Академический Документы
Профессиональный Документы
Культура Документы
10221B
L E A R N I N G
P R O D U C T
O F F I C I A L
As informaes includas neste documento, inclusive URLs e referncias a outros sites na Internet, podem
ser alteradas sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, aplicativos de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um acordo de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links para sua convenincia e a incluso de tais links no implica endosso da Microsoft do site ou de
outros produtos l contidos.
2011 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em HYPERLINK
http://www.microsoft.com/about/legal/en/us/IntellectualProperty/Trademarks/EN-US.aspx
http://www.microsoft.com/about/legal/en/us/IntellectualProperty
/Trademarks/EN-US.aspx (em ingls)
so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas pertencem aos
respectivos proprietrios.
ii
iii
iv
vi
vii
viii
ix
Agradecimentos
xi
A Microsoft Learning gostaria de reconhecer e agradecer s pessoas listadas a seguir pela sua colaborao
no desenvolvimento deste ttulo. O esforo dessas pessoas nos diversos estgios do desenvolvimento
assegurou a voc uma boa experincia em sala de aula.
Andrew Warren (MCSE, MCITP e MCT) tem mais de 22 anos de experincia na indstria de TI,
muitos dos quais foram gastos escrevendo e ensinando. Ele o especialista para o curso 6430B para o
Windows Server 2008 e o lder tcnico em inmeros outros cursos. Ele tambm est envolvido nas sesses
do TechNet no Microsoft Exchange Server 2007. Baseado no Reino Unido, ele tem sua prpria empresa
de consultoria, treinamento e educao em TI.
Joe Davies um dos principais escritores do grupo Windows Server Information Experience (WS iX) na
Microsoft. Ele d aulas e escreve sobre sistemas de redes do Windows desde 1992. Ele escreveu inmeros
contedo para treinamentos internos, documentao do produto, white papers, a coluna The Cable Guy
para TechNet e a TechNet Magazine, alm de oito livros da Microsoft Press, incluindo Redes e NAP
(Proteo de Acesso Rede) do Windows Server 2008 o Melhor de Entendendo o IPv6.
Contedo
Mdulo 1: Planejamento e configurao do IPv4
Lio 1: Planejamento de uma infraestrutura de rede IPv4
Lio 2: Viso geral de servios de resoluo de nomes em uma
infraestrutura de rede IPv4
Lio 3: Configurao e soluo de problemas do IPv4
Laboratrio: Planejamento e configurao do IPv4
1-3
1-8
1-15
1-26
2-3
2-11
2-18
2-24
2-35
2-43
2-47
3-3
3-14
3-25
3-34
3-39
3-52
4-3
4-12
4-22
4-28
4-35
4-41
4-46
xii
5-3
5-13
5-25
5-31
5-36
5-48
5-56
5-72
6-3
6-10
6-20
6-29
6-38
7-3
7-12
7-20
7-28
7-35
14-27
Respostas do laboratrio
Mdulo 1, Laboratrio: Planejamento e configurao do IPv4
Mdulo 2, Laboratrio: Configurao e soluo de problemas
da funo Servidor DHCP
Mdulo 3, Laboratrio: Configurao e soluo de problemas de DNS
Mdulo 4, Laboratrio A: Configurao de um roteador ISATAP
Mdulo 4, Laboratrio B: Converso da rede em IPv6 nativo
Mdulo 5, Laboratrio A: Configurao e gerenciamento
do acesso rede
Mdulo 5, Laboratrio B: Configurao e gerenciamento do DirectAccess
Mdulo 6, Laboratrio: Configurao e gerenciamento do
Servidor de Diretivas de Rede
Mdulo 7, Laboratrio: Implementao da NAP em uma
soluo de acesso remoto VPN
L1-1
L2-9
L3-17
L4-25
L4-31
L5-35
L5-42
L6-61
L7-67
xiii
Esta seo apresenta uma breve descrio do curso, do pblico-alvo, dos pr-requisitos sugeridos e dos
seus objetivos.
Descrio do curso
xv
O propsito deste curso de cinco dias fornecer o conhecimento e as habilidades necessrios para
configurar infraestrutura de rede do Windows Server 2008 e Windows Server 2008 R2 Sp1, bem como
para resolver os problemas relacionados. Ele abordar as tecnologias de rede mais frequentemente
usadas com o Windows Server 2008 e o Windows Server 2008 R2 Sp1, como DNS, DHCP, endereamento
de rede IPv4 e IPv6, servidor de Diretivas de Rede e Proteo de Acesso Rede, bem como a configurao
do acesso seguro rede. O curso tambm abordar as tecnologias de armazenamento de tolerncia a
falhas, o Armazenamento de Rede e o acesso remoto e de roteamento, alm de outras tecnologias
relevantes.
Depois de conclurem este curso, os alunos sero capazes de configurar e solucionar problemas das
infraestruturas de rede do Windows Server 2008 e do Windows Server 2008 R2 Sp1.
Pblico-alvo
Este curso ser interessante e til aos participantes com diferentes experincias e aspiraes de carreira.
Ele ser interessante aos administradores de rede que atualmente esto trabalhando, ou que trabalharo,
com os servidores Windows Server 2008. Ele tambm ser interessante e til aos especialistas em
tecnologia do Active Directory que aspiram o cargo de administradores corporativos (operaes de rede
dirias da camada 4) ou aos administradores de servidores experientes que aspiram o cargo de
administradores corporativos.
Esse curso tambm ser til aos administradores de rede da rea de armazenamento que precisam
entender essas informaes para implantar ou ampliar
a respectiva infraestrutura de armazenamento atual e aos gerentes de operaes que precisam dessas
informaes para oferecer suporte
aos esforos de soluo de problemas e s decises de negcios.
Pr-requisitos do aluno
Este curso exige que voc atenda aos seguintes pr-requisitos:
Conhecimento intermedirio dos sistemas operacionais Windows. Voc deve ter uma
compreenso de nvel intermedirio do Windows Server 2003, Windows Server 2008 ou
Windows Server 2008 R2 e dos sistemas operacionais do cliente Windows, como o Windows Vista ou
o Windows 7. O conhecimento de sistemas operacionais cliente equivalente aos certificados abaixo
seria til.
Exame 70-680: TS: Windows 7, Configurao
ou
Exame 70-620: TS: Windows Vista, Configurao
Conhecimento bsico de rede. Voc deve entender como o TCP/IP funciona e ter uma noo bsica
sobre endereamento, resoluo de nomes (DNS [Sistema de Nomes de Domnio]/WINS [Servio de
Cadastramento na Internet do Windows]), mtodos de conexo (com fio, sem fio, VPN [rede virtual
privada]) e NET+ ou conhecimento equivalente.
Objetivos do curso
Depois de concluir este curso, os alunos sero capazes de:
Configurar e fazer a transao para o IPv6, bem como solucionar problemas relacionados.
Instalar e configurar o servio de funo Servidor de Diretivas de Rede, bem como solucionar
problemas relacionados.
Implementar os recursos de segurana para ajudar a aumentar a segurana do Windows Server 2008
e no Windows Server 2008 R2 Sp1.
Recuperar dados nos servidores Windows Server 2008 e Windows Server 2008 R2 Sp1.
xvi
xvii
Descrio do curso
Esta seo fornece um resumo do curso:
Mdulo 1: Planejamento e configurao do IPv4. Para implantar e configurar servios de rede na sua
organizao, importante entender os conceitos bsicos que fundamentam muitos desses servios. Este
mdulo explica como implantar um esquema de endereamento IPv4, a determinar quais servios de
nome devem ser implantados e a solucionar problemas relacionadas rede.
Mdulo 2: Configurao e soluo de problemas de DHCP. O protocolo DHCP tem uma importante
funo na infraestrutura do Windows Server 2008 R2. Ele o principal meio de distribuio de
importantes informaes sobre configurao de rede para os clientes da rede, alm de fornecer
informaes sobre configurao a outros servios habilitados para rede, incluindo WDS (Servios de
Implantao do Windows) e NAP (Proteo de Acesso Rede). Para oferecer suporte e solucionar
problemas de uma infraestrutura de rede baseada no Windows Server, importante entender como
implantar e configurar a funo Servidor DHCP, bem como solucionar seus problemas.
Mdulo 3: Configurao e soluo de problemas de DNS. O DNS (Sistema de Nomes de Domnio) o
servio de nomes bsico no Windows Server 2008 R2. essencial que voc entenda como implantar,
configurar e gerenciar esse importante servio, bem como resolver os problemas relacionados.
Mdulo 4: Configurao e soluo de problemas de TCP/IP IPv6. O IPv6 uma tecnologia que ajudar a
garantir que a Internet possa oferecer suporte a uma base crescente de usurios e ao nmero cada vez
maior de dispositivos habilitados para IP. O atual protocolo IPv4 tem atuado como o protocolo de
Internet subjacente por quase 30 anos. Sua robustez, escalabilidade e o conjunto limitado de recursos
enfrentam agora o desafio da crescente necessidade por novos endereos IP, devido, em grande parte,
ao crescimento rpido dos novos dispositivos com reconhecimento de rede.
Mdulo 5: Configurao e soluo de problemas de Roteamento e Acesso Remoto. Para oferecer suporte
fora de trabalho distribuda da organizao, voc deve estar familiarizado com as tecnologias que
permitem aos usurios remotos se conectar infraestrutura de rede da sua organizao. Essas tecnologias
incluem as VPNs (redes virtuais privadas) e o DirectAccess. importante que voc entenda como
configurar e proteger os clientes de acesso remoto usando as diretivas de rede. Este mdulo explora essas
tecnologias de acesso remoto.
Mdulo 8: Aumento da segurana dos Windows Servers. Segurana uma questo essencial quando se
trata de rede com o Windows Server 2008. Nenhum sistema sempre totalmente seguro, mas voc pode
implementar vrios mtodos para aumentar a segurana. O Firewall do Windows com Segurana
Avanada um dos recursos do Windows Server 2008 usado para aumentar segurana. Tambm
possvel usar o Windows Server Update Services para garantir que as atualizaes de segurana aprovadas
sejam aplicadas aos servidores na hora certa.
Mdulo 9: Aumento da segurana para comunicao de rede. O IPsec uma estrutura de padres
abertos para a proteo de comunicaes em redes IP atravs de servios de segurana criptogrficos.
O IPsec oferece suporte autenticao no mesmo nvel na rede, autenticao da origem dos dados,
integridade dos dados, confidencialidade dos dados (criptografia) e proteo contra repetio.
A implementao do Microsoft IPsec baseia-se em padres que o grupo de trabalho IETF (Internet
Engineering Task Force) desenvolveu. Para ajudar a aumentar a segurana nas comunicaes de rede
da sua organizao, importante que voc entenda como implementar e configurar o IPsec, e como
solucionar problemas relacionados.
Mdulo 10: Configurao e soluo de problemas de servios de arquivo e impresso de rede.
Os servios de arquivo e impresso so alguns dos servios de rede mais frequentemente implementados
para os usurios finais. Diferentemente do servios de infraestrutura como o DNS, os servios de arquivo e
impresso so de alta visibilidade para os usurios finais. Voc precisa entender como configurar esse
servios e a solucionar seus problemas para fornecer um servio de alta qualidade aos usurios finais.
Alm de servios bsicos de arquivo e impresso, o EFS e o BitLocker podem ser usados para aumentar a
segurana dos arquivos que esto localizados nos compartilhamentos de arquivos.
Mdulo 11: Otimizao do acesso aos dados para filiais. Muitas organizaes mantm um nmero
grande de recursos de arquivo que precisam estar organizados e altamente disponveis aos usurios.
Esses recursos de arquivo geralmente so armazenados em servidores e fornecidos a usurios que esto
distribudos geograficamente em diversos locais.
Nesta situao, voc precisa encontrar uma soluo eficiente para ajudar os usurios a localizarem
rapidamente os arquivos mais recentes. O gerenciamento de vrios locais de dados, muitas vezes,
apresenta mais desafios, como limitar o trfego de rede em conexes lentas da rede de longa distncia
(WAN), assegurando a disponibilidade de arquivos durante as falhas da WAN ou do servidor e fazendo
backup de servidores de arquivos localizados em escritrios remotos menores.
Mdulo 12: Controle e monitoramento do armazenamento de rede. O armazenamento de rede para
usurios um recurso limitado que deve ser gerenciado corretamente para garantir sua disponibilidade
a todos os usurios. Se o armazenamento de rede no for monitorado e gerenciado, ele poder ser
preenchido com dados irrelevantes, como msicas ou filmes pessoais. Os dados irrelevantes aumentam
os custos de armazenamento de rede e, alguns casos, pode impedir que dados teis sejam guardados.
O FSRM (Gerenciador de Recursos de Servidor de Arquivos) pode ser usado para monitorar e gerenciar
o armazenamento de rede.
Mdulo 13: Recuperao de servidores e dados de rede. Existem vrios cenrios em que os dados de
uma rede ou um servidor que fornece servios de rede podem ser perdidos. As cpias de sombra de
volume podem ser usadas para restaurar verses anteriores dos arquivos quando um arquivo excludo
ou modificado acidentalmente em um computador que est executando o Windows Server 2008.
O Backup do Windows Server pode ser usado para fazer backup e restaurar arquivos de dados ou um
servidor inteiro.
Mdulo 14: Monitoramento dos servidores da infraestrutura de rede do Windows Server 2008. Quando
houver uma falha do sistema ou um evento que afete o desempenho do sistema, voc precisar reparar
ou resolver o problema de maneira rpida e eficiente. Com tantas variveis e possibilidades no ambiente
de rede moderno, para poder determinar a causa principal rapidamente, muitas vezes preciso ter um
conjunto de ferramentas e uma metodologia de monitoramento de desempenho eficientes.
As ferramentas de monitoramento de desempenho so usadas para identificar os componentes que
exigem soluo de problemas e ajustes adicionais. Ao identificar os componentes que exigem ajuste
adicional, voc pode melhorar a eficincia de seus servidores.
xviii
xix
Mapeamento do exame/curso
Este curso, 10221B: Configurao e soluo de problemas de uma infraestrutura de rede do
Windows Server 2008, tem um mapeamento direto de seu contedo parao domnio objetivo para o
exame 70-642 da Microsoft: TS: Configurao da infraestrutura de rede do Windows Server 2008.
A tabela abaixo fornecida como uma ajuda de estudo que o ajudar na preparao para este exame e
para mostrar a voc como os objetivos do exame e o contedo do curso so integrados. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao Os objetivos deste exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us#tab2
(em ingls).
Contedo
Laboratrios
Mdulo
Lio
Mdulo 1
Lies
1/2/3
Ex 1/2
Mdulo 4
Lies
1/2/3
Laboratrio A
Ex 1/2
Mdulo 2
Lies
1a6
Ex 1 a 5
Configurar roteamento
Mdulo 1
Lies 3
Ex 2
Mdulo 4
Lio
1/2/3/4
Laboratrio A
Ex 1/2
Mdulo 5
Lio
1/2/5
Laboratrio A
Ex 1
Mdulo 8
Lio 2
Ex 1
Mdulo 9
Lio
1/2/4
Ex 2/3
Mdulo 3
Lio 1/2
Ex 1/2
Mdulo 3
Lio
1/3/4
Ex 1/2
Mdulo 3
Lio 1/2
Ex 3
Mdulo 3
Lio
1/3/4
Mdulo 3
Lio
1/2/5/
Exerccio
Ex 3
(continuao)
Contedo
Domnio do objetivo do exame
Configurao do acesso rede
Configure o acesso remoto
Mdulo
Laboratrios
Lio
Exerccio
Mdulo 5
Lio
1/2/3/5
Ex 1/2
Mdulo 6
Lio
1/2/3
Ex 2
Mdulo 7
Lies
1/2/3/4
Ex 1/2
Mdulo 9
Lio
1/2/3/4
Configurar o DirectAccess
Mdulo 5
Lio 6
Laboratrio B
Ex 1/2/3/4/5
Mdulo 6
Lies
1/2/3/4
Ex 1/2/3/4
Mdulo 10
Lies
1/2/3
Ex 1/2
Mdulo 11
Lies
1/2/4
Mdulo 11
Lio
2/3/4
Laboratrio A
Ex 1/2/3
Mdulo 13
Lies
1/2
Ex 1/2
Mdulo 12
Lies
1/2/3
Ex 1/2/3
Mdulo 10
Lio 4
Ex 3
Lio 3
Ex 2
Mdulo 14
Lio
1/2
Ex 1/2/3
Mdulo 14
Lies
1/3
Ex 3
Mdulo 1
Lio 3
Ex 2
Mdulo 9
Lio 4
Importante Realizar este curso sozinho no o preparar para passar em nenhum exame
de certificao associado.
xx
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
xxi
H recursos de estudo adicional e preparao, como testes prticos, disponveis para voc se preparar
para este exame. Os detalhes destes recursos esto disponveis na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us#tab3 (em ingls)
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo do
pblico-alvo para este exame est disponvel na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us#tab1 (em ingls)
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
Material do curso
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Laboratrios: oferecem uma plataforma prtica real para que voc possa aplicar o
conhecimento e as habilidades aprendidas no mdulo.
Recursos: incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
premium mais atualizado do TechNet, MSDN e Microsoft Press.
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
xxii
xxiii
Esta seo contm as informaes de configurao do ambiente de sala de aula para oferecer suporte ao
cenrio corporativo do curso.
Funo
10221B-LON-DC1
10221B-LON-CL1
10221B-LON-CL2
10221B-LON-SVR1
10221B-LON-SVR2
10221B-LON-RTR
10221B-LON-EDGE1
10221B-INET1
Configurao de software
Os seguintes itens de software esto instalados dentro das mquinas virtuais:
Windows 7
Arquivos do curso
H arquivos associados aos laboratrios neste curso. Os arquivos de laboratrio esto localizados na pasta
<pasta_de_instalao>\Labfiles\LabXX nos computadores dos alunos.
4 GB RAM
Unidade de DVD.
Adaptador de rede
*Distribudo
xxiv
1-1
Mdulo 1
Planejamento e configurao do IPv4
Contedo:
Lio 1. Planejamento de uma infraestrutura de rede IPv4
Lio 2. Viso geral de servios de resoluo de nomes em uma
infraestrutura de rede IPv4
1-3
1-8
1-15
1-26
Para implantar e configurar servios de rede na sua organizao, importante entender os conceitos
bsicos que fundamentam muitos desses servios. Neste mdulo, voc aprender a implantar um
esquema de endereamento IPv4, a determinar quais servios de nome devem ser implantados e a
solucionar problemas relacionadas rede.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
1-2
1-3
Lio 1
Para implementar corretamente os servios de rede, voc deve conhecer o endereamento IPv4 de uma
maneira completa. Com um bom conhecimento do endereamento IPv4, voc pode tomar decises
apropriadas quanto configurao e ao posicionamento de servidores de rede na infraestrutura IPv4.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Uma sub-rede o segmento fsico de uma rede separado do restante da rede por um ou mais roteadores.
Quando seu ISP (provedor de servios de Internet) atribui sua rede a um intervalo de endereos,
geralmente, voc deve subdividir o intervalo para corresponder ao layout fsico da sua rede; em outra
palavras, voc subdivide uma grande rede em sub-redes lgicas.
Observao Muitas organizaes usam endereos IP privados em suas redes, deixando os
endereos pblicos apenas para computadores que se conectam Internet.
Ao subdividir uma rede em sub-redes, voc cria uma ID exclusiva para cada sub-rede, que derivada da
ID de rede principal. Para criar sub-redes, preciso alocar alguns bits na ID do host para a ID da rede, o
que permite criar mais redes.
O uso das sub-redes permite a execuo das seguintes tarefas:
Primeiro
octeto
Mscara de sub-rede
padro
Nmero de redes
Nmero de hosts
por rede
1-127
255.0.0.0
126
16,777,214
128-191
255.255.0.0
16,384
65,534
192-223
255.255.255.0
2,097,152
254
Uma mscara de sub-rede especifica qual parte de um endereo IPv4 a ID de rede e qual parte a ID
do host. Uma mscara de sub-rede possui quatro octetos, semelhante a um endereo IPv4.
1-4
1-5
Em redes IPv4 simples, a mscara de sub-rede define octetos completos como parte da ID de rede e da ID
do host. Um 255 representa um octeto que faz parte da ID de rede, e um 0 representa um octeto que faz
parte da ID do host.
Em redes complexas, voc pode subdividir um octeto com alguns bits que so para a ID de rede e alguns
para a ID de host. O endereamento sem classificao ou CIDR (Roteamento entre Domnios sem
Classificao) quando voc usa mais ou menos que um octeto inteiro para criao de uma sub-rede Esse
tipo de criao de sub-rede usa uma notao diferente, conforme mostrado no exemplo a seguir.
172.16.16.1/255.255.240.0
O exemplo a seguir mostra a representao mais comum de endereamento IPv4 sem classificao.
172.16.16.1/20
O /20 representa quantos bits de sub-rede esto na mscara e essa notao VLSM (Mscara de
Sub-rede de Comprimento Varivel); isso tambm conhecido como notao de comprimento do
prefixo de rede.
Os endereos IP privados geralmente so usados para LANs (rede locais). Esses intervalos de endereo IP
privado no so roteados na Internet global. Uma organizao que precisa de um espao de endereo
privado pode usar esses endereos sem aprovao de um ISP.
Os intervalos de endereo privado so mostrados na tabela a seguir.
Classe
Mscara
Intervalo
10.0.0.0/8
10.0.0.0-10.255.255.255
172.16.0.0/12
172.16.0.0-172.31.255.255
192.168.0.0/16
192.168.0.0-192.168.255.255
Leitura adicional
Para obter mais informaes, consulte Alocao de Endereo para Internets Privadas,
em http://go.microsoft.com/fwlink/?LinkId=163880&clcid=0x409 (em ingls).
A seleo de um esquema de endereamento adequado para sua organizao inclui as seguintes tarefas:
Calcular o nmero de hosts em cada sub-rede. Voc pode calcular o nmero de bits de host
necessrios usando a frmula 2^n-2, onde n o nmero de bits.
Calcular as IDs de rede da sub-rede. Para determinar as IDs de rede rapidamente, voc pode usar
o bit de valor mais baixo na mscara de sub-rede. Por exemplo, se voc optar por dividir a rede
172.16.0.0 em sub-redes com a mscara de sub-rede 255.255.0.0 usando trs bits, isso significa usar
255.255.224.0 como a mscara de sub-rede. O decimal 224 11100000 no binrio e o bit mais
baixo definido como 1 tem um valor de 32, de forma que ser o incremento entre cada endereo
de sub-rede.
Determinar o intervalo de endereos de host em cada sub-rede. Voc pode calcular o intervalo de
endereos de host de cada sub-rede usando o seguinte processo: o primeiro host um dgito binrio
mais alto que a ID da sub-rede atual e o ltimo host so dois dgitos binrios mais baixos que a ID da
prxima sub-rede.
1-6
1-7
Lio 2
A resoluo de nomes fornece a base para muitos servios de rede. Antigamente, os servios de rede da
Microsoft dependiam de dois servios de resoluo de nomes. O servio WINS fornece nomes NetBIOS
para mapeamentos de endereo IP e usado para oferecer suporte a aplicativos NetBIOS herdados.
O DNS (Sistema de Nomes de Domnio) foi amplamente adotado como o padro para resoluo de
nomes em redes IP. Nesta lio, voc ir considerar quais servios de nome provavelmente precisaro ser
implantados na rede da sua organizao para oferecer suporte aos servios de rede implementados.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Descrever o DNS.
1-8
1-9
A resoluo de nomes o processo de determinar os endereos IP que esto associados aos nomes de
computador. A resoluo de nomes uma parte essencial do sistema de rede de computador, pois os
usurios memorizam com mais facilidade nomes do que nmeros abstratos, como um endereo IPv4.
Os hosts do Windows oferecem suporte a dois tipos de nomes: um nome de host e um nome de NetBIOS.
Nos sistemas operacionais Windows, os aplicativos podem solicitar servios de rede atravs do Windows
Sockets, Kernel do Winsock ou NetBIOS. Se um aplicativo solicitar servios de rede atravs do Windows
Sockets ou do Kernel do Winsock, ele usar nomes de host. Se um aplicativo solicitar servios atravs do
NetBIOS, ele usar um nome NetBIOS.
Observao NetBIOS um protocolo de gerenciamento de sesso usado em verses
anteriores de sistemas operacionais de rede da Microsoft. O Windows 7 e
Windows Server 2008 R2 oferecem suporte para NetBIOS.
Muitos aplicativos atuais, inclusive aplicativos de Internet, usam o Windows Sockets para acessar servios
de rede. Os aplicativos mais recentes desenvolvidos para o Windows 7 e Windows Server 2008 R2 usam o
Kernel do Winsock. Os aplicativos antigos usam NetBIOS.
Localizar controladores de domnio e servidores de catlogo global. Isso usado quando voc estiver
fazendo logon no AD DS (Servios de Domnio Active Directory).
Resolver endereos IP para nomes de host. Isso ser til quando um arquivo de log contiver apenas
um endereo IP de host.
Localizar um servidor de email para entrega de email. Isso usado para a entrega de todo o email
da Internet.
O WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes
NetBIOS de uma rede. O suporte ao WINS mantido para fins de compatibilidade com verses anteriores.
Alm de usar o WINS, voc pode resolver os nomes NetBIOS usando os seguintes recursos:
2.
3.
4.
O Windows resolve nomes de hosts que so de rtulo nico, no qualificados, executando as aes
a seguir:
1.
2.
Convertendo o nome do host em um nome NetBIOS e verificando o cache de nomes NetBIOS local.
3.
4.
5.
1-10
1-11
O DNS o padro da Microsoft para resolver nomes de hosts para endereos IP. O DNS um servio que
gerencia a resoluo de nomes de host baseados em FQDN para endereos IP. O TCP/IP identifica os
computadores de origem e de destino pelos respectivos endereos IPv4 ou IPv6. No entanto, como os
usurios de computadores memorizam mais facilmente nomes do que nmeros, nomes comuns ou
amigveis so atribudos ao endereo IP do computador. O tipo de nome mais comum usado um nome
de host.
Quando nomes DNS so resolvidos na Internet, um sistema inteiro de computadores usado em vez de
apenas um nico servidor. H 13 servidores raiz na Internet que so responsveis por gerenciar a
estrutura global de resoluo DNS. Ao registrar um nome de domnio na Internet, voc est pagando
pelo privilgio de fazer parte desse sistema.
O processo de resoluo de nomes do nome www.microsoft.com/pt/br/ :
1.
Uma estao de trabalho na Internet consulta o respectivo servidor DNS configurado para obter o
endereo IP de www.microsoft.com/pt/br/.
2.
Se o servidor DNS configurado no tiver as informaes, ele consultar um servidor DNS raiz para
obter o local dos servidores DNS .com.
3.
O servidor DNS local consulta um servidor DNS .com para obter a localizao dos servidores DNS
Microsoft.com.
4.
O servidor DNS local consulta o servidor DNS Microsoft.com para obter o endereo IP de
www.microsoft.com/pt/br/.
5.
Cache: depois que um servidor DNS local resolve um nome DNS, ele armazena os resultados em
cache por aproximadamente 24 horas. Solicitaes de resoluo subsequentes do nome DNS
recebem as informaes armazenadas em cache.
Encaminhamento: um servidor DNS pode ser configurado para encaminhar solicitaes DNS a outro
servidor DNS, em vez de consultar os servidores raiz. Por exemplo, as solicitaes de todos os nomes
da Internet podem ser encaminhadas para um servidor DNS em um ISP.
1-12
1-13
O WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes
NetBIOS de uma rede. O suporte ao WINS mantido para fins de compatibilidade com verses anteriores.
O WINS pode continuar sendo necessrio na rede da sua organizao por vrios motivos. O principal
motivo que alguns aplicativos ainda utilizam o NetBIOS para fornecer funcionalidade aos usurios.
O WINS necessrio pelos seguintes motivos:
As verses anteriores dos sistemas operacionais Microsoft dependem do WINS para a resoluo
de nomes.
Os usurios talvez precisem dos recursos de navegador de rede Ambiente de Rede ou Meus Locais
de Rede.
Voc pode no estar usando o Windows Server 2008 para fornecer sua infraestrutura DNS.
Voc deve configurar um servidor WINS com um endereo IP esttico, uma vez que os computadores
cliente contatam o servidor WINS usando um endereo IP.
Observao O WINS um servio somente IPv4 e no funcionar em um ambiente
somente IPv6.
Alm do WINS, os nomes NetBIOS podem ser resolvidos atravs de mensagens de difuso ou pela
implementao de um arquivo LMHOSTS em todos os computadores. As mensagens de difuso no
funcionam bem em redes grandes porque os roteadores no transmitem as difuses. O uso de um
arquivo LMHOSTS para resoluo de nomes NetBIOS uma soluo de alta manuteno, pois o arquivo
deve ser atualizado constantemente nos computadores.
Zona GlobalNames
A GNZ (Zona GlobalNames) um novo recurso do Windows Server 2008. Essa ferramenta fornece
resoluo de nomes de rtulo nico para redes de grandes empresas que no implantam o WINS.
Algumas redes podem exigir a capacidade de resolver registros estticos e globais com nomes de rtulo
nico que o WINS fornece atualmente. Esses nomes de rtulo nico referem-se a servidores amplamente
usados e bastante conhecidos com endereos IP atribudos estaticamente. Uma GNZ criada
manualmente e no est disponvel para registro dinmico de registros. A GNZ foi desenvolvida de modo
a ajudar os clientes a migrar para o DNS a fim de ter todos os nomes resolvidos; a funo Servidor DNS
no Windows Server 2008 oferece suporte ao recurso GNZ.
O recurso foi desenvolvido para auxiliar na migrao do WINS; no entanto, ele no substituto do WINS.
A GNZ no oferece suporte resoluo de nomes de rtulo nico dos registros feitos dinamicamente no
WINS e dos registros que no so gerenciados por administradores de TI. O suporte para esses registros
feitos dinamicamente no escalonvel, especialmente para clientes de maior porte com vrios domnios
e/ou florestas.
A implantao da zona GNZ recomendada ocorre por meio do uso de uma zona integrada do AD DS,
chamada GlobalNames, que distribuda globalmente.
Em vez de usar a GNZ, voc pode optar por configurar a integrao de DNS e WINS. Faa isso
configurando as propriedades da zona DNS para executar pesquisas pelo WINS em busca de nomes
compatveis com NetBIOS. A vantagem desta abordagem que voc pode configurar computadores
cliente para usar um nico servio de nome, DNS e ainda para poder resolver nomes compatveis com
NetBIOS.
Prtica recomendada
Se sua organizao depende intensamente de aplicativos NetBIOS, continue usando o WINS. Se planeja
migrar do WINS para o DNS, implemente a integrao do WINS nas zonas DNS. Quando voc tiver
encerrado a maioria dos seus aplicativos NetBIOS ou tiver somente alguns aplicativos NetBIOS, use a GNZ
para gerenciar nomes de rtulo nico estticos.
1-14
Lio 3
Geralmente, os problemas com servios de rede se originam com a configurao da rede subjacente.
Consequentemente, preciso que voc configure o IPv4 e solucione problemas bsicos relacionados
rede IPv4.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Configurar um servidor para que ele obtenha uma configurao do IPv4 automaticamente.
1-15
Voc pode definir a configurao esttica do IPv4 manualmente para cada um dos computadores na sua
rede. A configurao do IPv4 inclui:
Endereo IPv4
Mscara de sub-rede
Gateway padro
Servidor DNS
A configurao esttica exige que voc visite cada computador e informe a configurao do IPv4. Esse
mtodo de gerenciamento de computadores levar muito tempo se sua rede tiver mais de 20 usurios.
Alm disso, realizar um grande nmero de configuraes manuais aumenta o risco de erros.
Haver casos em que ser recomendvel atribuir uma configurao esttica do IPv4; por exemplo, um
servidor de nomes (DNS ou WINS) deve ter uma configurao esttica IPv4 para permitir que resolvedores
do cliente o localizem.
Alm disso, os servidores para a Internet podem ter endereos IPv4 atribudos estaticamente, fornecidos
pela sua organizao de um provedor de servios de Internet ou de telecomunicao. Por exemplo, para
implementar o DirectAccess, seu servidor DirectAccess para a Internet deve ter dois endereos IPv4
pblicos consecutivos.
Use o procedimento a seguir para configurar o Windows com uma configurao do IPv4 atribuda
manualmente:
1.
2.
Clique com o boto direito do mouse na conexo de rede adequada e clique em Propriedades.
3.
Clique duas vezes em Protocolo TCP/IP Verso 4 (TCP/IPv4) e insira a configurao adequada.
1-16
1-17
Como alternativa, voc pode usar a ferramenta de linha de comando netsh.exe. Por exemplo, o comando
a seguir configura a interface denominada Conexo Local com o endereo IP esttico 172.16.16.3, a
mscara de sub-rede 255.255.255.0 e um gateway padro 172.16.16.1.
Netsh interface ipv4 set address name=Local Area Connection source=static
addr=172.16.16.3 mask=255.255.255.0 gateway=172.16.16.1
O DHCP para IPv4 permite atribuir configuraes automticas do IPv4 a grandes nmeros de
computadores sem precisar faz-lo individualmente. O servio DHCP recebe solicitaes para
configurao do IPv4 de computadores que voc configura para obter um endereo IPv4
automaticamente. Ele tambm atribui configuraes adicionais do IPv4 de escopos que voc define para
cada uma das sub-redes da rede. O servio DHCP identifica a sub-rede da qual a solicitao foi originada
e atribui a configurao de IP do escopo pertinente.
O DHCP ajuda a simplificar o processo de configurao de IP, mas saiba que se voc usar o DHCP para
atribuir informaes do IPv4 e o servio for essencial aos negcios, ser preciso:
Incluir resilincia na estrutura do servio DHCP, de forma que a falha de um nico servidor no
interrompa o servio.
Configurar os escopos cuidadosamente no servidor DHCP. Se voc cometer um erro, isso poder
afetar a rede inteira e impedir a comunicao.
Se voc usa um laptop para se conectar a vrias redes, como a rede do escritrio e de casa, cada rede
poder exigir uma configurao de IP diferente. O Windows oferece suporte ao uso do APIPA e de um
endereo IP esttico alternativo para essa situao.
Ao configurar computadores Windows para obter um endereo IPv4 do DHCP, use a guia Configurao
Alternativa para controlar o comportamento se um servidor DHCP no estiver disponvel. Por padro,
o Windows usa o APIPA para atribuir automaticamente a si mesmo um endereo IP do intervalo de
endereos 169.254.0.0 a 169.254.255.255, mas sem nenhum gateway padro ou servidor DNS; isso
permite funcionalidade limitada.
O APIPA til na soluo de problemas de DHCP; se o computador tiver um endereo do intervalo
APIPA, isso indica que o computador no pode se comunicar com um servidor DHCP.
1-18
1-19
O Windows Server 2008 apresenta vrios utilitrios que ajudam a diagnosticar problemas de rede.
IPConfig
O IPConfig exibe a configurao de rede TCP/IP atual. Alm disso, voc pode usar o IPConfig para
atualizar as configuraes de DNS ou DHCP. A tabela a seguir descreve as opes de linha comando
para IPConfig.exe.
Comando
Finalidade
IPConfig /all
IPConfig /release
IPConfig /renew
IPConfig /flushdns
IPConfig /displaydns
Ping
O Ping pode verificar a conectividade do nvel de IP com outro computador TCP/IP. O Ping envia e recebe
mensagens de Solicitao de Eco ICMP e exibe o recebimento das mensagens correspondentes de
Resposta de Eco. O Ping o principal comando de TCP/IP usado para solucionar problemas de
conectividade; no entanto, os firewalls podem bloquear as mensagens ICMP.
Tracert
O Tracert determina o caminho feito para um computador de destino enviando vrias Solicitaes de
Eco ICMP. O caminho exibido a lista de interfaces do roteador entre uma origem e um destino. Essa
ferramenta tambm determina qual roteador falhou e em que latncia, ou velocidade. Esses resultados
talvez no sejam precisos se o roteador estiver ocupado, pois os pacotes ICMP recebem uma prioridade
baixa do roteador.
Pathping
O Pathping rastreia uma rota por meio da rede de maneira semelhante ao Tracert. No entanto, o
Pathping fornece estatsticas mais detalhadas sobre as etapas individuais, ou saltos, pela rede. O Pathping
pode fornecer mais detalhes, pois envia 100 pacotes para cada roteador, o que permite estabelecer
tendncias.
NSLookup
O NSlookup exibe informaes que voc pode usar para diagnosticar a infraestrutura de DNS. possvel
usar o NSlookup para confirmar a conexo com o servidor DNS e se os registros exigidos existem.
NBTSTAT
NBSTAT uma resoluo de nomes NetBIOS de linha de comando e ferramenta de soluo de problemas.
Essa ferramenta permite determinar os nomes NetBIOS no cache de nomes NetBIOS, bem como limp-lo.
Telnet
Voc pode instalar o recurso Cliente Telnet e us-lo para verificar se uma porta de servidor est
escutando. Por exemplo, Telnet.exe 10.10.0.10:25 tenta abrir uma caixa de dilogo com o servidor de
destino, 10.10.0.10, na porta 25, o SMTP. Se a porta estiver ativa e escutando, ela dever retornar uma
mensagem ao Cliente Telnet.
Netstat
Netstat uma ferramenta de linha de comando que permite exibir estatsticas e conexes de rede.
Visualizador de Eventos
Os logs de eventos so arquivos que registram eventos significativos em um computador, por exemplo,
quando um processo encontra um erro. Os conflitos de IP sero refletidos no log do sistema e podem
impedir o incio de servios. Quando esses eventos ocorrem, o Windows registra o evento em um log de
eventos apropriado. Voc pode usar o Visualizador de Eventos para ler o log. Ao solucionar erros no
Windows Server, exiba os eventos nos Logs de Eventos para determinar a causa do problema.
1-20
1-21
Se voc enfrentar problemas de conectividade de rede enquanto estiver usando o Windows Server, use os
Diagnsticos de Rede do Windows para iniciar o processo de soluo de problemas. Se os Diagnsticos
de Rede do Windows no puderem resolver o problema, siga um processo de soluo de problemas que
use as ferramentas disponveis do Windows Server e consista nas seguintes etapas:
1.
2.
3.
4.
Use o Tracert para identificar cada salto, ou roteador, entre dois sistemas.
5.
6.
Quando o Windows Server encontrar um problema de conexo de rede, use os Diagnsticos de Rede do
Windows para executar os procedimentos de diagnstico. Os Diagnsticos de Rede do Windows analisam
o problema e, se possvel, apresentam uma soluo ou uma lista de possveis causas.
Se a mscara de sub-rede estiver incorreta, o computador ter uma ID de Rede incorreta e, portanto,
ocorrer falha na transmisso, principalmente para sub-redes remotas.
Se o gateway padro estiver incorreto ou ausente, o computador no poder transmitir dados a subredes remotas.
Se o servidor DNS estiver incorreto ou ausente, talvez o computador no possa resolver nomes e a
comunicao poder falhar.
2.
3.
4.
Se voc executar ping com xito no endereo IP, mas no no nome, a resoluo de nomes no est
funcionando.
Se voc executar ping com xito no nome do computador, mas a resposta no resolver o nome
FQDN, a resoluo no usou o DNS. Isso significa que um processo, como difuses ou o WINS, que
foi usado para resolver o nome e aplicativos que exigem o DNS pode falhar.
Tempo Limite da Solicitao Atingido indica que as mensagens ICPM foram enviadas com xito,
mas um ou mais computadores ou roteadores ao longo do caminho, incluindo a origem e o destino,
no foram configurados corretamente para encaminhar as mensagens.
Host de Destino Inacessvel indica que o sistema no pode localizar uma rota em sua prpria tabela
de roteamento local para o sistema de destino e, portanto, no sabe para onde transmitir o pacote
no prximo salto.
O trfego ICMP usado pelo ping pode ser bloqueado por um firewall na rede ou em um
computador Windows.
1-22
1-23
Abra um prompt de comandos com privilgios elevados e limpe o cache do Resolvedor de DNS
digitando o seguinte comando:
IPConfig /flushdns
2.
Tente executar ping do host remoto pelo prprio endereo IP. Isso ajuda a identificar se o problema
est relacionada resoluo de nomes. Se o ping for bem-sucedido com o endereo IP, mas houver
falha pelo nome de host, ento o problema estar relacionado resoluo de nomes.
3.
Tente executar ping do host remoto pelo prprio nome do host. Para maior preciso, use o FQDN
com um ponto direita. Por exemplo, insira o comando a seguir no prompt de comando:
Ping nyc-dc1.contoso.com.
4.
5.
Agora execute o teste Ping-by-host-name mais uma vez. A resoluo de nomes deve ser bemsucedida. Verifique se o nome foi resolvido corretamente examinando o cache do resolvedor de DNS;
use o comando a seguir em um prompt de comando:
IPConfig /displaydns
6.
Remova a entrada que voc adicionou ao arquivo de hosts e limpe o cache do resolvedor de DNS
mais uma vez.
7.
Voc deve entender como interpretar a sada para que seja possvel identificar se o problema de
resoluo de nomes est na configurao do computador cliente, no servidor de nomes ou na
configurao de registros dentro do banco de dados da zona do servidor de nomes.
O Monitor de Rede uma analisador de pacotes que permite capturar e examinar os pacotes de rede na
rede em que seu computador est conectado.
A captura de pacotes uma tcnica avanada de soluo de problemas que ajuda a identificar os
problemas de rede mais incomuns e trabalha para encontrar uma soluo.
Voc pode baixar o Monitor de Rede no site de download da Microsoft e instal-lo em uma estao de
trabalho Windows que esteja executando o Windows 7 ou algum Windows Server.
Depois de instalado, o Monitor de Rede associado aos adaptadores de rede local. Quando voc inicia o
Monitor de Rede, possvel exibir as capturas existentes ou iniciar uma nova captura.
Origem e destino: fornece os endereos IP de origem e destino para que voc possa determinar
quais computadores esto envolvidos na caixa de dilogo.
Nome do protocolo: o protocolo de nvel mais alto que o Monitor de Rede pode identificar
listado. Por exemplo, protocolos ARP, ICMP, TCP, SMB, entre outros. Conhecer o protocolo de alto
nvel permite localizar quais servios podem estar enfrentando ou causando o problema que voc
est solucionando.
1-24
1-25
Quando voc seleciona um quadro no painel de resumo, o painel Detalhes do Quadro atualizado com
o contedo desse quadro especfico. possvel passar pelos detalhes do quadro, examinando o contedo
de cada elemento conforme segue adiante.
Observao Lembre-se de que cada camada na arquitetura da rede, do aplicativo para
baixo, encapsula seus dados no continer da camada abaixo. Em outras palavras, o ICMP: A
Mensagem de Solicitao de Eco encapsulada em um pacote IPv4 que, por sua vez,
encapsulada em um quadro Ethernet.
Quando voc coleta um grande volume de dados, pode ser difcil determinar quais quadros so
relevantes para seu problema especfico. Voc pode usar a filtragem para mostrar apenas os quadros de
interesse. Use o painel Filtro de Exibio para carregar filtros padro ou para criar filtros personalizados.
Por exemplo, se desejar exibir quadros que se originam de um endereo IP especfico, use o seguinte
procedimento:
1.
2.
Aponte para Filtros Padro, clique em Endereos e em Endereos IPv4. O filtro padro carregado
na caixa de texto.
3.
Role pelo texto e localize a linha IPv4.Address = = 192.168.0.100. Edite o endereo IPv4 para que
ele corresponda ao endereo no qual est interessado.
4.
5.
Voc pode usar filtros padro para filtrar uma variedade de propriedades, incluindo o seguinte:
Endereos
DNS
NetBIOS
SMB
TCP
Trfego de autenticao
Resoluo de nomes
Observao Ao aplicar um filtro aps outro, ambos sero cumulativos. Para aplicar um
novo filtro no lugar de um filtro existente, clique no texto Limpar antes de carregar e aplicar
o novo filtro.
Filtrar o trfego.
1-26
1-27
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Cenrio de laboratrio
Voc um engenheiro de rede da Contoso Ltd. e deve selecionar um esquema de endereamento IPv4
adequado para uma implantao de filial e implementar elementos do esquema. Inicialmente, a filial
usar os endereos IPv4 atribudos manualmente, embora esteja planejado que o DHCP ser implantado
futuramente.
Aps determinao da configurao apropriada, exigido que voc configure as estaes de trabalho
cliente de acordo com seu plano.
Para este projeto, voc dever concluir as seguintes tarefas:
2.
3.
Documentao de suporte
Charlotte Weiss
De:
Enviada em:
Para:
Assunto:
Anexos:
Ed Meadows [Ed@contoso.com]
4/2/2011 09:05
Charlotte@contoso.com
R: Implantaes da filial da Contoso
Contoso Branch Network Plan.vsd
Charlotte,
Cada filial ser conectada por um roteador matriz. Anexei um esquema bsico dos escritrios regionais.
Alocamos o endereo de rede 172.16.16.0/20 para todas as filiais nessa regio.
Em termos de trfego, a sincronizao do banco de dados ocorre durante a noite para que o trfego no
seja excessivamente afetado. Acho que o trfego nas sub-redes de vendas da matriz, neste momento,
deve ser razoavelmente indicativo. Em vez de enviar-lhe a sada, direi apenas que calculamos em torno de
50 computadores por sub-rede.
Atenciosamente,
Ed
----- Original Message ----De:
Charlotte Weiss [Charlotte@contoso.com]
Enviada em:
3/2/2011 08:45
Para:
Ed@contoso.com
Assunto:
Implantaes
de filial da Contoso
Ed,
Voc tem alguma informao sobre o trfego de rede nas novas filiais? Acredito que deva haver um
banco de dados com rplicas regionais. Voc tem alguma informao sobre isso? Estou tentando calcular
o nmero de sub-redes que precisaremos por filial.
Qualquer informao ser bem-vinda!
Charlotte
1-28
1-29
Charlotte Weiss
6 de fevereiro
(continuao)
Plano de infraestrutura de rede da filial: endereamento IPv4
Informaes adicionais
Voc no precisa se preocupar com o endereamento IP do lado corporativo do roteador em
cada filial.
Propostas
1. Quantas sub-redes voc considera necessrias para essa regio?
2. Quantos hosts voc implantar em cada sub-rede?
3. Qual mscara de sub-rede voc usar para cada filial?
4. Quais so os endereos de sub-rede para cada filial?
5. Qual intervalo de endereos de host esto em cada filial?
Resultados: ao fim deste exerccio, voc deve ter um plano de endereo IP concludo para as filiais
da Contoso.
1-30
1-31
2.
3.
4.
5.
Verificar a configurao.
6.
2.
Usando o Ipconfig.exe, determine qual o endereo IPv4 e a mscara de sub-rede de NYC-RTR que
inicia com 172.16 e anote-o.
Que sub-rede essa?
Qual deveria ser o ltimo endereo de host nessa sub-rede?
1.
2.
3.
2.
3.
Reconfigure as definies do IPv4 para que sejam apropriadas para a sub-rede na qual o cliente
reside. Uma resposta sugerida aparece na Resposta de Laboratrio.
2.
Endereo IP:
Mscara de sub-rede:
Gateway padro:
2.
2.
3.
No prompt de comando, usando o Ipconfig.exe, limpe o cache do resolvedor de DNS e execute ping
de nyc-dc1.
4.
5.
6.
7.
8.
Crie um novo filtro para DNSQueryName, onde server=Contoso. Aplique o filtro e examine os
quadros filtrados.
O que os registros mostram?
9.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
1-32
Perguntas de reviso
1-33
1.
Sua organizao pretende usar o IPv4 para suas filiais. exigido um grande nmero de hosts e
sub-redes. Qual endereo de rede privada voc recomendaria?
2.
Sua organizao tem uma linha de aplicativos de negcios que usa nomes NetBIOS. Um nmero
relativamente baixo de pessoas usa esses aplicativos e voc est relutando para implementar o WINS.
Que alternativa o Windows Server 2008 fornece?
3.
Seu cliente Windows 7 no pode ser conectado corretamente a um Windows Server. Voc suspeita
que seja um problema de resoluo de nomes. Quais so os dois utilitrios que permitem solucionar
problemas de resoluo de nomes de um computador cliente?
Ferramentas
Ferramenta
Use para
Onde encontr-la
Ping.exe
Linha de comando
IPConfig.exe
Linha de comando
Tracert.exe
Linha de comando
PathPIng
Linha de comando
NSLookup.exe
Linha de comando
NBTSTAT.exe
Linha de comando
Netsh.exe
Linha de comando
NetStat
Linha de comando
2-1
Mdulo 2
Configurao e soluo de problemas de DHCP
Contedo:
Lio 1: Viso geral da funo Servidor DHCP
2-3
2-11
2-18
2-24
2-35
2-43
2-47
O protocolo DHCP tem uma importante funo na infraestrutura do Windows Server 2008 R2. Ele o
principal meio de distribuio de importantes informaes sobre configurao de rede para os clientes da
rede, alm de fornecer informaes sobre configurao a outros servios habilitados para rede, incluindo
WDS (Servios de Implantao do Windows) e NAP (Proteo de Acesso Rede). Para oferecer suporte e
solucionar problemas de uma infraestrutura de rede baseada no Windows Server, importante entender
como implantar e configurar a funo Servidor DHCP, bem como solucionar seus problemas.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
2-2
Lio 1
2-3
O uso do DHCP pode ajudar a simplificar a configurao do computador cliente. Esta lio descreve os
benefcios do DHCP, explica como o protocolo DHCP funciona e discute como controlar o DHCP em uma
rede AD DS (Servios de Domnio Active Directory) do Windows Server 2008 R2.
Objetivos
Ao concluir esta lio, voc ser capaz de:
A configurao com e sem monitorao de estado do DHCPv6 aceita para configurar clientes em
um ambiente do IPv6. A configurao com monitorao de estado ocorre quando o servidor DHCPv6
atribui o endereo IPv6 ao cliente juntamente com os dados adicionais do DHCP. A configurao sem
monitorao de estado ocorre quando o IPv6 atribudo automaticamente pelo roteador de subrede e quando o servidor DHCPv6 atribui somente outras definies de configurao do DCHP.
2-4
2-5
A NAP com DHCP ajuda a isolar da rede corporativa os computadores possivelmente infectados por
malware. A NAP faz parte de um novo conjunto de ferramentas que impede acesso completo
intranet de computadores que no esto em conformidade com os requisitos de integridade do
sistema. A NAP DHCP permite que os administradores confirmem se os clientes DCHP so
compatveis com as diretivas de segurana internas. Por exemplo, todos os clientes da rede devem
estar atualizados e ter um programa antivrus vlido e atualizado instalado antes de receberem uma
configurao de IP que permita acesso completo intranet.
Voc pode instalar o DHCP como uma funo em uma instalao Server Core do
Windows Server 2008. Uma instalao Server Core permite que voc crie um servidor com uma
superfcie de ataque reduzida. Para gerenciar o DHCP no servidor de ncleo, instale e configure a
funo usando a interface de linha de comando. Voc tambm pode gerenciar a funo DCHP de
Ncleo usando um console baseado em GUI (interface grfica do usurio), no qual a funo DHCP
j esteja instalada.
O DHCP aloca endereos IP em um processo dinmico, conhecido como concesso. Embora seja possvel
definir a durao da concesso para ilimitada, geralmente, o valor no superior a algumas horas ou dias.
O tempo de concesso padro para clientes com fio de oito dias; e trs dias para clientes sem fio.
O DHCP usa as difuses IP para iniciar a comunicao. Portanto, os servidores DHCP so limitados
comunicao dentro de sua sub-rede IP. Isso significa que, em diversas redes, existe um servidor DHCP
para cada sub-rede IP. Se houver uma grande quantidade de sub-redes, a implantao de servidores
para cada sub-rede pode custar caro. Um nico servidor DHCP pode atender a colees de sub-redes
menores. Para que o servidor DHCP responda a uma solicitao de cliente DHCP, ele deve estar apto a
receber solicitaes DHCP. Voc pode habilitar essa funo configurando um agente de rel DHCP em
cada sub-rede.
O agente de rel DHCP permite que os pacotes de difuso DHCP sejam retransmitidos para outra subrede IP atravs de um roteador. Em seguida, voc pode configurar o agente na sub-rede que exige
endereos IP. Alm disso, possvel configurar o agente com o endereo IP do servidor DHCP. Isso
permite que o agente capture as difuses do cliente e as encaminhe ao servidor DHCP em outra sub-rede.
Voc tambm pode retransmitir pacotes DHCP para outras sub-redes usando um roteador compatvel
com a RFC 1542.
2-6
O processo de gerao de concesso do protocolo DHCP inclui quatro etapas que permitem que um
cliente obtenha um endereo IP. Entender o funcionamento de cada etapa ajudar a solucionar
problemas quando os clientes no puderem obter um endereo IP:
2-7
1.
O cliente DHCP transmite um pacote DHCPDISCOVER. Essa uma mensagem transmitida para cada
computador na sub-rede. O nico computador que responder ser o computador que possui a
funo Servidor DHCP, ou um computador ou roteador que esteja executando um agente de rel
DHCP. N ltimo caso, o agente de rel DHCP encaminhar a mensagem para o servidor DHCP com
o qual ele est configurado.
2.
Um Servidor DHCP responde com um pacote DHCPOFFER. Esse pacote fornecer ao cliente um
endereo potencial.
3.
O cliente recebe o pacote DHCPOFFER. Ele pode receber pacotes de vrios servidores. Se o cliente
receber ofertas de mais de um servidor, ele geralmente escolher o servidor que responder mais
rapidamente ao seu pacote DHCPDISCOVER. Geralmente, esse o servidor DHCP mais prximo
ao cliente. Em seguida, o cliente transmitir um DHCPREQUEST. O DHCPREQUEST contm um
identificador do servidor. Esse identificador informa os servidores DHCP que receberam a transmisso
qual servidor o cliente escolheu para aceitar o DHCPOFFER.
4.
Quando a concesso do DHCP atingir 50% do tempo de concesso, o cliente tentar renovar a concesso.
Esse um processo automtico que ocorre em segundo plano. Os computadores podem ter o mesmo
endereo IP por um longo perodo se operarem continuamente em uma rede sem serem desligados.
Para renovar a concesso do endereo IP, o cliente transmite uma mensagem DHCPREQUEST. O servidor
que concedeu o endereo IP originalmente envia uma mensagem DHCPACK novamente para o cliente
que contm novos parmetros alterados desde que a concesso original foi criada.
Os computadores cliente tambm tentam fazer a renovao durante o processo de inicializao. Isso
porque os computadores cliente podem ter sido movidos enquanto estavam offline; por exemplo, um
laptop pode ser ter sido conectado a uma nova sub-rede. Se a renovao for bem-sucedida, o perodo
de concesso ser redefinido. Se a renovao for malsucedida, o computador cliente tentar contatar
o Gateway Padro configurado. Se o gateway no responder, o cliente assumir que ele est em uma
nova sub-rede e entrar na fase de Descoberta, tentando obter uma configurao de IP de qualquer
servidor DHCP.
2-8
2-9
O DHCP permite que o computador cliente obtenha informaes de configurao sobre a rede em que
ele foi iniciado. A comunicao por DHCP ocorre antes de qualquer autenticao do usurio ou do
computador; e como o protocolo DHCP baseia-se em difuses por IP, um servidor DHCP configurado
incorretamente em uma rede pode fornecer informaes invlidas aos clientes. Para evitar isso, o servidor
deve ser autorizado.
preciso autorizar a funo Servidor DHCP do Windows Server 2008 R2 no AD DS para que ela possa
iniciar a concesso de endereos IP. possvel ter um nico servidor DHCP que fornea endereos IP para
sub-redes que contenham vrios domnios AD DS. Portanto, uma conta de Administrador Corporativo
deve autorizar o servidor DHCP.
Observao Um Administrador Corporativo necessrio em todos os domnios, com
exceo do domnio raiz da floresta; nessa instncia, os membros do grupo Admins. do
Domnio possuem privilgio adequado para autorizar um servidor DHCP.
Um servidor DHCP autnomo um computador que executa o Windows Server 2008 R2 no pertencente
a um domnio AD DS e que possui a funo Servidor DHCP instalada e configurada. Se o servidor DHCP
autnomo detectar um servidor DHCP autorizado no domnio, ele no conceder endereos IP e ser
desligado automaticamente.
Muitos dispositivos de rede possuem software de servidor DHCP interno. Muitos roteadores podem atuar
como um servidor DHCP, mas isso geralmente acontece quando esses servidores no reconhecem
servidores autorizados por DHCP e podem conceder endereos IP aos clientes.
2-10
Lio 2
Voc deve configurar os escopos DHCP depois que a funo DHCP estiver instalada no servidor. Um
escopo DHCP o principal mtodo para a configurao de opes de um grupo de endereos IP. Um
escopo DHCP baseia-se em uma sub-rede IP e pode ter configuraes especficas ao hardware ou a
grupos personalizados de clientes. Esta lio explica os escopos, superescopos, escopos do multicast e
como gerenciar escopos.
Objetivos
Ao concluir esta lio, voc ser capaz de:
2-11
Intervalo de endereos IP: o intervalo de endereos que pode ser oferecido para concesso e,
geralmente, o intervalo inteiro de endereos para uma determinada sub-rede.
Mscara de sub-rede: usada pelos computadores cliente para determinar os respectivos locais na
infraestrutura de rede da organizao.
Excluses: endereos nicos ou blocos de endereos que esto dentro do intervalo de endereos IP,
mas que no sero oferecidos para concesso.
Durao da concesso: use duraes mais curtas para escopos com endereos IP limitados e
duraes mais longas para redes mais estticas.
Opes: voc pode configurar muitas opes em um escopo, mas normalmente usar a opo 003 Roteador (o gateway padro para a sub-rede), 006 - Servidores DNS e 015 - Sufixo DNS.
2-12
2-13
Escopos IPv6
possvel configurar as opes do escopo IPv6 como um escopo separado no n IPv6 do console DHCP.
Existem vrias opes diferentes e um mecanismo de concesso aprimorado.
Ao configurar um escopo DHCPv6, voc deve definir as seguintes propriedades:
Prefixo: o prefixo de endereo IPv6 parecido com o intervalo de endereos IPv4; basicamente, ele
define o endereo da rede.
Excluses: endereos nicos ou blocos de endereos que esto dentro do prefixo IPv6, mas que no
sero oferecidos para concesso.
Preferncia de tempo de vida: defina por quanto tempo os endereos concedidos sero vlidos.
Um superescopo uma coleo de escopos que so agrupados em um todo administrativo. Isso permite
que os clientes recebam um endereo IP de vrias sub-redes lgicas, at mesmo quando estiverem na
mesma sub-rede fsica.
Escopos do multicast
Um escopo do multicast uma coleo de endereos multicast do intervalo de endereos IP de classe D,
de 224.0.0.0 a 239.255.255.255 (224.0.0.0/3). Esses endereos so usados quando os aplicativos precisam
se comunicar eficientemente com vrios clientes ao mesmo tempo. Isso feito com vrios hosts que
escutam o trfego para obter o mesmo endereo IP. Um escopo do multicast geralmente conhecido
como um escopo MADCAP. Os aplicativos que solicitarem endereos desses escopos devero oferecer
suporte API (interface de programao de aplicativos) do MADCAP.
Os escopos do multicast permitem que os aplicativos reservem um endereo IP de multicast para fornecer
dados ou contedo.
2-14
possvel criar escopos usando o MMC (Console de Gerenciamento Microsoft) para a funo Servidor
DHCP ou usando o comando de configurao de rede Netsh. Isso permitir gerenciar escopos
remotamente se o servidor DHCP estiver sendo executado em uma instalao Server Core do
Windows Server 2008 R2. O comando Netsh tambm til para gerar scripts e automatizar o
provisionamento de servidores.
Esta demonstrao mostra como:
2-15
Uma reserva DHCP ocorre quando um endereo IP dentro de um escopo separado para ser usado com
um cliente DHCP especfico.
desejvel fornecer servidores e impressoras com um endereo IP pr-determinado. Usar uma reserva
garante que os endereos IP que voc deseja atribuir a esses dispositivos de um escopo configurado no
sejam atribudos a outro dispositivo. Isso tambm garante que os dispositivos com reservas tenham um
endereo IP se um escopo estiver com endereos esgotados. A configurao de reservas permite que voc
centralize o gerenciamento de endereos IP fixos.
2-16
2-17
Dimensionamento de um escopo
O escopo deve incluir endereos IP de acordo com a quantidade de clientes de rede. Geralmente, o
escopo tem 20% mais endereos do que os clientes que exigem endereos IP.
Regra 80/20
Quando uma rede tiver dois servidores DHCP, recomendvel distribuir os endereos IP na sub-rede
entre os servidores. Isso conhecido como a regra 80/20. Nessa regra, um escopo no primeiro servidor
define 80% dos endereos IP para concesso, enquanto o segundo servidor define 20% dos endereos.
Isso aprimora a disponibilidade do servio DHCP caso um dos servidores apresente falha.
Para implementar a regra 80/20, preciso criar escopos duplicados nos dois servidores DHCP, cada um
deles excluindo um intervalo separado de endereos. Por exemplo, para a sub-rede 192.168.0.0/24:
Crie um intervalo de excluso que inclua mais de 20% do intervalo de endereos; isto , de
192.168.0.200 a 192.168.0.254.
Crie um intervalo de excluso que inclua menos de 80% do intervalo de endereos; isto , de
192.168.0.2 a 192.168.0.199.
Assegure-se de implementar um roteador que oferea suporte retransmisso DHCP para a sub-rede
192.168.1.0/24.
Lio 3
As opes DHCP permitem configurar definies, com exceo de endereo IP e mscara de sub-rede.
Por exemplo, voc pode usar o DHCP para alocar um sufixo DNS, endereos de servidor DNS e
configuraes NetBIOS. importante que voc esteja familiarizado com o processo de configurar opes.
Objetivos
Ao concluir esta lio, voc ser capaz de:
2-18
Os servidores DHCP podem configurar mais do que apenas um endereo IP; eles tambm fornecem
informaes sobre recursos de rede, como servidores DNS e o gateway padro. Voc pode aplicar as
opes DHCP nos nveis de servidor, escopo, usurio e fornecedor.
2-19
Um cdigo de opo identifica as opes DHCP; a maioria dos cdigos de opo se origina da
documentao RFC (Request for Comments) encontrada no site da IETF (Internet Engineering Task Force).
Nome
Mscara de sub-rede
Roteador
Servidores DNS
15
44
Servidores WINS/NBNS
46
Tipo de n WINS/NetBT
47
51
Tempo de concesso
58
(continuao)
Cdigo de
opo
Nome
59
31
33
Rota esttica
43
249
2-20
2-21
As opes DHCP podem ser aplicadas em vrios nveis diferentes, como nos nveis de escopo e servidor
DHCP. Talvez seja necessrio aplicar opes de escopo a tipos personalizados de computadores ou
grupos especficos de usurios.
Voc pode especificar opes no nvel de classe quando precisar configurar um dispositivo de
determinada classe de um modo especfico. Uma classe um grupo definido em termos lgicos que
utiliza atributos do dispositivo baseado em IP. Ela pode ser baseada nos dados especficos do fornecedor
ou pode ser definida pelo usurio.
As opes no nvel de classe incluem:
Classe de fornecedor: a funo Servidor DHCP da Microsoft oferece opes especiais com base na
classe de fornecedor. Um exemplo de uso do DHCP com uma classe de fornecedor desabilitar o
NetBIOS por TCP/IP para clientes com uma classe de fornecedor correspondente ao Windows 2000
ou ao Windows XP. Outro exemplo configurar opes especficas para uma determinada marca de
computador.
Classe de usurio: voc pode especificar opes de classe de usurio quando desejar definir opes
para uma determinada classe de usurio, como os usurios de um local fsico especfico. As classes de
usurio so definidas na estao de trabalho do cliente usando o comando IPconfig /setclassid.
Se voc tiver configurado as opes DHCP em vrios nveis (servidor, escopo, classe e reserva), o DHCP
aplicar as opes aos computadores cliente na seguinte ordem:
1.
Nvel de servidor
2.
Nvel de escopo
3.
Nvel de classe
4.
2-22
2-23
Lio 4
O banco de dados DHCP armazena informaes sobre as concesses de endereos IP. importante saber
como fazer backup do banco de dados e solucionar os problemas de banco de dados que surgirem. Esta
lio explica como gerenciar o banco de dados e seus dados.
Objetivos
Ao concluir esta lio, voc ser capaz de:
2-24
2-25
O banco de dados do servidor DHCP contm dados de configurao sobre o servidor DHCP e
informaes sobre as concesses IP do cliente. Se essas informaes forem danificadas ou se tornarem
inconsistentes, podero ocorrer erros de configurao de rede nos computadores cliente. Isso tambm
pode fazer com que o mesmo endereo IP seja oferecido a vrios clientes.
Os cenrios de gerenciamento podem incluir:
Garantia de consistncia do banco de dados DHCP: o banco de dados precisa ser exato. Se os
dados de concesso existentes no banco de dados DHCP no corresponderem s informaes sobre
concesso do cliente, podero ocorrer problemas como endereos IP duplicados na rede.
Adio de clientes: talvez seja preciso reconfigurar escopos para oferecer suporte a mais clientes
de rede.
Adio de novos servidores de servio de rede: talvez seja preciso criar reservas ou excluses para
oferecer suporte a servidores configurados estaticamente.
Adio de novas sub-redes: a adio de sub-redes pode levar a alteraes no modo de utilizao
do banco de dados DHCP. Essas alteraes exigem o monitoramento do banco de dados e podem
exigir novas aes de manuteno.
Opes gerais
As opes gerais permitem que o administrador defina as estatsticas de depurao e soluo de
problemas de DHCP.
Opes DNS
A configurao de opes DNS ser importante se existirem dispositivos ou sistemas operacionais que
no atualizam automaticamente as respectivas informaes de DNS. Ser possvel configurar o servidor
DHCP para atualizar o servidor DNS se o cliente no puder faz-lo.
Geralmente, somente sistemas operacionais de cliente herdado e verses anteriores do Windows que
no podem atualizar dinamicamente o DNS. Por exemplo, computadores cliente com Windows 95 no
podem atualizar o DNS. Portanto, possvel configurar o DHCP para registrar nomes de clientes herdados
com DNS.
Opes de filtros
Voc pode usar os filtros para definir a quais endereos MAC as concesses sero oferecidas ou a quais
elas no sero oferecidas. Alm disso, as opes Avanadas permitem definir quais dispositivos fsicos
estaro isentos de filtragem.
2-26
Opes Avanadas
2-27
As opes avanadas permitem que o administrador force o servidor DHCP a procurar conflitos de IP
quando um cliente DHCP solicitar um endereo IP especfico. Isso beneficia clientes mais antigos que
no executam suas prprias verificaes. No entanto, esse processo tambm causa sobrecarga. Portanto,
a configurao recomendada desativar essa definio.
A associao IP permite que o administrador especifique o endereo IP em que o servidor DHCP deve
escutar as mensagens DHCP de entrada.
O banco de dados DHCP contm dados relacionados a escopos, concesses de endereo e reservas.
O banco de dados mantm o arquivo de dados que armazena as informaes de configurao do DHCP e
os dados sobre concesso para os clientes que obtiveram a concesso de um endereo do servidor DHCP.
Por padro, os arquivos do banco de dados DHCP so armazenados na pasta
%systemroot%\System32\Dhcp.
Descrio
Dhcp.mdb
Dhcp.tmp
J50.log e
J50#####.log
J50.chk
2-28
2-29
O backup do banco de dados DHCP e das entradas de registro relacionadas feito automaticamente em
intervalos especficos (60 minutos pela instalao padro). possvel alterar essa instalao padro
alterando o valor de BackupInterval na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Voc pode fazer backup de um banco de dados DHCP manualmente ou configur-lo para o backup
automtico. Um backup automtico chamado de backup sncrono. Um backup manual chamado
de backup assncrono.
Reservas
Concesses
Todas as chaves do Registro e outras definies de configurao (por exemplo, configuraes do log
de auditoria e configuraes do local da pasta) definidas nas propriedades do servidor DHCP. Essas
configuraes so armazenadas na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
2-30
2-31
Para fazer backup dessa chave, abra o Editor do Registro e salve a chave especificada em um
arquivo de texto.
Observao As credenciais para a atualizao dinmica de DNS (nome do usurio,
domnio e senha) usadas pelo servidor DHCP ao registrar computadores cliente DHCP no
DNS no so includas no backup usando qualquer mtodo.
Processo de restaurao
Se voc precisar restaurar o banco de dados, use a funo Restaurar no console do servidor DHCP.
Ser exibida uma solicitao para voc informar o local do backup. Depois de selecionar o local, o
servio DHCP ser interrompido e o banco de dados ser restaurado. Para restaurar o banco de dados,
a conta de usurio deve ter permisses de nvel administrativo ou deve ser membro do grupo
Administradores DHCP.
Segurana de backup
Depois que o backup do arquivo do banco de dados DHCP for feito, ele dever ser colocado em um local
protegido que somente os Administradores DHCP possam acessar. Isso garante que todas as informaes
da rede contidas nos arquivos de backup permaneam protegidas.
Uso do Netsh
Voc tambm pode usar comandos no contexto de dhcp do Netsh para fazer backup do banco dedados;
isso til para fazer backup do banco de dados em um local remoto usando um arquivo de script. Um
exemplo de script que pode ser usado para exportar o arquivo mostrado abaixo.
Esse comando far backup dos dados DHCP de todos os escopos. No prompt DHCP do Netsh, digite
o seguinte:
export c:\My Folder\Dhcp Configuration all
A reconciliao de escopos pode corrigir inconsistncias que podem afetar os computadores cliente.
O servio do Servidor DHCP armazena as informaes de concesso de endereos IP do escopo de
duas formas:
Informaes detalhadas sobre a concesso de endereos IP, que o banco de dados DHCP armazena
Informaes resumidas sobre a concesso de endereos IP, que o Registro do servidor armazena
Quando estiver reconciliando escopos, as entradas resumidas e detalhadas so comparadas para localizar
as inconsistncias.
Para corrigir e reparar essas inconsistncias, necessrio reconciliar todas as inconsistncias do escopo.
Assim que voc selecionar e reconciliar as inconsistncias do escopo, o servio DHCP restaurar os
endereos IP para o proprietrio original ou criar uma reserva temporria para eles. Essas reservas so
vlidas pelo perodo de concesso atribudo ao escopo. Aps o vencimento do perodo de concesso,
os endereos sero recuperados para uso posterior.
2-32
2-33
Caso seja preciso mover a funo Servidor DHCP para outro servidor, tambm aconselhvel mover o
banco de dados para o novo servidor; isso garante que as concesses do cliente sejam mantidas e reduz
a probabilidade de que haja problemas na configurao do cliente.
Inicialmente, voc move o banco de dados fazendo o respectivo backup no antigo servidor DHCP. Em
seguida, feche o servio DHCP no antigo servidor DHCP. preciso ento copiar o banco de dados DHCP
no novo servidor, onde ser possvel restaur-lo usando o procedimento normal de restaurao de
bancos de dados.
2-34
2-35
Lio 5
Objetivos
Ao concluir esta lio, voc ser capaz de:
O DHCP um protocolo dinmico. Em geral, as alteraes no ambiente da rede exigem que voc faa
alteraes no servidor DHCP para acomodar o novo ambiente de rede. Essas alteraes podem surgir
porque h mais clientes na rede, o que pode gerar uma carga de trfego maior no servidor DHCP, ou
porque o servidor DHCP esgotou o pool de endereos. O monitoramento dessas operaes permite
atender s novas necessidades proativamente conforme elas surgem; isso minimiza as interrupes de
servio e o tempo de inatividade.
O DHCP tem trs fontes de informaes que podem ser usadas para monitoramento:
Estatsticas de DHCP
2-36
2-37
Descrio
Exemplo
Conflitos de
endereo
O mesmo endereo IP
Um administrador exclui uma concesso.
oferecido a dois clientes distintos. No entanto, o cliente que tinha a concesso
ainda pensa que a concesso vlida. Se o
servidor DHCP no verificar o IP, ele poder
conceder o IP outra mquina, causando
um conflito de endereos. Isso tambm
ocorrer se dois servidores DHCP tiverem
escopos sobrepostos.
Falha ao obter um
endereo DHCP
O cliente no recebe um
endereo DHCP e recebe um
endereamento APIPA
autoatribudo.
Endereo obtido do
escopo incorreto
O banco de dados
DHCP sofre danos
ou perda de dados
O servidor DHCP
esgota seu pool de
endereos IP
Os escopos de IP do servidor
DHCP se esgotaram. Qualquer
cliente novo que solicite um
endereo IP ser recusado.
As estatsticas de DHCP fornecem informaes sobre a atividade e o uso do DHCP. Voc pode usar esse
console para determinar rapidamente se h algum problema com o servio DHCP ou com os clientes
DHCP da rede. Um exemplo em que as estatsticas podem ser teis quando o administrador percebe
uma grande quantidade de pacotes NACK (confirmao negativa), o que pode indicar que o servidor no
est fornecendo os dados corretos aos clientes.
possvel configurar a taxa de atualizao das estatsticas na guia Geral das propriedades do servidor.
2-38
2-39
O log de auditoria oferece um log rastrevel das atividades do servidor DHCP. Voc pode usar esse log
para rastrear solicitaes, consentimentos e negaes de concesso, e essas informaes permitem
solucionar problemas no desempenho do servidor DHCP. Os arquivos de log so armazenados na pasta
%systemroot%\system32\dhcp por padro. Voc pode configurar o arquivo de log na caixa de dilogo
Propriedades do servidor. Os arquivos recebem nomes com base no dia da semana em que so gerados.
Por exemplo, se o log de auditoria for habilitado em uma segunda-feira, o nome do arquivo ser
DhcpSrvLog-Seg.log.
Descrio
ID
Data
Hora
Descrio
Endereo IP
Nome do host
Endereo MAC
00,06/22/99,22:35:10,Started,,,,
55, 06/22/99,22:45:38,Authorized(servicing),,domain1.local
2-40
2-41
Recomendao
Pacotes
recebidos/s
Pacotes
expirados/s
Monitore aumentos repentinos. Um nmero muito alto indica que o servidor est
levando muito tempo para processar alguns pacotes enquanto outros pacotes so
colocados em fila e se tornam obsoletos, ou o trfego na rede est muito intenso
para o gerenciamento do servidor.
Solicitaes/s
Milissegundos
por pacote
Comprimento de
fila ativa
Duplicados
removido/s
Monitore qualquer atividade que possa indicar que mais de uma solicitao est
sendo transmitida em nome dos clientes.
2-42
Lio 6
2-43
O protocolo DHCP no tem nenhum mtodo interno pra autenticao de usurios. Isso significa que se
voc no tiver cuidado, as concesses de IP podero ir para dispositivos e usurios mal-intencionados.
Esta lio explica como impedir que usurios no autorizados obtenham uma concesso, como gerenciar
servidores DHCP no autorizados e como configurar servidores DHCP para que um grupo especfico
possa gerenci-los.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Impedir que servidores DHCP no autorizados concedam endereos IP aos clientes DHCP.
Pode ser difcil que o DHCP consiga se proteger sozinho. Isso porque o protocolo foi elaborado para
funcionar antes que as informaes necessrias estejam prontas para a autenticao de um computador
cliente com um controlador de domnio.
As precaues bsicas necessrias para limitar o acesso no autorizado incluem:
Certifique-se de reduzir o acesso fsico: se os usurios puderem acessar uma conexo de rede
ativa, provavelmente os respectivos computadores podero obter um endereo IP. Se uma porta
de rede no estiver sendo usada, recomendvel desconect-la fisicamente da infraestrutura de
alternncia.
Habilite o log de auditoria em todos os servidores DHCP: isso pode fornecer uma viso histrica
da atividade, alm de permitir o rastreamento quando um usurio potencialmente malicioso obtiver
um endereo IP na rede. Certifique-se de programar o tempo em intervalos regulares para verificar
os logs de auditoria.
Exija conexes de Camada 2 autenticadas com a rede: a maioria dos comutadores corporativos de
hardware oferece suporte autenticao IEEE (Institute of Electrical and Electronics Engineers, Inc.)
802.1X Isso permite a autenticao do usurio no nvel de porta. Proteja padres sem fios, como WPA
Enterprise e WPA2 Enterprise, tambm usando a autenticao 802.1X.
2-44
2-45
Se os usurios reclamarem que no tm conectividade rede, verifique o endereo IP dos seus servidores
DHCP. Use o comando ipconfig /all para verificar o endereo IP do campo Servidor DHCP. Se esse no for
o endereo IP de um servidor DHCP autorizado, possvel que haja um servidor no autorizado na rede.
Use o utilitrio Localizador de Servidor DHCP (Dhcploc.exe) para localizar os servidores DHCP ativos em
uma sub-rede.
importante assegurar que apenas pessoas autorizadas possam administrar a funo Servidor DHCP.
Isso pode ser feito de duas maneiras:
Atribuindo usurios que exigem acesso somente leitura associao DHCP do grupo Usurios DHCP
O grupo Administradores DHCP est nos grupos internos dos controladores de domnio ou em servidores
locais, uma vez que o grupo local Administradores DHCP utilizado para impedir e permitir acesso para
administrar os servidores DHCP.
Administradores DHCP
Todo usurio pertencente ao grupo Administradores DHCP pode gerenciar o servio DHCP no servidor.
Usurios DHCP
Todo usurio pertencente ao grupo Usurios DHCP pode ter acesso somente leitura ao console.
2-46
2-47
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Cenrio de laboratrio
A Contoso est implantando o DHCP em suas filiais. A tolerncia a falhas importante, e voc
responsvel por configurar os servios DHCP tanto na matriz quanto nas filiais para oferecer suporte
aos requisitos.
Para este projeto, voc dever concluir as seguintes tarefas:
Testar a funcionalidade do cliente com o servidor DHCP primrio online e, em seguida, simular uma
falha de conexo com a matriz
2-48
2-49
2.
3.
Charlotte Weiss
7 de maro
Requisitos
Especifique como voc planeja implementar o DHCP para oferecer suporte aos requisitos da sua filial.
Informaes adicionais
importante que nenhuma falha nos links de comunicao, roteador ou servidor afete negativamente
os usurios.
Propostas
1. Quantos servidores DHCP voc prope implantar na regio?
2. Onde voc pretende implantar esses servidores?
3. Como voc pretende fornecer a tolerncia a falhas da alocao de endereo IP?
4. Como os clientes em uma filial obtero uma configurao de IP se o respectivo servidor DHCP
estiver offline?
Estude o diagrama de rede e leia a seo de requisitos do documento Plano de infraestrutura de rede
da filial: DHCP.
Resultados: ao fim deste exerccio, voc ter determinado a configurao DHCP adequada para
a Contoso.
2.
3.
4.
2.
Abra o Gerenciador de Servidores e instale a funo Servidor DHCP. Aceite todos os padres
durante o assistente para Adicionar Funo, exceto:
3.
2.
3.
4.
No painel de navegao, expanda IPv4, clique com o boto direito do mouse em Geral e clique
em Novo Protocolo de Roteamento.
Na caixa de dilogo Nova Interface para Agente de Retransmissao DHCP, clique em Conexo
Local 2 e clique em OK.
2-50
2.
Abra o DHCP.
3.
2.
Nome: Filial
Configurar opes:
Roteador: 172.16.16.1
Ativar escopo
Resultados: ao fim deste exerccio, voc ter configurado o servidor DHCP da filial.
2-51
2.
Abra o DHCP.
3.
4.
Configurar opes:
Roteador: 172.16.16.1
Ativar escopo
Resultados: ao fim deste exerccio, voc ter criado os escopos necessrios em ambos os
servidores DHCP.
2-52
2.
2.
3.
4.
2.
Interrompa a captura.
3.
Clique em Carregar Filtro, aponte para Filtros Padro, para Exemplos Bsicos e clique em
Filtro de Protocolo DNS.
Na caixa de texto Filtro de Exibio, localize o texto DNS e altere-o para DHCP.
Clique em Aplicar.
4.
Agora examine os quadros capturados. No Resumo do Quadro, clique no quadro com o Destino
255.255.255.255 e a descrio que contenha OFERTA.
5.
Resultados: ao fim deste exerccio, voc ter configurado o cliente para obter um endereo IP
dinamicamente do servidor da filial local.
2-53
2.
2.
2.
3.
4.
5.
Interrompa a captura.
6.
Clique em Carregar Filtro, aponte para Filtros Padro, para Exemplos Bsicos e clique em
Filtro de Protocolo DNS.
Na caixa de texto Filtro de Exibio, localize o texto DNS e altere-o para DHCP. Clique em
Aplicar.
7.
Agora examine os quadros capturados. No Resumo do Quadro, clique no quadro com o Destino
255.255.255.255 e a descrio que contenha OFERTA.
8.
Resultados: ao fim deste exerccio, voc ter verificado se o cliente pode obter um endereo IP da matriz
quando o servidor local estiver indisponvel.
2-54
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
2-55
Perguntas de reviso
1.
Voc tem duas sub-redes em sua organizao e deseja usar o DHCP para alocar endereos a
computadores cliente em ambas as sub-redes. Voc no deseja implantar dois Servidores DHCP.
Quais fatores devem ser considerados?
2.
Sua organizao cresceu e seu escopo IPv4 chegou perto de esgotar os endereos. O que pode ser
feito nesse caso?
3.
4.
aconselhvel configurar a opo 003 - Roteador como uma opo de escopo DHCP no nvel de
servidor?
Ferramentas
Ferramenta
Use para
Onde encontr-la
IPConfig.exe
Linha de comando
Netsh.exe
Linha de comando
Regedit.exe
Interface do Windows
DHCPLoc.exe
Linha de comando
Monitor de Rede
Interface do Windows
2-56
3-1
Mdulo 3
Configurao e soluo de problemas de DNS
Contedo:
Lio 1: Instalao da funo Servidor DNS
3-3
3-14
3-25
3-34
3-39
3-52
O DNS (Sistema de Nomes de Domnio) o servio de nomes bsico no Windows Server 2008 R2.
essencial que voc entenda como implantar, configurar e gerenciar esse importante servio, bem
como resolver os problemas relacionados.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
3-2
Lio 1
3-3
Para oferecer suporte aos servios de rede na sua organizao, voc precisa instalar e configurar a funo
Servidor DNS do Windows Server 2008 R2.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Descrever os novos recursos fornecidos na verso do DNS do Windows Server 2008 R2.
3-4
O DNS um servio de resoluo de nomes que resolve nomes para endereos IP. O servio DNS um
banco de dados hierrquico distribudo. O banco de dados separado em termos lgicos, o que permite
que vrios servidores diferentes hospedem o banco de dados mundial de nomes DNS.
O DNS um servio mundial que permite digitar um nome de domnio (por exemplo, Microsoft.com) que
o computador resolve para um endereo IP. O benefcio que os endereos IPv4 podem ser longos e de
difcil memorizao (por exemplo, 131.107.0.32), enquanto lembrar um nome de domnio mais fcil.
Alm disso, voc pode usar nomes de host que no se alteram, enquanto os endereos IP subjacentes
podem ser alterados para se adequarem s suas necessidades organizacionais.
No incio, havia apenas um arquivo na Internet que continha uma lista de todos os nomes de domnio
e os respectivos endereos IP. Rapidamente, essa lista se tornou extensa demais para ser gerenciada e
distribuda. O DNS foi desenvolvido para solucionar os problemas associados ao uso de um nico arquivo.
Com a adoo do IPv6, o DNS se tornar ainda mais essencial, pois os endereos IPv6 (por exemplo,
2001:db8:4136:e38c:384f:3764:b59c:3d97) so mais complexos que os endereos IPv4.
3-5
O namespace DNS facilita o modo como um resolvedor de DNS localiza um computador. O namespace
organizado em hierarquias para distribuir informaes entre vrios servidores.
Domnio raiz
Um domnio raiz representado por um ponto (.) que, geralmente, voc no digita em um navegador
da Web porque esse (.) j pressuposto. Na prxima vez em que voc digitar um endereo em um
computador, tente adicionar um ponto no final (por exemplo, www.microsoft.com/pt/br/.). Existem 13
servidores de domnios raiz no mundo inteiro.
Observao
O nome de domnio de segundo nvel a parte do nome do domnio que vem antes do TLD. Um
exemplo de nome de domnio de segundo nvel microsoft no domnio www.microsoft.com/pt/br/.
As organizaes que registram nomes de domnio de segundo nvel controlam esses nomes. Qualquer
pessoa pode registrar um nome de domnio de segundo nvel atravs de servio um registro da Internet.
Vrios domnios de segundo nvel tm regras especiais sobre quem ou o que pode registrar um nome de
domnio. Por exemplo, somente as organizaes sem fins lucrativos podem utilizar o domnio .org.
Subdomnio
O subdomnio aparece antes dos domnios de nvel superior e de segundo nvel. Um exemplo de
subdomnio www no nome de domnio www.microsoft.com/pt/br/. Os subdomnios so definidos
no servidor DNS da organizao que mantm o servidor DNS de segundo nvel.
A-Z
a-z
0-9
Hfen (-)
Observao
3-6
3-7
Voc perceber algumas das vantagens de usar o Windows Server 2008 com os novos recursos que ele
inclui para a funo Servidor DNS. Esses recursos incluem carregamento de zona em segundo plano,
suporte para IPv6, para controladores de domnio somente leitura e para nomes globais nicos.
Suporte ao IPv6
Agora o servio Servidor DNS oferece suporte consulta e ao registro dinmico do host IPv6 (IP verso 6)
e aos registros de ponteiro por IPv6. Um registro de host IPv6 conhecido como um registro AAAA.
3-8
Para ajudar a impedir esse controle, a funo Servidor DNS no Windows Server 2008 inclui uma lista de
bloqueios global de consulta que pode ajudar a impedir que um usurio mal-intencionado adote nomes
DNS que tenham significado especial.
3-9
O Windows Server 2008 R2 apresenta funcionalidade adicional dos recursos que esto includos no
Windows Server 2008.
Devoluo do DNS
Com a devoluo do DNS, um resolvedor de DNS, como o Internet Explorer, acrescenta o sufixo pai a um
FQDN (nome de domnio totalmente qualificado) de DNS incompleto. Por exemplo, se o usurio inseriu
http://server1 na barra de endereos do Internet Explorer, supondo que o sufixo primrio do cliente que
est executando o Internet Explorer seja sales.contoso.com, isso o que ser acrescentado. Se resoluo
for malsucedida, ento o pai de Contoso.com ser acrescentado e assim por diante.
Devoluo o comportamento no AD DS que permite aos computadores cliente que so membros
de um domnio filho acessar recursos no domnio pai sem a necessidade de fornecer explicitamente
o FQDN do recurso.
3-10
Quando voc habilita o bloqueio do cache, o servidor DNS no permite que os registros em cache sejam
substitudos enquanto durar o valor TTL (vida til). O bloqueio de cache fornece segurana avanada
contra ataques por envenenamento do cache.
Para separar o trfego da Internet do trfego da intranet para o DirectAccess, o Windows Server 2008 R2
e o Windows 7 incluem a NRPT (Tabela de Diretivas de Resoluo de Nomes), um recurso que permite
definir servidores DNS para cada namespace DNS, e no para cada interface. A NRPT armazena uma lista
de regras. Cada regra define um namespace DNS e definies de configurao que descrevem o
comportamento do cliente DNS para esse namespace. Quando um cliente do DirectAccess estiver na
Internet, cada solicitao de consulta de nome comparada com as regras de namespace armazenadas
na NRPT. Se uma correspondncia for encontrada, a solicitao ser processada de acordo com as
configuraes na regra NRPT.
3-11
3-12
Quantas zonas DNS voc ir configurar no servidor e quantos registros de DNS cada zona conter?
Normalmente, as zonas so mapeadas uma para uma com domnios no seu namespace. Quando
voc tiver um grande nmero de registros, pode ser mais sensato dividir os registros em vrias zonas.
Quantos clientes DNS se comunicaro com o servidor no qual voc configurar a funo DNS?
Quanto mais resolvedores de cliente houver, mais carga ser colocada no servidor. Quando houver
previso de carga adicional, pense em implantar mais servidores DNS.
Onde voc colocar os servidores DNS? Por exemplo, voc centralizar os servidores ou seria mais
conveniente coloc-los nas filiais? Se houver menos clientes em uma filial, a maioria das solicitaes
de DNS poder ser atendida com um servidor DNS central ou pela implementao de um servidor
somente de cache. Um grande nmero de usurios em uma filial pode se beneficiar de um servidor
DNS local com dados de zona adequados.
As respostas dadas s perguntas acima determinaro quantos servidores DNS devem ser implantados e
onde eles devem ser colocados.
Descrio
Arquivo de texto
Active Directory
3-13
As zonas integradas do Active Directory so mais fceis de gerenciar do que as zonas baseadas em
texto tradicionais, alm de serem mais seguras. A replicao dos dados da zona ocorre como parte
da replicao do Active Directory.
Como os computadores cliente resolvem nomes quando o respectivo servidor DNS se torna
indisponvel?
Qual ser o impacto no trfego da rede se os computadores cliente comearem a usar um servidor
DNS alternativo, talvez localizado remotamente?
Como voc implementar transferncias de zona? As zonas integradas do Active Directory usam
a replicao do Active Directory para transferir a zona para todos os outros controladores de
domnio. Ao implementar zonas integradas no pertencentes ao Active Directory, ser preciso
que voc mesmo planeje o mecanismo de transferncia de zona.
Lio 2
A infraestrutura do DNS a base para a resoluo de nomes na Internet e nos domnios Active Directory
do Windows Server 2008. Esta lio fornece orientao e informaes sobre o que necessrio para
configurar a funo Servidor DNS, e explica as funes bsicas de um servidor DNS.
Objetivos
Ao concluir esta lio, voc ser capaz de:
3-14
3-15
Os componentes de uma soluo DNS incluem servidores DNS, servidores DNS na Internet e resolvedores
ou clientes DNS.
Servidores DNS
Um servidor DNS responde a consultas DNS recursivas e iterativas. Os servidores DNS tambm podem
hospedar uma ou mais zonas de um domnio especfico. As zonas contm diferentes registros de recursos.
Os servidores DNS tambm podem armazenar as pesquisas em cache para reservar tempo para as
consultas comuns.
Os servidores DNS na Internet esto acessveis ao pblico. Eles hospedam informaes de zonas pblicas
e do servidor raiz, entre outros TLDs comuns, como .COM, .NET, .EDU.
Resolvedores de DNS
O resolvedor de DNS gera e envia consultas interativas ou recursivas ao Servidor DNS. Um resolvedor
de DNS pode ser qualquer computador que executa uma pesquisa de DNS que exige interao com
o servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.
O arquivo de zona DNS armazena registros de recursos. Registros de recursos especificam um tipo de
recurso e o endereo IP para localizar o recurso. O registro de recurso mais comum o registro de
recurso A. Ele um registro simples que resolve um nome de host para um endereo IP. O host pode
ser uma estao de trabalho, um servidor ou outro dispositivo de rede, como um roteador.
3-16
Os registros de recursos tambm ajudam a encontrar recursos para um domnio especfico. Por exemplo,
quando um Exchange Server precisar encontrar o servidor responsvel por entregar a correspondncia
para outro domnio, ele solicitar o registro MX (Servidor de mensagens) desse domnio. Esse registro
indica o registro A do host que estiver executando o servio de correio SMTP (Simple Mail Transfer
Protocol).
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma empresa tiver vrios servidores de correio. Esse
atributo informar ao servidor emissor o servidor de correio preferido pela empresa receptora. Os
registros SRV tambm contm informaes sobre a porta que est sendo escutada pelo servio e sobre
o protocolo que voc deve usar para se comunicar com o servio.
A tabela a seguir descreve os registros de recursos mais comuns.
Registros de
recursos DNS
Descrio
SOA
CNAME
MX
3-17
(continuao)
Registros de
recursos DNS
Descrio
SRV
NS
AAAA
PTR
As dicas de raiz so a lista dos 13 servidores na Internet que o servidor DNS utiliza, caso ele no possa
resolver uma consulta DNS usando um encaminhador do DNS ou o prprio cache. As dicas de raiz so
os servidores mais importantes na hierarquia do DNS e podem fornecer as informaes necessrias para
um servidor DNS fazer uma pesquisa iterativa para a prxima camada mais inferior do namespace DNS.
Os servidores raiz so instalados automaticamente quando voc instala a funo DNS. Eles so copiados
do arquivo cache.dns includo nos arquivos de instalao da funo DNS.
Voc tambm pode adicionar dicas de raiz em um servidor DNS para oferecer suporte s pesquisas de
domnios no contguos em uma floresta.
3-18
Ao se comunicar com um servidor de dicas de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio, o servidor no poder fazer consultas sobre
dicas de raiz. Se voc configurar o servidor usando um encaminhador, ele tentar enviar uma consulta
recursiva para o respectivo servidor de encaminhamento. Se o servidor de encaminhamento no
responder a essa consulta, o servidor responder que no foi possvel encontrar o host.
importante perceber que recurso em um servidor DNS e consultas recursivas no significam a mesma
coisa. Recurso em um servidor significa que esse servidor usar as respectivas dicas de raiz e tentar
resolver uma consulta DNS. Os prximos tpicos discutiro em mais detalhes as consultas Iterativas
e Recursivas.
3-19
Uma consulta DNS o mtodo usado para solicitar resoluo de nomes no qual uma consulta enviada
para um Servidor DNS. Existem dois tipos de resposta s consultas DNS: autoritativa e no autoritativa.
importante observar que servidores DNS tambm podem atuar como resolvedores de DNS e enviar
consultas DNS a outros servidores DNS.
Uma consulta autoritativa aquela para a qual o servidor pode retornar uma resposta que ele sabe
estar correta, pois a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS, que contm no cache o domnio que solicitado, responde a uma consulta no
autoritativa usando encaminhadores ou dicas de raiz. No entanto, a resposta fornecida pode no ser
exata, uma vez que somente o servidor DNS com autoridade sobre o domnio especificado pode
emitir essa informao.
Se o servidor DNS tiver autoridade sobre o namespace da consulta, o servidor DNS verificar a zona
e executar um dos seguintes procedimentos:
Se o servidor DNS local no tiver autoridade sobre o namespace da consulta, ele executar um dos
seguintes procedimentos:
3-20
Usar endereos conhecidos de diversos servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Uma consulta recursiva pode ter dois resultados possveis:
Por motivos de segurana, s vezes necessrio desabilitar consultas recursivas em um servidor DNS.
Assim, o servidor DNS em questo no tentar encaminhar suas solicitaes DNS para outro servidor.
Isso pode ser til para impedir que determinado servidor DNS se comunique fora da prpria rede local.
Consultas iterativas
As consultas iterativas oferecem um mecanismo para acessar informaes de nome de domnio residentes
no sistema DNS e habilitam servidores para resolver nomes de maneira rpida e eficiente em vrios
servidores.
Ao receber uma solicitao que no pode ser respondida com as informaes locais ou com as pesquisas
armazenadas no cache, um servidor DNS repassa essa solicitao para outro servidor DNS usando uma
consulta iterativa.
Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereo IP do nome do
domnio (se for conhecido) ou com uma referncia aos servidores DNS responsveis pelo domnio que
est sendo consultado.
3-21
O que o encaminhamento?
Um encaminhador um servidor DNS de rede que encaminha consultas DNS de nomes DNS externos
para os servidores DNS fora dessa rede. Voc tambm pode usar encaminhadores condicionais para
encaminhar consultas de acordo com nomes de domnios especficos.
Um servidor DNS de rede designado como encaminhador quando os outros servidores DNS na rede
encaminham para ele as consultas que no puderam resolver localmente. Ao utilizar um encaminhador,
voc pode gerenciar a resoluo de nomes fora de sua rede, como os nomes na Internet, e melhorar
a eficincia desse processo nos computadores da rede.
O servidor que estiver encaminhando solicitaes na rede deve poder se comunicar com o servidor
DNS localizado na Internet. Isso significa que voc o configura para encaminhar solicitaes para outro
servidor DNS ou ele utiliza as dicas de raiz para se comunicar.
Prtica recomendada
Use um servidor DNS de encaminhamento central para a resoluo de nomes da Internet. Isso pode
melhorar o desempenho, simplificar o processo de soluo de problemas e uma prtica de segurana
recomendada. Voc pode isolar o servidor DNS de encaminhamento em uma rede de permetro,
o que garante que nenhum servidor dentro da rede se comunique diretamente com a Internet.
Encaminhamento condicional
Um encaminhador condicional um servidor DNS em uma rede que encaminha consultas DNS de acordo
com o nome de domnio DNS da consulta.
Por exemplo, voc pode configurar um servidor DNS para encaminhar todas as consultas por ele
recebidas sobre nomes que terminam com corp.contoso.com para o endereo IP de um servidor DNS
especfico ou para os endereos IP de vrios servidores DNS.
Isso pode ajudar se existirem vrios namespaces DNS em uma floresta.
Prtica recomendada
Use encaminhadores condicionais, se existirem vrios namespaces internos. Isso agiliza a resoluo
de nomes.
3-22
3-23
O cache do DNS aumenta o desempenho do sistema DNS da organizao, diminuindo o tempo que ele
leva para fornecer pesquisas de DNS.
Ao resolver com xito um nome DNS, um servidor DNS adiciona esse nome ao seu cache. Com o tempo,
isso cria um cache de nomes de domnio e os respectivos endereos IP dos domnios mais comuns que
a organizao usa ou acessa.
Observao O tempo padro para armazenar dados de DNS me cache de uma hora.
possvel configurar esse recurso alterando o registro SOA da zona DNS adequada.
Um servidor somente de cache no hospedar dados de zonas DNS; apenas responder s pesquisas dos
clientes DNS. Esse o tipo ideal de servidor DNS para ser utilizado como encaminhador.
O cache de cliente DNS um cache DNS armazenado pelo servio Cliente DNS no computador local. Para
ilustrar o armazenamento em cache ocorrido no lado cliente, execute o comando ipconfig /displaydns
no prompt de comando. Assim, o cache do cliente DNS local ser exibido. Se for necessrio limpar
o cache local, use ipconfig /flushdns.
3-24
Lio 3
Objetivos
Ao concluir esta lio, voc ser capaz de:
3-25
Uma zona DNS hospeda todo ou parte de um domnio e seus subdomnios. O slide mostra
como os subdomnios podem pertencer mesma zona de seus pais ou podem ser delegados
a outra zona. O domnio Microsoft.com est dividido em duas zonas. A primeira zona hospeda
o www.microsoft.com/pt/br/ e o ftp.microsoft.com. O exemplo.microsoft.com delegado para uma
nova zona, que hospeda o exemplo.microsoft.com e seus subdomnios, ftp.exemplo.microsoft.com
e www.exemplo.microsoft.com.
Importante A zona que hospeda uma raiz do domnio (Microsoft.com) deve delegar
o subdomnio (exemplo.microsoft.com) segunda zona. Se isso no ocorrer,
o exemplo.microsoft.com ser considerado uma parte da primeira zona.
Os dados da zona podem ser replicados em mais de um servidor. Isso gera redundncia em uma zona,
pois as informaes necessrias para encontrar os recursos na zona passam a constar em dois servidores.
O nvel de redundncia necessria um motivo para criar as zonas. Se existir uma zona que hospeda os
registros de recursos crticos do servidor, provvel que essa zona tenha um nvel mais alto de
redundncia do que outra onde estejam definidos dispositivos no crticos.
Vrias empresas criam uma zona DNS distinta para as estaes de trabalho e outra para os servidores.
Assim, os administradores podem escolher estratgicas diferentes ao definir como as zonas sero
replicadas.
Um servidor DNS ter autoridade sobre uma zona se ele hospedar, no arquivo de zona, os registros de
recursos dos nomes e endereos que os clientes solicitarem.
3-26
Primria
Secundria
Stub
Zona primria
Quando uma zona hospedada por um servidor DNS uma zona primria, o servidor DNS a fonte
principal de informaes sobre essa zona e armazena uma cpia mestra dos dados da zona em um
arquivo local ou no AD DS. Quando o servidor DNS armazena a zona em um arquivo, o arquivo
de zona primria denominado nome_da_zona.dns por padro e est localizado na pasta
%windir%\System32\Dns no servidor. Quando a zona no armazenada no Active Directory,
este o nico servidor DNS que possui uma cpia gravvel do banco de dados.
Zona secundria
3-27
Quando uma zona hospedada em um Servidor DNS uma zona secundria, o Servidor DNS uma fonte
secundria de informaes da zona. A zona contida nesse servidor deve ser obtida em outro servidor DNS
remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto para
receber informaes atualizadas da zona. Como uma zona secundria uma cpia de uma zona primria
hospedada em outro servidor, ela no pode ser armazenada no AD DS. As zonas secundrias podem ser
teis quando voc estiver replicando dados de zonas DNS no Windows.
Zona de stub
O Windows Server 2003 lanou as zonas de stub, que solucionam vrios problemas relacionados
a grandes namespaces DNS e a diversas florestas de rvores. Uma floresta com vrias rvores uma
floresta do Active Directory que contm dois nomes diferentes de domnio.
3-28
Se o Active Directory armazenar a zona, o DNS poder aproveitar o modelo de replicao de vrios
mestres para replicar a zona primria. Isso permite editar os dados da zona em mais de um servidor DNS.
O Windows Server 2008 introduziu um novo conceito chamado controlador de domnio somente leitura.
Os dados da zona integrada ao Active Directory podem ser replicados para controladores de domnio,
mesmo quando a funo DNS no est instalada no controlador de domnio. Se o servidor for um
controlador de domnio somente leitura, um processo local no poder gravar os dados.
3-29
importante ter uma zona inversa, se voc tiver aplicativos que precisam procurar hosts pelos respectivos
endereos IP. Vrios aplicativos registraro essas informaes nos logs de segurana ou de evento.
Se voc se deparar com uma atividade suspeita em um determinado endereo IP, ser possvel o host
usando as informaes da zona inversa.
Muitos gateways de segurana de email usam pesquisas inversas para verificar se um endereo IP que
envia mensagens est associado a um domnio.
3-30
Uma zona de stub a cpia replicada de uma zona que contm apenas esses registros de recursos
necessrios para identificar os servidores DNS autoritativos dessa zona. A zona de stub resolve nomes
entre namespaces DNS distintos, que podem ser necessrios quando uma fuso corporativa requer que os
servidores DNS de dois namespaces DNS distintos resolvam nomes de clientes em ambos os namespaces.
Uma zona de stub apresenta:
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona
de stub.
Servidores mestre de uma zona de stub so um ou mais servidores DNS com autoridade sobre a zona
filho, geralmente o servidor DNS que hospeda a zona primria do nome do domnio delegado.
Quando um resolvedor de DNS faz uma operao de consulta recursiva em um servidor DNS que
hospeda uma zona de stub, este ltimo utiliza os registros de recurso na zona de stub para resolver
a consulta. O servidor DNS envia uma consulta iterativa para os servidores DNS com autoridade, que os
registros de recurso NS da zona de stub especificam como se ele estivesse usando registros de recurso NS
no respectivo cache. Se o servidor DNS no puder encontrar os servidores DNS autoritativos na respectiva
zona de stub, o servidor DNS que hospeda a zona de stub tentar uma recurso padro usando as dicas
de raiz.
3-31
O servidor DNS armazenar os registros de recursos recebidos dos servidores DNS autoritativos listados
em uma zona de stub que est em seu cache, mas no os armazenar na prpria zona de stub. So
armazenados na zona de stub somente os registros de recurso SOA, NS e A associado retornados na
resposta consulta. Os registros de recursos guardados no cache so armazenados de acordo com o valor
TTL existente em cada um deles. Os registros de recurso SOA, NS e A associado, que no so gravados no
cache, expiram de acordo com o intervalo de expirao especificado pelo registro SOA da zona de stub.
Durante a criao da zona de stub, o registro SOA gerado. As atualizaes dos registros SOA ocorrem
durante as transferncias da zona primria, original para a zona de stub.
No caso de uma consulta iterativa, o servidor DNS retorna uma referncia contendo os servidores
especificados pela zona de stub.
Um servidor DNS que delega um domnio a uma zona filho existente em outro servidor DNS s
reconhecer os novos servidores DNS com autoridade sobre a zona filho quando os respectivos registros
de recurso forem adicionados zona pai hospedada no servidor DNS. Trata-se de um processo manual
que exige que os administradores dos diversos servidores DNS se comuniquem frequentemente. Com
as zonas de stub, um servidor DNS que hospeda uma zona de stub para um de seus domnios delegados
pode obter atualizaes dos servidores DNS com autoridade sobre a zona filho quando a zona de stub for
atualizada. A atualizao ocorre a partir do servidor DNS que hospeda a zona de stub, e o administrador
do servidor DNS que hospeda a zona filho no precisa ser contatado.
Pode ocorrer certa confuso sobre quando usar os encaminhadores condicionais, e no zonas de stub,
uma vez que os dois recursos DNS permitem que um servidor DNS responda a uma consulta com uma
referncia ou encaminhamento para outro servidor DNS. No entanto, essas configuraes tm diferentes
finalidades:
Uma configurao de encaminhador condicional define o servidor DNS para encaminhar uma
consulta recebida para um servidor DNS, dependendo do nome DNS contido nessa consulta.
Uma zona de stub faz com que um servidor DNS hospede uma zona pai que reconhea os servidores
DNS com autoridade sobre uma zona filho.
3-32
3-33
O DNS um sistema hierrquico, e a delegao de zona conecta as camadas DNS juntas. A delegao de
zona aponta para o prximo nvel hierrquico abaixo e identifica os servidores de nome responsveis por
um domnio de nvel inferior.
Ao optar pela diviso do namespace DNS para criar zonas adicionais, considere os seguintes motivos
para o uso dessas zonas:
Necessidade de dividir uma zona grande em zonas menores para distribuio das cargas de trfego
entre vrios servidores, o que melhora o desempenho da resoluo de nomes DNS e cria um
ambiente DNS mais tolerante a falhas.
Lio 4
Objetivos
Ao concluir esta lio, voc ser capaz de:
3-34
3-35
Uma transferncia de zona ocorre quando a zona DNS existente em um servidor transferida para outro
servidor DNS.
As transferncias de zona sincronizam as zonas dos servidores DNS primrio e secundrio. assim que
o DNS forma sua resilincia na Internet. importante que as zonas DNS permaneam atualizadas nos
servidores primrio e secundrio. Discrepncias nas zonas primria e secundria podem causar
interrupes de servio e nomes de host resolvidos incorretamente.
Uma transferncia de zona completa ocorre quando a zona inteira copiada de um servidor DNS para
outro. Uma transferncia de zona completa conhecida como transferncia de zona plena (AXFR).
Uma transferncia de zona incremental ocorre quando existe uma atualizao para o servidor DNS
e apenas os registros de recursos alterados so replicados no outro servidor. Essa uma Transferncia
de Zona Incremental (IXFR).
Os servidores DNS do Windows tambm fazem transferncias rpidas, que um tipo de transferncia
de zona que utiliza a compactao e envia diversos registros de recursos em cada transmisso.
Nem todas as implementao do servidor DNS oferecem suporte s transferncias de zona incremental e
rpida. Ao integrar um servidor DNS do Windows 2008 a um servidor DNS BIND (Berkeley Internet Name
Domain), assegure-se de que, na verso do BIND instalada, haja suporte para os recursos necessrios.
A tabela a seguir lista os recursos com suporte nos vrios servidores DNS.
Servidor DNS
BIND anterior
verso 4.9.4
Com suporte
Sem suporte
Sem suporte
Com suporte
Sem suporte
Com suporte
BIND 8.2
Com suporte
Com suporte
Com suporte
Servidor DNS
Com suporte
Com suporte
Com suporte
Com suporte
Com suporte
Com suporte
Windows 2008 e R2
Com suporte
Com suporte
Com suporte
3-36
As zonas integradas ao Active Directory replicam usando a replicao de vrios mestres. Isso significa que
qualquer controlador de domnio padro que tambm tenha a funo DNS pode atualizar a informao
da zona DNS que, posteriormente, replica para todos os servidores DNS que hospedam a zona DNS.
Notificao DNS
A notificao DNS uma atualizao para a especificao do protocolo DNS original que permite
a notificao a servidores secundrios quando ocorrerem alteraes na zona; isso til em um ambiente
de urgncia, onde a preciso de dados importante.
3-37
As informaes de zona fornecem dados organizacionais e, por isso, voc deve tomar precaues para
garantir que estejam protegidos contra o acesso mal-intencionado e que no possam ser sobrescritos
com dados invlidos (conhecido como envenenamento do DNS). Uma maneira de proteger
a infraestrutura de DNS proteger as transferncias de zona e usar atualizaes dinmicas seguras.
Na guia Transferncias de Zona da caixa de dilogo Propriedades da Zona, voc pode especificar
a lista de servidores DNS permitidos. Voc tambm pode usar essas opes para impedir a transferncia
de zona. Por padro, as transferncias de zona esto desabilitadas.
Embora a opo que especifica os servidores autorizados a solicitar dados da zona fornea segurana
restringindo os destinatrios dos dados, ela no protege os dados durante uma transmisso. Se as
informaes da zona forem altamente confidenciais, recomendvel usar uma poltica IPsec para
proteger a transmisso ou replicar os dados da zona por um tnel VPN (rede virtual privada). Isso
impede a deteco de pacotes para determinar informaes na transmisso dos dados.
O uso de zonas integradas ao Active Directory replica os dados da zona como parte das replicaes
habituais do AD DS. Portanto, se o trfego de zonas DNS em zonas integradas ao Active Directory precisar
ser protegido, tambm ser necessrio proteger os dados de replicao do AD DS.
3-38
Lio 5
3-39
O DNS um servio fundamental na infraestrutura do Active Directory. Quando o servio DNS apresenta
problemas, importante saber como solucion-los e identificar os problemas comuns que podem ocorrer
em uma infraestrutura de DNS. Esta lio aborda os problemas comuns que ocorrem no DNS, as reas
comuns para coleta de informaes de DNS e as ferramentas que voc pode usar para solucionar
problemas.
Objetivos
Ao concluir esta lio, voc ser capaz de:
A TTL (vida til), durao e eliminao ajudam a gerenciar registros de recursos DNS nos arquivos de
zona. Os arquivos de zona podem mudar ao longo do tempo, de modo que necessrio ter um modo
de gerenciar registros DNS que so atualizados ou que no so mais vlidos, pois os hosts que eles
representam no esto mais na rede.
A tabela a seguir descreve as ferramentas do DNS que ajudam a manter um banco de dados DNS.
Ferramenta
Descrio
TTL
(Vida til)
Indica por quanto tempo um registro DNS permanecer vlido. A TTL pode variar, de
acordo com o tipo de registro de recursos DNS. Por exemplo, um registro MX tem uma
TTL muito mais longa do que um registro de host para um laptop.
Durao
Eliminao
Se permanecerem sem gerenciamento, a presena de registros de recursos obsoletos nos dados da zona
pode causar problemas. Por exemplo:
3-40
Se uma grande quantidade de registros de recursos obsoletos permanecer nas zonas do servidor,
o espao em disco do servidor ser esgotado e esses registros ocasionaro transferncias
desnecessariamente longas da zona.
Um servidor DNS que carrega zonas com registros de recursos obsoletos pode utilizar informaes
desatualizadas para responder s consultas dos clientes, o que pode fazer com que os computadores
cliente enfrentem problemas de resoluo de nomes ou problemas de conectividade na rede.
3-41
O acmulo de registros de recursos obsoletos no servidor DNS pode degradar seu desempenho e sua
capacidade de resposta.
Em alguns casos, se uma zona tiver um registro de recursos obsoleto, ele poder impedir que outro
computador ou um dispositivo host use um nome de domnio DNS.
Para solucionar esses problemas, o servio Servidor DNS dispe dos seguintes recursos:
Carimbo de data/hora, baseado na data e hora atuais definidas no computador servidor, para
quaisquer registros de recursos adicionados dinamicamente s zonas do tipo primrio. Alm disso,
os carimbos de data/hora sero registrados nas zonas primrias padro nas quais voc habilitar
a durao e a eliminao.
Para os registros de recursos adicionados manualmente, use um valor zero de carimbo de data/hora
para indicar que o processo de durao no afeta esses registros e que eles podem permanecer sem
limitao nos dados da zona, a menos que voc altere, de outra forma, os respectivos carimbos de
data/hora ou os exclua.
Durao dos registros de recursos nos dados locais, com base em um perodo de atualizao
especificado, para quaisquer zonas qualificadas.
Somente as zonas do tipo primrio carregadas pelo servio Servidor DNS esto qualificadas a
participar nesse processo.
Eliminao dos registros de recursos que persistirem alm do perodo de atualizao especificado.
Ao executar uma operao de eliminao, um servidor DNS pode detectar que os registros de recursos
envelheceram a ponto de se tornarem obsoletos e pode remov-los dos dados da zona. Voc pode
configurar os servidores para executar automaticamente as operaes de eliminao recorrentes ou
pode iniciar uma operao de eliminao imediata no servidor.
Cuidado Por padro, o mecanismo de durao e eliminao do servio Servidor DNS est
desabilitado. Habilite-o somente quando voc realmente entender todos os parmetros.
Caso contrrio, voc poderia configurar o servidor para excluir inadvertidamente os
registros que no deveriam ser eliminados. Se um registro for excludo por engano, no
somente os usurios deixaro de resolver as consultas para esse registro, mas qualquer
usurio poder criar o registro e se apossar dele, inclusive nas zonas que voc configurar
para fazer atualizao dinmica segura.
O servidor utiliza o contedo de cada carimbo de data/hora especfico do registro de recursos,
juntamente com outras propriedades de durao e eliminao que voc possa ajustar ou configurar,
para determinar quando ele deve eliminar os registros.
Habilite a durao e a eliminao no servidor DNS e na zona DNS. Por padro, a durao e a
eliminao dos registros de recursos esto desabilitadas.
Para os registros adicionados s zonas carregando um arquivo de zona baseado em texto de outro
servidor DNS ou adicionando-os manualmente a uma zona, definido um carimbo de data/hora de
valor zero. Isso desqualifica esses registros para uso nas operaes de durao e eliminao.
Para alterar esse padro, voc pode administrar cada um desses registros, de modo a redefinir e permitir
que eles utilizem um valor de carimbo de data/hora atual (diferente de zero). Isso permite que esses
registros se tornem obsoletos e sejam eliminados.
3-42
Configurar a TTL.
3-43
3-44
Podem ocorrer problemas quando voc no configura corretamente o servidor DNS, bem como as zonas
e os registros de recursos respectivos. Quando os registros de recursos esto causando problemas pode
ser mais difcil identificar o problema, pois problemas de configurao nem sempre so bvios.
A tabela a seguir lista os possveis problemas na configurao que podem ocasionar problemas no DNS.
Problema
Resultado
Registros ausentes
Registros incompletos
Registros configurados
incorretamente
Nslookup: use para consultar informaes do DNS. A ferramenta flexvel e pode fornecer muitas
informaes importantes sobre o status do servidor DNS. Utilize-a tambm para procurar registros
de recursos e validar as respectivas configuraes. Alm disso, voc tambm pode testar as
transferncias de zona, as opes de segurana e a resoluo de registros MX.
Observao Se estiver usando a ferramenta Nslookup em um cliente DirectAccess que
tenha entradas de NRPT (Tabela de Diretivas de Resoluo de Nomes), talvez seja preciso
especificar o endereo do servidor DNS. Para obter mais informaes, consulte
http://go.microsoft.com/fwlink/?LinkID=214829&clcid=0x409. (em ingls).
3-45
Dnscmd: gerencie o servio Servidor DNS com essa interface de linha de comando. Esse utilitrio
ajuda a criar scripts de arquivos em lote para automatizar tarefas rotineiras de gerenciamento do
DNS ou para realizar uma instalao simples e automtica e a configurao de novos servidores DNS
na rede.
Observao Voc pode obter informaes sobre a sintaxe de linha de comando de
Dnscmd.exe no site da Microsoft: http://go.microsoft.com/fwlink/?LinkID=214830.
(em ingls)
Dnslint: use para diagnosticar problemas comuns do DNS. Esse utilitrio de linha de comando
diagnostica rapidamente os problemas de configurao ocorridos no DNS e tambm pode gerar
uma relatrio sobre o status do domnio que est sendo testado, no formato HTML.
Observao Voc pode obter informaes sobre a sintaxe de linha de comando de
Dnslint.exe no site da Microsoft: http://go.microsoft.com/fwlink/?LinkID=214831.
(em ingls)
IPconfig: use esse comando para exibir e modificar detalhes da configurao de IP que
o computador utiliza. Esse utilitrio inclui outras opes de linha de comando que podem ser usadas
para solucionar problemas e oferecer suporte aos clientes DNS. Voc pode exibir o cache DNS local
do cliente usando o comando ipconfig/displaydns e pode limpar o cache local usando o comando
ipconfig/flushdns.
3-46
3-47
O servidor DNS tem sua prpria categoria no log de eventos. Assim como em qualquer log de eventos
do Visualizador de Eventos do Windows, voc deve revisar o log de eventos periodicamente.
Descrio
408
O servidor DNS no pde abrir o soquete para o endereo [EndereoIP]. Verifique se esse
um endereo IP vlido para o computador servidor.
Para corrigir o problema, faa o seguinte:
1. Se o endereo IP especificado no for vlido, remova-o da lista de interfaces restritas
para o servidor e reinicie o servidor.
2. Se o endereo IP especificado no for mais vlido e era o nico endereo habilitado
para uso no servidor DNS, o servidor no deve ter inicializado devido a um erro de
configurao. Para corrigir o problema, exclua o seguinte valor do Registro e reinicie
o servidor DNS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\ListenAddress
3. Se o endereo IP para o computador servidor for vlido, certifique-se de que nenhum
outro aplicativo que tente usar a mesma porta do servidor DNS (como outro aplicativo
do servidor DNS) esteja em execuo. Por padro, o DNS usa a porta TCP 53.
(continuao)
ID do
evento
Descrio
3-48
413
O servidor DNS envia solicitaes para outros servidores DNS atravs de uma porta
diferente da padro (porta TCP 53).
Esse servidor DNS tem hospedagem mltipla e foi configurado para restringir o servio
Servidor DNS a apenas alguns de seus endereos IP configurados. Por esse motivo, no
possvel garantir que as consultas DNS feitas por esse servidor a outros servidores DNS
remotos sejam enviadas atravs de um dos endereos IP habilitados para o servidor DNS.
Isso pode impedir que as respostas s consultas, retornadas por esses servidores, sejam
recebidas na porta DNS configurada para uso desse servidor. Para evitar esse problema, o
servidor DNS envia consultas a outros servidores DNS usando uma porta no DNS aleatria,
e a resposta recebida independentemente do endereo IP utilizado.
Para limitar o servidor DNS a usar apenas sua respectiva porta DNS configurada para enviar
consultas a outros servidores DNS, use o console DNS para implementar uma das seguintes
alteraes na configurao das propriedades do servidor, na guia Interfaces:
Selecione a opo Em todos os endereos IP para permitir que o servidor DNS escute
em todos os endereos IP configurados do servidor.
Selecione Apenas nos seguintes endereos IP para limitar a lista de endereos IP
a um nico endereo IP do servidor.
414
708
O servidor DNS no detectou nenhuma zona do tipo primria ou secundria. Ele ser
executado como um servidor somente de cache, mas no ter autoridade sobre quaisquer
zonas.
3150
ID do
evento
6527
Descrio
3-49
s vezes pode ser necessrio obter mais detalhes sobre um problema de DNS alm daqueles fornecidos
pelo Visualizador de Eventos. Nessa instncia, voc pode usar o log de depurao para fornecer
informaes adicionais.
Esto disponveis as seguintes opes de log de depurao DNS:
Direo de pacotes
Enviar: o arquivo de log do servidor DNS registra os pacotes por ele enviados.
Consulta padro: especifica que os pacotes que contm consultas padro (de acordo com
a RFC 1034) so registrados no arquivo de log do servidor DNS.
Atualizaes: especifica que os pacotes que contm atualizaes dinmicas (de acordo com
a RFC 2136) so registrados no arquivo de log do servidor DNS.
Notificaes: especifica que os pacotes que contm notificaes (de acordo com a RFC 1996)
so registrados no arquivo de log do servidor DNS.
Protocolo de transporte
UDP: especifica que os pacotes enviados e recebidos atravs do UDP (User Datagram Protocol)
so registrados no arquivo de log do servidor DNS.
TCP: especifica que os pacotes enviados e recebidos por TCP so registrados no arquivo de log
do servidor DNS.
3-50
Tipo de pacote
3-51
Habilitar filtragem com base no endereo IP: fornece filtragem adicional dos pacotes registrados
no arquivo de log do servidor DNS. Essa opo permite registrar no log os pacotes enviados de
endereos IP especficos para um servidor DNS ou de um servidor DNS para endereos IP especficos.
Limite de tamanho mximo do arquivo de log: permite definir o tamanho mximo do arquivo
de log do servidor DNS. Quando o arquivo de log do servidor DNS atingir seu tamanho mximo
especificado, o servidor DNS substituir as informaes de pacote mais antigas por novas
informaes.
Observao Se voc no especificar um tamanho mximo para o arquivo de log, esse
arquivo do servidor DNS poder ocupar muito espao no disco rgido.
Por padro, todas as opes do log de depurao esto desabilitadas. Quando habilitadas seletivamente,
o servio do servidor DNS pode executar um log de rastreamento adicional de tipos de eventos ou
mensagens selecionados para soluo de problemas gerais e depurao do servidor.
O log de depurao poder fazer uso intensivo de recursos, afetando o desempenho geral do servidor
e consumindo espao em disco. Portanto, utilize-o apenas temporariamente, quando voc precisar de
informaes mais detalhadas sobre o desempenho do servidor.
Observao O arquivo dns.log contm a atividade do log de depurao. Por padro, esse
arquivo est localizado na pasta %systemroot%\System32\Dns.
3-52
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Password: Pa$$w0rd
Domnio: Contoso
Cenrio de laboratrio
A Contoso est planejando melhorar a respectiva infraestrutura de DNS devido a reclamaes de usurios
sobre baixo desempenho. Alm disso, a Contoso est fazendo uma parceria com A Datum, e a resoluo
de nomes deve ser otimizada entre essas duas organizaes. Sua tarefa planejar e implementar as
alteraes necessrias.
Para este projeto, voc dever concluir as seguintes tarefas:
3-53
2.
3.
Charlotte Weiss
12 de maro
Propostas
1. Como voc modificar a configurao do DNS da Contoso para atender ao primeiro requisito?
2. Como voc modificar a configurao do DNS da Contoso para atender ao segundo requisito?
3. Algum dos itens na seo de informaes adicionais resultou em algum problema?
4. Qual o seu plano de ao proposto para esse projeto?
5. Como voc distribuir a carga entre os servidores DNS?
Compare sua soluo com a soluo proposta no documento Plano de resoluo de nomes
da Contoso na Resposta do Laboratrio e esteja preparado para discuti-la com a turma.
Resultados: ao fim deste exerccio, voc ter selecionado uma configurao do DNS adequada para
a Contoso.
2.
3.
4.
5.
6.
2.
3.
2.
Abra o DNS.
3.
Tipo de zona:Stub
3-54
3-55
2.
3.
4.
5.
2.
3.
4.
Abra o DNS.
5.
Verifique se o endereo IPv4 de NYC-SVR1 est listado na lista Notificao, na guia Transferncias
de zona da folha de propriedades da zona de Contoso.com.
Observao
2.
No DNS, atualize a exibio e verifique se os dados da zona foram transferidos do servidor mestre
para a zona secundria da Contoso.com.
3.
2.
Abra o DHCP.
3.
4.
Resultados: ao fim deste exerccio, voc ter implementado os requisitos descritos no documento Plano
de resoluo de nomes da Contoso.
2.
3.
4.
3-56
1.
2.
Na guia Monitoramento, execute uma consulta simples no servidor DNS. A consulta ser
bem-sucedida.
3.
Execute consultas simples e recursivas nesse e em outros servidores. O teste recursivo falhar porque
no h encaminhadores configurados.
4.
Interrompa o servio DNS e repita os testes anteriores. Eles falharo porque nenhum servidor DNS
est disponvel.
5.
6.
2.
3.
Set querytype=SOA
Contoso.com
2.
3.
4.
3-57
2.
3.
4.
5.
6.
7.
8.
No painel esquerdo, clique com o boto direito do mouse em NYC-DC1 e clique em Propriedades.
9.
10. Na guia Monitoramento, selecione Uma consulta simples a este servidor DNS e Uma consulta
recursiva a outros servidores DNS e clique em Testar Agora vrias vezes.
11. Desmarque as caixas de seleo de teste Simples e Recursivo e clique em OK. Feche a ferramenta
de gerenciamento DNS.
12. Retorne para o console do Gerenciador de Servidores. O grfico reflete as consultas no servidor.
13. No console do Gerenciador de Servidores, pressione CTRL+G e, em seguida, CTRL+G novamente.
Esse relatrio relaciona o nmero total de consultas que o servidor recebeu.
14. Feche o Gerenciador de Servidores.
Resultados: ao fim deste exerccio, voc ter verificado a funcionalidade do DNS com as ferramentas
de soluo de problemas.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
Perguntas de reviso
1.
Voc est apresentando a um cliente potencial as vantagens de usar o Windows Server 2008 R2.
Quais so os novos recursos que voc destacaria ao discutir a funo Servidor DNS do
Windows Server 2008 R2?
2.
Voc est implantando servidores DNS em um domnio do Active Directory e seu cliente exige que
a infraestrutura seja resistente a pontos isolados de falha. O que voc deve considerar ao planejar
a configurao do DNS?
3.
4.
O que deve ser configurado para que uma zona DNS seja transferida para um servidor
DNS secundrio?
5.
Voc o administrador de um ambiente DNS do Windows Server 2008 R2. Sua empresa adquiriu
outra empresa recentemente. Voc quer replicar as respectivas zonas primrias DNS. A empresa
adquirida est usando o Bind 4.9.4 para hospedar suas zonas primrias DNS. Voc observa um
volume considervel de trfego entre o servidor DNS do Windows Server 2008 R2 e o servidor Bind.
Cite um motivo possvel para essa ocorrncia.
6.
3-58
Ferramentas
Ferramenta
Use para
Onde encontr-la
3-59
Dnscmd.exe
Linha de comando
Dnslint.exe
Nslookup.exe
Linha de comando
Ping.exe
Linha de comando
Ipconfig.exe
Linha de comando
4-1
Mdulo 4
Configurao e soluo de problemas de TCP/IP IPv6
Contedo:
Lio 1: Viso geral do IPv6
4-3
4-12
4-22
4-28
4-35
4-41
4-46
O suporte ao protocolo IPv6 (IP verso 6), um novo pacote de protocolos padro para a camada
de rede da Internet, tem como base o Windows Vista, Windows 7, Windows Server 2008
e Windows Server 2008 R2.
O IPv6 uma tecnologia que ajudar a garantir que a Internet possa oferecer suporte a uma
base crescente de usurios e ao nmero cada vez maior de dispositivos habilitados para IP. O atual
protocolo IPv4 tem atuado como o protocolo de Internet subjacente por quase 30 anos. Sua robustez,
escalabilidade e o conjunto limitado de recursos enfrentam agora o desafio da crescente necessidade
por novos endereos IP, devido, em grande parte, ao crescimento rpido dos novos dispositivos com
reconhecimento de rede.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
4-2
4-3
Lio 1
O IPv6 est se tornando mais comum, mas, embora sua adoo seja lenta, importante entender como
essa tecnologia afeta as redes atuais e como integr-lo a essas redes. A lio a seguir abordar
os benefcios do IPv6 e far uma comparao com o IPv4.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Benefcios do IPv6
Suporte exigido para IPsec: os padres IPv6 exigem suporte aos cabealhos AH e ESP que so
definidos pelo IPsec. Embora o suporte aos mtodos de autenticao do IPsec e aos algoritmos
criptogrficos no sejam especificados, o IPsec foi definido desde o comeo como uma maneira
de proteger os pacotes IPv6.
4-4
4-5
Entrega priorizada: o IPv6 contm um campo no pacote que permite que os dispositivos de rede
determinem a velocidade de processamento do pacote; isso permite a priorizao do trfego. Por
exemplo, quando voc estiver fazendo o streaming do trfego de vdeo, essencial que os pacotes
cheguem em tempo hbil. Voc pode definir esse campo para assegurar que os dispositivos da rede
determinem que a entrega do pacote tem urgncia.
Suporte para ambientes de nica sub-rede: o IPv6 apresenta um suporte muito melhor
configurao e operao automticas em redes que tenham uma nica sub-rede. possvel
aplicar esse recurso para criar redes ad hoc temporrias pelas quais possvel se conectar
e compartilhar informaes.
Extensibilidade: o IPv6 foi criado para que voc possa estend-lo com muito menos restries
do que o IPv4.
Quando o espao de endereos IPv4 foi criado, era impossvel supor que ele se esgotaria. No entanto,
com as mudanas tecnolgicas e uma prtica de alocao que no previu a exploso dos hosts da
Internet, o espao de endereos IPv4 se tornou to utilizado que, em meados de 1992, tornou-se bvia
a necessidade de uma substituio. Com o IPv6, difcil imaginar que o espao de endereos ser
consumido.
Foi tomada a deciso de criar o endereo IPv6 com 128 bits de comprimento para permitir a sua
subdiviso em domnios de roteamento hierrquico, que reflete a topologia da Internet dos dias atuais.
O uso de 128 bits permite vrios nveis hierrquicos e flexibilidade ao projetar o endereamento
hierrquico e o roteamento que faltava na Internet baseada no IPv4.
Observao A arquitetura do endereamento IPv6 descrita na RFC (Request for
Comments) 4291.
IPv6
4-6
(continuao)
IPv4
IPv6
4-7
Endereo IPv6
No aplicvel no IPv6
Endereos de difuso
No aplicvel no IPv6
O endereo no especificado ::
Endereos IP pblicos
(continuao)
Endereo IPv4
Endereo IPv6
4-8
O recurso diferencial mais bvio do IPv6 a sua capacidade de usar endereos muito maiores.
Os endereos IPv4 so expressos em quatro grupos de nmeros decimais, como 192.168.1.1.
Cada agrupamento de nmeros representa um octeto binrio. Na representao binria, o nmero
precedente :
11000000.10101000.00000001.00000001 (4 octetos = 32 bits)
4-9
O tamanho de um endereo no IPv6 quatro vezes maior que um endereo IPv4. Os endereos IPv6 so
expressos em hexadecimais (hex).
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Isso pode parecer complexo para os usurios finais, mas a suposio de que os usurios utilizem
nomes DNS para resolver hosts e raramente digitem endereos IPv6 manualmente. O endereo IPv6 em
hexadecimal tambm mais fcil de ser convertido em binrio e vice-versa. Isso simplifica o trabalho com
sub-redes e o clculo de hosts e redes.
Binrio
4-10
0010
1111
8421
8421
0+0+2+0 = 2
8 + 4 + 2 + 1 = 15 ou F hexadecimal
O seguinte exemplo um endereo IPv6 nico na forma binria. Observe que a representao binria
do endereo IP bastante longa. As duas linhas seguintes de nmeros binrios so um endereo IP:
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
0000110110111000
0000000011111111
0000000000000000
1111111000101000
0010111100111011
1001110001011010
4-11
Cada limite quebrado em conjuntos de quatro bits. Aplicando a metodologia descrita acima, converta
o endereo IPv6. A seguinte tabela mostra o binrio e os valores hexadecimais correspondentes para cada
conjunto de quatro bits:
Binrio
Hexadecimal
[0010][0000][0000][0001]
[2][0][0][1]
[0000][1101][1011][1000]
[0][D][B][8]
[0000][0000][0000][0000]
[0][0][0][0]
[0010][1111][0011][1011]
[2][F][3][B]
[0000][0010][1010][1010]
[0][2][A][A]
[0000][0000][1111][1111]
[0][0][F][F]
[1111][1110][0010][1000]
[F][E][2][8]
[1001][1100][0101][1010]
[9][C][5][A]
Cada bloco de 16 bits expresso como quatro caracteres hexadecimais delimitado por dois-pontos.
O resultado o seguinte:
2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
Voc pode simplificar ainda mais a representao do IPv6 removendo os zeros esquerda em cada bloco
de 16 bits. No entanto, cada bloco deve ter pelo menos um dgito. Com a supresso dos zeros esquerda,
a representao do endereo demonstrada da seguinte maneira:
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Compresso de zeros
Quando ocorrem vrios blocos de zeros contguos, voc pode suprimi-los e represent-los no endereo
como dois-pontos duplo (::), o que simplifica a notao IPv6. O computador reconhece o caractere ::
e o substitui pelo nmero de blocos necessrios para tornar o endereo IPv6 correto.
No exemplo a seguir, o endereo expresso usando-se a compresso de zeros:
2001:DB8::2F3B:2AA:FF:FE28:9C5A
Para saber a quantidade de bits 0 representados pelo caractere ::, conte o nmero de blocos no
endereo comprimido, subtraia esse nmero de oito e multiplique o resultado por 16. Usando o exemplo
anterior, haver sete blocos. Subtraia sete de oito e multiplique o resultado (um) por 16. Dessa forma,
haver 16 bits ou 16 zeros no endereo em que os dois-pontos duplo esto localizados.
A compresso de zeros s pode ser usada uma vez em um determinado endereo. Caso contrrio, no
ser possvel determinar o nmero de bits 0 representados por cada instncia de dois-pontos duplo.
Para converter um endereo em binrio, use a inverso do mtodo descrito acima:
1.
2.
3.
Lio 2
Endereamento IPv6
Para habilitar dispositivos com IPv6, voc deve saber como configurar e atribuir endereos IPv6 aos
dispositivos na rede da sua organizao.
Objetivos
Ao concluir esta lio, voc ser capaz de:
4-12
Prefixos IPv6
Como o espao de endereos IPv4, o espao de endereos IPv6 dividido por meio da alocao
de pores do espao de endereos disponvel para vrias funes de IP. Os bits de ordem superior
(bits que esto no incio do endereo IPv6 de 128 bits) definem reas estticas no espao IP. Os bits
de ordem superior e seus valores fixos so conhecidos como um prefixo do formato.
A IANA (Internet Assigned Numbers Authority) gerencia o IPv6. Alm disso, ela define como o espao
de endereos IPv6 ser dividido inicialmente e especifica os prefixos do formato.
Comea com
Frao do espao
de endereo
Reservado
0000 0000
1/256
001
2 ou 3
1/8
FE8
1/1024
1111 1100
FD
1/256
Endereos multicast
1111 1111
FF
1/256
Alocao
4-13
Prefixos IPv6
O prefixo a parte do endereo que indica os bits que tm valores fixos ou que so os bits do prefixo
da sub-rede. Os prefixos das sub-redes IPv6, das rotas e dos intervalos de endereos so expressos da
mesma forma que a notao CIDR (Roteamento entre Domnios sem Classificao) para IPv4. Um prefixo
IPv6 expresso em notao de endereo/comprimento do prefixo. Por exemplo, 2001:DB8::/48
e 2001:DB8:0:2F3B::/64 so prefixos de endereo IPv6.
Observao Geralmente, as implementaes IPv4 usam uma representao decimal com
pontos do prefixo da rede conhecida como a mscara de sub-rede. O IPv6 no usa uma
mscara de sub-rede; ele oferece suporte somente notao de comprimento do prefixo.
4-14
4-15
Um endereo unicast identifica uma interface nica dentro do escopo do tipo de endereo unicast.
Com a topologia adequada de roteamento unicast, os pacotes destinados para um endereo unicast
so fornecidos para uma nica interface.
Parte fixa definida como 001: os trs bits de ordem superior so definidos como 001. O prefixo de
endereo para os endereos globais atualmente atribudos 2000::/3. Portanto, todos os endereos
unicast globais comeam com 2 ou 3.
Prefixo de Roteamento Global: indica o prefixo de roteamento global para o site especfico de uma
organizao. A combinao dos trs bits fixos e do prefixo de roteamento global de 45 bits utilizada
para gerar um prefixo de site de 48 bits, atribudo ao site individual de uma organizao. Depois
que esse prefixo for atribudo, os roteadores na Internet IPv6 encaminharo o trfego do IPv6
que correspondem ao prefixo de 48 bits para os roteadores do site da organizao.
ID da interface: indica a interface existente em uma sub-rede especfica no site. O tamanho desse
campo de 64 bits. Ela gerada aleatoriamente ou atribuda pelo DHCPv6. Antigamente, ela se
baseava no endereo MAC (Controle de Acesso Mdia) da placa de interface de rede ao qual
o endereo era ligado.
Os endereos de link-local sempre comeam com FE8. Com o identificador de interface de 64 bits,
o prefixo dos endereos de link-local sempre FE80::/64. Um roteador IPv6 nunca encaminha um
trfego de link-local alm do link.
Observao O conceito de loopback seguido por meio do IPv6: um endereo no
especificado 0:0:0:0:0:0:0:0, ou ::, enquanto o endereo de loopback 0:0:0:0:0:0:0:1 ou ::1.
4-16
4-17
IDs de zona
Diferentemente dos endereos globais, voc pode reutilizar os endereos de uso local. Os endereos de
link-local so reutilizados em cada link. Os endereos de link-local so ambguos devido sua capacidade
de reutilizao.
Voc precisa de um identificador adicional para especificar a que link um endereo foi atribudo ou onde
est localizado. Esse identificador adicional um identificador de zona, tambm conhecido como ID
de escopo, e identifica uma parte conectada de uma rede com um escopo especificado. A sintaxe
especificada na RFC 4007 para identificao da zona associada a um endereo de uso local a seguinte:
Endereo%ID_zona
Endereo um endereo de uso local e ID_zona um valor inteiro que representa a zona. Os valores
da ID da zona so definidos em relao ao host de envio. Portanto, hosts diferentes devem determinar
valores de ID de zona diferentes para a mesma zona fsica. Por exemplo, o Host A deve usar 3 para
representar a ID de zona de um link anexado e o Host B deve usar 4 para representar o mesmo link.
Para hosts IPv6 baseados no Windows, as IDs de zona para endereos de link-local so definidas
da seguinte forma.
Para os endereos de link-local, a ID de zona geralmente o ndice da interface atribuda ao endereo
ou destinada a ser usada como a interface de envio para um destino de link-local. O ndice de interface
um inteiro comeando em 1, atribudo s interfaces IPv6, que incluem um loopback e uma ou vrias
interfaces de LAN (rede local) ou de encapsulamento. possvel exibir a lista de ndices de interface
usando o comando netsh interface ipv6 show interface.
Veja a seguir um exemplo de uso das ferramentas do Windows e da ID de zona:
ping fe80::2b0:d0ff:fee9:4143%3
Nesse caso, 3 o ndice da interface anexada ao link que contm o endereo de destino.
No Windows, a ferramenta Ipconfig.exe exibe a ID de zona dos endereos IPv6 de uso local. Veja a seguir
uma extrao da exibio do comando ipconfig.
Conexo local do adaptador Ethernet:
Sufixo DNS especfico conexo :
Endereo IP. . . . . . . . . . . :
Mscara de sub-rede . . . . . . .:
Endereo IP. . . . . . . . . . . :
Endereo IP. . . . . . . . . . . :
Endereo IP. . . . . . . . . . . :
Gateway padro . . . . . . . . . :
wcoast.example.com
157.60.14.219
255.255.255.0
2001:db8:2a1c:2:1cc8:ef1d:1dd9:8066
2001:db8:2a1c:204:5aff:fe56:f5b
fe80::204:5aff:fe56:f5b%4
157.60.14.1
fe80::20a:42ff:feb0:5400%4
4-18
4-19
O host pode atravessar vrios estados medida que avana no processo de autoconfigurao e h vrias
maneiras de atribuir um endereo IPv6 e outras definies de configurao. Dependendo de como
o roteador est configurado, um cliente pode precisar usar a configurao sem monitorao de estado
(sem servio DHCPv6) ou com monitorao de estado juntamente com a participao de um servidor
DHCPv6 para atribuir um endereo IP e outras definies de configurao ou apenas para atribuir outras
definies de configurao. As outras definies de configurao podem incluir servidores DNS e nomes
de domnio.
Vlido: verificou-se que o endereo exclusivo e pode enviar e receber trfego unicast.
Substitudo: o endereo vlido, mas seu uso desestimulado para nova comunicao.
Um host usa configurao de endereo com monitorao de estado quando recebe instrues
para fazer isso em mensagens de Anncio de Roteador.
4-20
4-21
Lio 3
Desde sua concepo, o IPv6 foi desenvolvido para coexistir, por longo prazo, com o IPv4. Esta lio
oferece uma viso geral das tecnologias que oferecem suporte coexistncia dos dois protocolos IP.
A lio tambm descreve os diferentes tipos de n e as implementaes da pilha IP do IPv6, alm de
explicar como o DNS resolve nomes para endereos IPv6 e os vrios tipos de tecnologia de transio
do IPv6.
Objetivos
Ao concluir esta lio, voc ser capaz de:
4-22
Quais so os tipos de n?
Ao planejar uma rede IPv6, voc deve conhecer os tipos de ns ou hosts existentes na rede. Descrever
os ns das maneiras a seguir ajuda a definir seus recursos na rede. Isso importante para o recurso
de encapsulamento, pois certos tipos de tneis exigem tipos de n especficos, incluindo:
4-23
N somente IPv4: um n que implementa somente o IPv4 (e possui apenas endereos IPv4)
e no oferece suporte ao IPv6. A maioria dos hosts e roteadores instalados atualmente de ns
somente IPv4.
N somente IPv6: um n que implementa somente o IPv6 (e possui apenas endereos IPv6) e no
oferece suporte ao IPv4. Esse n s pode se comunicar com os ns e aplicativos IPv6 e no comum
nos dias de hoje. No entanto, talvez seu uso se torne mais frequente, pois dispositivos menores, como
celulares e computadores de mos, usam exclusivamente o protocolo IPv6.
Para permitir a coexistncia, o maior nmero de ns (IPv4 ou IPv6) pode se comunicar atravs de uma
infraestrutura IPv4, uma infraestrutura IPv6 ou uma infraestrutura que uma combinao de IPv4 e IPv6.
Voc migrar efetivamente quando todos os ns IPv4 forem convertidos em ns somente IPv6. No
entanto, em um futuro prximo, a migrao prtica ser alcanada quando a maior quantidade possvel
de ns somente IPv4 for convertida em ns IPv6/IPv4. Os ns somente IPv4 podero se comunicar com
os ns somente IPv6 apenas quando voc estiver usando um proxy IPv4-para-IPv6 ou um gateway
de converso.
Para coexistir com uma infraestrutura do IPv4 e permitir uma transio eventual para uma infraestrutura
somente IPv6, voc pode usar os mecanismos a seguir.
Pacotes IPv4
Pacotes IPv6
Pacotes IPv6 atravs do IPv4 (pacotes IPv6 encapsulados com um cabealho IPv4)
4-24
4-25
Pacotes IPv4
Pacotes IPv6
Voc precisa de uma infraestrutura DNS para obter xito da coexistncia, devido ao uso predominante
de nomes em vez de endereos para fazer referncia aos recursos da rede. A atualizao da infraestrutura
DNS consiste em popular os servidores DNS com registros que oferecem suporte para as resolues de
nome-para-endereo e endereo-para-nome IPv6. Depois de obter o endereo usando uma consulta de
nome DNS, o n de envio deve selecionar quais endereos sero usados para comunicao.
A atualizao da infraestrutura DNS consiste em popular os servidores DNS com registros que oferecem
suporte s resolues de nome-para-endereo e endereo-para-nome IPv6:
Ao utilizar o IPv6, o DNS pode retornar diversos endereos de diferentes tipos para o mesmo host.
O conjunto de endereos de origem e destino usado pelo host para a comunicao se baseia nas regras
padro de seleo de endereos, que podem ser configuradas no prprio host. Para exibir as diretivas
de prefixo que determinam o comportamento da seleo de endereo, abra um prompt de comando
e digite: netsh interface ipv6 show prefixpolicies. O quadro a seguir representa uma sada comum
desse comando:
Precedence
---------50
40
30
20
10
5
Label
----0
1
2
3
4
5
Prefix
-------------------------------::1/128
::/0
2002::/16
::/96
::ffff:0:0/96
2001::/32
O encapsulamento IPv6 atravs do IPv4 o encapsulamento de pacotes IPv6 com um cabealho IPv4 para
que os pacotes IPv6 possam ser enviados atravs de uma infraestrutura IPv4; esse assunto abordado em
um tpico posterior e na prxima lio.
4-26
4-27
O encapsulamento IPv6 atravs do IPv4 o encapsulamento de pacotes IPv6 com um cabealho IPv4 para
que os pacotes IPv6 possam ser enviados atravs de uma infraestrutura somente IPv4. No cabealho IPv4:
O campo Protocolo IPv4 definido como 41 para indicar um pacote IPv6 encapsulado.
Os campos Origem e Destino so definidos como os endereos IPv4 dos pontos de extremidade
de encapsulamento. Voc pode configurar pontos de extremidade de encapsulamento manualmente
como parte da interface de encapsulamento ou eles podem ser derivados automaticamente.
Observao Diferentemente do protocolo PPTP e do protocolo L2TP, no h troca de
mensagens para a instalao, manuteno ou trmino do encapsulamento. Alm disso,
o encapsulamento IPv6 atravs do IPv4 no oferece segurana para os pacotes IPv6 em
encapsulamento. Isso significa que quando voc utiliza o encapsulamento IPv6, ele no
precisa estabelecer primeiramente uma conexo protegida.
Lio 4
Uma transio finalmente bem-sucedida para o IPv6 requer coexistncia intermediria dos ns do IPv6
no atual ambiente predominantemente IPv4. Para que isso ocorra, os pacotes IPv6 so colocados em
encapsulamento automaticamente atravs de infraestruturas de roteamento somente IPv4, permitindo
que clientes IPv6 se comuniquem entre si usando endereos Teredo, 6to4 ou ISATAP e o encapsulamento
de pacotes IPv6 atravs de redes IPv4. Esta lio fornece informaes sobre as diferentes tecnologias
de transio disponveis no Windows. As tecnologias de transio do IPv6 incluem:
6to4: permite que os hosts IPv6 com endereos IPv4 pblicos se comuniquem pela Internet
somente IPv4.
Teredo: permite que hosts IPv6 com endereos IPv4 privados e localizados atrs de NATs se
comuniquem pela Internet somente IPv4.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Explicar o ISATAP.
Explicar o 6to4.
Explicar o Teredo.
4-28
O que ISATAP?
4-29
ISATAP uma tecnologia de atribuio de endereos que pode ser usada para fornecer conectividade
IPv6 unicast entre hosts IPv6/IPv4 por uma intranet IPv4. Os hosts ISATAP no exigem configurao
manual e podem criar endereos ISATAP usando mecanismos de configurao automtica de endereo
padro. O ISATAP usado principalmente no site das organizaes e, embora o componente ISATAP seja
habilitado por padro, ele atribuir endereos baseados em ISATAP apenas se puder resolver o nome
ISATAP na sua rede.
Observao Um endereo ISATAP baseado em um endereo IPv4 privado formatado da
seguinte maneira: [prefixo unicast de 64 bits]:0:5EFE:w.x.y.z, enquanto um endereo ISATAP
baseado em um endereo IPv4 pblico formatado desta forma: [prefixo unicast de
64 bits]:200:5EFE:w.x.y.z. Por exemplo, FE80::5EFE:192.168.137.133 (privado)
e FE80::200:5EFE:131.107.137.133 (pblico).
O encapsulamento ISATAP pode ser iniciado de vrias maneiras. O roteador ISATAP pode ser localizado
quando se resolve o nome ISATAP para um endereo IPv4 ou usando o comando Netsh Interface IPv6
ISATAP set Router, ou para o Windows 7 e Windows Server 2008 R2, configure a definio Diretiva de
Grupo de Nomes do Roteador ISATAP.
Para resolver o ISATAP na infraestrutura de nomenclatura, voc deve definir o nome ISATAP no DNS,
no WINS (Servio de Cadastramento na Internet do Windows) ou nos arquivos hosts/lmhosts dos hosts.
Aps localizar o roteador, o host se comunica com ele atravs do IPv4. O roteador fornece ao host
informaes sobre o prefixo ISATAP IPv6 e se ele (o roteador) um roteador padro.
Observao importante planejar cuidadosamente a implementao do ISATAP; todos
os ns sero conectados mesma sub-rede IPv6 e o reconhecimento de site AD DS
configurado com o snap-in Servios e Sites do Active Directory ser perdido, a menos
que tambm seja configurado para sub-redes equivalentes ao ISATAP. Por esse e outros
motivos, a Microsoft recomenda usar o ISATAP somente para testes limitados, e no na
implantao em toda a Intranet, e no lugar de implantar o suporte nativo ao IPv6 para sua
intranet.
4-30
4-31
O que 6to4?
6to4 uma tecnologia que pode ser usada para fornecer conectividade IPv6 unicast entre hosts e sites
IPv6 atravs da Internet IPv4. O padro 6to4 considera a Internet IPv4 inteira como um link nico.
Em um endereo 6to4 (2002:WWXX:YYZZ:Subnet_ID:Interface_ID), WWXX:YYZZ a representao
hexadecimal de dois-pontos de w.x.y.z, um endereo IPv4 pblico.
A interface privada conecta-se a uma intranet de sub-rede nica e usa os endereos IPv4 privados
a partir do prefixo 192.168.0.0/24.
Exemplo
No exemplo de rede mostrado no slide, o Host A e o Host B podem se comunicar entre si devido
a uma rota padro que usa o endereo do prximo salto do roteador 6to4 no Site 1. Quando o Host A
se comunica com o Host C em outro site, o Host A envia o trfego para o roteador 6to4 no Site 1 como
pacotes IPv6. O roteador 6to4 no Site 1, usando a rota 2002::/16 na respectiva tabela de roteamento
e a interface de encapsulamento 6to4, encapsula o trfego com um cabealho IPv4 e faz encapsulamento
para o roteador 6to4 no Site 2. O roteador 6to4 no Site 2 recebe o trfego em encapsulamento, remove
o cabealho IPv4 e, usando a rota do prefixo de sub-rede na respectiva tabela de roteamento, encaminha
o pacote IPv6 ao Host C.
Por exemplo, o Host A reside na sub-rede 1 do Site 1 que usa o endereo IPv4 pblico de 157.60.91.123.
O Host C reside na sub-rede 2 do Site 2 que usa o endereo IPv4 pblico de 131.107.210.49. A tabela que
aparece no slide lista os endereos nos cabealhos IPv4 e IPv6 quando o roteador 6to4 no Site 1 envia
o pacote IPv6 encapsulado por IPv4 ao roteador 6to4 no Site 2.
4-32
O que Teredo?
4-33
O encapsulamento Teredo permite fazer o encapsulamento pela Internet somente IPv4 quando os
clientes estiverem protegidos por uma NAT IPv4. O Teredo foi criado porque muitas conexes com a
Internet usam endereos IPv4 privados por trs de uma NAT. O Teredo uma tecnologia de transio de
ltimo recurso para a conectividade IPv6. Se a conectividade nativa IPv6, ISATAP ou 6to4 estiver presente
entre os ns em comunicao, o Teredo no ser usado. Quanto mais NATs IPv4 forem atualizadas para
oferecer suporte ao padro 6to4 e a conectividade IPv6 se generalizar, o Teredo ser usado cada vez
menos, at deixar de ser totalmente utilizado.
Componentes do Teredo
Os componentes do Teredo so os seguintes:
Cliente Teredo: oferece suporte a uma interface de encapsulamento Teredo pela qual os pacotes so
colocados em encapsulamento para outros clientes ou ns Teredo na Internet IPv6 por meio de uma
retransmisso do Teredo.
Servidor Teredo: conecta-se Internet IPv4 e IPv6. A funo do servidor Teredo auxiliar na
configurao inicial dos clientes Teredo e facilitar a comunicao inicial entre os clientes Teredo
nos diversos sites ou entre os clientes Teredo e os hosts somente IPv6 na Internet IPv6.
Retransmisso Teredo: encaminha pacotes entre os clientes Teredo na Internet IPv4 e os hosts
somente IPv6 na Internet IPv6.
Retransmisso especfica de host Teredo: faz a interface e se conecta com a Internet IPv4 e IPv6.
Alm disso, ele pode se comunicar diretamente com os clientes Teredo atravs da Internet IPv4, sem
precisar de uma retransmisso Teredo intermediria. A conectividade com a Internet IPv4 ocorre
atravs de um endereo IPv4 pblico ou de um endereo IPv4 privado e uma NAT vizinha. A
conectividade com a Internet IPv6 acontece atravs de uma conexo direta com a Internet IPv6
ou por meio de uma tecnologia de transio do IPv6, como a 6to4.
Voc pode usar o servio Proxy de Porta como um gateway de camada de aplicativo para ns ou
aplicativos que no oferecem suporte ao IPv6. O Proxy de Porta facilita a comunicao entre os ns ou
aplicativos que no podem se conectar usando um tipo de endereo comum, protocolo de camadas da
Internet (IPv4 ou IPv6) e porta TCP. A principal finalidade desse servio permitir que os ns de IPv6 se
comuniquem com aplicativos TCP somente IPv4.
O servio Proxy de Porta pode usar o proxy somente de dados TCP, alm de oferecer suporte apenas aos
protocolos da camada de aplicativos que no inserem a informao do endereo ou da porta nos dados
dessa camada. O Proxy de Porta no pode alterar a informao de endereo no nvel de aplicativo e no
flexvel. Alm disso, mais conveniente utilizar outras tecnologias de encapsulamento para solucionar
muitos dos problemas geralmente solucionados com o Proxy de Porta.
Algumas reas em que o Proxy de Porta pode ser til e oferecer solues durante a fase de transio
incluem:
4-34
4-35
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Cenrio de laboratrio
A Contoso decidiu iniciar o processo de migrao de sua rede para IPv6. Sua tarefa inicial provar
o princpio da migrao configurando um nico computador cliente para IPv6.
Para este projeto, voc dever concluir as seguintes tarefas:
Configurar um roteador ISATAP para permitir a comunicao entre uma rede IPv4 e uma rede IPv6.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
2.
3.
Configure o valor HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Tcpip >
Parameters > IPEnableRouter como 1.
4.
5.
Reinicie o NYC-RTR.
6.
Depois que o computador NYC-RTR for reiniciado, faa logon com as seguintes credenciais:
Senha: Pa$$w0rd
4-36
2.
2.
3.
A sada deve ser um endereo IPv6 de link-local que comea com fe80.
2.
2.
3.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-CL2 somente para IPv6.
4-37
2.
3.
4.
Testar a conectividade.
2.
Zona: Contoso.com
Nome: ISATAP
2.
Alterne para o prompt de comando. Digite cada um dos comandos a seguir e pressione ENTER aps
cada comando:
Netsh interface ipv6 isatap set router 10.10.0.1
ipconfig
3.
4.
Digite o comando a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc
registrou anteriormente e pressione ENTER:
netsh interface ipv6 set interface isatap.Interface_Index forwarding=enabled
advertise=enabled
4-38
5.
6.
7.
Senha: Pa$$w0rd
2.
2.
Programa: Padro
Escopo: Padro
Ao: Padro
Perfil: Padro
3.
4.
4-39
5.
6.
Programa: Padro
Escopo: Padro
Ao: Padro
Perfil: Padro
7.
8.
No desligue as mquinas virtuais neste momento, pois voc precisar delas para concluir o prximo
laboratrio.
4-40
Lio 5
4-41
Espera-se que a transio do IPv4 para o IPv6 demore alguns anos. O IPv4 permanece como o padro de
IP para a maioria dos aplicativos e servios da Internet em uso atualmente. No entanto, cada vez mais
redes e aplicativos podem funcionar bem em um ambiente compatvel com o IPv6, medida que
o Windows 7 e o Windows Server 2008 R2 so adotados mais amplamente. Nesta lio, voc conhecer
os problemas que deve considerar ao fazer a transio para o IPv6 e verificar as etapas necessrias para
a transio para uma infraestrutura compatvel com o IPv6.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Ao migrar do IPv4 para o IPv6, leve em considerao os aplicativos que voc usar, os dispositivos da rede
e as possveis atualizaes de dispositivos que provavelmente ocorrero.
4-42
4-43
Geralmente, a migrao do IPv4 para o IPv6 consome muito tempo. Esse fator foi considerado durante
o desenvolvimento do IPv6 e, consequentemente, o plano de transio para o IPv6 um processo em
vrias etapas que permite a coexistncia prolongada.
Para alcanar o objetivo de um ambiente exclusivamente IPv6, siga estas diretrizes gerais:
Atualize a infraestrutura DNS para oferecer suporte ao endereo IPv6 e aos registros PTR.
Talvez seja necessrio atualizar a infraestrutura do DNS para oferecer suporte aos novos registros
AAAA (obrigatrios) e aos registros PTR no domnio inverso IP6.ARPA (opcionais). Alm disso,
verifique se h suporte nos servidores DNS ao trfego DNS por IPv6 e atualizao dinmica de DNS
para registros AAAA, de modo que os hosts IPv6 possam registrar automaticamente seus nomes
e endereos IPv6.
Atualize os hosts para ns IPv6/IPv4. Voc deve atualizar os hosts para usar IPv4 e IPv6. Inclua
tambm o suporte ao Resolvedor de DNS, a fim de processar os resultados de consultas DNS que
contenham endereos IPv4 e IPv6. Voc pode implantar o ISATAP em uma capacidade limitada para
testar a funcionalidade DNS e IPv6.
Ao comear no incio da pilha, os mtodos utilizados para solucionar problemas do IPv6 incluem:
Verificar a configurao
Verificar a acessibilidade
Verificao da configurao
O Ipconfig mostra o IPv4 e o IPv6. Os comandos no contexto IPv6 da interface do Netsh mostram
somente dados do IPv6. Tambm possvel usar o Netsh.exe para exibir os dados de configurao do
IPv6 de outro computador. Voc pode obter informaes importantes usando o NETSH.exe e utiliz-lo
para configurar a maioria das definies do IPv6. Para acessar o prompt de configurao IPv6 do NETSH,
digite: netsh c interface ipv6.
4-44
4-45
Verificao da acessibilidade
Se ocorreu uma alterao na placa de rede de um dispositivo, possvel que o endereo do hardware no
tenha sido atualizado no cache do computador que est tentando se conectar.
O ping tambm foi atualizado para o IPv6. Se for necessrio executar ping em um roteador IPv6 usando
o respectivo endereo de link-local, voc tambm dever fornecer uma ID de zona para esse roteador
(listado quando voc executa um Ipconfig).
Alm de verificar a acessibilidade, voc pode:
Exibir a tabela de roteamento IPv6. Essa uma etapa relativamente avanada que permite saber para
onde seu computador est tentando enviar dados de rede especficos.
Verificar a confiabilidade do roteador usando a ferramenta Pathping. Esse um mtodo para detectar
os afunilamentos ou os hardwares de rede configurados incorretamente.
Ping: use a ferramenta Ping para testar a resoluo de nomes DNS. Execute ping no nome IPv6.
Nslookup: use a ferramenta Nslookup para exibir as respostas do servidor DNS. Defina a consulta
para procurar os registros AAAA com a opo type=AAAA.
Verifique o estabelecimento da conexo TCP (Telnet): para verificar uma conexo TCP em
determinadas situaes, como as mencionadas anteriormente, use o Cliente MS Telnet para
estabelecer uma conexo direta com o endereo e a porta do servio que est sendo investigado. Por
exemplo: telnet 2001:db8::1 80.
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. As mquinas virtuais devero
permanecer em execuo aps a concluso do Laboratrio A.
Cenrio de laboratrio
O piloto foi bem. O gerente pediu a voc para converter a rede em IPv6. Sua tarefa desabilitar o ISATAP
e habilitar o roteamento IPv6 nativo.
Nesse projeto, voc deve fazer a transio para uma rede IPv6 nativa.
4-46
4-47
2.
3.
4.
2.
3.
4.
Digite os comandos a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc
registrou anteriormente.
netsh interface ipv6 set interface isatap.Interface_Index forwarding=disabled
advertise=disabled
netsh interface ipv6 delete route 2001:db8:0:10::/64 isatap.Interface_Index
2.
3.
4.
Habilite o IPv6 na Conexo Local 7 marcando a caixa de seleo Protocolo IP Verso 6 (TCP/IPv6)
nas Propriedades da Conexo Local 7.
2.
3.
Programa: Padro
Escopo: Padro
Ao: Padro
Perfil: Padro
4.
5.
6.
7.
8.
Resultados: ao fim deste exerccio, voc ter configurado uma rede somente IPv6.
4-48
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
4-49
Perguntas de reviso
1.
2.
3.
Qual o processo chamado quando um cliente configura a si prprio com um endereo IPv6?
4.
5.
De que modo o escopo de um endereo afeta sua capacidade de se comunicar em uma sub-rede
conectada localmente?
6.
Ferramentas
Ferramenta
Use para
IPconfig
Rota
Netsh
4-50
5-1
Mdulo 5
Configurao e soluo de problemas de Roteamento e
Acesso Remoto
Contedo:
Lio 1: Configurao do acesso rede
5-3
5-13
5-25
5-31
5-36
5-48
5-56
5-72
Para oferecer suporte fora de trabalho distribuda da organizao, voc deve estar familiarizado com as
tecnologias que permitem aos usurios remotos se conectar infraestrutura de rede da sua organizao.
Essas tecnologias incluem as VPNs (redes virtuais privadas) e o DirectAccess. importante que voc
entenda como configurar e proteger os clientes de acesso remoto usando as polticas de rede. Este
mdulo explora essas tecnologias de acesso remoto.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Usar o Kit de Administrao do Gerenciador de Conexes para criar e configurar perfis de conexo de
cliente.
Implementar o DirectAccess.
5-2
Lio 1
importante que voc esteja apto a instalar e configurar os componentes necessrios que oferecem
suporte ao acesso rede em uma rede do Windows Server 2008 R2.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Explicar como os servidores DHCP so usados com o servio Roteamento e Acesso Remoto.
5-3
Servidor VPN: fornece conectividade de acesso remoto com base em vrios protocolos de tnel VPN
por uma rede pblica, como a Internet.
Servidor DHCP: fornece conexes de acesso remoto de entrada aceitas com uma configurao de IP
para conectividade de rede com a LAN (rede local) corporativa.
5-4
5-5
A funo Servios de Acesso e Diretiva de Rede no Windows Server 2008 R2 oferece as seguintes solues
de conectividade de rede:
Ajude a proteger o acesso com fio e sem fio: quando voc implantar pontos de acesso 802.1X sem
fio, o acesso seguro sem fio fornecer aos usurios da tecnologia sem fio um mtodo de autenticao
seguro, baseado em senha ou certificado, simples de implantar. Quando voc implantar as opes de
autenticao 802.1X, o acesso com fio permitir que voc proteja a sua rede, assegurando que os
usurios de intranets sejam autenticados para que se conectem rede ou obtenham um endereo IP
atravs do DHCP.
Fornea solues de acesso remoto: com as solues de acesso remoto, possvel oferecer aos
usurios acesso por VPN e conexo discada tradicional rede de sua organizao. Voc tambm
pode conectar as filiais sua rede com as solues VPN, implantar roteadores de softwares repletos
de recursos em sua rede e compartilhar as conexes com a Internet atravs da intranet.
Servios de roteamento NAT (converso de endereos de rede), LAN para LAN de vrios protocolos,
LAN para WAN (rede de longa distncia) e VPN
Servio de Acesso Remoto: ao utilizar o servio Roteamento e Acesso Remoto, voc pode implantar
conexes VPN para oferecer aos usurios finais acesso remoto rede da sua organizao. Voc
tambm pode criar uma conexo VPN site a site entre dois servidores posicionados em locais
distintos. Configure cada servidor com o servio Roteamento e Acesso Remoto para enviar os dados
privados de modo seguro. A conexo entre os dois servidores pode ser persistente (sempre ligada) ou
por demanda (discagem por demanda).
O Acesso Remoto tambm oferece o acesso remoto tradicional de conexo discada a fim de oferecer
suporte aos usurios mveis ou domsticos que estejam discando para as intranets de uma
organizao, embora esse seja o meio menos frequentemente usado hoje em dia.
5-6
5-7
Roteamento: fornece um roteador de software completo e uma plataforma aberta para roteamento
e interconexo por redes. Ele oferece servios de roteamento para as empresas em ambientes de
redes local e de longa distncia.
Ao optar pelo roteamento, voc tambm pode optar por usar a NAT (Converso de Endereos de
Rede). Quando voc implanta a NAT, o servidor que est executando o Roteamento e Acesso Remoto
configurado para compartilhar uma conexo de Internet com computadores na rede privada e
converter o trfego entre seu endereo pblico e a rede privada. Ao utilizar a NAT, os computadores
na rede privada obtm certo nvel de proteo, pois o roteador em que voc configura a NAT no
encaminha o trfego da Internet para a rede privada, a menos que um cliente de rede privada solicite
ou o trfego seja explicitamente autorizado.
Ao implantar a VPN e a NAT, configure o servidor que est executando o servio Roteamento e
Acesso Remoto para fornecer a NAT rede privada e aceitar conexes VPN. Os computadores na
Internet no podero determinar os endereos IP de computadores na rede privada. No entanto, os
clientes VPN podero se conectar aos computadores na rede privada, como se estivessem fisicamente
conectados mesma rede.
A distino entre autenticao e autorizao importante para ajudar a compreender por que as
tentativas de conexo so aceitas ou negadas:
Autenticao a verificao das credenciais da tentativa de conexo. Esse processo consiste no envio
das credenciais do cliente de acesso remoto para o servidor de acesso remoto, na forma de texto no
criptografado ou criptografado, usando um protocolo de autenticao.
Para que uma tentativa de conexo seja aceita, ela deve ser autenticada e autorizada. possvel que a
tentativa de conexo seja autenticada usando credenciais vlidas, mas no seja autorizada; nesse caso, a
tentativa de conexo negada.
Se voc configurar um servidor de acesso remoto para a Autenticao do Windows, os recursos
de segurana do Windows Server 2008 R2 verificaro as credenciais de autenticao, enquanto
as propriedades de discagem da conta do usurio e as polticas de acesso remoto armazenadas
localmente autorizaro a conexo. Se uma tentativa de conexo for autenticada e autorizada, ela ser
aceita.
Se voc configurar um servidor de acesso remoto para autenticao RADIUS, as credenciais da tentativa
de conexo sero transferidas para o servidor RADIUS, para fins de autenticao e autorizao. Se a
tentativa de conexo for autenticada e autorizada, o servidor RADIUS retornar uma mensagem de
aceitao para o servidor de acesso remoto e essa tentativa de conexo ser aceita. Se a tentativa de
conexo no for autenticada nem autorizada, o servidor RADIUS retornar uma mensagem de rejeio
para o servidor de acesso remoto, e essa tentativa de conexo ser rejeitada.
5-8
5-9
PAP
O protocolo PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro.
Em geral, esse protocolo utilizado se o cliente de acesso remoto e o servidor de acesso remoto no
puderem negociar uma forma de validao mais segura. O protocolo PAP foi includo no Microsoft
Windows Server 2008 R2 pelos seguintes motivos:
Os clientes de acesso remoto que executam sistemas operacionais Microsoft Windows de 32 bits
podem se conectar a servidores de acesso remoto antigos que no oferecem suporte a um protocolo
de autenticao seguro.
Os clientes de acesso remoto que executam sistemas operacionais Microsoft que no oferecem
suporte a um protocolo de acesso remoto seguro podem se conectar aos servidores de acesso
remoto que executam sistemas operacionais Windows de 32 bits.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta. Diversos fornecedores de
servidores e clientes de acesso rede utilizam o CHAP.
Um servidor que executa o Roteamento e Acesso Remoto oferece suporte ao CHAP para permitir a
autenticao dos clientes de acesso remoto que exigem esse protocolo. Uma vez que o protocolo CHAP
requer uma senha de criptografia reversvel, considere o uso de outro protocolo de autenticao, como o
MS-CHAP verso 2.
MS-CHAP V2
O MS-CHAP v2 um processo unidirecional de autenticao mtua de senha criptografada que funciona
como descrito a seguir.
1.
2.
O cliente de acesso remoto envia uma resposta que contm uma criptografia unidirecional da cadeia
de caracteres de desafio recebida, da cadeia de caracteres de desafio par, do identificador da sesso e
da senha do usurio.
3.
O autenticador verifica a resposta do cliente e envia de volta uma resposta contendo uma indicao
de xito ou falha da tentativa de conexo e uma resposta autenticada baseada na cadeia de
caracteres de desafio enviada, na cadeia de caracteres de desafio par, na resposta criptografada do
cliente e na senha do usurio.
4.
O cliente de acesso remoto verifica a resposta da autenticao e, se estiver correta, utiliza a conexo.
Se a resposta da autenticao no estiver correta, o cliente de acesso remoto encerrar a conexo.
Protocolo EAP
Com o protocolo EAP, um mecanismo de autenticao arbitrrio autentica uma conexo de acesso
remoto. O cliente de acesso remoto e o autenticador (seja o servidor de acesso remoto ou o servidor
RADIUS) negociam o esquema de autenticao exato a ser aplicado. Por padro, o servio Roteamento e
Acesso Remoto inclui suporte para o protocolo EAP-TLS (EAP-Transport Level Security). Voc pode
conectar outros mdulos EAP ao servidor que est executando o Roteamento e Acesso Remoto para
fornecer outros mtodos EAP.
Configurar o carto inteligente ou outro tipo EAP de certificado (TLS) nas polticas de rede.
5-10
5-11
Voc pode implantar o servio Servidor DHCP com o servio Roteamento e Acesso Remoto para fornecer
acesso remoto aos clientes com um endereo IP atribudo dinamicamente durante a conexo. Quando
voc usa esses servios juntos no mesmo servidor, as informaes fornecidas durante a configurao
dinmica so fornecidas de forma diferente da configurao DHCP normal para clientes baseados
em LAN.
Nos ambientes de LAN, os clientes DHCP negociam e recebem as seguintes informaes de configurao,
totalmente baseadas nas configuraes definidas no console DHCP para o servidor DHCP:
Parmetros adicionais e outras informaes de configurao fornecidas pelas opes DHCP atribudas
na concesso do endereo. Os valores e a lista de opes correspondem aos tipos de opo
configurados e atribudos no servidor DHCP.
Quando o servidor que est executando o servio Roteamento e Acesso Remoto inicializado com a
opo Usar DHCP para atribuir endereos TCP/IP remotos, ele instrui o cliente DHCP a obter dez
endereos IP de um servidor DHCP.
O servidor de acesso remoto utiliza o primeiro desses dez endereos IP obtidos no servidor DHCP
para a respectiva interface.
Os nove endereos restantes so alocados aos clientes baseados no TCP/IP quando fazem uma
discagem para estabelecer uma sesso com o servidor de acesso remoto.
Os endereos IP liberados com a desconexo dos clientes de acesso remoto so reutilizados. Quando
todos os dez endereos IP forem utilizados, o servidor de acesso remoto obter outros dez em um
servidor DHCP. Quando o servio Roteamento e Acesso Remoto for interrompido, todos os endereos IP
obtidos atravs do DHCP sero liberados.
Ao utilizar esse tipo de cache pr-ativo de concesses de endereos DHCP para os clientes de conexo
discada, o servidor de Roteamento e Acesso Remoto registra as seguintes informaes para cada resposta
de concesso obtida do servidor DHCP:
O endereo IP concedido pelo cliente (para distribuio posterior ao cliente de Roteamento e Acesso
Remoto)
A durao da concesso
Todas as outras informaes da opo DHCP que o servidor DHCP retorna (como as opes de servidor,
escopo e reserva) so descartadas. Ao discar para o servidor e solicitar um endereo IP (ou seja, quando a
opo Usar endereo IP atribudo pelo servidor selecionada), o cliente utiliza uma concesso do DHCP
armazenada no cache para fornecer ao cliente de conexo discada uma configurao dinmica de
endereos IP.
Quando o endereo IP fornecido ao cliente de conexo discada, o cliente desconhece que o endereo IP
foi obtido atravs desse processo intermedirio entre o servidor DHCP e o servidor de Roteamento e
Acesso Remoto. O servidor de Roteamento e Acesso Remoto mantm a concesso em nome do cliente.
Portanto, a nica informao que o cliente recebe do servidor DHCP o endereo IP.
Nos ambientes de conexo discada, os clientes DHCP negociam e recebem a configurao dinmica
atravs do seguinte comportamento modificado:
5-12
5-13
Lio 2
Uma VPN fornece uma conexo ponto a ponto entre os componentes de uma rede privada por meio de
uma rede pblica, como a Internet. Os protocolos de tnel permitem que um cliente VPN estabelea e
mantenha uma conexo com uma porta virtual de escuta do servidor VPN.
Para implementar corretamente um ambiente VPN, e oferecer suporte a ele, na sua organizao,
importante que voc compreenda como selecionar um protocolo de tnel adequado, como configurar
a autenticao VPN e como configurar a funo de servidor Servios de Acesso e Diretiva de Rede para
oferecer suporte configurao escolhida.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Descrever como uma conexo VPN usada para conectar clientes de redes remotas
Descrever as tarefas adicionais que podem ser concludas aps a configurao de um servidor VPN.
Para emular um vnculo ponto a ponto, os dados so encapsulados, ou dispostos, e prefixados com um
cabealho; esse cabealho fornece informaes de roteamento que permitem aos dados percorrer a rede
compartilhada ou pblica at chegarem ao seu destino.
Para emular um link particular, os dados so criptografados para garantir a confidencialidade. Os pacotes
interceptados na rede compartilhada ou pblica no podem ser decifrados sem as chaves de criptografia.
O vnculo em que os dados privados so encapsulados e criptografados conhecido como conexo VPN.
H dois tipos de conexo VPN:
Acesso remoto
Site a site
5-14
5-15
Uma conexo VPN roteada pela Internet opera de modo lgico como um vnculo de WAN (rede de longa
distncia) dedicado. Quando as redes se conectam pela Internet, um roteador encaminha pacotes para
outro roteador usando uma conexo VPN. Para os roteadores, a conexo VPN funciona como um vnculo
da camada do vnculo de dados.
Uma conexo VPN site a site conecta duas partes de uma rede privada. O servidor VPN fornece uma
conexo roteada para a rede qual ele est vinculado. O roteador de chamada (o cliente VPN) se
autentica no roteador de resposta (o servidor VPN) e, para ocorrer a autenticao mtua, o roteador de
resposta se autentica no roteador de chamada.
Em uma conexo VPN site a site, os pacotes enviados de ambos os roteadores atravs da conexo VPN
geralmente no se originam nos roteadores.
Para estabelecer a conexo VPN, o servidor VPN autentica o cliente VPN que est tentando a
conexo usando um mtodo de autenticao PPP, no nvel de usurio, e verifica se o cliente VPN
possui a autorizao adequada. Se a autenticao mtua for utilizada, o cliente VPN tambm
autenticar o servidor VPN, o que fornecer proteo contra computadores que estejam se
passando por servidores VPN.
Para estabelecer uma associao de segurana IPsec, o cliente VPN e o servidor VPN utilizam o
protocolo IKE para trocar certificados de computador ou uma chave pr-compartilhada. Em
ambos os casos, o cliente e o servidor VPN se autenticam mutuamente, no nvel de computador.
A autenticao por certificados de computador recomendvel por ser um mtodo de
autenticao muito mais seguro. A autenticao no nvel de computador s executada para as
conexes L2TP/IPsec.
Para que seja possvel verificar se os dados enviados na conexo VPN se originaram na outra
extremidade da conexo e no foram modificados em trnsito, os dados contm uma soma de
verificao criptogrfica baseada em uma chave de criptografia conhecida apenas pelo emissor e
pelo receptor. A autenticao da origem de dados e a integridade de dados s esto disponveis
para as conexes L2TP/IPsec.
Criptografia de dados: para garantir a confidencialidade dos dados quando eles percorrerem a rede
de trfego compartilhado ou pblico, o emissor criptografa os dados e o receptor os descriptografa.
Os processos de criptografia e descriptografia dependem do uso de uma chave de criptografia
comum no emissor e no receptor.
Os pacotes interceptados enviados ao longo da conexo VPN na rede de trfego so ilegveis para
quem no tem a chave de criptografia comum. O tamanho da chave de criptografia um parmetro
de segurana importante. Voc pode utilizar tcnicas computacionais para determinar a chave de
criptografia. Entretanto, com o aumento do tamanho das chaves de criptografia, essas tcnicas
exigem mais poder tecnolgico e tempo computacional. Sendo assim, importante utilizar o maior
tamanho possvel de chave para assegurar a confidencialidade dos dados.
5-16
5-17
Os protocolos PPTP, L2TP e SSTP dependem intensamente dos recursos especificados inicialmente para o
PPP. O PPP foi projetado para enviar dados atravs de conexes discadas ou ponto a ponto dedicadas.
Para o IP, o PPP encapsula os pacotes IP em quadros PPP e depois transmite os pacotes PPP encapsulados
atravs do vnculo ponto a ponto. O PPP foi definido originalmente como o protocolo a ser utilizado
entre um cliente de conexo discada e um servidor de acesso rede.
PPTP
O PPTP permite criptografar e encapsular um trfego multiprotocolo com cabealho IP, que
posteriormente enviado atravs de uma rede IP ou rede IP pblica, como a Internet. Voc pode usar o
PPTP para acesso remoto e conexes VPN site a site. Quando voc usa a Internet como rede pblica VPN,
o servidor PPTP um servidor VPN habilitado para PPTP com uma interface na Internet e uma segunda
interface na intranet.
Encapsulamento: o PPTP encapsula quadros PPP em datagramas IP para transmisso pela rede. O
PPTP usa uma conexo TCP para o gerenciamento de tnel e uma verso modificada do cabealho
GRE (Encapsulamento de Roteamento Genrico) a fim de encapsular quadros PPP para dados em
tnel. As cargas dos quadros PPP encapsulados podem ser criptografadas, compactadas, ou ambas.
Criptografia: o quadro PPP criptografado com a MPPE (Criptografia Ponto a Ponto da Microsoft)
usando as chaves de criptografa geradas nos processos de autenticao
MS-CHAPv2 ou EAP-TLS. Para que as cargas dos quadros PPP sejam criptografadas, os clientes VPN
devem utilizar o protocolo de autenticao MS-CHAPv2 ou EAP-TLS. O PPTP aproveita a criptografia
subjacente do PPP e encapsula um quadro PPP j criptografado.
L2TP
O L2TP permite que voc criptografe o trfego multiprotocolo a ser enviado atravs de qualquer meio
compatvel com a entrega de datagramas ponto a ponto, como o IP ou o ATM (modo de transferncia
assncrona). O L2TP uma combinao do PPTP e do L2F (Layer 2 Forwarding). O L2TP representa os
melhores recursos do PPTP e do L2F.
Criptografia: a mensagem L2TP criptografada com AES ou com o 3DES (DES Triplo) usando as
chaves de criptografia geradas pelo processo de negociao do IKE.
SSTP
SSTP um protocolo de tnel que utiliza o protocolo HTTPS pela porta TCP 443 para passar o trfego
pelos firewalls e proxies da Web que possam bloquear o trfego PPTP e L2TP/IPsec. O SSTP dispe de um
mecanismo para encapsular o trfego PPP pelo canal SSL (Secure Sockets Layer) do protocolo HTTPS. O
uso do PPP permite suporte para mtodos de autenticao seguros, como EAP-TLS. O SSL oferece
segurana no nvel de transporte com negociao avanada de chaves, criptografia e verificao de
integridade.
Quando um cliente tenta estabelecer uma conexo VPN baseada no SSTP, este estabelece primeiramente
uma camada HTTPS bidirecional com o servidor SSTP. Atravs dessa camada HTTPS, os pacotes do
protocolo fluem como a carga de dados:
Encapsulamento: o SSTP encapsula quadros PPP em datagramas IP para transmisso pela rede. O
SSTP usa uma conexo TCP (pela porta 443) para o gerenciamento de tneis e como quadros de
dados PPP.
IKEv2
O IKEv2 (verso 2) usa o protocolo Modo de Tnel IPsec pela porta UDP 500. Devido ao seu suporte para
mobilidade (MOBIKE), o IKEv2 muito mais resiliente para conectividade de rede em constante alterao,
o que o torna uma boa opo para usurios mveis que alternam entre pontos de acesso e que, at
mesmo, alternam entre conexes com fio e sem fio. Uma VPN IKEv2 fornece resilincia ao cliente VPN
quando ele passa de um ponto de acesso sem fio para outro ou quando ele alterna de uma conexo com
fio para uma sem fio; essa capacidade um requisito da Reconexo VPN.
5-18
5-19
O uso do IKEv2 e do IPsec habilita o suporte para mtodos seguros de autenticao e criptografia.
Em cenrios de negcios dinmicos, os usurios devem poder acessar os dados com segurana a qualquer
momento, de qualquer lugar, e acess-los continuamente, sem interrupo. Por exemplo, talvez os
usurios queiram acessar com segurana os dados residentes no servidor da empresa, na matriz, de uma
filial ou enquanto estiverem viajando.
Para atender a esse requisito, voc pode configurar o recurso Reconexo VPN que est disponvel no
Windows Server 2008 R2 e no Windows 7. Com esse recurso, os usurios podem acessar os dados da
empresa usando uma conexo VPN, que far a reconexo automaticamente se a conectividade for
interrompida. O recurso tambm permite a mobilidade entre redes diferentes.
A Reconexo VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contnua e consistente. A
Reconexo VPN restabelecer automaticamente uma conexo VPN quando a conectividade com a
Internet estiver disponvel novamente. Os usurios que se conectam usando uma banda larga mvel sem
fio so os que mais se beneficiam desse recurso.
Pense em um usurio com um laptop que est executando o Windows 7. Quando o usurio viaja de trem
a trabalho, ele se conecta Internet com um carto de banda larga mvel sem fio e estabelece uma
conexo VPN com a rede da empresa. Quando o trem passar por um tnel, a conexo com a Internet ser
perdida. Depois que o trem sair do tnel, o carto de banda larga mvel sem fio far a reconexo
automaticamente com a Internet. Nas verses anteriores do sistemas operacionais de cliente e servidor
Windows, a VPN no se reconectava automaticamente. Portanto, o usurio precisava repetir
manualmente o processo de vrias etapas de conexo com a VPN. Essa tarefa era demorada para usurios
mveis com conectividade intermitente.
Com a Reconexo VPN, o Windows Server 2008 R2 e o Windows 7 restabelecem automaticamente as
conexes VPN ativas quando a conectividade com a Internet restabelecida. Embora a reconexo possa
demorar alguns segundos, os usurios permanecem conectados e tm acesso ininterrupto aos recursos
da rede.
5-20
5-21
PKI (Infraestrutura de Chave Pblica), pois um certificado de computador exigido para uma conexo
remota com a Reconexo VPN. Podem ser usados os certificados emitidos por uma autoridade de
certificao interna ou pblica.
Requisitos de configurao
Antes de implantar a soluo VPN da sua organizao, leve em considerao os seguintes fatores:
Seu servidor VPN exige duas interfaces de rede; determine qual interface de rede se conecta
Internet e qual interface de rede se conecta rede privada. Durante a configurao, ser solicitado
que voc escolha qual interface de rede se conectar Internet. Se voc especificar a interface
incorreta, o servidor VPN de acesso remoto no funcionar corretamente.
Determine se os clientes remotos recebem endereos IP de um servidor DHCP em sua rede privada
ou do servidor VPN de acesso remoto que voc est configurando. Se existir um servidor DHCP na
rede privada, o servidor VPN de acesso remoto poder conceder dez endereos de cada vez do
servidor DHCP e atribu-los a clientes remotos. Se no existir um servidor DHCP na rede privada, o
servidor VPN de acesso remoto poder gerar e atribuir endereos IP automaticamente a clientes
remotos. Para que o servidor VPN de acesso remoto atribua endereos IP de um intervalo
especificado, determine esse intervalo.
Determine se deseja que as solicitaes de conexo dos clientes VPN sejam autenticadas por um
servidor RADIUS ou pelo servidor VPN de acesso remoto que est configurando. A incluso de um
servidor RADIUS ser til se voc pretender instalar vrios servidores VPN de acesso remoto, pontos
de acesso sem fio ou outros clientes RADIUS na rede privada.
Determine se os clientes VPN podem enviar mensagens DHCPINFORM ao servidor DHCP em sua rede
privada. Se existir um servidor DHCP na mesma sub-rede do servidor VPN de acesso remoto, as
mensagens DHCPINFORM dos clientes VPN podero acessar o servidor DHCP depois que a conexo
VPN for estabelecida. Se um servidor DHCP estiver em uma sub-rede diferente daquela do servidor
VPN de acesso remoto, verifique se o roteador entre as sub-redes pode retransmitir mensagens do
DHCP entre os clientes e o servidor. Se o roteador estiver executando o Windows Server 2008 ou o
Windows Server 2008 R2, voc poder configurar o servio Agente de Rel DHCP no roteador para
encaminhar mensagens DHCPINFORM entre as sub-redes.
Assegure-se de que a pessoa responsvel pela implantao da sua soluo VPN tenha as associaes
de grupo administrativo necessrias para instalar as funes de servidor e configurar os servios
necessrios; a associao do grupo Administradores locais exigida para executar essas tarefas.
5-22
5-23
Ao concluir as etapas do Assistente para Adicionar Funes, bem como a configurao de Roteamento e
Acesso Remoto, o servidor estar pronto para ser usado como servidor VPN de acesso remoto.
Veja a seguir as tarefas adicionais que voc pode executar no servidor de acesso remoto/VPN:
Configurar filtros de pacote esttico. Adicione filtros de pacote esttico para proteger melhor a rede.
Configurar servios e portas. Escolha os servios na rede privada que devem ser disponibilizados para
os usurios de acesso remoto.
Ajustar os nveis de log. Configure o nvel de detalhes de evento a ser registrado em log. Voc pode
determinar as informaes que devem ser rastreadas nos arquivos de log.
Aumentar a segurana do acesso remoto. Proteja os usurios remotos e a rede privada impondo
o uso de mtodos de autenticao seguros, exigindo nveis mais altos de criptografia de dados e
muito mais.
Aumentar a segurana da VPN. Proteja os usurios remotos e a rede privada exigindo o uso de
protocolos seguros de tnel, configurando o bloqueio de contas e muito mais.
Considerar a implementao da Reconexo VPN. A Reconexo VPN usa a tecnologia IKEv2 para
fornecer conexo VPN contnua e consistente, restabelecendo automaticamente uma VPN quando os
usurios perdem temporariamente suas conexes com a Internet.
5-24
5-25
Lio 3
As polticas de rede determinam se uma tentativa de conexo foi bem-sucedida e, em caso positivo, a
poltica de rede define as caractersticas de conexo, como restries de dia e hora, tempos de
desconexo por sesso ociosa e outras configuraes.
essencial entender como configurar polticas de rede se sua inteno for implementar com xito VPNs
baseadas na funo de servidor Servios de Acesso e Diretiva de Rede em sua organizao.
Objetivos
Ao concluir esta lio, voc ser capaz de:
As polticas de rede so conjuntos de condies, restries e configuraes que permitem designar quem
est autorizado a se conectar rede e as circunstncias nas quais possvel se conectar ou no. Alm
disso, quando voc implanta a NAP, a poltica de integridade adicionada configurao de polticas de
rede para que o NPS faa as verificaes de integridade do cliente durante o processo de autorizao.
Voc pode exibir as polticas de rede como regras; cada regra possui um conjunto de condies
e configuraes. O NPS compara as condies da regra com as propriedades das solicitaes de conexo.
Se ocorrer uma correspondncia entre a regra e a solicitao de conexo, as configuraes definidas na
regra sero aplicadas conexo.
Quando voc configurar vrias polticas de rede no NPS, elas se tornaro um conjunto ordenado de
regras. O NPS verificar cada solicitao de conexo com a primeira regra da lista, depois com a segunda,
e assim sucessivamente, at encontrar uma correspondncia.
Observao Assim que uma regra de correspondncia for determinada, as demais regras
sero desconsideradas. importante ordenar as polticas de rede adequadamente.
Cada poltica de rede possui uma configurao Estado da Diretiva que permite habilitar ou desabilitar a
poltica. Quando voc desabilita uma poltica de rede, o NPS no avalia essa poltica ao autorizar as
solicitaes de conexo.
5-26
5-27
Viso geral: essas propriedades permitem especificar se a poltica est habilitada, se a poltica
concede ou nega acesso e se o mtodo especfico de conexo da rede, ou o tipo de servidor de
acesso rede, necessrio para as solicitaes de conexo. As propriedades de Viso geral tambm
permitem especificar se as propriedades de discagem das contas de usurios no AD DS devem ser
ignoradas. Se voc marcar essa opo, o NPS usar apenas as configuraes da poltica de rede para
determinar se deve autorizar a conexo.
Ao adicionar uma nova poltica de rede atravs do snap-in do MMC do NPS, use o Assistente de Nova
Diretiva de Rede. Aps criar uma poltica de rede no assistente, voc pode personaliz-la clicando nela
duas vezes no NPS para obter as propriedades dessa poltica.
Observao As polticas padro no NPS bloqueiam o acesso rede. Aps a criao de
suas prprias polticas, voc dever alterar a prioridade, desabilitar ou remover as polticas
padro.
O NPS usa polticas de rede e as propriedades de discagem das contas de usurio para determinar se
deve autorizar uma solicitao de conexo com a sua rede. Voc pode configurar uma nova poltica de
rede no snap-in do MMC do NPS ou no snap-in do MMC do Servio Roteamento e Acesso Remoto.
O valor especificado como o mtodo de conexo da rede usado para configurar a condio Tipo de
Diretiva automaticamente. Se voc mantiver o valor padro No Especificado, o NPS avaliar a
poltica de rede que voc criar para todos os tipos de conexo de rede por meio de qualquer tipo de
servidor de acesso rede. Se voc especificar um mtodo de conexo de rede, o NPS avaliar a
poltica de rede somente se a solicitao de conexo tiver sido originada no tipo de servidor de
acesso rede especificado.
Por exemplo, se voc especificar Gateway de rea de Trabalho Remota, o NPS avaliar a poltica de
rede somente das solicitaes de conexo originadas nos servidores do Gateway de rea de Trabalho
Remota.
Na pgina Especificar Permisso de Acesso, selecione Acesso concedido se desejar que a poltica
permita que os usurios se conectem sua rede. Caso deseje que a poltica impea os usurios de se
conectarem rede, selecione Acesso negado.
Caso deseje que as propriedades de discagem da conta do usurio no AD DS determinem a
permisso de acesso, marque a caixa de seleo O acesso determinado pelas propriedades de
Discagem do Usurio (que substituem a poltica de NPS).
5-28
Etapas da demonstrao
Criar uma poltica VPN com base na condio dos Grupos do Windows.
Testar a VPN.
5-29
Quando o NPS autoriza uma solicitao de conexo, ele compara a solicitao a cada poltica de rede na
lista de polticas ordenada, comeando pela primeira poltica e descendo at o final da lista.
Ao encontrar uma poltica em que as condies correspondem solicitao de conexo, o NPS usar a
poltica correspondente e as propriedades de discagem da conta do usurio para fazer a autorizao.
Se voc configurar as propriedades de discagem da conta do usurio de modo a conceder ou controlar o
acesso atravs de poltica de rede e a solicitao de conexo for autorizada, o NPS aplicar as
configuraes definidas na poltica de rede conexo:
Se o NPS no encontrar uma poltica de rede correspondente solicitao de conexo, essa conexo
ser negada, a menos que as propriedades de discagem na conta do usurio estejam definidas para
conceder o acesso.
Se as propriedades de discagem da conta do usurio estiverem definidas para negar o acesso, o NPS
recusar a solicitao de conexo.
5-30
Lio 4
5-31
Objetivos
Ao concluir esta lio, voc ser capaz de:
O Gerenciador de Conexes uma ferramenta de conexo de rede de cliente que permite que um
usurio conecte-se a uma rede remota, como um provedor de servios de Internet ou uma rede
corporativa protegida por um servidor VPN.
O CMAK uma ferramenta que voc pode usar para personalizar a experincia de conexo remota dos
usurios da rede, criando conexes predefinidas com redes e servidores remotos. Use o assistente do
CMAK para criar e personalizar uma conexo para os usurios.
O CMAK um componente opcional que no instalado por padro. Instale o CMAK para gerar os perfis
de conexo que seus usurios podero instalar para acessar as redes remotas.
5-32
5-33
possvel configurar um perfil de conexo novo ou existente usando o assistente do CMAK. Cada pgina
do assistente permite que voc conclua uma etapa do processo.
As opes apresentadas no assistente do CMAK so:
Seu Perfil de Conexo foi Criado e est Pronto para ser Distribudo
Examinar o perfil.
5-34
5-35
O assistente do CMAK compila o perfil de conexo em um nico arquivo executvel com uma extenso
.exe. Voc pode passar esse arquivo para os usurios usando qualquer mtodo disponvel. Alguns
mtodos a serem considerados so:
Voc pode instalar o perfil de conexo como parte das imagens do computador cliente instaladas nos
novos computadores da sua organizao.
Voc pode fornecer o programa de instalao do perfil de conexo em disquete, CD-ROM, unidade
flash USB ou em qualquer outra mdia removvel que seus usurios possam acessar. Algumas mdias
removveis oferecem suporte a recursos de execuo automtica, que permitem iniciar a instalao
quando o usurio insere a mdia no computador cliente.
Lio 5
A soluo de problemas ocorridos no Roteamento e Acesso Remoto pode ser uma tarefa demorada. Os
problemas podem variar e no so facilmente identificados. Considerando que voc pode estar usando
redes de conexo discada, dedicadas, concedidas ou pblicas para atender sua soluo de
conectividade remota, ser necessrio usar um processo metdico e em etapas para solucionar
problemas.
Em alguns casos, possvel identificar e solucionar o problema rapidamente. Em outros casos,
necessrio entender todas as ferramentas disponveis para ajudar a determinar a fonte do problema e
resolv-lo em um tempo razovel.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Descrever como o log de autenticao e contabilizao pode ser usado para solucionar problemas de
conexo.
5-36
5-37
Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes de autenticao do
usurio, mensagens Access-Accept, mensagens Access-Reject, solicitaes e respostas de contabilizao e
atualizaes de status peridicas. Voc pode adotar esse procedimento para configurar os arquivos de log
nos quais deseja armazenar os dados de contabilizao.
Configurao da contabilizao
Para impedir que os arquivos de log usem todo o espao no disco rgido, altamente recomendvel
mant-los em uma partio separada da partio do sistema.
A lista a seguir fornece mais informaes sobre a configurao da contabilizao do NPS:
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o IAS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
para \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando usar pipes nomeados.
Voc pode criar o diretrio do arquivo de log usando variveis de ambiente do sistema (em vez de
variveis do usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar
o caminho usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
Voc pode alterar os formatos dos arquivos de log sem criar um novo log. Se os formatos dos
arquivos de log forem alterados, o arquivo que estiver ativo no momento da alterao conter uma
mistura dos dois formatos (os registros no incio do log tero o formato anterior e os registros no
final do log tero o novo formato).
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes sobre contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC, como
\\MeuServidorDeLog\CompartilhamentoDeLog.
O NPS pode se conectar a um banco de dados do SQL Server alm de, ou em vez de, se conectar a
um arquivo local.
Observao Se voc no fornecer uma instruo de caminho completa no Diretrio do
Arquivo de Log, o caminho padro ser usado. Por exemplo, se voc digitar NPSLogFile no
Diretrio do Arquivo de Log, o arquivo ficar localizado em
systemroot\System32\NPSLogFile.
2.
3.
No painel de detalhes, clique com o boto direito do mouse em Log de Arquivo Local e clique em
Configurar Log de Arquivo Local. A caixa de dilogo Log de Arquivo Local aberta.
4.
Na guia Arquivo de Log, no Diretrio, digite o local onde deseja armazenar os arquivos de log do
NPS. O local padro a pasta systemroot\System32\LogFiles.
5.
Em Formatar, clique em Compatvel com banco de dados. Se desejar manter os arquivos de log no
formato IAS, clique em IAS.
6.
Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
7.
Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir
este tamanho e digite o tamanho do arquivo que servir de base para a criao do novo log. O
tamanho padro 10 MB.
Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
Observao Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no
computador local.
5-38
5-39
Para configurar o log de acesso remoto, abra o console do servio Roteamento e Acesso Remoto, clique
com o boto direito do mouse no nome do servidor e clique em Propriedades. Clique na guia Log para
exibir as opes disponveis para o log de rastreamento e a respectiva localizao.
Inicialmente, pode ser melhor especificar mais opes de log do que o necessrio, em vez de especificar
muito menos opes. Depois de determinar o nvel de log que mais til para solucionar problemas na
sua infraestrutura, voc poder alterar as opes e/ou o nvel de log de acordo com a sua preferncia.
Quatro nveis de log esto disponveis na guia Registrando em Log nas propriedades do servidor VPN no
snap-in de Roteamento e Acesso Remoto. Selecione Registrar todos os eventos e tente fazer a conexo
novamente. Depois que a conexo falhar, verifique o log de eventos do sistema para saber se eventos
foram registrados durante o processo de conexo. Ao terminar de exibir os eventos de acesso remoto,
selecione a opo Registrar erros e avisos no log na guia Registrando em log para conservar os
recursos do sistema.
A tabela a seguir descreve os quatro nveis de log de eventos disponibilizados pelo Servio Roteamento e
Acesso Remoto do Windows Server 2008 R2.
Elemento da caixa de dilogo Descrio
Registrar apenas Erros no Log
5-40
5-41
O servio Roteamento e Acesso Remoto no Windows Server 2008 R2 tem uma extensa capacidade de
rastreamento que pode ser usada para solucionar problemas complexos de rede. Voc pode habilitar os
componentes no Windows Server 2008 R2 para registrar informaes de rastreamento nos arquivos
usando o comando Netsh ou o Registro.
O comando Netsh pode ser usado para habilitar e desabilitar o rastreamento de componentes especficos
ou de todos os componentes. Para habilitar e desabilitar o rastreamento de um componente especfico,
use a seguinte sintaxe:
netsh ras set tracing componente enabled|disabled
possvel habilitar o rastreamento para cada componente do servio Roteamento e Acesso Remoto
configurando os valores de Registro apropriados. Voc pode habilitar e desabilitar o rastreamento de
componentes enquanto o servio Roteamento e Acesso Remoto est sendo executado. Cada componente
capaz de fazer o rastreamento e exibido como uma subchave na chave de Registro antecedente.
Para habilitar o rastreamento de cada componente, configure as seguintes entradas de Registro para cada
chave de protocolo:
EnableFileTracing REG_DWORD Flag
Para alterar o tamanho do arquivo de log, configure valores diferentes para MaxFileSize. O valor padro
0x10000 (64K).
MaxFileSize REG_DWORD SizeOfLogFile
5-42
5-43
Para resolver problemas gerais com o estabelecimento de uma conexo VPN de acesso remoto, execute
as seguintes tarefas:
Use o comando ping para verificar se o nome do host resolvido para o endereo IP correto. O ping
pode no ser bem-sucedido devido filtragem de pacotes, que impede que o servidor VPN envie e
receba mensagens ICMP.
Verifique se as credenciais do cliente VPN, que consistem no nome do usurio, na senha e no nome
do domnio, esto corretas e se o servidor VPN pode valid-las.
Para redefinir a senha de uma conta no nvel de administrador com senha vencida, use outra conta
no nvel de administrador.
Verifique se a conta do usurio no foi bloqueada devido ao bloqueio da conta de acesso remoto.
Verifique se o servidor VPN est habilitado para acesso remoto na guia Geral nas propriedades de
um servidor VPN no snap-in de Roteamento e Acesso Remoto.
Verifique se os dispositivos Miniporta WAN (PPTP) e Miniporta WAN (L2TP) esto habilitados para
acesso remoto de entrada nas propriedades do objeto Portas do snap-in de Roteamento e Acesso
Remoto.
Verifique se o cliente VPN, o servidor VPN e a poltica de rede que correspondem s conexes VPN
esto configurados para usar pelo menos um mtodo de autenticao comum.
Verifique se o cliente VPN e a poltica de rede que correspondem s conexes VPN esto
configurados para usar pelo menos uma intensidade de criptografia comum.
5-44
5-45
Este tpico lista problemas comuns que voc pode encontrar ao utilizar o Acesso Remoto do Windows
Server 2008 R2.
PPTP: para o trfego PPTP, configure o firewall da rede para abrir a porta TCP 1723 e
encaminhar o protocolo IP 47 do trfego GRE ao servidor VPN.
L2TP: para o trfego L2TP configure o firewall da rede para abrir a porta UDP 1701 e permitir
pacotes formatados IPsec ESP (protocolo IP 50).
Causa: esse problema poder ocorrer se o firewall da rede no permitir o trfego GRE (protocolo IP
47). O PPTP usa o GRE para dados em tnel.
Soluo: configure o firewall da rede entre o cliente VPN e o servidor para permitir o GRE. Alm
disso, verifique se o firewall da rede permite o trfego TCP na porta 1723. Essas duas condies
devem ser atendidas para que seja possvel usar o PPTP para estabelecer a conectividade VPN.
Observao O firewall pode estar ativado na frente do cliente VPN ou na frente do
servidor VPN.
Causa: esses erros ocorrero se o cliente VPN solicitar um nvel de criptografia invlido ou se o
servidor VPN no oferecer suporte ao tipo de criptografia solicitado pelo cliente.
Soluo: verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se a opo
Exigir criptografia de dados (desconectar se no houver) estiver selecionada, desmarque-a e tente
fazer a conexo novamente. Se estiver usando o NPS, verifique o nvel de criptografia da poltica de
rede no console do NPS ou das polticas em outros servidores RADIUS. Verifique se o nvel de
criptografia solicitado pelo cliente VPN est selecionado no servidor VPN.
Ausncia de certificado: por padro, as conexes L2TP/IPsec exigem que, para a autenticao no
par do IPsec, ocorra uma troca de certificados de computador entre o servidor de acesso remoto e o
cliente de acesso remoto. Verifique os armazenamentos de certificados do Computador Local do
cliente de acesso remoto e do servidor de acesso remoto que usam o snap-in de certificados para
confirmar se existe um certificado adequado.
Certificado incorreto: o cliente VPN deve ter um certificado de computador vlido instalado que
tenha sido emitido por uma autoridade de certificao que siga uma cadeia de certificados vlida, da
autoridade de certificao de emisso at a autoridade de certificao raiz, na qual o servidor VPN
confie. Alm disso, o servidor VPN precisa ter um certificado de computador vlido instalado que
tenha sido emitido por uma autoridade de certificao que siga uma cadeia de certificados vlida, da
autoridade de certificao de emisso at a autoridade de certificao raiz, na qual o cliente VPN
confie.
Um dispositivo de NAT existe entre o cliente de acesso remoto e servidor de acesso remoto:
se houver uma NAT entre um cliente L2TP/IPsec baseado em Windows 2000, Windows Server 2003
ou Windows XP e um servidor L2TP/IPsec do Windows Server 2008, no ser possvel estabelecer uma
conexo L2TP/IPsec, a menos que o cliente e o servidor ofeream suporte ao IPsec NAT-T.
Existe um firewall entre o cliente de acesso remoto e o servidor de acesso remoto: se houver
um firewall entre um cliente L2TP/IPsec do Windows e um servidor L2TP/IPsec do Windows Server
2008 R2, e voc no puder estabelecer uma conexo L2TP/IPsec, verifique se o firewall permite o
encaminhamento do trfego L2TP/IPsec.
5-46
5-47
Quando voc usa o EAP-TLS para a autenticao, o cliente VPN envia um certificado de usurio
e o servidor de autenticao (o servidor VPN ou o servidor RADIUS) envia um certificado de computador.
Para permitir que o servidor de autenticao valide o certificado do cliente VPN, as seguintes condies
devero ser verdadeiras para cada certificado na cadeia de certificados enviados pelo cliente VPN:
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado no foi revogado. Os certificados emitidos podem ser revogados a qualquer momento.
Cada autoridade de certificao de emisso mantm uma lista de certificados que no so
considerados vlidos e publica uma CRL (lista de certificados revogados) atualizada. Por padro, o
servidor de autenticao verifica todos os certificados na cadeia de certificados dos clientes VPN (a
srie de certificados do certificado do cliente VPN at a autoridade de certificao raiz) para
revogao. Se um dos certificados na cadeia tiver sido revogado, a validao do certificado falhar.
O certificado possui uma assinatura digital vlida. As autoridades de certificao assinam digitalmente
os certificados emitidos. O servidor de autenticao verifica a assinatura digital de cada certificado na
cadeia, com exceo do certificado da autoridade de certificao raiz, obtendo a chave pblica da
autoridade de certificao de emisso e validando matematicamente a assinatura digital.
Para que o cliente VPN valide o certificado do servidor de autenticao de uma das autenticaes de
EAP-TLS, as seguintes condies devero ser verdadeiras para cada certificado na cadeia de
certificados enviados pelo servidor de autenticao:
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado precisa ter uma assinatura digital vlida. As autoridades de certificao assinam
digitalmente os certificados emitidos. O cliente VPN verifica a assinatura digital de cada
certificado na cadeia, com exceo do certificado da autoridade de certificao raiz, obtendo a
chave pblica da autoridade de certificao de emisso do certificado e validando
matematicamente a assinatura digital.
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
5-48
5-49
Cenrio de laboratrio
A Contoso, Ltd. deseja implementar uma soluo de acesso remoto para seus funcionrios para que eles
possam se conectar rede corporativa quando estiverem fora do escritrio. A Contoso precisa de uma
poltica de rede que obrigue a criptografia das conexes VPN por motivos de segurana.
Voc deve habilitar e configurar os servios de servidor necessrios para facilitar esse acesso remoto.
Para este projeto, voc dever concluir as seguintes tarefas:
Configurar o Roteamento e Acesso Remoto como uma soluo de acesso remoto VPN.
2.
Configurar 10221B-NYC-EDGE1 como um servidor VPN com um pool de endereos estticos para
clientes de Acesso Remoto.
3.
Configurar as portas VPN disponveis no servidor de Roteamento e Acesso Remoto para permitir 25
conexes PPTP, 25 conexes L2TP e 25 conexes SSTP.
2.
3.
Adicione a funo Servios de Acesso e Diretiva de Rede com os seguintes servios de funo:
a.
b.
2.
No painel de lista, selecione e clique com o boto direito do mouse em NYC-EDGE1 (Local) e clique
em Configurar e Habilitar Roteamento e Acesso Remoto.
3.
b.
c.
d.
e.
f.
g.
5-50
Na interface da ferramenta de gerenciamento do Roteamento e Acesso Remoto, expanda NYCEDGE1, selecione e clique com o boto direito do mouse em Portas e clique em Propriedades.
2.
b.
c.
3.
4.
5-51
Resultados: ao fim deste exerccio, voc ter habilitado o roteamento e acesso remoto no servidor NYCEDGE1.
2.
3.
2.
No console do Servidor de Diretivas de Rede, crie uma nova poltica com as seguinte configuraes:
a.
b.
c.
d.
e.
f.
g.
2.
3.
2.
3.
4.
a.
b.
c.
b.
5-52
5.
b.
Senha: Pa$$w0rd
c.
Domnio: Contoso
Observao
6.
Resultados: ao fim deste exerccio, voc ter criado e testado uma conexo VPN.
5-53
2.
3.
Distribuir o perfil.
2.
3.
2.
3.
4.
5.
5-54
6.
7.
8.
9.
Senha: Pa$$w0rd
Domnio: Contoso
5-55
1.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
Lio 6
Configurao do DirectAccess
Geralmente, as organizaes dependem das conexes VPN para fornecer aos usurios remotos acesso
seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e tm suporte
de diferentes clientes. No entanto, as conexes VPN devem ser primeiramente iniciadas pelo usurio e
podem exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN geralmente
habilitam o acesso remoto toda rede corporativa. As organizaes no podem gerenciar com eficincia
computadores remotos, a menos que estejam conectados. Para superar tais limitaes nas conexes VPN,
as organizaes podem implementar o DirectAccess, disponvel no Windows Server 2008 R2 e Windows 7,
para fornecer uma conexo contnua entre a rede interna e o computador remoto na Internet. Com o
DirectAccess, as organizaes podem gerenciar computadores remotos sem esforo, pois eles esto
sempre conectados.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Configurar o DirectAccess.
5-56
5-57
O que o DirectAccess?
O Windows Server 2008 R2 e o Windows 7 apresentam um recurso chamado DirectAccess que permite o
acesso remoto contnuo aos recursos da intranet sem precisar estabelecer primeiro a conexo VPN. O
recurso DirectAccess tambm garante conectividade contnua infraestrutura de aplicativos para usurios
internos e remotos.
Diferentemente das VPNs tradicionais, que exigem interveno do usurio para iniciar uma conexo com
uma intranet, o DirectAccess permite que qualquer aplicativo compatvel com IPv6 no computador cliente
tenha acesso completo aos recursos da intranet. O DirectAccess tambm permite especificar recursos e
aplicativos no lado do cliente que sejam restritos para acesso remoto.
As organizaes se beneficiam do DirectAccess porque os computadores remotos podem ser gerenciados
como se fossem computadores locais (usando os mesmos servidores de gerenciamento e atualizao), o
que garante que eles estejam sempre atualizados e em conformidade com as polticas de integridade do
sistema e de segurana. Tambm possvel definir polticas mais detalhadas de controle de acesso para
acesso remoto em comparao com a definio de polticas de controle de acesso em solues VPN.
O DirectAccess possui os seguintes recursos:
Usa vrios protocolos, incluindo HTTPS, para estabelecer conectividade IPv6. Normalmente, o HTTPS
permitido por meio de servidores proxy e firewalls.
Oferece suporte ao acesso de servidor selecionado e autenticao IPsec completa com servidores
de rede da intranet.
5-58
5-59
Conectividade sempre ativa: sempre que o usurio conectar o computador cliente Internet,
o computador cliente tambm ser conectado intranet. Essa conectividade permite que
computadores cliente remotos acessem e atualizem aplicativos com mais facilidade. Ela tambm
permite que os recursos da intranet estejam sempre disponveis e permite que os usurios se
conectem intranet corporativa de qualquer lugar e a qualquer momento, melhorando, assim, a
produtividade e o desempenho.
Acesso bidirecional: o DirectAccess pode ser configurado de modo que no s seus clientes tenham
acesso aos recursos da intranet, mas que voc tambm possa ter acesso da intranet a esses clientes
DirectAccess. Assim, o DirectAccess pode ser bidirecional, de modo que seus usurios tenham acesso
aos recursos da intranet e voc possa ter acesso aos clientes DirectAccess quando eles estiverem se
conectando por uma rede pblica. Isso garante que os computadores cliente estejam sempre
atualizados com os patches de segurana mais recentes, que a Diretiva de Grupo do domnio seja
imposta e que no haja diferena se os usurios estiverem na intranet corporativa ou na rede pblica.
Esse acesso bidirecional tambm resulta em:
Aumento da segurana
Mais segurana: diferentemente das VPNs tradicionais, o DirectAccess oferece muitos nveis de
controle de acesso aos recursos da rede. Esse grau mais rgido de controle permite aos arquitetos de
segurana controlar precisamente os usurios remotos que acessam recursos especificados. A
criptografia IPsec usada para proteger o trfego do DirectAccess, de modos que os usurios possam
garantir a segurana de suas comunicaes. Voc pode usar uma poltica granular para definir quem
pode usar o DirectAccess e de onde.
Componentes do DirectAccess
Para implantar e configurar o DirectAccess, sua organizao deve oferecer suporte aos seguintes
componentes de infraestrutura.
Servidor DirectAccess
No servidor DirectAccess, voc pode instalar o recurso Console de Gerenciamento do DirectAccess usando
Gerenciador de Servidores. possvel usar o Console de Gerenciamento do DirectAccess para definir as
configuraes do servidor e clientes DirectAccess, bem como para monitorar o status do servidor
DirectAccess. Talvez seja preciso mais de um servidor DirectAccess, dependendo dos requisitos de
implantao e escalabilidade.
Para implantar componentes do DirectAccess no servidor, este deve:
Ter pelo menos dois adaptadores de rede fsicos instalados - um conectado Internet e o outro
intranet.
O servidor deve ter pelo menos dois endereos IPv4 pblicos, estticos e consecutivos atribudos ao
adaptador de rede que est conectado Internet.
5-60
5-61
Clientes DirectAccess
Para implantar o DirectAccess, voc tambm precisa garantir que o cliente atenda a determinados
requisitos:
O cliente deve estar executando o Windows 7 Ultimate Edition, Windows 7 Enterprise Edition ou
Windows Server 2008 R2.
Os recursos internos da rede devem estar disponveis pelo IPv6. Para clientes conectados Internet,
as tecnologias de transio do IPv6, como o 6to4 e Teredo, podem ser usadas.
Observao Clientes que estiverem executando o Windows Vista, Windows Server 2008
ou outras verses anteriores dos sistemas operacionais Windows no oferecem suporte ao
DirectAccess.
Os clientes DirectAccess usam o NLS (Servidor do Local da Rede) para determinar o respectivo local. Se o
cliente puder se conectar com HTTPS, ele supor que est na intranet e desabilitar os componentes do
DirectAccess. Se o NLS no puder ser contatado, o cliente supor que est na Internet. O servidor NLS
instalado com a funo Servidor Web.
Observao
Diretiva de Grupo
PKI
Voc deve implementar uma PKI para emitir certificados para autenticao de computador e, onde
desejvel, certificados de integridade ao usar a NAP. No preciso implementar certificados pblicos.
Servidor DNS
Ao usar o ISATAP, voc deve usar o Windows Server 2008 R2, Windows Server 2008 com hotfix Q958194
(http://go.microsoft.com/fwlink/?LinkID=159951 (em ingls)), Windows Server 2008 SP2 ou posterior, ou
um servidor DNS de terceiros que oferea suporte troca de mensagens DNS pelo protocolo ISATAP.
Para separar o trfego da Internet do trfego da Intranet para o DirectAccess, o Windows Server 2008 R2
e o Windows 7 incluem a NRPT (Tabela de Diretivas de Resoluo de Nomes), um recurso que permite
definir configuraes e servidores DNS para cada namespace DNS, e no para cada interface. A NRPT
armazena uma lista de regras. Cada regra define um namespace DNS e definies de configurao que
descrevem o comportamento do cliente DNS para esse namespace. Quando um cliente DirectAccess
estiver na Internet, cada solicitao de consulta de nome comparada com as regras de namespace
armazenadas na NRPT. Se uma correspondncia for encontrada, a solicitao ser processada de acordo
com as configuraes na regra NRPT.
Se uma solicitao de consulta de nome no corresponder a um namespace listado na NRPT, a solicitao
ser enviada aos servidores DNS que estiverem configurados nas definies TCP/IP. Para um cliente
remoto, normalmente, os servidores DNS estaro nos servidores DNS que foram configurados pelo
provedor de servios de Internet. Para um cliente DirectAccess na intranet, os servidores DNS geralmente
estaro nos servidores DNS da intranet que foram configurados pelo protocolo DHCP.
Nomes de rtulo nico, por exemplo, http://internal, geralmente tero sufixos de pesquisa DNS
configurados acrescentados ao nome antes de serem verificados na NRPT.
Se nenhum sufixo de pesquisa DNS for configurado e o nome de rtulo nico no corresponder a
nenhuma outra entrada de nome de rtulo nico na NRPT, a solicitao ser enviada aos servidores DNS
especificados nas configuraes TCP/IP do cliente.
Namespaces, por exemplo, internal.contoso.com, so inseridos na NRPT, seguidos pelos servidores DNS
aos quais as solicitaes que corresponderem ao namespace devem ser direcionadas. Se um endereo IP
foi inserido para o servidor DNS, todas as solicitaes DNS sero enviadas diretamente ao servidor DNS
pela conexo do DirectAccess. No preciso especificar nenhuma segurana adicional para tais
configuraes. No entanto, se um nome for especificado na NRPT para o servidor DNS, como
dns.contoso.com, o nome dever ser resolvvel publicamente quando o cliente consultar os servidores
DNS especificados nas respectivas configuraes TCP/IP.
5-62
5-63
A NRPT permite que os clientes DirectAccess usem servidores DNS da intranet para resoluo de nomes
de recursos internos e servidores DNS da Internet para resoluo de nomes de outros recursos. No so
necessrios servidores DNS dedicados para a resoluo de nomes. O DirectAccess ajuda a evitar a
exposio do namespace de sua intranet Internet.
Alguns nomes precisam ser tratados de forma diferente em relao resoluo de nomes; esses nomes
no devem ser resolvidos com servidores DNS da intranet. Para garantir que esses nomes sejam resolvidos
com os servidores DNS especificados nas configuraes TCP/IP do cliente, preciso adicion-los como
isenes da NRPT.
A NRPT controlada pela Diretiva de Grupo. Quando o computador configurado para usar a NRPT, o
mecanismo de resoluo de nomes primeiramente tenta usar o cache do nome local, que inclui as
entradas no arquivo de hosts, em seguida, a NRPT e, por fim, envia a consulta aos servidores DNS
especificados nas configuraes TCP/IP.
O cliente DirectAccess tenta resolver o FQDN (nome de domnio totalmente qualificado) da URL do
servidor do local da rede.
Como o FQDN da URL do servidor do local da rede corresponde a uma regra de iseno na NRPT, o
cliente DirectAccess envia a consulta DNS a um servidor DNS configurado localmente (um servidor
DNS baseado na intranet). O servidor DNS da intranet resolve o nome.
2.
O cliente DirectAccess acessa a URL baseada em HTTPS do servidor do local da rede, processo em
que ele obtm o certificado do servidor do local da rede.
3.
Com base no campo Pontos de Distribuio da CRL (Lista de Certificados Revogados) do certificado
do servidor do local da rede, o cliente DirectAccess verifica os arquivos de revogao CRL no ponto
de distribuio da CRL para determinar se o certificado do servidor do local da rede foi revogado.
4.
Com base em uma HTTP 200 Success da URL do servidor do local da rede (acesso bem-sucedido e
verificao de autenticao e revogao de certificado), o cliente do DirectAccess remove as regras
do DirectAccess na NRPT.
5.
O computador cliente DirectAccess tenta localizar e fazer logon no domnio AD DS usando sua conta
de computador.
Como no h mais regras do DirectAccess na NRPT, todas as consultas DNS so enviadas por meio
dos servidores DNS configurados pela interface (servidores DNS da intranet).
5-64
6.
5-65
Com base no logon bem-sucedido do computador no domnio, o cliente DirectAccess atribui o perfil
do Domnio rede conectada.
Como as regras de tnel Segurana de Conexo para o DirectAccess so copiadas nos perfis Pblico e
Privado, elas so removidas da lista de regras Segurana de Conexo ativas.
O cliente DirectAccess detectou com xito que est conectado respectiva intranet e no usa as
configuraes do DirectAccess (regras da NRPT ou regras de tnel Segurana de Conexo). Ele pode
acessar os recursos da intranet normalmente. Ele tambm pode acessar os recursos da Internet por
meios normais, por um servidor proxy (no mostrado), por exemplo.
Quando iniciado, um cliente DirectAccess supe que no est conectado intranet. A NRPT possui
regras baseadas no DirectAccess e as regras Segurana de Conexo para tneis do DirectAccess so
ativadas. Os clientes DirectAccess conectados pela Internet usam o seguinte processo para se conectar a
recursos da intranet:
O cliente tenta resolver o FQDN da URL do servidor do local da rede. Como o FQDN da URL do
servidor do local da rede corresponde a uma regra de iseno na NRPT, o cliente DirectAccess envia a
consulta DNS a um servidor DNS configurado localmente (um servidor DNS baseado na Internet). O
servidor DNS da Internet no pode resolver o nome.
2.
3.
Como o servidor do local da rede no foi encontrado, o cliente DirectAccess aplica o perfil Pblico ou
Privado rede conectada.
4.
As regras de tnel Segurana de Conexo para o DirectAccess, direcionadas para os perfis Pblico e
Privado, permanecem.
O cliente DirectAccess possui as regras da NRPT e as regras Segurana de Conexo para acessar os
recursos da intranet pela Internet por meio do servidor DirectAccess.
5-66
5-67
Depois de ser iniciado e determinar seu local de rede, o cliente DirectAccess tenta localizar e fazer logon
em um controlador de domnio. Esse processo cria o tnel de infraestrutura para o servidor DirectAccess.
1.
O nome DNS para o controlador de domnio corresponde regra de namespace da intranet na NRPT,
que especifica o endereo IPv6 do servidor DNS da intranet. O servio do cliente DNS cria a consulta
de nome DNS que endereada ao endereo IPv6 do servidor DNS da intranet e a transfere para a
pilha TCP/IP para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras Segurana de Conexo para o pacote.
3.
Como o endereo IPv6 de destino na consulta de nome DNS corresponde a uma regra Segurana de
Conexo que corresponde ao tnel de infraestrutura, o cliente DirectAccess usa o AuthIP ou IPsec
para negociar e autenticar um tnel IPsec criptografado para o servidor DirectAccess. O cliente
DirectAccess autentica a si mesmo com o respectivo certificado do computador instalado e as
respectivas credenciais NTLM.
4.
O cliente DirectAccess envia a consulta de nome DNS pelo tnel de infraestrutura para o servidor
DirectAccess.
5.
O servidor DirectAccess encaminha a consulta de nome DNS ao servidor DNS da intranet, que
responde. A resposta da consulta de nome DNS enviada de volta ao servidor DirectAccess e pelo
tnel de infraestrutura para o cliente DirectAccess.
O trfego de logon do domnio subsequente passa pelo tnel de infraestrutura. Quando o usurio no
cliente DirectAccess faz logon, o trfego de logon do domnio passa pelo tnel de infraestrutura.
O aplicativo ou o processo que est tentando se comunicar cria uma mensagem ou carga e a
transfere para a pilha TCP/IP para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras Segurana de Conexo para o pacote.
3.
Como o endereo IPv6 de destino corresponde regra Segurana de Conexo que corresponde ao
tnel da intranet (que especifica o espao de endereos IPv6 de toda a intranet), o cliente
DirectAccess usa o AuthIP ou IPsec para negociar e autenticar um tnel IPsec adicional para o
servidor DirectAccess. O cliente DirectAccess autentica a si mesmo com o respectivo certificado do
computador instalado e as credenciais Kerberos da conta do usurio.
4.
O cliente DirectAccess envia o pacote pelo tnel da intranet para o servidor DirectAccess.
5.
O servidor DirectAccess encaminha o pacote aos recursos da intranet, que responde. A resposta
enviada de volta ao servidor DirectAccess e pelo tnel da intranet para o cliente DirectAccess.
O servio Cliente DNS transmite o nome DNS para o recurso da Internet pela NRPT. No h
correspondncias. O servio Cliente DNS cria a consulta de nome DNS que endereada ao endereo
IP de um servidor DNS da Internet configurado pela interface e a transfere para a pilha TCP/IP para
envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras Segurana de Conexo para o pacote.
3.
4.
5.
O aplicativo de usurio ou processo constri o primeiro pacote para enviar ao recurso da Internet.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras Segurana de Conexo para o pacote.
6.
O trfego do recurso da Internet subsequente, que no corresponde a um destino nas regras Segurana
de Conexo do tnel da intranet da infraestrutura, enviado e recebido normalmente.
5-68
5-69
Configurao do DirectAccess
Crie um grupo de segurana para manter os computadores que sero clientes DirectAccess.
Crie um registro de host DNS para o Servidor do Local da Rede para clientes DirectAccess da intranet.
Crie um registro de host DNS para o servidor que hospeda a lista de certificados revogados na
intranet.
No seu servidor DNS pblico, crie um registro de host DNS para o host que fornecer acesso lista
de certificados revogados para clientes DirectAccess baseados na Internet.
Crie o modelo de certificado e defina as configuraes de segurana no modelo para que os Usurios
Autenticados possam registrar o certificado.
Distribua os certificados de computador. Voc pode usar a Diretiva de Grupo para isso habilitando o
registro automtico.
5-70
5-71
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Cenrio de laboratrio
Voc administrador de servidores na Contoso, Ltd. Sua organizao consiste em uma grande fora de
trabalho mvel que carrega laptops para se manter conectada. Sua organizao deseja fornecer uma
soluo segura para proteger a transferncia de dados. Para isso, voc usar o DirectAccess para habilitar
a conectividade persistente, a administrao central e o gerenciamento de computadores remotos.
5-72
5-73
Instrues do laboratrio
Devido complexidade das etapas envolvidas na habilitao e configurao do DirectAccess, indique as
etapas fornecidas na Resposta do Laboratrio.
1.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
Perguntas de reviso
1.
Sua organizao deseja implementar uma soluo econmica que interconecte duas filiais com suas
matrizes. De que maneira as VPNs teriam uma funo nesse cenrio?
2.
O gerente de TI na sua organizao est preocupado em abrir muitas portas de firewall para facilitar
o acesso remoto de usurios que esto trabalhando de casa por uma VPN. Como voc pode atender
s expectativas dos usurios remotos enquanto tranquiliza as preocupaes do gerente?
3.
Voc tem um servidor VPN com duas polticas de rede configuradas. A primeira tem uma condio
que permite acesso aos membros do grupo Contoso, ao qual todos da organizao pertencem, mas
possui uma restrio de Dia e horrio que limita o acesso apenas ao horrio de funcionamento do
escritrio. A segunda poltica tinha uma condio de associao do grupo Administradores do
Domnio e nenhuma restrio. Por que as conexes por administradores esto sendo negadas fora do
horrio do escritrio e o que pode ser feito em relao a isso?
Reconexo VPN
5-74
Ferramentas
Ferramenta
Use para
Onde encontr-la
Services.msc
Ferramentas Administrativas ou
inicie-a usando Executar
Gpedit.msc
Inicie-a em Executar
Mmc.exe
Inicie-a em Executar
Gpupdate.exe
Napclcfg.msc
5-75
6-1
Mdulo 6
Instalao, configurao e soluo de problemas do servio
de funo Servidor de Diretivas de Rede
Contedo:
Lio 1: Instalao e configurao de um Servidor de Diretivas de Rede
6-3
6-10
6-20
6-29
6-38
A funo NPS (Servidor de Diretivas de Rede) no Windows Server 2008 substitui o IAS (Servio de
Autenticao da Internet) das verses anteriores do Windows Server. O NPS fornece suporte ao protocolo
RADIUS e pode ser configurado como um proxy ou servidor RADIUS. Alm disso, o NPS fornece
funcionalidade essencial implementao da NAP (Proteo de Acesso Rede). Para oferecer suporte a
clientes remotos e implementar a NAP, importante saber como instalar e configurar o NPS, bem como
solucionar problemas relacionados.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
6-2
6-3
Lio 1
O NPS implementado como uma funo de servidor no Windows Server 2008 e Windows Server 2008
R2. Voc deve entender como instalar e configurar a funo NPS para oferecer suporte sua
infraestrutura RADIUS.
Objetivos
Ao concluir esta lio, voc ser capaz de:
O NPS permite criar e impor diretivas de acesso rede em nvel organizacional, para fins de integridade
do cliente, autenticao e autorizao de solicitao de conexo. Voc tambm pode usar o NPS como
um proxy RADIUS para encaminhar solicitaes de conexo ao NPS ou a outros servidores RADIUS
configurados nos grupos de servidores RADIUS remotos.
O NPS permite configurar e gerenciar de modo centralizado a autenticao de acesso rede, a
autorizao e as diretivas de integridade de cliente usando qualquer combinao das trs funes a
seguir:
6-4
6-5
Proxy RADIUS: quando o NPS for utilizado como um proxy RADIUS, configure diretivas
de solicitao de conexo que indiquem quais solicitaes de conexo o servidor NPS encaminhar
para outros servidores RADIUS e os servidores RADIUS para os quais essas solicitaes sero
encaminhadas. Voc tambm pode configurar o NPS para encaminhar dados de contabilizao para
registro em log por um ou mais computadores em um grupo de servidores RADIUS remotos.
Como um proxy RADIUS, o NPS encaminha mensagens de autenticao e contabilizao para outros
servidores RADIUS. No NPS, h suporte para os padres IETF (Internet Engineering Task Force) para
RADIUS, descritos na RFC (Request for Comments) 2865 e 2866.
Com o NPS, sua organizao tambm pode terceirizar a infraestrutura de acesso remoto para um
provedor de servios, e ainda manter o controle sobre a autenticao do usurio, a autorizao e a
contabilizao.
Voc pode criar diferentes configuraes NPS para as seguintes solues:
Acesso Internet
Servidor de diretivas NAP: Ao ser configurado como um servidor de diretivas NAP, o NPS avalia as
declaraes de integridade (SoHs) enviadas pelos computadores cliente com capacidade para NAP,
que tentam se conectar com a rede. O NPS tambm atua como um servidor RADIUS quando
configurado com a NAP, realizando a autenticao e autorizao de solicitaes de conexo.
possvel definir diretivas e configuraes NAP no NPS, inclusive SHVs (validadores da integridade do
sistema), diretiva de integridade e Grupos de Servidores de Atualizaes que permitem que os
computadores cliente atualizem as respectivas configuraes, de modo a se tornarem compatveis
com a diretiva de rede de sua organizao.
O Windows 7 e o Windows Server 2008 incluem a NAP, o que ajuda a proteger o acesso s redes
privadas, garantindo que os computadores cliente sejam configurados de acordo com as diretivas de
integridade da rede da organizao para que possam se conectar aos recursos da rede. Alm disso, a
NAP monitora a conformidade dos computadores cliente com a diretiva de integridade definida pelo
administrador, enquanto o computador estiver conectado rede. Os computadores incompatveis
podem ser atualizados automaticamente atravs do recurso de correo automtica da NAP, que os
torna compatveis com a diretiva de integridade para que obtenham xito na conexo com a rede.
Os administradores de sistema definem as diretivas de integridade da rede e geram essas diretivas em
componentes da NAP fornecidos pelo NPS, de acordo com a implantao da NAP, ou fornecidos por
terceiros.
As diretivas de integridade podem conter requisitos de software, de atualizao de segurana e as
definies das configuraes necessrias. Para impor as diretivas de integridade, a NAP inspeciona e
avalia a integridade dos computadores cliente, restringe o acesso rede quando os computadores
cliente so considerados problemticos, e os corrige para que obtenham o acesso total rede.
6-6
6-7
Aps instalar a funo Servidor de Diretivas de Rede, voc pode abrir a ferramenta administrativa NPS no
menu Ferramentas Administrativas ou adicionar o snap-in para criar uma ferramenta personalizada
MMC (Console de Gerenciamento Microsoft). Voc tambm pode utilizar os comandos netsh para
gerenciar e configurar a funo NPS.
Estas ferramentas permitem que voc gerencie a funo de servidor Servios de Acesso e Diretiva de
Rede:
Snap-in do MMC do NPS: use o MMC do NPS para configurar um servidor RADIUS, um proxy
RADIUS ou uma tecnologia NAP.
Comandos netsh para NPS: Os comandos netsh para NPS consistem em um conjunto de comandos
que o equivalente completo de todas as definies de configurao disponveis por meio do snapin NPS MMC. Voc pode executar os comandos netsh manualmente no prompt do netsh ou nos
scripts do administrador.
Um exemplo do uso do netsh que, aps instalar e configurar o NPS, possvel salvar a configurao,
emitindo o comando netsh nps show config > path\file.txt. Salve a configurao NPS com esse
comando toda vez que fizer uma alterao.
6-8
Salvar a configurao.
6-9
Lio 2
RADIUS um protocolo de autenticao padro do setor usado por muitos fornecedores para oferecer
suporte troca de informaes de autenticao entre elementos de uma soluo de acesso remoto.
importante que voc entenda como configurar o NPS, seja como servidor ou como proxy RADIUS, para
oferecer suporte s necessidades de autenticao remota da sua organizao.
Objetivos
Ao concluir esta lio, voc ser capaz de:
6-10
6-11
um NAS (servidor de acesso rede) um dispositivo que fornece nveis de acesso a uma rede maior. Um
NAS que usa uma infraestrutura RADIUS tambm um cliente RADIUS, que origina solicitaes de
conexo e mensagens de contabilizao para um servidor RADIUS para autenticao, autorizao e
contabilizao.
Importante Os computadores cliente, como laptops sem fio e outros computadores que
executam sistemas operacionais cliente, no so clientes RADIUS. Os clientes RADIUS so
servidores de acesso rede incluindo pontos de acesso sem fio, comutadores de
autenticao 802.1X, servidores VPN e servidores de rede dial-up uma vez que utilizam o
protocolo RADIUS para se comunicar com os servidores RADIUS, como os servidores NPS.
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor de diretivas NAP,
configure os clientes RADIUS no NPS.
Servidores de acesso rede que oferecem conectividade de acesso remoto rede de uma empresa
ou Internet, como um computador com o sistema operacional Windows Server 2008 R2 e o servio
Roteamento e Acesso Remoto, que fornece servios tradicionais de rede dial-up ou de acesso remoto
VPN para a intranet de uma organizao.
Pontos de acesso sem fio que fornecem acesso camada fsica da rede de uma organizao usando
tecnologias de transmisso e recepo baseadas no padro sem fio.
Comutadores que fornecem acesso camada fsica da rede de uma organizao usando tecnologias
tradicionais de LAN (rede local), como a Ethernet.
Proxies RADIUS baseados no NPS que encaminham solicitaes de conexo para servidores RADIUS
que pertencem a um grupo de servidores remotos RADIUS configurado no proxy RADIUS ou em
outros proxies RADIUS.
Voc pode usar o NPS como um proxy RADIUS para rotear mensagens do RADIUS entre clientes RADIUS
(servidores de acesso) e servidores RADIUS que executam a autenticao de usurio, a autorizao e a
contabilizao na tentativa de conexo.
Quando voc usa o NPS como um proxy RADIUS, o NPS um ponto de comutao e roteamento central
atravs do qual fluem as mensagens de contabilizao e acesso do RADIUS. O NPS registra informaes
em um log de contabilizao sobre as mensagens encaminhadas.
Voc pode usar o NPS como um proxy RADIUS quando:
Voc for um provedor de servios que oferece servios terceirizados de rede dial-up, VPN ou de
acesso rede sem fio para diversos clientes.
Seus servidores de acesso rede enviam solicitaes de conexo para o proxy RADIUS NPS. Com base
na parte do territrio do nome do usurio contida na solicitao de conexo, o proxy RADIUS NPS
encaminha a solicitao de conexo para um servidor RADIUS mantido pelo cliente, e pode
autenticar e autorizar a tentativa de conexo.
6-12
6-13
O NPS oferecer suporte para autenticao entre florestas, sem um proxy RADIUS, quando as duas
florestas contiverem apenas controladores de domnio que executam o Windows Server 2003
Standard Edition, Windows Server 2003 Enterprise Edition e o Windows Server 2003 Datacenter
Edition.
O nvel funcional de floresta deve ser o Windows Server 2003 e deve haver uma relao de confiana
bidirecional entre as florestas. Entretanto, se voc usar como mtodo de autenticao o EAP-TLS
(Extensible Authentication Protocol-Transport Level Security) com certificados, ser preciso utilizar um
proxy RADIUS para a autenticao entre as florestas formadas por domnios do Windows Server 2003.
Voc deseja executar autenticao e autorizao usando um banco de dados diferente de um banco
de dados da conta do Windows.
Voc desejar processar uma grande quantidade de solicitaes de conexo. Nesse caso, em vez de
configurar os clientes RADIUS para tentar equilibrar as respectivas solicitaes de conexo e
contabilizao entre vrios servidores RADIUS, configure-os para enviar suas solicitaes de conexo
e contabilizao para um proxy RADIUS NPS.
O proxy RADIUS NPS equilibra dinamicamente a carga das solicitaes de conexo e contabilizao
entre os diversos servidores RADIUS, alm de aumentar o processamento de grandes quantidades de
clientes e autenticaes RADIUS a cada segundo.
Voc desejar fornecer autenticao e autorizao RADIUS para provedores de servios terceirizados e
minimizar a configurao do firewall da intranet.
Existe um firewall de intranet entre sua rede de permetro (a rede existente entre a intranet e a
Internet) e a intranet. Ao colocar um servidor NPS em sua rede de permetro, o firewall existente
entre a rede de permetro e a intranet deve permitir o fluxo do trfego entre o servidor NPS e os
diversos controladores de domnio.
Ao substituir o servidor NPS por um proxy NPS, o firewall dever permitir que somente o trfego do
RADIUS flua entre o proxy NPS e um ou vrios servidores NPS dentro de sua intranet.
6-14
6-15
Voc pode criar diversas diretivas de solicitao de conexo para que algumas mensagens de solicitao
RADIUS enviadas de clientes RADIUS sejam processadas localmente (o NPS um servidor RADIUS) e
outros tipos de mensagem sejam encaminhadas para outro servidor RADIUS (o NPS um proxy RADIUS).
Com diretivas de solicitao de conexo, voc pode usar o NPS como um servidor ou proxy RADIUS, de
acordo com diversos fatores, a saber:
Condies
Condies de diretiva de solicitao de conexo so um ou mais atributos RADIUS comparados com os
atributos da mensagem Access-Request RADIUS recebida. Se existirem vrias condies, todas as
condies contidas na mensagem de solicitao de conexo e na diretiva de solicitao de conexo
devero combinar para que o NPS imponha a diretiva.
Configuraes
Configuraes de diretiva de solicitao de conexo so um conjunto de propriedades aplicadas a uma
mensagem RADIUS recebida. As configuraes so formadas pelos seguintes grupos de propriedades:
Autenticao
Contabilizao
Manipulao de atributos
Avanado
A autenticao no configurada.
A manipulao de atributo no configurada com as regras que alteram os atributos nas solicitaes
de conexo encaminhadas.
A diretiva padro de solicitao de conexo utiliza o NPS como um servidor RADIUS. Para configurar um
servidor NPS para atuar como um proxy RADIUS, configure tambm um grupo de servidores remotos
RADIUS. Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de criao de
uma nova diretiva de solicitao de conexo com o Assistente de Nova Diretiva de Solicitao de
Conexo. possvel excluir a diretiva padro de solicitao de conexo ou garantir que essa diretiva
padro seja a ltima a ser processada.
Observao Se o NPS e o servio Roteamento e Acesso Remoto estiverem instalados no
mesmo computador, e esse servio estiver configurado para autenticao e contabilizao
do Windows, possvel que as solicitaes de autenticao e contabilizao do servio
Roteamento e Acesso Remoto sejam encaminhadas para um servidor RADIUS. Isso pode
ocorrer quando as solicitaes de autenticao e contabilizao do servio Roteamento e
Acesso Remoto atenderem a uma diretiva de solicitao de conexo configurada para
encaminh-las para um grupo de servidores remotos RADIUS.
6-16
6-17
A diretiva padro de solicitao de conexo usa o NPS como um servidor RADIUS e processa todas as
solicitaes de autenticao localmente.
Para configurar um servidor NPS para atuar como um proxy RADIUS e encaminhar as solicitaes de
conexo para outros servidores NPS ou RADIUS, preciso configurar um grupo de servidores
remotos RADIUS e adicionar uma nova diretiva de solicitao de conexo que especifique as
condies e configuraes que devem ser atendidas pelas solicitaes de conexo.
Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de criao de
uma nova diretiva de solicitao de conexo com o Assistente de Nova Diretiva de Solicitao de
Conexo.
Para que o servidor NPS no atue como um servidor RADIUS e processe as solicitaes de conexo
localmente, exclua a diretiva padro de solicitao de conexo.
Se voc preferir que o servidor NPS atue duplamente como um servidor RADIUS (processando as
solicitaes de conexo localmente) e como um proxy RADIUS (encaminhando algumas solicitaes
de conexo para um grupo de servidores remotos RADIUS), adicione uma nova diretiva e certifiquese de que a diretiva padro de solicitao de conexo seja a ltima processada.
2.
Clique com o boto direito do mouse em Servidor de Diretivas de Rede e clique em Propriedades.
3.
Clique na guia Portas e verifique as configuraes das portas. Se as portas UDP de autenticao e
contabilizao RADIUS variarem dos valores padro fornecidos (1812 e 1645 para autenticao, e
1813 e 1646 para contabilizao), digite as configuraes da porta em Autenticao e Contabilizao.
Observao Para usar vrias configuraes de porta em solicitaes de autenticao ou
contabilizao, separe os nmeros das portas com vrgulas.
6-18
6-19
Lio 3
Quando os usurios tentam se conectar com sua rede atravs de servidores de acesso rede (tambm
conhecidos como clientes RADIUS), como pontos de acesso sem fio, comutadores de autenticao 802.1X,
servidores de rede dial-up e servidores VPN, o NPS autentica e autoriza a solicitao de conexo antes de
permitir ou negar o acesso.
Como a autenticao o processo de verificar a identidade do usurio ou do computador que est
tentando se conectar rede, o NPS deve comprovar a identidade do usurio ou do computador na forma
de credenciais.
Alguns mtodos de autenticao implementam o uso de credenciais baseadas em senha. Por exemplo, o
protocolo MS-CHAP exige que os usurios digitem um nome de usurio e uma senha. Em seguida, o
servidor de acesso rede transfere essas credenciais para o servidor NPS, que as compara com as entradas
contidas no banco de dados de contas de usurio.
Outros mtodos de autenticao implementam o uso de credenciais baseadas em certificados do usurio,
do computador cliente, do servidor NPS ou outra combinao. Os mtodos de autenticao baseados em
certificados fornecem alta segurana e so mais recomendveis do que os mtodos de autenticao
baseados em senha.
Ao implantar o NPS, especifique o tipo necessrio de mtodo de autenticao para acessar a rede.
Objetivos
Ao concluir esta lio, voc ser capaz de:
6-20
6-21
possvel configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode configurar
os servidores de acesso rede, conhecidos tambm como clientes RADIUS, para tentar negociar uma
conexo com os computadores cliente, solicitando o uso do protocolo mais seguro em primeiro lugar, e
depois os mais seguros na ordem decrescente, e assim por diante, at o menos seguro. Por exemplo, o
servio Roteamento e Acesso Remoto tenta negociar uma conexo usando primeiramente o protocolo
EAP, depois o MS-CHAP v2, o MS-CHAP, o CHAP, o SPAP e o PAP. Quando o protocolo EAP escolhido
como mtodo de autenticao, ocorre uma negociao do tipo EAP entre o cliente de acesso e o servidor
NPS.
MS-CHAP verso 2
O MS-CHAP v2 fornece uma segurana mais forte para as conexes de acesso rede, do que o MS-CHAP,
seu antecessor.
MS-CHAP
MS-CHAP, tambm conhecido como MS-CHAP verso 1, um protocolo de autenticao irreversvel por
senha criptografada.
O MS-CHAP v2 fornece uma segurana mais forte do que o MS-CHAP para as conexes de acesso rede.
Considere o uso do MS-CHAP v2 em vez do MS-CHAP.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta.
PAP
O PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro. Em geral,
esse protocolo negociado se o cliente de acesso e o servidor de acesso rede no puderem negociar
um mtodo de autenticao mais seguro.
Acesso no autenticado
Com o acesso no autenticado, as credenciais do usurio (um nome de usurio e senha) no so
necessrias. Embora haja algumas situaes em que o acesso no autenticado seja til, na maioria das
vezes, no recomendvel implantar esse tipo de acesso na rede de sua organizao.
6-22
6-23
Mtodos de autenticao
Dois mtodos de autenticao, quando voc os configura com os tipos de autenticao baseada em
certificado, usam certificados: EAP e PEAP. Com o EAP, possvel configurar o tipo de autenticao TLS
(EAP-TLS), e com o PEAP, os tipos de autenticao TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-CHAP v2).
Esses mtodos de autenticao sempre utilizam certificados para a autenticao do servidor. De acordo
com o tipo de autenticao configurado no mtodo de autenticao, voc tambm pode usar certificados
para a autenticao de usurios e de computadores cliente.
Observao O uso de certificados para autenticao da conexo VPN a forma mais
segura de autenticao disponvel no Windows Server 2008 R2. Voc deve usar certificados
para autenticao IPsec em conexes VPN que sejam baseadas no protocolo L2TP/IPsec. As
conexes PPTP no exigem certificados, embora seja possvel configur-las para usar
certificados para a autenticao de computadores quando voc utilizar o protocolo EAP-TLS
como mtodo de autenticao. Para os clientes de rede sem fio (dispositivos de
computao com adaptadores de rede sem fio, como um computador porttil ou o PDA
(assistente digital pessoal), recomendvel usar o PEAP com o EAP-TLS e cartes
inteligentes ou certificados para autenticao.
Autenticao mtua
Quando voc utilizar o EAP com um tipo forte de EAP (como o TLS com cartes inteligentes ou
certificados), tanto o cliente quanto o servidor usaro certificados para validar mutuamente suas
identificaes. Esse processo chamado de autenticao mtua. Os certificados devem atender a
requisitos especficos para que o servidor e o cliente os utilizem na autenticao mtua.
Um desses requisitos que o certificado esteja configurado com um ou mais propsitos nas extenses
EKU (Uso Estendido de Chave), relacionadas ao uso do certificado. Por exemplo, voc deve configurar um
certificado que seja utilizado para a autenticao de um cliente com a finalidade de Autenticao de
Cliente. Da mesma forma, voc deve configurar um certificado que seja utilizado para a autenticao de
um servidor com a finalidade de Autenticao de Servidor. Quando voc usa certificados para
autenticao, o autenticador examina o certificado do cliente e procura o identificador correto do objeto
finalidade nas extenses EKU. Por exemplo, o identificador do objeto da finalidade Autenticao do
Cliente 1.3.6.1.5.5.7.3.2. Quando voc utiliza um certificado para autenticao de computadores cliente,
esse identificador de objeto deve estar presente nas extenses EKU do certificado, caso contrrio, a
autenticao falhar.
Modelos de Certificado
Modelos de Certificado um snap-in do MMC que permite a personalizao dos certificados emitidos
pelo AD CS. As opes de personalizao abrangem o modo como os certificados sero emitidos e o que
contero, inclusive suas finalidades. Nos Modelos de Certificado, possvel usar um modelo padro, como
o modelo Computador, para definir o modelo que a autoridade de certificao usar para atribuir
certificados aos computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a
esse modelo nas extenses EKU. Por padro, o modelo Computador contm as finalidades Autenticao
de Cliente e Autenticao de Servidor nas extenses EKU.
O modelo de certificado criado pode conter qualquer finalidade para a qual voc o utilizar. Por exemplo,
se voc usar cartes inteligentes na autenticao, ser possvel incluir a finalidade Logon do Carto
Inteligente, alm da finalidade Autenticao de Cliente. Ao usar o NPS, voc pode configur-lo para
verificar as finalidades dos certificados antes de conceder autorizao para a rede. O NPS pode verificar
outras finalidades das EKUs e das Diretivas de Emisso (conhecidas tambm como Diretivas de
Certificados).
Observao Alguns softwares de autoridade de certificao no pertencentes Microsoft
podem conter uma finalidade denominada Todas, que representa todas as finalidades
possveis. Isso indicado por uma extenso EKU em branco (ou nula). Embora Todas possa
significar todas as finalidades possveis, no possvel substituir essa finalidade pela
finalidade Autenticao de Cliente, Autenticao de Servidor ou por qualquer outra
relacionada autenticao de acesso rede.
6-24
6-25
A tabela a seguir descreve os certificados que devem implantar com xito cada mtodo de autenticao
listado, baseado em certificado:
Certificado
Detalhes
Certificado de
autoridade de
certificao no
repositrio de
certificados de
Autoridades de
Certificao Raiz
Confiveis para o
Computador
Local e o Usurio
Atual
Sim. O certificado de
autoridade de certificao
registrado automaticamente
para os computadores
membro do domnio. Para os
computadores no
pertencentes ao domnio,
voc deve importar o
certificado manualmente no
repositrio de certificados.
Para o PEAP-MS-CHAP
v2, esse certificado
necessrio para a
autenticao mtua
entre o cliente e o
servidor.
Certificado de
computador
cliente no
repositrio de
certificados do
cliente
Sim. Os certificados de
computadores cliente so
necessrios, a menos que os
certificados de usurio sejam
distribudos em cartes
inteligentes. Os certificados
de cliente so registrados
automaticamente para os
computadores membro do
domnio. Para os
computadores no
pertencentes ao domnio,
voc deve importar
manualmente o certificado ou
obt-lo com a ferramenta de
registro na Web.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Se voc implantar
certificados de usurio
em cartes inteligentes,
os computadores cliente
no precisaro de
certificados de cliente.
(continuao)
Certificado
Detalhes
Certificado de
servidor no
repositrio de
certificados do
servidor NPS
Certificado de
usurio em um
carto
inteligente
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
6-26
6-27
Todos os certificados que voc usa para autenticao do acesso rede com EAP-TLS e PEAP devem
atender aos requisitos dos certificados X.509 e funcionar para as conexes que usam SSL/TLS. Aps
atender a esse requisito mnimo, os certificados de cliente e de servidor tm outros requisitos.
Com o PEAP e o EAP-TLS, os servidores NPS exibem uma lista de todos os certificados instalados no
repositrio de certificados de computador, com exceo de:
Uma autoridade de certificao corporativa emitiu o certificado de cliente ou ele foi mapeado para
uma conta de usurio ou de computador do Active Directory.
O cliente 802.1X no usa os certificados baseados no registro, que so certificados de logon por
carto inteligente ou protegidos por senha.
Com o PEAP-TLS e o EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in
de Certificados, com exceo de:
Clientes de rede sem fio que no exibem os certificados baseados em registro e de logon por cartes
inteligentes.
Clientes de rede sem fio e de VPN que no exibem os certificados protegidos por senha.
6-28
Lio 4
6-29
Para monitorar o NPS, voc pode configurar e usar o registro em log de eventos, bem como as
solicitaes de autenticao e contabilizao. O log de eventos permite que voc registre eventos do NPS
nos logs de eventos do sistema e de segurana. Voc pode usar o log de solicitaes para fins de
cobrana e anlise de conexo. As informaes que os arquivos de log coletam so teis para solucionar
problemas de tentativas de conexo para investigao de segurana.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Os dois tipos de contabilizao, ou log, que voc pode usar para monitorar o NPS so:
Log de eventos para NPS: voc pode usar o log de eventos para registrar eventos do NPS nos logs
de eventos do sistema e de segurana. Ele usado principalmente para auditorias e soluo de
problemas de tentativas de conexo.
Ative o log (inicialmente) para registros de autenticao e contabilizao. Faa essas selees aps
determinar o que apropriado para seu ambiente.
Certifique-se de configurar o log de eventos com capacidade suficiente para manter os logs.
Faa backup de todos os arquivos de log regularmente, pois eles no podero ser recriados se forem
danificados ou excludos.
Use o atributo RADIUS Class para controlar o uso e para simplificar a identificao do departamento
ou usurio a ser cobrado pelo uso. Embora o atributo Class, que gerado automaticamente, seja
exclusivo para cada solicitao, pode haver registros duplicados nos casos em que a resposta ao
servidor de acesso perdida e a solicitao enviada novamente. Pode ser necessrio excluir as
solicitaes duplicadas dos seus logs para controlar o uso mais precisamente.
6-30
6-31
Para fornecer failover e redundncia com o log do SQL Server, coloque dois computadores com SQL
Server em sub-redes diferentes. Use o Assistente para Criar Publicao do SQL Server para configurar
a replicao do banco de dados entre os dois servidores. Para obter mais informaes, consulte a
documentao do SQL Server.
Observao Para interpretar dados registrados em log, exiba as informaes no site da
Microsoft TechNet: http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409 (em
ingls).
Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes de autenticao do
usurio, mensagens Access-Accept, mensagens Access-Reject, solicitaes e respostas de contabilizao e
atualizaes de status peridicas. Voc pode usar este procedimento para configurar os arquivos de log
no local no qual deseja armazenar os dados de contabilizao.
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o NPS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
como \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando usar pipes nomeados.
Para criar o diretrio do arquivo de log, use variveis de ambiente do sistema (em vez de variveis do
usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar o caminho a
seguir usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
A alterao do formato do arquivo de log no cria um novo log. Se os formatos dos arquivos de log
forem alterados, o arquivo que estiver ativo no momento da alterao conter uma mistura dos dois
formatos (os registros no incio do log tero o formato anterior e os registros no final do log tero o
novo formato).
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes de contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC (Conveno de Nomenclatura
Universal), como \\MeuServidorDeLog\CompartilhamentoDeLog.
6-32
6-33
Se a contabilizao RADIUS falhar devido a um disco rgido cheio ou por outros motivos, o NPS no
Windows Server 2008, e por padro, no Windows Server R2, interromper o processamento de
solicitaes de conexo, o que impedir que os usurios acessem os recursos da rede.
O NPS permite que voc se conecte a um banco de dados do SQL Server alm de, ou em vez de, se
conectar a um arquivo local.
Observao Se voc no fornecer uma instruo de caminho completo no Diretrio do
Arquivo de Log, o caminho padro ser usado. Por exemplo, se voc digitar NPSLogFile no
Diretrio do Arquivo de Log, o arquivo ficar localizado em
%systemroot%\System32\NPSLogFile.
2.
3.
4.
Na guia Arquivo de Log, no Diretrio, digite o local onde deseja armazenar os arquivos de log do
NPS. O local padro a pasta systemroot\System32\LogFiles.
5.
Em Formato, selecione dentre as opes Compatvel com DTS, ODBC (Herdado) e IAS (Herdado).
6.
Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
7.
Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir
este tamanho e digite o tamanho do arquivo que servir de base para a criao do novo log. O
tamanho padro 10 MB.
Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
Observao Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no
computador local.
Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes de autenticao do
usurio, mensagens Access-Accept, mensagens Access-Reject, solicitaes e respostas de contabilizao e
atualizaes de status peridicas. Voc pode adotar esse procedimento para configurar as propriedades
de log e a conexo com o servidor (que executa o SQL Server) que armazena os dados de contabilizao.
O banco de dados do SQL Server pode ficar no computador local ou em um servidor remoto.
Observao O NPS formata dados de contabilizao como um documento XML que
enviado para o procedimento armazenado report_event no banco de dados do SQL Server
designado no NPS. Para que o log do SQL Server funcione corretamente, necessrio ter
um procedimento armazenado chamado report_event no banco de dados do SQL Server
que possa receber e analisar documentos XML do NPS.
2.
3.
4.
6-34
6-35
5.
Para configurar o nmero de sesses simultneas que voc deseja permitir entre o servidor NPS e o
banco de dados do SQL Server, digite um nmero em Nmero mximo de sesses simultneas.
6.
Para configurar a fonte de dados do SQL Server, clique em Configurar. A caixa de dilogo
Propriedades do vnculo de dados aberta. Na guia Conexo, especifique o seguinte:
7.
Para especificar o nome do servidor no qual o banco de dados foi armazenado, digite ou
selecione um nome em Selecione ou digite um nome de servidor.
Para especificar o mtodo de autenticao com o qual deseja fazer logon no servidor, clique em
Usar segurana integrada do Windows NT. Tambm possvel clicar em Usar uma senha e
um nome de usurio especficos e digitar credenciais em Nome do usurio e Senha.
Para especificar o banco de dados que dever ser conectado no computador que executa o SQL
Server, clique em Selecionar o banco de dados no servidor e selecione um nome de banco de
dados na lista.
Para testar a conexo entre o servidor NPS e o computador que executa o SQL Server, clique em
Testar Conexo.
Observao Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no
computador local.
Voc pode configurar o log de eventos do NPS para registrar eventos de sucesso e falha de solicitaes
de conexo no log do sistema Visualizador de Eventos.
2.
3.
Na guia Geral, selecione cada uma das opes a seguir, conforme necessidade, e clique em OK.
Usando os logs de eventos no Visualizador de Eventos, voc pode monitorar os erros do NPS e outros
eventos que o NPS tenha sido configurado para registrar.
Por padro, o NPS registra eventos de falha na solicitao de conexo nos logs de eventos de Sistema e
Segurana. Os eventos de falha na solicitao de conexo consistem em solicitaes que o NPS rejeita ou
descarta. Outros eventos de autenticao do NPS so registrados no log do sistema do Visualizar de
Eventos na forma de configuraes que voc especifica no snap-in NPS. Portanto, o log de segurana do
Visualizador de Eventos pode registrar alguns eventos que contm dados confidenciais.
6-36
6-37
Embora o NPS registre eventos de falha da solicitao de conexo por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log. O NPS rejeita ou ignora solicitaes
de conexo por diversos motivos, que incluem:
O cliente RADIUS possui vrios endereos IP e envia a solicitao atravs de um endereo diferente
do endereo definido no NPS.
O autenticador da mensagem (tambm conhecido como assinatura digital) que o cliente enviou no
vlido, pois o segredo compartilhado no vlido.
Quando o NPS rejeita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao, o nome da diretiva de rede
correspondente, o motivo da rejeio e outras informaes.
Quando o NPS aceita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao e o nome da primeira diretiva de
rede correspondente.
O Schannel (canal seguro) um SSP (provedor de suporte de segurana) que oferece suporte para uma
srie de protocolos de segurana da Internet, como o SSL e o TLS. Esses protocolos fornecem autenticao
de identidade e comunicao segura e privada por meio de criptografia.
O registro em log de falhas de validao do certificado de cliente um evento do canal seguro e no est
habilitado no servidor NPS por padro. Voc pode habilitar eventos adicionais do canal seguro alterando
o seguinte valor da chave do Registro de 1 (tipo REG_DWORD, dados 0x00000001) para 3 (tipo
REG_DWORD, dados 0x00000003).
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogg
ing
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
6-38
Cenrio de laboratrio
6-39
A Contoso Ltd. est expandindo sua soluo de acesso remoto para todos os funcionrios da filial. Isso
exigir vrios servidores de Roteamento e Acesso Remoto localizados em diferentes pontos para fornecer
conectividade aos funcionrios. Voc dever usar o RADIUS para centralizar a autenticao e a
contabilizao para a soluo de acesso remoto. Voc recebeu a tarefa de instalar e configurar o Servidor
de Polticas de Rede em uma infraestrutura existente para ser usado para NAP, acesso com fio e sem fio,
RADIUS e proxy RADIUS.
Para este projeto, voc dever concluir as seguintes tarefas:
2.
3.
2.
3.
2.
3.
No feche o console.
2.
Nome: padro
Feche o console.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-DC1 como um servidor RADIUS
instalando e configurando a funo Servidor NPS.
6-40
2.
2.
3.
6-41
1.
2.
No painel de lista, selecione e clique com o boto direito do mouse em NYC-EDGE1 (Local) e clique
em Configurar e Habilitar Roteamento e Acesso Remoto.
3.
g.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-EDGE1 como um servidor VPN.
2.
Abra o Gerenciamento de Diretivas de Grupo e a Diretiva de Domnio Padro para edio. Navegue
para Configurao do Computador > Diretivas > Configuraes do Windows > Configuraes de
Segurana > Diretivas de Chave Pblica > Configuraes da Solicitao de Certificado Automtica.
3.
Crie uma nova Solicitao de Certificado Automtica para o modelo de certificado Computador.
4.
5.
6.
7.
Senha: Pa$$w0rd
Domnio: Contoso
Resultados: ao fim deste exerccio, voc ter definido as configuraes de certificado apropriadas para
sua soluo VPN.
6-42
6-43
Nesse exerccio, voc mover o NYC-CL1 para a rede pblica e depois ir criar e testar uma conexo VPN.
As principais tarefas deste exerccio so:
1.
2.
2.
3.
Senha: Pa$$w0rd
Domnio: CONTOSO
Observao
4.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
6-44
6-45
Perguntas de reviso
1.
2.
3.
O que mais deve ser considerado se voc optar por usar uma atribuio de porta no padro para o
trfego RADIUS?
Ferramentas
Ferramenta
Use para
Onde encontr-la
Servidor de
Polticas de Rede
Ferramenta de
linha de comando
Netsh
Visualizador de
Eventos
7-1
Mdulo 7
Implementao da Proteo de Acesso Rede
Contedo:
Lio 1: Viso geral da Proteo de Acesso Rede
7-3
7-12
7-20
7-28
7-35
Sua rede est to protegida quanto o computador menos seguro conectado a ela. Muitos programas e
ferramentas existem para ajudar voc a proteger os computadores conectados sua rede, como softwares
de deteco de malware ou antivrus; no entanto, se o software em alguns dos computadores no estiver
atualizado, ou pior, no estiver habilitado ou configurado corretamente, isso significa que eles esto
colocando a segurana em risco.
relativamente fcil manter configurados e atualizados os computadores que permanecem no ambiente
de trabalho e esto sempre conectados mesma rede. Os computadores que se conectam a redes
diferentes, especialmente redes no gerenciadas, no so to fceis de controlar; por exemplo, laptops
que se conectam a redes do cliente ou a pontos de acesso Wi-Fi pblicos. Alm disso, h o desafio dos
computadores no gerenciados que procuram se conectar remotamente sua rede, como computadores
domsticos de usurios.
A NAP (Proteo de Acesso Rede) permite criar polticas personalizadas de requisitos de integridade
para validar a integridade do computador antes de permitir o acesso ou a comunicao. A NAP tambm
atualiza automaticamente os computadores compatveis para garantir a conformidade contnua e limitar
o acesso de computadores incompatveis a uma rede restrita at que se tornem compatveis.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar a NAP.
7-2
7-3
Lio 1
A NAP uma plataforma de imposio de polticas incorporada aos sistemas operacionais Windows 7,
Windows Vista, Windows XP com Service Pack 3 (SP3), Windows Server 2008 e Windows Server 2008 R2.
A NAP permite proteger os ativos de rede com mais eficincia, impondo a conformidade com os
requisitos de integridade do sistema. A NAP fornece os componentes de software necessrios para ajudar
a garantir que os computadores conectados ou que se conectam sua rede possam ser gerenciados, de
modo que no se tornem um risco segurana da rede e a outros computadores conectados a ela.
Entender a funcionalidade e as limitaes da NAP ajudar voc a proteger sua rede contra os riscos
segurana impostos por computadores incompatveis.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Explicar como a Proteo de Acesso Rede pode ser usada para impor requisitos de integridade de
computador.
A NAP (Proteo de Acesso Rede) do Windows Server 2008, Windows Server 2008 R2, Windows 7 e
Windows Vista fornece componentes e uma API (interface de programao de aplicativos) que ajudam na
imposio da conformidade com as polticas de requisito de integridade da sua organizao para acesso
rede ou comunicao.
A NAP permite criar solues de validao dos computadores que se conectam s suas redes, alm de
fornecer as atualizaes necessrias ou acesso aos recursos de atualizao da integridade necessrios e
limitar o acesso ou a comunicao de computadores incompatveis.
Voc pode integrar os recursos de imposio da NAP com software de outros fornecedores ou com
programas personalizados. Voc pode personalizar a soluo de manuteno de integridade que os
desenvolvedores da sua organizao podem desenvolver e implantar, seja para monitorar a conformidade
com a poltica de integridade dos computadores que acessam a rede, para atualizar automaticamente os
computadores com atualizaes de software para que atendam aos requisitos da poltica de integridade
ou para limitar a uma rede restrita o acesso dos computadores que no atendem a esses requisitos.
importante lembrar que a NAP no protege uma rede contra usurios mal-intencionados. Em vez disso,
ela ajuda voc a manter automaticamente a integridade dos computadores em rede na sua organizao,
o que ajuda a manter a integridade geral da rede. Por exemplo, se um computador tiver todas as
configuraes e software exigidos pela poltica de integridade, ele estar compatvel e ter acesso
ilimitado rede. No entanto, a NAP no impede um usurio autorizado com um computador compatvel
de carregar um programa mal-intencionado na rede ou de empregar outro comportamento
inapropriado.
7-4
Aspectos da NAP
A NAP apresenta trs aspectos importantes e distintos:
7-5
Conformidade com a poltica de integridade: voc pode ajudar a garantir a conformidade com as
polticas de requisito de integridade, optando por atualizar os computadores incompatveis, de forma
automtica, com atualizaes de software necessrias ou com alteraes de configurao feitas por
meio de software de gerenciamento, como o Microsoft System Center Configuration Manager. Em
um ambiente somente de monitoramento, os computadores tero acesso rede antes de serem
atualizados com as atualizaes necessrias ou com alteraes de configurao. Em um ambiente de
acesso limitado, os computadores incompatveis tm acesso limitado at que as atualizaes e
alteraes de configurao sejam concludas. Em ambos os ambientes, os computadores em
conformidade com a NAP podem se tornar compatveis de forma automtica e voc pode definir
excees para computadores que no so compatveis com a NAP.
Acesso limitado: voc pode proteger suas redes limitando o acesso de computadores no
compatveis. Voc pode basear o acesso limitado rede em um perodo especfico ou nos recursos
que o computador incompatvel poder acessar. Nesse ltimo caso, voc define uma rede restrita que
contenha os recursos de atualizao de integridade, e o acesso limitado durar at o computador se
tornar compatvel. Tambm possvel configurar excees para que os computadores que no forem
compatveis com a NAP no tenham acesso limitado rede.
Cenrios de NAP
A NAP fornece uma soluo para os cenrios comuns descritos nesta seo. Dependendo das suas
necessidades, voc pode configurar uma soluo para atender a alguns ou a todos esses cenrios de rede.
Laptops em roaming
Portabilidade e flexibilidade so as duas principais vantagens do laptop, mas esses recursos tambm
apresentam uma ameaa integridade do sistema. Os usurios conectam seus laptops a outras redes com
frequncia. Enquanto os usurios esto fora da sua organizao, os respectivos laptops podem no
receber as atualizaes mais recentes de software ou as alteraes de configurao. Alm disso, a
exposio s redes sem proteo, como a Internet, pode representar para os laptops ameaas
relacionadas segurana. A NAP permite verificar o estado de qualquer laptop quando ele se reconecta
rede da organizao, seja por meio de uma VPN (rede virtual privada), por conexo do DirectAccess ou
pela conexo de rede do local de trabalho.
Computadores desktop
Embora os computadores desktop no sejam movidos com frequncia para fora da empresa, ainda assim,
eles podem representar uma ameaa sua rede. Para minimizar essa ameaa, voc deve manter esses
computadores com o software e as atualizaes mais recentes necessrios. Caso contrrio, esses
computadores podero ser infectados por meio de sites, emails, arquivos de pastas compartilhadas e
outros recursos de acesso pblico. A NAP permite automatizar as verificaes do estado de integridade
para verificar a conformidade de cada computador desktop com as polticas de requisito de integridade.
Voc pode verificar arquivos de log para determinar os computadores incompatveis. Alm disso, a
utilizao de um software de gerenciamento permite gerar relatrios e atualizar os computadores
incompatveis, automaticamente. Quando voc altera as polticas de requisito de integridade, os
computadores podem receber automaticamente as atualizaes mais recentes.
7-6
Laptops de visitantes
7-7
Conexes de rede autenticadas pelo IEEE 802.1X: com a imposio IEEE 802.1X, um computador
deve ser compatvel para obter acesso ilimitado rede atravs de uma conexo de rede autenticada
por IEEE 802.1X, como a autenticao de uma rede de comutao Ethernet ou um ponto de acesso
sem fio IEEE 802.11.
Conexes VPN de acesso remoto: com a imposio VPN, o computador precisa ser compatvel para
obter acesso ilimitado rede por meio de uma conexo VPN de acesso remoto. Para computadores
no compatveis, o acesso rede limitado por um conjunto de filtros de pacote IP que o servidor
VPN aplica conexo VPN.
7-8
7-9
Configuraes de endereo DHCP: com a imposio DHCP, um computador precisa ser compatvel
para obter de um servidor DHCP uma configurao de endereo IPv4 com acesso ilimitado. No caso
de computadores incompatveis, o acesso rede restrito com uma configurao de endereo IPv4
que limita o acesso rede restrita.
Esses mtodos de comunicao ou acesso rede so conhecidos como mtodos de imposio de NAP.
Voc pode us-los separadamente ou juntos para limitar o acesso ou a comunicao de computadores
incompatveis. Um servidor que executa o NSP (Servidor de Diretivas de Rede) no Windows Server 2008, o
substituto do IAS (Servio de Autenticao da Internet) no Windows Server 2003, atua como um servidor
de poltica de integridade para todos esses mtodos de imposio de NAP.
Os componentes de uma infraestrutura de rede habilitada para NAP so descritos na tabela a seguir.
Componentes
Descrio
7-10
Clientes NAP
Pontos de imposio de
NAP
(continuao)
Componentes
Descrio
7-11
Servidores de polticas
de integridade de NAP
Servidores de requisitos
de integridade
AD DS
Rede restrita
Lio 2
Funcionamento da NAP
Quando um cliente tenta acessar ou comunicar-se com a rede, ele precisa apresentar sua conformidade
com a declarao de integridade ou a comprovao de integridade. Se o cliente no puder comprovar
que est em conformidade com os requisitos de integridade do sistema (por exemplo, ter o sistema
operacional mais recente e as atualizaes de antivrus instalados), o acesso ou a comunicao com a rede
poder ser limitado a uma rede restrita que contm recursos de servidor, at os problemas de
conformidade de integridade serem corrigidos. Depois que as atualizaes forem instaladas, o cliente
solicitar acesso rede ou tentar a comunicao novamente. Se houver compatibilidade, o cliente ter
acesso ilimitado rede ou a comunicao ser permitida.
Objetivos
Ao concluir esta lio, voc ser capaz de:
7-12
Seja qual for o formulrio de imposio de NAP que voc selecionar, muitas das comunicaes entre
cliente e servidor so comuns. Os pontos a seguir resumem essas comunicaes.
7-13
Imposio IPsec
Com a imposio IPsec, um computador deve ser compatvel para iniciar comunicaes com outros
computadores compatveis. Como a imposio IPsec est aproveitando o IPsec, voc pode definir os
requisitos para comunicaes protegidas com computadores compatveis usando um dos seguintes
parmetros:
Por endereo IP
Por TCP
A imposio IPsec restringe a comunicao a computadores compatveis depois que eles tiverem se
conectado com xito e obtido uma configurao vlida de endereo IP. A imposio IPsec a forma mais
forte de acesso ou comunicao limitados rede na NAP.
Os componentes da imposio IPsec consistem em uma HRA que esteja executando o
Windows Server 2008 R2 e um cliente de imposio IPsec em um dos seguintes sistemas operacionais:
Windows 7
Windows Vista
A HRA obtm certificados X.509 para clientes NAP quando os clientes precisam provar que so
compatveis. Esses certificados de integridade so usados para autenticar clientes NAP quando eles
iniciam comunicaes protegidas por IPsec com outros clientes NAP em uma intranet.
7-14
7-15
A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec, removendo as tentativas
de comunicao enviadas por computadores que no podem negociar a proteo IPsec usando
certificados de integridade. Ao contrrio da imposio 802.1X e VPN, em que a imposio ocorre no
ponto de entrada da rede, cada computador executa a imposio IPsec. Devido possibilidade de
aproveitar as configuraes de poltica IPsec, a imposio de certificados de integridade pode ser
efetuada para todos os computadores de um domnio, computadores especficos de uma sub-rede, um
computador especfico, um conjunto especfico de portas TCP ou UDP, ou um conjunto de portas TCP ou
UDP em um computador especfico.
A imposio IPsec divide uma rede fsica em trs redes lgicas. Um computador pode ser membro de
uma nica rede lgica por vez. As redes lgicas so definidas em termos de quais computadores tm
certificados de integridade e quais precisam de autenticao IPsec com certificados de integridade para
receber comunicao. As redes lgicas permitem acesso limitado rede e correo, e fornecem aos
computadores compatveis um nvel de proteo contra computadores no compatveis.
A imposio IPsec define as seguintes redes lgicas:
Imposio 802.1X
Com a imposio 802.1X, um computador deve ser compatvel para obter acesso ilimitado rede atravs
de uma conexo de rede autenticada com 802.1X, como a autenticao de uma rede de comutao
Ethernet ou um ponto de acesso sem fio IEEE 802.11.
Para os computadores no compatveis, o acesso rede limitado por um perfil de acesso restrito que
a comutao Ethernet ou um AP sem fio insere na conexo. O perfil de acesso restrito pode especificar
filtros de pacote IP ou um ID (identificador) de VLAN (LAN virtual) correspondente rede restrita.
A imposio 802.1X impe requisitos de polticas de integridade toda vez que um computador tenta uma
conexo de rede autenticada por 802.1X. A imposio 802.1X tambm monitora ativamente o status de
integridade do cliente NAP conectado e aplica o perfil de acesso restrito conexo se o cliente se tornar
incompatvel.
Os componentes da imposio 802.1X consistem no NPS do Windows Server 2008 R2 e em um cliente de
imposio EAPHost no Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 2008 e
Windows Server 2008 R2. A imposio 802.1X fornece um rgido acesso limitado rede para todos os
computadores que acessam a rede por meio de uma conexo autenticada por 802.1X.
7-16
7-17
Imposio VPN
A imposio VPN impe os requisitos de poltica de integridade toda vez que um computador tenta obter
uma conexo VPN de acesso remoto rede. A imposio VPN tambm monitora ativamente o status de
integridade do cliente NAP e aplica os filtros de pacote IP da rede restrita conexo VPN se o cliente se
tornar incompatvel.
Os componentes da imposio VPN consistem no NPS do Windows Server 2008 e em um cliente de
imposio VPN que faz parte do cliente de acesso remoto no:
Windows 7
Windows Vista
A imposio VPN fornece um rgido acesso limitado rede para todos os computadores que acessam a
rede por meio de uma conexo VPN de acesso remoto.
Imposio DHCP
O DHCP impe os requisitos de poltica de integridade toda vez que um cliente DHCP tenta conceder ou
renovar uma configurao de endereo IP. A imposio DHCP tambm monitora ativamente o status de
integridade do cliente NAP e, se o cliente se tornar incompatvel, renova a configurao do endereo IPv4
para acesso somente rede restrita.
Os componentes de uma imposio DHCP consistem em um servidor de imposio DHCP que faz parte
do servio Servidor DHCP no Windows Server 2008 R2 e em um cliente de imposio DHCP que faz parte
do servio Cliente DHCP no:
Windows 7
Windows Vista
Como a imposio DHCP depende de uma configurao de endereo IPv4 limitada que um usurio com
acesso no nvel de administrador pode substituir, ela a forma mais fraca de acesso limitado rede
na NAP.
A configurao de endereo DHCP limita o acesso rede do cliente DHCP por meio de sua tabela de
roteamento IPv4. A imposio DHCP define o valor da opo de Roteador DHCP como 0.0.0.0, de forma
que o computador no compatvel no ter um gateway padro configurado. Alm disso, essa imposio
define a mscara de sub-rede do endereo IPv4 alocado como 255.255.255.255, de forma que no haja
nenhuma rota para a sub-rede conectada.
7-18
7-19
Para permitir que o computador no compatvel acesse os servidores de atualizaes da rede restrita, o
servidor DHCP atribui a opo DHCP de Rotas Estticas sem Classe. Essa opo contm rotas de host para
os computadores da rede restrita, por exemplo, os servidores DNS e de atualizaes. O resultado final do
acesso limitado rede por DHCP uma tabela de configurao e roteamento que permite a
conectividade somente para endereos de destino especficos que correspondem rede restrita. Portanto,
quando um aplicativo tenta fazer envios para um endereo IPv4 de transmisso em unicast que no seja
nenhum dos fornecidos pela opo Rotas Estticas sem Classe, o protocolo TCP/IP retorna um erro de
roteamento.
Lio 3
Configurao da NAP
Para aproveitar ao mximo a NAP, voc deve entender como configurar os vrios elementos de uma
soluo NAP.
Objetivos
Ao concluir esta lio, voc ser capaz de:
7-20
7-21
Posicionamento do cliente NAP em uma rede restrita, na qual ele poder receber atualizaes dos
servidores de atualizaes para ficar em conformidade com a poltica de integridade. Depois que o
cliente NAP entrar em conformidade e reenviar seu novo estado de integridade, o NPS o habilitar
para conexo.
Permisso para que o cliente NAP se conecte rede, apesar de no estar em conformidade com a
poltica de integridade.
Voc pode definir polticas de integridade do cliente para NPS adicionando um ou mais SHVs poltica
de integridade.
Depois de configurar uma poltica de integridade com um ou mais SHVs, voc poder adicion-la
condio de Diretivas de Integridade de uma poltica de rede que pretenda usar para impor NAP quando
os computadores cliente tentarem se conectar rede.
7-22
Um grupo de servidores de atualizaes uma lista de servidores da rede restrita que oferece
conformidade para clientes NAP incompatveis com a sua poltica de integridade de cliente definida.
7-23
Um servidor de atualizaes hospeda as atualizaes que um agente NAP pode usar para tornar os
computadores cliente compatveis com a poltica de integridade, conforme definido pelo NPS. Por
exemplo, um servidor de atualizaes pode hospedar assinaturas de antivrus. Se a poltica de integridade
exigir que os computadores cliente tenham as definies mais recentes de antivrus, os seguintes
elementos trabalharo juntos para atualizar os computadores incompatveis: um SHA de antivrus, um
SHV de antivrus, um servidor de poltica de antivrus e o servidor de atualizaes.
Voc deve habilitar o servio Cliente de Proteo de Acesso Rede ao implantar a NAP em
computadores cliente compatveis com NAP.
7-24
7-25
2.
3.
4.
Clique duas vezes em Ativar a Central de Segurana (PCs em domnios somente), clique em
Habilitado e em OK.
Voc pode usar o procedimento Habilitar o Servio Proteo de Acesso Rede em Clientes para habilitar
e configurar o servio NAP em computadores cliente compatveis com NAP. A implementao de NAP
requer a habilitao desse servio.
Observao Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no
computador local.
Para habilitar o servio Proteo de Acesso Rede em computadores cliente:
1.
2.
Na lista de servios, role para baixo e clique duas vezes em Agente de Proteo de Acesso Rede.
3.
2.
Clique em Clientes de Imposio. No painel de detalhes, clique com o boto direito do mouse no
cliente de imposio a habilitar ou desabilitar e clique em Habilitar ou Desabilitar.
Observao Para executar esse procedimento, voc deve ser membro do grupo
Administradores no computador local ou ter recebido a autoridade apropriada. Se o
computador estiver em um domnio, os membros do grupo Administradores do Domnio
podero executar esse procedimento. Como uma prtica recomendada de segurana,
considere adotar esse procedimento usando o comando Executar como.
7-26
Testar a NAP.
7-27
Lio 4
Objetivos
Ao concluir esta lio, voc ser capaz de:
Descrever como o Rastreamento de NAP pode ajudar a monitorar e solucionar problemas de NAP.
7-28
7-29
Alm das diretrizes gerais anteriores, voc pode usar o snap-in de Configurao de Cliente NAP para
configurar o rastreamento de NAP. O rastreamento registra eventos da NAP em um arquivo de log e
til na soluo de problemas e manuteno. Alm disso, os logs de rastreamento tambm podem ser
usados para avaliar a integridade e a segurana da rede. Voc pode configurar trs nveis de
rastreamento: Bsico, Avanado e Depurao.
Habilite o rastreamento de NAP ao:
Alm do log de rastreamento, voc pode exibir os logs de contabilizao do NPS. Esses logs podem
conter informaes teis sobre a NAP. Por padro, os logs de contabilizao do NPS esto localizados em
%systemroot%\system32\logfiles.
Os logs a seguir podem conter informaes relacionadas NAP:
IASNAP.LOG: contm dados detalhados sobre processos da NAP, autenticao do NPS e autorizao
do NPS.
2.
Na rvore de console, clique com o boto direito do mouse em Configurao de Cliente NAP
(Computador Local) e clique em Propriedades.
3.
4.
Se a opo Habilitado for escolhida, em Especifique o nvel de detalhamento para a gravao dos
logs de rastreamento, selecione Bsico, Avanado ou Depurao.
7-30
7-31
2.
Para habilitar o rastreamento de NAP e configurar o log bsico ou avanado, digite: netsh nap
client set tracing state=enable level =[advanced ou basic]
Para habilitar o rastreamento de NAP para informaes de depurao, digite: netsh nap client
set tracing state=enable level =verbose
Para desabilitar o rastreamento de NAP, digite: netsh nap client set tracing state=disable
Observao Para executar esse procedimento, voc deve ser membro do grupo
Administradores no computador local ou ter recebido a autoridade apropriada. Como uma
prtica recomendada de segurana, considere executar essa operao usando o comando
Executar como.
Demonstrao
Esta demonstrao mostra como:
Voc pode usar as ferramentas a seguir para ajudar na soluo de problemas de NAP.
Comandos Netsh
Use o comando netsh NAP para ajudar na soluo de problemas de NAP. Os comandos a seguir so
especialmente teis.
netsh NAP client show state
Estado de restrio
Configuraes de criptografia
7-32
7-33
Esse comando exibe as definies de configurao da Diretiva de Grupo em um cliente NAP, incluindo:
Configuraes de criptografia
Os servios de NAP registram eventos relacionados NAP nos logs de eventos do Windows. Os eventos a
seguir fornecem informaes sobre servios de NAP que esto em execuo em um servidor NAP. Para
exibir esses eventos, abra o Visualizador de Eventos, selecione Modos de Exibio Personalizados, Funes
de Servidor e, por fim, Servios de Acesso e Diretiva de Rede.
ID do Evento 6277: o Servidor de Diretivas de Rede permitiu o acesso a um usurio, mas o colocou
em experincia, pois o host no atendeu poltica de integridade definida.
Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso total rede por tempo
limitado quando a data especificada na poltica tiver passado.
ID do Evento 6278: o Servidor de Diretivas de Rede permitiu o acesso total a um usurio, pois o host
atendeu poltica de integridade definida.
Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso total rede.
7-34
7-35
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Cenrio de laboratrio
A Contoso, Ltd. precisa estender sua soluo de rede virtual privada para incluir a NAP (Proteo de
Acesso Rede).
Como especialista em tecnologia da Contoso, Ltd., voc precisa estabelecer um meio de tornar
compatveis os computadores cliente, de forma automtica. Para isso, voc usar o Servidor de Diretivas
de Rede, criando polticas de conformidade do cliente e configurando um servidor NAP para verificar a
integridade atual dos computadores.
Para este projeto, voc dever concluir as seguintes tarefas:
2.
3.
Configurar NYC-EDGE1 com o RRAS (Servio Roteamento e Acesso Remoto) que configurado como
um servidor VPN.
4.
2.
3.
4.
5.
2.
3.
4.
5.
6.
7.
8.
Usando o Gerenciador de Servidores, instale o Servidor NPS com os seguintes servios de funo:
Servidor de Diretivas de Rede e Servio de Acesso Remoto.
9.
10. Em Proteo de Acesso Rede, abra a Configurao Padro para o Validador de Integridade de
Segurana do Windows.
11. Na guia Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto Firewall
habilitado para todas as conexes de rede.
7-36
Nome: Compatvel
Nome: Incompatvel
Configuraes:
7-37
Mtodos de autenticao:
i. Selecione Substituir configuraes de autenticao da poltica de rede
ii. Adicione Microsoft: EAP protegido (PEAP)
iii. Adicione Microsoft: Senha segura (EAP-MSCHAP v2)
Edite Microsoft: EAP protegido (PEAP) para garantir que a opo Impor Proteo de Acesso
Rede seja habilitada.
2.
3.
b.
c.
d.
e.
4.
5.
7-38
2.
Tipo: Personalizada
Todos os Programas
3.
Escopo padro
Perfil padro
Resultados: ao fim deste exerccio, voc ter configurado e habilitado um esquema de NAP imposto
pela VPN.
7-39
2.
3.
4.
2.
3.
2.
3.
4.
Execute services.msc e configure o servio Agente de Proteo de Acesso Rede para inicializao
automtica.
5.
Inicie o servio.
6.
2.
7-40
7-41
2.
Senha: Pa$$w0rd
Domnio: CONTOSO
3.
4.
Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN da Contoso
e clique em Conectar.
b.
c.
b.
5.
6.
b.
7.
8.
9.
a.
b.
Desconecte a VPN.
Resultados: ao fim deste exerccio, voc ter habilitado e configurado uma poltica de imposio de NAP
da VPN para a Contoso.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
7-42
7-43
Perguntas de reviso
1.
Quais so as trs principais configuraes de cliente que voc precisa definir para a maioria das
implantaes de NAP?
2.
Voc deseja avaliar a integridade e a segurana gerais dos computadores com imposio de NAP.
O que voc precisa fazer para comear a registrar eventos de NAP?
3.
Em um computador cliente, quais etapas voc deve executar para garantir que ele seja avaliado
quanto integridade?
Ferramentas
Ferramenta Use para
Onde encontr-la
Servios
Netsh nap
Diretiva de
Grupo
Onde encontr-la
Abra o console do NPS (Local). Em Introduo e
Configurao Padro, selecione o servidor de
polticas NAP (Servidor de Acesso Rede).
O texto e os links abaixo do texto so alterados
para refletir a sua seleo.
Clique em Configurar NAP com um assistente.
7-44
L1-1
Charlotte Weiss
6 de fevereiro
(continuao)
Plano de infraestrutura de rede da filial: endereamento IPv4
Propostas
1. Quantas sub-redes voc considera necessrias para essa regio?
Resposta: existem 300 computadores na regio. A especificao declara que devem ser
implantados em cada sub-rede aproximadamente 50 computadores. Voc tambm precisa se
planejar para um crescimento em torno de 25%. So necessrias seis sub-redes na regio para
os computadores host, mas deve ser planejada uma sub-rede adicional para cada local a fim
de hospedar o aumento de computadores. Isso resulta em nove sub-redes no total.
2. Quantos hosts voc implantar em cada sub-rede?
Resposta: a especificao informa que voc deve implantar, no mximo, 50 computadores
host para cada sub-rede.
3. Qual mscara de sub-rede voc usar para cada filial?
Resposta: o endereo de rede atual para a regio 172.16.16.0/20. Isso deixa 12 bits para
alocar a sub-redes e hosts. Para expressar nove sub-redes, seriam necessrios quatro bits, uma
vez que trs bits podem ser alocados apenas para oito sub-redes. Na verdade, quatro bits
podem ser alocados para 16 sub-redes, que bastante. Essa uma mscara decimal de
255.255.255.0.
4. Quais so os endereos de sub-rede para cada filial?
Resposta: Filial 1:
172.16.16.0/24
172.16.17.0/24
172.16.18.0/24
Filial 2:
172.16.19.0/24
172.16.20.0/24
172.16.21.0/24
Filial 3:
172.16.22.0/24
172.16.23.0/24
172.16.24.0/24
5. Qual intervalo de endereos de host esto em cada filial?
Resposta: Filial 1:
172.16.16.1 > 172.16.16.254
172.16.17.1 > 172.16.17.254
172.16.18.1 > 172.16.18.254
Filial 2:
172.16.19.1 > 172.16.19.254
172.16.20.1 > 172.16.20.254
172.16.21.1 > 172.16.21.254
Filial 3:
172.16.22.1 > 172.16.22.254
172.16.23.1 > 172.16.23.254
172.16.24.1 > 172.16.24.254
L1-2
Resultados: ao fim deste exerccio, voc deve ter um plano de endereo IP concludo para as filiais
da Contoso.
L1-3
2.
3.
4.
Qual o endereo IPv4 e a mscara de sub-rede listados que iniciam com 172.16?
Resposta: 172.16.16.1/255.255.255.0
5.
6.
7.
2.
3.
4.
5.
6.
7.
8.
2.
3.
4.
5.
Feche o Explorer.
L1-4
6.
7.
8.
9.
2.
3.
4.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 4 e clique em
Propriedades.
5.
6.
7.
8.
9.
Se solicitado com a caixa de dilogo Definir Local da Rede, clique em Rede Corporativa
e em Fechar.
2.
3.
4.
L1-5
5.
6.
2.
3.
No Monitor de Rede 3.4 da Microsoft, no painel Capturas Recentes, clique na New capture tab.
4.
5.
6.
7.
8.
9.
L1-6
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
L1-7
L2-9
Estude o diagrama de rede e leia a seo de requisitos do documento Plano de infraestrutura de rede
da filial: DHCP no documento do mdulo abaixo do cenrio do Exerccio 1.
Charlotte Weiss
7 de maro
Requisitos
Especifique como voc planeja implementar o DHCP para oferecer suporte aos requisitos da sua
filial.
Informaes adicionais
importante que nenhuma falha nos links de comunicao, roteador ou servidor afete
negativamente os usurios.
Propostas
1. Quantos servidores DHCP voc prope implantar na regio?
Resposta: supondo que os roteadores sejam todos compatveis com a RFC, no h necessidade
de implantar servidores DHCP em cada sub-rede. No entanto, para tolerncia a falhas, cada filial
deve ter um servidor DHCP com escopos duplicados configurados no servidor DHCP da matriz,
com excluses apropriadas para oferecer suporte regra 80/20; isso fornece tolerncia a falhas
de endereamento.
2. Onde voc pretende implantar esses servidores?
Resposta: um servidor DHCP em cada filial e um na matriz.
3. Como voc pretende fornecer a tolerncia a falhas da alocao de endereo IP?
Resposta: configure os escopos para oferecer suporte regra 80/20.
4. Como os clientes em uma filial obtero uma configurao de IP se o respectivo servidor DHCP
estiver offline?
Resposta: eles obtero uma configurao de IP do servidor da matriz. Isso exige uma
retransmisso DHCP no roteador que conecta a matriz filial.
Resultados: ao fim deste exerccio, voc ter determinado a configurao DHCP adequada para
a Contoso.
L2-10
L2-11
2.
3.
4.
5.
Na pgina Selecionar Funes do Servidor, marque a caixa de seleo Servidor DHCP e clique
em Prximo.
6.
7.
8.
9.
2.
3.
No painel de navegao, expanda NYC-RTR (local), expanda IPv4, clique com o boto direito do
mouse em Geral e clique em Novo protocolo de roteamento.
4.
5.
No painel de navegao, clique com o boto direito do mouse em Agente de Retransmisso DHCP
e clique em Nova interface.
6.
Na caixa de dilogo Nova interface para Agente de Retransmisso DHCP, clique em Conexo
local 2 e clique em OK.
7.
8.
No painel de navegao, clique com o boto direito do mouse em Agente de Retransmisso DHCP
e clique em Nova interface.
9.
Na caixa de dilogo Nova interface para Agente de Retransmisso DHCP, clique em Conexo
local e clique em OK.
2.
3.
4.
2.
3.
4.
Na pgina Intervalo de endereos IP, preencha a pgina usando as informaes a seguir e clique
em Avanar:
5.
Comprimento: 24
Na pgina Adicionar Excluses e Atraso, preencha a pgina usando as informaes a seguir, clique
em Adicionar e em Avanar:
6.
7.
8.
Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 172.16.16.1, clique em
Adicionar e em Avanar.
9.
L2-12
L2-13
2.
3.
4.
No painel de navegao do DHCP, expanda IPv4, clique com o boto direito do mouse em IPv4 e
clique em Novo escopo.
5.
6.
Na caixa Nome da pgina Nome do escopo, digite Escopo de Backup da Filial e clique
em Avanar.
7.
Na pgina Intervalo de endereos IP, preencha a pgina usando as informaes a seguir e clique
em Avanar:
8.
9.
Comprimento: 24
Na pgina Adicionar Excluses e Atraso, preencha a pgina usando as informaes a seguir, clique
em Adicionar e em Avanar:
2.
3.
4.
No painel Capturas Recentes do Microsoft Network Monitor 3.4, clique na New capture tab.
5.
6.
7.
8.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo local 4 e clique
em Propriedades.
9.
Na caixa de dilogo Propriedades de Conexo local 4, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
10. Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Obter um
endereo IP automaticamente.
11. Clique em Obter o endereo dos servidores DNS automaticamente e em OK.
12. Na caixa de dilogo Propriedades de Conexo local 4, clique em OK.
2.
3.
Clique em Load Filter, aponte para Standard Filters, para Basic Examples e clique em Protocol
Filter DNS.
4.
Na caixa de texto Display Filter, localize o texto DNS e altere-o para DHCP. Clique em Apply.
5.
Agora examine os quadros capturados. No Resumo do Quadro, clique no quadro com o Destino
255.255.255.255 e a descrio que contenha OFFER.
6.
7.
Qual o IP do Servidor?
Resposta: 172.16.16.2
8.
Resultados: ao fim deste exerccio, voc ter configurado o cliente para obter um endereo
IP dinamicamente do servidor da filial local.
L2-14
L2-15
2.
2.
3.
4.
5.
6.
Ipconfig /renew
7.
No menu do Monitor de Rede 3.4 da Microsoft, clique em Load Filter, aponte para Standard Filters,
para Basic Examples e clique em Protocol Filter DNS.
8.
Na caixa de texto Display Filter, localize o texto DNS e altere-o para DHCP. Clique em Apply.
9.
Agora examine os quadros capturados. No Resumo do Quadro, clique no quadro com o Destino
255.255.255.255 e a descrio que contenha OFFER.
Resultados: ao fim deste exerccio, voc ter verificado se o cliente pode obter um endereo IP da matriz
quando o servidor local estiver indisponvel.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute estas etapas:
1.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
L3-17
Charlotte Weiss
12 de maro
Seu gerente est preocupado porque o servidor de nome nico que oferece suporte ao
domnio Contoso.com fica sob presso ao atender s solicitaes de resoluo de nomes.
Voc recebeu a tarefa de determinar um curso de ao para minimizar esse problema.
2.
A Contoso est trabalhando com uma organizao parceira, a A Datum. importante que
a resoluo de nomes para servidores no domnio da Adatum.com seja feita sem recorrer
aos servidores de nomes raiz.
Informaes adicionais
1.
2.
Propostas
1.
Como voc modificar a configurao do DNS da Contoso para atender ao primeiro requisito?
Resposta: adicione um servidor DNS.
2.
Como voc modificar a configurao do DNS da Contoso para atender ao segundo requisito?
Resposta: crie uma zona de stub ou configure um encaminhamento condicional para a
Adatum.com.
3.
(continuao)
Plano de resoluo de nomes da Contoso
4.
5.
Resultados: ao fim deste exerccio, voc ter selecionado uma configurao do DNS adequada para
a Contoso.
L3-18
L3-19
2.
3.
4.
Na lista Funes da pgina Selecionar Funes do Servidor, marque a caixa de seleo Servidor
DNS e clique em Prximo.
5.
6.
7.
2.
3.
No Gerenciador DNS, expanda NYC-DC1, clique com o boto direito do mouse em Zonas de
pesquisa direta e clique em Nova zona.
4.
5.
6.
7.
Na caixa Nome da zona da pgina Nome da Zona, digite Adatum.com e clique em Avanar.
8.
9.
2.
3.
4.
5.
6.
2.
3.
4.
5.
6.
7.
8.
Clique em Cancelar.
Observao
2.
No Gerenciador DNS, pressione F5. Os dados da zona devem aparecer. Caso contrrio, expanda
Zonas de pesquisa direta e Contoso.com.
3.
4.
1.
2.
3.
4.
L3-20
5.
6.
7.
Resultados: ao fim deste exerccio, voc ter implementado os requisitos descritos no documento
Plano de resoluo de nomes da Contoso.
L3-21
2.
3.
4.
Na guia Monitorando, selecione Uma consulta simples a este servidor DNS e clique
em Testar agora.
5.
Na guia Monitorando, garanta que a opo Uma consulta recursiva a outros servidores DNS
seja selecionada e clique em Testar agora. Observe que o teste recursivo falha para NYC-DC1, o que
normal, pois no h encaminhadores configurados para uso por este servidor DNS.
6.
7.
8.
9.
Na guia Monitorando, clique em Testar agora. O teste Simples foi concludo com xito.
2.
3.
4.
5.
2.
3.
L3-22
4.
L3-23
5.
6.
7.
2.
Clique em Iniciar, clique com o boto direito do mouse em Computador e clique em Gerenciar.
3.
4.
5.
6.
7.
8.
9.
No painel esquerdo, clique com o boto direito do mouse em NYC-DC1 e clique em Propriedades.
12. Desmarque as caixas de seleo de teste Simples e Recursivo e clique em OK. Feche a ferramenta de
gerenciamento DNS.
13. Retorne para o console do Gerenciador de Servidores. O grfico reflete as consultas no servidor.
14. No console do Gerenciador de Servidores, pressione CTRL+G e, em seguida, CTRL+G novamente. Esse
relatrio relaciona o nmero total de consultas que o servidor recebeu.
15. Feche o console do Gerenciador de Servidores.
Resultados: ao fim deste exerccio, voc ter verificado a funcionalidade do DNS com as ferramentas
de soluo de problemas.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
L3-24
L4-25
Laboratrio A: Configurao de um
roteador ISATAP
Exerccio 1: Configurao de uma rede e um cliente IPv6 novos
X Tarefa 1: Configurar o roteamento IPv4
1.
2.
3.
4.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 4 e clique em
Propriedades.
5.
6.
7.
8.
9.
10. Clique em Iniciar e, na caixa Pesquisar, digite Central de Rede e Compartilhamento e pressione
ENTER.
11. No Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
12. Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 7 e clique em
Propriedades.
13. Clique duas vezes em Protocolo TCP/IP Verso 4 (TCP/IPv4).
14. Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), verifique se o
Gateway padro 10.10.0.1. Clique em OK.
15. Na caixa Propriedades da Conexo Local 7, clique em OK e feche todas as janelas abertas em
NYC-DC1.
2.
3.
Navegue at HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters.
4.
Clique duas vezes em IPEnableRouter e, na caixa Dados do valor, digite 1. Clique em OK.
5.
6.
Depois que o computador NYC-RTR for reiniciado, faa logon com as seguintes credenciais:
Senha: Pa$$w0rd
2.
3.
4.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 7 e clique em
Propriedades.
5.
2.
3.
4.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 4 e clique em
Propriedades.
5.
L4-26
6.
7.
L4-27
ipconfig
Observao
A sada deve ser um endereo IPv6 de link-local que comea com fe80.
2.
3.
4.
2.
Observao A sada deve ser um endereo IPv6 de link-local que comea com fe80. Dois
endereos IP globais que comeam com 2001:db8:0:1: tambm devem estar includos na
sada.
3.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-CL2 somente para IPv6.
2.
3.
4.
Expanda Zonas de pesquisa direta, selecione e clique com o boto direito do mouse em
Contoso.com e clique em Novo Host (A ou AAAA).
5.
Na caixa de dilogo Novo host, digite ISATAP na caixa de texto Nome e digite o endereo IP
10.10.0.1 (para NYC-RTR).
6.
7.
2.
3.
4.
5.
Localize o adaptador de tnel isatap.{Interface_Index}: que possui um endereo IPv6 de link-local que
contm 10.10.0.1. Anote o Interface_Index (incluindo as chaves) voc precisar dele em algum
momento.
Interface_Index: ___________________________
6.
Digite o comando a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc registrou
anteriormente e pressione ENTER:
netsh interface ipv6 set interface isatap.Interface_Index forwarding=enabled
advertise=enabled
7.
8.
Reinicie o NYC-RTR.
L4-28
9.
L4-29
Senha: Pa$$w0rd
2.
3.
4.
Clique em Iniciar e, na caixa Pesquisar, digite Firewall do Windows com Segurana Avanada e
pressione ENTER.
2.
No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com o
boto direito do mouse em Regras de Entrada e clique em Nova Regra.
3.
No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado e em
Avanar.
4.
5.
6.
7.
8.
9.
L4-30
2.
3.
4.
Digite o comando a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc registrou
anteriormente:
netsh interface ipv6 set interface isatap.Interface_Index forwarding=disabled
advertise=disabled
6.
Digite o comando a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc registrou
anteriormente:
netsh interface ipv6 delete route 2001:db8:0:10::/64 isatap.Interface_Index
2.
L4 -31
Localize o adaptador de tnel isatap.{Interface_Index}: que possui um endereo IPv6 de link-local que
contm 10.10.0.1. Anote o Interface_Index (incluindo as chaves) voc precisar dele em algum
momento.
Interface_Index: ______________________________
5.
2.
3.
Na caixa Conexes de Rede, clique com o boto direito do mouse em Conexo Local 2 e clique em
Propriedades.
4.
5.
6.
7.
8.
Na caixa Conexes de Rede, clique com o boto direito do mouse em Conexo Local 7 e clique em
Propriedades.
9.
10. Marque a caixa de seleo Protocolo TCP/IP Verso 6 (TCP/IPv6) e clique em OK. Feche todas as
janelas abertas.
Clique em Iniciar e, na caixa Pesquisar, digite Firewall do Windows com Segurana Avanada e
pressione ENTER.
2.
Na janela Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com
o boto direito do mouse em Regras de Entrada e clique em Nova Regra.
3.
No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado e em
Avanar.
4.
5.
6.
7.
8.
9.
Na caixa Nome da pgina Nome, digite Permitir PING para IPv6 e clique em Concluir.
Anote o novo endereo IPv6 (o endereo global comea com 2001:) atribudo conexo local. Anote
o endereo IPv6 no espao a seguir.
Endereo IPv6 de NYC-DC1: _____________________________________________
L4-32
L4-33
Anote o endereo IPv6 (o endereo global comea com 2001:) atribudo conexo local. Anote o
endereo IPv6 no espao a seguir.
Endereo IPv6 de NYC-CL2: _____________________________________________
16. Alterne para NYC-DC1 e para o Prompt de Comando.
17. No prompt de comando, digite o comando a seguir e pressione ENTER:
Ping global_IP_address
1.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
L5-35
Laboratrio A: Configurao e
gerenciamento do acesso rede
Exerccio 1: Configurao do Roteamento e Acesso Remoto como uma
soluo de acesso remoto VPN
X Tarefa 1: Instalar a funo Servios de Acesso e Diretiva de Rede
em 10221B-NYC-EDGE1
1.
2.
No painel de lista Gerenciador de Servidores (NYC-EDGE1), clique com o boto direito do mouse
em Funes e clique em Adicionar funes no menu de contexto. O Assistente para Adicionar
Funes ser exibido. Clique em Prximo.
3.
4.
5.
6.
7.
8.
2.
3.
No painel de lista, selecione e clique com o boto direito do mouse em NYC-EDGE1 (local) e clique
em Configurar e Habilitar Roteamento e Acesso Remoto.
4.
5.
Na pgina Configurao, deixe a opo padro, Acesso remoto (dial-up ou rede virtual privada),
selecionada e clique em Avanar.
6.
7.
8.
9.
10. Na pgina Gerenciando mltiplos servidores de acesso remoto, mantenha a opo padro No,
usar o 'Roteamento e acesso remoto' para autenticar pedidos de conexo e, em seguida, clique
em Avanar. Clique em Concluir.
11. Na caixa de dilogo Roteamento e acesso remoto, clique em OK.
12. Na caixa de dilogo Roteamento e acesso remoto relativa ao agente de rel DHCP, clique em OK.
O servio Roteamento e Acesso Remoto iniciado.
Na interface da ferramenta de gerenciamento do Roteamento e Acesso Remoto, expanda NYCEDGE1 (local), selecione e clique com o boto direito do mouse em Portas e clique em
Propriedades.
2.
Na caixa de dilogo Propriedades de Portas, clique duas vezes em WAN Miniport (SSTP).
3.
4.
5.
Na caixa de dilogo Propriedades de Portas, clique duas vezes em WAN Miniport (PPTP) e, na
caixa de dilogo Configurar dispositivo WAN Miniport(PPTP), atribua um valor de 25 na caixa
Nmero mximo de portas e clique em OK.
6.
7.
Repita esse procedimento, com o mesmo valor (25), para WAN Miniport (L2TP).
8.
9.
Resultados: ao fim deste exerccio, voc ter habilitado o roteamento e acesso remoto no servidor
NYC-EDGE1.
L5-36
L5-37
1.
2.
1.
No painel de lista, expanda Diretivas, clique com o boto direito do mouse em Diretivas de Rede e
clique em Novo.
2.
Na pgina Nova Diretiva de Rede Especificar Nome de Diretiva de Rede e Tipo de Conexo,
digite VPN Segura na caixa de texto Nome da diretiva e, na lista suspensa Tipo de servidor de
acesso rede, clique em Remote Access Server(VPN-Dial up) e em Avanar.
3.
4.
Na caixa de dilogo Tipo de Tnel, selecione L2TP, PPTP e SSTP, clique em OK e em Avanar.
5.
6.
7.
8.
Na caixa de dilogo Restries de dia e horrio, clique no primeiro retngulo azul no canto
esquerdo que representa domingo, de 00:00 para 01:00. Mantenha o boto do mouse pressionado
e arraste o mouse para realar todo o domingo. Clique em Negado. Repita esse procedimento para
todo o sbado. Clique em OK e em Avanar.
9.
10. No painel de lista da ferramenta Servidor de Diretivas de Rede, clique no n Diretivas de Rede.
11. Se necessrio, clique com o boto direito do mouse na diretiva VPN Segura e clique em Mover para
Cima. Repita essa etapa para que a diretiva seja a primeira na lista.
12. Feche a ferramenta Servidor de Diretivas de Rede.
1.
2.
3.
Na janela Painel de Controle, em Rede e Internet, clique em Exibir o status e as tarefas da rede.
4.
5.
6.
7.
8.
9.
Senha: Pa$$w0rd
Domnio: CONTOSO
A VPN conecta-se com xito.
18. Clique com o boto direito do mouse em VPN da Contoso e clique em Desconectar. A VPN
desconecta-se.
19. Feche todas as janelas abertas em NYC-CL1.
Resultados: ao fim deste exerccio, voc ter criado e testado uma conexo VPN.
L5-38
L5-39
2.
3.
4.
5.
2.
3.
4.
5.
6.
7.
8.
Na pgina Adicionar Suporte a Conexes VPN, marque a caixa de seleo Catlogo telefnico
deste perfil.
9.
2.
3.
No menu do Windows Explorer, clique em Nova pasta, digite Perfil da Contoso e pressione ENTER.
4.
5.
6.
7.
8.
9.
Senha: Pa$$w0rd
Domnio: Contoso
L5-40
17. Clique em Iniciar e, na caixa Pesquisar, digite \\nyc-dc1\Perfil da Contoso e pressione ENTER.
18. Clique em Iniciar e, na caixa Pesquisar, digite C:\Arquivos de
Programas\CMAK\Profiles\Windows 7 and Windows Vista\Contoso.
19. Realce todos os arquivos na janela aberta do Explorer e pressione CTRL + C.
20. Alterne para a pasta \\NYC-DC1\Perfil da Contoso e pressione CTRL + V.
21. Feche todas as janelas abertas.
22. Clique em Iniciar e, na caixa Pesquisar, digite \\nyc-dc1\Perfil da Contoso e pressione ENTER.
23. Clique duas vezes no aplicativo Contoso.
24. Na caixa de dilogo SC da Contoso, clique em Sim.
25. Na pgina Tornar esta conexo disponvel para, clique em Todos os usurios, selecione
Adicionar um atalho na rea de trabalho e clique em OK.
26. Na caixa de dilogo SC da Contoso, clique em Cancelar.
27. Em Conexes de Rede, clique com o boto direito do mouse em VPN da Contoso e clique em
Desconectar.
28. Na rea de trabalho, clique duas vezes em SC da Contoso Atalho.
29. Use as informaes a seguir nas caixas de texto SC da Contoso e clique em Conectar:
Senha: Pa$$w0rd
Domnio: Contoso
A VPN conecta-se com xito.
L5-41
30. Clique com o boto direito do mouse em SC da Contoso - Atalho e clique em Desconectar. A VPN
desconecta-se.
31. Feche todas as janelas abertas em NYC-CL1.
Resultados: ao fim deste exerccio, voc ter criado e distribudo um perfil CMAK.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
Laboratrio B: Configurao
e gerenciamento do DirectAccess
Exerccio 1: Configurao do DNS e do controlador de domnio do AD DS
Tarefa 1: Criar um grupo de segurana para computadores DirectAccess
1.
2.
3.
4.
5.
Em Escopo do grupo, selecione Global, em Tipo de grupo, escolha Segurana e clique em OK.
6.
7.
8.
9.
Em Digite os nomes de objeto a serem selecionados (exemplos), digite NYC-CL1 e clique em OK.
2.
3.
Na rvore de console, clique com o boto direito do mouse em Default Domain Policy e clique em
Editar.
4.
5.
Na rvore de console, clique em Regras de Entrada, clique com o boto direito do mouse em
Regras de Entrada e clique em Nova Regra.
6.
L5-42
7.
8.
9.
L5-43
14. Na pgina Nome, para Nome, digite Solicitaes de Eco ICMPv6 de Entrada e clique em Concluir.
15. Na rvore de console, clique em Regras de Sada, clique com o boto direito do mouse em Regras
de Sada e clique em Nova Regra.
16. Na pgina Tipo de regra, clique em Personalizado e em Avanar.
17. Na pgina Programa, clique em Avanar.
18. Na pgina Protocolo e Portas, para Tipo de protocolo, clique em ICMPv6 e em Personalizar.
19. Na caixa de dilogo Personalizar Configuraes ICMP, clique em Tipos especficos de ICMP,
selecione Solicitao de Eco e clique em OK.
20. Clique em Avanar.
21. Na pgina Escopo, clique em Avanar.
22. Na pgina Ao, clique em Permitir a conexo e clique em Avanar.
23. Na pgina Perfil, clique em Avanar.
24. Na pgina Nome, para Nome, digite Solicitaes de Eco ICMPv6 de Sada e clique em Concluir.
2.
3.
Clique com o boto direito do mouse em contoso.com e clique em Novo Host (A ou AAAA).
4.
Na caixa Nome (usa domnio pai se deixado em branco), digite nls. Na caixa Endereo IP, digite
10.10.0.24. Clique em Adicionar host e clique em OK.
5.
Na caixa de dilogo Novo Host, digite CRL em Nome (usa domnio pai se deixado em branco).
Na caixa Endereo IP, digite 10.10.0.15 e clique em Adicionar host.
6.
Na caixa de dilogo DNS, que informa que o registro foi criado, clique em OK.
7.
8.
Pergunta: qual a finalidade do registro de host DNS nls.contoso.com que voc associou a
um endereo IP interno?
Resposta: permitir que os clientes DirectAccess baseados na intranet localizem o Servidor do
Local da Rede na intranet.
2.
3.
Resultados: ao fim deste exerccio, voc ter preparado o AD DS e o DNS para oferecer suporte
implantao do DirectAccess.
L5-44
L5-45
2.
3.
4.
5.
6.
7.
8.
9.
Selecione Incluir em listas de certific. revogados. Usado para encontrar listas delta e Incluir na
extenso CDP de certificados emitidos e clique em Aplicar. Clique em No na caixa de dilogo
que solicita que voc reinicie os Servios de Certificados do Active Directory.
2.
3.
4.
5.
6.
7.
Na guia DNS, na caixa Sufixo DNS para esta conexo, digite Contoso.com e clique em OK.
8.
9.
2.
3.
Na pgina Selecionar Funes do Servidor, clique em Servidor Web (IIS) e clique em Prximo trs
vezes.
4.
Clique em Instalar.
5.
6.
2.
Na rvore de console, navegue para NYC-EDGE1\Sites\Default Web Site, clique com o boto
direito do mouse em Default Web Site e clique em Adicionar Diretrio Virtual.
3.
Na caixa de dilogo Adicionar Diretrio Virtual, na caixa Alias, digite CRLD. Prximo de Caminho
fsico, clique no boto de reticncias .
4.
Na caixa de dilogo Procurar Pasta, clique em Disco Local (C:) e em Criar Nova Pasta.
5.
6.
7.
No painel central do console, clique duas vezes em Pesquisa no Diretrio e, no painel de detalhes,
clique em Habilitar.
8.
9.
10. Clique na seta para baixo da lista suspensa Seo e navegue para
system.webServer\security\requestFiltering.
11. No painel central do console, clique duas vezes na entrada allowDoubleEscaping para alterar o valor
de False para True.
12. No painel de Aes, clique em Aplicar.
13. Feche o Gerenciador dos Servios de Informaes da Internet (IIS).
Pergunta: por que voc disponibiliza a CRL no servidor DirectAccess na rede de permetro?
Resposta: para que os clientes DirectAccess na Internet possam acessar a CRL.
L5-46
L5-47
1.
2.
3.
No painel de detalhes do Windows Explorer, clique com o boto direito do mouse na pasta CRLDist
e clique em Propriedades.
4.
5.
6.
Em Nome do compartilhamento, adicione um cifro ($) ao final para que o nome seja CRLDist$.
7.
8.
9.
17. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, clique em
Tipos de objeto.
18. Na caixa de dilogo Tipos de objeto, selecione Computadores. Clique em OK.
19. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, na caixa
Digite os nomes de objeto a serem selecionados, digite NYC-DC1, clique em Verificar nomes e
em OK.
20. Na caixa de dilogo Permisses para CRLDist, selecione NYC-DC1 (CONTOSO\NYC-DC1$) na lista
Nomes de grupo ou usurio. Na seo Permisses para NYC-DC1, selecione Permitir para
Controle total e clique em OK.
21. Na caixa de dilogo Propriedades de CRLDist, clique em Fechar.
22. Feche a janela do Windows Explorer.
2.
3.
Na rvore de console, abra ContosoCA, clique com o boto direito do mouse em Certificados
revogados, aponte para Todas as tarefas e clique em Publicar.
4.
5.
6.
7.
8.
1.
2.
No painel de contedo, clique com o boto direito do mouse no modelo Servidor Web e clique em
Propriedades.
3.
4.
Na janela Permisses para Usurios autenticados, clique em Registrar em Permitir e clique em OK.
5.
2.
3.
No painel de detalhes, clique com o boto direito do mouse na Default Domain Policy e clique em
Editar.
4.
5.
6.
L5-48
L5-49
7.
8.
Resultados: ao fim deste exerccio, voc ter configurado a infraestrutura de chave pblica na
Contoso para oferecer suporte implantao do DirectAccess.
2.
3.
4.
Clique em Nova pasta, digite Arquivos e pressione ENTER. Deixe a janela Disco Local aberta.
5.
Clique em Iniciar, em Todos os Programas, em Acessrios, clique com o boto direito do mouse
em Bloco de Notas e clique em Executar como administrador.
6.
7.
Clique em Arquivo, em Salvar, clique duas vezes em Computador, duas vezes em Disco Local (C:) e
duas vezes na pasta Arquivos.
8.
9.
Na janela Disco Local, clique com o boto direito do mouse na pasta Arquivos, aponte para
Compartilhar com e clique em Pessoas especficas.
2.
3.
4.
5.
6.
7.
8.
Clique com o boto direito do mouse em Certificados, aponte para Todas as Tarefas e clique em
Solicitar novo certificado.
9.
10. Na pgina Solicitar certificados, check em Servidor Web e clique em Mais informaes so
necessrias para se registrar neste certificado. Clique aqui para definir as configuraes.
L5-50
L5-51
2.
Na rvore de console do Gerenciador do Servios de Informaes da Internet (IIS), expand NYCSVR1/Sites e clique em Default Web Site.
3.
4.
Na caixa de dilogo Adicionar Ligao do Site, clique em https, em Certificado SSL, clique no
certificado com o nome nls.contoso.com, clique em OK e em Fechar.
5.
2.
3.
4.
5.
6.
7.
8.
9.
Clique com o boto direito do mouse em Certificados, aponte para Todas as Tarefas e clique em
Solicitar novo certificado.
12. No painel de detalhes, verifique se um certificado com o nome NYC-CL1.contoso.com est presente
com Finalidades de Autenticao de Cliente e Autenticao de Servidor.
13. Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
Pergunta: por que voc instalou um certificado no computador cliente?
Resposta: sem um certificado, o cliente no pode identificar e autenticar a si prprio no
servidor DirectAccess.
2.
3.
Na barra de endereos, digite https://nls.contoso.com/ (em ingles) e pressione ENTER. Voc dever
ver a pgina da Web padro do IIS 7 para NYC-SVR1.
4.
5.
6.
Voc dever ver uma janela de pasta com o contedo da pasta compartilhada Arquivos.
7.
Na janela de pasta compartilhada Arquivos, clique duas vezes no arquivo exemplo.txt. Voc dever
ver o contedo do arquivo exemplo.txt.
8.
L5-52
L5-53
2.
3.
4.
5.
6.
Clique com o boto direito do mouse em Certificados, aponte para Todas as Tarefas e clique em
Solicitar novo certificado.
7.
8.
9.
12. No painel de detalhes do snap-in de Certificados, verifique se um novo certificado com o nome nycedge1.contoso.com foi registrado com Finalidades de Autenticao de Servidor.
13. Clique com o boto direito do mouse no certificado e clique em Propriedades.
14. Em Nome amigvel, digite Certificado IP-HTTPS e clique em OK.
15. Feche a janela do console. Se for solicitado que voc salve as configuraes, clique em No.
2.
Na janela principal, click Recursos em Resumo dos Recursos, clique em Adicionar recursos.
3.
4.
5.
6.
7.
2.
3.
4.
5.
6.
7.
8.
Na pgina Conectividade, para Interface conectada Internet, selecione Public. Para Interface
conectada rede interna, selecione a Conexo Local 2 e clique em Prximo.
Observao Se voc receber um aviso de que o adaptador de rede da conexo local deve
estar conectado a uma rede do domnio, feche o console do Gerenciamento do
DirectAccess. Abra o Gerenciador de Servidores e clique em Configurar Conexes de
Rede. Desabilite a Conexo Local e habilite-a novamente. Reinicie o console do
Gerenciamento do DirectAccess.
9.
10. Para Selecione o certificado a ser usado para proteger conectividade do cliente remoto em
HTTPS, clique em Procurar. Na lista de certificados, clique no certificado chamado Certificado IPHTTPS, clique em OK e em Concluir.
11. Clique em Configurar para obter a etapa 3.
12. Na pgina Local, clique em O servidor do local de rede executado em um servidor altamente
disponvel (recomendado), digite https://nls.contoso.com (em ingles), clique em Validar
e em Prximo.
L5-54
L5-55
13. Na pgina DNS e Controlador de Domnio, observe a entrada para o nome contoso.com com o
endereo IPv6 2002:836b:2:1:0:5efe:10.10.0.10. Esse endereo IPv6 atribudo a NYC-DC1 e
composto do prefixo de rede 6to4 (2002:836b:2:1::/64) e de um identificador de interface baseado
em ISATAP (:: 0:5efe:10.10.0.10). Clique em Prximo.
14. Na pgina Gerenciamento, clique em Concluir.
15. Clique em Configurar para a etapa 4. Na pgina Configurao do Servidor DirectAccess, clique
em Concluir.
16. Clique em Salvar e em Concluir.
17. Na caixa de dilogo Avaliao do DirectAccess, clique em Aplicar. Na caixa de mensagem
Configurao da Diretiva DirectAccess, clique em OK.
Resultados: ao fim deste exerccio, voc ter configurado com xito o NYC-EDGE1 como um
servidor DirectAccess.
1.
2.
3.
Na rvore de console, expanda Zonas de pesquisa direta, clique com o boto direito do mouse em
contoso.com e clique em Novo Host (A ou AAAA).
4.
Na caixa Nome (usa domnio pai se deixado em branco), digite crl. Em Endereo IP, digite
131.107.0.2.
5.
6.
2.
3.
4.
5.
No prompt de comando, digite o comando a seguir e pressione ENTER. Verifique se o servidor emitiu
um endereo ISATAP que terminem com 10.10.0.24.
ipconfig
6.
7.
8.
9.
L5-56
L5-57
11. No prompt de comando, digite o comando a seguir e pressione ENTER. Verifique se o servidor emitiu
um endereo ISATAP que terminem com 10.10.0.10.
ipconfig
2.
Reinicie NYC-CL1 e faa logon como Contoso\Administrador com a senha Pa$$w0rd. Isso serve
para garantir que o computador NYC-CL1 se conecte ao domnio como um membro do grupo de
segurana Clientes_DA.
3.
4.
5.
6.
7.
No prompt de comando, digite o comando a seguir e pressione ENTER. Verifique se o cliente emitiu
um endereo ISATAP que terminem com 10.10.10.1.
ipconfig
8.
9.
2.
3.
4.
5.
6.
1.
2.
3.
4.
5.
Na caixa de dilogo Propriedades de Conexo Local 4, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
6.
7.
8.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 4 e clique em
Desativar.
9.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 4 e clique em
Ativar.
10. Na caixa de dilogo Definir Local da Rede, clique em Rede pblica e em Fechar.
L5-58
L5-59
2.
3.
2.
3.
4.
Clique em Iniciar, digite \\NYC-SVR1\files e pressione ENTER. Voc dever ver uma janela de pasta
com o contedo da pasta compartilhada Arquivos.
5.
6.
2.
A partir da exibio da ferramenta Ipconfig.exe, observe que uma interface denominada Adaptador
6TO4 de Tnel tem um endereo IPv6 que comea com 2002:836b:. Esse um endereo 6to4
baseado em um endereo IPv4 que comea com 131.107. Observe que essa interface de tnel possui
o gateway padro 2002:836b:2::836b:2, que corresponde ao endereo 6to4 do EDGE1 (131.107.0.2
em notao hexadecimal por ponto-e-vrgula 836b:2). NYC-CL1 usa 6to4 e esse gateway padro
para colocar em tnel o trfego IPv6 para EDGE1.
Resultados: ao fim deste exerccio, voc ter implementado, verificado e testado o DirectAccess
com xito.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
L5-60
L6-61
2.
3.
4.
5.
6.
7.
8.
9.
2.
No painel de navegao, clique com o boto direito do mouse em NPS (Local) e clique em Registrar
servidor no Active Directory.
3.
4.
2.
Em Servidor RADIUS para Conexes Dial-Up ou VPN, clique em Configurar VPN ou Dial-Up.
3.
No Assistente para Configurar VPN ou Dial-Up, clique em Conexes VPN (Rede Virtual Privada),
aceite o nome padro e clique em Avanar.
4.
Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede
5.
Na caixa Nome amigvel da caixa de dilogo Novo Cliente RADIUS, digite NYC-EDGE1 e clique
em Verificar.
6.
7.
Na caixa de dilogo Novo Cliente RADIUS, nas caixas Segredo compartilhado e Confirmar
segredo compartilhado, digite Pa$$w0rd e clique em OK.
8.
9.
L6-62
L6-63
2.
3.
4.
5.
6.
7.
8.
9.
2.
3.
Clique com o boto direito do mouse em NYC-EDGE1 (local) e clique em Configurar e Habilitar
Roteamento e Acesso Remoto.
4.
5.
Na pgina Configurao, clique em Acesso remoto dial-up ou rede virtual privada e clique em
Avanar.
6.
7.
Na pgina Conexo VPN, selecione a interface de rede com o endereo IP 131.107.0.2, 131.107.0.3
e clique em Avanar.
8.
9.
10. Na pgina Gerenciando mltiplos servidores de acesso remoto, selecione Sim, configurar este
servidor para funcionar com um servidor RADIUS e clique em Avanar.
11. Na pgina Seleo de Servidor RADIUS, na caixa Servidor RADIUS principal, digite NYC-DC1
12. Digite Pa$$w0rd na caixa Segredo compartilhado e clique em Avanar.
Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede
2.
3.
4.
No painel de lista, em Contoso.com, clique com o boto direito do mouse em Default Domain
Policy e clique em Editar.
5.
6.
7.
8.
9.
Senha: Pa$$w0rd
Domnio: Contoso
L6-64
L6-65
Resultados: ao fim deste exerccio, voc ter definido as configuraes de certificado apropriadas
para sua soluo VPN.
2.
3.
4.
5.
6.
7.
2.
Na caixa de dilogo Conectar a um Local de Trabalho, selecione a opo Usar minha conexo
com a Internet (VPN). Quando solicitado, selecione Configurarei minha conexo com a Internet
mais tarde.
3.
Na caixa de dilogo Digite o endereo da Internet com o qual se conectar, especifique o endereo
na Internet 131.107.0.2 e o Nome do Destino VPN da Contoso e clique em Avanar.
4.
Na pgina Digite o seu nome de usurio e a senha, deixe o nome de usurio e a senha em branco
e clique em Criar.
5.
6.
7.
Na pgina Conexes de Rede, clique com o boto direito do mouse em VPN da Contoso e clique
em Propriedades.
8.
9.
Na lista Tipo de VPN, select em Protocolo de Tnel de Camada 2 com IPsec (L2TP/IPsec).
Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede
Senha: Pa$$w0rd
Domnio: CONTOSO
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
L6-66
L7-67
2.
No console de gerenciamento certsrv, expanda ContosoCA, clique com o boto direito do mouse em
Modelos de Certificado e selecione Gerenciar no menu de contexto.
3.
No painel de detalhes do Console de Modelos de Certificado, clique com o boto direito do mouse
em Computador e escolha Propriedades no menu de contexto.
4.
5.
Nas Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
6.
2.
b.
c.
d.
e.
Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
f.
g.
h.
i.
j.
k.
3.
4.
5.
b.
c.
Marque a caixa de seleo Servios de Acesso e Diretiva de Rede e clique duas vezes em
Prximo.
d.
e.
f.
b.
c.
d.
Na seleo Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto Firewall
habilitado para todas as conexes de rede.
e.
Expanda Diretivas.
b.
c.
d.
e.
f.
Clique em OK.
g.
h.
i.
j.
k.
Clique em OK.
L7-68
6.
L7-69
b.
c.
Desabilite as duas diretivas padro localizadas em Nome da Diretiva clicando com o boto
direito do mouse nas diretivas e clicando em Desabilitar.
d.
e.
Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexo, em Nome da diretiva, digite
Acesso Total por Compatibilidade e clique em Avanar.
f.
g.
h.
i.
j.
k.
l.
b.
Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexo, em Nome da diretiva, digite
Restrito por Incompatibilidade e clique em Avanar.
c.
d.
e.
f.
g.
i.
j.
k.
l.
Na caixa de dilogo Adicionar filtro IP, marque a caixa de seleo Rede de destino. Digite
10.10.0.10 ao lado do Endereo IP e digite 255.255.255.255 ao lado de Mscara de sub-rede.
Essa etapa assegura que o trfego de clientes incompatveis acesse somente a NYC-DC1.
m. Clique em OK para fechar a caixa de dilogo Adicionar filtro IP e selecione Permitir apenas os
pacotes listados abaixo na caixa de dilogo Filtros de entrada.
8.
n.
o.
p.
Na caixa de dilogo Adicionar filtro IP, marque a caixa de seleo Rede de origem. Digite
10.10.0.10 ao lado do Endereo IP e digite 255.255.255.255 ao lado de Mscara de sub-rede.
q.
Clique em OK para fechar a caixa de dilogo Adicionar filtro IP e selecione Permitir apenas os
pacotes listados abaixo na caixa de dilogo Filtros de sada. Essa etapa assegura que somente
o trfego de NYC-DC1 seja enviado a clientes incompatveis.
r.
s.
t.
b.
c.
d.
e.
Em Tipo de servidor de acesso rede, selecione Remote Access Server(VPN-Dial up) e clique
em Avanar.
f.
g.
Na janela Selecionar Condio, clique duas vezes em Tipo de Tnel, selecione PPTP, SSTP e
L2TP. Clique em OK e em Avanar.
h.
i.
j.
L7-70
L7-71
k.
l.
m. Verifique se a opo Impor Proteo de Acesso Rede est marcada e clique em OK.
n.
9.
2.
No console do Roteamento e Acesso Remoto, clique com o boto direito do mouse em NYCEDGE1 (local) e clique em Configurar e Habilitar Roteamento e Acesso Remoto. O Assistente de
Instalao do Roteamento e Acesso Remoto inicializado.
3.
Clique em Avanar, selecione Acesso remoto Acesso remoto (dial-up ou rede virtual privada e
clique em Avanar).
4.
5.
Clique na interface de rede chamada Public. Desmarque a caixa de seleo Habilitar a segurana na
interface selecionada configurando filtros de pacotes estticos e clique em Avanar. Isso
assegura que NYC-EDGE1 seja capaz de executar ping em NYC-DC1 quando estiver conectado subrede da Internet, sem a necessidade de configurar filtros de pacote adicionais para o trfego por
ICMP.
6.
7.
8.
Na pgina Gerenciando mltiplos servidores de acesso remoto, verifique se a opo No, usar o
Roteamento e acesso remoto para autenticar pedidos de conexo est selecionada e clique em
Avanar.
9.
Clique em Concluir.
10. Clique em OK duas vezes e aguarde at que o servio Roteamento e Acesso Remoto seja iniciado.
11. No Servidor de Diretivas de Rede, clique no n Diretivas de Solicitao de Conexo e desabilite a
Diretiva do Servio de Roteamento e Acesso Remoto da Microsoft. Isso foi criado
automaticamente quando Roteamento e Acesso Remoto foi habilitado.
12. Clique em Diretivas de Solicitao de Conexo e, na pgina de resultados, clique com o boto
direito do mouse em Diretiva do Servio de Roteamento e Acesso Remoto da Microsoft e clique
em Desabilitar.
13. Feche o console de gerenciamento do Servidor de Diretivas de Rede.
14. Feche o Roteamento e Acesso Remoto.
2.
Clique em Regras de Entrada, clique com o boto direito do mouse em Regras de Entrada e clique
em Nova Regra.
3.
4.
5.
6.
Selecione Tipos especficos de ICMP, marque a caixa de seleo Solicitao de Eco, clique em OK e
em Avanar.
7.
8.
Na janela Ao, verifique se a opo Permitir a conexo est selecionada e clique em Avanar.
9.
10. Na janela Nome, em Nome, digite Solicitao de eco ICMPv4 e clique em Concluir.
11. Feche o console do Firewall do Windows com Segurana Avanada.
Resultados: ao fim deste exerccio, voc ter configurado e habilitado um esquema de NAP
imposto pela VPN.
L7-72
L7-73
2.
b.
c.
d.
Clique duas vezes em Ativar a Central de Segurana (PCs em domnios somente), clique em
Habilitado e em OK.
e.
2.
b.
c.
d.
e.
b.
c.
d.
e.
f.
b.
c.
d.
2.
e.
f.
Clique em Usar o seguinte endereo IP. Ao lado de Endereo IP, digite 131.107.0.20. Ao lado
de Mscara de sub-rede, digite 255.255.0.0. No configure o Gateway padro.
g.
h.
i.
b.
c.
d.
e.
b.
c.
d.
e.
Na pgina Como deseja se conectar, clique em Usar minha conexo com a Internet (VPN).
f.
g.
h.
Na pgina Digite o seu nome de usurio e a senha, digite administrador ao lado de Nome de
usurio e digite Pa$$w0rd ao lado de Senha. Marque a caixa de seleo Lembrar esta senha,
digite Contoso ao lado de Domnio (opcional) e clique em Criar.
i.
j.
k.
Clique com o boto direito do mouse na conexo VPN da Contoso, clique em Propriedades e
na guia Segurana.
l.
L7-74
L7-75
a. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN da Contoso
e clique em Conectar.
3.
4.
b.
c.
Voc ver uma janela Alerta de Segurana do Windows na primeira vez que essa conexo VPN
for usada. Clique em Detalhes e verifique se Informaes de Certificado declara que o
certificado foi emitido para NYC-EDGE1.Contoso.com pela ContosoCA. Clique em Conectar.
d.
Espere a conexo VPN ser estabelecida. Como a NYC-CL1 compatvel, ela dever ter acesso
ilimitado sub-rede da Intranet.
e.
f.
g.
Na janela Prompt de Comando, digite ping 10.10.0.10 e pressione ENTER. Isso deve ocorrer com
xito. Agora o cliente atende ao requisito da conectividade total VPN.
h.
b.
c.
d.
Na seleo Windows 7/Windows Vista, marque a caixa de seleo Aplicativo antivrus ativo e
clique em OK.
Em NYC-CL1, na janela Conexes de Rede, clique com o boto direito do mouse na VPN da
Contoso e clique em Conectar.
b.
Clique em Conectar.
c.
Espere a conexo VPN ser estabelecida. Verifique se uma mensagem exibida na Central de
Aes informando que o computador no atende aos padres de segurana.
d.
e.
f.
Resultados: ao fim deste exerccio, voc ter habilitado e configurado uma diretiva de imposio
de NAP da VPN para a Contoso.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
L7-76