguinte forma:
Se o usurio for um administrador, ele confirmar a elevao do seu nvel de permisso e continuar.
Esse processo de solicitao de aprovao conhecido como Modo de Aprovao de Administrador.
Observao: No Windows Server 2012, a conta de Administrador interno no executada
no Modo de Aprovao de Administrador. O resultado que no h prompts de Controle
de Conta de Usurio exibidos quando a conta de administrador local usada.
Se o usurio no for um administrador, ser necessrio informar um nome de usurio e uma
senha para uma conta que tenha permisses administrativas. Fornecer credenciais administrativas
temporariamente d privilgios administrativos ao usurio, mas apenas para completar a tarefa
atual. Concluda a tarefa, as permisses voltam a ser s de um usurio padro.
Ao usar esse processo de notificao e elevao para privilgios de conta de administrador, alteraes
no podem ser feitas no computador sem que o usurio saiba, pois um prompt solicita a permisso do
usurio ou as credenciais de administrador. Isso pode ajudar a impedir que softwares mal-intencionados
(malware) e spywares sejam instalados em um computador ou faam alteraes nesse computador.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-11
O Controle de Conta de Usurio permite que as seguintes alteraes em nvel de sistema ocorram
sem prompts, mesmo quando um usurio est conectado como um usurio local:
Instalar atualizaes do Windows Update
Instalar drivers do Windows Update ou drivers que so fornecidos junto com o sistema operacional
Exibir configuraes do sistema operacional Windows
Emparelhar dispositivos Bluetooth com o computador
Redefinir o adaptador de rede e realizar outras tarefas de diagnstico e reparo de rede
Como modificar o comportamento do Controle de Conta de Usurio
Voc pode modificar a experincia de notificao do Controle de Conta de Usurio de forma a ajustar a
frequncia e o comportamento de prompts desse recurso. Para modificar o comportamento do Controle
de Conta de Usurio em um nico computador, acesse o painel de controle do Windows Server 2012,
em Sistema e Segurana.
Voc tambm pode definir configuraes de Controle de Conta de Usurio acessando o seguinte local
no GPMC: Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas Locais\Opes de Segurana
Veja a seguir exemplos de algumas configuraes de GPO que voc pode definir para o Controle
de Conta de Usurio:
Controle de Conta de Usurio: executar todos os administradores no Modo de Aprovao
de Administrador. Controla o comportamento de todas as configuraes de poltica de Controle
de Conta de Usurio para o computador. Se essa configurao estiver desabilitada, o Controle
de Conta de Usurio no ser executado nesse computador.
Controle de Conta de Usurio: Modo de Aprovao de Administrador para a conta de
administrador interno. Quando voc habilita essa configurao, a conta de administrador
interno usa o Modo de Aprovao de Administrador.
Controle de Conta de Usurio: detectar instalaes de aplicativos e perguntar se deseja
elevar. Essa configurao controla o comportamento de deteco de instalao de aplicativos
para o computador.
Controle de Conta de Usurio: elevar somente executveis assinados e validados. Quando voc
habilita essa configurao, uma verificao de PKI (Infraestrutura de Chave Pblica) realizada no
arquivo executvel para verificar se ele provm de uma fonte confivel. Se o arquivo for verificado,
ele poder ser executado.
Observao: Por padro, o Controle de Conta de Usurio no est configurado
ou habilitado em instalaes Server Core do Windows Server 2012.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Configurao da auditoria de segurana
Normalmente, um dos componentes da estratgia
de segurana de uma organizao o registro do
comportamento de atividades do usurio. Esse
comportamento pode incluir tentativas bem ou
mal sucedidas de acessar dados crticos para
negcios que esto armazenados em pastas
diferentes ou tentativas de logon bem ou mal
sucedidas em servidores diferentes. O registro
desses eventos relacionados segurana
chamado de Auditoria de Segurana.
A auditoria de segurana produz logs de eventos
de segurana que os administradores podem
ento ver no Log de Eventos de Segurana do Visualizador de Eventos.
Aps a configurao da auditoria, as informaes em logs de eventos de segurana podem ajudar a sua
organizao a auditar a conformidade com importantes dados relacionados a segurana e aos negcios,
acompanhando atividades precisamente definidas como:
Um administrador de grupo que modificou configuraes ou dados em servidores que contm
informaes altamente confidenciais.
Um funcionrio dentro de um grupo definido que acessou uma pasta importante contendo dados
de diferentes departamentos.
Um usurio que est tentando fazer logon em sua conta repetidamente sem sucesso a partir de um
computador interno da empresa. Voc pode descobrir que o proprietrio da conta de usurio estava
de frias naquela semana, o que significa que outro funcionrio estava tentando fazer logon com
uma conta de usurio diferente.
Voc pode definir configuraes de Auditoria de Segurana acessando o seguinte local no GPMC:
Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\
Polticas Locais\Poltica de Auditoria
Veja a seguir exemplos de algumas configuraes de GPO que voc pode definir para auditoria:
Auditoria de eventos de logon de conta. Determina se o sistema operacional faz auditoria sempre
que o computador valida as credenciais de uma conta.
Auditoria de gerenciamento de contas. Determina se necessrio fazer a auditoria de cada evento
de gerenciamento de conta, como criar, alterar, renomear ou excluir uma conta de usurio, alterar
uma senha ou habilitar ou desabilitar uma conta de usurio.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-13
Auditoria de acesso a objetos. Determina se as auditorias do sistema operacional tm acesso a
objetos no-Active Directory, como pastas ou arquivos. Antes de definir configuraes de auditoria
com a Poltica de Grupo, voc precisa configurar SACLs (listas de controle de acesso do sistema) em
pastas ou arquivos para permitir a auditoria de um tipo especfico de ao, como gravar, ler ou
modificar.
Auditoria de evento do sistema. Determina se o sistema operacional faz auditorias de eventos
relacionados ao sistema, como tentar mudar o horrio do sistema, tentar uma inicializao ou um
desligamento do sistema ou quando o tamanho do log de segurana excede um aviso de limite
configurvel.
Leitura adicional: Para obter mais informaes sobre auditoria de
segurana, consulte o artigo sobre novidades em auditoria de segurana
em http://go.microsoft.com/fwlink/?LinkID=266747.
Configurao de grupos restritos
Em alguns casos, voc pode querer controlar a
associao de certos grupos em um domnio,
como o grupo de administradores locais, para
evitar a adio de outras contas de usurios a
esses grupos.
possvel usar a poltica de Grupos Restritos para
controlar a associao de grupo, especificando
quais membros so colocados em um grupo.
Se voc definir uma poltica de Grupos Restritos
e depois atualizar a Poltica de Grupo, qualquer
membro atual de um grupo que no esteja na lista
de membros da poltica de Grupos Restritos ser
removido, incluindo membros padro como administradores de domnio.
Embora voc possa controlar grupos de domnio atribuindo polticas de Grupos Restritos a controladores
de domnio, essa configurao deve ser usada principalmente para configurar a associao de grupos
crticos, como Administradores de Empresa e Administradores de Esquema. Voc tambm pode usar essa
configurao para controlar a associao de grupos locais internos em estaes de trabalho e servidores
membros. Por exemplo, possvel colocar o grupo Assistncia Tcnica no grupo local Administradores
em todas as estaes de trabalho.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
No possvel especificar usurios locais em um GPO de domnio. Os usurios locais que esto
atualmente no grupo local controlado pela poltica de Grupos Restritos sero removidos. A nica
exceo a isso que a conta local de Administradores est sempre no grupo local de Administradores.
Voc pode definir as configuraes para Grupos Restritos acessando o seguinte local no GPMC:
Grupos Restritos
Definio de configurao de poltica de conta
Polticas de conta protegem as contas e os
dados da sua organizao, reduzindo a ameaa
de ataques que tentam adivinhar o nome de
usurio e a senha da conta (esse tipo de ataque
s vezes chamado de ataque com fora bruta).
Proteger seu ambiente de rede exige que todos
os usurios utilizem senhas fortes. Voc usa
configuraes de poltica de senha para controlar
a complexidade e o tempo de vida das senhas de
usurio. Configuraes de poltica de senha so
definidas atravs da Poltica de Grupo.
Polticas de Conta
Componentes de poltica de conta incluem polticas de senha, polticas de bloqueio de conta e
a Poltica Kerberos.
As configurao de poltica em polticas de Conta so implementadas no nvel do domnio. Um domnio
do Windows Server 2012 pode ter vrias polticas de bloqueio de contas e senhas, que so chamadas de
polticas de senha refinadas. Voc pode aplicar essas polticas a um usurio ou a um grupo de segurana
global em um domnio, mas no a uma UO.
Observao: Se voc precisar aplicar uma poltica de senha refinada aos usurios de
uma UO, poder usar um grupo de sombra, que um grupo de segurana global logicamente
mapeado para uma UO.
Voc pode definir configuraes de poltica de conta acessando o seguinte local no GPMC:
Polticas de Conta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-15
Poltica de Senha
As polticas de senha que voc pode configurar esto listadas na tabela a seguir.
Poltica Funo Prtica recomendada
A senha deve
satisfazer a requisitos
de complexidade
Exige que as senhas:
o Respeite o requisito de
comprimento estabelecido
pelo Comprimento Mnimo da
Senha, com um mnimo de trs
caracteres se o Comprimento
Mnimo da Senha for definido
como 0..
o Contenham uma combinao
de pelo menos trs dos
seguintes tipos de caracteres:
letras maisculas, letras
minsculas, nmeros e
smbolos (sinais de pontuao).
o No devem conter o nome de
usurio ou o nome de tela do
usurio.
Habilite essa configurao. Esses
requisitos de complexidade
podem ajudar a garantir uma
senha forte. Senhas fortes so
mais difceis de descodificar do
que senhas que contm letras
simples ou nmeros.
Instrua os usurios a utilizarem
frases secretas para criar senhas
longas fceis de lembrar.
Impor histrico
de senha
Impede que os usurios criem uma
nova senha igual senha atual ou a
uma senha usada recentemente.
Para especificar quantas senhas
so memorizadas, fornea um valor.
Por exemplo, um valor de 1 significa
que apenas a ltima senha ser
memorizada, enquanto um valor
de 5 significa que as cinco senhas
anteriores sero memorizadas.
Quanto maior o nmero,
melhor ser a segurana.
O valor padro 24. Impor
o histrico de senhas garante
que senhas que ficaram
comprometidas no sejam
usadas repetidamente.
Tempo de vida
mximo da senha
Define o nmero mximo de dias
durante os quais uma senha vlida.
Aps esse nmero de dias, o usurio
ter que mudar a senha.
O valor padro 42 dias, mas
a melhor prtica defini-lo
como 90 dias. Ajustar o nmero
de dias como um valor muito
alto fornece aos hackers
uma janela prolongada de
oportunidade para determinar a
senha. Definir o nmero de dias
como um valor muito baixo
decepciona os usurios que
precisam mudar de senha
com muita frequncia e pode
resultar em chamadas mais
frequentes para a assistncia
tcnica do setor de TI.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
(continuao)
Tempo de vida
mnimo da senha
Define o nmero mnimo de dias que
devem passar antes que uma senha
possa ser alterada.
Defina o tempo de vida mnimo
da senha para pelo menos 1 dia.
Ao fazer isso, o usurio s pode
mudar a senha uma vez por dia.
Isso ir ajudar a impor outras
configuraes.
Por exemplo, se as ltimas
cinco senhas forem
memorizadas, isso ir garantir
que pelo menos cinco dias
devem se passar antes que o
usurio possa reutilizar a senha
original. Se o tempo de vida
mnimo da senha for definido
como 0, o usurio poder trocar
de senha seis vezes no mesmo
dia e comear a reutilizar a
senha original no mesmo dia.
Comprimento
mnimo da senha
Especifica o menor nmero de
caracteres que uma senha pode ter.
Defina o comprimento entre
8 e 12 caracteres (desde que
esses caracteres tambm
atendam aos requisitos de
complexidade). Uma senha mais
longa mais difcil de decifrar
do que uma senha mais curta,
supondo que essa senha no
seja uma palavra ou expresso
comum.
Armazenar a senha
com criptografia
reversvel
Fornece suporte para aplicativos que
exigem conhecimento de uma senha
de usurio para fins de autenticao.
No use essa configurao,
a menos que voc use um
programa no qual ela
necessria. Habilitar essa
configurao diminui a
segurana de senhas
armazenadas.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-17
Poltica de Bloqueio de Conta
As Polticas de Bloqueio de Conta que voc pode configurar esto listadas na tabela a seguir.
Limite de bloqueio
de conta
Especifica o nmero de tentativas de
login com falha que so permitidas
antes que a conta seja bloqueada.
Por exemplo, se o limite estiver
definido como 3, a conta ser
bloqueada depois que um usurio
inserir informaes de logon incorretas
trs vezes.
Uma definio de 5 permite
erros moderados do usurio,
e limita tentativas de logon
repetidas para fins mal
intencionados.
Durao do bloqueio
de conta
Permite que voc especifique um
prazo definido, em minutos, aps
o qual a conta desbloqueada
automaticamente e retoma a operao
normal. Se voc especificar 0, a conta
ser bloqueada indefinidamente, at
que um administrador a desbloqueie
manualmente
Depois que o limite for atingido
e a conta for bloqueada, ela
permanecer bloqueada por um
tempo longo o suficiente para
bloquear ou impedir possveis
ataques, mas por tempo curto
o suficiente para no interferir
na produtividade de usurios
legtimos. Uma durao de 30
a 90 minutos deve funcionar
bem na maioria das situaes.
Zerar contador
de bloqueios
de conta aps
Define um prazo para a contagem das
tentativas de logon incorretas. Se a
poltica estiver definida para uma hora,
e o limite de bloqueio de conta estiver
definido para trs tentativas, um
usurio poder inserir as informaes
de logon incorretas trs vezes dentro
de uma hora. Se o usurio inserir
informaes incorretas duas vezes,
mas corretas na terceira vez, o
contador ser redefinido depois de
uma hora (a partir da primeira entrada
incorreta), e tentativas futuras com
falha comearo novamente a partir
do nmero um.
Usar um intervalo de 30 a
60 minutos geralmente
suficiente para impedir ataques
automatizados e tentativas
manuais por parte de um
atacante de adivinhar senhas.
Poltica Kerberos
Essa poltica para contas de usurio de domnio e determina configuraes relacionadas a Kerberos,
como a vida til e a imposio de tquetes. Polticas Kerberos no existem na Poltica de Computador
Local.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio A: Aumento da segurana de recursos
do servidor
Cenrio
Inglaterra. Um escritrio de TI e um datacenter esto localizados em Londres como suporte localizao
em Londres e outras localizaes. Recentemente, a A. Datum implantou uma infraestrutura do
Windows Server 2012 com clientes Windows 8.
voc aceitou uma promoo para trabalhar na equipe de suporte a servidores. Como novo membro
da equipe, voc ajuda a implantar e a configurar novos servidores e servios na infraestrutura existente
com base nas instrues recebidas do gerente de TI.
Seu gerente lhe deu algumas configuraes de segurana que precisam ser implementadas em todos
os servidores membros. Voc tambm precisa implementar a auditoria do sistema de arquivos para
um compartilhamento de arquivos usado pelo departamento de Marketing. Finalmente, voc precisa
implementar a auditoria para logons de domnio.
Objetivos
Usar a Poltica de Grupo para proteger servidores membros.
Auditar o acesso ao sistema de arquivos.
Auditar logons de domnio.

24410B-LON-SVR1
24410B-LON-CL1
Senha Pa$$w0rd

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-19
o Senha: Pa$$w0rd
5. Repita as etapas de 2 a 4 para 24410B-LON-SVR1 e as etapas 2 e 3 para 24410B-LON-CL1.
No entre em LON-CL1 at receber instrues.
Exerccio 1: Como usar a Poltica de Grupo para proteger servidores
membros
Cenrio
A empresa A. Datum usa o grupo de Administradores do Computador para fornecer aos administradores
permisses para administrar servidores membros. Como parte do processo de instalao de um
novo servidor, o grupo de Administradores do Computador no domnio adicionado ao grupo de
Administradores local no novo servidor. Recentemente, essa etapa importante no era feita durante
a configurao de vrios novos servidores membros.
Para assegurar que o grupo de Administradores do Computador sempre receba permisso para gerenciar
servidores membros, o gerente pediu para voc criar um GPO que defina a associao do grupo local de
Administradores em servidores membros, de forma a incluir Administradores de Servidor de Computador.
Esse GPO tambm precisa habilitar o Modo de Aprovao de Administrador para o Controle de Conta
de Usurio.
1. Criar uma UO (unidade organizacional) de Servidores Membros e mover servidores at ela
2. Criar um grupo de Administradores de Servidor
3. Criar um GPO (Objeto de Poltica de Grupo) de Configuraes de Segurana de Servidores Membros
e vincul-lo UO de Servidores Membros
4. Configurar a associao de grupo para administradores locais de forma a incluir Administradores
de Servidor e Administradores de Domnio
5. Verificar se o grupo Administradores do Computador foi adicionado ao grupo de Administradores
local
6. Modificar o GPO de Configuraes de Segurana de Servidores Membros para remover Usurios
de Permitir logon localmente
7. Modificar o GPO de Configuraes de Segurana de Servidores Membros para habilitar Controle
de Conta de Usurio: Modo de Aprovao de Administrador para a conta de administrador interno
8. Verificar se um usurio no administrativo no consegue fazer logon em um servidor membro
Tarefa 1: Criar uma UO (unidade organizacional) de Servidores Membros e mover
servidores at ela
1. Em LON-DC1, abra Usurios e Computadores do Active Directory.
2. Crie uma nova UO denominada UO de Servidores Membros.
3. Mova os servidores LON-SVR1 e LON-SVR2 at UO de Servidores Membros.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Criar um grupo de Administradores de Servidor
Em LON-DC1, em UO de Servidores Membros, crie um novo grupo de segurana global chamado
Administradores de Servidor.
Tarefa 3: Criar um GPO (Objeto de Poltica de Grupo) de Configuraes de Segurana
de Servidores Membros e vincul-lo UO de Servidores Membros
1. Em LON-DC1, abra o Console de Gerenciamento de Poltica de Grupo.
2. No GPMC (Console de Gerenciamento de Poltica de Grupo), no continer Objetos de Poltica de
Grupo, crie um novo GPO com o nome Configuraes de Segurana de Servidores Membros.
3. No Console de Gerenciamento de Poltica de Grupo, vincule as Configuraes de Segurana
de Servidores Membros UO de Servidores Membros.
Tarefa 4: Configurar a associao de grupo para administradores locais de
forma a incluir Administradores de Servidor e Administradores de Domnio
1. Em LON-DC1, abra o Console de Gerenciamento de Poltica de Grupo.
2. Edite a Poltica de Domnio Padro.
3. Navegue at Configurao do Computador, clique em Polticas, clique em Configuraes
do Windows, clique em Configuraes de Segurana e depois clique em Grupos restritos.
4. Adicione os grupos Administradores de Servidor e Admins. Do domnio ao grupo
Administradores.
5. Feche o Editor de Gerenciamento de Polticas de Grupo.
Tarefa 5: Verificar se o grupo Administradores do Computador foi adicionado ao
grupo de Administradores local
1. Mude para LON-SVR1 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2. Abra uma janela do Windows PowerShell
e, no prompt de comando do Windows PowerShell,

digite o seguinte comando:
Gpupdate /force
3. Abra o Gerenciador do Servidor, abra o console Gerenciamento do computador e expanda
Usurios e Grupos Locais.
4. Confirme que o grupo Administradores contm tanto ADATUM\Admins. Do domnio
e ADATUM\Administradores de Servidor como membros.
Tarefa 6: Modificar o GPO de Configuraes de Segurana de Servidores Membros
para remover Usurios de Permitir logon localmente
1. Alterne para LON-DC1.
2. Em LON-DC1, no GPMC, edite o GPO de Configuraes de Segurana de Servidores de Membros.
3. Na janela Editor de Gerenciamento de Polticas de Grupo, navegue at Configurao
do Computador\Polticas\Configuraes do Windows\Configuraes de segurana\
Polticas locais\Atribuio de direitos de usurio e configure Permitir logon local para
os grupos de segurana Admins. Do domnio e Administradores.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-21
para habilitar Controle de Conta de Usurio: Modo de Aprovao de Administrador
para a conta de administrador interno
1. Em LON-DC1, na janela Editor do Gerenciamento de Polticas de Grupo, navegue at
Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de segurana\Polticas locais\Opes de Segurana.
2. Habilite Controle de Conta de Usurio: Modo de Aprovao de Administrador para a conta
de administrador interno.
3. Feche o Editor de Gerenciamento de Poltica de Grupo.
Tarefa 8: Verificar se um usurio no administrativo no consegue fazer logon
em um servidor membro
2. Abra uma janela do Windows PowerShell e, no prompt do Windows PowerShell, digite o seguinte
comando:
Gpupdate /force
3. Saia de LON-SVR1.
4. Tente entrar em LON-SVR1 como ADATUM\Adam com a senha Pa$$w0rd.
5. Verifique se voc no consegue entrar em LON-SVR1.
6. Para se preparar para o prximo exerccio, faa logoff de LON-SVR1 e volte a fazer logon
em LON-SVR1 como ADATUM\Administrador com a senha Pa$$w0rd.

Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para proteger servidores
Membro.
Exerccio 2: Auditoria do acesso ao sistema de arquivos
Cenrio
O gerente do departamento de Marketing est preocupado porque no possvel controlar quem
est acessando os arquivos que esto no compartilhamento de arquivos do departamento. Seu gerente
explicou que somente os usurios com permisses esto autorizados a acessar os arquivos. No entanto,
o gerente do departamento de Marketing gostaria de tentar registrar o acesso aos arquivos que esto
no compartilhamento de arquivos para ver quais usurios esto acessando arquivos especficos.
Seu gerente lhe pediu para habilitar a auditoria para o sistema de arquivos que se encontra no
compartilhamento de arquivos do departamento de Marketing e para analisar os resultados
com o gerente do departamento de Marketing.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
1. Modificar o GPO de Configuraes de Segurana de Servidores Membros para habilitar a auditoria
de acesso a objetos
2. Criar e compartilhar uma pasta
3. Habilitar a auditoria na pasta Marketing para Usurios de Domnio
4. Criar um novo arquivo no compartilhamento de arquivos a partir de LON-CL1
5. Ver os resultados no log de segurana no controlador de domnio
para habilitar a auditoria de acesso a objetos
3. No GPMC, edite o GPO de Configuraes de Segurana de Servidores Membros.
4. Na janela Editor do Gerenciamento de Polticas de Grupo, navegue at Configurao
Polticas locais\Poltica de auditoria.
5. Habilite Auditoria de acesso a objetos com configuraes de xito e Falha.
6. Saia de LON-DC1.
Tarefa 2: Criar e compartilhar uma pasta
3. Em LON-SVR1, na unidade C, crie uma nova pasta com o nome Marketing.
4. Configure a pasta Marketing com permisses de compartilhamento de Leitura/Gravao
para o usurio Adam.
Tarefa 3: Habilitar a auditoria na pasta Marketing para Usurios de Domnio
1. Em LON-SVR1, na janela Disco Local (C:), defina a auditoria na pasta Marketing, com as seguintes
configuraes:
o Selecionar uma entidade de segurana: Usurios do domnio
o Tipo: Todas
o Permisso: Ler e executar, Listar contedo da pasta, Ler, Gravar
o Deixe as outras configuraes com seus valores padro.
2. Atualize a Poltica de Grupo digitando o seguinte comando em uma janela do PowerShell:
gpupdate /force
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-23
Tarefa 4: Criar um novo arquivo no compartilhamento de arquivos a partir
de LON-CL1
3. Abra uma janela de Prompt de Comando e digite o seguinte comando:
gpupdate /force
4. Feche a janela Prompt de Comando.
5. Saia de LON-CL1 e depois entre novamente como ADATUM\Adam com a senha Pa$$w0rd.
6. Abra a pasta Marketing em LON-SVR1 usando o seguinte caminho UNC:
\\LON-SVR1\Marketing.
7. Crie um documento de texto com o nome Funcionrios.
8. Saia de LON-CL1.
Tarefa 5: Ver os resultados no log de segurana no controlador de domnio
1. Alterne para LON-SVR1 e inicie o Visualizador de Eventos.
2. Na janela Visualizador de Eventos, expanda Logs do Windows e abra Segurana.
3. Verifique se os seguintes eventos e informaes so exibidos:
Origem: Microsoft Windows security auditing
ID do Evento: 4663
Categoria da tarefa: Sistema de arquivos
Tentativa de acessar um objeto.

Resultados: Ao terminar este exerccio, voc dever ter habilitado a auditoria de acesso ao sistema
de arquivos.
Exerccio 3: Auditoria de logons do domnio
Cenrio
Aps uma reviso segurana, o comit de poltica de TI decidiu comear a acompanhar todos os logons
de usurios no domnio. Seu gerente lhe pediu para habilitar a auditoria de logons de domnio e verificar
se esse recurso est funcionando.
1. Modificar o GPO de Poltica de Domnio Padro
2. Execute GPUpdate
3. Entrar em LON-CL1 com uma senha incorreta
4. Analisar logs de eventos em LON-DC1
5. Entrar em LON-CL1 com a senha correta
6. Analisar logs de eventos em LON-DC1
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 1: Modificar o GPO de Poltica de Domnio Padro
3. Em LON-DC1, inicie o Gerenciador do Servidor e, no Gerenciador do Servidor, inicie o GPMC.
4. Em LON-DC1, no GPMC, edite o GPO Poltica de Domnio Padro.
5. Na janela Editor do Gerenciamento de Polticas de Grupo, navegue at Configurao
Polticas locais\Poltica de auditoria.
6. Habilite Auditoria de eventos de logon de conta com configuraes de xito e Falha.
7. Atualize a Poltica de Grupo usando o comando gpupdate /force.
Tarefa 2: Execute GPUpdate
gpupdate /force
4. Feche a janela Prompt de Comando e saia de LON-CL1.
Tarefa 3: Entrar em LON-CL1 com uma senha incorreta
Entre em LON-CL1 como ADATUM\Adam com a senha Password.
Observao: Essa senha est propositalmente incorreta para gerar uma entrada de log
de segurana que mostra que foi feita uma tentativa mal sucedida de logon.
Tarefa 4: Analisar logs de eventos em LON-DC1
1. Em LON-DC1, inicie o Visualizador de Eventos.
2. Na janela Visualizador de Eventos, expanda Logs do Windows e clique em Segurana.
3. Examine os logs de eventos em busca da seguinte mensagem: ID do Evento 4771 Falha na
pr-autenticao do Kerberos. Informaes da conta: ID de Segurana: ADATUM\Adam.
Tarefa 5: Entrar em LON-CL1 com a senha correta
Entre em LON-CL1 como ADATUM\Adam com a senha Pa$$w0rd.
Observao: Essa senha est correta, e voc deve ser capaz de entrar com sucesso
como Adam.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-25
1. Em LON-DC1, inicie o Visualizador de Eventos.
3. Examine os logs de eventos em busca da seguinte mensagem: "ID do Evento 4624 O logon
de uma conta foi conectada com xito. Novo Logon: ID de Segurana: ADATUM\Adam.

Resultados: Ao terminar este exerccio, voc ter habilitado a auditoria de logon de domnio.
Para se preparar para o prximo laboratrio
Para se preparar para o prximo laboratrio, deixe as mquinas virtuais em execuo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Lio 3
Restrio de softwares
Os usurios precisam ter acesso aos aplicativos que os ajudam a trabalhar. No entanto, aplicativos
desnecessrios ou indesejados muitas vezes so instalados em computadores cliente, seja
intencionalmente ou para fins mal-intencionados ou no comerciais. Softwares sem suporte ou no
utilizados no so mantidos ou protegidos pelos administradores e podem ser usados como ponto de
entrada para invasores obterem acesso no autorizado ou espalharem vrus de computador. Por isso,
de extrema importncia que voc garanta que apenas os softwares necessrios sejam instalados em
todos os computadores da sua organizao. Tambm vital que voc impea a execuo de softwares
no permitidos ou no mais utilizados ou compatveis.
Objetivos da lio
Explicar como usar polticas de restrio de software para impedir a execuo de softwares
no autorizados em servidores e clientes.
Descrever a finalidade do AppLocker
.
Descrever regras do AppLocker e como us-las para impedir a execuo de softwares no autorizados
em servidores e clientes.
Descrever como criar regras do AppLocker.
O que so polticas de restrio de software?
Introduzidas nos sistemas operacionais
Windows XP e Windows Server 2003, SRPs
(polticas de restrio de software) fornecem
aos administradores ferramentas que eles
podem usar para identificar e especificar quais
aplicativos tm permisso para serem executados
em computadores cliente. Voc configura e
implanta configuraes de SRP em clientes
usando a Poltica de Grupo.
SRPs so usadas no Windows Server 2012 para
fornecer compatibilidade com o Windows XP
e o Windows Vista
. Uma SRP composta

de regras e nveis de segurana.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-27
Regras
Regras determinam como a SRP responde a um aplicativo que est sendo executado ou instalado.
Elas so as principais construes em uma SRP, e um grupo de regras determina como uma SRP
responde a aplicativos que esto sendo executados. Regras podem se basear em um dos seguintes
critrios que se aplicam ao arquivo executvel principal do aplicativo em questo:
Hash. Uma impresso digital criptogrfica do arquivo.
Certificado. Um certificado de fornecedor de software que usado para assinar digitalmente
um arquivo.
Caminho. O caminho local ou UNC no qual o arquivo est armazenado.
Zona. A zona da Internet.
Nvel de Segurana
Cada SRP aplicada recebe um nvel de segurana que determina de que modo o sistema operacional
reage quando o aplicativo que est definido na regra executado. As trs configuraes de nvel de
segurana disponveis so as seguintes:
No Permitido. O software identificado na regra no ser executado, independentemente dos
direitos de acesso do usurio.
Usurio Bsico. Permite que o software identificado na regra seja executado como um usurio
no administrativo padro.
Irrestrito. Permite que o software identificado na regra seja executado sem restries pela SRP.
Usando essas trs configuraes, existem trs maneiras principais de usar SRPs:
Se um administrador tiver uma lista completa de todos os softwares que devem ter autorizao
para serem executados em clientes, o Nvel de Segurana Padro poder ser definido como
No Permitido. Todos os aplicativos que devem ter autorizao para serem executados
podem ser identificados nas regras de SRP que aplicariam o nvel de segurana Usurio Bsico
ou Irrestrito a cada aplicativo, dependendo dos requisitos de segurana.
Se um administrador no tiver uma lista completa dos softwares que devem ter autorizao para
serem executados em clientes, o Nvel de Segurana Padro poder ser definido como Irrestrito
ou Usurio Bsico, dependendo dos requisitos de segurana. Qualquer aplicativo que no deve
ter autorizao para ser executado pode ser identificado com o uso de regras de SRP, que usariam
uma configurao de nvel de segurana No Permitido.
Configuraes de Polticas de Restrio de Softwares esto disponveis em Poltica de Grupo, no seguinte
local: Configurao do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\
Polticas de Restrio de Softwares.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
O que AppLocker?
O AppLocker, introduzido nos
sistemas operacionais Windows 7 e
Windows Server 2008 R2, um recurso
de configurao de segurana que controla
quais aplicativos os usurios esto autorizados
a executar.
O AppLocker oferece aos administradores uma
ampla variedade de mtodos para determinar
de maneira rpida e concisa a identidade de
aplicativos que eles podem querer restringir
ou aos quais eles podem querer permitir acesso.
Voc aplica o AppLocker atravs da Poltica de
Grupo a objetos de computador dentro de uma UO. Voc tambm pode aplicar regras de AppLocker
individuais a usurios ou grupos individuais do AD DS.
O AppLocker tambm contm opes para monitorar ou auditar a aplicao de regras. O AppLocker
pode ajudar as organizaes a evitar a execuo de softwares sem licena ou mal-intencionados,
alm de poder restringir a instalao de controles ActiveX
. Ele tambm pode reduzir o custo total

de propriedade, garantindo que as estaes de trabalho sejam padronizados em toda a empresa e
que os usurios estejam executando apenas os softwares e os aplicativos aprovados pela empresa.
Usando a tecnologia AppLocker, as empresas podem reduzir a sobrecarga administrativa e ajudar
os administradores a controlar como os usurios podem acessar e usar arquivos, como arquivos .exe,
scripts, arquivos do Windows Installer (.msi e .msp) e DLLs.
Voc pode usar o AppLocker para restringir softwares que:
No tm permisso para serem usados na empresa. Por exemplo, softwares que possam atrapalhar
a produtividade dos funcionrios, como softwares de rede social, ou softwares que transmitam
arquivos de vdeo ou imagens usando uma grande quantidade de largura de banda de rede
e espao em disco.
No so mais usados ou foram substitudos por uma verso mais recente. Por exemplo, softwares
para os quais no existe mais manuteno ou cujas licenas expiraram.
No tm mais suporte na empresa. Softwares que no esto atualizados com atualizaes
de segurana podem representar um risco de segurana.
Deve ser usados apenas por departamentos especficos.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-29
Voc pode definir configuraes do AppLocker navegando no GPMC at: Configurao do Computador\
Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas de Controle de Aplicativo.
Observao: O AppLocker utiliza o servio de Identidade de Aplicativo para verificar os
atributos de um arquivo. Esse servio deve ser configurado para ser iniciado automaticamente
em cada computador no qual o AppLocker deve ser aplicado. Se o servio de Identidade de
Aplicativo no estiver em execuo, polticas do AppLocker no sero aplicadas.
Leitura adicional: Para obter mais informaes sobre o AppLocker, consulte a viso geral
do AppLocker em http://go.microsoft.com/fwlink/?LinkID=266745.
Regras do AppLocker
O AppLocker define regras baseadas em atributos
de arquivos que so derivados da assinatura
digital do arquivo. Atributos de arquivos na
assinatura digital incluem:
Nome do fornecedor
Nome do produto
Nome do arquivo
Verso do arquivo
Configurao padro
Por padro, no h polticas do Applocker
definidas, o que significa que no h aplicativos bloqueados. possvel configurar regras padro
para cada coleo de regras. As regras padro garantem que os aplicativos nos diretrios Arquivos de
Programas e Windows tm permisso para serem executados e que nem todos os aplicativos podem
ser executados para o grupo Administradores. As regras padro devem ser habilitadas se voc pretende
implementar as polticas do Applocker, j que esses aplicativos so necessrios para que os sistemas
operacionais Windows sejam executados e operados normalmente.
Aes de regras Permitir e Negar
Permitir e Negar so aes de regras que permitem ou negam a execuo de aplicativos com base em
uma lista de aplicativos que voc configura. A ao Permitir em regras limita a execuo de aplicativos
a uma lista permitida de aplicativos, bloqueando todo o resto. A ao Negar em regras tem uma
abordagem oposta e permite a execuo de qualquer aplicativo, exceto aqueles em uma lista de
aplicativos negados. Essas aes tambm fornecer um meio de identificar excees a essas aes.
Impor ou Somente Auditoria
Quando a poltica do AppLocker est definida como Impor, as regras so impostas, e todos os eventos
so auditados. Quando a poltica do AppLocker est definida como Somente Auditoria, as regras so
avaliadas e os eventos so gravados no Log do AppLocker, mas nenhum tipo de imposio ocorre.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Demonstrao: Criao de regras do AppLocker
Criar um GPO para impor as regras padro de Executveis do AppLocker.
Aplicar o GPO ao domnio.
Testar a regra do AppLocker.
Criar um GPO para impor as regras padro de Executveis do AppLocker
1. Entre como ADATUM\Administrator com a senha Pa$$w0rd.
3. Crie uma nova GPO denominada Poltica de Restrio do WordPad.
4. Edite as Configuraes de Segurana de Poltica de Restrio do WordPad usando o AppLocker
para criar uma nova Regra de Executvel.
5. Defina a permisso da nova regra como Negar, a condio como Fornecedor e selecione
wordpad.exe. Se solicitado, clique em OK para criar regras padro.
6. No Editor de Gerenciamento de Polticas de Grupo, navegue at Configurao do Computador\
Polticas\Configuraes do Windows\Configuraes de segurana\Poltica de Controle
de Aplicativo\ AppLocker.
7. Em AppLocker, configure a imposio com Impor regras.
8. No Editor de Gerenciamento de Polticas de Grupo, navegue at Configurao do Computador\
Polticas\Configuraes do Windows\Configuraes de segurana\Servios do sistema.
9. Configure Propriedades de Identidade de Aplicativo com Definir esta configurao de poltica
e Selecionar o modo de inicializao do servio com Automtico.
Aplicar o GPO ao domnio
1. Na janela Gerenciamento de Polticas de Grupo, aplique o GPO de Poltica de Restrio
do WordPad ao domnio Adatum.com.
2. Abra uma janela de Prompt de Comando, digite gpupdate /force e pressione Enter.
3. Inicie e, em seguida, entre em 24410B-LON-CL1 como ADATUM\Alan, com a senha Pa$$w0rd.
4. Na janela de Prompt de Comando, digite gpupdate /force e pressione Enter. Aguarde a atualizao
da poltica.
Teste da regra de AppLocker
Em LON-CL1, entre como ADATUM\Alan, tente iniciar o WordPad e depois confirme
que o WordPad no est sendo iniciado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-31
Lio 4
Configurao do Firewall do Windows com Segurana
Avanada
O Firewall do Windows com Segurana Avanada uma ferramenta importante para melhorar a
segurana do Windows Server 2012. Esse snap-in ajuda a impedir vrios problemas de segurana
diferentes, como varredura de portas ou malware. O Firewall do Windows com Segurana Avanada
tem vrios perfis de firewall, cada um dos quais aplicando configuraes exclusivas a diferentes tipos
de redes. Voc pode configurar regras do Firewall do Windows manualmente em cada servidor,
ou pode configur-las centralmente usando a Poltica de Grupo.
Objetivos da lio
Descrever os recursos do Firewall do Windows com Segurana Avanada.
Explique por que um firewall baseado em host importante.
Descrever perfis de firewall.
Descreva regras de segurana de conexo.
Explique como implantar regras do Firewall do Windows.
O que o Firewall do Windows com Segurana Avanada?
O Firewall do Windows um firewall baseado
em host includo no Windows Server 2012.
Esse snap-in executado no computador local
e restringe o acesso rede para e a partir
desse computador.
Ao contrrio de um firewall de permetro, que
oferece proteo apenas contra ameaas na
Internet, um firewall baseado em host oferece
proteo contra ameaas de onde quer que
eles se originem. Por exemplo, o Firewall do
Windows protege um host contra uma ameaa
na LAN (rede local).
Regras de entrada e de sada
Regras de entrada controlam a comunicao que iniciada por outro dispositivo ou computador na rede
com o computador host. Por padro, toda comunicao de entrada bloqueada, exceto o trfego que
explicitamente permitido por uma regra de entrada.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Regras de sada controlam a comunicao que iniciada pelo computador host e est destinada para
um dispositivo ou computador na rede. Por padro, toda comunicao de sada permitida, exceto
o trfego que explicitamente bloqueado por uma regra de sada. Se voc optar por bloquear todas
as comunicaes de sada, exceto o trfego que explicitamente permitido, dever catalogar
cuidadosamente os softwares que podem ser executados nesse computador e a comunicao
de rede exigida por esses softwares.
Voc pode criar regras de entrada e sada com base em portas UDP e TCP, e tambm com base em
outros protocolos. Tambm pode criar regras de entrada e sada que permitem o acesso a uma rede
executvel especfica, independentemente do nmero da porta que est sendo usada.
Regras de Segurana de Conexo
Regras de Segurana de Conexo so usadas para configurar o IPsec para o Windows Server 2012.
Quando essas regras so configuradas, voc pode autenticar a comunicao entre computadores e
depois usar essas informaes para criar regras de firewall baseadas em contas especficos de usurio
e computador.
Opes de configurao adicionais
O Firewall do Windows com Segurana Avanada um snap-in do MMC (Console de Gerenciamento
Microsoft) que permite realizar a configurao avanada do Firewall do Windows.
O Firewall do Windows no Windows 8 e no Windows Server 2012 oferece os seguintes recursos:
Oferece suporte para filtragem no trfego de entrada e de sada.
Integra configuraes de filtragem de firewall e proteo IPsec.
Permite que voc configure regras para controlar o trfego de rede.
Fornece perfis com reconhecimento do local de rede.
Permite importar ou exportar polticas.
Voc pode configurar o Firewall do Windows em cada computador individualmente ou com
a Poltica de Grupo em: Configurao do Computador\Polticas\Configuraes do Windows\
Configuraes de Segurana\Firewall do Windows com Segurana Avanada
Observao: O Windows Server 2012 introduz a opo adicional de administrar o Firewall
do Windows usando a interface de linha de comando do Windows PowerShell.
Discusso: Por que importante um firewall baseado no host?
Examine a pergunta em questo e participe de
uma discusso para identificar os benefcios
de usar um firewall baseado em host, como o
Firewall do Windows com Segurana Avanada.
Pergunta: por que importante usar um
firewall baseado em host, como o Firewall
do Windows com Segurana Avanada?

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-33
Perfis de firewall
O Firewall do Windows com Segurana
Avanada usa perfis de firewall para fornecer
uma configurao consistente para redes de um
tipo especfico e permite que voc defina uma
rede ou como rede de domnio, rede pblica
ou rede privada.
Com o Firewall do Windows com Segurana
Avanada, voc pode definir um conjunto de
configuraes para cada tipo de rede. Cada
conjunto de configuraes chamado de perfil
de firewall. As regras de firewall so ativadas
somente para perfis de firewall especficos.
O Firewall do Windows com Segurana Avanada inclui os perfis na tabela a seguir.
Perfil Descrio
Pblico Use quando voc estiver conectado a uma rede pblica no confivel.
A no ser pelas redes de domnio, todas as redes so classificadas como Pblicas.
Por padro, o perfil Pblico (que o mais restritivo) usado no Windows Vista,
no Windows 7 e no Windows 8.
Privado Use quando voc estiver conectado atrs de um firewall.
Uma rede classificada como Privada somente quando um administrador ou
um aplicativo a identifica como privada. As redes marcadas como Domstica
ou Corporativa no Windows Vista, no Windows 7 e no Windows 8 so adicionadas
ao perfil Particular.
Domnio Use quando o seu computador fizer parte de um domnio do sistema operacional
Windows.
Sistemas operacionais Windows identificam automaticamente as redes nas quais
eles podem autenticar o acesso ao controlador de domnio. O perfil Domnio
atribudo a essas redes, e essa configurao no pode ser alterada. Nenhuma
outra rede pode ser colocada nessa categoria.
O Windows Server 2012 permite que vrios perfis de firewall fiquem ativos em servidor ao mesmo tempo.
Isso significa que um servidor multihomed que esteja conectado rede interna e rede de permetro
pode aplicar o perfil de firewall de domnio rede interna e o perfil de firewall pblico ou privado rede
de permetro.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Regras de Segurana de Conexo
Uma regra de segurana de conexo fora
a autenticao entre dois computadores de
mesmo nvel para que eles possam estabelecer
a comunicao e transmitir informaes
seguras. Ela tambm protege esse trfego
criptografando os dados que so transmitidos
entre computadores. O Firewall do Windows
com Segurana Avanada usa o IPsec para
impor essas regras.
As regras de segurana de conexo
configurveis so:
Isolamento. uma regra de isolamento isola os
computadores, restringindo as conexes com base em credenciais, como associao do domnio
e status de integridade. As regras de isolamento permitem a implementao de uma estratgia
de isolamento para servidores ou domnios.
Iseno de Autenticao. voc pode usar uma iseno de autenticao para designar conexes
que no exigem autenticao. possvel designar computadores por um endereo IP especfico,
um intervalo de endereos IP, uma sub-rede ou por um grupo predefinido, como um gateway.
Servidor-a-Servidor. uma regra de servidor a servidor protege as conexes entre computadores
especficos. Geralmente, esse tipo de regra protege as conexes entre servidores. Ao criar a regra,
especifique os pontos de extremidade da rede entre os quais as comunicaes so protegidas.
Em seguida, designe os requisitos e a autenticao que voc deseja usar.
Tnel. Com uma regra de tnel, voc pode proteger conexes entre computadores de gateway.
Normalmente, voc usaria uma regra de tnel ao conectar-se atravs da Internet entre dois
gateways de segurana.
Personalizada. Use uma regra personalizada para autenticar conexes entre dois pontos de
extremidade quando voc no pode configurar regras de autenticao necessrias usando
as outras regras disponveis no novo Assistente para Nova Regra de Segurana de Conexo.
Como regras de firewall e regras de segurana de conexo trabalham juntas
Regras de firewall permitem o trfego atravs do firewall, mas no protegem esse trfego. Para proteger
o trfego com IPsec, voc pode criar regras de segurana de conexo. No entanto, regras de segurana
de conexo no permitem o trfego atravs de um firewall. Voc deve criar uma regra de firewall para
fazer isso. Regras de segurana de conexo no so aplicadas a programas e servios. Em vez disso,
elas so aplicadas entre os computadores que compem os dois pontos de extremidade.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-35
Implantao de regras de firewall
A forma como voc implanta as regras do Firewall
do Windows um ponto importante. Escolher o
mtodo apropriado garante que as regras sejam
implantadas precisamente e com esforo mnimo.
Voc pode implantar as regras de Firewall
do Windows das seguintes maneiras:
Manualmente. Voc pode configurar regras
de firewall individualmente em cada servidor.
No entanto, em um ambiente com mais de
alguns servidores, esse processo trabalhoso
e propenso a erros. Esse mtodo geralmente
usado somente durante testes e na soluo
de problemas.
Uso de Poltica de Grupo. A maneira preferencial de distribuir regras de firewall usando a Poltica de
Grupo. Depois de criar e testar um GPO com as regras de firewall necessrias, voc pode implant-las
rapidamente e com preciso em vrios computadores.
Exportando e importando regras de firewall. O Firewall do Windows Firewall com Segurana
Avanada tambm d a voc a opo de importar e exportar regras de firewall. Voc pode
exportar regras de firewall para criar um backup antes de configurar manualmente as regras
de firewall durante o processo de soluo de problemas.
Observao: Quando voc importa regras de firewall, elas so tratadas como um conjunto
completo e substituem todas as regras de firewall atualmente configuradas.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao do AppLocker e do Firewall
do Windows
Cenrio
Inglaterra. Um escritrio de TI e um datacenter esto localizados em Londres como suporte
localizao em Londres e outras localizaes. Recentemente, a A. Datum implantou uma
infraestrutura do Windows Server 2012 com clientes Windows 8.
voc aceitou uma promoo para trabalhar na equipe de suporte a servidores. Como novo membro
da equipe, voc ajuda a implantar e a configurar novos servidores e servios na infraestrutura existente
com base nas instrues recebidas do gerente de TI.
Seu gerente lhe pediu para implementar o AppLocker de forma a impedir a execuo de aplicativos no
padro. Ele tambm lhe pediu para criar novas regras do Firewall do Windows para todos os servidores
membros que executam aplicativos baseados na Web.
Objetivos
Configurar polticas do AppLocker.
Configurar o Firewall do Windows.

24410B-LON-SVR1
24410B-LON-CL1
Senha Pa$$w0rd
execute as etapas a seguir:
, clique em 24410B-LON-DC1 e, no painel Aes, clique em Conectar.

3. Se necessrio, entre usando as seguintes credenciais:
o Senha: Pa$$w0rd
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-37
Exerccio 1: Configurao de polticas do AppLocker
Cenrio
Seu gerente lhe pediu para configurar novas polticas de AppLocker para controlar o uso de aplicaes
nas reas de trabalho dos usurios. A nova configurao deve permitir que programas sejam executados
apenas a partir de locais aprovados. Todos os usurios devem ser capazes de executar aplicativos a partir
do diretrio C:\Windows e de C:\Arquivos de Programas.
Voc tambm precisa adicionar uma exceo para executar um aplicativo personalizado que reside
em um local no padro. A primeira fase da implementao registrar a conformidade com regras.
A segunda fase de implementao impedir que programas no autorizados sejam executados.
1. Criar uma UO para computadores cliente
2. Mover LON-CL1 at a UO de Computadores Cliente
3. Criar um GPO de controle de software e vincul-lo UO de Computadores Cliente
4. Executar GPUpdate
5. Executar app1.bat na pasta C:\CustomApp
6. Visualizar eventos do AppLocker
em um log de eventos
7. Criar uma regra que permita a execuo do software a partir de um local especfico
8. Modificar o GPO de Controle de Software para impor regras
9. Verificar se um aplicativo ainda pode ser executado
10. Confirmar que um aplicativo no pode ser executado
Tarefa 1: Criar uma UO para computadores cliente
3. Crie uma nova UO denominada UO de Computadores Cliente.
Tarefa 2: Mover LON-CL1 at a UO de Computadores Cliente
Em LON-DC1, no console Usurios e Computadores do Active Directory, mova LON-CL1
at UO de Computadores Cliente.
Tarefa 3: Criar um GPO de controle de software e vincul-lo UO
de Computadores Cliente
2. No GPMC, no continer Objetos de Poltica de Grupo, crie um novo GPO com o nome
GPO de Controle de Software.
3. Edite o GPO de Controle de Software.
4. Na janela Editor de Gerenciamento de Polticas de Grupo, navegue at
Configurao do Computador/Polticas/Configuraes do Windows/
Configuraes de segurana/Polticas de Controle de Aplicativo/AppLocker.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Crie regras padro para o seguinte:
o Regras de Executveis
o Regras do Windows Installer
o Regras de Script
o Regras de aplicativos empacotados
6. Configure a imposio de regras com a opo Somente auditoria para o seguinte:
o Regras Executveis
o Regras de Script
o Regras para aplicativos empacotados
7. No Editor de Gerenciamento de Polticas de Grupo, navegue at Configurao
do Computador\Configuraes do Windows\Configuraes de segurana, clique em
Servios do sistema e depois clique duas vezes em Identidade de Aplicativo.
8. Na caixa de dilogo Propriedades de Identidade de Aplicativo, clique em Definir esta
configurao de poltica e, em Selecionar modo de inicializao do servio, clique em
Automtico e depois clique em OK.
10. No GPMC, vincule o GPO de Controle de Software UO de Computadores Cliente.
Tarefa 4: Executar GPUpdate
gpupdate /force
3. Feche a janela de Prompt de Comando e reinicie LON-CL1.
Tarefa 5: Executar app1.bat na pasta C:\CustomApp
2. Em um prompt de comando, digite o comando a seguir e pressione Enter:
gpresult /R
Analise o resultado do comando e verifique se o GPO de Controle de Software est exibido em
Configuraes do Computador, Objeto de Poltica de Grupo Aplicados. Se o GPO de Controle
de Software no estiver visvel, reinicie LON-CL1 e repita as etapas 1 e 2.
3. Em um prompt de comando, digite o comando a seguir e pressione Enter:
C:\CustomApp\app1.bat
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-39
Tarefa 6: Visualizar eventos do AppLocker
1. Em LON-CL1, inicie o Visualizador de Eventos.
2. Na janela do Visualizador de Eventos, navegue at Logs de Aplicativos e Servios/Microsoft/
Windows/AppLocker e revise os eventos.
3. Clique em MSI e Scripts e analise o log de eventos 8005 que contm o seguinte texto:
%OSDRIVE%\CUSTOMAPP\APP1.BAT permitido para execuo.
Observao: Se nenhum evento for exibido, verifique se o servio de Identidade de Aplicativo
foi iniciado e tente de novo.
Tarefa 7: Criar uma regra que permita a execuo do software a partir de um local
especfico
1. Em LON-DC1, edite o GPO de Controle de Software.
2. Navegue at o seguinte local de definio: Configurao do Computador/
Polticas/Configuraes do Windows/Configuraes de segurana/
Polticas de Controle de Aplicativo/AppLocker.
3. Crie uma nova regra de script com a seguinte configurao:
o Permisses: Permitir
o Condies: Caminho
o Caminho: %OSDRIVE%\CustomApp\app1.bat
o Nome e Descrio: Regra de Aplicativo Personalizado
Tarefa 8: Modificar o GPO de Controle de Software para impor regras
1. Use a opo Impor regras para configurar a imposio de regras para o seguinte:
o Regras executveis
o Regras de Script
o Regras para aplicativos empacotados
Tarefa 9: Verificar se um aplicativo ainda pode ser executado
gpupdate /force
3. Feche a janela de Prompt de Comando e reinicie LON-CL1.
4. Entre em LON-CL1 como ADATUM\Tony com a senha Pa$$w0rd.
5. Abra um prompt de comando e verifique se voc pode executar o aplicativo app1.bat,
que est localizado na pasta C:\CustomApp.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 10: Confirmar que um aplicativo no pode ser executado
1. Em LON-CL1, na pasta CustomApp, copie app1.bat para a pasta Documentos.
2. Confirme que o aplicativo no pode ser executado a partir da pasta Documentos e verifique se
a seguinte mensagem exibida: Este programa est bloqueado por uma poltica de grupo.
Para obter mais informaes, contate o administrador do sistema.

Resultados: Ao terminar este exerccio, voc ter configurado polticas AppLocker para todos os usurios
cujas contas de computador esto localizadas na unidade organizacional de Computadores Cliente. As
polticas configuradas devem permitir que esses usurios executem aplicativos que esto localizados nas
pastas C:\Windows e C:\Arquivos de Programas e executem o aplicativo personalizado app1.bat na pasta
C:\CustomApp.
Exerccio 2: Configurao do Firewall do Windows
Cenrio
Seu gerente lhe pediu para configurar regras do Firewall do Windows para um conjunto de novos
servidores de aplicativos. Esses servidores de aplicativos tm um aplicativo baseado na Web que est
escutando em uma porta no padro. Voc precisa configurar o Firewall do Windows para permitir
a comunicao de rede atravs dessa porta. Voc usar a filtragem de segurana para garantir que
as novas regras do Firewall do Windows se apliquem apenas aos servidores de aplicativos.
1. Criar um grupo denominado Servidores de Aplicativos
2. Adicionar LON-SVR1 como membro do grupo
3. Criar um novo GPO de Servidores de Aplicativos
4. Vincular o GPO de Servidores de Aplicativos UO de Servidores Membros
5. Usar a filtragem de segurana para limitar o GPO de Servidor de Aplicativos a membros
do grupo Servidor de Aplicativos
6. Executar GPUpdate em LON-SVR1
7. Visualizar as regras de firewall em LON-SVR1
Tarefa 1: Criar um grupo denominado Servidores de Aplicativos
Em LON-DC1, em Usurios e Computadores do Active Directory, na UO de Servidores
Membros, crie um novo grupo de segurana global chamado Servidor de Aplicativos.
Tarefa 2: Adicionar LON-SVR1 como membro do grupo
No console Usurios e Computadores do Active Directory, na UO de Servidores Membros, abra
Propriedades de Servidor de Aplicativos e adicione LON-SVR1 como membro do grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-41
Tarefa 3: Criar um novo GPO de Servidores de Aplicativos
2. No GPMC, no continer Objetos de Poltica de Grupo, crie um novo GPO com o nome
GPO de Servidores de Aplicativos.
3. Na janela Editor de Gerenciamento de Polticas de Grupo, navegue at
Configurao do Computador/Polticas/Configuraes do Windows/
Configuraes de segurana/Firewall do Windows com segurana Avanada/
Firewall do Windows com Segurana Avanada - LDAP://CN={GUID}.
4. Defina uma regra de entrada com as seguintes configuraes:
o Tipo de regra: Personalizado
o Tipo de protocolo: TCP
o Portas Especficas: 8080
o Escopo: Qualquer endereo IP
o Ao: Permitir a conexo
o Perfil: Domnio (desmarque as caixas de seleo Privado e Pblico)
o Nome: Regra de Firewall do Departamento de Servidor de Aplicativos
Tarefa 4: Vincular o GPO de Servidores de Aplicativos UO de Servidores Membros
No GPMC, vincule o GPO de Servidores de Aplicativos UO de Servidores Membros.
Tarefa 5: Usar a filtragem de segurana para limitar o GPO de Servidor de Aplicativos
a membros do grupo Servidor de Aplicativos
2. Expanda a UO de Servidores Membros e depois clique em GPO de Servidores de Aplicativos.
3. No painel direita, em Filtragem de Segurana, remova Usurios autenticados e configure o
GPO de Servidor de Aplicativos de forma que ele apenas seja aplicado ao grupo de segurana
Servidores de Aplicativos.
Tarefa 6: Executar GPUpdate em LON-SVR1
1. Altere para LON-SVR1.
gpupdate /force
4. Reinicie LON-SVR1 e depois faa logon novamente como ADATUM\Administrador com a senha
Pa$$w0rd.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 7: Visualizar as regras de firewall em LON-SVR1
2. Inicie o Firewall do Windows com Segurana Avanada.
3. No Firewall do Windows com Segurana Avanada, em Regras de Entrada, verifique se a Regra
de Firewall do Departamento de Servidor de Aplicativos criada anteriormente usando a Poltica
de Grupo est configurada.
4. Confirme que voc no consegue editar a Regra de Firewall do Departamento de Servidor
de Aplicativos porque ela est configurada atravs da Poltica de Grupo.

Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para configurar o Firewall
do Windows com Segurana Avanada para criar regras para servidores de aplicativos.
Quando terminar o laboratrio, retorne as mquinas virtuais para o seu estado inicial, seguindo
estas etapas:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 12-43
Perguntas de reviso
Pergunta: O modelo de proteo em camadas prescreve tecnologias especficas que voc
deve usar para proteger servidores Windows Server?
Pergunta: Qual configurao que voc deve definir para garantir que os usurios tenham
permisso de fazer apenas trs tentativas de logon invlidas?
Pergunta: voc est criando um GPO com regras de firewall padronizadas para os servidores
em sua organizao. Voc testou as regras em um servidor autnomo no laboratrio de
teste. As regras aparecem nos servidores depois que o GPO aplicado, mas elas no esto
sendo aplicadas. Qual a causa mais provvel desse problema?
Pergunta: No ano passado, sua organizao desenvolveu uma estratgia de segurana
que inclua todos os aspectos de um modelo de proteo em camadas. Com base nessa
estratgia, sua organizao implementou polticas e configuraes de segurana no
ambiente de infraestrutura de TI inteiro. Ontem, voc leu em um artigo que novas ameaas
de segurana foram detectadas na Internet, mas agora voc percebe que a estratgia da
empresa no inclui uma anlise de risco e um plano de mitigao para essas novas ameaas.
O que voc deve fazer?
Ferramentas
Console de
Gerenciamento de
Poltica de Grupo
Uma ferramenta grfica que voc
usa para criar, editar e aplicar GPOs
Gerenciador do
Servidor/Ferramentas
AppLocker Aplica configuraes de segurana
que controlam quais aplicativos
podem ser executados pelos
usurios
Editor de GPO no GPMC
Firewall do Windows
com segurana avanada
Um firewall baseado em host que
est includo como um recurso
no Windows Server 2012 e no
Windows Server 2008
Gerenciador do
Servidor/Ferramentas, se
configurados individualmente,
ou Editor de GPO no GPMC
para implantao com a Poltica
de Grupo
Gerenciador de
Compatibilidade
de Segurana
Implantao de polticas de
segurana com base em
recomendaes do Guia de
Segurana da Microsoft e em
prticas recomendadas do setor
Baixe no site da Microsoft,
em http://go.microsoft.com/
fwlink/?LinkID=266746.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Prtica recomendada
Sempre faa uma avaliao detalhada dos riscos de segurana antes de planejar quais recursos
de segurana a sua organizao deve implantar.
Crie um GPO separado para configuraes de segurana que se aplicam aos diferentes tipos de
usurios na sua organizao, pois cada departamento pode ter necessidades de segurana distintas.
Verifique se as configuraes de segurana definidas so razoavelmente fceis de usar, para que os
funcionrios as aceitem sem problemas. Frequentemente, polticas de segurana muito fortes so
muito complexas ou difceis para os funcionrios as adotarem.
Sempre teste as configuraes de segurana que voc pretende implementar com um GPO em um
ambiente isolado que no seja de produo. Apenas implante polticas no seu ambiente de produo
depois de concluir esses testes com sucesso.
O usurio no consegue fazer logon localmente
em um servidor.

Depois de configurar a auditoria, existem muitos
eventos registrados no Log de Eventos de
Segurana no Visualizador de Eventos.

Alguns usurios reclamam que seus aplicativos
de negcios no podem mais acessar recursos
no servidor.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
13-1
Mdulo 13
Implementao da virtualizao de servidores
com o Hyper-V
Contedo:
Lio 1: Viso geral de tecnologias de virtualizao 13-2
Lio 2: Implementao do Hyper-V 13-9
Lio 3: Gerenciamento do armazenamento de mquina virtual 13-17
Lio 4: Gerenciamento de redes virtuais 13-25
Laboratrio: Implementao da virtualizao de servidores com o Hyper-V 13-30
Avaliao do curso 13-38

Viso geral do mdulo
A virtualizao de servidores tem sido apenas uma parte do sistema operacional Windows Server
desde
o lanamento do Windows Server 2008 e da introduo da funo do Hyper-V
. Usando virtualizao
de Servidores, sua organizao pode economizar dinheiro por meio da consolidao de servidores.
Porm, para usar a Virtualizao de Servidores de forma mais eficiente, os administradores de servidor
devem ser capazes de decidir quais cargas de trabalho sero executadas com eficincia em mquinas
virtuais e quais cargas de trabalho de servidor devem permanecer implantadas em um ambiente
de servidor mais tradicional.
Este mdulo apresenta a funo Hyper-V no Windows Server 2012, os componentes dessa funo,
como implant-la da melhor forma possvel e tambm os novos recursos da funo Hyper-V que
foram introduzidos com o Windows Server 2012.
Objetivos
Descrever tecnologias de virtualizao.
Implementar o Hyper-V.
Gerenciar o armazenamento de mquina virtual.
Gerenciar redes virtuais.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
13-2 Implementao da virtualizao de servidores com o Hyper-V
Lio 1
Viso geral de tecnologias de virtualizao
Voc pode implantar vrios tipos diferentes de tecnologias de virtualizao em redes nas quais sistemas
operacionais Windows
estejam implantados. Os tipos de tecnologias de virtualizao que voc seleciona

dependem do que a sua organizao precisa realizar. Embora este mdulo enfatize principalmente
a virtualizao de servidores, nesta lio, voc aprender outros tipos de tecnologias de virtualizao,
bem como as situaes em que mais apropriado implant-los.
Objetivos da lio
Descrever a virtualizao de servidores usando o Hyper-V.
Descrever o Windows Azure
.
Explicar quando utilizar a virtualizao de rea de trabalho.
Determinar os componentes necessrios para implementar a virtualizao de apresentao.
Explicar os benefcios do Microsoft Application Virtualization sobre a implantao tradicional
de aplicativos.
Virtualizao de servidores com o Hyper-V
Com a virtualizao de servidores, voc pode
criar mquinas virtuais separadas e execut-las
simultaneamente em um nico servidor que esteja
executando o Hyper-V. Essas mquinas virtuais so
conhecidas como convidados. O computador que
est executando o Hyper-V conhecido como o
servidor de virtualizao ou o sistema operacional
de gerenciamento.
Convidados de mquinas virtuais funcionam
como computadores normais. Quando os
usurios entram em uma mquina virtual
convidada remotamente usando a RDC (Conexo
de rea de Trabalho Remota) ou uma sesso remota do Windows PowerShell
, voc precisa examinar

de perto as propriedades do computador no qual o usurio est trabalhando para determinar se ele
uma mquina virtual ou uma mquina fsica tradicionalmente implantada. Mquinas virtuais que
esto hospedadas no mesmo servidor de virtualizao so independentes umas das outras. possvel
executar vrias mquinas virtuais que estejam usando diferentes sistemas operacionais em um servidor
de virtualizao simultaneamente, desde que esse servidor de virtualizao tenha recursos suficientes.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-3
Mquinas Virtuais e Uso de Hardware
Com a implementao de mquinas virtuais, voc usa componentes de hardware de forma mais eficiente.
Na maioria dos casos, um servio ou aplicativo no consume mais do que uma frao dos recursos do
servidor de virtualizao. Isso significa que voc pode instalar vrios servios e aplicativos no mesmo
servidor de virtualizao e, em seguida, implant-los em vrias mquinas virtuais. Isso garante que os
recursos desse servidor de virtualizao sejam usadas com mais eficincia. Por exemplo, suponha que
voc tenha quatro servios e aplicativos distintos, cada um deles consumindo de 10% a 15% dos recursos
de hardware de um servidor de virtualizao. Voc pode instalar esses servios e aplicativos em mquinas
virtuais e depois inseri-los no mesmo hardware no qual, em mdia, eles consomem um total de 40%
a 60% do hardware do servidor de virtualizao.
Este exemplo simplificado. Em ambientes reais, voc deve fazer os preparativos adequados antes da
co-localizao de mquinas virtuais. Voc precisa garantir que as necessidades de recursos de hardware
de todas as mquinas virtuais que esto hospedadas no servidor de virtualizao no excedam os
recursos de hardware do servidor.
Isolamento de servios e aplicativos em mquinas virtuais
Manter um determinado servio ou aplicativo em funcionamento de maneira confivel pode ser um
grande desafio e se tornar um processo ainda mais complicado quando voc implanta vrios servios
e aplicativos no mesmo servidor. Por exemplo, talvez voc precise implantar dois sistemas operacionais
distintos em uma filial, mas esses sistemas operacional entram em conflito quando esto em execuo
no mesmo computador. Caso seja vivel usar apenas um servidor, voc pode solucionar esse problema
executando os aplicativos dentro de mquinas virtuais no mesmo servidor.
Consolidao de servidores
Com a virtualizao de servidores, voc pode consolidar servidores que, de outra forma, precisariam
ser executados em hardwares separados em um nico servidor de virtualizao. Como cada mquina
virtual em um servidor de virtualizao est isolada das outras mquinas virtuais no mesmo servidor,
possvel implantar servios e aplicativos incompatveis uns com os outros no mesmo computador
fsico, desde que voc os hospede em mquinas virtuais. Exemplos desses servios e aplicativos incluem o
Microsoft

Exchange Server 2010, o SQL Server
2012 e o AD DS (Servios de Domnio Active Directory
).
Isso significa que, agora, uma organizao precisa implantar apenas um servidor fsico em vez dos trs
servidores que teriam sido necessrios no passado.
Prtica recomendada: Recomendamos que voc no implante um servidor de caixa de
correio do Microsoft Exchange no mesmo computador que contenha uma funo de controlador
de domnio. Tambm recomendamos que voc no implante uma instncia de banco de dados
do SQL Server 2012 no mesmo computador que contenha a funo de controlador de domnio.
Em vez disso, implante cada uma dessas cargas de trabalho em mquinas virtuais separadas e
depois execute essas mquinas virtuais como convidadas no mesmo servidor de virtualizao.
Esta uma configurao com suporte.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como simplificar a implantao do servidor
Voc tambm pode usar a virtualizao para simplificar o processo de implantao do servidor:
Modelos de mquinas virtuais para configuraes de servidor comuns esto includas com produtos
como o Microsoft System Center 2012 - Virtual Machine Manager (VMM). Nesses modelos, muitos
dos parmetros foram predefinidos com configuraes comuns e, portanto, voc no precisa definir
por conta prpria a configurao de cada parmetro.
Voc tambm pode criar portais de autoatendimento de mquinas virtuais que permitem que os
usurios finais provisionem servidores e aplicativos aprovados automaticamente. Isso diminui a carga
de trabalho da equipe de administrao de sistema. Voc cria esses portais de autoatendimento
de mquinas virtuais com o VMM e o Microsoft System Center 2012 - Service Manager.
O que o Windows Azure?
O Windows Azure uma plataforma baseada
em nuvem na qual voc pode adquirir capacidade,
tanto para mquinas virtuais quanto para
aplicativos ou servios, como bancos de dados
do SQL Server no SQL Azure
. Uma das vantagens

de usar o Windows Azure que voc paga
apenas pela capacidade que utiliza, em vez
de pagar uma taxa fixa. Por exemplo, em vez de
pagar uma mensalidade para alugar um servidor
em um rack em um provedor de hospedagem,
voc paga menos quando esse servidor est
menos ocupado e paga mais quando ele fica
mais ocupado.
A capacidade baseada em nuvem elstica, ou seja, pode aumentar ou diminuir rapidamente conforme
necessrio. Por exemplo, em uma soluo tradicionalmente hospedada, voc pode escolher um chassis de
servidor especfico, mas, se a sua necessidade por capacidade ou desempenho aumentar, ser necessrio
mudar para uma classe maior de hardware de servidor. Tudo isso leva tempo e requer planejamento.
Da mesma forma, se a sua necessidade por capacidade ou desempenho diminuir, voc precisar decidir
se deseja migrar para uma classe inferior de hardware que justifique os custos ou se a sua organizao
deve continuar a pagar por uma classe de hardware de que voc no precisa no momento e pode
ou no vir a precisar no futuro. Usando um provedor de hospedagem, a capacidade dimensionada
automaticamente, e voc no precisa desperdiar tempo ou dinheiro para mudar de um servidor
para outro.
Mquinas virtuais, aplicativos e servios baseados em nuvem podem ser teis quando voc precisa
fornecer solues de prova de conceito para projetos propostos. Em vez de adquirir hardware de
teste e depois implantar nesse hardware uma soluo de prova de conceito, voc pode implementar
rapidamente uma mquina virtual baseada em nuvem e depois implantar nela a sua soluo de prova
de conceito. Em seguida, assim que essa soluo de prova de conceito validada, possvel descartar
a mquina virtual, ou mant-la, dependendo de questes operacionais. Alm de ser mais rpida, essa
soluo mais econmica do que comprar o hardware para a soluo de prova de conceito, que voc
poder optar por descartar se o projeto no for aprovado.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-5
Hospedagem de sites ou aplicativos de produo
Em plataformas baseadas em nuvem, como o Windows Azure, voc pode implantar aplicativos sem
precisar implantar a infraestrutura de servidor subjacente. Por exemplo, se voc precisar de um banco
de dados, em vez de implantar o Windows Server 2012 e o SQL Server 2012 e depois implantar o banco
de dados especfico, possvel alugar o servidor de banco de dados baseado em nuvem e hospedar
o banco de dados nesse servidor.
Para que uma estratgia baseada em nuvem seja bem-sucedida, voc deve determinar que servios e
aplicativos so mais econmicos para implantar em uma plataforma baseada em nuvem e quais servios
e aplicativos so mais econmicos para hospedar em um ambiente de servidor mais tradicional em suas
prprias instalaes. Muitos fatores que so exclusivos para a sua organizao esto envolvidos nessa
determinao, e uma estratgia que melhor para uma organizao pode no ser apropriada para outra.
Virtualizao de rea de trabalho
Hyper-V Cliente
Voc pode instalar a funo Hyper-V em
computadores que estejam executando
os sistemas operacionais Windows 8 Pro
e o Windows 8 Enterprise. Isso permite
executar convidados de mquinas virtuais
em computadores cliente. O Hyper-V Cliente,
o recurso do Hyper-V nos sistemas operacionais
Windows 8 Pro e o Windows 8 Enterprise, tem
requisitos de processador um pouco diferentes
que o Hyper-V no Windows Server 2012.
Especificamente, com os sistemas operacionais cliente Windows 8, o computador deve ter
uma plataforma x64 com suporte para SLAT Segundo Nvel Address Translation (Converso de
Endereos de Segundo Nvel) e deve ter um mnimo de 4 GB de RAM. Isso diferente do Hyper-V
no Windows Server 2012, que no requer a SLAT.
Hyper-V Cliente no Windows 8
A funo Hyper-V Cliente no Windows 8 d suporte para muitos dos recursos que esto disponveis
com o Hyper-V no Windows Server 2012, mas no para recursos do Windows Server 2012, como
a migrao de mquinas virtuais. O Hyper-V Cliente tambm no d suporte para aplicativos
de publicao que so instalados na mquina virtual convidada para o menu Iniciar do sistema
operacional de gerenciamento. Esse era um recurso do Modo Windows XP no Windows 7, que usa
o Windows Virtual PC. (O Windows Virtual PC o recurso de virtualizao de cliente disponvel para
alguns computadores que executam edies especficas do Windows 7.)
Hyper-V Cliente em ambientes corporativos
Em ambientes corporativos, o Hyper-V Cliente frequentemente usado para fins de desenvolvimento
ou para permitir que usurios especficos executem verses anteriores do sistema operacional
Windows e, assim, possam acessar aplicativos que so incompatveis com o Windows 8.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Virtual Desktop Infrastructure
Na VDI (Virtual Desktop Infrastructure), sistemas operacionais cliente so hospedados centralmente como
mquinas virtuais, e os clientes se conectam a essas mquinas virtuais usando softwares de cliente, como
a RDC. Voc pode configurar um servidor para dar suporte VDI selecionando uma instalao de Servios
de rea de Trabalho Remota no Assistente de Adio de Funes e Recursos. Ao configurar um servidor
de virtualizao para funcionar como um servidor VDI, voc pode instalar a funo Host de Virtualizao
de rea de Trabalho Remota alm da funo Hyper-V.
A VDI pode simplificar o gerenciamento de sistemas operacionais cliente fazendo o seguinte:
Assegurando que todos os computadores cliente hospedados em um nico servidor passem
por backups periodicamente.
Hospedando as mquinas virtuais cliente virtuais em um servidor de virtualizao altamente
disponvel.
Se um computador cliente falhar, garantindo que os usurios ainda possam acessar suas mquinas
virtuais usando outros mtodos de RDC.
Voc tambm pode usar a VDI para implementar uma poltica na qual o usurio deve trazer seu
prprio dispositivo. Nesse cenrio, os usurios trazem seus prprios computadores para o escritrio
e usam softwares de RDC para se conectarem mquina virtual designada.
Virtualizao de apresentao
A virtualizao de apresentao diferente da
virtualizao de rea de trabalho das seguintes
formas:
Na virtualizao de rea de trabalho, cada
usurio tem sua prpria mquina virtual,
que executa um sistema operacional cliente.
Na virtualizao de apresentao, os usurios
entram e executam sesses separadas
em um ou mais servidores. Por exemplo,
usurios Alex e Brad podem ter entrado
simultaneamente no mesmo servidor de
rea de trabalho remota e, mesmo assim,
esto executando sesses diferentes usando a RDC.
Com a virtualizao de rea de trabalho, os aplicativos so executados dentro de mquinas virtuais.
Com a virtualizao de apresentao, a rea de trabalho e os aplicativos so executados no servidor
de virtualizao.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-7
Em redes que usam o Windows Server 2012, a virtualizao de apresentao fornecida pela funo
de servidor de Servios de rea de Trabalho Remota. Os clientes podem acessar a virtualizao
de apresentao das seguintes formas:
rea de Trabalho Completa. Os clientes podem usar um cliente de rea de trabalho remota, como
a RDC, para acessar uma sesso de rea de trabalho completa e executar aplicativos no servidor
de virtualizao do Windows Server 2012.
Aplicativos RemoteApp. Em vez de usar um cliente de rea de trabalho completa como a RDC,
o recurso RemoteApp do Windows Server faz com que aplicativos executados no servidor
do Windows Server 2012 possam ser exibidos no computador cliente. Voc pode implantar
aplicativos RemoteApp como arquivos do Windows Installer (.msi) usando mtodos tradicionais
de implantao de software. Isso permite associar tipos de arquivo a aplicativos RemoteApp.
Acesso via Web da rea de Trabalho Remota. Usando o Acesso via Web rea de Trabalho Remota,
os clientes podem acessar um site em um servidor especialmente configurado e depois iniciar
aplicativos RemoteApp e sesses de rea de Trabalho Remota a partir de seus navegadores.
Gateway de rea de Trabalho Remota
O Gateway de rea de Trabalho Remota faz com que clientes externos possam acessar a rea de Trabalho
Remota e o recurso RemoteApp sem usarem a VPN (rede virtual privada) ou o DirectAccess, um recurso
dos sistemas operacionais Windows 7 e Windows 8. O Gateway de rea de Trabalho Remota um servio
de funo que voc pode instalar em um computador que executa o Windows Server 2012. Servidores
de Gateway de rea de Trabalho Remota so implantados em redes de permetro. Em seguida, voc
configura o cliente RDC com o endereo de servidores de Gateway de rea de Trabalho Remota. Quando
isso feito, o cliente verifica se o servidor de rea de trabalho remota de destino se encontra na rede
da organizao. Se o servidor de rea de trabalho remota estiver na rede, o cliente estabelecer uma
conexo direta com ele. Se o servidor de rea de trabalho remota no estiver na rede, o cliente rotear
a conexo com ele atravs do servidor de Gateway de rea de Trabalho Remota.
O que o Microsoft Application Virtualization?
Com a virtualizao de aplicativos, os aplicativos
no so instalados de forma permanente nos
computadores cliente, mas sim implantados
nos clientes a partir de um servidor quando
os usurios finais querem us-los. O Microsoft
Application Virtualization (App-V) usa o
Microsoft Application Virtualization Desktop
Client (que instalado no cliente). O App-V
est disponvel como parte do Microsoft Desktop
Optimization Pack e no uma funo ou recurso
nativo do Windows Server 2012.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Recursos e benefcios do App-V
O App-V apresenta trs benefcios principais: isolamento de aplicativos, streaming de aplicativos
e portabilidade de aplicativos.
Isolamento de aplicativos
O App-V isola o aplicativo do sistema operacional e o executa em um ambiente virtual separado.
O App-V tambm isola os aplicativos de outros aplicativos que esto sendo executados no mesmo
computador. Isso significa que voc pode executar aplicativos possivelmente incompatveis quando
executados juntos no mesmo computador. Por exemplo, voc pode usar o App-V para implantar
e executar diferentes verses do Microsoft Office Word simultaneamente.
Streaming de aplicativos
Outro recurso til do App-V o streaming de aplicativos. Em um streaming de aplicativo, apenas as
partes do aplicativo que esto sendo usadas so transmitidas para o computador cliente. Isso acelera-se
a implantao do aplicativo, j que apenas algumas partes dele precisam ser transmitida atravs da rede
para o computador cliente.
Portabilidade de aplicativos
Quando o App-V implantado com o Microsoft System Center 2012 Configuration Manager, os usurios
podem usar os mesmos aplicativos em vrios computadores cliente, sem precisarem de uma instalao
tradicional nesses computadores. Por exemplo, um usurio pode entrar no computador de um colega e
usar o App-V para fazer streaming de um aplicativo e, assim, poder us-lo nesse computador. O aplicativo
no instalado localmente e, quando o usurio sai, ele deixa de ficar disponvel para os outros usurios
nesse computador.
Microsoft User Experience Virtualization
Assim como o App-V permite que os usurios acessem seus aplicativos a partir de diferentes
computadores cliente, o Microsoft User Experience Virtualization (UE-V) permite que esses usurios
tenham as mesmas configuraes de sistema operacional e aplicativos em vrios dispositivos que estejam
executando o Windows 7 e o Windows 8. Por exemplo, quando um usurio define uma configurao
para um aplicativo que distribudo via App-V em um computador (por exemplo, configurar uma guia
personalizada na faixa de opes de um produto do Microsoft Office), essa configurao fica disponvel
automaticamente quando o aplicativo distribudo via App-V para outro computador.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-9
Lio 2
Implementao do Hyper-V
Compreender como o Hyper-V funciona e como as mquinas virtuais funcionam fundamental para
a implantao efetiva da virtualizao de servidores em um ambiente de rede do Windows Server 2012.
Esta lio discute o Hyper-V e os requisitos de hardware para implantar o Hyper-V em um computador
que executa o Windows Server 2012. Esta lio tambm discute os componentes de uma mquina virtual
(com nfase na Memria Dinmica) e os benefcios de servios de integrao de mquina virtual. Por
fim, ela discute como medir o uso de recursos da mquina virtual com cmdlets do Windows PowerShell.
Objetivos da lio
Instalar a funo Hyper-V em um servidor.
Descrever o hardware apropriado para a implantao do Hyper-V.
Descrever os componentes de hardware da mquina virtual.
Configurar a Memria Dinmica.
Configurar servios de integrao de mquina virtual.
Configurar aes de inicializao e interrupo de mquinas virtuais.
Realizar tarefas de medio de recursos do Hyper-V.
O que o Hyper-V?
O Hyper-V a funo de virtualizao
de hardware que est disponvel no
Windows Server 2012. A virtualizao de
hardware fornece uma camada de hipervisor que
tem acesso direto ao hardware do servidor host.
O sistema operacional host e todas as mquinas
virtuais em execuo no host acessam o hardware
atravs da camada de hipervisor. Isso diferente
dos produtos de virtualizao de software, como
o Microsoft Virtual Server 2005 R2, que usam o
sistema operacional do servidor de virtualizao
para fornecer acesso indireto ao hardware
do servidor.
Voc pode implantar o Hyper-V em um computador que esteja executando o Windows Server 2012 com
o Assistente de Adio de Funes e Recursos. Voc pode configurar o Windows Server 2012 como um
servidor de virtualizao usando a funo Hyper-V. Dessa forma, o Windows Server 2012 pode hospedar
mquinas virtuais convidadas que estejam executando sistemas operacionais com suporte. Voc pode
gerenciar a administrao de mquinas virtuais localmente atravs do Windows PowerShell ou pode
controlar esse processo remotamente atravs do console Gerenciador do Hyper-V.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Voc pode instalar a funo Hyper-V tanto na configurao Server Core quanto na configurao
no Server Core do Windows Server 2012. H tambm uma edio Microsoft Hyper-V Server 2012,
que inclui apenas os componentes necessrios para hospedar mquinas virtuais.
Observao: Em alguns documentos, o servidor de virtualizao (por exemplo,
o computador com Windows Server 2012 que est executando o Hyper-V) chamado
de partio pai, enquanto uma mquina virtual em execuo no servidor chamada
de partio filho.
Requisitos de hardware para o Hyper-V
O servidor no qual voc planeja instalar a funo
Hyper-V deve atender aos seguintes requisitos
de hardware:
O servidor deve ter uma plataforma x64
com suporte para virtualizao assistida por
hardware e Preveno de Execuo de Dados.
O servidor deve ter capacidade de CPU
suficiente para atender aos requisitos
das mquinas virtuais convidadas.
Uma mquina virtual hospedada no Hyper-V
no Windows Server 2012 pode dar suporte
a at 64 processadores virtuais.
O servidor deve ter memria suficiente para dar suporte a todas as mquinas virtuais que devem
ser executadas ao mesmo tempo, alm de memria suficiente para executar o sistema operacional
Windows Server 2012 host.
O servidor deve ter pelo menos 4 GB de RAM.
Uma mquina virtual hospedada no Hyper-V no Windows Server 2012 pode dar suporte
a no mximo 2 terabytes (TB) de RAM.
O desempenho do subsistema de armazenamento deve atender s necessidades de E/S
(Entrada/Sada) das mquinas virtuais convidadas. Seja uma implantao local ou em redes SAN,
talvez seja necessrio inserir diferentes mquinas virtuais em discos fsicos separados, ou implantar
um RAID (Redundant Array of Independent Disks) de alto desempenho, uma SSD (unidade de estado
slido), uma SSD hbrida ou uma combinao de todas essas trs tecnologias.
Os adaptadores de rede do servidor de virtualizao devem ser capazes de dar suporte s
necessidades de taxa de transferncia de rede das mquinas virtuais convidadas. Voc pode
melhorar o desempenho da rede instalando vrios adaptadores de rede e usando vrias NICs
(placas de interface de rede).

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-11
Hardware de mquinas virtuais
Mquinas virtuais usam hardware virtual
(ou simulado). O sistema operacional de
gerenciamento, o Windows Server 2012 com
Hyper-V, usa o hardware virtual para mediar
o acesso ao hardware real. Por exemplo, voc
pode mapear um adaptador de rede virtual para
uma rede virtual que, por sua vez, mapeada
para uma interface de rede real.
As mquinas virtuais tm o seguinte hardware
simulado por padro:
BIOS. Simula o BIOS do computador. Em um
computador autnomo, voc pode configurar
vrios parmetros relacionados ao BIOS e, de maneira semelhante, em uma mquina virtual,
voc pode configurar alguns dos mesmos parmetros. Eles incluem:
o A ordem de inicializao do hardware virtual da mquina virtual
o A partir de qual dispositivo a mquina virtual inicializada (por exemplo, a partir de uma
unidade de DVD, de uma interface IDE, de um adaptador de rede legado ou de um disquete)
o Se a tecla Num Lock est habilitada na inicializao.
Memria. Voc pode alocar at 1 TB de recursos de memria para uma mquina virtual individual.
Processador. Voc pode alocar at 64 processadores virtuais para uma nica mquina virtual.
Controlador IDE 0. Uma mquina virtual pode dar suporte a apenas dois controladores IDE e, por
padro, dois so alocados para cada mquina virtual. Cada controlador IDE pode dar suporte a dois
dispositivos.
Voc pode conectar VHDs (unidades de disco rgido virtuais) ou unidades de DVD virtuais para um
controlador IDE. Se a mquina virtual for inicializada a partir de um VHD ou de uma unidade de DVD
virtual, o dispositivo de inicializao dever estar conectado a um controlador IDE. Voc pode usar
controladores IDE para conectar VHDs e unidades de DVD a mquinas virtuais que usam qualquer
sistema operacional sem suporte para servios de integrao.
IDE controlador 1. Permite que unidades de disco rgido virtuais e unidades de DVD adicionais
sejam implantadas na mquina virtual.
Controlador SCSI. Voc pode usar um controlador SCSI apenas em mquinas virtuais que possuem
sistemas operacionais com suporte para servios de integrao.
Adaptador de rede sinttico. Adaptadores de rede sintticos representam adaptadores de rede
de computador. Apenas possvel usar adaptadores de rede sintticos com sistemas operacionais
convidados de mquinas virtuais com suporte.
COM 1. Permite configurar uma conexo atravs de um pipe nomeado.
COM 2. Permite configurar uma conexo adicional atravs de um pipe nomeado.
Unidade de disco. Permite mapear uma imagem de disquete virtual para uma unidade de disco
virtual.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Voc pode adicionar o hardware a seguir a uma mquina virtual editando as propriedades da mquina
virtual e depois clicando em Adicionar Hardware:
Controlador SCSI. Voc pode adicionar at quatro dispositivos SCSI virtuais. Cada controlador
d suporte a at 64 discos.
Adaptador de rede. Uma nica mquina virtual pode ter no mximo oito adaptadores de rede
sintticos.
Adaptador de rede legado. Voc pode usar adaptadores de rede legados com qualquer sistema
operacional que no d suporte para servios de integrao. Tambm pode usar adaptadores de
rede legados para implantar imagens do sistema operacional em toda a rede. Uma nica mquina
virtual pode ter at quatro adaptadores de rede legados.
Adaptador de Fibre Channel. Se voc adicionar um adaptador de Fibre Channel a uma mquina
virtual, esta poder se conectar diretamente a uma rede SAN de Fibre Channel. Apenas ser possvel
adicionar um adaptador de Fibre Channel a uma mquina virtual se o servidor de virtualizao tiver
um HBA (adaptador de barramento do host) que tambm tenha um driver do Windows Server 2012
com suporte para Fibre Channel virtual.
Adaptador de vdeo 3D RemoteFX. Se voc adicionar um adaptador de vdeo 3D RemoteFX
a uma mquina virtual, esta poder exibir elementos grficos de alto desempenho utilizando
o Microsoft DirectX
e o poder do processamento de elementos grficos no servidor host

com Windows Server 2012.
Leitura adicional: Para obter mais informaes sobre adaptadores de Fibre
Channel virtual, consulte a viso geral sobre Fibre Channel virtual do Hyper-V em
Configurao da Memria Dinmica
Na primeira verso do Hyper-V com o
Windows Server 2008, voc s podia atribuir
uma quantidade esttica de memria para
mquinas virtuais. A menos que fossem tomadas
precaues especiais para medir a quantidade
exata de memria necessria para uma mquina
virtual, a memria seria provavelmente alocada
de maneira insuficiente ou excessiva.
A Memria Dinmica foi introduzida com o
Windows Server 2008 R2 Service Pack 1 (SP1).
Com a Memria Dinmica, possvel:
Alocar uma quantidade mnima de memria
para uma mquina virtual.
Permitir que a mquina virtual solicite memria adicional necessria para a mquina virtual.
Configurar uma quantidade mxima de memria para uma mquina virtual.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-13
Assim, usando a Memria Dinmica, voc no precisa mais adivinhar a quantidade de memria
necessria para uma mquina virtual. Em vez disso, basta configurar o Hyper-V para que a mquina
virtual receba o mximo de memria de que ela precisa.
Com o Windows Server 2012, voc pode modificar alguns dos valores mnimos e mximos da
Memria Dinmica enquanto a mquina virtual est em execuo. Isso no era possvel com
o Windows Server 2008 R2 SP1. Voc pode realizar essa tarefa a partir da caixa de dilogo
Configuraes de uma Mquina Virtual.
Observao: Mquinas virtuais devem oferecer suporte a servios de integrao
do Hyper-V para usarem a Memria Dinmica.
Paginao Inteligente
Possivelmente, as mquinas virtuais precisaro de mais memria durante a inicializao do que durante
a operao normal. A Paginao Inteligente, que um novo recurso do Windows Server 2012, atribui
memria temporria adicional a uma mquina virtual quando voc a reinicia. Isso significa que voc
pode alocar memria com base nas necessidades da mquina virtual enquanto ela est operando
normalmente, em vez de alocar memria com base na quantidade necessria durante a inicializao.
A Paginao Inteligente usa a paginao de disco para atribuir memria temporria adicional a uma
mquina virtual enquanto ela est sendo reiniciada. No entanto, o uso da Paginao Inteligente pode
reduzir o desempenho, pois utiliza recursos de disco que, de outra forma, poderiam ser usados pelo
servidor host e outras mquinas virtuais.
Observao: Voc pode configurar a memria da mquina virtual usando
o cmdlet Set-VMMemory do Windows PowerShell.
Leitura adicional: Para obter mais informaes sobre a Memria Dinmica
do Hyper-V, consulte a viso geral sobre Memria Dinmica do Hyper-V em
Configurao de servios de integrao de mquina virtual
Voc deve instalar o Servios de Integrao de
Mquina Virtual quando deseja usar recursos
como desligamento do sistema operacional
e sincronizao de tempo e quando deseja
instalar componentes de hardware virtuais,
como adaptadores SCSI e adaptadores
de rede sintticos, nas mquinas virtuais.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Os sistemas operacionais convidados de mquina virtual com suporte pelo Hyper-V e que podem usar
Servios de Integrao incluem:
Windows Server 2012
Windows Server 2008 R2 com SP1
Windows Server 2008 com Service Pack 2 (SP2)
Windows Server 2003 R2 com SP2
Windows Home Server 2011
Windows MultiPoint
Server 2012
Windows Small Business Server 2011
Windows Server 2003 com SP2
CentOS 6.0-6.2
CentOS 5.5-5.7
Red Hat Enterprise Linux 6.0-6.2
Red Hat Enterprise Linux 5.5-5.7
SUSE Linux Enterprise Server 11 com SP1 ou SP2
SUSE Linux Enterprise Server 10 com Service Pack 4 (SP4)
Windows 7 com SP1
Windows Vista
com SP2
Windows XP com Service Pack 3 (SP3)
Observao: O suporte para o sistema operacional Windows XP termina em abril de 2014.
O suporte para o Windows Server 2003 e o Windows Server 2003 R2 termina em julho de 2015.
Voc pode instalar os componentes de servios de integrao do Hyper-V em um sistema operacional
acessando a janela Conexo com Mquina Virtual e, em seguida, no menu Ao, clicando no item
Inserir Disco de Instalao dos Servios de Integrao. Voc pode ento instalar os drivers relevantes
de sistema operacional manualmente ou automaticamente. Voc tambm pode habilitar os seguintes
componentes de integrao de mquina virtual:
Desligamento do sistema operacional. Permite que o servidor que executa o Hyper-V inicie
um desligamento normal da mquina virtual convidada.
Sincronizao de tempo. Permite que a mquina virtual use o processador do servidor
de virtualizao para sincronizao de tempo.
Intercmbio de dados. Permite que o servidor que executa o Hyper-V grave dados no registro
da mquina virtual.
Pulsao. Permite que o Hyper-V determine se a mquina virtual deixou de responder.
Backup (instantneo de volume). Permite que o provedor de VSS (Servio de Cpias de Sombra
de Volume) crie instantneos da mquina virtual para operaes de backup, sem interromper
as operaes normais da mquina virtual.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-15
Configurao de aes de inicializao e interrupo de mquinas virtuais
Voc pode usar aes de inicializao e
interrupo de mquinas virtuais para garantir
que as mquinas virtuais mais importantes
sempre sejam iniciadas automaticamente quando
um servidor que executa o Hyper-V for reiniciado
e que elas sejam desligadas normalmente se esse
servidor receber um comando de desligamento.
Ao configurar aes de inicializao e interrupo
de mquinas virtuais, voc seleciona as etapas que
o servidor que executa o Hyper-V ir realizar em
mquinas virtuais especficas quando o servidor
fsico for iniciado ou desligado. possvel definir
configuraes de inicializao e interrupo para cada mquina virtual editando as propriedades
da mquina virtual.
Opes de inicializao automtica
Voc pode configurar as seguintes opes na janela Aes de inicializao automtica:
Nada. A mquina virtual no iniciada automaticamente quando o servidor que executa o Hyper-V
iniciado, mesmo quando ela estava em um estado em execuo na ocasio em que o servidor
foi desligado.
Iniciar automaticamente se ela estava em execuo quando o servio parou. A mquina virtual
ser reiniciada se estava em execuo quando o servidor com o Hyper-V recebeu o comando de
desligamento, ou se a mquina virtual estava em execuo quando o servidor sofreu uma falha
que causou o seu desligamento.
Sempre iniciar esta mquina virtual automaticamente. A mquina virtual sempre iniciada quando
o servidor que executa o Hyper-V iniciado. Voc pode configurar um atraso de inicializao
para garantir que vrias mquinas virtuais no tentem ser inicializadas todas ao mesmo tempo.
Opes de interrupo automtica
Voc pode configurar as seguintes opes na janela Aes de interrupo automtica:
Salvar o estado de mquina virtual. Essa opo salva o estado ativo da mquina virtual no disco,
incluindo a memria, quando o servidor recebe um comando de desligamento. Isso torna possvel
para a mquina virtual ser reiniciada quando o servidor que est executando o Hyper-V reiniciado.
Desligar a mquina virtual. A mquina virtual desligada quando o servidor recebe um comando
de desligamento. possvel haver perda de dados quando isso acontece.
Desligar o sistema operacional convidado. A mquina virtual desligada normalmente quando o
servidor recebe um comando de desligamento. Essa opo apenas estar disponvel se componentes
de servios de integrao estiverem instalados na mquina virtual.
Observao: Voc tambm pode configurar aes de inicializao e interrupo de
mquinas virtuais usando o cmdlet do Windows PowerShell Set-VM com os parmetros
AutomaticStartAction e AutomaticStopAction.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Medio de recursos do Hyper-V
A medio de recursos permite que voc
acompanhe o uso de recursos de mquinas
virtuais que esto hospedadas em servidores
Windows Server 2012 com a funo Hyper-V
instalada.
Com a medio de recursos, voc pode medir
os seguintes parmetros em mquinas virtuais
Hyper-V individuais:
Uso mdio de CPU.
Uso mdio de memria fsica, incluindo:
o Uso mnimo de memria.
o Uso mximo de memria.
Alocao mxima de espao em disco.
Trfego de rede de entrada para um adaptador de rede.
Trfego de rede de sada para um adaptador de rede.
Ao medir o quanto desses recursos cada uma das mquinas virtuais utiliza, uma organizao pode
cobrar departamentos ou clientes com base em quantos recursos suas mquinas virtuais usam, em vez
de cobrarem uma taxa fixa por mquina virtual. Uma organizao com apenas clientes internos tambm
pode usar essas medidas para ver os padres de uso e planejar futuras expanses. Voc executa tarefas
de medio de recursos a partir de uma interface de linha de comando do Windows PowerShell usando
os seguintes cmdlets:
Enable-VMResourceMetering. Inicia a coleta de dados para cada mquina virtual.
Disable-VMResourceMetering. Desabilita a medio de recursos para cada mquina virtual.
Reset-VMResourceMetering. Redefine contadores para medio de recursos de mquina virtual.
Measure-VM. Exibe estatsticas de medio de recursos para uma mquina virtual especfica.
Observao: No h nenhuma ferramenta de GUI que voc possa usar para realizar
a medio de recursos.
Leitura adicional: Para obter mais informaes sobre a medio de recursos
para o Hyper-V, consulte a viso geral sobre medio de recursos do Hyper-V em

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-17
Lio 3
Gerenciamento do armazenamento de mquina virtual
O Hyper-V oferece vrias opes diferentes de armazenamento de mquina virtual. Ao saber qual
opo apropriada para uma determinada situao, voc pode ajudar a garantir que uma mquina
virtual apresente um bom desempenho. No entanto, se voc no entender as diferentes opes
de armazenamento de mquina virtual, poder acabar implantando VHDs que consomem espao
desnecessrio ou que exercem uma carga de desempenho desnecessria no servidor de virtualizao.
Nesta lio, voc conhecer os diferentes tipos de VHD, os diferentes formatos de VHD e os benefcios
e as limitaes do uso de instantneos de mquina virtual.
Objetivos da lio
Descrever a finalidade de um VHD.
Explicar como criar um tipo de VHD.
Explicar como gerenciar VHDs.
Explicar como implantar VHDs diferenciais para reduzir o armazenamento.
Explicar como usar instantneos de mquina virtual.
O que uma VHD?
Um VHD um arquivo que representa uma
unidade de disco rgido tradicional na qual voc
pode configurar um VHD com parties e um
sistema operacional. Voc pode usar VHDs
em mquinas virtuais e pode montar VHDs em
volumes locais usando os sistemas operacionais
Windows Server 2008 R2, Windows Server 2012,
Windows 8 e Windows 7. O Windows Server 2012
oferece suporte inicializao de VHD, o que
torna possvel a configurao de um computador
para que ele seja inicializado em um sistema
operacional Windows Server 2012 implantado em
um VHD ou em certas edies do sistema operacional Windows 8 que so implantadas em um VHD. Voc
pode criar um VHD usando:
O console Gerenciador Hyper-V.
O console de Gerenciamento de Disco.
A ferramenta de linha de comando DiskPart (diskpart.exe).
O cmdlet New-VHD do Windows PowerShell.
Observao: Algumas edies do Windows 7 e do Windows Server 2008 R2 tambm
oferecem suporte inicializao de VHD.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
VHDs no formato .vhd vs. VHDs no formato .vhdx
VHDs usam a extenso .vhd. O Windows Server 2012 introduz um novo tipo de VHD que utiliza a
extenso .vhdx. VHDs com o novo formato tem os seguintes benefcios sobre VHDs que eram usados
no Hyper-V com o Windows Server 2008 e o Windows Server 2008 R2:
VHDs com o formato vhdx. podem ter at 64 TB, enquanto VHDs com o formato .vhd esto
limitados a 2 TB.
VHDs com o formato vhdx. apresentam menos chances de serem corrompidos se o servidor
de virtualizao sofrer uma falta de energia inesperada.
O formato .vhdx d suporte a um alinhamento melhor quando implantado em um disco de setor
grande.
VHDs com o formato .vhdx podem conter VHDs dinmicos e diferenciais maiores, o que significa
que esses VHDs apresentam melhor desempenho.
Voc pode converter um VHD com o formato .vhd no formato .vhdx usando o Assistente para Edio
de Discos Rgidos Virtuais. Convm fazer isso se voc tiver atualizado um servidor de virtualizao do
Windows Server 2008 ou do Windows Server 2008 R2 para o Windows Server 2012. Tambm possvel
converter um VHD com o formato .vhdx no formato .vhd.
Suporte para compartilhamento SMB
Agora, o Windows Server 2012 oferece suporte ao armazenamento de todos os arquivos de mquina
virtual, incluindo VHDs nos compartilhamentos de arquivos SMB 3.0. Esta uma alternativa para
o armazenamento desses arquivos em dispositivos SAN de Fibre Channel ou iSCSI (Internet SCSI). Ao criar
uma mquina virtual no Hyper-V no Windows Server 2012, voc pode especificar um compartilhamento
de rede ao escolher o local do VHD ou ao anexar um VHD existente. O compartilhamento de arquivos
deve dar suporte ao SMB 3.0. Isso significa que voc deve inserir VHDs em compartilhamentos de
arquivos que esto hospedados em servidores de arquivos com o Windows Server 2012. Verses
mais antigas do Windows Server no do suporte para o SMB 3.0.
Leitura adicional: Para obter mais informaes sobre formatos de VHD,
consulte a viso geral sobre formatos de discos rgidos virtuais do Hyper-V em
Criao de tipo de discos virtuais
Ao configurar um VHD, voc pode escolher entre
diversos tipos de disco diferentes, incluindo discos
fixos, dinmicos e de armazenamento com
conexo direta.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-19
Criao de VHDs fixos
Quando voc cria VHDs fixos, todo o espao em disco rgido especificado alocado durante o processo
de criao. Isso minimiza a fragmentao, o que melhora o desempenho do VHD quando o disco est em
um dispositivo de armazenamento tradicional (ou seja, no em estado slido). Porm, a alocao de todo
o espao em disco rgido especificado durante o processo de criao tem uma desvantagem: em muitas
situaes, voc no saber precisamente de quanto espao em disco uma mquina virtual precisa.
Portanto, voc pode acabar alocando espao que no realmente necessrio.
Observao: A fragmentao do disco um problema menor quando VHDs esto
hospedados em volumes RAID ou em SSDs. Melhorias no Hyper-V (desde que ele foi
introduzido pela primeira vez com o Windows Server 2008) tambm minimizam as
diferenas de desempenho entre VHDs dinmicos e fixos.
Para criar um VHD fixo, siga estas etapas:
1. Abra o console do Gerenciador do Hyper-V.
2. No painel Aes, clique em Novo e depois em Disco Rgido.
3. Na pgina Antes de Comear do Assistente para Criao de Discos Rgidos Virtuais, clique
em Avanar.
4. No Assistente para Criao de Discos Rgidos Virtuais, na pgina Escolher Formato de Disco,
clique em VHD ou em VHDX e depois clique em Avanar.
5. Na pgina Escolher Tipo de Disco, clique em Tamanho fixo e depois em Avanar.
6. Na pgina Especificar Nome e Local, insira um nome para o VHD e depois especifique uma pasta
na qual voc deseja hospedar o arquivo VHD.
7. Na pgina Configurar Disco, escolha uma das seguintes opes:
o Criar um novo disco rgido virtual em branco do tamanho especificado.
o Copiar o contedo de um disco fsico especificado. Com essa opo, voc pode replicar um
disco fsico existente no servidor como um VHD. O VHD fixo ter o mesmo tamanho que o disco
fsico. Replicar um disco rgido fsico existente no altera os dados nesse disco.
o Copiar o contedo de um disco rgido virtual especificado. Com essa opo, voc pode criar
um novo disco rgido fixo com base no contedo de um VHD existente.
Observao: Voc pode criar um novo disco rgido fixo usando o cmdlet New-VHD
do Windows PowerShell com o parmetro -Fixed.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
VHDs de expanso dinmica
Quando voc cria um VHD de expanso dinmica, pode especificar um tamanho mximo, mas o disco
usa apenas o espao de que ele precisa e cresce conforme necessrio. Um VHD de expanso dinmica
pode ser criado com o formato .vhd ou .vhdx. Um novo VHD de expanso dinmica com o formato .vhd
alocado com cerca de 260 KB. Um novo VHD de expanso dinmica com o formato .vhdx alocado
com cerca de 4.096 KB.
Um VHD de expanso dinmica cresce medida que voc salva arquivos nele. No entanto, se voc excluir
arquivos de um VHD de expanso dinmica, ele no ir encolher. Voc s pode reduzir um arquivo VHD
de expanso dinmica realizando uma operao de compactao.
Para criar um VHD de expanso dinmica, siga as etapas acima para a criao de um VHD fixo, com
a diferena de que, na pgina Escolher Tipo de Disco (na etapa 5), voc clica em Expanso Dinmica
em vez de em Tamanho Fixo.
Observao: Voc pode criar um novo disco rgido dinmico usando o cmdlet New-VHD
do Windows PowerShell com o parmetro -Dynamic.
Armazenamento com conexo direta
O armazenamento com conexo direta torna possvel para uma mquina virtual acessar uma unidade
de disco fsico. Voc pode usar o armazenamento com conexo direta para conectar uma mquina
virtual diretamente a LUN (nmero de unidade lgica) iSCSI. Quando voc usa o armazenamento com
conexo direta, a mquina virtual deve ter acesso exclusivo ao disco de destino. Para garantir isso, voc
deve colocar o disco offline.
possvel anexar o armazenamento com conexo direta seguindo estas etapas:
1. Verifique se o disco rgido de destino est offline. Se no estiver offline, use o console de
Gerenciamento de Disco no servidor de virtualizao para coloc-lo offline.
2. Use o console Gerenciador do Hyper-V para editar as propriedades da mquina virtual existente.
3. Clique em um controlador IDE ou SCSI, clique em Adicionar e, em seguida, em Disco Rgido.
4. Na caixa de dilogo Disco Rgido, clique em Disco Rgido Fsico. No menu suspenso, selecione
o disco que voc deseja usar como armazenamento com conexo direta.
Observao: Se voc conectar o armazenamento com conexo direta ao controlador SCSI
de uma mquina virtual, no ser necessrio desligar a mquina virtual. Se quiser se conectar
ao controlador IDE de uma mquina virtual, primeiro voc dever desligar essa mquina virtual.
Pergunta: Por que voc poderia considerar o uso de VHDs fixos em vez de VHDs
de expanso dinmica?
Pergunta: Em que situaes voc pode encontrar dificuldades se usar discos de expanso
dinmica?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-21
Gerenciamento de VHDs
De vez em quando, voc precisa executar
operaes de manuteno em VHDs. Por exemplo,
talvez voc queira converter um VHD em outro
formato conforme as suas necessidades mudarem
ou at mesmo compactar um VHD para liberar
espao. Voc pode realizar as seguintes operaes
de manuteno em VHDs:
Converter o disco de fixo para dinmico
Converter o disco de dinmico para fixo
Converter um VHD no formato .vhd
para o formato .vhdx
Converter um VHD no formato .vhdx para o formato .vhd
Compactar um VHD de expanso dinmica
Expandir um VHD de expanso dinmica
Expandir um VHD fixo
Converso de um disco
Quando voc converte um VHD, o contedo do VHD existente copiado para um VHD recm-criado.
Por exemplo, quando voc converte um VHD fixo em um VHD de expanso dinmica, um novo disco
dinmico criado e, em seguida, o contedo do disco fixo copiados para o novo disco dinmico,
e o disco fixo excludo.
Para converter um VHD de fixo para dinmico ou de dinmico para fixo, siga estas etapas:
1. No console Gerenciador do Hyper-V, no painel Aes, clique em Editar Disco.
2. No Assistente para Edio de Discos Rgidos Virtuais, na pgina Antes de Comear,
clique em Avanar.
3. Na pgina Disco Rgido Virtual Local, clique em Procurar e selecione o VHD que voc
deseja converter.
4. Na pgina Escolher Ao, clique em Converter e depois em Avanar.
5. Na pgina Converter Disco Rgido Virtual, escolha entre os formatos VHD e VHDX.
6. Na pgina Converter Disco Rgido Virtual, escolha entre Tamanho Fixo e Expanso Dinmica. Se
voc tambm quiser converter o tipo de disco rgido, escolha o tipo apropriado e clique em Avanar.
7. Na pgina Configurar Disco, escolha o local de destino para o disco.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Como alterar o tamanho de um disco
Voc pode compactar um VHD de expanso dinmica que no est usando todo o espao alocado.
No entanto, no possvel compactar um VHD fixo. Em vez disso, primeiro voc deve convert-lo
em um VHD de expanso dinmica antes de poder compact-lo. possvel expandir VHDs de expanso
dinmica e VHDs fixos.
Voc pode usar um dos dois mtodos para alterar o tamanho de um VHD. Esses mtodos so:
1. Use os cmdlets resize-partition e resize-vhd do Windows PowerShell.
2. No Assistente para Edio de Discos Rgidos Virtuais, selecione a opo Compactar ou Expandir.
Como reduzir as necessidades de armazenamento com VHDs diferenciais
VHDs diferenciais so VHDs separados que
registram as alteraes feitas em um disco pai.
Voc pode usar VHDs diferenciais para reduzir
a quantidade de espao em disco consumida
por VHDs, o que aumenta o desempenho
do disco ao reduzir o espao utilizado. VHDs
diferenciais funcionam bem com SSDs. Eles
tambm funcionam bem nos casos em que o
espao disponvel no volume pai limitado,
e o desempenho do disco compensa as
desvantagens de desempenho devido
ao uso de um VHD diferencial.
Voc pode vincular vrios VHDs diferenciais em um disco nico pai. No entanto, se modificar o disco
pai, os links para todos os VHDs diferenciais iro falhar.
Voc pode reconectar um VHD diferencial ao pai usando a ferramenta Inspecionar Disco, que est
disponvel no painel Aes do console Gerenciador do Hyper-V. Tambm pode usar a ferramenta
Inspecionar Disco para localizar o disco pai de um VHD diferencial.
Voc pode criar um VHD diferencial usando o console Gerenciador do Hyper-V ou o cmdlet
New-VHD do Windows PowerShell.
Para criar um VHD diferencial usando o console Gerenciador do Hyper-V, siga estas etapas:
2. No painel Aes, clique em Novo e em Disco Rgido.
3. No Assistente para Criao de Discos Rgidos Virtuais, na pgina Antes de Comear,
clique em Avanar.
4. Na pgina Escolher Formato de Disco, clique em VHD e depois em Avanar.
5. Na pgina Escolher Tipo de Disco, clique em Diferencial e depois em Avanar.
6. Na pgina Especificar Nome e Local, fornea a localizao do disco rgido pai.
Para criar um VHD diferencial usando o cmdlet New-VHD do Windows PowerShell, siga o padro
do exemplo a seguir. Para criar um novo VHD diferencial denominado c:\diff-disk.vhd que usa
o VHD c:\parent.vhd, use o seguinte comando do Windows PowerShell:
New-VHD c:\diff-disk.vhd -ParentPath C:\parent.vhd

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-23
Uso de instantneos
Instantneos so uma imagem esttica dos dados
em uma mquina virtual em um determinado
momento. Instantneos so armazenados no
formato .avhd ou .avhdx, dependendo do formato
do VHD. Voc pode criar um instantneo de uma
mquina virtual a partir do menu Ao da janela
Conexo com Mquina Virtual ou a partir do
console Gerenciador do Hyper-V. Cada mquina
virtual pode ter no mximo 50 instantneos.
Voc pode criar instantneos a qualquer
momento, mesmo quando uma mquina virtual
est desligada. Quando voc cria um instantneo
de uma mquina virtual em execuo, ele inclui o contedo da memria dessa mquina virtual.
Ao criar instantneos de vrias mquinas virtuais que fazem parte do mesmo grupo, por exemplo,
um controlador de domnio virtual e um servidor membro virtual, voc deve criar esses instantneos
simultaneamente. Isso garante que itens como senhas de contas de computador sejam os mesmos
em todos os instantneos.
Lembre-se de que, quando voc reverte para um instantneo, est revertendo para o estado de um
computador naquele determinado momento. Se voc retornar um computador a um ponto antes de
ter realizado uma alterao de senha de computador com um controlador de domnio, ser necessrio
reingressar esse computador no domnio ou executar o comando netdom resetpwd.
Instantneos vs. backups
Instantneos no so um substituto para backups. Instantneos so armazenados no mesmo volume
que os VHDs. Se esse volume falhar, tanto os instantneos quanto o arquivo VHD sero perdidos.
Exportao de instantneos
Voc pode realizar uma exportao de mquina virtual de um instantneo. Quando isso feito,
o Hyper-V cria VHDs completos que representam o estado da mquina virtual no momento que
oinstantneo foi tirado. Se voc optar por exportar uma mquina virtual inteira, todos os instantneos
associados a ela tambm sero exportados.
Arquivos de VHD diferencial
Quando voc cria um instantneo, o Hyper-V grava arquivos de VHD diferencial (.avhd ou .avhdx), que
armazenam os dados que diferenciam o instantneo do instantneo anterior ou do VHD pai. Quando
voc exclui instantneos, esses dados so descartados ou mesclados no instantneo anterior ou VHD
pai. Por exemplo:
Se voc excluir o instantneo mais recente, os dados sero descartados. Com o Hyper-V no
Windows Server 2012, esse espao recuperado imediatamente, e no quando a mquina
virtual desligada.
Se voc excluir o segundo instantneo mais recente, os dados sero mesclados para que
os estados dele e do instantneo anterior possam manter a integridade.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Gerenciamento de instantneos
Quando voc aplica um instantneo, a mquina virtual reverte para a configurao tal como ela existia
na ocasio em que o instantneo foi tirado. Reverter para um instantneo no exclui os instantneos
existentes. Se voc aplicar um instantneo aps fazer uma alterao de configurao em um instantneo
diferente, ser solicitado a criar outro instantneo. Apenas ser necessrio criar um novo instantneo
se voc quiser retornar para aquela configurao atual.
possvel criar rvores de instantneos que possuem ramificaes diferentes. Por exemplo, considere
o seguinte cenrio:
Voc tira um instantneo de uma mquina virtual na segunda-feira, na tera-feira e na quarta-feira.
Na quinta-feira, decide aplicar o instantneo da tera-feira. Logo depois de aplicar o instantneo
de tera-feira, voc faz alteraes na configurao da mquina virtual.
Neste cenrio, a ramificao original a srie de instantneos tirados na segunda-feira, na tera-feira
e na quarta-feira. Voc cria uma nova ramificao aplicando o instantneo de tera-feira e fazendo
alteraes na mquina virtual. Voc pode ter vrias ramificaes, desde que no ultrapasse o limite
de 50 instantneos por mquina virtual.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-25
Lio 4
Gerenciamento de redes virtuais
O Hyper-V oferece vrias opes diferentes para comunicao em rede entre mquinas virtuais.
possvel configurar mquinas virtuais que se comunicam com uma rede externa de maneira semelhante
a hosts fsicos tradicionalmente implantados. possvel configurar mquinas virtuais para que elas se
comuniquem apenas com um nmero limitado de outras mquinas virtuais que esto hospedadas no
mesmo servidor. Conhecer as opes disponveis para redes virtuais do Hyper-V garante que voc possa
aproveitar essas opes para atender s necessidades da sua organizao da melhor maneira possvel.
Objetivos da lio
Descrever comutadores virtuais.
Descrever a virtualizao de rede do Hyper-V.
Explicar como gerenciar um pool de endereos MAC de mquina virtual.
Explicar como configurar adaptadores de rede virtual.
O que um comutador virtual?
Um comutador virtual uma verso virtual de
um comutador de rede. (O termo rede virtual,
que era usado no Windows Server 2008, foi
substitudo pelo termo comutador virtual no
Windows Server 2012.) Comutadores virtuais
controlam como o trfego de rede flui entre
as mquinas virtuais que esto hospedadas
no servidor de virtualizao e entre as mquinas
virtuais e o restante da rede da organizao.
Voc gerencia comutadores virtuais atravs do
Gerenciador de Comutador Virtual, que pode ser
acessado no painel Aes do console Gerenciador
do Hyper-V. O Hyper-V no Windows Server 2012 d suporte a trs tipos diferentes de comutadores
virtuais:
Externo. Esse tipo de comutador mapeia uma rede para um adaptador de rede especfico ou uma
equipe de adaptadores de rede. O Windows Server 2012 d suporte ao mapeamento de uma rede
externa para um adaptador de rede sem fio quando o servio de rede local sem fio est instalado
no servidor de virtualizao e este ltimo possui um adaptador compatvel.
Interno. Comutadores virtuais internos se comunicam entre as mquinas virtuais no servidor
de virtualizao e entre as mquinas virtuais e o servidor de virtualizao propriamente dito.
Privados. Comutadores privados se comunicam apenas entre mquinas virtuais no servidor de
virtualizao. Voc no pode usar comutadores privados para comunicao entre as mquinas
virtuais e o servidor de virtualizao propriamente dito.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Ao configurar uma rede virtual, voc tambm pode configurar uma ID de LAN virtual (VLAN) a ser
associada com a rede. Isso permite estender VLANs existentes na rede externa para VLANs dentro
do comutador de rede do servidor de virtualizao. VLANs permitem particionar o trfego de rede
e funcionam como redes lgicas separadas. O trfego s poder passar de uma VLAN para outra
se atravessar um roteador.
Voc pode configurar as seguintes extenses para cada tipo de comutador virtual:
Captura NDIS da Microsoft. Essa extenso permite que os dados que esto atravessando o comutador
virtual sejam capturados.
Plataforma para Filtros do Windows da Microsoft. Essa extenso permite que os dados que esto
atravessando o comutador virtual sejam filtrado.
Leitura adicional: Para obter mais informaes sobre comutadores
virtuais, consulte a viso geral sobre comutadores virtuais do Hyper-V em
Virtualizao de rede do Hyper-V
A Virtualizao de Rede do Hyper-V torna
possvel isolar mquinas virtuais que
compartilham o mesmo servidor fsico.
Por exemplo, se voc fornecer uma IaaS
(Infraestrutura como um Servio) para empresas
diferentes, dever isolar suas mquinas virtuais
umas das outras. Com a Virtualizao de Rede,
voc pode atribuir mquinas virtuais a VLANs
separadas como uma forma de isolar o trfego de
rede. Voc implanta a Virtualizao de Rede
principalmente em cenrios em que utiliza um
servidor que executa o Hyper-V para hospedar
mquinas virtuais de outra organizao.
Quando voc configura a Virtualizao de Rede, cada mquina virtual convidada tem dois endereos
IP que funcionam da seguinte forma:
Endereo IP do cliente. Esse endereo atribudo pelo cliente mquina virtual. Esse endereo IP
configurado de modo que a comunicao com a rede interna do cliente ocorra mesmo que a
mquina virtual possa estar hospedada em um servidor de virtualizao conectado a uma rede IP
pblica separada. Para exibir o endereo IP do cliente, em um prompt de comando na mquina
virtual, execute IPCONFIG.
Endereo IP do provedor. Esse endereo atribudo pelo provedor de hospedagem. Esse endereo
visvel para o provedor de hospedagem e para outras mquinas na rede fsica, mas no visvel
a partir da mquina virtual.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-27
A Virtualizao de Rede permite hospedar vrias mquinas que usam o mesmo endereo de cliente
(por exemplo, 192.168.15.101) no mesmo servidor que executa o Hyper-V, pois as mquinas virtuais
tm endereos IP de provedor diferentes.
Leitura adicional: Para obter mais informaes sobre sobre a virtualizao
de rede, consulte a viso geral sobre virtualizao de rede do Hyper-V em
Gerenciamento de endereos MAC de mquina virtual
A menos que voc especifique um endereo MAC
(controle de acesso mdia) esttico, o Hyper-V
aloca dinamicamente um endereo a cada
adaptador de rede de mquina virtual a partir
de um pool de endereos MAC. Voc pode
configurar a faixa de endereos desse pool a partir
da configurao Intervalo de Endereos MAC
do console Gerenciador de Comutador Virtual.
Por padro, um servidor que executa o Hyper-V
tem um pool de 255 endereos MAC.
Quando as mquinas virtuais usam redes privadas
ou internas, o endereo MAC que alocado a
adaptadores de rede provavelmente no ser um problema, pois o servidor que executa o Hyper-V
garante que endereos MAC duplicados no sero atribudos a diferentes mquinas virtuais. No entanto,
quando existem vrios servidores que esto executando o Hyper-V e hospedando mquinas virtuais
que usam adaptadores conectados a redes externas, voc deve garantir que cada servidor use um pool
diferente de endereos MAC. Isso garante que servidores separados que se conectam mesma rede
no atribuam os mesmos endereos MAC s mquinas virtuais que eles hospedam.
Quando as mquinas virtuais recebem endereos IP alocados por meio de uma reserva de
protocolo DHCP, voc deve considerar o uso de endereos MAC estticos. A reserva DHCP garante
que um determinado endereo IP sempre seja atribudo a um endereo MAC especfico.
Voc pode configurar o intervalo de endereos MAC realizando as seguintes etapas:
2. Selecione o host Hyper-V que voc deseja configurar.
3. No painel Aes, clique em Gerenciador de Comutador Virtual.
4. Em Configuraes Globais de Rede clique em Intervalo de Endereos MAC.
5. Especifique um intervalo mnimo e mximo para o endereo MAC.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Endereos MAC esto em formato hexadecimal. Ao configurar intervalos para vrios hosts Hyper-V,
voc deve alterar os valores do antepenltimo par de dgitos. A tabela a seguir mostra exemplos
de intervalos para vrios hosts Hyper-V.
Host Hyper-V Intervalo de endereos MAC
Host 1 Mnimo: 00-15-5D-0F-AB-00
Mximo: 00-15-5D-0F-AB-FF
Host 2 Mnimo: 00-15-5D-0F-AC-00
Mximo: 00-15-5D-0F-AC-FF
Host 3 Mnimo: 00-15-5D-0F-AD-00
Mximo: 00-15-5D-0F-AD-FF
Configurao de adaptadores de rede virtual
Adaptadores de rede virtuais permitem que
a mquina virtual se comunique usando os
comutadores virtuais que so configurados
no console Gerenciador de Comutador Virtual.
Voc pode editar as propriedades de uma
mquina virtual para modificar as propriedades
de um adaptador de rede. No painel Adaptador
de Rede na caixa de dilogo Configuraes da
mquina virtual, voc pode configurar o seguinte:
Comutador Virtual. Voc configura a qual
comutador virtual o adaptador de rede se
conecta.
ID DA VLAN. Voc pode especificar uma ID de VLAN que a mquina virtual usa para a comunicao
que transmitida atravs desse adaptador.
Gerenciamento de Largura de Banda. Voc aloca uma largura de banda mnima e mxima para
o adaptador. A alocao de largura de banda mnima reservada pelo Hyper-V para o adaptador
de rede, mesmo quando adaptadores de rede virtual em outras mquinas virtuais esto trabalhando
no limite.
Ambos os adaptadores de rede sintticos e adaptadores de rede legados do suporte para os seguintes
recursos avanados:
Alocao de endereo MAC. Voc pode configurar um endereo MAC a ser atribudo a partir do
pool de endereos MAC, ou pode configurar o adaptador de rede para usar um endereo MAC fixo.
Tambm pode configurar a falsificao de endereos MAC. Isto til quando a mquina virtual
precisa fornecer acesso especfico rede, por exemplo, quando a mquina virtual est executando
um emulador de dispositivo mvel que requer acesso rede.
Proteo de DHCP. Esse recurso descarta mensagens DHCP de mquinas virtuais que esto
funcionando como servidores DHCP no autorizados. Isso pode ser necessrio em cenrios
em que voc est gerenciando um servidor com o Hyper-V que hospeda mquinas virtuais
para outros, mas no tem controle direto sobre a configurao dessas mquinas virtuais.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-29
Proteo de Roteador. Esse recurso descarta mensagens de redirecionamento e anncio de roteador
de mquinas virtuais que esto funcionando como roteadores no autorizados. Isso pode ser
necessrio em cenrios em que voc no controle direto sobre a configurao de mquinas virtuais.
Espelhamento de Porta. Esse recurso permite que voc copie pacotes de entrada e sada
de um adaptador de rede para outra mquina virtual configurada para monitoramento.
Agrupamento NIC. Esse recurso permite que voc adicione o adaptador de rede virtual a uma equipe
existente no servidor que executa o Hyper-V.
Adaptadores de rede sintticos exigem que o sistema operacional convidado d suporte para servios
de integrao. Alm dos recursos avanados listados anteriormente, adaptadores de rede sintticos
do suporte para os seguintes recursos de acelerao de hardware:
Fila de Mquinas Virtuais. Esse recurso utiliza filtragem de pacotes de hardware para distribuir o
trfego de rede diretamente para o convidado. Isso melhora o desempenho, pois o pacote no
precisa ser copiado do sistema operacional de gerenciamento para a mquina virtual. A Fila de
Mquinas Virtuais requer que o computador host tenha um adaptador de rede com suporte
para esse recurso.
Descarregamento de tarefas IPsec. Esse recurso permite que tarefas de associao de segurana
que exigem muitos clculos sejam realizadas pelo adaptador de rede do host. No caso de no
haver recursos de hardware suficientes, o sistema operacional convidado realizar essas tarefas.
Voc pode configurar um nmero mximo de associaes de segurana descarregadas entre
1 e 4096. O descarregamento de tarefas de segurana IP (IPsec) requer o suporte do sistema
operacional convidado e o suporte do adaptador de rede.
SR-IOV. A virtualizao de E/S de raiz nica (SR-IOV) permite que vrias mquinas virtuais
compartilhem os mesmos recursos expressos de hardware fsico PCI . Se no houver recursos
suficientes disponveis, a conectividade de rede voltar a ser fornecida atravs do comutador
virtual. A SR-IOV requer a instalao de drivers especiais e componentes de hardware especficos
no sistema operacional convidado e, talvez, tambm precise ser habilitada no BIOS do computador.
Adaptadores de rede legados emulam componentes de hardware de adaptadores de rede comuns.
Voc usa adaptadores de rede legados nas seguintes situaes:
Voc deseja dar suporte a cenrios de instalao de inicializao de rede para mquinas virtuais.
Por exemplo, voc deseja implantar uma imagem de sistema operacional a partir de um servidor
Windows DS (Windows Deployment Services) ou atravs do Configuration Manager.
Voc precisa dar suporte a sistemas operacionais que no do suporte para servios de integrao
e no tm drivers para o adaptador de rede sinttico.
Adaptadores de rede legados no do suporte para os recursos de acelerao de hardware
compatveis em adaptadores de rede sintticos. Voc no pode configurar a fila de mquinas virtuais,
o descarregamento de tarefas IPsec ou a virtualizao de E/S de raiz nica para adaptadores de rede
legado.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio: Implementao da virtualizao de servidores
com o Hyper-V
Cenrio
A empresa A. Datum Corporation tem um escritrio de TI e um data center em Londres, que d
suporte para a localizao em Londres e outras localizaes. Recentemente, a A. Datum implantou
uma infraestrutura do Windows Server 2012 com clientes Windows 8. Sua atribuio configurar
o servio de infraestrutura para uma nova filial.
Para usar de forma mais eficaz o hardware de servidor que est atualmente disponvel nas filiais,
seu gerente decidiu que todos os servidores de filiais sero executados como mquinas virtuais.
Agora, voc precisa configurar uma rede virtual e uma nova mquina virtual para essas filiais.
Objetivos
Ao concluir este laboratrio, voc ser capaz de:
Instalar a funo Hyper-V em um servidor.
Configurar o sistema de redes virtuais.
Criar e configurar uma mquina virtual.
Usar instantneos de mquina virtual.

Mquina virtual 24410B-LON-HOST1
Senha Pa$$w0rd
1. Reinicie o computador em sala de aula e, no Gerenciador de Inicializao do Windows,
selecione 24410B-LON-HOST1.
2. Entre em LON-HOST1 com a conta de Administrador e a senha Pa$$w0rd.
Exerccio 1: Instalao da funo Hyper-V em um servidor
Cenrio
A primeira etapa na migrao para um ambiente virtualizado para a filial a instalao da funo
Hyper-V em um novo servidor Windows Server 2012.
1. Instalar a funo Hyper-V em um servidor
2. Concluir a instalao da funo Hyper-V e verificar as configuraes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-31
Tarefa 1: Instalar a funo Hyper-V em um servidor
1. No Gerenciador do Servidor, clique em Servidor Local e defina as seguintes configuraes de rede:
o Endereo IP: 172.16.0.31
o Gateway padro: 172.16.0.1
o Servidor DNS preferencial: 172.16.0.10
2. Use o Assistente de Adio de Funes e Recursos para adicionar a funo Hyper-V a LON-HOST1
com as seguintes opes:
o No criar um comutador virtual.
o Usar os locais de repositrio padro.
o Permitir que o servidor seja reiniciado automaticamente se necessrio.
3. Depois de alguns minutos, o servidor reiniciado automaticamente. Certifique-se de reiniciar
a mquina a partir do menu de inicializao como 24410B-LON-HOST1. O computador ser
reiniciado vrias vezes.
Tarefa 2: Concluir a instalao da funo Hyper-V e verificar as configuraes
1. Entre em LON-HOST1 usando a conta Administrador com a senha Pa$$w0rd.
2. Quando a instalao das ferramentas do Hyper-V estiver concluda, clique em Fechar.
3. Abra o console do Gerenciador do Hyper-V e depois clique em LON-HOST1.
4. Edite as configuraes do Hyper-V de LON-HOST1 e defina as seguintes configuraes:
o Teclado: Usar na mquina virtual
o Discos rgidos virtuais: C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks

Resultados: Ao terminar este exerccio, voc ter instalado a funo Hyper-V em um servidor fsico.
Exerccio 2: Configurao de rede virtual
Cenrio
Aps a instalao da funo Hyper-V no novo servidor, voc precisa configurar a rede virtual. necessrio
criar uma rede que esteja conectada rede fsica e uma rede privada que possa ser usada apenas para
comunicao entre mquinas virtuais. A rede privada ser usada assim que as mquinas virtuais forem
configuradas para alta disponibilidade. Voc tambm precisa configurar um intervalo especfico
de endereos MAC para as mquinas virtuais.
1. Configurar a rede externa
2. Criar uma rede privada
3. Criar uma rede interna
4. Configurar o intervalo de endereos MAC (Controle de Acesso Mdia)
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 1: Configurar a rede externa
1. Abra o console Gerenciador do Hyper-V e clique em LON-HOST1.
2. Use o Gerenciador de Comutador Virtual para criar um novo comutador de rede virtual Externo
com as seguintes propriedades:
o Nome: Comutador para Adaptador Externo
o Rede Externa: Mapeada para o adaptador de rede fsico do computador host. (Isso varia
dependendo do computador host.)
Tarefa 2: Criar uma rede privada
1. Em LON-HOST1, abra o console Gerenciador do Hyper-V.
2. Use o Gerenciador de Comutador Virtual para criar um novo comutador virtual com as seguintes
propriedades:
o Nome: Rede Particular
o Tipo de conexo: Rede privada
Tarefa 3: Criar uma rede interna
2. Use o Gerenciador de Comutador Virtual para criar um novo comutador virtual com as seguintes
propriedades:
o Nome: Rede interna
o Tipo de conexo: Rede interna
Tarefa 4: Configurar o intervalo de endereos MAC (Controle de Acesso Mdia)
2. Use o Gerenciador de Comutador Virtual para definir as seguintes configuraes de Intervalo
de Endereos MAC:
o Mnimo: 00-15-5D-0F-AB-A0
o Mximo: 00-15-5D-0F-AB-EF

Resultados: Ao terminar este exerccio, voc ter configurado opes de comutador virtual
em um servidor Windows Server 2012 fisicamente implantado executando a funo Hyper-V.
Exerccio 3: Criao e configurao de uma mquina virtual
Cenrio
Voc foi convidado a implantar duas mquinas virtuais em LON-HOST1. Voc copiou um arquivo de VHD
sysprep que hospeda uma instalao do Windows Server 2012.
Para minimizar o uso de espao em disco s custas do desempenho, voc ir criar dois arquivos de VHD
diferencial com base no VHD sysprepped. Em seguida, voc usar esses arquivos de VHD diferenciais
como os arquivos de VHD para as novas mquinas virtuais.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-33
1. Criar VHDs diferenciais
2. Criar as mquinas virtuais
3. Habilitar a medio de recursos
Tarefa 1: Criar VHDs diferenciais
1. Use o Explorador de Arquivos para criar as duas pastas a seguir:
o E:\Program Files\Microsoft Learning\Base\LON-GUEST1
o E:\Program Files\Microsoft Learning\Base\LON-GUEST2
Observao: A letra da unidade pode depender do nmero de unidades na mquina host fsica.
2. No console do Gerenciador do Hyper-V, crie um VHD com as seguintes propriedades:
o Formato de Disco: VHD
o Tipo de Disco: Diferencial
o Nome: LON-GUEST1.vhd
o Local: E:\Program Files\Microsoft Learning\Base\LON-GUEST1\
o Local Pai: E:\Arquivos de Programas\Microsoft Learning\Base\Base12A-WS12-TMP.vhd
3. Abra o Windows PowerShell e importe o mdulo do Hyper-V usando o seguinte comando:
Import-Module Hyper-V
4. No Windows PowerShell, execute o seguinte comando:
New-VHD "E:\Arquivos de Programas\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd"
-ParentPath "E:\Arquivos de Programas\Microsoft Learning\Base\Base12A-WS12-TMP.vhd"
5. Inspecione o disco em E:\Program Files\Microsoft Learning\Base\LON-GUEST2\
LON-GUEST2.vhd.
6. Verifique se LON-GUEST2.vhd est configurado como um VHD diferencial
E:\Program Files\Microsoft Learning\Base\Base12A-WS12-TMP.vhd como pai.
Tarefa 2: Criar as mquinas virtuais
1. Em LON-HOST1, no console do Gerenciador do Hyper-V, no painel Aes, clique em Novo
e depois clique em Mquina Virtual.
2. Crie uma mquina virtual com as seguintes propriedades:
o Nome: LON-GUEST1
o Memria: 1024 MB
o Usar Memria Dinmica: Sim
o Sistema de rede: Rede privada
o Conectar Disco Rgido Virtual: E:\Arquivos de Programas\Microsoft Learning\Base\
LON-GUEST1\lon-guest1.vhd
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Abra o Windows PowerShell e importe o mdulo do Hyper-V usando o seguinte comando:
4. No Windows PowerShell, execute o seguinte comando:
New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E:\Arquivos de
Programas\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd" -SwitchName "Rede
Particular"
5. Use o console Gerenciador do Hyper-V para editar as configuraes de LON-GUEST2 definindo
o seguinte:
o Ao de Incio Automtico: Nada
o Ao de Interrupo Automtica: Desligar o sistema operacional convidado
Tarefa 3: Habilitar a medio de recursos
1. No prompt do Windows PowerShell, importe o mdulo do Hyper-V.
2. Insira os seguintes comandos:
Enable-VMResourceMetering LON-GUEST1

Resultados: Ao terminar este exerccio, voc ter implantado duas mquinas virtuais separadas usando
um arquivo VHD sysprepped como um disco pai para dois VHDs diferenciais.
Exerccio 4: Uso de instantneos de mquina virtual
Cenrio
Voc est no processo de desenvolvimento de uma estratgia para aliviar o impacto de solicitaes de
alterao aplicadas. Como parte dessa estratgia de desenvolvimento, voc est testando a velocidade
e a funcionalidade de instantneos de mquinas virtuais para reverter para uma configurao estvel
previamente existente.
Neste exerccio, voc implantar o Windows Server 2012 em uma mquina virtual. Em seguida, voc
ir criar uma configurao estvel para essa mquina virtual e tirar um instantneo de mquina virtual.
Por fim, voc ir modificar a configurao e reverter para o instantneo.
1. Implantar o Windows Server 2012 em uma mquina virtual
2. Criar um instantneo de mquina virtual
3. Modificar a mquina virtual
4. Reverter para o instantneo de mquina virtual existente
5. Exibir dados de medio de recursos
6. Reverter as mquinas virtuais
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-35
Tarefa 1: Implantar o Windows Server 2012 em uma mquina virtual
1. Use o console do Gerenciador do Hyper-V para iniciar LON-GUEST1.
2. Abra a janela Conexo com Mquina Virtual e execute as etapas a seguir para implantar
o Windows Server 2012 na mquina virtual:
o Na pgina Configuraes, clique em Ignorar.
o Na pgina Configuraes, marque a caixa de seleo Aceito os termos da licena de uso
do Windows e e clique em Aceitar.
o Na pgina Configuraes, clique em Avanar para aceitar as configuraes de Regio
e Idioma.
o Na pgina Configuraes, insira a senha Pa$$w0rd duas vezes e depois clique em Concluir.
3. Entre na mquina virtual usando a conta Administrador e a senha Pa$$w0rd.
4. Redefina o nome da mquina virtual para LON-GUEST1 e reinicie a mquina virtual.
Tarefa 2: Criar um instantneo de mquina virtual
1. Entre na mquina virtual LON-GUEST1 e verifique se o nome do computador est definido
como LON-GUEST1.
2. Crie um instantneo de LON-GUEST1 e atribua o nome Antes da Alterao.
Tarefa 3: Modificar a mquina virtual
1. Entre na mquina virtual LON-GUEST1 e use o console Gerenciador do Servidor para alterar
o nome do computador para LON-Computer1.
2. Reinicialize a mquina virtual.
3. Entre na mquina virtual LON-GUEST1 e verifique se o nome do servidor est definido como
LON-Computer1.
Tarefa 4: Reverter para o instantneo de mquina virtual existente
1. Use a janela Conexo com Mquina Virtual para reverter a mquina virtual.
2. Verifique se o Nome do Computador da mquina virtual est agora definido como LON-GUEST1.
Tarefa 5: Exibir dados de medio de recursos
1. Em LON-HOST1, importe o mdulo Hyper-V Windows PowerShell.
2. Emita o seguinte comando:
Measure-VM LON-GUEST1
3. Observe a CPU mdia, a RAM mdia e o uso de disco total. Em seguida, feche o Windows PowerShell.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 6: Reverter as mquinas virtuais
Depois de terminar o laboratrio, reinicie o computador no Windows Server 2008 R2.
1. Na barra de tarefas, clique no cone do Windows PowerShell.
2. Na janela do Windows PowerShell, insira o comando a seguir e pressione Enter:
Shutdown /r /t 5
3. No Gerenciador de Inicializao do Windows, clique em Windows Server 2008 R2.

Resultados: Ao terminar este exerccio, voc ter usado instantneos de mquina virtual para recuperar-
se de uma configurao incorreta de mquina virtual.
Pergunta: Que tipo de comutador de rede virtual voc criaria se quisesse permitir que a
mquina virtual se comunicasse com a LAN que est conectada ao servidor de virtualizao
do Hyper-V?
Pergunta: Como voc pode garantir que nenhuma mquina virtual use toda a largura
de banda fornecida pelo servidor de virtualizao do Hyper-V?
Pergunta: Que tarefa de configurao de Memria Dinmica no era possvel em verses
anteriores do Hyper-V, mas que agora voc pode realizar em uma mquina virtual que
esteja hospedada na funo Hyper-V em um servidor Windows Server 2012?
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 13-37
No possvel implantar o Hyper-V em uma
plataforma x64.

A mquina virtual no usa Memria Dinmica.

Prtica recomendada
Ao implementar a virtualizao de servidores com o Hyper-V, use as seguintes prticas recomendadas:
Verifique se o processador no computador que ir executar o Hyper-V d suporte para a virtualizao
assistida por hardware.
Verifique se um servidor de virtualizao provisionado com RAM adequada. Ter vrias mquinas
virtuais paginando a unidade de disco rgido porque elas possuem memria inadequada diminui
o desempenho de todas as mquinas virtuais no servidor.
Monitore o desempenho da mquina virtual com cuidado. Uma mquina virtual que utiliza
uma quantidade desproporcional de recursos de servidor pode reduzir o desempenho
de todas as outras mquinas virtuais hospedadas no mesmo servidor de virtualizao.
Ferramentas
Voc pode usar as seguintes ferramentas com o Hyper-V para implantar e gerenciar mquinas virtuais.
Nome da ferramenta Usada para Onde encontrar
Ferramenta Sysinternals
disk2vhd
Use-o para converter discos rgidos
fsicos no formato VHD.
Site do Microsoft TechNet.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Avaliao do curso

Sua avaliao deste curso ajudar a Microsoft
a entender a qualidade da sua experincia
de aprendizagem.
Solicite ao seu instrutor o acesso ao formulrio
de avaliao do curso.
A Microsoft manter em sigilo suas respostas a
esta pesquisa e usar suas respostas para melhorar
sua experincia de aprendizagem futura. Sua
avaliao franca e honesta muito valiosa.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L1-1
Mdulo 1: Implantao e gerenciamento
Laboratrio: Implantao e gerenciamento
Exerccio 1: Implantao do Windows Server 2012
Tarefa 1: Instalar o servidor do Windows Server
2012
1. Abra o console do Gerenciador do Hyper-V
.
2. Clique em 24410B-LON-SVR3. No painel Aes, clique em Configuraes.
3. Em Hardware, clique em Unidade de DVD.
4. Clique em Arquivo de imagem e em Procurar.
5. Navegue at C:\Program Files\Microsoft Learning\24410\Drives e clique
em Windows2012_RTM.iso.
6. Clique em Abrir e em OK.
7. No console do Gerenciador do Hyper-V, clique duas vezes em 24410B-LON-SVR3.
8. No menu Ao da janela Conexo de Mquina Virtual, clique em Iniciar.
9. Na pgina Windows Server 2012 do Assistente de Instalao do Windows, verifique as seguintes
configuraes e clique em Next.
o Idioma a instalar: English (United States)
o Formato de hora e moeda: English (United States)
o Teclado ou mtodo de entrada: US
10. Na pgina Windows Server 2012, clique em Install Now.
11. Na pgina Select the operating system you want to install, escolha Windows Server 2012
Datacenter Evaluation (Server with a GUI) e clique em Next.
12. Na pgina License terms, examine os termos de licena do sistema operacional. Marque a caixa
de seleo I accept the license terms e clique em Next.
13. Na pgina Which type of installation do you want?, clique em Custom: Install Windows only
(advanced).
14. Na pgina Where do you want to install Windows?, verifique se Drive 0 Unallocated Space
tem espao suficiente para o sistema operacional Windows Server 2012 e clique em Next.
Observao: Dependendo da velocidade do equipamento, a instalao ir demorar
cerca de 20 minutos. A mquina virtual ser reiniciada vrias vezes durante esse processo.
15. Na pgina Settings, nas caixas Password e Reenter password, insira a senha Pa$$w0rd
e clique em Finish.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L1-2 Implantao e gerenciamento do Windows Server 2012
Tarefa 2: Alterar o nome do servidor
1. Entre em LON-SVR3 como Administrador com a senha Pa$$w0rd.
2. No Server Manager, clique em Servidor Local.
3. Clique no nome gerado aleatoriamente ao lado de Computer name.
5. Na caixa de dilogo Computer Name/Domain Changes, na caixa de texto Computer Name,
insira o nome LON-SVR3 e clique em OK.
7. Feche a caixa de dilogo System Properties.
8. Na caixa de dilogo Microsoft Windows, clique em Restart Now.
Tarefa 3: Alterar a data e a hora
1. Entre no servidor LON-SVR3 como Administrador com a senha Pa$$w0rd.
2. Na barra de tarefas, clique na exibio de hora. exibida uma janela pop-up com um calendrio
e um relgio.
3. Na janela pop-up, clique em Change date and time settings.
4. Na caixa de dilogo Date and Time, clique em Change Time Zone.
5. Na caixa de dilogo Time Zone Settings, defina o fuso horrio como o fuso horrio atual e clique
em OK.
6. Na caixa de dilogo Date and Time, clique em Change Date and Time.
7. Verifique se a data e a hora que aparecem na caixa de dilogo Date and Time Settings
correspondem s configuraes de sala de aula e clique em OK.
8. Clique em OK para fechar a caixa de dilogo Date and Time.
Tarefa 4: Configurar a rede e o agrupamento NIC
1. No console Server Manager em LON-SVR3, clique em Local Server.
2. Ao lado de NIC Teaming, clique em Disabled.
3. Na caixa de dilogo NIC Teaming, pressione e segure a tecla Ctrl e, no espao de trabalho
Adapters And Interfaces, clique em Local Area Connection e em Local Area Connection 2.
4. Clique com o boto direito do mouse nos adaptadores de rede selecionados e clique em Add
to New Team.
5. Na caixa de dilogo New Teaming, no campo Team name, digite LON-SVR3 e clique em OK.
6. Feche a caixa de dilogo NIC Teaming. Atualize o console Gerenciador de Servidores.
7. No console Server Manager, ao lado de LON-SVR3, clique em IPv4 Address Assigned by DHCP,
IPv6 enabled.
8. Na caixa de dilogo Network Connections, clique com o boto direito do mouse em LON-SVR3
9. Na caixa de dilogo LON-SVR3 Properties, clique em Internet Protocol Version 4 (TCP/IPv4)
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L1-3
10. Na caixa de dilogo Internet Protocol Version 4 (TCP/IPv4) Properties, insira as seguintes
informaes de endereo IP e clique em OK:
o IP Address: 172.16.0.101
o Subnet Mask: 255.255.0.0
o Default Gateway: 172.16.0.1
o Preferred DNS server: 172.16.0.10
11. Clique em Close para fechar a caixa de dilogo LON-SVR3 Properties.
12. Feche a caixa de dilogo Network Connections.
1. Em LON-SVR3, no console Gerenciador de Servidores, clique em Local Server.
2. Ao lado de Grupo de Trabalho, clique em WORKGROUP.
4. Na caixa de dilogo Computer Name/Domain Changes, na rea Member Of, clique
na opo Domain.
5. Na caixa Domain digite adatum.com e clique em OK.
6. Na caixa de dilogo Windows Security, insira os detalhes a seguir e clique em OK:
o Senha: Pa$$w0rd
8. Quando for informado que voc deve reiniciar o computador para aplicar as alteraes,
clique em OK.
9. Na caixa de dilogo System Properties, clique em Close.
10. Na caixa de dilogo Microsoft Windows, clique em Restart Now.
11. Aps a reinicializao de LON-SVR3, entre como ADATUM\Administrador com a senha Pa$$w0rd.

Resultados: Depois de concluir este exerccio, voc ter implantado o Windows Server 2012
em LON-SVR3. Tambm ter configurado LON-SVR3, incluindo alterao do nome, data e hora,
conexo de rede e agrupamento de rede.
Exerccio 2: Configurao do Windows Server 2012 Server Core
Tarefa 1: Definir o nome do computador
1. Entre em LON-CORE como Administrador com a senha Pa$$w0rd.
3. Para selecionar Computer Name, digite 2 e pressione Enter.
4. Insira o nome do computador LON-CORE e pressione Enter.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
5. Na caixa de dilogo Restart, clique em Yes.
6. Entre no servidor LON-CORE usando a conta de Administrator com a senha Pa$$w0rd.
7. No prompt de comando, digite hostname e pressione Enter para verificar o nome do computador.
Tarefa 2: Alterar a data e a hora do computador
1. Verifique se voc est conectado ao servidor LON-CORE como Administrator com a senha
Pa$$w0rd.
3. Para selecionar Date and Time, digite 9 e pressione Enter.
4. Na caixa de dilogo Date and Time, clique em Change time zone. Defina o fuso horrio como
o mesmo fuso horrio usado em sala de aula e clique em OK.
5. Na caixa de dilogo Date and Time, clique em Change Date and Time e verifique se a data
e a hora correspondem s configuraes do seu local. Para descartar as caixas de dilogo,
clique em OK duas vezes.
6. Na janela do Prompt de Comando, digite 15 e pressione Enter para sair de Server Configuration.
Tarefa 3: Configurar a rede
1. Verifique se voc est conectado ao servidor LON-CORE usando a conta de Administrador e a senha
Pa$$w0rd.
3. Para definir Network Settings, digite 8 e depois pressione Enter.
4. Digite o nmero de ndice do adaptador de rede que voc deseja configurar e depois pressione Enter.
5. Na pgina Network Adapter Settings, digite 1 e pressione Enter. Isso define o Endereo
do Adaptador de Rede.
6. Para selecionar a configurao de endereo IP esttico, digite S e pressione Enter.
7. No prompt Enter static IP address, digite 172.16.0.111 e pressione Enter.
8. No prompt Enter subnet mask, digite 255.255.0.0 e pressione Enter.
9. No prompt Enter default gateway, digite 172.16.0.1 e pressione Enter.
10. Na pgina Network Adapter Settings, digite 2 e pressione Enter. Isso configura o endereo
do servidor DNS.
11. No prompt Enter new preferred DNS server, digite 172.16.0.10 e pressione Enter.
12. Na caixa de dilogo Network Settings, clique em OK.
13. Pressione Enter para no configure um endereo de servidor DNS alternativo.
14. Digite 4 e pressione Enter para retornar ao menu principal.
15. Digite 15 e pressione Enter para sair de sconfig.cmd.
16. No comando prompt, digite ping lon-dc1.adatum.com para verificar a conectividade
com o controlador de domnio a partir de LON-CORE.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L1-5
com a senha Pa$$w0rd.
3. Para alternar para Configure Domain/Workgroup, digite 1 e pressione Enter.
4. Para ingressar em um domnio, digite De pressione Enter.
5. No prompt Name of domain to join, digite adatum.com e pressione Enter.
6. No prompt Specify an authorized domain\user, digite ADATUM\Administrador e pressione Enter.
7. No prompt Type the password associated with the domain user, digite Pa$$w0rd e pressione
Enter.
8. No prompt Change Computer Name, clique em No.
9. Na caixa de dilogo Restart, clique em Yes.
10. Entre no servidor LON-CORE com a conta ADATUM\Administrador e a senha Pa$$w0rd.

Resultados: Ao terminar o exerccio, voc ter configurado uma implantao Server Core do
Windows Server 2012 e verificado o nome do servidor.
Exerccio 3: Gerenciamento de servidores
Tarefa 1: Criar um grupo de servidores
1. Entre em LON-DC1 com a conta de Administrador e a senha Pa$$w0rd.
2. No console Gerenciador de Servidores, clique em Painel e depois em Criar um grupo de servidores.
3. Na caixa de dilogo Criar Grupo de Servidores, clique na guia Active Directory e em
Localizar Agora.
4. Na caixa Nome do grupo de servidores, digite LAB-1.
5. Use a seta para adicionar LON-CORE e LON-SVR3 ao grupo de servidores. Clique em OK para fechar
a caixa de dilogo Criar Grupo de Servidores.
6. No console Gerenciador de Servidores, clique em LAB-1. Pressione e segure a tecla Ctrl e selecione
LON-CORE e LON-SVR3.
7. Role para baixo e, na seo Desempenho, selecione LON-CORE e LON-SVR3.
8. Clique com o boto direito do mouse em LON-CORE e clique em Iniciar Contadores
de Desempenho.
Tarefa 2: Implantar recursos e funes em ambos os servidores
1. No Gerenciador de Servidores em LON-DC1, clique em LAB-1.
2. Role at a parte superior do painel, clique com o boto direito do mouse em LON-CORE
e clique em Adicionar Funes e Recursos.
3. No Assistente de Adio de Funes e Recursos, clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Na pgina Selecionar tipo de instalao, clique em Instalao baseada em funo ou recurso
e clique em Prximo.
5. Na pgina Selecionar servidor de destino, verifique se LON-CORE.Adatum.com est selecionado
e clique em Prximo.
6. Na pgina Selecionar funes de servidor, selecione Web Server (IIS) e clique em Prximo.
7. Na pgina Recursos, selecione Windows Server Backup e clique em Prximo.
8. Na pgina Funo Servidor Web (IIS), clique em Prximo.
9. Na pgina Selecionar servios de funo, adicione o servio de funo Windows Authentication
e clique em Prximo.
de destino automaticamente, se necessrio e clique em Instalar.
11. Clique em Fechar para fechar o Assistente de Adio de Funes e Recursos.
12. No Gerenciador de Servidores, clique com o boto direito do mouse em LON-SVR3 e clique
em Adicionar Funes e Recursos.
13. No Assistente de Adio de Funes e Recursos, na pgina Antes de comear, clique em Prximo.
14. Na pgina Selecionar tipo de instalao, clique em Instalao baseada em funo ou recurso.
Clique em Prximo.
15. Na pgina Selecionar servidor de destino, verifique se LON-SVR3.Adatum.com est selecionado
e clique em Prximo.
16. Na pgina Selecionar funes de servidor, clique em Prximo.
17. Na pgina Selecionar recursos, clique em Windows Server Backup e depois em Prximo.
19. Quando a instalao comear, clique em Fechar.
20. No Gerenciador de Servidores, clique no n IIS e verifique se LON-CORE est listado.
Tarefa 3: Rever os servios e alterar uma configurao de servio
1. Entre em LON-CORE com a conta ADATUM\Administrador e a senha Pa$$w0rd.
2. Na janela do prompt de comando, digite o seguinte comando e pressione Enter:
netsh.exe firewall set service remoteadmin enable ALL
4. No Gerenciador de Servidores, clique em LAB-1.
5. Clique com o boto direito do mouse em LON-CORE e depois clique em Gerenciamento
do computador.
6. No console Gerenciamento do computador, expanda Servios e aplicativos e clique em Servios.
7. Clique com o boto direito do mouse no servio de World Wide Web Publishing Service e depois
clique em Propriedades. Verifique se o Tipo de inicializao est definido como Automtico.
8. Na caixa de dilogo World Wide Web Publishing Service, na guia Logon, verifique se o servio
est configurado para usar a Conta do Sistema Local.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L1-7
9. Na guia Recuperao, define as configuraes a seguir e clique no boto Reiniciar as Opes
de Computador:
o Primeira falha: Reiniciar o servio
o Segunda falha: Reiniciar o servio
o Falhas posteriores: Reiniciar o Computador.
o Zerar a contagem de falhas depois de: 1 dias
o Reiniciar o servio aps: 1 minuto
10. Na caixa de dilogo Reiniciar as Opes de Computador, na caixa Reiniciar o Computador aps,
digite 2 e clique em OK.
11. Clique em OK para fechar a caixa de dilogo Propriedades de World Wide Web
Publishing Service.

Resultados: Ao concluir o exerccio, voc ter criado um grupo de servidores, implantado funes
e recursos e configurado as propriedades de um servio.
Exerccio 4: Como usar o Windows PowerShell para gerenciar servidores
Tarefa 1: Usar o Windows PowerShell
para conectar-se remotamente a servidores

e visualizar informaes
2. No console Gerenciador de Servidores, clique em LAB-1.
3. Clique com o boto direito do mouse em LON-CORE e clique em Windows PowerShell.
4. No prompt de comando, digite Import-Module ServerManager e pressione Enter.
5. Digite Get-WindowsFeature e pressione Enter para analisar as funes e os recursos instalados
em LON-CORE.
6. Digite o comando a seguir para examinar os servios em execuo em LON-CORE e pressione Enter:
Get-service | where-object {$_.status -eq Running}
7. Digite get-process e depois pressione Enter para visualizar uma lista de processos em LON-CORE.
8. Digite o comando a seguir para examinar os endereos IP atribudos ao servidor e pressione Enter:
Get-NetIPAddress | Format-table
9. Digite o comando a seguir para examinar os 10 itens mais recentes no log de segurana e pressione
Enter:
Get-EventLog Security -Newest 10
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Usar o Windows PowerShell para instalar novos recursos remotamente
2. No prompt de comando do Windows PowerShell, digite import-module ServerManager
e pressione Enter.
3. Para verificar se o recurso Visualizador XPS no foi instalado em LON-SVR3, digite o seguinte
comando e pressione Enter:
4. Para implantar o recurso Visualizador XPS em LON-SVR3, digite o seguinte comando e pressione
Enter:
Install-WindowsFeature XPS-Viewer -ComputerName LON-SVR3
5. Para verificar se o recurso Visualizador XPS est agora implantado em LON-SVR3, digite o seguinte
comando e pressione Enter:
6. No console Gerenciador de Servidores, no menu suspenso Ferramentas, clique em
Windows PowerShell ISE.
7. Na janela ISE do Windows PowerShell, no painel do script Untitled1.ps1, digite o seguinte,
pressionando Enter depois de cada linha:
Import-Module ServerManager
Install-WindowsFeature WINS -ComputerName LON-SVR3
Install-WindowsFeature WINS -ComputerName LON-CORE
8. Clique no cone Salvar. Selecione a raiz de Disco Local (C:). Crie uma nova pasta denominada
Scripts e salve o script nessa pasta como InstallWins.ps1.
9. Pressione a tecla F5 para executar o script.

Resultados: Ao concluir o exerccio, voc ter usado o Windows PowerShell para realizar uma instalao
remota de recursos em vrios servidores.
1. No computador host, mude para o console Gerenciador do Hyper-V.
4. Repita as etapas 2 e 3 para 24410B-LON-CORE e 24410B-LON-SVR3.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L2-9
Mdulo 2: Introduo aos Servios de Domnio
do Active Directory
Laboratrio: Instalao de controladores
de domnio
Exerccio 1: Instalao de um controlador de domnio
Tarefa 1: Adicionar uma funo AD DS (Servios de Domnio do Active Directory)
a um servidor membro
1. Em LON-DC1, no Gerenciador do Servidor, na coluna esquerda, clique em Todos os Servidores.
2. Clique com o boto direito do mouse em Todos os Servidores e clique em Adicionar Servidores.
3. Na caixa de dilogo Adicionar Servidores, na caixa Nome (CN), digite LON-SVR1, e clique em
Localizar Agora.
4. Em Nome, clique em LON-SVR1 e clique na seta para adicionar o servidor coluna Selecionado.
5. Clique em OK para fechar a caixa de dilogo Adicionar Servidores.
6. No Gerenciador do Servidor, na janela SERVIDORES, clique com o boto direito do mouse
em LON-SVR1 e selecione Adicionar Funes e Recursos.
7. No Assistente de Adio de Funes e Recursos, clique em Prximo >.
8. Na janela Selecionar tipo de instalao, verifique se a Instalao baseada em funo ou recurso
est selecionada e clique em Prximo >.
9. Na pgina Selecionar servidor de destino, verifique se Selecionar um servidor no pool de
servidor est selecionado. Na janela Pool de Servidores, verifique se LON-SVR1.Adatum.com
est realado e clique em Prximo >.
10. Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Domnio
Active Directory, clique em Adicionar Recursos e clique em Prximo >.
11. Na pgina Selecionar recursos, clique em Prximo >.
12. Na pgina Servios de Domnio Active Directory, clique em Prximo >.
14. A instalao levar vrios minutos. Quando a instalao for concluda, clique em Fechar para fechar
Tarefa 2: Configurar um servidor como controlador de domnio
1. Em LON-DC1, no Gerenciador do Servidor, na barra de menus, clique no boto Notificaes.
2. Na janela Configurao Ps-implantao, clique em Promover este servidor a um controlador
de domnio.
3. No Assistente de Configurao dos Servios de Domnio do Active Directory, na pgina
Configurao de Implantao, verifique se o boto de opo Adicionar um controlador
de domnio a um domnio existente est selecionado e, ao lado da linha Domnio, clique
em Selecionar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L2-10 Introduo aos Servios de Domnio do Active Directory
4. Na caixa de dilogo Segurana do Windows, na caixa Nome de usurio, digite
ADATUM\Administrador, na caixa Senha, digite Pa$$w0rd e clique em OK.
5. Na janela Selecionar um domnio da floresta, clique em Adatum.com e clique em OK.
6. Na janela Configurao de Implantao, clique em Prximo >.
7. Na pgina Opes do Controlador de Domnio, verifique se Servidor do sistema de nomes de
domnio (DNS) est selecionado e desmarque a caixa de seleo ao lado de Catlogo Global (GC).
Observao: Voc normalmente desejaria tambm habilitar o catlogo global, mas para
a finalidade deste laboratrio, isso feito na prxima tarefa de laboratrio.
8. Na seo Digite a senha do Modo de Restaurao dos Servios de Diretrio (DSRM), digite
Pa$$w0rd em ambas as caixas e clique em Prximo >.
9. Na pgina Opes de DNS, clique em Prximo >.
10. Na pgina Opes Adicionais, clique em Prximo >.
11. Na pgina Caminhos, aceite as pastas padro e clique em Prximo >.
12. Na pgina Examinar Opes, clique em Exibir Script e examine o script do Windows PowerShell
que o assistente gera. Feche a janela do Bloco de Notas.
13. Na pgina Examinar Opes, clique em Prximo >.
14. Na pgina Verificao de Pr-requisitos, leia qualquer mensagem de aviso e clique em Instalar.
15. Quando a tarefa estiver concluda com xito, clique em Fechar.
16. Aguarde o servidor ser reiniciado.
Tarefa 3: Configurar um servidor como um servidor de Catlogo Global
2. No Gerenciador do Servidor, clique em Ferramentas e clique em Servios e Sites
do Active Directory.
3. Quando a janela Servios e Sites do Active Directory for aberta, expanda Sites, Default-First-Site-
Name, Servers e LON-SVR1.
4. Na coluna esquerda, clique com o boto direito do mouse em NTDS Settings e clique em
Propriedades.
5. Na caixa de dilogo Propriedades de NTDS Settings, marque a caixa de seleo Catlogo Global
e clique em OK.
6. Fechar Servios e Sites do Active Directory.

Resultados: Depois de concluir este exerccio, voc ter explorado o Gerenciador do Servidor
e promovido um servidor membro para ser um controlador de domnio.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L2-11
Exerccio 2: Instalao de um controlador de domnio usando IFM
Tarefa 1: Use a ferramenta Ntdsutil para gerar IFM
1. Em LON-DC1, aponte o mouse para o canto inferior direito da tela inicial e clique no boto Iniciar
quando ele aparecer.
2. Na tela inicial, digite CMD e pressione Enter.
3. Em um prompt de comando, digite os comandos a seguir, pressionando Enter aps cada linha:
Ntdsutil
Activate instance ntds
Ifm
Create sysvol full c:\ifm
Tarefa 2: Adicionar a funo AD DS ao servidor membro
1. Alterne para LON-SVR2 e, se necessrio, entre como ADATUM\Administrador com a senha
Pa$$w0rd.
2. Aponte o mouse para o canto inferior direito da rea de trabalho e clique no boto Iniciar quando
ele aparecer.
3. Na tela inicial, digite CMD e pressione Enter.
4. Digite o seguinte comando e pressione Enter:
Net use k: \\LON-DC1\c$\IFM
5. Alterne para o Gerenciador do Servidor.
6. Na lista esquerda, clique em Servidor Local.
7. Na barra de ferramentas, clique em Gerenciar e clique em Adicionar Funes e Recursos.
8. Na pgina Antes de comear, clique em Prximo >.
9. Na pgina Selecionar tipo de instalao, verifique se a Instalao baseada em funo ou recurso
est selecionada e clique em Prximo >.
10. Na pgina Selecionar servidor de destino, verifique se LON-SVR2.Adatum.com est realado
e clique em Prximo >.
11. Na pgina Selecionar funes de servidor, clique em Servios de Domnio Active Directory.
12. No Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos e em Prximo >.
14. Na pgina Servios de Domnio Active Directory, clique em Prximo >.
15. Na pgina Confirmar selees de instalao, clique em Reiniciar cada servidor de destino
automaticamente, se necessrio. Clique em Sim na caixa de mensagem.
16. Clique em Instalar.
17. Depois de Progresso da instalao, clique em Fechar.
Observao: Se voc vir uma mensagem afirmando que no possvel criar uma
delegao para o servidor DNS, clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L2-12 Introduo aos Servios de Domnio do Active Directory
Tarefa 3: Usar IFM para configurar um servidor membro como um novo controlador
de domnio
1. Em LON-SVR2, abra uma janela Prompt de Comando.
2. No prompt de comando, digite os comandos a seguir e pressione Enter:
Robocopy k: c:\ifm /copyall /s
4. Na barra de ferramentas do Gerenciador do Servidor, clique no boto Notificaes.
5. Na janela Configurao Ps-implantao, clique em Promover este servidor a um controlador
de domnio.
6. Na pgina Configurao de Implantao, verifique se Adicionar um controlador de domnio
a um domnio existente est selecionado e confirme se Adatum.com o Domnio de destino.
Clique em Prximo >.
7. Na pgina Opes do Controlador de Domnio, verifique se Servidor do Sistema de Nomes
de Domnio (DNS) e Catlogo Global esto selecionados. Para a senha do DSRM, insira Pa$$w0rd
em ambas as caixas e clique em Prximo >.
8. Na pgina Opes de DNS, clique em Prximo > .
9. Na pgina Opes Adicionais, marque a caixa de seleo Instalar da mdia, na caixa de texto,
digite C:\ifm e clique em Verificar.
10. Quando o caminho tiver sido verificado, clique em Prximo >.
11. Na pgina Caminhos, clique em Prximo >.
12. Na pgina Examinar Opes, clique em Prximo > e observe enquanto o Assistente
de Configurao dos Servios de Domnio do Active Directory executa uma verificao dos pr-
requisitos.
13. Clique em Instalar e aguarde enquanto o AD DS configurado. Enquanto essa tarefa estiver
em execuo, leia as mensagens de informaes exibidas na tela.
14. Aguarde o servidor ser reiniciado.

Resultados: Depois de concluir este exerccio, voc ter instalado um controlador de domnio adicional
para a filial usando IFM.
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1, 24410B-LON-RTR e 24410B-LON-SVR2.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L3-13
Mdulo 3: Gerenciamento de objetos dos Servios
Laboratrio: Gerenciamento de objetos dos
Servios de Domnio do Active Directory
Exerccio 1: Delegao da administrao de uma filial
Tarefa 1: Delegar a administrao para Administradores de Filial
2. No Gerenciador de Servidor, clique em Ferramentas e clique em Usurios e Computadores
3. Em Usurios e Computadores do Active Directory, clique em Adatum.com.
4. Clique com o boto direito do mouse em Adatum.com, aponte para Novo e clique em
Unidade Organizacional.
5. Na caixa de dilogo Novo Objeto Unidade Organizacional, na caixa Nome, digite Filial 1
e clique em OK.
6. Clique com o boto direito do mouse em Filial 1, aponte para Novo e clique em Grupo.
7. Na caixa de dilogo Novo Objeto Grupo, na caixa Nome do grupo, digite Suporte Tcnico
da Filial 1 e clique em OK.
9. Na caixa de dilogo Novo Objeto Grupo, na caixa Nome do grupo, digite Administradores
da Filial 1 e clique em OK.
11. Na caixa de dilogo Novo Objeto Grupo, na caixa Nome do grupo, digite Usurios da Filial 1
e clique em OK.
12. No painel de navegao, clique em IT.
13. No painel de detalhes, clique com o boto direito do mouse em Holly Dickson e clique em Mover.
14. Na caixa de dilogo Mover, clique em Filial 1 e clique em OK.
15. No painel de navegao, clique na unidade organizacional (UO) Development.
16. No painel de detalhes, clique com o boto direito do mouse em Bart Duncan e clique em Mover.
18. No painel de navegao, clique na unidade organizacional Managers.
19. No painel de detalhes, clique com o boto direito do mouse em Ed Meadows e clique em Mover.
21. No painel de navegao, clique na unidade organizacional Marketing.
22. No painel de detalhes, clique com o boto direito do mouse em Connie Vrettos e clique em Mover.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L3-14 Gerenciamento de objetos dos Servios de Domnio do Active Directory
24. No painel de navegao, clique na unidade organizacional Research.
25. No painel de detalhes, clique com o boto direito do mouse em Barbara Zighetti e clique
em Mover.
27. No painel de navegao, clique na unidade organizacional Sales.
28. No painel de detalhes, clique com o boto direito do mouse em Arlene Huff e clique em Mover.
30. No painel de navegao, clique em Filial 1.
31. No painel de navegao, clique em Computers.
32. No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e clique em Mover.
35. Pause seu ponteiro do mouse no canto inferior direito do vdeo e clique em Configuraes.
36. Clique em Liga/Desliga e clique em Reiniciar.
37. Quando o computador for reiniciado, entre como ADATUM\Administrador com a senha
Pa$$w0rd.
39. Se necessrio, alterne para Usurios e Computadores do Active Directory.
40. No painel de navegao, clique com o boto direito do mouse em Filial 1, clique em Delegar
controle e clique em Avanar.
41. Na pgina Usurios ou Grupos, clique em Adicionar.
42. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, na caixa Digite os nomes
de objeto a serem selecionados (exemplos), digite Administradores da Filial 1, e clique em OK.
43. Na pgina Usurios ou Grupos, clique em Avanar.
44. Na pgina Tarefas a delegar, na lista Delegar as seguintes tarefas comuns, marque as caixas
de seleo a seguir e clique em Avanar:
o Criar, excluir e gerenciar contas de usurio
o Redefinir senhas de usurio e forar alterao no prximo logon
o Criar, excluir e gerenciar grupos
o Gerenciar vnculos de Diretivas de Grupo
45. Na pgina Concluindo o 'Assistente para delegao de controle', clique em Concluir.
46. No painel de navegao, clique com o boto direito do mouse em Filial 1, clique em Delegar
controle e clique em Avanar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L3-15
de objeto a serem selecionados (exemplos), digite Administradores da Filial 1, e clique em OK.
50. Na pgina Tarefas a delegar, clique em Criar uma tarefa personalizada para delegar
e clique em Avanar.
51. Na pgina Tipo de objeto do Active Directory, selecione Somente os seguintes objetos na pasta,
marque as caixas de seleo a seguir e clique em Avanar:
o Computador objetos
o Criar objetos selecionados nesta pasta
o Excluir objetos selecionados desta pasta
52. Na pgina Permisses, marque as caixas de seleo Geral e Controle total e clique em Avanar.
Tarefa 2: Delegar um administrador de usurio para o Suporte Tcnico da Filial
1. Em LON-DC1, no painel de navegao, clique com o boto direito do mouse em Filial 1, clique
em Delegar controle e clique em Avanar.
de objeto a serem selecionados (exemplos), digite Suporte Tcnico da Filial 1 e clique em OK.
5. Na pgina Tarefas a delegar, na lista Delegar as seguintes tarefas comuns, marque as caixas
de seleo a seguir, e clique em Avanar:
o Redefinir senhas de usurio e forar mudana de senha no prximo logon
o Ler todas as informaes do usurios
Tarefa 3: Adicionar um membro a Administradores da Filial
1. Em LON-DC1, painel de navegao, clique em Filial 1.
2. No painel de detalhes, clique com o boto direito do mouse em Holly Dickson
e clique em Adicionar a um grupo.
3. Na caixa de dilogo Selecionar Grupos, na caixa Digite os nomes de objeto a serem selecionados
(exemplos), digite Administradores da Filial 1 e clique em OK.
4. Na caixa de dilogo Servios de Domnio do Active Directory, clique em OK.
5. No painel de detalhes, clique com o boto direito do mouse em Administradores da Filial 1
(exemplos), digite Opers de servidores e clique em OK.
7. Na caixa de dilogo Servios de Domnio Active Directory, clique em OK.
8. Em seu computador host, na janela 24410B-LON-DC1, no menu Ao, clique em Ctrl+Alt+Delete.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
9. Em LON-DC1, clique em Sair.
10. Entre em LON-DC1 como ADATUM\Holly com a senha Pa$$w0rd. Voc pode fazer logon
localmente em um controlador de domnio, pois Holly pertence indiretamente ao grupo
de domnio local Opers de servidores.
11. Na barra de tarefas da rea de trabalho, clique em Gerenciador de Servidor.
12. Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite Holly.
Na caixa Senha, digite Pa$$w0rd e clique em Sim.
14. Em Usurios e Computadores do Active Directory, expanda Adatum.com.
15. No painel de navegao, clique em Sales.
16. No painel de detalhes, clique com o boto direito do mouse em Aaren Ekelund e clique em Excluir.
17. Clique em Sim para confirmar.
18. Clique em OK para confirmar que voc no tem permisses para executar essa tarefa.
20. No painel de detalhes, clique com o boto direito do mouse em Ed Meadows e clique em Excluir.
21. Clique em Sim para confirmar. Voc consegue por ter as permisses necessrias.
Tarefa 4: Adicionar um membro ao grupo Suporte Tcnico da Filial
1. Em LON-DC1, no painel de detalhes, clique com o boto direito do mouse em Bart Duncan
(exemplos), digite Suporte Tcnico da Filial 1 e clique em OK.
3. Na caixa de dilogo Servios de Domnio Active Directory, clique em OK.
4. Feche Usurios e Computadores do Active Directory.
5. Feche o Gerenciador de Servidor.
6. Na rea de trabalho, clique em Gerenciador de Servidor.
7. Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio,
digite ADATUM\Administrador. Na caixa Senha, digite Pa$$w0rd e clique em Sim.
Observao: Para modificar a lista de associao Opers de servidores, voc deve
ter permisses alm das disponveis no grupo Administradores da Filial 1.
8. No Gerenciador de Servidor, clique em Ferramentas.
9. Na lista Ferramentas, clique em Usurios e Computadores do Active Directory.
12. No painel de detalhes, clique com o boto direito do mouse em Suporte Tcnico da Filial 1 e clique
em Adicionar a um grupo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L3-17
(exemplos), digite Opers de servidores, e clique em OK.
14. Na caixa de dilogo Servios de Domnio do Active Directory, clique em OK.
17. Entre como ADATUM\Bart com a senha Pa$$w0rd. Voc pode fazer logon localmente em
um controlador de domnio, pois Bart pertence indiretamente ao grupo de domnio local Opers
de servidores.
18. Na rea de trabalho, clique em Gerenciador de Servidor.
19. Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite Bart.
20. No Gerenciador de Servidor, clique em Ferramentas.
21. Clique em Usurios e Computadores do Active Directory.
24. No painel de detalhes, clique com o boto direito do mouse em Connie Vrettos e clique em Excluir.
25. Clique em Sim para confirmar. Voc no consegue porque Bart no tem as permisses necessrias.
Clique em OK.
26. Clique com o boto direito do mouse em Connie Vrettos e, depois, clique em Redefinir senha.
27. Na caixa de dilogo Redefinir senha, nas caixas Nova senha e Confirmar, digite Pa$$w0rd
e clique em OK.
28. Clique em OK para confirmar a redefinio bem-sucedida da senha.

Resultados: Depois de concluir este exerccio, voc deve ter criado uma unidade organizacional
com xito e delegado a administrao dela ao grupo apropriado.
Exerccio 2: Criao e configurao de contas de usurio no AD DS
Tarefa 1: Criar um modelo de usurio para a filial
1. Na barra de tarefas de LON-DC1, clique no cone do Windows
Explorer.
2. Clique em rea de Trabalho e, em seguida, clique duas vezes em Computador.
3. Clique duas vezes em Disco Local (C:).
4. No menu, clique em Incio e clique em Nova pasta.
5. Digite branch1-userdata e pressione Enter.
6. Clique com o boto direito do mouse em branch1-userdata e clique em Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. Na caixa de dilogo Propriedades de branch1-userdata, na guia Compartilhamento,
clique em Compartilhamento Avanado.
8. Marque a caixa de seleo Compartilhar esta pasta e clique em Permisses.
9. Na caixa de dilogo Permisses para branch1-userdata, marque a caixa de seleo Permisso
para Controle Total e clique em OK.
10. Na caixa de dilogo Compartilhamento Avanado, clique em OK e, na caixa de dilogo
Propriedades de branch1-userdata, clique em Fechar.
do Active Directory, e expanda Adatum.com.
12. Clique com o boto direito do mouse em Filial1, aponte para Novo e clique em Usurio.
13. Na caixa de dilogo Novo Objeto Usurio, na caixa Nome completo, digite _Branch_template.
14. Na caixa Nome de logon do usurio, digite _Branch_template, e clique em Avanar.
15. Nas caixas Senha e Confirmar senha, digite Pa$$w0rd.
16. Marque a caixa de seleo Conta desabilitada e clique em Avanar.
17. Clique em Concluir.
Tarefa 2: Definir as configuraes de modelo
1. Em LON-DC1, na unidade organizacional Filial 1, clique com o boto direito do mouse
em _Branch_template e clique em Propriedades.
2. Na caixa de dilogo Propriedades de _Branch_template, na guia Endereo, na caixa Cidade,
digite Slough.
3. Clique na guia Membro de e clique em Adicionar.
(exemplos), digite Usurios da Filial 1 e clique em OK.
5. Clique na guia Perfil.
6. Na Pasta base, clique em Conectar e, na caixa Para, digite
\\lon-dc1\branch1-userdata\%username%.
7. Clique em Aplicar e clique em OK.
Tarefa 3: Criar um novo usurio para a filial, com base no modelo
1. Em LON-DC1, clique com o boto direito do mouse em _Branch_template, e clique em Copiar.
2. Na caixa de dilogo Copiar Objeto Usurio, na caixa Nome, digite Ed.
3. Na caixa Sobrenome, digite Meadows.
4. Na caixa Nome de logon do usurio, digite Ed, e clique em Avanar.
5. Nas caixas Senha e Confirmar senha, digite Pa$$w0rd.
6. Desmarque a caixa de seleo O usurio deve alterar a senha no prximo logon.
7. Desmarque a caixa de seleo Conta desabilitada e clique em Avanar.
8. Clique em Concluir.
9. Clique com o boto direito do mouse em Ed Meadows, e clique em Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L3-19
10. Na caixa de dilogo Propriedades de Ed Meadows, clique na guia Endereo. Observe que
a propriedade Cidade j est configurada.
11. Clique na guia Perfil. Observe que o local da pasta base j est configurado.
12. Clique na guia Membro de. Observe que Ed pertence ao grupo Usurios da Filial 1. Clique em OK.
Tarefa 4: Entrar como um usurio para testar as configuraes de conta
2. Em seu computador host, na janela 24410B-LON-CL1, no menu, clique em Ctrl+Alt+Delete.
3. Em LON-CL1, clique em Sair.
4. Entre em LON-CL1 como ADATUM\Ed com a senha Pa$$w0rd.
5. Na tela Iniciar, clique em rea de Trabalho.
6. Na barra de tarefas, clique no cone Explorador de Arquivos.
7. No painel de navegao, clique em rea de Trabalho e, no painel de detalhes, clique duas vezes
em Computador.
8. Verifique se a unidade Z est mapeada para \\lon-dc1\branch1userdata\Ed.
9. Clique duas vezes em Ed (\\lon-dc1\branch1-userdata) (Z:).
10. Se no receber nenhum erro, voc ter sido bem sucedido.
11. Em seu computador host, na janela 24410B-LON-CL1, no menu Ao, clique em Ctrl+Alt+Delete.
12. Em LON-CL1, clique em Sair.

Resultados: Depois de concluir este exerccio, voc ter criado e testado com xito uma conta de usurio
criada a partir de um modelo.
Exerccio 3: Gerenciamento de objetos de computador no AD DS
Tarefa 1: Redefinir uma conta de computador
1. Em LON-DC1, entre como ADATUM\Holly com a senha Pa$$w0rd.
2. Na barra de tarefas, clique no Gerenciador de Servidors.
3. Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite Holly.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
7. No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e clique em
Redefinir conta.
8. Na caixa de dilogo Servios de Domnio Active Directory, clique em Sim e clique em OK.
Tarefa 2: Observar o comportamento quando um cliente fizer logon
2. Entre como ADATUM\Ed com a senha Pa$$w0rd.
3. Uma mensagem exibida e informa que ocorreu Falha na relao de confiana entre esta estao
de trabalho e o domnio primrio.
4. Clique em OK.
Tarefa 3: Reingressar o domnio para reconectar a conta de computador
2. Na tela Iniciar, clique com o boto direito do mouse no vdeo, clique em Todos os aplicativos
e, na lista Aplicativos, clique em Painel de Controle.
3. Em Painel de Controle, na lista Exibir por, clique em cones grandes e clique em Sistema.
4. Na lista de navegao, clique em Configuraes avanadas do sistema.
5. Em Propriedades do Sistema, clique na guia Nome do Computador e clique em ID de rede.
6. Na pgina Selecione a opo que descreve sua rede, clique em Avanar.
7. Na pgina A rede da empresa est em um domnio?, clique em Avanar.
8. Na pgina As seguintes informaes sero necessrias, clique em Avanar.
9. Na pgina Digite o nome do usurio, a senha e o nome do domnio para a conta de domnio,
na caixa Senha, digite Pa$$w0rd. Deixe os outros campos preenchidos e clique em Avanar.
10. Na caixa de dilogo Informaes sobre a Conta do usurio e o Domnio, clique em Sim.
11. Na pgina Deseja habilitar uma conta de usurio de domnio nesse computador?, clique em
No adicionar uma conta de usurio de domnio e clique em Avanar.
12. Clique em Concluir e clique em OK.
13. Na caixa de dilogo Microsoft Windows, clique em Reiniciar Agora.
14. Entre como ADATUM\Ed com a senha Pa$$w0rd. Voc foi bem-sucedido, pois o computador
foi reingressado com xito.

Resultados: Depois de concluir este exerccio, voc ter redefinido uma relao de confiana com xito.
1. No computador host, inicie o Gerenciador Hyper-V
.
em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-DC1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L4-21
Mdulo 4: Como automatizar a administrao dos Servios
Laboratrio: Automao da administrao
do AD DS usando o Windows PowerShell
Exerccio 1: Criao de contas de usurio e grupo usando
o Windows PowerShell
Tarefa 1: Criar contas de usurios usando o Windows PowerShell
1. Na barra de tarefas de LON-DC1, clique no cone do Windows PowerShell
.
2. No prompt do Windows PowerShell, digite o seguinte comando e pressione Enter:
New-ADOrganizationalUnit LondonBranch
New-ADUser -Name Ty -DisplayName "Ty Carlson" -GivenName Ty -Surname Carlson -Path
"ou=LondonBranch,dc=adatum,dc=com"
Set-ADAccountPassword Ty
5. Quando a senha atual for solicitada, pressione Enter.
6. Quando a senha desejada for solicitada, digite Pa$$w0rd e pressione Enter.
7. Quando for solicitado que voc repita a senha, digite Pa$$w0rd e pressione Enter.
8. No prompt do Windows PowerShell, digite Enable-ADAccount Ty e pressione Enter.
9. Em LON-CL1, entre como Ty usando uma senha de Pa$$w0rd.
10. Verifique se a entrada foi bem-sucedida e saia de LON-CL1.
Tarefa 2: Criar um grupo usando o Windows PowerShell
1. Em LON-DC1, no prompt do Windows PowerShell, digite o seguinte comando e pressione Enter:
New-ADGroup LondonBranchUsers -Path "ou=LondonBranch,dc=adatum,dc=com" -GroupScope
Add-ADGroupMember LondonBranchUsers -Members Ty
Get-ADGroupMember LondonBranchUsers

Resultados: Depois de concluir este exerccio, voc ter criado contas de usurio e grupos usando
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L4-22 Como automatizar a administrao dos Servios de Domnio do Active Directory
Exerccio 2: Como usar o Windows PowerShell para criar contas de usurio
em massa
Tarefa 1: Preparar o arquivo .csv
1. Na barra de tarefas de LON-DC1, clique no cone do Windows
Explorer.
2. Na janela do Explorador de Arquivos, expanda E, expanda Labfiles e clique em Mod04.
3. Clique com o boto direito do mouse em LabUsers.ps1 e clique em Editar.
4. No ISE (Ambiente de Script Integrado) do Windows PowerShell, leia os comentrios na parte superior
do script e depois identifique os requisitos para o cabealho no arquivo .csv.
5. Feche o ISE do Windows PowerShell.
6. No Explorador de Arquivos, clique duas vezes em LabUsers.csv.
7. Na janela Como deseja abrir este tipo de arquivo (.csv), clique em Bloco de Notas.
8. No Bloco de Notas, digite a seguinte linha na parte superior do arquivo:
FirstName,LastName,Department,DefaultPassword
9. Clique em Arquivo e depois em Salvar.
10. Feche o Bloco de Notas.
Tarefa 2: Preparar o script
1. Em LON-DC1, no Explorador de Arquivos, clique com o boto direito do mouse em LabUsers.ps1
e clique em Editar.
2. No ISE do Windows PowerShell, em Variveis, substitua C:\path\file.csv
por E:\Labfiles\Mod04\LabUsers.csv.
3. Em Variveis, substitua "ou=orgunit,dc=domain,dc=com"
por "ou=LondonBranch,dc=adatum,dc=com".
4. Clique em Arquivo e depois em Salvar.
5. Role para baixo e examine o contedo do script.
6. Feche o ISE do Windows PowerShell.
Tarefa 3: Executar o script
2. No prompt do Windows PowerShell, digite cd E:\Labfiles\Mod04 e pressione Enter.
3. Digite .\LabUsers.ps1 e pressione Enter.
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com"
5. Feche o prompt do Windows PowerShell.
6. Em LON-CL1, entre como Luka usando uma senha de Pa$$w0rd.

Resultados: Depois de concluir este exerccio, voc ter usado o Windows PowerShell para criar contas
de usurio em massa.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L4-23
Exerccio 3: Como usar o Windows PowerShell para modificar contas
de usurio em massa
Tarefa 1: Forar todas as contas de usurio em LondonBranch a alterar suas senhas
no prximo logon
2. No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Format-Wide
DistinguishedName
3. Verifique se apenas os usurios da UO (unidade organizacional) LondonBranch esto listados.
4. No prompt do Windows PowerShell, digite o seguinte comando e pressione Enter:
Get-ADUser -Filter * -SearchBase "ou=LondonBranch,dc=adatum,dc=com" | Set-ADUser -
ChangePasswordAtLogon $true
Tarefa 2: Configurar o endereo para contas de usurio em LondonBranch
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e depois clique em
Central Administrativa do Active Directory.
2. No Centro Administrativo do Active Directory, no painel de navegao, expanda Adatum (local)
e clique duas vezes em LondonBranch.
3. Clique no cabealho de coluna Tipo para classificar com base no tipo de objeto.
4. Selecione todas as contas de usurio, clique nelas com o boto direito do mouse e clique
em Propriedades.
5. Na janela Vrios Usurios, na seo Organizao, marque a caixa de seleo Endereo.
6. Na caixa Rua, digite Filial.
7. Na caixa Cidade, digite Londres.
8. Na caixa Pas/Regio, clique em Reino Unido e depois em OK.
9. Feche o Centro Administrativo do Active Directory.

Resultados: Depois de concluir este exerccio, voc ter modificado contas de usurio em massa.
Quando terminar o laboratrio, retorne todas as mquinas virtuais para o seu estado inicial,
seguindo estas etapas:
.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-CL1
4. Repita as etapas de 2 a 3 para 24410B-LON-DC1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L5-25
Exerccio 1: Identificao de sub-redes apropriadas
Tarefa 1: Calcular os bits obrigatrios para dar suporte aos hosts em cada sub-rede
1. Quantos bits so obrigatrios para dar suporte a 100 hosts na sub-rede do cliente?
Sete bits so obrigatrios para dar suporte a 100 hosts na sub-rede do cliente (2
7
-2=126, 2
6
-2=62).
2. Quantos bits so obrigatrios para dar suporte a 10 hosts na sub-rede do servidor?
Quatro bits so obrigatrios para dar suporte a 10 hosts na sub-rede do servidor (2
4
-2=14,2
3
-2=6).
3. Quantos bits so obrigatrios para dar suporte a 40 hosts na sub-rede de expanso futura?
Seis bits so obrigatrios para dar suporte a 40 hosts na sub-rede de expanso futura (2
6
-2=62,
2
5
-2=30).
4. Se tiverem o mesmo tamanho, todas as sub-redes podero ser acomodadas?
No. Se tiverem o mesmo tamanho, todas as sub-redes devero usar sete bits para dar suporte
a 126 hosts. Apenas um nico endereo de classe C com 254 hosts foi alocado. Trs sub-redes
de 126 hosts no bastariam.
5. Qual recurso permite que uma nica rede seja dividida em sub-redes de tamanhos variados?
O mascaramento de sub-rede de comprimento varivel permite definir mscaras de sub-rede
diferentes na sub-rede. Por isso, o mascaramento de sub-rede de comprimento varivel permite
ter sub-redes de tamanhos variados.
6. Quantos bits de host voc usar em cada sub-rede? Use a alocao mais simples possvel, que
uma sub-rede grande e duas sub-redes menores de mesmo tamanho.
A sub-rede do cliente tem sete bits de host. Isso possibilita at 126 hosts e usa metade do pool
de endereos alocado.
O servidor e as sub-redes de expanso futura tm seis bits de host. Isso possibilita at 62 hosts
em cada sub-rede e usa a outra metade do pool de endereos.
Tarefa 2: Calcular mscaras de sub-rede e IDs de rede
do cliente? Calcule a mscara de sub-rede em binrio e decimal.
A sub-rede do cliente est usando sete bits para a ID do host. Por isso, voc usar 25 bits para
a mscara de sub-rede.
Binrio Decimal
11111111.11111111.11111111.10000000 255.255.255.128
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L5-26 Implementao do IPv4
do servidor? Calcule a mscara de sub-rede em binrio e decimal.
A sub-rede do servidor est usando seis bits para a ID do host. Por isso, voc usar 26 bits para
a mscara de sub-rede.
Binrio Decimal
11111111.11111111.11111111.11000000 255.255.255.192
de expanso futura? Calcule a mscara de sub-rede em binrio e decimal.
A sub-rede de expanso futura est usando seis bits para a ID do host. Por isso, voc usar
26 bits para a mscara de sub-rede.
Binrio Decimal
11111111.11111111.11111111.11000000 255.255.255.192
4. Para a sub-rede do cliente, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do cliente seja a primeira sub-rede alocada
Nesta tabela, os bits em negrito fazem parte da ID da rede.
ID de rede 11000000.10101000.1100010.00000000 192.168.98.0
Primeiro host 11000000.10101000.1100010.00000001 192.168.98.1
ltimo host 11000000.10101000.1100010.01111110 192.168.98.126
Difuso 11000000.10101000.1100010.01111111 192.168.98.127
5. Para a sub-rede do servidor, defina a ID da rede, o primeiro host disponvel, o ltimo host disponvel
e o endereo de difuso. Pressuponha que a sub-rede do servidor seja a segunda sub-rede alocada
ID de rede 11000000.10101000.1100010.10000000 192.168.98.128
Primeiro host 11000000.10101000.1100010.10000001 192.168.98.129
ltimo host 11000000.10101000.1100010.10111110 192.168.98.190
Difuso 11000000.10101000.1100010.10111111 192.168.98.191
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L5-27
6. Para a sub-rede de alocao futura, defina a ID da rede, o primeiro host disponvel, o ltimo host
disponvel e o endereo de difuso. Pressuponha que a sub-rede de alocao futura seja a terceira
sub-rede alocada no pool de endereos disponveis. Calcule as verses binria e decimal de cada
endereo.
ID de rede 11000000.10101000.1100010.11000000 192.168.98.192
Primeiro host 11000000.10101000.1100010.11000001 192.168.98.193
ltimo host 11000000.10101000.1100010.11111110 192.168.98.254
Difuso 11000000.10101000.1100010.11111111 192.168.98.255

Resultados: Depois de concluir este exerccio, voc ter identificado as sub-redes obrigatrias para
atender aos requisitos do cenrio de laboratrio.
Exerccio 2: Soluo de problemas do IPv4
Tarefa 1: Preparar para soluo de problemas
1. Em LON-SVR2, na barra de tarefas, clique no cone do Windows PowerShell
.
2. No prompt do Windows PowerShell, digite ping LON-DC1 e pressione Enter.
3. Abra uma janela do Windows
Explorer e navegue at \\LON-DC1\E$\Labfiles\Mod05.

4. Clique com o boto direito do mouse em Break.ps1, e clique em Executar com o PowerShell.
5. Feche o Explorador de Arquivos.
Tarefa 2: Solucionar problemas de conectividade do IPv4 entre LON-SVR2
e LON-DC1
1. Em LON-SVR2, no prompt do Windows PowerShell, digite ping LON-DC1 e pressione Enter. Observe
que o host de destino inalcanvel.
2. Digite tracert LON-DC1 e pressione Enter. Observe que o host no consegue localizar o gateway
padro, e que ele no o gateway padro que est respondendo.
3. Digite ipconfig e pressione Enter. Observe que o gateway padro est configurado corretamente.
4. Digite ping 10.10.0.1 e pressione Enter. Observe que o gateway padro est respondendo,
mas que os pacotes no esto sendo encaminhados l.
5. Digite Get-NetRoute e pressione Enter. Observe que a entrada do gateway padro (0.0.0.0) est
correta, mas h uma entrada desnecessria para a rede 172.16.0.0.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Digite Remove-NetRoute DestinationPrefix 172.16.0.0/16 e pressione Enter. Isso remove a rota
desnecessria para a rede 172.16.0.0. Em vez disso, o gateway padro ser usado no roteamento.
7. Pressione Se Enter para confirmar a remoo da rota das rotas ativas.
8. Digite ping LON-DC1 e pressione Enter. Observe que o ping agora bem-sucedido.

Resultados: Depois de concluir este laboratrio, voc ter resolvido um problema de conectividade
do IPv4.
1. No computador host, inicie o Gerenciador do Hyper-V
.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L6-29
Mdulo 6: Implementao do protocolo DHCP
Laboratrio: Implementao de DHCP
Exerccio 1: Implementao de DHCP
Tarefa 1: Instalar a funo de servidor DHCP
2. No Gerenciador do Servidor, clique em Adicionar Funes e Recursos.
3. No Assistente de Adio de Funes e Recursos, clique em Prximo >.
4. Na pgina Selecionar tipo de instalao, clique em Prximo >.
5. Na pgina Selecionar servidor de destino, clique em Prximo >.
6. Na pgina Selecionar funes de servidor, marque a caixa de seleo Servidor DHCP.
7. No Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos e em Prximo >.
9. Na pgina Servidor DHCP, clique em Prximo >.
10. Na pgina Confirmar selees de instalao, clique em Instalar.
11. Na pgina Progresso da instalao, aguarde at a mensagem Instalao bem-sucedida
em LON-SVR1.Adatum.com ser exibida e clique em Fechar.
Tarefa 2: Configurar o escopo e as opes DHCP
1. No painel Gerenciador do Servidor, clique em Ferramentas, e em DHCP.
2. No console DHCP, expanda e clique com o boto direito do mouse em lon-svr1.adatum.com,
e clique em Autorizar.
3. No console DHCP, clique com o boto direito do mouse em lon-svr1.adatum.com, e clique
em Atualizar. Observe que os cones prximos a IPv4 IPv6 mudam de cor de vermelho para verde,
o que significa que o servidor DHCP foi autorizado no AD DS
(Active Directory Domain Services).

4. No console DHCP, no painel de navegao, clique em lon-svr1.adatum.com, expanda e clique
com o boto direito do mouse em IPv4, e clique em Novo escopo.
5. No Assistente para Novos Escopos, clique em Avanar.
6. Na pgina Nomo de escopo, na caixa Nome, digite Filiale clique em Avanar.
7. Na pgina Intervalo de endereos IP, preencha a pgina usando as informaes a seguir
e clique em Avanar:
o Endereo IP inicial: 172.16.0.100
o Endereo IP final: 172.16.0.200
o Comprimento: 16
8. Na pgina Adicionar Excluses e Atraso, preencha a pgina usando as seguintes informaes:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L6-30 Implementao do protocolo DHCP
9. Clique em Adicionar e em Avanar.
10. Na pgina Durao da concesso, clique em Avanar.
11. Na pgina Configurar opes de escopo, clique em Avanar.
12. Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 172.16.0.1,
clique em Adicionar e em Avanar.
13. Na pgina Servidor de nomes de domnio e DNS, clique em Avanar.
14. Na pgina Servidores WINS, clique em Avanar.
15. Na pgina Ativar escopo, clique em Avanar.
16. Na pgina Concluindo o Assistente para Novos Escopos, clique em Concluir.
Tarefa 3: Configurar cliente para usar o DHCP e testar a configurao
1. Alternar para o computador LON-CL1.
2. Mova o mouse no canto inferior direito da tela e clique no cone de Pesquisar.
3. Na caixa Pesquisar, digite Painel de Controle e pressione Enter.
4. No Painel de Controle, em Rede e Internet, clique em Exibir o status e as tarefas da rede.
5. Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
6. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local, e clique em
Propriedades.
7. Na janela Propriedades da Conexo Local, clique em Protocolo TCP/IP Verso 4 (TCP/IPv4)
e em Propriedades.
8. Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), selecione o boto
de opo Obter um endereo IP automaticamente, selecione o boto de opo Obter o endereo
dos servidores DNS automaticamente, clique em OK e em Fechar.
9. Mova o mouse no canto inferior direito da tela e clique no cone de Pesquisar.
10. Na caixa Pesquisar, digite Prompt de Comando e pressione Enter.
11. Na janela Prompt de Comando, no prompt de comando, digite ipconfig /renew e pressione Enter.
12. Teste a configurao, verifique se LON-CL1 recebeu um endereo IP do escopo DHCP digitando
ipconfig /all em um prompt de comando.
Esse comando retornar informaes como endereo IP, Mscara de Sub-rede e status do DHCP
habilitado, que deveria ser Sim.
Tarefa 4: Configurar uma concesso como uma reserva
1. Na janela Prompt de Comando, em um prompt de comando, digite ipconfig /all e pressione Enter.
2. Anote o endereo fsico do adaptador de rede de LON-CL1.
4. No painel Gerenciador do Servidor, clique em Ferramentas e em DHCP.
5. No console DHCP, expanda lon-svr1.adatum.com, IPv4, Escopo [172.16.0.0] Filial, expanda
Reservas e clique em Nova reserva.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L6-31
6. Na janela Nova Reserva :
o No campo Nome da reserva, digite LON-CL1.
o No campo Endereo IP, digite 172.16.0.155.
o No campo Endereo MAC, digite o Endereo Fsico anotado na etapa 2.
o Clique em Adicionar e em Fechar.
8. Na janela Prompt de Comando, em um prompt de comando, digite ipconfig /release
e pressione Enter. Isso faz LON-CL1 liberar todos os endereos IP concedidos atualmente.
9. Em um prompt de comando, digite ipconfig /renew e pressione Enter. Isso faz LON-CL1 conceder
qualquer endereo IP reservado.
10. Verifique se o endereo IP de LON-CL1 agora 172.16.0.155.

Resultados: Depois de concluir esse exerccio, voc ter implementado o DHCP, configurado o escopo
e as opes DHCP, alm de uma reserva DHCP.
Para se preparar para o exerccio opcional
Se voc for completar o laboratrio opcional, reverta a mquina virtual 24410B-LON-CL1. Para fazer isso,
.
em Reverter.
Exerccio 2: Implementao de um agente de retransmisso DHCP
(exerccio opcional)
Tarefa 1: Instalar um agente de retransmisso DHCP
1. Alterne para LON-RTR.
2. No Gerenciador do Servidor, clique em Ferramentas e em Roteamento e acesso remoto.
3. No painel de navegao, expanda LON-RTR (local), IPv4, clique com o boto direito do mouse
em Geral e clique em Novo protocolo de roteamento.
4. Na lista Protocolos de roteamento, clique em Agente de Retransmisso DHCP e em OK.
Tarefa 2: Configurar um agente de retransmisso DHCP
1. No painel de navegao, clique com o boto direito do mouse em Agente de Retransmisso DHCP,
e clique em Nova Interface.
2. Na caixa de dilogo Nova Interface para Agente de Retransmisso DHCP, clique em
Conexo Local 2, e em OK.
3. Na caixa de dilogo Propriedades do Propriedades de Retransmisso DHCP Conexo Local 2,
clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L6-32 Implementao do protocolo DHCP
4. Clique com o boto direito do mouse em Agente de Retransmisso DHCP e clique
em Propriedades.
5. Na caixa de dilogo Propriedades do Agente de Retransmisso DHCP, na caixa Endereo
do servidor, digite 172.16.0.21, clique em Adicionar e em OK.
6. Feche Roteamento e Acesso Remoto.
Tarefa 3: Testar o agente de retransmisso DHCP com um cliente
Observao: Para testar como um cliente recebe um endereo IP do agente
de retransmisso DHCP em outra sub-rede, precisamos criar outro escopo DHCP.
2. No painel Gerenciador do Servidor, clique em Ferramentas, e em DHCP.
3. No console DHCP, expanda lon-svr1.adatum.com.
4. No console DHCP, no painel de navegao, clique em lon svr1.adatum.com, expanda IPv4,
clique com o boto direito do mouse em IPv4, e clique em Novo escopo.
5. No Assistente para Novos Escopos, clique em Avanar.
6. Na pgina Nome do escopo, na caixa Nome, digite Filial 2 e clique em Avanar.
7. Na pgina Intervalo de endereos IP, preencha a pgina usando as informaes a seguir
e clique em Avanar:
o Comprimento: 16
8. Na pgina Adicionar Excluses e Atraso, preencha a pgina usando as informaes a seguir,
clique em Adicionar, e clique em Avanar:
9. Na pgina Durao da concesso, clique em Avanar.
10. Na pgina Configurar opes de escopo, clique em Avanar.
11. Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 10.10.0.1,
clique em Adicionar e em Avanar.
12. Na pgina Servidor de nomes de domnio e DNS, clique em Avanar.
13. Na pgina Servidores WINS, clique em Avanar.
14. Na pgina Ativar escopo, clique em Avanar.
15. Na pgina Concluindo o Assistente para Novos Escopos, clique em Concluir.
16. Para testar o cliente, alterne para LON-CL2.
17. Na tela Iniciar, na caixa Iniciar, digite Painel de Controle e pressione Enter.
18. Em Rede e Internet, clique em Exibir o status e as tarefas da rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L6-33
19. Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador,
clique com o boto direito do mouse em Conexo Local, e clique em Propriedades.
20. Na janela Propriedades da Conexo Local, clique em Protocolo TCP/IP Verso 4 (TCP/IPv4)
e em Propriedades.
21. Na caixa de dilogo Propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Obter
um endereo IP automaticamente, em Obter o endereo do servidor DNS automaticamente,
em OK, e em Fechar.
22. Navegue at o canto inferior direito, no menu direita, clique em Pesquisar, digite cmd,
e pressione Enter.
23. Na janela Prompt de Comando, em um prompt de comando, digite ipconfig /renew e
pressione Enter.
24. Verifique se o endereo IP e as configuraes do servidor DNS em LON-CL2 so obtidas do escopo
Servidor DHCP Filial 2, instalado em LON-SVR1.
Observao: O Endereo IP deve ser do seguinte intervalo: 10.10.0.100/16
a 10.10.0.200/16
Resultados: Depois de concluir este exerccio, voc ter implementado um agente de
retransmisso DHCP.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1, 24410B-LON-RTR, e 24410B-LON-CL2.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L7-35
Mdulo 7: Implementao do Sistema de Nomes
de Domnio
Laboratrio: Implementao do DNS
Exerccio 1: Instalao e configurao do DNS
Tarefa 1: Configurar LON-SVR1 como um controlador de domnio sem instalar
a funo de servidor DNS
1. No console Gerenciador do Servidor, clique em Adicionar Funes e Recursos.
2. Na pgina Antes de comear, clique em Prximo.
3. Na pgina Selecionar tipo de instalao, clique em Prximo.
e clique em Prximo.
5. Na pgina Selecionar funes de servidor, selecione Servios de Domnio Active Directory.
6. Quando Assistente de Adio de Funes e Recursos for exibido, clique em Adicionar Recursos
e clique em Prximo.
7. Na pgina Selecionar recursos, clique em Prximo.
8. Na pgina Servios de Domnio Active Directory, clique em Prximo.
10. Na pgina Progresso da instalao, quando a mensagem Instalao bem-sucedida for exibida,
clique em Fechar.
11. No console Gerenciador do Servidor, na pgina de navegao, clique em AD DS.
12. Na barra de ttulo em que Configurao necessria para Servios de Domnio Active Directory
em LON-SVR1 exibida, clique em Mais.
13. Na pgina Todos os Servidores Detalhes e Notificaes de Tarefa, clique em Promover
este servidor a um controlador de domnio.
14. No Assistente de Configurao dos Servios de Domnio Active Directory, na pgina Configurao
de Implantao, verifique se Adicionar um controlador de domnio a um domnio existente
est selecionado e clique em Prximo.
15. Na pgina Opes do Controlador de Domnio, desmarque a caixa de seleo Servidor do sistema
de nomes de domnio (DNS) e deixe a caixa de seleo Catlogo Global (GC) marcada. Digite
Pa$$w0rd em ambos os campos de texto e clique em Avanar.
16. Na pgina Opes Adicionais, clique em Prximo.
17. Na pgina Caminhos, clique em Prximo.
18. Na pgina Examinar Opes, clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L7-36 Implementao do Sistema de Nomes de Domnio
19. Na pgina Verificao de Pr-requisitos, clique em Instalar.
Observao: O servidor LON-SVR1 ser reiniciado automaticamente como parte
do procedimento.
20. Aps a reinicializao de LON-SVR1, entre como ADATUM\Administrador.
Tarefa 2: Criar e configurar uma zona nwtraders.msft em LON-DC1
1. Na mquina LON-DC1, no console Gerenciador do Servidor, clique em Ferramentas e em DNS.
2. Expanda LON-DC1, Zonas de pesquisa direta e selecione Nova Zona.
3. No Assistente de Nova Zona, na pgina Bem-vindo ao 'Assistente de Nova Zona',
clique em Avanar.
4. Na pgina Tipo de zona, desmarque a marca de seleo da opo Armazenar a zona
no Active Directory e clique em Avanar.
5. Na pgina Nome da zona, digite nwtraders.msft e clique em Avanar.
6. Na pgina Arquivo de zona, clique em Avanar.
7. Na pgina Atualizao dinmica, clique em Avanar.
8. Na pgina Concluindo o 'Assistente de Nova Zona', clique em Concluir.
9. Expanda nwtraders.msft e clique em Novo Host (A ou AAAA)
10. Na janela Novo Host, na caixa de texto Nome, digite www.
11. Na caixa Endereo IP, digite 172.16.0.100.
12. Clique em Adicionar Host.
13. Clique em OK e em Concludo.
14. Deixe o console Gerenciador DNS aberto.
Tarefa 3: Revisar configuraes de servio no servidor DNS existente para confirmar
dicas de raiz
1. Em LON-DC1, no console Gerenciador DNS, clique e clique com o boto direito do mouse
em LON-DC1 e clique em Propriedades.
2. Na caixa de dilogo Propriedades de LON-DC1, clique na guia Dicas de raiz. Verifique
se os servidores de dicas de raiz so exibidos.
3. Clique na guia Encaminhadores. Verifique se a lista exibe uma entrada e se a opo Usar dicas
de raiz se encaminhadores no estiverem disponveis est selecionada.
4. Clique em Cancelar.
5. Feche o console Gerenciador DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L7-37
Tarefa 4: Adicione a funo de servidor DNS para a filial no controlador de domnio.
1. Em LON-SVR1, no console Gerenciador do Servidor, clique em Adicionar Funes e Recursos.
2. Na pgina Antes de comear, clique em Prximo.
3. Na pgina Selecionar tipo de instalao, clique em Prximo.
e clique em Prximo.
5. Na pgina Selecionar funes de servidor, selecione Servidor DNS.
6. Quando o Assistente de Adio de Funes e Recursos for exibido, clique em Adicionar Recursos
e em Prximo.
8. Na pgina Servidor DNS, clique em Prximo.
10. Na pgina Progresso da instalao, quando a mensagem Instalao bem-sucedida for exibida,
clique em Fechar.
Tarefa 5: Verificar a replicao da zona integrada ao Active Directory Adatum.com
1. Em LON-SVR1, no console Gerenciador do Servidor, clique em Ferramentas.
2. Na lista de ferramentas, clique em DNS.
3. No console Gerenciador DNS, expanda LON-SVR1, e Zonas de pesquisa direta. Este continer
dever estar vazio.
4. Alterne para Gerenciador do Servidor, clique em Ferramentas, e em Sites e Servios
5. No console Sites e Servios do Active Directory, expanda Sites, Default-First-Site-Name,
Servers, LON-DC1 e clique em NTDS Settings.
6. No painel direita, clique com o boto direito do mouse na conexo de replicao LON-SVR1
e selecione Replicar Agora.
Observao: Se voc receber uma mensagem de erro, passe prxima etapa e repita essa
etapa depois de trs a quatro minutos.
7. No painel de navegao, expanda LON-SVR1 e clique em NTDS Settings.
8. No painel direita, clique com o boto direito do mouse na conexo de replicao LON-DC1,
clique em Replicar Agora, e em OK.
9. Alterne para o console Gerenciador DNS, clique com o boto direito do mouse em Zonas
de pesquisa direta, e clique em Atualizar.
10. Verifique se os contineres _msdcs.Adatum.com e Adatum.com so exibidos.
11. Feche o Gerenciador DNS.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 6: Usar Nslookup para testar a resoluo no local
1. Em LON-SVR1, alterne para a tela Iniciar e digite Painel de Controle. Pressione Enter.
2. No Painel de Controle, clique em Exibir o status e as tarefas da rede.
3. Clique em Alterar as configuraes do adaptador.
4. Clique com o boto direito do mouse em Conexo Local e clique em Propriedades.
5. Clique em Protocolo Internet Verso 4 (TCP/IPv4) e clique em Propriedades.
6. No campo Servidor DNS preferencial, remova o endereo IP, digite 127.0.0.1, clique em OK
e em Fechar.
.
8. Na janela do Windows PowerShell, em um prompt de comando, digite Resolve-DNSName
www.nwtraders.msft, e pressione Enter. Espera-se que voc receba uma mensagem de erro.
9. Deixe a janela do Windows PowerShell aberta.
Tarefa 7: Configurar a resoluo de nomes da Internet a fim de encaminhar
para a matriz
2. No console Gerenciador DNS, clique com o boto direito do mouse em LON-SVR1 e clique
em Propriedades.
3. Na caixa de dilogo Propriedades de LON-SVR1, clique na guia Encaminhadores e em Editar.
4. Na janela Editar Encaminhadores, digite 172.16.0.10 e clique em OK duas vezes.
5. No console Gerenciador DNS, clique com o boto direito do mouse em LON-SVR1, selecione
Todas as Tarefas e clique em Reiniciar.
Tarefa 8: Usar Nslookup para confirmar a resoluo de nomes
1. Em LON-SVR1, alterne para uma janela do Windows PowerShell.
2. Na janela Prompt de Comando, digite nslookup e pressione Enter.
3. No prompt nslookup, digite www.nwtraders.msft e pressione Enter.
4. Verifique se voc recebeu um endereo IP para esse host como uma resposta no autoritativa.
5. Digite quit, e pressione Enter.

Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o DNS em LON-SVR1.
Exerccio 2: Criao de registros de host no DNS
Tarefa 1: Configurar um cliente para usar LON-SVR1 como um servidor DNS
1. Em LON-CL1, entre como ADATUM\Administrador usando a senha Pa$$w0rd.
2. Na tela Iniciar, digite Painel de Controle e pressione Enter.
3. No Painel de Controle, clique em Exibir o status e as tarefas da rede.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L7-39
4. Clique em Alterar as configuraes do adaptador.
5. Clique com o boto direito do mouse em Conexo Local e clique em Propriedades.
6. Na caixa de dilogo Propriedades da Conexo de Local, clique em Protocolo TCP/IP Verso 4
(TCP/IPv4) e em Propriedades.
7. Exclua o endereo IP do Servidor DNS preferencial. Na caixa Servidor DNS preferencial,
digite 172.16.0.21, clique em OK e em Fechar.
Tarefa 2: Criar vrios registros de host no domnio Adatum.com para aplicativos Web
1. Em LON-DC1, no console Gerenciador do Servidor, clique em Ferramentas e em DNS.
2. No console Gerenciador DNS, expanda LON-DC1, Zonas de pesquisa direta e clique em
Adatum.com.
3. Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
4. Na janela Novo Host, defina as seguintes configuraes:
o Nome: www
o Endereo IP: 172.16.0.200
5. Clique em Adicionar Host e em OK.
6. Na janela Novo Host, defina as seguintes configuraes:
o Nome: ftp
o Endereo IP: 172.16.0.201
7. Clique em Adicionar Host, em OK e em Concludo.
Tarefa 3: Verificar a replicao de novos registros para LON-SVR1
1. Em LON-SVR1, no console Gerenciador do Servidor, clique em Ferramentas e em DNS.
2. No console Gerenciador DNS, expanda LON-SVR1, Zonas de pesquisa direta e clique em
Adatum.com.
3. Verifique se os registros de recurso www e ftp so exibidos. (Se eles no forem exibidos, clique com
o boto direito do mouse em Adatum.come clique em Atualizar.) Pode demorar alguns minutos
para que os registros sejam exibidos.
Tarefa 4: Usar o comando ping para localizar novos registros em LON-CL1
1. Em LON-CL1, clique com o boto direito do mouse e clique em Gerenciador de Tarefas.
2. Na janela Gerenciador de Tarefas, clique em Mais detalhes.
3. Abra o menu Arquivo e clique em Executar nova tarefa.
4. Na janela Criar nova tarefa, digite cmd e pressione Enter.
5. Na janela Prompt de Comando, em um prompt de comando, digite ping www.adatum.com
e pressione Enter.
6. Verifique se o nome resolvido para 172.16.0.200. (Voc no receber respostas.)
7. Em um prompt de comando, digite ping ftp.adatum.com e pressione Enter.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
8. Verifique se o nome resolvido para 172.16.0.201. (Voc no receber respostas.)
9. Deixe a janela Prompt de Comando aberta.

Resultados: Depois de concluir este exerccio, voc ter configurado registros DNS.
Exerccio 3: Gerenciamento do cache do servidor DNS
Tarefa 1: Usar o comando ping para localizar um registro da Internet em LON-CL1
1. Em LON-CL1, na janela Prompt de Comando, em um prompt de comando, digite
ping www.nwtraders.msft e pressione Enter.
2. Ping no ir funcionar, mas garantir que o nome seja resolvido para um endereo IP 172.16.0.100.
3. Deixe a janela Prompt de Comando aberta.
Tarefa 2: Atualizar um registro da Internet a fim de apontar para
o endereo IP LON-DC1
1. Em LON-DC1, abra o Gerenciador DNS.
2. No console Gerenciador DNS, expanda LON-DC1, Zonas de pesquisa direta e clique em
nwtraders.msft.
3. No painel direita, clique com o boto direito do mouse em www e clique em Propriedades.
4. Altere o Endereo IP para 172.16.0.10 e clique em OK.
5. Retorne a LON-CL1.
6. Na janela Prompt de Comando, em um prompt de comando, digite ping www.nwtraders.msft
e pressione Enter. Observe que ping no funcionar e que o endereo IP anterior (172.16.0.100)
continuar sendo exibido.
Tarefa 3: Examinar o contedo do cache DNS
2. No console Gerenciador do Servidor, clique em Ferramentas e em DNS.
3. Clique em LON-SVR1, no menu Exibir e em Avanado.
4. Expanda LON-SVR1, o n Pesquisas em cache, .(raiz), msft e clique em nwtraders.
5. No painel direita, examine o contedo armazenado em cache. Voc ver que o registro www
tem o endereo IP: 172.16.0.100.
7. Na janela Prompt de Comando, em um prompt de comando, digite ipconfig /displaydns
e pressione Enter.
8. Procure entradas armazenadas em cache. Voc ver que www.nwtraders.msft est sendo resolvido
para 172.16.0.100.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L7-41
Tarefa 4: Desmarcar o cache e tentar novamente o comando ping
1. Em LON-SVR1, na barra de tarefas, clique no cone do Windows PowerShell.
2. No prompt do Windows PowerShell, digite Clear-DNSServerCache e pressione Enter. Digite S
e pressione Enter.
4. Em uma janela Prompt de Comando, em um prompt de comando, digite ping
www.nwtraders.msft, e pressione Enter. O retorno continuar sendo o endereo IP anterior.
5. Em uma janela Prompt de Comando, digite ipconfig /flushdns e pressione Enter.
6. Na janela Prompt de Comando, digite ping www.nwtraders.msft e pressione Enter.
7. Agora ping deve funcionar no endereo 172.16.0.10.

Resultados: Depois de concluir este exerccio, voc ter examinado o cache do servidor DNS.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas:
.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e clique em
Reverter.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L8-43
Exerccio 1: Configurao de uma rede IPv6
Tarefa 1: Verificar roteamento IPv4
.
2. No prompt do Windows PowerShell, digite ping lon-dc1 e pressione Enter. Observe que existem
quatro respostas de 172.16.0.10.
3. Digite ipconfig, e pressione Enter.
4. Verifique se o nico endereo IPv6 listado um Endereo de link-local que no pode ser
encaminhado.
Tarefa 2: Desabilitar o IPv6 em LON-DC1
1. Em LON-DC1, no Gerenciador do Servidor, clique em Servidor Local.
2. Na janela Propriedades, prxima a Conexo Local, clique em 172.16.0.10, IPv6 habilitado.
3. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique
em Propriedades.
4. Na caixa de dilogo Propriedades da Conexo Local, desmarque a caixa de seleo
Protocolo TCP/IP Verso 6 (TCP/IPv6) e clique em OK.
5. Feche a janela Conexes de Rede.
6. No Gerenciador do Servidor, verifique se Conexo Local lista apenas 172.16.0.10. Voc talvez
precise atualizar a exibio. LON-DC1 agora um host somente IPv4-.
Tarefa 3: Desabilitar o IPv4 em LON-SVR2
1. Em LON-SVR2, no Gerenciador do Servidor, clique em Servidor Local.
2. Na caixa de dilogo PROPRIEDADES, prxima a Conexo Local, clique em 10.10.0.24,
IPv6 habilitado.
3. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local,
e clique em Propriedades.
4. Na caixa de dilogo Propriedades da Conexo Local, desmarque a caixa de seleo
Protocolo TCP/IP Verso 4 (TCP/IPv4) e clique em OK.
6. No Gerenciador do Servidor, verifique se Conexo Local agora lista apenas IPv6 habilitado.
Voc talvez precise atualizar a exibio. LON-SVR2 agora um host somente IPv6-.
Tarefa 4: Configurar uma rede IPv6 em LON-RTR
1. Em LON-RTR, na barra de tarefas, clique no cone do Windows PowerShell.
2. Configure um endereo de rede que ser usado na rede IPv6. No prompt do Windows PowerShell,
digite o seguinte cmdlet e pressione Enter:
New-NetRoute -InterfaceAlias "Conexo Local 2" -DestinationPrefix 2001:db8:0:1::/64 -
Publish Yes
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
3. Permita que os clientes obtenham o endereo de rede IPv6 automaticamente de LON-RTR.
No prompt do Windows PowerShell, digite o seguinte cmdlet e pressione Enter:
Set-NetIPInterface -InterfaceAlias "Conexo Local 2" -AddressFamily IPv6 -Advertising
Enabled
4. Digite ipconfig, e pressione Enter. Observe que Conexo Local 2 agora tem um endereo IPv6
na rede 2001:db8:0:1::/64. Esse endereo usado para comunicao na rede somente IPv6.
Tarefa 5: Verificar IPv6 em LON-SVR2
1. Em LON-SVR2, na barra de tarefas, clique no cone do Windows PowerShell.
2. No prompt do Windows PowerShell, digite ipconfig e pressione Enter Observe que Conexo Local
agora tem um Endereo IPv6 na rede 2001:db8:0:1::/64. O endereo de rede foi obtido do roteador
pela configurao sem estado.

Resultados: Depois de concluir este exerccio, os alunos tero configurado uma rede somente IPv6.
Exerccio 2: Configurao de um roteador ISATAP
Tarefa 1: Adicionar um registro de host ISATAP a DNS
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em DNS.
2. No Gerenciador do Servidor, expanda LON-DC1, Zonas de pesquisa direta e clique em
Adatum.com.
3. Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
4. Na janela Novo Host, na caixa Nome, digite ISATAP.
5. Na caixa Endereo IP, digite 172.16.0.1, e clique em Adicionar Host. Os clientes ISATAP resolvem
esse nome de host para localizar o roteador ISATAP.
6. Clique em OK para limpar a mensagem de xito.
7. Clique em Concludo para fechar a janela Novo Host.
8. Feche o Gerenciador DNS.
Tarefa 2: Habilitar o roteador ISATAP em LON-RTR
1. Em LON-RTR, configure o Endereo IP de Conexo Local como o roteador ISATAP. No prompt
do Windows PowerShell, digite o seguinte comando e pressione Enter:
Set-NetIsatapConfiguration -Router 172.16.0.1
Get-NetIPAddress | Format-Table InterfaceAlias,InterfaceIndex,IPv6Address
3. Registre o InterfaceIndex da interface ISATAP com um endereo IPv6 que inclui 172.16.0.1.
ndice da interface:
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L8-45
Get-NetIPInterface -InterfaceIndex IndexYouRecorded -PolicyStore ActiveStore |
Format-List
5. Verifique se o Forwarding est Enabled para a interface e se esse Advertising est disabled.
6. A interface ISATAP de um roteador ISATAP deve ter encaminhamento e anncio habilitados.
Digite o seguinte comando e pressione Enter:
Set-NetIPInterface -InterfaceIndex IndexYouRecorded -Advertising Enabled
7. Crie uma nova rede IPv6 que ser usada na rede ISATAP. Digite o seguinte comando e pressione
Enter:
New-NetRoute -InterfaceIndex IndexYouRecorded -DestinationPrefix 2001:db8:0:2::/64 -
Publish Yes
8. Exiba a configurao do Endereo IPv6 para a interface ISATAP. Digite o seguinte comando
e pressione Enter:
Get-NetIPAddress -InterfaceIndex IndexYouRecorded
9. Verifique se um Endereo IPv6 est listado na rede 2001:db8:0:2::/64.
Tarefa 3: Remover ISATAP da lista global de consultas no autorizadas
1. Em LON-DC1, no prompt do Windows PowerShell, digite regedit e pressione Enter.
2. Na janela Editor do Registro, expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet,
Services, DNS, clique em Parameters e clique duas vezes em GlobalQueryBlockList.
3. Na janela Editar Cadeia de Caracteres Mltipla, exclua isatape clique em OK.
4. Se um erro for exibido indicando que havia uma cadeia de caracteres vazia, clique em OK
para continuar.
5. Feche o Editor do Registro.
6. No prompt do Windows PowerShell, digite Restart-Service DNS -Verbose e pressione Enter.
7. Digite ping isatap e pressione Enter. O nome deve ser resolvido e voc deve receber quatro
respostas de 172.16.0.1.
Tarefa 4: Habilitar LON-DC1 como um cliente ISATAP
1. Em LON-DC1, no prompt do Windows PowerShell, digite o seguinte comando e pressione Enter:
Set-NetIsatapConfiguration -State Enabled
2. Digite ipconfig e pressione Enter.
3. Verifique se o adaptador Tnel de ISATAP tem um Endereo IPv6 na rede 2001:db8:0:2/64.
Observe que esse endereo inclui o Endereo IPv4 de NYC-DC1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 5: Testar a conectividade
1. Em LON-SVR2, no prompt do Windows PowerShell, digite o seguinte comando e pressione Enter:
ping 2001:db8:0:2:0:5efe:172.16.0.10
2. No Gerenciador do Servidor, se necessrio, clique em Servidor Local.
3. Na caixa de dilogo PROPRIEDADES, prxima Conexo Local, clique em IPv6 habilitado.
4. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local,
e clique em Propriedades.
5. Na caixa de dilogo PROPRIEDADES, clique em Protocolo TCP/IP Verso 6 (TCP/IPv6),
e em Propriedades.
6. Na caixa de dilogo Propriedades de Protocolo TCP/IP verso 6 (TCP/IPv6), clique em
Usar os seguintes endereos de servidor DNS.
7. Na caixa Servidor DNS preferencial, digite 2001:db8:0:2:0:5efe:172.16.0.10, e clique em OK.
8. Na caixa de dilogo Propriedades da Conexo Local, clique em Fechar.
10. No prompt do Windows PowerShell, digite ping LON-DC1 e pressione Enter. Observe que quatro
respostas so recebidas de LON-DC1.
Observao: Um ping de LON-DC1 para LON-SVR2 no responde porque a configurao
do firewall em LON-SVR2 bloqueia solicitaes de ping.

Resultados: Depois de concluir este exerccio, os alunos tero configurado um roteador ISATAP
em LON-RTR para permitir a comunicao entre uma rede somente IPv6 e uma rede somente IPv4.
estas etapas.
.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L9-47
Mdulo 9: Implementao de armazenamento local
Laboratrio: Implementao
de armazenamento local
Exerccio 1: Instalao e configurao de um novo disco
Tarefa 1: Inicializar um novo disco
2. No Gerenciador do Servidor, clique no menu Ferramentas e depois clique em Gerenciamento
do computador.
3. No console Gerenciamento do Computador, no n Armazenamento, clique em Gerenciamento
de disco.
4. No painel Discos, clique com o boto direito do mouse em Disco 2 e depois clique em Online.
5. Clique com o boto direito do mouse em Disco 2 e depois clique em Inicializar Disco.
6. Na caixa de dilogo Inicializar Disco, verifique se a opo Disco2 est selecionada, verifique se todas
as outras caixas de seleo de Disco esto desmarcadas, clique em GPT (Tabela de Partio GUID)
e clique em OK.
Tarefa 2: Criar e formatar dois volumes simples no disco
1. No console Gerenciamento do Computador, em Gerenciamento de Disco, clique com o boto direito
do mouse na caixa preta marcada direita de Disco2 e depois clique em Novo Volume Simples.
2. No Assistente para Novas Parties Simples, na pgina Assistente para Novas Parties Simples,
clique em Prximo.
3. Na pgina Especificar o volume da partio, no campo Tamanho do volume simples em MB,
digite 4000 e clique em Prximo.
4. Na pgina Atribuir uma letra de unidade ou caminho, verifique se a caixa de seleo Atribuir
a seguinte letra de unidade est marcada e se a letra F est selecionada no menu suspenso
e, em seguida, clique em Prximo.
5. Na pgina Formatar partio, no menu suspenso Sistema de arquivos, clique em NTFS, na caixa
de texto Rtulo do volume, digite Volume1 e depois clique em Prximo.
6. Na pgina Concluindo o Assistente para Novas Parties Simples, clique em Concluir.
7. Na janela Gerenciamento de Disco, clique com o boto direito do mouse na caixa preta marcada
direita de Disco2 e depois clique em Novo Volume Simples.
8. No Assistente para Novas Parties Simples, na pgina Assistente para Novas Parties Simples,
clique em Prximo.
9. Na pgina Especificar o volume da partio, no campo Tamanho do volume simples em MB,
digite 5000 e clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L9-48 Implementao de armazenamento local
10. Na pgina Atribuir uma letra de unidade ou caminho, verifique se a caixa de seleo Atribuir
a seguinte letra de unidade est marcada e se a letra G est selecionada na lista suspensa
11. Na pgina Formatar Partio, no menu suspenso Sistema de arquivos, clique em ReFS,
na caixa de texto Rtulo do volume, digite Volume2 e depois clique em Prximo.
12. Na pgina Concluindo o Assistente para Novas Parties Simples, clique em Concluir.
Tarefa 3: Verificar a letra de unidade ema janela do Windows
Explorer
1. Na barra de tarefas, abra uma janela do Explorador de Arquivos, expanda Computador e clique
em Volume1 (F:).
2. No Explorador de Arquivos, clique em Volume2 (G:), clique com o boto direito do mouse
em Volume2 (G:), aponte para Novo e clique em Pasta.
3. No campo Nova pasta, digite Pasta1 e pressione Enter.

Resultados: Aps a concluso deste exerccio, voc ter inicializado um novo disco e, em seguida,
ter criado e formatado dois volumes simples. Voc tambm ter confirmado que as letras de unidade
esto disponveis no Explorador de Arquivos.
Exerccio 2: Redimensionamento de volumes
Tarefa 1: Diminuir o Volume1
1. Em LON-SVR1, alterne para o console Gerenciamento do Computador.
2. No console Gerenciamento do Computador, em Gerenciamento de Disco, no painel do meio,
clique com o boto direito do mouse em Volume1 (F:) e depois clique em Diminuir Volume.
3. Na janela Diminuir F: no campo Digite o espao a diminuir em MB, digite 1000 e depois clique
em Diminuir.
Tarefa 2: Estender o Volume2
1. Em LON-SVR1, em Gerenciamento de Disco, no painel do meio, clique com o boto direito
do mouse em Volume2 (G:) e depois clique em Estender Volume.
2. No Assistente para Extenso de Volumes, na pgina Bem-vindo ao Assistente para Extenso
de Volumes, clique em Avanar.
3. Na pgina Selecionar discos, no campo Selecione o espao em MB, digite 1000 e depois clique
em Avanar.
4. Na pgina Concluindo o Assistente para Extenso de Volumes, clique em Concluir.
5. Em uma janela do Explorador de Arquivos, clique em Volume2 (G:) e verificar se a Pasta1
est disponvel no volume.

Resultados: Depois de concluir este exerccio, voc dever ter um volume menor e estender outro.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L9-49
Exerccio 3: Configurao de um espao de armazenamento redundante
Tarefa 1: Criar um pool de armazenamento a partir de cinco discos conectados
ao servidor
1. Em LON-SVR1, na barra de tarefas, clique no cone Gerenciador do Servidor.
2. No painel esquerdo do Gerenciador do Servidor, clique em Servios de Arquivo e Armazenamento
e, no painel Servidores, clique em Pools de Armazenamento.
3. No painel POOLS DE ARMAZENAMENTO, clique em TAREFAS e, no menu suspenso TAREFAS,
clique em Novo Pool de Armazenamento.
4. Na janela do Assistente de Novo Pool de Armazenamento, na pgina Antes de comear, clique
em Prximo.
5. Na pgina Especifique o nome e o subsistema de um pool de armazenamento, na caixa Nome,
digite PoolDeArmazenamento1 e depois clique em Prximo.
6. Na pgina Selecionar discos fsicos para o pool de armazenamento, clique nos seguintes discos
fsicos e depois clique em Prximo.
o PhysicalDisk3
o PhysicalDisk4
o PhysicalDisk5
o PhysicalDisk6
o PhysicalDisk7
7. Na pgina Confirmar selees, clique em Criar.
8. Na pgina Exibir resultados, aguarde a concluso da tarefa e clique em Fechar.
Tarefa 2: Criar um disco virtual com espelhamento em trs direes
1. Em LON-SVR1, no Gerenciador do Servidor, no painel Espaos de Armazenamento, clique
em PooldeArmazenamento1.
2. No painel DISCOS VIRTUAIS, clique em TAREFAS e, no menu suspenso TAREFAS, clique em
Novo Disco Virtual.
3. Na janela Assistente para Criao de Discos Virtuais, na pgina Antes de comear, clique
em Prximo.
4. Na pgina Selecionar o pool de armazenamento, clique em PoolDeArmazenamento1
e depois clique em Prximo.
5. Na pgina Especifique o nome do disco virtual, na caixa Nome, digite Disco Disco Espelhado
6. Na pgina Selecionar o layout de armazenamento, na lista Layout, clique em Mirror e depois
clique em Prximo.
7. Na pgina Definir as configuraes de resilincia, clique em Espelho triplo e clique em Prximo.
8. Na pgina Especificar o tipo de provisionamento, clique em Dinmico e depois clique
em Prximo.
9. Na pgina Especificar o tamanho do disco virtual, na caixa Tamanho do disco virtual, digite 10
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L9-50 Implementao de armazenamento local
11. Na pgina Exibir resultados, aguarde a concluso da tarefa. Verifique se a caixa de seleo
Criar um volume quando este assistente fechar est marcada e depois clique em Fechar.
12. Na janela do Assistente de Novo Volume, na pgina Antes de comear, clique em Prximo.
13. Na pgina Selecione o servidor e o disco, no painel Disco, clique no disco virtual Disco Espelhado
14. Na pgina Especifique o tamanho do volume, clique em Prximo para confirmar a seleo padro.
15. Na pgina Atribuir a uma letra de unidade ou pasta, no menu suspenso Letra da unidade,
verifique se a letra H est selecionada e clique em Prximo.
16. Na pgina Selecionar configuraes do sistema de arquivos, no menu suspenso Sistema
de arquivos, clique em ReFS, na caixa Rtulo de volume, digite Volume Espelhado e depois
clique em Prximo.
18. Na pgina Concluso, aguarde a concluso da criao e clique em Fechar.
Tarefa 3: Copiar um arquivo para o volume e verificar se ele est visvel
no Explorador de Arquivos
1. Clique para a tela Iniciar, digite prompt de comando e pressione Enter.
2. Na janela de Prompt de Comando, no prompt de comando, digite o comando a seguir
e pressione Enter:
Copy C:\windows\system32\write.exe H:\
4. Na barra de tarefas, clique no cone do Explorador de Arquivos.
5. Na janela do Explorador de Arquivos, clique duas vezes em Volume Espelhado (H:).
6. Verifique se write.exe aparece na lista de arquivos.
Tarefa 4: Remover uma unidade fsica
1. Na mquina Host, no Gerenciador do Hyper-V
, no painel Mquinas Virtuais, clique com o boto

direito do mouse em 24410B-LON-SVR1 e depois clique em Configuraes.
2. Em Configuraes para 24410B-LON-SVR1, no painel Hardware, clique no Disco rgido que comea
com 24410B-LON-SVR1-Disk5.
3. No painel Disco Rgido, clique em Remover e em Aplicar, na caixa de dilogo Configuraes, clique
em Continuar e depois clique em OK.
Tarefa 5: Verificar se o arquivo write.exe ainda est acessvel
3. Na janela do Explorador de Arquivos, clique duas vezes em Volume Espelhado (H:).
4. No painel da lista de arquivos, verifique se write.exe ainda est disponvel.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L9-51
clique no boto Atualizar Pools de Armazenamento. Observe o aviso que exibido
ao lado do Disco Espelhado.
7. No painel DISCO VIRTUAL, clique com o boto direito do mouse em Disco Espelhado e depois
clique em Propriedades.
8. Na caixa de dilogo Propriedades do Disco Espelhado, no painel esquerdo, clique em Integridade.
Observe que o Estado de Integridade indica um Aviso. O Status Operacional deve indicar
Incompleto, Desconhecido ou Degradado.
9. Clique em Ok para fechar a caixa de dilogo Propriedades do Disco Espelhado.
Tarefa 6: Adicionar um novo disco ao pool de armazenamento e remover
um disco quebrado
clique no boto Atualizar Pools de Armazenamento.
3. No painel POOLS DE ARMAZENAMENTO, clique com o boto direito do mouse em
PoolDeArmazenamento1 e depois clique em Adicionar Disco Fsico.
4. Na janela Adicionar Disco Fsico, clique em PhysicalDisk8 (LON-SVR1) e clique em OK.
5. No painel DISCOS FSICOS, clique com o boto direito do mouse no disco que exibe um aviso
ao lado e depois clique em Remover Disco.
6. Na janela Remover Disco Fsico, clique em Sim. Clique em OK.
7. No painel POOLS DE ARMAZENAMENTO, na barra de menus, clique no boto Atualizar Pools
de Armazenamento para ver os avisos que desaparecem.

Resultados: Aps a concluso deste laboratrio, voc ter criado um pool de armazenamento e
adicionado cinco discos a ele. Em seguida, voc ter criado um disco virtual de provisionamento dinmico
com espelhamento em trs direes a partir desse pool de armazenamento. Voc tambm ter copiado
um arquivo para o novo volume e confirmado que ele acessvel. Em seguida, aps a remoo de uma
unidade fsica, voc ter verificado que o disco virtual ainda estava disponvel e acessvel. Finalmente,
voc ter adicionado outro disco fsico ao pool de armazenamento.
Quando voc concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-DC1 e depois
clique em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-SVR1.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L10-53
Mdulo 10: Implementao de servios de arquivo
e impresso
Laboratrio: Implementao de servios
de arquivo e impresso
Exerccio 1: Criao e configurao de um compartilhamento de arquivos
Tarefa 1: Criar a estrutura de pastas para o novo compartilhamento
1. Em LON-SVR1, na barra de tarefas, clique no cone do Windows
Explorer.
2. Em uma janela do Explorador de Arquivos, no painel de navegao, expanda Computador e clique
em Allfiles (E:).
3. Na barra de ferramentas do menu, clique em Incio, clique em Nova pasta, digite Dados
e pressione Enter.
4. Clique duas vezes na pasta Dados.
5. Na barra de ferramentas do menu, clique em Incio, clique em Nova pasta, digite Development
e pressione Enter.
6. Repita a etapa 5 para os novos nomes de pasta a seguir:
Marketing
Research
Sales
Tarefa 2: Configurar permisses NTFS na estrutura de pastas
1. No Explorador de Arquivos, navegue at a unidade E, clique com o boto direito do mouse
na pasta Dados e, em seguida, clique em Propriedades.
2. Na caixa de dilogo Propriedades de Dados, clique em Segurana e, em seguida,
clique em Avanadas.
3. Na janela Configuraes de Segurana Avanadas para Dados, clique em Desabilitar herana.
4. Na caixa de dilogo Bloquear Herana, clique em Converter as permisses herdadas
em permisses explcitas no objeto.
5. Clique em OK para fechar a janela Configuraes de Segurana Avanadas de Dados.
6. Clique em OK para fechar a caixa de dilogo Propriedades de Dados.
7. No Explorador de Arquivos, clique duas vezes na pasta Dados.
8. Clique com o boto direito do mouse na pasta Development e, em seguida, clique
em Propriedades.
9. Na janela Propriedades de Desenvolvimento, clique em Segurana e, em seguida,
clique em Avanadas.
10. Na janela Configuraes de Segurana Avanadas de Desenvolvimento, clique em
Desabilitar herana.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L10-54 Implementao de servios de arquivo e impresso
11. Na caixa de dilogo Bloquear Herana, clique em Converter as permisses herdadas
em permisses explcitas neste objeto.
12. Remova as duas entradas de permisses para Usurios (LON-SVR1\Usurios) e clique em OK.
13. Na guia Segurana, clique em Editar.
14. Na janela Permisses para Desenvolvimento, clique em Adicionar.
15. Digite Development, clique em Verificar nomes e clique em OK.
16. Marque a caixa de seleo para Permitir Modificar na seo Permisses para Development.
17. Clique em OK para fechar a janela Permisses para Desenvolvimento.
18. Clique em OK para fechar a janela Propriedades de Desenvolvimento.
19. Repita as etapas 8 a 18 para as pastas Marketing, Research e Sales, atribuindo permisses Modificar
aos grupos Marketing, Research e Sales para suas respectivas pastas.
Tarefa 3: Criar a pasta compartilhada
1. No Explorador de Arquivos, navegue at a unidade E, clique com o boto direito do mouse na pasta
Dados e, em seguida, clique em Propriedades.
2. Na caixa de dilogo Propriedades de Dados, clique na guia Compartilhamento e, em seguida,
clique em Compartilhamento Avanado.
3. Na janela Compartilhamento Avanado, marque a caixa de seleo Compartilhar a pasta e clique
em Permisses.
4. Na janela Permisses para Dados, clique em Adicionar.
5. Digite Usurios autenticados, clique em Verificar nomes e, em seguida, clique em OK.
6. Na janela Permisses para Dados, clique em Usurios autenticados e, em seguida, marque a caixa
de seleo Permitir para a permisso Alterao.
7. Clique em OK para fechar a janela Permisses para Dados.
8. Clique em OK para fechar a janela Compartilhamento Avanado.
9. Clique em Fechar para fechar a caixa de dilogo Propriedades de Dados.
Tarefa 4: Testar o acesso pasta compartilhada
Observao: Bernard no membro do grupo Desenvolvimento.
2. Na tela Iniciar, clique no bloco rea de Trabalho.
4. No Explorador de Arquivos, na barra de endereos, digite \\LON-SVR1\Dados e pressione Enter.
5. Clique duas vezes na pasta Development.
Observao: Bernard no deve ter acesso pasta Desenvolvimento.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L10-55
6. Tente acessar as pastas Marketing, Research e Sales. As permisses NTFS nessas pastas
lhe impediro de fazer isso.
Observao: Porm, embora Bernard ainda possa ver as outras pastas, ele no tem acesso
ao seu contedo.
7. Saia de LON-CL1.
Tarefa 5: Habilitar a enumerao baseada em acesso
2. Na barra de tarefas, clique no cone Gerenciador do Servidor.
3. No Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo
e Armazenamento.
4. Na pgina Servios de Arquivo e Armazenamento, no painel de navegao, clique em
Compartilhamentos.
5. No painel Compartilhamentos, clique com o boto direito do mouse em Dados e, em seguida,
6. Clique em Configuraes e marque a caixa de seleo Habilitar enumerao baseada em acesso.
7. Clique em Ok para fechar a caixa de dilogo Propriedades de Dados.
8. Feche o Gerenciador do Servidor.
Tarefa 6: Testar o acesso ao compartilhamento
2. Clique no bloco rea de Trabalho.
4. No Explorador de Arquivos, na barra de endereos, digite \\LON-SVR1\Dados e pressione Enter.
Observao: Bernard agora pode exibir apenas a pasta Desenvolvimento, a pasta para
a qual ele recebeu permisses.
5. Clique duas vezes na pasta Desenvolvimento.
Observao: Bernard no deve ter acesso pasta Desenvolvimento.
6. Saia de LON-CL1.
Tarefa 7: Desabilitar Arquivos Offline para o compartilhamento
3. No Explorador de Arquivos, navegue at a unidade E, clique com o boto direito do mouse
na pasta Dados e, em seguida, clique em Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Na caixa de dilogo Propriedades de Dados, clique na guia Compartilhamento, clique em
Compartilhamento Avanado e, em seguida, clique em Cache.
5. Na janela Configuraes Offline, clique em Nenhum arquivo ou programa da pasta
compartilhada fica disponvel offline e, em seguida, clique em OK.
6. Clique em OK para fechar a janela Compartilhamento Avanado.
7. Clique em Fechar para fechar a caixa de dilogo Propriedades de Dados.

Resultados: Depois de concluir este exerccio, voc ter criado uma nova pasta compartilhada
para ser usada por vrios departamentos.
Exerccio 2: Configurao de cpias de sombra
Tarefa 1: Configurar cpias de sombra para o compartilhamento de arquivos
3. Navegue at a unidade E, clique com o boto direito do mouse em Allfiles (E:) e, em seguida,
4. Na caixa de dilogo Propriedades de Allfiles (E:) da unidade, na guia Cpias de Sombra,
clique na unidade E e, em seguida, clique em Habilitar.
5. Na caixa de dilogo Habilitar Cpias de Sombra, clique em Sim.
6. Na caixa de dilogo Propriedades de Allfiles (E:) Cpias de Sombra da unidade, na guia Cpias
de Sombra, clique em Configuraes.
7. Na caixa de dilogo Configuraes, clique em Agendar. Isso abrir a caixa de dilogo da unidade E.
8. Na caixa de dilogo Allfiles (E:) da unidade, altere Agendar Tarefa para Diariamente, altere Hora
de incio para 00:00 e clique em Avanado.
9. Na caixa de dilogo Opes avanadas de agendamento, selecione Repetir a tarefa e defina
a frequncia para A cada 1 horas.
10. Selecione Hora e altere o valor de hora para 23:59.
11. Clique em OK duas vezes.
12. Clique em OK para fechar a caixa de dilogo Configuraes.
13. Deixe a caixa de dilogo Cpias de Sombra da unidade aberta; ela ser aberta na guia Cpias
de Sombra.
Tarefa 2: Criar vrias cpias de sombra de um arquivo
3. Navegue at a pasta E:\Dados\Development.
4. Na barra de ferramentas de menu, clique em Incio, clique em Novo item e, em seguida, clique
em Documento de Texto.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L10-57
5. Digite Relatrio e pressione Enter.
6. Retorne caixa de dilogo Propriedades de Allfiles (E:) Cpias de Sombra; ela ainda deve estar
aberta na guia Cpias de Sombra. Clique em Criar Agora.
Tarefa 3: Recuperar um arquivo excludo de uma cpia de sombra
1. Em LON-SVR1, retorne janela do Explorador de Arquivos.
2. Clique com o boto direito do mouse em Relatrio.txt e, em seguida, clique em Excluir.
3. No Explorador de Arquivos, clique com o boto direito do mouse na pasta Development e,
em seguida, clique em Propriedades.
4. Na caixa de dilogo Propriedades de Development, clique na guia Verses Anteriores.
5. Clique na verso de pasta mais recente para Development e, em seguida, clique em Abrir.
6. Confirme se Relatrio.txt est na pasta, clique com o boto direito do mouse em Relatrio.txt
e, em seguida, clique em Copiar.
7. Feche a janela do Explorador de Arquivos recm-aberta.
8. Na outra janela do Explorador de Arquivos, clique com o boto direito do mouse na pasta
Development e, em seguida, clique em Colar.
10. Clique em OK e feche todas as janelas abertas.

Resultados: Depois de concluir este exerccio, voc ter habilitado cpias de sombra no servidor
de arquivos.
Exerccio 3: Criao e configurao de um pool de impressoras
Tarefa 1: Instalar a funo de servidor Servios de Impresso e Documento
1. Em LON-SVR1, na barra de tarefas, clique no atalho Gerenciador do Servidor.
2. No Gerenciador do Servidor, na barra de ferramentas de menu, clique em Gerenciar.
3. Clique em Adicionar Funes e Recursos e clique em Prximo.
4. Clique em Instalao baseada em funo ou recurso e clique em Prximo.
5. Na pgina Selecionar servidor de destino, clique no servidor no qual deseja instalar os Servios
de Impresso e Documento. O servidor padro o local. Clique em Prximo.
6. Na pgina Selecionar funes do servidor, marque a caixa de seleo Servios de impresso e
documento. Na janela Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos
e, em seguida, clique em Prximo na janela Selecionar funes do servidor.
7. Na pgina Selecionar Recursos, clique em Prximo.
8. Na pgina Servios de Impresso e Documentos, examine as Observaes para o administrador
e clique em Prximo.
9. Na pgina Selecionar servios de funo, clique em Prximo at que a pgina Confirmar selees
de instalao seja exibida. Clique em Instalar para instalar os servios de funo necessrios.
10. Clique em Fechar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 2: Instalar uma impressora
1. Em LON-SVR1, no Gerenciador do Servidor, clique em Ferramentas e, em seguida, clique
em Gerenciamento de Impresso.
2. Expanda Servidores de Impressora, expanda LON-SVR1 (local), clique com o boto direito do
mouse em Impressoras e, em seguida, clique em Adicionar Impressora. O Assistente de Instalao
de Impressora de Rede iniciado.
3. Na pgina Assistente de Instalao de Impressora de Rede, clique em Adicionar
uma Impressora TCP/IP ou Servios da Web usando o endereo IP ou nome de host e,
em seguida, clique em Prximo.
4. Altere o Tipo de Dispositivo para Dispositivo TCP/IP.
5. Na caixa Nome do host ou endereo IP, digite 172.16.0.200, limpe a caixa de seleo Detectar
automaticamente o driver de impressora a ser usado e clique em Prximo.
6. Em Tipo de dispositivo, clique em Generic Network Card e, em seguida, clique em Prximo.
7. Clique em Instalar um novo driver e, em seguida, clique em Prximo.
8. Clique em Microsoft como o Fabricante, em Impressoras, clique em Microsoft XPS Class Driver
9. Altere o Nome da Impressora para Impressora e, em seguida, clique em Prximo.
10. Clique em Prximo duas vezes para aceitar o nome de impressora padro e o nome
de compartilhamento e para instalar a impressora.
11. Clique em Concluir para fechar o Assistente de Instalao de Impressora de Rede.
12. Clique em Impressoras no painel de navegao se necessrio, e no console Gerenciamento
de Impresso, clique com o boto direito do mouse na Impressora da Filial e, em seguida,
clique em Habilitar Impresso Direta na Filial.
13. No console Gerenciamento de Impresso, clique com o boto direito do mouse na Impressora
da Filial e, em seguida, selecione Propriedades.
14. Clique na guia Compartilhamento, marque a caixa de seleo Listar no diretrio e clique em OK.
Tarefa 3: Configurar o pool de impressoras
1. No console Gerenciamento de Impresso, em LON-SVR1, clique com o boto direito do mouse
em Portas e, em seguida, clique em Adicionar Porta.
2. Na janela Portas de Impressora, clique em Standard TCP/IP Port e, em seguida, clique
em Nova Porta.
3. No Assistente para Adicionar Porta de Impressora TCP/IP Padro, clique em Prximo.
4. No campo Nome da Impressora ou Endereo IP, digite 172.16.0.201 e clique em Prximo.
5. Na janela So necessrias mais informaes sobre a porta, clique em Prximo.
6. Clique em Concluir para fechar o Assistente para Adicionar Porta de Impressora TCP/IP Padro.
7. Clique em Fechar para fechar a janela Portas de Impressora.
8. No console Gerenciamento de Impresso, clique em Impressoras, clique com o boto direito
do mouse em Impressora da Filial e, em seguida, clique em Propriedades.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L10-59
9. Na pgina Propriedades de Impressora da Filial, clique na guia Portas, marque a caixa de seleo
Ativar pool de impresso e clique na porta 172.16.0.201 para selecion-la como a segunda porta.
10. Clique em OK para fechar a pgina Propriedades de Impressora da Filial.
11. Feche o Console Gerenciamento de Impresso.
Tarefa 4: Instalar uma impressora em um computador cliente
2. Em LON-CL1, aponte para a parte inferior esquerda da tela e clique no boto Iniciar.
3. Na caixa Iniciar, digite Painel de Controle e pressione Enter.
4. Em Painel de Controle, em Hardware e Sons, clique em Adicionar um dispositivo.
5. Na janela Adicionar dispositivo, clique em Impressora da Filial em LON-SVR1 e, em seguida,
clique em Prximo. O dispositivo instalado automaticamente.

Resultados: Depois de concluir este exerccio, voc ter instalado a funo de servidor Servios
de Impresso e Documento e instalado uma impressora com o pool de impressoras.
estas etapas.
.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24410B-LON-SVR1
e, em seguida, clique em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-CL1 e 24410B-LON-DC1.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L11-61
Mdulo 11: Implementao da Poltica de Grupo
Laboratrio: Implementao da Poltica
de Grupo
Exerccio 1: Configurao de um Repositrio Central
Tarefa 1: Exibir o local dos modelos administrativos em um GPO (Objeto de Poltica
de Grupo)
1. Entre em LON-DC1 como Administrador com a senha Pa$$w0rd.
2. No Gerenciador do Servidor, clique em Ferramentas e, em seguida, clique em Gerenciamento
de Poltica de Grupo.
3. No GPMC (Console de Gerenciamento de Poltica de Grupo), expanda Floresta: Adatum.com,
expanda Domnios, expanda Adatum.com e, em seguida, expanda a pasta Objetos de Poltica
de Grupo.
4. Clique com o boto direito do mouse em Default Domain Policy e clique em Editar.
5. No Editor de Gerenciamento de Poltica de Grupo, expanda a Default Domain Policy, expanda
Configurao do Usurio, expanda Polticas e, em seguida, clique em Modelos Administrativos.
6. Aponte o mouse sobre a pasta Modelos Administrativos e observe que o local Modelos
Administrativos: definies de polticas (arquivos .admx) recuperadas do computador local.
7. Feche o Editor de Gerenciamento da Poltica de Grupo.
Tarefa 2: Criar um repositrio central
1. Na barra de tarefas, clique no cone do Windows
Explorer.
2. Na janela do Explorador de Arquivos, expanda Disco Local (C:), expanda Windows, expanda
SYSVOL, expanda sysvol, expanda Adatum.com e, em seguida, clique duas vezes em Policies.
3. No painel de detalhes, clique com o boto direito do mouse em uma rea em branco, clique
em Novo e, em seguida, clique em Pasta.
4. Nomeie a pasta como PolicyDefinitions.
Tarefa 3: Copiar modelos administrativos para o repositrio central
1. No Explorador de Arquivos, navegue de volta para C:\Windows e abra a pasta PolicyDefinitions.
2. Selecione o contedo inteiro da pasta PolicyDefinitions.
Dica: Clique no painel de detalhes e use as teclas Ctrl+A para selecionar todo o contedo.
3. Clique com o boto direito do mouse na seleo e clique em Copiar.
4. Expanda Disco Local (C:), expanda Windows, expanda SYSVOL, expanda sysvol, expanda
Adatum.com e abra a pasta PolicyDefinitions.
5. Clique com o boto direito do mouse na rea vazia da pasta e clique em Colar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L11-62 Implementao da Poltica de Grupo
Tarefa 4: Verifique o local dos modelos administrativos no GPMC
1. No GPMC, clique com o boto direito do mouse em Default Domain Policy e, em seguida,
clique em Editar.
2. No Editor de Gerenciamento de Poltica de Grupo, expanda Polticas, aponte o mouse sobre a
pasta Modelos Administrativos e exiba o texto de informaes de local. Observe que ele agora
mostra Modelos Administrativos: definies de polticas (arquivos ADMX) recuperadas
do Repositrio Central.

Resultados: Depois de concluir este exerccio, voc ter configurado um Repositrio Central.
Exerccio 2: Criao de GPOs
Tarefa 1: Criar um GPO de incio padro de restrio do Windows Internet Explorer

1. No GPMC, clique com o boto direito do mouse na pasta GPOs de Incio e clique em Novo.
2. Na caixa de dilogo Novo GPO de Incio, no campo Nome, digite Restries do Internet Explorer
e, no campo, Comentrio, digite Este GPO desabilita a pgina Geral em Opes da Internet
e, em seguida, clique em OK.
Tarefa 2: Configurar o GPO de incio de restrio do Internet Explorer
1. No GPMC, expanda a pasta GPOs de Incio, clique com o boto direito do mouse no GPO Restries
do Internet Explorer e, em seguida, clique em Editar.
2. No Editor de Objeto de Poltica de Grupo, expanda Configurao do Usurio,
Modelos Administrativos e, em seguida, clique em Todas as Configuraes.
3. Clique com o boto direito do mouse em Todas as Configuraes e, em seguida, clique em
Opes de filtragem.
4. Na caixa de dilogo Opes de filtragem, marque a caixa de seleo Habilitar Filtros
de Palavra-chave.
5. No campo Filtro para palavra(s): digite Pgina Geral.
6. Na lista suspensa, clique em Exato e, em seguida, clique em OK.
7. Clique duas vezes na configurao Desabilitar a pgina Geral, clique em Habilitado e, em seguida,
clique em OK.
Tarefa 3: Criar um GPO de restries do Internet Explorer a partir do GPO de incio
1. No GPMC, clique com o boto direito do mouse no domnio Adatum.com e, em seguida, clique em
Criar um GPO neste domnio e fornecer um link para ele aqui.
2. Na caixa de dilogo Novo GPO, no campo Nome, digite Restries do IE.
3. Em GPO de Incio de Origem, clique na caixa suspensa, selecione Restries do Internet Explorer
e clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L11-63
Tarefa 4: Testar o GPO para os usurios do domnio
1. Entre em LON-CL1 como Adatum\Brad com a senha Pa$$w0rd.
2. Aponte o mouse para o canto inferior direito da tela e, quando a barra lateral for exibida,
clique no boto Pesquisar.
3. Na caixa de pesquisa Aplicativos, digite Painel de Controle.
4. Nos resultados de Aplicativos, clique em Painel de Controle.
5. No Painel de controle, clique em Rede e Internet.
6. Na caixa de dilogo Rede e Internet, clique em Alterar a home page. Uma caixa de mensagem
exibida informando que esse recurso foi desabilitado.
8. No Painel de Controle, clique em Opes da Internet. Observe que, na caixa de dilogo
Propriedades de Internet, a guia Geral no exibida.
9. Feche todas as janelas abertas e saia.
Tarefa 5: Usar a filtragem de segurana para isentar o Departamento de IT da poltica
2. No GPMC, expanda a pasta Objetos de Poltica de Grupo e, no painel esquerdo, clique na poltica
Restries do IE.
3. No painel de detalhes, clique na guia Delegao.
4. Na guia Delegao, clique no boto Avanado.
5. Na caixa de dilogo Restries do IE, Configuraes de Segurana, clique em Adicionar.
6. No campo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, digite IT e clique
em OK.
7. Na caixa de dilogo Restries do IE, Configuraes de Segurana, clique no grupo
IT (ADATUM\IT), ao lado da permisso Aplicar poltica de grupo, marque a caixa de seleo
Negar e clique em OK.
8. Clique em Sim para confirmar a caixa de dilogo Segurana do Windows.
Tarefa 6: Teste a aplicao do GPO para os usurios do departamento de IT
1. Entre em LON-CL1 como Brad com a senha Pa$$w0rd.
4. Na janela de resultados de Aplicativos, clique no Painel de Controle.
6. Na caixa de dilogo Rede e Internet, clique em Alterar a home page. A caixa de dilogo
Propriedades de Internet aberta para a guia Geral e todas as configuraes esto disponveis.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L11-64 Implementao da Poltica de Grupo
Tarefa 7: Testar a aplicao do GPO para outros usurios do domnio
1. Entre em LON-CL1 como Boris com a senha Pa$$w0rd.
4. Na janela de resultados de Aplicativos, clique no Painel de Controle.
6. Na caixa de dilogo Rede e Internet, clique em Alterar a home page. Uma caixa de mensagem
exibida informando que esse recurso foi desabilitado.
8. Clique em Opes da Internet. Na caixa de dilogo Propriedades de Internet, observe que
a guia Geral no exibida.

Resultados: Aps a concluso deste laboratrio, voc ter criado um GPO.
Quando voc concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas:
.
clique em Reverter.
4. Repita as etapas 2 e 3 para 24410B-LON-CL1.

U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L12-65
Mdulo 12: Proteo de servidores Windows usando
Objetos de Poltica de Grupo
Laboratrio A: Aumento da segurana
de recursos do servidor
Exerccio 1: Como usar a Poltica de Grupo para proteger servidores
membros
Tarefa 1: Criar uma UO (unidade organizacional) de Servidores Membros e mover
servidores at ela
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e depois clique em Usurios
e Computadores do Active Directory.
2. No console Usurios e Computadores do Active Directory, no painel de navegao, clique
com o boto direito do mouse em Adatum.com, clique em Novo e depois clique em
Unidade Organizacional.
3. Na janela Novo Objeto - Unidade Organizacional, na caixa Nome, digite UO de Servidores
Membros e depois clique em OK.
no continer Computers.
5. Pressione e segure a tecla Ctrl. No painel de detalhes, clique em LON-SVR1 e LON-SVR2,
clique com o boto direito do mouse na seleo e depois clique em Mover.
6. Na janela Mover, clique em UO de Servidores Membros e depois clique em OK.
Tarefa 2: Criar um grupo de Administradores de Servidor
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e depois clique em Usurios
2. No console Usurios e Computadores do Active Directory, no painel de navegao, clique com
o boto direito do mouse em UO de Servidores Membros, clique em Novo e depois clique
em Grupo.
3. Na caixa de dilogo Novo Objeto Grupo, no campo Nome do Grupo, digite Administradores
de Servidor e clique em OK.
Tarefa 3: Criar um GPO (Objeto de Poltica de Grupo) de Configuraes de Segurana
de Servidores Membros e vincul-lo UO de Servidores Membros
1. Em LON-DC1, na janela Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento
2. No GPMC (Console de Gerenciamento de Poltica de Grupo), expanda Florestas: Adatum.com,
Domnios e Adatum.com, clique com o boto direito do mouse em Objetos de Poltica de Grupo
e clique em Novo.
3. Na janela Novo GPO, no campo Nome, digite Configuraes de Segurana de Servidores
Membros e depois clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L12-66 Proteo de servidores Windows usando Objetos de Poltica de Grupo
4. Na janela Console de Gerenciamento de Poltica de Grupo, clique com o boto direito do mouse
em UO de Servidores Membros e depois clique em Vincular um GPO Existente.
5. Na janela Selecionar GPO, na janela Objetos de Poltica de Grupo, clique em Configuraes
de Segurana de Servidor Membros e depois clique em OK.
Tarefa 4: Configurar a associao de grupo para administradores locais de forma
a incluir Administradores de Servidor e Administradores de Domnio
1. Em LON-DC1, no GPMC (Console de Gerenciamento de Poltica de Grupo), expanda
Floresta: Adatum.com, Domnios e Adatum.com, clique com o boto direito do mouse
em Default Domain Policy e clique em Editar.
2. Na janela do Editor de Gerenciamento de Polticas de Grupo, em Configurao do Computador,
expanda Polticas, Configuraes do Windows, Configuraes de Segurana e depois clique
em Grupos restritos.
3. Clique com o boto direito do mouse em Grupos restritos e depois clique em Adicionar Grupo.
4. Na caixa de dilogo Adicionar Grupo, no campo Grupo, digite Administradores e clique em OK.
5. Na caixa de dilogo Administradores Propriedades, ao lado de Membros deste grupo, clique
em Adicionar.
6. Na caixa de dilogo Adicionar Membro, digite ADATUM\Administradores de Servidor e clique
em OK.
7. Ao lado de Membros deste grupo, clique em Adicionar.
8. Na caixa de dilogo Adicionar Membro, digite ADATUM\Admins. Do domnio e clique em OK
duas vezes.
Tarefa 5: Verificar se o grupo Administradores do Computador foi adicionado
ao grupo de Administradores local
3. Na barra de tarefas, clique no cone do Windows PowerShell
.
Gpupdate /force
5. Na janela Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento do computador.
6. No console Gerenciamento do Computador, expanda Usurios e Grupos Locais, clique em Grupos
e, em seguida, no painel direito, clique duas vezes em Administradores.
7. Confirme que o grupo Administradores contm tanto ADATUM\Admins. Do domnio
e ADATUM\Administradores de Servidor como membros. Clique em Cancelar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L12-67
para remover Usurios de Permitir logon localmente
2. Em LON-DC1, no GPMC, expanda Floresta: Adatum.com, Domnios e Adatum.com e depois
clique em Objetos de Poltica de Grupo.
3. No painel direita, clique com o boto direito do mouse em Configuraes de Segurana
de Servidores Membros e depois clique em Editar.
expanda Polticas, Configuraes do Windows, Configuraes de segurana, Polticas locais
e depois clique em Atribuio de direitos de usurio.
5. No painel direita, clique com o boto direito do mouse em Permitir logon local e depois clique
em Propriedades.
6. Na caixa de dilogo Propriedades de Permitir logon local, marque a caixa de seleo Definir
estas configuraes de polticas e depois clique em Adicionar usurio ou grupo.
7. Na janela Adicionar o usurio ou grupo, digite Admins. Do domnio e clique em OK.
8. Clique em Adicionar usurio ou grupo.
9. Na janela Adicionar o usurio ou grupo, digite Administradores e clique em OK duas vezes.
para habilitar Controle de Conta de Usurio: Modo de Aprovao de Administrador
para a conta de administrador interno
1. Em LON-DC1, na janela do Editor de Gerenciamento de Polticas de Grupo, em Configurao
do Computador, expanda Polticas, Configuraes do Windows, Configuraes de segurana,
Polticas locais e depois clique em Opes de segurana.
2. No painel direito, clique com o boto direito do mouse em Controle de Conta de Usurio:
Modo de Aprovao de Administrador para a conta de administrador interno e depois
3. Na caixa de dilogo Controle de Conta de Usurio: Modo de Aprovao de Administrador
para a conta de administrador interno, marque a caixa de seleo Definir esta configuraes
de poltica, verifique se o boto de opo Habilitado est selecionado e depois clique em OK.
Tarefa 8: Verificar se um usurio no administrativo no consegue fazer logon
em um servidor membro
Gpupdate /force
4. Saia de LON-SVR1.
5. Tente entrar em LON-SVR1 como ADATUM\Adam com a senha Pa$$w0rd.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
6. Verifique se voc no consegue entrar em LON-SVR1 e se uma mensagem de erro de logon
exibida.
7. Para se preparar para o prximo exerccio, saia de LON-SVR1 e volte a fazer logon em LON-SVR1
como ADATUM\Administrador com a senha Pa$$w0rd.

Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para proteger servidores
Membro.
Exerccio 2: Auditoria do acesso ao sistema de arquivos
para habilitar a auditoria de acesso a objetos
3. No GPMC, expanda Floresta: Adatum.com, Domnios e Adatum.com e depois clique em Objetos
4. No painel direita, clique com o boto direito do mouse em Configuraes de Segurana de
Servidores de Membros e depois clique em Editar.
expanda Polticas, Configuraes do Windows, Configuraes de segurana, Polticas locais,
clique em Poltica de auditoria e, em seguida, no painel direito, clique com o boto direito
do mouse em Auditoria de acesso a objetos e depois clique em Propriedades.
6. Na caixa de dilogo Propriedades de Auditoria de acesso a objetos, marque a caixa de seleo
Definir estas configuraes de poltica, marque as caixas de seleo xito e Falha e depois clique
em OK.
7. Saia de LON-DC1.
Tarefa 2: Criar e compartilhar uma pasta
3. Em LON-SVR1, na barra de tarefas, clique no cone do Explorador de Arquivos.
4. Na janela do Explorador de Arquivos, no painel de navegao, clique em Computador.
5. Na janela Computador, clique duas vezes em Disco Local (C), clique em Incio, clique em Nova
Pasta e depois digite Marketing.
6. Na janela Computador, clique com o boto direito do mouse na pasta Marketing, clique em
Compartilhar com e clique em Pessoas especficas.
7. Na janela Compartilhamento de Arquivos, digite Adam e clique em Adicionar.
8. Altere o Nvel de Permisso para Leitura/Gravao, clique em Compartilhar e depois clique
em Pronto.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L12-69
Tarefa 3: Habilitar a auditoria na pasta Marketing para Usurios de Domnio
1. Em LON-SVR1, na janela Disco Local (C:), clique com o boto direito do mouse na pasta Marketing
e depois clique em Propriedades.
2. Na janela Propriedades de Marketing, clique na guia Segurana e depois clique em Avanadas.
3. Na janela Configuraes de Segurana Avanadas de Marketing, clique na guia Auditoria, clique
em Continuar e depois clique em Adicionar.
4. Na janela Entrada de Auditoria para Marketing, clique em Selecionar uma entidade de segurana.
5. Na janela Selecionar Usurio, Computador, Conta de Conta de Servio ou Grupo, no campo Digite
o nome do objeto a ser selecionado, digite Usurios do domnio e depois clique em OK.
6. Na janela Entrada de Auditoria para Marketing, no menu suspenso Tipo, selecione Tudo.
7. Na janela Entrada de Auditoria para Marketing, na lista Permisses, marque a caixa de seleo
Gravar e depois clique em OK trs vezes.
gpupdate /force
10. Feche a janela do Windows PowerShell.
Tarefa 4: Criar um novo arquivo no compartilhamento de arquivos a partir
de LON-CL1
3. Aponte para o canto inferior direito da tela, clique no boto Pesquisar e, em seguida, na caixa
Pesquisar, digite cmd.
4. Abra uma janela de Prompt de Comando e, no prompt de comando, digite o comando a seguir
e pressione Enter:
gpupdate /force
6. Saia de LON-CL1 e depois entre novamente como ADATUM\Adam com a senha Pa$$w0rd.
7. Aponte para o canto inferior direito da tela, clique no boto Pesquisar e, em seguida, na caixa
Pesquisar, digite \\LON-SVR1\Marketing e pressione Enter.
8. Na janela Marketing, clique em Incio, clique em Novo item, clique em Documento de Texto,
no campo nome do arquivo, digite Funcionrios e pressione Enter.
9. Saia de LON-CL1.
Tarefa 5: Ver os resultados no log de segurana no controlador de domnio
2. Na janela Gerenciador do Servidor, clique em Ferramentas e em Visualizador de Eventos.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
4. Verifique se os seguintes eventos e informaes so exibidos:
Origem: Microsoft Windows security auditing
ID do Evento: 4663
Categoria da tarefa: Sistema de arquivos
Tentativa de acessar um objeto

Resultados: Ao terminar este exerccio, voc dever ter habilitado a auditoria de acesso ao sistema
de arquivos.
Exerccio 3: Auditoria de logons do domnio
Tarefa 1: Modificar o GPO de Poltica de Domnio Padro
3. Em LON-DC1, na barra de tarefas, clique no cone Gerenciador do Servidor.
4. Na janela Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica
de Grupo.
5. Em LON-DC1, no GPMC, expanda Floresta: Adatum.com, Domnios e Adatum.com e depois clique
em Objetos de Poltica de Grupo.
6. No painel direita, clique com o boto direito do mouse em Default Domain Policy e depois clique
em Editar.
expanda Polticas, Configuraes do Windows, Configuraes de segurana, Polticas locais
e depois clique em Poltica de auditoria. No painel direita, clique com o boto direito do mouse
em Auditoria de eventos de logon de conta e depois clique em Propriedades.
8. Na caixa de dilogo Propriedades de Auditoria de eventos de logon de conta, marque a caixa
de seleo Definir estas configuraes de polticas, marque as caixas de seleo xito e Falha
e depois clique em OK.
9. Aponte para o canto inferior direito da tela e clique no boto Pesquisar.
10. Na caixa Pesquisar, digite cmd e pressione Enter.
11. No prompt de comando, digite o comando a seguir e pressione Enter:
gpupdate /force
Tarefa 2: Execute GPUpdate
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L12-71
gpupdate /force
6. Feche a janela Prompt de Comando e saia de LON-CL1.
Tarefa 3: Entrar em LON-CL1 com uma senha incorreta
Entre em LON-CL1 como ADATUM\Adam com a senha Password.
Observao: Essa senha est propositalmente incorreta para gerar uma entrada de log
de segurana que mostra que foi feita uma tentativa mal sucedida de logon.
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e depois em Visualizador
de Eventos.
3. Examine os logs de eventos em busca da seguinte mensagem: ID do Evento 4771 Falha na
pr-autenticao do Kerberos. Informaes da conta: ID de Segurana: ADATUM\Adam.
Tarefa 5: Entrar em LON-CL1 com a senha correta
Entre em LON-CL1 como ADATUM\Adam com a senha Pa$$w0rd.
Observao: Essa senha est correta, e voc deve ser capaz de entrar com sucesso
como Adam.
1. Entre em LON-DC1.
2. Na janela Gerenciador do Servidor, clique em Ferramentas e em Visualizador de Eventos.
4. Examine os logs de eventos em busca da seguinte mensagem: ID do Evento 4624 O logon
de uma conta foi conectada com xito. Novo Logon: ID de Segurana: ADATUM\Adam.

Resultados: Ao terminar este exerccio, voc ter habilitado a auditoria de logon de domnio.
Para se preparar para o prximo laboratrio
Para se preparar para o prximo laboratrio, deixe as mquinas virtuais em execuo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Laboratrio B: Configurao do AppLocker
e do Firewall do Windows
Exerccio 1: Configurao de polticas do AppLocker
Tarefa 1: Criar uma UO para computadores cliente
2. No Gerenciador do Servidor, clique em Ferramentas e depois clique em Usurios e Computadores
3. No console Usurios e Computadores do Active Directory
, no painel de navegao, clique com

o boto direito do mouse em Adatum.com, clique em Novo e depois clique em Unidade
Organizacional.
4. Na janela Novo Objeto - Unidade Organizacional, digite UO de Computadores Cliente e depois
clique em OK.
Tarefa 2: Mover LON-CL1 at a UO de Computadores Cliente
1. Em LON-DC1, no console Usurios e Computadores do Active Directory, no painel de navegao,
clique no continer Computers.
2. No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e depois clique em Mover.
3. Na janela Mover, clique em UO de Computadores Cliente e depois clique em OK.
Tarefa 3: Criar um GPO de controle de software e vincul-lo UO de Computadores
Cliente
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento
2. No GPMC, expanda Florestas: Adatum.com, Domnios e Adatum.com, clique com o boto direito
do mouse em Objetos de Poltica de Grupo e clique em Novo.
3. Na janela Novo GPO, na caixa de texto Nome, digite GPO de Controle de Software e depois clique
em OK.
4. No painel direita, clique com o boto direito do mouse em GPO de Controle de Software e depois
clique em Editar.
expanda Polticas, Configuraes do Windows, Configuraes de segurana, Polticas de
Controle de Aplicativo e depois AppLocker.
6. Em AppLocker, clique com o boto direito do mouse em Regras Executveis e depois clique
em Criar Regras Padro.
7. Repita a etapa anterior para Regras do Windows Installer, Regras de Script e Regras para
aplicativos empacotados.
8. No painel de navegao, clique em AppLocker e, em seguida, no painel direita, clique em
Configurar Imposio de regras.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L12-73
9. Na caixa de dilogo Propriedades do AppLocker, em Regras Executveis, marque a caixa
de seleo Configurado e, no menu suspenso, selecione Somente auditoria.
10. Repita a etapa anterior para Regras do Windows Installer, Regras de Script e Regras
para aplicativos empacotados. Em seguida, clique em OK.
11. No Editor de Gerenciamento de Polticas de Grupo, em Configurao do Computador,
expanda Polticas, Configuraes do Windows e Configuraes de segurana e depois
clique em Servios do sistema e clique duas vezes em Identidade do Aplicativo.
12. Na caixa de dilogo Propriedades de Identidade de Aplicativo, clique em Definir
esta configurao de poltica e, em Selecionar o modo de inicializao do servio,
clique em Automtico e depois clique em OK.
14. No GPMC, clique com o boto direito do mouse em UO de Computadores Cliente e clique
em Vincular com GPO Existente.
15. Na janela Selecionar GPO, na lista Objetos de Poltica de Grupo, clique em GPO de Controle
de Software e depois clique em OK.
Tarefa 4: Executar GPUpdate
4. Na janela de Prompt de Comando, digite o seguinte comando e pressione Enter:
gpupdate /force
6. Aponte para o canto inferior direito da tela, clique no boto Configuraes, clique em
Ligar/Desligar e depois clique em Reiniciar.
Tarefa 5: Executar app1.bat na pasta C:\CustomApp
gpresult /R
Analise o resultado do comando e verifique se o GPO de Controle de Software est exibido
em Configuraes do Computador, Objeto de Poltica de Grupo Aplicados. Se o GPO de Controle
de Software no estiver visvel, reinicie LON-CL1 e repita as etapas de 1 a 4.
C:\CustomApp\app1.bat
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 6: Visualizar eventos do AppLocker
1. Em LON-CL1, aponte para o canto inferior direito da tela, clique no boto Pesquisar e, na caixa
Pesquisar, digite eventvwr.msc e pressione Enter.
2. Na janela do Visualizador de Eventos, expanda Logs de Aplicativos e Servios, Microsoft,
Windows e AppLocker.
3. Clique em MSI e Scripts e analise o log de eventos 8005 que contm o seguinte texto:
%OSDRIVE%\CUSTOMAPP\APP1.BAT permitido para execuo.
Observao: Se nenhum evento for exibido, verifique se o servio de Identidade
de Aplicativo foi iniciado e tente de novo.
Tarefa 7: Criar uma regra que permita a execuo do software a partir
de um local especfico
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento
2. Na janela Gerenciamento de Polticas de Grupo, expanda o n Objetos de Poltica de Grupo,
clique com o boto direito do mouse em GPO de Controle de Software e clique em Editar.
3. Navegue at o seguinte local de definio: Configurao do Computador/Polticas/
Configuraes do Windows/Configuraes de segurana/Polticas de Controle
de Aplicativo/AppLocker.
4. Clique com o boto direito do mouse em Regras de Script e clique em Criar Nova Regra.
5. Na pgina Antes de Comear, clique em Avanar.
6. Na pgina Permisses, selecione o boto de opo Permitir e depois clique em Avanar.
7. Na pgina Condies, selecione o boto de opo Caminho e depois clique em Avanar.
8. Na pgina Caminho, no campo Caminho, digite o caminho %OSDRIVE%\CustomApp\app1.bat
e clique em Avanar.
9. Na pgina Excees, clique em Avanar.
10. Na pgina Nome e Descrio, no campo Nome, digite Regra de Aplicativo Personalizado
e clique em Criar.
Tarefa 8: Modificar o GPO de Controle de Software para impor regras
1. Na janela GPO de Controle de Software, no painel de navegao, clique em AppLocker e,
em seguida, no painel direita, clique em Configurar imposio de regras.
2. Na caixa de dilogo Propriedades do AppLocker, em Regras executveis, marque a caixa
de seleo Configurado e, no menu suspenso, selecione Impor regras.
3. Repita a etapa anterior para Regras do Windows Installer, Regras de Script e Regras para
aplicativos empacotados. Em seguida, clique em OK.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L12-75
Tarefa 9: Verificar se um aplicativo ainda pode ser executado
4. Na janela do prompt de comando, digite o comando a seguir e pressione Enter:
gpupdate /force
6. Aponte para o canto inferior direito da tela, clique no boto Configuraes, clique em
Ligar/Desligar e depois clique em Reiniciar.
7. Entre em LON-CL1 como ADATUM\Tony com a senha Pa$$w0rd.
10. Na janela do prompt de comando, digite o comando a seguir e pressione Enter:
C:\customapp\app1.bat
Tarefa 10: Confirmar que um aplicativo no pode ser executado
1. Em LON-CL1, na barra de tarefas, clique no cone do Windows
Explorer.
2. Na janela do Explorador de Arquivos, no painel de navegao, clique em Computador.
3. Na janela Computador, clique duas vezes em Disco Local (C:), clique duas vezes na pasta
CustomApp, clique com o boto direito do mouse em app1.bat e depois clique em Copiar.
4. Na janela CustomApp, no painel de navegao, clique com o boto direito do mouse na pasta
Documentos e depois clique em Colar.
5. Em uma janela de Prompt de Comando, digite C:\Users\Tony\Documents\app1.bat e pressione
Enter.
6. Confirme que os aplicativos no podem ser executados a partir da pasta Documentos e verifique
se a seguinte mensagem exibida: Este programa est bloqueado por uma poltica de grupo.
Para obter mais informaes, contate o administrador do sistema.
7. Feche todas as janelas abertas e saia de LON-CL1.

Resultados: Ao terminar este exerccio, voc ter configurado polticas AppLocker para todos os usurios
cujas contas de computador esto localizadas na unidade organizacional de Computadores Cliente.
As polticas configuradas devem permitir que esses usurios executem aplicativos que esto localizados
nas pastas C:\Windows e C:\Arquivos de Programas e executem o aplicativo personalizado app1.bat
na pasta C:\CustomApp.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 2: Configurao do Firewall do Windows
Tarefa 1: Criar um grupo denominado Servidores de Aplicativos
2. Na janela Gerenciador do Servidor, clique em Ferramentas e depois clique em Usurios
com o boto direito do mouse em UO de Servidores Membros, clique em Novo e depois
clique em Grupo.
4. Na caixa de dilogo Novo Objeto Grupo, no campo Nome do Grupo, digite Servidor
de Aplicativos e clique em OK.
Tarefa 2: Adicionar LON-SVR1 como membro do grupo
na UO de Servidores Membros, no painel de detalhes, clique com o boto direito do mouse
no grupo Servidor de Aplicativos e depois clique em Propriedades.
2. Na caixa de dilogo Propriedades de Servidor de Aplicativos, clique na guia Membros e depois
clique em Adicionar.
3. Em Selecionar Usurios, Computadores, Contas de Servio ou Grupos, clique em Tipos de Objeto,
clique em Computadores e depois clique em OK.
4. Na caixa Digite os nomes de objeto a serem selecionados, digite LON-SVR1 e depois clique
em OK.
5. Na janela Propriedades do Servidor de Aplicativos, clique em OK.
Tarefa 3: Criar um novo GPO de Servidores de Aplicativos
1. Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica
de Grupo.
2. No GPMC, expanda Florestas: Adatum.com, Domnios e Adatum.com, clique com o boto direito
do mouse em Objetos de Poltica de Grupo e clique em Novo.
3. Na janela Novo GPO, no campo Nome, digite GPO de Servidores de Aplicativos e depois clique
em OK.
4. No GPMC, clique com o boto direito do mouse em GPO de Servidores de Aplicativos e depois
clique em Editar.
5. No Editor de Gerenciamento de Polticas de Grupo, em Configurao do Computador, expanda
Polticas, Configuraes do Windows, Configuraes de segurana e Firewall do Windows
com Segurana Avanada e depois clique em Firewall do Windows com segurana Avanada -
LDAP://CN={GUID}.
6. No Editor de Gerenciamento de Polticas de Grupo, clique em Regras de Entrada.
7. Clique com o boto direito do mouse em Regras de Entrada e depois clique em Nova Regra.
8. No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado
e depois clique em Avanar.
9. Na pgina Programa, clique em Avanar.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L12-77
10. Na pgina Protocolo e Portas, na lista Tipo de protocolo, clique em TCP.
11. Na lista Porta local, clique em Portas especficas, na caixa de texto, digite 8080 e depois clique
em Avanar.
12. Na pgina Escopo, clique em Avanar.
13. Na pgina Ao, clique em Permitir a conexo e depois clique em Avanar.
14. Na pgina Perfil, desmarque as caixas de seleo Particular e Pblico e depois clique em Avanar.
15. Na pgina Nome, na caixa Nome, digite Regra de Firewall do Departamento de Servidor
de Aplicativos e clique em Concluir.
Tarefa 4: Vincular o GPO de Servidores de Aplicativos UO de Servidores Membros
1. Em LON-DC1, no GPMC, clique com o boto direito do mouse em UO de Servidores Membros
e depois clique em Vincular com GPO Existente.
2. Na janela Selecionar GPO, na lista Objetos de Poltica de Grupo, clique em GPO de Servidores
de Aplicativos e depois clique em OK.
Tarefa 5: Usar a filtragem de segurana para limitar o GPO de Servidor de Aplicativos
a membros do grupo Servidor de Aplicativos
1. Em LON-DC1, no GPMC, clique em UO de Servidores Membros.
2. Expanda a UO de Servidores Membros e depois clique no link GPO de Servidores de Aplicativos.
3. Na caixa de mensagem do Console de Gerenciamento de Poltica de Grupo, clique em OK.
4. No painel direita, em Filtros de Segurana, clique em Usurios autenticados e em Remover.
5. Na caixa de dilogo de confirmao, clique em OK.
6. No painel de detalhes, em Filtragem de Segurana, clique em Adicionar.
7. Na caixa de dilogo Selecionar Usurio, Computador ou Grupo, digite Servidor de Aplicativos
e e clique em OK.
Tarefa 6: Executar GPUpdate em LON-SVR1
1. Mude para LON-SVR1 e entre como ADATUM\Administrador.
4. Na janela do prompt de comando, digite o seguinte comando e pressione Enter:
gpupdate /force
6. Reinicie LON-SVR1 e depois faa logon novamente como ADATUM\Administrador com a senha
Pa$$w0rd.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 7: Visualizar as regras de firewall em LON-SVR1
2. No Gerenciador do Servidor, clique em Ferramentas e depois clique em Firewall do Windows
com Segurana Avanada.
3. No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada.
4. No painel direito, verifique se a Regra de Firewall do Departamento de Servidor de Aplicativos
criada anteriormente usando a Poltica de Grupo est configurada.
5. Confirme que voc no consegue editar a Regra de Firewall do Departamento de Servidor
de Aplicativos porque ela est configurada atravs da Poltica de Grupo.

Resultados: Ao terminar este exerccio, voc ter usado a Poltica de Grupo para configurar o Firewall
do Windows com Segurana Avanada para criar regras para servidores de aplicativos.
Quando terminar o laboratrio, retorne as mquinas virtuais para o seu estado inicial, seguindo
estas etapas:
.
clique em Reverter.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L13-79
Mdulo 13: Implementao da virtualizao de servidores
com o Hyper-V
Laboratrio: Implementao da
virtualizao de servidores com o Hyper-V
Exerccio 1: Instalao da funo Hyper-V em um servidor
Tarefa 1: Instalar a funo Hyper-V em um servidor
1. Em LON-HOST1, no Gerenciador do Servidor, clique em Servidor Local.
2. No painel Propriedades, clique no link Endereo IPv4 atribudo por DHCP, IPv6 habilitado.
3. Na caixa de dilogo Ethernet, clique com o boto direito do mouse no objeto de rede e clique
em Propriedades.
4. Na caixa de dilogo Propriedades, clique em Protocolo Internet Verso 4 (TCP/IPv4)
e depois clique em Propriedades.
5. Na caixa de dilogo Propriedades, na guia Geral, clique em Usar o seguinte endereo IP
e depois configure o seguinte:
o Endereo IP: 172.16.0.31
o Gateway padro: 172.16.0.1
6. Na guia Geral, clique em Usar os seguintes endereos de servidor DNS e depois configure
o seguinte:
o Servidor DNS preferencial: 172.16.0.10
7. Clique em OK para fechar a caixa de dilogo Propriedades.
8. Na caixa de dilogo Propriedades do objeto de rede, clique em Fechar.
9. Feche a caixa de dilogo Conexes de Rede.
10. No console Gerenciador do Servidor, no menu Gerenciar, clique em Adicionar Funes e Recursos.
11. No Assistente de Adio de Funes e Recursos, na pgina Antes de comear, clique em Prximo.
12. Na pgina Selecionar tipo de instalao, clique em Instalao baseada em funo ou recurso
13. Na pgina Selecionar servidor de destino, verifique se LON-HOST1 est selecionado e clique
em Prximo.
14. Na pgina Selecionar funes do servidor, selecione Hyper-V.
15. No Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
16. Na pgina Selecionar funes do servidor, clique em Prximo.
18. Na pgina Hyper-V, clique em Prximo.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
L13-80 Implementao da virtualizao de servidores com o Hyper-V
19. Na pgina Ciar Comutadores Virtuais, verifique se nenhuma seleo foi feita e depois clique
em Prximo.
20. Na pgina Migrao de Mquina Virtual, clique em Prximo.
21. Na pgina Repositrios Padro, reveja a localizao dos Repositrios Padro e clique
em Prximo.
22. Na pgina Confirmar selees de instalao, clique em Reiniciar cada servidor de destino
automaticamente, se necessrio.
23. No Assistente de Adio de Funes e Recursos, reveja as mensagens sobre reinicializaes
automticas e depois clique em Sim.
25. Depois de alguns minutos, o servidor reiniciado automaticamente. Certifique-se de reiniciar
a mquina a partir do menu de inicializao como 24410B-LON-HOST1. O computador ser
reiniciado vrias vezes.
Tarefa 2: Concluir a instalao da funo Hyper-V e verificar as configuraes
1. Entre em LON-HOST1 usando a conta Administrador com a senha Pa$$w0rd.
2. Quando a instalao das ferramentas do Hyper-V estiver concluda, clique em Fechar para fechar
3. Na rea de trabalho, na barra de tarefas, clique no cone Gerenciador do Servidor.
4. No console Gerenciador do Servidor, clique no menu Ferramentas e depois em Gerenciador
do Hyper-V.
5. No console Gerenciador do Hyper-V, clique em LON-HOST1.
6. No console Gerenciador do Hyper-V, no painel Aes, com LON-HOST1 selecionado, clique
em Configuraes do Hyper-V.
7. Na caixa de dilogo Configuraes do Hyper-V para LON-HOST1, clique no item Teclado.
Verifique se Teclado est definido como a opo Usar na mquina virtual.
8. Na caixa de dilogo Configuraes do Hyper-V para LON-HOST1, clique no item Discos Rgidos
Virtuais. Verifique se o local da pasta padro para armazenar arquivos de Disco Rgido Virtual
C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks e depois clique em OK.

Resultados: Ao terminar este exerccio, voc ter instalado a funo Hyper-V em um servidor fsico.
Exerccio 2: Configurao de rede virtual
Tarefa 1: Configurar a rede externa
1. No console Gerenciador do Hyper-V, clique em LON-HOST1.
2. No menu Ao, clique em Gerenciador de Comutador Virtual.
3. Na caixa de dilogo Gerenciador de Comutador Virtual para LON-HOST1, clique em
Novo comutador de rede virtual. Verifique se a opo Externo est selecionada e depois
clique em Criar comutador virtual
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L13-81
4. Na rea Propriedades do Comutador Virtual, insira as informaes a seguir e clique em OK:
o Nome: Comutador para Adaptador Externo
o Rede Externa: Mapeada para o adaptador de rede fsico do computador host. (Isso varia
dependendo do computador host.)
5. Na caixa de dilogo Aplicar Alteraes de Rede, examine o aviso e clique em Sim.
Tarefa 2: Criar uma rede privada
1. No Gerenciador do Servidor, no menu Ferramentas, abra o Gerenciador do Hyper-V e clique
em LON-HOST1.
3. Em Comutadores Virtuais, clique em Novo comutador de rede virtual.
4. Em Criar comutador virtual, clique em Particular e depois clique em Criar Comutador Virtual.
5. Na caixa de dilogo Gerenciador de Comutador Virtual, na seo Propriedades do Comutador Virtual,
defina as configuraes a seguir e e clique em OK:
o Nome: Rede Particular
o Tipo de conexo: Rede privada
Tarefa 3: Criar uma rede interna
em LON-HOST1.
3. Em Comutadores Virtuais, clique em Novo comutador de rede virtual.
4. Em Criar comutador virtual, clique em Interno e depois clique em Criar Comutador Virtual.
5. Na caixa de dilogo Gerenciador de Comutador Virtual, na seo Propriedades do Comutador
Virtual, defina as configuraes a seguir e e clique em OK:
o Nome: Rede interna
o Tipo de conexo: Rede interna
Tarefa 4: Configurar o intervalo de endereos MAC (Controle de Acesso Mdia)
em LON-HOST1.
3. Em Configuraes Globais de Rede clique em Intervalo de Endereos MAC.
4. Em configuraes de Intervalo de Endereos MAC, configure os seguintes valores e clique em OK:
o Mnimo: 00-15-5D-0F-AB-A0
o Mximo: 00-15-5D-0F-AB-EF
5. Feche o console Gerenciador do Hyper-V.

Resultados: Ao terminar este exerccio, voc ter configurado opes de comutador virtual
em um servidor Windows Server 2012 fisicamente implantado executando a funo Hyper-V.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Exerccio 3: Criao e configurao de uma mquina virtual
Tarefa 1: Criar VHDs diferenciais
1. Na barra de tarefas, clique no cone do Windows
Explorer.
2. Clique em Computador, expanda a unidade E, expanda Arquivos de Programas, expanda
Microsoft Learning e expanda Base.
Observao: A letra da unidade pode depender do nmero de unidades
na mquina host fsica.
3. Na pasta Base, verifique se a imagem de disco rgido Base12A-WS12-TMP_BR.vhd est presente.
4. Clique na guia Incio e, em seguida, clique no cone Nova Pasta duas vezes para criar duas novas
pastas. Clique com o boto direito do mouse em cada pasta e renomeie as pastas usando
os seguintes nomes:
o LON-GUEST1
o LON-GUEST2
6. No console Gerenciador do Servidor, clique em Ferramentas e depois em Gerenciador do Hyper-V.
7. No console do Gerenciador do Hyper-V, no painel Aes, clique em Novo e em Disco Rgido.
8. No Assistente para Criao de Discos Rgidos Virtuais, na pgina Antes de Comear, clique
em Avanar.
9. Na pgina Escolher Formato de Disco, clique em VHD e depois em Avanar.
10. Na pgina Escolher Tipo de Disco, clique em Diferenciaco e depois em Avanar.
11. Na pgina Especificar Nome e Local, especifique os seguintes detalhes e clique em Avanar:
o Nome: LON-GUEST1.vhd
12. Na pgina Configurar Disco, digite o local: E:\Program Files\Microsoft Learning\Base\
Base12A-WS12-TMP_BR.vhd e clique em Concluir.
13. Na rea de trabalho, na barra de tarefas, clique no cone do Windows PowerShell
.
14. No prompt do Windows PowerShell, digite o comando a seguir para importar o mdulo do Hyper-V
e pressione Enter:
15. No prompt do Windows PowerShell, digite o comando a seguir para criar um novo VHD diferencial
a ser usado com LON-GUEST2 e pressione Enter:
New-VHD " E:\Program Files\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd"
-ParentPath " E:\Program Files\Microsoft Learning\Base\Base12A-WS12-TMP.vhd"
17. No console do Gerenciador do Hyper-V, no painel Aes, clique em Inspecionar Disco.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L13-83
18. Na caixa de dilogo Abrir, navegue at E:\Program Files\Microsoft Learning\Base\LON-GUEST2\,
clique em LON-GUEST2.vhd e depois clique em Abrir.
19. Na caixa de dilogo Propriedades do Disco Rgido Virtual, verifique se LON-GUEST2.vhd
est configurado como VHD diferencial com E:\Program Files\Microsoft Learning\Base\
Base12A-WS12TMP.vhd como pai e e depois clique em Fechar.
Tarefa 2: Criar as mquinas virtuais
em LON-HOST1.
2. No console do Gerenciador do Hyper-V, no painel Aes, clique em Novo e depois clique
em Mquina Virtual.
3. No Assistente para Criao de Mquina Virtual, na pgina Antes de Comear, clique em Avanar.
4. Na pgina Especificar Nome e Local, clique em Armazenar a mquina virtual em outro local,
insira os valores a seguir e clique em Avanar:
o Nome: LON-GUEST1
5. Na pgina Atribuir Memria, insira um valor de 1024 MB, selecione a opo Use a Memria
Dinmica para esta mquina virtual e depois clique em Avanar.
6. Na pgina Configurar Rede da conexo, clique em Rede Particular e depois clique em Avanar.
7. Na pgina Conectar Disco Rgido Virtual, clique em Usar um disco rgido virtual existente.
Clique em Procurar, navegue at E:\Arquivos de Programas\Microsoft Learning\Base\
LON-GUEST1\LON-GUEST1.vhd, click Abrir e clique em Concluir.
8. Na rea de trabalho, na barra de tarefas, clique no cone do Windows PowerShell.
9. No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter para importar
o mdulo do Hyper-V:
10. No prompt do Windows PowerShell, digite o comando a seguir para criar uma nova mquina virtual
denominada LON-GUEST2:
New-VM -Name LON-GUEST2 -MemoryStartupBytes 1024MB -VHDPath "E:\Arquivos de
Programas\Microsoft Learning\Base\LON-GUEST2\LON-GUEST2.vhd" -SwitchName "Rede
Particular"
12. No console Gerenciador do Hyper-V, clique em LON-GUEST2.
13. No painel Aes, em LON-GUEST2, clique em Configuraes.
14. Na caixa de dilogo Configuraes de LON-GUEST2 em LON-HOST1, clique em Ao de Incio
Automtico e defina a Ao de Incio Automtico como Nada.
15. Na caixa de dilogo Configuraes de LON-GUEST2 em LON-HOST1, clique em Ao de Parada
Automtica e defina a Ao de Interrupo Automtica como Desligar o sistema operacional
convidado.
16. Clique em OK para fechar a caixa de dilogo Configuraes de LON-GUEST2 em LON-HOST1.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 3: Habilitar a medio de recursos
2. No prompt do Windows PowerShell, insira o comando a seguir para importar o mdulo do Hyper-V
e pressione Enter:
3. No prompt do Windows PowerShell, insira os comandos a seguir para habilitar a medio de recursos
nas mquinas virtuais, pressionando Enter no final de cada linha:

Resultados: Ao terminar este exerccio, voc ter implantado duas mquinas virtuais separadas usando
um arquivo VHD sysprepped como um disco pai para dois VHDs diferenciais.
Exerccio 4: Uso de instantneos de mquina virtual
Tarefa 1: Implantar o Windows Server 2012 em uma mquina virtual
1. No console Gerenciador do Hyper-V, clique em LON-GUEST1.
2. No painel Aes, clique em Iniciar.
3. Clique duas vezes em LON-GUEST1 para abrir a janela Conexo com Mquina Virtual.
4. Em LON-GUEST1, na janela LON-HOST1 - Conexo de Mquina Virtual, siga estas etapas:
Na pgina Configuraes, marque a caixa de seleo Aceito os termos da licena de uso
do Windows e clique em Aceitar.
Na pgina Configuraes, clique em Avanar para aceitar as configuraes de Regio e Idioma.
Na pgina Configuraes, digite a senha Pa$$w0rd duas vezes e depois clique em Concluir.
5. Em LON-GUEST1, na janela LON-HOST1 - Conexo com Mquina Virtual, no menu Ao, clique
em Ctrl+Alt+Delete.
6. Entre na mquina virtual usando a conta Administrador e a senha Pa$$w0rd.
7. Na mquina virtual, no console Gerenciador do Servidor, clique em Servidor Local e depois clique
no nome aleatoriamente atribudo ao lado do nome do computador.
8. Na caixa de dilogo Propriedades do Sistema, na guia Nome do Computador, clique em Alterar.
9. No campo Nome do Computador, digite LON-GUEST1 e clique em OK.
10. Na caixa de dilogo Alteraes de Nome/Domnio do Computador, clique em OK.
11. Clique em Fechar para fechar a caixa de dilogo Propriedades do Sistema.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
2012 L13-85
Tarefa 2: Criar um instantneo de mquina virtual
1. Entre na mquina virtual LON-GUEST1 usando a conta Administrador e a senha Pa$$w0rd
2. No console Gerenciador do Servidor, clique no n Servidor Local e verifique se o nome do
computador est definido como LON-GUEST1.
3. Na janela Conexo com Mquina Virtual, no menu Ao, clique em Instantneo.
4. Na caixa de dilogo Nome do Instantneo, digite o nome Antes da Alterao e clique em Sim.
Tarefa 3: Modificar a mquina virtual
1. No console Gerenciador do Servidor, clique em Servidor Local e, ao lado de Nome do Computador,
clique em LON-GUEST1.
2. Na caixa de dilogo Propriedades do Sistema, na guia Nome do Computador, clique em Alterar.
3. No campo Nome do Computador, digite LON-Computer1 e clique em OK.
4. Na caixa de dilogo Alteraes de Nome/Domnio do Computador, clique em OK.
5. Feche a caixa de dilogo Propriedades do Sistema.
7. Entre de novo na mquina virtual LON-GUEST1 usando a conta Administrador e a senha Pa$$w0rd
8. No console Gerenciador do Servidor, clique em Servidor Local e verifique se o nome do servidor
est definido como LON-Computer1.
Tarefa 4: Reverter para o instantneo de mquina virtual existente
1. Na janela Conexo com Mquina Virtual, no menu Ao, clique em Reverter.
3. No console Gerenciador do Servidor, no n Servidor Local, na lista Mquinas Virtuais, verifique
se o Nome do Computador est agora definido como LON-GUEST1.
Tarefa 5: Exibir dados de medio de recursos
1. Na barra de tarefas de LON-HOST1, clique no cone do Windows PowerShell.
2. No prompt do Windows PowerShell, insira o comando a seguir e pressione Enter para importar
o mdulo do Hyper-V:
3. No prompt do Windows PowerShell, insira o comando a seguir e pressione Enter para recuperar
as informaes de medio de recursos:
Measure-VM LON-GUEST1
4. Observe os nmeros para CPU mdia, memria RAM mdia e uso total de disco.
5. Feche a janela do Windows PowerShell.
U
S
O

E
X
C
L
U
S
I
V
O

D
E

I
N
S
T
R
U
T
O
R
E
S

M
C
T
.

P
R
O
I
B
I
D
O

O

U
S
O

P
O
R

A
L
U
N
O
S
Tarefa 6: Reverter as mquinas virtuais
Depois de terminar o laboratrio, reinicie o computador no Windows Server 2008 R2.
2. Na janela do Windows PowerShell, insira o comando a seguir e pressione Enter:
Shutdown /r /t 5
3. No Gerenciador de Inicializao do Windows, clique em Windows Server 2008 R2.

Resultados: Ao terminar este exerccio, voc ter usado instantneos de mquina virtual para
recuperar-se de uma configurao incorreta de mquina virtual.

24410B PTB TrainerHandbook

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

24410B PTB TrainerHandbook

Загружено:

Авторское право:

Доступные форматы

P R O D U T O M I C R O S O F T L E A R N I N G O F I C I A L

Official Curriculum) e j publicou mais de 400 artigos em vrias revistas de TI,

, o System Center Virtual Machine Manager (VMM SC)

Server e no Microsoft System Center. Vladimir dedicou 16 anos de experincia

2012audincia, pr-requisitos sugeridos e objetivos do curso.

), servios de rede e a configurao do Microsoft

que desejam adquirir as habilidades e os conhecimentos

2012, tem um mapeamento direto

Hyper-V para realizar os laboratrios.

2012 permite que voc tire

para realizar tarefas administrativas comuns

e o Microsoft System Center. Os clientes

Permite que o servidor opere como um servidor de cache

para conectar-se remotamente a servidores e visualizar informaes

para conectar-se remotamente a servidores

) e seus servios relacionados formam a base para

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

), elas identificam os usurios para fins de autenticao

. Essa interface aprimorada lhe permite executar o gerenciamento

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

2012 implementam uma pilha de protocolos IP de camada dupla,

para configurar o IPv4 usam um valor

para testar a conectividade com um servidor

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

) e NAP (Proteo de Acesso Rede).

, clique em 24410B-LON-DC1 e, no painel Aes,

, no Windows Server 2008 e em todos os sistemas operacionais

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

clientes e servidores desde

. O uso do IPv6 est se tornando mais

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

. A maioria das organizaes exige uma grande quantidade

em execuo o reconhece e ento usar o Gerenciamento de Disco para configurar

Exchange Server e o Microsoft SQL Server

Server 3.1. Ao contrrio do FAT, no existem objetos especiais no disco e no h

, VSS (Servio de Cpias de Sombra de Volume), DFS (Sistema de Arquivos

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

. Um acesso seguro e confivel a arquivos e pastas e recursos de impresso

Explorer. As pastas compartilhadas administrativas

. Voc deve instalar e configurar o BranchCache no servidor

. Cada nova verso introduz novas configuraes e

ou para aplicativos bloqueados.

, havia apenas uma configurao

) tambm esto disponveis no site de download da Microsoft.

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Iniciar.

e, no prompt de comando do Windows PowerShell,

. Uma SRP composta

. Ele tambm pode reduzir o custo total

, clique em 24410B-LON-DC1 e, no painel Aes, clique em Conectar.

estejam implantados. Os tipos de tecnologias de virtualizao que voc seleciona

, voc precisa examinar

2012 e o AD DS (Servios de Domnio Active Directory

. Uma das vantagens

e o poder do processamento de elementos grficos no servidor host

para conectar-se remotamente a servidores

Explorer e navegue at \\LON-DC1\E$\Labfiles\Mod05.

(Active Directory Domain Services).

, no painel Mquinas Virtuais, clique com o boto

, no painel de navegao, clique com

Вам также может понравиться