10221B-PTB TrainerHandbook Part1

M I C R O S O F T
10221B
L E A R N I N G
P R O D U C T
Configurao e soluo de problemas

de uma infraestrutura de rede do
Windows Server 2008
Volume 1
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
O F F I C I A L
Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008
As informaes includas neste documento, inclusive URLs e referncias a outros sites na Internet, podem
ser alteradas sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, aplicativos de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um acordo de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links para sua convenincia e a incluso de tais links no implica endosso da Microsoft do site ou de
outros produtos l contidos.
2011 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em HYPERLINK
http://www.microsoft.com/about/legal/en/us/IntellectualProperty/Trademarks/EN-US.aspx
http://www.microsoft.com/about/legal/en/us/IntellectualProperty
/Trademarks/EN-US.aspx (em ingls)
so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas pertencem aos
respectivos proprietrios.
Nmero do produto: 10221B

Pea nmero: X17-97174
Lanamento: 12/2011
ii
iii
iv
vi
vii
viii
ix
Agradecimentos
xi
A Microsoft Learning gostaria de reconhecer e agradecer s pessoas listadas a seguir pela sua colaborao
no desenvolvimento deste ttulo. O esforo dessas pessoas nos diversos estgios do desenvolvimento
assegurou a voc uma boa experincia em sala de aula.
Andrew J. Warren Especialista
Andrew Warren (MCSE, MCITP e MCT) tem mais de 22 anos de experincia na indstria de TI,
muitos dos quais foram gastos escrevendo e ensinando. Ele o especialista para o curso 6430B para o
Windows Server 2008 e o lder tcnico em inmeros outros cursos. Ele tambm est envolvido nas sesses
do TechNet no Microsoft Exchange Server 2007. Baseado no Reino Unido, ele tem sua prpria empresa
de consultoria, treinamento e educao em TI.
Byron Wright Especialista no assunto

Byron Wright um parceiro em uma empresa de consultoria, onde presta consultoria de rede,
implementao de sistemas de computadores e treinamento tcnico. Byron tambm um instrutor
acadmico da Asper School of Business na Universidade de Manitoba, onde ensina sistemas
de informaes de gerenciamento e rede. Byron autor e coautor de vrios livros sobre servidores
Windows, Windows Vista e Exchange Server, inclusive do Kit de Recursos do Active Directory do
Windows Server 2008.
Joseph Davies Revisor tcnico
Joe Davies um dos principais escritores do grupo Windows Server Information Experience (WS iX) na
Microsoft. Ele d aulas e escreve sobre sistemas de redes do Windows desde 1992. Ele escreveu inmeros
contedo para treinamentos internos, documentao do produto, white papers, a coluna The Cable Guy
para TechNet e a TechNet Magazine, alm de oito livros da Microsoft Press, incluindo Redes e NAP
(Proteo de Acesso Rede) do Windows Server 2008 o Melhor de Entendendo o IPv6.
Contedo
Mdulo 1: Planejamento e configurao do IPv4
Lio 1: Planejamento de uma infraestrutura de rede IPv4
Lio 2: Viso geral de servios de resoluo de nomes em uma
infraestrutura de rede IPv4
Lio 3: Configurao e soluo de problemas do IPv4
Laboratrio: Planejamento e configurao do IPv4
1-3
1-8
1-15
1-26
Mdulo 2: Configurao e soluo de problemas de DHCP

Lio 1: Viso geral da funo Servidor DHCP
Lio 2: Configurao de escopos DHCP
Lio 3: Configurao de opes DHCP
Lio 4: Gerenciamento de um banco de dados DHCP
Lio 5: Monitoramento e soluo de problemas da DHCP
Lio 6: Configurao da segurana de DHCP
Laboratrio: Configurao e soluo de problemas
da funo Servidor DHCP
2-3
2-11
2-18
2-24
2-35
2-43
2-47
Mdulo 3: Configurao e soluo de problemas de DNS

Lio 1: Instalao da funo Servidor DNS
Lio 2: Configurao da funo Servidor DNS
Lio 3: Configurao de zonas DNS
Lio 4: Configurao de transferncias de zona DNS
Lio 5: Gerenciamento e soluo de problemas de DNS
Laboratrio: Configurao e soluo de problemas de DNS
3-3
3-14
3-25
3-34
3-39
3-52
Mdulo 4: Configurao e soluo de problemas de TCP/IP IPv6

Lio 1: Viso geral do IPv6
Lio 2: Endereamento IPv6
Lio 3: Coexistncia com o IPv6
Lio 4: Tecnologias de transio do IPv6
Laboratrio A: Configurao de um roteador ISATAP
Lio 5: Transio do IPv4 para o IPv6
Laboratrio B: Converso da rede em IPv6 nativo
4-3
4-12
4-22
4-28
4-35
4-41
4-46
xii
Mdulo 5: Configurao e soluo de problemas de Roteamento e Acesso Remoto

Lio 1: Configurao do acesso rede
Lio 2: Configurao do acesso VPN
Lio 3: Viso geral das diretivas de rede
Lio 4: Viso geral do Kit de Administrao do Gerenciador de Conexes
Lio 5: Soluo de problemas de Roteamento e Acesso Remoto
Laboratrio A: Configurao e gerenciamento do acesso rede
Lio 6: Configurao do DirectAccess
Laboratrio B: Configurao e gerenciamento do DirectAccess
5-3
5-13
5-25
5-31
5-36
5-48
5-56
5-72
Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo

Servidor de Diretivas de Rede
Lio 1: Instalao e configurao de um Servidor de Diretivas de Rede
Lio 2: Configurao de clientes e servidores RADIUS
Lio 3: Mtodos de autenticao do NPS
Lio 4: Monitoramento e soluo de problemas de um Servidor
de Diretivas de Rede
Laboratrio: Configurao e gerenciamento do Servidor de
Diretivas de Rede
6-3
6-10
6-20
6-29
6-38
Mdulo 7: Implementao da Proteo de Acesso Rede

Lio 1: Viso geral da Proteo de Acesso Rede
Lio 2: Funcionamento da NAP
Lio 3: Configurao da NAP
Lio 4: Monitoramento e soluo de problemas da NAP
Laboratrio: Implementao da NAP em uma soluo de
acesso remoto VPN
7-3
7-12
7-20
7-28
7-35
14-27
Respostas do laboratrio
Mdulo 1, Laboratrio: Planejamento e configurao do IPv4
Mdulo 2, Laboratrio: Configurao e soluo de problemas
da funo Servidor DHCP
Mdulo 3, Laboratrio: Configurao e soluo de problemas de DNS
Mdulo 4, Laboratrio A: Configurao de um roteador ISATAP
Mdulo 4, Laboratrio B: Converso da rede em IPv6 nativo
Mdulo 5, Laboratrio A: Configurao e gerenciamento
do acesso rede
Mdulo 5, Laboratrio B: Configurao e gerenciamento do DirectAccess
Mdulo 6, Laboratrio: Configurao e gerenciamento do
Mdulo 7, Laboratrio: Implementao da NAP em uma
soluo de acesso remoto VPN
L1-1
L2-9
L3-17
L4-25
L4-31
L5-35
L5-42
L6-61
L7-67
xiii
Sobre este curso
Esta seo apresenta uma breve descrio do curso, do pblico-alvo, dos pr-requisitos sugeridos e dos
seus objetivos.
Descrio do curso
Sobre este curso
xv
O propsito deste curso de cinco dias fornecer o conhecimento e as habilidades necessrios para
configurar infraestrutura de rede do Windows Server 2008 e Windows Server 2008 R2 Sp1, bem como
para resolver os problemas relacionados. Ele abordar as tecnologias de rede mais frequentemente
usadas com o Windows Server 2008 e o Windows Server 2008 R2 Sp1, como DNS, DHCP, endereamento
de rede IPv4 e IPv6, servidor de Diretivas de Rede e Proteo de Acesso Rede, bem como a configurao
do acesso seguro rede. O curso tambm abordar as tecnologias de armazenamento de tolerncia a
falhas, o Armazenamento de Rede e o acesso remoto e de roteamento, alm de outras tecnologias
relevantes.
Depois de conclurem este curso, os alunos sero capazes de configurar e solucionar problemas das
infraestruturas de rede do Windows Server 2008 e do Windows Server 2008 R2 Sp1.
Pblico-alvo
Este curso ser interessante e til aos participantes com diferentes experincias e aspiraes de carreira.
Ele ser interessante aos administradores de rede que atualmente esto trabalhando, ou que trabalharo,
com os servidores Windows Server 2008. Ele tambm ser interessante e til aos especialistas em
tecnologia do Active Directory que aspiram o cargo de administradores corporativos (operaes de rede
dirias da camada 4) ou aos administradores de servidores experientes que aspiram o cargo de
administradores corporativos.
Esse curso tambm ser til aos administradores de rede da rea de armazenamento que precisam
entender essas informaes para implantar ou ampliar
a respectiva infraestrutura de armazenamento atual e aos gerentes de operaes que precisam dessas
informaes para oferecer suporte
aos esforos de soluo de problemas e s decises de negcios.
Pr-requisitos do aluno
Este curso exige que voc atenda aos seguintes pr-requisitos:
Conhecimento intermedirio dos sistemas operacionais Windows. Voc deve ter uma
compreenso de nvel intermedirio do Windows Server 2003, Windows Server 2008 ou
Windows Server 2008 R2 e dos sistemas operacionais do cliente Windows, como o Windows Vista ou
o Windows 7. O conhecimento de sistemas operacionais cliente equivalente aos certificados abaixo
seria til.
Exame 70-680: TS: Windows 7, Configurao
ou
Exame 70-620: TS: Windows Vista, Configurao
Conhecimento bsico de rede. Voc deve entender como o TCP/IP funciona e ter uma noo bsica
sobre endereamento, resoluo de nomes (DNS [Sistema de Nomes de Domnio]/WINS [Servio de
Cadastramento na Internet do Windows]), mtodos de conexo (com fio, sem fio, VPN [rede virtual
privada]) e NET+ ou conhecimento equivalente.
Sobre este curso
Um conhecimento de prticas recomendadas de segurana Voc deve entender as permisses do

sistema de arquivos, os mtodos de autenticao, a estao de trabalho, os mtodos de proteo de
servidor, etc.
O nvel mnimo de conhecimento exigido nos trs itens acima, com exceo da experincia com o
cliente, pode ser atendido se voc tiver conhecimento equivalente do curso do MOC6420B: Conceitos
bsicos do Windows Server 2008 ou se obtiver as certificaes MAT (Microsoft Technology Associate)
listadas abaixo.
98-365: Conceitos bsicos do Windows Server
98-366: Conceitos bsicos de rede
98-367: Conceitos bsicos de segurana
O conhecimento bsico do Active Directory tambm seria til.
Objetivos do curso
Depois de concluir este curso, os alunos sero capazes de:
Planejar e configurar uma infraestrutura de rede IPv4.
Implementar o DHCP na respectiva organizao.
Configurar o DNS e solucionar seus problemas.
Configurar e fazer a transao para o IPv6, bem como solucionar problemas relacionados.
Configurar o roteamento e acesso remoto e solucionar problemas relacionados.
Instalar e configurar o servio de funo Servidor de Diretivas de Rede, bem como solucionar
problemas relacionados.
Implementar a Proteo de Acesso Rede.
Implementar os recursos de segurana para ajudar a aumentar a segurana do Windows Server 2008
e no Windows Server 2008 R2 Sp1.
Implementar os recursos de segurana no Windows Server que ajudam a proteger as comunicaes

de rede.
Configurar os servios de arquivo e impresso e solucionar problemas relacionados.
Habilitar e configurar servios para otimizar o acesso aos dados da filial.
Controlar e monitorar o armazenamento de rede.
Recuperar dados nos servidores Windows Server 2008 e Windows Server 2008 R2 Sp1.
Monitorar os servios de infraestrutura de rede do Windows Server 2008 e

Windows Server 2008 R2 Sp1.
xvi
xvii
Descrio do curso
Esta seo fornece um resumo do curso:
Mdulo 1: Planejamento e configurao do IPv4. Para implantar e configurar servios de rede na sua
organizao, importante entender os conceitos bsicos que fundamentam muitos desses servios. Este
mdulo explica como implantar um esquema de endereamento IPv4, a determinar quais servios de
nome devem ser implantados e a solucionar problemas relacionadas rede.
Mdulo 2: Configurao e soluo de problemas de DHCP. O protocolo DHCP tem uma importante
funo na infraestrutura do Windows Server 2008 R2. Ele o principal meio de distribuio de
importantes informaes sobre configurao de rede para os clientes da rede, alm de fornecer
informaes sobre configurao a outros servios habilitados para rede, incluindo WDS (Servios de
Implantao do Windows) e NAP (Proteo de Acesso Rede). Para oferecer suporte e solucionar
problemas de uma infraestrutura de rede baseada no Windows Server, importante entender como
implantar e configurar a funo Servidor DHCP, bem como solucionar seus problemas.
Mdulo 3: Configurao e soluo de problemas de DNS. O DNS (Sistema de Nomes de Domnio) o
servio de nomes bsico no Windows Server 2008 R2. essencial que voc entenda como implantar,
configurar e gerenciar esse importante servio, bem como resolver os problemas relacionados.
Sobre este curso
Mdulo 4: Configurao e soluo de problemas de TCP/IP IPv6. O IPv6 uma tecnologia que ajudar a
garantir que a Internet possa oferecer suporte a uma base crescente de usurios e ao nmero cada vez
maior de dispositivos habilitados para IP. O atual protocolo IPv4 tem atuado como o protocolo de
Internet subjacente por quase 30 anos. Sua robustez, escalabilidade e o conjunto limitado de recursos
enfrentam agora o desafio da crescente necessidade por novos endereos IP, devido, em grande parte,
ao crescimento rpido dos novos dispositivos com reconhecimento de rede.
Mdulo 5: Configurao e soluo de problemas de Roteamento e Acesso Remoto. Para oferecer suporte
fora de trabalho distribuda da organizao, voc deve estar familiarizado com as tecnologias que
permitem aos usurios remotos se conectar infraestrutura de rede da sua organizao. Essas tecnologias
incluem as VPNs (redes virtuais privadas) e o DirectAccess. importante que voc entenda como
configurar e proteger os clientes de acesso remoto usando as diretivas de rede. Este mdulo explora essas
tecnologias de acesso remoto.
Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de

Rede. O NPS fornece suporte ao protocolo RADIUS e pode ser configurado como um proxy ou servidor
RADIUS. Alm disso, o NPS fornece funcionalidade essencial implementao da NAP (Proteo de
Acesso Rede). Para oferecer suporte a clientes remotos e implementar a NAP, importante saber como
instalar e configurar o NPS, bem como solucionar problemas relacionados.
Mdulo 7: Implementao da Proteo de Acesso Rede. A NAP (Proteo de Acesso Rede) permite
criar diretivas personalizadas de requisitos de integridade para validar a integridade do computador antes
de permitir o acesso ou a comunicao. A NAP tambm atualiza automaticamente os computadores
compatveis para garantir a conformidade contnua e limitar o acesso de computadores incompatveis a
uma rede restrita at que se tornem compatveis.
Mdulo 8: Aumento da segurana dos Windows Servers. Segurana uma questo essencial quando se
trata de rede com o Windows Server 2008. Nenhum sistema sempre totalmente seguro, mas voc pode
implementar vrios mtodos para aumentar a segurana. O Firewall do Windows com Segurana
Avanada um dos recursos do Windows Server 2008 usado para aumentar segurana. Tambm
possvel usar o Windows Server Update Services para garantir que as atualizaes de segurana aprovadas
sejam aplicadas aos servidores na hora certa.
Sobre este curso
Mdulo 9: Aumento da segurana para comunicao de rede. O IPsec uma estrutura de padres
abertos para a proteo de comunicaes em redes IP atravs de servios de segurana criptogrficos.
O IPsec oferece suporte autenticao no mesmo nvel na rede, autenticao da origem dos dados,
integridade dos dados, confidencialidade dos dados (criptografia) e proteo contra repetio.
A implementao do Microsoft IPsec baseia-se em padres que o grupo de trabalho IETF (Internet
Engineering Task Force) desenvolveu. Para ajudar a aumentar a segurana nas comunicaes de rede
da sua organizao, importante que voc entenda como implementar e configurar o IPsec, e como
solucionar problemas relacionados.
Mdulo 10: Configurao e soluo de problemas de servios de arquivo e impresso de rede.
Os servios de arquivo e impresso so alguns dos servios de rede mais frequentemente implementados
para os usurios finais. Diferentemente do servios de infraestrutura como o DNS, os servios de arquivo e
impresso so de alta visibilidade para os usurios finais. Voc precisa entender como configurar esse
servios e a solucionar seus problemas para fornecer um servio de alta qualidade aos usurios finais.
Alm de servios bsicos de arquivo e impresso, o EFS e o BitLocker podem ser usados para aumentar a
segurana dos arquivos que esto localizados nos compartilhamentos de arquivos.
Mdulo 11: Otimizao do acesso aos dados para filiais. Muitas organizaes mantm um nmero
grande de recursos de arquivo que precisam estar organizados e altamente disponveis aos usurios.
Esses recursos de arquivo geralmente so armazenados em servidores e fornecidos a usurios que esto
distribudos geograficamente em diversos locais.
Nesta situao, voc precisa encontrar uma soluo eficiente para ajudar os usurios a localizarem
rapidamente os arquivos mais recentes. O gerenciamento de vrios locais de dados, muitas vezes,
apresenta mais desafios, como limitar o trfego de rede em conexes lentas da rede de longa distncia
(WAN), assegurando a disponibilidade de arquivos durante as falhas da WAN ou do servidor e fazendo
backup de servidores de arquivos localizados em escritrios remotos menores.
Mdulo 12: Controle e monitoramento do armazenamento de rede. O armazenamento de rede para
usurios um recurso limitado que deve ser gerenciado corretamente para garantir sua disponibilidade
a todos os usurios. Se o armazenamento de rede no for monitorado e gerenciado, ele poder ser
preenchido com dados irrelevantes, como msicas ou filmes pessoais. Os dados irrelevantes aumentam
os custos de armazenamento de rede e, alguns casos, pode impedir que dados teis sejam guardados.
O FSRM (Gerenciador de Recursos de Servidor de Arquivos) pode ser usado para monitorar e gerenciar
o armazenamento de rede.
Mdulo 13: Recuperao de servidores e dados de rede. Existem vrios cenrios em que os dados de
uma rede ou um servidor que fornece servios de rede podem ser perdidos. As cpias de sombra de
volume podem ser usadas para restaurar verses anteriores dos arquivos quando um arquivo excludo
ou modificado acidentalmente em um computador que est executando o Windows Server 2008.
O Backup do Windows Server pode ser usado para fazer backup e restaurar arquivos de dados ou um
servidor inteiro.
Mdulo 14: Monitoramento dos servidores da infraestrutura de rede do Windows Server 2008. Quando
houver uma falha do sistema ou um evento que afete o desempenho do sistema, voc precisar reparar
ou resolver o problema de maneira rpida e eficiente. Com tantas variveis e possibilidades no ambiente
de rede moderno, para poder determinar a causa principal rapidamente, muitas vezes preciso ter um
conjunto de ferramentas e uma metodologia de monitoramento de desempenho eficientes.
As ferramentas de monitoramento de desempenho so usadas para identificar os componentes que
exigem soluo de problemas e ajustes adicionais. Ao identificar os componentes que exigem ajuste
adicional, voc pode melhorar a eficincia de seus servidores.
xviii
Sobre este curso
xix
Mapeamento do exame/curso
Este curso, 10221B: Configurao e soluo de problemas de uma infraestrutura de rede do
Windows Server 2008, tem um mapeamento direto de seu contedo parao domnio objetivo para o
exame 70-642 da Microsoft: TS: Configurao da infraestrutura de rede do Windows Server 2008.
A tabela abaixo fornecida como uma ajuda de estudo que o ajudar na preparao para este exame e
para mostrar a voc como os objetivos do exame e o contedo do curso so integrados. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao Os objetivos deste exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us#tab2
(em ingls).
Contedo
Laboratrios
Domnio do objetivo do exame
Mdulo
Lio
Configurao de endereamento e servios

Configurar o endereamento IPv4 e IPv6
Mdulo 1
Lies
1/2/3
Ex 1/2
Mdulo 4
Lies
1/2/3
Laboratrio A
Ex 1/2
Configurar o protocolo DHCP
Mdulo 2
Lies
1a6
Ex 1 a 5
Configurar roteamento
Mdulo 1
Lies 3
Ex 2
Mdulo 4
Lio
1/2/3/4
Laboratrio A
Ex 1/2
Mdulo 5
Lio
1/2/5
Laboratrio A
Ex 1
Mdulo 8
Lio 2
Ex 1
Mdulo 9
Lio
1/2/4
Ex 2/3
Mdulo 3
Lio 1/2
Ex 1/2
Configurar zonas DNS
Mdulo 3
Lio
1/3/4
Ex 1/2
Configurar registros DNS
Mdulo 3
Lio 1/2
Ex 3
Configurar a replicao DNS
Mdulo 3
Lio
1/3/4
Configurar resoluo de nome para computadores cliente
Mdulo 3
Lio
1/2/5/
Configurar o Firewall do Windows com Segurana

Avanada
Configurao da resoluo de nomes

Configurar um servidor Domain Name System (DNS,
sistema de nomes de domnio)
Exerccio
Ex 3
Sobre este curso
(continuao)
Contedo
Domnio do objetivo do exame
Configurao do acesso rede
Configure o acesso remoto
Mdulo
Laboratrios
Lio
Exerccio
Mdulo 5
Lio
1/2/3/5
Ex 1/2
Mdulo 6
Lio
1/2/3
Ex 2
Mdulo 7
Lies
1/2/3/4
Ex 1/2
Mdulo 9
Lio
1/2/3/4
Configurar o DirectAccess
Mdulo 5
Lio 6
Laboratrio B
Ex 1/2/3/4/5
Configurar o NPS (Servidor de Polticas de Rede)
Mdulo 6
Lies
1/2/3/4
Ex 1/2/3/4
Configurando servios de arquivos e impresso

Configurar um servidor de arquivos
Mdulo 10
Lies
1/2/3
Ex 1/2
Mdulo 11
Lies
1/2/4
Configure um DFS (Sistema de Arquivos Distribudo)
Mdulo 11
Lio
2/3/4
Laboratrio A
Ex 1/2/3
Configurar backup e restaurao
Mdulo 13
Lies
1/2
Ex 1/2
Gerenciar recursos de servidor de arquivos
Mdulo 12
Lies
1/2/3
Ex 1/2/3
Configurar e monitorar servios de impresso
Mdulo 10
Lio 4
Ex 3
Lio 3
Ex 2
Configurar a NAP (Proteo de Acesso Rede).
Monitoramento e gerenciamento de infraestrutura de rede

Definindo as configuraes de WSUS (Windows Server
Mdulo 8
Update Services)
Configurar o monitor de desempenho
Mdulo 14
Lio
1/2
Ex 1/2/3
Configurao de log de eventos
Mdulo 14
Lies
1/3
Ex 3
Coletar dados de rede
Mdulo 1
Lio 3
Ex 2
Mdulo 9
Lio 4
Importante Realizar este curso sozinho no o preparar para passar em nenhum exame
de certificao associado.
xx
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Sobre este curso
xxi
Mnimo de vivncia de 1 a 2 anos no mundo real, experincia prtica configurando e implementando

uma infraestrutura de rede do Windows Server 2008
Estudo adicional fora do contedo neste manual
H recursos de estudo adicional e preparao, como testes prticos, disponveis para voc se preparar
para este exame. Os detalhes destes recursos esto disponveis na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us#tab3 (em ingls)
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo do
pblico-alvo para este exame est disponvel na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us#tab1 (em ingls)
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
Sobre este curso
Material do curso
Os seguintes materiais foram includos no seu kit:
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Lies: Orientam voc pelos objetivos de aprendizagem e fornecem os pontos-chave que so

essenciais para o xito da experincia de aprendizagem em sala de aula.
Laboratrios: oferecem uma plataforma prtica real para que voc possa aplicar o
conhecimento e as habilidades aprendidas no mdulo.
Revises e informaes complementares dos mdulos: contm material de referncia prtica

aperfeioado para promover o conhecimento e a reteno de habilidades.
Chaves de resposta do laboratrio: fornecem orientao conveniente passo a passo sobre as

solues de laboratrio sempre que necessrio.
Contedo complementar do curso no site http://www.microsoft.com/learning/companionmoc/

(em ingls): Contedo digital pesquisvel e de fcil navegao com recursos online premium integrados
desenvolvidos para complementar o Manual do curso.
Mdulos: incluem contedo complementar, como perguntas e respostas, etapas detalhadas de

demonstrao e links de leituras adicionais, para cada lio. Alm disso, eles incluem perguntas e
respostas da Reviso do laboratrio, bem como sees de Revises e informaes complementares,
que contm as perguntas e respostas da reviso, prticas recomendadas, problemas comuns e dicas
de soluo de problemas com respostas, alm de cenrios e problemas reais com respostas.
Recursos: incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
premium mais atualizado do TechNet, MSDN e Microsoft Press.
Arquivos do Curso para o aluno no site http://www.microsoft.com/learning/companionmoc/

(em ingls): incluem o Allfiles.exe, um arquivo executvel autoextravel que contm todos os arquivos
necessrios para os laboratrios e as demonstraes.
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
xxii
Sobre este curso
xxiii
Ambiente de mquina virtual
Esta seo contm as informaes de configurao do ambiente de sala de aula para oferecer suporte ao
cenrio corporativo do curso.
Configurao da mquina virtual

Neste curso, voc usar o Microsoft Virtual Server 2005 R2 com SP1 para executar os laboratrios. Neste
curso, voc usar o Microsoft Hyper-V implantado no Windows Server 2008 para executar os
laboratrios.
Importante: Antes de iniciar as mquinas virtuais pela primeira vez, voc dever criar um instantneo
StartingImage para cada mquina virtual. Ao final de cada laboratrio, feche a mquina virtual e
reverta para o instantneo StartingImage. Para reverter uma mquina virtual para o instantneo
StartingImage, execute estas etapas:
1. No Gerenciador Hyper-V, no painel Instantneos, clique com o boto direito no instantneo
StartingImage e clique em Aplicar.
2. Na caixa de dilogo Aplicar Instantneo, clique em Aplicar.
ao final de cada laboratrio, feche a mquina virtual e no salve nenhuma alterao, porque elas
sero usadas novamente nos mdulos subsequentes. As etapas para isso so includas nas etapas de
laboratrio em cada mdulo.
A tabela abaixo mostra a funo de cada mquina virtual usada neste curso:
Mquina virtual
Funo
10221B-LON-DC1
Controlador de domnio no domnio Contoso.com
10221B-LON-CL1
Computador Windows 7 no domnio Contoso.com
10221B-LON-CL2
Computador Windows 7 no domnio Contoso.com
10221B-LON-SVR1
Servidor Windows Server 2008 R2, membro do domnio Contoso.com
10221B-LON-SVR2
10221B-LON-RTR
Servidor Windows Server 2008 R2, membro de grupo de trabalho com

roteamento habilitado
10221B-LON-EDGE1
10221B-INET1
Servidor Windows Server 2008 R2, membro do grupo de trabalho
Configurao de software
Os seguintes itens de software esto instalados dentro das mquinas virtuais:
Windows Server 2008 R2 Enterprise
Windows 7
Arquivos do curso
H arquivos associados aos laboratrios neste curso. Os arquivos de laboratrio esto localizados na pasta
<pasta_de_instalao>\Labfiles\LabXX nos computadores dos alunos.
Sobre este curso
Configurao da sala de aula

Cada computador da sala de aula ter a mesma mquina virtual configurada da mesma forma.
Nvel de hardware do curso

Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais o curso Official Microsoft Learning Product
ensinado. A definio de nvel 6 de hardware de aprendizado da MS necessria para os laboratrios
neste curso, com RAM adicional especificada; os detalhes especficos so includos aqui abaixo:
Processador Intel VT (Intel Virtualization Technology) ou AMD-V (AMD Virtualization)
Discos rgidos duais 7200 RM SATA de 120 GB ou superior*
4 GB RAM
Unidade de DVD.
Adaptador de rede
Monitor Super VGA (SVGA) de 17 polegadas
Mouse Microsoft ou dispositivo apontador compatvel
Placa de som com alto-falantes amplificados
*Distribudo
xxiv
1-1
Mdulo 1
Planejamento e configurao do IPv4
Contedo:
Lio 1. Planejamento de uma infraestrutura de rede IPv4
Lio 2. Viso geral de servios de resoluo de nomes em uma
1-3
1-8
Lio 3. Configurao e soluo de problemas do IPv4
1-15
Lio 4. Laboratrio: Planejamento e configurao do IPv4
1-26
Viso geral do mdulo
Para implantar e configurar servios de rede na sua organizao, importante entender os conceitos
bsicos que fundamentam muitos desses servios. Neste mdulo, voc aprender a implantar um
esquema de endereamento IPv4, a determinar quais servios de nome devem ser implantados e a
solucionar problemas relacionadas rede.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Planejar um esquema de endereamento IPv4.
Determinar quais servios de nome preciso implantar.
Configurar e solucionar problemas de uma rede IPv4.
1-2
1-3
Lio 1
Planejamento de uma infraestrutura de rede IPv4
Para implementar corretamente os servios de rede, voc deve conhecer o endereamento IPv4 de uma
maneira completa. Com um bom conhecimento do endereamento IPv4, voc pode tomar decises
apropriadas quanto configurao e ao posicionamento de servidores de rede na infraestrutura IPv4.
Objetivos
Ao concluir esta lio, voc ser capaz de:
Descrever uma sub-rede IPv4.
Planejar um esquema de endereamento IPv4.
Selecionar um esquema de endereamento IPv4 adequado.
O que uma sub-rede IPv4?
Uma sub-rede o segmento fsico de uma rede separado do restante da rede por um ou mais roteadores.
Quando seu ISP (provedor de servios de Internet) atribui sua rede a um intervalo de endereos,
geralmente, voc deve subdividir o intervalo para corresponder ao layout fsico da sua rede; em outra
palavras, voc subdivide uma grande rede em sub-redes lgicas.
Observao Muitas organizaes usam endereos IP privados em suas redes, deixando os
endereos pblicos apenas para computadores que se conectam Internet.
Ao subdividir uma rede em sub-redes, voc cria uma ID exclusiva para cada sub-rede, que derivada da
ID de rede principal. Para criar sub-redes, preciso alocar alguns bits na ID do host para a ID da rede, o
que permite criar mais redes.
O uso das sub-redes permite a execuo das seguintes tarefas:
Usar uma nica rede de Classe A, B ou C em vrios locais fsicos.

Classe
Primeiro
octeto
Mscara de sub-rede
padro
Nmero de redes
Nmero de hosts
por rede
1-127
255.0.0.0
126
16,777,214
128-191
255.255.0.0
16,384
65,534
192-223
255.255.255.0
2,097,152
254
Reduzir o congestionamento da rede segmentando o trfego e reduzindo as difuses em cada

segmento.
Uma mscara de sub-rede especifica qual parte de um endereo IPv4 a ID de rede e qual parte a ID
do host. Uma mscara de sub-rede possui quatro octetos, semelhante a um endereo IPv4.
1-4
1-5
Em redes IPv4 simples, a mscara de sub-rede define octetos completos como parte da ID de rede e da ID
do host. Um 255 representa um octeto que faz parte da ID de rede, e um 0 representa um octeto que faz
parte da ID do host.
Em redes complexas, voc pode subdividir um octeto com alguns bits que so para a ID de rede e alguns
para a ID de host. O endereamento sem classificao ou CIDR (Roteamento entre Domnios sem
Classificao) quando voc usa mais ou menos que um octeto inteiro para criao de uma sub-rede Esse
tipo de criao de sub-rede usa uma notao diferente, conforme mostrado no exemplo a seguir.
172.16.16.1/255.255.240.0
O exemplo a seguir mostra a representao mais comum de endereamento IPv4 sem classificao.
172.16.16.1/20
O /20 representa quantos bits de sub-rede esto na mscara e essa notao VLSM (Mscara de
Sub-rede de Comprimento Varivel); isso tambm conhecido como notao de comprimento do
prefixo de rede.
Os endereos IP privados geralmente so usados para LANs (rede locais). Esses intervalos de endereo IP
privado no so roteados na Internet global. Uma organizao que precisa de um espao de endereo
privado pode usar esses endereos sem aprovao de um ISP.
Os intervalos de endereo privado so mostrados na tabela a seguir.
Classe
Mscara
Intervalo
10.0.0.0/8
10.0.0.0-10.255.255.255
172.16.0.0/12
172.16.0.0-172.31.255.255
192.168.0.0/16
192.168.0.0-192.168.255.255
Leitura adicional
Para obter mais informaes, consulte Alocao de Endereo para Internets Privadas,
em http://go.microsoft.com/fwlink/?LinkId=163880&clcid=0x409 (em ingls).
Planejamento de um esquema de endereamento IPv4
A seleo de um esquema de endereamento adequado para sua organizao inclui as seguintes tarefas:
Escolher entre usar endereos IPv4 pblicos e privados.
Calcular o nmero de sub-redes necessrias. possvel calcular o nmero de bits de sub-rede

determinando quantos so necessrios em sua rede. Use a frmula 2^n, onde n o nmero de bits.
O resultado deve ser, no mnimo, o nmero de sub-redes exigidas pela sua rede.
Calcular o nmero de hosts em cada sub-rede. Voc pode calcular o nmero de bits de host
necessrios usando a frmula 2^n-2, onde n o nmero de bits.
Selecionar a(s) mscara(s) de sub-rede apropriada(s).
Aps determinar esses fatores, ser preciso executar os seguintes procedimentos:
Calcular as IDs de rede da sub-rede. Para determinar as IDs de rede rapidamente, voc pode usar
o bit de valor mais baixo na mscara de sub-rede. Por exemplo, se voc optar por dividir a rede
172.16.0.0 em sub-redes com a mscara de sub-rede 255.255.0.0 usando trs bits, isso significa usar
255.255.224.0 como a mscara de sub-rede. O decimal 224 11100000 no binrio e o bit mais
baixo definido como 1 tem um valor de 32, de forma que ser o incremento entre cada endereo
de sub-rede.
Determinar o intervalo de endereos de host em cada sub-rede. Voc pode calcular o intervalo de
endereos de host de cada sub-rede usando o seguinte processo: o primeiro host um dgito binrio
mais alto que a ID da sub-rede atual e o ltimo host so dois dgitos binrios mais baixos que a ID da
prxima sub-rede.
Implementar o esquema de endereamento planejado.

Pergunta: qual o endereo de sub-rede para o seguinte host: 192.168.16.17/28?
1-6
Discusso: Seleo de um esquema de endereamento adequado
Pergunta: a Contoso.com implementou o IPv4 em toda a organizao. No momento, ela

est implementando uma nova matriz. O escritrio ter 5.000 computadores que sero
distribudos igualmente entre 10 andares. Qual classe de endereo seria adequada nesse
cenrio?
Pergunta: a anlise do trfego da rede na matriz existente mostra que o nmero mximo
de hosts de cada sub-rede deve estar em torno de 100. Quantas sub-redes so necessrias e,
supondo um endereo de rede 172.16.0.0/16 para todo o local, qual mscara voc deve usar
para garantir suporte suficiente s sub-redes necessrias?
Pergunta: supondo que o endereo de rede para a matriz seja 172.16.0.0/19, qual mscara
voc atribuiria a cada sub-rede?
Pergunta: quantos hosts voc pode ter em cada sub-rede com base na mscara
selecionada?
Pergunta: supondo que voc implemente a mscara que definiu para cada sub-rede, qual
seria o primeiro endereo de sub-rede?
Pergunta: quais so o primeiro e o ltimo endereo de host para a primeira sub-rede?
1-7
Lio 2
Viso geral de servios de resoluo de nomes em uma

A resoluo de nomes fornece a base para muitos servios de rede. Antigamente, os servios de rede da
Microsoft dependiam de dois servios de resoluo de nomes. O servio WINS fornece nomes NetBIOS
para mapeamentos de endereo IP e usado para oferecer suporte a aplicativos NetBIOS herdados.
O DNS (Sistema de Nomes de Domnio) foi amplamente adotado como o padro para resoluo de
nomes em redes IP. Nesta lio, voc ir considerar quais servios de nome provavelmente precisaro ser
implantados na rede da sua organizao para oferecer suporte aos servios de rede implementados.
Objetivos
Descrever a resoluo de nomes.
Descrever o DNS.
Determinar a necessidade do WINS.
1-8
1-9
O que a resoluo de nomes?
A resoluo de nomes o processo de determinar os endereos IP que esto associados aos nomes de
computador. A resoluo de nomes uma parte essencial do sistema de rede de computador, pois os
usurios memorizam com mais facilidade nomes do que nmeros abstratos, como um endereo IPv4.
Os hosts do Windows oferecem suporte a dois tipos de nomes: um nome de host e um nome de NetBIOS.
Nos sistemas operacionais Windows, os aplicativos podem solicitar servios de rede atravs do Windows
Sockets, Kernel do Winsock ou NetBIOS. Se um aplicativo solicitar servios de rede atravs do Windows
Sockets ou do Kernel do Winsock, ele usar nomes de host. Se um aplicativo solicitar servios atravs do
NetBIOS, ele usar um nome NetBIOS.
Observao NetBIOS um protocolo de gerenciamento de sesso usado em verses
anteriores de sistemas operacionais de rede da Microsoft. O Windows 7 e
Windows Server 2008 R2 oferecem suporte para NetBIOS.
Muitos aplicativos atuais, inclusive aplicativos de Internet, usam o Windows Sockets para acessar servios
de rede. Os aplicativos mais recentes desenvolvidos para o Windows 7 e Windows Server 2008 R2 usam o
Kernel do Winsock. Os aplicativos antigos usam NetBIOS.
Processo de resoluo de nomes

O DNS (Sistema de Nomes de Domnio) o padro da Microsoft para resolver nomes de hosts para
endereos IP. Os aplicativos tambm usam o DNS para realizar as seguintes tarefas:
Localizar controladores de domnio e servidores de catlogo global. Isso usado quando voc estiver
fazendo logon no AD DS (Servios de Domnio Active Directory).
Resolver endereos IP para nomes de host. Isso ser til quando um arquivo de log contiver apenas
um endereo IP de host.
Localizar um servidor de email para entrega de email. Isso usado para a entrega de todo o email
da Internet.
O WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes
NetBIOS de uma rede. O suporte ao WINS mantido para fins de compatibilidade com verses anteriores.
Alm de usar o WINS, voc pode resolver os nomes NetBIOS usando os seguintes recursos:
Mensagens de difuso. As mensagens de difuso no funcionam bem em redes grandes porque os

roteadores no propagem difuses.
Arquivo Lmhosts em todos os computadores. O uso de um arquivo Lmhosts para resoluo de

nomes NetBIOS uma soluo que exige muita manuteno, pois preciso manter o arquivo
manualmente em todos os computadores.
Processo de resoluo de nomes de host

Quando um aplicativo especifica um nome de host e usa o Windows Sockets, o TCP/IP usa o cache do
resolvedor de DNS, o DNS e a LLMNR (Resoluo de Nomes Multicast Local de Link) ao tentar resolver o
nome do host. O arquivo de hosts carregado no cache do Resolver de DNS. Se o NetBIOS sobre TCP/IP
estiver habilitado, o TCP/IP tambm usar mtodos de resoluo de nomes NetBIOS ao resolver nomes de
hosts de rtulo nico, no qualificados.
O Windows resolve nomes de hosts executando as aes a seguir:
1.
Verificando se o nome do host igual ao nome do host local.
2.
Pesquisando o cache do Resolvedor de DNS.
3.
Pesquisando o arquivo de hosts.
4.
Enviando uma solicitao DNS a seus servidores DNS configurados.
O Windows resolve nomes de hosts que so de rtulo nico, no qualificados, executando as aes
a seguir:
1.
Usando a LLMNR na sub-rede local.

Observao A LLMNR permite que os hosts em uma rede resolvam os nomes de
computador um do outro sem usar um servidor de nomes e sem depender da difuso.
2.
Convertendo o nome do host em um nome NetBIOS e verificando o cache de nomes NetBIOS local.
3.
Enviando uma solicitao DNS a seus servidores WINS configurados.
4.
Difundindo at trs mensagens de Solicitao de Consulta de Nomes NetBIOS na sub-rede

diretamente conectada.
5.
Pesquisando o arquivo Lmhosts.

Observao possvel exercer controle sobre a ordem precisa usada para resolver nomes.
Por exemplo, se voc desabilitar NetBIOS sobre TCP/IP, nenhum dos mtodos de resoluo
de nomes NetBIOS ser tentado. Como alternativa, voc pode modificar o tipo de n
NetBIOS que resulta em uma alterao na ordem precisa em que so tentados os mtodos
de resoluo de nomes NetBIOS.
1-10
1-11
Resoluo de nomes com DNS
O DNS o padro da Microsoft para resolver nomes de hosts para endereos IP. O DNS um servio que
gerencia a resoluo de nomes de host baseados em FQDN para endereos IP. O TCP/IP identifica os
computadores de origem e de destino pelos respectivos endereos IPv4 ou IPv6. No entanto, como os
usurios de computadores memorizam mais facilmente nomes do que nmeros, nomes comuns ou
amigveis so atribudos ao endereo IP do computador. O tipo de nome mais comum usado um nome
de host.
Quando nomes DNS so resolvidos na Internet, um sistema inteiro de computadores usado em vez de
apenas um nico servidor. H 13 servidores raiz na Internet que so responsveis por gerenciar a
estrutura global de resoluo DNS. Ao registrar um nome de domnio na Internet, voc est pagando
pelo privilgio de fazer parte desse sistema.
O processo de resoluo de nomes do nome www.microsoft.com/pt/br/ :
1.
Uma estao de trabalho na Internet consulta o respectivo servidor DNS configurado para obter o
endereo IP de www.microsoft.com/pt/br/.
2.
Se o servidor DNS configurado no tiver as informaes, ele consultar um servidor DNS raiz para
obter o local dos servidores DNS .com.
3.
O servidor DNS local consulta um servidor DNS .com para obter a localizao dos servidores DNS
Microsoft.com.
4.
O servidor DNS local consulta o servidor DNS Microsoft.com para obter o endereo IP de
www.microsoft.com/pt/br/.
5.
O endereo IP de www.microsoft.com/pt/br/ devolvido estao de trabalho.
Voc pode modificar o processo de resoluo de nomes configurando os seguintes itens:
Cache: depois que um servidor DNS local resolve um nome DNS, ele armazena os resultados em
cache por aproximadamente 24 horas. Solicitaes de resoluo subsequentes do nome DNS
recebem as informaes armazenadas em cache.
Encaminhamento: um servidor DNS pode ser configurado para encaminhar solicitaes DNS a outro
servidor DNS, em vez de consultar os servidores raiz. Por exemplo, as solicitaes de todos os nomes
da Internet podem ser encaminhadas para um servidor DNS em um ISP.
1-12
1-13
Resoluo de nomes com WINS
O WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes
NetBIOS de uma rede. O suporte ao WINS mantido para fins de compatibilidade com verses anteriores.
O WINS pode continuar sendo necessrio na rede da sua organizao por vrios motivos. O principal
motivo que alguns aplicativos ainda utilizam o NetBIOS para fornecer funcionalidade aos usurios.
O WINS necessrio pelos seguintes motivos:
As verses anteriores dos sistemas operacionais Microsoft dependem do WINS para a resoluo
de nomes.
Alguns aplicativos, geralmente os mais antigos, dependem dos nomes NetBIOS.
Quando for necessrio um registro dinmico de nomes de rtulo nico.
Os usurios talvez precisem dos recursos de navegador de rede Ambiente de Rede ou Meus Locais
de Rede.
Voc pode no estar usando o Windows Server 2008 para fornecer sua infraestrutura DNS.
Voc deve configurar um servidor WINS com um endereo IP esttico, uma vez que os computadores
cliente contatam o servidor WINS usando um endereo IP.
Observao O WINS um servio somente IPv4 e no funcionar em um ambiente
somente IPv6.
Alm do WINS, os nomes NetBIOS podem ser resolvidos atravs de mensagens de difuso ou pela
implementao de um arquivo LMHOSTS em todos os computadores. As mensagens de difuso no
funcionam bem em redes grandes porque os roteadores no transmitem as difuses. O uso de um
arquivo LMHOSTS para resoluo de nomes NetBIOS uma soluo de alta manuteno, pois o arquivo
deve ser atualizado constantemente nos computadores.
Zona GlobalNames
A GNZ (Zona GlobalNames) um novo recurso do Windows Server 2008. Essa ferramenta fornece
resoluo de nomes de rtulo nico para redes de grandes empresas que no implantam o WINS.
Algumas redes podem exigir a capacidade de resolver registros estticos e globais com nomes de rtulo
nico que o WINS fornece atualmente. Esses nomes de rtulo nico referem-se a servidores amplamente
usados e bastante conhecidos com endereos IP atribudos estaticamente. Uma GNZ criada
manualmente e no est disponvel para registro dinmico de registros. A GNZ foi desenvolvida de modo
a ajudar os clientes a migrar para o DNS a fim de ter todos os nomes resolvidos; a funo Servidor DNS
no Windows Server 2008 oferece suporte ao recurso GNZ.
O recurso foi desenvolvido para auxiliar na migrao do WINS; no entanto, ele no substituto do WINS.
A GNZ no oferece suporte resoluo de nomes de rtulo nico dos registros feitos dinamicamente no
WINS e dos registros que no so gerenciados por administradores de TI. O suporte para esses registros
feitos dinamicamente no escalonvel, especialmente para clientes de maior porte com vrios domnios
e/ou florestas.
A implantao da zona GNZ recomendada ocorre por meio do uso de uma zona integrada do AD DS,
chamada GlobalNames, que distribuda globalmente.
Em vez de usar a GNZ, voc pode optar por configurar a integrao de DNS e WINS. Faa isso
configurando as propriedades da zona DNS para executar pesquisas pelo WINS em busca de nomes
compatveis com NetBIOS. A vantagem desta abordagem que voc pode configurar computadores
cliente para usar um nico servio de nome, DNS e ainda para poder resolver nomes compatveis com
NetBIOS.
Prtica recomendada
Se sua organizao depende intensamente de aplicativos NetBIOS, continue usando o WINS. Se planeja
migrar do WINS para o DNS, implemente a integrao do WINS nas zonas DNS. Quando voc tiver
encerrado a maioria dos seus aplicativos NetBIOS ou tiver somente alguns aplicativos NetBIOS, use a GNZ
para gerenciar nomes de rtulo nico estticos.
1-14
Lio 3
Configurao e soluo de problemas do IPv4
Geralmente, os problemas com servios de rede se originam com a configurao da rede subjacente.
Consequentemente, preciso que voc configure o IPv4 e solucione problemas bsicos relacionados
rede IPv4.
Objetivos
Configurar o IPv4 manualmente para fornecer uma configurao esttica a um servidor.
Configurar um servidor para que ele obtenha uma configurao do IPv4 automaticamente.
Usar as ferramentas de soluo de problemas do IPv4.
Desenvolver a metodologia de soluo de problemas para ajudar a resolver problemas

bsicos do IPv4.
Descrever a funo do Monitor de Rede.
Usar o Monitor de Rede para capturar e analisar o trfego de rede.
1-15
Configurao manual do IPv4
Voc pode definir a configurao esttica do IPv4 manualmente para cada um dos computadores na sua
rede. A configurao do IPv4 inclui:
Endereo IPv4
Mscara de sub-rede
Gateway padro
Servidor DNS
A configurao esttica exige que voc visite cada computador e informe a configurao do IPv4. Esse
mtodo de gerenciamento de computadores levar muito tempo se sua rede tiver mais de 20 usurios.
Alm disso, realizar um grande nmero de configuraes manuais aumenta o risco de erros.
Haver casos em que ser recomendvel atribuir uma configurao esttica do IPv4; por exemplo, um
servidor de nomes (DNS ou WINS) deve ter uma configurao esttica IPv4 para permitir que resolvedores
do cliente o localizem.
Alm disso, os servidores para a Internet podem ter endereos IPv4 atribudos estaticamente, fornecidos
pela sua organizao de um provedor de servios de Internet ou de telecomunicao. Por exemplo, para
implementar o DirectAccess, seu servidor DirectAccess para a Internet deve ter dois endereos IPv4
pblicos consecutivos.
Use o procedimento a seguir para configurar o Windows com uma configurao do IPv4 atribuda
manualmente:
1.
Abra o Centro de Rede e Compartilhamento e selecione Alterar as configuraes do adaptador.
2.
Clique com o boto direito do mouse na conexo de rede adequada e clique em Propriedades.
3.
Clique duas vezes em Protocolo TCP/IP Verso 4 (TCP/IPv4) e insira a configurao adequada.
1-16
1-17
Como alternativa, voc pode usar a ferramenta de linha de comando netsh.exe. Por exemplo, o comando
a seguir configura a interface denominada Conexo Local com o endereo IP esttico 172.16.16.3, a
mscara de sub-rede 255.255.255.0 e um gateway padro 172.16.16.1.
Netsh interface ipv4 set address name=Local Area Connection source=static
addr=172.16.16.3 mask=255.255.255.0 gateway=172.16.16.1
Configurao automtica do IPv4
O DHCP para IPv4 permite atribuir configuraes automticas do IPv4 a grandes nmeros de
computadores sem precisar faz-lo individualmente. O servio DHCP recebe solicitaes para
configurao do IPv4 de computadores que voc configura para obter um endereo IPv4
automaticamente. Ele tambm atribui configuraes adicionais do IPv4 de escopos que voc define para
cada uma das sub-redes da rede. O servio DHCP identifica a sub-rede da qual a solicitao foi originada
e atribui a configurao de IP do escopo pertinente.
O DHCP ajuda a simplificar o processo de configurao de IP, mas saiba que se voc usar o DHCP para
atribuir informaes do IPv4 e o servio for essencial aos negcios, ser preciso:
Incluir resilincia na estrutura do servio DHCP, de forma que a falha de um nico servidor no
interrompa o servio.
Configurar os escopos cuidadosamente no servidor DHCP. Se voc cometer um erro, isso poder
afetar a rede inteira e impedir a comunicao.
Se voc usa um laptop para se conectar a vrias redes, como a rede do escritrio e de casa, cada rede
poder exigir uma configurao de IP diferente. O Windows oferece suporte ao uso do APIPA e de um
endereo IP esttico alternativo para essa situao.
Ao configurar computadores Windows para obter um endereo IPv4 do DHCP, use a guia Configurao
Alternativa para controlar o comportamento se um servidor DHCP no estiver disponvel. Por padro,
o Windows usa o APIPA para atribuir automaticamente a si mesmo um endereo IP do intervalo de
endereos 169.254.0.0 a 169.254.255.255, mas sem nenhum gateway padro ou servidor DNS; isso
permite funcionalidade limitada.
O APIPA til na soluo de problemas de DHCP; se o computador tiver um endereo do intervalo
APIPA, isso indica que o computador no pode se comunicar com um servidor DHCP.
1-18
1-19
Ferramentas para soluo de problemas do IPv4
O Windows Server 2008 apresenta vrios utilitrios que ajudam a diagnosticar problemas de rede.
IPConfig
O IPConfig exibe a configurao de rede TCP/IP atual. Alm disso, voc pode usar o IPConfig para
atualizar as configuraes de DNS ou DHCP. A tabela a seguir descreve as opes de linha comando
para IPConfig.exe.
Comando
Finalidade
IPConfig /all
Exibir informaes detalhadas de configurao
IPConfig /release
Liberar a configurao concedida de volta ao servidor DHCP
IPConfig /renew
Renovar a configurao concedida
IPConfig /flushdns
Limpar o cache do Resolvedor de DNS
IPConfig /displaydns
Exibir as entradas do cache do Resolvedor de DNS
Ping
O Ping pode verificar a conectividade do nvel de IP com outro computador TCP/IP. O Ping envia e recebe
mensagens de Solicitao de Eco ICMP e exibe o recebimento das mensagens correspondentes de
Resposta de Eco. O Ping o principal comando de TCP/IP usado para solucionar problemas de
conectividade; no entanto, os firewalls podem bloquear as mensagens ICMP.
Tracert
O Tracert determina o caminho feito para um computador de destino enviando vrias Solicitaes de
Eco ICMP. O caminho exibido a lista de interfaces do roteador entre uma origem e um destino. Essa
ferramenta tambm determina qual roteador falhou e em que latncia, ou velocidade. Esses resultados
talvez no sejam precisos se o roteador estiver ocupado, pois os pacotes ICMP recebem uma prioridade
baixa do roteador.
Pathping
O Pathping rastreia uma rota por meio da rede de maneira semelhante ao Tracert. No entanto, o
Pathping fornece estatsticas mais detalhadas sobre as etapas individuais, ou saltos, pela rede. O Pathping
pode fornecer mais detalhes, pois envia 100 pacotes para cada roteador, o que permite estabelecer
tendncias.
NSLookup
O NSlookup exibe informaes que voc pode usar para diagnosticar a infraestrutura de DNS. possvel
usar o NSlookup para confirmar a conexo com o servidor DNS e se os registros exigidos existem.
NBTSTAT
NBSTAT uma resoluo de nomes NetBIOS de linha de comando e ferramenta de soluo de problemas.
Essa ferramenta permite determinar os nomes NetBIOS no cache de nomes NetBIOS, bem como limp-lo.
Telnet
Voc pode instalar o recurso Cliente Telnet e us-lo para verificar se uma porta de servidor est
escutando. Por exemplo, Telnet.exe 10.10.0.10:25 tenta abrir uma caixa de dilogo com o servidor de
destino, 10.10.0.10, na porta 25, o SMTP. Se a porta estiver ativa e escutando, ela dever retornar uma
mensagem ao Cliente Telnet.
Netstat
Netstat uma ferramenta de linha de comando que permite exibir estatsticas e conexes de rede.
Diagnsticos de Rede do Windows

Use os Diagnsticos de Rede do Windows para diagnosticar e corrigir problemas de rede. No caso de
um problema de rede no Windows Server, a opo Diagnosticar Problemas de Conexo ajudar a
diagnosticar e reparar o problema. Sero apresentados uma possvel descrio do problema e uma
possvel soluo. A soluo talvez exija interveno manual do usurio.
Visualizador de Eventos
Os logs de eventos so arquivos que registram eventos significativos em um computador, por exemplo,
quando um processo encontra um erro. Os conflitos de IP sero refletidos no log do sistema e podem
impedir o incio de servios. Quando esses eventos ocorrem, o Windows registra o evento em um log de
eventos apropriado. Voc pode usar o Visualizador de Eventos para ler o log. Ao solucionar erros no
Windows Server, exiba os eventos nos Logs de Eventos para determinar a causa do problema.
1-20
Processo de soluo de problemas
1-21
Se voc enfrentar problemas de conectividade de rede enquanto estiver usando o Windows Server, use os
Diagnsticos de Rede do Windows para iniciar o processo de soluo de problemas. Se os Diagnsticos
de Rede do Windows no puderem resolver o problema, siga um processo de soluo de problemas que
use as ferramentas disponveis do Windows Server e consista nas seguintes etapas:
1.
Consulte os Diagnsticos de Rede do Windows.
2.
Use o IPConfig para verificar a configurao de IP local.
3.
Use o Ping para diagnosticar comunicao bidirecional com um sistema remoto.
4.
Use o Tracert para identificar cada salto, ou roteador, entre dois sistemas.
5.
Use NSlookup para verificar a operao e a configurao de DNS.
6.
Verifique os logs de eventos.
Diagnsticos gerais de rede
Quando o Windows Server encontrar um problema de conexo de rede, use os Diagnsticos de Rede do
Windows para executar os procedimentos de diagnstico. Os Diagnsticos de Rede do Windows analisam
o problema e, se possvel, apresentam uma soluo ou uma lista de possveis causas.
Os Diagnsticos de Rede do Windows concluem a soluo automaticamente ou exigem que o usurio

execute etapas para resolver o problema. Essas etapas podem exigir que o usurio faa vrias alteraes
de configurao no computador. Em muitos casos, esse recurso pode resolver problemas de rede sem que
o usurio precise de suporte adicional.
Se os Diagnsticos de Rede do Windows no puderem resolver o problema, talvez seja preciso usar outras
ferramentas de diagnstico.
Verificao da configurao de IP local

possvel usar o IPConfig com a opo /all para exibir a configurao de IP do computador. Estude a
configurao cuidadosamente e lembre-se do seguinte:
Se o endereo IP for invlido, a transmisso poder falhar.
Se a mscara de sub-rede estiver incorreta, o computador ter uma ID de Rede incorreta e, portanto,
ocorrer falha na transmisso, principalmente para sub-redes remotas.
Se o gateway padro estiver incorreto ou ausente, o computador no poder transmitir dados a subredes remotas.
Se o servidor DNS estiver incorreto ou ausente, talvez o computador no possa resolver nomes e a
comunicao poder falhar.
Diagnstico de comunicao bidirecional com sistemas remotos

O utilitrio Ping (ou Pathping) confirma a comunicao bidirecional entre dois computadores. Isso
significa que, se o utilitrio Ping falhar, a configurao do computador local talvez no seja a causa do
problema. Use o Ping para assegurar a transmisso usando um processo lgico, como este:
1.
Execute ping no computador remoto.
2.
Execute ping no gateway local.
3.
Execute ping no endereo IP local.
4.
Execute ping no endereo de loopback 127.0.0.1.
Ao usar o utilitrio Ping, lembre-se de que:
Voc pode executar ping no nome e no endereo IP do computador.
Se voc executar ping com xito no endereo IP, mas no no nome, a resoluo de nomes no est
funcionando.
Se voc executar ping com xito no nome do computador, mas a resposta no resolver o nome
FQDN, a resoluo no usou o DNS. Isso significa que um processo, como difuses ou o WINS, que
foi usado para resolver o nome e aplicativos que exigem o DNS pode falhar.
Tempo Limite da Solicitao Atingido indica que as mensagens ICPM foram enviadas com xito,
mas um ou mais computadores ou roteadores ao longo do caminho, incluindo a origem e o destino,
no foram configurados corretamente para encaminhar as mensagens.
Host de Destino Inacessvel indica que o sistema no pode localizar uma rota em sua prpria tabela
de roteamento local para o sistema de destino e, portanto, no sabe para onde transmitir o pacote
no prximo salto.
O trfego ICMP usado pelo ping pode ser bloqueado por um firewall na rede ou em um
computador Windows.
Identificao de cada salto entre dois sistemas

Voc pode usar o Tracert para identificar cada salto entre os sistemas de origem e destino. Se a
comunicao falhar, use o Tracert para identificar quantos saltos foram bem-sucedidos e em qual salto
houve falha da comunicao de sistema.
1-22
1-23
Verificao da configurao de DNS

As principais ferramentas para solucionar problemas de resoluo de nomes de host so o IPConfig.exe
e NSlookup.exe. Ao solucionar problemas de resoluo de nomes, voc deve saber quais mtodos de
resoluo de nomes o computador est usando e em que ordem. Lembre-se de limpar o cache do
Resolvedor de DNS entre as tentativas de resoluo. Se no for possvel se conectar a um host remoto
e voc suspeita de um problema de resoluo de nomes, solucione o problema da seguinte maneira:
1.
Abra um prompt de comandos com privilgios elevados e limpe o cache do Resolvedor de DNS
digitando o seguinte comando:
IPConfig /flushdns
2.
Tente executar ping do host remoto pelo prprio endereo IP. Isso ajuda a identificar se o problema
est relacionada resoluo de nomes. Se o ping for bem-sucedido com o endereo IP, mas houver
falha pelo nome de host, ento o problema estar relacionado resoluo de nomes.
3.
Tente executar ping do host remoto pelo prprio nome do host. Para maior preciso, use o FQDN
com um ponto direita. Por exemplo, insira o comando a seguir no prompt de comando:
Ping nyc-dc1.contoso.com.
4.
Se o ping for bem-sucedido, ento o problema provavelmente no estar relacionado resoluo de

nomes. Se o ping for malsucedido, edite o arquivo de texto C:\windows\system32\drivers\etc\hosts
usando uma instncia com privilgios elevados do Notepad.exe e adicione a entrada adequada ao
fim do arquivo. Por exemplo, adicione esta linha e salve o arquivo:
10.10.0.10nyc-dc1.contoso.com
5.
Agora execute o teste Ping-by-host-name mais uma vez. A resoluo de nomes deve ser bemsucedida. Verifique se o nome foi resolvido corretamente examinando o cache do resolvedor de DNS;
use o comando a seguir em um prompt de comando:
IPConfig /displaydns
6.
Remova a entrada que voc adicionou ao arquivo de hosts e limpe o cache do resolvedor de DNS
mais uma vez.
7.
No prompt de comando, digite o comando a seguir e examine o contedo do arquivo filename.txt

para identificar o estgio que falhou na resoluo de nomes:
Nslookup.exe d2 nyc-dc1.contoso.com. > filename.txt
Voc deve entender como interpretar a sada para que seja possvel identificar se o problema de
resoluo de nomes est na configurao do computador cliente, no servidor de nomes ou na
configurao de registros dentro do banco de dados da zona do servidor de nomes.
O que o Monitor de Rede?
O Monitor de Rede uma analisador de pacotes que permite capturar e examinar os pacotes de rede na
rede em que seu computador est conectado.
A captura de pacotes uma tcnica avanada de soluo de problemas que ajuda a identificar os
problemas de rede mais incomuns e trabalha para encontrar uma soluo.
Voc pode baixar o Monitor de Rede no site de download da Microsoft e instal-lo em uma estao de
trabalho Windows que esteja executando o Windows 7 ou algum Windows Server.
Depois de instalado, o Monitor de Rede associado aos adaptadores de rede local. Quando voc inicia o
Monitor de Rede, possvel exibir as capturas existentes ou iniciar uma nova captura.
Utilizao do Monitor de Rede

Depois de ter capturado pacotes de rede, voc poder interpretar o que est acontecendo e se o
comportamento o esperado ou no. Para ajudar, o Monitor de Rede exibe os pacotes em uma lista
resumida no painel Resumo do Quadro.
O Resumo do Quadro exibe todos os pacotes capturados, fornecendo as seguintes informaes:
Hora e data: permite determinar em qual ordem os pacotes foram transmitidos.
Origem e destino: fornece os endereos IP de origem e destino para que voc possa determinar
quais computadores esto envolvidos na caixa de dilogo.
Nome do protocolo: o protocolo de nvel mais alto que o Monitor de Rede pode identificar
listado. Por exemplo, protocolos ARP, ICMP, TCP, SMB, entre outros. Conhecer o protocolo de alto
nvel permite localizar quais servios podem estar enfrentando ou causando o problema que voc
est solucionando.
1-24
1-25
Quando voc seleciona um quadro no painel de resumo, o painel Detalhes do Quadro atualizado com
o contedo desse quadro especfico. possvel passar pelos detalhes do quadro, examinando o contedo
de cada elemento conforme segue adiante.
Observao Lembre-se de que cada camada na arquitetura da rede, do aplicativo para
baixo, encapsula seus dados no continer da camada abaixo. Em outras palavras, o ICMP: A
Mensagem de Solicitao de Eco encapsulada em um pacote IPv4 que, por sua vez,
encapsulada em um quadro Ethernet.
Quando voc coleta um grande volume de dados, pode ser difcil determinar quais quadros so
relevantes para seu problema especfico. Voc pode usar a filtragem para mostrar apenas os quadros de
interesse. Use o painel Filtro de Exibio para carregar filtros padro ou para criar filtros personalizados.
Por exemplo, se desejar exibir quadros que se originam de um endereo IP especfico, use o seguinte
procedimento:
1.
No Monitor de Rede da Microsoft do painel Filtro de Exibio, clique em Carregar Filtro.
2.
Aponte para Filtros Padro, clique em Endereos e em Endereos IPv4. O filtro padro carregado
na caixa de texto.
3.
Role pelo texto e localize a linha IPv4.Address = = 192.168.0.100. Edite o endereo IPv4 para que
ele corresponda ao endereo no qual est interessado.
4.
No menu do painel Filtro de Exibio, clique em Aplicar.
5.
No painel Resumo do Quadro, os resultados filtrados so exibidos.
Voc pode usar filtros padro para filtrar uma variedade de propriedades, incluindo o seguinte:
Endereos
DNS
NetBIOS
SMB
TCP
Trfego de autenticao
Resoluo de nomes
Observao Ao aplicar um filtro aps outro, ambos sero cumulativos. Para aplicar um
novo filtro no lugar de um filtro existente, clique no texto Limpar antes de carregar e aplicar
o novo filtro.
Demonstrao: Como capturar e analisar o trfego de rede usando o

Monitor de Rede
Esta demonstrao mostra como:
Capturar trfego com o Monitor de Rede.
Analisar o trfego capturado.
Filtrar o trfego.
Salvar os dados capturados.
1-26
1-27
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em

Gerenciador Hyper-V.
2.
No Gerenciador Hyper-V, clique em 10221B-NYC-DC1 e, no painel Aes, clique em Iniciar.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
Faa logon usando as seguintes credenciais:
5.
Nome do usurio: Administrador
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-RTR, 10221B-NYC-SVR2 e 10221B-NYC-CL2.
Cenrio de laboratrio
Voc um engenheiro de rede da Contoso Ltd. e deve selecionar um esquema de endereamento IPv4
adequado para uma implantao de filial e implementar elementos do esquema. Inicialmente, a filial
usar os endereos IPv4 atribudos manualmente, embora esteja planejado que o DHCP ser implantado
futuramente.
Aps determinao da configurao apropriada, exigido que voc configure as estaes de trabalho
cliente de acordo com seu plano.
Para este projeto, voc dever concluir as seguintes tarefas:
Planejar um esquema de sub-rede IPv4 adequado para filiais.
Implementar e verificar o esquema de sub-rede IPv4.
Exerccio 1: Seleo de um esquema de endereamento IPv4 para filiais

Cenrio
A Contoso criou uma nova fora de vendas regional. Consequentemente, as filiais esto sendo alugadas e
equipadas com equipamentos e computadores do escritrio. Voc recebeu a tarefa de desenvolver um
esquema de endereamento IPv4 para oferecer suporte s filias da regio ocidental. H 10 escritrios
novos, trs nessa regio e cada uma com aproximadamente 100 computadores.
As principais tarefas deste exerccio so:
1.
Ler a documentao de suporte.
2.
Atualizar a proposta com seu curso de ao planejado.
3.
Examinar as propostas sugeridas na Resposta do Laboratrio.
Documentao de suporte
Charlotte Weiss
De:
Enviada em:
Para:
Assunto:
Anexos:
Ed Meadows [Ed@contoso.com]
4/2/2011 09:05
Charlotte@contoso.com
R: Implantaes da filial da Contoso
Contoso Branch Network Plan.vsd
Charlotte,
Cada filial ser conectada por um roteador matriz. Anexei um esquema bsico dos escritrios regionais.
Alocamos o endereo de rede 172.16.16.0/20 para todas as filiais nessa regio.
Em termos de trfego, a sincronizao do banco de dados ocorre durante a noite para que o trfego no
seja excessivamente afetado. Acho que o trfego nas sub-redes de vendas da matriz, neste momento,
deve ser razoavelmente indicativo. Em vez de enviar-lhe a sada, direi apenas que calculamos em torno de
50 computadores por sub-rede.
Atenciosamente,
Ed
----- Original Message ----De:
Charlotte Weiss [Charlotte@contoso.com]
Enviada em:
3/2/2011 08:45
Para:
Ed@contoso.com
Assunto:
Implantaes
de filial da Contoso
Ed,
Voc tem alguma informao sobre o trfego de rede nas novas filiais? Acredito que deva haver um
banco de dados com rplicas regionais. Voc tem alguma informao sobre isso? Estou tentando calcular
o nmero de sub-redes que precisaremos por filial.
Qualquer informao ser bem-vinda!
Charlotte
1-28
1-29
Tarefa 1: Ler a documentao de suporte.
Ler a documentao de suporte.
Tarefa 2: Atualizar a proposta com seu curso de ao planejado
Responda s perguntas do documento Plano de infraestrutura de rede da filial: endereamento IPv4,

mostrado abaixo.
Plano de infraestrutura de rede da filial: endereamento IPv4
Nmero de referncia do documento: GW00602/1
Autor do documento
Data
Charlotte Weiss
6 de fevereiro
Viso geral dos requisitos

Crie um esquema de endereamento IPv4 para os escritrios filiais de vendas da Contoso,
mostrados no anexo.
O endereo do bloco 172.16.16.0/20 foi reservado para essa regio.
Voc deve idealizar um esquema que oferea suporte ao nmero exigido de sub-redes, ao
nmero exigido de hosts e que fornea aumento de 25% de hosts em cada filial.
Para cada filial, fornea os endereos de sub-rede que planeja usar, juntamente com os endereos
IP inicial e final de cada sub-rede.
(continuao)
Informaes adicionais
Voc no precisa se preocupar com o endereamento IP do lado corporativo do roteador em
cada filial.
Propostas
1. Quantas sub-redes voc considera necessrias para essa regio?
2. Quantos hosts voc implantar em cada sub-rede?
3. Qual mscara de sub-rede voc usar para cada filial?
4. Quais so os endereos de sub-rede para cada filial?
5. Qual intervalo de endereos de host esto em cada filial?
Tarefa 3: Examinar as propostas sugeridas na Resposta do Laboratrio
Examine o plano concludo da infraestrutura de rede da filial na Resposta do Laboratrio e esteja

preparado para discutir suas solues com a turma.
Resultados: ao fim deste exerccio, voc deve ter um plano de endereo IP concludo para as filiais
da Contoso.
1-30
1-31
Exerccio 2: Implementao e verificao do IPv4 na filial

Cenrio
Neste exerccio, voc implementar o esquema de endereamento IPv4 que selecionou no exerccio
anterior.
1.
Determinar a configurao do IPv4 atual do roteador.
2.
Determinar a configurao do IPv4 de NYC-SVR2.
3.
Determinar a configurao do computador NYC-CL2.
4.
Reconfigurar o computador NYC-CL2.
5.
Verificar a configurao.
6.
Capturar e analisar o trfego de rede usando o Monitor de Rede.
Tarefa 1: Determinar a configurao do IPv4 atual do roteador.

1.
Alterne para o computador NYC-RTR.
2.
Usando o Ipconfig.exe, determine qual o endereo IPv4 e a mscara de sub-rede de NYC-RTR que
inicia com 172.16 e anote-o.
Que sub-rede essa?
Qual deveria ser o ltimo endereo de host nessa sub-rede?
Tarefa 2: Determinar a configurao do IPv4 de NYC-SVR2.
1.
No computador NYC-SVR2, determine qual o endereo IPv4 e a mscara de sub-rede de NYC-SVR2

que inicia com 172.16 e anote-o.
2.
Localize e identifique o seguinte:

Qual o endereo IPv4 e a mscara de sub-rede?
Que sub-rede essa?
Qual o gateway padro?
Qual a entrada de Servidores DNS?
3.
Deixe o prompt de comando aberto.
Tarefa 3: Determinar a configurao do computador NYC-CL2

1.
No computador NYC-CL2, execute o arquivo em lotes Reconfigure.cmd que est localizado em

E:\Labfiles\Mod01.
2.
Determine a configurao do IPv4 de NYC-CL2 e anote-a.
3.
Localize e identifique o seguinte:

O que a resposta anterior informa a voc?
Tarefa 4: Reconfigurar o computador NYC-CL2.

1.
Reconfigure as definies do IPv4 para que sejam apropriadas para a sub-rede na qual o cliente
reside. Uma resposta sugerida aparece na Resposta de Laboratrio.
2.
Anote a configurao que voc usou:
Endereo IP:
Mscara de sub-rede:
Gateway padro:
Servidor DNS preferencial:
Tarefa 5: Verificar a configurao.

1.
Usando o Ipconfig.exe, verifique a configurao do endereo.

2.
Execute ping de NYC-DC1 e, usando o Ipconfig.exe, examine o cache do resolvedor de DNS.
Tarefa 6: Capturar e analisar o trfego de rede usando o Monitor de Rede.

1.
Abra o Monitor de Rede 3.4 da Microsoft.
2.
Inicie uma nova captura e alterne para o prompt de comando.
3.
No prompt de comando, usando o Ipconfig.exe, limpe o cache do resolvedor de DNS e execute ping
de nyc-dc1.
4.
Exiba o cache do resolvedor de DNS e verifique a presena do registro de NYC-DC1.
5.
No Monitor de Rede, interrompa a captura.

Que tipos de quadros podem ser vistos?
6.
Crie um filtro para mostrar quadros com um endereo IPv4 de 10.10.0.10.
7.
Examine os quadros filtrados e limpe o filtro.
8.
Crie um novo filtro para DNSQueryName, onde server=Contoso. Aplique o filtro e examine os
quadros filtrados.
O que os registros mostram?
9.
Feche o Monitor de Rede.
Resultados: ao fim deste exerccio, voc ter configurado a sub-rede da filial.
Preparando-se para o prximo mdulo

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute estas
etapas:
1.
No computador host, inicie o Gerenciador Hyper-V.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.
4.
Repita essas etapas para 10221B-NYC-RTR, 10221B-NYC-SVR2 e 10221B-NYC-CL2.
1-32
Reviso e informaes complementares do mdulo
Perguntas de reviso
1-33
1.
Sua organizao pretende usar o IPv4 para suas filiais. exigido um grande nmero de hosts e
sub-redes. Qual endereo de rede privada voc recomendaria?
2.
Sua organizao tem uma linha de aplicativos de negcios que usa nomes NetBIOS. Um nmero
relativamente baixo de pessoas usa esses aplicativos e voc est relutando para implementar o WINS.
Que alternativa o Windows Server 2008 fornece?
3.
Seu cliente Windows 7 no pode ser conectado corretamente a um Windows Server. Voc suspeita
que seja um problema de resoluo de nomes. Quais so os dois utilitrios que permitem solucionar
problemas de resoluo de nomes de um computador cliente?
Ferramentas
Ferramenta
Use para
Onde encontr-la
Ping.exe
Verificar a conectividade IP bsica
Linha de comando
IPConfig.exe
Exibir a configurao de IP e solucionar seus

problemas.
Linha de comando
Tracert.exe
Verificar o roteamento de rede
Linha de comando
PathPIng
Combinar a funcionalidade de rastreamento e ping
Linha de comando
NSLookup.exe
Solucionar problemas da funcionalidade do

resolvedor de DNS
Linha de comando
NBTSTAT.exe
Solucionar problemas do NetBIOS
Linha de comando
Netsh.exe
Exibir e configurar definies de rede
Linha de comando
NetStat
Exibir estatsticas e conexes de rede
Linha de comando
2-1
Mdulo 2
Configurao e soluo de problemas de DHCP
Contedo:
Lio 1: Viso geral da funo Servidor DHCP
2-3
Lio 2: Configurao de escopos DHCP
2-11
Lio 3: Configurao de opes DHCP
2-18
Lio 4: Gerenciamento de um banco de dados DHCP
2-24
Lio 5: Monitoramento e soluo de problemas de DHCP
2-35
Lio 6: Configurao da segurana de DHCP
2-43
Laboratrio: Configurao e soluo de problemas da funo Servidor DHCP
2-47
Viso geral do mdulo
O protocolo DHCP tem uma importante funo na infraestrutura do Windows Server 2008 R2. Ele o
principal meio de distribuio de importantes informaes sobre configurao de rede para os clientes da
rede, alm de fornecer informaes sobre configurao a outros servios habilitados para rede, incluindo
WDS (Servios de Implantao do Windows) e NAP (Proteo de Acesso Rede). Para oferecer suporte e
solucionar problemas de uma infraestrutura de rede baseada no Windows Server, importante entender
como implantar e configurar a funo Servidor DHCP, bem como solucionar seus problemas.
Objetivos
Descrever a funo Servidor DHCP.
Configurar escopos DHCP.
Configurar opes DHCP.
Gerenciar um banco de dados DHCP.
Monitorar e solucionar problemas da funo Servidor DHCP.
Configurar a segurana da funo Servidor DHCP.
2-2
Lio 1
Viso geral da funo Servidor DHCP
2-3
O uso do DHCP pode ajudar a simplificar a configurao do computador cliente. Esta lio descreve os
benefcios do DHCP, explica como o protocolo DHCP funciona e discute como controlar o DHCP em uma
rede AD DS (Servios de Domnio Active Directory) do Windows Server 2008 R2.
Objetivos
Descrever a finalidade e os benefcios do DHCP.
Explicar como o DHCP aloca endereos para clientes de rede.
Descrever como a gerao de concesso DHCP aloca endereos para clientes.
Ilustrar como funciona o processo de renovao de concesso DHCP.
Explicar como uma funo Servidor DHCP autorizada.
Adicionar e autorizar a funo Servidor DHCP.
Vantagens do uso do DHCP
O protocolo DHCP simplifica a configurao de clientes IP em um ambiente de rede. Antes de o DHCP

ser usado amplamente, cada vez que voc adicionava um cliente rede, era necessrio configur-lo com
informaes sobre a rede na qual ele era instalado, incluindo o endereo IP, a mscara de sub-rede e o
gateway padro para acessar outras redes.
Quando voc precisa gerenciar vrios computadores em uma rede, gasta-se muito tempo para faz-lo
manualmente. Vrias empresas gerenciam milhares de dispositivos de computador, incluindo
computadores de mo, computadores desktop e laptops. No prtico gerenciar manualmente a
configurao de IP de redes com esse tamanho.
Com a funo Servidor DHCP, voc pode ajudar a garantir que todos os clientes tenham as informaes
de configurao adequadas; o que ajuda a eliminar erros humanos durante a configurao. Quando as
principais informaes de configurao so alteradas na rede, voc pode atualiz-las usando a funo
Servidor DHCP sem ter que modificar as informaes diretamente em cada computador.
O DCHP tambm um servio importante para usurios mveis que mudam de rede com frequncia.
O DCHP permite que os administradores da rede ofeream informaes complexas de configurao da
rede para usurios no tcnicos, sem que os usurios tenham que lidar com os detalhes de configurao
de suas redes.
A funo DHCP no Microsoft Windows Server 2008 oferece suporte para diversos recursos novos:
A configurao com e sem monitorao de estado do DHCPv6 aceita para configurar clientes em
um ambiente do IPv6. A configurao com monitorao de estado ocorre quando o servidor DHCPv6
atribui o endereo IPv6 ao cliente juntamente com os dados adicionais do DHCP. A configurao sem
monitorao de estado ocorre quando o IPv6 atribudo automaticamente pelo roteador de subrede e quando o servidor DHCPv6 atribui somente outras definies de configurao do DCHP.
2-4
2-5
A NAP com DHCP ajuda a isolar da rede corporativa os computadores possivelmente infectados por
malware. A NAP faz parte de um novo conjunto de ferramentas que impede acesso completo
intranet de computadores que no esto em conformidade com os requisitos de integridade do
sistema. A NAP DHCP permite que os administradores confirmem se os clientes DCHP so
compatveis com as diretivas de segurana internas. Por exemplo, todos os clientes da rede devem
estar atualizados e ter um programa antivrus vlido e atualizado instalado antes de receberem uma
configurao de IP que permita acesso completo intranet.
Voc pode instalar o DHCP como uma funo em uma instalao Server Core do
Windows Server 2008. Uma instalao Server Core permite que voc crie um servidor com uma
superfcie de ataque reduzida. Para gerenciar o DHCP no servidor de ncleo, instale e configure a
funo usando a interface de linha de comando. Voc tambm pode gerenciar a funo DCHP de
Ncleo usando um console baseado em GUI (interface grfica do usurio), no qual a funo DHCP
j esteja instalada.
Como o DHCP aloca endereos IP
O DHCP aloca endereos IP em um processo dinmico, conhecido como concesso. Embora seja possvel
definir a durao da concesso para ilimitada, geralmente, o valor no superior a algumas horas ou dias.
O tempo de concesso padro para clientes com fio de oito dias; e trs dias para clientes sem fio.
O DHCP usa as difuses IP para iniciar a comunicao. Portanto, os servidores DHCP so limitados
comunicao dentro de sua sub-rede IP. Isso significa que, em diversas redes, existe um servidor DHCP
para cada sub-rede IP. Se houver uma grande quantidade de sub-redes, a implantao de servidores
para cada sub-rede pode custar caro. Um nico servidor DHCP pode atender a colees de sub-redes
menores. Para que o servidor DHCP responda a uma solicitao de cliente DHCP, ele deve estar apto a
receber solicitaes DHCP. Voc pode habilitar essa funo configurando um agente de rel DHCP em
cada sub-rede.
O agente de rel DHCP permite que os pacotes de difuso DHCP sejam retransmitidos para outra subrede IP atravs de um roteador. Em seguida, voc pode configurar o agente na sub-rede que exige
endereos IP. Alm disso, possvel configurar o agente com o endereo IP do servidor DHCP. Isso
permite que o agente capture as difuses do cliente e as encaminhe ao servidor DHCP em outra sub-rede.
Voc tambm pode retransmitir pacotes DHCP para outras sub-redes usando um roteador compatvel
com a RFC 1542.
2-6
Como funciona o processo de gerao de concesso DHCP
O processo de gerao de concesso do protocolo DHCP inclui quatro etapas que permitem que um
cliente obtenha um endereo IP. Entender o funcionamento de cada etapa ajudar a solucionar
problemas quando os clientes no puderem obter um endereo IP:
2-7
1.
O cliente DHCP transmite um pacote DHCPDISCOVER. Essa uma mensagem transmitida para cada
computador na sub-rede. O nico computador que responder ser o computador que possui a
funo Servidor DHCP, ou um computador ou roteador que esteja executando um agente de rel
DHCP. N ltimo caso, o agente de rel DHCP encaminhar a mensagem para o servidor DHCP com
o qual ele est configurado.
2.
Um Servidor DHCP responde com um pacote DHCPOFFER. Esse pacote fornecer ao cliente um
endereo potencial.
3.
O cliente recebe o pacote DHCPOFFER. Ele pode receber pacotes de vrios servidores. Se o cliente
receber ofertas de mais de um servidor, ele geralmente escolher o servidor que responder mais
rapidamente ao seu pacote DHCPDISCOVER. Geralmente, esse o servidor DHCP mais prximo
ao cliente. Em seguida, o cliente transmitir um DHCPREQUEST. O DHCPREQUEST contm um
identificador do servidor. Esse identificador informa os servidores DHCP que receberam a transmisso
qual servidor o cliente escolheu para aceitar o DHCPOFFER.
4.
Os servidores DHCP recebem o DHCPREQUEST. Esses servidores que no aceitam a mensagem

DHCPREQUEST a usam como notificao de que o cliente recusou a oferta do servidor em questo.
O servidor escolhido armazena as informaes de endereo IP do cliente no banco de dados DHCP e
responde com uma mensagem DHCPACK. Se por algum motivo o servidor DHCP no puder fornecer
o endereo oferecido no DHCPOFFER inicial, o servidor DHCP enviar uma mensagem DHCPNAK.
Como funciona o processo de renovao da concesso DHCP
Quando a concesso do DHCP atingir 50% do tempo de concesso, o cliente tentar renovar a concesso.
Esse um processo automtico que ocorre em segundo plano. Os computadores podem ter o mesmo
endereo IP por um longo perodo se operarem continuamente em uma rede sem serem desligados.
Para renovar a concesso do endereo IP, o cliente transmite uma mensagem DHCPREQUEST. O servidor
que concedeu o endereo IP originalmente envia uma mensagem DHCPACK novamente para o cliente
que contm novos parmetros alterados desde que a concesso original foi criada.
Os computadores cliente tambm tentam fazer a renovao durante o processo de inicializao. Isso
porque os computadores cliente podem ter sido movidos enquanto estavam offline; por exemplo, um
laptop pode ser ter sido conectado a uma nova sub-rede. Se a renovao for bem-sucedida, o perodo
de concesso ser redefinido. Se a renovao for malsucedida, o computador cliente tentar contatar
o Gateway Padro configurado. Se o gateway no responder, o cliente assumir que ele est em uma
nova sub-rede e entrar na fase de Descoberta, tentando obter uma configurao de IP de qualquer
servidor DHCP.
2-8
Autorizao de Servidor DHCP
2-9
O DHCP permite que o computador cliente obtenha informaes de configurao sobre a rede em que
ele foi iniciado. A comunicao por DHCP ocorre antes de qualquer autenticao do usurio ou do
computador; e como o protocolo DHCP baseia-se em difuses por IP, um servidor DHCP configurado
incorretamente em uma rede pode fornecer informaes invlidas aos clientes. Para evitar isso, o servidor
deve ser autorizado.
Requisitos do Active Directory
preciso autorizar a funo Servidor DHCP do Windows Server 2008 R2 no AD DS para que ela possa
iniciar a concesso de endereos IP. possvel ter um nico servidor DHCP que fornea endereos IP para
sub-redes que contenham vrios domnios AD DS. Portanto, uma conta de Administrador Corporativo
deve autorizar o servidor DHCP.
Observao Um Administrador Corporativo necessrio em todos os domnios, com
exceo do domnio raiz da floresta; nessa instncia, os membros do grupo Admins. do
Domnio possuem privilgio adequado para autorizar um servidor DHCP.
Consideraes sobre o servidor DHCP autnomo
Um servidor DHCP autnomo um computador que executa o Windows Server 2008 R2 no pertencente
a um domnio AD DS e que possui a funo Servidor DHCP instalada e configurada. Se o servidor DHCP
autnomo detectar um servidor DHCP autorizado no domnio, ele no conceder endereos IP e ser
desligado automaticamente.
Servidores DHCP no autorizados
Muitos dispositivos de rede possuem software de servidor DHCP interno. Muitos roteadores podem atuar
como um servidor DHCP, mas isso geralmente acontece quando esses servidores no reconhecem
servidores autorizados por DHCP e podem conceder endereos IP aos clientes.
Demonstrao: Como adicionar a funo Servidor DHCP
Instalar e autorizar a funo Servidor DHCP.
2-10
Lio 2
Configurao de escopos DHCP
Voc deve configurar os escopos DHCP depois que a funo DHCP estiver instalada no servidor. Um
escopo DHCP o principal mtodo para a configurao de opes de um grupo de endereos IP. Um
escopo DHCP baseia-se em uma sub-rede IP e pode ter configuraes especficas ao hardware ou a
grupos personalizados de clientes. Esta lio explica os escopos, superescopos, escopos do multicast e
como gerenciar escopos.
Objetivos
Descrever a finalidade de um escopo DHCP.
Descrever superescopos e escopos do multicast.
Configurar escopos DHCP para alocar endereos IP a clientes de rede.
Explicar o significado de uma reserva DHCP.
Explicar o dimensionamento e a disponibilidade do DHCP.
2-11
O que so escopos DHCP?
Um escopo DHCP um intervalo de endereos IP disponveis para concesso. Normalmente, um escopo

confinado aos endereos IP de uma determinada sub-rede.
Por exemplo, um escopo para a rede 192.168.1.0/24 (mscara de sub-rede de 255.255.255.0)
oferece suporte a um intervalo de 192.168.1.1 a 192.168.1.254. Quando um computador ou dispositivo
na sub-rede 192.168.1.0/24 solicitar um endereo IP, o escopo que definiu o intervalo neste exemplo
alocar um endereo entre 192.168.1.1 e 192.168.1.254.
Observao Lembre-se de que o servidor DHCP, se implantado na mesma sub-rede,
consumir um endereo IPv4. Ele dever ser excludo do intervalo de endereos.
Para configurar um escopo, voc deve definir as seguintes propriedades:
Nome e descrio: identifica o escopo.
Intervalo de endereos IP: o intervalo de endereos que pode ser oferecido para concesso e,
geralmente, o intervalo inteiro de endereos para uma determinada sub-rede.
Mscara de sub-rede: usada pelos computadores cliente para determinar os respectivos locais na
infraestrutura de rede da organizao.
Excluses: endereos nicos ou blocos de endereos que esto dentro do intervalo de endereos IP,
mas que no sero oferecidos para concesso.
Atraso: o tempo de atraso antes de executar DHCPOFFER.
Durao da concesso: use duraes mais curtas para escopos com endereos IP limitados e
duraes mais longas para redes mais estticas.
Opes: voc pode configurar muitas opes em um escopo, mas normalmente usar a opo 003 Roteador (o gateway padro para a sub-rede), 006 - Servidores DNS e 015 - Sufixo DNS.
2-12
2-13
Escopos IPv6
possvel configurar as opes do escopo IPv6 como um escopo separado no n IPv6 do console DHCP.
Existem vrias opes diferentes e um mecanismo de concesso aprimorado.
Ao configurar um escopo DHCPv6, voc deve definir as seguintes propriedades:
Nome e descrio: identifica o escopo.
Prefixo: o prefixo de endereo IPv6 parecido com o intervalo de endereos IPv4; basicamente, ele
define o endereo da rede.
Excluses: endereos nicos ou blocos de endereos que esto dentro do prefixo IPv6, mas que no
sero oferecidos para concesso.
Preferncia de tempo de vida: defina por quanto tempo os endereos concedidos sero vlidos.
Opes: assim como no IPv4, possvel configurar muitas opes.
O que so superescopos e escopos do multicast?
Um superescopo uma coleo de escopos que so agrupados em um todo administrativo. Isso permite
que os clientes recebam um endereo IP de vrias sub-redes lgicas, at mesmo quando estiverem na
mesma sub-rede fsica.
Benefcios dos superescopos

Um superescopo til em vrias situaes. Por exemplo, se um escopo tiver endereos esgotados e no
for possvel adicionar mais endereos de uma sub-rede, voc poder adicionar uma nova sub-rede ao
servidor DHCP. Esse escopo conceder endereos aos clientes na mesma rede fsica, mas os clientes
ficaro em uma rede separada logicamente. Esse processo conhecido como multineting. importante
configurar os roteadores para reconhecer a nova sub-rede a fim de garantir comunicaes locais na
rede fsica.
Um superescopo tambm til quando h a necessidade de mover clientes gradualmente para um novo
esquema de numerao IP. Se houver dois esquemas de numerao para a durao da concesso original,
ser possvel mover os clientes para a nova sub-rede de maneira transparente. Ao renovar todas as
concesses de cliente na nova sub-rede, voc poder aposentar a antiga.
Escopos do multicast
Um escopo do multicast uma coleo de endereos multicast do intervalo de endereos IP de classe D,
de 224.0.0.0 a 239.255.255.255 (224.0.0.0/3). Esses endereos so usados quando os aplicativos precisam
se comunicar eficientemente com vrios clientes ao mesmo tempo. Isso feito com vrios hosts que
escutam o trfego para obter o mesmo endereo IP. Um escopo do multicast geralmente conhecido
como um escopo MADCAP. Os aplicativos que solicitarem endereos desses escopos devero oferecer
suporte API (interface de programao de aplicativos) do MADCAP.
Os escopos do multicast permitem que os aplicativos reservem um endereo IP de multicast para fornecer
dados ou contedo.
2-14
Demonstrao: Como configurar escopos DHCP
possvel criar escopos usando o MMC (Console de Gerenciamento Microsoft) para a funo Servidor
DHCP ou usando o comando de configurao de rede Netsh. Isso permitir gerenciar escopos
remotamente se o servidor DHCP estiver sendo executado em uma instalao Server Core do
Windows Server 2008 R2. O comando Netsh tambm til para gerar scripts e automatizar o
provisionamento de servidores.
Criar um escopo IPv4.
2-15
O que uma reserva DHCP?
Uma reserva DHCP ocorre quando um endereo IP dentro de um escopo separado para ser usado com
um cliente DHCP especfico.
desejvel fornecer servidores e impressoras com um endereo IP pr-determinado. Usar uma reserva
garante que os endereos IP que voc deseja atribuir a esses dispositivos de um escopo configurado no
sejam atribudos a outro dispositivo. Isso tambm garante que os dispositivos com reservas tenham um
endereo IP se um escopo estiver com endereos esgotados. A configurao de reservas permite que voc
centralize o gerenciamento de endereos IP fixos.
Configurao de reservas DHCP

Para configurar uma reserva, voc deve conhecer o endereo MAC (Controle de Acesso Mdia) ou o
endereo fsico do dispositivo. Esse endereo indica ao servidor DHCP que o dispositivo deve ter uma
reserva. Voc pode adquirir um endereo MAC da interface de rede usando o comando ipconfig/all.
Geralmente, os endereos MAC para impressoras de rede e outros dispositivos de rede esto impressos
no dispositivo. A maioria dos computadores laptop tambm possuem essas informaes na parte inferior
do chassi.
2-16
2-17
Dimensionamento e disponibilidade do DHCP
Ao configurar escopos DHCP e definies relacionadas, considere a quantidade de endereos IP a ser

atribuda e como voc implementar a tolerncia a falhas. Uma prtica recomendada ter mais um
servidor DHCP na rede. Caso um dos servidores falhe, um servidor de backup ser utilizado para conceder
endereos IP.
Dimensionamento de um escopo
O escopo deve incluir endereos IP de acordo com a quantidade de clientes de rede. Geralmente, o
escopo tem 20% mais endereos do que os clientes que exigem endereos IP.
Regra 80/20
Quando uma rede tiver dois servidores DHCP, recomendvel distribuir os endereos IP na sub-rede
entre os servidores. Isso conhecido como a regra 80/20. Nessa regra, um escopo no primeiro servidor
define 80% dos endereos IP para concesso, enquanto o segundo servidor define 20% dos endereos.
Isso aprimora a disponibilidade do servio DHCP caso um dos servidores apresente falha.
Para implementar a regra 80/20, preciso criar escopos duplicados nos dois servidores DHCP, cada um
deles excluindo um intervalo separado de endereos. Por exemplo, para a sub-rede 192.168.0.0/24:
No servidor DHCP 1, colocado em 192.168.0.0/24:
Crie um escopo com um intervalo de endereos de 192.168.0.2 a 192.168.0.254.
Crie um intervalo de excluso que inclua mais de 20% do intervalo de endereos; isto , de
192.168.0.200 a 192.168.0.254.
No servidor DHCP 2, colocado em 192.168.1.0/24:
Crie um escopo com um intervalo de endereos de 192.168.0.2 a 192.168.0.254.
Crie um intervalo de excluso que inclua menos de 80% do intervalo de endereos; isto , de
192.168.0.2 a 192.168.0.199.
Assegure-se de implementar um roteador que oferea suporte retransmisso DHCP para a sub-rede
192.168.1.0/24.
Lio 3
Configurao de opes DHCP
As opes DHCP permitem configurar definies, com exceo de endereo IP e mscara de sub-rede.
Por exemplo, voc pode usar o DHCP para alocar um sufixo DNS, endereos de servidor DNS e
configuraes NetBIOS. importante que voc esteja familiarizado com o processo de configurar opes.
Objetivos
Explicar o significado das opes DHCP.
Descrever o uso das opes DHCP no nvel de classe.
Explicar como as opes so aplicadas aos computadores cliente.
Configurar opes de classe, servidor e escopo DHCP.
2-18
O que so opes DHCP?
Os servidores DHCP podem configurar mais do que apenas um endereo IP; eles tambm fornecem
informaes sobre recursos de rede, como servidores DNS e o gateway padro. Voc pode aplicar as
opes DHCP nos nveis de servidor, escopo, usurio e fornecedor.
2-19
Um cdigo de opo identifica as opes DHCP; a maioria dos cdigos de opo se origina da
documentao RFC (Request for Comments) encontrada no site da IETF (Internet Engineering Task Force).
Opes DHCP comuns

A tabela a seguir lista os cdigos de opo de comando solicitados pelos clientes DHCP baseados
no Windows.
Cdigo de
opo
Nome
Mscara de sub-rede
Roteador
Servidores DNS
15
Nome de domnio DNS
44
Servidores WINS/NBNS
46
Tipo de n WINS/NetBT
47
Identificao de escopo NetBIOS
51
Tempo de concesso
58
Valor do tempo de renovao (T1)
(continuao)
Cdigo de
opo
Nome
59
Valor do tempo de religao (T2)
31
Executar descoberta de roteador
33
Rota esttica
43
Informaes especficas do fornecedor
249
Rotas estticas sem classe
2-20
2-21
O que so opes DHCP no nvel de classe?
As opes DHCP podem ser aplicadas em vrios nveis diferentes, como nos nveis de escopo e servidor
DHCP. Talvez seja necessrio aplicar opes de escopo a tipos personalizados de computadores ou
grupos especficos de usurios.
Voc pode especificar opes no nvel de classe quando precisar configurar um dispositivo de
determinada classe de um modo especfico. Uma classe um grupo definido em termos lgicos que
utiliza atributos do dispositivo baseado em IP. Ela pode ser baseada nos dados especficos do fornecedor
ou pode ser definida pelo usurio.
As opes no nvel de classe incluem:
Classe de fornecedor: a funo Servidor DHCP da Microsoft oferece opes especiais com base na
classe de fornecedor. Um exemplo de uso do DHCP com uma classe de fornecedor desabilitar o
NetBIOS por TCP/IP para clientes com uma classe de fornecedor correspondente ao Windows 2000
ou ao Windows XP. Outro exemplo configurar opes especficas para uma determinada marca de
computador.
Classe de usurio: voc pode especificar opes de classe de usurio quando desejar definir opes
para uma determinada classe de usurio, como os usurios de um local fsico especfico. As classes de
usurio so definidas na estao de trabalho do cliente usando o comando IPconfig /setclassid.
Como so aplicadas as opes DHCP
Se voc tiver configurado as opes DHCP em vrios nveis (servidor, escopo, classe e reserva), o DHCP
aplicar as opes aos computadores cliente na seguinte ordem:
1.
Nvel de servidor
2.
Nvel de escopo
3.
Nvel de classe
4.
Nvel de cliente reservado
importante conhecer essas opes quando se est solucionando problemas de DHCP.

Se voc configurar as opes DHCP personalizadas para reservas, essas configuraes substituiro todas
as outras opes DHCP definidas em nveis superiores.
2-22
Demonstrao: Como configurar opes DHCP
Configurar opes de escopo.
Configurar opes de servidor.
Criar uma classe de usurio para opes.
Habilitar o escopo e configurar a classe de usurio do computador cliente.
2-23
Lio 4
Gerenciamento de um banco de dados DHCP
O banco de dados DHCP armazena informaes sobre as concesses de endereos IP. importante saber
como fazer backup do banco de dados e solucionar os problemas de banco de dados que surgirem. Esta
lio explica como gerenciar o banco de dados e seus dados.
Objetivos
Descrever as tarefas de gerenciamento relacionadas ao DHCP.
Explicar as opes de configurao do servidor DHCP.
Descrever o banco de dados DHCP.
Descrever como so feitos o backup e a restaurao do banco de dados DHCP.
Explicar como um banco de dados DHCP reconciliado.
Explicar como mover a funo Servidor DHCP para outro servidor.
Descrever como gerenciar um banco de dados DHCP.
2-24
2-25
Viso geral dos cenrios de gerenciamento de DHCP
O banco de dados do servidor DHCP contm dados de configurao sobre o servidor DHCP e
informaes sobre as concesses IP do cliente. Se essas informaes forem danificadas ou se tornarem
inconsistentes, podero ocorrer erros de configurao de rede nos computadores cliente. Isso tambm
pode fazer com que o mesmo endereo IP seja oferecido a vrios clientes.
Os cenrios de gerenciamento podem incluir:
Gerenciamento do crescimento do banco de dados DHCP: o banco de dados DHCP se baseia em

um banco de dados Microsoft Jet. Os bancos de dados Jet precisam ser compactados regularmente.
Proteo do banco de dados DHCP: importante preservar as informaes contidas no banco de

dados DHCP. Se o banco de dados do servidor DHCP for corrompido ou perdido, isso poder gerar
problemas graves na configurao de IP.
Garantia de consistncia do banco de dados DHCP: o banco de dados precisa ser exato. Se os
dados de concesso existentes no banco de dados DHCP no corresponderem s informaes sobre
concesso do cliente, podero ocorrer problemas como endereos IP duplicados na rede.
Adio de clientes: talvez seja preciso reconfigurar escopos para oferecer suporte a mais clientes
de rede.
Adio de novos servidores de servio de rede: talvez seja preciso criar reservas ou excluses para
oferecer suporte a servidores configurados estaticamente.
Adio de novas sub-redes: a adio de sub-redes pode levar a alteraes no modo de utilizao
do banco de dados DHCP. Essas alteraes exigem o monitoramento do banco de dados e podem
exigir novas aes de manuteno.
Opes de configurao do Servidor DHCP
As opes de configurao de servidor DHCP definem os comportamentos de todo o servidor.

Determinadas configuraes tambm afetam os escopos que o servidor hospeda.
Opes gerais
As opes gerais permitem que o administrador defina as estatsticas de depurao e soluo de
problemas de DHCP.
Opes DNS
A configurao de opes DNS ser importante se existirem dispositivos ou sistemas operacionais que
no atualizam automaticamente as respectivas informaes de DNS. Ser possvel configurar o servidor
DHCP para atualizar o servidor DNS se o cliente no puder faz-lo.
Geralmente, somente sistemas operacionais de cliente herdado e verses anteriores do Windows que
no podem atualizar dinamicamente o DNS. Por exemplo, computadores cliente com Windows 95 no
podem atualizar o DNS. Portanto, possvel configurar o DHCP para registrar nomes de clientes herdados
com DNS.
Opes de Proteo de Acesso Rede

As opes de Proteo de Acesso Rede permitem que voc configure a NAP para que ela seja imposta
a um ou mais escopos. A NAP permite verificar se as mquinas que esto solicitando um endereo IP
atendem aos requisitos de integridade para computador da sua organizao. Por exemplo, os
computadores cliente que solicitam (e esto recebendo) uma configurao de IP devem ter as
atualizaes de segurana mais recentes, executar um firewall e ter um programa antivrus atualizado
instalado e em execuo.
Opes de filtros
Voc pode usar os filtros para definir a quais endereos MAC as concesses sero oferecidas ou a quais
elas no sero oferecidas. Alm disso, as opes Avanadas permitem definir quais dispositivos fsicos
estaro isentos de filtragem.
2-26
Opes Avanadas
2-27
As opes avanadas permitem que o administrador force o servidor DHCP a procurar conflitos de IP
quando um cliente DHCP solicitar um endereo IP especfico. Isso beneficia clientes mais antigos que
no executam suas prprias verificaes. No entanto, esse processo tambm causa sobrecarga. Portanto,
a configurao recomendada desativar essa definio.
A associao IP permite que o administrador especifique o endereo IP em que o servidor DHCP deve
escutar as mensagens DHCP de entrada.
O que um banco de dados DHCP?
O banco de dados DHCP contm dados relacionados a escopos, concesses de endereo e reservas.
O banco de dados mantm o arquivo de dados que armazena as informaes de configurao do DHCP e
os dados sobre concesso para os clientes que obtiveram a concesso de um endereo do servidor DHCP.
Por padro, os arquivos do banco de dados DHCP so armazenados na pasta
%systemroot%\System32\Dhcp.
Arquivos de banco de dados do servio DHCP

A tabela a seguir descreve os arquivos de banco de dados do servio DHCP.
Arquivo
Descrio
Dhcp.mdb
O arquivo de banco de dados do servidor DHCP.
Dhcp.tmp
Um arquivo temporrio que o banco de dados DHCP usa como arquivo de

permuta durante operaes de manuteno do ndice do banco de dados. s
vezes, esse arquivo permanece no diretrio Systemroot\System32\Dhcp aps
uma falha do sistema.
J50.log e
J50#####.log
Um log de todas as transaes do banco de dados. O banco de dados DHCP

usa esse arquivo para recuperar dados, quando necessrio.
J50.chk
Um arquivo de ponto de verificao.
Importante Voc no deve remover nem alterar os seguintes arquivos: J50.log,

J50#####.log, Dhcp.mdb e Dhcp.tmp.
O banco de dados do servidor DHCP dinmico e atualizado quando os clientes DHCP so atribudos
ou quando liberam seus parmetros de configurao de TCP/IP. Como o banco de dados DHCP no um
banco de dados distribudo como o banco de dados do servidor WINS (Servio de Cadastramento na
Internet do Windows), manter o banco de dados do servidor DHCP menos complexo.
2-28
2-29
O backup do banco de dados DHCP e das entradas de registro relacionadas feito automaticamente em
intervalos especficos (60 minutos pela instalao padro). possvel alterar essa instalao padro
alterando o valor de BackupInterval na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Como so feitos o backup e a restaurao de um banco de dados DHCP
Voc pode fazer backup de um banco de dados DHCP manualmente ou configur-lo para o backup
automtico. Um backup automtico chamado de backup sncrono. Um backup manual chamado
de backup assncrono.
Backup automtico (sncrono)

O caminho de backup padro do DHCP : systemroot\System32\Dhcp\Backup. Como prtica
recomendada, voc pode modificar esse caminho nas propriedades do servidor para apontar para
outro volume.
Backup manual (assncrono)

Se houver uma necessidade urgente de criar um backup, voc poder executar a opo de backup
manual no console DHCP. Essa ao exige permisses de nvel administrativo. A conta de usurio tambm
pode ser membro do grupo Administradores DHCP.
O que includo no backup?

Quando um backup sncrono ou assncrono ocorre, todo o banco de dados DHCP salvo, incluindo
o seguinte:
Todos os escopos, inclusive superescopos e escopos do multicast
Reservas
Concesses
Todas as opes, inclusive as opes de servidor, de escopo, de reserva e de classe
Todas as chaves do Registro e outras definies de configurao (por exemplo, configuraes do log
de auditoria e configuraes do local da pasta) definidas nas propriedades do servidor DHCP. Essas
configuraes so armazenadas na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
2-30
2-31
Para fazer backup dessa chave, abra o Editor do Registro e salve a chave especificada em um
arquivo de texto.
Observao As credenciais para a atualizao dinmica de DNS (nome do usurio,
domnio e senha) usadas pelo servidor DHCP ao registrar computadores cliente DHCP no
DNS no so includas no backup usando qualquer mtodo.
Processo de restaurao
Se voc precisar restaurar o banco de dados, use a funo Restaurar no console do servidor DHCP.
Ser exibida uma solicitao para voc informar o local do backup. Depois de selecionar o local, o
servio DHCP ser interrompido e o banco de dados ser restaurado. Para restaurar o banco de dados,
a conta de usurio deve ter permisses de nvel administrativo ou deve ser membro do grupo
Administradores DHCP.
Segurana de backup
Depois que o backup do arquivo do banco de dados DHCP for feito, ele dever ser colocado em um local
protegido que somente os Administradores DHCP possam acessar. Isso garante que todas as informaes
da rede contidas nos arquivos de backup permaneam protegidas.
Uso do Netsh
Voc tambm pode usar comandos no contexto de dhcp do Netsh para fazer backup do banco dedados;
isso til para fazer backup do banco de dados em um local remoto usando um arquivo de script. Um
exemplo de script que pode ser usado para exportar o arquivo mostrado abaixo.
Esse comando far backup dos dados DHCP de todos os escopos. No prompt DHCP do Netsh, digite
o seguinte:
export c:\My Folder\Dhcp Configuration all
Para restaurar o banco de dados DHCP, use o comando a seguir:

import c:\My Folder\Dhcp Configuration all
Observao Esse contexto Netsh no existe em computadores servidor sem a funo

Servidor DHCP instalada.
Como um banco de dados DHCP reconciliado
A reconciliao de escopos pode corrigir inconsistncias que podem afetar os computadores cliente.
O servio do Servidor DHCP armazena as informaes de concesso de endereos IP do escopo de
duas formas:
Informaes detalhadas sobre a concesso de endereos IP, que o banco de dados DHCP armazena
Informaes resumidas sobre a concesso de endereos IP, que o Registro do servidor armazena
Quando estiver reconciliando escopos, as entradas resumidas e detalhadas so comparadas para localizar
as inconsistncias.
Para corrigir e reparar essas inconsistncias, necessrio reconciliar todas as inconsistncias do escopo.
Assim que voc selecionar e reconciliar as inconsistncias do escopo, o servio DHCP restaurar os
endereos IP para o proprietrio original ou criar uma reserva temporria para eles. Essas reservas so
vlidas pelo perodo de concesso atribudo ao escopo. Aps o vencimento do perodo de concesso,
os endereos sero recuperados para uso posterior.
2-32
2-33
Como mover um banco de dados DHCP
Caso seja preciso mover a funo Servidor DHCP para outro servidor, tambm aconselhvel mover o
banco de dados para o novo servidor; isso garante que as concesses do cliente sejam mantidas e reduz
a probabilidade de que haja problemas na configurao do cliente.
Inicialmente, voc move o banco de dados fazendo o respectivo backup no antigo servidor DHCP. Em
seguida, feche o servio DHCP no antigo servidor DHCP. preciso ento copiar o banco de dados DHCP
no novo servidor, onde ser possvel restaur-lo usando o procedimento normal de restaurao de
bancos de dados.
Demonstrao: Como gerenciar um banco de dados DHCP
Examinar o intervalo de backup.
Fazer backup do banco de dados DHCP.
Reconciliar os dados do escopo.
2-34
2-35
Lio 5
Monitoramento e soluo de problemas de DHCP
O DHCP o servio principal em ambientes de rede de muitas organizaes. Se o servio DHCP no

estiver funcionando corretamente ou se houver uma situao que esteja causando problemas com o
servidor DHCP, ser importante que voc possa identificar o problema e determinar as provveis causas
para resolv-lo.
Objetivos
Descrever os mtodos de monitoramento do DHCP.
Discutir a soluo de problemas comuns que podem surgir com o DHCP.
Explicar como monitorar as estatsticas de DHCP.
Descrever como monitorar o log de auditoria.
Explicar como monitorar o desempenho do servidor DHCP.
Monitorar as estatsticas e o desempenho do DHCP.
Viso geral do monitoramento do DHCP
O DHCP um protocolo dinmico. Em geral, as alteraes no ambiente da rede exigem que voc faa
alteraes no servidor DHCP para acomodar o novo ambiente de rede. Essas alteraes podem surgir
porque h mais clientes na rede, o que pode gerar uma carga de trfego maior no servidor DHCP, ou
porque o servidor DHCP esgotou o pool de endereos. O monitoramento dessas operaes permite
atender s novas necessidades proativamente conforme elas surgem; isso minimiza as interrupes de
servio e o tempo de inatividade.
O DHCP tem trs fontes de informaes que podem ser usadas para monitoramento:
Estatsticas de DHCP
Eventos de DHCP no Visualizador de Eventos
Dados de desempenho do DHCP
2-36
2-37
Discusso: Problemas comuns do DHCP
A tabela a seguir descreve e fornece exemplos de problemas comuns de DHCP.

Problema
Descrio
Exemplo
Conflitos de
endereo
O mesmo endereo IP
Um administrador exclui uma concesso.
oferecido a dois clientes distintos. No entanto, o cliente que tinha a concesso
ainda pensa que a concesso vlida. Se o
servidor DHCP no verificar o IP, ele poder
conceder o IP outra mquina, causando
um conflito de endereos. Isso tambm
ocorrer se dois servidores DHCP tiverem
escopos sobrepostos.
Falha ao obter um
endereo DHCP
O cliente no recebe um
endereo DHCP e recebe um
endereamento APIPA
autoatribudo.
Se o driver de placa de rede do cliente

estiver configurada incorretamente, poder
ocorrer uma falha na obteno de um
endereo DHCP. Alm disso, a falha pode
ocorrer no servidor DHCP ou no agente de
rel na sub-rede do cliente.
Endereo obtido do
escopo incorreto
O cliente est obtendo um

endereo IP do escopo incorreto,
causando problemas de
comunicao.
Isso geralmente ocorre porque o cliente

est conectado rede errada ou o agente
de rel DHCP foi configurado
incorretamente.
O banco de dados
DHCP sofre danos
ou perda de dados
O banco de dados DHCP ficou

ilegvel ou se perdeu devido a
uma falha de hardware.
Uma falha de hardware pode corromper o

banco de dados.
O servidor DHCP
esgota seu pool de
endereos IP
Os escopos de IP do servidor
DHCP se esgotaram. Qualquer
cliente novo que solicite um
endereo IP ser recusado.
Todos os IPs atribudos a um escopo so

concedidos.
O que so as estatsticas de DHCP?
As estatsticas de DHCP fornecem informaes sobre a atividade e o uso do DHCP. Voc pode usar esse
console para determinar rapidamente se h algum problema com o servio DHCP ou com os clientes
DHCP da rede. Um exemplo em que as estatsticas podem ser teis quando o administrador percebe
uma grande quantidade de pacotes NACK (confirmao negativa), o que pode indicar que o servidor no
est fornecendo os dados corretos aos clientes.
possvel configurar a taxa de atualizao das estatsticas na guia Geral das propriedades do servidor.
Estatsticas de servidor DHCP

As estatsticas do servidor apresentam uma viso geral do uso do DHCP. Voc pode usar esses dados para
conhecer rapidamente o estado do servidor DHCP. Informaes como nmero de ofertas, nmero de
solicitaes, total de endereos em uso e total disponvel podem ajudar a fornecer um panorama sobre a
integridade do servidor.
Estatsticas do escopo DHCP

As estatsticas do escopo fornecem menos detalhes, como o total de endereos no escopo, a quantidade
de endereos em uso e a quantidade disponvel. Se voc perceber uma baixa quantidade de endereos
disponveis nas estatsticas do servidor, pode ser que seja apenas um escopo prximo ao ponto de
esgotamento. Ao usar as estatsticas do escopo, um administrador pode determinar rapidamente o status
do escopo especfico em relao aos endereos disponveis.
2-38
2-39
O que o arquivo de log de auditoria de DHCP?
O log de auditoria oferece um log rastrevel das atividades do servidor DHCP. Voc pode usar esse log
para rastrear solicitaes, consentimentos e negaes de concesso, e essas informaes permitem
solucionar problemas no desempenho do servidor DHCP. Os arquivos de log so armazenados na pasta
%systemroot%\system32\dhcp por padro. Voc pode configurar o arquivo de log na caixa de dilogo
Propriedades do servidor. Os arquivos recebem nomes com base no dia da semana em que so gerados.
Por exemplo, se o log de auditoria for habilitado em uma segunda-feira, o nome do arquivo ser
DhcpSrvLog-Seg.log.
Campos de um log de auditoria de DHCP

A tabela a seguir descreve os campos em um log de auditoria de DHCP.
Arquivo
Descrio
ID
Um cdigo de identificao de evento do servidor DHCP.
Data
A data em que a entrada foi registrada em log no servidor DHCP.
Hora
A hora em que a entrada foi registrada em log no servidor DHCP.
Descrio
Uma descrio do evento do servidor DHCP.
Endereo IP
O endereo IP do cliente DHCP.
Nome do host
O nome do host do cliente DHCP.
Endereo MAC
O endereo MAC utilizado pelo hardware do adaptador de rede do cliente.
Cdigos comuns de ID do evento

Os cdigos comuns de ID do evento incluem:
ID,Data,Hora,Descrio,Endereo IP,Nome de Host,Endereo MAC
00,06/22/99,22:35:10,Started,,,,
56, 06/22/99,22:35:10,Authorization failure, stopped servicing,,domain1.local,,
55, 06/22/99,22:45:38,Authorized(servicing),,domain1.local
2-40
2-41
Monitoramento do desempenho do servidor DHCP
Os contadores de desempenho do DHCP so disponibilizados aps a instalao da funo Servidor DHCP.

Voc pode usar o Monitor de Desempenho para carregar os contadores de desempenho.
Geralmente, um servidor DHCP no deve ser submetido a uma carga de rede intensa. Entretanto, se voc
observar que os comprimentos das filas registram consistentemente valores altos, verifique se existem
gargalos no servidor que possam estar retardando o desempenho do DHCP.
A tabela a seguir lista contadores comuns de desempenho e fornece recomendaes sobre o que
procurar aps o estabelecimento de uma linha de base.
Contadores de
desempenho
Recomendao
Pacotes
recebidos/s
Monitore aumentos ou quedas repentinas, o que pode indicar problemas na rede.
Pacotes
expirados/s
Monitore aumentos repentinos. Um nmero muito alto indica que o servidor est
levando muito tempo para processar alguns pacotes enquanto outros pacotes so
colocados em fila e se tornam obsoletos, ou o trfego na rede est muito intenso
para o gerenciamento do servidor.
Solicitaes/s
Monitore aumentos ou quedas repentinas, o que pode indicar problemas na rede.
Milissegundos
por pacote
Monitore aumentos repentinos. Um aumento repentino ou incomum pode indicar

um problema com o subsistema de E/S (entrada/sada) que fica mais lento ou um
problema devido a uma sobrecarga de processamento intrnseco no computador
do servidor.
Comprimento de
fila ativa
Monitore aumentos repentinos e graduais, que podem indicar um aumento da

carga ou uma diminuio da capacidade do servidor.
Duplicados
removido/s
Monitore qualquer atividade que possa indicar que mais de uma solicitao est
sendo transmitida em nome dos clientes.
Demonstrao: Como monitorar o DHCP
Exibir estatsticas do servidor.
Exibir os arquivos de log.
Usar o Monitor de Rede para monitorar o DHCP.
2-42
Lio 6
Configurao da segurana de DHCP
2-43
O protocolo DHCP no tem nenhum mtodo interno pra autenticao de usurios. Isso significa que se
voc no tiver cuidado, as concesses de IP podero ir para dispositivos e usurios mal-intencionados.
Esta lio explica como impedir que usurios no autorizados obtenham uma concesso, como gerenciar
servidores DHCP no autorizados e como configurar servidores DHCP para que um grupo especfico
possa gerenci-los.
Objetivos
Impedir que um usurio no autorizado obtenha uma concesso.
Impedir que servidores DHCP no autorizados concedam endereos IP aos clientes DHCP.
Restringir as pessoas que podem administrar a funo Servidor DHCP.
Impedir um computador no autorizado de obter uma concesso
Pode ser difcil que o DHCP consiga se proteger sozinho. Isso porque o protocolo foi elaborado para
funcionar antes que as informaes necessrias estejam prontas para a autenticao de um computador
cliente com um controlador de domnio.
As precaues bsicas necessrias para limitar o acesso no autorizado incluem:
Certifique-se de reduzir o acesso fsico: se os usurios puderem acessar uma conexo de rede
ativa, provavelmente os respectivos computadores podero obter um endereo IP. Se uma porta
de rede no estiver sendo usada, recomendvel desconect-la fisicamente da infraestrutura de
alternncia.
Habilite o log de auditoria em todos os servidores DHCP: isso pode fornecer uma viso histrica
da atividade, alm de permitir o rastreamento quando um usurio potencialmente malicioso obtiver
um endereo IP na rede. Certifique-se de programar o tempo em intervalos regulares para verificar
os logs de auditoria.
Exija conexes de Camada 2 autenticadas com a rede: a maioria dos comutadores corporativos de
hardware oferece suporte autenticao IEEE (Institute of Electrical and Electronics Engineers, Inc.)
802.1X Isso permite a autenticao do usurio no nvel de porta. Proteja padres sem fios, como WPA
Enterprise e WPA2 Enterprise, tambm usando a autenticao 802.1X.
Implemente a NAP: a NAP permite aos administradores confirmar se um computador cliente

compatvel com os requisitos de integridade do sistema, como estar executando todas as atualizaes
mais recentes do Windows ou executando um cliente antivrus atualizado. Se um usurio que no
atende aos requisitos de segurana tentar acessar a rede, ele receber uma configurao de endereo
IP para acessar uma rede de correo em que seja possvel receber as atualizaes necessrias. O
administrador tambm pode restringir o acesso rede permitindo que somente computadores
ntegros acessem a LAN (rede local) interna.
2-44
2-45
Impedir servidores DHCP no Microsoft e no autorizados de conceder

endereos IP
Vrios dispositivos e sistema operacionais de rede possuem implementaes de servidor DHCP. A

natureza das redes raramente homognea. Portanto, possvel que, em algum momento, um servidor
DHCP que no procure servidores autenticados pelo Active Directory seja habilitado na rede. Nesse caso,
os clientes podem obter dados de configurao incorretos.
Para eliminar um servidor DHCP no autorizado, voc deve localiz-lo e desabilitar sua comunicao na
rede fisicamente ou desabilitar o servio DHCP.
Se os usurios reclamarem que no tm conectividade rede, verifique o endereo IP dos seus servidores
DHCP. Use o comando ipconfig /all para verificar o endereo IP do campo Servidor DHCP. Se esse no for
o endereo IP de um servidor DHCP autorizado, possvel que haja um servidor no autorizado na rede.
Use o utilitrio Localizador de Servidor DHCP (Dhcploc.exe) para localizar os servidores DHCP ativos em
uma sub-rede.
Restrio da administrao do DHCP
importante assegurar que apenas pessoas autorizadas possam administrar a funo Servidor DHCP.
Isso pode ser feito de duas maneiras:
Limitando a associao do grupo Administradores DHCP
Atribuindo usurios que exigem acesso somente leitura associao DHCP do grupo Usurios DHCP
O grupo Administradores DHCP est nos grupos internos dos controladores de domnio ou em servidores
locais, uma vez que o grupo local Administradores DHCP utilizado para impedir e permitir acesso para
administrar os servidores DHCP.
Permisses necessrias para autorizar e administrar o DHCP

A autorizao de um servio DHCP est disponvel apenas para os administradores corporativos. Se um
administrador de nvel inferior precisar autorizar o domnio, use a delegao do Active Directory.
Administradores DHCP
Todo usurio pertencente ao grupo Administradores DHCP pode gerenciar o servio DHCP no servidor.
Usurios DHCP
Todo usurio pertencente ao grupo Usurios DHCP pode ter acesso somente leitura ao console.
2-46
2-47
Laboratrio: Configurao e soluo de problemas da

funo Servidor DHCP
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-RTR, 10221B-NYC-SVR2 e 10221B-NYC-CL2.
A Contoso est implantando o DHCP em suas filiais. A tolerncia a falhas importante, e voc
responsvel por configurar os servios DHCP tanto na matriz quanto nas filiais para oferecer suporte
aos requisitos.
Planejar uma configurao DHCP adequada
Instalar a funo Servidor DHCP no NYC-SVR2
Configurar escopos nos servidores DHCP da matriz e filial
Testar a funcionalidade do cliente com o servidor DHCP primrio online e, em seguida, simular uma
falha de conexo com a matriz
Solucionar problemas comuns do DHCP
2-48
2-49
Exerccio 1: Seleo de uma configurao DHCP adequada

Cenrio
Neste exerccio, voc selecionar uma configurao DHCP adequada para oferecer suporte ao ambiente
da filial.
1.
Ler o documento a seguir Plano de infraestrutura de rede da filial: DHCP.
2.
3.
Plano de infraestrutura de rede da filial: DHCP

Nmero de referncia do documento: CW0703/1
Autor do
documento
Data
Charlotte Weiss
7 de maro
Requisitos
Especifique como voc planeja implementar o DHCP para oferecer suporte aos requisitos da sua filial.
importante que nenhuma falha nos links de comunicao, roteador ou servidor afete negativamente
os usurios.
Propostas
1. Quantos servidores DHCP voc prope implantar na regio?
2. Onde voc pretende implantar esses servidores?
3. Como voc pretende fornecer a tolerncia a falhas da alocao de endereo IP?
4. Como os clientes em uma filial obtero uma configurao de IP se o respectivo servidor DHCP
estiver offline?
Tarefa 1: Ler os requisitos em Plano de infraestrutura de rede da filial: DHCP
Estude o diagrama de rede e leia a seo de requisitos do documento Plano de infraestrutura de rede
da filial: DHCP.
Responda s perguntas no documento Plano de infraestrutura de rede da filial: DHCP.
Examine o documento completo Plano de infraestrutura de rede da filial: DHCP na Resposta do

Laboratrio e esteja preparado para discutir suas solues com a turma.
Resultados: ao fim deste exerccio, voc ter determinado a configurao DHCP adequada para
a Contoso.
Exerccio 2: Implementao de DHCP

Cenrio
Neste exerccio, voc implementar a configurao DHCP de filial que selecionou.
1.
Instalar a funo DHCP em NYC-SVR2.
2.
Habilitar a retransmisso DHCP.
3.
Autorizar a funo Servidor DHCP em NYC-SVR2.
4.
Criar o escopo exigido pela filial.
Tarefa 1: Instalar a funo DHCP em NYC-SVR2

1.
Alterne para NYC-SVR2.
2.
Abra o Gerenciador de Servidores e instale a funo Servidor DHCP. Aceite todos os padres
durante o assistente para Adicionar Funo, exceto:
3.
Desabilitar o modo sem monitorao de estado de DHCPv6 para este servidor
Ignorar a autorizao deste servidor DHCP no AD DS
Feche o Gerenciador de Servidores.
Tarefa 2: Habilitar a retransmisso DHCP

1.
Alterne para NYC-RTR.
2.
Abra o Roteamento e Acesso Remoto.
3.
Use as etapas a seguir para adicionar o agente de rel DHCP ao roteador:
4.
No painel de navegao, expanda IPv4, clique com o boto direito do mouse em Geral e clique
em Novo Protocolo de Roteamento.
Na lista Protocolos de roteamento, clique em Agente de Retransmissao DHCP e clique

em OK.
No painel de navegao, clique com o boto direito do mouse em Agente de Retransmissao

DHCP e clique em Nova Interface.
Na caixa de dilogo Nova Interface para Agente de Retransmissao DHCP, clique em Conexo
Local 2 e clique em OK.
Na caixa de dilogo Propriedades do Rel DHCP Propriedades da Conexo Local 2,

clique em OK.
Repita essas etapas para Conexo Local.
Clique com o boto direito do mouse em Agente de Retransmissao DHCP e clique em

Propriedades.
Na caixa de dilogo Propriedades do Agente de Retransmissao DHCP, na caixa Endereo do

servidor, digite 10.10.0.10, clique em Adicionar e em OK.
Feche o Roteamento e Acesso Remoto.
2-50
Tarefa 3: Autorizar a funo Servidor DHCP em NYC-SVR2

1.
2.
Abra o DHCP.
3.
Autorize o servidor nyc-svr2.contoso.com no AD DS.
Tarefa 4: Criar o escopo exigido pela filial

1.
No DHCP, no painel de navegao, expanda nyc-svr2.contoso.com, expanda IPv4, clique com o

boto direito do mouse em IPv4 e clique em Novo Escopo.
2.
Crie um novo escopo com as seguintes propriedades:
Nome: Filial
Intervalo de endereos IP: 172.16.16.4 > 172.16.16.254
Mscara de sub-rede: 255.255.255.0
Excluses: 172.16.16.200 > 172.16.16.254
Outras configuraes usam valores padro
Configurar opes:
Roteador: 172.16.16.1
Ativar escopo
Resultados: ao fim deste exerccio, voc ter configurado o servidor DHCP da filial.
2-51
Exerccio 3: Reconfigurao do DHCP na matriz

Cenrio
Neste exerccio, voc ir reconfigurar o servidor DHCP na matriz para fornecer um escopo aos clientes
na filial.
1.
Adicionar o escopo da filial em NYC-DC1.
Tarefa 1: Adicionar o escopo da filial em NYC-DC1

1.
Alterne para NYC-DC1.
2.
Abra o DHCP.
3.
No DHCP, no painel de navegao, expanda nyc-dc1.contoso.com, expanda IPv4, clique com o

boto direito do mouse em IPv4 e clique em Novo Escopo.
4.
Crie um novo escopo com as seguintes propriedades:
Nome: Escopo de backup da filial
Intervalo de endereos IP: 172.16.16.4 > 172.16.16.254
Excluses: 172.16.16.4 > 172.16.16.199
Configurar opes:
Roteador: 172.16.16.1
Ativar escopo
Resultados: ao fim deste exerccio, voc ter criado os escopos necessrios em ambos os
servidores DHCP.
2-52
Exerccio 4: Teste da configurao

Cenrio
Neste exerccio, voc verificar se os computadores cliente podem obter uma configurao de IP do
servidor DHCP da filial local.
1.
Configurar o NYC-CL2 para DHCP.
2.
Examinar os pacotes DHCP.
Tarefa 1: Configurar o NYC-CL2 para DHCP

1.
Alterne para NYC-CL2.
2.
Abra o Monitor de Rede 3.4.
3.
Inicie uma nova captura.
4.
Reconfigure a Conexo Local 3:
Configure Protocolo TCP/IP Verso 4 (TCP/IPv4):
Obter um endereo IP automaticamente
Obter o endereo dos servidores DNS automaticamente
Tarefa 2: Examinar os pacotes DHCP

1.
Alterne para o Monitor de Rede.
2.
Interrompa a captura.
3.
Aplique um filtro da seguinte maneira:
Clique em Carregar Filtro, aponte para Filtros Padro, para Exemplos Bsicos e clique em
Filtro de Protocolo DNS.
Na caixa de texto Filtro de Exibio, localize o texto DNS e altere-o para DHCP.
Clique em Aplicar.
4.
Agora examine os quadros capturados. No Resumo do Quadro, clique no quadro com o Destino
255.255.255.255 e a descrio que contenha OFERTA.
5.
No painel Detalhes do Quadro, expanda Dhcp.

Qual o IP do servidor?
Que servidor esse?
Resultados: ao fim deste exerccio, voc ter configurado o cliente para obter um endereo IP
dinamicamente do servidor da filial local.
2-53
Exerccio 5: Soluo de problemas de DHCP

Cenrio
Neste exerccio, voc simular uma falha do servidor da filial e verificar se os clientes podem obter uma
configurao de IP do servidor DHCP da matriz por meio de um roteador.
1.
Desligar o servidor DHCP em NYC-SVR2.
2.
Renovar o endereo IP em NYC-CL2.
Tarefa 1: Desligar o servidor DHCP em NYC-SVR2

1.
2.
No DHCP, clique com o boto direito do mouse em nyc-svr2.contoso.com, clique em Todas as

Tarefas e em Parar.
Tarefa 2: Renovar o endereo IP em NYC-CL2

1.
2.
Abra um prompt de comando, digite Ipconfig.exe /release e pressione ENTER.
3.
Altere para o Monitor de Rede e inicie uma nova captura.
4.
No prompt de comando, digite ipconfig /renew e pressione ENTER.
5.
Interrompa a captura.
6.
Aplique um filtro da seguinte maneira:
Clique em Carregar Filtro, aponte para Filtros Padro, para Exemplos Bsicos e clique em
Filtro de Protocolo DNS.
Na caixa de texto Filtro de Exibio, localize o texto DNS e altere-o para DHCP. Clique em
Aplicar.
7.
255.255.255.255 e a descrio que contenha OFERTA.
8.

Qual o IP do servidor?
Que servidor esse?
Resultados: ao fim deste exerccio, voc ter verificado se o cliente pode obter um endereo IP da matriz
quando o servidor local estiver indisponvel.
2-54

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-SVR2, 10221B-NYC-RTR e 10221B-NYC-CL2.
2-55
Perguntas de reviso
1.
Voc tem duas sub-redes em sua organizao e deseja usar o DHCP para alocar endereos a
computadores cliente em ambas as sub-redes. Voc no deseja implantar dois Servidores DHCP.
Quais fatores devem ser considerados?
2.
Sua organizao cresceu e seu escopo IPv4 chegou perto de esgotar os endereos. O que pode ser
feito nesse caso?
3.
Quais informaes so necessrias para configurar uma reserva DHCP?
4.
aconselhvel configurar a opo 003 - Roteador como uma opo de escopo DHCP no nvel de
servidor?
Ferramentas
Ferramenta
Use para
Onde encontr-la
IPConfig.exe
Gerenciar e solucionar problemas de configuraes de

IP do cliente
Linha de comando
Netsh.exe
Configurar definies de IP do cliente e do servidor,

incluindo as da funo Servidor DHCP
Linha de comando
Regedit.exe
Editar e fazer o ajuste fino das configuraes, incluindo

as da funo Servidor DHCP
Interface do Windows
DHCPLoc.exe
Localizar servidores DHCP na sub-rede local
Linha de comando
Monitor de Rede
Capturar e analisar o trfego DHCP em uma sub-rede
Interface do Windows
2-56
3-1
Mdulo 3
Configurao e soluo de problemas de DNS
Contedo:
Lio 1: Instalao da funo Servidor DNS
3-3
Lio 2: Configurao da funo Servidor DNS
3-14
Lio 3: Configurao de zonas DNS
3-25
Lio 4: Configurao de transferncias de zona DNS
3-34
Lio 5: Gerenciamento e soluo de problemas de DNS
3-39
3-52
Viso geral do mdulo
O DNS (Sistema de Nomes de Domnio) o servio de nomes bsico no Windows Server 2008 R2.
essencial que voc entenda como implantar, configurar e gerenciar esse importante servio, bem
como resolver os problemas relacionados.
Objetivos
Instalar a funo Servidor DNS
Configurar a funo Servidor DNS.
Criar e configurar zonas DNS.
Configurar transferncias de zona.
Gerenciar o DNS e solucionar problemas relacionados.
3-2
Lio 1
Instalao da funo Servidor DNS
3-3
Para oferecer suporte aos servios de rede na sua organizao, voc precisa instalar e configurar a funo
Servidor DNS do Windows Server 2008 R2.
Objetivos
Explicar a funo e os benefcios do DNS na infraestrutura de rede.
Explicar o que um namespace DNS.
Descrever os novos recursos fornecidos na verso do DNS do Windows Server 2008.
Descrever os novos recursos fornecidos na verso do DNS do Windows Server 2008 R2.
Instalar a funo Servidor DNS.
Descrever os pontos a serem levados em considerao ao implantar um Servidor DNS.
Viso geral da funo Sistema de Nomes de Domnio
3-4
O DNS um servio de resoluo de nomes que resolve nomes para endereos IP. O servio DNS um
banco de dados hierrquico distribudo. O banco de dados separado em termos lgicos, o que permite
que vrios servidores diferentes hospedem o banco de dados mundial de nomes DNS.
Como o DNS oferece suporte base do esquema de nomenclatura na Internet
O DNS um servio mundial que permite digitar um nome de domnio (por exemplo, Microsoft.com) que
o computador resolve para um endereo IP. O benefcio que os endereos IPv4 podem ser longos e de
difcil memorizao (por exemplo, 131.107.0.32), enquanto lembrar um nome de domnio mais fcil.
Alm disso, voc pode usar nomes de host que no se alteram, enquanto os endereos IP subjacentes
podem ser alterados para se adequarem s suas necessidades organizacionais.
No incio, havia apenas um arquivo na Internet que continha uma lista de todos os nomes de domnio
e os respectivos endereos IP. Rapidamente, essa lista se tornou extensa demais para ser gerenciada e
distribuda. O DNS foi desenvolvido para solucionar os problemas associados ao uso de um nico arquivo.
Com a adoo do IPv6, o DNS se tornar ainda mais essencial, pois os endereos IPv6 (por exemplo,
2001:db8:4136:e38c:384f:3764:b59c:3d97) so mais complexos que os endereos IPv4.
Como o DNS oferece suporte base do esquema de nomenclatura de domnios

Active Directory de uma organizao
O DNS responsvel por resolver os recursos em um domnio AD DS (Servios de Domnio
Active Directory). Voc deve instalar a funo DNS para instalar o AD DS. O DNS fornece informaes
aos clientes da estao de trabalho para permitir que faam logon na rede. O DNS resolve recursos
no domnio, como servidores, estaes de trabalho, impressoras e pastas compartilhadas. Um
servidor DNS configurado incorretamente pode ocasionar muitos problemas no AD DS.
3-5
Viso geral do namespace DNS
O namespace DNS facilita o modo como um resolvedor de DNS localiza um computador. O namespace
organizado em hierarquias para distribuir informaes entre vrios servidores.
Domnio raiz
Um domnio raiz representado por um ponto (.) que, geralmente, voc no digita em um navegador
da Web porque esse (.) j pressuposto. Na prxima vez em que voc digitar um endereo em um
computador, tente adicionar um ponto no final (por exemplo, www.microsoft.com/pt/br/.). Existem 13
servidores de domnios raiz no mundo inteiro.
Observao
Ao solucionar problemas de DNS, comum especificar o ponto direita.
Domnio de primeiro nvel

O domnio de primeiro nvel o primeiro nvel do namespace DNS. Exemplos de domnios de nvel
superior na Internet so .com, .net, .org, .biz e .ca. Os domnios mais reconhecidos so .com, .net, .org,
e para o governo norte-americano, .gov. Muitos mais nomes de domnio esto nesse nvel e novos
so adicionados ocasionalmente. Tambm existe um TLD (domnio de primeiro nvel) para cada pas.
Por exemplo, no Canad .ca e no Reino Unido .co.uk. O rgo que regulamenta esses domnios
chamado de ICANN (Internet Corporation for Assigned Names and Numbers).
Domnio de segundo nvel
O nome de domnio de segundo nvel a parte do nome do domnio que vem antes do TLD. Um
exemplo de nome de domnio de segundo nvel microsoft no domnio www.microsoft.com/pt/br/.
As organizaes que registram nomes de domnio de segundo nvel controlam esses nomes. Qualquer
pessoa pode registrar um nome de domnio de segundo nvel atravs de servio um registro da Internet.
Vrios domnios de segundo nvel tm regras especiais sobre quem ou o que pode registrar um nome de
domnio. Por exemplo, somente as organizaes sem fins lucrativos podem utilizar o domnio .org.
Subdomnio
O subdomnio aparece antes dos domnios de nvel superior e de segundo nvel. Um exemplo de
subdomnio www no nome de domnio www.microsoft.com/pt/br/. Os subdomnios so definidos
no servidor DNS da organizao que mantm o servidor DNS de segundo nvel.
Nome de Domnio Totalmente Qualificado

Um FQDN (nome de domnio totalmente qualificado) o nome DNS explcito, que contm o nome do
computador e os subdomnios para o domnio raiz. Por exemplo, se o computador for designado como
Serverr1 no domnio sales.south.contoso.com, o FQDN desse computador ser
server1.sales.south.contoso.com.
Padres de nomenclatura DNS

Os seguintes caracteres so vlidos para nomes DNS:
A-Z
a-z
0-9
Hfen (-)
Observao
O sublinhado (_) um caractere reservado.
3-6
3-7
Melhorias do DNS no Windows Server 2008
Voc perceber algumas das vantagens de usar o Windows Server 2008 com os novos recursos que ele
inclui para a funo Servidor DNS. Esses recursos incluem carregamento de zona em segundo plano,
suporte para IPv6, para controladores de domnio somente leitura e para nomes globais nicos.
Carregamento de zona em segundo plano

Os servidores DNS que hospedam grandes zonas DNS armazenadas pelo AD DS
(Servios de Domnio Active Directory) podem responder mais rapidamente s consultas feitas pelos
clientes quando reinicializados, pois agora os dados das zonas so carregados em segundo plano.
Suporte ao IPv6
Agora o servio Servidor DNS oferece suporte consulta e ao registro dinmico do host IPv6 (IP verso 6)
e aos registros de ponteiro por IPv6. Um registro de host IPv6 conhecido como um registro AAAA.
Suporte para RODCs

A funo Servidor DNS no Windows Server 2008 fornece zonas primrias somente leitura nos RODCs
(controladores de domnio somente leitura). Os alunos precisam saber que essa uma funo nova
que permite a implantao dos controladores de domnio e servidores DNS em locais remotos que no
dispem de segurana fsica. Um RODC no pode executar uma operao de write-back de informaes
nos servidores completos do Active Directory e DNS.
Observao Quando um controlador de domnio implantado como um RODC, uma
cpia somente leitura da zona DNS do domnio e da zona DNS corporativa so replicadas
no RODC. Uma zona DNS em um RODC no pode ser modificada.
Nomes globais nicos

O servio Servidor DNS no Windows Server 2008 fornece um novo tipo de zona, a zona GlobalNames,
para armazenar os nomes de rtulo nico que so exclusivos em uma floresta inteira. Isso evita a
necessidade de usar o WINS (Servio de Cadastramento na Internet do Windows) baseado no NetBIOS
para oferecer suporte para nomes de rtulo nico.
Lista de bloqueios global de consulta

O recurso de atualizao dinmica do DNS do Windows Server permite que os computadores do
resolvedor de DNS registrem e atualizem dinamicamente seus registros de recursos com o respectivo
servidor DNS configurado, sempre que necessrio. No entanto, esse comportamento conveniente pode
permitir que um usurio mal-intencionado adote um nome especial e desvie determinados tipos de
trfego de rede para seu prprio computador.
3-8
Para ajudar a impedir esse controle, a funo Servidor DNS no Windows Server 2008 inclui uma lista de
bloqueios global de consulta que pode ajudar a impedir que um usurio mal-intencionado adote nomes
DNS que tenham significado especial.
3-9
Melhorias do DNS no Windows Server 2008 R2
O Windows Server 2008 R2 apresenta funcionalidade adicional dos recursos que esto includos no
Windows Server 2008.
Extenses de Segurana do DNS

As zonas do Windows Server 2008 R2 oferecem suporte DNSSEC (Extenses de Segurana do DNS);
isso significa que voc pode assinar e hospedar zonas assinadas pela DNSSEC a fim de fornecer mais
segurana sua infraestrutura de resoluo de nomes.
A DNSSEC so extenses para o protocolo DNS, definido na RFC 4033, 4034 e 4035; essas extenses
adicionam autoridade de origem, integridade de dados e autenticam a negao da existncia para DNS.
Essas alteraes habilitam suas zonas DNS e os registros contidos nelas a serem assinados digitalmente.
Devoluo do DNS
Com a devoluo do DNS, um resolvedor de DNS, como o Internet Explorer, acrescenta o sufixo pai a um
FQDN (nome de domnio totalmente qualificado) de DNS incompleto. Por exemplo, se o usurio inseriu
http://server1 na barra de endereos do Internet Explorer, supondo que o sufixo primrio do cliente que
est executando o Internet Explorer seja sales.contoso.com, isso o que ser acrescentado. Se resoluo
for malsucedida, ento o pai de Contoso.com ser acrescentado e assim por diante.
Devoluo o comportamento no AD DS que permite aos computadores cliente que so membros
de um domnio filho acessar recursos no domnio pai sem a necessidade de fornecer explicitamente
o FQDN do recurso.
O cliente do resolvedor de DNS no Windows Server 2008 R2 e no Windows 7 apresenta nveis de

devoluo, que fornecem controle de rtulos onde a devoluo interrompida. Anteriormente, havia
dois nveis efetivos de devoluo. Agora voc pode especificar o nvel de devoluo, permitindo controle
preciso do limite organizacional no seu domnio AD DS quando os clientes tentam resolver recursos no
domnio.
Bloqueio do cache DNS
3-10
Quando voc habilita o bloqueio do cache, o servidor DNS no permite que os registros em cache sejam
substitudos enquanto durar o valor TTL (vida til). O bloqueio de cache fornece segurana avanada
contra ataques por envenenamento do cache.
Pool de soquetes DNS

Em vez de usar uma porta de origem predeterminada (TCP ou UDP 53) ao emitir consultas, o servidor
DNS usa um nmero de porta aleatrio selecionado em um pool, conhecido como o pool de soquetes.
O pool de soquetes dificulta os ataques por envenenamento do cache, pois um invasor precisa adivinhar
exatamente a porta de origem de uma consulta DNS, alm de uma ID de transao aleatria para
executar um ataque com sucesso.
Tabela de Diretivas de Resoluo de Nomes
Para separar o trfego da Internet do trfego da intranet para o DirectAccess, o Windows Server 2008 R2
e o Windows 7 incluem a NRPT (Tabela de Diretivas de Resoluo de Nomes), um recurso que permite
definir servidores DNS para cada namespace DNS, e no para cada interface. A NRPT armazena uma lista
de regras. Cada regra define um namespace DNS e definies de configurao que descrevem o
comportamento do cliente DNS para esse namespace. Quando um cliente do DirectAccess estiver na
Internet, cada solicitao de consulta de nome comparada com as regras de namespace armazenadas
na NRPT. Se uma correspondncia for encontrada, a solicitao ser processada de acordo com as
configuraes na regra NRPT.
Demonstrao: como instalar a funo Servidor DNS
Esta demonstrao mostra como instalar a funo Servidor DNS.
3-11
Consideraes para implantar a funo Servidor DNS
Ao planejar a implantao do DNS, h vrias consideraes que precisam ser revistas:
3-12
Quantas zonas DNS voc ir configurar no servidor e quantos registros de DNS cada zona conter?
Normalmente, as zonas so mapeadas uma para uma com domnios no seu namespace. Quando
voc tiver um grande nmero de registros, pode ser mais sensato dividir os registros em vrias zonas.
Quantos clientes DNS se comunicaro com o servidor no qual voc configurar a funo DNS?
Quanto mais resolvedores de cliente houver, mais carga ser colocada no servidor. Quando houver
previso de carga adicional, pense em implantar mais servidores DNS.
Onde voc colocar os servidores DNS? Por exemplo, voc centralizar os servidores ou seria mais
conveniente coloc-los nas filiais? Se houver menos clientes em uma filial, a maioria das solicitaes
de DNS poder ser atendida com um servidor DNS central ou pela implementao de um servidor
somente de cache. Um grande nmero de usurios em uma filial pode se beneficiar de um servidor
DNS local com dados de zona adequados.
As respostas dadas s perguntas acima determinaro quantos servidores DNS devem ser implantados e
onde eles devem ser colocados.
Integrao do Active Directory

A funo DNS do Windows Server 2008 pode armazenar o banco de dados DNS de duas maneiras
distintas, conforme mostrado na tabela a seguir:
Mtodo de
armazenamento
Descrio
Arquivo de texto
A funo Servidor DNS armazena as entradas DNS em um arquivo de texto,

que voc pode editar com um editor de texto.
Active Directory
A funo Servidor DNS armazena as entradas DNS no banco de dados do Active

Directory; esse banco de dados pode ser replicado em outros controladores de
domnio, mesmo que eles no estejam executando a funo DNS do Windows
Server 2008. No possvel utilizar um editor de texto para editar os dados DNS
armazenados no Active Directory.
3-13
As zonas integradas do Active Directory so mais fceis de gerenciar do que as zonas baseadas em
texto tradicionais, alm de serem mais seguras. A replicao dos dados da zona ocorre como parte
da replicao do Active Directory.
Posicionamento do servidor DNS

Em geral, voc implantar a funo DNS em todos os controladores de domnio. Se decidir implementar
alguma outra estratgia, lembre-se dos seguintes pontos:
Como os computadores cliente resolvem nomes quando o respectivo servidor DNS se torna
indisponvel?
Qual ser o impacto no trfego da rede se os computadores cliente comearem a usar um servidor
DNS alternativo, talvez localizado remotamente?
Como voc implementar transferncias de zona? As zonas integradas do Active Directory usam
a replicao do Active Directory para transferir a zona para todos os outros controladores de
domnio. Ao implementar zonas integradas no pertencentes ao Active Directory, ser preciso
que voc mesmo planeje o mecanismo de transferncia de zona.
Lio 2
Configurao da funo Servidor DNS
A infraestrutura do DNS a base para a resoluo de nomes na Internet e nos domnios Active Directory
do Windows Server 2008. Esta lio fornece orientao e informaes sobre o que necessrio para
configurar a funo Servidor DNS, e explica as funes bsicas de um servidor DNS.
Objetivos
Liste os componentes de uma soluo DNS.
Descrever os registros de recursos DNS.
Explicar como funcionam as dicas de raiz.
Descrever como funcionam os vrios tipos de consulta DNS.
Explicar como funcionam o encaminhamento e o encaminhamento condicional.
Explicar como funciona o cache do servidor DNS.
Configurar as propriedades da funo Servidor DNS.
3-14
Quais so os componentes de uma soluo DNS?
3-15
Os componentes de uma soluo DNS incluem servidores DNS, servidores DNS na Internet e resolvedores
ou clientes DNS.
Servidores DNS
Um servidor DNS responde a consultas DNS recursivas e iterativas. Os servidores DNS tambm podem
hospedar uma ou mais zonas de um domnio especfico. As zonas contm diferentes registros de recursos.
Os servidores DNS tambm podem armazenar as pesquisas em cache para reservar tempo para as
consultas comuns.
Servidores DNS na Internet
Os servidores DNS na Internet esto acessveis ao pblico. Eles hospedam informaes de zonas pblicas
e do servidor raiz, entre outros TLDs comuns, como .COM, .NET, .EDU.
Resolvedores de DNS
O resolvedor de DNS gera e envia consultas interativas ou recursivas ao Servidor DNS. Um resolvedor
de DNS pode ser qualquer computador que executa uma pesquisa de DNS que exige interao com
o servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.
Registros de recursos DNS
O arquivo de zona DNS armazena registros de recursos. Registros de recursos especificam um tipo de
recurso e o endereo IP para localizar o recurso. O registro de recurso mais comum o registro de
recurso A. Ele um registro simples que resolve um nome de host para um endereo IP. O host pode
ser uma estao de trabalho, um servidor ou outro dispositivo de rede, como um roteador.
3-16
Os registros de recursos tambm ajudam a encontrar recursos para um domnio especfico. Por exemplo,
quando um Exchange Server precisar encontrar o servidor responsvel por entregar a correspondncia
para outro domnio, ele solicitar o registro MX (Servidor de mensagens) desse domnio. Esse registro
indica o registro A do host que estiver executando o servio de correio SMTP (Simple Mail Transfer
Protocol).
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma empresa tiver vrios servidores de correio. Esse
atributo informar ao servidor emissor o servidor de correio preferido pela empresa receptora. Os
registros SRV tambm contm informaes sobre a porta que est sendo escutada pelo servio e sobre
o protocolo que voc deve usar para se comunicar com o servio.
A tabela a seguir descreve os registros de recursos mais comuns.
Registros de
recursos DNS
Descrio
SOA
Registro do recurso Incio de autoridade (SOA). Identifica o servidor de

nomes primrio de uma zona DNS.
Registro do recurso Endereo do host (A). O principal registro que resolve

um nome de host para um endereo IPv4.
CNAME
Registro do recurso Nome cannico (CNAME). Um tipo de registro de alias

que mapeia um nome para outro (por exemplo, www.microsoft.com/pt/br/
um CNAME do registro A, microsoft.com).
MX
Registro do recurso Servidor de mensagens (MX). Utilizado para especificar

um servidor de email de um domnio especfico.
3-17
(continuao)
Registros de
recursos DNS
Descrio
SRV
Registro do recurso Localizador de servios (SRV). Identifica um servio

disponvel no domnio. O Active Directory usa esses registros intensamente.
NS
Registro do recurso Servidor de Nomes (NS). Identifica todos os servidores

de nomes existentes em um domnio.
AAAA
O principal registro que resolve um nome de host para um endereo IPv6.
PTR
Registro do recurso Ponteiro (PTR). Usado para pesquisar e mapear um

endereo IP para um nome de domnio. A zona de pesquisa inversa
armazena os nomes.
O que so as dicas de raiz?
As dicas de raiz so a lista dos 13 servidores na Internet que o servidor DNS utiliza, caso ele no possa
resolver uma consulta DNS usando um encaminhador do DNS ou o prprio cache. As dicas de raiz so
os servidores mais importantes na hierarquia do DNS e podem fornecer as informaes necessrias para
um servidor DNS fazer uma pesquisa iterativa para a prxima camada mais inferior do namespace DNS.
Os servidores raiz so instalados automaticamente quando voc instala a funo DNS. Eles so copiados
do arquivo cache.dns includo nos arquivos de instalao da funo DNS.
Voc tambm pode adicionar dicas de raiz em um servidor DNS para oferecer suporte s pesquisas de
domnios no contguos em uma floresta.
3-18
Ao se comunicar com um servidor de dicas de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio, o servidor no poder fazer consultas sobre
dicas de raiz. Se voc configurar o servidor usando um encaminhador, ele tentar enviar uma consulta
recursiva para o respectivo servidor de encaminhamento. Se o servidor de encaminhamento no
responder a essa consulta, o servidor responder que no foi possvel encontrar o host.
importante perceber que recurso em um servidor DNS e consultas recursivas no significam a mesma
coisa. Recurso em um servidor significa que esse servidor usar as respectivas dicas de raiz e tentar
resolver uma consulta DNS. Os prximos tpicos discutiro em mais detalhes as consultas Iterativas
e Recursivas.
3-19
O que so as consultas DNS?
Uma consulta DNS o mtodo usado para solicitar resoluo de nomes no qual uma consulta enviada
para um Servidor DNS. Existem dois tipos de resposta s consultas DNS: autoritativa e no autoritativa.
importante observar que servidores DNS tambm podem atuar como resolvedores de DNS e enviar
consultas DNS a outros servidores DNS.
Um servidor DNS tm autoridade ou no sobre o namespace da consulta. Um servidor DNS autoritativo

quando hospeda uma cpia primria ou secundria de uma zona DNS. Existem dois tipos de consultas:
Uma consulta autoritativa aquela para a qual o servidor pode retornar uma resposta que ele sabe
estar correta, pois a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS, que contm no cache o domnio que solicitado, responde a uma consulta no
autoritativa usando encaminhadores ou dicas de raiz. No entanto, a resposta fornecida pode no ser
exata, uma vez que somente o servidor DNS com autoridade sobre o domnio especificado pode
emitir essa informao.
Se o servidor DNS tiver autoridade sobre o namespace da consulta, o servidor DNS verificar a zona
e executar um dos seguintes procedimentos:
Retornar o endereo solicitado.
Retornar uma resposta autoritativa, No, esse nome no existe.

Observao Somente o servidor com autoridade direta sobre o nome consultado pode
dar uma resposta autoritativa.
Se o servidor DNS local no tiver autoridade sobre o namespace da consulta, ele executar um dos
seguintes procedimentos:
3-20
Verificar o cache e retornar uma resposta armazenada nesse cache.
Encaminhar a consulta no resolvida para um servidor especfico chamado encaminhador.
Usar endereos conhecidos de diversos servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Uma consulta recursiva pode ter dois resultados possveis:
Retorna o endereo IP do host solicitado.
O servidor DNS no pode resolver um endereo IP.
Por motivos de segurana, s vezes necessrio desabilitar consultas recursivas em um servidor DNS.
Assim, o servidor DNS em questo no tentar encaminhar suas solicitaes DNS para outro servidor.
Isso pode ser til para impedir que determinado servidor DNS se comunique fora da prpria rede local.
Consultas iterativas
As consultas iterativas oferecem um mecanismo para acessar informaes de nome de domnio residentes
no sistema DNS e habilitam servidores para resolver nomes de maneira rpida e eficiente em vrios
servidores.
Ao receber uma solicitao que no pode ser respondida com as informaes locais ou com as pesquisas
armazenadas no cache, um servidor DNS repassa essa solicitao para outro servidor DNS usando uma
consulta iterativa.
Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereo IP do nome do
domnio (se for conhecido) ou com uma referncia aos servidores DNS responsveis pelo domnio que
est sendo consultado.
3-21
O que o encaminhamento?
Um encaminhador um servidor DNS de rede que encaminha consultas DNS de nomes DNS externos
para os servidores DNS fora dessa rede. Voc tambm pode usar encaminhadores condicionais para
encaminhar consultas de acordo com nomes de domnios especficos.
Um servidor DNS de rede designado como encaminhador quando os outros servidores DNS na rede
encaminham para ele as consultas que no puderam resolver localmente. Ao utilizar um encaminhador,
voc pode gerenciar a resoluo de nomes fora de sua rede, como os nomes na Internet, e melhorar
a eficincia desse processo nos computadores da rede.
O servidor que estiver encaminhando solicitaes na rede deve poder se comunicar com o servidor
DNS localizado na Internet. Isso significa que voc o configura para encaminhar solicitaes para outro
servidor DNS ou ele utiliza as dicas de raiz para se comunicar.
Prtica recomendada
Use um servidor DNS de encaminhamento central para a resoluo de nomes da Internet. Isso pode
melhorar o desempenho, simplificar o processo de soluo de problemas e uma prtica de segurana
recomendada. Voc pode isolar o servidor DNS de encaminhamento em uma rede de permetro,
o que garante que nenhum servidor dentro da rede se comunique diretamente com a Internet.
Encaminhamento condicional
Um encaminhador condicional um servidor DNS em uma rede que encaminha consultas DNS de acordo
com o nome de domnio DNS da consulta.
Por exemplo, voc pode configurar um servidor DNS para encaminhar todas as consultas por ele
recebidas sobre nomes que terminam com corp.contoso.com para o endereo IP de um servidor DNS
especfico ou para os endereos IP de vrios servidores DNS.
Isso pode ajudar se existirem vrios namespaces DNS em uma floresta.
Encaminhamento condicional no Windows Server 2008 R2

No Windows Server 2008 R2, a configurao de encaminhadores condicionais foi deslocada para um n
no console de configurao do DNS. possvel replicar essa informao para outros servidores DNS por
meio da integrao do Active Directory.
Prtica recomendada
Use encaminhadores condicionais, se existirem vrios namespaces internos. Isso agiliza a resoluo
de nomes.
3-22
3-23
Como funciona o cache do servidor DNS
O cache do DNS aumenta o desempenho do sistema DNS da organizao, diminuindo o tempo que ele
leva para fornecer pesquisas de DNS.
Ao resolver com xito um nome DNS, um servidor DNS adiciona esse nome ao seu cache. Com o tempo,
isso cria um cache de nomes de domnio e os respectivos endereos IP dos domnios mais comuns que
a organizao usa ou acessa.
Observao O tempo padro para armazenar dados de DNS me cache de uma hora.
possvel configurar esse recurso alterando o registro SOA da zona DNS adequada.
Um servidor somente de cache no hospedar dados de zonas DNS; apenas responder s pesquisas dos
clientes DNS. Esse o tipo ideal de servidor DNS para ser utilizado como encaminhador.
O cache de cliente DNS um cache DNS armazenado pelo servio Cliente DNS no computador local. Para
ilustrar o armazenamento em cache ocorrido no lado cliente, execute o comando ipconfig /displaydns
no prompt de comando. Assim, o cache do cliente DNS local ser exibido. Se for necessrio limpar
o cache local, use ipconfig /flushdns.
Demonstrao: Como configurar a funo Servidor DNS
Configurar as propriedades do servidor DNS.
Configurar o encaminhamento condicional.
Limpar o cache DNS.
3-24
Lio 3
Configurao de zonas DNS
Zonas DNS so um conceito importante na infraestrutura de DNS, pois permitem a separao

e o gerenciamento lgicos dos domnios DNS. Esta lio apresenta os princpios bsicos do
relacionamento entre as zonas e os domnios DNS, bem como informaes sobre os diversos tipos
de zonas DNS disponveis na funo DNS do Windows Server 2008 R2.
Objetivos
Explicar o que uma zona DNS.
Explicar os vrios tipos de zona DNS disponveis no Windows Server 2008.
Explicar a finalidade das zonas de pesquisa direta e inversa.
Explicar a finalidade das zonas de stub.
Explicar como a delegao da zona DNS usada.
3-25
O que uma zona DNS?
Uma zona DNS hospeda todo ou parte de um domnio e seus subdomnios. O slide mostra
como os subdomnios podem pertencer mesma zona de seus pais ou podem ser delegados
a outra zona. O domnio Microsoft.com est dividido em duas zonas. A primeira zona hospeda
o www.microsoft.com/pt/br/ e o ftp.microsoft.com. O exemplo.microsoft.com delegado para uma
nova zona, que hospeda o exemplo.microsoft.com e seus subdomnios, ftp.exemplo.microsoft.com
e www.exemplo.microsoft.com.
Importante A zona que hospeda uma raiz do domnio (Microsoft.com) deve delegar
o subdomnio (exemplo.microsoft.com) segunda zona. Se isso no ocorrer,
o exemplo.microsoft.com ser considerado uma parte da primeira zona.
Os dados da zona podem ser replicados em mais de um servidor. Isso gera redundncia em uma zona,
pois as informaes necessrias para encontrar os recursos na zona passam a constar em dois servidores.
O nvel de redundncia necessria um motivo para criar as zonas. Se existir uma zona que hospeda os
registros de recursos crticos do servidor, provvel que essa zona tenha um nvel mais alto de
redundncia do que outra onde estejam definidos dispositivos no crticos.
Vrias empresas criam uma zona DNS distinta para as estaes de trabalho e outra para os servidores.
Assim, os administradores podem escolher estratgicas diferentes ao definir como as zonas sero
replicadas.
Caractersticas de uma zona DNS

Os dados de zona so mantidos em um servidor DNS e so armazenados de uma destas maneiras:
Em um arquivo de zona simples que contm listas de mapeamentos
Integrados ao Active Directory
Um servidor DNS ter autoridade sobre uma zona se ele hospedar, no arquivo de zona, os registros de
recursos dos nomes e endereos que os clientes solicitarem.
3-26
Quais so os tipos de zona DNS?
Os quatro tipos de zona DNS so?
Primria
Secundria
Stub
Integrada ao Active Directory
Zona primria
Quando uma zona hospedada por um servidor DNS uma zona primria, o servidor DNS a fonte
principal de informaes sobre essa zona e armazena uma cpia mestra dos dados da zona em um
arquivo local ou no AD DS. Quando o servidor DNS armazena a zona em um arquivo, o arquivo
de zona primria denominado nome_da_zona.dns por padro e est localizado na pasta
%windir%\System32\Dns no servidor. Quando a zona no armazenada no Active Directory,
este o nico servidor DNS que possui uma cpia gravvel do banco de dados.
Zona secundria
3-27
Quando uma zona hospedada em um Servidor DNS uma zona secundria, o Servidor DNS uma fonte
secundria de informaes da zona. A zona contida nesse servidor deve ser obtida em outro servidor DNS
remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto para
receber informaes atualizadas da zona. Como uma zona secundria uma cpia de uma zona primria
hospedada em outro servidor, ela no pode ser armazenada no AD DS. As zonas secundrias podem ser
teis quando voc estiver replicando dados de zonas DNS no Windows.
Zona de stub
O Windows Server 2003 lanou as zonas de stub, que solucionam vrios problemas relacionados
a grandes namespaces DNS e a diversas florestas de rvores. Uma floresta com vrias rvores uma
floresta do Active Directory que contm dois nomes diferentes de domnio.
Zona integrada ao Active Directory
3-28
Se o Active Directory armazenar a zona, o DNS poder aproveitar o modelo de replicao de vrios
mestres para replicar a zona primria. Isso permite editar os dados da zona em mais de um servidor DNS.
O Windows Server 2008 introduziu um novo conceito chamado controlador de domnio somente leitura.
Os dados da zona integrada ao Active Directory podem ser replicados para controladores de domnio,
mesmo quando a funo DNS no est instalada no controlador de domnio. Se o servidor for um
controlador de domnio somente leitura, um processo local no poder gravar os dados.
3-29
O que so zonas de pesquisa direta e inversa?
As zonas podem ser diretas ou inversas.
Zona de pesquisa direta

A zona de pesquisa direta resolve nomes de host em endereos IP, e hospeda os registros de recursos
comuns: A, CNAMES, SRV, MX, SOA e NS.
Zona de pesquisa inversa

A zona de pesquisa inversa resolve um endereo IP para um nome de domnio e hospeda registros SOA,
NS e PTR.
Uma zona inversa funciona da mesma maneira que uma zona direta, mas o endereo IP faz parte
da consulta enquanto o nome do host a informao retornada. Nem sempre as zonas inversas so
configuradas, mas voc deve configur-las para reduzir as mensagens de aviso e de erro. Vrios
protocolos padro de Internet dependem dos dados de pesquisa das zonas inversas para validar as
informaes das zonas diretas. Por exemplo, se a pesquisa direta indicar que training.contoso.com est
resolvido para 192.168.2.45, voc poder usar uma pesquisa inversa para confirmar se 192.168.2.45 est
associado a training.contoso.com.
importante ter uma zona inversa, se voc tiver aplicativos que precisam procurar hosts pelos respectivos
endereos IP. Vrios aplicativos registraro essas informaes nos logs de segurana ou de evento.
Se voc se deparar com uma atividade suspeita em um determinado endereo IP, ser possvel o host
usando as informaes da zona inversa.
Muitos gateways de segurana de email usam pesquisas inversas para verificar se um endereo IP que
envia mensagens est associado a um domnio.
O que so zonas de stub?
3-30
Uma zona de stub a cpia replicada de uma zona que contm apenas esses registros de recursos
necessrios para identificar os servidores DNS autoritativos dessa zona. A zona de stub resolve nomes
entre namespaces DNS distintos, que podem ser necessrios quando uma fuso corporativa requer que os
servidores DNS de dois namespaces DNS distintos resolvam nomes de clientes em ambos os namespaces.
Uma zona de stub apresenta:
Registro de recurso SOA da zona delegada, registros de recurso NS e registros de recurso A.
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona
de stub.
Servidores mestre de uma zona de stub so um ou mais servidores DNS com autoridade sobre a zona
filho, geralmente o servidor DNS que hospeda a zona primria do nome do domnio delegado.
Resoluo da zona de stub
Quando um resolvedor de DNS faz uma operao de consulta recursiva em um servidor DNS que
hospeda uma zona de stub, este ltimo utiliza os registros de recurso na zona de stub para resolver
a consulta. O servidor DNS envia uma consulta iterativa para os servidores DNS com autoridade, que os
registros de recurso NS da zona de stub especificam como se ele estivesse usando registros de recurso NS
no respectivo cache. Se o servidor DNS no puder encontrar os servidores DNS autoritativos na respectiva
zona de stub, o servidor DNS que hospeda a zona de stub tentar uma recurso padro usando as dicas
de raiz.
3-31
O servidor DNS armazenar os registros de recursos recebidos dos servidores DNS autoritativos listados
em uma zona de stub que est em seu cache, mas no os armazenar na prpria zona de stub. So
armazenados na zona de stub somente os registros de recurso SOA, NS e A associado retornados na
resposta consulta. Os registros de recursos guardados no cache so armazenados de acordo com o valor
TTL existente em cada um deles. Os registros de recurso SOA, NS e A associado, que no so gravados no
cache, expiram de acordo com o intervalo de expirao especificado pelo registro SOA da zona de stub.
Durante a criao da zona de stub, o registro SOA gerado. As atualizaes dos registros SOA ocorrem
durante as transferncias da zona primria, original para a zona de stub.
No caso de uma consulta iterativa, o servidor DNS retorna uma referncia contendo os servidores
especificados pela zona de stub.
Comunicao entre os servidores DNS que hospedam as zonas pai e filho
Um servidor DNS que delega um domnio a uma zona filho existente em outro servidor DNS s
reconhecer os novos servidores DNS com autoridade sobre a zona filho quando os respectivos registros
de recurso forem adicionados zona pai hospedada no servidor DNS. Trata-se de um processo manual
que exige que os administradores dos diversos servidores DNS se comuniquem frequentemente. Com
as zonas de stub, um servidor DNS que hospeda uma zona de stub para um de seus domnios delegados
pode obter atualizaes dos servidores DNS com autoridade sobre a zona filho quando a zona de stub for
atualizada. A atualizao ocorre a partir do servidor DNS que hospeda a zona de stub, e o administrador
do servidor DNS que hospeda a zona filho no precisa ser contatado.
Comparao entre zonas de stub e encaminhadores condicionais
Pode ocorrer certa confuso sobre quando usar os encaminhadores condicionais, e no zonas de stub,
uma vez que os dois recursos DNS permitem que um servidor DNS responda a uma consulta com uma
referncia ou encaminhamento para outro servidor DNS. No entanto, essas configuraes tm diferentes
finalidades:
Uma configurao de encaminhador condicional define o servidor DNS para encaminhar uma
consulta recebida para um servidor DNS, dependendo do nome DNS contido nessa consulta.
Uma zona de stub faz com que um servidor DNS hospede uma zona pai que reconhea os servidores
DNS com autoridade sobre uma zona filho.
Demonstrao: Como criar zonas
Criar uma zona de pesquisa inversa.
Criar uma zona de pesquisa direta.
3-32
3-33
Delegao de zonas DNS
O DNS um sistema hierrquico, e a delegao de zona conecta as camadas DNS juntas. A delegao de
zona aponta para o prximo nvel hierrquico abaixo e identifica os servidores de nome responsveis por
um domnio de nvel inferior.
Ao optar pela diviso do namespace DNS para criar zonas adicionais, considere os seguintes motivos
para o uso dessas zonas:
Necessidade de delegar o gerenciamento de parte do namespace DNS para outro local ou

departamento da organizao.
Necessidade de dividir uma zona grande em zonas menores para distribuio das cargas de trfego
entre vrios servidores, o que melhora o desempenho da resoluo de nomes DNS e cria um
ambiente DNS mais tolerante a falhas.
Necessidade de estender o namespace, adicionando diversos subdomnios de uma s vez, para

acomodar a abertura de uma nova filial ou um novo site.
Lio 4
Configurao de transferncias de zona DNS
As transferncias de zona DNS so o modo como a infraestrutura de DNS movimenta informaes da

zona DNS de um servidor para outro. Esta lio abrange os diferentes mtodos que a funo Servidor
DNS usa ao transferir zonas.
Objetivos
Descrever como funcionam as transferncias de zona DNS.
Configurar a segurana de transferncia de zona.
3-34
3-35
O que uma transferncia de zona DNS?
Uma transferncia de zona ocorre quando a zona DNS existente em um servidor transferida para outro
servidor DNS.
As transferncias de zona sincronizam as zonas dos servidores DNS primrio e secundrio. assim que
o DNS forma sua resilincia na Internet. importante que as zonas DNS permaneam atualizadas nos
servidores primrio e secundrio. Discrepncias nas zonas primria e secundria podem causar
interrupes de servio e nomes de host resolvidos incorretamente.
Uma transferncia de zona completa ocorre quando a zona inteira copiada de um servidor DNS para
outro. Uma transferncia de zona completa conhecida como transferncia de zona plena (AXFR).
Uma transferncia de zona incremental ocorre quando existe uma atualizao para o servidor DNS
e apenas os registros de recursos alterados so replicados no outro servidor. Essa uma Transferncia
de Zona Incremental (IXFR).
Os servidores DNS do Windows tambm fazem transferncias rpidas, que um tipo de transferncia
de zona que utiliza a compactao e envia diversos registros de recursos em cada transmisso.
Nem todas as implementao do servidor DNS oferecem suporte s transferncias de zona incremental e
rpida. Ao integrar um servidor DNS do Windows 2008 a um servidor DNS BIND (Berkeley Internet Name
Domain), assegure-se de que, na verso do BIND instalada, haja suporte para os recursos necessrios.
A tabela a seguir lista os recursos com suporte nos vrios servidores DNS.
Servidor DNS
Zona plena (AXFR)
Zona incremental (IXFR) Transferncia rpida
BIND anterior
verso 4.9.4
Com suporte
Sem suporte
Sem suporte
BIND 4.9.4 8.1
Com suporte
Sem suporte
Com suporte
BIND 8.2
Com suporte
Com suporte
Com suporte
Servidor DNS
Zona plena (AXFR)
Zona incremental (IXFR) Transferncia rpida
Windows 2000 SP3
Com suporte
Com suporte
Com suporte
Windows 2003 (R2)
Com suporte
Com suporte
Com suporte
Windows 2008 e R2
Com suporte
Com suporte
Com suporte
3-36
As zonas integradas ao Active Directory replicam usando a replicao de vrios mestres. Isso significa que
qualquer controlador de domnio padro que tambm tenha a funo DNS pode atualizar a informao
da zona DNS que, posteriormente, replica para todos os servidores DNS que hospedam a zona DNS.
Notificao DNS
A notificao DNS uma atualizao para a especificao do protocolo DNS original que permite
a notificao a servidores secundrios quando ocorrerem alteraes na zona; isso til em um ambiente
de urgncia, onde a preciso de dados importante.
3-37
Configurao da segurana de transferncia de zona
As informaes de zona fornecem dados organizacionais e, por isso, voc deve tomar precaues para
garantir que estejam protegidos contra o acesso mal-intencionado e que no possam ser sobrescritos
com dados invlidos (conhecido como envenenamento do DNS). Uma maneira de proteger
a infraestrutura de DNS proteger as transferncias de zona e usar atualizaes dinmicas seguras.
Na guia Transferncias de Zona da caixa de dilogo Propriedades da Zona, voc pode especificar
a lista de servidores DNS permitidos. Voc tambm pode usar essas opes para impedir a transferncia
de zona. Por padro, as transferncias de zona esto desabilitadas.
Embora a opo que especifica os servidores autorizados a solicitar dados da zona fornea segurana
restringindo os destinatrios dos dados, ela no protege os dados durante uma transmisso. Se as
informaes da zona forem altamente confidenciais, recomendvel usar uma poltica IPsec para
proteger a transmisso ou replicar os dados da zona por um tnel VPN (rede virtual privada). Isso
impede a deteco de pacotes para determinar informaes na transmisso dos dados.
O uso de zonas integradas ao Active Directory replica os dados da zona como parte das replicaes
habituais do AD DS. Portanto, se o trfego de zonas DNS em zonas integradas ao Active Directory precisar
ser protegido, tambm ser necessrio proteger os dados de replicao do AD DS.
Demonstrao: Como configurar transferncias de zona DNS
Habilitar transferncias de zona DNS.
Atualizar a zona secundria do servidor mestre.
Atualizar a zona primria e verificar a alterao na zona secundria.
3-38
Lio 5
Gerenciamento e soluo de problemas de DNS
3-39
O DNS um servio fundamental na infraestrutura do Active Directory. Quando o servio DNS apresenta
problemas, importante saber como solucion-los e identificar os problemas comuns que podem ocorrer
em uma infraestrutura de DNS. Esta lio aborda os problemas comuns que ocorrem no DNS, as reas
comuns para coleta de informaes de DNS e as ferramentas que voc pode usar para solucionar
problemas.
Objetivos
Explicar como o TTL, a durao e a eliminao ajudam a gerenciar os registros DNS.
Gerenciar o TTL, a durao e a eliminao de registros DNS.
Identificar problemas com o DNS usando as ferramentas do DNS.
Solucionar problemas de DNS usando as ferramentas do DNS.
Monitorar o DNS usando o Log de Eventos e o Log de Depurao.
O que Vida til, Durao e Eliminao?
A TTL (vida til), durao e eliminao ajudam a gerenciar registros de recursos DNS nos arquivos de
zona. Os arquivos de zona podem mudar ao longo do tempo, de modo que necessrio ter um modo
de gerenciar registros DNS que so atualizados ou que no so mais vlidos, pois os hosts que eles
representam no esto mais na rede.
A tabela a seguir descreve as ferramentas do DNS que ajudam a manter um banco de dados DNS.
Ferramenta
Descrio
TTL
(Vida til)
Indica por quanto tempo um registro DNS permanecer vlido. A TTL pode variar, de
acordo com o tipo de registro de recursos DNS. Por exemplo, um registro MX tem uma
TTL muito mais longa do que um registro de host para um laptop.
Durao
Ocorre quando os registros inseridos no servidor DNS atingem sua expirao e so

removidos. Isso mantm a exatido do banco de dados. Durante as operaes normais,
a durao deve se encarregar dos registros de recursos DNS obsoletos.
Eliminao
Executa o grooming de registros de recursos do servidor DNS para os registros antigos

no DNS. Se os registros de recursos no estiverem obsoletos, um administrador poder
eliminar os registros obsoletos do banco de dados da zona para forar uma limpeza do
banco de dados.
Se permanecerem sem gerenciamento, a presena de registros de recursos obsoletos nos dados da zona
pode causar problemas. Por exemplo:
3-40
Se uma grande quantidade de registros de recursos obsoletos permanecer nas zonas do servidor,
o espao em disco do servidor ser esgotado e esses registros ocasionaro transferncias
desnecessariamente longas da zona.
Um servidor DNS que carrega zonas com registros de recursos obsoletos pode utilizar informaes
desatualizadas para responder s consultas dos clientes, o que pode fazer com que os computadores
cliente enfrentem problemas de resoluo de nomes ou problemas de conectividade na rede.
3-41
O acmulo de registros de recursos obsoletos no servidor DNS pode degradar seu desempenho e sua
capacidade de resposta.
Em alguns casos, se uma zona tiver um registro de recursos obsoleto, ele poder impedir que outro
computador ou um dispositivo host use um nome de domnio DNS.
Para solucionar esses problemas, o servio Servidor DNS dispe dos seguintes recursos:
Carimbo de data/hora, baseado na data e hora atuais definidas no computador servidor, para
quaisquer registros de recursos adicionados dinamicamente s zonas do tipo primrio. Alm disso,
os carimbos de data/hora sero registrados nas zonas primrias padro nas quais voc habilitar
a durao e a eliminao.
Para os registros de recursos adicionados manualmente, use um valor zero de carimbo de data/hora
para indicar que o processo de durao no afeta esses registros e que eles podem permanecer sem
limitao nos dados da zona, a menos que voc altere, de outra forma, os respectivos carimbos de
data/hora ou os exclua.
Durao dos registros de recursos nos dados locais, com base em um perodo de atualizao
especificado, para quaisquer zonas qualificadas.
Somente as zonas do tipo primrio carregadas pelo servio Servidor DNS esto qualificadas a
participar nesse processo.
Eliminao dos registros de recursos que persistirem alm do perodo de atualizao especificado.
Ao executar uma operao de eliminao, um servidor DNS pode detectar que os registros de recursos
envelheceram a ponto de se tornarem obsoletos e pode remov-los dos dados da zona. Voc pode
configurar os servidores para executar automaticamente as operaes de eliminao recorrentes ou
pode iniciar uma operao de eliminao imediata no servidor.
Cuidado Por padro, o mecanismo de durao e eliminao do servio Servidor DNS est
desabilitado. Habilite-o somente quando voc realmente entender todos os parmetros.
Caso contrrio, voc poderia configurar o servidor para excluir inadvertidamente os
registros que no deveriam ser eliminados. Se um registro for excludo por engano, no
somente os usurios deixaro de resolver as consultas para esse registro, mas qualquer
usurio poder criar o registro e se apossar dele, inclusive nas zonas que voc configurar
para fazer atualizao dinmica segura.
O servidor utiliza o contedo de cada carimbo de data/hora especfico do registro de recursos,
juntamente com outras propriedades de durao e eliminao que voc possa ajustar ou configurar,
para determinar quando ele deve eliminar os registros.
Pr-requisitos para durao e eliminao

Para utilizar os recursos de durao e eliminao do DNS, necessrio atender a algumas condies:
Habilite a durao e a eliminao no servidor DNS e na zona DNS. Por padro, a durao e a
eliminao dos registros de recursos esto desabilitadas.
Adicione dinamicamente os registros de recursos s zonas ou modifique-os manualmente para uso

nas operaes de durao e eliminao.
Em geral, somente os registros de recursos adicionados dinamicamente atravs do protocolo

de atualizao dinmica DNS esto sujeitos durao e eliminao.
Para os registros adicionados s zonas carregando um arquivo de zona baseado em texto de outro
servidor DNS ou adicionando-os manualmente a uma zona, definido um carimbo de data/hora de
valor zero. Isso desqualifica esses registros para uso nas operaes de durao e eliminao.
Para alterar esse padro, voc pode administrar cada um desses registros, de modo a redefinir e permitir
que eles utilizem um valor de carimbo de data/hora atual (diferente de zero). Isso permite que esses
registros se tornem obsoletos e sejam eliminados.
3-42
Demonstrao: como gerenciar registros DNS
Configurar a TTL.
Habilitar e configurar a eliminao e a durao.
3-43
Ferramentas que identificam problemas no DNS
3-44
Podem ocorrer problemas quando voc no configura corretamente o servidor DNS, bem como as zonas
e os registros de recursos respectivos. Quando os registros de recursos esto causando problemas pode
ser mais difcil identificar o problema, pois problemas de configurao nem sempre so bvios.
A tabela a seguir lista os possveis problemas na configurao que podem ocasionar problemas no DNS.
Problema
Resultado
Registros ausentes
Os registros de um host no esto no servidor DNS. Talvez tenham sido

eliminados prematuramente. Com isso, as estaes de trabalho podem no
se conectar entre si.
Registros incompletos
Os registros sem as informaes necessrias para localizar o recurso que

representam podem fazer com que os clientes que esto solicitando o
recurso usem informaes invlidas. Por exemplo, um registro incompleto
um registro de servio que no contm um endereo de porta necessrio.
Registros configurados
incorretamente
Os registros que apontam para um endereo IP invlido ou que tm

informaes invlidas em sua configurao tambm causaro problemas
quando os clientes DNS tentarem encontrar os recursos.
As ferramentas utilizadas para solucionar esses e outros problemas de configurao so:
Nslookup: use para consultar informaes do DNS. A ferramenta flexvel e pode fornecer muitas
informaes importantes sobre o status do servidor DNS. Utilize-a tambm para procurar registros
de recursos e validar as respectivas configuraes. Alm disso, voc tambm pode testar as
transferncias de zona, as opes de segurana e a resoluo de registros MX.
Observao Se estiver usando a ferramenta Nslookup em um cliente DirectAccess que
tenha entradas de NRPT (Tabela de Diretivas de Resoluo de Nomes), talvez seja preciso
especificar o endereo do servidor DNS. Para obter mais informaes, consulte
http://go.microsoft.com/fwlink/?LinkID=214829&clcid=0x409. (em ingls).
3-45
Dnscmd: gerencie o servio Servidor DNS com essa interface de linha de comando. Esse utilitrio
ajuda a criar scripts de arquivos em lote para automatizar tarefas rotineiras de gerenciamento do
DNS ou para realizar uma instalao simples e automtica e a configurao de novos servidores DNS
na rede.
Observao Voc pode obter informaes sobre a sintaxe de linha de comando de
Dnscmd.exe no site da Microsoft: http://go.microsoft.com/fwlink/?LinkID=214830.
(em ingls)
Dnslint: use para diagnosticar problemas comuns do DNS. Esse utilitrio de linha de comando
diagnostica rapidamente os problemas de configurao ocorridos no DNS e tambm pode gerar
uma relatrio sobre o status do domnio que est sendo testado, no formato HTML.
Observao Voc pode obter informaes sobre a sintaxe de linha de comando de
Dnslint.exe no site da Microsoft: http://go.microsoft.com/fwlink/?LinkID=214831.
(em ingls)
IPconfig: use esse comando para exibir e modificar detalhes da configurao de IP que
o computador utiliza. Esse utilitrio inclui outras opes de linha de comando que podem ser usadas
para solucionar problemas e oferecer suporte aos clientes DNS. Voc pode exibir o cache DNS local
do cliente usando o comando ipconfig/displaydns e pode limpar o cache local usando o comando
ipconfig/flushdns.
Monitoramento em um servidor DNS: na guia Monitoramento do servidor DNS, voc pode

configurar um teste que permite ao servidor DNS determinar se ele pode resolver consultas locais
simples e executar uma consulta recursiva para garantir que o servidor pode se comunicar com
servidores upstream. Voc tambm pode agendar esses testes periodicamente.
Tratam-se de testes bsicos, mas que representam um bom ponto de partida para a soluo
de problemas ocorridos no servio DNS. As possveis causas para a falha de um teste so:
O servio Servidor DNS falhou.
O servidor upstream no est disponvel na rede.
Demonstrao: Como testar a configurao do servidor DNS
Capturar o trfego de rede do DNS.
Filtrar e analisar o trfego capturado.
Usar o NSLookup.exe para testar o DNS.
3-46
3-47
Monitoramento do DNS usando o log de eventos DNS
O servidor DNS tem sua prpria categoria no log de eventos. Assim como em qualquer log de eventos
do Visualizador de Eventos do Windows, voc deve revisar o log de eventos periodicamente.
Eventos DNS comuns

A tabela a seguir descreve os eventos DNS comuns.
ID do
evento
Descrio
O servidor DNS foi iniciado.

Geralmente, essa mensagem exibida durante o processo de inicializao, quando
o computador servidor ou o servio Servidor DNS inicializado.
O servidor DNS foi desligado.

Geralmente, essa mensagem exibida quando o computador servidor desligado ou
o servio Servidor DNS interrompido manualmente.
408
O servidor DNS no pde abrir o soquete para o endereo [EndereoIP]. Verifique se esse
um endereo IP vlido para o computador servidor.
Para corrigir o problema, faa o seguinte:
1. Se o endereo IP especificado no for vlido, remova-o da lista de interfaces restritas
para o servidor e reinicie o servidor.
2. Se o endereo IP especificado no for mais vlido e era o nico endereo habilitado
para uso no servidor DNS, o servidor no deve ter inicializado devido a um erro de
configurao. Para corrigir o problema, exclua o seguinte valor do Registro e reinicie
o servidor DNS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\ListenAddress
3. Se o endereo IP para o computador servidor for vlido, certifique-se de que nenhum
outro aplicativo que tente usar a mesma porta do servidor DNS (como outro aplicativo
do servidor DNS) esteja em execuo. Por padro, o DNS usa a porta TCP 53.
(continuao)
ID do
evento
Descrio
3-48
413
O servidor DNS envia solicitaes para outros servidores DNS atravs de uma porta
diferente da padro (porta TCP 53).
Esse servidor DNS tem hospedagem mltipla e foi configurado para restringir o servio
Servidor DNS a apenas alguns de seus endereos IP configurados. Por esse motivo, no
possvel garantir que as consultas DNS feitas por esse servidor a outros servidores DNS
remotos sejam enviadas atravs de um dos endereos IP habilitados para o servidor DNS.
Isso pode impedir que as respostas s consultas, retornadas por esses servidores, sejam
recebidas na porta DNS configurada para uso desse servidor. Para evitar esse problema, o
servidor DNS envia consultas a outros servidores DNS usando uma porta no DNS aleatria,
e a resposta recebida independentemente do endereo IP utilizado.
Para limitar o servidor DNS a usar apenas sua respectiva porta DNS configurada para enviar
consultas a outros servidores DNS, use o console DNS para implementar uma das seguintes
alteraes na configurao das propriedades do servidor, na guia Interfaces:
Selecione a opo Em todos os endereos IP para permitir que o servidor DNS escute
em todos os endereos IP configurados do servidor.
Selecione Apenas nos seguintes endereos IP para limitar a lista de endereos IP
a um nico endereo IP do servidor.
414
Atualmente, o computador servidor no possui um sufixo DNS primrio configurado. Seu

nome DNS , no momento, um nome de host de rtulo nico. Por exemplo, seu nome
configurado host em vez de host.exemplo.microsoft.com ou outro nome totalmente
qualificado.
Embora o servidor DNS tenha apenas um nome de rtulo nico, os registros de recursos
padro criados para suas zonas configuradas utilizam somente esse nome de rtulo nico
ao mapear o nome do host para esse servidor DNS. Isso pode levar a referncias incorretas
ou com falhas quando os clientes e outros servidores DNS utilizam esses registros para
localizar esse servidor pelo nome.
Em geral, voc deve reconfigurar o servidor DNS com um nome completo de computador
DNS que seja apropriado para ser usado pelo respectivo domnio ou grupo de trabalho em
sua rede.
708
O servidor DNS no detectou nenhuma zona do tipo primria ou secundria. Ele ser
executado como um servidor somente de cache, mas no ter autoridade sobre quaisquer
zonas.
3150
O servidor DNS gravou uma nova verso da zona [nome_da_zona] no arquivo

[nome_do_arquivo]. Para exibir o nmero da nova verso, clique na guia Dados
do Registro.
Esse evento dever aparecer somente se voc configurar o servidor DNS para atuar como
um servidor raiz.
ID do
evento
6527
Descrio
3-49
A zona [nome_da_zona] expirou antes de obter xito em uma transferncia de zona ou

uma atualizao de um servidor mestre que atua como sua fonte para a zona. A zona foi
desligada.
Essa ID de evento pode aparecer quando voc configura o servidor DNS para hospedar uma
cpia secundria da zona de outro servidor DNS que est atuando como a respectiva fonte
ou servidor mestre. Verifique se esse servidor tem conectividade de rede com o respectivo
servidor mestre configurado.
Se o problema persistir, considere uma ou mais das seguintes opes:
1. Exclua a zona e recrie-a, especificando outro servidor mestre ou um endereo
IP atualizado e corrigido para o mesmo servidor mestre.
2. Se a expirao da zona persistir, experimente ajustar o intervalo de expirao.
Monitoramento do DNS usando o log de depurao
s vezes pode ser necessrio obter mais detalhes sobre um problema de DNS alm daqueles fornecidos
pelo Visualizador de Eventos. Nessa instncia, voc pode usar o log de depurao para fornecer
informaes adicionais.
Esto disponveis as seguintes opes de log de depurao DNS:
Direo de pacotes
Enviar: o arquivo de log do servidor DNS registra os pacotes por ele enviados.
Receber: o arquivo de log registra os pacotes recebidos pelo servidor DNS.
Contedo dos pacotes
Consulta padro: especifica que os pacotes que contm consultas padro (de acordo com
a RFC 1034) so registrados no arquivo de log do servidor DNS.
Atualizaes: especifica que os pacotes que contm atualizaes dinmicas (de acordo com
a RFC 2136) so registrados no arquivo de log do servidor DNS.
Notificaes: especifica que os pacotes que contm notificaes (de acordo com a RFC 1996)
so registrados no arquivo de log do servidor DNS.
Protocolo de transporte
UDP: especifica que os pacotes enviados e recebidos atravs do UDP (User Datagram Protocol)
so registrados no arquivo de log do servidor DNS.
TCP: especifica que os pacotes enviados e recebidos por TCP so registrados no arquivo de log
do servidor DNS.
3-50
Tipo de pacote
Solicitao: especifica que os pacotes de solicitao so registrados no arquivo de log do

servidor DNS (um pacote de solicitao caracterizado por um bit QR (Consulta/Resposta)
definido como 0 no cabealho da mensagem DNS).
Observao Um bit QR um campo de um nico bit que especifica se a mensagem em

questo uma consulta (0) ou uma resposta.
3-51
Resposta: especifica que os pacotes de solicitao so registrados no arquivo de log do servidor

DNS (um pacote de resposta caracterizado por um bit QR definido como 1 no cabealho da
mensagem DNS).
Habilitar filtragem com base no endereo IP: fornece filtragem adicional dos pacotes registrados
no arquivo de log do servidor DNS. Essa opo permite registrar no log os pacotes enviados de
endereos IP especficos para um servidor DNS ou de um servidor DNS para endereos IP especficos.
Limite de tamanho mximo do arquivo de log: permite definir o tamanho mximo do arquivo
de log do servidor DNS. Quando o arquivo de log do servidor DNS atingir seu tamanho mximo
especificado, o servidor DNS substituir as informaes de pacote mais antigas por novas
informaes.
Observao Se voc no especificar um tamanho mximo para o arquivo de log, esse
arquivo do servidor DNS poder ocupar muito espao no disco rgido.
Por padro, todas as opes do log de depurao esto desabilitadas. Quando habilitadas seletivamente,
o servio do servidor DNS pode executar um log de rastreamento adicional de tipos de eventos ou
mensagens selecionados para soluo de problemas gerais e depurao do servidor.
O log de depurao poder fazer uso intensivo de recursos, afetando o desempenho geral do servidor
e consumindo espao em disco. Portanto, utilize-o apenas temporariamente, quando voc precisar de
informaes mais detalhadas sobre o desempenho do servidor.
Observao O arquivo dns.log contm a atividade do log de depurao. Por padro, esse
arquivo est localizado na pasta %systemroot%\System32\Dns.
3-52
1.

2.
3.
4.
5.
Password: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-SVR1 e 10221B-NYC-CL1.
A Contoso est planejando melhorar a respectiva infraestrutura de DNS devido a reclamaes de usurios
sobre baixo desempenho. Alm disso, a Contoso est fazendo uma parceria com A Datum, e a resoluo
de nomes deve ser otimizada entre essas duas organizaes. Sua tarefa planejar e implementar as
alteraes necessrias.
Planejar uma configurao do DNS apropriada.
Definir uma configurao do DNS adequada.
Verificar e solucionar problemas de DNS.
3-53
Exerccio 1: seleo de uma configurao do DNS

Cenrio
Neste exerccio, voc ler a documentao de seu gerente e responder s perguntas da seo de
propostas.
1.
Ler o documento Plano de resoluo de nomes da Contoso.
2.
3.
Tarefa 1: ler o documento Plano de resoluo de nomes da Contoso
Ler o documento Plano de resoluo de nomes da Contoso.
Responda s perguntas do documento Plano de resoluo de nomes da Contoso.

Plano de resoluo de nomes da Contoso
Autor do documento
Data
Charlotte Weiss
12 de maro

1. Seu gerente est preocupado porque o servidor de nome nico que oferece suporte ao
domnio Contoso.com fica sob presso ao atender s solicitaes de resoluo de nomes.
Voc recebeu a tarefa de determinar um curso de ao para minimizar esse problema.
2. A Contoso est trabalhando com uma organizao parceira, a A Datum. importante que
a resoluo de nomes para servidores no domnio da Adatum.com seja feita sem recorrer
aos servidores de nomes raiz.
1. No foi planejado nenhum controlador de domnio adicional para o domnio da Contoso.
2. As alteraes na configurao do DNS da Adatum.com no devem afetar a configurao do
DNS na Contoso; em outras palavras, as alteraes na Adatum.com no devem gerar trabalho
administrativo na Contoso.
Propostas
1. Como voc modificar a configurao do DNS da Contoso para atender ao primeiro requisito?
2. Como voc modificar a configurao do DNS da Contoso para atender ao segundo requisito?
3. Algum dos itens na seo de informaes adicionais resultou em algum problema?
4. Qual o seu plano de ao proposto para esse projeto?
5. Como voc distribuir a carga entre os servidores DNS?
Compare sua soluo com a soluo proposta no documento Plano de resoluo de nomes
da Contoso na Resposta do Laboratrio e esteja preparado para discuti-la com a turma.
Resultados: ao fim deste exerccio, voc ter selecionado uma configurao do DNS adequada para
a Contoso.
Exerccio 2: Implantao e configurao do DNS

Cenrio
Neste exerccio, voc ir implantar e configurar a funo DNS em NYC-SVR1.
1.
Instalar a funo DNS em NYC-SVR1.
2.
Criar e configurar uma zona de stub em NYC-DC1.
3.
Criar e configurar zonas secundrias em NYC-SVR1.
4.
Habilitar e configurar transferncias de zona para a Contoso.com.
5.
Atualizar dados da zona secundria do servidor mestre.
6.
Configurar os clientes para usar o novo servidor de nomes.
Tarefa 1: instalar a funo DNS em NYC-SVR1

1.
Alterne para o computador NYC-SVR1.
2.
Abra o Gerenciador de Servidores.
3.
Adicione a funo Servidor DNS.
Tarefa 2: criar e configurar uma zona de stub em NYC-DC1

1.
Alterne para o computador NYC-DC1.
2.
Abra o DNS.
3.
Crie uma nova zona de pesquisa direta com as propriedades a seguir:
Tipo de zona:Stub
Nome da zona: Adatum.com
Servidor mestre: 131.107.1.2

Observao
A validao falhar. O servidor no est online.
3-54
3-55
Tarefa 3: criar e configurar zonas secundrias em NYC-SVR1

1.
2.
Abra um prompt de comando.
3.
No prompt de comando, digite Dnscmd.exe /zoneadd Contoso.com /secondary 10.10.0.10

e pressione ENTER.
4.
No prompt de comando, digite Dnscmd.exe /zoneadd Adatum.com /secondary 10.10.0.10 e

pressione ENTER.
5.
Abra o DNS e verifique se as duas zonas foram criadas.
Tarefa 4: habilitar e configurar transferncias de zona para a Contoso.com

1.
2.
3.
No prompt de comando, digite Dnscmd.exe /zoneresetsecondaries Contoso.com /notify

/notifylist 10.10.0.24 e pressione ENTER.
4.
Abra o DNS.
5.
Verifique se o endereo IPv4 de NYC-SVR1 est listado na lista Notificao, na guia Transferncias
de zona da folha de propriedades da zona de Contoso.com.
Observao
A lista pode demorar alguns minutos para ser exibida.
Tarefa 5: Atualizar dados da zona secundria do servidor mestre

1.
2.
No DNS, atualize a exibio e verifique se os dados da zona foram transferidos do servidor mestre
para a zona secundria da Contoso.com.
3.
Feche todas as janelas abertas.

Observao
Voc no receber dados da Adatum.com.
Tarefa 6: configurar os clientes para usar o novo servidor de nomes

1.
2.
Abra o DHCP.
3.
Modifique as opes de Servidor DHCP da seguinte maneira:
4.
006 Servidores DNS: 10.10.0.24
Resultados: ao fim deste exerccio, voc ter implementado os requisitos descritos no documento Plano
de resoluo de nomes da Contoso.
Exerccio 3: Soluo de problemas de DNS

Cenrio
Neste exerccio, voc usar as ferramentas de monitoramento e soluo de problemas para testar
e verificar a configurao do DNS.
1.
Testar consultas simples e recursivas.
2.
Verificar os registros SOA com Nslookup.
3.
Usar o comando Dnslint para verificar os registros do servidor de nomes.
4.
Exibir estatsticas de desempenho com o Monitor de Desempenho.
Tarefa 1: Testar consultas simples e recursivas
3-56
1.
Em NYC-DC1, no DNS, abra as propriedades de NYC-DC1.
2.
Na guia Monitoramento, execute uma consulta simples no servidor DNS. A consulta ser
bem-sucedida.
3.
Execute consultas simples e recursivas nesse e em outros servidores. O teste recursivo falhar porque
no h encaminhadores configurados.
4.
Interrompa o servio DNS e repita os testes anteriores. Eles falharo porque nenhum servidor DNS
est disponvel.
5.
Reinicie o servio DNS e repita os testes. O teste simples ser bem-sucedido.
6.
Feche a caixa de dilogo Propriedades de NYC-DC1.
Tarefa 2: verificar os registros SOA com Nslookup

1.
2.
Digite nslookup.exe e insira os dois comandos a seguir:
3.
Set querytype=SOA
Contoso.com
Exiba os resultados e feche o prompt de comando.
Tarefa 3: usar o comando Dnslint para verificar os registros do servidor de nomes

1.
2.
Em um prompt de comando, altere para a pasta D:\Labfiles\Mod03.
3.
No prompt de comando, digite Dnslint /s 10.10.0.10 /d Contoso.com e pressione ENTER.
4.
Exiba a sada e feche o prompt de comando.
3-57
Tarefa 4: exibir estatsticas de desempenho com o Monitor de Desempenho

1.
2.
Abra o Monitor de Desempenho no Gerenciador de Servidores. No painel de listas da janela

Gerenciador de Servidores, expanda Diagnstico, expanda Desempenho, expanda Ferramentas
de Monitoramento e clique em Desempenho do Sistema.
3.
No painel central, clique no cone do sinal de mais em verde.
4.
Na lista Contadores disponveis, clique duas vezes em DNS.
5.
Selecione Consulta Total Recebida e clique em Adicionar.
6.
Selecione Consulta Total Recebida/s, clique em Adicionar e em OK.
7.
Clique em Iniciar, Ferramentas administrativas e DNS.
8.
No painel esquerdo, clique com o boto direito do mouse em NYC-DC1 e clique em Propriedades.
9.
Clique na guia Monitoramento.
10. Na guia Monitoramento, selecione Uma consulta simples a este servidor DNS e Uma consulta
recursiva a outros servidores DNS e clique em Testar Agora vrias vezes.
11. Desmarque as caixas de seleo de teste Simples e Recursivo e clique em OK. Feche a ferramenta
de gerenciamento DNS.
12. Retorne para o console do Gerenciador de Servidores. O grfico reflete as consultas no servidor.
13. No console do Gerenciador de Servidores, pressione CTRL+G e, em seguida, CTRL+G novamente.
Esse relatrio relaciona o nmero total de consultas que o servidor recebeu.
14. Feche o Gerenciador de Servidores.
Resultados: ao fim deste exerccio, voc ter verificado a funcionalidade do DNS com as ferramentas
de soluo de problemas.

etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-SVR1 e 10221B-NYC-CL1.
Perguntas de reviso
1.
Voc est apresentando a um cliente potencial as vantagens de usar o Windows Server 2008 R2.
Quais so os novos recursos que voc destacaria ao discutir a funo Servidor DNS do
Windows Server 2008 R2?
2.
Voc est implantando servidores DNS em um domnio do Active Directory e seu cliente exige que
a infraestrutura seja resistente a pontos isolados de falha. O que voc deve considerar ao planejar
a configurao do DNS?
3.
Qual a diferena entre consultas recursivas e iterativas?
4.
O que deve ser configurado para que uma zona DNS seja transferida para um servidor
DNS secundrio?
5.
Voc o administrador de um ambiente DNS do Windows Server 2008 R2. Sua empresa adquiriu
outra empresa recentemente. Voc quer replicar as respectivas zonas primrias DNS. A empresa
adquirida est usando o Bind 4.9.4 para hospedar suas zonas primrias DNS. Voc observa um
volume considervel de trfego entre o servidor DNS do Windows Server 2008 R2 e o servidor Bind.
Cite um motivo possvel para essa ocorrncia.
6.
Voc deve automatizar o processo de configurao de um servidor DNS para automatizar

a implantao do Windows Server 2008 R2. Qual ferramenta do DNS pode ser usada para realizar
essa tarefa?
3-58
Ferramentas
Ferramenta
Use para
Onde encontr-la
3-59
Dnscmd.exe
Configurar a funo Servidor DNS
Linha de comando
Dnslint.exe
Testar o servidor DNS
Baixe-a no site da Microsoft e use-a na

linha de comando
Nslookup.exe
Testar a resoluo de nomes DNS
Linha de comando
Ping.exe
Teste simples de resoluo de nomes DNS
Linha de comando
Ipconfig.exe
Verificar e testar a funcionalidade de IP;

exibir ou limpar o cache do resolvedor
do cliente DNS
Linha de comando
4-1
Mdulo 4
Configurao e soluo de problemas de TCP/IP IPv6
Contedo:
Lio 1: Viso geral do IPv6
4-3
Lio 2: Endereamento IPv6
4-12
Lio 3: Coexistncia com o IPv6
4-22
Lio 4: Tecnologias de transio do IPv6
4-28
4-35
Lio 5: Transio do IPv4 para o IPv6
4-41
4-46
Viso geral do mdulo
O suporte ao protocolo IPv6 (IP verso 6), um novo pacote de protocolos padro para a camada
de rede da Internet, tem como base o Windows Vista, Windows 7, Windows Server 2008
e Windows Server 2008 R2.
O IPv6 uma tecnologia que ajudar a garantir que a Internet possa oferecer suporte a uma
base crescente de usurios e ao nmero cada vez maior de dispositivos habilitados para IP. O atual
protocolo IPv4 tem atuado como o protocolo de Internet subjacente por quase 30 anos. Sua robustez,
escalabilidade e o conjunto limitado de recursos enfrentam agora o desafio da crescente necessidade
por novos endereos IP, devido, em grande parte, ao crescimento rpido dos novos dispositivos com
reconhecimento de rede.
Objetivos
Descrever os recursos e benefcios do IPv6.
Implementar o endereamento IPv6.
Implementar uma estratgia de coexistncia do IPv6.
Descrever e selecionar uma soluo de transio adequada do IPv6.
Fazer a transio do IPv4 para o IPv6.
Solucionar problemas de uma rede baseada no IPv6.
4-2
4-3
Lio 1
Viso geral do IPv6
O IPv6 est se tornando mais comum, mas, embora sua adoo seja lenta, importante entender como
essa tecnologia afeta as redes atuais e como integr-lo a essas redes. A lio a seguir abordar
os benefcios do IPv6 e far uma comparao com o IPv4.
Objetivos
Descrever os benefcios do IPv6.
Descrever as diferenas entre o IPv4 e o IPv6.
Descrever o espao de endereo IPv6.
Fazer a converso entre binrio e hexadecimal.
Benefcios do IPv6
O protocolo IPv6 fornece as seguintes vantagens:
Amplo espao de endereos: um espao de endereos permite 2^32 ou 4.294.967.296

endereos possveis; um espao de endereos de 128 bits permite 2^128 ou
340.282.366.920.938.463.463.374.607.431.768.211.456 (ou 3,4x10^38 ou 340 undecilhes)
endereos possveis.
Infraestrutura hierrquica de endereamento e roteamento: o espao de endereos IPv6 foi

desenvolvido para ser mais eficaz para roteadores; isso significa que mesmo que haja muito mais
endereos, os roteadores podero processar os dados com muito mais eficincia devido otimizao
do endereo.
Configurao de endereos com e sem monitorao de estado: o IPv6 tem capacidade de

autoconfigurao sem um protocolo DHCP e pode detectar informaes do roteador para que os
hosts acessem a Internet; essa uma configurao de endereo sem monitorao de estado. Uma
configurao de endereo com monitorao de estado acontece quando voc utiliza o protocolo
DHCPv6. A configurao com monitorao de estado apresenta dois nveis de configurao
adicionais: um em que o DHCP fornece todas as informaes, incluindo o endereo IP e as
definies de configurao; e outro que fornece somente as definies de configurao.
Suporte exigido para IPsec: os padres IPv6 exigem suporte aos cabealhos AH e ESP que so
definidos pelo IPsec. Embora o suporte aos mtodos de autenticao do IPsec e aos algoritmos
criptogrficos no sejam especificados, o IPsec foi definido desde o comeo como uma maneira
de proteger os pacotes IPv6.
Restaurao da comunicao completa: o modelo de endereamento global para o trfego IPv6

elimina a necessidade de fazer a converso entre diferentes tipos de endereos, como a converso
feita pelos dispositivos NAT para trfego IPv4. Isso simplifica a comunicao, pois voc no precisa
usar dispositivos NAT. Por exemplo, uma videoconferncia e outros aplicativos ponto a ponto.
4-4
4-5
Entrega priorizada: o IPv6 contm um campo no pacote que permite que os dispositivos de rede
determinem a velocidade de processamento do pacote; isso permite a priorizao do trfego. Por
exemplo, quando voc estiver fazendo o streaming do trfego de vdeo, essencial que os pacotes
cheguem em tempo hbil. Voc pode definir esse campo para assegurar que os dispositivos da rede
determinem que a entrega do pacote tem urgncia.
Suporte para ambientes de nica sub-rede: o IPv6 apresenta um suporte muito melhor
configurao e operao automticas em redes que tenham uma nica sub-rede. possvel
aplicar esse recurso para criar redes ad hoc temporrias pelas quais possvel se conectar
e compartilhar informaes.
Extensibilidade: o IPv6 foi criado para que voc possa estend-lo com muito menos restries
do que o IPv4.
Diferenas entre o IPv4 e o IPv6
Quando o espao de endereos IPv4 foi criado, era impossvel supor que ele se esgotaria. No entanto,
com as mudanas tecnolgicas e uma prtica de alocao que no previu a exploso dos hosts da
Internet, o espao de endereos IPv4 se tornou to utilizado que, em meados de 1992, tornou-se bvia
a necessidade de uma substituio. Com o IPv6, difcil imaginar que o espao de endereos ser
consumido.
Foi tomada a deciso de criar o endereo IPv6 com 128 bits de comprimento para permitir a sua
subdiviso em domnios de roteamento hierrquico, que reflete a topologia da Internet dos dias atuais.
O uso de 128 bits permite vrios nveis hierrquicos e flexibilidade ao projetar o endereamento
hierrquico e o roteamento que faltava na Internet baseada no IPv4.
Observao A arquitetura do endereamento IPv6 descrita na RFC (Request for
Comments) 4291.
Comparao entre o IPv4 e o IPv6

Esta tabela destaca as diferenas entre IPv4 e IPv6:
IPv4
IPv6
Endereos de origem e de destino tm 32 bits

(4 bytes) de comprimento.
Endereos de origem e de destino tm 128 bits

(16 bytes) de comprimento.
O suporte ao IPsec opcional.
O suporte aos trailers e cabealhos IPsec

obrigatrio.
O cabealho do IPv4 no contm identificao

de fluxo do pacote para que os roteadores
tratem da QoS (Qualidade de Servio).
O cabealho do IPv6 usa o campo Rtulo de Fluxo

a fim de identificar o fluxo de pacotes para que os
roteadores tratem da QoS.
A fragmentao feita por ambos os

roteadores e o host de envio.
A fragmentao no feita por roteadores, somente

pelo host de envio.
4-6
(continuao)
IPv4
IPv6
4-7
O cabealho inclui uma soma de verificao.
O cabealho no inclui uma soma de verificao.
O cabealho inclui opes.
Todos os dados opcionais so movidos para

cabealhos de extenso do IPv6.
O protocolo ARP usa quadros de solicitao de

difuso ARP para resolver um endereo IPv4
para o endereo de camada de link.
Os quadros de solicitao ARP foram substitudos

por mensagens de solicitao de vizinho multicast.
O protocolo IGMP usado para gerenciar

a associao com o grupo local de sub-rede.
O IGMP substitudo por mensagens MLD

(Multicast Listener Discovery).
A Descoberta do Roteador ICMP, que

opcional, usada para determinar o
endereo IPv4 do melhor gateway padro.
A Descoberta do Roteador ICMP substituda pelas

mensagens de solicitao e anncio de roteador do
ICMPv6.
Os endereos de difuso so usados para

o envio de trfego para todos os ns em uma
sub-rede.
No h endereos de difuso no IPv6. No lugar, h

um endereo multicast de todos os ns do escopo
de link-local.
Deve ser configurado manualmente ou atravs

do DHCP.
No exige configurao manual ou DHCP.
Usa registros de recursos (A) de endereo de host

no sistema DNS (Sistema de Nomes de Domnios)
para mapear nomes de host para endereos IPv4.
Usa registros de recursos (AAAA) de endereo de

host no DNS para mapear nomes de host para
endereos IPv6.
Usa registros de recursos (PTR) de ponteiro no

domnio IN-ADDR.ARPA DNS para mapear
endereos IPv4 para nomes de host.
Usa registros de recursos PTR no domnio IP6.ARPA DNS

para mapear endereos IPv6 para nomes de host.
Deve ser compatvel com um pacote de 576

bytes (possivelmente fragmentado).
Deve ser compatvel com um pacote de 1280 bytes

(sem fragmentao).
Equivalentes do IPv6 no IPv4

A tabela a seguir destaca os equivalentes do IPv6 no IPv4:
Endereo IPv4
Endereo IPv6
Classes de endereos da Internet
No aplicvel no IPv6
Endereos multicast (224.0.0.0/4)
Endereos multicast IPv6 (FF00::/8)
Endereos de difuso
No aplicvel no IPv6
O endereo no especificado 0.0.0.0
O endereo no especificado ::
O endereo de loopback 127.0.0.1
O endereo de loopback ::1
Endereos IP pblicos
Endereos unicast globais
Endereos IP privados (10.0.0.0/8,

172.16.0.0/12 e 192.168.0.0/16)
Endereos locais exclusivos (FD00::/8)
(continuao)
Endereo IPv4
Endereo IPv6
Endereos configurados automaticamente

(169.254.0.0/16)
Endereos de link-local (FE80::/64)
Representao de texto: notao decimal

com ponto
Representao de texto: formato hexadecimal de

dois-pontos com supresso de zeros esquerda
e compresso de zeros
Representao de bits de rede: mscara de subrede em notao decimal com pontos

ou comprimento do prefixo
Representao de bits de rede: somente notao

de comprimento do prefixo
Resoluo de nomes DNS: registro do recurso

endereo do host (A) IPv4
Resoluo de nomes DNS: registro do recurso

endereo do host (AAAA) IPv6
Resoluo inversa DNS: domnio IN-ADDR.ARPA
Resoluo inversa DNS: domnio IP6.ARPA
4-8
Espao de endereos IPv6
O recurso diferencial mais bvio do IPv6 a sua capacidade de usar endereos muito maiores.
Os endereos IPv4 so expressos em quatro grupos de nmeros decimais, como 192.168.1.1.
Cada agrupamento de nmeros representa um octeto binrio. Na representao binria, o nmero
precedente :
11000000.10101000.00000001.00000001 (4 octetos = 32 bits)
4-9
O tamanho de um endereo no IPv6 quatro vezes maior que um endereo IPv4. Os endereos IPv6 so
expressos em hexadecimais (hex).
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Isso pode parecer complexo para os usurios finais, mas a suposio de que os usurios utilizem
nomes DNS para resolver hosts e raramente digitem endereos IPv6 manualmente. O endereo IPv6 em
hexadecimal tambm mais fcil de ser convertido em binrio e vice-versa. Isso simplifica o trabalho com
sub-redes e o clculo de hosts e redes.
Sistema de Numerao Hexadecimal (Base 16)

Ao lidar com nmeros hexadecimais, hex 10 significa decimal 16.
No Sistema de Numerao Hexadecimal, algumas letras representam nmeros porque no sistema
hexadecimal (base 16) deve haver 16 smbolos exclusivos para cada posio. Como j existem 10 smbolos
(de 0 a 9), deve haver seis novos smbolos para o sistema hexadecimal; assim, so usados de A a F.
Observao Use a calculadora do Windows no Windows 7 e no Windows Server 2008
para trabalhar com hexadecimais e binrios. Abra a calculadora, clique no menu Exibir e
em Programador. Digite 16 e clique em Hex. A calculadora exibir 10. Esse aspecto de
hexadecimal pode ser complexo. Depois de atingir hex 9, o prximo nmero hex A
(decimal 10) e, em seguida, B (decimal 11) at F (decimal 15). Observe na calculadora
que, no modo hexadecimal, os botes de A a F so exibidos esquerda do teclado
numrico. No modo Hex, clique em F e, em seguida, clique em Dec. O resultado
decimal 15.
Para converter um endereo IPv6 binrio de 128 bits de comprimento, quebre-o em oito grupos de 16
bits. Converta cada um desses oito grupos de 16 bits em quatro caracteres hexadecimais. Para cada um
dos 16 bits, avalie quatro bits por vez para obter cada nmero hexadecimal. Voc deve numerar cada
conjunto de quatro nmeros binrios 1, 2, 4 e 8, comeando da direita para a esquerda. O primeiro bit
[0010] recebe o valor de 1, o segundo bit [0010] recebe o valor de 2, o terceiro bit [0010] recebe o valor
de 4 e, por fim, o quarto bit [0010] recebe o valor de 8. Para obter o valor hexadecimal dessa seo de
quatro bits, adicione os valores atribudos a cada bit em que os bits esto definidos como 1. No exemplo
de 0010, o nico bit definido como 1 o bit que recebeu o valor de 2. O restante definido como zero.
O valor hexadecimal desses bits 2.
Converso de binrio para hexadecimal

A tabela a seguir descreve a parte do nmero binrio de 16 bits de um endereo IP de 128 bits:
[0010][1111][0011][1011]
Binrio
4-10
0010
1111
Valores de cada posio binria
8421
8421
Adicionando valores onde o bit = 1
0+0+2+0 = 2
8 + 4 + 2 + 1 = 15 ou F hexadecimal
O seguinte exemplo um endereo IPv6 nico na forma binria. Observe que a representao binria
do endereo IP bastante longa. As duas linhas seguintes de nmeros binrios so um endereo IP:
0010000000000001000011011011100000000000000000000010111100111011
0000001010101010000000001111111111111110001010001001110001011010
O endereo de 128 bits dividido em limites de 16 bits (oito blocos de 16 bits).

0010000000000001
0000001010101010
0000110110111000
0000000011111111
0000000000000000
1111111000101000
0010111100111011
1001110001011010
4-11
Cada limite quebrado em conjuntos de quatro bits. Aplicando a metodologia descrita acima, converta
o endereo IPv6. A seguinte tabela mostra o binrio e os valores hexadecimais correspondentes para cada
conjunto de quatro bits:
Binrio
Hexadecimal
[0010][0000][0000][0001]
[2][0][0][1]
[0000][1101][1011][1000]
[0][D][B][8]
[0000][0000][0000][0000]
[0][0][0][0]
[0010][1111][0011][1011]
[2][F][3][B]
[0000][0010][1010][1010]
[0][2][A][A]
[0000][0000][1111][1111]
[0][0][F][F]
[1111][1110][0010][1000]
[F][E][2][8]
[1001][1100][0101][1010]
[9][C][5][A]
Cada bloco de 16 bits expresso como quatro caracteres hexadecimais delimitado por dois-pontos.
O resultado o seguinte:
2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A
Voc pode simplificar ainda mais a representao do IPv6 removendo os zeros esquerda em cada bloco
de 16 bits. No entanto, cada bloco deve ter pelo menos um dgito. Com a supresso dos zeros esquerda,
a representao do endereo demonstrada da seguinte maneira:
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A
Compresso de zeros
Quando ocorrem vrios blocos de zeros contguos, voc pode suprimi-los e represent-los no endereo
como dois-pontos duplo (::), o que simplifica a notao IPv6. O computador reconhece o caractere ::
e o substitui pelo nmero de blocos necessrios para tornar o endereo IPv6 correto.
No exemplo a seguir, o endereo expresso usando-se a compresso de zeros:
2001:DB8::2F3B:2AA:FF:FE28:9C5A
Para saber a quantidade de bits 0 representados pelo caractere ::, conte o nmero de blocos no
endereo comprimido, subtraia esse nmero de oito e multiplique o resultado por 16. Usando o exemplo
anterior, haver sete blocos. Subtraia sete de oito e multiplique o resultado (um) por 16. Dessa forma,
haver 16 bits ou 16 zeros no endereo em que os dois-pontos duplo esto localizados.
A compresso de zeros s pode ser usada uma vez em um determinado endereo. Caso contrrio, no
ser possvel determinar o nmero de bits 0 representados por cada instncia de dois-pontos duplo.
Para converter um endereo em binrio, use a inverso do mtodo descrito acima:
1.
Adicione zeros usando a compresso de zeros.
2.
Adicione zeros esquerda.
3.
Converta cada nmero hexadecimal em seu binrio equivalente.
Lio 2
Endereamento IPv6
Para habilitar dispositivos com IPv6, voc deve saber como configurar e atribuir endereos IPv6 aos
dispositivos na rede da sua organizao.
Objetivos
Descrever prefixos IPv6.
Descrever o IPv6 unicast.
Descrever IDs da zona.
Descrever a configurao automtica de endereo para IPv6.
Configurar definies do IPv6 em um cliente de rede.
4-12
Prefixos IPv6
Como o espao de endereos IPv4, o espao de endereos IPv6 dividido por meio da alocao
de pores do espao de endereos disponvel para vrias funes de IP. Os bits de ordem superior
(bits que esto no incio do endereo IPv6 de 128 bits) definem reas estticas no espao IP. Os bits
de ordem superior e seus valores fixos so conhecidos como um prefixo do formato.
A IANA (Internet Assigned Numbers Authority) gerencia o IPv6. Alm disso, ela define como o espao
de endereos IPv6 ser dividido inicialmente e especifica os prefixos do formato.
Prefixos do formato IPv6

A tabela a seguir mostra a alocao do espao de endereo IPv6 por prefixos do formato:
Valor binrio do prefixo
Comea com
Frao do espao
de endereo
Reservado
0000 0000
1/256
001
2 ou 3
1/8
Endereos unicast de link-local
1111 1110 1000
FE8
1/1024
Endereos unicast locais

exclusivos
1111 1100
FD
1/256
Endereos multicast
1111 1111
FF
1/256
Alocao
Os demais espaos de endereo IPv6 no foram atribudos.

O conjunto atual de endereos unicast que podem ser usados com os ns IPv6 consiste em endereos
unicast globais, endereos locais exclusivos e endereos unicast de link-local.
4-13
Prefixos IPv6
O prefixo a parte do endereo que indica os bits que tm valores fixos ou que so os bits do prefixo
da sub-rede. Os prefixos das sub-redes IPv6, das rotas e dos intervalos de endereos so expressos da
mesma forma que a notao CIDR (Roteamento entre Domnios sem Classificao) para IPv4. Um prefixo
IPv6 expresso em notao de endereo/comprimento do prefixo. Por exemplo, 2001:DB8::/48
e 2001:DB8:0:2F3B::/64 so prefixos de endereo IPv6.
Observao Geralmente, as implementaes IPv4 usam uma representao decimal com
pontos do prefixo da rede conhecida como a mscara de sub-rede. O IPv6 no usa uma
mscara de sub-rede; ele oferece suporte somente notao de comprimento do prefixo.
4-14
4-15
Tipos de endereo IPv6 unicast
Um endereo unicast identifica uma interface nica dentro do escopo do tipo de endereo unicast.
Com a topologia adequada de roteamento unicast, os pacotes destinados para um endereo unicast
so fornecidos para uma nica interface.

Endereos unicast globais so equivalentes a endereos IPv4 pblicos. Eles so globalmente roteveis
e acessveis na parte do IPv6 da Internet. Os campos no endereo unicast global so:
Parte fixa definida como 001: os trs bits de ordem superior so definidos como 001. O prefixo de
endereo para os endereos globais atualmente atribudos 2000::/3. Portanto, todos os endereos
unicast globais comeam com 2 ou 3.
Prefixo de Roteamento Global: indica o prefixo de roteamento global para o site especfico de uma
organizao. A combinao dos trs bits fixos e do prefixo de roteamento global de 45 bits utilizada
para gerar um prefixo de site de 48 bits, atribudo ao site individual de uma organizao. Depois
que esse prefixo for atribudo, os roteadores na Internet IPv6 encaminharo o trfego do IPv6
que correspondem ao prefixo de 48 bits para os roteadores do site da organizao.
ID de Sub-rede: A ID de Sub-rede usada dentro do site de uma organizao para identificar as

sub-redes. O tamanho desse campo de 16 bits. O site da organizao pode utilizar esses 16 bits
no prprio site para criar 65.536 sub-redes ou vrios nveis de hierarquia de endereamento e uma
infraestrutura eficiente de roteamento.
ID da interface: indica a interface existente em uma sub-rede especfica no site. O tamanho desse
campo de 64 bits. Ela gerada aleatoriamente ou atribuda pelo DHCPv6. Antigamente, ela se
baseava no endereo MAC (Controle de Acesso Mdia) da placa de interface de rede ao qual
o endereo era ligado.
Endereos unicast de link-local

Endereos de link-local so endereos unicast de uso local com as seguintes propriedades:
Os endereos de link-local so utilizados entre os vizinhos no link e para os processos de Descoberta

de Vizinhos. Isso permite que um computador solicite mais informaes sobre a configurao IPv6
de roteadores IPv6 e de servidores DHCP IPv6.
Os endereos de link-local equivalem aos endereos APIPA no IPv4.
Os endereos de link-local sempre comeam com FE8. Com o identificador de interface de 64 bits,
o prefixo dos endereos de link-local sempre FE80::/64. Um roteador IPv6 nunca encaminha um
trfego de link-local alm do link.
Observao O conceito de loopback seguido por meio do IPv6: um endereo no
especificado 0:0:0:0:0:0:0:0, ou ::, enquanto o endereo de loopback 0:0:0:0:0:0:0:1 ou ::1.
Endereos unicast IPv6 locais exclusivos

Os endereos locais exclusivos fornecem s organizaes um equivalente ao espao de endereos IPv4
privados, sem a sobreposio no espao de endereos quando h combinao de organizaes.
Os sete primeiros bits tm um valor binrio fixo de 1111110. Todos os endereos locais exclusivos levam
o prefixo de endereo FC00::/7. O sinalizador Local (L) definido como 1 para indicar um endereo local.
O valor do sinalizador L configurado com 0 ainda no foi definido. Portanto, os endereos locais
exclusivos com o sinalizador L definido como 1 levam o prefixo de endereo FD::/8.
Os prximos 40 bits devem ser atribudos aleatoriamente para fornecer o prefixo resultante local exclusivo
de 48 bits relativo exclusividade entre organizaes.
Observao Esses tipos de endereo no so mutuamente exclusivos como acontece
no IPv4. Todos os hosts obtm um endereo de link-local em cada interface e tambm
podem ter endereos unicast globais e endereos unicast IPv6 locais exclusivos.
4-16
4-17
IDs de zona
Diferentemente dos endereos globais, voc pode reutilizar os endereos de uso local. Os endereos de
link-local so reutilizados em cada link. Os endereos de link-local so ambguos devido sua capacidade
de reutilizao.
IDs de zona para endereos de uso local
Voc precisa de um identificador adicional para especificar a que link um endereo foi atribudo ou onde
est localizado. Esse identificador adicional um identificador de zona, tambm conhecido como ID
de escopo, e identifica uma parte conectada de uma rede com um escopo especificado. A sintaxe
especificada na RFC 4007 para identificao da zona associada a um endereo de uso local a seguinte:
Endereo%ID_zona
Endereo um endereo de uso local e ID_zona um valor inteiro que representa a zona. Os valores
da ID da zona so definidos em relao ao host de envio. Portanto, hosts diferentes devem determinar
valores de ID de zona diferentes para a mesma zona fsica. Por exemplo, o Host A deve usar 3 para
representar a ID de zona de um link anexado e o Host B deve usar 4 para representar o mesmo link.
Para hosts IPv6 baseados no Windows, as IDs de zona para endereos de link-local so definidas
da seguinte forma.
Para os endereos de link-local, a ID de zona geralmente o ndice da interface atribuda ao endereo
ou destinada a ser usada como a interface de envio para um destino de link-local. O ndice de interface
um inteiro comeando em 1, atribudo s interfaces IPv6, que incluem um loopback e uma ou vrias
interfaces de LAN (rede local) ou de encapsulamento. possvel exibir a lista de ndices de interface
usando o comando netsh interface ipv6 show interface.
Veja a seguir um exemplo de uso das ferramentas do Windows e da ID de zona:
ping fe80::2b0:d0ff:fee9:4143%3
Nesse caso, 3 o ndice da interface anexada ao link que contm o endereo de destino.
No Windows, a ferramenta Ipconfig.exe exibe a ID de zona dos endereos IPv6 de uso local. Veja a seguir
uma extrao da exibio do comando ipconfig.
Conexo local do adaptador Ethernet:
Sufixo DNS especfico conexo :
Endereo IP. . . . . . . . . . . :
Mscara de sub-rede . . . . . . .:
Endereo IP. . . . . . . . . . . :
Endereo IP. . . . . . . . . . . :
Endereo IP. . . . . . . . . . . :
Gateway padro . . . . . . . . . :
wcoast.example.com
157.60.14.219
255.255.255.0
2001:db8:2a1c:2:1cc8:ef1d:1dd9:8066
2001:db8:2a1c:204:5aff:fe56:f5b
fe80::204:5aff:fe56:f5b%4
157.60.14.1
fe80::20a:42ff:feb0:5400%4
Para os endereos de link-local na exibio do comando ipconfig, a ID de zona indica o ndice da

interface que possui o endereo (para endereo IP) atribudo ou a interface por meio da qual um
endereo acessado (para gateway padro).
4-18
Configurao automtica de endereo para o IPv6
4-19
O host pode atravessar vrios estados medida que avana no processo de autoconfigurao e h vrias
maneiras de atribuir um endereo IPv6 e outras definies de configurao. Dependendo de como
o roteador est configurado, um cliente pode precisar usar a configurao sem monitorao de estado
(sem servio DHCPv6) ou com monitorao de estado juntamente com a participao de um servidor
DHCPv6 para atribuir um endereo IP e outras definies de configurao ou apenas para atribuir outras
definies de configurao. As outras definies de configurao podem incluir servidores DNS e nomes
de domnio.
Estados de endereo configurados automaticamente

Os endereos autoconfigurados encontram-se em um ou mais destes estados:
Provisrio: a verificao ocorre para determinar se o endereo exclusivo. A deteco de endereos

duplicados executa a verificao. Um n no pode receber trfego unicast para um endereo
provisrio.
Vlido: verificou-se que o endereo exclusivo e pode enviar e receber trfego unicast.
Preferencial: o endereo permite que um n envie e receba trfego unicast.
Substitudo: o endereo vlido, mas seu uso desestimulado para nova comunicao.
Invlido: o endereo no permite mais que um n receba ou envie trfego unicast.
Tipos de configurao automtica

Os tipos de autoconfigurao incluem:
Sem monitorao de estado: a configurao de endereo baseada somente no recebimento

de mensagens de Anncio de Roteador.
Com monitorao de estado: a configurao baseada no uso de um protocolo de configurao

de endereo com monitorao de estado, como o DHCPv6, para obter endereos e outras opes
de configurao:
Um host usa configurao de endereo com monitorao de estado quando recebe instrues
para fazer isso em mensagens de Anncio de Roteador.
Um host tambm utilizar um protocolo de configurao de endereo com monitorao

de estado quando no existirem roteadores presentes no link-local.
Ambos: a configurao baseada no recebimento de mensagens de Anncio de Roteador

e no DHCPv6.
Por que usar a configurao com monitorao de estado?

Usar a configurao com monitorao de estado permite s empresas controlar como os endereos
IPv6 sero atribudos usando o DHCPv6.
Se houver alguma opo especfica de escopo que voc precise configurar, como os endereos IPv6
de servidores DNS, ser necessrio um servidor DHCPv6.
Comunicao com o servidor DHCP

Quando o IPv6 tenta se comunicar com um servidor DHCP, ele usa endereos multicast IPv6 para isso.
O processo diferente com o IPv4, que usa endereos de difuso IPv4.
4-20
Demonstrao: Como configurar as definies do cliente IPv6
Configurar um escopo DHCP para clientes IPv6.
Configurar o computador cliente.
4-21
Lio 3
Coexistncia com o IPv6
Desde sua concepo, o IPv6 foi desenvolvido para coexistir, por longo prazo, com o IPv4. Esta lio
oferece uma viso geral das tecnologias que oferecem suporte coexistncia dos dois protocolos IP.
A lio tambm descreve os diferentes tipos de n e as implementaes da pilha IP do IPv6, alm de
explicar como o DNS resolve nomes para endereos IPv6 e os vrios tipos de tecnologia de transio
do IPv6.
Objetivos
Descrever os tipos de n IP.
Descrever mtodos para fornecer coexistncia entre o IPv4 e o IPv6.
Configurar o DNS para oferecer suporte ao IPv6.
Explicar as tecnologias de transio do IPv6.
4-22
Quais so os tipos de n?
Ao planejar uma rede IPv6, voc deve conhecer os tipos de ns ou hosts existentes na rede. Descrever
os ns das maneiras a seguir ajuda a definir seus recursos na rede. Isso importante para o recurso
de encapsulamento, pois certos tipos de tneis exigem tipos de n especficos, incluindo:
4-23
N somente IPv4: um n que implementa somente o IPv4 (e possui apenas endereos IPv4)
e no oferece suporte ao IPv6. A maioria dos hosts e roteadores instalados atualmente de ns
somente IPv4.
N somente IPv6: um n que implementa somente o IPv6 (e possui apenas endereos IPv6) e no
oferece suporte ao IPv4. Esse n s pode se comunicar com os ns e aplicativos IPv6 e no comum
nos dias de hoje. No entanto, talvez seu uso se torne mais frequente, pois dispositivos menores, como
celulares e computadores de mos, usam exclusivamente o protocolo IPv6.
N IPv4/IPv6: um n que implementa tanto o IPv4 quanto o IPv6.
N IPv4: um n que implementa o IPv4. Pode ser um n somente IPv4 ou um n IPv6/IPv4.
N IPv6: um n que implementa o IPv6. Pode ser um n somente IPv6 ou um n IPv6/IPv4.
Para permitir a coexistncia, o maior nmero de ns (IPv4 ou IPv6) pode se comunicar atravs de uma
infraestrutura IPv4, uma infraestrutura IPv6 ou uma infraestrutura que uma combinao de IPv4 e IPv6.
Voc migrar efetivamente quando todos os ns IPv4 forem convertidos em ns somente IPv6. No
entanto, em um futuro prximo, a migrao prtica ser alcanada quando a maior quantidade possvel
de ns somente IPv4 for convertida em ns IPv6/IPv4. Os ns somente IPv4 podero se comunicar com
os ns somente IPv6 apenas quando voc estiver usando um proxy IPv4-para-IPv6 ou um gateway
de converso.
Coexistncia entre o IPv4 e o IPv6
Para coexistir com uma infraestrutura do IPv4 e permitir uma transio eventual para uma infraestrutura
somente IPv6, voc pode usar os mecanismos a seguir.
Arquitetura de camada IP dupla

Uma arquitetura de camada IP dupla, implementada no Windows Vista, Windows 7, Windows Server 2008
e Windows Server 2008 R2, contm camadas de Internet IPv4 e IPv6 com uma nica implementao
de protocolos de camada de transporte, como TCP e UDP.
Uma arquitetura de camada IP dupla contm as duas camadas da Internet, IPv4 e IPv6, com uma nica
implementao dos protocolos da camada de transporte, como o TCP e o UDP. A pilha dual facilita
a migrao para o IPv6. H menos arquivos a serem mantidos para fornecer a conectividade do IPv6.
O IPv6 tambm est disponvel sem a adio de novos protocolos na configurao da placa de rede.
Os tipos de pacote incluem:
Pacotes IPv4
Pacotes IPv6
Pacotes IPv6 atravs do IPv4 (pacotes IPv6 encapsulados com um cabealho IPv4)
Arquitetura de pilha dual

Uma arquitetura de pilha dual contm ambas as camadas da Internet, IPv4 e IPv6, com pilhas de
protocolo separadas com implementaes distintas dos protocolos da camada de transporte, como
o TCP e o UDP.
O driver do protocolo IPv6 no Windows Server 2003 e Windows XP, Tcpip6.sys, contm uma
implementao separada do TCP e UDP.
4-24
4-25
Os tipos de pacote incluem:
Pacotes IPv4
Pacotes IPv6
Pacotes IPv6 atravs do IPv4
Requisitos da infraestrutura DNS
Voc precisa de uma infraestrutura DNS para obter xito da coexistncia, devido ao uso predominante
de nomes em vez de endereos para fazer referncia aos recursos da rede. A atualizao da infraestrutura
DNS consiste em popular os servidores DNS com registros que oferecem suporte para as resolues de
nome-para-endereo e endereo-para-nome IPv6. Depois de obter o endereo usando uma consulta de
nome DNS, o n de envio deve selecionar quais endereos sero usados para comunicao.
A atualizao da infraestrutura DNS consiste em popular os servidores DNS com registros que oferecem
suporte s resolues de nome-para-endereo e endereo-para-nome IPv6:
Registros A para os ns IPv4
Registros AAAA para os ns IPv6
Registros PTR para endereos IPv4 e IPv6
Ao utilizar o IPv6, o DNS pode retornar diversos endereos de diferentes tipos para o mesmo host.
O conjunto de endereos de origem e destino usado pelo host para a comunicao se baseia nas regras
padro de seleo de endereos, que podem ser configuradas no prprio host. Para exibir as diretivas
de prefixo que determinam o comportamento da seleo de endereo, abra um prompt de comando
e digite: netsh interface ipv6 show prefixpolicies. O quadro a seguir representa uma sada comum
desse comando:
Precedence
---------50
40
30
20
10
5
Label
----0
1
2
3
4
5
Prefix
-------------------------------::1/128
::/0
2002::/16
::/96
::ffff:0:0/96
2001::/32
Encapsulamento IPv6 atravs do IPv4
O encapsulamento IPv6 atravs do IPv4 o encapsulamento de pacotes IPv6 com um cabealho IPv4 para
que os pacotes IPv6 possam ser enviados atravs de uma infraestrutura IPv4; esse assunto abordado em
um tpico posterior e na prxima lio.
Demonstrao: Como configurar o DNS para oferecer suporte ao IPv6
Configurar as associaes para o servio DNS.
Verificar a presena de registros AAAA em Contoso.com.
4-26
O que encapsulamento IPv6 atravs do IPv4?
4-27
O encapsulamento IPv6 atravs do IPv4 o encapsulamento de pacotes IPv6 com um cabealho IPv4 para
que os pacotes IPv6 possam ser enviados atravs de uma infraestrutura somente IPv4. No cabealho IPv4:
O campo Protocolo IPv4 definido como 41 para indicar um pacote IPv6 encapsulado.
Os campos Origem e Destino so definidos como os endereos IPv4 dos pontos de extremidade
de encapsulamento. Voc pode configurar pontos de extremidade de encapsulamento manualmente
como parte da interface de encapsulamento ou eles podem ser derivados automaticamente.
Observao Diferentemente do protocolo PPTP e do protocolo L2TP, no h troca de
mensagens para a instalao, manuteno ou trmino do encapsulamento. Alm disso,
o encapsulamento IPv6 atravs do IPv4 no oferece segurana para os pacotes IPv6 em
encapsulamento. Isso significa que quando voc utiliza o encapsulamento IPv6, ele no
precisa estabelecer primeiramente uma conexo protegida.
Lio 4
Tecnologias de transio do IPv6
Uma transio finalmente bem-sucedida para o IPv6 requer coexistncia intermediria dos ns do IPv6
no atual ambiente predominantemente IPv4. Para que isso ocorra, os pacotes IPv6 so colocados em
encapsulamento automaticamente atravs de infraestruturas de roteamento somente IPv4, permitindo
que clientes IPv6 se comuniquem entre si usando endereos Teredo, 6to4 ou ISATAP e o encapsulamento
de pacotes IPv6 atravs de redes IPv4. Esta lio fornece informaes sobre as diferentes tecnologias
de transio disponveis no Windows. As tecnologias de transio do IPv6 incluem:
ISATAP: as intranets locais usam o encapsulamento ISATAP, que se beneficia da configurao

automtica e o mtodo principal de comunicao dos ns IPv6 atravs de uma intranet
somente IPv4.
6to4: permite que os hosts IPv6 com endereos IPv4 pblicos se comuniquem pela Internet
somente IPv4.
Teredo: permite que hosts IPv6 com endereos IPv4 privados e localizados atrs de NATs se
comuniquem pela Internet somente IPv4.
Objetivos
Explicar o ISATAP.
Explicar o 6to4.
Explicar o Teredo.
Descrever o proxy de porta.
4-28
O que ISATAP?
4-29
ISATAP uma tecnologia de atribuio de endereos que pode ser usada para fornecer conectividade
IPv6 unicast entre hosts IPv6/IPv4 por uma intranet IPv4. Os hosts ISATAP no exigem configurao
manual e podem criar endereos ISATAP usando mecanismos de configurao automtica de endereo
padro. O ISATAP usado principalmente no site das organizaes e, embora o componente ISATAP seja
habilitado por padro, ele atribuir endereos baseados em ISATAP apenas se puder resolver o nome
ISATAP na sua rede.
Observao Um endereo ISATAP baseado em um endereo IPv4 privado formatado da
seguinte maneira: [prefixo unicast de 64 bits]:0:5EFE:w.x.y.z, enquanto um endereo ISATAP
baseado em um endereo IPv4 pblico formatado desta forma: [prefixo unicast de
64 bits]:200:5EFE:w.x.y.z. Por exemplo, FE80::5EFE:192.168.137.133 (privado)
e FE80::200:5EFE:131.107.137.133 (pblico).
O que um roteador ISATAP?

O ISATAP permite que os clientes IPv6 em uma intranet somente IPv4 se comuniquem sem exigir uma
configurao manual adicional. Um roteador ISATAP anuncia um prefixo IPv6 e pode permitir que os
clientes se comuniquem com outros clientes IPv6 em outras sub-redes IPv6.
Como funciona o encapsulamento ISATAP
O encapsulamento ISATAP pode ser iniciado de vrias maneiras. O roteador ISATAP pode ser localizado
quando se resolve o nome ISATAP para um endereo IPv4 ou usando o comando Netsh Interface IPv6
ISATAP set Router, ou para o Windows 7 e Windows Server 2008 R2, configure a definio Diretiva de
Grupo de Nomes do Roteador ISATAP.
Para resolver o ISATAP na infraestrutura de nomenclatura, voc deve definir o nome ISATAP no DNS,
no WINS (Servio de Cadastramento na Internet do Windows) ou nos arquivos hosts/lmhosts dos hosts.
Aps localizar o roteador, o host se comunica com ele atravs do IPv4. O roteador fornece ao host
informaes sobre o prefixo ISATAP IPv6 e se ele (o roteador) um roteador padro.
Observao importante planejar cuidadosamente a implementao do ISATAP; todos
os ns sero conectados mesma sub-rede IPv6 e o reconhecimento de site AD DS
configurado com o snap-in Servios e Sites do Active Directory ser perdido, a menos
que tambm seja configurado para sub-redes equivalentes ao ISATAP. Por esse e outros
motivos, a Microsoft recomenda usar o ISATAP somente para testes limitados, e no na
implantao em toda a Intranet, e no lugar de implantar o suporte nativo ao IPv6 para sua
intranet.
4-30
4-31
O que 6to4?
6to4 uma tecnologia que pode ser usada para fornecer conectividade IPv6 unicast entre hosts e sites
IPv6 atravs da Internet IPv4. O padro 6to4 considera a Internet IPv4 inteira como um link nico.
Em um endereo 6to4 (2002:WWXX:YYZZ:Subnet_ID:Interface_ID), WWXX:YYZZ a representao
hexadecimal de dois-pontos de w.x.y.z, um endereo IPv4 pblico.
Funcionalidade do roteador 6to4 no Windows

Quando voc habilitar o ICS (Compartilhamento de Conexo da Internet) em um computador que
executa o Windows, ocorrer o seguinte:
O encaminhamento IPv6 habilitado nas interfaces privadas e de encapsulamento do 6to4.
A interface privada conecta-se a uma intranet de sub-rede nica e usa os endereos IPv4 privados
a partir do prefixo 192.168.0.0/24.
Um prefixo de sub-rede IPv6 de 64 bits determinado para anunciar a intranet privada.
O componente 6to4 deriva o prefixo de sub-rede da intranet de

2002:WWXX:YYZZ:InterfaceIndex::/64, no qual InterfaceIndex o ndice da rede privada.
As mensagens de anncio de roteador so enviadas na interface privada.
As mensagens de anncio de roteador anunciam o computador do ICS (Compartilhamento de Conexo

da Internet) como um roteador padro e contm o prefixo da sub-rede 6to4 derivado.
Como funciona o encapsulamento 6to4

Dentro de um site, os roteadores IPv6 locais anunciam os prefixos de sub-rede
2002:WWXX:YYZZ:Subnet_ID::/64 para que os hosts configurem automaticamente os endereos 6to4.
Os roteadores IPv6 dentro do site fornecem o trfego entre os hosts 6to4. Os hosts nas sub-redes
individuais so configurados automaticamente com uma rota de sub-rede de 64 bits para entrega direta
aos vizinhos e com uma rota padro com o endereo do prximo salto do roteador anunciante. O trfego
IPv6 que no corresponde a nenhum dos prefixos de sub-rede utilizados pelo site encaminhado a um
roteador 6to4 na fronteira do site. O roteador 6to4 na fronteira do site possui uma rota 2002::/16, que
encaminha o trfego a outros sites 6to4, e uma rota padro (::/0), que encaminha o trfego a uma
retransmisso 6to4 na Internet IPv4.
Exemplo
No exemplo de rede mostrado no slide, o Host A e o Host B podem se comunicar entre si devido
a uma rota padro que usa o endereo do prximo salto do roteador 6to4 no Site 1. Quando o Host A
se comunica com o Host C em outro site, o Host A envia o trfego para o roteador 6to4 no Site 1 como
pacotes IPv6. O roteador 6to4 no Site 1, usando a rota 2002::/16 na respectiva tabela de roteamento
e a interface de encapsulamento 6to4, encapsula o trfego com um cabealho IPv4 e faz encapsulamento
para o roteador 6to4 no Site 2. O roteador 6to4 no Site 2 recebe o trfego em encapsulamento, remove
o cabealho IPv4 e, usando a rota do prefixo de sub-rede na respectiva tabela de roteamento, encaminha
o pacote IPv6 ao Host C.
Por exemplo, o Host A reside na sub-rede 1 do Site 1 que usa o endereo IPv4 pblico de 157.60.91.123.
O Host C reside na sub-rede 2 do Site 2 que usa o endereo IPv4 pblico de 131.107.210.49. A tabela que
aparece no slide lista os endereos nos cabealhos IPv4 e IPv6 quando o roteador 6to4 no Site 1 envia
o pacote IPv6 encapsulado por IPv4 ao roteador 6to4 no Site 2.
4-32
O que Teredo?
4-33
O encapsulamento Teredo permite fazer o encapsulamento pela Internet somente IPv4 quando os
clientes estiverem protegidos por uma NAT IPv4. O Teredo foi criado porque muitas conexes com a
Internet usam endereos IPv4 privados por trs de uma NAT. O Teredo uma tecnologia de transio de
ltimo recurso para a conectividade IPv6. Se a conectividade nativa IPv6, ISATAP ou 6to4 estiver presente
entre os ns em comunicao, o Teredo no ser usado. Quanto mais NATs IPv4 forem atualizadas para
oferecer suporte ao padro 6to4 e a conectividade IPv6 se generalizar, o Teredo ser usado cada vez
menos, at deixar de ser totalmente utilizado.
Componentes do Teredo
Os componentes do Teredo so os seguintes:
Cliente Teredo: oferece suporte a uma interface de encapsulamento Teredo pela qual os pacotes so
colocados em encapsulamento para outros clientes ou ns Teredo na Internet IPv6 por meio de uma
retransmisso do Teredo.
Servidor Teredo: conecta-se Internet IPv4 e IPv6. A funo do servidor Teredo auxiliar na
configurao inicial dos clientes Teredo e facilitar a comunicao inicial entre os clientes Teredo
nos diversos sites ou entre os clientes Teredo e os hosts somente IPv6 na Internet IPv6.
Retransmisso Teredo: encaminha pacotes entre os clientes Teredo na Internet IPv4 e os hosts
somente IPv6 na Internet IPv6.
Retransmisso especfica de host Teredo: faz a interface e se conecta com a Internet IPv4 e IPv6.
Alm disso, ele pode se comunicar diretamente com os clientes Teredo atravs da Internet IPv4, sem
precisar de uma retransmisso Teredo intermediria. A conectividade com a Internet IPv4 ocorre
atravs de um endereo IPv4 pblico ou de um endereo IPv4 privado e uma NAT vizinha. A
conectividade com a Internet IPv6 acontece atravs de uma conexo direta com a Internet IPv6
ou por meio de uma tecnologia de transio do IPv6, como a 6to4.
O que proxy de porta?
Voc pode usar o servio Proxy de Porta como um gateway de camada de aplicativo para ns ou
aplicativos que no oferecem suporte ao IPv6. O Proxy de Porta facilita a comunicao entre os ns ou
aplicativos que no podem se conectar usando um tipo de endereo comum, protocolo de camadas da
Internet (IPv4 ou IPv6) e porta TCP. A principal finalidade desse servio permitir que os ns de IPv6 se
comuniquem com aplicativos TCP somente IPv4.
O servio Proxy de Porta pode usar o proxy somente de dados TCP, alm de oferecer suporte apenas aos
protocolos da camada de aplicativos que no inserem a informao do endereo ou da porta nos dados
dessa camada. O Proxy de Porta no pode alterar a informao de endereo no nvel de aplicativo e no
flexvel. Alm disso, mais conveniente utilizar outras tecnologias de encapsulamento para solucionar
muitos dos problemas geralmente solucionados com o Proxy de Porta.
Algumas reas em que o Proxy de Porta pode ser til e oferecer solues durante a fase de transio
incluem:
Um n somente IPv4 pode acessar um n somente IPv6.
Um n somente IPv6 pode acessar um n somente IPv4.
Um n IPv6 pode acessar um servio somente IPv4 em execuo em um computador de Proxy

de Porta.
4-34
4-35
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-RTR e 10221B-NYC-CL2.
A Contoso decidiu iniciar o processo de migrao de sua rede para IPv6. Sua tarefa inicial provar
o princpio da migrao configurando um nico computador cliente para IPv6.
Configurar uma rede e um cliente IPv6 novos.
Configurar um roteador ISATAP para permitir a comunicao entre uma rede IPv4 e uma rede IPv6.
Exerccio 1: Configurao de uma rede e um cliente IPv6 novos

Cenrio
Nesse exerccio, voc ir configurar um NYC-CL2 como um cliente somente IPv6.
1.
Configurar o roteamento IPv4.
2.
Habilitar o roteamento IP em NYC-RTR e confirmar a conectividade IPv4.
3.
Desabilitar o IPv6 em NYC-DC1.
4.
Desabilitar o IPv4 em NYC-CL2.
5.
Configurar um anncio de roteador IPv6 para a rede 2001:db8:0:1::/64 de endereo global no

NYC-RTR.
6.
Verificar a configurao de IP em NYC-CL2 para garantir a configurao com um endereo global

IPv6 na rede 2001:db8:0:1::/64.
Tarefa 1: Configurar o roteamento IPv4

1.
2.
Verifique as propriedades da Conexo Local 4:
Endereo IP: 172.16.16.3
Gateway padro: 172.16.16.1
Servidor DNS preferencial: 10.10.0.10
3.
4.
5.
Verifique as propriedades de Conexo Local 7:
6.
Tarefa 2: Habilitar o roteamento IP em NYC-RTR e confirmar a conectividade IPv4

1.
2.
Abra o Editor do Registro.
3.
Configure o valor HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Tcpip >
Parameters > IPEnableRouter como 1.
4.
Feche o Editor do Registro.
5.
Reinicie o NYC-RTR.
6.
Depois que o computador NYC-RTR for reiniciado, faa logon com as seguintes credenciais:
Senha: Pa$$w0rd
4-36
Observao Nesse ponto, somente o trfego IPv4 roteado atravs da infraestrutura

de roteamento IPv4. Como o trfego ICMPv4 bloqueado pelo Firewall do Windows
por padro, voc no poder testar a conectividade executando ping.
Tarefa 3: Desabilitar o IPv6 em NYC-DC1

1.
2.
Desabilite o IPv6 na Conexo Local 4 desmarcando a caixa de seleo Protocolo IP Verso 6

(TCP/IPv6) nas Propriedades de Conexo Local 4.
Tarefa 4: Desabilitar o IPv4 em NYC-CL2

1.
2.

3.
Abra um prompt de comando, digite ipconfig e pressione ENTER.

Observao
A sada deve ser um endereo IPv6 de link-local que comea com fe80.
Tarefa 5: Configurar um anncio de roteador IPv6 para a rede 2001:db8:0:1::/64

de endereo global no NYC-RTR
1.
2.
Abra um prompt de comando e digite os seguintes comandos.

netsh interface ipv6 set interface Conexo Local 3 forwarding=enabled
advertise=enabled
netsh interface ipv6 add route 2001:db8:0:1::/64 Conexo Local 3 publish=yes
Tarefa 6: Verificar a configurao de IP em NYC-CL2 para garantir a configurao

com um endereo global IPv6 na rede 2001:db8:0:1::/64
1.
2.
No prompt de comando, digite ipconfig e pressione ENTER.

Observao A sada deve ser um endereo IPv6 de link-local que comea com fe80. Dois
endereos IP globais que comeam com 2001:db8:0:1: tambm devem estar includos
na sada.
3.
Feche o prompt de comando.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-CL2 somente para IPv6.
4-37
Exerccio 2: Configurao de um roteador ISATAP para permitir

a comunicao entre uma rede IPv4 e uma rede IPv6
Cenrio
Nesse exerccio, voc ir configurar o ISATAP para habilitar a conectividade entre o novo cliente IPv6
e os clientes IPv4 restantes, inclusive o NYC-DC1.
1.
Adicionar a entrada ISATAP zona DNS em NYC-DC1.
2.
Configurar o roteador ISATAP no NYC-RTR.
3.
Habilitar a interface ISATAP em NYC-DC1.
4.
Testar a conectividade.
Tarefa 1: Adicionar a entrada ISATAP zona DNS em NYC-DC1

1.
2.
Adicione um novo registro de host no DNS:
Zona: Contoso.com
Nome: ISATAP
Endereo IP: 10.10.0.1
Tarefa 2: Configurar o roteador ISATAP no NYC-RTR

Observao Ao substituir o Interface_Index, lembre-se de digitar seu Interface_Index com
as chaves de abertura e fechamento {}.
1.
2.
Alterne para o prompt de comando. Digite cada um dos comandos a seguir e pressione ENTER aps
cada comando:
Netsh interface ipv6 isatap set router 10.10.0.1
ipconfig
3.
Localize o adaptador de encapsulamento isatap.{Interface_Index}: que possui um endereo IPv6 de

link-local que contm 10.10.0.1. Anote o Interface_Index (incluindo as chaves) voc precisar dele
em algum momento.
ndice de interface:
4.
Digite o comando a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc
registrou anteriormente e pressione ENTER:
netsh interface ipv6 set interface isatap.Interface_Index forwarding=enabled
advertise=enabled
4-38
5.
No prompt de comando, digite o comando a seguir, substituindo Interface_Index pelo nmero

(e chaves {}) que voc registrou anteriormente e pressione ENTER:
netsh interface ipv6 add route 2001:db8:0:10::/64 isatap.Interface_Index
publish=yes
6.
7.
Reinicie o NYC-RTR e faa logon usando as seguintes credenciais:
Senha: Pa$$w0rd
Abra um prompt de comando, digite ipconfig e pressione ENTER.

Observao O adaptador de encapsulamento associado rede 10.10.0.0/16 exibir um
endereo IPv6 no intervalo 2001:db8:0:10.
Tarefa 3: Habilitar a interface ISATAP em NYC-DC1

1.
2.
Abra um prompt de comando e digite os seguintes comandos:

Netsh interface isatap set router 10.10.0.1
ipconfig
Observao O adaptador de encapsulamento isatap {Interface_Index} (que o adaptador

ISATAP) recebeu um endereo IPv6 automaticamente do roteador ISATAP.
Tarefa 4: Testar a conectividade

1.
Em NYC-DC1, abra o Firewall do Windows com Segurana Avanada.
2.
Crie uma nova regra de entrada com as seguintes propriedades:
Tipo de regra: Personalizado
Programa: Padro
Protocolos e portas: Protocol > ICMPv4
Escopo: Padro
Ao: Padro
Perfil: Padro
Nome: Permitir PING
3.
4.
Abra um prompt de comando e digite os seguintes comandos:

Ping 2001:db8:0:10:0:5efe:10.10.0.10
ipconfig
Qual o endereo IPv6? Registre-o aqui.
4-39
5.
Abra o Firewall do Windows com Segurana Avanada.
6.
Tipo de regra: Personalizada
Programa: Padro
Escopo: Padro
Ao: Padro
Perfil: Padro
Nome: Permitir PING
7.
8.
Abra um prompt de comando, digite Ping IPv6_address e pressione ENTER.

Onde IPv6_address o endereo IPv6 em NYC-CL2 anotado anteriormente.
Resultados: ao fim deste exerccio, voc ter configurado o ISATAP.
Preparando-se para o prximo laboratrio
No desligue as mquinas virtuais neste momento, pois voc precisar delas para concluir o prximo
laboratrio.
4-40
Lio 5
Transio do IPv4 para o IPv6
4-41
Espera-se que a transio do IPv4 para o IPv6 demore alguns anos. O IPv4 permanece como o padro de
IP para a maioria dos aplicativos e servios da Internet em uso atualmente. No entanto, cada vez mais
redes e aplicativos podem funcionar bem em um ambiente compatvel com o IPv6, medida que
o Windows 7 e o Windows Server 2008 R2 so adotados mais amplamente. Nesta lio, voc conhecer
os problemas que deve considerar ao fazer a transio para o IPv6 e verificar as etapas necessrias para
a transio para uma infraestrutura compatvel com o IPv6.
Objetivos
Descrever as consideraes sobre a migrao do IPv4 para o IPv6.
Descrever um processo de transio efetiva para o IPv6 nativo.
Solucionar problemas de uma rede baseada no IPv6.
Discusso: Consideraes sobre a migrao do IPv4 para o IPv6
Ao migrar do IPv4 para o IPv6, leve em considerao os aplicativos que voc usar, os dispositivos da rede
e as possveis atualizaes de dispositivos que provavelmente ocorrero.
4-42
4-43
Processo de transio somente para o IPv6
Geralmente, a migrao do IPv4 para o IPv6 consome muito tempo. Esse fator foi considerado durante
o desenvolvimento do IPv6 e, consequentemente, o plano de transio para o IPv6 um processo em
vrias etapas que permite a coexistncia prolongada.
Para alcanar o objetivo de um ambiente exclusivamente IPv6, siga estas diretrizes gerais:
Atualize os aplicativos de modo a no dependerem do IPv6 ou do IPv4. Por exemplo, os

aplicativos podem ser alterados para utilizar as novas APIs (interfaces de programao de aplicativos)
do Windows Sockets, de modo que a resoluo de nomes, a criao de soquetes e outras funes
sejam independentes, sem levar em considerao o uso do IPv4 ou IPv6.
Atualize a infraestrutura DNS para oferecer suporte ao endereo IPv6 e aos registros PTR.
Talvez seja necessrio atualizar a infraestrutura do DNS para oferecer suporte aos novos registros
AAAA (obrigatrios) e aos registros PTR no domnio inverso IP6.ARPA (opcionais). Alm disso,
verifique se h suporte nos servidores DNS ao trfego DNS por IPv6 e atualizao dinmica de DNS
para registros AAAA, de modo que os hosts IPv6 possam registrar automaticamente seus nomes
e endereos IPv6.
Atualize os hosts para ns IPv6/IPv4. Voc deve atualizar os hosts para usar IPv4 e IPv6. Inclua
tambm o suporte ao Resolvedor de DNS, a fim de processar os resultados de consultas DNS que
contenham endereos IPv4 e IPv6. Voc pode implantar o ISATAP em uma capacidade limitada para
testar a funcionalidade DNS e IPv6.
Atualize a infraestrutura de roteamento para o roteamento IPv6 nativo. necessrio atualizar

os roteadores para que eles ofeream suporte aos protocolos de roteamento IPv6 e roteamento
IPv6 nativo.
Soluo de problemas do IPv6
Para solucionar problemas do IPv6, de acordo com o problema, voc pode:
Comear no final da pilha e subir.
Comear no incio da pilha e descer.
Ao comear no incio da pilha, os mtodos utilizados para solucionar problemas do IPv6 incluem:
Verificar a conectividade IPv6.
Verificar a resoluo de nomes DNS para os endereos IPv6.
Verificar as sesses TCP baseadas no IPv6.
Verificao da conectividade IPv6

possvel usar as seguintes tarefas para solucionar problemas com a conectividade IPv6:
Verificar a configurao
Verificar a acessibilidade
Verificar a filtragem de pacote
Exibir e gerenciar a tabela de roteamento IPv6
Verificar a confiabilidade do roteador
Verificao da configurao
O Ipconfig mostra o IPv4 e o IPv6. Os comandos no contexto IPv6 da interface do Netsh mostram
somente dados do IPv6. Tambm possvel usar o Netsh.exe para exibir os dados de configurao do
IPv6 de outro computador. Voc pode obter informaes importantes usando o NETSH.exe e utiliz-lo
para configurar a maioria das definies do IPv6. Para acessar o prompt de configurao IPv6 do NETSH,
digite: netsh c interface ipv6.
4-44
4-45
Verificao da acessibilidade
Se ocorreu uma alterao na placa de rede de um dispositivo, possvel que o endereo do hardware no
tenha sido atualizado no cache do computador que est tentando se conectar.
O ping tambm foi atualizado para o IPv6. Se for necessrio executar ping em um roteador IPv6 usando
o respectivo endereo de link-local, voc tambm dever fornecer uma ID de zona para esse roteador
(listado quando voc executa um Ipconfig).
Alm de verificar a acessibilidade, voc pode:
Verificar a filtragem de pacote:
Verificar as diretivas IPsec
Verificar a configurao dos firewalls
Verificar roteadores e firewalls intermedirios de filtros de porta
Exibir a tabela de roteamento IPv6. Essa uma etapa relativamente avanada que permite saber para
onde seu computador est tentando enviar dados de rede especficos.
Verificar o caminho de roteamento usado com a ferramenta Tracert.
Verificar a confiabilidade do roteador usando a ferramenta Pathping. Esse um mtodo para detectar
os afunilamentos ou os hardwares de rede configurados incorretamente.
Verificao da resoluo de nomes DNS para os endereos IPv6

Ao verificar a conectividade dos servios de rede, voc usa muitos dos mesmos softwares e ferramentas
que usa com o IPv4. Ao verificar a configurao DNS e a resoluo de nomes, voc pode verificar
a configurao DNS usando as seguintes ferramentas:
Ipconfig/all: a exibio do comando ipconfig/all inclui os endereos IPv6, os roteadores padro e as

configuraes DNS de todas as interfaces. A ferramenta Ipconfig s funciona no computador local.
Ipconfig/displaydns e Ipconfig/flushdns: use esses comandos para exibir e liberar o cache do

resolvedor do cliente DNS.
Observao
O processo o mesmo do IPv4.
Ping: use a ferramenta Ping para testar a resoluo de nomes DNS. Execute ping no nome IPv6.
Nslookup: use a ferramenta Nslookup para exibir as respostas do servidor DNS. Defina a consulta
para procurar os registros AAAA com a opo type=AAAA.
Verificao das conexes TCP baseadas no IPv6

Para verificar as conexes TCP baseadas no IPv6:
Verifique a filtragem de pacote: esse um processo idntico verificao da conectividade IPv6,

mas ocasionalmente a filtragem de pacotes bloquear um tipo de conexo de entrada, como o FTP,
e permitir a porta 80 (HTTP). Ela tambm pode bloquear as solicitaes de ping.
Verifique o estabelecimento da conexo TCP (Telnet): para verificar uma conexo TCP em
determinadas situaes, como as mencionadas anteriormente, use o Cliente MS Telnet para
estabelecer uma conexo direta com o endereo e a porta do servio que est sendo investigado. Por
exemplo: telnet 2001:db8::1 80.
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. As mquinas virtuais devero
permanecer em execuo aps a concluso do Laboratrio A.
O piloto foi bem. O gerente pediu a voc para converter a rede em IPv6. Sua tarefa desabilitar o ISATAP
e habilitar o roteamento IPv6 nativo.
Nesse projeto, voc deve fazer a transio para uma rede IPv6 nativa.
4-46
4-47
Exerccio 1: Transio para uma rede IPv6 nativa

Cenrio
Nesse exerccio, voc desabilitar o ISATAP e o IPv4 e habilitar o IPv6.
1.
Desabilitar o roteador ISATAP em NYC-RTR.
2.
Configurar o roteador IPv6 nativo no NYC-RTR.
3.
Desabilitar a conectividade IPv4.
4.
Testar a conectividade entre cada sub-rede IPv6.
Tarefa 1: Desabilitar o roteador ISATAP em NYC-RTR

1.
2.

ipconfig
3.
Localize o adaptador de encapsulamento isatap.{Interface_Index}: que possui um endereo IPv6 de

link-local que contm 10.10.0.1. Anote o Interface_Index (incluindo as chaves) voc precisar dele
em algum momento.
ndice de interface:
4.
Digite os comandos a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc
registrou anteriormente.
netsh interface ipv6 set interface isatap.Interface_Index forwarding=disabled
advertise=disabled
netsh interface ipv6 delete route 2001:db8:0:10::/64 isatap.Interface_Index
Tarefa 2: Configurar o roteador IPv6 nativo no NYC-RTR

advertise=enabled
Tarefa 3: Desabilitar a conectividade IPv4

1.

2.
3.

4.
Habilite o IPv6 na Conexo Local 7 marcando a caixa de seleo Protocolo IP Verso 6 (TCP/IPv6)
nas Propriedades da Conexo Local 7.
Tarefa 4: Testar a conectividade entre cada sub-rede IPv6

1.
2.
3.
Tipo de regra: Personalizado
Programa: Padro
Escopo: Padro
Ao: Padro
Perfil: Padro
Nome: Permitir PING para IPv6
No prompt de comando, digite ipconfig e pressione ENTER.

Anote o novo endereo IPv6 (o endereo global comea com 2001:) atribudo Conexo Local 2.
Anote-o no espao abaixo.
Endereo IPv6 de NYC-DC1: _____________________________________________
4.
5.
Abra um prompt de comando, digite Ping global_IP_address e pressione ENTER.

Onde global_IP_address o endereo de NYC-DC1 que voc anotou anteriormente.
6.
No prompt de comando, digite ipconfig /all e pressione ENTER:

Anote o endereo IPv6 (o endereo global comea com 2001:) atribudo Conexo Local 2. Anote-o
no espao abaixo.
Endereo IPv6 de NYC-CL2: _____________________________________________
7.
Alterne para NYC-DC1 e para o Prompt de Comando.
8.
Abra um prompt de comando, digite Ping global_IP_address e pressione ENTER

Onde global_IP_address o endereo de NYC-CL2 que voc anotou anteriormente.
Resultados: ao fim deste exerccio, voc ter configurado uma rede somente IPv6.
4-48

etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-RTR e 10221B-NYC-CL2.
4-49
Perguntas de reviso
1.
Quais so os diferentes tipos de endereos unicast IPv6?
2.
Quais so os principais motivos pelos quais o IPv6 necessrio?
3.
Qual o processo chamado quando um cliente configura a si prprio com um endereo IPv6?
4.
Que tipo de endereo IP todo cliente IPv6 atribui automaticamente a si prprio?
5.
De que modo o escopo de um endereo afeta sua capacidade de se comunicar em uma sub-rede
conectada localmente?
6.
Qual a principal finalidade do Teredo?
Ferramentas
Ferramenta
Use para
IPconfig
Fornecer os dados gerais do IPv4 e IPv6.
Rota
Fornecer informaes bsicas sobre as tabelas de roteamento IPv4 e IPv6.
Netsh
Fornecer informaes detalhadas sobre a configurao do IPv6. a principal

ferramenta utilizada para configurar o IPv6 no Windows Server 2008
e Windows Vista. Voc tambm pode usar essa ferramenta de linha
de comando para configurar um roteador IPv6.
4-50
5-1
Mdulo 5
Configurao e soluo de problemas de Roteamento e
Acesso Remoto
Contedo:
Lio 1: Configurao do acesso rede
5-3
Lio 2: Configurao do acesso VPN
5-13
Lio 3: Viso geral das polticas de rede
5-25
Lio 4: Viso geral do Kit de Administrao do Gerenciador

de Conexes
5-31
Lio 5: Soluo de problemas de Roteamento e Acesso Remoto
5-36
5-48
Lio 6: Configurao do DirectAccess
5-56
Laboratrio B: Configurao e gerenciamento do DirectAccess
5-72
Viso geral do mdulo
Para oferecer suporte fora de trabalho distribuda da organizao, voc deve estar familiarizado com as
tecnologias que permitem aos usurios remotos se conectar infraestrutura de rede da sua organizao.
Essas tecnologias incluem as VPNs (redes virtuais privadas) e o DirectAccess. importante que voc
entenda como configurar e proteger os clientes de acesso remoto usando as polticas de rede. Este
mdulo explora essas tecnologias de acesso remoto.
Objetivos
Configurar o acesso rede.
Criar e configurar uma soluo VPN.
Descrever a funo das polticas de rede.
Usar o Kit de Administrao do Gerenciador de Conexes para criar e configurar perfis de conexo de
cliente.
Solucionar problemas de roteamento e acesso remoto.
Implementar o DirectAccess.
5-2
Lio 1
Configurao do acesso rede
importante que voc esteja apto a instalar e configurar os componentes necessrios que oferecem
suporte ao acesso rede em uma rede do Windows Server 2008 R2.
Objetivos
Descrever os componentes de uma infraestrutura de servios de acesso rede.
Descrever a funo Servios de Acesso e Diretiva de Rede.
Descrever o Roteamento e Acesso Remoto.
Explicar a autenticao e a autorizao de acesso rede.
Explicar os tipos de mtodos de autenticao usados para acesso rede.
Explicar como os servidores DHCP so usados com o servio Roteamento e Acesso Remoto.
Configurao e soluo de problemas de Roteamento e Acesso Remoto
5-3
Componentes de uma infraestrutura de servios de acesso rede
A infraestrutura subjacente em uma infraestrutura de servios de acesso rede completo no Windows

Server 2008 R2 normalmente inclui os seguintes componentes:
Servidor VPN: fornece conectividade de acesso remoto com base em vrios protocolos de tnel VPN
por uma rede pblica, como a Internet.
AD DS (Servios de Domnio Active Directory): atende s solicitaes de autenticao de

tentativas de conexo do cliente de acesso remoto.
Servidor DHCP: fornece conexes de acesso remoto de entrada aceitas com uma configurao de IP
para conectividade de rede com a LAN (rede local) corporativa.
Servidor de Diretivas de Rede: fornece servios de autenticao para outros componentes de

acesso rede.
Componentes da NAP (Proteo de Acesso Rede):
Servidor de Diretivas de Integridade da NAP: avalia a integridade do sistema em relao s

polticas de integridade que descrevem os requisitos de integridade e os comportamentos de
imposio, como a exigncia de que os clientes que esto se conectando sejam compatveis para
que obtenham acesso rede.
Autoridade de Registro de Integridade: obtm certificados de integridade para clientes

aprovados na verificao da poltica de integridade.
Servidores de Atualizaes: fornece servios de correo para os clientes que no atenderem

aos requisitos de integridade da rede corporativa. Os Servidores de Atualizaes so servidores
especiais em uma rede limitada.
5-4
5-5
O que a funo Servios de Acesso e Diretiva de Rede?
A funo Servios de Acesso e Diretiva de Rede no Windows Server 2008 R2 oferece as seguintes solues
de conectividade de rede:
Aplique polticas de integridade: estabelea e imponha automaticamente as polticas de

integridade, o que inclui requisitos de software, requisitos de atualizao de segurana, configuraes
de computador obrigatrias, entre outras configuraes.
Ajude a proteger o acesso com fio e sem fio: quando voc implantar pontos de acesso 802.1X sem
fio, o acesso seguro sem fio fornecer aos usurios da tecnologia sem fio um mtodo de autenticao
seguro, baseado em senha ou certificado, simples de implantar. Quando voc implantar as opes de
autenticao 802.1X, o acesso com fio permitir que voc proteja a sua rede, assegurando que os
usurios de intranets sejam autenticados para que se conectem rede ou obtenham um endereo IP
atravs do DHCP.
Fornea solues de acesso remoto: com as solues de acesso remoto, possvel oferecer aos
usurios acesso por VPN e conexo discada tradicional rede de sua organizao. Voc tambm
pode conectar as filiais sua rede com as solues VPN, implantar roteadores de softwares repletos
de recursos em sua rede e compartilhar as conexes com a Internet atravs da intranet.
Centralize o gerenciamento de polticas de rede com o servidor RADIUS e o proxy: em vez de

configurar a poltica de acesso rede em cada servidor de acesso rede, como pontos de acesso sem
fio, opes de autenticao 802.1X, servidores VPN e servidores de rede de conexo discada, voc
pode criar em um nico local polticas que especifiquem todos os aspectos das solicitaes de
conexo rede, inclusive quem est autorizado a se conectar, quando possvel se conectar e o nvel
de segurana a ser utilizado para estabelecer conexo com a rede.
O que o Roteamento e Acesso Remoto?
Com o Roteamento e Acesso Remoto, voc pode implantar:
Servios de acesso remoto por VPN e conexo discada
Servios de roteamento NAT (converso de endereos de rede), LAN para LAN de vrios protocolos,
LAN para WAN (rede de longa distncia) e VPN
possvel implantar as seguintes tecnologias durante a instalao da funo Servio de Roteamento e

Acesso Remoto:
Servio de Acesso Remoto: ao utilizar o servio Roteamento e Acesso Remoto, voc pode implantar
conexes VPN para oferecer aos usurios finais acesso remoto rede da sua organizao. Voc
tambm pode criar uma conexo VPN site a site entre dois servidores posicionados em locais
distintos. Configure cada servidor com o servio Roteamento e Acesso Remoto para enviar os dados
privados de modo seguro. A conexo entre os dois servidores pode ser persistente (sempre ligada) ou
por demanda (discagem por demanda).
O Acesso Remoto tambm oferece o acesso remoto tradicional de conexo discada a fim de oferecer
suporte aos usurios mveis ou domsticos que estejam discando para as intranets de uma
organizao, embora esse seja o meio menos frequentemente usado hoje em dia.
5-6
5-7
Roteamento: fornece um roteador de software completo e uma plataforma aberta para roteamento
e interconexo por redes. Ele oferece servios de roteamento para as empresas em ambientes de
redes local e de longa distncia.
Ao optar pelo roteamento, voc tambm pode optar por usar a NAT (Converso de Endereos de
Rede). Quando voc implanta a NAT, o servidor que est executando o Roteamento e Acesso Remoto
configurado para compartilhar uma conexo de Internet com computadores na rede privada e
converter o trfego entre seu endereo pblico e a rede privada. Ao utilizar a NAT, os computadores
na rede privada obtm certo nvel de proteo, pois o roteador em que voc configura a NAT no
encaminha o trfego da Internet para a rede privada, a menos que um cliente de rede privada solicite
ou o trfego seja explicitamente autorizado.
Ao implantar a VPN e a NAT, configure o servidor que est executando o servio Roteamento e
Acesso Remoto para fornecer a NAT rede privada e aceitar conexes VPN. Os computadores na
Internet no podero determinar os endereos IP de computadores na rede privada. No entanto, os
clientes VPN podero se conectar aos computadores na rede privada, como se estivessem fisicamente
conectados mesma rede.
Autenticao e autorizao de rede
A distino entre autenticao e autorizao importante para ajudar a compreender por que as
tentativas de conexo so aceitas ou negadas:
Autenticao a verificao das credenciais da tentativa de conexo. Esse processo consiste no envio
das credenciais do cliente de acesso remoto para o servidor de acesso remoto, na forma de texto no
criptografado ou criptografado, usando um protocolo de autenticao.
Autorizao o processo de verificar se a tentativa de conexo permitida. A autorizao ocorre

aps a autenticao bem-sucedida.
Para que uma tentativa de conexo seja aceita, ela deve ser autenticada e autorizada. possvel que a
tentativa de conexo seja autenticada usando credenciais vlidas, mas no seja autorizada; nesse caso, a
tentativa de conexo negada.
Se voc configurar um servidor de acesso remoto para a Autenticao do Windows, os recursos
de segurana do Windows Server 2008 R2 verificaro as credenciais de autenticao, enquanto
as propriedades de discagem da conta do usurio e as polticas de acesso remoto armazenadas
localmente autorizaro a conexo. Se uma tentativa de conexo for autenticada e autorizada, ela ser
aceita.
Se voc configurar um servidor de acesso remoto para autenticao RADIUS, as credenciais da tentativa
de conexo sero transferidas para o servidor RADIUS, para fins de autenticao e autorizao. Se a
tentativa de conexo for autenticada e autorizada, o servidor RADIUS retornar uma mensagem de
aceitao para o servidor de acesso remoto e essa tentativa de conexo ser aceita. Se a tentativa de
conexo no for autenticada nem autorizada, o servidor RADIUS retornar uma mensagem de rejeio
para o servidor de acesso remoto, e essa tentativa de conexo ser rejeitada.
5-8
5-9
Tipos de mtodos de autenticao
A autenticao dos clientes de acesso uma questo importante de segurana. Normalmente,

os mtodos de autenticao utilizam um protocolo de autenticao que negociado durante o processo
de estabelecimento da conexo.
PAP
O protocolo PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro.
Em geral, esse protocolo utilizado se o cliente de acesso remoto e o servidor de acesso remoto no
puderem negociar uma forma de validao mais segura. O protocolo PAP foi includo no Microsoft
Windows Server 2008 R2 pelos seguintes motivos:
Os clientes de acesso remoto que executam sistemas operacionais Microsoft Windows de 32 bits
podem se conectar a servidores de acesso remoto antigos que no oferecem suporte a um protocolo
de autenticao seguro.
Os clientes de acesso remoto que executam sistemas operacionais Microsoft que no oferecem
suporte a um protocolo de acesso remoto seguro podem se conectar aos servidores de acesso
remoto que executam sistemas operacionais Windows de 32 bits.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta. Diversos fornecedores de
servidores e clientes de acesso rede utilizam o CHAP.
Um servidor que executa o Roteamento e Acesso Remoto oferece suporte ao CHAP para permitir a
autenticao dos clientes de acesso remoto que exigem esse protocolo. Uma vez que o protocolo CHAP
requer uma senha de criptografia reversvel, considere o uso de outro protocolo de autenticao, como o
MS-CHAP verso 2.
MS-CHAP V2
O MS-CHAP v2 um processo unidirecional de autenticao mtua de senha criptografada que funciona
como descrito a seguir.
1.
O autenticador (o servidor de acesso remoto ou o computador que est executando o Servidor de

Diretivas de Rede) envia um desafio ao cliente de acesso remoto, que consiste em um identificador
de sesso e uma cadeia de caracteres de desafio qualquer.
2.
O cliente de acesso remoto envia uma resposta que contm uma criptografia unidirecional da cadeia
de caracteres de desafio recebida, da cadeia de caracteres de desafio par, do identificador da sesso e
da senha do usurio.
3.
O autenticador verifica a resposta do cliente e envia de volta uma resposta contendo uma indicao
de xito ou falha da tentativa de conexo e uma resposta autenticada baseada na cadeia de
caracteres de desafio enviada, na cadeia de caracteres de desafio par, na resposta criptografada do
cliente e na senha do usurio.
4.
O cliente de acesso remoto verifica a resposta da autenticao e, se estiver correta, utiliza a conexo.
Se a resposta da autenticao no estiver correta, o cliente de acesso remoto encerrar a conexo.
Protocolo EAP
Com o protocolo EAP, um mecanismo de autenticao arbitrrio autentica uma conexo de acesso
remoto. O cliente de acesso remoto e o autenticador (seja o servidor de acesso remoto ou o servidor
RADIUS) negociam o esquema de autenticao exato a ser aplicado. Por padro, o servio Roteamento e
Acesso Remoto inclui suporte para o protocolo EAP-TLS (EAP-Transport Level Security). Voc pode
conectar outros mdulos EAP ao servidor que est executando o Roteamento e Acesso Remoto para
fornecer outros mtodos EAP.
Uso de cartes inteligentes para acesso remoto

O uso de cartes inteligentes para a autenticao do usurio a forma mais segura de autenticao na
famlia Windows Server 2008. Para conexes de acesso remoto, voc deve usar o EAP com o carto
inteligente ou outro tipo EAP de certificado (TLS), tambm conhecido como EAP-TLS.
Para usar cartes inteligentes para a autenticao do acesso remoto, voc deve:
Configurar o acesso remoto no servidor de acesso remoto.
Instalar um certificado de computador no computador servidor de acesso remoto.
Configurar o carto inteligente ou outro tipo EAP de certificado (TLS) nas polticas de rede.
Habilitar a autenticao de cartes inteligentes na conexo VPN ou na conexo discada no cliente de

acesso remoto.
5-10
5-11
Integrao de servidores DHCP ao servio Roteamento e Acesso Remoto
Voc pode implantar o servio Servidor DHCP com o servio Roteamento e Acesso Remoto para fornecer
acesso remoto aos clientes com um endereo IP atribudo dinamicamente durante a conexo. Quando
voc usa esses servios juntos no mesmo servidor, as informaes fornecidas durante a configurao
dinmica so fornecidas de forma diferente da configurao DHCP normal para clientes baseados
em LAN.
Nos ambientes de LAN, os clientes DHCP negociam e recebem as seguintes informaes de configurao,
totalmente baseadas nas configuraes definidas no console DHCP para o servidor DHCP:
Um endereo IP concedido, fornecido de um pool de endereos disponveis de um escopo ativo no

servidor DHCP. O servidor DHCP gerencia e distribui diretamente o endereo para o cliente DHCP
baseado na LAN.
Parmetros adicionais e outras informaes de configurao fornecidas pelas opes DHCP atribudas
na concesso do endereo. Os valores e a lista de opes correspondem aos tipos de opo
configurados e atribudos no servidor DHCP.
Ao fornecer a configurao dinmica para os clientes de conexo discada, o servidor de Roteamento e

Acesso Remoto executa primeiramente as seguintes etapas:
Quando o servidor que est executando o servio Roteamento e Acesso Remoto inicializado com a
opo Usar DHCP para atribuir endereos TCP/IP remotos, ele instrui o cliente DHCP a obter dez
endereos IP de um servidor DHCP.
O servidor de acesso remoto utiliza o primeiro desses dez endereos IP obtidos no servidor DHCP
para a respectiva interface.
Os nove endereos restantes so alocados aos clientes baseados no TCP/IP quando fazem uma
discagem para estabelecer uma sesso com o servidor de acesso remoto.
Os endereos IP liberados com a desconexo dos clientes de acesso remoto so reutilizados. Quando
todos os dez endereos IP forem utilizados, o servidor de acesso remoto obter outros dez em um
servidor DHCP. Quando o servio Roteamento e Acesso Remoto for interrompido, todos os endereos IP
obtidos atravs do DHCP sero liberados.
Ao utilizar esse tipo de cache pr-ativo de concesses de endereos DHCP para os clientes de conexo
discada, o servidor de Roteamento e Acesso Remoto registra as seguintes informaes para cada resposta
de concesso obtida do servidor DHCP:
O endereo IP do cliente DHCP
O endereo IP concedido pelo cliente (para distribuio posterior ao cliente de Roteamento e Acesso
Remoto)
A hora em que a concesso foi obtida
A hora de expirao da concesso
A durao da concesso
Todas as outras informaes da opo DHCP que o servidor DHCP retorna (como as opes de servidor,
escopo e reserva) so descartadas. Ao discar para o servidor e solicitar um endereo IP (ou seja, quando a
opo Usar endereo IP atribudo pelo servidor selecionada), o cliente utiliza uma concesso do DHCP
armazenada no cache para fornecer ao cliente de conexo discada uma configurao dinmica de
endereos IP.
Quando o endereo IP fornecido ao cliente de conexo discada, o cliente desconhece que o endereo IP
foi obtido atravs desse processo intermedirio entre o servidor DHCP e o servidor de Roteamento e
Acesso Remoto. O servidor de Roteamento e Acesso Remoto mantm a concesso em nome do cliente.
Portanto, a nica informao que o cliente recebe do servidor DHCP o endereo IP.
Nos ambientes de conexo discada, os clientes DHCP negociam e recebem a configurao dinmica
atravs do seguinte comportamento modificado:
Um endereo IP concedido do cache de endereos de escopo DHCP do servidor de Roteamento e

Acesso Remoto. O servidor de Roteamento e Acesso Remoto obtm e renova seu pool de endereos
armazenado no cache com o servidor DHCP.
Se o servidor DHCP geralmente fornece os parmetros adicionais e outras informaes de

configurao disponibilizadas atualmente atravs de opes de DHCP atribudas na concesso de
endereos, essas informaes sero retornadas ao cliente de Roteamento e Acesso Remoto, de
acordo com as propriedades do TCP/IP configuradas no servidor de Roteamento e Acesso Remoto.
Observao Os servidores DHCP que executam o Windows Server 2008 R2 fornecem uma
classe de usurio predefinida, a classe padro de Roteamento e Acesso Remoto, para
atribuir as opes fornecidas apenas aos clientes de Roteamento e Acesso Remoto.
5-12
5-13
Lio 2
Configurao do acesso VPN
Uma VPN fornece uma conexo ponto a ponto entre os componentes de uma rede privada por meio de
uma rede pblica, como a Internet. Os protocolos de tnel permitem que um cliente VPN estabelea e
mantenha uma conexo com uma porta virtual de escuta do servidor VPN.
Para implementar corretamente um ambiente VPN, e oferecer suporte a ele, na sua organizao,
importante que voc compreenda como selecionar um protocolo de tnel adequado, como configurar
a autenticao VPN e como configurar a funo de servidor Servios de Acesso e Diretiva de Rede para
oferecer suporte configurao escolhida.
Objetivos
Descrever como uma conexo VPN usada para conectar clientes de redes remotas
Descrever os protocolos de tnel usados para uma conexo VPN.
Descrever a reconexo VPN.
Descrever os requisitos de configurao para uma conexo VPN.
Criar uma nova Diretiva de Solicitao de Conexo.
Descrever as tarefas adicionais que podem ser concludas aps a configurao de um servidor VPN.
O que uma conexo VPN?
Para emular um vnculo ponto a ponto, os dados so encapsulados, ou dispostos, e prefixados com um
cabealho; esse cabealho fornece informaes de roteamento que permitem aos dados percorrer a rede
compartilhada ou pblica at chegarem ao seu destino.
Para emular um link particular, os dados so criptografados para garantir a confidencialidade. Os pacotes
interceptados na rede compartilhada ou pblica no podem ser decifrados sem as chaves de criptografia.
O vnculo em que os dados privados so encapsulados e criptografados conhecido como conexo VPN.
H dois tipos de conexo VPN:
Acesso remoto
Site a site
VPN de acesso remoto

As conexes VPN de acesso remoto permitem que os usurios que trabalham em casa, no local do cliente
ou em um ponto de acesso pblico sem fio acessem um servidor na rede privada da sua organizao
usando a infraestrutura fornecida por uma rede pblica, como a Internet.
Da perspectiva do usurio, a VPN uma conexo ponto a ponto entre o computador, o cliente VPN, e o
servidor da sua organizao. A infraestrutura exata da rede compartilhada ou pblica irrelevante, pois
ela aparece em termos lgicos, como se os dados fossem enviados atravs de um vnculo privado
dedicado.
VPN site a site

As conexes VPN site a site, que tambm so conhecidas como conexes VPN roteador a roteador,
permitem que sua organizao tenha conexes roteadas entre escritrios distintos ou com outras
organizaes por meio de uma rede pblica, alm de ajudar a manter as comunicaes seguras.
5-14
5-15
Uma conexo VPN roteada pela Internet opera de modo lgico como um vnculo de WAN (rede de longa
distncia) dedicado. Quando as redes se conectam pela Internet, um roteador encaminha pacotes para
outro roteador usando uma conexo VPN. Para os roteadores, a conexo VPN funciona como um vnculo
da camada do vnculo de dados.
Uma conexo VPN site a site conecta duas partes de uma rede privada. O servidor VPN fornece uma
conexo roteada para a rede qual ele est vinculado. O roteador de chamada (o cliente VPN) se
autentica no roteador de resposta (o servidor VPN) e, para ocorrer a autenticao mtua, o roteador de
resposta se autentica no roteador de chamada.
Em uma conexo VPN site a site, os pacotes enviados de ambos os roteadores atravs da conexo VPN
geralmente no se originam nos roteadores.
Propriedades das conexes VPN

As conexes VPN que usam o protocolo PPTP, L2TP/IPsec ou SSTP apresentam as propriedades a seguir.
Observao
Esses protocolos de tnel so abordados nos prximos tpicos.
Encapsulamento: com a tecnologia VPN, os dados privados so encapsulados com um cabealho

que contm informaes do roteamento que permitem que os dados percorram a rede de trfego.
Autenticao: a autenticao das conexes VPN assume trs formas diferentes:
Autenticao no nvel de usurio usando a autenticao PPP.
Para estabelecer a conexo VPN, o servidor VPN autentica o cliente VPN que est tentando a
conexo usando um mtodo de autenticao PPP, no nvel de usurio, e verifica se o cliente VPN
possui a autorizao adequada. Se a autenticao mtua for utilizada, o cliente VPN tambm
autenticar o servidor VPN, o que fornecer proteo contra computadores que estejam se
passando por servidores VPN.
Autenticao no nvel de computador usando o protocolo IKE.
Para estabelecer uma associao de segurana IPsec, o cliente VPN e o servidor VPN utilizam o
protocolo IKE para trocar certificados de computador ou uma chave pr-compartilhada. Em
ambos os casos, o cliente e o servidor VPN se autenticam mutuamente, no nvel de computador.
A autenticao por certificados de computador recomendvel por ser um mtodo de
autenticao muito mais seguro. A autenticao no nvel de computador s executada para as
conexes L2TP/IPsec.
Autenticao da origem de dados e integridade de dados.
Para que seja possvel verificar se os dados enviados na conexo VPN se originaram na outra
extremidade da conexo e no foram modificados em trnsito, os dados contm uma soma de
verificao criptogrfica baseada em uma chave de criptografia conhecida apenas pelo emissor e
pelo receptor. A autenticao da origem de dados e a integridade de dados s esto disponveis
para as conexes L2TP/IPsec.
Criptografia de dados: para garantir a confidencialidade dos dados quando eles percorrerem a rede
de trfego compartilhado ou pblico, o emissor criptografa os dados e o receptor os descriptografa.
Os processos de criptografia e descriptografia dependem do uso de uma chave de criptografia
comum no emissor e no receptor.
Os pacotes interceptados enviados ao longo da conexo VPN na rede de trfego so ilegveis para
quem no tem a chave de criptografia comum. O tamanho da chave de criptografia um parmetro
de segurana importante. Voc pode utilizar tcnicas computacionais para determinar a chave de
criptografia. Entretanto, com o aumento do tamanho das chaves de criptografia, essas tcnicas
exigem mais poder tecnolgico e tempo computacional. Sendo assim, importante utilizar o maior
tamanho possvel de chave para assegurar a confidencialidade dos dados.
5-16
5-17
Protocolos de tnel para uma conexo VPN
Os protocolos PPTP, L2TP e SSTP dependem intensamente dos recursos especificados inicialmente para o
PPP. O PPP foi projetado para enviar dados atravs de conexes discadas ou ponto a ponto dedicadas.
Para o IP, o PPP encapsula os pacotes IP em quadros PPP e depois transmite os pacotes PPP encapsulados
atravs do vnculo ponto a ponto. O PPP foi definido originalmente como o protocolo a ser utilizado
entre um cliente de conexo discada e um servidor de acesso rede.
PPTP
O PPTP permite criptografar e encapsular um trfego multiprotocolo com cabealho IP, que
posteriormente enviado atravs de uma rede IP ou rede IP pblica, como a Internet. Voc pode usar o
PPTP para acesso remoto e conexes VPN site a site. Quando voc usa a Internet como rede pblica VPN,
o servidor PPTP um servidor VPN habilitado para PPTP com uma interface na Internet e uma segunda
interface na intranet.
Encapsulamento: o PPTP encapsula quadros PPP em datagramas IP para transmisso pela rede. O
PPTP usa uma conexo TCP para o gerenciamento de tnel e uma verso modificada do cabealho
GRE (Encapsulamento de Roteamento Genrico) a fim de encapsular quadros PPP para dados em
tnel. As cargas dos quadros PPP encapsulados podem ser criptografadas, compactadas, ou ambas.
Criptografia: o quadro PPP criptografado com a MPPE (Criptografia Ponto a Ponto da Microsoft)
usando as chaves de criptografa geradas nos processos de autenticao
MS-CHAPv2 ou EAP-TLS. Para que as cargas dos quadros PPP sejam criptografadas, os clientes VPN
devem utilizar o protocolo de autenticao MS-CHAPv2 ou EAP-TLS. O PPTP aproveita a criptografia
subjacente do PPP e encapsula um quadro PPP j criptografado.
L2TP
O L2TP permite que voc criptografe o trfego multiprotocolo a ser enviado atravs de qualquer meio
compatvel com a entrega de datagramas ponto a ponto, como o IP ou o ATM (modo de transferncia
assncrona). O L2TP uma combinao do PPTP e do L2F (Layer 2 Forwarding). O L2TP representa os
melhores recursos do PPTP e do L2F.
Diferentemente do PPTP, a implementao Microsoft do L2TP no usa a MPPE para criptografar os

datagramas PPP. O L2TP depende do IPsec no Modo de Transporte para os servios de criptografia. A
combinao do L2TP com o IPsec conhecida como L2TP/IPsec.
O cliente e o servidor VPN devem oferecer suporte ao L2TP e ao IPsec. O suporte ao cliente para L2TP
est incorporado aos clientes de acesso remoto do Windows XP, Windows Vista e Windows 7 e o suporte
ao servidor VPN para L2TP est integrado aos membros da famlia do Windows Server 2008 e Windows
Server 2003.
Encapsulamento: o tnel de pacotes L2TP/IPsec consiste em duas camadas:
Primeiro camada: tnel L2TP

Um quadro PPP (um datagrama IP) empacotado com um cabealho L2TP e um cabealho UDP.
Segunda camada: tnel IPsec

A mensagem L2TP resultante empacotada com um cabealho e um marcador ESP IPsec, um
marcador de Autenticao IPsec que fornece integridade de mensagens e autenticao, e um
cabealho final IP. O cabealho IP contm os endereos IP de origem e de destino que
correspondem ao cliente e ao servidor VPN.
Criptografia: a mensagem L2TP criptografada com AES ou com o 3DES (DES Triplo) usando as
chaves de criptografia geradas pelo processo de negociao do IKE.
SSTP
SSTP um protocolo de tnel que utiliza o protocolo HTTPS pela porta TCP 443 para passar o trfego
pelos firewalls e proxies da Web que possam bloquear o trfego PPTP e L2TP/IPsec. O SSTP dispe de um
mecanismo para encapsular o trfego PPP pelo canal SSL (Secure Sockets Layer) do protocolo HTTPS. O
uso do PPP permite suporte para mtodos de autenticao seguros, como EAP-TLS. O SSL oferece
segurana no nvel de transporte com negociao avanada de chaves, criptografia e verificao de
integridade.
Quando um cliente tenta estabelecer uma conexo VPN baseada no SSTP, este estabelece primeiramente
uma camada HTTPS bidirecional com o servidor SSTP. Atravs dessa camada HTTPS, os pacotes do
protocolo fluem como a carga de dados:
Encapsulamento: o SSTP encapsula quadros PPP em datagramas IP para transmisso pela rede. O
SSTP usa uma conexo TCP (pela porta 443) para o gerenciamento de tneis e como quadros de
dados PPP.
Criptografia: a mensagem do SSTP criptografada com o canal SSL do protocolo HTTPS.
IKEv2
O IKEv2 (verso 2) usa o protocolo Modo de Tnel IPsec pela porta UDP 500. Devido ao seu suporte para
mobilidade (MOBIKE), o IKEv2 muito mais resiliente para conectividade de rede em constante alterao,
o que o torna uma boa opo para usurios mveis que alternam entre pontos de acesso e que, at
mesmo, alternam entre conexes com fio e sem fio. Uma VPN IKEv2 fornece resilincia ao cliente VPN
quando ele passa de um ponto de acesso sem fio para outro ou quando ele alterna de uma conexo com
fio para uma sem fio; essa capacidade um requisito da Reconexo VPN.
5-18
5-19
O uso do IKEv2 e do IPsec habilita o suporte para mtodos seguros de autenticao e criptografia.
Encapsulamento: o IKEv2 encapsula datagramas usando os cabealhos ESP IPsec ou AH para

transmisso pela rede.
Criptografia: a mensagem criptografada com um dos protocolos a seguir usando chaves de

criptografia que so geradas no processo de negociao do IKEv2: Algoritmos de criptografia AES
256, AES 192, AES 128 e 3DES.
O IKEv2 tem suporte somente em computadores que esto executando o Windows 7 e o Windows
Server 2008 R2.
Observao
O IKEv2 o protocolo de tnel VPN padro no Windows 7.
O que uma Reconexo VPN?
Em cenrios de negcios dinmicos, os usurios devem poder acessar os dados com segurana a qualquer
momento, de qualquer lugar, e acess-los continuamente, sem interrupo. Por exemplo, talvez os
usurios queiram acessar com segurana os dados residentes no servidor da empresa, na matriz, de uma
filial ou enquanto estiverem viajando.
Para atender a esse requisito, voc pode configurar o recurso Reconexo VPN que est disponvel no
Windows Server 2008 R2 e no Windows 7. Com esse recurso, os usurios podem acessar os dados da
empresa usando uma conexo VPN, que far a reconexo automaticamente se a conectividade for
interrompida. O recurso tambm permite a mobilidade entre redes diferentes.
A Reconexo VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contnua e consistente. A
Reconexo VPN restabelecer automaticamente uma conexo VPN quando a conectividade com a
Internet estiver disponvel novamente. Os usurios que se conectam usando uma banda larga mvel sem
fio so os que mais se beneficiam desse recurso.
Pense em um usurio com um laptop que est executando o Windows 7. Quando o usurio viaja de trem
a trabalho, ele se conecta Internet com um carto de banda larga mvel sem fio e estabelece uma
conexo VPN com a rede da empresa. Quando o trem passar por um tnel, a conexo com a Internet ser
perdida. Depois que o trem sair do tnel, o carto de banda larga mvel sem fio far a reconexo
automaticamente com a Internet. Nas verses anteriores do sistemas operacionais de cliente e servidor
Windows, a VPN no se reconectava automaticamente. Portanto, o usurio precisava repetir
manualmente o processo de vrias etapas de conexo com a VPN. Essa tarefa era demorada para usurios
mveis com conectividade intermitente.
Com a Reconexo VPN, o Windows Server 2008 R2 e o Windows 7 restabelecem automaticamente as
conexes VPN ativas quando a conectividade com a Internet restabelecida. Embora a reconexo possa
demorar alguns segundos, os usurios permanecem conectados e tm acesso ininterrupto aos recursos
da rede.
5-20
Os requisitos de sistema para usar o recurso Reconexo VPN so os seguintes:
5-21
Windows Server 2008 R2 como um servidor VPN
Cliente Windows 7 ou Windows Server 2008 R2
PKI (Infraestrutura de Chave Pblica), pois um certificado de computador exigido para uma conexo
remota com a Reconexo VPN. Podem ser usados os certificados emitidos por uma autoridade de
certificao interna ou pblica.
Requisitos de configurao
Antes de implantar a soluo VPN da sua organizao, leve em considerao os seguintes fatores:
Seu servidor VPN exige duas interfaces de rede; determine qual interface de rede se conecta
Internet e qual interface de rede se conecta rede privada. Durante a configurao, ser solicitado
que voc escolha qual interface de rede se conectar Internet. Se voc especificar a interface
incorreta, o servidor VPN de acesso remoto no funcionar corretamente.
Determine se os clientes remotos recebem endereos IP de um servidor DHCP em sua rede privada
ou do servidor VPN de acesso remoto que voc est configurando. Se existir um servidor DHCP na
rede privada, o servidor VPN de acesso remoto poder conceder dez endereos de cada vez do
servidor DHCP e atribu-los a clientes remotos. Se no existir um servidor DHCP na rede privada, o
servidor VPN de acesso remoto poder gerar e atribuir endereos IP automaticamente a clientes
remotos. Para que o servidor VPN de acesso remoto atribua endereos IP de um intervalo
especificado, determine esse intervalo.
Determine se deseja que as solicitaes de conexo dos clientes VPN sejam autenticadas por um
servidor RADIUS ou pelo servidor VPN de acesso remoto que est configurando. A incluso de um
servidor RADIUS ser til se voc pretender instalar vrios servidores VPN de acesso remoto, pontos
de acesso sem fio ou outros clientes RADIUS na rede privada.
Determine se os clientes VPN podem enviar mensagens DHCPINFORM ao servidor DHCP em sua rede
privada. Se existir um servidor DHCP na mesma sub-rede do servidor VPN de acesso remoto, as
mensagens DHCPINFORM dos clientes VPN podero acessar o servidor DHCP depois que a conexo
VPN for estabelecida. Se um servidor DHCP estiver em uma sub-rede diferente daquela do servidor
VPN de acesso remoto, verifique se o roteador entre as sub-redes pode retransmitir mensagens do
DHCP entre os clientes e o servidor. Se o roteador estiver executando o Windows Server 2008 ou o
Windows Server 2008 R2, voc poder configurar o servio Agente de Rel DHCP no roteador para
encaminhar mensagens DHCPINFORM entre as sub-redes.
Assegure-se de que a pessoa responsvel pela implantao da sua soluo VPN tenha as associaes
de grupo administrativo necessrias para instalar as funes de servidor e configurar os servios
necessrios; a associao do grupo Administradores locais exigida para executar essas tarefas.
5-22
Demonstrao: Como configurar o acesso VPN
Configurar as definies de discagem do usurio.
Configurar o Roteamento e Acesso Remoto como um servidor VPN.
Configurar um cliente VPN.
5-23
Concluso de tarefas adicionais
Ao concluir as etapas do Assistente para Adicionar Funes, bem como a configurao de Roteamento e
Acesso Remoto, o servidor estar pronto para ser usado como servidor VPN de acesso remoto.
Veja a seguir as tarefas adicionais que voc pode executar no servidor de acesso remoto/VPN:
Configurar filtros de pacote esttico. Adicione filtros de pacote esttico para proteger melhor a rede.
Configurar servios e portas. Escolha os servios na rede privada que devem ser disponibilizados para
os usurios de acesso remoto.
Ajustar os nveis de log. Configure o nvel de detalhes de evento a ser registrado em log. Voc pode
determinar as informaes que devem ser rastreadas nos arquivos de log.
Configurar o nmero de portas VPN. Adicione ou remova portas VPN.
Criar um perfil do Gerenciador de Conexes para os usurios. Gerencie a experincia de conexes

de clientes para os usurios e simplifique a configurao e a soluo de problemas de conexes
de cliente.
Adicionar AD CS (Servios de Certificados do Active Directory). Configure e gerencie uma autoridade

de certificao em um servidor para uso em uma PKI.
Aumentar a segurana do acesso remoto. Proteja os usurios remotos e a rede privada impondo
o uso de mtodos de autenticao seguros, exigindo nveis mais altos de criptografia de dados e
muito mais.
Aumentar a segurana da VPN. Proteja os usurios remotos e a rede privada exigindo o uso de
protocolos seguros de tnel, configurando o bloqueio de contas e muito mais.
Considerar a implementao da Reconexo VPN. A Reconexo VPN usa a tecnologia IKEv2 para
fornecer conexo VPN contnua e consistente, restabelecendo automaticamente uma VPN quando os
usurios perdem temporariamente suas conexes com a Internet.
5-24
5-25
Lio 3
Viso geral das polticas de rede
As polticas de rede determinam se uma tentativa de conexo foi bem-sucedida e, em caso positivo, a
poltica de rede define as caractersticas de conexo, como restries de dia e hora, tempos de
desconexo por sesso ociosa e outras configuraes.
essencial entender como configurar polticas de rede se sua inteno for implementar com xito VPNs
baseadas na funo de servidor Servios de Acesso e Diretiva de Rede em sua organizao.
Objetivos
Explicar o que uma Diretiva de Rede.
Descrever o processo para criar uma nova poltica de rede.
Criar uma poltica de rede para conexes VPN.
Explicar como as Diretivas de Rede so processadas.
O que uma Diretiva de Rede?
As polticas de rede so conjuntos de condies, restries e configuraes que permitem designar quem
est autorizado a se conectar rede e as circunstncias nas quais possvel se conectar ou no. Alm
disso, quando voc implanta a NAP, a poltica de integridade adicionada configurao de polticas de
rede para que o NPS faa as verificaes de integridade do cliente durante o processo de autorizao.
Voc pode exibir as polticas de rede como regras; cada regra possui um conjunto de condies
e configuraes. O NPS compara as condies da regra com as propriedades das solicitaes de conexo.
Se ocorrer uma correspondncia entre a regra e a solicitao de conexo, as configuraes definidas na
regra sero aplicadas conexo.
Quando voc configurar vrias polticas de rede no NPS, elas se tornaro um conjunto ordenado de
regras. O NPS verificar cada solicitao de conexo com a primeira regra da lista, depois com a segunda,
e assim sucessivamente, at encontrar uma correspondncia.
Observao Assim que uma regra de correspondncia for determinada, as demais regras
sero desconsideradas. importante ordenar as polticas de rede adequadamente.
Cada poltica de rede possui uma configurao Estado da Diretiva que permite habilitar ou desabilitar a
poltica. Quando voc desabilita uma poltica de rede, o NPS no avalia essa poltica ao autorizar as
solicitaes de conexo.
5-26
5-27
Propriedades de poltica de rede

Cada poltica de rede tem quatro categorias de propriedades:
Viso geral: essas propriedades permitem especificar se a poltica est habilitada, se a poltica
concede ou nega acesso e se o mtodo especfico de conexo da rede, ou o tipo de servidor de
acesso rede, necessrio para as solicitaes de conexo. As propriedades de Viso geral tambm
permitem especificar se as propriedades de discagem das contas de usurios no AD DS devem ser
ignoradas. Se voc marcar essa opo, o NPS usar apenas as configuraes da poltica de rede para
determinar se deve autorizar a conexo.
Condies: essas propriedades permitem especificar as condies a que a solicitao de conexo

deve atender para corresponder poltica de rede. Se as condies configuradas na poltica
corresponderem solicitao de conexo, o NPS aplicar as configuraes de poltica de rede
conexo. Por exemplo, se voc especificar o Endereo IPv4 NAS (servidor de acesso rede) como
uma condio da poltica de rede, e o NPS receber uma solicitao de conexo de um NAS que
possui o endereo IP especificado, a condio na poltica corresponder solicitao de conexo.
Restries: as restries so parmetros adicionais da poltica de rede, necessrios para a

correspondncia com a solicitao de conexo. Se a solicitao de conexo no corresponder a uma
restrio, o NPS recusar automaticamente a solicitao. Diferentemente da resposta do NPS s
condies no correspondidas na poltica de rede, se uma restrio no for correspondida, o NPS no
avaliar as polticas de rede adicionais. A solicitao de conexo ser negada.
Configuraes: essas propriedades permitem especificar as configuraes que o NPS aplicar

solicitao de conexo se todas as condies de poltica de rede da poltica forem correspondidas e a
solicitao for aceita.
Ao adicionar uma nova poltica de rede atravs do snap-in do MMC do NPS, use o Assistente de Nova
Diretiva de Rede. Aps criar uma poltica de rede no assistente, voc pode personaliz-la clicando nela
duas vezes no NPS para obter as propriedades dessa poltica.
Observao As polticas padro no NPS bloqueiam o acesso rede. Aps a criao de
suas prprias polticas, voc dever alterar a prioridade, desabilitar ou remover as polticas
padro.
Processo para criar e configurar uma poltica de rede
O NPS usa polticas de rede e as propriedades de discagem das contas de usurio para determinar se
deve autorizar uma solicitao de conexo com a sua rede. Voc pode configurar uma nova poltica de
rede no snap-in do MMC do NPS ou no snap-in do MMC do Servio Roteamento e Acesso Remoto.
Criao de sua poltica

Quando voc usa o Assistente de Nova Diretiva de Rede para criar uma poltica de rede:
O valor especificado como o mtodo de conexo da rede usado para configurar a condio Tipo de
Diretiva automaticamente. Se voc mantiver o valor padro No Especificado, o NPS avaliar a
poltica de rede que voc criar para todos os tipos de conexo de rede por meio de qualquer tipo de
servidor de acesso rede. Se voc especificar um mtodo de conexo de rede, o NPS avaliar a
poltica de rede somente se a solicitao de conexo tiver sido originada no tipo de servidor de
acesso rede especificado.
Por exemplo, se voc especificar Gateway de rea de Trabalho Remota, o NPS avaliar a poltica de
rede somente das solicitaes de conexo originadas nos servidores do Gateway de rea de Trabalho
Remota.
Na pgina Especificar Permisso de Acesso, selecione Acesso concedido se desejar que a poltica
permita que os usurios se conectem sua rede. Caso deseje que a poltica impea os usurios de se
conectarem rede, selecione Acesso negado.
Caso deseje que as propriedades de discagem da conta do usurio no AD DS determinem a
permisso de acesso, marque a caixa de seleo O acesso determinado pelas propriedades de
Discagem do Usurio (que substituem a poltica de NPS).
Configurao da sua poltica

Aps a criao da sua poltica, voc poder usar a caixa de dilogo de propriedades da poltica para exibir
ou reconfigurar as respectivas configuraes.
5-28
Demonstrao: Como criar uma poltica de rede
Esta demonstrao mostra como criar uma poltica VPN e test-la.
Etapas da demonstrao
Criar uma poltica VPN com base na condio dos Grupos do Windows.
Testar a VPN.
5-29
Como as polticas de rede so processadas?
Quando o NPS autoriza uma solicitao de conexo, ele compara a solicitao a cada poltica de rede na
lista de polticas ordenada, comeando pela primeira poltica e descendo at o final da lista.
Ao encontrar uma poltica em que as condies correspondem solicitao de conexo, o NPS usar a
poltica correspondente e as propriedades de discagem da conta do usurio para fazer a autorizao.
Se voc configurar as propriedades de discagem da conta do usurio de modo a conceder ou controlar o
acesso atravs de poltica de rede e a solicitao de conexo for autorizada, o NPS aplicar as
configuraes definidas na poltica de rede conexo:
Se o NPS no encontrar uma poltica de rede correspondente solicitao de conexo, essa conexo
ser negada, a menos que as propriedades de discagem na conta do usurio estejam definidas para
conceder o acesso.
Se as propriedades de discagem da conta do usurio estiverem definidas para negar o acesso, o NPS
recusar a solicitao de conexo.
5-30
Lio 4
Viso geral do Kit de Administrao do Gerenciador de

Conexes
5-31
O CMAK (Kit de Administrao do Gerenciador de Conexes) permite personalizar as opes de conexo

remota dos usurios criando conexes predefinidas para servidores e redes remotas. O assistente do
CMAK cria um arquivo executvel, que pode ser distribudo de vrias maneiras ou includo durante as
atividades de implantao como parte da imagem do sistema operacional.
Objetivos
Descrever os recursos e benefcios do CMAK.
Descrever o processo de configurao de um perfil de conexo.
Criar um perfil de conexo usando o CMAK.
Descrever mtodos para distribuir um perfil de conexo aos usurios.
O que o Kit de Administrao do Gerenciador de Conexes?
O Gerenciador de Conexes uma ferramenta de conexo de rede de cliente que permite que um
usurio conecte-se a uma rede remota, como um provedor de servios de Internet ou uma rede
corporativa protegida por um servidor VPN.
O CMAK uma ferramenta que voc pode usar para personalizar a experincia de conexo remota dos
usurios da rede, criando conexes predefinidas com redes e servidores remotos. Use o assistente do
CMAK para criar e personalizar uma conexo para os usurios.
O CMAK um componente opcional que no instalado por padro. Instale o CMAK para gerar os perfis
de conexo que seus usurios podero instalar para acessar as redes remotas.
5-32
Processo para configurar um perfil de conexo
5-33
possvel configurar um perfil de conexo novo ou existente usando o assistente do CMAK. Cada pgina
do assistente permite que voc conclua uma etapa do processo.
As opes apresentadas no assistente do CMAK so:
Selecionar o Sistema Operacional de Destino
Criar ou Modificar um Perfil de Conexo
Especificar o Nome do Servio e o Nome do Arquivo
Especificar um Nome de Territrio
Mesclar Informaes de Outros Perfis de Conexo
Adicionar Suporte para Conexes VPN
Adicionar um Catlogo Telefnico Personalizado
Configurar Entradas de Sistema de Rede Dial-up
Especificar as Atualizaes das Tabelas de Roteamento
Configurar Definies de Proxy do Internet Explorer
Adicionar Aes Personalizadas
Exibir Bitmaps e cones Personalizados
Personalizar o Menu de Atalho da rea de Notificao
Incluir um Arquivo de Ajuda Personalizado
Exibir Informaes de Suporte Personalizadas
Incluir Software de Gerenciador de Conexes com o Perfil de Conexo
Exibir um Contrato de Licena Personalizado
Instalar Arquivos Adicionais com o Perfil de Conexo
Criar o Perfil de Conexo e seu Programa de Instalao
Criar Personalizaes Avanadas
Seu Perfil de Conexo foi Criado e est Pronto para ser Distribudo
Demonstrao: Como criar um perfil de conexo
Instalar o recurso CMAK.
Criar um perfil de conexo.
Examinar o perfil.
5-34
5-35
Distribuio do perfil de conexo aos usurios
O assistente do CMAK compila o perfil de conexo em um nico arquivo executvel com uma extenso
.exe. Voc pode passar esse arquivo para os usurios usando qualquer mtodo disponvel. Alguns
mtodos a serem considerados so:
Inclua o perfil de conexo como parte da imagem includa em novos computadores.
Voc pode instalar o perfil de conexo como parte das imagens do computador cliente instaladas nos
novos computadores da sua organizao.
Entregue o perfil de conexo em mdia removvel para o usurio instalar manualmente.
Voc pode fornecer o programa de instalao do perfil de conexo em disquete, CD-ROM, unidade
flash USB ou em qualquer outra mdia removvel que seus usurios possam acessar. Algumas mdias
removveis oferecem suporte a recursos de execuo automtica, que permitem iniciar a instalao
quando o usurio insere a mdia no computador cliente.
Entregue o perfil de conexo com ferramentas de distribuio de software automatizadas.
Muitas organizaes usam uma ferramenta de gerenciamento de rea de trabalho e implantao de

software, como o Microsoft System Center Configuration Manager (anteriormente chamado de
Systems Management Server). O Gerenciador de Configuraes permite empacotar e implantar
softwares criados para os computadores clientes. A instalao pode ser invisvel aos usurios e voc
pode configur-la para relatar ao console de gerenciamento se o processo foi bem-sucedido.
Lio 5
Soluo de problemas de Roteamento e Acesso Remoto
A soluo de problemas ocorridos no Roteamento e Acesso Remoto pode ser uma tarefa demorada. Os
problemas podem variar e no so facilmente identificados. Considerando que voc pode estar usando
redes de conexo discada, dedicadas, concedidas ou pblicas para atender sua soluo de
conectividade remota, ser necessrio usar um processo metdico e em etapas para solucionar
problemas.
Em alguns casos, possvel identificar e solucionar o problema rapidamente. Em outros casos,
necessrio entender todas as ferramentas disponveis para ajudar a determinar a fonte do problema e
resolv-lo em um tempo razovel.
Objetivos
Descrever como o log de autenticao e contabilizao pode ser usado para solucionar problemas de
conexo.
Descrever como configurar o log de acesso remoto.
Descrever como configurar o rastreamento de acesso remoto.
Resolver problemas gerais de conectividade VPN.
Descrever solues de problemas comuns relacionados ao acesso remoto.
5-36
5-37
Log de autenticao e contabilizao
Voc pode configurar o NPS para executar a contabilizao RADIUS para solicitaes de autenticao do
usurio, mensagens Access-Accept, mensagens Access-Reject, solicitaes e respostas de contabilizao e
atualizaes de status peridicas. Voc pode adotar esse procedimento para configurar os arquivos de log
nos quais deseja armazenar os dados de contabilizao.
Configurao da contabilizao
Para impedir que os arquivos de log usem todo o espao no disco rgido, altamente recomendvel
mant-los em uma partio separada da partio do sistema.
A lista a seguir fornece mais informaes sobre a configurao da contabilizao do NPS:
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o IAS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
para \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando usar pipes nomeados.
Voc pode criar o diretrio do arquivo de log usando variveis de ambiente do sistema (em vez de
variveis do usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar
o caminho usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
Voc pode alterar os formatos dos arquivos de log sem criar um novo log. Se os formatos dos
arquivos de log forem alterados, o arquivo que estiver ativo no momento da alterao conter uma
mistura dos dois formatos (os registros no incio do log tero o formato anterior e os registros no
final do log tero o novo formato).
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes sobre contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC, como
\\MeuServidorDeLog\CompartilhamentoDeLog.
O NPS no Windows Server 2008 interromper o processo de solicitaes de conexo se a

contabilizao RADIUS falhar devido a disco rgido cheio ou outros motivos. Isso impedir que os
usurios acessem os recursos da rede. O NPS no Windows Server 2008 R2 pode ser configurado para
continuar o processamento da solicitao de conexes quando o log falhar.
O NPS pode se conectar a um banco de dados do SQL Server alm de, ou em vez de, se conectar a
um arquivo local.
Observao Se voc no fornecer uma instruo de caminho completa no Diretrio do
Arquivo de Log, o caminho padro ser usado. Por exemplo, se voc digitar NPSLogFile no
Diretrio do Arquivo de Log, o arquivo ficar localizado em
systemroot\System32\NPSLogFile.
Configurao de logs com a interface do Windows

Para configurar as propriedades do arquivo de log usando a interface do Windows:
1.
Abra o snap-in do MMC do Servidor de Diretivas de Rede.
2.
Na rvore de console, clique em Contabilizao.
3.
No painel de detalhes, clique com o boto direito do mouse em Log de Arquivo Local e clique em
Configurar Log de Arquivo Local. A caixa de dilogo Log de Arquivo Local aberta.
4.
Na guia Arquivo de Log, no Diretrio, digite o local onde deseja armazenar os arquivos de log do
NPS. O local padro a pasta systemroot\System32\LogFiles.
5.
Em Formatar, clique em Compatvel com banco de dados. Se desejar manter os arquivos de log no
formato IAS, clique em IAS.
6.
Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
7.
Para uma atividade de log e um volume de transaes intensos, clique em Diariamente.
Para uma atividade de log e um volume de transaes menos intensos, clique em

Semanalmente ou Mensalmente.
Para armazenar todas as transaes em um arquivo de log, clique em Nunca (tamanho de

arquivo ilimitado).
Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir
este tamanho e digite o tamanho do arquivo que servir de base para a criao do novo log. O
tamanho padro 10 MB.
Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
Observao Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no
computador local.
5-38
5-39
Configurao do log de acesso remoto
Para configurar o log de acesso remoto, abra o console do servio Roteamento e Acesso Remoto, clique
com o boto direito do mouse no nome do servidor e clique em Propriedades. Clique na guia Log para
exibir as opes disponveis para o log de rastreamento e a respectiva localizao.
Inicialmente, pode ser melhor especificar mais opes de log do que o necessrio, em vez de especificar
muito menos opes. Depois de determinar o nvel de log que mais til para solucionar problemas na
sua infraestrutura, voc poder alterar as opes e/ou o nvel de log de acordo com a sua preferncia.
Quatro nveis de log esto disponveis na guia Registrando em Log nas propriedades do servidor VPN no
snap-in de Roteamento e Acesso Remoto. Selecione Registrar todos os eventos e tente fazer a conexo
novamente. Depois que a conexo falhar, verifique o log de eventos do sistema para saber se eventos
foram registrados durante o processo de conexo. Ao terminar de exibir os eventos de acesso remoto,
selecione a opo Registrar erros e avisos no log na guia Registrando em log para conservar os
recursos do sistema.
A tabela a seguir descreve os quatro nveis de log de eventos disponibilizados pelo Servio Roteamento e
Acesso Remoto do Windows Server 2008 R2.
Elemento da caixa de dilogo Descrio
Registrar apenas Erros no Log
Especifica que somente erros so registrados no log do sistema no

Visualizador de Eventos.
Registrar Erros e Avisos

no Log
Especifica que erros e avisos so registrados no log do sistema no

Registrar todos os eventos
Especifica que a quantidade mxima de informaes foi armazenada

no log do sistema no Visualizador de Eventos.
Desativar log de eventos
Especifica que nenhum evento registrado no log do sistema no

A caixa de seleo Registrar informaes de Roteamento e Acesso Remoto permite especificar se os

eventos no processo de estabelecimento de conexo PPP para acesso remoto e de conexes de
roteamento de discagem por demanda sero gravados no arquivo PPP.LOG armazenado na pasta
systemroot\Tracing (o local padro).
5-40
5-41
Configurao do rastreamento de acesso remoto
O servio Roteamento e Acesso Remoto no Windows Server 2008 R2 tem uma extensa capacidade de
rastreamento que pode ser usada para solucionar problemas complexos de rede. Voc pode habilitar os
componentes no Windows Server 2008 R2 para registrar informaes de rastreamento nos arquivos
usando o comando Netsh ou o Registro.
Habilitao do rastreamento com o comando Netsh
O comando Netsh pode ser usado para habilitar e desabilitar o rastreamento de componentes especficos
ou de todos os componentes. Para habilitar e desabilitar o rastreamento de um componente especfico,
use a seguinte sintaxe:
netsh ras set tracing componente enabled|disabled
Onde componente um componente da lista de componentes do servio Roteamento e Acesso Remoto

encontrado no Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Por exemplo, para
habilitar o rastreamento do componente RASAUTH, o comando este:
netsh ras set tracing rasauth enabled
Para habilitar o rastreamento de todos os componentes, use o seguinte comando:

netsh ras set tracing * enabled
Habilitao do rastreamento usando o Registro

Voc tambm pode configurar a funo de rastreamento alterando as configuraes do Registro no
seguinte caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
possvel habilitar o rastreamento para cada componente do servio Roteamento e Acesso Remoto
configurando os valores de Registro apropriados. Voc pode habilitar e desabilitar o rastreamento de
componentes enquanto o servio Roteamento e Acesso Remoto est sendo executado. Cada componente
capaz de fazer o rastreamento e exibido como uma subchave na chave de Registro antecedente.
Para habilitar o rastreamento de cada componente, configure as seguintes entradas de Registro para cada
chave de protocolo:
EnableFileTracing REG_DWORD Flag
Para habilitar as informaes de rastreamento de logs de um arquivo, configure EnableFileTracing como

1. O valor padro 0.
Para alterar o local padro dos arquivos de rastreamento, configure FileDirectory para o caminho
desejado. O nome do arquivo de log o nome do componente para o qual o rastreamento est
habilitado. Por padro, os arquivos de log so colocados na pasta SystemRoot\Tracing.
FileDirectory REG_EXPAND_SZ Path
FileTracingMask determina a quantidade de informaes de rastreamento registradas no arquivo. O valor

padro 0xFFFF0000.
FileTracingMask REG_DWORD LevelOfTracingInformationLogged
Para alterar o tamanho do arquivo de log, configure valores diferentes para MaxFileSize. O valor padro
0x10000 (64K).
MaxFileSize REG_DWORD SizeOfLogFile
Observao O rastreamento consome recursos do sistema e deve ser usado

moderadamente para ajudar a identificar problemas na rede. Aps fazer o rastreamento ou
identificar o problema, desabilite o rastreamento imediatamente. No deixe o rastreamento
habilitado em computadores com multiprocessadores. As informaes do rastreamento
podem ser complexas e detalhadas; geralmente, apenas profissionais de suporte da
Microsoft ou administradores de rede que tm experincia com o servio Roteamento e
Acesso Remoto acham essas informaes teis. Voc pode salvar informaes de
rastreamento como arquivos e envi-las para serem analisadas pelo suporte da Microsoft.
5-42
5-43
Resoluo de problemas gerais da VPN
Para resolver problemas gerais com o estabelecimento de uma conexo VPN de acesso remoto, execute
as seguintes tarefas:
Use o comando ping para verificar se o nome do host resolvido para o endereo IP correto. O ping
pode no ser bem-sucedido devido filtragem de pacotes, que impede que o servidor VPN envie e
receba mensagens ICMP.
Verifique se as credenciais do cliente VPN, que consistem no nome do usurio, na senha e no nome
do domnio, esto corretas e se o servidor VPN pode valid-las.
Verifique se a conta de usurio do cliente VPN no est bloqueada, vencida, desabilitada ou se o

horrio de estabelecimento da conexo no corresponde aos horrios de logon configurados. Se a
senha da conta tiver expirado, verifique se o cliente VPN de acesso remoto est usando o MS-CHAP
v2. O MS-CHAP v2 o nico protocolo de autenticao fornecido pelo Windows Server 2008 R2 que
permite alterar uma senha vencida durante o processo de conexo.
Para redefinir a senha de uma conta no nvel de administrador com senha vencida, use outra conta
no nvel de administrador.
Verifique se a conta do usurio no foi bloqueada devido ao bloqueio da conta de acesso remoto.
Verifique se o servio Roteamento e Acesso Remoto est em execuo no servidor VPN.
Verifique se o servidor VPN est habilitado para acesso remoto na guia Geral nas propriedades de
um servidor VPN no snap-in de Roteamento e Acesso Remoto.
Verifique se os dispositivos Miniporta WAN (PPTP) e Miniporta WAN (L2TP) esto habilitados para
acesso remoto de entrada nas propriedades do objeto Portas do snap-in de Roteamento e Acesso
Remoto.
Verifique se o cliente VPN, o servidor VPN e a poltica de rede que correspondem s conexes VPN
esto configurados para usar pelo menos um mtodo de autenticao comum.
Verifique se o cliente VPN e a poltica de rede que correspondem s conexes VPN esto
configurados para usar pelo menos uma intensidade de criptografia comum.
Verifique se os parmetros da conexo tm permisso nas polticas de rede.
5-44
5-45
Soluo de outros problemas
Este tpico lista problemas comuns que voc pode encontrar ao utilizar o Acesso Remoto do Windows
Server 2008 R2.
Erro 800: Servidor VPN inalcanvel
Causa: os pacotes PPTP/L2TP/SSTP do cliente VPN no podem chegar ao servidor VPN.
Soluo: garanta que as portas necessrias estejam abertas no firewall.
PPTP: para o trfego PPTP, configure o firewall da rede para abrir a porta TCP 1723 e
encaminhar o protocolo IP 47 do trfego GRE ao servidor VPN.
L2TP: para o trfego L2TP configure o firewall da rede para abrir a porta UDP 1701 e permitir
pacotes formatados IPsec ESP (protocolo IP 50).
SSTP: para SSTP, habilite TCP 443.
Erro 721: Computador remoto no est respondendo
Causa: esse problema poder ocorrer se o firewall da rede no permitir o trfego GRE (protocolo IP
47). O PPTP usa o GRE para dados em tnel.
Soluo: configure o firewall da rede entre o cliente VPN e o servidor para permitir o GRE. Alm
disso, verifique se o firewall da rede permite o trfego TCP na porta 1723. Essas duas condies
devem ser atendidas para que seja possvel usar o PPTP para estabelecer a conectividade VPN.
Observao O firewall pode estar ativado na frente do cliente VPN ou na frente do
servidor VPN.
Erro 741/742: Erro de incompatibilidade de criptografia
Causa: esses erros ocorrero se o cliente VPN solicitar um nvel de criptografia invlido ou se o
servidor VPN no oferecer suporte ao tipo de criptografia solicitado pelo cliente.
Soluo: verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se a opo
Exigir criptografia de dados (desconectar se no houver) estiver selecionada, desmarque-a e tente
fazer a conexo novamente. Se estiver usando o NPS, verifique o nvel de criptografia da poltica de
rede no console do NPS ou das polticas em outros servidores RADIUS. Verifique se o nvel de
criptografia solicitado pelo cliente VPN est selecionado no servidor VPN.
Problemas de autenticao do L2TP/IPsec

A lista a seguir descreve as causas mais comuns de falhas nas conexes L2TP/IPsec:
Ausncia de certificado: por padro, as conexes L2TP/IPsec exigem que, para a autenticao no
par do IPsec, ocorra uma troca de certificados de computador entre o servidor de acesso remoto e o
cliente de acesso remoto. Verifique os armazenamentos de certificados do Computador Local do
cliente de acesso remoto e do servidor de acesso remoto que usam o snap-in de certificados para
confirmar se existe um certificado adequado.
Certificado incorreto: o cliente VPN deve ter um certificado de computador vlido instalado que
tenha sido emitido por uma autoridade de certificao que siga uma cadeia de certificados vlida, da
autoridade de certificao de emisso at a autoridade de certificao raiz, na qual o servidor VPN
confie. Alm disso, o servidor VPN precisa ter um certificado de computador vlido instalado que
tenha sido emitido por uma autoridade de certificao que siga uma cadeia de certificados vlida, da
autoridade de certificao de emisso at a autoridade de certificao raiz, na qual o cliente VPN
confie.
Um dispositivo de NAT existe entre o cliente de acesso remoto e servidor de acesso remoto:
se houver uma NAT entre um cliente L2TP/IPsec baseado em Windows 2000, Windows Server 2003
ou Windows XP e um servidor L2TP/IPsec do Windows Server 2008, no ser possvel estabelecer uma
conexo L2TP/IPsec, a menos que o cliente e o servidor ofeream suporte ao IPsec NAT-T.
Existe um firewall entre o cliente de acesso remoto e o servidor de acesso remoto: se houver
um firewall entre um cliente L2TP/IPsec do Windows e um servidor L2TP/IPsec do Windows Server
2008 R2, e voc no puder estabelecer uma conexo L2TP/IPsec, verifique se o firewall permite o
encaminhamento do trfego L2TP/IPsec.
5-46
5-47
Problemas de autenticao EAP-TLS
Quando voc usa o EAP-TLS para a autenticao, o cliente VPN envia um certificado de usurio
e o servidor de autenticao (o servidor VPN ou o servidor RADIUS) envia um certificado de computador.
Para permitir que o servidor de autenticao valide o certificado do cliente VPN, as seguintes condies
devero ser verdadeiras para cada certificado na cadeia de certificados enviados pelo cliente VPN:
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado no foi revogado. Os certificados emitidos podem ser revogados a qualquer momento.
Cada autoridade de certificao de emisso mantm uma lista de certificados que no so
considerados vlidos e publica uma CRL (lista de certificados revogados) atualizada. Por padro, o
servidor de autenticao verifica todos os certificados na cadeia de certificados dos clientes VPN (a
srie de certificados do certificado do cliente VPN at a autoridade de certificao raiz) para
revogao. Se um dos certificados na cadeia tiver sido revogado, a validao do certificado falhar.
O certificado possui uma assinatura digital vlida. As autoridades de certificao assinam digitalmente
os certificados emitidos. O servidor de autenticao verifica a assinatura digital de cada certificado na
cadeia, com exceo do certificado da autoridade de certificao raiz, obtendo a chave pblica da
autoridade de certificao de emisso e validando matematicamente a assinatura digital.
Para que o cliente VPN valide o certificado do servidor de autenticao de uma das autenticaes de
EAP-TLS, as seguintes condies devero ser verdadeiras para cada certificado na cadeia de
certificados enviados pelo servidor de autenticao:
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado precisa ter uma assinatura digital vlida. As autoridades de certificao assinam
digitalmente os certificados emitidos. O cliente VPN verifica a assinatura digital de cada
certificado na cadeia, com exceo do certificado da autoridade de certificao raiz, obtendo a
chave pblica da autoridade de certificao de emisso do certificado e validando
matematicamente a assinatura digital.
Laboratrio A: Configurao e gerenciamento do acesso

rede
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-EDGE1 e 10221B-NYC-CL1.
5-48
5-49
A Contoso, Ltd. deseja implementar uma soluo de acesso remoto para seus funcionrios para que eles
possam se conectar rede corporativa quando estiverem fora do escritrio. A Contoso precisa de uma
poltica de rede que obrigue a criptografia das conexes VPN por motivos de segurana.
Voc deve habilitar e configurar os servios de servidor necessrios para facilitar esse acesso remoto.
Configurar o Roteamento e Acesso Remoto como uma soluo de acesso remoto VPN.
Configurar uma poltica de rede personalizada.
Criar e distribuir um perfil CMAK.
Exerccio 1: Configurao do Roteamento e Acesso Remoto como uma

Cenrio
Nesse exerccio, voc ir instalar e configurar a funo Servios de Acesso e Diretiva de Rede para oferecer
suporte aos requisitos da fora de trabalho da Contoso, Ltd.
1.
Instalar a funo Servios de Acesso e Diretiva de Rede em 10221B-NYC-EDGE1.
2.
Configurar 10221B-NYC-EDGE1 como um servidor VPN com um pool de endereos estticos para
clientes de Acesso Remoto.
3.
Configurar as portas VPN disponveis no servidor de Roteamento e Acesso Remoto para permitir 25
conexes PPTP, 25 conexes L2TP e 25 conexes SSTP.
Tarefa 1: Instalar a funo Servios de Acesso e Diretiva de Rede

em 10221B-NYC-EDGE1
1.
Alterne para o servidor virtual NYC-EDGE1.
2.
Abra o Gerenciador de Servidores.
3.
Adicione a funo Servios de Acesso e Diretiva de Rede com os seguintes servios de funo:
a.
b.
Servios Roteamento e Acesso Remoto
Tarefa 2: Configurar 10221B-NYC-EDGE1 como um servidor VPN com um pool de

endereos estticos para clientes de Acesso Remoto
1.
Em NYC-EDGE1, abra o Roteamento e Acesso Remoto.
2.
No painel de lista, selecione e clique com o boto direito do mouse em NYC-EDGE1 (Local) e clique
em Configurar e Habilitar Roteamento e Acesso Remoto.
3.
Use as definies a seguir para configurar o servio:

a.
Na pgina Configurao, aceite os padres.
b.
Na pgina Acesso Remoto, marque a caixa de seleo VPN.
c.
Na pgina Conexo VPN, selecione a interface Pblica.
d.
Na pgina Atribuio de Endereo IP, selecione a opo De um intervalo de endereos

especificado.
e.
Na pgina Atribuio de Intervalo de Endereos, crie um pool de endereos com 75 entradas e

com um endereo inicial de 10.10.0.60.
f.
Na pgina Gerenciando Mltiplos Servidores de Acesso Remoto, aceite os padres.
g.
Aceite qualquer mensagem clicando em OK.
5-50
Tarefa 3: Configurar as portas VPN disponveis no servidor de Roteamento e

Acesso Remoto para permitir 25 conexes PPTP e 25 conexes L2TP
1.
Na interface da ferramenta de gerenciamento do Roteamento e Acesso Remoto, expanda NYCEDGE1, selecione e clique com o boto direito do mouse em Portas e clique em Propriedades.
2.
Use as informaes a seguir para concluir o processo de configurao:

a.
Nmero das portas Miniporta WAN (SSTP): 25
b.
Nmero das portas Miniporta WAN (PPTP): 25
c.
Nmero das portas Miniporta WAN (L2TP): 25
3.
Clique em OK para confirmar todos os avisos.
4.
Feche a ferramenta Roteamento e Acesso Remoto.
5-51
Resultados: ao fim deste exerccio, voc ter habilitado o roteamento e acesso remoto no servidor NYCEDGE1.
Exerccio 2: Configurao de uma poltica de rede personalizada

Cenrio
Nesse exerccio, voc ir criar e verificar uma poltica de rede personalizada de acordo com os requisitos
da Contoso, Ltd.
1.
Abrir a ferramenta de gerenciamento do Servidor de Diretivas de Rede em 10221B-NYC-EDGE1.
2.
Criar uma nova poltica de rede para clientes RRAS.
3.
Criar e testar uma conexo VPN.
Tarefa 1: Abrir a ferramenta de gerenciamento do Servidor de Diretivas de Rede em

10221B-NYC-EDGE1
1.
Alterne para o computador virtual NYC-EDGE1.
2.
Abra a ferramenta Servidor de Diretivas de Rede.
Tarefa 2: Criar uma nova poltica de rede para clientes RRAS

1.
No console do Servidor de Diretivas de Rede, crie uma nova poltica com as seguinte configuraes:
a.
Nome: VPN Segura
b.
Tipo de servidor de acesso rede: Servidor de Acesso Remoto (VPN-Dial up)
c.
Condies: Tipo de Encapsulamento = L2TP, PPTP, SSTP
d.
Permisso de acesso: Acesso concedido
e.
Mtodos de autenticao: Autenticao criptografada da Microsoft verso 2 (MS-CHAPv2)
f.
Restries: Restries de dia e horrio = Fins de semana Negados
g.
Configuraes: Criptografia = Criptografia mxima (MPPE de 128 bits)
2.
Verifique se a poltica VPN Segura a primeira na lista de polticas.
3.
Feche a ferramenta Servidor de Diretivas de Rede.
Tarefa 3: Criar e testar uma conexo VPN

1.
Alterne para o computador NYC-CL1.
2.
Abra o Centro de Rede e Compartilhamento.
3.
Altere as configuraes do adaptador de rede da seguinte maneira:
4.
a.
Endereo IP: 131.107.0.20
b.
c.
Crie uma VPN com as seguintes configuraes:

a.
Endereo na Internet para se conectar a: 131.107.0.2
b.
Nome: VPN da Contoso
5-52
5.
Conecte-se com as propriedades da nova VPN, como se segue:

a.
b.
Senha: Pa$$w0rd
c.
Domnio: Contoso
Observao
6.
A VPN conecta-se com xito.
Desconecte a VPN e feche todas as janelas abertas.
Resultados: ao fim deste exerccio, voc ter criado e testado uma conexo VPN.
5-53
Exerccio 3: Criao e distribuio de um perfil CMAK

Cenrio
Nesse exerccio, voc criar um perfil CMAK do Windows 7 de 32 bits.
1.
Instalar o recurso CMAK em NYC-CL1.
2.
Criar o perfil de conexo.
3.
Distribuir o perfil.
Tarefa 1: Instalar o recurso CMAK em NYC-CL1

1.
Em NYC-CL1, abra o Painel de Controle.
2.
Em Ativar ou desativar recursos do Windows no Painel de Controle, instale o recurso Kit de

Administrao do Gerenciador de Conexes (CMAK) RAS.
3.
Feche Programas e Painel de Controle.
Tarefa 2: Criar o perfil de conexo
Abra o Kit de Administrao do Gerenciador de Conexes para iniciar o assistente do Kit de

Administrao do Gerenciador de Conexes. Crie um perfil de conexo com as seguintes
propriedades:
Sistema operacional de destino: Windows 7
Com base no Novo perfil
Nome do servio: SC da Contoso
Nome do arquivo: Contoso
No adicionar um nome de territrio ao nome de usurio
Adicionar Suporte para Conexes VPN: Catlogo telefnico deste perfil
Nome ou endereo IP do servidor VPN: 131.107.0.2
Adicionar um Catlogo Telefnico Personalizado: desmarque Download automtico de

atualizaes do catlogo telefnico
Outras configuraes: valores padro
Tarefa 3: Distribuir o perfil

1.
2.
Crie uma pasta chamada D:\Perfil da Contoso.
3.
Compartilhe a pasta usando o Compartilhamento Avanado:
Use o nome padro
Conceda aos administradores a permisso Controle Total e a todos a permisso Leitura
4.
Alterne para NYC-CL1 e conecte a VPN da Contoso.
5.
Copie o contedo de C:\Arquivos de Programas\CMAK\Profiles\Windows 7 and

Windows Vista\Contoso em \\nyc-dc1\Perfil da Contoso.
5-54
6.
Execute \\nyc-dc1\Perfil da Contoso\Contoso.exe e conclua o assistente da seguinte maneira:
Tornar esta conexo disponvel para =Todos os usurios
Adicionar um atalho rea de trabalho =verdadeiro
7.
Desconecte a VPN da Contoso.
8.
Na rea de Trabalho, clique duas vezes em SC da Contoso Atalho.
9.
Conecte-se com as seguintes credenciais:
Senha: Pa$$w0rd
Domnio: Contoso

10. Desconecte e feche todas as janelas abertas.
Resultados: ao fim deste exerccio, voc ter criado e distribudo um perfil CMAK.

etapas:
5-55
1.
2.
Clique com o boto direito do mouse em 10221B-NYC-DC1 na lista Mquinas Virtuais e clique em
Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-EDGE1 e 10221B-NYC-CL1.
Lio 6
Configurao do DirectAccess
Geralmente, as organizaes dependem das conexes VPN para fornecer aos usurios remotos acesso
seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e tm suporte
de diferentes clientes. No entanto, as conexes VPN devem ser primeiramente iniciadas pelo usurio e
podem exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN geralmente
habilitam o acesso remoto toda rede corporativa. As organizaes no podem gerenciar com eficincia
computadores remotos, a menos que estejam conectados. Para superar tais limitaes nas conexes VPN,
as organizaes podem implementar o DirectAccess, disponvel no Windows Server 2008 R2 e Windows 7,
para fornecer uma conexo contnua entre a rede interna e o computador remoto na Internet. Com o
DirectAccess, as organizaes podem gerenciar computadores remotos sem esforo, pois eles esto
sempre conectados.
Objetivos
Discutir os desafios de conexes VPN tpicas.
Descrever os recursos e benefcios do DirectAccess.
Descrever os componentes exigidos para implementar o DirectAccess.
Descrever o uso da Tabela de Diretivas de Resoluo de Nomes.
Descrever como funciona o DirectAccess.
Descrever o uso da Tabela de Diretivas de Resoluo de Nomes.
Configurar o DirectAccess.
Instalar e configurar o DirectAccess.
5-56
Discusso: Complexidades de gerenciar VPNs
Quais so alguns do desafios que voc enfrenta ao implementar VPNs?
5-57
O que o DirectAccess?
O Windows Server 2008 R2 e o Windows 7 apresentam um recurso chamado DirectAccess que permite o
acesso remoto contnuo aos recursos da intranet sem precisar estabelecer primeiro a conexo VPN. O
recurso DirectAccess tambm garante conectividade contnua infraestrutura de aplicativos para usurios
internos e remotos.
Diferentemente das VPNs tradicionais, que exigem interveno do usurio para iniciar uma conexo com
uma intranet, o DirectAccess permite que qualquer aplicativo compatvel com IPv6 no computador cliente
tenha acesso completo aos recursos da intranet. O DirectAccess tambm permite especificar recursos e
aplicativos no lado do cliente que sejam restritos para acesso remoto.
As organizaes se beneficiam do DirectAccess porque os computadores remotos podem ser gerenciados
como se fossem computadores locais (usando os mesmos servidores de gerenciamento e atualizao), o
que garante que eles estejam sempre atualizados e em conformidade com as polticas de integridade do
sistema e de segurana. Tambm possvel definir polticas mais detalhadas de controle de acesso para
acesso remoto em comparao com a definio de polticas de controle de acesso em solues VPN.
O DirectAccess possui os seguintes recursos:
Conecta-se automaticamente intranet corporativa quando conectado Internet.
Usa vrios protocolos, incluindo HTTPS, para estabelecer conectividade IPv6. Normalmente, o HTTPS
permitido por meio de servidores proxy e firewalls.
Oferece suporte ao acesso de servidor selecionado e autenticao IPsec completa com servidores
de rede da intranet.
Oferece suporte criptografia e autenticao completa com servidores de rede da intranet.
Oferece suporte ao gerenciamento de computadores cliente remotos.
Permite que usurios remotos se conectem diretamente aos servidores da intranet.
5-58
O DirectAccess foi desenvolvido com os seguintes benefcios:
5-59
Conectividade sempre ativa: sempre que o usurio conectar o computador cliente Internet,
o computador cliente tambm ser conectado intranet. Essa conectividade permite que
computadores cliente remotos acessem e atualizem aplicativos com mais facilidade. Ela tambm
permite que os recursos da intranet estejam sempre disponveis e permite que os usurios se
conectem intranet corporativa de qualquer lugar e a qualquer momento, melhorando, assim, a
produtividade e o desempenho.
Conectividade contnua: o DirectAccess proporciona uma experincia de conectividade consistente,

seja o computador cliente local ou remoto. Dessa forma, os usurios se concentram mais na
produtividade e menos no processo e nas opes de conectividade. Essa consistncia pode reduzir os
custos de treinamento para usurios, com menos incidentes de suporte.
Acesso bidirecional: o DirectAccess pode ser configurado de modo que no s seus clientes tenham
acesso aos recursos da intranet, mas que voc tambm possa ter acesso da intranet a esses clientes
DirectAccess. Assim, o DirectAccess pode ser bidirecional, de modo que seus usurios tenham acesso
aos recursos da intranet e voc possa ter acesso aos clientes DirectAccess quando eles estiverem se
conectando por uma rede pblica. Isso garante que os computadores cliente estejam sempre
atualizados com os patches de segurana mais recentes, que a Diretiva de Grupo do domnio seja
imposta e que no haja diferena se os usurios estiverem na intranet corporativa ou na rede pblica.
Esse acesso bidirecional tambm resulta em:
Diminuio do tempo de atualizao
Aumento da segurana
Diminuio da taxa de erros de atualizao
Melhoria do monitoramento de conformidade
Mais segurana: diferentemente das VPNs tradicionais, o DirectAccess oferece muitos nveis de
controle de acesso aos recursos da rede. Esse grau mais rgido de controle permite aos arquitetos de
segurana controlar precisamente os usurios remotos que acessam recursos especificados. A
criptografia IPsec usada para proteger o trfego do DirectAccess, de modos que os usurios possam
garantir a segurana de suas comunicaes. Voc pode usar uma poltica granular para definir quem
pode usar o DirectAccess e de onde.
Soluo integrada: o DirectAccess integra-se totalmente s solues de NAP e de Isolamento de

Servidor e Domnio, resultando na integrao perfeita das polticas de requisitos de segurana, acesso
e integridade entre a intranet e os computadores remotos.
Componentes do DirectAccess
Para implantar e configurar o DirectAccess, sua organizao deve oferecer suporte aos seguintes
componentes de infraestrutura.
Servidor DirectAccess
No servidor DirectAccess, voc pode instalar o recurso Console de Gerenciamento do DirectAccess usando
Gerenciador de Servidores. possvel usar o Console de Gerenciamento do DirectAccess para definir as
configuraes do servidor e clientes DirectAccess, bem como para monitorar o status do servidor
DirectAccess. Talvez seja preciso mais de um servidor DirectAccess, dependendo dos requisitos de
implantao e escalabilidade.
Para implantar componentes do DirectAccess no servidor, este deve:
Estar associado a um domnio Active Directory.
Executar o Windows Server 2008 R2.
Ter pelo menos dois adaptadores de rede fsicos instalados - um conectado Internet e o outro
intranet.
O servidor deve ter pelo menos dois endereos IPv4 pblicos, estticos e consecutivos atribudos ao
adaptador de rede que est conectado Internet.
O servidor no deve ser colocado atrs de uma NAT.
Geralmente instalados na rede de permetro, os servidores DirectAccess fornecem conectividade de

intranet para clientes DirectAccess na Internet.
5-60
5-61
Clientes DirectAccess
Para implantar o DirectAccess, voc tambm precisa garantir que o cliente atenda a determinados
requisitos:
O cliente deve estar associado a um domnio Active Directory.
O cliente deve estar executando o Windows 7 Ultimate Edition, Windows 7 Enterprise Edition ou
Windows Server 2008 R2.
Os recursos internos da rede devem estar disponveis pelo IPv6. Para clientes conectados Internet,
as tecnologias de transio do IPv6, como o 6to4 e Teredo, podem ser usadas.
Observao Clientes que estiverem executando o Windows Vista, Windows Server 2008
ou outras verses anteriores dos sistemas operacionais Windows no oferecem suporte ao
DirectAccess.
Servidor do local da rede
Os clientes DirectAccess usam o NLS (Servidor do Local da Rede) para determinar o respectivo local. Se o
cliente puder se conectar com HTTPS, ele supor que est na intranet e desabilitar os componentes do
DirectAccess. Se o NLS no puder ser contatado, o cliente supor que est na Internet. O servidor NLS
instalado com a funo Servidor Web.
Observao
A URL para o NLS distribuda usando o GPO.
Domnio Active Directory

Voc deve implantar pelo menos um domnio Active Directory com pelo menos um controlador de
domnio baseado no Windows Server 2008 R2 ou no Windows Server 2008, embora no seja necessrio
elevar o domnio ou os nveis funcionais da floresta para o Windows Server 2008 R2.
Diretiva de Grupo
A Diretiva de Grupo necessria para administrao e implantao centralizadas das configuraes do

DirectAccess. O Assistente de Instalao do DirectAccess cria um conjunto de configuraes e objetos de
Diretiva de Grupo para clientes DirectAccess, o servidor DirectAccess e servidores selecionados.
PKI
Voc deve implementar uma PKI para emitir certificados para autenticao de computador e, onde
desejvel, certificados de integridade ao usar a NAP. No preciso implementar certificados pblicos.
Servidor DNS
Ao usar o ISATAP, voc deve usar o Windows Server 2008 R2, Windows Server 2008 com hotfix Q958194
(http://go.microsoft.com/fwlink/?LinkID=159951 (em ingls)), Windows Server 2008 SP2 ou posterior, ou
um servidor DNS de terceiros que oferea suporte troca de mensagens DNS pelo protocolo ISATAP.
O que a Tabela de Diretivas de Resoluo de Nomes?
Para separar o trfego da Internet do trfego da Intranet para o DirectAccess, o Windows Server 2008 R2
e o Windows 7 incluem a NRPT (Tabela de Diretivas de Resoluo de Nomes), um recurso que permite
definir configuraes e servidores DNS para cada namespace DNS, e no para cada interface. A NRPT
armazena uma lista de regras. Cada regra define um namespace DNS e definies de configurao que
descrevem o comportamento do cliente DNS para esse namespace. Quando um cliente DirectAccess
estiver na Internet, cada solicitao de consulta de nome comparada com as regras de namespace
armazenadas na NRPT. Se uma correspondncia for encontrada, a solicitao ser processada de acordo
com as configuraes na regra NRPT.
Se uma solicitao de consulta de nome no corresponder a um namespace listado na NRPT, a solicitao
ser enviada aos servidores DNS que estiverem configurados nas definies TCP/IP. Para um cliente
remoto, normalmente, os servidores DNS estaro nos servidores DNS que foram configurados pelo
provedor de servios de Internet. Para um cliente DirectAccess na intranet, os servidores DNS geralmente
estaro nos servidores DNS da intranet que foram configurados pelo protocolo DHCP.
Nomes de rtulo nico, por exemplo, http://internal, geralmente tero sufixos de pesquisa DNS
configurados acrescentados ao nome antes de serem verificados na NRPT.
Se nenhum sufixo de pesquisa DNS for configurado e o nome de rtulo nico no corresponder a
nenhuma outra entrada de nome de rtulo nico na NRPT, a solicitao ser enviada aos servidores DNS
especificados nas configuraes TCP/IP do cliente.
Namespaces, por exemplo, internal.contoso.com, so inseridos na NRPT, seguidos pelos servidores DNS
aos quais as solicitaes que corresponderem ao namespace devem ser direcionadas. Se um endereo IP
foi inserido para o servidor DNS, todas as solicitaes DNS sero enviadas diretamente ao servidor DNS
pela conexo do DirectAccess. No preciso especificar nenhuma segurana adicional para tais
configuraes. No entanto, se um nome for especificado na NRPT para o servidor DNS, como
dns.contoso.com, o nome dever ser resolvvel publicamente quando o cliente consultar os servidores
DNS especificados nas respectivas configuraes TCP/IP.
5-62
5-63
A NRPT permite que os clientes DirectAccess usem servidores DNS da intranet para resoluo de nomes
de recursos internos e servidores DNS da Internet para resoluo de nomes de outros recursos. No so
necessrios servidores DNS dedicados para a resoluo de nomes. O DirectAccess ajuda a evitar a
exposio do namespace de sua intranet Internet.
Alguns nomes precisam ser tratados de forma diferente em relao resoluo de nomes; esses nomes
no devem ser resolvidos com servidores DNS da intranet. Para garantir que esses nomes sejam resolvidos
com os servidores DNS especificados nas configuraes TCP/IP do cliente, preciso adicion-los como
isenes da NRPT.
A NRPT controlada pela Diretiva de Grupo. Quando o computador configurado para usar a NRPT, o
mecanismo de resoluo de nomes primeiramente tenta usar o cache do nome local, que inclui as
entradas no arquivo de hosts, em seguida, a NRPT e, por fim, envia a consulta aos servidores DNS
especificados nas configuraes TCP/IP.
Como o DirectAccess funciona para clientes internos
O processo de conexo do DirectAccess ocorre automaticamente, sem exigir interveno do usurio. Os

clientes DirectAccess usam o seguinte processo para se conectar a recursos de intranet:
1.
O cliente DirectAccess tenta resolver o FQDN (nome de domnio totalmente qualificado) da URL do
servidor do local da rede.
Como o FQDN da URL do servidor do local da rede corresponde a uma regra de iseno na NRPT, o
cliente DirectAccess envia a consulta DNS a um servidor DNS configurado localmente (um servidor
DNS baseado na intranet). O servidor DNS da intranet resolve o nome.
2.
O cliente DirectAccess acessa a URL baseada em HTTPS do servidor do local da rede, processo em
que ele obtm o certificado do servidor do local da rede.
3.
Com base no campo Pontos de Distribuio da CRL (Lista de Certificados Revogados) do certificado
do servidor do local da rede, o cliente DirectAccess verifica os arquivos de revogao CRL no ponto
de distribuio da CRL para determinar se o certificado do servidor do local da rede foi revogado.
4.
Com base em uma HTTP 200 Success da URL do servidor do local da rede (acesso bem-sucedido e
verificao de autenticao e revogao de certificado), o cliente do DirectAccess remove as regras
do DirectAccess na NRPT.
5.
O computador cliente DirectAccess tenta localizar e fazer logon no domnio AD DS usando sua conta
de computador.
Como no h mais regras do DirectAccess na NRPT, todas as consultas DNS so enviadas por meio
dos servidores DNS configurados pela interface (servidores DNS da intranet).
5-64
6.
5-65
Com base no logon bem-sucedido do computador no domnio, o cliente DirectAccess atribui o perfil
do Domnio rede conectada.
Como as regras de tnel Segurana de Conexo para o DirectAccess so copiadas nos perfis Pblico e
Privado, elas so removidas da lista de regras Segurana de Conexo ativas.
O cliente DirectAccess detectou com xito que est conectado respectiva intranet e no usa as
configuraes do DirectAccess (regras da NRPT ou regras de tnel Segurana de Conexo). Ele pode
acessar os recursos da intranet normalmente. Ele tambm pode acessar os recursos da Internet por
meios normais, por um servidor proxy (no mostrado), por exemplo.
Como o DirectAccess funciona para clientes externos
Quando iniciado, um cliente DirectAccess supe que no est conectado intranet. A NRPT possui
regras baseadas no DirectAccess e as regras Segurana de Conexo para tneis do DirectAccess so
ativadas. Os clientes DirectAccess conectados pela Internet usam o seguinte processo para se conectar a
recursos da intranet:
O cliente DirectAccess tenta acessar o servidor do local da rede

1.
O cliente tenta resolver o FQDN da URL do servidor do local da rede. Como o FQDN da URL do
servidor do local da rede corresponde a uma regra de iseno na NRPT, o cliente DirectAccess envia a
consulta DNS a um servidor DNS configurado localmente (um servidor DNS baseado na Internet). O
servidor DNS da Internet no pode resolver o nome.
2.
O cliente DirectAccess mantm as regras do DirectAccess na NRPT.
3.
Como o servidor do local da rede no foi encontrado, o cliente DirectAccess aplica o perfil Pblico ou
Privado rede conectada.
4.
As regras de tnel Segurana de Conexo para o DirectAccess, direcionadas para os perfis Pblico e
Privado, permanecem.
O cliente DirectAccess possui as regras da NRPT e as regras Segurana de Conexo para acessar os
recursos da intranet pela Internet por meio do servidor DirectAccess.
5-66
5-67
O cliente DirectAccess tenta localizar um controlador de domnio
Depois de ser iniciado e determinar seu local de rede, o cliente DirectAccess tenta localizar e fazer logon
em um controlador de domnio. Esse processo cria o tnel de infraestrutura para o servidor DirectAccess.
1.
O nome DNS para o controlador de domnio corresponde regra de namespace da intranet na NRPT,
que especifica o endereo IPv6 do servidor DNS da intranet. O servio do cliente DNS cria a consulta
de nome DNS que endereada ao endereo IPv6 do servidor DNS da intranet e a transfere para a
pilha TCP/IP para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras Segurana de Conexo para o pacote.
3.
Como o endereo IPv6 de destino na consulta de nome DNS corresponde a uma regra Segurana de
Conexo que corresponde ao tnel de infraestrutura, o cliente DirectAccess usa o AuthIP ou IPsec
para negociar e autenticar um tnel IPsec criptografado para o servidor DirectAccess. O cliente
DirectAccess autentica a si mesmo com o respectivo certificado do computador instalado e as
respectivas credenciais NTLM.
4.
O cliente DirectAccess envia a consulta de nome DNS pelo tnel de infraestrutura para o servidor
DirectAccess.
5.
O servidor DirectAccess encaminha a consulta de nome DNS ao servidor DNS da intranet, que
responde. A resposta da consulta de nome DNS enviada de volta ao servidor DirectAccess e pelo
tnel de infraestrutura para o cliente DirectAccess.
O trfego de logon do domnio subsequente passa pelo tnel de infraestrutura. Quando o usurio no
cliente DirectAccess faz logon, o trfego de logon do domnio passa pelo tnel de infraestrutura.
O cliente DirectAccess tenta acessar recursos da Intranet

Na primeira vez que o cliente DirectAccess envia trfego para um local da intranet que no est na lista
de destinos do tnel de infraestrutura (como um servidor de email), ocorre o seguinte:
1.
O aplicativo ou o processo que est tentando se comunicar cria uma mensagem ou carga e a
transfere para a pilha TCP/IP para envio.
2.
3.
Como o endereo IPv6 de destino corresponde regra Segurana de Conexo que corresponde ao
tnel da intranet (que especifica o espao de endereos IPv6 de toda a intranet), o cliente
DirectAccess usa o AuthIP ou IPsec para negociar e autenticar um tnel IPsec adicional para o
servidor DirectAccess. O cliente DirectAccess autentica a si mesmo com o respectivo certificado do
computador instalado e as credenciais Kerberos da conta do usurio.
4.
O cliente DirectAccess envia o pacote pelo tnel da intranet para o servidor DirectAccess.
5.
O servidor DirectAccess encaminha o pacote aos recursos da intranet, que responde. A resposta
enviada de volta ao servidor DirectAccess e pelo tnel da intranet para o cliente DirectAccess.
O trfego de acesso intranet subsequente, que no corresponde a um destino da intranet na regra

Segurana de Conexo do tnel de infraestrutura, passa pelo tnel da intranet.
O cliente DirectAccess tenta acessar recursos da Internet

Quando o usurio ou um processo no cliente DirectAccess tenta acessar um recurso da Internet (como um
servidor Web da Internet), ocorre o seguinte:
1.
O servio Cliente DNS transmite o nome DNS para o recurso da Internet pela NRPT. No h
correspondncias. O servio Cliente DNS cria a consulta de nome DNS que endereada ao endereo
IP de um servidor DNS da Internet configurado pela interface e a transfere para a pilha TCP/IP para
envio.
2.
3.
Como o endereo IP de destino na consulta de nome DNS no corresponde s regras Segurana de

Conexo dos tneis para o servidor DirectAccess, o cliente DirectAccess envia a consulta de nome
DNS normalmente.
4.
O servidor DNS da Internet responde com o endereo IP do recurso da Internet.
5.
O aplicativo de usurio ou processo constri o primeiro pacote para enviar ao recurso da Internet.
6.
Como o endereo IP de destino na consulta de nome DNS no corresponde s regras Segurana de

Conexo dos tneis para o servidor DirectAccess, o cliente DirectAccess envia o pacote normalmente.
O trfego do recurso da Internet subsequente, que no corresponde a um destino nas regras Segurana
de Conexo do tnel da intranet da infraestrutura, enviado e recebido normalmente.
5-68
5-69
Configurao do DirectAccess
Para configurar o DirectAccess, voc precisa concluir as tarefas a seguir.
Tarefa 1: Configurar o DNS e o controlador de domnio do AD DS

Para preparar o ambiente de DNS e AD DS, preciso concluir as seguintes tarefas:
Crie um grupo de segurana para manter os computadores que sero clientes DirectAccess.
Crie um registro de host DNS para o Servidor do Local da Rede para clientes DirectAccess da intranet.
Crie um registro de host DNS para o servidor que hospeda a lista de certificados revogados na
intranet.
No seu servidor DNS pblico, crie um registro de host DNS para o host que fornecer acesso lista
de certificados revogados para clientes DirectAccess baseados na Internet.
Tarefa 2: Configurar o ambiente da PKI

Para preparar o ambiente da PKI, conclua as seguintes tarefas:
Adicione e configure a funo de servidor Autoridade de Certificao.
Configure as definies de distribuio da lista de certificados revogados.
Publique a CRL no local designado da intranet.
Crie o modelo de certificado e defina as configuraes de segurana no modelo para que os Usurios
Autenticados possam registrar o certificado.
Distribua os certificados de computador. Voc pode usar a Diretiva de Grupo para isso habilitando o
registro automtico.
Tarefa 3: Configurar os clientes DirectAccess e testar o acesso intranet

Para preparar os clientes DirectAccess e testar o ambiente do DirectAccess, conclua as seguintes tarefas:
Verifique se os clientes DirectAccess possuem o certificado de computador que exigido para

autenticao do DirectAccess; ele deve ter sido distribudo com a Diretiva de Grupo.
Verifique se o cliente pode se conectar aos recursos da intranet.
Tarefa 4: Configurar o servidor DirectAccess

Para configurar o servidor DirectAccess, conclua as seguintes tarefas:
Instale duas placas de interface de rede no servidor DirectAccess.
Instale a funo Servidor Web no servidor DirectAccess.
Crie um diretrio virtual para hospedar a CRL.
Publique a CRL no diretrio virtual.
Instale o recurso Console de Gerenciamento do DirectAccess.
Execute o assistente de Gerenciamento do DirectAccess para configurar o DirectAccess.
Tarefa 5: Verificar a funcionalidade do DirectAccess

Para verificar a funcionalidade do DirectAccess, mova os clientes DirectAccess para a Internet e verifique a
conectividade com os recursos da intranet.
5-70
Demonstrao: Como instalar e configurar o DirectAccess
Configurar o DNS e o controlador de domnio do AD DS
Configurar o ambiente da PKI
Configurar os clientes DirectAccess e testar o acesso intranet e Internet
Configurar o servidor DirectAccess
Verificar a funcionalidade do DirectAccess

Observao Para observar como executar essas tarefas, baixe e extraia o arquivo de
contedo complementar 10221B-ENU-Companion.zip no site
http://www.microsoft.com/brasil/certifique//en/us/training/companionmoc.aspx e exiba os
seguintes arquivos de mdia:
10221B_DirectAccessDemo_Task1.WMV
Para exibir a transcrio da demonstrao, consulte
10221B_DirectAccessDemo_Transcript_and_Steps.PDF.
5-71
Laboratrio B: Configurao e gerenciamento do

DirectAccess
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-SVR1, 10221B-NYC-EDGE1, 10221B-INET1 e 10221BNYC-CL1.
Voc administrador de servidores na Contoso, Ltd. Sua organizao consiste em uma grande fora de
trabalho mvel que carrega laptops para se manter conectada. Sua organizao deseja fornecer uma
soluo segura para proteger a transferncia de dados. Para isso, voc usar o DirectAccess para habilitar
a conectividade persistente, a administrao central e o gerenciamento de computadores remotos.
5-72
5-73
Configurar o AD DS e DNS para oferecer suporte ao DirectAccess.
Configurar o ambiente da PKI.
Configurar os clientes DirectAccess e testar o acesso Intranet e Internet.
Configurar o servidor DirectAccess.
Verificar a funcionalidade do DirectAccess.
Instrues do laboratrio
Devido complexidade das etapas envolvidas na habilitao e configurao do DirectAccess, indique as
etapas fornecidas na Resposta do Laboratrio.
Exerccio 1: Configurao do DNS e do controlador de domnio do AD DS

Resultados: ao fim deste exerccio, voc ter preparado o AD DS e o DNS para oferecer suporte
implantao do DirectAccess.
Exerccio 2: Configurao do ambiente da PKI

Resultados: ao fim deste exerccio, voc ter configurado a infraestrutura de chave pblica na Contoso
para oferecer suporte implantao do DirectAccess.
Exerccio 3: Configurao dos clientes DirectAccess e teste do acesso

intranet
Resultados: ao fim deste exerccio, voc ter testado o acesso Intranet.
Exerccio 4: Configurao do servidor DirectAccess

Resultados: ao fim deste exerccio, voc ter configurado com xito o NYC-EDGE1 como um servidor
DirectAccess.
Exerccio 5: Verificao da funcionalidade do DirectAccess

Resultados: ao fim deste exerccio, voc ter implementado, verificado e testado o DirectAccess com
xito.

etapas:
1.
2.
Reverter.
3.
4.
Repitas essas etapas para 10221B-NYC-SVR1, 10221B-NYC-EDGE1, 10221B- INET1 e

10221B-NYC-CL1.
Perguntas de reviso
1.
Sua organizao deseja implementar uma soluo econmica que interconecte duas filiais com suas
matrizes. De que maneira as VPNs teriam uma funo nesse cenrio?
2.
O gerente de TI na sua organizao est preocupado em abrir muitas portas de firewall para facilitar
o acesso remoto de usurios que esto trabalhando de casa por uma VPN. Como voc pode atender
s expectativas dos usurios remotos enquanto tranquiliza as preocupaes do gerente?
3.
Voc tem um servidor VPN com duas polticas de rede configuradas. A primeira tem uma condio
que permite acesso aos membros do grupo Contoso, ao qual todos da organizao pertencem, mas
possui uma restrio de Dia e horrio que limita o acesso apenas ao horrio de funcionamento do
escritrio. A segunda poltica tinha uma condio de associao do grupo Administradores do
Domnio e nenhuma restrio. Por que as conexes por administradores esto sendo negadas fora do
horrio do escritrio e o que pode ser feito em relao a isso?
Recursos do Windows Server 2008 R2 apresentados neste mdulo

Recurso do Windows
Server 2008 R2
Descrio
DirectAccess
O DirectAccess um recurso dos sistemas operacionais Windows 7 e Windows

Server 2008 R2 que fornece aos usurios uma conexo contnua rede privada
das respectivas organizaes de um computador com uma conexo Internet.
Reconexo VPN
Embora o DirectAccess possa substituir as conexes VPN como uma soluo de

acesso remoto preferencial para muitas organizaes, as organizaes menores
podem no atender aos requisitos de infraestrutura do DirectAccess.
Consequentemente, a Microsoft est melhorando a usabilidade da VPN no
Windows 7 com o recurso Reconexo VPN.
A Reconexo VPN usa a tecnologia IKEv2 para fornecer conectividade VPN
contnua e consistente, restabelecendo automaticamente uma VPN quando os
usurios perdem temporariamente suas conexes com a Internet. Isso
especialmente benfico para usurios que implementam solues de banda
larga sem fio.
5-74
Ferramentas
Ferramenta
Use para
Onde encontr-la
Services.msc
Gerenciar servios do Windows
Ferramentas Administrativas ou
inicie-a usando Executar
Gpedit.msc
Editar a Diretiva de Grupo Local
Inicie-a em Executar
Mmc.exe
Criao e gerenciamento do Console de

Gerenciamento
Inicie-a em Executar
Gpupdate.exe
Gerenciar aplicativos de poltica de

grupo
Execute-a na linha de comando
Napclcfg.msc
Gerenciar configuraes da imposio de Inicie-a em Executar

NAP do computador cliente
5-75
6-1
Mdulo 6
Instalao, configurao e soluo de problemas do servio
de funo Servidor de Diretivas de Rede
Contedo:
Lio 1: Instalao e configurao de um Servidor de Diretivas de Rede
6-3
Lio 2: Configurao de clientes e servidores RADIUS
6-10
Lio 3: Mtodos de autenticao do NPS
6-20
Lio 4: Monitoramento e soluo de problemas de um Servidor de

Diretivas de Rede
6-29
Laboratrio: Configurao e gerenciamento do Servidor de

Diretivas de Rede
6-38
Viso geral do mdulo
A funo NPS (Servidor de Diretivas de Rede) no Windows Server 2008 substitui o IAS (Servio de
Autenticao da Internet) das verses anteriores do Windows Server. O NPS fornece suporte ao protocolo
RADIUS e pode ser configurado como um proxy ou servidor RADIUS. Alm disso, o NPS fornece
funcionalidade essencial implementao da NAP (Proteo de Acesso Rede). Para oferecer suporte a
clientes remotos e implementar a NAP, importante saber como instalar e configurar o NPS, bem como
solucionar problemas relacionados.
Objetivos
Instalar e configurar o NPS.
Configurar clientes e servidores RADIUS.
Descrever os mtodos de autenticao do NPS.
Monitorar o NPS e solucionar problemas relacionados.
6-2
6-3
Lio 1
Instalao e configurao de um Servidor de Diretivas

de Rede
O NPS implementado como uma funo de servidor no Windows Server 2008 e Windows Server 2008
R2. Voc deve entender como instalar e configurar a funo NPS para oferecer suporte sua
infraestrutura RADIUS.
Objetivos
Descrever o servio de funo Servidor de Diretivas de Rede.
Instalar o Servidor de Diretivas de Rede.
Descrever as ferramentas usadas para gerenciar um Servidor de Diretivas de Rede.
Configurar definies gerais do NPS.
Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede
O que o Servidor de Polticas de Rede?
O NPS permite criar e impor diretivas de acesso rede em nvel organizacional, para fins de integridade
do cliente, autenticao e autorizao de solicitao de conexo. Voc tambm pode usar o NPS como
um proxy RADIUS para encaminhar solicitaes de conexo ao NPS ou a outros servidores RADIUS
configurados nos grupos de servidores RADIUS remotos.
O NPS permite configurar e gerenciar de modo centralizado a autenticao de acesso rede, a
autorizao e as diretivas de integridade de cliente usando qualquer combinao das trs funes a
seguir:
Servidor RADIUS: o NPS realiza a autenticao, a autorizao e a contabilizao de conexes

centralizadas para conexes sem fio, de comutao de autenticao, bem como dial-up e VPN (rede
virtual privada). Ao usar o NPS como um servidor RADIUS, configure os servidores de acesso rede,
como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Configure tambm
as diretivas de rede que o NPS utiliza para autorizar as solicitaes de conexo, de modo que seja
possvel configurar a contabilizao RADIUS para que o NPS registre as informaes de
contabilizao em arquivos de log no disco rgido local ou em um banco de dados Microsoft SQL
Server.
O NPS a implementao Microsoft de um servidor RADIUS. Como um servidor RADIUS, o NPS
realiza a autenticao, a autorizao e a contabilizao de conexes centralizadas para vrios tipos de
acesso rede, incluindo sem fio, comutador de autenticao, acesso remoto por VPN ou dial-up e
conexes entre roteadores.
O NPS permite o uso de um conjunto heterogneo de equipamentos sem fio, de comutao, de
acesso remoto ou de VPN. Voc pode usar o NPS com o servio Roteamento e Acesso Remoto, que
est disponvel no Microsoft Windows 2000 e nas verses mais recentes do Windows Server.
Quando um servidor NPS for membro de um domnio AD DS (Servios de Domnio Active
Directory), ele usar este ltimo como seu banco de conta de usurio e fornecer logon nico; os
usurios usaro o mesmo conjunto de credenciais para controle de acesso rede (autenticando e
autorizando acesso a uma rede), da mesma forma que acessam recursos no domnio AD DS.
6-4
6-5
Os provedores de servios de Internet e as organizaes que mantm o acesso rede tm o desafio

cada vez maior de gerenciar todos os tipos de acesso rede em um nico ponto de administrao,
independentemente do tipo de equipamento de acesso rede utilizado. No padro RADIUS, h
suporte para essa funcionalidade nos ambientes homogneos e heterogneos. RADIUS um
protocolo de plataforma cliente-servidor, que permite que os equipamentos de acesso rede, usados
como clientes RADIUS, enviem solicitaes de autenticao e contabilizao para um servidor
RADIUS.
Um servidor RADIUS tem acesso s informaes da conta do usurio e pode verificar as credenciais
de autenticao do acesso rede. Se as credenciais do usurio forem autnticas e o RADIUS autorizar
a tentativa de conexo, o servidor RADIUS autorizar o acesso do usurio de acordo com as
condies especificadas e registrar a conexo de acesso rede em um log de contabilizao. O uso
do RADIUS permite que os dados da autenticao do usurio, da autorizao e da contabilizao de
acesso rede sejam coletados e mantidos em um local central, e no em cada servidor de acesso.
Proxy RADIUS: quando o NPS for utilizado como um proxy RADIUS, configure diretivas
de solicitao de conexo que indiquem quais solicitaes de conexo o servidor NPS encaminhar
para outros servidores RADIUS e os servidores RADIUS para os quais essas solicitaes sero
encaminhadas. Voc tambm pode configurar o NPS para encaminhar dados de contabilizao para
registro em log por um ou mais computadores em um grupo de servidores RADIUS remotos.
Como um proxy RADIUS, o NPS encaminha mensagens de autenticao e contabilizao para outros
servidores RADIUS. No NPS, h suporte para os padres IETF (Internet Engineering Task Force) para
RADIUS, descritos na RFC (Request for Comments) 2865 e 2866.
Com o NPS, sua organizao tambm pode terceirizar a infraestrutura de acesso remoto para um
provedor de servios, e ainda manter o controle sobre a autenticao do usurio, a autorizao e a
contabilizao.
Voc pode criar diferentes configuraes NPS para as seguintes solues:
Acesso sem fio
Acesso remoto rede dial-up ou VPN da organizao
Acesso terceirizado rede dial-up ou sem fio
Acesso Internet
Acesso autenticado aos recursos da extranet de parceiros de negcio
Servidor de diretivas NAP: Ao ser configurado como um servidor de diretivas NAP, o NPS avalia as
declaraes de integridade (SoHs) enviadas pelos computadores cliente com capacidade para NAP,
que tentam se conectar com a rede. O NPS tambm atua como um servidor RADIUS quando
configurado com a NAP, realizando a autenticao e autorizao de solicitaes de conexo.
possvel definir diretivas e configuraes NAP no NPS, inclusive SHVs (validadores da integridade do
sistema), diretiva de integridade e Grupos de Servidores de Atualizaes que permitem que os
computadores cliente atualizem as respectivas configuraes, de modo a se tornarem compatveis
com a diretiva de rede de sua organizao.
O Windows 7 e o Windows Server 2008 incluem a NAP, o que ajuda a proteger o acesso s redes
privadas, garantindo que os computadores cliente sejam configurados de acordo com as diretivas de
integridade da rede da organizao para que possam se conectar aos recursos da rede. Alm disso, a
NAP monitora a conformidade dos computadores cliente com a diretiva de integridade definida pelo
administrador, enquanto o computador estiver conectado rede. Os computadores incompatveis
podem ser atualizados automaticamente atravs do recurso de correo automtica da NAP, que os
torna compatveis com a diretiva de integridade para que obtenham xito na conexo com a rede.
Os administradores de sistema definem as diretivas de integridade da rede e geram essas diretivas em
componentes da NAP fornecidos pelo NPS, de acordo com a implantao da NAP, ou fornecidos por
terceiros.
As diretivas de integridade podem conter requisitos de software, de atualizao de segurana e as
definies das configuraes necessrias. Para impor as diretivas de integridade, a NAP inspeciona e
avalia a integridade dos computadores cliente, restringe o acesso rede quando os computadores
cliente so considerados problemticos, e os corrige para que obtenham o acesso total rede.
6-6
Demonstrao: Como instalar o Servidor de Diretivas de Rede
Instalar a funo NPS.
Registrar o NPS no AD DS.
6-7
Ferramentas usadas para gerenciar um Servidor de Polticas de Rede
Aps instalar a funo Servidor de Diretivas de Rede, voc pode abrir a ferramenta administrativa NPS no
menu Ferramentas Administrativas ou adicionar o snap-in para criar uma ferramenta personalizada
MMC (Console de Gerenciamento Microsoft). Voc tambm pode utilizar os comandos netsh para
gerenciar e configurar a funo NPS.
Estas ferramentas permitem que voc gerencie a funo de servidor Servios de Acesso e Diretiva de
Rede:
Snap-in do MMC do NPS: use o MMC do NPS para configurar um servidor RADIUS, um proxy
RADIUS ou uma tecnologia NAP.
Comandos netsh para NPS: Os comandos netsh para NPS consistem em um conjunto de comandos
que o equivalente completo de todas as definies de configurao disponveis por meio do snapin NPS MMC. Voc pode executar os comandos netsh manualmente no prompt do netsh ou nos
scripts do administrador.
Um exemplo do uso do netsh que, aps instalar e configurar o NPS, possvel salvar a configurao,
emitindo o comando netsh nps show config > path\file.txt. Salve a configurao NPS com esse
comando toda vez que fizer uma alterao.
6-8
Demonstrao: Como definir configuraes gerais do NPS
Configurar um servidor RADIUS para conexes VPN.
Salvar a configurao.
6-9
Lio 2
Configurao de clientes e servidores RADIUS
RADIUS um protocolo de autenticao padro do setor usado por muitos fornecedores para oferecer
suporte troca de informaes de autenticao entre elementos de uma soluo de acesso remoto.
importante que voc entenda como configurar o NPS, seja como servidor ou como proxy RADIUS, para
oferecer suporte s necessidades de autenticao remota da sua organizao.
Objetivos
Descrever o que um cliente RADIUS.
Descrever o que um proxy RADIUS.
Configurar um cliente RADIUS.
Descrever o uso de uma Diretiva de Solicitao de Conexo.
Descrever e configurar o processamento de solicitao de conexo para um ambiente de proxy

RADIUS.
Criar uma nova Diretiva de Solicitao de Conexo.
6-10
6-11
O que um cliente RADIUS?
um NAS (servidor de acesso rede) um dispositivo que fornece nveis de acesso a uma rede maior. Um
NAS que usa uma infraestrutura RADIUS tambm um cliente RADIUS, que origina solicitaes de
conexo e mensagens de contabilizao para um servidor RADIUS para autenticao, autorizao e
contabilizao.
Importante Os computadores cliente, como laptops sem fio e outros computadores que
executam sistemas operacionais cliente, no so clientes RADIUS. Os clientes RADIUS so
servidores de acesso rede incluindo pontos de acesso sem fio, comutadores de
autenticao 802.1X, servidores VPN e servidores de rede dial-up uma vez que utilizam o
protocolo RADIUS para se comunicar com os servidores RADIUS, como os servidores NPS.
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor de diretivas NAP,
configure os clientes RADIUS no NPS.
Exemplos de clientes RADIUS

Exemplos de servidores de acesso rede:
Servidores de acesso rede que oferecem conectividade de acesso remoto rede de uma empresa
ou Internet, como um computador com o sistema operacional Windows Server 2008 R2 e o servio
Roteamento e Acesso Remoto, que fornece servios tradicionais de rede dial-up ou de acesso remoto
VPN para a intranet de uma organizao.
Pontos de acesso sem fio que fornecem acesso camada fsica da rede de uma organizao usando
tecnologias de transmisso e recepo baseadas no padro sem fio.
Comutadores que fornecem acesso camada fsica da rede de uma organizao usando tecnologias
tradicionais de LAN (rede local), como a Ethernet.
Proxies RADIUS baseados no NPS que encaminham solicitaes de conexo para servidores RADIUS
que pertencem a um grupo de servidores remotos RADIUS configurado no proxy RADIUS ou em
outros proxies RADIUS.
O que um proxy RADIUS?
Voc pode usar o NPS como um proxy RADIUS para rotear mensagens do RADIUS entre clientes RADIUS
(servidores de acesso) e servidores RADIUS que executam a autenticao de usurio, a autorizao e a
contabilizao na tentativa de conexo.
Quando voc usa o NPS como um proxy RADIUS, o NPS um ponto de comutao e roteamento central
atravs do qual fluem as mensagens de contabilizao e acesso do RADIUS. O NPS registra informaes
em um log de contabilizao sobre as mensagens encaminhadas.
Voc pode usar o NPS como um proxy RADIUS quando:
Voc for um provedor de servios que oferece servios terceirizados de rede dial-up, VPN ou de
acesso rede sem fio para diversos clientes.
Seus servidores de acesso rede enviam solicitaes de conexo para o proxy RADIUS NPS. Com base
na parte do territrio do nome do usurio contida na solicitao de conexo, o proxy RADIUS NPS
encaminha a solicitao de conexo para um servidor RADIUS mantido pelo cliente, e pode
autenticar e autorizar a tentativa de conexo.
Voc deseja oferecer autenticao e autorizao de contas do usurio que no so membros do

domnio ao qual o servidor NPS pertence, ou de um domnio que possui uma relao de confiana
bidirecional com o domnio do membro do servidor NPS.
Isso abrange as contas existentes em domnios no confiveis, domnios com relao de confiana
unidirecional e outras florestas. Em vez de configurar os servidores de acesso para enviar as
respectivas solicitaes de conexo para um servidor RADIUS NPS, voc pode configur-los para
enviar essas solicitaes para um proxy RADIUS NPS. O proxy RADIUS NPS usa a parte do nome do
territrio do nome do usurio e encaminha a solicitao para um servidor NPS no domnio ou na
floresta corretos. As tentativas de conexo de contas do usurio em um domnio ou floresta podem
ser autenticadas para os servidores de acesso rede existentes em outro domnio ou floresta.
6-12
6-13
O NPS oferecer suporte para autenticao entre florestas, sem um proxy RADIUS, quando as duas
florestas contiverem apenas controladores de domnio que executam o Windows Server 2003
Standard Edition, Windows Server 2003 Enterprise Edition e o Windows Server 2003 Datacenter
Edition.
O nvel funcional de floresta deve ser o Windows Server 2003 e deve haver uma relao de confiana
bidirecional entre as florestas. Entretanto, se voc usar como mtodo de autenticao o EAP-TLS
(Extensible Authentication Protocol-Transport Level Security) com certificados, ser preciso utilizar um
proxy RADIUS para a autenticao entre as florestas formadas por domnios do Windows Server 2003.
Voc deseja executar autenticao e autorizao usando um banco de dados diferente de um banco
de dados da conta do Windows.
Nesse caso, o NPS encaminha as solicitaes de conexo correspondentes a um nome de territrio

especificado para um servidor RADIUS, que tem acesso a outro banco de dados de contas do usurio
e dados de autorizao. Exemplos de outros bancos de dados de usurios so os bancos de dados
NDS (Novell Directory Services) e SQL (Structured Query Language).
Voc desejar processar uma grande quantidade de solicitaes de conexo. Nesse caso, em vez de
configurar os clientes RADIUS para tentar equilibrar as respectivas solicitaes de conexo e
contabilizao entre vrios servidores RADIUS, configure-os para enviar suas solicitaes de conexo
e contabilizao para um proxy RADIUS NPS.
O proxy RADIUS NPS equilibra dinamicamente a carga das solicitaes de conexo e contabilizao
entre os diversos servidores RADIUS, alm de aumentar o processamento de grandes quantidades de
clientes e autenticaes RADIUS a cada segundo.
Voc desejar fornecer autenticao e autorizao RADIUS para provedores de servios terceirizados e
minimizar a configurao do firewall da intranet.
Existe um firewall de intranet entre sua rede de permetro (a rede existente entre a intranet e a
Internet) e a intranet. Ao colocar um servidor NPS em sua rede de permetro, o firewall existente
entre a rede de permetro e a intranet deve permitir o fluxo do trfego entre o servidor NPS e os
diversos controladores de domnio.
Ao substituir o servidor NPS por um proxy NPS, o firewall dever permitir que somente o trfego do
RADIUS flua entre o proxy NPS e um ou vrios servidores NPS dentro de sua intranet.
Demonstrao: Como configurar um cliente RADIUS
Configurar um cliente RADIUS.
6-14
6-15
O que uma poltica de solicitao de conexo?
Diretivas de solicitao de conexo so conjuntos de condies e configuraes que permitem que os

administradores de rede designem quais servidores RADIUS executaro a autenticao e a autorizao de
solicitaes de conexo que o servidor NPS recebe de clientes RADIUS. possvel configurar as diretivas
de solicitao de conexo para que designem os servidores RADIUS que sero usados para a
contabilizao RADIUS.
Importante Ao implantar a NAP usando mtodos de imposio VPN ou 802.1X com
autenticao PEAP, configure a autenticao PEAP na diretiva de solicitao de conexo,
mesmo que as solicitaes de conexes sejam processadas localmente.
Voc pode criar diversas diretivas de solicitao de conexo para que algumas mensagens de solicitao
RADIUS enviadas de clientes RADIUS sejam processadas localmente (o NPS um servidor RADIUS) e
outros tipos de mensagem sejam encaminhadas para outro servidor RADIUS (o NPS um proxy RADIUS).
Com diretivas de solicitao de conexo, voc pode usar o NPS como um servidor ou proxy RADIUS, de
acordo com diversos fatores, a saber:
A hora do dia e o dia da semana
O nome do territrio na solicitao de conexo
O tipo de conexo sendo solicitada
O endereo IP do cliente RADIUS
Condies
Condies de diretiva de solicitao de conexo so um ou mais atributos RADIUS comparados com os
atributos da mensagem Access-Request RADIUS recebida. Se existirem vrias condies, todas as
condies contidas na mensagem de solicitao de conexo e na diretiva de solicitao de conexo
devero combinar para que o NPS imponha a diretiva.
Configuraes
Configuraes de diretiva de solicitao de conexo so um conjunto de propriedades aplicadas a uma
mensagem RADIUS recebida. As configuraes so formadas pelos seguintes grupos de propriedades:
Autenticao
Contabilizao
Manipulao de atributos
Avanado
Diretiva padro de solicitao de conexo

Quando voc instala o NPS, criada uma diretiva padro de solicitao de conexo com as seguintes
condies:
A autenticao no configurada.
A contabilizao no configurada para encaminhar as informaes de contabilizao para um

grupo de servidores remotos RADIUS.
A manipulao de atributo no configurada com as regras que alteram os atributos nas solicitaes
de conexo encaminhadas.
A Solicitao de Encaminhamento configurada de modo que o servidor NPS local autentique e

autorize as solicitaes de conexo.
Os atributos avanados no so configurados.
A diretiva padro de solicitao de conexo utiliza o NPS como um servidor RADIUS. Para configurar um
servidor NPS para atuar como um proxy RADIUS, configure tambm um grupo de servidores remotos
RADIUS. Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de criao de
uma nova diretiva de solicitao de conexo com o Assistente de Nova Diretiva de Solicitao de
Conexo. possvel excluir a diretiva padro de solicitao de conexo ou garantir que essa diretiva
padro seja a ltima a ser processada.
Observao Se o NPS e o servio Roteamento e Acesso Remoto estiverem instalados no
mesmo computador, e esse servio estiver configurado para autenticao e contabilizao
do Windows, possvel que as solicitaes de autenticao e contabilizao do servio
Roteamento e Acesso Remoto sejam encaminhadas para um servidor RADIUS. Isso pode
ocorrer quando as solicitaes de autenticao e contabilizao do servio Roteamento e
Acesso Remoto atenderem a uma diretiva de solicitao de conexo configurada para
encaminh-las para um grupo de servidores remotos RADIUS.
6-16
6-17
Configurao do processamento de solicitao de conexo
A diretiva padro de solicitao de conexo usa o NPS como um servidor RADIUS e processa todas as
solicitaes de autenticao localmente.
Considerao sobre a configurao do processamento das solicitaes de conexo

Ao configurar o processamento das solicitaes de conexo, leve em considerao os seguintes pontos:
Para configurar um servidor NPS para atuar como um proxy RADIUS e encaminhar as solicitaes de
conexo para outros servidores NPS ou RADIUS, preciso configurar um grupo de servidores
remotos RADIUS e adicionar uma nova diretiva de solicitao de conexo que especifique as
condies e configuraes que devem ser atendidas pelas solicitaes de conexo.
Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de criao de
uma nova diretiva de solicitao de conexo com o Assistente de Nova Diretiva de Solicitao de
Conexo.
Para que o servidor NPS no atue como um servidor RADIUS e processe as solicitaes de conexo
localmente, exclua a diretiva padro de solicitao de conexo.
Se voc preferir que o servidor NPS atue duplamente como um servidor RADIUS (processando as
solicitaes de conexo localmente) e como um proxy RADIUS (encaminhando algumas solicitaes
de conexo para um grupo de servidores remotos RADIUS), adicione uma nova diretiva e certifiquese de que a diretiva padro de solicitao de conexo seja a ltima processada.
Portas para RADIUS e registro em log

Por padro, o NPS escuta o trfego RADIUS nas portas 1812, 1813, 1645 e 1646 para os protocolos IPv6 e
IPv4 em todos os adaptadores de rede instalados.
Observao Se voc desabilitar o IPv4 ou o IPv6 em um adaptador de rede, o NPS no
monitorar o trfego RADIUS para o protocolo desinstalado.
Os valores 1812 para autenticao e 1813 para contabilizao representam as portas RADIUS padro
definidas nas RFCs 2865 e 2866. No entanto, por padro, muitos servidores de acesso usam as portas 1645
para solicitaes de autenticao e 1646 para solicitaes de contabilizao. Ao determinar os nmeros
de porta a serem usados, certifique-se de que o NPS e o servidor de acesso estejam configurados com os
mesmos nmeros de porta.
Importante Se voc no usar os nmeros de porta RADIUS padro, ser necessrio
configurar as excees no firewall do computador local para permitir o trfego RADIUS nas
novas portas.
Configurao das informaes da porta UDP do NPS

Voc pode usar o procedimento a seguir para configurar as portas usadas pelo NPS para o trfego de
autenticao e contabilizao do RADIUS.
computador local.
Para configurar as informaes da porta UDP do NPS por meio da interface do Windows:
1.
Abra o console do NPS.
2.
Clique com o boto direito do mouse em Servidor de Diretivas de Rede e clique em Propriedades.
3.
Clique na guia Portas e verifique as configuraes das portas. Se as portas UDP de autenticao e
contabilizao RADIUS variarem dos valores padro fornecidos (1812 e 1645 para autenticao, e
1813 e 1646 para contabilizao), digite as configuraes da porta em Autenticao e Contabilizao.
Observao Para usar vrias configuraes de porta em solicitaes de autenticao ou
contabilizao, separe os nmeros das portas com vrgulas.
6-18
6-19
Demonstrao: Como criar uma nova Diretiva de Solicitao de Conexo
Criar uma diretiva de solicitao de conexo VPN.
Lio 3
Mtodos de autenticao do NPS
Quando os usurios tentam se conectar com sua rede atravs de servidores de acesso rede (tambm
conhecidos como clientes RADIUS), como pontos de acesso sem fio, comutadores de autenticao 802.1X,
servidores de rede dial-up e servidores VPN, o NPS autentica e autoriza a solicitao de conexo antes de
permitir ou negar o acesso.
Como a autenticao o processo de verificar a identidade do usurio ou do computador que est
tentando se conectar rede, o NPS deve comprovar a identidade do usurio ou do computador na forma
de credenciais.
Alguns mtodos de autenticao implementam o uso de credenciais baseadas em senha. Por exemplo, o
protocolo MS-CHAP exige que os usurios digitem um nome de usurio e uma senha. Em seguida, o
servidor de acesso rede transfere essas credenciais para o servidor NPS, que as compara com as entradas
contidas no banco de dados de contas de usurio.
Outros mtodos de autenticao implementam o uso de credenciais baseadas em certificados do usurio,
do computador cliente, do servidor NPS ou outra combinao. Os mtodos de autenticao baseados em
certificados fornecem alta segurana e so mais recomendveis do que os mtodos de autenticao
baseados em senha.
Ao implantar o NPS, especifique o tipo necessrio de mtodo de autenticao para acessar a rede.
Objetivos
Descrever os mtodos de autenticao baseados em senha para um servidor NPS.
Descrever como os certificados so usados para fornecer autenticao a clientes de rede.
Descrever os tipos de certificados que so necessrios para vrios mtodos de autenticao.
Descrever como implantar certificados para PEAP e EAP.
6-20
6-21
Mtodos de autenticao baseados em senha
Cada mtodo de autenticao tem vantagens e desvantagens em termos de segurana, usabilidade e

abrangncia do suporte. No entanto, mtodos de autenticao baseados em senha no garantem
segurana mxima e no so recomendados. recomendvel usar um mtodo de autenticao baseado
em certificado para o acesso rede para todos os mtodos que ofeream suporte ao uso de certificado.
Isso se constata principalmente nas conexes sem fio, para as quais recomendvel o uso do PEAP-MSCHAP v2 ou PEAP-TLS.
O mtodo de autenticao necessrio determinado pela configurao do servidor de acesso rede,
pelo computador cliente e pela diretiva de rede no servidor NPS. Consulte a documentao do servidor
de acesso para conhecer os mtodos de autenticao compatveis.
possvel configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode configurar
os servidores de acesso rede, conhecidos tambm como clientes RADIUS, para tentar negociar uma
conexo com os computadores cliente, solicitando o uso do protocolo mais seguro em primeiro lugar, e
depois os mais seguros na ordem decrescente, e assim por diante, at o menos seguro. Por exemplo, o
servio Roteamento e Acesso Remoto tenta negociar uma conexo usando primeiramente o protocolo
EAP, depois o MS-CHAP v2, o MS-CHAP, o CHAP, o SPAP e o PAP. Quando o protocolo EAP escolhido
como mtodo de autenticao, ocorre uma negociao do tipo EAP entre o cliente de acesso e o servidor
NPS.
MS-CHAP verso 2
O MS-CHAP v2 fornece uma segurana mais forte para as conexes de acesso rede, do que o MS-CHAP,
seu antecessor.
MS-CHAP
MS-CHAP, tambm conhecido como MS-CHAP verso 1, um protocolo de autenticao irreversvel por
senha criptografada.
O MS-CHAP v2 fornece uma segurana mais forte do que o MS-CHAP para as conexes de acesso rede.
Considere o uso do MS-CHAP v2 em vez do MS-CHAP.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta.
PAP
O PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro. Em geral,
esse protocolo negociado se o cliente de acesso e o servidor de acesso rede no puderem negociar
um mtodo de autenticao mais seguro.
Acesso no autenticado
Com o acesso no autenticado, as credenciais do usurio (um nome de usurio e senha) no so
necessrias. Embora haja algumas situaes em que o acesso no autenticado seja til, na maioria das
vezes, no recomendvel implantar esse tipo de acesso na rede de sua organizao.
6-22
Uso de certificados para autenticao
6-23
Certificados so documentos digitais emitidos pelas autoridades de certificao, como AD CS (Servios de

Certificados do Active Directory) ou a autoridade de certificao pblica da VeriSign. Os certificados
podem ser usados para vrios fins, como a assinatura de cdigo e a proteo da comunicao por email.
No entanto, com o NPS, voc usa certificados para autenticao do acesso rede, pois eles garantem
segurana mxima para a autenticao de usurios e computadores, e tambm eliminam a necessidade
de mtodos de autenticao baseados em senha, que so menos seguros.
Os servidores NPS utilizam os protocolos EAP-TLS e PEAP para fazer a autenticao baseada em
certificado para diversos tipos de acesso rede, como as conexes de rede VPN e sem fio.
Mtodos de autenticao
Dois mtodos de autenticao, quando voc os configura com os tipos de autenticao baseada em
certificado, usam certificados: EAP e PEAP. Com o EAP, possvel configurar o tipo de autenticao TLS
(EAP-TLS), e com o PEAP, os tipos de autenticao TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-CHAP v2).
Esses mtodos de autenticao sempre utilizam certificados para a autenticao do servidor. De acordo
com o tipo de autenticao configurado no mtodo de autenticao, voc tambm pode usar certificados
para a autenticao de usurios e de computadores cliente.
Observao O uso de certificados para autenticao da conexo VPN a forma mais
segura de autenticao disponvel no Windows Server 2008 R2. Voc deve usar certificados
para autenticao IPsec em conexes VPN que sejam baseadas no protocolo L2TP/IPsec. As
conexes PPTP no exigem certificados, embora seja possvel configur-las para usar
certificados para a autenticao de computadores quando voc utilizar o protocolo EAP-TLS
como mtodo de autenticao. Para os clientes de rede sem fio (dispositivos de
computao com adaptadores de rede sem fio, como um computador porttil ou o PDA
(assistente digital pessoal), recomendvel usar o PEAP com o EAP-TLS e cartes
inteligentes ou certificados para autenticao.
Implantao de certificados para uso com o NPS

Voc pode implantar certificados para serem utilizados com o NPS, instalando e configurando a funo
Servidor AD CS.
Autenticao mtua
Quando voc utilizar o EAP com um tipo forte de EAP (como o TLS com cartes inteligentes ou
certificados), tanto o cliente quanto o servidor usaro certificados para validar mutuamente suas
identificaes. Esse processo chamado de autenticao mtua. Os certificados devem atender a
requisitos especficos para que o servidor e o cliente os utilizem na autenticao mtua.
Um desses requisitos que o certificado esteja configurado com um ou mais propsitos nas extenses
EKU (Uso Estendido de Chave), relacionadas ao uso do certificado. Por exemplo, voc deve configurar um
certificado que seja utilizado para a autenticao de um cliente com a finalidade de Autenticao de
Cliente. Da mesma forma, voc deve configurar um certificado que seja utilizado para a autenticao de
um servidor com a finalidade de Autenticao de Servidor. Quando voc usa certificados para
autenticao, o autenticador examina o certificado do cliente e procura o identificador correto do objeto
finalidade nas extenses EKU. Por exemplo, o identificador do objeto da finalidade Autenticao do
Cliente 1.3.6.1.5.5.7.3.2. Quando voc utiliza um certificado para autenticao de computadores cliente,
esse identificador de objeto deve estar presente nas extenses EKU do certificado, caso contrrio, a
autenticao falhar.
Modelos de Certificado
Modelos de Certificado um snap-in do MMC que permite a personalizao dos certificados emitidos
pelo AD CS. As opes de personalizao abrangem o modo como os certificados sero emitidos e o que
contero, inclusive suas finalidades. Nos Modelos de Certificado, possvel usar um modelo padro, como
o modelo Computador, para definir o modelo que a autoridade de certificao usar para atribuir
certificados aos computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a
esse modelo nas extenses EKU. Por padro, o modelo Computador contm as finalidades Autenticao
de Cliente e Autenticao de Servidor nas extenses EKU.
O modelo de certificado criado pode conter qualquer finalidade para a qual voc o utilizar. Por exemplo,
se voc usar cartes inteligentes na autenticao, ser possvel incluir a finalidade Logon do Carto
Inteligente, alm da finalidade Autenticao de Cliente. Ao usar o NPS, voc pode configur-lo para
verificar as finalidades dos certificados antes de conceder autorizao para a rede. O NPS pode verificar
outras finalidades das EKUs e das Diretivas de Emisso (conhecidas tambm como Diretivas de
Certificados).
Observao Alguns softwares de autoridade de certificao no pertencentes Microsoft
podem conter uma finalidade denominada Todas, que representa todas as finalidades
possveis. Isso indicado por uma extenso EKU em branco (ou nula). Embora Todas possa
significar todas as finalidades possveis, no possvel substituir essa finalidade pela
finalidade Autenticao de Cliente, Autenticao de Servidor ou por qualquer outra
relacionada autenticao de acesso rede.
6-24
6-25
Certificados necessrios para os mtodos de autenticao do NPS
A tabela a seguir descreve os certificados que devem implantar com xito cada mtodo de autenticao
listado, baseado em certificado:
Certificado
Necessrio para EAP-TLS e

PEAP-TLS?
Necessrio para PEAPMS-CHAP v2?
Detalhes
Certificado de
autoridade de
certificao no
repositrio de
certificados de
Autoridades de
Certificao Raiz
Confiveis para o
Computador
Local e o Usurio
Atual
Sim. O certificado de
autoridade de certificao
registrado automaticamente
para os computadores
membro do domnio. Para os
computadores no
pertencentes ao domnio,
voc deve importar o
certificado manualmente no
repositrio de certificados.
Sim. Esse certificado

registrado
automaticamente para
os computadores
membro do domnio.
Para os computadores
no pertencentes ao
domnio, voc deve
importar o certificado
manualmente no
repositrio de
certificados.
Para o PEAP-MS-CHAP
v2, esse certificado
necessrio para a
autenticao mtua
entre o cliente e o
servidor.
Certificado de
computador
cliente no
repositrio de
certificados do
cliente
Sim. Os certificados de
computadores cliente so
necessrios, a menos que os
certificados de usurio sejam
distribudos em cartes
inteligentes. Os certificados
de cliente so registrados
automaticamente para os
computadores membro do
domnio. Para os
computadores no
pertencentes ao domnio,
voc deve importar
manualmente o certificado ou
obt-lo com a ferramenta de
registro na Web.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Se voc implantar
certificados de usurio
em cartes inteligentes,
os computadores cliente
no precisaro de
certificados de cliente.
(continuao)
Certificado
Necessrio para EAP-TLS e

PEAP-TLS?
Necessrio para PEAPMS-CHAP v2?
Detalhes
Certificado de
servidor no
repositrio de
certificados do
servidor NPS
Sim. possvel configurar o

AD CS para registrar
automaticamente os
certificados de servidor para
os membros do grupos de
servidores RAS e IAS no
Active Directory.
Sim. Alm de usar o AD

CS para certificados de
servidor, voc pode
comprar os certificados
de servidor em outras
autoridades de
certificao com as quais
j existe uma relao de
confiana com os
computadores cliente.
O servidor NPS envia o

certificado de servidor
para o computador
cliente. O computador
cliente usa o certificado
para autenticar o
servidor NPS.
Certificado de
usurio em um
carto
inteligente
No. Esse certificado s ser

necessrio se voc decidir
implantar cartes inteligentes
em vez de registrar
automaticamente os
certificados de computadores
cliente.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Para os protocolos EAPTLS e

PEAP-TLS, se voc no
registrar
automaticamente os
certificados de
computadores cliente,
sero necessrios os
certificados de usurio
em cartes inteligentes.
Importante A autenticao 802.1X do IEEE fornece acesso autenticado s redes 802.11

sem fio e s redes Ethernet com fio. O padro 802.1X compatvel com os tipos de EAP
seguros, como o TLS com cartes inteligentes ou certificados. Voc pode configurar o
802.1X com o EAP-TLS de vrias maneiras. Se voc configurar a opo Validar certificado do
servidor no cliente, o cliente autenticar o servidor atravs de seu certificado. A
autenticao de computadores cliente e de usurios acontece atravs dos certificados do
repositrio de certificados ou de um carto inteligente, fornecendo autenticao mtua.
Com os clientes de rede sem fio, use o PEAP-MS-CHAP v2 como mtodo de autenticao.
PEAP-MS-CHAP v2 um mtodo de autenticao de usurio, baseado em senha, que utiliza
o TLS com certificados de servidor. Durante a autenticao do PEAP-MS-CHAP v2, o
servidor NPS fornece ao cliente um certificado para validar sua identificao (se a opo
Validar certificado de servidor estiver configurada no cliente Windows 7). A autenticao de
computadores cliente e de usurios feita com senhas, o que reduz uma parte da
dificuldade da implantao de certificados para os computadores cliente de rede sem fio.
6-26
6-27
Implantao de certificados para PEAP e EAP
Todos os certificados que voc usa para autenticao do acesso rede com EAP-TLS e PEAP devem
atender aos requisitos dos certificados X.509 e funcionar para as conexes que usam SSL/TLS. Aps
atender a esse requisito mnimo, os certificados de cliente e de servidor tm outros requisitos.
Requisitos mnimos para certificados de servidor

Voc pode configurar os clientes para validar os certificados de servidor usando a opo Validar
certificado de servidor. Com o protocolo PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como mtodo de
autenticao, o cliente aceita a tentativa de autenticao do servidor quando o certificado atende aos
seguintes requisitos:
O Nome do requerente contm um valor. Se voc emitir um certificado com um Requerente em

branco para seu servidor NPS, o certificado no ficar disponvel para autenticar o servidor NPS.
O certificado de computador no servidor est vinculado a uma autoridade de certificao raiz

confivel e no reprovado em nenhuma das verificaes executadas pela CryptoAPI, especificadas
pelas diretivas de rede e acesso remoto.
O certificado de computador servidor NPS ou VPN configurado com a finalidade Autenticao de

Servidor nas extenses EKU (o identificador de objeto Autenticao de Servidor 1.3.6.1.5.5.7.3.1).
O certificado de servidor configurado com um valor de algoritmo obrigatrio de RSA.
A extenso do Nome Alternativo para o Requerente (SubjectAltName), se utilizada, deve conter o

nome FQDN do servidor.
Com o PEAP e o EAP-TLS, os servidores NPS exibem uma lista de todos os certificados instalados no
repositrio de certificados de computador, com exceo de:
Certificados que no contm a finalidade Autenticao de Servidor nas extenses EKU
Certificados que no contm um nome de requerente
Certificados baseados no Registro e em logon de cartes inteligentes
Requisitos mnimos para certificados de cliente

Com o EAP-TLS ou o PEAP-TLS, o servidor aceita a tentativa de autenticao do cliente quando o
certificado atende aos seguintes requisitos:
Uma autoridade de certificao corporativa emitiu o certificado de cliente ou ele foi mapeado para
uma conta de usurio ou de computador do Active Directory.
O certificado de usurio ou de computador no cliente est vinculado a uma autoridade de

certificao raiz confivel; inclui a finalidade Autenticao de Cliente nas extenses EKU
(o identificador de objeto da Autenticao de Cliente 1.3.6.1.5.5.7.3.2); e no reprovado nas
verificaes executadas pela CryptoAPI, especificadas pelas diretivas de acesso remoto ou de rede,
nem nas verificaes de identificador de objeto Certificado especificadas pelas diretivas de rede NPS.
O cliente 802.1X no usa os certificados baseados no registro, que so certificados de logon por
carto inteligente ou protegidos por senha.
Para os certificados de usurio, a extenso do Nome alternativo para o requerente (SubjectAltName)

no certificado contm o Nome UPN (Nome Principal do Usurio).
Para os certificados de computador, a extenso do Nome alternativo para o requerente

(SubjectAltName) no certificado deve conter o FQDN (Nome de Domnio Totalmente Qualificado) do
cliente, tambm conhecido como nome DNS.
Com o PEAP-TLS e o EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in
de Certificados, com exceo de:
Clientes de rede sem fio que no exibem os certificados baseados em registro e de logon por cartes
inteligentes.
Clientes de rede sem fio e de VPN que no exibem os certificados protegidos por senha.
Certificados que no contm a finalidade Autenticao de Cliente nas extenses EKU.
6-28
Lio 4
Monitoramento e soluo de problemas de um Servidor

6-29
Para monitorar o NPS, voc pode configurar e usar o registro em log de eventos, bem como as
solicitaes de autenticao e contabilizao. O log de eventos permite que voc registre eventos do NPS
nos logs de eventos do sistema e de segurana. Voc pode usar o log de solicitaes para fins de
cobrana e anlise de conexo. As informaes que os arquivos de log coletam so teis para solucionar
problemas de tentativas de conexo para investigao de segurana.
Objetivos
Descrever os mtodos de monitoramento do NPS.
Descrever como configurar as propriedades do arquivo de log.
Descrever como configurar o log do SQL Server no NPS.
Descrever como configurar a gravao de eventos do NPS no Visualizador de Eventos.
Mtodos usados para monitorar o NPS
Os dois tipos de contabilizao, ou log, que voc pode usar para monitorar o NPS so:
Log de eventos para NPS: voc pode usar o log de eventos para registrar eventos do NPS nos logs
de eventos do sistema e de segurana. Ele usado principalmente para auditorias e soluo de
problemas de tentativas de conexo.
Log das solicitaes de autenticao e contabilizao do usurio: voc pode registrar as

solicitaes de autenticao e contabilizao em arquivos de log em formato de texto ou de banco
de dados, ou pode registrar em log um procedimento armazenado em um banco de dados SQL
Server. Use o log de solicitaes principalmente para fins de cobrana e anlise de conexes, e como
ferramenta de investigao de segurana, j que ele permite que voc identifique atividades de
invasores.
Para utilizar o log do NPS da forma mais eficaz:
Ative o log (inicialmente) para registros de autenticao e contabilizao. Faa essas selees aps
determinar o que apropriado para seu ambiente.
Certifique-se de configurar o log de eventos com capacidade suficiente para manter os logs.
Faa backup de todos os arquivos de log regularmente, pois eles no podero ser recriados se forem
danificados ou excludos.
Use o atributo RADIUS Class para controlar o uso e para simplificar a identificao do departamento
ou usurio a ser cobrado pelo uso. Embora o atributo Class, que gerado automaticamente, seja
exclusivo para cada solicitao, pode haver registros duplicados nos casos em que a resposta ao
servidor de acesso perdida e a solicitao enviada novamente. Pode ser necessrio excluir as
solicitaes duplicadas dos seus logs para controlar o uso mais precisamente.
6-30
6-31
Para fornecer failover e redundncia com o log do SQL Server, coloque dois computadores com SQL
Server em sub-redes diferentes. Use o Assistente para Criar Publicao do SQL Server para configurar
a replicao do banco de dados entre os dois servidores. Para obter mais informaes, consulte a
documentao do SQL Server.
Observao Para interpretar dados registrados em log, exiba as informaes no site da
Microsoft TechNet: http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409 (em
ingls).
Log de contabilizao do NPS
atualizaes de status peridicas. Voc pode usar este procedimento para configurar os arquivos de log
no local no qual deseja armazenar os dados de contabilizao.
Consideraes sobre a configurao de contabilizao do NPS

A lista a seguir fornece mais informaes sobre a configurao da contabilizao do NPS:
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o NPS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
como \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando usar pipes nomeados.
Para criar o diretrio do arquivo de log, use variveis de ambiente do sistema (em vez de variveis do
usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar o caminho a
seguir usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
A alterao do formato do arquivo de log no cria um novo log. Se os formatos dos arquivos de log
forem alterados, o arquivo que estiver ativo no momento da alterao conter uma mistura dos dois
formatos (os registros no incio do log tero o formato anterior e os registros no final do log tero o
novo formato).
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes de contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC (Conveno de Nomenclatura
Universal), como \\MeuServidorDeLog\CompartilhamentoDeLog.
6-32
6-33
Se a contabilizao RADIUS falhar devido a um disco rgido cheio ou por outros motivos, o NPS no
Windows Server 2008, e por padro, no Windows Server R2, interromper o processamento de
solicitaes de conexo, o que impedir que os usurios acessem os recursos da rede.
O NPS permite que voc se conecte a um banco de dados do SQL Server alm de, ou em vez de, se
conectar a um arquivo local.
Observao Se voc no fornecer uma instruo de caminho completo no Diretrio do
Arquivo de Log, o caminho padro ser usado. Por exemplo, se voc digitar NPSLogFile no
Diretrio do Arquivo de Log, o arquivo ficar localizado em
%systemroot%\System32\NPSLogFile.
Configurao das propriedades do arquivo de log

Para configurar as propriedades do arquivo de log usando a interface do Windows, execute as seguintes
tarefas:
1.
2.
3.
No painel de detalhes, em Propriedades do Arquivo de Log, clique em Alterar Propriedades do

Arquivo de Log. A caixa de dilogo Propriedades do Arquivo Local aberta.
4.
Na guia Arquivo de Log, no Diretrio, digite o local onde deseja armazenar os arquivos de log do
NPS. O local padro a pasta systemroot\System32\LogFiles.
5.
Em Formato, selecione dentre as opes Compatvel com DTS, ODBC (Herdado) e IAS (Herdado).
6.
Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
7.
Para uma atividade de log e um volume de transaes intensos, clique em Diariamente.
Para uma atividade de log e um volume de transaes menos intensos, clique em

Semanalmente ou Mensalmente.
Para armazenar todas as transaes em um arquivo de log, clique em Nunca (tamanho de

arquivo ilimitado).
Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir
este tamanho e digite o tamanho do arquivo que servir de base para a criao do novo log. O
tamanho padro 10 MB.
Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
computador local.
Configurao do log do SQL Server
atualizaes de status peridicas. Voc pode adotar esse procedimento para configurar as propriedades
de log e a conexo com o servidor (que executa o SQL Server) que armazena os dados de contabilizao.
O banco de dados do SQL Server pode ficar no computador local ou em um servidor remoto.
Observao O NPS formata dados de contabilizao como um documento XML que
enviado para o procedimento armazenado report_event no banco de dados do SQL Server
designado no NPS. Para que o log do SQL Server funcione corretamente, necessrio ter
um procedimento armazenado chamado report_event no banco de dados do SQL Server
que possa receber e analisar documentos XML do NPS.
Configurao do log do SQL Server no NPS

Para configurar o log do SQL Server no NPS usando a interface do Windows, execute as seguintes tarefas:
1.
2.
3.
No painel de detalhes, em Propriedades do Log do SQL Server, clique em Alterar Propriedades do

Log do SQL Server. A caixa de dilogo Log do SQL Server aberta.
4.
Em Registrar no log as seguintes informaes, selecione as informaes que deseja registrar:
Para registrar todas as solicitaes de contabilizao, clique em Solicitaes de contabilizao.
Para registrar em log todas as solicitaes de autenticao, selecione Solicitaes de

autenticao.
Para registrar em log o status peridico, como solicitaes de contabilizao intermedirias,

selecione Status de contabilizao peridico.
6-34
6-35
Para registrar em log o status peridico, como solicitaes de autenticao intermedirias,

selecione Status de autenticao peridico.
5.
Para configurar o nmero de sesses simultneas que voc deseja permitir entre o servidor NPS e o
banco de dados do SQL Server, digite um nmero em Nmero mximo de sesses simultneas.
6.
Para configurar a fonte de dados do SQL Server, clique em Configurar. A caixa de dilogo
Propriedades do vnculo de dados aberta. Na guia Conexo, especifique o seguinte:
7.
Para especificar o nome do servidor no qual o banco de dados foi armazenado, digite ou
selecione um nome em Selecione ou digite um nome de servidor.
Para especificar o mtodo de autenticao com o qual deseja fazer logon no servidor, clique em
Usar segurana integrada do Windows NT. Tambm possvel clicar em Usar uma senha e
um nome de usurio especficos e digitar credenciais em Nome do usurio e Senha.
Para permitir uma senha em branco, selecione Senha em branco.
Para armazenar a senha, selecione Permitir salvar senha.
Para especificar o banco de dados que dever ser conectado no computador que executa o SQL
Server, clique em Selecionar o banco de dados no servidor e selecione um nome de banco de
dados na lista.
Para testar a conexo entre o servidor NPS e o computador que executa o SQL Server, clique em
Testar Conexo.
computador local.
Configurao da gravao de eventos do NPS no Visualizador de Eventos
Voc pode configurar o log de eventos do NPS para registrar eventos de sucesso e falha de solicitaes
de conexo no log do sistema Visualizador de Eventos.
Configurao do log de eventos do NPS

Para configurar o log de eventos do NPS usando a interface do Windows, execute as seguintes tarefas:
1.
Abra o snap-in do NPS (Servidor de Diretivas de Rede).
2.
Clique com o boto direito do mouse em NPS (Local) e clique em Propriedades.
3.
Na guia Geral, selecione cada uma das opes a seguir, conforme necessidade, e clique em OK.
Solicitaes de autenticao rejeitadas
Solicitaes de autenticao bem-sucedidas

Observao Para concluir este procedimento, voc deve ser membro do grupo
Administradores do Domnio ou do grupo Administradores de Empresa.
Usando os logs de eventos no Visualizador de Eventos, voc pode monitorar os erros do NPS e outros
eventos que o NPS tenha sido configurado para registrar.
Por padro, o NPS registra eventos de falha na solicitao de conexo nos logs de eventos de Sistema e
Segurana. Os eventos de falha na solicitao de conexo consistem em solicitaes que o NPS rejeita ou
descarta. Outros eventos de autenticao do NPS so registrados no log do sistema do Visualizar de
Eventos na forma de configuraes que voc especifica no snap-in NPS. Portanto, o log de segurana do
Visualizador de Eventos pode registrar alguns eventos que contm dados confidenciais.
6-36
6-37
Eventos de falha na solicitao de conexo
Embora o NPS registre eventos de falha da solicitao de conexo por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log. O NPS rejeita ou ignora solicitaes
de conexo por diversos motivos, que incluem:
A mensagem do RADIUS no formatada de acordo com as RFCs 2865 ou 2866.
O cliente RADIUS desconhecido.
O cliente RADIUS possui vrios endereos IP e envia a solicitao atravs de um endereo diferente
do endereo definido no NPS.
O autenticador da mensagem (tambm conhecido como assinatura digital) que o cliente enviou no
vlido, pois o segredo compartilhado no vlido.
O NPS no pde localizar o domnio do nome do usurio.
O NPS no pde se conectar ao domnio do nome do usurio.
O NPS no pde acessar a conta do usurio no domnio.
Quando o NPS rejeita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao, o nome da diretiva de rede
correspondente, o motivo da rejeio e outras informaes.
Eventos de solicitao de conexo bem-sucedida

Embora o NPS registre eventos de solicitao de conexo bem-sucedida por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log.
Quando o NPS aceita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao e o nome da primeira diretiva de
rede correspondente.
Log de eventos de Schannel
O Schannel (canal seguro) um SSP (provedor de suporte de segurana) que oferece suporte para uma
srie de protocolos de segurana da Internet, como o SSL e o TLS. Esses protocolos fornecem autenticao
de identidade e comunicao segura e privada por meio de criptografia.
O registro em log de falhas de validao do certificado de cliente um evento do canal seguro e no est
habilitado no servidor NPS por padro. Voc pode habilitar eventos adicionais do canal seguro alterando
o seguinte valor da chave do Registro de 1 (tipo REG_DWORD, dados 0x00000001) para 3 (tipo
REG_DWORD, dados 0x00000003).
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogg
ing
Laboratrio: Configurao e gerenciamento do Servidor

1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-SVR1 e 10221B-NYC-CL1.
6-38
6-39
A Contoso Ltd. est expandindo sua soluo de acesso remoto para todos os funcionrios da filial. Isso
exigir vrios servidores de Roteamento e Acesso Remoto localizados em diferentes pontos para fornecer
conectividade aos funcionrios. Voc dever usar o RADIUS para centralizar a autenticao e a
contabilizao para a soluo de acesso remoto. Voc recebeu a tarefa de instalar e configurar o Servidor
de Polticas de Rede em uma infraestrutura existente para ser usado para NAP, acesso com fio e sem fio,
RADIUS e proxy RADIUS.
Instalar e configurar o servio de funo Servidor de Polticas de Rede
Configurar um cliente RADIUS
Configurar o registro automtico do certificado
Configurar e testar uma VPN
Exerccio 1: Instalao e configurao do servio de funo Servidor de

Diretivas de Rede
Cenrio
Nesse exerccio, voc instalar a funo Servidor de Diretivas de Rede para habilitar o RADIUS no
computador NYC-DC1.
1.
Instalar a funo Servios de Acesso e Diretiva de Rede.
2.
Registrar o NPS no AD DS.
3.
Configurar o NYC-DC1 como um servidor RADIUS para conexes VPN.
Tarefa 1: Instalar a funo Servios de Acesso e Diretiva de Rede

1.
Alterne para NYC-DC1 e abra o Gerenciador de Servidores.
2.
Adicione a funo Servios de Acesso e Poltica de Rede:
3.
Selecione apenas o servio de funo Servidor de Diretivas Rede.
Tarefa 2: Registrar o NPS no AD DS

1.
Abra o console do Servidor de Diretivas de Rede.
2.
Registre o servidor local no AD DS.
3.
No feche o console.
Tarefa 3: Configurar o NYC-DC1 como um servidor RADIUS para conexes VPN

1.
2.
Configure o NYC-DC1 como um servidor RADIUS usando a ferramenta de gerenciamento Servidor de

Diretivas de Rede. Na ferramenta de gerenciamento Servidor de Diretivas de Rede, no painel de
detalhes Introduo, abra a lista suspensa em Configurao Padro e clique em Servidor RADIUS
para Conexes Dial-Up ou VPN. Use os detalhes a seguir para concluir o processo:
Servidor RADIUS para Conexes Dial-Up ou VPN = Configurar VPN ou Dial-Up
Tipo: Conexes de VPN (Rede Virtual Privada)
Nome: padro
Adicione um cliente RADIUS:
Nome Clientes: NYC-EDGE1
Segredo compartilhado: Pa$$w0rd
Mtodos de autenticao: Autenticao Criptografada da Microsoft verso 2 (MSCHAPv2)
Configuraes de criptografia: Apenas a mais forte
Feche o console.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-DC1 como um servidor RADIUS
instalando e configurando a funo Servidor NPS.
6-40
Exerccio 2: Configurao de um cliente RADIUS

Cenrio
Nesse exerccio, voc ir configurar o NYC-EDGE1 como um cliente RADIUS e um servidor VPN.
1.
Instalar os servios Roteamento e Acesso Remoto em NYC-EDGE1.
2.
Configurar o NYC-EDGE1 como servidor VPN.
Tarefa 1: Instalar os servios Roteamento e Acesso Remoto em NYC-EDGE1

1.
Alterne para o servidor NYC-EDGE1.
2.
Abra o Gerenciador de Servidores e instale a funo Servios de Acesso e Diretiva de Rede:
3.
Servios de funo: Servios Roteamento e Acesso Remoto
Tarefa 2: Configurar o NYC-EDGE1 como um servidor VPN
6-41
1.
Em NYC-EDGE1, abra o Roteamento e acesso remoto.
2.
No painel de lista, selecione e clique com o boto direito do mouse em NYC-EDGE1 (Local) e clique
3.
Use as definies a seguir para configurar o servio:

a.
b.
c.
d.
e.
f.
g.
Na pgina Configurao, aceite os padres.

Na pgina Acesso remoto, marque a caixa de seleo VPN.
Na pgina Conexo VPN, selecione a interface de rede com o Endereo IP de 131.107.0.2,
131.107.0.3.
Na pgina Atribuio de endereo IP, selecione a opo De um intervalo de endereos
especificado.
Na pgina Atribuio de interval de endereos, crie um pool de endereos com 75 entradas e
com um endereo inicial de 10.10.0.60.
Na pgina Gerenciando mltiplos servidores de acesso remoto, escolha Sim, configurar este
servidor para funcionar com um servidor RADIUS.
Servidor RADIUS principal: NYC-DC1
Segredo compartilhado: Pa$$w0rd
Aceite qualquer mensagem clicando em OK.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-EDGE1 como um servidor VPN.
Exerccio 3: Configurao de registro automtico de certificado

Cenrio
Nesse exerccio, voc habilitar o registro automtico de certificado e verificar se o certificado foi
implantado no NYC-CL1.
1.
Configurar o registro automtico com a diretiva de grupo.
Tarefa 1: Configurar o registro automtico com a diretiva de grupo

1.
2.
Abra o Gerenciamento de Diretivas de Grupo e a Diretiva de Domnio Padro para edio. Navegue
para Configurao do Computador > Diretivas > Configuraes do Windows > Configuraes de
Segurana > Diretivas de Chave Pblica > Configuraes da Solicitao de Certificado Automtica.
3.
Crie uma nova Solicitao de Certificado Automtica para o modelo de certificado Computador.
4.
5.
Alterne para NYC-CL1 e reinicie o computador.
6.
7.
Nome de usurio: Administrador
Senha: Pa$$w0rd
Domnio: Contoso
Verifique a presena de um certificado adequado no repositrio Computador\Pessoal em NYC-CL1.
Resultados: ao fim deste exerccio, voc ter definido as configuraes de certificado apropriadas para
sua soluo VPN.
6-42
Exerccio 4: Configurao e teste da VPN

Cenrio
6-43
Nesse exerccio, voc mover o NYC-CL1 para a rede pblica e depois ir criar e testar uma conexo VPN.
1.
Reconfigurar o computador NYC-CL1 na rede pblica.
2.
Criar e testar uma conexo VPN.
Tarefa 1: Reconfigurar o computador NYC-CL1 na rede pblica
Em NYC-CL1, configure as definies de endereo IP a seguir e clique em OK:
Endereo IP: 131.107.0.20

1.
2.
3.
Crie uma VPN com as seguintes configuraes:
Nome do Destino: VPN da Contoso
Modifique as configuraes padro da nova conexo VPN:
Tipo de VPN: Protocolo de Tnel de Camada 2 com IPsec (L2TP/IPsec)
Criptografia de dados: Criptografia de segurana mxima (desconectar se o servidor

recusar)
Conecte-se com as propriedades da nova VPN, como se segue:
Senha: Pa$$w0rd
Domnio: CONTOSO
Observao
4.
Desconecte a VPN e feche todas as janelas abertas.
Resultados: ao fim deste exerccio, voc ter verificado a soluo VPN.

etapas:
1.
2.
Reverter.
3.
4.
6-44
6-45
Reviso do mdulo e informaes complementares
Perguntas de reviso
1.
Por que necessrio registrar o servidor NPS no Active Directory?
2.
Como possvel usar os recursos de log do NPS mais eficazmente?
3.
O que mais deve ser considerado se voc optar por usar uma atribuio de porta no padro para o
trfego RADIUS?
Ferramentas
Ferramenta
Use para
Onde encontr-la
Servidor de
Polticas de Rede
Gerenciar e criar diretivas de rede
Servidor de Diretivas de Rede no

menu Ferramentas Administrativas
Ferramenta de
linha de comando
Netsh
Criar scripts administrativos para

configurar e gerenciar a funo
Em uma janela de comando, digite

netsh c nps para administrar de um
prompt de comando
Visualizador de
Eventos
Exibir informaes registradas em log

de eventos de aplicativos, do sistema e
da segurana
Visualizador de Eventos no menu

Ferramentas Administrativas
7-1
Mdulo 7
Implementao da Proteo de Acesso Rede
Contedo:
Lio 1: Viso geral da Proteo de Acesso Rede
7-3
Lio 2: Funcionamento da NAP
7-12
Lio 3: Configurao da NAP
7-20
Lio 4: Monitoramento e soluo de problemas da NAP
7-28
Laboratrio: Implementao da NAP em uma soluo de acesso remoto VPN
7-35
Viso geral do mdulo
Sua rede est to protegida quanto o computador menos seguro conectado a ela. Muitos programas e
ferramentas existem para ajudar voc a proteger os computadores conectados sua rede, como softwares
de deteco de malware ou antivrus; no entanto, se o software em alguns dos computadores no estiver
atualizado, ou pior, no estiver habilitado ou configurado corretamente, isso significa que eles esto
colocando a segurana em risco.
relativamente fcil manter configurados e atualizados os computadores que permanecem no ambiente
de trabalho e esto sempre conectados mesma rede. Os computadores que se conectam a redes
diferentes, especialmente redes no gerenciadas, no so to fceis de controlar; por exemplo, laptops
que se conectam a redes do cliente ou a pontos de acesso Wi-Fi pblicos. Alm disso, h o desafio dos
computadores no gerenciados que procuram se conectar remotamente sua rede, como computadores
domsticos de usurios.
A NAP (Proteo de Acesso Rede) permite criar polticas personalizadas de requisitos de integridade
para validar a integridade do computador antes de permitir o acesso ou a comunicao. A NAP tambm
atualiza automaticamente os computadores compatveis para garantir a conformidade contnua e limitar
o acesso de computadores incompatveis a uma rede restrita at que se tornem compatveis.
Objetivos
Descrever como a NAP pode ajudar a proteger sua rede.
Descrever os vrios processos de imposio da NAP.
Configurar a NAP.
Monitorar a NAP e solucionar problemas relacionados.
7-2
7-3
Lio 1
Viso geral da Proteo de Acesso Rede
A NAP uma plataforma de imposio de polticas incorporada aos sistemas operacionais Windows 7,
Windows Vista, Windows XP com Service Pack 3 (SP3), Windows Server 2008 e Windows Server 2008 R2.
A NAP permite proteger os ativos de rede com mais eficincia, impondo a conformidade com os
requisitos de integridade do sistema. A NAP fornece os componentes de software necessrios para ajudar
a garantir que os computadores conectados ou que se conectam sua rede possam ser gerenciados, de
modo que no se tornem um risco segurana da rede e a outros computadores conectados a ela.
Entender a funcionalidade e as limitaes da NAP ajudar voc a proteger sua rede contra os riscos
segurana impostos por computadores incompatveis.
Objetivos
Explicar como a Proteo de Acesso Rede pode ser usada para impor requisitos de integridade de
computador.
Descrever onde voc usaria uma Proteo de Acesso Rede.
Descrever os mtodos de imposio de NAP.
Descrever a arquitetura de uma infraestrutura de rede habilitada para NAP.
O que Proteo de Acesso Rede?
A NAP (Proteo de Acesso Rede) do Windows Server 2008, Windows Server 2008 R2, Windows 7 e
Windows Vista fornece componentes e uma API (interface de programao de aplicativos) que ajudam na
imposio da conformidade com as polticas de requisito de integridade da sua organizao para acesso
rede ou comunicao.
A NAP permite criar solues de validao dos computadores que se conectam s suas redes, alm de
fornecer as atualizaes necessrias ou acesso aos recursos de atualizao da integridade necessrios e
limitar o acesso ou a comunicao de computadores incompatveis.
Voc pode integrar os recursos de imposio da NAP com software de outros fornecedores ou com
programas personalizados. Voc pode personalizar a soluo de manuteno de integridade que os
desenvolvedores da sua organizao podem desenvolver e implantar, seja para monitorar a conformidade
com a poltica de integridade dos computadores que acessam a rede, para atualizar automaticamente os
computadores com atualizaes de software para que atendam aos requisitos da poltica de integridade
ou para limitar a uma rede restrita o acesso dos computadores que no atendem a esses requisitos.
importante lembrar que a NAP no protege uma rede contra usurios mal-intencionados. Em vez disso,
ela ajuda voc a manter automaticamente a integridade dos computadores em rede na sua organizao,
o que ajuda a manter a integridade geral da rede. Por exemplo, se um computador tiver todas as
configuraes e software exigidos pela poltica de integridade, ele estar compatvel e ter acesso
ilimitado rede. No entanto, a NAP no impede um usurio autorizado com um computador compatvel
de carregar um programa mal-intencionado na rede ou de empregar outro comportamento
inapropriado.
7-4
Aspectos da NAP
A NAP apresenta trs aspectos importantes e distintos:
7-5
Validao do estado de integridade: quando um computador tenta se conectar rede, o estado de

integridade do computador validado em relao s polticas de requisito de integridade definidas
pelo administrador. Voc tambm pode definir o que dever ser feito no caso de incompatibilidade
de um computador. Em um ambiente somente de monitoramento, todos os computadores tm seu
estado de integridade avaliado e o estado de conformidade de cada computador registrado para
anlise. Em um ambiente de acesso limitado, os computadores em conformidade com as polticas de
requisito de integridade tm acesso ilimitado rede. Os computadores fora de conformidade com as
polticas de requisito de integridade podem ter o acesso limitado a uma rede restrita.
Conformidade com a poltica de integridade: voc pode ajudar a garantir a conformidade com as
polticas de requisito de integridade, optando por atualizar os computadores incompatveis, de forma
automtica, com atualizaes de software necessrias ou com alteraes de configurao feitas por
meio de software de gerenciamento, como o Microsoft System Center Configuration Manager. Em
um ambiente somente de monitoramento, os computadores tero acesso rede antes de serem
atualizados com as atualizaes necessrias ou com alteraes de configurao. Em um ambiente de
acesso limitado, os computadores incompatveis tm acesso limitado at que as atualizaes e
alteraes de configurao sejam concludas. Em ambos os ambientes, os computadores em
conformidade com a NAP podem se tornar compatveis de forma automtica e voc pode definir
excees para computadores que no so compatveis com a NAP.
Acesso limitado: voc pode proteger suas redes limitando o acesso de computadores no
compatveis. Voc pode basear o acesso limitado rede em um perodo especfico ou nos recursos
que o computador incompatvel poder acessar. Nesse ltimo caso, voc define uma rede restrita que
contenha os recursos de atualizao de integridade, e o acesso limitado durar at o computador se
tornar compatvel. Tambm possvel configurar excees para que os computadores que no forem
compatveis com a NAP no tenham acesso limitado rede.
Cenrios de NAP
A NAP fornece uma soluo para os cenrios comuns descritos nesta seo. Dependendo das suas
necessidades, voc pode configurar uma soluo para atender a alguns ou a todos esses cenrios de rede.
Laptops em roaming
Portabilidade e flexibilidade so as duas principais vantagens do laptop, mas esses recursos tambm
apresentam uma ameaa integridade do sistema. Os usurios conectam seus laptops a outras redes com
frequncia. Enquanto os usurios esto fora da sua organizao, os respectivos laptops podem no
receber as atualizaes mais recentes de software ou as alteraes de configurao. Alm disso, a
exposio s redes sem proteo, como a Internet, pode representar para os laptops ameaas
relacionadas segurana. A NAP permite verificar o estado de qualquer laptop quando ele se reconecta
rede da organizao, seja por meio de uma VPN (rede virtual privada), por conexo do DirectAccess ou
pela conexo de rede do local de trabalho.
Computadores desktop
Embora os computadores desktop no sejam movidos com frequncia para fora da empresa, ainda assim,
eles podem representar uma ameaa sua rede. Para minimizar essa ameaa, voc deve manter esses
computadores com o software e as atualizaes mais recentes necessrios. Caso contrrio, esses
computadores podero ser infectados por meio de sites, emails, arquivos de pastas compartilhadas e
outros recursos de acesso pblico. A NAP permite automatizar as verificaes do estado de integridade
para verificar a conformidade de cada computador desktop com as polticas de requisito de integridade.
Voc pode verificar arquivos de log para determinar os computadores incompatveis. Alm disso, a
utilizao de um software de gerenciamento permite gerar relatrios e atualizar os computadores
incompatveis, automaticamente. Quando voc altera as polticas de requisito de integridade, os
computadores podem receber automaticamente as atualizaes mais recentes.
7-6
Laptops de visitantes
7-7
As organizaes geralmente precisam permitir que consultores, parceiros de negcios e convidados se

conectem s suas redes privadas. Os laptops que esses visitantes trazem para a sua organizao podem
no atender aos requisitos de integridade do sistema e podem apresentar riscos integridade. A NAP
permite determinar os laptops de visitantes que no forem compatveis e, nesse caso, limitar seu acesso a
redes restritas. Normalmente, voc no exige nem fornece atualizaes ou alteraes de configurao
para os laptops de visitantes. possvel configurar o acesso Internet dos laptops de visitantes, mas no
de outros computadores organizacionais que tm acesso limitado.
Computadores domsticos no gerenciados
Os computadores domsticos no gerenciados que no so membros do domnio Active Directory da

empresa podem se conectar a uma rede corporativa gerenciada por meio da conexo VPN. Esses
computadores apresentam mais um desafio, pois voc no pode acess-los fisicamente. A falta de acesso
fsico dificulta ainda mais a imposio da conformidade com os requisitos de integridade, como o uso de
software antivrus. No entanto, a NAP permite que voc verifique o estado de integridade de um
computador domstico toda vez que ele estabelece uma conexo VPN com a rede da empresa e limite o
acesso desse computador a uma rede restrita at que ele atenda aos requisitos de integridade do sistema.
Mtodos de imposio de NAP
Os componentes da infraestrutura de NAP, conhecidos como clientes de imposio e servidores de

imposio, exigem a validao do estado de integridade e impem acesso limitado rede aos
computadores incompatveis. O Windows 7, Windows Vista, Windows XP com SP3, Windows Server 2008
e Windows Server 2008 R2 incluem suporte NAP para os seguintes mtodos de comunicao ou acesso
rede:
Trfego protegido por IPsec: a imposio IPsec restringe a comunicao a computadores

compatveis, depois que eles tiverem se conectado com xito e obtido uma configurao vlida de
endereo IP. A imposio IPsec a forma mais forte de acesso ou comunicao limitados rede na
NAP.
Conexes de rede autenticadas pelo IEEE 802.1X: com a imposio IEEE 802.1X, um computador
deve ser compatvel para obter acesso ilimitado rede atravs de uma conexo de rede autenticada
por IEEE 802.1X, como a autenticao de uma rede de comutao Ethernet ou um ponto de acesso
sem fio IEEE 802.11.
Conexes VPN de acesso remoto: com a imposio VPN, o computador precisa ser compatvel para
obter acesso ilimitado rede por meio de uma conexo VPN de acesso remoto. Para computadores
no compatveis, o acesso rede limitado por um conjunto de filtros de pacote IP que o servidor
VPN aplica conexo VPN.
Conexes do DirectAccess: para conexes do DirectAccess, um computador precisa ser compatvel

para obter acesso ilimitado rede por meio de um servidor DirectAccess. Para computadores no
compatveis, o acesso rede limitado ao conjunto de computadores que foram definidos como
servidores de infraestrutura usando o tnel de infraestrutura. Os computadores compatveis podem
criar o tnel de intranet separado que fornece acesso ilimitado aos recursos da intranet. As conexes
do DirectAccess usam a imposio IPsec.
7-8
7-9
Configuraes de endereo DHCP: com a imposio DHCP, um computador precisa ser compatvel
para obter de um servidor DHCP uma configurao de endereo IPv4 com acesso ilimitado. No caso
de computadores incompatveis, o acesso rede restrito com uma configurao de endereo IPv4
que limita o acesso rede restrita.
Esses mtodos de comunicao ou acesso rede so conhecidos como mtodos de imposio de NAP.
Voc pode us-los separadamente ou juntos para limitar o acesso ou a comunicao de computadores
incompatveis. Um servidor que executa o NSP (Servidor de Diretivas de Rede) no Windows Server 2008, o
substituto do IAS (Servio de Autenticao da Internet) no Windows Server 2003, atua como um servidor
de poltica de integridade para todos esses mtodos de imposio de NAP.
Arquitetura da plataforma NAP
Os componentes de uma infraestrutura de rede habilitada para NAP so descritos na tabela a seguir.
Componentes
Descrio
7-10
Clientes NAP
Computadores que oferecem suporte plataforma NAP para comunicao

ou acesso rede com validao de integridade do sistema.
Pontos de imposio de
NAP
Computadores ou dispositivos de acesso rede que usam NAP ou que voc

pode usar com NAP para exigir a avaliao do estado de integridade de um
cliente NAP e que permitem a comunicao ou o acesso rede restrita. Os
pontos de imposio de NAP usam o NPS (Servidor de Diretivas de Rede) que
est atuando como um servidor de poltica de integridade da NAP para
avaliar: o estado da integridade de clientes NAP, se permitida a
comunicao ou o acesso rede e o conjunto de aes de correo que um
cliente NAP incompatvel deve executar.
Os pontos de imposio de NAP incluem o seguinte:
HRA: um computador que executa o Windows Server 2008 e o IIS
(Servios de Informaes da Internet) e obtm certificados de
integridade de uma autoridade de certificao para os computadores
compatveis.
Servidor VPN: um computador que executa o Windows Server 2008 e o
Roteamento e Acesso Remoto e que habilita conexes VPN de acesso
remoto da intranet por meio de acesso remoto.
Servidor DHCP: um computador que executa o Windows Server 2008 e
o servio Servidor DHCP e fornece configurao automtica de endereo
IPv4 aos clientes DHCP da intranet.
Dispositivos de acesso rede: Comutadores Ethernet ou pontos de
acesso sem fio que so compatveis com a autenticao IEEE 802.1X
(continuao)
Componentes
Descrio
7-11
Servidores de polticas
de integridade de NAP
So computadores que executam o Windows Server 2008 e o servio NPS;

armazenam polticas de requisito de integridade e fornecem a validao do
estado de integridade para a NAP. O NPS substitui o IAS (Servio de
Autenticao da Internet), bem como o proxy e servidor RADIUS fornecidos
pelo Windows Server 2003.
O NPS tambm funciona como um servidor AAA (autenticao, autorizao e
contabilizao) para acesso rede. Quando atua como um servidor AAA ou
um servidor de polticas de integridade de NAP, o NPS normalmente
executado em um servidor separado para a configurao centralizada do
acesso rede e das polticas de requisito de integridade. O servio NPS
tambm executado em pontos de imposio de NAP no Windows Server
2008 que no tm um cliente RADIUS interno, como um servidor DHCP ou
HRA. No entanto, nessas configuraes, o servio NPS age como um proxy
RADIUS para trocar mensagens RADIUS com um servidor de polticas de
integridade de NAP.
Servidores de requisitos
de integridade
So computadores que fornecem o estado de integridade atual do sistema

para os servidores de poltica de integridade de NAP. Um exemplo um
servidor de requisitos de integridade para um programa antivrus que procura
a verso mais recente do arquivo de assinatura do antivrus.
AD DS
Esse servio de diretrio do Windows armazena credenciais e propriedades

de contas, alm de configuraes da Diretiva de Grupo. Embora no seja
necessrio para a validao do estado de integridade, o Active Directory
exigido para comunicaes protegidas por IPsec, conexes autenticadas por
802.1X e conexes VPN de acesso remoto.
Rede restrita
uma rede lgica ou fsica separada que contm:

Servidores de atualizaes: computadores que contm recursos
de atualizao de integridade que os clientes NAP podem acessar
para corrigir seu estado de incompatibilidade. Os exemplos incluem
servidores de distribuio de antivrus e servidores de atualizao
de software.
Clientes NAP com acesso limitado: computadores que so colocados
na rede restrita quando eles no atendem s polticas de requisitos de
integridade.
Lio 2
Funcionamento da NAP
Quando um cliente tenta acessar ou comunicar-se com a rede, ele precisa apresentar sua conformidade
com a declarao de integridade ou a comprovao de integridade. Se o cliente no puder comprovar
que est em conformidade com os requisitos de integridade do sistema (por exemplo, ter o sistema
operacional mais recente e as atualizaes de antivrus instalados), o acesso ou a comunicao com a rede
poder ser limitado a uma rede restrita que contm recursos de servidor, at os problemas de
conformidade de integridade serem corrigidos. Depois que as atualizaes forem instaladas, o cliente
solicitar acesso rede ou tentar a comunicao novamente. Se houver compatibilidade, o cliente ter
acesso ilimitado rede ou a comunicao ser permitida.
Objetivos
Descrever o processo geral de imposio de NAP.
Discutir a imposio IPsec.
Descrever a imposio 802.1x.
Explicar a imposio de VPN.
Discutir a imposio DHCP.
7-12
Processos de imposio de NAP
Seja qual for o formulrio de imposio de NAP que voc selecionar, muitas das comunicaes entre
cliente e servidor so comuns. Os pontos a seguir resumem essas comunicaes.
Entre uma HRA (Autoridade de Registro de Integridade) e um cliente NAP
Dependendo do tipo de imposio selecionado, ocorre a seguinte comunicao:
Entre um cliente NAP e um dispositivo de acesso rede 802.1X
Entre um cliente NAP e um servidor VPN
Entre um cliente NAP e um servidor DHCP
Entre um cliente NAP e um servidor de atualizaes
Entre uma HRA e um servidor de poltica de integridade de NAP
Entre um dispositivo de acesso rede 802.1X e um servidor de poltica de integridade de NAP
Entre um servidor VPN e um servidor de poltica de integridade de NAP
Entre um servidor DHCP e um servidor de poltica de integridade de NAP
Entre um servidor de poltica de integridade de NAP e um servidor de requisitos de integridade
7-13
Imposio IPsec
Com a imposio IPsec, um computador deve ser compatvel para iniciar comunicaes com outros
computadores compatveis. Como a imposio IPsec est aproveitando o IPsec, voc pode definir os
requisitos para comunicaes protegidas com computadores compatveis usando um dos seguintes
parmetros:
Por endereo IP
Por TCP
Nmero da porta UDP
A imposio IPsec restringe a comunicao a computadores compatveis depois que eles tiverem se
conectado com xito e obtido uma configurao vlida de endereo IP. A imposio IPsec a forma mais
forte de acesso ou comunicao limitados rede na NAP.
Os componentes da imposio IPsec consistem em uma HRA que esteja executando o
Windows Server 2008 R2 e um cliente de imposio IPsec em um dos seguintes sistemas operacionais:
Windows 7
Windows Vista
Windows XP Service Pack 3
Windows Server 2008
Windows Server 2008 R2
A HRA obtm certificados X.509 para clientes NAP quando os clientes precisam provar que so
compatveis. Esses certificados de integridade so usados para autenticar clientes NAP quando eles
iniciam comunicaes protegidas por IPsec com outros clientes NAP em uma intranet.
7-14
7-15
A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec, removendo as tentativas
de comunicao enviadas por computadores que no podem negociar a proteo IPsec usando
certificados de integridade. Ao contrrio da imposio 802.1X e VPN, em que a imposio ocorre no
ponto de entrada da rede, cada computador executa a imposio IPsec. Devido possibilidade de
aproveitar as configuraes de poltica IPsec, a imposio de certificados de integridade pode ser
efetuada para todos os computadores de um domnio, computadores especficos de uma sub-rede, um
computador especfico, um conjunto especfico de portas TCP ou UDP, ou um conjunto de portas TCP ou
UDP em um computador especfico.
A imposio IPsec divide uma rede fsica em trs redes lgicas. Um computador pode ser membro de
uma nica rede lgica por vez. As redes lgicas so definidas em termos de quais computadores tm
certificados de integridade e quais precisam de autenticao IPsec com certificados de integridade para
receber comunicao. As redes lgicas permitem acesso limitado rede e correo, e fornecem aos
computadores compatveis um nvel de proteo contra computadores no compatveis.
A imposio IPsec define as seguintes redes lgicas:
Rede segura: o conjunto de computadores que tm certificados de integridade e exigem que as

tentativas de comunicao de entrada usem certificados de integridade na autenticao IPsec.
Em uma rede gerenciada, a maioria dos computadores servidor e cliente que so membros do
domnio Active Directory estariam na rede segura.
Rede de limite: o conjunto de computadores que tm certificados de integridade mas no exigem

que as tentativas de comunicao de entrada usem certificados de integridade na autenticao IPsec.
Os computadores na rede de limite devem estar acessveis rede inteira de computadores.
Rede restrita: o conjunto de computadores que no tm certificados de integridade que incluem

computadores cliente NAP incompatveis, convidados na rede ou computadores no compatveis
com NAP, como computadores que executam verses do Windows que no tm suporte para NAP,
ou computadores que usam Apple Macintosh ou UNIX.
Imposio 802.1X
Com a imposio 802.1X, um computador deve ser compatvel para obter acesso ilimitado rede atravs
de uma conexo de rede autenticada com 802.1X, como a autenticao de uma rede de comutao
Ethernet ou um ponto de acesso sem fio IEEE 802.11.
Para os computadores no compatveis, o acesso rede limitado por um perfil de acesso restrito que
a comutao Ethernet ou um AP sem fio insere na conexo. O perfil de acesso restrito pode especificar
filtros de pacote IP ou um ID (identificador) de VLAN (LAN virtual) correspondente rede restrita.
A imposio 802.1X impe requisitos de polticas de integridade toda vez que um computador tenta uma
conexo de rede autenticada por 802.1X. A imposio 802.1X tambm monitora ativamente o status de
integridade do cliente NAP conectado e aplica o perfil de acesso restrito conexo se o cliente se tornar
incompatvel.
Os componentes da imposio 802.1X consistem no NPS do Windows Server 2008 R2 e em um cliente de
imposio EAPHost no Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 2008 e
Windows Server 2008 R2. A imposio 802.1X fornece um rgido acesso limitado rede para todos os
computadores que acessam a rede por meio de uma conexo autenticada por 802.1X.
7-16
7-17
Imposio VPN
A imposio VPN impe os requisitos de poltica de integridade toda vez que um computador tenta obter
uma conexo VPN de acesso remoto rede. A imposio VPN tambm monitora ativamente o status de
integridade do cliente NAP e aplica os filtros de pacote IP da rede restrita conexo VPN se o cliente se
tornar incompatvel.
Os componentes da imposio VPN consistem no NPS do Windows Server 2008 e em um cliente de
imposio VPN que faz parte do cliente de acesso remoto no:
Windows 7
Windows Vista
Windows Server 2008
A imposio VPN fornece um rgido acesso limitado rede para todos os computadores que acessam a
rede por meio de uma conexo VPN de acesso remoto.
Imposio DHCP
O DHCP impe os requisitos de poltica de integridade toda vez que um cliente DHCP tenta conceder ou
renovar uma configurao de endereo IP. A imposio DHCP tambm monitora ativamente o status de
integridade do cliente NAP e, se o cliente se tornar incompatvel, renova a configurao do endereo IPv4
para acesso somente rede restrita.
Os componentes de uma imposio DHCP consistem em um servidor de imposio DHCP que faz parte
do servio Servidor DHCP no Windows Server 2008 R2 e em um cliente de imposio DHCP que faz parte
do servio Cliente DHCP no:
Windows 7
Windows Vista
Windows Server 2008
Como a imposio DHCP depende de uma configurao de endereo IPv4 limitada que um usurio com
acesso no nvel de administrador pode substituir, ela a forma mais fraca de acesso limitado rede
na NAP.
A configurao de endereo DHCP limita o acesso rede do cliente DHCP por meio de sua tabela de
roteamento IPv4. A imposio DHCP define o valor da opo de Roteador DHCP como 0.0.0.0, de forma
que o computador no compatvel no ter um gateway padro configurado. Alm disso, essa imposio
define a mscara de sub-rede do endereo IPv4 alocado como 255.255.255.255, de forma que no haja
nenhuma rota para a sub-rede conectada.
7-18
7-19
Para permitir que o computador no compatvel acesse os servidores de atualizaes da rede restrita, o
servidor DHCP atribui a opo DHCP de Rotas Estticas sem Classe. Essa opo contm rotas de host para
os computadores da rede restrita, por exemplo, os servidores DNS e de atualizaes. O resultado final do
acesso limitado rede por DHCP uma tabela de configurao e roteamento que permite a
conectividade somente para endereos de destino especficos que correspondem rede restrita. Portanto,
quando um aplicativo tenta fazer envios para um endereo IPv4 de transmisso em unicast que no seja
nenhum dos fornecidos pela opo Rotas Estticas sem Classe, o protocolo TCP/IP retorna um erro de
roteamento.
Lio 3
Configurao da NAP
Para aproveitar ao mximo a NAP, voc deve entender como configurar os vrios elementos de uma
soluo NAP.
Objetivos
Descrever o que so os Validadores da Integridade do Sistema.
Explicar o que uma poltica de integridade.
Discutir o uso de Grupo de Servidores de Atualizaes.
Descrever os requisitos de configurao de cliente NAP.
Habilitar e configurar a NAP.
7-20
O que so Validadores da Integridade do Sistema?
7-21
Os SHAs (Agentes de Integridade do Sistema) e os SHVs (Validadores da Integridade do Sistema), que so

componentes da infraestrutura da NAP, fornecem o status e a validao do estado de integridade.
O Windows 7 inclui um SHA do Validador de Integridade de Segurana do Windows, que monitora as
configuraes da Central de Segurana do Windows. O Windows Server 2008 R2 inclui um SHV do
Validador de Integridade de Segurana do Windows correspondente. A NAP foi projetada para ser flexvel
e extensvel e interopera com softwares de qualquer fornecedor que ofeream SHAs e SHVs que usam
a API da NAP.
Um SHV recebe uma declarao de integridade e compara as informaes sobre o status da integridade
do sistema dessa declarao com o estado de integridade do sistema exigido. Por exemplo, se a SoH for
proveniente de um SHA do antivrus e contiver o nmero de verso mais recente do arquivo de assinatura
de vrus, o SHV do antivrus correspondente poder verificar o nmero da verso mais recente no servidor
de requisitos de integridade do antivrus para validar a declarao de integridade do sistema do
cliente NAP.
O SHV retorna a uma SoHR (resposta de declarao de integridade) para o Servidor de Administrao de
NAP. A SoHR pode conter informaes de correo sobre como o SHA correspondente no cliente NAP
pode atender aos requisitos atuais de integridade do sistema. Por exemplo, a SoHR que o SHV do
antivrus envia poderia instruir o SHA do antivrus do cliente NAP a solicitar a verso mais recente, por
nome ou endereo IP, do arquivo de assinatura de antivrus de um servidor de assinatura de antivrus
especfico.
O que uma poltica de integridade?
As polticas de integridade consistem em um ou mais SHVs e em outras configuraes que permitem

definir os requisitos de configurao de computador cliente para computadores compatveis com NAP
que tentam conectar-se rede
Quando os clientes compatveis com a NAP tentam se conectar rede, o computador cliente envia uma
SoH ao NPS. A SoH um relatrio do estado da configurao do cliente, e o NPS compara a SoH com os
requisitos que a poltica de integridade define. Se o estado de configurao do cliente no atender aos
requisitos definidos pela poltica de integridade, o NPS executar uma das seguintes aes, dependendo
da configurao da NAP:
Rejeio da solicitao de conexo.
Posicionamento do cliente NAP em uma rede restrita, na qual ele poder receber atualizaes dos
servidores de atualizaes para ficar em conformidade com a poltica de integridade. Depois que o
cliente NAP entrar em conformidade e reenviar seu novo estado de integridade, o NPS o habilitar
para conexo.
Permisso para que o cliente NAP se conecte rede, apesar de no estar em conformidade com a
poltica de integridade.
Voc pode definir polticas de integridade do cliente para NPS adicionando um ou mais SHVs poltica
de integridade.
Depois de configurar uma poltica de integridade com um ou mais SHVs, voc poder adicion-la
condio de Diretivas de Integridade de uma poltica de rede que pretenda usar para impor NAP quando
os computadores cliente tentarem se conectar rede.
7-22
O que so grupos de servidores de atualizaes?
Um grupo de servidores de atualizaes uma lista de servidores da rede restrita que oferece
conformidade para clientes NAP incompatveis com a sua poltica de integridade de cliente definida.
7-23
Um servidor de atualizaes hospeda as atualizaes que um agente NAP pode usar para tornar os
computadores cliente compatveis com a poltica de integridade, conforme definido pelo NPS. Por
exemplo, um servidor de atualizaes pode hospedar assinaturas de antivrus. Se a poltica de integridade
exigir que os computadores cliente tenham as definies mais recentes de antivrus, os seguintes
elementos trabalharo juntos para atualizar os computadores incompatveis: um SHA de antivrus, um
SHV de antivrus, um servidor de poltica de antivrus e o servidor de atualizaes.
Configurao de cliente NAP
Lembre-se destas diretrizes bsicas ao configurar clientes NAP:
Algumas implantaes de NAP que usam o Validador de Integridade de Segurana do Windows

exigem a habilitao da Central de Segurana. A Central de Segurana no est includa no
Windows Server 2008 nem no Windows Server 2008 R2.
Voc deve habilitar o servio Cliente de Proteo de Acesso Rede ao implantar a NAP em
computadores cliente compatveis com NAP.
necessrio configurar os clientes de imposio de NAP adequados nos computadores compatveis

com NAP.
Habilitao da Central de Segurana na Diretiva de Grupo

Voc pode usar o procedimento Habilitar Central de Segurana na Diretiva de Grupo para habilitar
a Central de Segurana em clientes compatveis com NAP usando a Diretiva de Grupo. Algumas
implantaes de NAP que usam o Validador de Integridade de Segurana do Windows exigem a Central
de Segurana.
computador local.
7-24
7-25
Para habilitar a Central de Segurana na Diretiva de Grupo:

1.
Abra o console do Gerenciamento de Diretiva de Grupo e clique em Adicionar.
2.
Na caixa de dilogo Selecionar Objeto de Diretiva de Grupo, clique em Concluir e em OK.
3.
Na rvore de console, clique duas vezes em Diretiva de Computador Local, em Configurao do

Computador, em Modelos Administrativos, em Componentes do Windows e em Central de
Segurana.
4.
Clique duas vezes em Ativar a Central de Segurana (PCs em domnios somente), clique em
Habilitado e em OK.
Habilitao do servio Proteo de Acesso Rede em clientes
Voc pode usar o procedimento Habilitar o Servio Proteo de Acesso Rede em Clientes para habilitar
e configurar o servio NAP em computadores cliente compatveis com NAP. A implementao de NAP
requer a habilitao desse servio.
computador local.
Para habilitar o servio Proteo de Acesso Rede em computadores cliente:
1.
Clique em Iniciar, em Painel de Controle, em Sistema e Segurana, em Ferramentas

Administrativas e clique duas vezes em Servios.
2.
Na lista de servios, role para baixo e clique duas vezes em Agente de Proteo de Acesso Rede.
3.
Na caixa de dilogo Propriedades do Agente de Proteo de Acesso Rede, altere Tipo de

Inicializao para Automtica e clique em OK.
Habilitao e desabilitao de clientes de imposio de NAP

Voc pode usar o procedimento Habilitar e Desabilitar Clientes de Imposio de NAP para habilitar ou
desabilitar um ou mais clientes de imposio de NAP em computadores compatveis com NAP. Esses
clientes podem incluir:
Cliente de imposio DHCP
Cliente de Imposio de Acesso Remoto
Cliente de imposio EAP
Cliente de Imposio IPsec (tambm usado para conexes do DirectAccess)
Cliente de Imposio de Gateway TS
Para habilitar e desabilitar clientes de imposio de NAP:

1.
Abra o console de configurao do cliente NAP, clique em Iniciar, em Todos os Programas, em

Acessrios, em Executar, digite NAPCLCFG.MSC e clique em OK.
2.
Clique em Clientes de Imposio. No painel de detalhes, clique com o boto direito do mouse no
cliente de imposio a habilitar ou desabilitar e clique em Habilitar ou Desabilitar.
Observao Para executar esse procedimento, voc deve ser membro do grupo
Administradores no computador local ou ter recebido a autoridade apropriada. Se o
computador estiver em um domnio, os membros do grupo Administradores do Domnio
podero executar esse procedimento. Como uma prtica recomendada de segurana,
considere adotar esse procedimento usando o comando Executar como.
7-26
Demonstrao: Como configurar a Proteo de Acesso Rede
Instalar a funo Servidor NPS.
Configurar o NPS como um servidor de poltica de integridade de NAP.
Configurar as polticas de integridade.
Configurar polticas de rede para computadores compatveis.
Configurar polticas de rede para computadores incompatveis.
Configurar a funo Servidor DHCP para NAP.
Definir as configuraes de NAP do cliente.
Testar a NAP.
7-27
Lio 4
Monitoramento e soluo de problemas da NAP
A soluo de problemas e o monitoramento da NAP so tarefas administrativas importantes, em virtude

dos diferentes nveis de tecnologia, incluindo especializao tcnica e pr-requisitos variados, para cada
mtodo de imposio de NAP. Os logs de rastreamento esto disponveis para NAP, mas esto
desabilitados, por padro. Esses logs servem para duas finalidades: soluo de problemas e avaliao da
integridade e da segurana de uma rede.
Objetivos
Descrever como o Rastreamento de NAP pode ajudar a monitorar e solucionar problemas de NAP.
Configurar o Rastreamento de NAP.
Solucionar problemas de NAP com Netsh.
Usar o log de eventos do NAP para solucionar problemas de NAP.
7-28
7-29
O que rastreamento de NAP?
Alm das diretrizes gerais anteriores, voc pode usar o snap-in de Configurao de Cliente NAP para
configurar o rastreamento de NAP. O rastreamento registra eventos da NAP em um arquivo de log e
til na soluo de problemas e manuteno. Alm disso, os logs de rastreamento tambm podem ser
usados para avaliar a integridade e a segurana da rede. Voc pode configurar trs nveis de
rastreamento: Bsico, Avanado e Depurao.
Habilite o rastreamento de NAP ao:
Solucionar problemas de NAP.
Avaliar a integridade e a segurana gerais dos computadores da organizao.
Alm do log de rastreamento, voc pode exibir os logs de contabilizao do NPS. Esses logs podem
conter informaes teis sobre a NAP. Por padro, os logs de contabilizao do NPS esto localizados em
%systemroot%\system32\logfiles.
Os logs a seguir podem conter informaes relacionadas NAP:
IASNAP.LOG: contm dados detalhados sobre processos da NAP, autenticao do NPS e autorizao
do NPS.
IASSAM.LOG: contm dados detalhados sobre autenticao e autorizao de usurio.

Observao Para obter informaes sobre o formato dos arquivos de log de
contabilizao do NPS, consulte o site da Microsoft TechNet:
http://go.microsoft.com/fwlink/?LinkId=136631 (em ingls)).
Demonstrao: Como configurar o rastreamento de NAP
Duas ferramentas esto disponveis para a configurao do rastreamento de NAP. O console de

Configurao de Cliente NAP faz parte da interface de usurio do Windows, e netsh uma ferramenta de
linha de comando.
Uso da interface de usurio do Windows

Voc pode usar a interface de usurio do Windows para habilitar ou desabilitar o rastreamento de NAP e
para especificar o nvel de detalhes registrados seguindo o seguinte procedimento:
1.
Abra o console de Configurao de Cliente NAP executando napclcfg.msc.
2.
Na rvore de console, clique com o boto direito do mouse em Configurao de Cliente NAP
(Computador Local) e clique em Propriedades.
3.
Na caixa de dilogo Propriedades de Configurao de Cliente NAP (Computador Local), escolha

Habilitado ou Desabilitado.
Administradores no computador local ou ter recebido a autoridade apropriada. Como uma
prtica recomendada de segurana, considere executar essa operao usando o comando
Executar como.
4.
Se a opo Habilitado for escolhida, em Especifique o nvel de detalhamento para a gravao dos
logs de rastreamento, selecione Bsico, Avanado ou Depurao.
7-30
7-31
Uso de uma ferramenta de linha de comando

Para usar uma ferramenta de linha de comando para habilitar ou desabilitar o rastreamento de NAP e
especificar o nvel de detalhes registrados, execute as etapas a seguir:
1.
Abra um prompt de comando com privilgios elevados.
2.
Para habilitar ou desabilitar o rastreamento de NAP, siga um destes procedimentos:
Para habilitar o rastreamento de NAP e configurar o log bsico ou avanado, digite: netsh nap
client set tracing state=enable level =[advanced ou basic]
Para habilitar o rastreamento de NAP para informaes de depurao, digite: netsh nap client
set tracing state=enable level =verbose
Para desabilitar o rastreamento de NAP, digite: netsh nap client set tracing state=disable
Administradores no computador local ou ter recebido a autoridade apropriada. Como uma
prtica recomendada de segurana, considere executar essa operao usando o comando
Executar como.
Exibio de arquivos de log

Para exibir os arquivos de log, navegue at o diretrio %systemroot%\tracing\nap e abra o log de
rastreamento especfico a ser exibido.
Demonstrao
Configurar o rastreamento na GUI.
Configurar o rastreamento na linha de comando.
Soluo de problemas de NAP com Netsh
Voc pode usar as ferramentas a seguir para ajudar na soluo de problemas de NAP.
Comandos Netsh
Use o comando netsh NAP para ajudar na soluo de problemas de NAP. Os comandos a seguir so
especialmente teis.
netsh NAP client show state
Esse comando exibe o status de um cliente NAP, incluindo:
Estado de restrio
Status dos clientes de imposio
Status de SHAs instalados
Grupos de servidores confiveis que foram configurados

netsh NAP client show config
Esse comando exibe as definies de configurao local em um cliente NAP, incluindo:
Configuraes de criptografia
Configuraes de cliente de imposio
Configuraes de grupos de servidores confiveis
Configuraes de rastreamento de cliente que foram definidas
7-32
7-33
netsh NAP client show group
Esse comando exibe as definies de configurao da Diretiva de Grupo em um cliente NAP, incluindo:
Configuraes de criptografia
Configuraes de cliente de imposio
Configuraes de grupos de servidores confiveis
Configuraes de rastreamento de cliente que foram definidas

Observao Voc pode saber mais sobre os comandos Netsh relevantes no site da
Microsoft TechNet: http://go.microsoft.com/fwlink/?LinkID=128797 (em ingls).
Soluo de problemas de NAP com logs de eventos
Os servios de NAP registram eventos relacionados NAP nos logs de eventos do Windows. Os eventos a
seguir fornecem informaes sobre servios de NAP que esto em execuo em um servidor NAP. Para
exibir esses eventos, abra o Visualizador de Eventos, selecione Modos de Exibio Personalizados, Funes
de Servidor e, por fim, Servios de Acesso e Diretiva de Rede.
ID do Evento 6272: o Servidor de Diretivas de Rede permitiu o acesso a um usurio.

Ocorre quando um cliente NAP autenticado com xito e, dependendo de seu estado de
integridade, obtm acesso restrito ou total rede.
ID do Evento 6273: o Servidor de Diretivas de Rede negou acesso a um usurio.

Ocorre quando surge um problema na autenticao ou na autorizao e associado a um cdigo
de motivo.
ID do Evento 6274: o Servidor de Diretivas de Rede descartou a solicitao de um usurio.

Ocorrer se houver um problema de configurao. Poder ocorrer se as configuraes do cliente
RADIUS estiverem incorretas ou se o NPS no puder criar logs de contabilizao.
ID do Evento 6276: o Servidor de Diretivas de Rede colocou um usurio em quarentena.

Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso limitado.
ID do Evento 6277: o Servidor de Diretivas de Rede permitiu o acesso a um usurio, mas o colocou
em experincia, pois o host no atendeu poltica de integridade definida.
configurada com uma definio de imposio de NAP de Permitir acesso total rede por tempo
limitado quando a data especificada na poltica tiver passado.
ID do Evento 6278: o Servidor de Diretivas de Rede permitiu o acesso total a um usurio, pois o host
atendeu poltica de integridade definida.
configurada com uma definio de imposio de NAP de Permitir acesso total rede.
7-34
7-35
Laboratrio: Implementao da NAP em uma soluo de

acesso remoto VPN
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Contoso
Repita as etapas de 2 a 4 para 10221B-NYC-EDGE1 e 10221B-NYC-CL1.
A Contoso, Ltd. precisa estender sua soluo de rede virtual privada para incluir a NAP (Proteo de
Acesso Rede).
Como especialista em tecnologia da Contoso, Ltd., voc precisa estabelecer um meio de tornar
compatveis os computadores cliente, de forma automtica. Para isso, voc usar o Servidor de Diretivas
de Rede, criando polticas de conformidade do cliente e configurando um servidor NAP para verificar a
integridade atual dos computadores.
Configurar os componentes do servidor NAP
Configurar a NAP para clientes VPN
Exerccio 1: Configurao dos componentes da NAP

Cenrio
Nesse exerccio, voc ir configurar os componentes necessrios no servidor para oferecer suporte ao
requisito da Contoso, Ltd.
1.
Configurar um certificado de computador.
2.
Configurar NYC-EDGE1 com o NPS funcionando como um servidor de poltica de integridade.
3.
Configurar NYC-EDGE1 com o RRAS (Servio Roteamento e Acesso Remoto) que configurado como
um servidor VPN.
4.
Permitir ping no NYC-EDGE1.
Tarefa 1: Configurar um certificado de computador

1.
Alterne para o servidor virtual NYC-DC1.
2.
Abra a ferramenta certification authority.
3.
No Console de Modelos de Certificado, abra as propriedades do modelo de certificado Computador.
4.
Na aba Segurana, conceda ao grupo Usurios Autenticados a permisso Permitir Registro.
5.
Feche a ferramenta Autoridade de Certificao.
Tarefa 2: Configurar NYC-EDGE1 com o NPS funcionando como um servidor de

poltica de integridade
1.
Alterne para o computador NYC-EDGE1.
2.
Crie um console de gerenciamento executando mmc.exe.
3.
Adicione o snap-in de Certificados com o foco na conta do computador local.
4.
Navegue at o repositrio de certificados Pessoal e Solicitar Novo Certificado.
5.
Na pgina Selecionar Diretiva de Registro de Certificado, clique em Diretiva de Registro do

Active Directory e clique em Avanar.
6.
Registre o certificado Computador que est listado.
7.
Feche o console e no salve as configuraes do console.
8.
Usando o Gerenciador de Servidores, instale o Servidor NPS com os seguintes servios de funo:
Servidor de Diretivas de Rede e Servio de Acesso Remoto.
9.
Abra a ferramenta Servidor de Diretivas de Rede.
10. Em Proteo de Acesso Rede, abra a Configurao Padro para o Validador de Integridade de
Segurana do Windows.
11. Na guia Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto Firewall
habilitado para todas as conexes de rede.
7-36
12. Crie uma poltica de integridade com as seguintes configuraes:
Nome: Compatvel
Verificaes de SHV de cliente: Cliente aprovado em todas as verificaes de SHV
SHVs usados nesta poltica de integridade: Validador de Integridade de Segurana do

Windows
13. Crie uma poltica de integridade com as seguintes configuraes:
Nome: Incompatvel
Verificaes de SHV de cliente: Cliente reprovado em uma ou mais verificaes de SHV
SHVs usados nesta poltica de integridade: Validador de Integridade de Segurana do

Windows
14. Desabilite todas as polticas de rede existentes.

15. Configure uma nova poltica de rede com as seguintes definies:
Nome: Acesso Completo por Compatibilidade
Condies: Diretivas de Integridade = Compatvel
Permisses de acesso: Acesso concedido
Configuraes: Imposio de NAP = Permitir acesso total rede
16. Configure uma nova poltica de rede com as seguintes definies:
Nome: Restrito por Incompatibilidade
Condies: Diretivas de Integridade = Incompatvel
Permisses de acesso: Acesso concedido
Observao A configurao Acesso concedido no significa que os clientes

incompatveis tenham acesso total rede. Ela especifica que a poltica deve continuar
avaliando os clientes que correspondem a essas condies.
Configuraes:
7-37
i. Imposio de NAP = Permitir acesso limitado selecionada e Habilitar correo automtica

de computadores cliente no selecionada.
ii. Filtros IP = Filtro de entrada IPv4, Rede de destino = 10.10.0.10/255.255.255.255 e Filtro

de sada IPv4, Rede de origem = 10.10.0.10/255.255.255.255.
17. Desabilite as polticas de solicitao de conexo existentes.
18. Crie uma nova Diretiva de Solicitao de Conexo com as seguintes configuraes:
Nome da diretiva: Conexes VPN
Tipo de servidor de acesso rede: Servidor de Acesso Remoto (VPN-Dial up)
Condies: Tipo de tnel = L2TP, SSTP e PPTP
Autenticar solicitaes neste servidor = true
Mtodos de autenticao:
i. Selecione Substituir configuraes de autenticao da poltica de rede
ii. Adicione Microsoft: EAP protegido (PEAP)
iii. Adicione Microsoft: Senha segura (EAP-MSCHAP v2)
Edite Microsoft: EAP protegido (PEAP) para garantir que a opo Impor Proteo de Acesso
Rede seja habilitada.
19. Feche o console do Servidor de Diretivas de Rede.
Tarefa 3: Configurar NYC-EDGE1 com o RRAS (Servio Roteamento e Acesso Remoto)

que configurado como um servidor VPN
1.
Em NYC-EDGE1, abra o Roteamento e Acesso Remoto.
2.
Selecione Configurar e Habilitar o Roteamento e Acesso Remoto.
3.
Use as definies a seguir para concluir a configurao:

a.
Selecione Acesso remoto (de conexo discada ou rede virtual privada).
b.
Marque a caixa de seleo VPN.
c.
Escolha a interface Pblica e desmarque a caixa de seleo Habilitar a segurana na interface

selecionada configurando filtros de pacotes estticos.
d.
Atribuio de endereo IP: De um intervalo de endereos especificado:
e.
10.10.0.100 > 10.10.0.110
Conclua o processo aceitando os padres quando solicitado e confirmando todas as mensagens

clicando em OK.
4.
No Servidor de Diretivas de Rede, clique no n Diretivas de Solicitao de Conexo e desabilite a

Diretiva do Servio de Roteamento e Acesso Remoto da Microsoft. Isso foi criado
automaticamente quando Roteamento e Acesso Remoto foi habilitado.
5.
Feche o console de gerenciamento do Servidor de Diretivas de Rede e o console do Roteamento e

Acesso Remoto.
7-38
Tarefa 4: Permitir ping no NYC-EDGE1

1.
2.
Crie uma Regra de Entrada com as seguintes propriedades:
Tipo: Personalizada
Todos os Programas
Tipo de protocolo: Escolha ICMPv4 e clique em Personalizar
3.
Tipos especficos de ICMP: Solicitao de Eco
Escopo padro
Ao: Permitir a conexo
Perfil padro
Nome: solicitao de eco ICMPv4
Feche o console do Firewall do Windows com Segurana Avanada.
Resultados: ao fim deste exerccio, voc ter configurado e habilitado um esquema de NAP imposto
pela VPN.
7-39
Exerccio 2: Configurao das definies de cliente para oferecer suporte

NAP
Cenrio
Nesse exerccio, voc implementar uma VPN em NYC-CL1 e testar a integridade do computador em
relao configurao da NAP criada anteriormente.
1.
Configurar a Central de Segurana.
2.
Habilitar a imposio de NAP do cliente.
3.
Mover o cliente para a Internet.
4.
Criar uma VPN em NYC-CL1.
Tarefa 1: Configurar a Central de Segurana

1.
2.
Abra o Editor de Diretiva Local (gpedit.msc) e habilite a configurao Diretiva do Computador

Local/Configurao do Computador/Modelos Administrativos/Componentes do
Windows/Central de Segurana/Ativa Central de Segurana (PCs em domnio somente).
3.
Feche o Editor de Diretiva de Grupo Local.
Tarefa 2: Habilitar a imposio de NAP do cliente

1.
Execute a ferramenta Configurao do Cliente NAP (napclcfg.msc).
2.
Em Clientes de Imposio, habilite o Cliente de Imposio de Quarentena EAP.
3.
Feche a ferramenta Configurao do Cliente NAP.
4.
Execute services.msc e configure o servio Agente de Proteo de Acesso Rede para inicializao
automtica.
5.
Inicie o servio.
6.
Feche o console de servios.
Tarefa 3: Mover o cliente para a Internet

1.
2.
Reconfigure as definies de rede de NYC-CL1 alterando os seguintes parmetros TCP/IPv4 da

conexo local:
Endereo IP: 131.107.0.20
Gateway padro: em branco
Servidor DNS preferencial: em branco
Verifique se possvel executar ping de 131.107.0.2 com xito.
7-40
7-41
Tarefa 4: Criar uma VPN em NYC-CL1

1.
2.
Crie uma nova conexo VPN com as seguintes propriedades:
Nome do destino: VPN da Contoso
Permitir que outras pessoas usem esta conexo: true
Nome do usurio: administrador
Senha: Pa$$w0rd
Domnio: CONTOSO
Depois de criar a VPN, modifique suas configuraes exibindo as propriedades da conexo e

selecionando a guia Segurana. Use as definies a seguir para reconfigurar a VPN:
Tipo de autenticao: Microsoft: EAP protegido (PEAP) (criptografia habilitada).
Propriedades deste tipo de autenticao:

i. Validar certificado do servidor: true
ii. Conectar-se a estes servidores: false
iii. Mtodo de autenticao: Senha segura (EAP-MSCHAP v2)
iv. Ativar Reconexo Rpida: false
v. Impor Proteo de Acesso Rede: true
3.
4.
Teste a conexo VPN:

a.
Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN da Contoso
e clique em Conectar.
b.
Na janela Conectar VPN da Contoso, clique em Conectar.
c.
Exiba os detalhes do Alerta de Segurana do Windows. Verifique se as informaes de certificado

corretas so exibidas e clique em Conectar.
Verifique se seu computador atende aos requisitos de integridade da poltica de NAP:

a.
Use IPCONFIG /all para verificar se o Estado de Quarentena do Sistema Irrestrito.
b.
Faa ping 10.10.0.10.
5.
6.
Configure o Validador de Integridade de Segurana do Windows para exigir um aplicativo antivrus:

a.
Alterne para NYC-EDGE1 e abra o Servidor de Diretivas de Rede.
b.
Modifique a Configurao Padro do Validador de Integridade de Segurana do Windows

para que a caixa de seleo Aplicativo antivrus ativo esteja habilitada na seleo do
Windows 7/Windows Vista.
7.
Alterne de volta para NYC-CL1 e reconecte a VPN.
8.
Verifique se seu computador no atende aos requisitos de integridade da poltica de NAP:
9.
a.
Verifique se uma mensagem exibida na Central de Aes informando que o computador no

atende aos padres de segurana.
b.
Use IPCONFIG /all para verificar se o Estado de Quarentena do Sistema Restrito.
Desconecte a VPN.
Resultados: ao fim deste exerccio, voc ter habilitado e configurado uma poltica de imposio de NAP
da VPN para a Contoso.

etapas:
1.
2.
Reverter.
3.
4.
7-42
7-43
Perguntas de reviso
1.
Quais so as trs principais configuraes de cliente que voc precisa definir para a maioria das
implantaes de NAP?
2.
Voc deseja avaliar a integridade e a segurana gerais dos computadores com imposio de NAP.
O que voc precisa fazer para comear a registrar eventos de NAP?
3.
Em um computador cliente, quais etapas voc deve executar para garantir que ele seja avaliado
quanto integridade?
Ferramentas
Ferramenta Use para
Onde encontr-la
Servios
Habilitar e configurar o servio NAP

em computadores cliente.
Clique em Iniciar, em Painel de Controle, em

Sistema e Manuteno, em Ferramentas
Administrativas e clique duas vezes em Servios.
Netsh nap
Criar scripts para configurar

automaticamente um conjunto de
NAPs, bem como para exibir a
configurao e o status do servio
do cliente NAP.
Abra uma janela de comando com direitos

administrativos e digite netsh c nap. Voc pode
digitar help para obter uma lista completa de
comandos disponveis.
Diretiva de
Grupo
Algumas implantaes de NAP que

usam o Validador de Integridade de
Segurana do Windows exigem a
habilitao da Central de Segurana.
Habilite a configurao Ativar o Central de

Segurana (PCs em domnios somente) nas sees
Configurao do Computador, Modelos
Administrativos, Componentes do Windows e
Central de Segurana da Diretiva de Grupo.
Ferramenta Use para

Configurar
NAP com
um
assistente
Criar as polticas de integridade,

polticas de solicitao de conexo e
NAP (Proteo de Acesso Rede)
com Servidor de Diretivas de Rede.
Onde encontr-la
Abra o console do NPS (Local). Em Introduo e
Configurao Padro, selecione o servidor de
polticas NAP (Servidor de Acesso Rede).
O texto e os links abaixo do texto so alterados
para refletir a sua seleo.
Clique em Configurar NAP com um assistente.
7-44
L1-1
Laboratrio: Planejamento e configurao

do IPv4
Exerccio 1: Seleo de um esquema de endereamento IPv4 para filiais
X Tarefa 1: Ler a documentao de suporte
Leia a documentao de suporte localizada abaixo do cenrio de exerccio no principal documento

do mdulo.
X Tarefa 2: Atualizar a proposta com seu curso de ao planejado
Responda s perguntas do documento Atualizar o plano de infraestrutura de rede da filial:

endereamento IPv4.
Autor do documento
Data
Charlotte Weiss
6 de fevereiro

Crie um esquema de endereamento IPv4 para os escritrios filiais de vendas da Contoso,
mostrados no anexo.
O endereo do bloco 172.16.16.0/20 foi reservado para essa regio.
Voc deve idealizar um esquema que oferea suporte ao nmero exigido de sub-redes, ao nmero
exigido de hosts e que fornea aumento de 25% de hosts em cada filial.
Para cada filial, fornea os endereos de sub-rede que planeja usar, juntamente com os endereos
IP inicial e final de cada sub-rede.
Voc no precisa se preocupar com o endereamento IP do lado corporativo do roteador
em cada filial.
(continuao)
Propostas
1. Quantas sub-redes voc considera necessrias para essa regio?
Resposta: existem 300 computadores na regio. A especificao declara que devem ser
implantados em cada sub-rede aproximadamente 50 computadores. Voc tambm precisa se
planejar para um crescimento em torno de 25%. So necessrias seis sub-redes na regio para
os computadores host, mas deve ser planejada uma sub-rede adicional para cada local a fim
de hospedar o aumento de computadores. Isso resulta em nove sub-redes no total.
2. Quantos hosts voc implantar em cada sub-rede?
Resposta: a especificao informa que voc deve implantar, no mximo, 50 computadores
host para cada sub-rede.
3. Qual mscara de sub-rede voc usar para cada filial?
Resposta: o endereo de rede atual para a regio 172.16.16.0/20. Isso deixa 12 bits para
alocar a sub-redes e hosts. Para expressar nove sub-redes, seriam necessrios quatro bits, uma
vez que trs bits podem ser alocados apenas para oito sub-redes. Na verdade, quatro bits
podem ser alocados para 16 sub-redes, que bastante. Essa uma mscara decimal de
255.255.255.0.
4. Quais so os endereos de sub-rede para cada filial?
Resposta: Filial 1:
172.16.16.0/24
172.16.17.0/24
172.16.18.0/24
Filial 2:
172.16.19.0/24
172.16.20.0/24
172.16.21.0/24
Filial 3:
172.16.22.0/24
172.16.23.0/24
172.16.24.0/24
5. Qual intervalo de endereos de host esto em cada filial?
Resposta: Filial 1:
172.16.16.1 > 172.16.16.254
172.16.17.1 > 172.16.17.254
172.16.18.1 > 172.16.18.254
Filial 2:
172.16.19.1 > 172.16.19.254
172.16.20.1 > 172.16.20.254
172.16.21.1 > 172.16.21.254
Filial 3:
172.16.22.1 > 172.16.22.254
172.16.23.1 > 172.16.23.254
172.16.24.1 > 172.16.24.254
L1-2
X Tarefa 3: Examinar as propostas sugeridas na Resposta do Laboratrio
Examine o plano concludo da infraestrutura de rede da filial na Resposta do Laboratrio e esteja

preparado para discutir suas solues com a turma.
Resultados: ao fim deste exerccio, voc deve ter um plano de endereo IP concludo para as filiais
da Contoso.
L1-3
Exerccio 2: Implementao e verificao do IPv4 na filial

X Tarefa 1: Determinar a configurao do IPv4 atual do roteador
1.
Alterne para o computador NYC-RTR.
2.
Clique em Iniciar e, na caixa Pesquisar, digite cmd.exe e pressione ENTER.
3.
No prompt de comando, digite o comando a seguir e pressione ENTER:

Ipconfig /all
4.
Qual o endereo IPv4 e a mscara de sub-rede listados que iniciam com 172.16?
Resposta: 172.16.16.1/255.255.255.0
5.
Que sub-rede essa?

Resposta: 172.16.16.0/24
6.
Qual deveria ser o ltimo endereo de host nessa sub-rede?

Resposta: 172.16.16.254
7.
X Tarefa 2: Determinar a configurao do IPv4 de NYC-SVR2

1.
Alterne para o computador NYC-SVR2.
2.
3.

Ipconfig /all
4.

Resposta: 172.16.16.2/255.255.255.0
5.
Que sub-rede essa?

Resposta: 172.16.16.0/24
6.
Qual o gateway padro?

Resposta: 172.16.16.1
7.
Qual a entrada de Servidores DNS?

Resposta: 10.10.0.10
8.
Deixe o prompt de comando aberto.
X Tarefa 3: Determinar a configurao do computador NYC-CL2

1.
2.
Clique em Iniciar, em Computador e clique duas vezes em Allfiles (D:).
3.
No Windows Explorer, clique duas vezes em Labfiles e duas vezes em Mod01.
4.
Clique duas vezes em reconfigure.cmd.
5.
Feche o Explorer.
L1-4
6.
7.

Ipconfig /all
8.

Resposta: 169.254.x.y a resposta pode variar.
9.
O que isso significa?

Resposta: o cliente est tentando obter um endereo IP dinamicamente e no se conecta a
um servidor DHCP.
X Tarefa 4: Reconfigurar o computador NYC-CL2

1.
Clique em Iniciar, em Painel de Controle e em Rede e Internet.
2.
Em Rede e Internet, clique em Central de Rede e Compartilhamento.
3.
No Centro de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
4.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 4 e clique em
Propriedades.
5.
Clique duas vezes em Protocolo TCP/IP Verso 4 (TCP/IPv4).
6.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Usar

o seguinte endereo IP.
7.
Use as informaes a seguir para concluir a configurao e clique em OK.
Endereo IP: 172.16.16.3
8.
Na caixa de dilogo Propriedades da Conexo Local 3, clique em Cancelar.
9.
Se solicitado com a caixa de dilogo Definir Local da Rede, clique em Rede Corporativa
e em Fechar.
X Tarefa 5: Verificar a configurao

1.
Alterne para o prompt de comando.
2.

Ipconfig /all
3.

Resposta: 172.16.16.x/255.255.255.0 as respostas podem variar.
4.

Ping nyc-dc1
L1-5
5.

Ipconfig /displaydns
6.
X Tarefa 6: Capturar e analisar o trfego de rede usando o Monitor de Rede

1.
Na rea de trabalho, clique duas vezes em Microsoft Network Monitor 3.4.
2.
Na caixa de dilogo Microsoft Update Opt-In, clique em No.
3.
No Monitor de Rede 3.4 da Microsoft, no painel Capturas Recentes, clique na New capture tab.
4.
Na guia Captura 1, na barra de menus, clique em Start.
5.
6.

Ipconfig /flushdns
7.

Ping nyc-dc1
8.

Ipconfig /displaydns
9.
No menu do Monitor de Rede, clique em Stop.
10. Que tipos de quadros podem ser vistos?

Resposta: Podem variar, mas podem incluir os quadros BROWSER, ARP, TCP e ICMP.
11. No Monitor de Rede da Microsoft do painel Filtro de Exibio, clique em Dsiplay Filter.
12. Aponte para Standard Filters, clique em Addresses e em IPv4 Addresses.
13. Role pelo texto e localize a linha IPv4.Address = = 192.168.0.100. Edite o endereo
IPv4 para 10.10.0.10.
14. No menu do painel Filtro de Exibio, clique em Apply.
15. Examine os registros filtrados.
16. Clique em Clear Text e em Remove.
17. No Monitor de Rede da Microsoft do painel Filtro de Exibio, clique em Load Filter.
18. Aponte para Standard Filters, clique em DNS e em DnsQueryName.
19. Role pelo texto e localize a linha DNS.Qrecord.QuestionName.contains (server). Edite o nome
do servidor para (contoso)
20. No menu do painel Display Filter, clique em Apply.
21. Examine os registros filtrados.
L1-6
22. O que os registros mostram?

Resposta: uma consulta para um nome de site. (As respostas podem variar.)
23. Feche o Monitor de Rede.
Resultados: ao fim deste exerccio, voc ter configurado a sub-rede da filial.
X Preparando-se para o prximo mdulo

estas etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-RTR, 10221B-NYC-SVR2 e 10221B-NYC-CL2.
L1-7
L2-9
Laboratrio: Configurao e soluo de

problemas da funo Servidor DHCP
Exerccio 1: Seleo de uma configurao DHCP adequada
X Tarefa 1: Ler os requisitos em Plano de infraestrutura de rede da filial: DHCP
Estude o diagrama de rede e leia a seo de requisitos do documento Plano de infraestrutura de rede
da filial: DHCP no documento do mdulo abaixo do cenrio do Exerccio 1.
Responda s perguntas no documento Plano de infraestrutura de rede da filial: DHCP.

Plano de infraestrutura de rede da filial: DHCP
Nmero de referncia do documento: CW0703/1
Autor do
documento
Data
Charlotte Weiss
7 de maro
Requisitos
Especifique como voc planeja implementar o DHCP para oferecer suporte aos requisitos da sua
filial.
importante que nenhuma falha nos links de comunicao, roteador ou servidor afete
negativamente os usurios.
Propostas
1. Quantos servidores DHCP voc prope implantar na regio?
Resposta: supondo que os roteadores sejam todos compatveis com a RFC, no h necessidade
de implantar servidores DHCP em cada sub-rede. No entanto, para tolerncia a falhas, cada filial
deve ter um servidor DHCP com escopos duplicados configurados no servidor DHCP da matriz,
com excluses apropriadas para oferecer suporte regra 80/20; isso fornece tolerncia a falhas
de endereamento.
2. Onde voc pretende implantar esses servidores?
Resposta: um servidor DHCP em cada filial e um na matriz.
3. Como voc pretende fornecer a tolerncia a falhas da alocao de endereo IP?
Resposta: configure os escopos para oferecer suporte regra 80/20.
4. Como os clientes em uma filial obtero uma configurao de IP se o respectivo servidor DHCP
estiver offline?
Resposta: eles obtero uma configurao de IP do servidor da matriz. Isso exige uma
retransmisso DHCP no roteador que conecta a matriz filial.
Examine o documento completo Plano de infraestrutura de rede da filial: DHCP na Resposta do

Resultados: ao fim deste exerccio, voc ter determinado a configurao DHCP adequada para
a Contoso.
L2-10
L2-11
Exerccio 2: Implementao de DHCP

X Tarefa 1: Instalar a funo DHCP em NYC-SVR2
1.
2.
Na barra de tarefas, clique em Gerenciador de Servidores.
3.
No painel de navegao do Gerenciador de Servidores, clique em Funes e, no painel direito,

clique em Adicionar funes.
4.
No Assistente para Adicionar Funes, clique em Prximo.
5.
Na pgina Selecionar Funes do Servidor, marque a caixa de seleo Servidor DHCP e clique
em Prximo.
6.
Na pgina Servidor DHCP, clique em Prximo.
7.
Na pgina Selecionar Ligaes de Conexo de Rede, clique em Prximo.
8.
Na pgina Especificar Configuraes de Servidor DNS IPv4, clique em Prximo.
9.
Na pgina Especificar Configuraes de Servidor IPv4 WINS, clique em Prximo.
10. Na pgina Adicionar ou Editar Escopos DHCP, clique em Prximo.

11. Na pgina Configurar o Modo Sem Monitorao de Estado do DHCPv6, clique em Desabilitar
o modo sem monitorao de estado de DHCPv6 para este servidor e clique em Prximo.
12. Na pgina Autorizar Servidor DHCP, clique em Ignorar a autorizao deste servidor DHCP
no AD DS e em Prximo.
13. Na pgina Confirmar Selees de Instalao, clique em Instalar.
14. Na pgina Resultados da Instalao, clique em Fechar e feche o Gerenciador de Servidores.
X Tarefa 2: Habilitar a retransmisso DHCP

1.
2.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento

e acesso remoto.
3.
No painel de navegao, expanda NYC-RTR (local), expanda IPv4, clique com o boto direito do
mouse em Geral e clique em Novo protocolo de roteamento.
4.
Na lista Protocolos de roteamento, clique em Agente de Retransmisso DHCP e clique em OK.
5.
No painel de navegao, clique com o boto direito do mouse em Agente de Retransmisso DHCP
e clique em Nova interface.
6.
Na caixa de dilogo Nova interface para Agente de Retransmisso DHCP, clique em Conexo
local 2 e clique em OK.
7.
Na caixa de dilogo Propriedades de Propriedades de Retransmisso de Rel DHCP Conexo

local 2, clique em OK.
8.
No painel de navegao, clique com o boto direito do mouse em Agente de Retransmisso DHCP
e clique em Nova interface.
9.
Na caixa de dilogo Nova interface para Agente de Retransmisso DHCP, clique em Conexo
local e clique em OK.
10. Na caixa de dilogo Propriedades de Propriedades de Retransmisso de DHCP Conexo local,

clique em OK.
11. Clique com o boto direito do mouse em Agente de Retransmisso DHCP e clique em
Propriedades.
12. Na caixa de dilogo Propriedades de Agente de Retransmisso DHCP, na caixa Endereo do
servidor, digite 10.10.0.10, clique em Adicionar e em OK.
13. Feche o Roteamento e Acesso Remoto.
X Tarefa 3: Autorizar a funo Servidor DHCP em NYC-SVR2

1.
2.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em DHCP.
3.
No DHCP, expanda nyc-svr2.contoso.com.
4.
Clique com o boto direito do mouse em nyc-svr2.contoso.com e clique em Autorizar.
X Tarefa 4: Criar o escopo exigido pela filial

1.
No painel de navegao do DHCP, clique em nyc-svr2.contoso.com, expanda IPv4, clique com o

boto direito do mouse em IPv4 e clique em Novo escopo.
2.
No Assistente para Novos Escopos, clique em Avanar.
3.
Na caixa Nome da pgina Nome do escopo, digite Filial e clique em Avanar.
4.
Na pgina Intervalo de endereos IP, preencha a pgina usando as informaes a seguir e clique
em Avanar:
5.
Endereo IP inicial: 172.16.16.4
Endereo IP final: 172.16.16.254
Comprimento: 24
Na pgina Adicionar Excluses e Atraso, preencha a pgina usando as informaes a seguir, clique
em Adicionar e em Avanar:
6.
Na pgina Durao da concesso, clique em Avanar.
7.
Na pgina Configurar opes de escopo, clique em Avanar.
8.
Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 172.16.16.1, clique em
Adicionar e em Avanar.
9.
Na pgina Servidor de nomes de domnio e DNS, clique em Avanar.
10. Na pgina Servidores WINS, clique em Avanar.

11. Na pgina Ativar escopo, clique em Avanar.
12. Na pgina Concluindo o Assistente para Novos Escopos, clique em Concluir.
Resultados: ao fim deste exerccio, voc ter configurado o servidor DHCP da filial.
L2-12
L2-13
Exerccio 3: Reconfigurao do DHCP na matriz

X Tarefa 1: Adicionar o escopo da filial em NYC-DC1
1.
2.
3.
No DHCP, expanda nyc-dc1.contoso.com.
4.
No painel de navegao do DHCP, expanda IPv4, clique com o boto direito do mouse em IPv4 e
clique em Novo escopo.
5.
No Assistente para Novos Escopos, clique em Avanar.
6.
Na caixa Nome da pgina Nome do escopo, digite Escopo de Backup da Filial e clique
em Avanar.
7.
Na pgina Intervalo de endereos IP, preencha a pgina usando as informaes a seguir e clique
em Avanar:
8.
9.
Comprimento: 24
Na pgina Adicionar Excluses e Atraso, preencha a pgina usando as informaes a seguir, clique
em Adicionar e em Avanar:
Na pgina Durao da concesso, clique em Avanar.
10. Na pgina Configurar opes de escopo, clique em Avanar.

11. Na pgina Roteador (gateway padro), na caixa Endereo IP, digite 172.16.16.1, clique em
Adicionar e em Avanar.
12. Na pgina Servidor de nomes de domnio e DNS, clique em Avanar.
13. Na pgina Servidores WINS, clique em Avanar.
14. Na pgina Ativar escopo, clique em Avanar.
15. Na pgina Concluindo o Assistente para Novos Escopos, clique em Concluir.
Resultados: ao fim deste exerccio, voc ter criado os escopos necessrios em ambos
os servidores DHCP.
Exerccio 4: Teste da configurao

X Tarefa 1: Configurar o NYC-CL2 para DHCP
1.
2.
Na rea de trabalho, clique em Microsoft Network Monitor 3.4.
3.
Na caixa de dilogo Microsoft Update Opt-in, clique em No.
4.
No painel Capturas Recentes do Microsoft Network Monitor 3.4, clique na New capture tab.
5.
Na guia Captura 1, na barra de menus, clique em Start.
6.
Clique em Iniciar e, na caixa Pesquisar, digite Rede e Compartilhamento e pressione ENTER.
7.
No Centro de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
8.
Em Conexes de Rede, clique com o boto direito do mouse em Conexo local 4 e clique
em Propriedades.
9.
Na caixa de dilogo Propriedades de Conexo local 4, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
10. Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Obter um
endereo IP automaticamente.
11. Clique em Obter o endereo dos servidores DNS automaticamente e em OK.
12. Na caixa de dilogo Propriedades de Conexo local 4, clique em OK.
X Tarefa 2: Examinar os pacotes DHCP

1.
Alterne para o Network Monitor.
2.
No menu do Microsoft Network Monitor 3.4, clique em Stop.
3.
Clique em Load Filter, aponte para Standard Filters, para Basic Examples e clique em Protocol
Filter DNS.
4.
Na caixa de texto Display Filter, localize o texto DNS e altere-o para DHCP. Clique em Apply.
5.
255.255.255.255 e a descrio que contenha OFFER.
6.
7.
Qual o IP do Servidor?
Resposta: 172.16.16.2
8.
Que servidor esse?

Resposta: NYC-SVR2
Resultados: ao fim deste exerccio, voc ter configurado o cliente para obter um endereo
IP dinamicamente do servidor da filial local.
L2-14
L2-15
Exerccio 5: Soluo de problemas de DHCP

X Tarefa 1: Desligar o servidor DHCP em NYC-SVR2
1.
2.
No DHCP, clique com o boto direito do mouse em nyc-svr2.contoso.com, clique em Todas as

tarefas e em Parar.
X Tarefa 2: Renovar o endereo IP em NYC-CL2

1.
2.
3.

Ipconfig /release
4.
No Microsoft Network Monitor 3.4, clique em New Capture.
5.
Na guia Capture 2, na barra de menus, clique em Start.
6.
Ipconfig /renew
7.
No menu do Monitor de Rede 3.4 da Microsoft, clique em Load Filter, aponte para Standard Filters,
para Basic Examples e clique em Protocol Filter DNS.
8.
Na caixa de texto Display Filter, localize o texto DNS e altere-o para DHCP. Clique em Apply.
9.
255.255.255.255 e a descrio que contenha OFFER.
10. No painel Detalhes do Quadro, expanda Dhcp.

11. Qual o IP do Servidor?
Resposta: 10.10.0.10
12. Que servidor esse?
Resposta: NYC-DC1
Resultados: ao fim deste exerccio, voc ter verificado se o cliente pode obter um endereo IP da matriz
quando o servidor local estiver indisponvel.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute estas etapas:
1.
2.
em Reverter.
3.

Repita essas etapas para 10221B-NYC-SVR2, 10221B-NYC-RTR e 10221B-NYC-CL2.
L3-17
Laboratrio: Configurao e soluo de

problemas de DNS
Exerccio 1: Seleo de uma configurao do DNS
X Tarefa 1: Ler o documento Plano de resoluo de nomes da Contoso
Leia o documento Plano de resoluo de nomes da Contoso na Tarefa 2 do principal documento

do mdulo.
Responda s perguntas do documento Plano de resoluo de nomes da Contoso.

Autor do documento
Data
Charlotte Weiss
12 de maro

1.
Seu gerente est preocupado porque o servidor de nome nico que oferece suporte ao
domnio Contoso.com fica sob presso ao atender s solicitaes de resoluo de nomes.
Voc recebeu a tarefa de determinar um curso de ao para minimizar esse problema.
2.
A Contoso est trabalhando com uma organizao parceira, a A Datum. importante que
a resoluo de nomes para servidores no domnio da Adatum.com seja feita sem recorrer
aos servidores de nomes raiz.
1.
No foi planejado nenhum controlador de domnio adicional para o domnio da Contoso.
2.
As alteraes na configurao do DNS da Adatum.com no devem afetar a configurao do

DNS na Contoso; em outras palavras, as alteraes na Adatum.com no devem gerar trabalho
administrativo na Contoso.
Propostas
1.
Como voc modificar a configurao do DNS da Contoso para atender ao primeiro requisito?
Resposta: adicione um servidor DNS.
2.
Como voc modificar a configurao do DNS da Contoso para atender ao segundo requisito?
Resposta: crie uma zona de stub ou configure um encaminhamento condicional para a
Adatum.com.
3.
Algum dos itens na seo de informaes adicionais resultou em algum problema?

Resposta:
As zonas integradas ao AD so inadequadas para esse cenrio; se nenhum controlador

de domnio adicional foi planejado, zonas secundrias devero ser configuradas.
As zonas de stub exigem menos esforo administrativo no caso de alteraes na

configurao do DNS do domnio DNS de destino.
(continuao)
4.
Qual o seu plano de ao proposto para esse projeto?

Resposta:
5.
Implantar a funo DNS em NYC-SVR1.
Criar uma zona secundria em NYC-SVR1 para a Contoso.com.
Habilitar e configurar transferncias de zona para NYC-SVR1.
Garantir que as transferncias de dados da zona sejam bem-sucedidas.
Como voc distribuir a carga entre os servidores DNS?

Resposta: configurar o DHCP para alocar os endereos do servidor DNS aos clientes
Examine o documento completo Plano de resoluo de nomes da Contoso na Resposta do

Resultados: ao fim deste exerccio, voc ter selecionado uma configurao do DNS adequada para
a Contoso.
L3-18
L3-19
Exerccio 2: Implantao e configurao do DNS

X Tarefa 1: Instalar a funo DNS em NYC-SVR1
1.
Alterne para NYC-SVR1 e, na Barra de Tarefas, clique em Gerenciador de Servidores.
2.
No painel de navegao do Gerenciador de Servidores, clique em Funes e, no painel direito,

clique em Adicionar funes.
3.
Na pgina Antes de Comear do Assistente para Adicionar Funes, clique em Prximo.
4.
Na lista Funes da pgina Selecionar Funes do Servidor, marque a caixa de seleo Servidor
DNS e clique em Prximo.
5.
Na pgina Servidor DNS, clique em Prximo.
6.
Na pgina Confirmar Selees de Instalao, clique em Instalar.
7.
Na pgina Resultados da Instalao, clique em Fechar.
X Tarefa 2: Criar e configurar uma zona de stub em NYC-DC1

1.
2.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em DNS.
3.
No Gerenciador DNS, expanda NYC-DC1, clique com o boto direito do mouse em Zonas de
pesquisa direta e clique em Nova zona.
4.
No Assistente de Nova Zona, clique em Avanar.
5.
Na pgina Tipo de zona, clique em Zona de stub e em Avanar.
6.
Na pgina Escopo de Replicao de Zona do Active Directory, clique em Avanar.
7.
Na caixa Nome da zona da pgina Nome da Zona, digite Adatum.com e clique em Avanar.
8.
Na lista Servidores Mestres da pgina Servidores DNS Principais, digite 131.107.1.2

e pressione ENTER.
Observao
9.
A validao falhar. O servidor no est online.
Clique em Avanar e, na pgina Concluindo o 'Assistente de Nova Zona', clique em Concluir.
X Tarefa 3: Criar e configurar zonas secundrias em NYC-SVR1

1.
2.
3.

Dnscmd.exe /zoneadd Contoso.com /secondary 10.10.0.10
4.

Dnscmd.exe /zoneadd Adatum.com /secondary 10.10.0.10
5.
6.
No painel de navegao do Gerenciador DNS, expanda NYC-SVR1 e clique em Zonas

de pesquisa direta.
Observe as duas zonas.
X Tarefa 4: Habilitar e configurar transferncias de zona para a Contoso.com

1.
2.
3.

Dnscmd.exe /zoneresetsecondaries Contoso.com /notify /notifylist 10.10.0.24
4.
No painel de navegao do Gerenciador DNS, expanda Zonas de pesquisa direta e contoso.com.
5.
Clique com o boto direito do mouse em contoso.com e clique em Propriedades.
6.
Na caixa de dilogo Propriedades de contoso.com, clique na guia Transferncias de zona.
7.
Clique em Notificar e verifique se o servidor 10.10.0.24 est listado.
8.
Clique em Cancelar.
Observao
A lista pode demorar alguns minutos para ser exibida.
X Tarefa 5: Atualizar dados da zona secundria do servidor mestre

1.
2.
No Gerenciador DNS, pressione F5. Os dados da zona devem aparecer. Caso contrrio, expanda
Zonas de pesquisa direta e Contoso.com.
3.
Clique com o boto direito do mouse em Contoso.com e clique em Transferir do Principal.
4.

Observao Voc no receber dados da Adatum.com, mas a Contoso.com deve ser
populada com registros DNS.
X Tarefa 6: Configurar os clientes para usar o novo servidor de nomes

1.
1.
2.
No DHCP, expanda nyc-dc1.contoso.com.
3.
Expanda IPv4 e clique em Opes de servidor.
4.
No painel direito, clique duas vezes em 006 Servidores DNS.
L3-20
5.
Na caixa de dilogo Opes de Servidor, clique em Remover.
6.
Na caixa Endereo IP, digite 10.10.0.24, clique em Adicionar e em OK.
7.
Resultados: ao fim deste exerccio, voc ter implementado os requisitos descritos no documento
Plano de resoluo de nomes da Contoso.
L3-21
Exerccio 3: Soluo de problemas de DNS

X Tarefa 1: Testar consultas simples e recursivas
1.
Em NYC-DC1, clique em Iniciar, clique em Ferramentas Administrativas e em DNS.
2.
No painel de navegao, clique com o boto direito do mouse em NYC-DC1 e clique em

Propriedades.
3.
Clique na guia Monitorando.
4.
Na guia Monitorando, selecione Uma consulta simples a este servidor DNS e clique
em Testar agora.
5.
Na guia Monitorando, garanta que a opo Uma consulta recursiva a outros servidores DNS
seja selecionada e clique em Testar agora. Observe que o teste recursivo falha para NYC-DC1, o que
normal, pois no h encaminhadores configurados para uso por este servidor DNS.
6.
Clique em Iniciar e, na caixa Pesquisar, digite sc stop dns e pressione ENTER.
7.
No Gerenciador DNS, na caixa de dilogo Propriedades de NYC-DC1, na aba Monitorando, clique

em Testar agora. Agora, os testes Simples e Recursivo falham porque nenhum servidor DNS est
disponvel.
8.
Clique em Iniciar e, na caixa Pesquisar, digite sc start dns e pressione ENTER.
9.
Na guia Monitorando, clique em Testar agora. O teste Simples foi concludo com xito.
10. Feche a caixa de dilogo Propriedades de NYC-DC1.
X Tarefa 2: Verificar os registros SOA com Nslookup

1.
Em NYC-DC1, clique em Iniciar e, na caixa Pesquisar, digite cmd.exe e pressione ENTER
2.

nslookup.exe
3.

set querytype=SOA
4.

Contoso.com
5.
X Tarefa 3: Usar o comando Dnslint para verificar os registros do servidor de nomes

1.
2.
3.

D:
L3-22
4.
L3-23

Cd\Labfiles\Mod03
5.

dnslint /s 10.10.0.10 /d Contoso.com
6.
Leia os resultados do relatrio e feche a janela de relatrios.
7.
X Tarefa 4: Exibir estatsticas de desempenho com o Monitor de Desempenho

1.
2.
Clique em Iniciar, clique com o boto direito do mouse em Computador e clique em Gerenciar.
3.
No painel de listas da janela Gerenciador de Servidores, expanda Diagnstico, expanda

Desempenho, expanda Ferramentas de Monitoramento e clique em Desempenho do Sistema.
4.
No painel central, clique no cone do sinal de mais em verde.
5.
Na lista Contadores disponveis, clique duas vezes em DNS.
6.
Selecione Consulta total recebida e clique em Adicionar.
7.
Selecione Consulta total recebida/s, clique em Adicionar e em OK.
8.
Clique em Iniciar, Ferramentas Administrativas e DNS.
9.
No painel esquerdo, clique com o boto direito do mouse em NYC-DC1 e clique em Propriedades.
10. Clique na guia Monitorando.

11. Na guia Monitorando, selecione Uma consulta simples a este servidor DNS e Uma consulta
recursiva a outros servidores DNS e clique em Testar agora vrias vezes.
12. Desmarque as caixas de seleo de teste Simples e Recursivo e clique em OK. Feche a ferramenta de
gerenciamento DNS.
13. Retorne para o console do Gerenciador de Servidores. O grfico reflete as consultas no servidor.
14. No console do Gerenciador de Servidores, pressione CTRL+G e, em seguida, CTRL+G novamente. Esse
relatrio relaciona o nmero total de consultas que o servidor recebeu.
15. Feche o console do Gerenciador de Servidores.
Resultados: ao fim deste exerccio, voc ter verificado a funcionalidade do DNS com as ferramentas
de soluo de problemas.

estas etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-SVR1 e 10221B-NYC-CL1.
L3-24
L4-25
Mdulo 4: Configurao e soluo de problemas

de TCP/IP IPv6
Laboratrio A: Configurao de um
roteador ISATAP
Exerccio 1: Configurao de uma rede e um cliente IPv6 novos
X Tarefa 1: Configurar o roteamento IPv4
1.
2.
Clique em Iniciar e, na caixa Pesquisar, digite Central de Rede e Compartilhamento e pressione

ENTER.
3.
No Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
4.
Propriedades.
5.
6.
Verifique as propriedades da Conexo Local 4:
Endereo IP: 172.16.16.3
7.
Na caixa de dilogo Propriedades de Conexo Local 4, clique em OK.
8.
Feche todas as janelas abertas em NYC-CL2.
9.
10. Clique em Iniciar e, na caixa Pesquisar, digite Central de Rede e Compartilhamento e pressione
ENTER.
11. No Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
12. Em Conexes de Rede, clique com o boto direito do mouse em Conexo Local 7 e clique em
Propriedades.
13. Clique duas vezes em Protocolo TCP/IP Verso 4 (TCP/IPv4).
14. Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), verifique se o
Gateway padro 10.10.0.1. Clique em OK.
15. Na caixa Propriedades da Conexo Local 7, clique em OK e feche todas as janelas abertas em
NYC-DC1.
X Tarefa 2: Habilitar o roteamento IP em NYC-RTR e confirmar a conectividade IPv4

1.
2.
Clique em Iniciar e, na caixa Pesquisar, digite Regedit e pressione ENTER.
3.
Navegue at HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters.
4.
Clique duas vezes em IPEnableRouter e, na caixa Dados do valor, digite 1. Clique em OK.
5.
Feche o Editor do Registro e reinicie NYC-RTR.
6.
Depois que o computador NYC-RTR for reiniciado, faa logon com as seguintes credenciais:
Senha: Pa$$w0rd
Observao Nesse ponto, somente o trfego IPv4 roteado atravs da infraestrutura de

roteamento IPv4. Como o trfego ICMPv4 bloqueado pelo Firewall do Windows por
padro, voc no poder testar a conectividade executando ping.
X Tarefa 3: Desabilitar o IPv6 em NYC-DC1

1.
2.

ENTER.
3.
4.
Propriedades.
5.
Na caixa de dilogo Propriedades de Conexo Local 7, desmarque a caixa de seleo Protocolo

TCP/IP Verso 6 (TCP/IPv6) e clique em OK.
X Tarefa 4: Desabilitar o IPv4 em NYC-CL2

1.
2.

ENTER.
3.
4.
Propriedades.
5.
Na caixa de dilogo Propriedades de Conexo Local 4, desmarque a caixa de seleo

Protocolo TCP/IP Verso 4 (TCP/IPv4) e clique em OK.
L4-26
6.
7.
L4-27
ipconfig
Observao
A sada deve ser um endereo IPv6 de link-local que comea com fe80.
X Tarefa 5: Configurar um anncio de roteador IPv6 para a rede 2001:db8:0:1::/64 de

endereo global no NYC-RTR
1.
2.
3.

advertise=enabled
4.

X Tarefa 6: Verificar a configurao de IP em NYC-CL2 para garantir a configurao

com um endereo global IPv6 na rede 2001:db8:0:1::/64
1.
2.

ipconfig
Observao A sada deve ser um endereo IPv6 de link-local que comea com fe80. Dois
endereos IP globais que comeam com 2001:db8:0:1: tambm devem estar includos na
sada.
3.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-CL2 somente para IPv6.
Exerccio 2: Configurao de um roteador ISATAP para permitir a

comunicao entre uma rede IPv4 e uma rede IPv6
X Tarefa 1: Adicionar a entrada ISATAP zona DNS em NYC-DC1
1.
2.
Clique em Iniciar, Ferramentas Administrativas e DNS.
3.
No painel esquerdo, expanda NYC-DC1.
4.
Expanda Zonas de pesquisa direta, selecione e clique com o boto direito do mouse em
Contoso.com e clique em Novo Host (A ou AAAA).
5.
Na caixa de dilogo Novo host, digite ISATAP na caixa de texto Nome e digite o endereo IP
10.10.0.1 (para NYC-RTR).
6.
Clique em Adicionar Host e clique em OK.
7.
Clique em Concludo e feche o Gerenciador DNS.
X Tarefa 2: Configurar o roteador ISATAP no NYC-RTR

1.
2.
3.

Netsh interface ipv6 isatap set router 10.10.0.1
4.

ipconfig
5.
Localize o adaptador de tnel isatap.{Interface_Index}: que possui um endereo IPv6 de link-local que
contm 10.10.0.1. Anote o Interface_Index (incluindo as chaves) voc precisar dele em algum
momento.
Interface_Index: ___________________________
6.
Digite o comando a seguir, substituindo Interface_Index pelo nmero (e chaves {}) que voc registrou
anteriormente e pressione ENTER:
netsh interface ipv6 set interface isatap.Interface_Index forwarding=enabled
advertise=enabled
7.
No prompt de comando, digite o comando a seguir, substituindo Interface_Index pelo nmero (e

chaves {}) que voc registrou anteriormente e pressione ENTER:
netsh interface ipv6 add route 2001:db8:0:10::/64 isatap.Interface_Index
publish=yes
8.
Reinicie o NYC-RTR.
L4-28
9.
L4-29
Senha: Pa$$w0rd
10. Clique em Iniciar e, na caixa Pesquisar, digite cmd.exe e pressione ENTER.

11. No prompt de comando, digite o comando a seguir e pressione ENTER:
ipconfig
Observao O adaptador de tnel associado rede 10.10.0.0/16 exibir um endereo

IPv6 no intervalo 2001:db8:0:10.
X Tarefa 3: Habilitar a interface ISATAP em NYC-DC1

1.
2.
3.

Netsh interface isatap set router 10.10.0.1
4.

ipconfig
Observao O adaptador de tnel isatap {Interface_Index} (que o adaptador ISATAP)

recebeu um endereo IPv6 automaticamente do roteador ISATAP.
X Tarefa 4: Testar a conectividade

1.
Clique em Iniciar e, na caixa Pesquisar, digite Firewall do Windows com Segurana Avanada e
pressione ENTER.
2.
No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com o
boto direito do mouse em Regras de Entrada e clique em Nova Regra.
3.
No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado e em
Avanar.
4.
Na pgina Programa, clique em Avanar.
5.
Na pgina Protocolo e Portas, na lista Tipo de protocolo, clique em ICMPv4 e em Avanar.
6.
Na pgina Escopo, clique em Avanar.
7.
Na pgina Ao, clique em Avanar.
8.
Na pgina Perfil, clique em Avanar.
9.
Na pgina Nome, na caixa Nome, digite Permitir PING e clique em Concluir.
10. Alterne para NYC-CL2.


Ping 2001:db8:0:10:0:5efe:10.10.0.10

ipconfig
14. Qual o endereo IPv6?

Resposta: as respostas variam, mas iniciaro com 2001:db8:0:1:.
15. Clique em Iniciar e, na caixa Pesquisar, digite Firewall do Windows com Segurana Avanada e
pressione ENTER.
16. No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com o
boto direito do mouse em Regras de Entrada e clique em Nova Regra.
17. No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado e em
Avanar.
18. Na pgina Programa, clique em Avanar.
19. Na pgina Protocolo e Portas, na lista Tipo de protocolo, clique em ICMPv6 e em Avanar.
20. Na pgina Escopo, clique em Avanar.
21. Na pgina Ao, clique em Avanar.
22. Na pgina Perfil, clique em Avanar.
23. Na pgina Nome, na caixa Nome, digite Permitir PING e clique em Concluir.
24. Alterne para NYC-DC1.
Ping IPv6_address
Onde IPv6_address o endereo IPv6 em NYC-CL2 anotado anteriormente.

Resultados: ao fim deste exerccio, voc ter configurado o ISATAP.

No desligue as mquinas virtuais neste momento, pois voc precisar delas para concluir o prximo
laboratrio.
L4-30
Laboratrio B: Converso da rede

em IPv6 nativo
Exerccio 1: Transio para uma rede IPv6 nativa
Tarefa 1: Desabilitar o roteador ISATAP em NYC-RTR
1.
2.
3.

ipconfig
4.
anteriormente:
netsh interface ipv6 set interface isatap.Interface_Index forwarding=disabled
advertise=disabled
6.
anteriormente:
netsh interface ipv6 delete route 2001:db8:0:10::/64 isatap.Interface_Index
Tarefa 2: Configurar o roteador IPv6 nativo no NYC-RTR

1.

advertise=enabled
2.
L4 -31
Localize o adaptador de tnel isatap.{Interface_Index}: que possui um endereo IPv6 de link-local que
contm 10.10.0.1. Anote o Interface_Index (incluindo as chaves) voc precisar dele em algum
momento.
Interface_Index: ______________________________
5.

X Tarefa 3: Desabilitar a conectividade IPv4

1.

ENTER.
2.
3.
Na caixa Conexes de Rede, clique com o boto direito do mouse em Conexo Local 2 e clique em
Propriedades.
4.
Na caixa de dilogo Propriedades de Conexo Local, desmarque a caixa de seleo Protocolo

TCP/IP Verso 4 (TCP/IPv4) e clique em OK. Feche todas as janelas abertas.
5.
6.

ENTER.
7.
8.
Na caixa Conexes de Rede, clique com o boto direito do mouse em Conexo Local 7 e clique em
Propriedades.
9.
Na caixa de dilogo Propriedades de Conexo Local 7, desmarque a caixa de seleo

Protocolo TCP/IP Verso 4 (TCP/IPv4).
10. Marque a caixa de seleo Protocolo TCP/IP Verso 6 (TCP/IPv6) e clique em OK. Feche todas as
janelas abertas.
X Tarefa 4: Testar a conectividade entre cada sub-rede IPv6

1.
Clique em Iniciar e, na caixa Pesquisar, digite Firewall do Windows com Segurana Avanada e
pressione ENTER.
2.
Na janela Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com
o boto direito do mouse em Regras de Entrada e clique em Nova Regra.
3.
No Assistente para Nova Regra de Entrada, na pgina Tipo de regra, clique em Personalizado e em
Avanar.
4.
5.
Na pgina Protocolo e Portas, na lista Tipo de protocolo, clique em ICMPv6 e em Avanar.
6.
Na pgina Escopo, clique em Avanar.
7.
Na pgina Ao, clique em Avanar.
8.
Na pgina Perfil, clique em Avanar.
9.
Na caixa Nome da pgina Nome, digite Permitir PING para IPv6 e clique em Concluir.

ipconfig
Anote o novo endereo IPv6 (o endereo global comea com 2001:) atribudo conexo local. Anote
o endereo IPv6 no espao a seguir.
Endereo IPv6 de NYC-DC1: _____________________________________________
L4-32
L4-33

Ping global_IP_address
Onde global_IP_address o endereo de NYC-DC1 que voc anotou anteriormente.

Ipconfig /all
Anote o endereo IPv6 (o endereo global comea com 2001:) atribudo conexo local. Anote o
endereo IPv6 no espao a seguir.
Endereo IPv6 de NYC-CL2: _____________________________________________
16. Alterne para NYC-DC1 e para o Prompt de Comando.
Ping global_IP_address
Onde global_IP_address o endereo de NYC-CL2 que voc anotou anteriormente.

Resultados: ao fim deste exerccio, voc ter configurado uma rede somente IPv6.

etapas:
1.
2.
Reverter.
3.
4.
Repita essas etapas para 10221B-NYC-RTR e 10221B-NYC-CL2.
L5-35
Mdulo 5: Configurao e soluo de problemas de

Roteamento e Acesso Remoto
Laboratrio A: Configurao e
gerenciamento do acesso rede
Exerccio 1: Configurao do Roteamento e Acesso Remoto como uma
X Tarefa 1: Instalar a funo Servios de Acesso e Diretiva de Rede
em 10221B-NYC-EDGE1
1.
Em NYC-EDGE1, se o Gerenciador de Servidores no for aberto automaticamente, no menu

Ferramentas Administrativas, clique em Gerenciador de Servidores. O Gerenciador de Servidores
ser aberto.
2.
No painel de lista Gerenciador de Servidores (NYC-EDGE1), clique com o boto direito do mouse
em Funes e clique em Adicionar funes no menu de contexto. O Assistente para Adicionar
Funes ser exibido. Clique em Prximo.
3.
Na pgina Selecionar Funes do Servidor, selecione Servios de Acesso e Diretiva de Rede e

clique em Prximo.
4.
Na pgina Servios de Acesso e Diretiva de Rede, clique em Prximo.
5.
Na pgina Selecionar Servios de Funo, marque as caixas de seleo Servidor de Diretivas de

Rede e Servios de Roteamento e Acesso Remoto e clique em Prximo.
6.
7.
Na pgina Resultados da Instalao, verifique se Instalao bem-sucedida exibida no painel de

detalhes e clique em Fechar.
8.
Feche o Gerenciador de Servidores. As funes Diretiva de Rede e Servios de Roteamento e Acesso

Remoto so instaladas em 10221B-NYC-Edge1.
X Tarefa 2: Configurar 10221B-NYC-EDGE1 como um servidor VPN com um pool de

endereos estticos para clientes de Acesso Remoto
1.
Em NYC-EDGE1, clique em Iniciar e em Ferramentas Administrativas.
2.
No menu Ferramentas Administrativas, clique em Roteamento e acesso remoto. Ser exibida a

ferramenta administrativa Roteamento e Acesso Remoto.
3.
No painel de lista, selecione e clique com o boto direito do mouse em NYC-EDGE1 (local) e clique
4.
Clique em Avanar na pgina Assistente para Configurao do Servidor de Roteamento e

Acesso Remoto do assistente.
5.
Na pgina Configurao, deixe a opo padro, Acesso remoto (dial-up ou rede virtual privada),
selecionada e clique em Avanar.
6.
Na pgina Acesso remoto, marque a caixa de seleo VPN e clique em Avanar.
7.
Na pgina Conexo VPN, selecione a interface Public e clique em Avanar.
8.
Na pgina Atribuio de endereo IP, selecione De um intervalo de endereos especificado e

clique em Avanar.
9.
Na pgina Atribuio de intervalo de endereos, clique em Novo e, na caixa Endereo IP inicial,

digite o valor 10.10.0.60. Na caixa Nmero de endereos, digite o valor 75 e clique em OK. Clique
em Avanar.
10. Na pgina Gerenciando mltiplos servidores de acesso remoto, mantenha a opo padro No,
usar o 'Roteamento e acesso remoto' para autenticar pedidos de conexo e, em seguida, clique
em Avanar. Clique em Concluir.
11. Na caixa de dilogo Roteamento e acesso remoto, clique em OK.
12. Na caixa de dilogo Roteamento e acesso remoto relativa ao agente de rel DHCP, clique em OK.
O servio Roteamento e Acesso Remoto iniciado.
X Tarefa 3: Configurar as portas VPN disponveis no servidor de Roteamento e Acesso

Remoto para permitir 25 conexes PPTP e 25 conexes L2TP
1.
Na interface da ferramenta de gerenciamento do Roteamento e Acesso Remoto, expanda NYCEDGE1 (local), selecione e clique com o boto direito do mouse em Portas e clique em
Propriedades.
2.
Na caixa de dilogo Propriedades de Portas, clique duas vezes em WAN Miniport (SSTP).
3.
Na caixa de dilogo Configurar dispositivo WAN Miniport(SSTP), atribua o valor 25 na caixa

Nmero mximo de portas e clique em OK.
4.
Na caixa de dilogo Roteamento e acesso remoto, clique em Sim para continuar.
5.
Na caixa de dilogo Propriedades de Portas, clique duas vezes em WAN Miniport (PPTP) e, na
caixa de dilogo Configurar dispositivo WAN Miniport(PPTP), atribua um valor de 25 na caixa
Nmero mximo de portas e clique em OK.
6.
Na caixa de dilogo Roteamento e acesso remoto, clique em Sim para continuar.
7.
Repita esse procedimento, com o mesmo valor (25), para WAN Miniport (L2TP).
8.
Clique em OK na caixa de dilogo Propriedades de Portas.
9.
Feche a ferramenta administrativa Roteamento e Acesso Remoto.
Resultados: ao fim deste exerccio, voc ter habilitado o roteamento e acesso remoto no servidor
NYC-EDGE1.
L5-36
L5-37
Exerccio 2: Configurao de uma poltica de rede personalizada

X
Tarefa 1: Abrir a ferramenta de gerenciamento do Servidor de Diretivas de Rede em

10221B-NYC-EDGE1
1.
Em NYC-EDGE1, clique em Iniciar e em Ferramentas Administrativas.
2.
No menu Ferramentas Administrativas, clique em Servidor de Diretivas de Rede. A ferramenta

administrativa Servidor de Diretivas de Rede exibida.
Tarefa 2: Criar uma nova poltica de rede para clientes RRAS
1.
No painel de lista, expanda Diretivas, clique com o boto direito do mouse em Diretivas de Rede e
clique em Novo.
2.
Na pgina Nova Diretiva de Rede Especificar Nome de Diretiva de Rede e Tipo de Conexo,
digite VPN Segura na caixa de texto Nome da diretiva e, na lista suspensa Tipo de servidor de
acesso rede, clique em Remote Access Server(VPN-Dial up) e em Avanar.
3.
Na pgina Especificar Condies, clique em Adicionar. Na caixa de dilogo Selecionar condio,

role para baixo e clique duas vezes em Tipo de Tnel.
4.
Na caixa de dilogo Tipo de Tnel, selecione L2TP, PPTP e SSTP, clique em OK e em Avanar.
5.
Na pgina Especificar Permisso de Acesso, deixe o padro de Acesso concedido e clique em

Avanar.
6.
Na pgina Configurar Mtodos de Autenticao, desmarque a opo Autenticao

Criptografada da Microsoft (MS-CHAP) e clique em Avanar.
7.
Na pgina Configurar Restries, em Restries, clique em Restries de dia e horrio e, no

painel de detalhes, selecione Permitir acesso somente nos seguintes dias e horrios e clique em
Editar.
8.
Na caixa de dilogo Restries de dia e horrio, clique no primeiro retngulo azul no canto
esquerdo que representa domingo, de 00:00 para 01:00. Mantenha o boto do mouse pressionado
e arraste o mouse para realar todo o domingo. Clique em Negado. Repita esse procedimento para
todo o sbado. Clique em OK e em Avanar.
9.
Na pgina Definir Configuraes, em Roteamento e Accesso Remoto, clique em Criptografia e,

no painel de detalhes, desmarque todas as configuraes, exceto Criptografia mxima (MPPE de
128 bits). Clique em Avanar e em Concluir.
10. No painel de lista da ferramenta Servidor de Diretivas de Rede, clique no n Diretivas de Rede.
11. Se necessrio, clique com o boto direito do mouse na diretiva VPN Segura e clique em Mover para
Cima. Repita essa etapa para que a diretiva seja a primeira na lista.
12. Feche a ferramenta Servidor de Diretivas de Rede.
1.
2.
Clique em Iniciar e em Painel de Controle.
3.
Na janela Painel de Controle, em Rede e Internet, clique em Exibir o status e as tarefas da rede.
4.
Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
5.
Clique com o boto direito do mouse em Conexo Local 4 e clique em Propriedades.
6.
Selecione Protocolo TCP/IP Verso 4 (TCP/IPv4) e clique em Propriedades.
7.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), verifique se a opo

Usar o seguinte endereo IP est marcada.
8.
Configure as definies de endereo IP a seguir e clique em OK:
9.
Endereo IP: 131.107.0.20
Clique em OK e no boto Voltar para retornar ao Central de Rede e Compartilhamento.
10. Na janela Central de Rede e Compartilhamento, em Alterar as configuraes de rede, clique em

Configurar uma nova conexo ou rede. Na caixa de dilogo Escolher uma opo de conexo,
clique em Conectar a um local de trabalho e em Avanar.
11. Na caixa de dilogo Conectar a um local de trabalho, selecione a opo Usar minha conexo com
a Internet (VPN). Quando solicitado, selecione Configurarei minha conexo com a Internet mais
tarde.
12. Na caixa de dilogo Digite o endereo da Internet com o qual se conectar, especifique o endereo
na Internet 131.107.0.2 e o Nome do destino VPN da Contoso e clique em Avanar.
13. Na pgina Digite o seu nome de usurio e a senha, deixe o nome de usurio e a senha em branco
e clique em Criar.
14. Clique em Fechar na caixa de dilogo Conectar a um Local de Trabalho.
15. Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
16. Na pgina Conexes de Rede, clique com o boto direito do mouse em VPN da Contoso e clique
em Conectar.
17. Use as informaes a seguir nas caixas de texto Conectar VPN da Contoso e clique em Conectar:
Senha: Pa$$w0rd
Domnio: CONTOSO
18. Clique com o boto direito do mouse em VPN da Contoso e clique em Desconectar. A VPN
desconecta-se.
19. Feche todas as janelas abertas em NYC-CL1.
Resultados: ao fim deste exerccio, voc ter criado e testado uma conexo VPN.
L5-38
L5-39
Exerccio 3: Criao e distribuio de um perfil CMAK

X Tarefa 1: Instalar o recurso CMAK em NYC-CL1
1.
2.
No Painel de Controle, clique em Programas.
3.
Em Programas, clique em Ativar ou desativar recursos do Windows.
4.
Na lista Recursos do Windows, marque a caixa de seleo Kit de Administrao do Gerenciador

de Conexes (CMAK) RAS e clique em OK.
5.
Feche Programas e Painel de Controle.
X Tarefa 2: Criar o perfil de conexo

1.
Clique em Iniciar e, na caixa Pesquisar, digite Kit de Administrao do Gerenciador de Conexes,

clique na lista Programas (1) e em Kit de Administrao do Gerenciador de Conexes.
2.
No Assistente do Kit de Administrao do Gerenciador de Conexes, clique em Avanar.
3.
Na pgina Selecionar o Sistema Operacional de Destino, clique em Windows 7 ou Windows

Vista e clique em Avanar.
4.
Na pgina Criar ou Modificar um Perfil do Gerenciador de Conexes, clique em Novo perfil e em

Avanar.
5.
Na pgina Especificar o Nome do Servio e o Nome do Arquivo, na caixa Nome do servio,

digite SC da Contoso, na caixa Nome do arquivo, digite Contoso e clique em Avanar.
6.
Na pgina Especificar um Nome de Realm, select em No adicionar um nome de realm ao nome

de usurio e clique em Avanar.
7.
Na pgina Mesclar Informaes de Outros Perfis, clique em Avanar.
8.
Na pgina Adicionar Suporte a Conexes VPN, marque a caixa de seleo Catlogo telefnico
deste perfil.
9.
Na caixa Nome ou endereo IP do servidor VPN, digite 131.107.0.2 e clique em Avanar.
10. Na pgina Criar ou Modificar uma Entrada de VPN, clique em Avanar.

11. Na pgina Adicionar um Catlogo Telefnico Personalizado, desmarque a caixa de seleo
Download automtico de atualizaes do catlogo telefnico e clique em Avanar.
12. Na pgina Configurar Entradas de Sistema de Rede Dial-up, clique em Avanar.
13. Na pgina Especificar as Atualizaes das Tabelas de Roteamento, clique em Avanar.
14. Na pgina Configurar Definies de Proxy do Internet Explorer, clique em Avanar.
15. Na pgina Adicionar Aes Personalizadas, clique em Avanar.
16. Na pgina Exibir um Bitmap de Logon Personalizado, clique em Avanar.
17. Na pgina Exibir um Bitmap de Catlogo Telefnico Personalizado, clique em Avanar.
18. Na pgina Exibir cones Personalizados, clique em Avanar.
19. Na pgina Incluir um Arquivo de Ajuda Personalizado, clique em Avanar.
20. Na pgina Exibir Informaes de Suporte Personalizadas, clique em Avanar.
21. Na pgina Exibir um Contrato de Licena Personalizado, clique em Avanar.

22. Na pgina Instalar Arquivos Adicionais com o Perfil do Gerenciador de Conexes, clique em
Avanar.
23. Na pgina Crie o perfil e o programa de instalao do Gerenciador de Conexes, clique em
Avanar.
24. Na pgina O perfil do Gerenciador de Conexes foi concludo e est pronto para ser
distribudo, clique em Concluir.
X Tarefa 3: Distribuir o perfil

1.
2.
Clique em Iniciar, em Computador e clique duas vezes AllFiles (D:).
3.
No menu do Windows Explorer, clique em Nova pasta, digite Perfil da Contoso e pressione ENTER.
4.
Clique com o boto direito do mouse em Perfil da Contoso e clique em Propriedades.
5.
Na guia Compartilhamento, clique em Compartilhamento Avanado.
6.
Na caixa de dilogo Compartilhamento Avanado, marque a caixa de seleo Compartilhar a

pasta e clique em Permisses.
7.
Na caixa de dilogo Permisses para Perfil da Contoso, clique em Adicionar.
8.
Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, na caixa

Digite os nomes de objeto a serem selecionados (exemplos), digite administradores e clique em
OK.
9.
Na caixa de dilogo Permisses para Perfil da Contoso, na lista Permisses para

Administradores, marque a caixa de seleo Controle total e clique em OK.
10. Na caixa de dilogo Compartilhamento Avanado, clique em OK.

11. Na caixa de dilogo Propriedades de Perfil da Contoso, clique em Fechar.
13. Clique em Iniciar e, na caixa Pesquisar, digite Central de Rede e Compartilhamento e pressione
ENTER.
14. Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
em Conectar.
Senha: Pa$$w0rd
Domnio: Contoso
L5-40
17. Clique em Iniciar e, na caixa Pesquisar, digite \\nyc-dc1\Perfil da Contoso e pressione ENTER.
18. Clique em Iniciar e, na caixa Pesquisar, digite C:\Arquivos de
Programas\CMAK\Profiles\Windows 7 and Windows Vista\Contoso.
19. Realce todos os arquivos na janela aberta do Explorer e pressione CTRL + C.
20. Alterne para a pasta \\NYC-DC1\Perfil da Contoso e pressione CTRL + V.
21. Feche todas as janelas abertas.
22. Clique em Iniciar e, na caixa Pesquisar, digite \\nyc-dc1\Perfil da Contoso e pressione ENTER.
23. Clique duas vezes no aplicativo Contoso.
24. Na caixa de dilogo SC da Contoso, clique em Sim.
25. Na pgina Tornar esta conexo disponvel para, clique em Todos os usurios, selecione
Adicionar um atalho na rea de trabalho e clique em OK.
26. Na caixa de dilogo SC da Contoso, clique em Cancelar.
27. Em Conexes de Rede, clique com o boto direito do mouse em VPN da Contoso e clique em
Desconectar.
28. Na rea de trabalho, clique duas vezes em SC da Contoso Atalho.
29. Use as informaes a seguir nas caixas de texto SC da Contoso e clique em Conectar:
Senha: Pa$$w0rd
Domnio: Contoso
L5-41
30. Clique com o boto direito do mouse em SC da Contoso - Atalho e clique em Desconectar. A VPN
desconecta-se.
31. Feche todas as janelas abertas em NYC-CL1.
Resultados: ao fim deste exerccio, voc ter criado e distribudo um perfil CMAK.
X Preparando-se para o prximo laboratrio

etapas:
1.
2.
Reverter.
3.
4.
Laboratrio B: Configurao
e gerenciamento do DirectAccess
Exerccio 1: Configurao do DNS e do controlador de domnio do AD DS
Tarefa 1: Criar um grupo de segurana para computadores DirectAccess
1.
2.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usurios e

Computadores do Active Directory.
3.
Na rvore de console Usurios e Computadores do Active Directory, expanda contoso.com,

clique com o boto direito do mouse em Users, aponte para Novo e clique em Grupo.
4.
Na caixa de dilogo Novo Objeto - Grupo, em Nome do grupo, digite Clientes_DA.
5.
Em Escopo do grupo, selecione Global, em Tipo de grupo, escolha Segurana e clique em OK.
6.
No painel de detalhes, clique duas vezes em Clientes_DA.
7.
Na caixa de dilogo Propriedades de Clientes_DA, clique na guia Membros e em Adicionar.
8.
Na caixa de dilogo Selecionar Usurios, Contatos, Computadores, Contas de Servio ou

Grupos, clique em Tipos de objeto, clique na caixa de seleo Computadores e em OK.
9.
Em Digite os nomes de objeto a serem selecionados (exemplos), digite NYC-CL1 e clique em OK.
10. Verifique se NYC-CL1 exibido abaixo de Membros e clique em OK.

11. Feche o console Usurios e Computadores do Active Directory.
Pergunta: por que voc criou o grupo Clientes_DA?
Resposta: para habilitar o aplicativo das configuraes de segurana do DirectAccess para
computadores DirectAccess que so membros desse grupo de segurana.
Tarefa 2: Configurar regras de firewall para trfego ICMPv6

Observao Essa tarefa executada para habilitar testes subsequentes do DirectAccess no
ambiente de laboratrio.
1.
Clique em Iniciar, em Ferramentas Administrativas e em Gerenciamento de Diretiva de Grupo.
2.
Na rvore de console, abra Floresta: contoso.com\Domnios\contoso.com.
3.
Na rvore de console, clique com o boto direito do mouse em Default Domain Policy e clique em
Editar.
4.
Na rvore de console do Editor de Gerenciamento de Diretiva de Grupo, abra Configurao do

Computador\Diretivas\Configuraes do Windows\Configuraes de segurana\Firewall do
Windows com Segurana Avanada\Firewall do Windows com Segurana Avanada.
5.
Na rvore de console, clique em Regras de Entrada, clique com o boto direito do mouse em
Regras de Entrada e clique em Nova Regra.
6.
Na pgina Tipo de regra, clique em Personalizado e em Avanar.
L5-42
7.
8.
Na pgina Protocolo e Portas, para Tipo de protocolo, select em ICMPv6 e em Personalizar.
9.
Na caixa de dilogo Personalizar Configuraes ICMP, clique em Tipos especficos de ICMP,

selecione Solicitao de Eco e clique em OK.
Laboratrio B: Implementao do DirectAccess
L5-43
10. Clique em Avanar.

12. Na pgina Ao, clique em Avanar.
14. Na pgina Nome, para Nome, digite Solicitaes de Eco ICMPv6 de Entrada e clique em Concluir.
15. Na rvore de console, clique em Regras de Sada, clique com o boto direito do mouse em Regras
de Sada e clique em Nova Regra.
16. Na pgina Tipo de regra, clique em Personalizado e em Avanar.
17. Na pgina Programa, clique em Avanar.
18. Na pgina Protocolo e Portas, para Tipo de protocolo, clique em ICMPv6 e em Personalizar.
19. Na caixa de dilogo Personalizar Configuraes ICMP, clique em Tipos especficos de ICMP,
selecione Solicitao de Eco e clique em OK.
20. Clique em Avanar.
22. Na pgina Ao, clique em Permitir a conexo e clique em Avanar.
24. Na pgina Nome, para Nome, digite Solicitaes de Eco ICMPv6 de Sada e clique em Concluir.
25. Feche os consoles do Editor de Gerenciamento de Diretiva de Grupo e do Gerenciamento de Diretiva

de Grupo.
X Tarefa 3: Criar registros DNS exigidos em NYC-DC1

1.
2.
Na rvore de console do Gerenciador DNS, expanda NYC-DC1\Zonas de pesquisa

direta\contoso.com.
3.
Clique com o boto direito do mouse em contoso.com e clique em Novo Host (A ou AAAA).
4.
Na caixa Nome (usa domnio pai se deixado em branco), digite nls. Na caixa Endereo IP, digite
10.10.0.24. Clique em Adicionar host e clique em OK.
5.
Na caixa de dilogo Novo Host, digite CRL em Nome (usa domnio pai se deixado em branco).
Na caixa Endereo IP, digite 10.10.0.15 e clique em Adicionar host.
6.
Na caixa de dilogo DNS, que informa que o registro foi criado, clique em OK.
7.
Clique em Concludo na caixa de dilogo Novo host.
8.
Feche o console do Gerenciador DNS.
Pergunta: qual a finalidade do registro de host DNS nls.contoso.com que voc associou a
um endereo IP interno?
Resposta: permitir que os clientes DirectAccess baseados na intranet localizem o Servidor do
Local da Rede na intranet.
X Tarefa 4: Remover o ISATAP da lista de bloqueios de consulta global DNS

1.
Clique em Iniciar, Todos os Programas, Acessrios e em Prompt de Comando.
2.
Na janela de prompt de comando, digite o comando a seguir e pressione ENTER:

dnscmd /config /globalqueryblocklist wpad
3.
Feche a janela de prompt de comando.
Resultados: ao fim deste exerccio, voc ter preparado o AD DS e o DNS para oferecer suporte
implantao do DirectAccess.
L5-44
L5-45
Exerccio 2: Configurao do ambiente da PKI

X Tarefa 1: Definir as configuraes de distribuio da CRL
1.
Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em

certification authority.
2.
No painel de detalhes, clique com o boto direito do mouse em ContosoCA e clique em

Propriedades.
3.
Na caixa de dilogo Propriedades de ContosoCA, clique na guia Extenses.
4.
Na guia Extenses, clique em Adicionar. Na caixa Local, digite http://crl.contoso.com/crld/

(em ingles).
5.
Em Varivel, clique em <CaName> e clique em Inserir.
6.
Em Varivel, clique em <CRLNameSuffix> e clique em Inserir.
7.
Em Varivel, clique em <DeltaCRLAllowed> e clique em Inserir.
8.
Em Local, digite .crl no final da cadeia de caracteres Local e clique em OK.
9.
Selecione Incluir em listas de certific. revogados. Usado para encontrar listas delta e Incluir na
extenso CDP de certificados emitidos e clique em Aplicar. Clique em No na caixa de dilogo
que solicita que voc reinicie os Servios de Certificados do Active Directory.
10. Clique em Adicionar.

11. Em Local, digite \\nyc-Edge1\crldist$\.
12. Em Varivel, clique em <CaName> e clique em Inserir.
13. Em Varivel, clique em <CRLNameSuffix> e clique em Inserir.
14. Em Varivel, clique em <DeltaCRLAllowed> e clique em Inserir.
15. Em Local, digite .crl no final da cadeia de caracteres e clique em OK.
16. Selecione Publicar listas de certificados revogados neste local e Publicar listas de certificados
revogados delta neste local e clique em OK.
17. Clique em Sim para reiniciar os Servios de Certificado do Active Directory.
18. Feche o console da Autoridade de Certificao.
Pergunta: qual a finalidade da lista de certificados revogados?
Resposta: permitir que clientes e servidores DirectAccess determinem se os certificados
emitidos (usados para autenticao) foram revogados.
X Tarefa 2: Configurar o sufixo DNS em Edge1

1.
Alterne para NYC-Edge1.
2.

ENTER.
3.
Clique em Alterar as configuraes do adaptador.
4.
Clique com o boto direito do mouse em Conexo local 2 e clique em Propriedades.
5.
6.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Avanado.
7.
Na guia DNS, na caixa Sufixo DNS para esta conexo, digite Contoso.com e clique em OK.
8.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em OK.
9.
Na caixa de dilogo Propriedades de Conexo local 2, clique em OK.
10. Feche Conexes de Rede.
X Tarefa 3: Instalar a funo Servidor Web em Edge1

1.
Em NYC-Edge1, alterne para Gerenciador de Servidores.
2.
Na rvore de console do Gerenciador de Servidores, clique em Funes. No painel de detalhes, clique

em Adicionar funes e em Prximo.
3.
Na pgina Selecionar Funes do Servidor, clique em Servidor Web (IIS) e clique em Prximo trs
vezes.
4.
Clique em Instalar.
5.
Verifique se todas as instalaes foram bem-sucedidas e clique em Fechar.
6.
Deixa a janela Gerenciador de Servidores aberta.
X Tarefa 4: Criar o ponto de distribuio da CRL em NYC-EDGE1

1.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador do Servios

de Informaes da Internet (IIS).
2.
Na rvore de console, navegue para NYC-EDGE1\Sites\Default Web Site, clique com o boto
direito do mouse em Default Web Site e clique em Adicionar Diretrio Virtual.
3.
Na caixa de dilogo Adicionar Diretrio Virtual, na caixa Alias, digite CRLD. Prximo de Caminho
fsico, clique no boto de reticncias .
4.
Na caixa de dilogo Procurar Pasta, clique em Disco Local (C:) e em Criar Nova Pasta.
5.
Digite CRLDist e pressione ENTER. Clique em OK na caixa de dilogo Procurar Pasta.
6.
Clique em OK na caixa de dilogo Adicionar Diretrio Virtual.
7.
No painel central do console, clique duas vezes em Pesquisa no Diretrio e, no painel de detalhes,
clique em Habilitar.
8.
Na rvore de console, expanda Default Web Site, e clique na pasta CRLD.
9.
No painel central do console, clique duas vezes no cone Editor de Configuraes.
10. Clique na seta para baixo da lista suspensa Seo e navegue para
system.webServer\security\requestFiltering.
11. No painel central do console, clique duas vezes na entrada allowDoubleEscaping para alterar o valor
de False para True.
12. No painel de Aes, clique em Aplicar.
13. Feche o Gerenciador dos Servios de Informaes da Internet (IIS).
Pergunta: por que voc disponibiliza a CRL no servidor DirectAccess na rede de permetro?
Resposta: para que os clientes DirectAccess na Internet possam acessar a CRL.
L5-46
L5-47
X Tarefa 5: Compartilhar e proteger o ponto de distribuio da CRL

Observao
Execute essa etapa para atribuir permisses ao ponto de distribuio da CRL.
1.
Clique em Iniciar e em Computador.
2.
Clique duas vezes em Disco Local (C:).
3.
No painel de detalhes do Windows Explorer, clique com o boto direito do mouse na pasta CRLDist
e clique em Propriedades.
4.
Na caixa de dilogo Propriedades de CRLDist, clique na guia Compartilhamento e em

Compartilhamento Avanado.
5.
Na caixa de dilogo Compartilhamento Avanado, selecione Compartilhar a pasta.
6.
Em Nome do compartilhamento, adicione um cifro ($) ao final para que o nome seja CRLDist$.
7.
Na caixa de dilogo Compartilhamento Avanado, clique em Permisses.
8.
Na caixa de dilogo Permisses para CRLDist$, clique em Adicionar.
9.
Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, clique em

Tipos de objeto.
10. Na caixa de dilogo Tipos de objeto, selecione Computadores e clique em OK.

11. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, na caixa
Digite os nomes de objeto a serem selecionados, digite NYC-DC1 e clique em Verificar nomes.
Clique em OK.
12. Na caixa de dilogo Permisses para CRLDist$, selecione NYC-DC1 (CONTOSO\NYC-DC1$) na
lista Nomes de grupo ou usurio. Na seo Permisses para NYC-DC1, selecione Permitir para
Controle total. Clique em OK.
13. Na caixa de dilogo Compartilhamento Avanado, clique em OK.
14. Na caixa de dilogo Propriedades de CRLDist, clique na guia Segurana.
15. Na guia Segurana, clique em Editar.
16. Na caixa de dilogo Permisses para CRLDist, clique em Adicionar.
17. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, clique em
Tipos de objeto.
18. Na caixa de dilogo Tipos de objeto, selecione Computadores. Clique em OK.
19. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, na caixa
Digite os nomes de objeto a serem selecionados, digite NYC-DC1, clique em Verificar nomes e
em OK.
20. Na caixa de dilogo Permisses para CRLDist, selecione NYC-DC1 (CONTOSO\NYC-DC1$) na lista
Nomes de grupo ou usurio. Na seo Permisses para NYC-DC1, selecione Permitir para
Controle total e clique em OK.
21. Na caixa de dilogo Propriedades de CRLDist, clique em Fechar.
22. Feche a janela do Windows Explorer.
X Tarefa 6: Publicar a CRL em NYC-EDGE1

Observao Essa etapa disponibiliza a CRL no servidor de borda para clientes
DirectAccess baseados na Internet.
1.
2.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em certification authority.
3.
Na rvore de console, abra ContosoCA, clique com o boto direito do mouse em Certificados
revogados, aponte para Todas as tarefas e clique em Publicar.
4.
Na caixa de dilogo Publicar Lista de Certificados Revogados, select em Nova Lista de

certificados revogados e em OK.
5.
Clique em Iniciar, digite \\NYC-EDGE1\CRLDist$ e pressione ENTER.
6.
Na janela do Windows Explorer, voc deve ver os arquivos ContosoCA e ContosoCA+.
7.
Feche a janela do Windows Explorer.
8.
Feche o console da Autoridade de Certificao.
X Tarefa 7: Configurar permisses no modelo de certificado do Servidor Web

Observao
Os usurios exigem a permisso Registrar no certificado.
1.
Clique em Iniciar, digite certtmpl.msc e pressione ENTER.
2.
No painel de contedo, clique com o boto direito do mouse no modelo Servidor Web e clique em
Propriedades.
3.
Clique na guia Segurana e em Usurios Autenticados.
4.
Na janela Permisses para Usurios autenticados, clique em Registrar em Permitir e clique em OK.
5.
Feche o console de Modelos de Certificado
X Tarefa 8: Configurar o registro automtico do certificado do computador

1.
Clique em Iniciar, em Ferramentas Administrativas e em Gerenciamento de Diretiva de Grupo.
2.
Na rvore de console, expanda Floresta: Contoso.com, expanda Domnios e clique em

Contoso.com.
3.
No painel de detalhes, clique com o boto direito do mouse na Default Domain Policy e clique em
Editar.
4.
Na rvore de console do Editor de Gerenciamento de Diretiva de Grupo, abra Configurao do

Computador\Diretivas\Configuraes do Windows\Configuraes de Segurana\Diretivas de
chave pblica.
5.
No painel de detalhes, clique com o boto direito do mouse em Configuraes de solicitao

automtica de certificado, aponte para Novo e clique em Solicitao de Certificado Automtica.
6.
No Assistente para Instalao de Solicitao Automtica de Certificado, clique em Avanar.
L5-48
L5-49
7.
Na pgina Modelo de Certificado, clique em Computador, em Avanar e em Concluir.
8.
Feche o Editor de Gerenciamento de Diretiva de Grupo e o console do Gerenciamento de Diretiva

de Grupo.
Pergunta: por que voc usaria o GPO para configurar a implantao de certificado?
Resposta: para implantar de maneira mais rpida e fcil os certificados exigidos para
computadores cliente DirectAccess.
Resultados: ao fim deste exerccio, voc ter configurado a infraestrutura de chave pblica na
Contoso para oferecer suporte implantao do DirectAccess.
Exerccio 3: Configurao dos clientes DirectAccess e teste do acesso

intranet
X Tarefa 1: Criar uma pasta compartilhada
Observao Essa etapa necessria para fornecer alguns dados que os clientes da
intranet e da Internet podem acessar.
1.
2.
Clique em Iniciar e em Computador.
3.
Clique duas vezes em Disco Local (C:).
4.
Clique em Nova pasta, digite Arquivos e pressione ENTER. Deixe a janela Disco Local aberta.
5.
Clique em Iniciar, em Todos os Programas, em Acessrios, clique com o boto direito do mouse
em Bloco de Notas e clique em Executar como administrador.
6.
Na janela Sem ttulo Bloco de Notas, digite Este um arquivo compartilhado.
7.
Clique em Arquivo, em Salvar, clique duas vezes em Computador, duas vezes em Disco Local (C:) e
duas vezes na pasta Arquivos.
8.
Em Nome, digite exemplo.txt e clique em Salvar. Feche a janela do Bloco de Notas.
9.
Na janela Disco Local, clique com o boto direito do mouse na pasta Arquivos, aponte para
Compartilhar com e clique em Pessoas especficas.
10. Clique em Compartilhar e em Pronto.

11. Feche a janela Disco Local.
X Tarefa 2: Solicitar um certificado para NYC-SVR1

1.
Clique em Iniciar, digite cmd e pressione ENTER.
2.
No prompt de comando, digite gpupdate /force e pressione ENTER.
3.
4.
Clique em Iniciar, digite mmc e pressione ENTER.
5.
Clique em Arquivo e em Adicionar/remover snap-in.
6.
Clique em Certificados, em Adicionar, selecione Conta de computador, clique em Avanar,

selecione Computador local: (o computador onde este console est sendo executado), clique
em Concluir e em OK.
7.
Na rvore de console do snap-in de Certificados, abra Certificados (Computador Local)

\Pessoal\Certificados.
8.
Clique com o boto direito do mouse em Certificados, aponte para Todas as Tarefas e clique em
Solicitar novo certificado.
9.
Clique em Avanar duas vezes.
10. Na pgina Solicitar certificados, check em Servidor Web e clique em Mais informaes so
necessrias para se registrar neste certificado. Clique aqui para definir as configuraes.
L5-50
L5-51
11. Na guia Requerente da caixa de dilogo Propriedades do Certificado, em Nome de requerente,

para Tipo, selecione Nome comum.
12. Em Valor, digite nls.contoso.com e clique em Adicionar.
13. Clique em OK, em Registrar e em Concluir.
14. No painel de detalhes do snap-in de Certificados, verifique se um novo certificado com o nome
nls.contoso.com foi registrado com Finalidades de Autenticao de Servidor.
15. Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
X Tarefa 3: Alterar as ligaes HTTPS

1.
Clique em Iniciar, aponte para Ferramentas administrativas e clique em Gerenciador do Servios

de Informaes da Internet (IIS).
2.
Na rvore de console do Gerenciador do Servios de Informaes da Internet (IIS), expand NYCSVR1/Sites e clique em Default Web Site.
3.
No painel Aes, clique em Ligaes. Clique em Adicionar.
4.
Na caixa de dilogo Adicionar Ligao do Site, clique em https, em Certificado SSL, clique no
certificado com o nome nls.contoso.com, clique em OK e em Fechar.
5.
Feche o console do Gerenciador do Servios de Informaes da Internet (IIS).
X Tarefa 4: Instalar um certificado no computador cliente

1.
2.
Clique em Iniciar, digite cmd e pressione ENTER.
3.
No prompt de comando, digite gpupdate /force e pressione ENTER.
4.
5.
6.
7.
Clique em Certificados, em Adicionar, selecione Conta de computador, clique em Avanar,

selecione Computador local: (o computador onde este console est sendo executado), clique
em Concluir e em OK.
8.
Na rvore de console, expanda Certificados (Computador Local)\Pessoal\Certificados.
9.
10. Clique em Avanar duas vezes.

11. Selecione Computador e clique em Registrar. Clique em Concluir.
12. No painel de detalhes, verifique se um certificado com o nome NYC-CL1.contoso.com est presente
com Finalidades de Autenticao de Cliente e Autenticao de Servidor.
13. Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
Pergunta: por que voc instalou um certificado no computador cliente?
Resposta: sem um certificado, o cliente no pode identificar e autenticar a si prprio no
servidor DirectAccess.
X Tarefa 5: Testar o acesso intranet

1.
Na barra de tarefas, clique no cone Internet Explorer.
2.
Na barra de endereos, digite http://nyc-svr1.contoso.com/ (em ingles) e pressione ENTER. Voc

dever ver a pgina da Web padro do IIS 7 para NYC-SVR1.
3.
Na barra de endereos, digite https://nls.contoso.com/ (em ingles) e pressione ENTER. Voc dever
ver a pgina da Web padro do IIS 7 para NYC-SVR1.
4.
Deixe a janela do Internet Explorer aberta.
5.
Clique em Iniciar, digite \\NYC-SVR1\Files e pressione ENTER.
6.
Voc dever ver uma janela de pasta com o contedo da pasta compartilhada Arquivos.
7.
Na janela de pasta compartilhada Arquivos, clique duas vezes no arquivo exemplo.txt. Voc dever
ver o contedo do arquivo exemplo.txt.
8.
Resultados: ao fim deste exerccio, voc ter testado o acesso Intranet.
L5-52
L5-53
Exerccio 4: Configurao do servidor DirectAccess

X Tarefa 1: Obter certificados exigidos para NYC-EDGE1
1.
Alterne para NYC-Edge1.
2.
3.
4.
Clique em Certificados, em Adicionar, em Conta de computador e em Avanar, selecione

Computador local: (o computador onde este console est sendo executado), clique em Concluir
e em OK.
5.
Na rvore de console do snap-in de Certificados, abra Certificados (Computador Local)

\Pessoal\Certificados.
6.
7.
Clique em Avanar duas vezes.
8.
Na pgina Solicitar certificados, check em Servidor Web e clique em Mais informaes so

necessrias para se registrar neste certificado. Clique aqui para definir as configuraes.
Clique aqui para definir as configuraes.
9.
Na guia Requerente da caixa de dilogo Propriedades do Certificado, em Nome de requerente,

para Tipo, selecione Nome comum.
10. Na caixa Valor, digite nyc-edge1.contoso.com e clique em Adicionar.

11. Clique em OK, em Registrar e em Concluir.
12. No painel de detalhes do snap-in de Certificados, verifique se um novo certificado com o nome nycedge1.contoso.com foi registrado com Finalidades de Autenticao de Servidor.
13. Clique com o boto direito do mouse no certificado e clique em Propriedades.
14. Em Nome amigvel, digite Certificado IP-HTTPS e clique em OK.
15. Feche a janela do console. Se for solicitado que voc salve as configuraes, clique em No.
X Tarefa 2: Instalar o recurso DirectAccess em NYC-EDGE1

1.
Alterne para Gerenciador de Servidores.
2.
Na janela principal, click Recursos em Resumo dos Recursos, clique em Adicionar recursos.
3.
Na pgina Selecionar Recursos, selecione Console de Gerenciamento do DirectAccess.
4.
Na janela Assistente para Adicionar Recursos, clique em Adicionar Recursos Necessrios.
5.
Na pgina Selecionar Recursos, clique em Prximo.
6.
7.
X Tarefa 3: Executar o assistente de instalao do DirectAccess em NYC-EDGE1

Observao Essa etapa configura um servidor NYC-EDGE1 como um servidor
DirectAccess.
1.
Abra um prompt de comando, digite o comando a seguir e pressione ENTER:

GPUpdate /force
2.
3.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento do

DirectAccess.
4.
Na rvore de console, clique em Programa de Instalao. No painel de detalhes, clique em

Configurar para obter a etapa 1.
5.
Na pgina Configurao do Cliente do DirectAccess, clique em Adicionar.
6.
Na caixa de dilogo Selecionar Grupo, digite Clientes_DA, clique em OK e em Concluir.
7.
Clique em Configurar para obter a etapa 2.
8.
Na pgina Conectividade, para Interface conectada Internet, selecione Public. Para Interface
conectada rede interna, selecione a Conexo Local 2 e clique em Prximo.
Observao Se voc receber um aviso de que o adaptador de rede da conexo local deve
estar conectado a uma rede do domnio, feche o console do Gerenciamento do
DirectAccess. Abra o Gerenciador de Servidores e clique em Configurar Conexes de
Rede. Desabilite a Conexo Local e habilite-a novamente. Reinicie o console do
Gerenciamento do DirectAccess.
9.
Na pgina Componentes do Certificado, para Selecione o certificado raiz ao qual certificados do

cliente remoto devem se ligar, clique em Procurar. Na lista de certificados, clique no certificado
raiz ContosoCA e clique em OK.
10. Para Selecione o certificado a ser usado para proteger conectividade do cliente remoto em
HTTPS, clique em Procurar. Na lista de certificados, clique no certificado chamado Certificado IPHTTPS, clique em OK e em Concluir.
11. Clique em Configurar para obter a etapa 3.
12. Na pgina Local, clique em O servidor do local de rede executado em um servidor altamente
disponvel (recomendado), digite https://nls.contoso.com (em ingles), clique em Validar
e em Prximo.
L5-54
L5-55
13. Na pgina DNS e Controlador de Domnio, observe a entrada para o nome contoso.com com o
endereo IPv6 2002:836b:2:1:0:5efe:10.10.0.10. Esse endereo IPv6 atribudo a NYC-DC1 e
composto do prefixo de rede 6to4 (2002:836b:2:1::/64) e de um identificador de interface baseado
em ISATAP (:: 0:5efe:10.10.0.10). Clique em Prximo.
14. Na pgina Gerenciamento, clique em Concluir.
15. Clique em Configurar para a etapa 4. Na pgina Configurao do Servidor DirectAccess, clique
em Concluir.
16. Clique em Salvar e em Concluir.
17. Na caixa de dilogo Avaliao do DirectAccess, clique em Aplicar. Na caixa de mensagem
Configurao da Diretiva DirectAccess, clique em OK.
Resultados: ao fim deste exerccio, voc ter configurado com xito o NYC-EDGE1 como um
servidor DirectAccess.
Exerccio 5: Verificao da funcionalidade do DirectAccess

X Tarefa 1: Criar registros DNS em INET1
Observao
pblico.
Normalmente, voc configuraria esse registro nos servidores DNS para o
1.
Alterne para INET1.
2.
3.
Na rvore de console, expanda Zonas de pesquisa direta, clique com o boto direito do mouse em
contoso.com e clique em Novo Host (A ou AAAA).
4.
Na caixa Nome (usa domnio pai se deixado em branco), digite crl. Em Endereo IP, digite
131.107.0.2.
5.
Clique em Adicionar Host, em OK e em Concludo.
6.
Feche o console do DNS.
X Tarefa 2: Atualizar configurao IPv6 em NYC-SVR1 e NYC-DC1

Observao Essas etapas permitem que as configuraes IPv6 ofeream suporte ao
DirectAccess.
1.
2.
3.

net stop iphlpsvc
4.

net start iphlpsvc
5.
No prompt de comando, digite o comando a seguir e pressione ENTER. Verifique se o servidor emitiu
um endereo ISATAP que terminem com 10.10.0.24.
ipconfig
6.
Feche a janela de prompt de comando.
7.
8.
9.

net stop iphlpsvc
L5-56
L5-57

net start iphlpsvc
11. No prompt de comando, digite o comando a seguir e pressione ENTER. Verifique se o servidor emitiu
ipconfig
12. Feche a janela de prompt de comando.
X Tarefa 3: Atualizar configuraes IPv6 e GPO em NYC-CL1

1.
2.
Reinicie NYC-CL1 e faa logon como Contoso\Administrador com a senha Pa$$w0rd. Isso serve
para garantir que o computador NYC-CL1 se conecte ao domnio como um membro do grupo de
segurana Clientes_DA.
3.
4.

gpupdate /force
5.

net stop iphlpsvc
6.

net start iphlpsvc
7.
No prompt de comando, digite o comando a seguir e pressione ENTER. Verifique se o cliente emitiu
ipconfig
8.

Gpresult -R
9.
Verifique se um objeto da Diretiva de Grupo do DirectAccess est sendo aplicado ao computador

cliente. Se a diretiva no estiver sendo aplicada, execute o comando gpupdate /force novamente. Se
a diretiva ainda no estiver sendo aplicada, reinicie NYC-CL1. Depois que o computador for
reiniciado, faa logon como Administrador e execute o comando Gpresult R novamente.
X Tarefa 4: Verificar a conectividade do ISATAP

1.

Ipconfig /flushdns
2.

ping 2002:836b:2:1::5efe:10.10.0.10
3.

ping 2002:836b:2:1::5efe:10.10.0.24
4.

ping NYC-DC1.contoso.com
5.

ping NYC-SVR1.contoso.com
6.
Todos esses comandos devem resultar em uma resposta bem-sucedida.
X Tarefa 5: Mover NYC-CL1 para a Internet

Observao
a Internet.
Para verificar a funcionalidade, voc deve mover o computador cliente para
1.
Em NYC-CL1, clique em Iniciar, em Painel de Controle e em Rede e Internet.
2.
Clique no Central de Rede e Compartilhamento.
3.
Clique em Alterar as Configuraes do Adaptador.
4.
5.
Na caixa de dilogo Propriedades de Conexo Local 4, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
6.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Usar o

seguinte endereo IP. Fornea as informaes a seguir e clique em OK.
Endereo IP: 131.107.0.10
7.
Na caixa de dilogo Propriedades de Conexo Local 4, clique em OK.
8.
Desativar.
9.
Ativar.
10. Na caixa de dilogo Definir Local da Rede, clique em Rede pblica e em Fechar.
L5-58
L5-59
X Tarefa 6: Verificar a conectividade com os recursos da Internet

1.

ping inet1.isp.example.com
2.
Na barra de tarefas, clique no cone Internet Explorer.
3.
Na barra de endereos, digite http://inet1.isp.example.com/ (em ingles) e pressione ENTER. Voc

dever ver a pgina da Web padro do IIS 7 para INET1.
X Tarefa 7: Verificar o acesso a recursos baseados na Web e de pasta compartilhada

1.

ping NYC-SVR1
2.
No Internet Explorer, na barra de endereos, digite http://NYC-SVR1.contoso.com/ (em ingles),

pressione ENTER e, em seguida, F5. Voc dever ver a pgina da Web padro do IIS 7 para
NYC-SVR1.
3.
Feche o Internet Explorer.
4.
Clique em Iniciar, digite \\NYC-SVR1\files e pressione ENTER. Voc dever ver uma janela de pasta
com o contedo da pasta compartilhada Arquivos.
5.
Na janela de pasta compartilhada Arquivos, clique duas vezes no arquivo exemplo.txt.
6.
Feche a janela exemple.txt - Bloco de Notas e a janela de pasta compartilhada Arquivos.
X Tarefa 8: Examinar a configurao IPv6 de NYC-CL1

1.

ipconfig
2.
A partir da exibio da ferramenta Ipconfig.exe, observe que uma interface denominada Adaptador
6TO4 de Tnel tem um endereo IPv6 que comea com 2002:836b:. Esse um endereo 6to4
baseado em um endereo IPv4 que comea com 131.107. Observe que essa interface de tnel possui
o gateway padro 2002:836b:2::836b:2, que corresponde ao endereo 6to4 do EDGE1 (131.107.0.2
em notao hexadecimal por ponto-e-vrgula 836b:2). NYC-CL1 usa 6to4 e esse gateway padro
para colocar em tnel o trfego IPv6 para EDGE1.
Resultados: ao fim deste exerccio, voc ter implementado, verificado e testado o DirectAccess
com xito.

etapas:
1.
2.
em Reverter.
3.
4.
Repitas essas etapas para 10221B-NYC-SVR1, 10221B-NYC-EDGE1, 10221B-NYC-INET1 e

10221B-NYC-CL1.
L5-60
L6-61
Mdulo 6: Instalao, configurao e soluo de problemas

do servio de funo Servidor de Diretivas de Rede
Laboratrio: Configurao e gerenciamento

do Servidor de Diretivas de Rede
Exerccio 1: Instalao e configurao do servio de funo Servidor de
Diretivas de Rede
X Tarefa 1: Instalar a funo Servios de Acesso e Diretiva de Rede
1.
2.
Na Barra de Tarefas, clique em Gerenciador de Servidores.
3.
No painel de navegao do Gerenciador de Servidores, clique em Funes.
4.
No painel direito, clique em Adicionar funes.
5.
No Assistente para Adicionar Funes, clique em Prximo.
6.
Na pgina Selecionar Funes do Servidor, marque a caixa de seleo Servios de Acesso e

Diretiva de Rede e clique em Prximo.
7.
Na pgina de Introduo aos Servios de Acesso e Diretiva de Rede, clique em Prximo.
8.
Na pgina Selecionar Servios de Funo, marque a caixa de seleo Servidor de Diretivas de

Rede e clique em Prximo.
9.
10. Na pgina Resultados da Instalao, clique em Fechar.

11. Feche o Gerenciador de Servidores.
X Tarefa 2: Registrar o NPS no AD DS

1.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Servidor de Diretivas de

Rede.
2.
No painel de navegao, clique com o boto direito do mouse em NPS (Local) e clique em Registrar
servidor no Active Directory.
3.
Na caixa de mensagem Servidor de Diretivas de Rede, clique em OK.
4.
Clique novamente em OK na caixa de mensagem subsequente Servidor de Diretivas de Rede.
X Tarefa 3: Configurar o NYC-DC1 como um servidor RADIUS para conexes VPN

1.
Na ferramenta de gerenciamento Servidor de Diretivas de Rede, no painel de detalhes Guia de

Introduo, abra a lista suspensa em Configurao Padro e clique em Servidor RADIUS para
Conexes Dial-Up ou VPN.
2.
Em Servidor RADIUS para Conexes Dial-Up ou VPN, clique em Configurar VPN ou Dial-Up.
3.
No Assistente para Configurar VPN ou Dial-Up, clique em Conexes VPN (Rede Virtual Privada),
aceite o nome padro e clique em Avanar.
4.
Na pgina Clientes RADIUS, clique em Adicionar.
Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de Rede
5.
Na caixa Nome amigvel da caixa de dilogo Novo Cliente RADIUS, digite NYC-EDGE1 e clique
em Verificar.
6.
Na caixa de endereo da caixa de dilogo Verificar Endereo, digite NYC-EDGE1, clique em

Resolver e em OK.
7.
Na caixa de dilogo Novo Cliente RADIUS, nas caixas Segredo compartilhado e Confirmar
segredo compartilhado, digite Pa$$w0rd e clique em OK.
8.
Na pgina Especificar Servidor Dial-Up ou VPN, clique em Avanar.
9.
Na pgina Configurar Mtodos de Autenticao, marque a caixa de seleo Protocolo de

Autenticao Extensvel e Autenticao Criptografada da Microsoft verso 2 (MS-CHAPv2) e
clique em Avanar.
10. Na pgina Especificar Grupos de Usurios, clique em Avanar.

11. Na pgina Especificar Filtros IP, clique em Avanar.
12. Na pgina Especificar Configuraes de Criptografia, desmarque as caixas de seleo Criptografia
bsica e Criptografia forte e clique em Avanar.
13. Na pgina Especificar um Nome de Realm, clique em Avanar.
14. Na pgina Concluindo Novas Conexes Dial-Up ou VPN e clientes RADIUS, clique em Concluir.
15. Feche a ferramenta administrativa Servidor de Diretivas de Rede.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-DC1 como um servidor RADIUS
instalando e configurando a funo Servidor NPS.
L6-62
Laboratrio: Configurao e gerenciamento do Servidor de Diretivas de Rede
L6-63
Exerccio 2: Configurao de um cliente RADIUS

X Tarefa 1: Instalar os servios Roteamento e Acesso Remoto em NYC-EDGE1
1.
Alterne para NYC-EDGE1.
2.
Na Barra de Tarefas, clique em Gerenciador de Servidores.
3.
No painel de navegao do Gerenciador de Servidores, clique em Funes e, no painel direito, clique

em Adicionar funes.
4.
Na pgina Antes de Comear, clique em Prximo.
5.
Na pgina Selecionar Funes do Servidor, marque a caixa de seleo Servios de Acesso e

Diretiva de Rede e clique em Prximo.
6.
Na pgina Servios de Acesso e Diretiva de Rede, clique em Prximo.
7.
Na pgina Selecionar Servios de Funo, marque a caixa de seleo Servios de Roteamento e

Acesso Remoto e clique em Prximo.
8.
9.
10. Feche a janela Gerenciador de Servidores.
X Tarefa 2: Configurar o NYC-EDGE1 como um servidor VPN

1.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Roteamento e

acesso remoto.
2.
No painel de navegao, selecione NYC-EDGE1 (local).
3.
Clique com o boto direito do mouse em NYC-EDGE1 (local) e clique em Configurar e Habilitar
Roteamento e Acesso Remoto.
4.
Na pgina Assistente para Configurao do Servidor de Roteamento e Acesso Remoto, clique

em Avanar.
5.
Na pgina Configurao, clique em Acesso remoto dial-up ou rede virtual privada e clique em
Avanar.
6.
Na pgina Acesso remoto, marque a caixa de seleo VPN e clique em Avanar.
7.
Na pgina Conexo VPN, selecione a interface de rede com o endereo IP 131.107.0.2, 131.107.0.3
e clique em Avanar.
8.

clique em Avanar.
9.
Na pgina Atribuio de interval de endereos, clique em Novo e, na caixa Endereo IP inicial,

digite o valor 10.10.0.60. Na caixa Nmero de endereos, digite o valor 75 e clique em OK. Clique
em Avanar.
10. Na pgina Gerenciando mltiplos servidores de acesso remoto, selecione Sim, configurar este
servidor para funcionar com um servidor RADIUS e clique em Avanar.
11. Na pgina Seleo de Servidor RADIUS, na caixa Servidor RADIUS principal, digite NYC-DC1
12. Digite Pa$$w0rd na caixa Segredo compartilhado e clique em Avanar.
13. Clique em Concluir.

14. Na caixa de dilogo Roteamento e acesso remoto, clique em OK. O servio Roteamento e Acesso
Remoto iniciado.
Resultados: ao fim deste exerccio, voc ter configurado o NYC-EDGE1 como um servidor VPN.
Exerccio 3: Configurao de registro automtico de certificado

X Tarefa 1: Configurar o registro automtico com a diretiva de grupo
1.
2.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de

Diretiva de Grupo.
3.
No painel de lista do Gerenciamento de Diretiva de Grupo, expanda Floresta: contoso.com, expanda

Domnios e contoso.com.
4.
No painel de lista, em Contoso.com, clique com o boto direito do mouse em Default Domain
Policy e clique em Editar.
5.
Em Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda

Diretivas, Configuraes do Windows, Configuraes de segurana e, por fim, Diretivas de
chave pblica.
6.
No painel de navegao, clique com o boto direito do mouse em Configuraes de solicitao

automtica de certificado, aponte para Novo e clique em Solicitao de Certificado Automtica.
7.
Na pgina de Bem-vindo ao Assistente para Instalao de Solicitao Automtica de Certificados,

clique em Avanar.
8.
Na pgina Modelo de Certificado, aceite a configurao padro de Computador e clique em

Avanar.
9.
Na pgina Concluindo o Assistente para Instalao de Solicitao Automtica de Certificados,

clique em Concluir.
10. Feche o Editor de Gerenciamento da Diretiva de Grupo.

11. Feche a ferramenta Gerenciamento de Diretiva de Grupo.
13. Reinicie o computador e faa logon usando as seguintes credenciais:
Senha: Pa$$w0rd
Domnio: Contoso
14. Clique em Iniciar, digite MMC na caixa Pesquisar e pressione ENTER.

15. Na janela Console1, clique em Arquivo e em Adicionar/remover snap-in.
16. Na caixa Adicionar ou Remover Snap-ins, selecione Certificados e clique em Adicionar.
17. Na caixa Snap-in de certificados, selecione Conta de computador e clique em Avanar.
18. Na caixa Selecionar Computador, selecione Computador local: (o computador onde este console
est sendo executado) e clique em Concluir.
L6-64
Laboratrio: Configurao e gerenciamento do Servidor de Diretivas de Rede
L6-65
19. Clique em OK para fechar a caixa Adicionar ou Remover Snap-ins.

20. Na janela Console1, expanda Certificados (computador local).
21. Expanda Pessoal e clique em Certificados. Observe que NYC-CL1.contoso.com exibido. Agora
voc pode usar esse certificado como um mecanismo de autenticao.
Resultados: ao fim deste exerccio, voc ter definido as configuraes de certificado apropriadas
para sua soluo VPN.
Exerccio 4: Configurao e teste da VPN

X Tarefa 1: Reconfigurar o computador NYC-CL1 na rede pblica
1.
2.
No Painel de Controle, em Rede e Internet, clique em Exibir o status e as tarefas da rede.
3.
4.
5.
Selecione Protocolo TCP/IP Verso 4 (TCP/IPv4) e clique em Propriedades.
6.
Configure as definies de endereo IP a seguir e clique em OK:
7.
Endereo IP: 131.107.0.20
Clique em Fechar e no boto Voltar para retornar ao Central de Rede e Compartilhamento.
X Tarefa 2: Criar e testar uma conexo VPN

1.
Na janela Central de Rede e Compartilhamento, em Alterar as configuraes de rede, clique em

Configurar uma nova conexo ou rede. Na caixa de dilogo Escolher uma opo de conexo,
clique em Conectar a um local de trabalho e em Avanar.
2.
Na caixa de dilogo Conectar a um Local de Trabalho, selecione a opo Usar minha conexo
com a Internet (VPN). Quando solicitado, selecione Configurarei minha conexo com a Internet
mais tarde.
3.
Na caixa de dilogo Digite o endereo da Internet com o qual se conectar, especifique o endereo
na Internet 131.107.0.2 e o Nome do Destino VPN da Contoso e clique em Avanar.
4.
Na pgina Digite o seu nome de usurio e a senha, deixe o nome de usurio e a senha em branco
e clique em Criar.
5.
Clique em Fechar na caixa de dilogo Conectar a um Local de Trabalho.
6.
7.
Na pgina Conexes de Rede, clique com o boto direito do mouse em VPN da Contoso e clique
em Propriedades.
8.
Na caixa de dilogo Propriedades de VPN da Contoso, clique na guia Segurana.
9.
Na lista Tipo de VPN, select em Protocolo de Tnel de Camada 2 com IPsec (L2TP/IPsec).
10. Na lista Criptografia de dados, select em Criptografia de segurana mxima (desconectar se o

servidor recusar) e clique em OK.
em Conectar.
Senha: Pa$$w0rd
Domnio: CONTOSO

13. Clique com o boto direito do mouse em VPN da Contoso e clique em Desconectar. A VPN
desconecta-se.
14. Feche todas as janelas abertas em NYC-CL1. No salve Console 1.
Resultados: ao fim deste exerccio, voc ter verificado a soluo VPN.

etapas:
1.
2.
Reverter.
3.
4.
L6-66
L7-67
Mdulo 7: Implementao da Proteo de Acesso Rede
Laboratrio: Implementao da NAP em

uma soluo de acesso remoto VPN
Exerccio 1: Configurao dos componentes da NAP
X Tarefa 1: Configurar um certificado de computador
1.
Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em

certification authority.
2.
No console de gerenciamento certsrv, expanda ContosoCA, clique com o boto direito do mouse em
Modelos de Certificado e selecione Gerenciar no menu de contexto.
3.
No painel de detalhes do Console de Modelos de Certificado, clique com o boto direito do mouse
em Computador e escolha Propriedades no menu de contexto.
4.
Clique na guia Segurana, na caixa de dilogo Propriedades de Computador e selecione Usurios

autenticados.
5.
Nas Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
6.
Feche o Console de Modelos de Certificado e o console de gerenciamento certsrv.
X Tarefa 2: Configurar NYC-EDGE1 com o NPS funcionando como um servidor de

poltica de integridade
1.
Alterne para o computador NYC-EDGE1.
2.
Obtenha o certificado do computador e instale em NYC-EDGE1 para a autenticao PEAP do

servidor:
a.
Clique em Iniciar, em Executar, digite mmc e pressione ENTER.
b.
No menu Arquivo, clique em Adicionar/remover snap-in.
c.
Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em Certificados, em Adicionar,

selecione Conta de computador, clique em Avanar e em Concluir.
d.
Clique em OK para fechar a caixa de dilogo Adicionar ou Remover Snap-ins.
e.
Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
f.
A caixa de dilogo Registro de Certificado ser aberta. Clique em Avanar.
g.
Na pgina Selecionar Diretiva de Registro de Certificado, clique em Diretiva de Registro do

Active Directory e clique em Avanar.
h.
Marque a caixa de seleo Computador e clique em Registrar.
i.
Verifique o status da instalao do certificado como com xito" e clique em Concluir.
j.
Feche a janela Console1.
k.
Clique em No, quando solicitado, para salvar as configuraes do console.
Mdulo 7: Configurao da Proteo de Acesso Rede
3.
4.
5.
Instale a funo Servidor NPS:

a.
Em NYC-EDGE1, alterne para Gerenciador de Servidores.
b.
Clique em Funes e, em Resumo de Funes, clique em Adicionar funes e em Prximo.
c.
Marque a caixa de seleo Servios de Acesso e Diretiva de Rede e clique duas vezes em
Prximo.
d.
Marque as caixas de seleo Servidor de Diretivas de Rede e Servio de Acesso Remoto,

clique em Prximo e em Instalar.
e.
Verifique se a instalao foi bem-sucedida e clique em Fechar.
f.
Feche a janela Gerenciador de Servidores.
Configure o NPS como um servidor de diretiva de integridade de NAP:

a.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Servidor de Diretivas

de Rede.
b.
Expanda Proteo de Acesso Rede, expanda Validadores da Integridade do Sistema,

expanda Validador de Integridade de Segurana do Windows e clique em Configuraes.
c.
No painel direito, em Nome, clique duas vezes em Configurao Padro.
d.
Na seleo Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto Firewall
habilitado para todas as conexes de rede.
e.
Clique em Ok para fechar a caixa de dilogo Validador da Integridade da Segurana do

Windows.
Configure as diretivas de integridade:

a.
Expanda Diretivas.
b.
Clique com o boto direito do mouse em Diretivas de Integridade e clique em Novo.
c.
Na caixa de dilogo Criar Nova Diretiva de Integridade, em Nome da diretiva, digite

Compatvel.
d.
Em Verificaes de SHV de cliente, verifique se a opo Cliente aprovado em todas as

verificaes de SHV est selecionada.
e.
Em SHVs usados nesta diretiva de integridade, marque a caixa de seleo Validador de

Integridade de Segurana do Windows.
f.
Clique em OK.
g.
Clique com o boto direito do mouse em Diretivas de Integridade e clique em Novo.
h.
Na caixa de dilogo Criar Nova Diretiva de Integridade, em Nome da diretiva, digite

Incompatvel.
i.
Em Verificaes de SHV de cliente, selecione Cliente reprovado em uma ou mais

verificaes de SHV.
j.
Em SHVs usados nesta diretiva de integridade, marque a caixa de seleo Validador de

Integridade de Segurana do Windows.
k.
Clique em OK.
L7-68
6.
L7-69
Configure diretivas de rede para computadores compatveis:

a.
Garanta que as Diretivas sejam expandidas.
b.
Clique em Diretivas de Rede.
c.
Desabilite as duas diretivas padro localizadas em Nome da Diretiva clicando com o boto
direito do mouse nas diretivas e clicando em Desabilitar.
d.
Clique com o boto direito do mouse em Diretivas de Rede e clique em Novo.
e.
Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexo, em Nome da diretiva, digite
Acesso Total por Compatibilidade e clique em Avanar.
f.
Na janela Especificar Condies, clique em Adicionar.
g.
Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas de Integridade.
h.
Na caixa de dilogo Diretivas de Integridade, em Diretivas de integridade, selecione

Compatvel e clique em OK.
i.
Na janela Especificar Condies, verifique se Diretiva de Integridade est especificada em

Condio com o valor Compatvel e clique em Avanar.
j.
Na janela Especificar Permisso de Acesso, verifique se Acesso concedido est selecionado.
k.
Clique trs vezes em Avanar.
l.
Na janela Definir Configuraes, clique em Imposio de NAP. Verifique se a opo Permitir

acesso total rede est selecionada e clique em Avanar.
m. Na janela Concluindo Nova Diretiva de Rede, clique em Concluir.

7.
Configure diretivas de rede para computadores incompatveis:

a.
Clique com o boto direito do mouse em Diretivas de Rede e clique em Novo.
b.
Na janela Especificar Nome de Diretiva de Rede e Tipo de Conexo, em Nome da diretiva, digite
Restrito por Incompatibilidade e clique em Avanar.
c.
d.
Na caixa de dilogo Selecionar condio, clique duas vezes em Diretivas de Integridade.
e.
Na caixa de dilogo Diretivas de Integridade, em Diretivas de integridade, selecione

Incompatvel e clique em OK.
f.
Na janela Especificar Condies, verifique se Diretiva de Integridade est especificado em

Condio com um valor Incompatvel e clique em Avanar.
g.
Na janela Especificar Permisso de Acesso, verifique se Acesso concedido est selecionado.
Observao A configurao Acesso concedido no significa que os clientes

incompatveis tenham acesso total rede. Ela especifica que a diretiva deve continuar
avaliando os clientes que correspondem a essas condies.
h.
Clique trs vezes em Avanar.
i.
Na janela Definir Configuraes, clique em Imposio de NAP. Selecione Permitir acesso

limitado e remova a caixa de seleo prxima a Habilitar correo automtica de
computadores cliente.
j.
Na janela Definir Configuraes, clique em Filtros IP.
k.
Em IPv4, clique em Filtros de Entrada e em Nova.
l.
Na caixa de dilogo Adicionar filtro IP, marque a caixa de seleo Rede de destino. Digite
10.10.0.10 ao lado do Endereo IP e digite 255.255.255.255 ao lado de Mscara de sub-rede.
Essa etapa assegura que o trfego de clientes incompatveis acesse somente a NYC-DC1.
m. Clique em OK para fechar a caixa de dilogo Adicionar filtro IP e selecione Permitir apenas os
pacotes listados abaixo na caixa de dilogo Filtros de entrada.
8.
n.
Clique em OK para fechar a caixa de dilogo Filtros de entrada.
o.
Em IPv4, clique em Filtros de Sada e clique em Nova.
p.
Na caixa de dilogo Adicionar filtro IP, marque a caixa de seleo Rede de origem. Digite
10.10.0.10 ao lado do Endereo IP e digite 255.255.255.255 ao lado de Mscara de sub-rede.
q.
Clique em OK para fechar a caixa de dilogo Adicionar filtro IP e selecione Permitir apenas os
pacotes listados abaixo na caixa de dilogo Filtros de sada. Essa etapa assegura que somente
o trfego de NYC-DC1 seja enviado a clientes incompatveis.
r.
Clique em OK para fechar a caixa de dilogo Filtros de sada.
s.
Na janela Definir Configuraes, clique em Avanar.
t.
Na janela Concluindo Nova Diretiva de Rede, clique em Concluir.
Configure as diretivas de solicitao de conexo:

a.
Clique em Diretivas de Solicitao de Conexo.
b.
Desabilite a diretiva de solicitao de conexo padro localizada em Nome da Diretiva clicando

com o boto direito do mouse na diretiva e clicando em Desabilitar.
c.
Clique com o boto direito do mouse em Diretivas de Solicitao de Conexo e clique

em Novo.
d.
Na janela Especificar Nome da Diretiva de Solicitao de Conexo e Tipo de Conexo, em Nome

da diretiva, digite Conexes VPN.
e.
Em Tipo de servidor de acesso rede, selecione Remote Access Server(VPN-Dial up) e clique
em Avanar.
f.
g.
Na janela Selecionar Condio, clique duas vezes em Tipo de Tnel, selecione PPTP, SSTP e
L2TP. Clique em OK e em Avanar.
h.
Na janela Especificar Encaminhamento de Solicitaes de Conexo, verifique se a opo

Autenticar solicitaes neste servidor est selecionada e clique em Avanar.
i.
Na janela Especificar Mtodos de Autenticao, selecione Substituir configuraes de

autenticao da diretiva de rede.
j.
Em Tipos de EAP, clique em Adicionar. Na caixa de dilogo Adicionar EAP, em Mtodos de

autenticao, clique em Microsoft: EAP protegido (PEAP) e em OK.
L7-70
L7-71
k.
Em Tipos de EAP, clique em Adicionar. Na caixa de dilogo Adicionar EAP, em Mtodos de

autenticao, clique em Microsoft: Senha segura (EAP-MSCHAP v2) e em OK.
l.
Em Tipos de EAP, clique em Microsoft: EAP protegido (PEAP) e em Editar.
m. Verifique se a opo Impor Proteo de Acesso Rede est marcada e clique em OK.
n.
9.
Clique em Avanar duas vezes e clique em Concluir.
Feche o console do Servidor de Diretivas de Rede.
X Tarefa 3: Configurar NYC-EDGE1 com o RRAS (Servio Roteamento e Acesso Remoto)

que configurado como um servidor VPN
1.
Em NYC-EDGE1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em

Roteamento e acesso remoto.
2.
No console do Roteamento e Acesso Remoto, clique com o boto direito do mouse em NYCEDGE1 (local) e clique em Configurar e Habilitar Roteamento e Acesso Remoto. O Assistente de
Instalao do Roteamento e Acesso Remoto inicializado.
3.
Clique em Avanar, selecione Acesso remoto Acesso remoto (dial-up ou rede virtual privada e
clique em Avanar).
4.
Marque a caixa de seleo VPN e clique em Avanar.
5.
Clique na interface de rede chamada Public. Desmarque a caixa de seleo Habilitar a segurana na
interface selecionada configurando filtros de pacotes estticos e clique em Avanar. Isso
assegura que NYC-EDGE1 seja capaz de executar ping em NYC-DC1 quando estiver conectado subrede da Internet, sem a necessidade de configurar filtros de pacote adicionais para o trfego por
ICMP.
6.

clique em Avanar.
7.
Na pgina Atribuio de intervalo de endereos, clique em Novo. Digite 10.10.0.100 ao lado de

Endereo IP inicial e 10.10.0.110 ao lado de Endereo IP final e clique em OK. Verifique se os 11
endereos IP foram atribudos a clientes remotos e clique em Avanar.
8.
Na pgina Gerenciando mltiplos servidores de acesso remoto, verifique se a opo No, usar o
Roteamento e acesso remoto para autenticar pedidos de conexo est selecionada e clique em
Avanar.
9.
Clique em Concluir.
10. Clique em OK duas vezes e aguarde at que o servio Roteamento e Acesso Remoto seja iniciado.
11. No Servidor de Diretivas de Rede, clique no n Diretivas de Solicitao de Conexo e desabilite a
Diretiva do Servio de Roteamento e Acesso Remoto da Microsoft. Isso foi criado
automaticamente quando Roteamento e Acesso Remoto foi habilitado.
12. Clique em Diretivas de Solicitao de Conexo e, na pgina de resultados, clique com o boto
direito do mouse em Diretiva do Servio de Roteamento e Acesso Remoto da Microsoft e clique
em Desabilitar.
13. Feche o console de gerenciamento do Servidor de Diretivas de Rede.
14. Feche o Roteamento e Acesso Remoto.
X Tarefa 4: Permitir ping no NYC-EDGE1

1.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Firewall do Windows

com Segurana Avanada.
2.
Clique em Regras de Entrada, clique com o boto direito do mouse em Regras de Entrada e clique
em Nova Regra.
3.
Selecione Personalizado e clique em Avanar.
4.
Selecione Todos os programas e clique em Avanar.
5.
Ao lado de Tipo de protocolo, selecione ICMPv4 e clique em Personalizar.
6.
Selecione Tipos especficos de ICMP, marque a caixa de seleo Solicitao de Eco, clique em OK e
em Avanar.
7.
Clique em Avanar para aceitar o escopo padro.
8.
Na janela Ao, verifique se a opo Permitir a conexo est selecionada e clique em Avanar.
9.
Clique em Avanar para aceitar o perfil padro.
10. Na janela Nome, em Nome, digite Solicitao de eco ICMPv4 e clique em Concluir.
11. Feche o console do Firewall do Windows com Segurana Avanada.
Resultados: ao fim deste exerccio, voc ter configurado e habilitado um esquema de NAP
imposto pela VPN.
L7-72
L7-73
Exerccio 2: Configurao das definies de cliente para oferecer suporte

NAP
X Tarefa 1: Configurar a Central de Segurana
1.
2.
Configure NYC-CL1 para que a Central de Segurana esteja sempre habilitada:

a.
Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios e em Executar.
b.
Digite gpedit.msc e pressione ENTER.
c.
Na rvore de console, clique em Diretiva Computador Local/Configurao do Computador

/Modelos Administrativos/Componentes do Windows/Central de Segurana.
d.
Clique duas vezes em Ativar a Central de Segurana (PCs em domnios somente), clique em
Habilitado e em OK.
e.
Feche o Editor de Diretiva de Grupo Local.
X Tarefa 2: Habilitar a imposio de NAP do cliente

1.
2.
Habilite o cliente de imposio de quarentena, de acesso remoto:

a.
Clique em Iniciar, Todos os Programas, Acessrios e em Executar.
b.
Digite napclcfg.msc e pressione ENTER.
c.
Na rvore de console, clique em Clientes de Imposio.
d.
No painel de detalhes, clique com o boto direito do mouse em Cliente de Imposio de

Quarentena EAP e clique em Habilitar.
e.
Feche a janela Configurao do Cliente NAP.
Habilite e inicie o servio Agente NAP:

a.
Clique em Iniciar, em Painel de Controle, em Sistema e Segurana e em Ferramentas

Administrativas.
b.
Clique duas vezes em Servios.
c.
Na lista Servios, clique duas vezes em Agente de Proteo de Acesso Rede.
d.
Na caixa de dilogo Propriedades de Agente de Proteo de Acesso Rede, altere Tipo de

inicializao para Automtico e clique em Iniciar.
e.
Espere o servio Agente NAP ser iniciado e clique em OK.
f.
Feche o console de Servios, bem como as janelas Ferramentas Administrativas e Sistema e

Manuteno.
X Tarefa 3: Mover o cliente para a Internet

1.
Configure NYC-CL1 para o segmento de rede da Internet:

a.
b.
c.
Clique em Alterar as configuraes do adaptador.
d.
Clique com o boto direito do mouse em Conexo local 4 e clique em Propriedades.
2.
e.
Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades.
f.
Clique em Usar o seguinte endereo IP. Ao lado de Endereo IP, digite 131.107.0.20. Ao lado
de Mscara de sub-rede, digite 255.255.0.0. No configure o Gateway padro.
g.
Clique em Usar os seguintes endereos de servidor DNS.
h.
Clique em OK e em Fechar para fechar a caixa de dilogo Propriedades de Conexo Local 4.
i.
Feche a janela Conexes de Rede.
Verifique a conectividade de rede para NYC-CL1:

a.
Clique em Iniciar, Todos os Programas, Acessrios e em Executar.
b.
Digite cmd e pressione ENTER.
c.
No prompt de comando, digite ping 131.107.0.2 e pressione ENTER.
d.
Verifique se a resposta Resposta de 131.107.0.2.
e.
Feche a janela de comando.
X Tarefa 4: Criar uma VPN em NYC-CL1

1.
Configurar uma conexo VPN:

a.
b.
c.
Clique em Configurar uma nova conexo ou rede.
d.
Na pgina Escolher uma opo de conexo, clique em Conectar a um local de trabalho e em

Avanar.
e.
Na pgina Como deseja se conectar, clique em Usar minha conexo com a Internet (VPN).
f.
Clique em Configurarei minha conexo com a Internet mais tarde.
g.
Na pgina Digite o endereo da Internet com o qual se conectar, ao lado de Endereo na

Internet, digite 131.107.0.2. Ao lado de Nome do destino, digite VPN da Contoso. Marque a
caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Avanar.
h.
Na pgina Digite o seu nome de usurio e a senha, digite administrador ao lado de Nome de
usurio e digite Pa$$w0rd ao lado de Senha. Marque a caixa de seleo Lembrar esta senha,
digite Contoso ao lado de Domnio (opcional) e clique em Criar.
i.
Na pgina A conexo est pronta para uso, clique em Fechar.
j.
Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do

adaptador.
k.
Clique com o boto direito do mouse na conexo VPN da Contoso, clique em Propriedades e
na guia Segurana.
l.
Em Autenticao, clique em Usar protocolo EAP.
m. Na lista Microsoft: Senha segura (EAP-MSCHAP v2) (criptografia habilitada), clique em

Microsoft: EAP protegido (PEAP) (criptografia habilitada) e clique em Propriedades.
n.
Verifique se a caixa de seleo Validar certificado do servidor j est marcada. Desmarque a

caixa de seleo Conectar-se a estes servidores e verifique se a opo Senha segura (EAP-
L7-74
L7-75
MSCHAP v2) j est selecionada em Selecionar Mtodo de Autenticao. Desmarque a caixa

de seleo Ativar Reconexo Rpida e marque a caixa de seleo Impor Proteo de Acesso
Rede.
o.
2.
Clique em OK duas vezes para aceitar essas configuraes.
Teste a conexo VPN:
a. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN da Contoso
e clique em Conectar.
3.
4.
b.
Na janela Conectar VPN da Contoso, clique em Conectar.
c.
Voc ver uma janela Alerta de Segurana do Windows na primeira vez que essa conexo VPN
for usada. Clique em Detalhes e verifique se Informaes de Certificado declara que o
certificado foi emitido para NYC-EDGE1.Contoso.com pela ContosoCA. Clique em Conectar.
d.
Espere a conexo VPN ser estabelecida. Como a NYC-CL1 compatvel, ela dever ter acesso
ilimitado sub-rede da Intranet.
e.
f.
Digite ipconfig /all e verifique a configurao de IP. O Estado de Quarentena do Sistema

dever ser Irrestrito.
g.
Na janela Prompt de Comando, digite ping 10.10.0.10 e pressione ENTER. Isso deve ocorrer com
xito. Agora o cliente atende ao requisito da conectividade total VPN.
h.
Desconecte-se da VPN da Contoso.
Configure o Validador de Integridade de Segurana do Windows para exigir um aplicativo antivrus:

a.
Em NYC-EDGE1, abra o Servidor de Diretivas de Rede.
b.
Expanda Proteo de Acesso Rede, expanda Validadores da Integridade do Sistema,

expanda Validador de Integridade de Segurana do Windows e clique em Configuraes.
c.
No painel direito, em Nome, clique duas vezes em Configurao Padro.
d.
Na seleo Windows 7/Windows Vista, marque a caixa de seleo Aplicativo antivrus ativo e
clique em OK.
Verifique se o cliente foi colocado na rede restrita:

a.
Em NYC-CL1, na janela Conexes de Rede, clique com o boto direito do mouse na VPN da
Contoso e clique em Conectar.
b.
Clique em Conectar.
c.
Espere a conexo VPN ser estabelecida. Verifique se uma mensagem exibida na Central de
Aes informando que o computador no atende aos padres de segurana.
d.
e.
Digite ipconfig /all e verifique a configurao de IP. O Estado de Quarentena do Sistema

dever ser Restrito.
O cliente no atende aos requisitos da rede, portanto, colocado na rede restrita.
f.
Resultados: ao fim deste exerccio, voc ter habilitado e configurado uma diretiva de imposio
de NAP da VPN para a Contoso.

etapas:
1.
2.
Reverter.
3.
4.
L7-76

10221B-PTB TrainerHandbook Part1

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

10221B-PTB TrainerHandbook Part1

Загружено:

Авторское право:

Доступные форматы

M I C R O S O F T

Configurao e soluo de problemas

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Nmero do produto: 10221B

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Andrew J. Warren Especialista

Byron Wright Especialista no assunto

Joseph Davies Revisor tcnico

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

Mdulo 2: Configurao e soluo de problemas de DHCP

Mdulo 3: Configurao e soluo de problemas de DNS

Mdulo 4: Configurao e soluo de problemas de TCP/IP IPv6

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Mdulo 5: Configurao e soluo de problemas de Roteamento e Acesso Remoto

Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo

Mdulo 7: Implementao da Proteo de Acesso Rede

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Configurao e soluo de problemas de uma infraestrutura de rede do Windows Server 2008

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

Sobre este curso

Um conhecimento de prticas recomendadas de segurana Voc deve entender as permisses do

98-365: Conceitos bsicos do Windows Server

98-366: Conceitos bsicos de rede

98-367: Conceitos bsicos de segurana

O conhecimento bsico do Active Directory tambm seria til.

Planejar e configurar uma infraestrutura de rede IPv4.

Implementar o DHCP na respectiva organizao.

Configurar o DNS e solucionar seus problemas.

Configurar o roteamento e acesso remoto e solucionar problemas relacionados.

Implementar a Proteo de Acesso Rede.

Implementar os recursos de segurana no Windows Server que ajudam a proteger as comunicaes

Configurar os servios de arquivo e impresso e solucionar problemas relacionados.

Habilitar e configurar servios para otimizar o acesso aos dados da filial.

Controlar e monitorar o armazenamento de rede.

Monitorar os servios de infraestrutura de rede do Windows Server 2008 e

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

Mdulo 6: Instalao, configurao e soluo de problemas do servio de funo Servidor de Diretivas de

Sobre este curso

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS