Академический Документы
Профессиональный Документы
Культура Документы
24411B
Administrao do Windows Server 2012
ii Configurao do Windows 8
As informaes includas neste documento, incluindo URL e outras referncias a sites da Internet, esto
sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um contrato de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links somente para sua convenincia, e a incluso de tais links no implica endosso da Microsoft em
relao ao site ou aos produtos nele contidos.
Lanamento: 3/2013
Configurao do Windows 8 iii
Os presentes termos de licena constituem um acordo entre a Microsoft Corporation (ou, dependendo do
local no qual voc esteja domiciliado, uma de suas afiliadas) e voc. Leia-os atentamente. Eles se aplicam
ao uso que voc faz do contedo que acompanha este contrato, que inclui, se houver, a mdia na qual
voc o recebeu. Esses termos de licena tambm se aplicam ao Contedo do Instrutor e a quaisquer
atualizaes e suplementos para o Contedo Licenciado, a menos que outros termos acompanhem esses
itens. Nesse caso, estes ltimos sero aplicados.
Ao cumprir estes termos de licena, voc ter os direitos abaixo para cada licena de software
adquirida.
1. DEFINIES.
c. Dispositivo em Sala de Aula significa 1 (um) computador dedicado e protegido que um Centro de
Treinamento Autorizado possui ou controla, localizado nas instalaes de treinamento do Centro
de Treinamento Autorizado que atende ou excede o nvel de hardware especificado para o referido
Curso Conduzido pelo Instrutor da Microsoft.
d. Usurio Final significa um indivduo que est (i) devidamente inscrito em e participando de uma
Sesso de Treinamento Autorizado ou Sesso de Treinamento Privado, (ii) um funcionrio de um
Membro MPN ou (iii) um funcionrio em tempo integral da Microsoft.
e. Contedo Licenciado significa o contedo que acompanha este contrato, que pode incluir
o Curso Conduzido pelo Instrutor da Microsoft ou o Contedo do Instrutor.
f. Instrutor Certificado pela Microsoft ou MCT significa um indivduo que (i) contratado para
ministrar uma sesso de treinamento para Usurios Finais em nome de um Centro de Treinamento
Autorizado ou Membro do MPN e (ii) atualmente certificado como um Instrutor Certificado pela
Microsoft pelo Programa do Programa de Certificao da Microsoft.
iv Configurao do Windows 8
g. Curso Conduzido pelo Instrutor da Microsoft significa o curso de treinamento conduzido pelo
instrutor com a marca da Microsoft que instrui profissionais de TI e desenvolvedores nas
tecnologias da Microsoft. Um ttulo de Curso Conduzido pelo Instrutor da Microsoft pode
ser um curso com a marca MOC, Microsoft Dynamics ou Microsoft Business Group.
j. MOC significa o curso conduzido pelo instrutor de Official Microsoft Learning Product, conhecido
como Microsoft Official Course, que instrui profissionais de TI e desenvolvedores nas tecnologias
da Microsoft.
k. Membro MPN significa um membro ativo do programa Microsoft Partner Network com nvel silver
ou gold de boa reputao.
2.1 A seguir, h cinco conjuntos separados de direitos de uso. Apenas um conjunto de direitos
se aplica a voc.
2.2 Separao de Componentes. O Contedo Licenciado licenciado como uma nica unidade,
e voc no poder separar seus componentes e instal-los em dispositivos diferentes.
2.3 Redistribuio de Contedo Licenciado. Exceto como expressamente fornecido nos direitos
de uso acima, voc no poder distribuir nenhum Contedo Licenciado ou qualquer parte dele
(incluindo qualquer modificao permitida) para outras pessoas, sem a permisso expressa por
escrito da Microsoft.
2.5 Termos Adicionais. Algum Contedo Licenciado pode conter componentes com termos,
condies e licenas adicionais com relao a seu uso. Quaisquer termos no conflitantes
nessas condies e licenas tambm se aplicaro ao uso que voc faz desse respectivo
componente e complementa os termos descritos neste contrato.
Configurao do Windows 8 ix
8. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato
caso voc no cumpra qualquer de seus termos e condies. Mediante o trmino deste contrato
por qualquer motivo, voc interromper imediatamente todo o uso de e excluir e destruir todas
as cpias do Contedo Licenciado em seu poder ou sob seu controle.
9. LINKS PARA SITES DE TERCEIROS. Voc pode criar links para sites de terceiros por meio do uso
do Contedo Licenciado. Os sites dos outros fabricantes no esto sob controle da Microsoft, e nem
a Microsoft se responsabiliza pelo contedo de qualquer site de terceiros, por nenhum link presente
nos sites de terceiros, ou por qualquer mudana ou atualizao nos sites de terceiros. Nem a Microsoft
responsvel pela transmisso pela Web nem por qualquer outra forma de transmisso recebida
de qualquer site de terceiros. A Microsoft est fornecendo esses links a sites de terceiros para voc
somente como uma convenincia, e a incluso de qualquer link no implica o aval da Microsoft
ao respectivo site.
10. ACORDO INTEGRAL. Este contrato e quaisquer termos adicionais do Contedo do Instrutor,
atualizaes e suplementos constituem o acordo integral do Contedo Licenciado, das atualizaes
e dos suplementos.
a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, este
contrato ser regido e interpretado de acordo com as leis do Estado de Washington, que sero
aplicadas s reclamaes de violao de contrato, independentemente dos princpios de conflito
de leis. As leis do estado no qual voc reside regero todas as outras reclamaes, incluindo
leis de defesa do consumidor, concorrncia desleal e atos ilcitos extracontratuais.
b. Fora dos Estados Unidos. Caso voc tenha adquirido este Contedo Licenciado em qualquer
outro pas, as leis desse pas sero aplicveis.
12. EFEITO LEGAL. Este contrato descreve determinados direitos previstos em lei. Outros direitos podem
ser conferidos a voc de acordo com as leis do seu pas. Voc tambm poder ter direitos em relao
parte de quem o Contedo Licenciado foi adquirido. Este contrato no altera seus direitos previstos
nas leis do seu pas, caso essas leis no o permitam.
Configurao do Windows 8 xi
A limitao tambm se aplicar mesmo que a Microsoft saiba ou tenha sido avisada da possibilidade
de danos. A limitao ou excluso acima poder no se aplicar a voc se a legislao do seu pas
proibir, entre outros, a excluso ou a limitao de danos incidentais ou consequenciais.
Nota: como este Contedo Licenciado distribudo em Quebec, Canad, algumas das clusulas
so fornecidas abaixo em francs.
EXONRATION DE GARANTIE. Le contenu sous licence vis par une licence est offert tel quel .
Toute utilisation de ce contenu sous licence est votre seule risque et pril. Microsoft naccorde aucune
autre garantie expresse. Vous pouvez bnficier de droits additionnels en vertu du droit local sur la
protection des consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit
locale, les garanties implicites de qualit marchande, dadquation un usage particulier et dabsence
de contrefaon sont exclues.
Elle sapplique galement, mme si Microsoft connaissait ou devrait connatre lventualit dun tel
dommage. Si votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou lexclusion ci-dessus
ne sappliquera pas votre gard.
EFFET JURIDIQUE. Le prsent contrat dcrit certains droits juridiques. Vous pourriez avoir dautres
droits prvus par les lois de votre pays. Le prsent contrat ne modifie pas les droits que vous confrent
les lois de votre pays si celles-ci ne le permettent pas.
Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.
Atenciosamente,
Microsoft Learning
www.microsoft.com/brasil/certifique
1 IDC, Value of Certication: Team Certication and Organizational Performance, novembro de 2006
xiv Administrao do Windows Server 2012
Agradecimentos
O Microsoft Learning gostaria de reconhecer e agradecer s seguintes pessoas por sua contribuio no
desenvolvimento deste curso. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu que
voc tivesse uma boa experincia em sala de aula.
Contedo
Mdulo 1: Implantao e manuteno de imagens de servidor
Lio 1: Viso geral dos Servios de Implantao do Windows 1-2
Lio 2: Implementao da implantao com os Servios de Implantao
do Windows 1-9
Lio 3: Administrao dos Servios de Implantao do Windows 1-16
Laboratrio: Uso dos Servios de Implantao do Windows
para implantar o Windows Server 2012 1-23
Descrio do curso
O objetivo principal deste curso configurar e manter servios de infraestrutura bsicos em um ambiente
corporativo do Windows Server 2012. O pblico-alvo principal deste curso de profissionais de TI
(tecnologia da informao) que conseguiram implementar com xito um servidor Microsoft Windows
Server 2008, em uma infraestrutura corporativa existente ou como uma instalao autnoma, e desejam
adquirir as habilidades e o conhecimento necessrio ampliao dessa implementao para gerenciar e
manter a infraestrutura bsica necessria a um ambiente do Windows Server 2008. Os candidatos tambm
devem ter um conhecimento equivalente ao j abordado no curso Windows Server 2012 Enterprise Bsico
1, porque esse curso partir desse conhecimento.
Pblico-alvo
Este curso se destina a alunos para ampliar a implantao inicial de servios no Bsico 1 e fornecer as
habilidades necessrias ao gerenciamento e manuteno da infraestrutura do Windows Server 2012
com base em domnio. Os candidatos normalmente seriam administradores de sistema e deveriam ter
pelo menos um ano de experincia trabalhando em um ambiente do Windows Server 2012 ou do
Windows 8. O pblico-alvo secundrio deste curso ser de candidatos que desejam adquirir a credencial
MCSA (Microsoft Certified Solutions Associate) sozinhos ou continuar adquirindo as credenciais MCSE
(Microsoft Certified Solutions Expert), das quais este curso um pr-requisito.
Pr-requisitos do aluno
Este curso exige que voc tenha a possibilidade de atender aos seguintes pr-requisitos:
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Estrutura do curso
Veja a seguir a estrutura do curso:
Mapeamento do exame/curso
Este curso, 24411B: Administrao do Windows Server 2012, tem um mapeamento direto do
seu contedo com o domnio de objetivos para o exame da Microsoft 70-411: Administrao
do Windows Server 2012.
A tabela a seguir fornecida como uma ajuda de estudo que o ajudar na preparao para este exame e
para mostrar a voc como os objetivos do exame e o contedo do curso so integrados. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
(continuao)
(continuao)
(continuao)
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-411#tab3
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo do
pblico-alvo para este exame est disponvel na URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-411#tab1
Material do curso
Os seguintes materiais foram includos no seu kit:
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas e os
conhecimentos aprendidos em cada mdulo.
Respostas do laboratrio: Fornecem orientao passo a passo e imediata para a resoluo dos
laboratrios quando necessrio.
Recursos: Incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
mais atual na TechNet, na MSDN e na Microsoft Press.
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Sobre este curso xxix
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso.
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
Arquivos do curso
H arquivos de laboratrio associados aos laboratrios neste curso. Os arquivos de laboratrio esto
localizados na pasta E:\Labfiles\LabXX em NYC-DC1.
Mova o mouse para o canto inferior direito da rea de trabalho para abrir um menu com:
Configuraes: isso inclui Painel de Controle e Energia
Windows+C: abre o mesmo menu que aberto com a movimentao do mouse no canto inferior
direito
Mdulo 1
Implantao e manuteno de imagens de servidor
Contedo:
Viso geral do mdulo 1-1
Objetivos
Ao concluir este mdulo, os alunos estaro aptos a:
Descrever os recursos importantes e a funcionalidade dos Servios de Implantao do Windows.
Lio 1
Viso geral dos Servios de Implantao do Windows
Servios de Implantao do Windows permitem implantar sistemas operacionais Windows. possvel
usar uma instalao baseada na rede dos Servios de Implantao do Windows para implantar esses
sistemas operacionais em novos computadores. Isso significa que voc no precisa estar fisicamente
presente em cada computador. Alm disso, voc no precisa instalar cada sistema operacional
diretamente a partir de uma mdia local. Consequentemente, os Servios de Implantao do Windows
so bem dimensionados para dar suporte s necessidades de implantao das organizaes maiores.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Windows XP
Windows Server 2003
Windows Vista com Service Pack 1 (SP1)
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Os Servios de Implantao do Windows oferecem a possibilidade de criar, armazena e implantar imagens
de instalao de sistemas operacionais compatveis e do suporte a arquivos de imagem .wim e .vhd.
Agora a implantao pode ser unicast ou multicast. O uso de multicasting permite um gerenciamento
mais efetivo do trfego de rede que o processo de implantao consome. Isso potencialmente agiliza a
implantao sem afetar negativamente outros servios de rede.
Durante a implantao das imagens no disco rgido de um novo computador, o sistema recebe a imagem
base com cada um dos componentes adicionados antes da inicializao do sistema pela primeira vez.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-4 Implantao e manuteno de imagens de servidor
Se a organizao for multilngue ou internacional, ser possvel utilizar a natureza neutra do idioma dos
sistemas operacionais Windows mais recentes. O nmero de imagens que voc precisa manter reduzido
novamente porque no h mais nenhuma verso localizada. Algumas verses de sistemas operacionais
Windows so limitadas ao nmero de pacotes de idiomas. possvel adicionar ou remover pacotes de
idiomas de um sistema conforme necessrio e a qualquer momento sem alterar a instalao.
Se precisar dar suporte a vrios idiomas, voc adicionar todos os pacotes de idiomas necessrios ao
arquivo .wim de implantao e ativ-los conforme necessrio, em todos os computadores ou em
computadores especficos.
Componentes de servidor
Entre os componentes de servidor adicionais esto um servidor TFTP (Trivial File Transfer Protocol)
que permite a clientes de inicializao de rede carregarem uma imagem de inicializao na memria.
Tambm est includo: um repositrio de imagem que contm imagens de inicializao, imagens de
instalao, arquivos necessrios especificamente para suporte inicializao de rede e uma pasta
compartilhada que hospeda as imagens de instalao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 1-5
Mecanismo de multicasting
A transmisso de imagens grandes do sistema operacional pela rede mais eficiente com os Servios de
Implantao do Windows. Porm, o envio de arquivos com vrios gigabytes pela rede cria um grande
volume de trfego de rede. Usando o recurso multicast, possvel reduzir ainda mais o custo de rede
de usar a implantao dos Servios de Implantao do Windows.
Com multicasting, o servidor envia os dados uma nica vez e vrios destinos recebem os mesmos dados.
Se voc estiver implantando em vrios destinos, isso poder reduzir o trfego de rede a uma frao do
nmero equivalente de vrias transmisses de unicast. Os Servios de Implantao do Windows fornecem
dois tipos de multicasting:
o contagem de clientes. Quando voc especificar uma contagem de clientes, o servidor aguardar
a contagem definida de clientes conectados ser alcanada e ento comear a enviar as
informaes.
Embora fornea um uso mais eficiente da rede, o multicast programado exige um pouco mais
de trabalho; cada computador de destino deve ser conectado, ligado e marcado.
Multicast automtico. Um destino pode unir um multicast automtico a qualquer momento, e o
servidor repete a transmisso desde que os destinos estejam conectados. Se comear a receber
a imagem no meio ou se ele perder alguma parte da imagem, o destino ir continuar conectado
e coletar as partes adicionais do arquivo quando o servidor reiniciar a transmisso.
Cenrio 1
Em uma rede pequena consistindo em um nico servidor e com cerca de 25 computadores do
Windows XP, voc poderia usar os Servios de Implantao do Windows para agilizar o processo de
atualizao dos computadores clientes para o Windows 8. Assim que voc tiver instalado e configurado a
funo de servidor Servios de Implantao do Windows no nico servidor, ser possvel usar os Servios
de Implantao do Windows para realizar as seguintes tarefas:
1. Adicione boot.wim a partir da pasta de origem da mdia do Windows Server 2012 como uma imagem
de inicializao nos Servios de Implantao do Windows.
2. Adicione install.wim a partir da pasta de origem da mdia do Windows 8 como uma imagem de
instalao.
9. Conecte-se imagem de captura criada por voc, use-a para capturar o sistema operacional local e
carregue-a no servidor dos Servios de Implantao do Windows.
10. Inicie cada um dos computadores de destino existentes a partir da rede usando PXE e conecte-se
imagem de inicializao apropriada.
Cenrio 2
No segundo cenrio, uma organizao de mdio a grande porte deseja implantar vrios servidores em
filiais geograficamente espalhadas. Seria demorado e caro enviar a equipe de TI experiente a cada local
para implantar os servidores.
1. Adicione boot.wim a partir da mdia do Windows Server 2012 como uma imagem de inicializao
nos Servios de Implantao do Windows.
2. Adicione install.wim a partir da mdia do Windows Server 2012 como uma imagem de instalao.
5. Execute uma instalao padro do Windows Server 2012 a partir da imagem install.wim.
11. Use o SIM (Gerenciador de Imagem de Sistema do Windows) no Windows ADK (Kit de Instalao
Automatizada do Windows) para criar um arquivo de resposta autnomo.
12. Configure o arquivo de resposta a ser usado com a imagem de instalao capturada nos Servios de
Implantao do Windows.
13. Configure uma poltica de nomenclatura personalizada nos Servios de Implantao do Windows de
forma que cada computador servidor receba um nome de computador apropriado durante a implantao.
14. Configure os Servios de Implantao do Windows para usarem uma imagem de inicializao padro.
15. Configure os Servios de Implantao do Windows para atenderem a solicitaes PXE e inicie a
implantao da imagem de instalao automaticamente.
A soluo no implementa transmisses multicast nem usa referncia PXE. Essas tecnologias tambm
poderiam ser usadas para ajudar a gerenciar o trfego de rede durante a implantao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-8 Implantao e manuteno de imagens de servidor
o No h requisito de atualizar
configuraes de servidores existentes, porque essas so novas filiais sem infraestrutura de TI
atual implantada.
Pergunta: A. Datum Corporation deseja implantar vrios servidores novos nas respectivas
matrizes. Esses servidores sero instalados com o Windows Server 2012. As seguintes
informaes foram fornecidas equipe de TI pela gerncia:
o A configurao dos vrios servidores deve variar um pouco; h duas configuraes de servidor
bsicas: servidor completo e Server Core.
Lio 2
Implementao da implantao com os Servios
de Implantao do Windows
Embora os Servios de Implantao do Windows no sejam complicados de instalar e configurar,
importante que voc compreenda a constituio dos respectivos componentes, alm de como configur-
los corretamente. Fazendo isso, voc garantir que ele fornea o nvel apropriado de automao da
implantao e que atenda s necessidades de implantao da organizao. Ao instalar e configurar os
Servios de Implantao do Windows, voc deve compreender como us-los e as ferramentas associadas
para criar, gerenciar e implantar imagens em computadores dentro da organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar o processo de usar os Servios de Implantao do Windows para implantar o Windows Server.
PXE Usa o provedor PXE padro Voc deve criar um provedor PXE
(continuao)
Inicialize a partir da rede. O Servidor de Transporte s fornece um ouvinte PXE; esse o componente
que escuta e aceita o trfego de entrada. Voc deve escrever um provedor PXE personalizado para
usar um Servidor de Transporte a fim de inicializar o computador a partir da rede.
Para instalar um Servidor de Implantao, a rede e o servidor de destino devem atender aos requisitos
a seguir.
AD DS. O servidor dos Servios de Implantao do Windows devem ser um membro de um domnio
do AD DS ou um controlador de domnio do AD DS.
DHCP. Voc deve ter um servidor DHCP funcional com um escopo ativo na rede. Isso porque os Servios
de Implantao do Windows usam PXE, que depende do DHCP para alocar configuraes de IP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 1-11
DNS. Voc deve ter um servidor DNS funcional na rede de forma que os computadores clientes
possam localizar os servios obrigatrios para implantao.
Embora no seja um requisito, o Windows ADK permite simplificar o processo de criao dos arquivos
de resposta (unattend.xml) a serem usados com implantaes dos Servios de Implantao do Windows
automatizadas.
Observao: Para instalar a funo Servios de Implantao do Windows, voc deve ser um
membro do grupo local de administradores no servidor. Para inicializar o servidor, voc deve ser
um membro do grupo Usurios do Domnio.
o Deve ser grande o bastante para acomodar as imagens de implantao cuja necessidade voc
prev.
o Deve ser um disco fsico separado a partir do qual o sistema operacional instalado para ajudar a
otimizar o desempenho.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-12 Implantao e manuteno de imagens de servidor
o Impedir o servidor PXE de escutar a porta UDP (User Datagram Protocol) 67; essa porta usada
pelo DHCP.
o Configurar a opo DHCP 60 para PXEClient; isso permite ao cliente PXE localizar a porta de
servidor dos Servios de Implantao do Windows.
4. Determine como voc deseja que o servidor PXE responda aos clientes:
o O padro que o servidor PXE no responda a nenhum cliente; isso til quando voc est
configurando inicialmente os Servios de Implantao do Windows, porque ainda no tem
imagens disponveis para clientes.
Configure a poltica de inicializao PXE para clientes conhecidos e desconhecidos. Essa poltica
determina o comportamento do instalador obrigatrio durante a parte inicial da implantao.
Por padro, as polticas de computador conhecidas e desconhecidas exigem que o instalador
pressione F12 para se conectar ao servidor de imagens dos Servios de Implantao do Windows.
No fazer isso resulta no computador usando configuraes de BIOS para determinar um mtodo
de inicializao alternativopor exemplo, disco rgido ou CD ROM. Em vez desse padro, possvel
configurar as seguintes opes:
o Sempre continuar a inicializao do PXE. Essa opo garante que o computador continue
passando pelo processo de implantao sem nenhuma interao do instalador.
o Continuar a inicializao PXE a menos que o usurio tenha pressionado a tecla Esc. Essa opo
d ao instalador a capacidade de cancelar a implantao.
Configurar uma imagem de inicializao padro. Se voc tiver vrias imagens de inicializaopor
exemplo, para dar suporte a vrias plataformasser possvel configurar uma imagem de
inicializao padro para cada uma delas. Essa imagem ser selecionada depois de um tempo
limite no computador cliente PXE.
Crie imagens de descoberta. Nem todos os computadores do suporte inicializao de rede PXE.
Para aqueles que no do, possvel criar um imagem de descoberta com base em uma imagem de
inicializao e export-la para um dispositivo de armazenamento removvel. Para criar uma imagem
de descoberta, especifique:
o O nome do servidor dos Servios de Implantao do Windows que ser usado na implantao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-14 Implantao e manuteno de imagens de servidor
Adicione imagens de instalao. Essa a imagem do sistema operacional usada para instalar o
Windows Server. Normalmente, voc comea com a imagem de instalao install.wim na pasta
\sources do DVD do produto Windows Server 2012. Por isso, convm optar por criar imagens
personalizadas para grupos de computadores com configuraes semelhantes.
Observao: Para criar imagens de instalao, voc deve definir um grupo de imagens de
instalao no qual consolidar as imagens relacionadas. Se voc no fizer isso, o programa de
administrao dos Servios de Implantao do Windows criar um grupo genrico.
Associe um arquivo de resposta a uma imagem de instalao. Se voc tiver criado um arquivo de
resposta, por exemplo, usando o Windows ADK, ser possvel associ-lo a uma instalao para
fornecer as informaes necessrias para concluir a implantao do computador sem interao
do instalador.
e. %[n]#. possvel usar essa sequncia a fim de definir um nmero sequencial de identificao
exclusivo para o nome do computador contendo n dgitos. Se voc quiser usar um nmero com
vrios dgitos, acrescente a varivel com zeros esquerda, depois do sinal %. Por exemplo, % 2#
resulta nos nmeros sequenciais 1, 2, 3 e assim por diante. %02# resulta em 01, 02 e 03.
Configurao de drivers
Os Servios de Implantao do Windows no Windows Server 2012 permite adicionar e configurar pacotes
de driver no servidor e implant-los em computadores clientes durante instalaes baseadas no hardware.
1. Obtenha os drivers dos quais voc precisa. Eles devem estar na forma de um arquivo .inf, em vez
de um arquivo .msi ou .exe.
2. Configure filtros, se desejado, no grupo de drivers. Esses filtros determinam quais computadores
recebem os drivers com base nas caractersticas de hardware dos computadores clientes. Por
exemplo, possvel criar um filtro que aplica os drivers apenas a computadores que tenham
uma BIOS fabricada pela A. Datum.
3. Adicione os drivers como um pacote de driver. Os pacotes de driver devem ser associados
a um grupo de drivers. Se voc associar o pacote de driver a um grupo no filtrado, todos os
computadores recebero o driver.
possvel usar os Servios de Implantao do Windows para adicionar pacotes de drivers s imagens de
inicializao do Windows 8 e do Windows Server 2012; consequentemente, voc no precisa exportar a
imagem. Use as ferramentas no Windows ADK para adicionar pacotes de driver manualmente e adicione
a imagem de inicializao atualizada.
Pergunta: Qual a vantagem de definir uma poltica de nomenclatura do cliente?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
1-16 Implantao e manuteno de imagens de servidor
Lio 3
Administrao dos Servios de Implantao do Windows
Quando tiver concludo a configurao dos Servios de Implantao do Windows, voc dever criar
e administrar imagens de inicializao, imagens de instalao e, como opo, imagens de captura e
descoberta. Alm disso, voc deve disponibilizar essas imagens para computadores clientes com o nvel
desejado de automao usando um mecanismo de transmisso apropriado.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Configurao de DHCP
Criao e atendimento de imagens
Automatizao da implantao
Configurao de transmisso
Configurao de DHCP
Os clientes que inicializam usando PXE exigem uma configurao de IPv4 alocada dinamicamente. Voc
deve criar e configurar um escopo DHCP apropriado a essa finalidade. Alm disso, se as funes de
servidor DHCP e Servios de Implantao do Windows forem co-hospedadas, voc dever configurar
como o servidor PXE escuta solicitaes de cliente; h um conflito inerente porque DHCP e Servios de
Implantao do Windows usam a porta UDP 67. Para criar e gerenciar escopos DHCP, possvel usar
o snap-in DHCP ou a ferramenta de linha de comando Netsh.exe.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 1-17
Por exemplo, para adicionar uma imagem de inicializao, use o seguinte comando:
Para adicionar uma imagem de instalao, use os dois comandos a seguir, pressionando Enter depois de
cada linha:
Observao: Ao personalizar o repositrio BCD, voc deve for-lo a ser recriado para que as
alteraes entrem em vigor. Para fazer isso, execute os dois comandos WDSutil.exe a seguir (pressionando
Enter depois de cada linha), pare e reinicie o servidor Servios de Implantao do Windows:
wdsutil /stop-server
wdsutil /start-server
Tamanho da tela. Apenas 13 imagens podem ser exibidas no menu. Se voc tiver mais, o instalador
dever rolar a tela para v-las.
Porm, se quiser um controle mais especfico sobre implantaes, voc poder pr-testar os
computadores no AD DS; isso permite configurar o cliente para:
Iniciar a partir de um servidor Servios de Implantao do Windows.
Tambm possvel usar a seguinte ferramenta de linha de comando WDSutil.exe para pr-testar
computadores:
Automatizao da implantao
possvel automatizar implantaes dos Servios de Implantao do Windows de ponta a ponta.
possvel usar o snap-in Servios de Implantao do Windows e o Windows SIM para concluir
essas tarefas.
Configurao de transmisso
O multicasting permite implantar uma imagem em um grande nmero de computadores clientes
sem consumir largura de banda da rede em excesso.
Tenha roteadores que deem suporte propagao de multicasts; ou seja, suporte ao IGMP
(Internet Group Management Protocol).
Etapas da demonstrao
Instalar e configurar a funo Servios de Implantao do Windows
2. Adicione um novo Grupo de Imagens com o nome do grupo de imagens Windows Server 2012.
3. Use o Assistente para Adicionar Imagem para adicionar uma nova imagem de instalao ao grupo.
Use as seguintes informaes para concluir o processo:
a. Na pgina Arquivo de Imagem, use o seguinte nome do arquivo: D:\sources\install.wim
Automatizao de implantaes
H quatro fases que possvel automatizar
durante o processo de implantao dos Servios
de Implantao do Windows. So elas:
As telas dos Servios de Implantao do Windows. Quando o computador cliente usa o protocolo
TFTP para se conectar ao servidor Servios de Implantao do Windows e selecionar uma imagem de
inicializao, o instalador deve fornecer credenciais e selecionar uma imagem do sistema operacional
a ser instalado. possvel criar um arquivo de resposta Unattend.xml para automatizar essa fase.
Instalao do Windows. possvel personalizar o programa de instalao de forma que, uma vez que
a imagem de instalao for selecionada (automtica ou manualmente), o programa de instalao
concluir o processo de instalao sem interveno do instalador. Esse o mesmo tipo de automao
usado para automatizar instalaes com o Windows ADKADK.
Use o Windows SIM para criar ambos os tipos de arquivos de resposta e use o snap-in Servios de
Implantao do Windows para associar os arquivos de resposta fase de implantao obrigatria.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 1-21
1. Crie o arquivo Unattend.xml no Windows ADK com configuraes apropriadas aos Servios de
Implantao do Windows.
2. Copie o arquivo para o servidor Servios de Implantao do Windows e cole-o em uma pasta em
\RemoteInstall.
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Installer</Username>
<Domain>Adatum.com</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<WillShowUI>OnError</WillShowUI>
<InstallImage>
<ImageName>Windows Server 2021</ImageName>
<ImageGroup>Adatum Server Images</ImageGroup>
<Filename>Install.wim</Filename>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
Etapas da demonstrao
1. Abra o console dos Servios de Implantao do Windows em LON-SVR1.
A. Datum est implantando servidores em escritrios filiais em toda a regio para o departamento
de pesquisa. Voc recebeu a tarefa de ajudar a automatizar essa implantao. Voc sugere o uso dos
Servios de Implantao do Windows para implantar o Windows Server 2012 nos escritrios filiais. Voc
recebeu algumas instrues por email referentes implantao. Voc deve ler essas instrues, alm de
instalar e configurar os Servios de Implantao do Windows para dar suporte implantao.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 75 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
Informaes adicionais
Mtodo de implantao: Implantaes de imagem padro automatizadas
Informaes de configurao:
o LON-SVR1 deve ser usado para hospedar os Servios de Implantao do Windows.
o Configure a transmisso multicast para usar Multicast Automtico.
o Configure a nomenclatura automtica para identificar servidores de ramificao.
o Coloque servidores de ramificao na UO de pesquisa.
o O sistema operacional deve ser Windows Server 2012 Enterprise Edition.
o Uma instalao Server Core deve ser realizada.
3. Instale a funo de servidor Servios de Implantao do Windows com ambos os servios de funo.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado os Servios de
Implantao do Windows.
3. Adicione uma nova imagem de inicializao usando as seguintes informaes para concluir
o processo:
2. Adicione um novo Grupo de Imagens com o nome do grupo de imagens Windows Server 2012.
3. Use o Assistente para Adicionar Imagem para adicionar uma nova imagem de instalao ao grupo.
Use as seguintes informaes para concluir o processo:
Resultados: Depois de concluir este exerccio, voc criar uma imagem de sistema operacional com
Servios de Implantao do Windows.
o Formatar: BRANCH-SVR-%02#
o Local da Conta do Computador: Adatum UO de pesquisa
3. Abra o Windows PowerShell e digite o seguinte comando a fim de criar uma mensagem a ser
exibida aos instaladores enquanto aguardam a aprovao de administrao:
2. Clique com o boto direito do mouse na UO Research e use o Assistente para Delegar Controle
conta do computador LON-SVR1 a capacidade de criar objetos de computador na UO.
Use as seguintes informaes para ajudar a:
Resultados: Depois de concluir esse exerccio, voc ter configurado a nomenclatura de computador
personalizada.
2. Crie uma nova transmisso multicast usando as seguintes informaes para concluir o processo:
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-SVR3 e clique
em Configuraes.
8. Quando o computador for reinicializado, observe o aviso de DHCP PXE. Quando solicitado,
pressione F12 para Inicializao de Rede.
11. Clique com o boto direito do mouse emsolicitao pendente e clique em Aprovar.
2. Clique com o boto direito do mouse em 24411B-LON-DC1 na lista Mquinas Virtuais e clique
em Reverter.
Resultados: Depois de concluir este exerccio, voc ter implantado uma imagem com Servios de
Implantao do Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 1-29
Mdulo 2
Configurao e soluo de problemas do Sistema de Nomes
de Domnio
Contedo:
Viso geral do mdulo 2-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Instalao da funo Servidor DNS
Para dar suporte aos servios de rede subjacentes dentro da organizao, voc precisa ser capaz de instalar e
configurar a funo de servidor DNS do Windows Server 2012. Antes de instalar a funo de servidor DNS,
voc deve compreender o requisito da infraestrutura de rede da organizao e optar por usar um DNS
dividido. Voc tambm deve considerar a colocao da funo de servidor DNS e o nmero de clientes DNS
e zonas que voc usar. Esta lio descreve o processo de instalao de uma funo de servidor DNS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Com a adoo do IPv6, o DNS se tornar ainda mais crtico porque os endereos IPv6 so ainda mais complexos
do que endereos IPv4. Um exemplo de um endereo IPv6 2001:db8:4136:e38c:384f:3764:b59c:3d97.
Domnio raiz
Um ponto (.) representa o domnio raiz e voc no
o digita em um navegador da Web. O ponto (.)
pressuposto. Na prxima vez em que voc digitar
um endereo em um computador, tente adicionar
um ponto ao final (por exemplo,
www.microsoft.com.). Existem 13 servidores de
domnios raiz no mundo inteiro.
Subdomnio
O subdomnio aparece antes dos domnios de nvel superior e de segundo nvel. Um exemplo de
subdomnio www no nome de domnio www.microsoft.com. Os subdomnios so definidos no servidor
DNS da organizao que mantm o servidor DNS de segundo nvel.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-4 Configurao e soluo de problemas do Sistema de Nomes de Domnio
A-Z
a-z
0-9
Hfen (-)
Integrao do AD DS e do DNS
Ao comear a planejar o namespace DNS, voc
deve considerar os namespaces interno e externo.
O namespace interno o usado por clientes
internos e servidores dentro da rede privada.
O namespace externo o referenciado pela
organizao na Internet. No h requisito de
que voc deva implementar o mesmo nome
de domnio DNS interna e externamente.
Para determinar um namespace DNS para o ambiente do AD DS, possvel optar pelos seguintes cenrios:
Deixe o namespace interno igual ao namespace pblico. Nesse cenrio, os namespaces internos e
pblicos so iguais, mas tero registros diferentes. Embora isso oferea simplicidade, que o torna
uma escolha apropriada a organizaes menores, pode ser difcil gerenci-lo para redes maiores.
Deixe o namespace interno diferente do namespace pblico. Nesse cenrio, os namespaces internos
e pblicos so completamente diferentes, sem vnculo entre eles. Isso proporciona a separao
bvia no namespace. Em redes complexas, com muitos aplicativos para Internet, o uso de um nome
diferente esclarece um pouco durante a configurao desses aplicativos. Por exemplo, servidores de
borda colocados em uma rede de permetro costumam exigir vrias placas de interface de rede: uma
conectada rede privada e uma atendendo a solicitaes da rede pblica. Se cada placa de interface
de rede tiver um nome de domnio diferente, normalmente ser mais fcil concluir a configurao
desse servidor.
O uso de namespaces exclusivos para os namespaces interno e pblico do uma clara delineao entre
o DNS interno e externo e evita a necessidade de sincronizar registros entre os namespaces. Porm, em
alguns casos, ter vrios namespaces poder levar confuso do usurio. Por exemplo, voc pode escolher
o namespace externo Contoso.com e o namespace interno Contoso.local. Observe que, ao implementar
uma configurao de namespace exclusiva, voc no est mais vinculado ao uso de nomes de domnio
registrados.
O uso de um subdomnio do namespace pblico para AD DS evita a necessidade para sincronizar
registros entre os servidores DNS interno e externo. Como os namespaces so vinculados, os usurios
normalmente acham essa estrutura mais fcil de compreender. Por exemplo, se o namespace pblico
for Contoso.com, convm optar por implementar o namespace interno como o AD do subdomnio
ou AD.Contoso.com.
www A 131.107.1.200
Relay A 131.107.1.201
Exchange1 A 192.168.0.201
Quando quiser acessar a retransmisso SMTP (Simple Mail Transfer Protocol) usando o nome publicado
de relay.contoso.com, um computador cliente na Internet consulta o servidor DNS retornando o resultado
131.107.1.201. Assim, o cliente estabelece uma conexo via SMTP com esse endereo IP.
Porm, os computadores clientes na intranet corporativa tambm usam o nome publicado
relay.contoso.com. O servidor DNS retorna o mesmo resultado: um endereo IP pblico 131.107.1.201.
O cliente agora tenta estabelecer uma conexo com o endereo IP retornado usando a interface externa
do computador de publicao. Dependendo da configurao do cliente, isso pode ou no ser bem-
sucedido.
Configurando duas zonas para o mesmo nome de domnio uma em cada um dos dois
servidores DNS possvel evitar esse problema.
Exchange1 A 192.168.0.201
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-7
www A 131.107.1.200
Relay A 131.107.1.201
MX Relay.contoso.com
Agora, os computadores cliente nas redes interna e externa podem resolver o nome relay.contoso.com
para o endereo IP interno ou externo apropriado.
Etapas da demonstrao
1. Alterne para LON-SVR1 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
As zonas integradas do Active Directory so mais fceis de gerenciar do que as zonas baseadas em texto
tradicionais, alm de serem mais seguras. A replicao dos dados da zona ocorre como parte da
replicao do Active Directory.
Como computadores clientes resolvero nomes se o servidor DNS habitual ficar indisponvel?
Qual ser o impacto no trfego da rede se os computadores cliente comearem a usar um servidor
DNS alternativo, talvez localizado remotamente?
Como voc implementar transferncias de zona? As zonas integradas do Active Directory usam a
replicao do Active Directory para transferir a zona para todos os outros controladores de domnio.
Ao implementar zonas integradas que no sejam do Active Directory, voc deve planejar o
mecanismo de transferncia da zona por conta prpria.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-9
Lio 2
Configurao da funo Servidor DNS
A infraestrutura do DNS a base para a resoluo de nomes na Internet e em domnios do AD DS
baseados no Windows Server 2012. Esta lio fornece orientao e informaes sobre o que obrigatrio
para configurar a funo de servidor DNS e explica as funes bsicas de um servidor DNS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Servidores DNS
Um servidor DNS responde a consultas DNS
recursivas e iterativas. Os servidores DNS tambm
podem hospedar uma ou mais zonas de um
domnio especfico. As zonas contm diferentes
registros de recursos. Os servidores DNS tambm
podem armazenar as pesquisas em cache para
reservar tempo para as consultas comuns.
Resolvedores de DNS
O resolvedor de DNS gera e envia consultas iterativas ou recursivas ao servidor DNS. Um resolvedor de
DNS pode ser qualquer computador que executa uma pesquisa de DNS que exige interao com o
servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-10 Configurao e soluo de problemas do Sistema de Nomes de Domnio
Uma consulta autoritativa aquela para a qual o servidor pode retornar uma resposta que ele sabe
estar correta, pois a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS que contm no cache o domnio que solicitado, responde a uma consulta no
autoritativa usando encaminhadores ou dicas de raiz. No entanto, a resposta fornecida pode no ser
exata, uma vez que somente o servidor DNS com autoridade sobre o domnio especificado pode
emitir essa informao.
Se o servidor DNS tiver autoridade sobre o namespace da consulta, o servidor DNS verificar a zona e
executar um dos seguintes procedimentos:
Retornar o endereo solicitado.
Observao: Uma resposta autoritativa s pode ser dada pelo servidor com autoridade
direta para o nome consultado.
Se for no autoritativo para o namespace da consulta, o servidor DNS local realizar um dos seguintes
procedimentos:
Usar endereos conhecidos de diversos servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Uma consulta recursiva pode ter dois resultados possveis:
Consultas iterativas
As consultas iterativas oferecem um mecanismo para acessar informaes de nome de domnio residentes no
sistema DNS e habilitam servidores para resolver nomes de maneira rpida e eficiente em vrios servidores.
Ao receber uma solicitao que no pode ser respondida com as informaes locais ou com as pesquisas
armazenadas no cache, um servidor DNS repassa essa solicitao para outro servidor DNS usando uma
consulta iterativa.
Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereo IP do nome do
domnio (se for conhecido) ou com uma referncia aos servidores DNS responsveis pelo domnio que
est sendo consultado.
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma organizao tiver vrios servidores de email. Isso
informar ao servidor emissor o servidor de correio preferido pela empresa receptora. Os registros SRV
(localizador de servio) tambm contm informaes sobre a porta que est sendo escutada pelo servio
e sobre o protocolo que voc deve usar para se comunicar com o servio.
Registro de recurso SOA O registro identifica o nome do servidor principal para uma
(incio de autoridade) zona DNS, bem como outros detalhes especficos, como TTl
(tempo de vida) e atualizao.
Registro do recurso Endereo O principal registro que resolve um nome de host para um
do host (A) endereo IPv4.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-12 Configurao e soluo de problemas do Sistema de Nomes de Domnio
(continuao)
Registro do recurso Nome Um tipo de registro de alias que mapeia um nome para outro
cannico (CNAME) (por exemplo, www.microsoft.com um CNAME do registro A
microsoft.com).
Registro do recurso PTR (ponteiro) O registro usado para pesquisar e mapear um endereo IP
para um nome de domnio. A zona de pesquisa inversa
armazena os nomes.
Tambm possvel adicionar dicas de raiz em um servidor DNS para dar suporte a pesquisas de domnios
no contguos em uma floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-13
Ao se comunicar com um servidor de dicas de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio, o servidor no poder fazer consultas sobre
dicas de raiz. Se voc configurar o servidor para usar um encaminhador, ele tentar enviar uma consulta
recursiva para o respectivo servidor de encaminhamento. Se o servidor de encaminhamento no
responder a essa consulta, o servidor responder que no foi possvel encontrar o host.
importante compreender que a recurso em um servidor DNS e consultas recursivas no significam a
mesma coisa. Recurso em um servidor significa que esse servidor usar as respectivas dicas de raiz e
tentar resolver uma consulta DNS. O prximo tpico aborda consultas iterativas e recursivas com mais
detalhes.
O que o encaminhamento?
Um encaminhador uma definio de
configurao do servidor DNS que encaminha
consultas DNS de nomes DNS externos para
servidores DNS fora dessa rede. Tambm
possvel usar encaminhadores condicionais
para encaminhar consultas de acordo com
nomes de domnio especficos.
Um servidor DNS da rede designado como um
encaminhador quando outros servidores DNS da
rede encaminham para ele as consultas que no
conseguiram resolver localmente. Ao utilizar um
encaminhador, voc pode gerenciar a resoluo
de nomes fora de sua rede, como os nomes na
Internet, e melhorar a eficincia desse processo nos computadores da rede.
O servidor que estiver encaminhando solicitaes na rede deve poder se comunicar com o servidor DNS
localizado na Internet. Isso significa que voc o configura para encaminhar solicitaes para outro
servidor DNS ou ele utiliza as dicas de raiz para se comunicar.
Prtica recomendada
Use um servidor DNS de encaminhamento central para a resoluo de nomes da Internet. Isso pode
melhorar o desempenho, simplificar o processo de soluo de problemas e uma prtica de segurana
recomendada. possvel isolar o servidor DNS de encaminhamento em uma rede de permetro, o que
garante que nenhum servidor dentro da rede se comunique diretamente com a Internet.
Encaminhamento condicional
Um encaminhador condicional uma definio de configurao no servidor DNS que encaminha
consultas DNS de acordo com o nome de domnio DNS da consulta. Por exemplo, voc pode configurar
um servidor DNS para encaminhar todas as consultas por ele recebidas sobre nomes que terminam com
corp.contoso.com para o endereo IP de um servidor DNS especfico ou para os endereos IP de vrios
servidores DNS. Isso pode ser til quando voc tem vrios namespaces DNS em uma floresta.
Um servidor somente de cache no hospedar dados de zonas DNS; apenas responder s pesquisas
dos clientes DNS. Esse o tipo ideal de servidor DNS para ser utilizado como encaminhador.
O cache de cliente DNS um cache DNS armazenado pelo servio Cliente DNS no computador local.
Para exibir o cache do lado do cliente atual, execute o comando ipconfig /displaydns no prompt de
comando. Se voc precisar desmarcar o cache local, como quando voc est solucionando problemas
da resoluo de nomes, ser possvel usar ipconfig /flushdns.
Etapas da demonstrao
b. Na guia Avanado, possvel configurar opes, inclusive a proteo do cache contra poluio,
alm de DNSSEC.
c. Na guia Dicas de raiz, possvel ver a configurao para os servidores de dicas de raiz.
d. Na guia Log de depurao, possvel configurar opes de registro em log da depurao.
b. Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite
131.107.1.2 e pressione Enter. A validao falhar porque apenas uma configurao
de exemplo.
Lio 3
Configurao de zonas DNS
Zonas DNS so um conceito importante na infraestrutura de DNS, pois permitem que voc separe e
gerencie logicamente domnios DNS. Esta lio apresenta os princpios bsicos do relacionamento entre
as zonas e os domnios DNS, bem como fornece informaes sobre os diversos tipos de zonas DNS
disponveis na funo DNS do Windows Server 2012 R2.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Os dados da zona podem ser replicados em mais de um servidor. Isso gera redundncia em uma zona,
pois as informaes necessrias para encontrar os recursos na zona agora existem em dois ou mais
servidores. O nvel de redundncia necessria um motivo para criar as zonas. Se existir uma zona que
hospeda os registros de recursos crticos do servidor, provvel que essa zona tenha um nvel mais alto
de redundncia do que outra onde estejam definidos dispositivos no crticos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-17
Um servidor DNS ter autoridade em uma zona se ele hospedar, no arquivo de zona, os registros
de recursos dos nomes e endereos que os clientes solicitarem.
Primria
Secundria
Stub
Zona primria
Quando uma zona hospedada por um servidor
DNS uma zona primria, o servidor DNS a
fonte principal de informaes sobre essa zona e
armazena uma cpia mestra dos dados da zona
em um arquivo local ou no AD DS. Quando o servidor DNS armazena a zona em um arquivo, o
arquivo de zona primria , por padro, denominado nome_da_zona.dns e est localizado na pasta
%windir%\System32\Dns no servidor. Quando a zona no armazenada no Active Directory, o
servidor DNS que hospeda a zona primria o nico servidor DNS que tem uma cpia gravvel do
arquivo da zona.
Zona secundria
Quando uma zona hospedada em um Servidor DNS uma zona secundria, o Servidor DNS uma fonte
secundria de informaes da zona. A zona contida nesse servidor deve ser obtida em outro servidor DNS
remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto para
receber informaes atualizadas da zona. Como uma zona secundria uma cpia de uma zona primria
hospedada em outro servidor, ela no pode ser armazenada no AD DS. As zonas secundrias podero ser
teis se voc estiver replicando dados de zonas DNS que no estejam no Windows ou executando o DNS
em servidores que no sejam controladores de domnio do AD DS.
Zona de stub
O Windows Server 2003 lanou as zonas de stub, que resolvem vrios problemas relacionados a grandes
namespaces DNS e a diversas florestas de rvores. Uma floresta com vrias rvores uma floresta do
Active Directory que contm dois nomes de domnio de alto nvel diferentes.
importante ter uma zona inversa, se voc tiver aplicativos que precisam procurar hosts pelos respectivos
endereos IP. Vrios aplicativos registraro essas informaes nos logs de segurana ou de evento. Se
voc se deparar com uma atividade suspeita em um determinado endereo IP, ser possvel o host
usando as informaes da zona inversa.
Muitos gateways de segurana de email usam pesquisas inversas para verificar se um endereo IP que
envia mensagens est associado a um domnio.
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona de stub.
Servidores mestre de uma zona de stub so um ou mais servidores DNS com autoridade sobre a zona
filho, geralmente o servidor DNS que hospeda a zona primria do nome do domnio delegado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-19
Um encaminhador condicional no um mtodo eficiente para fazer com que um servidor DNS que
hospeda uma zona pai reconhea os servidores DNS autoritativos para uma zona filho. Isso ocorre porque
sempre que os servidores DNS autoritativos para a zona filho mudam, voc precisa configurar manualmente
a configurao de encaminhador condicional no servidor DNS que hospeda a zona pai. Especificamente,
voc deve atualizar o endereo IP para cada novo servidor DNS autoritativo para a zona filho.
Etapas da demonstrao
Criar uma zona de pesquisa inversa
1. Alterne para LON-DC1 e crie uma nova zona de pesquisa inversa para a sub-rede IPv4 172.16.0.0.
Voc precisa dividir uma zona grande em zonas menores de forma que seja possvel distribuir cargas
de trfego entre vrios servidores. Isso melhora o desempenho da resoluo de nomes DNS e cria um
ambiente DNS mais tolerante a falhas.
Lio 4
Configurao de transferncias de zona DNS
As transferncias de zona DNS determinam como a infraestrutura de DNS movimenta informaes da
zona DNS de um servidor para outro. Sem transferncias de zona, os vrios servidores de nome na
organizao mantm cpias parte dos dados de zona. Voc tambm deve considerar que a zona
contm dados confidenciais e a proteo das transferncias de zona importante. Esta lio abrange os
diferentes mtodos que a funo de servidor DNS usa ao transferir zonas.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Transferncia de zona plena. Uma transferncia de zona completa ocorre quando a zona inteira
copiada de um servidor DNS para outro. Uma transferncia de zona completa conhecida como
transferncia de zona plena (AXFR).
Transferncia de zona incremental. Uma transferncia de zona incremental ocorre quando existe uma
atualizao para o servidor DNS e apenas os registros de recursos alterados so replicados no outro
servidor. Essa uma Transferncia de Zona Incremental (IXFR).
Transferncia rpida. Os servidores DNS do Windows tambm realizam transferncias rpidas, que
um tipo de transferncia de zona que usa a compactao e envia diversos registros de recurso em
cada transmisso.
Nem todas as implementao do servidor DNS oferecem suporte s transferncias de zona incremental e
rpida. Ao integrar um servidor DNS do Windows 2012 a um servidor DNS BIND (Berkeley Internet Name
Domain), assegure-se de que, na verso do BIND instalada, haja suporte para os recursos necessrios.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-22 Configurao e soluo de problemas do Sistema de Nomes de Domnio
A tabela a seguir lista os recursos com suporte nos vrios servidores DNS.
Servidor DNS Zona plena (AXFR) Zona incremental (IXFR) Transferncia rpida
Notificao DNS
A notificao DNS usada por um servidor mestre para alertar os servidores secundrios configurados de
que h atualizaes de zona disponveis. Em seguida, os servidores secundrios solicitam ao mestre para
obter as atualizaes. Uma notificao DNS uma atualizao para a especificao de protocolo DNS
original que permite a notificao em servidores secundrios quando ocorrem alteraes de zona.
Isso til em um ambiente de deteco de hora, em que a exatido de dados importante.
Embora a opo que especifica os servidores que podem solicitar dados da zona fornea segurana,
restringindo os destinatrios dos dados, ela no protege os dados durante transmisses. Se as
informaes da zona forem altamente confidenciais, recomendvel usar uma poltica IPsec para
proteger a transmisso ou replicar os dados da zona por um tnel VPN (rede virtual privada). Isso impede
a deteco de pacotes para determinar informaes na transmisso dos dados.
O uso de zonas integradas ao Active Directoryreplica os dados da zona como parte das replicaes
habituais do AD DS. A transferncia de zona protegida como parte de replicao do AD DS.
Etapas da demonstrao
2. Configure transferncias de zona para Apenas para servidores listados na guia 'Servidores de nomes'.
3. Habilite Notificar para Apenas para servidores listados na guia 'Servidores de nomes'.
2. Alterne para LON-SVR1 e verifique se o novo registro est presente na zona secundria. Isso pode
exigir um Transferir do Principal e uma atualizao de tela antes do registro permanecer visvel.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-24 Configurao e soluo de problemas do Sistema de Nomes de Domnio
Lio 5
Gerenciamento e soluo de problemas de DNS
O DNS um servio fundamental na infraestrutura do Active Directory. Quando o servio DNS apresenta
problemas, importante saber como solucion-los e identificar os problemas comuns que podem ocorrer
em uma infraestrutura de DNS. Esta lio aborda os problemas comuns que ocorrem no DNS, as reas
comuns das quais possvel coletar informaes de DNS e as ferramentas que voc pode usar para
solucionar problemas.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como monitorar o DNS usando o log de eventos DNS e o registro em log de auditoria.
Ferramenta Descrio
TTL Indica por quanto tempo um registro DNS continua vlido e inelegvel para limpeza.
Durao Ocorre quando os registros inseridos no servidor DNS atingem sua expirao e so
removidos. Isso mantm a exatido do banco de dados. Durante as operaes normais,
a durao deve se encarregar dos registros de recursos DNS obsoletos.
Eliminao Executa o grooming de registros de recursos do servidor DNS para os registros antigos
no DNS. Se os registros de recursos no estiverem obsoletos, um administrador poder
eliminar os registros obsoletos do banco de dados da zona para forar uma limpeza
do banco de dados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-25
Se permanecerem sem gerenciamento, a presena de registros de recursos obsoletos nos dados da zona
pode causar problemas. Por exemplo:
Se uma grande quantidade de registros de recursos obsoletos permanecer nas zonas do servidor,
o espao em disco do servidor ser esgotado e esses registros ocasionaro transferncias
desnecessariamente longas da zona.
Um servidor DNS que carrega zonas com registros de recursos obsoletos pode utilizar informaes
desatualizadas para responder s consultas dos clientes, o que pode fazer com que os computadores
cliente enfrentem problemas de resoluo de nomes ou problemas de conectividade na rede.
O acmulo de registros de recursos obsoletos no servidor DNS pode degradar seu desempenho
e sua capacidade de resposta.
Em alguns casos, se uma zona tiver um registro de recursos obsoleto, ele poder impedir que outro
computador ou um dispositivo host use um nome de domnio DNS.
Para solucionar esses problemas, o servio Servidor DNS dispe dos seguintes recursos:
Carimbo de data/hora, baseado na data e hora atuais definidas no computador servidor, para
quaisquer registros de recursos adicionados dinamicamente s zonas do tipo primrio. Alm disso, os
carimbos de data/hora sero registrados nas zonas primrias padro nas quais voc habilitar a
durao e a eliminao.
Para os registros de recursos adicionados manualmente, use um valor zero de carimbo de data/hora
para indicar que o processo de durao no afeta esses registros e que eles podem permanecer sem
limitao nos dados da zona, a menos que voc altere, de outra forma, os respectivos carimbos de
data/hora ou os exclua.
Durao dos registros de recursos nos dados locais, com base em um perodo de atualizao
especificado, para quaisquer zonas qualificadas.
Somente as zonas do tipo primrio carregadas pelo servio Servidor DNS esto qualificadas a
participar nesse processo.
Eliminao dos registros de recursos que persistirem alm do perodo de atualizao especificado.
Ao executar uma operao de eliminao, um servidor DNS pode detectar que os registros de recursos
envelheceram a ponto de se tornarem obsoletos e pode remov-los dos dados da zona. Voc pode
configurar os servidores para executar automaticamente as operaes de eliminao recorrentes ou pode
iniciar uma operao de eliminao imediata no servidor.
O servidor utiliza o contedo de cada carimbo de data/hora para registros de recurso especficos, bem
como outras propriedades de classificao por vencimento e limpeza que possvel ajustar ou configurar
para determinar quando ele limpa os registros.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-26 Configurao e soluo de problemas do Sistema de Nomes de Domnio
Habilite a durao e a eliminao no servidor DNS e na zona DNS. Por padro, a durao e a
eliminao dos registros de recursos esto desabilitadas.
Para os registros adicionados s zonas carregando um arquivo de zona baseado em texto de outro
servidor DNS ou adicionando-os manualmente a uma zona, definido um carimbo de data/hora de valor
zero. Isso desqualifica esses registros para uso nas operaes de durao e eliminao.
Para alterar esse padro, voc pode administrar cada um desses registros, de modo a redefinir e permitir
que eles utilizem um valor de carimbo de data/hora atual (diferente de zero). Isso permite que esses
registros se tornem obsoletos e sejam eliminados.
Etapas da demonstrao
Configurar o TTL
1. Alterne para LON-DC1 e abra as propriedades da zona Adatum.com.
2. Na guia Incio de Autoridade, configure o valor Tempo de vida mnimo (padro) para ser de 2 horas.
A tabela a seguir lista os possveis problemas na configurao que podem ocasionar problemas no DNS.
Problema Result
Registros ausentes Os registros de um host no esto no servidor DNS. Talvez tenham sido
eliminados prematuramente. Com isso, as estaes de trabalho podem no
se conectar entre si.
Registros incompletos Os registros sem as informaes necessrias para localizar o recurso que
representam podem fazer com que os clientes que esto solicitando o
recurso usem informaes invlidas. Por exemplo, um registro incompleto
um registro de servio que no contm um endereo de porta necessrio.
Windows PowerShell. possvel usar cmdlets do Windows PowerShell para configurar e solucionar
problemas de vrios aspectos do DNS.
Dnscmd. gerencie o servio Servidor DNS com essa interface de linha de comando. Esse utilitrio ajuda
a criar scripts de arquivos em lote para automatizar tarefas rotineiras de gerenciamento do DNS ou
para realizar uma instalao simples e automtica e a configurao de novos servidores DNS na rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-28 Configurao e soluo de problemas do Sistema de Nomes de Domnio
IPconfig. use este comando para exibir e modificar detalhes da configurao de IP usada pelo
computador. Esse utilitrio inclui outras opes de linha de comando que podem ser usadas para
solucionar problemas e oferecer suporte aos clientes DNS. possvel exibir o cache DNS local do
cliente usando o comando ipconfig /displaydns e limpar o cache local usando ipconfig /flushdns.
Guia Monitoramento no servidor DNS. na guia Monitoramento do servidor DNS, voc pode
configurar um teste que permite ao servidor DNS determinar se ele pode resolver consultas locais
simples e executar uma consulta recursiva para garantir que o servidor pode se comunicar com
servidores upstream. Voc tambm pode agendar esses testes periodicamente.
Tratam-se de testes bsicos, mas que representam um bom ponto de partida para a soluo
de problemas ocorridos no servio DNS. As possveis causas para a falha de um teste so:
Esta demonstrao mostra como usar Nslookup.exe para testar a configurao do servidor DNS.
Etapas da demonstrao
1. Abra um prompt de comando e execute o seguinte comando:
nslookup d2 LON-svr1.Adatum.com
ID do
Descrio
evento
2 O servidor DNS foi iniciado. Geralmente, essa mensagem exibida durante o processo de
inicializao, quando o computador servidor ou o servio Servidor DNS inicializado.
3 O servidor DNS foi desligado. Geralmente, essa mensagem exibida quando o computador
servidor desligado ou o servio Servidor DNS interrompido manualmente.
408 O servidor DNS no pde abrir o soquete para o endereo [EndereoIP]. Verifique se esse
um endereo IP vlido para o computador servidor.
Para corrigir o problema, faa o seguinte:
1. Se o endereo IP especificado no for vlido, remova-o da lista de interfaces restritas para
o servidor e reinicie o servidor.
2. Se o endereo IP especificado no for mais vlido e era o nico endereo habilitado para
uso no servidor DNS, o servidor no deve ter inicializado devido a um erro de
configurao. Para corrigir o problema, exclua o seguinte valor do Registro e reinicie o
servidor DNS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
\ListenAddress
413 O servidor DNS envia solicitaes para outros servidores DNS atravs de uma porta
diferente da padro (porta TCP 53).
Esse servidor DNS tem hospedagem mltipla e foi configurado para restringir o servio
Servidor DNS a apenas alguns de seus endereos IP configurados. Por esse motivo, no
possvel garantir que as consultas DNS feitas por esse servidor a outros servidores DNS
remotos sejam enviadas atravs de um dos endereos IP habilitados para o servidor DNS.
Isso pode impedir que as respostas s consultas, retornadas por esses servidores, sejam
recebidas na porta DNS configurada para uso desse servidor. Para evitar esse problema, o
servidor DNS envia consultas a outros servidores DNS usando uma porta no DNS aleatria,
e a resposta recebida independentemente do endereo IP utilizado.
Para limitar o servidor DNS a usar apenas sua respectiva porta DNS configurada para enviar
consultas a outros servidores DNS, use o console DNS para implementar uma das seguintes
alteraes na configurao das propriedades do servidor, na guia Interfaces:
o Selecione Todos os endereos IP para permitir que o servidor DNS escute em todos os
endereos IP configurados do servidor.
o Selecione Apenas nos seguintes endereos IP para limitar a lista de endereos IP a um
nico endereo IP do servidor.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-30 Configurao e soluo de problemas do Sistema de Nomes de Domnio
(continuao)
ID do
Descrio
evento
414 Atualmente, o computador servidor no possui um sufixo DNS primrio configurado. Seu
nome DNS , no momento, um nome de host de rtulo nico. Por exemplo, seu nome
configurado host em vez de host.exemplo.microsoft.com ou outro FQDN.
Embora o servidor DNS tenha apenas um nome de rtulo nico, os registros de recursos
padro criados para suas zonas configuradas utilizam somente esse nome de rtulo nico ao
mapear o nome do host para esse servidor DNS. Isso pode levar a referncias incorretas ou
com falhas quando os clientes e outros servidores DNS utilizam esses registros para localizar
esse servidor pelo nome.
Em geral, voc deve reconfigurar o servidor DNS com um nome completo de computador
DNS que seja apropriado para ser usado pelo respectivo domnio ou grupo de trabalho em
sua rede.
708 O servidor DNS no detectou nenhuma zona do tipo primria ou secundria. Ele ser
executado como um servidor somente de cache, mas no ter autoridade sobre quaisquer
zonas.
3150 O servidor DNS gravou uma nova verso da zona [nome_da_zona] no arquivo
[nome_do_arquivo]. Para exibir o nmero da nova verso, clique na guia Dados do Registro.
Esse evento dever aparecer somente se voc configurar o servidor DNS para atuar como um
servidor raiz.
6527 A zona [nome_da_zona] expirou antes de obter xito em uma transferncia de zona ou uma
atualizao de um servidor mestre que atua como sua fonte para a zona. A zona foi
desligada.
Essa ID de evento pode aparecer quando voc configura o servidor DNS para hospedar uma
cpia secundria da zona de outro servidor DNS que est atuando como a respectiva fonte
ou servidor mestre. Verifique se esse servidor tem conectividade de rede com o respectivo
servidor mestre configurado.
Se o problema persistir, considere uma ou mais das seguintes opes:
1. Exclua a zona e recrie-a, especificando outro servidor mestre ou um endereo IP
atualizado e corrigido para o mesmo servidor mestre.
2. Se a expirao da zona persistir, experimente ajustar o intervalo de expirao.
o Enviar. o arquivo de log do servidor DNS registra os pacotes por ele enviados.
o Consulta padro. especifica que os pacotes que contm consultas padro (de acordo com
a RFC 1034) so registrados no arquivo de log do servidor DNS.
o Atualizaes. especifica que os pacotes que contm atualizaes dinmicas (de acordo com
a RFC 2136) so registrados no arquivo de log do servidor DNS.
o Notificaes. especifica que os pacotes que contm notificaes (de acordo com a RFC 1996)
so registrados no arquivo de log do servidor DNS.
o UDP. Especifica que os pacotes enviados e recebidos atravs do UDP (User Datagram Protocol)
so registrados no arquivo de log do servidor DNS
o TCP. Especifica que os pacotes enviados e recebidos por TCP so registrados no arquivo de log
do servidor DNS
Habilitar filtragem com base no endereo IP. A opo fornece filtragem adicional dos pacotes
registrados no arquivo de log do servidor DNS. Esta opo permite registrar no log os pacotes
enviados de endereos IP especficos para um servidor DNS ou vice-versa.
Limite de tamanho mximo do arquivo de log. A opo permite definir o tamanho mximo do
arquivo de log do servidor DNS. Quando o arquivo de log do servidor DNS atingir seu tamanho
mximo especificado, o servidor DNS substituir as informaes de pacote mais antigas por novas
informaes.
Se voc no especificar um tamanho mximo para o arquivo de log, esse arquivo do servidor DNS
poder ocupar muito espao no disco rgido.
Por padro, todas as opes do log de depurao esto desabilitadas. Quando habilitadas seletivamente,
o servio do servidor DNS pode executar um log de rastreamento adicional de tipos de eventos ou
mensagens selecionados para soluo de problemas gerais e depurao do servidor.
O log de depurao poder fazer uso intensivo de recursos, afetando o desempenho geral do servidor e
consumindo espao em disco. Portanto, utilize-o apenas temporariamente, quando voc precisar de
informaes mais detalhadas sobre o desempenho do servidor.
Observao: O arquivo dns.log contm a atividade do log de depurao. Por padro, esse
arquivo est localizado na pasta %systemroot%\System32\Dns.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
2-32 Configurao e soluo de problemas do Sistema de Nomes de Domnio
Voc precisou adicionar vrios registros de recurso novos ao servio DNS instalado em LON-DC1.
Entre os registros esto um novo registro MX para o Exchange Server 2010 e um registro SRV para uma
implantao do Microsoft Lync que est ocorrendo.
A. Datum est trabalhando com uma organizao parceira, Contoso, Ltd. Voc precisou configurar a
resoluo de nomes interna entre as duas organizaes. Uma pequena filial informou que o desempenho
da resoluo de nomes insuficiente. A filial contm um servidor do Windows Server 2012 que realiza
vrias funes. Porm, no h planos de implementar um controlador de domnio adicional. Voc
precisou instalar a funo de servidor DNS na filial e criar uma zona secundria de Adatum.com. Para
manter a segurana, voc recebeu a instruo de configurar o servidor da filial para estar na lista Notificar
das transferncias de zona Adatum.com. Voc tambm deve atualizar todos os clientes de filial para usar
o novo servidor de nomes na filial.
Voc deve configurar a nova funo de servidor DNS para realizar classificao por vencimento e limpeza,
conforme necessrio e especificado pela poltica corporativa. Depois de implementar o novo servidor, voc
precisar testar e verificar a configurao usando ferramentas para soluo de problemas do DNS padro.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurar registros de recurso DNS
Configurao do laboratrio
Tempo previsto: 60 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-33
o Senha: Pa$$w0rd
o Domnio: Adatum
o Zona: Adatum.com
o Nome: Mail1
o Zona: Adatum.com
o Nome: Lync-svr1
o Servio: _sipinternaltls
o Protocolo: _tcp
Resultados: Depois deste exerccio, voc dever ter configurado os registros do servio de sistema de
mensagens obrigatrio e a zona de pesquisa inversa com xito.
Resultados: Depois deste exerccio, voc ter configurado com xito o encaminhamento condicional.
3. Abra o Gerenciador DNS, e verifique a presena da nova zona de pesquisa direta secundria
Adatum.com.
3. No Gerenciador DNS, verifique as alteraes feitas nas configuraes das transferncias de zona:
a. No painel de navegao, clique em Adatum.com e, na barra de ferramentas, clique em Atualizar.
2. Na guia Incio de Autoridade, configure o valor Tempo de vida mnimo (padro) para ser de 2 horas.
3. Clique com o boto direito do mouse em LON-DC1 e selecione a opo Definir durao/eliminao
para todas as zonas para configurar as opes de classificao por vencimento e limpeza.
Resultados: Depois deste exerccio, voc ter instalado e configurado com xito o DNS em LON-SVR1.
3. Realize consultas simples e recursivas nesse e em outros servidores DNS. O teste recursivo falhar
porque no h encaminhadores configurados.
4. Interrompa o servio e repita os testes anteriores. Eles falharo porque nenhum servidor DNS est
disponvel.
5. Reinicie o servio DNS e repita os testes. O teste simples ser bem-sucedido.
Resultados: Aps este exerccio, voc dever ter testado e verificado o DNS com xito.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 2-37
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
Pergunta: O que deve ser configurado para que uma zona DNS seja transferida para um
servidor DNS secundrio?
Ferramentas
Ferramenta Use para Onde encontrar
Mdulo 3
Manuteno dos Servios de Domnio Active Directory
Contedo:
Viso geral do mdulo 3-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Implementar RODCs.
Administrar o AD DS.
Lio 1
Viso geral do AD DS
O banco de dados do AD DS armazena informaes sobre identidade de usurio, computadores, grupos,
servios e recursos. Os controladores de domnio do AD DS tambm hospedam o servio que autentica
contas de usurio e computador quando eles entram no domnio. O AD DS armazena informaes sobre
todos os objetos do domnio, e todos os usurios e computadores devem se conectar a controladores de
domnio do AD DS quando entram na rede. Portanto, o AD DS o principal meio para voc poder
configurar e gerenciar contas de usurio e computador na rede.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Componentes fsicos
As informaes do AD DS so armazenadas em
um nico arquivo no disco rgido de cada
controlador de domnio. A tabela a seguir lista
alguns componentes fsicos e seus locais de
armazenamento.
Servidores de catlogo global Hospedam o catlogo global, que uma cpia parcial e somente
leitura de todos os objetos da floresta. Um catlogo global acelera as
pesquisas por objetos que possam estar armazenados em
controladores de um domnio diferente da floresta.
Componentes lgicos
Os componentes lgicos do AD DS so estruturas que voc usa para implementar um design do Active
Directory que seja apropriado para uma organizao. A tabela a seguir descreve alguns dos tipos de
estruturas lgicas que um banco de dados do Active Directory pode conter.
Partio Uma seo do banco de dados do AD DS. Embora o banco de dados seja, de
fato, apenas um arquivo denominado NTDS.DIT, os usurios o exibem,
gerenciam e replicam como se consistisse em sees ou instncias distintas.
Estas so parties ou contextos de nomenclatura.
Esquema Define a lista de tipos e atributos que todos os objetos do AD DS podem ter.
rvore de domnio Uma coleo de domnios que compartilham um domnio raiz comum e um
namespace DNS (Sistema de Nomes de Domnio).
Site Uma coleo de usurios, grupos e computadores que so definidos por suas
localizaes fsicas. Os sites so teis no planejamento de tarefas
administrativas, como a replicao de alteraes no banco de dados do AD DS.
Estrutura de floresta do AD DS
Uma floresta uma coleo de uma ou mais
rvores de domnio. Uma rvore uma coleo de
um ou mais domnios. O primeiro domnio que
criado na floresta chamado de domnio raiz da
floresta. O domnio raiz da floresta contm alguns
objetos que no existem em outros domnios da
floresta. Por exemplo, o domnio raiz da floresta
contm duas funes especiais: o mestre de
esquema e o mestre de nomeao de domnios. Alm disso, o grupo Administradores de Empresa e o
grupo Administradores de Esquema existem apenas no domnio raiz da floresta. O grupo Administradores
de Empresa tem controle total sobre cada domnio da floresta.
A floresta do AD DS um limite de segurana. Isso significa que, por padro, nenhum usurio de fora da
floresta pode acessar recursos dentro da floresta. Significa tambm que os administradores de fora da
floresta no tm acesso administrativo dentro da floresta. Um dos principais motivos pelos quais as
organizaes implantam vrias florestas porque elas precisam isolar permisses administrativas entre
partes diferentes da organizao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-4 Manuteno dos Servios de Domnio Active Directory
A floresta do AD DS tambm o limite de replicao do catlogo global. Isso facilita a maioria das formas
de colaborao entre os usurios de domnios diferentes. Por exemplo, todos os destinatrios do
Microsoft Exchange Server 2010 so listados no catlogo global, tornando fcil enviar email para
qualquer um dos usurios da floresta, at aqueles de domnios diferentes.
Por padro, todos os domnios de uma floresta confiam automaticamente nos outros domnios da
floresta. Isso torna fcil habilitar o acesso a recursos como compartilhamentos de arquivos e sites para
todos os usurios de uma floresta, independentemente do domnio em que a conta de usurio est
localizada.
Estrutura de esquema do AD DS
O esquema do AD DS o componente do AD DS que define todos os tipos e atributos de objetos que o
AD DS usa para armazenar dados. Ele s vezes chamado de plano grfico do AD DS.
Alm disso, o AD DS usa objetos como unidades de armazenamento. Todos os tipos de objetos so
definidos no esquema. Sempre que o diretrio manipula dados, ele consulta o esquema a respeito de
uma definio de objeto apropriada. Com base na definio de objeto do esquema, o diretrio cria o
objeto e armazena os dados.
As definies de objetos controlam ambos os tipos de dados que os objetos podem armazenar e a sintaxe
dos dados. Usando essas informaes, o esquema garante que todos os objetos estejam de acordo com
suas definies padro. Com isso, o AD DS pode armazenar, recuperar e validar os dados que gerencia,
independentemente do aplicativo que a fonte original dos dados. Somente os dados que tm uma
definio de objeto existente no esquema podem ser armazenados no diretrio. Se um novo tipo de
dados precisar ser armazenado, primeiro dever ser criada uma nova definio de objeto para os dados
no esquema.
As regras que definem que tipos de objetos voc pode criar, que atributos devem ser definidos
(obrigatrios) quando voc cria o objeto e que atributos so opcionais
Voc pode usar uma conta que seja membro dos Administradores de Esquema para modificar os
componentes do esquema em um formato grfico. Exemplos de objetos que so definidos no esquema
incluem usurio, computador, grupo e site. Entre os muitos atributos esto location, accountExpires,
buildingName, company, manager e displayName.
O esquema replicado entre todos os controladores de domnio da floresta. Qualquer alterao feita no
esquema replicada em cada controlador de domnio da floresta do proprietrio da funo de mestre de
operaes de esquema, geralmente o primeiro controlador de domnio da floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 3-5
Como o esquema estabelece o modo como as informaes so armazenadas, e quaisquer alteraes que
so feitas no esquema afetam cada controlador de domnio, as alteraes no esquema devem ser feitas
somente quando necessrio. Antes de fazer qualquer alterao, voc deve revisar as alteraes usando um
processo rigorosamente controlado, e implement-las somente depois de executar testes que assegurem
que as alteraes no afetaro o restante da floresta e quaisquer aplicativos que usem o AD DS de
maneira adversa.
Embora voc talvez no faa alteraes no esquema diretamente, alguns aplicativos alteram o esquema
para dar suporte a recursos adicionais. Por exemplo, quando voc instala o Exchange Server 2010 em sua
floresta do AD DS, o programa de instalao estende o esquema para dar suporte a novos tipos e
atributos de objetos.
Um domnio do AD DS uma central administrativa. Ele contm uma conta Administrador e um grupo
Admins. do Domnio, que tm ambos controle total sobre cada objeto no domnio. Porm, a menos que
estejam no domnio raiz da floresta, sua faixa de controle limitada ao domnio. As regras de senha e
conta so gerenciadas no nvel do domnio por padro. O domnio do AD DS tambm fornece um centro
de autenticao. Todas as contas de usurio e de computador no domnio so armazenadas no banco de
dados do domnio, e os usurios e computadores devem se conectar a um controlador de domnio para
autenticao.
Um nico domnio pode conter mais de 1 milho de objetos, portanto a maioria das organizaes precisa
implantar apenas um nico domnio. As organizaes que descentralizaram as estruturas administrativas,
ou que esto distribudas em vrios locais, podem implementar vrios domnios na mesma floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-6 Manuteno dos Servios de Domnio Active Directory
Controladores de domnio
Um controlador de domnio um servidor que possvel configurar para armazenar uma cpia do banco
de dados de diretrios do AD DS (NTDS.DIT) e uma cpia da pasta Volume do Sistema (SYSVOL). Todos
os controladores de domnio, exceto os RODCs, armazenam uma cpia de leitura/gravao do NTDS.DIT
e da pasta SYSVOL. O NTDS.DIT o prprio banco de dados, e a pasta SYSVOL contm todas as
configuraes de modelo para GPOs.
Um domnio do AD DS deve sempre ter um mnimo de dois controladores de domnio. Desse modo, se
um dos controladores de domnio falhar, haver um backup para garantir a continuidade dos servios de
domnio do AD DS. Quando voc decidir adicionar mais de dois controladores de domnio, leve em
considerao o tamanho de sua organizao e os requisitos de desempenho.
Unidades organizacionais
Uma unidade organizacional um objeto continer dentro de um domnio que voc pode usar para
consolidar usurios, grupos, computadores e outros objetos. H dois motivos para voc criar UOs:
Para configurar objetos contidos na UO. Voc pode atribuir GPOs UO, e as configuraes so
aplicadas a todos os objetos contidos na UO. GPOs so polticas que os administradores criam para
gerenciar e configurar contas de computador e de usurio. A maneira mais comum de implantar
essas polticas vincul-las a UOs.
Para delegar o controle administrativo de objetos dentro da UO. Voc pode atribuir permisses de
gerenciamento em uma UO, dessa forma delegando o controle dessa UO a um usurio ou grupo no
AD DS que no seja o administrador.
possvel usar UOs para representar estruturas hierrquicas lgicas dentro de sua organizao.
Por exemplo, voc pode criar UOs que representem os departamentos de sua organizao, as regies
geogrficas da organizao ou uma combinao de regies departamentais e geogrficas. As UOs podem
ser usadas para gerenciar a configurao e o uso de contas de usurio, grupo e computador com base em
seu modelo organizacional.
Cada domnio do AD DS contm um conjunto padro de contineres e UOs que so criados quando voc
instala o AD DS, incluindo o seguinte:
Continer de usurios. O local padro para as novas contas de usurio e os grupos que voc cria no
domnio. O continer de usurios tambm contm as contas de administrador e convidado para o
domnio, alm de alguns grupos padro.
Continer de computadores. O local padro para as novas contas de computador que voc cria no domnio.
Lio 2
Implementao de controladores de domnio virtualizados
Virtualizao uma prtica comum em departamentos de TI. Os benefcios de consolidao e
desempenho que a virtualizao proporciona so grandes ativos para qualquer organizao.
O Windows Server 2012 AD DS e os controladores de domnio agora reconhecem mais a virtualizao.
Nesta lio, voc aprender as consideraes para implementar controladores de domnio virtualizados
no Windows Server 2012 e como voc pode implantar e gerenciar esses controladores de domnio no
ambiente do AD DS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
2. Desligue o VDC existente e use o Hyper-V para exportar os arquivos de mquina virtual.
3. Inicie o VDC existente (se pretender que ele continue no uso de produo).
4. Use o Hyper-V para importar os arquivos de mquina virtual como uma nova mquina virtual e inicie
a mquina virtual, que agora contm o novo controlador de domnio.
A clonagem do controlador de domnio virtual fornece os seguintes benefcios no Windows Server 2012:
Clonagem segura
Os controladores de domnio tm caractersticas exclusivas que tornam a clonagem no gerenciada
prejudicial para o processo de replicao de banco de dados do AD DS. Os controladores de domnio
que so simplesmente clonados terminam com o mesmo nome, o que no aceito dentro do mesmo
domnio ou floresta. Em verses anteriores do Windows Server, voc teve que preparar um controlador
de domnio para clonagem usando sysprep. Depois do processo de clonagem, voc teve que promover
manualmente o novo servidor para um controlador de domnio.
Com Clonagem Segura no Windows Server 2012, um controlador de domnio clonado executa
automaticamente um subconjunto do processo sysprep e promove os dados do AD DS locais existentes
como mdia de instalao.
Os requisitos a seguir devem ser atendidos para dar suporte clonagem e restaurao segura do VDC:
o Mquinas virtuais convidadas devem estar executando o Windows Server 2012.
o A plataforma do host de virtualizao deve dar suporte VM GENID (ID de Gerao da VM). Isso
inclui o Windows Server 2012 Hyper-V.
4. Crie uma nova mquina virtual importando o VDC exportado. Essa mquina virtual promovida
automaticamente como um controlador de domnio exclusivo.
Validao da replicao do AD DS
Quando um instantneo de mquina virtual aplicado a um VDC, o processo de restaurao segura inicia
a replicao de entrada para as alteraes no AD DS entre o controlador de domnio virtual e o restante
do ambiente do AD DS. O pool RID (identificador relativo) liberado e um novo solicitado, a fim de
impedir SIDs duplicadas no AD DS. Tambm inicia uma replicao no autoritativa da pasta SYSVOL.
Este processo assegura que a nova verso de instantneo aplicada do controlador de domnio virtual
reconhea todos os objetos AD DS, completamente atualizados, e esteja completamente funcional.
Para assegurar que este processo possa ser concludo com xito, os seguintes elementos de replicao do
AD DS devem ser considerados:
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot
No restaure um instantneo de um controlador de domnio que foi usado antes de ser promovido.
Isso exigir que voc repromova o servidor manualmente depois que o instantneo for aplicado
e a limpeza de metadados ocorrer.
Lio 3
Implementao de controladores de domnio somente leitura
Os RODCs fornecem uma alternativa para um controlador de domnio totalmente gravvel. Em muitos
cenrios, como uma filial remota ou um local onde um servidor no pode ser colocado em um ambiente
fsico seguro, os RODCs podem fornecer a funcionalidade de um controlador de domnio sem expor
potencialmente seu ambiente do AD DS a riscos desnecessrios. Esta lio o ajudar a entender melhor
os mtodos e as prticas recomendadas que voc pode usar para gerenciar RODCs no ambiente do
Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Cache de credencial
As credenciais de usurio e computador no so replicadas em um RODC por padro. Para usar um RODC
a fim de aprimorar o logon de usurio, voc precisa configurar uma PRP (Diretiva de Replicao de Senha)
que defina quais credenciais de usurio podem ser armazenadas em cache. A limitao das credenciais
armazenadas em cache no RODC reduz os riscos de segurana. Se o RODC for roubado, somente as
senhas das contas de usurio e computador armazenadas em cache precisam ser redefinidas.
Isso d ao administrador de um escritrio remoto permisso para gerenciar apenas esse RODC, que tambm
pode ser configurado para fornecer outros servios, como compartilhamentos de arquivo e impresso.
Instalao do RODC
Assim como um controlador de domnio gravvel, voc pode instalar um RODC usando uma instalao
assistida ou autnoma. Se voc executar uma instalao assistida usando a interface grfica, selecione
o RODC como uma das opes adicionais do controlador de domnio.
Voc tambm pode delegar a instalao do RODC ao administrador no escritrio remoto usando uma
instalao em etapas. Em uma instalao em etapas, voc precisa executar as seguintes etapas:
1. Assegurar que o servidor a ser configurado como o RODC no seja um membro do domnio.
H dois grupos de domnio local que voc pode usar para permitir ou negar globalmente o
armazenamento em cache para todos os RODCs em um domnio:
O Grupo de Replicao de Senha RODC Permitido adicionado Lista Permitida de todos os RODCs.
Por padro, esse grupo no tem membros.
O Grupo de Replicao de Senha RODC Negado adicionado Lista Negada de todos os RODCs.
Por padro, Administradores de Domnio, Administradores Corporativos e Proprietrios Criadores
de Poltica de Grupo so os membros deste grupo.
Voc pode configurar a Lista Permitida e a Lista Negada para cada RODC. A Lista Permitida contm
somente o Grupo de Replicao de Senha RODC Permitido. A associao padro da Lista Negada inclui
Administradores, Operadores de Servidor e Operadores de Conta.
Na maioria dos casos, voc desejar adicionar contas separadamente para cada RODC ou adicionar
grupos globais que contenham contas, em vez de permitir globalmente o armazenamento de senha em
cache. Isso permite limitar o nmero de credenciais armazenadas em cache somente para aquelas contas
que geralmente esto nesse local. As contas administrativas de domnio no devem ser armazenadas em
cache nos RODCs de escritrios remotos. Voc deve armazenar em cache contas de computador para
acelerar a autenticao de contas de computador durante a inicializao do sistema. Alm disso, voc
deve armazenar em cache contas para servios que esto em execuo no escritrio remoto.
Voc tambm pode delegar administrao de um RODC usando ntdsutil ou dsmgmt com a opo de
funes local, como mostra o exemplo a seguir:
C:\>dsmgmt
Dsmgmt: funes locais
funes locais: add ADATUM\Research
Voc deve armazenar em cache a senha para administradores delegados, a fim de assegurar que seja
possvel executar a manuteno do sistema quando um controlador de domnio gravvel no est
disponvel.
Observao: Voc nunca deve acessar o RODC com uma conta que tenha permisses
similares para Administradores de Domnio. Os computadores de RODC so considerados
comprometidos por padro, portanto, voc dever assumir que fazendo logon no RODC estar
renunciando a credenciais de administrao de domnio. Dessa forma, os administradores de
domnio devem ter uma conta do tipo administrador de servidor separada qual seja delegado
acesso de gerenciamento ao RODC.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 3-15
Lio 4
Administrao do AD DS
O gerenciamento do AD DS acontece de muitas formas diferentes. O ambiente do AD DS contm uma
grande quantidade de ferramentas de gerenciamento que permitem que voc monitore e modifique
o AD DS, para assegurar que a infraestrutura de domnio de sua organizao esteja atendendo a sua
finalidade e funcionando de forma adequada. O Windows Server 2012 inclui um conjunto mais abrangente
de ferramentas para trabalhar no AD DS do que as verses anteriores do Windows incluam. As melhorias
feitas na Central Administrativa do Active Directory e a adio de vrios cmdlets ao mdulo do Active
Directory para Windows PowerShell permitem um controle ainda maior de seu domnio do AD DS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Esquema do Active Directory. Esse esquema examina e modifica a definio de atributos e classes de
objeto do Active Directory. O esquema o plano grfico para o Active Directory, e voc geralmente
no o exibe ou altera com muita frequncia. Portanto, o snap-in Esquema do Active Directory no
completamente instalado, por padro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-16 Manuteno dos Servios de Domnio Active Directory
Requisitos de instalao
Voc pode instalar a Central Administrativa do Active Directory somente em computadores que esto
executando o Windows Server 2008 R2, o Windows Server 2012, o Windows 7 ou o Windows 8.
possvel instalar a Central Administrativa do Active Directory por meio da:
Lixeira do Active Directory. A Central Administrativa do Active Directory agora oferece gerenciamento
completo da Lixeira do Active Directory. Os administradores podem usar a Central Administrativa do
Active Directory para exibir e localizar objetos excludos e gerenciar e restaurar esses objetos para
seus originais ou para outro local desejado.
Polticas Refinadas de Senha. A Central Administrativa do Active Directory tambm fornece uma
interface grfica do usurio para a criao e o gerenciamento de objetos de configuraes de senha
para implementar polticas refinadas de senha em um domnio do AD DS.
2. Gerenciamento do computador
3. Gerenciamento de grupos
4. Gerenciamento de UO
Exemplos de cmdlet
New-ADComputer cria um novo objeto de computador no AD DS.
Instalao
Voc pode instalar o mdulo do Active Directory usando qualquer um dos seguintes mtodos:
Por padro, em um servidor Windows Server 2008 R2 ou Windows Server 2012, quando voc instala
as funes de servidor do AD DS ou do AD LDS (Active Directory Lightweight Directory Services).
Por padro, quando voc torna um servidor Windows Server 2008 R2 ou Windows Server 2012
um controlador de domnio.
Como parte do recurso RSAT em um computador com Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8.
Etapas da demonstrao
Atualizar a exibio
2. Para criar um objeto em Usurios e Computadores do Active Directory, clique com o boto direito
em um domnio, um continer (como Usurios ou Computadores) ou uma unidade organizacional,
aponte para Novo e clique no tipo de objeto que voc deseja criar.
3. Ao criar um objeto, solicitado que voc configure vrias das propriedades mais bsicas do objeto,
incluindo as propriedades requeridas pelo objeto.
4. Expanda Adatum.com.
2. Redefina a senha de ADATUM\Adam para Pa$$w0rd, sem exigir que o usurio altere a senha no
prximo logon.
3. Use a seo Pesquisa Global para localizar todos os objetos que correspondem cadeia de caracteres
de pesquisa Rex.
2. Exiba o cmdlet do Windows PowerShell que voc usou para executar a tarefa mais recente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-20 Manuteno dos Servios de Domnio Active Directory
Windows PowerShell
Criao de um grupo
5. Alterne para a Central Administrativa do Active Directory e confirme se o grupo SalesManagers foi
movidos para a UO Sales.
Fornece uma origem de tempo mestre para o domnio. Muitos componentes e tecnologias do
Windows contam com carimbos de data e hora, portanto, sincronizar o tempo em todos os sistemas
de um domnio crucial. O emulador PDC no domnio raiz da floresta o mestre de tempo para a
floresta inteira, por padro. O emulador PDC em cada domnio sincroniza seu tempo com o emulador
PDC raiz da floresta. Outros controladores no domnio sincronizam seus relgios com relao ao
emulador PDC desse domnio. Todos os outros membros de domnio sincronizam o tempo com seus
controladores de domnio preferidos.
Age como o navegador do mestre de domnio. Ao abrir rede no Windows, voc v uma lista de
grupos de trabalho e domnios e, ao abrir um grupo de trabalho ou domnio, voc v uma lista de
computadores. O servio de navegador cria essas duas listas, chamadas listas de procura. Em cada
segmento de rede, um navegador mestre cria o lista de procura: as listas de grupos de trabalho,
domnios e servidores nesse segmento. O navegador mestre de domnio usado para mesclar as
listas de cada navegador mestre, de forma que os clientes de procura possam recuperar uma lista de
procura abrangente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-22 Manuteno dos Servios de Domnio Active Directory
Restaurao de dados do AD DS
Quando um controlador de domnio ou seu diretrio est corrompido, danificado ou com falha, voc tem
vrias opes com as quais restaurar o sistema.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 3-23
Restaurao no autoritativa
A primeira opo desse tipo chamada restaurao normal ou no autoritativa. Em uma operao
de restaurao normal, voc restaura um backup do Active Directory a partir de uma data vlida.
Efetivamente, voc reverte o controlador de domnio no tempo. Quando o AD DS reiniciado no
controlador de domnio, o controlador de domnio contata os parceiros de sua replicao e solicita todas
as atualizaes subsequentes. Efetivamente, o controlador de domnio captura o restante do domnio
usando mecanismos de replicao padro.
Nessas situaes, uma restaurao normal no suficiente. Se voc restaurar uma verso vlida do
Active Directory e reiniciar o controlador de domnio, a excluso (que aconteceu subsequente ao backup)
simplesmente replicar novamente para o controlador de domnio.
Restaurao autoritativa
Quando uma cpia vlida do AD DS foi restaurada e contm objetos que devem substituir objetos
existentes no banco de dados do AD DS, uma restaurao autoritativa necessria. Em uma restaurao
autoritativa, voc restaura a verso vlida do Active Directory da mesma maneira que faz em uma
restaurao normal. Porm, antes de reiniciar o controlador de domnio, voc marca os objetos excludos
acidentalmente ou corrompidos anteriormente que deseja reter como autoritativos, de forma que eles
replicaro do controlador de domnio restaurado para seus parceiros de replicao. No segundo plano,
quando voc marca objetos como autoritativos, o Windows incrementa o nmero de verso de todos os
atributos de objeto para ser to alto que a verso virtualmente garantida ser mais alta que o nmero
de verso em todos os outros controladores de domnio.
Quando o controlador de domnio restaurado reiniciado, ele replica de seus parceiros de replicao
todas as alteraes que foram feitas no diretrio. Ele tambm notifica seus parceiros que foram feitas
alteraes, e os nmeros de verso das alteraes asseguram que os parceiros adotem as alteraes e
as repliquem em todo o servio de diretrio. Nas florestas com a Lixeira do Active Directory habilitada,
voc pode usar a Lixeira do Active Directory como uma alternativa mais simples para uma restaurao
autoritativa.
Finalmente, possvel restaurar um backup do SystemState para um local alternativo. Isso permite
examinar arquivos e, possivelmente, montar o arquivo NTDS.dit. Voc no deve copiar os arquivos de um
local de restaurao alternativo sobre as verses de produo desses arquivos. No faa uma restaurao
por etapas do Active Directory. Voc tambm poder usar esta opo se desejar usar a opo Instalar
da Mdia para criar um novo controlador de domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-24 Manuteno dos Servios de Domnio Active Directory
Lio 5
Gerenciamento do banco de dados do AD DS
Na parte principal do ambiente do AD DS est o banco de dados do AD DS. O banco de dados do AD DS
contm todas as informaes crticas necessrias para fornecer a funcionalidade do AD DS. A manuteno
adequada desse banco de dados um aspecto crtico do gerenciamento do AD DS e existem vrias
ferramentas e prticas recomendadas das quais voc deve estar ciente para que possa gerenciar seu
banco de dados do AD DS com eficcia. Esta lio apresentar o gerenciamento do banco de dados do
AD DS e mostrar as ferramentas e os mtodos para mant-lo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar a arquitetura do banco de dados do AD DS.
Descrever o NTDSUtil.
Explicar o AD DS reinicivel.
Explicar como executar o gerenciamento de banco de dados do AD DS.
Descrever como criar instantneos do AD DS.
Explicar como restaurar objetos excludos.
Descrever como configurar a Lixeira do Active Directory.
Na pasta NTDS, existem outros arquivos que do suporte ao banco de dados do Active Directory.
Os arquivos Edb*.log so os logs de transaes do Active Directory. Quando uma alterao deve ser feita
no diretrio, primeiro ela gravada no arquivo de log. A alterao confirmada no diretrio como uma
transao. Se a transao falhar, poder ser revertida.
A tabela a seguir descreve os diferentes componentes de nvel do arquivo do banco de dados do AD DS.
Arquivo Descrio
O que NTDSUtil?
O NTDSUtil um executvel de linha de
comando que voc pode usar para executar
manuteno do banco de dados, incluindo a
criao de instantneos, a desfragmentao
offline e a realocao dos arquivos do banco
de dados.
O NTDSUtil tambm pode redefinir a senha usada para fazer logon no Modo de Restaurao dos Servios
de Diretrio. Essa senha configurada inicialmente durante a configurao de um controlador de
domnio. Se voc esquecer a senha, o comando NTDSUtil set dsrm poder redefini-la.
O AD DS reinicivel est disponvel por padro em todos os controladores de domnio que executam o
Windows Server 2012. No h nenhum requisito de nvel funcional ou qualquer outro pr-requisito para
usar este recurso.
Embora parar o AD DS seja similar a fazer logon no Modo de Restaurao dos Servios de Diretrio,
o AD DS reinicivel fornece um estado exclusivo, conhecido como AD DS Interrompido, para um
controlador de domnio que est executando o Windows Server 2012.
AD DS Interrompido. Neste estado, o AD DS est interrompido. Embora este modo seja exclusivo, o
servidor tem algumas caractersticas de um controlador de domnio no DSRM e um servidor membro
associado ao domnio.
DSRM. Este modo (ou estado) permite tarefas administrativas padro do AD DS.
Com o DSRM, o banco de dados do Active Directory (Ntds.dit) no controlador de domnio local est
offline. Outro controlador de domnio pode ser contatado para logon, se um estiver disponvel. Se
nenhum outro controlador de domnio puder ser contatado, por padro voc pode executar um dos
procedimentos a seguir:
Como ocorre com um servidor membro, o servidor associado ao domnio. Isso significa que a Poltica
de Grupo e outras configuraes ainda sejam aplicadas ao computador. No entanto, um controlador de
domnio no deve permanecer no estado AD DS Interrompido por um perodo estendido porque, neste
estado, ele no pode atender solicitaes de logon ou replicar com outros controladores de domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-28 Manuteno dos Servios de Domnio Active Directory
Parar o AD DS.
Etapas da demonstrao
Parar o AD DS
1. No LON-DC1, abra o console Servios.
ntdsutil
activate instance NTDS
files
compact to C:\
Integrity
quit
Quit
Iniciar o AD DS
Criao de instantneos do AD DS
O NTDSUtil no Windows Server 2012 pode criar e
montar instantneos do AD DS. Um instantneo
uma forma de backup histrico que captura o
estado exato do servio de diretrio no momento
do instantneo. Voc pode usar ferramentas para
explorar o contedo de um instantneo para
examinar o estado do servio de diretrio no
momento em que o instantneo foi criado ou para
conectar a um instantneo montado com LDIFDE e
exportar um objeto de reimportao para o AD DS.
Criao de um instantneo do AD DS
Para criar um instantneo:
1. Abra o prompt de comando.
2. Digite ntdsutil e pressione Enter.
3. Digite snapshot e pressione Enter.
4. Digite activate instance ntds e pressione Enter.
5. Digite create e pressione Enter.
6. O comando retorna uma mensagem que indica que o conjunto de instantneos foi gerado com xito.
7. O GUID exibido importante para comandos em tarefas subsequentes. Anote o GUID ou,
alternativamente, copie-o para a rea de Transferncia.
8. Digite quit e pressione Enter.
Agende instantneos do Active Directory regularmente. Voc pode usar o Agendador de Tarefas para
executar um arquivo em lotes usando os comandos NTDSUtil apropriados.
Montagem de um instantneo do AD DS
Para exibir o contedo de um instantneo, voc deve montar o instantneo como uma nova instncia
do AD DS. Isto tambm realizado com NTDSUtil.
7. Digite mount {GUID}, em que GUID o GUID retornado pelo comando de criao de instantneo e
pressione Enter.
8. Digite quit e pressione Enter.
11. O nmero de porta, 50000, pode ser qualquer nmero de porta TCP aberta e exclusiva.
12. Uma mensagem indica que a inicializao dos Servios de Domnio Active Directory est concluda.
13. No feche a janela do prompt de comando e deixe o comando que voc acabou de executar,
Dsamain.exe, em execuo enquanto continua na prxima etapa.
Exibio de um instantneo do AD DS
Depois que o instantneo foi montado, voc pode usar ferramentas para conectar a ele e explor-lo.
At mesmo Usurios e Computadores do Active Directory podem conectar instncia.
2. Clique com o boto direito do mouse no n raiz e clique em Alterar Controlador de Domnio.
7. Clique em OK.
Desmontagem de um instantneo do AD DS
Para desmontar o instantneo:
1. Alterne para o prompt de comando no qual o instantneo montado.
Depois que voc habilita a Lixeira do Active Directory, quando um objeto do Active Directory excludo,
o sistema preserva todos os atributos com valores de link e sem valores de link do objeto e o objeto se
torna logicamente excludo. Um objeto excludo movido para o continer Objetos Excludos e seu nome
distinto danificado. Um objeto excludo permanece no continer Objetos Excludos em um estado
logicamente excludo durante todo o tempo de vida do objeto excludo. Dentro do tempo de vida do
objeto excludo, voc pode recuperar um objeto excludo com Lixeira do Active Directory e torn-lo
novamente um objeto ativo do Active Directory.
O tempo de vida do objeto excludo determinado pelo valor do atributo msDS-deletedObjectLifetime.
Para um item excludo depois que a Lixeira do Active Directory foi habilitada (objeto reciclado), o tempo
de vida do objeto reciclado determinado pelo valor do atributo tombstoneLifetime herdado. Por
padro, msDS-deletedObjectLifetime definido como nulo. Quando msDS-deletedObjectLifetime
est definido como nulo, o tempo de vida do objeto excludo definido como o valor do tempo de vida
do objeto reciclado. Por padro, o tempo de vida do objeto reciclado, que armazenado no atributo
tombstoneLifetime, tambm definido como nulo. Quando tombstoneLifetime est definido como
nulo, o tempo de vida do objeto reciclado padronizado para 180 dias. Voc pode modificar os valores
dos atributos msDS-deletedObjectLifetime e tombstoneLifetime a qualquer momento. Quando
msDS-deletedObjectLife definido como algum valor diferente de nulo, no assume mais o valor
de tombstoneLifetime.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 3-33
Para habilitar a Lixeira do Active Directory no Windows 2012, voc pode executar um dos procedimentos
a seguir:
No mdulo do Active Directory para prompt do Windows PowerShell, use o cmdlet Enable-
ADOptionalFeature.
Somente itens excludos depois que a Lixeira do Active Directory est ativada podem ser restaurados da
Lixeira do Active Directory.
Laboratrio: Manuteno do AD DS
Cenrio
A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Reino Unido. Um escritrio de TI e um data center localizados em Londres para dar suporte ao escritrio
matriz e a outros locais. A A. Datum implantou recentemente uma infraestrutura de cliente e servidor
do Windows Server 2012.
A. Datum est fazendo vrias mudanas organizacionais que exigem modificaes na infraestrutura
do AD DS. Um novo local requer um mtodo seguro de fornecimento do AD DS no local, e foi solicitado
que voc estendesse os recursos da Lixeira do Active Directory organizao inteira.
Senha Pa$$w0rd
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4. Faa logon usando as seguintes credenciais:
b. Senha: Pa$$w0rd
c. Domnio: Adatum
2. Instalar um RODC
5. Reinicie LON-SVR1.
3. Conclua o Assistente de Instalao dos Servios de Domnio do Active Directory usando opes
padro, exceto estas listadas abaixo:
o Domnio: Adatum.com
10. Na guia Diretiva de Replicao de Senha, abra a configurao Avanada. Na guia Diretiva
Resultante, adicione Aziz, e confirme que a senha de Aziz pode ser armazenada em cache.
11. Tente fazer logon no LON-SVR1 como Aziz. Este logon falhar porque o Aziz no tem permisso para
fazer logon no RODC, mas a autenticao executada e as credenciais so armazenadas em cache.
14. Na guia Uso da Poltica, selecione a opo Contas que foram autenticadas para este Controlador
de Domnio Somente Leitura. Note que a senha de Aziz foi armazenada em cache.
18. Leia a lista de senhas armazenadas em cache e confirme que Louise e LON-CL1 foram adicionadas.
19. Feche todas as janelas em LON-DC1.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado um RODC.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 3-37
ntdsutil
snapshot
activate instance ntds
create
quit
Quit
2. O comando retorna uma mensagem que indica que o conjunto de instantneos foi gerado com xito.
O GUID (identificador globalmente exclusivo) exibido importante para comandos em tarefas
subsequentes. Anote o GUID ou copie-o para a rea de Transferncia.
ntdsutil
snapshot
activate instance ntds
list all
mount guid
quit
Quit
3. Use o instantneo para iniciar uma instncia do Active Directory digitando o comando a seguir, tudo
em uma linha, e pressione Enter:
Observe que datetime ser um valor exclusivo. Deve haver somente uma pasta em sua unidade C:/
com um nome que comea com $snap.
Uma mensagem indica que a inicializao do AD DS est concluda. Deixe Dsamain.exe executando e
no feche o prompt de comando.
2. Localize o objeto da conta de usurio Adam Barr na UO Marketing. Observe que o objeto de Adam
Barr exibido porque o instantneo foi tirado antes de exclu-lo.
ntdsutil
snapshot
activate instance ntds
list all
unmount guid
list all
quit
Quit
Resultados: Depois de concluir este exerccio, voc ter configurado instantneos do AD DS.
2. Habilite a Lixeira.
o Teste1
o Teste2
Resultados: Depois de concluir esse exerccio, voc ter configurado a Lixeira do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
3-40 Manuteno dos Servios de Domnio Active Directory
Use RODCs quando a segurana fsica tornar um controlador de domnio gravvel invivel.
Habilite a Lixeira do Active Directory se seu nvel funcional da floresta aceitar a funcionalidade. Pode
ser inestimvel na economia de tempo ao recuperar objetos acidentalmente excludos no AD DS.
Ferramentas
Ferramentas Usada para Onde encontrar
Mdulo 4
Gerenciamento de contas de servio e de usurio
Contedo:
Viso geral do mdulo 4-1
Este mdulo o ajudar a compreender como gerenciar grupos de contas de usurio grandes, explicar as
diferentes opes disponveis para fornecer segurana de senha adequada para contas em seu ambiente
e mostrar como configurar contas para fornecer autenticao para servios do sistema e processos em
segundo plano.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Automao do gerenciamento de contas de usurio
Usurios e Computadores do Active Directory e a Central Administrativa do Active Directory fornecem
interfaces grficas de usurio (GUIs) para criar uma ou mais contas de usurio. Embora a interface
que essas ferramentas fornecem seja fcil de navegar, a criao de vrios usurios ou a execuo de
modificaes para vrios usurios podem ser tarefas trabalhosas. O Windows Server 2012 contm vrias
ferramentas que permitem gerenciar contas de usurio com mais eficincia em seu domnio AD DS
(Servios de Domnio Active Directory). Esta lio apresenta ferramentas que permitem executar tarefas
como a alterao de atributos de usurio para muitos usurios, a procura de usurios e a importao e
exportao de usurios de e para fontes de dados externas ou diretrios.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como exportar usurios usando a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Explicar como importar usurios usando a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Descrever como importar contas de usurio usando o padro da Internet (LDIFDE) de Formato de troca
de dados LDAP.
A seguir est a sintaxe bsica do comando da ferramenta CSVDE (Comma-Separated Values Data
Exchange) para exportao:
csvde -f nomedoarquivo
Porm, esse comando exportar todos os objetos em seu domnio do Active Directory. Para limitar o
escopo da exportao, voc pode usar os quatro parmetros a seguir:
-d RootDN. Especifica o nome diferenciado do continer a partir do qual a exportao ser iniciada.
O padro o prprio domnio.
-r Filter. Filtra os objetos retornados dentro do escopo configurado por - d e -p. O filtro
especificado na sintaxe de consulta do protocolo LDAP. Voc trabalhar com um filtro no laboratrio
para esta lio. A sintaxe de consulta do LDAP no est no escopo deste curso. Para obter mais
informaes, consulte http://go.microsoft.com/fwlink/?LinkId=168752 (Alguns dos sites abordados
neste curso pode ser em Ingls).
-l ListOfAttributes. Especifica os atributos que sero exportados. Use o nome LDAP para cada atributo,
separado por uma vrgula, como em
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
A sada de uma exportao da ferramenta CSVDE (Comma-Separated Values Data Exchange) lista os
nomes de atributo LDAP na primeira linha. Cada objeto segue, um por linha, e deve conter exatamente
os atributos listados na primeira linha, como ilustrado nos exemplos seguintes:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Exportar contas de usurio com a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Etapas da demonstrao
1. Em LON-DC1, abra um prompt de comando.
csvde -i -f nomedoarquivo -k
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-4 Gerenciamento de contas de servio e de usurio
O parmetro -i especifica o modo de importao. Sem esse parmetro, o modo padro da ferramenta
CSVDE (Comma-Separated Values Data Exchange) exportao. O parmetro -f identifica o nome
do arquivo do qual importar ou para o qual exportar. O parmetro -k til durante as operaes de
importao porque ele instrui a ferramenta CSVDE (Comma-Separated Values Data Exchange) para
ignorar os erros, incluindo o objeto que j existe
O prprio arquivo de importao um arquivo de texto delimitado por vrgulas (.csv ou .txt) no qual a
primeira linha define os atributos importados pelos nomes de atributo LDAP. Cada objeto segue, um
por linha, e deve conter exatamente os atributos listados na primeira linha, por exemplo, um arquivo
de amostra ser da seguinte forma:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Esse arquivo, quando importado pelo comando da ferramenta CSVDE (Comma-Separated Values Data
Exchange), criar um objeto de usurio para Lisa Andrews na unidade organizacional (UO) Funcionrios.
O arquivo configura os nomes de logon de usurio, sobrenome e nome. Voc no pode usar a ferramenta
CSVDE (Comma-Separated Values Data Exchange) para importar senhas. Sem uma senha, a conta de usurio
ser inicialmente desabilitada. Depois de redefinir a senha, voc poder habilitar o objeto no AD DS.
Importar contas de usurio com a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Etapas da demonstrao
1. Em LON-DC1, abra E:\Labfiles\Mod04\NewUsers.csv com o Bloco de Notas. Examine as
informaes sobre os usurios listados no arquivo.
csvde -i -f E:\Labfiles\Mod04\NewUsers.csv -k
4. Examine as contas para confirmar que o nome, o sobrenome, o nome principal do usurio e o nome
de logon anterior ao Windows 2000 foram preenchidos de acordo com as instrues em
NewUsers.csv.
O formato de arquivo LDIF consiste em um bloco de linhas que juntas constituem uma nica operao.
Vrias operaes em um nico arquivo so separadas por uma linha em branco. Cada linha, que contm
uma operao, consiste em um nome de atributo seguido por dois-pontos e o valor do atributo. Por
exemplo, suponha voc deseja importar objetos de usurio para dois representantes de vendas chamados
Bonnie Kearney e Bobby Moore. O contedo do arquivo LDIF ficaria similar ao exemplo a seguir:
Cada operao comea com o atributo de nome de domnio (DN) do objeto que o destino da operao.
A linha seguinte, changeType, especifica o tipo de operao: adicionar, modificar ou excluir.
Como voc pode ver, o formato do arquivo LDIF no to intuitivo ou familiar como o formato de texto
separado por vrgulas. No entanto, como o formato LDIF tambm um padro, muitos servios de
diretrio e banco de dados podem exportar arquivos LDIF.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-6 Gerenciamento de contas de servio e de usurio
Depois de criar ou obter um arquivo LDIF, voc pode executar as operaes que o arquivo especifica,
usando o comando LDIFDE. Em um prompt de comando, digite ldifde /? para obter informaes de uso.
As duas opes mais importantes para o comando LDIFDE so:
-i. Ativa o modo de importao. Sem esse parmetro, o LDIFDE exporta informaes.
Etapas da demonstrao
1. Abra E:\Labfiles\Mod04\NewUsers.ldf com o Bloco de Notas. Examine as informaes sobre os
usurios listados no arquivo.
ldifde -i -f E:\Labfiles\Mod04\NewUsers.ldf -k
3. Abra Usurios e Computadores do Active Directory e confirme que os usurios foram criados
com xito.
4. Examine as contas para confirmar que as propriedades de usurio foram preenchidas de acordo
com as instrues em NewUsers.ldf.
Pergunta: Quais so as vantagens que o LDIFDE tem sobre a ferramenta CSVDE (Comma-
Separated Values Data Exchange) ao gerenciar contas de usurio em um ambiente AD DS?
Import-CSV. Esse cmdlet cria objetos de arquivos .csv que podem ser enviados por pipeline para
outros cmdlets do Windows PowerShell.
New-ADUser. Esse cmdlet usado para criar os objetos que foram importados do cmdlet Import-CSV.
Etapas da demonstrao
1. Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory
e sob Adatum.com, crie uma nova UO chamada Import Users.
5. Digite os seguintes comandos e pressione Enter depois de cada um. Quando solicitado para alterar
a poltica de execuo, pressione enter para aceitar a opo padro de Y:
Set-ExecutionPolicy remotesigned
E:\Labfiles\Mod04\importusers.ps1
Lio 2
Definio de configuraes de poltica de senha
e bloqueio de contas de usurio.
Como administrador, voc deve garantir que as contas de usurio em seu ambiente estejam
em conformidade com as configuraes de segurana estabelecidas por sua organizao.
O Windows Server 2012 usa polticas de conta para definir configuraes de segurana para contas
de usurio. Este mdulo o ajudar a identificar as configuraes disponveis para definir segurana de
conta e os mtodos disponveis para definir essas configuraes.
Objetivos da lio
Depois desta lio, voc ser capaz de:
No Gerenciamento de Poltica de Grupo no AD DS, a maioria das configuraes de poltica pode ser
aplicada em nveis diferentes na estrutura do AD DS: domnio, site ou UO. No entanto, as polticas de
conta somente podem ser aplicadas a um nvel no AD DS no domnio inteiro. Portanto, s um conjunto
de configuraes de poltica de conta pode ser aplicado a um domnio AD DS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 4-9
Poltica de senha
Voc define a poltica de senha usando as seguintes configuraes:
Aplicar histrico de senhas. Esse o nmero de senhas novas e exclusivas que devem ser associadas a
uma conta de usurio para que uma senha antiga possa ser reutilizada. A configurao padro 24
senhas anteriores. Quando voc usa essa configurao com uma configurao de tempo de vida
mnimo de senha, a configurao de aplicar histrico de senha impede a reutilizao constante da
mesma senha.
Tempo de vida mximo da senha. Isso o nmero de dias que uma senha pode ser usada antes que
o usurio precise alter-la. A alterao regular de senhas ajuda a impedir o comprometimento das
senhas. Porm, voc deve encontrar um equilbrio entre essa considerao de segurana e as
consideraes logsticas que resultam em solicitar que os usurios alterem as senha com muita
frequncia. A configurao padro de 42 dias provavelmente apropriada para a maioria das
organizaes.
Tempo de vida mnimo da senha. Isso o nmero de dias que uma senha deve ser usada para que
o usurio possa alter-la. O valor padro um dia, o que apropriado se voc tambm aplicar o
histrico de senha. Voc poder restringir o uso frequente da mesma senha se usar essa configurao
junto com uma configurao curta para aplicar o histrico de senha.
Comprimento mnimo da senha. Esse o nmero mnimo de caracteres que a senha de um usurio
deve conter. O valor padro sete. Esse padro o mnimo usado extensamente, mas voc deve
aumentar o comprimento da senha para pelo menos 10 para aprimorar a segurana.
Requisitos de complexidade. O Windows Server inclui um filtro de senha padro que habilitado por
padro e voc no deve desabilit-lo. O filtro requer que uma senha tenha as seguintes
caractersticas:
o No contenha o seu nome ou nome de usurio
Durao do bloqueio de conta. Define o nmero de minutos que uma conta bloqueada permanece
bloqueada. Depois do nmero especificado de minutos, a conta desbloqueada automaticamente.
Para especificar que um administrador deve desbloquear a conta, defina o valor para 0. Considere o
uso de polticas de senha refinadas para solicitar que os administradores desbloqueiem contas de alta
segurana e defina essa configurao para 30 minutos para usurios normais.
Limite de bloqueio de conta. Determina o nmero de tentativas de logon com falha que so
permitidas antes que a conta do usurio seja bloqueada. O valor 0 significa que a conta nunca
bloqueada. Voc deve definir esse valor alto o suficiente para permitir que os usurios digitem a
senha errada, mas baixo o suficiente para garantir que tentativas de fora bruta para adivinhar a
senha falhem. Os valores comuns para esse intervalo de configurao de trs a cinco.
Zerar contador de bloqueios de conta aps. Determina quantos minutos devem passar aps uma
tentativa de logon com falha para que o contador de logon incorreto seja redefinido para 0. Essa
configurao se aplica quando um usurio digita a senha incorretamente, mas no ultrapassa o limite
de bloqueio de conta. Considere definir esse valor para 30 minutos.
Poltica do Kerberos
As opes de configurao de poltica do Kerberos contm configuraes para o protocolo Kerberos
verso 5 TGT (tquete de concesso de tquete) e os tempos de vida do tquete de sesso e as
configuraes de carimbo de data/hora. Para a maioria das organizaes, as configuraes padro so
apropriadas.
Pergunta: Por que voc usaria secpol.msc para definir as configuraes de poltica de conta
local para um computador Windows Server 2012 em vez de usar as configuraes de poltica
de conta da Poltica de Grupo baseada em domnio?
As polticas de senha refinadas se aplicam somente aos objetos de usurio (ou a objetos inetOrgPerson,
se voc usar esses em vez de objetos de usurio) e a grupos de segurana global. Ao vincular Objetos
Configurao de Senha a um usurio ou a um grupo, voc modifica um atributo chamado msDS-
PSOApplied, que por padro vazio. Essa abordagem trata agora a senha e as configuraes de
bloqueio de senha como atributos para um usurio especfico ou para um grupo, e no como requisitos
de todo o domnio.
Por exemplo, para configurar uma poltica de senha rgida para contas administrativas, crie um grupo
de segurana global, adicione as contas de usurio administrativas como membros e vincule um Objeto
Configurao de Senha ao grupo. A aplicao de polticas de senha refinadas a um grupo dessa maneira
mais gerencivel do que a aplicao de polticas a cada conta de usurio individual. Se voc criar
uma nova conta de servio, simplesmente adicione-a ao grupo e a conta ser gerenciada pelo Objeto
Configurao de Senha.
Por padro, apenas membros do grupo Administradores de Domnio podem definir polticas de senha
refinadas. Porm, voc tambm pode delegar a capacidade para definir essas polticas para outros usurios.
As configuraes gerenciadas por poltica de senha refinada so iguais s configuraes nos ns Poltica
de Conta e Poltica de Senha de um GPO. Porm, as polticas de senha refinadas no so implementadas
como parte da Poltica de Grupo e no so aplicadas como parte de um GPO. Em vez disso, existe uma
classe separada de objeto no Active Directory que mantm as configuraes para a poltica de senha
refinada o PSO.
Voc pode criar um ou mais PSOs em seu domnio. Cada um contm um conjunto completo de senhas e
configuraes de poltica de bloqueio. Um Objeto Configurao de Senha aplicado vinculando o Objeto
Configurao de Senha a um ou mais grupos de segurana global ou usurios.
Para usar uma poltica de senha refinada, o nvel funcional do domnio deve ser pelo menos o
Windows Server 2008, o que significa que todos os controladores de domnio no domnio esto pelo
menos executando o Windows Server 2008, e o nvel funcional do domnio foi aumentado para pelo
menos o Windows Server 2008.
3. Clique com o boto direito do mouse no domnio e, em seguida, clique em Aumentar nvel
funcional do domnio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 4-13
Windows PowerShell
Esse cmdlet usado para criar um novo Objeto Configurao de Senha e definir os parmetros do
Objeto Configurao de Senha. Por exemplo, o comando a seguir cria um novo Objeto Configurao
de Senha nomeado TestPwd e especifica as suas configuraes:
Add-FineGrainedPasswordPolicySubject
Esse cmdlet permite vincular um usurio ou um grupo a um Objeto Configurao de Senha existente.
Por exemplo, o comando a seguir vincula o Objeto Configurao de Senha TestPwd ao grupo
do AD DS nomeado grupo1:
5. Preencha ou edite os campos na pgina de propriedades para criar um novo Objeto Configurao
de Senha.
7. Isso associa o objeto de Poltica de Senha aos membros do grupo global que foi criado no ambiente
de teste.
8. Clique em OK para enviar a criao do Objeto Configurao de Senha.
Se voc atribuir vrios Objetos Configurao de Senha a um usurio ou a um grupo, o atributo msDS-
PasswordSettingsPrecedence ajudar a determinar o Objeto Configurao de Senha resultante. Um
Objeto Configurao de Senha com um valor mais baixo tem precedncia sobre um Objeto Configurao
de Senha com um valor mais alto.
Valor de precedncia o Objeto Configurao de Senha resultante. Se voc aplicar vrios Objetos
Configurao de Senha ao mesmo usurio, e eles tiverem o mesmo valor msDS-
PasswordSettingsPrecedence, o AD DS aplicar o Objeto Configurao de Senha com o GUID
(identificador globalmente exclusivo) matematicamente menor.
Todos os objetos de usurio contm um novo atributo chamado msDS-ResultantPSO. Voc pode
usar esse atributo para ajudar a determinar o nome diferenciado do Objeto Configurao de Senha
que o AD DS aplica ao objeto de usurio. Se voc no vincular um Objeto Configurao de Senha ao
objeto de usurio, esse atributo no conter nenhum valor e a Poltica de Domnio Padro GPO conter
a poltica de senha efetiva.
Para exibir o efeito de uma poltica que o AD DS est aplicando a um usurio, abra o Usurios e
Computadores do Active Directory e no menu Exibir, verifique se Recursos Avanados est habilitada.
Abra as propriedades de uma conta de usurio. Voc pode exibir o atributo msDS-ResultantPSO na guia
Editor de Atributos, se a opo Mostrar Atributos Construdos tiver sido configurada nas opes Filtro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-16 Gerenciamento de contas de servio e de usurio
Lio 3
Configurao de contas de servio gerenciadas
A criao de contas de usurio para prover autenticao para aplicativos, servios de sistema e processos
em segundo uma prtica comum no ambiente do Windows. Historicamente, foram criadas contas
que foram frequentemente nomeadas para uso por um servio especfico. O Windows Server 2012
suporta objetos do tipo conta do AD DS chamados de contas de servio gerenciadas que facilitam
o gerenciamento de contas de servio e apresentam menos riscos para o seu ambiente.
Esta lio introduzir as contas de servio gerenciadas e a nova funcionalidade relacionada s contas
de servio gerenciadas no Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Esforo de administrao adicional pode ser necessrio para gerenciar a senha de conta de servio
com segurana. Isso inclui tarefas como alterar a senha e resolver situaes que causam um bloqueio
de conta. As contas de servio tambm normalmente so configuradas para ter senhas que no
expiram, o que pode ir contra as polticas de segurana de sua organizao.
Pode ser difcil determinar onde uma conta baseada em domnio est sendo usada como uma conta
de servio. Uma conta de usurio padro pode ser usada para vrios servios em vrios servidores em
todo o ambiente. Uma tarefa simples, como alterar a senha, pode causar problemas de autenticao
para alguns aplicativos. importante saber onde e como uma conta de usurio padro est sendo
usada quando associada a um servio de aplicativo.
Esforo de administrao adicional pode ser necessrio para gerenciar o nome principal do servio
(SPN). O uso de uma conta de usurio padro pode requerer administrao manual do SPN.
Se a conta de logon do servio for alterada, o nome de computador ser alterado. Ou, se uma
propriedade de nome de host do DNS (sistema de nome de domnio) for modificada, os registros de
SPN talvez precisem ser modificados manualmente para refletir a alterao. Um SPN configurado
incorretamente causa problemas de autenticao com o servio do aplicativo.
O Windows Server 2012 suporta um objeto AD DS usado para facilitar o gerenciamento de conta de
servio, chamado de conta de servio gerenciada. Os tpicos a seguir fornecem informaes sobre os
requisitos e uso de contas de servio gerenciadas no Windows Server 2012.
Alternativamente, bastante comum que um aplicativo possa usar uma conta de domnio padro que
seja configurada especificamente para o aplicativo. No entanto, a desvantagem principal que voc
precisa gerenciar as senhas manualmente, o que aumenta o esforo de administrao.
Uma conta de servio gerenciada pode proporcionar a um aplicativo sua prpria conta exclusiva,
eliminando a necessidade de um administrador para administrar as credenciais da conta manualmente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-18 Gerenciamento de contas de servio e de usurio
Observao: Uma conta de servio gerenciada padro no pode ser compartilhada entre
vrios computadores ou ser usada em clusters de servidores onde o servio replicado entre ns.
Para simplificar e fornecer senha totalmente automtica e gerenciamento SPN, ns recomendamos que o
domnio AD DS fique no nvel funcional do Windows Server 2008 R2 ou superior. Porm, se voc tiver um
controlador de domnio executando o Windows Server 2008 ou o Windows Server 2003, poder
atualizar o esquema do Active Directory para o Windows Server 2008 R2 para suportar esse recurso. A
nica desvantagem que o administrador de domnio deve configurar os dados de SPN manualmente
para as contas de servio gerenciadas.
Para atualizar o esquema no Windows Server 2008, Windows Server 2003 ou ambientes de modo misto,
voc deve executar as seguintes tarefas:
1. Execute adprep/forestprep no nvel de floresta e execute adprep/domainprep no nvel de domnio.
2. Implante um controlador de domnio que esteja executando o Windows Server 2008 R2, o Windows
Server 2008 com o Active Directory Management Gateway Service ou o Windows Server 2003 com o
Active Directory Management Gateway Service.
Em um controlador de domnio do Windows 2012, uma chave raiz de servios de distribuio principal
deve ser criada para o domnio para que qualquer Conta de Servio Gerenciada possa ser criada. Para
criar a chave raiz, execute o seguinte cmdlet a partir do Mdulo Active Directory PowerShell para o
Windows PowerShell:
Mais informaes sobre Conta de Servio Gerenciado de grupo, incluindo mais explicao sobre o cmdlet
acima, e sobre a criao de uma chave raiz KDS (Servios de Distribuio de Chave) podem ser
encontradas mais adiante nesta lio.
Add-KDSRootkey criar a chave raiz KDS para suportar contas de servio gerenciadas de grupo, um
requisito no Windows Server 2012 DCs:
Etapas da demonstrao
Criar a chave raiz KDS (Servios de Distribuio de Chave) para o domnio
1. Em LON-DC1, no Gerenciador do Servidor, abra o console Console do Mdulo Active Directory
Module para Windows PowerShell.
2. Use o cmdlet Add-KDSRootKey para criar a chave raiz KDS de domnio.
Crie e associe uma conta de servio gerenciada
1. Em LON-DC1, abra o console Mdulo Active Directory para Windows PowerShell.
2. Use o cmdlet New-ADServiceAccount para criar uma conta de servio gerenciada.
3. Use o cmdlet Add-ADComputerServiceAccount para associar a conta de servio gerenciada ao
LON-SVR1.
4. Use o cmdlet Get- ADServiceAccount para exibir a nova conta de servio gerenciada criada e
confirmar a configurao adequada.
Instalar uma conta de servio gerenciada
1. Em LON-SVR1, abra o console Console do Mdulo Active Directory para Windows PowerShell.
2. Use o cmdlet Install-ADServiceAccount para instalar a Conta de Servio Gerenciada no LON-SVR1.
3. Abra o Gerenciador do Servidor, e inicie o console Servios.
4. Abra as pginas Propriedades para o servio Identidade de Aplicativo e selecione a guia Fazer logon.
5. Configure o servio Identidade de Aplicativo para usar ADATUM\SampleApp_SVR1$.
Pelo menos um controlador de domnio deve estar executando o Windows Server 2012 para
armazenar informaes de senha gerenciada.
Uma chave raiz KDS deve ser criada em um controlador de domnio no domnio.
Para criar a chave raiz KDS, execute o comando a seguir a partir do Mdulo Active Directory para
Windows PowerShell em um controlador de domnio do Windows Server 2012:
Add-KdsRootKey EffectiveImmediately
O objeto de conta de servio gerenciada de grupo contm uma lista de entidades de segurana
(computadores ou grupos do AD DS) que podem recuperar informaes de senha de conta de servio
gerenciada de grupo do AD DS e usar a conta de servio gerenciada de grupo para autenticao de
servios.
As contas de servio gerenciadas de grupo so criadas usando os mesmos cmdlets do Mdulo
Active Directory para Windows PowerShell. Na realidade, os cmdlets usados para o gerenciamento
da conta de servio gerenciada criaro as contas de servio gerenciadas de grupo, por padro.
Em um controlador de domnio do Windows Server 2012, crie uma nova conta de servio
gerenciada usando o cmdlet New-ADServiceAccount com o parmetro
PrinicipalsAllowedToRetrieveManagedPassword. Esse parmetro aceita uma ou mais contas de
computador separadas por vrgulas ou grupos do AD DS que possuem permisso para obter informaes
de senha para a conta de servio gerenciada de grupo que est armazenada no AD DS nos controladores
de domnio do Windows Server 2012.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-22 Gerenciamento de contas de servio e de usurio
Por exemplo, o cmdlet a seguir criar uma nova conta de servio gerenciada de grupo chamada SQLFarm
e habilitar os hosts LON-SQL1, LON-SQL2 e LON-SQL3 para usar a conta de servio gerenciada de
grupo:
Objetivos
Configurao do laboratrio
Tempo previsto: Tempo estimado: 45 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
b. Senha: Pa$$w0rd
O relatrio recomendou que as seguintes configuraes de senha devem ser aplicadas a todas as contas
no domnio:
O relatrio tambm recomendou que uma poltica separada seja aplicada a usurios nos grupos
Gerenciadores, devido aos privilgios elevados atribudos a essas contas de usurio. A poltica aplicada
ao grupos Gerenciadores deve conter as seguintes configuraes:
Durao do bloqueio de conta: 0 minutos (Um administrador ter que desbloquear a conta)
3. Na Central Administrativa do Active Directory, configure uma poltica de senha refinada para o grupo
ADATUM\Gerenciadores com as seguintes configuraes:
o Nome: ManagersPSO
o Precedncia: 10
Resultados: Aps concluir esse exerccio, voc ter configurado a poltica de senha e as configuraes de
bloqueio de conta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
4-26 Gerenciamento de contas de servio e de usurio
Resultados: Aps ter concludo esse exerccio, voc ter criado e associado uma conta de servio
gerenciada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 4-27
Ferramentas
Ferramenta Para que ela usada Onde encontrar
Mdulo 5
Implementao de uma infraestrutura de Poltica de Grupo
Contedo:
Viso geral do mdulo 5-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Definir o escopo dos GPOs usando links, grupos de segurana, filtros WMI (Instrumentao de
Gerenciamento do Windows ), processamento de loopback e direcionamento de preferncias.
Localizar os logs de eventos que contm eventos relacionados a Poltica de Grupo e solucionam
problemas na aplicao de Poltica de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-2 Implementao de uma infraestrutura de Poltica de Grupo
Lio 1
Introduo Poltica de Grupo
Uma infraestrutura de Poltica de Grupo tem vrios componentes interativos, e voc precisa entender o que
cada um faz, como eles trabalham juntos e como voc pode mont-los em configuraes diferentes. Esta
lio fornece uma viso geral abrangente dos componentes, procedimentos e funes da Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever GPOs.
Poltica de Grupo uma estrutura dentro do Windows - com componentes que residem no AD DS
(Servios de Domnio Active Directory, em controladores de domnio e em cada servidor e cliente
Windows - que permite gerenciar a configurao em um domnio do AD DS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-3
Uma Poltica de Grupo gerencia vrias configuraes de poltica, e a estrutura de Poltica de Grupo
extensvel. No final, voc pode gerenciar quase qualquer definio configurvel com a Poltica de Grupo.
No Editor de Gerenciamento de Poltica de Grupo, voc pode definir uma configurao de poltica
clicando nela duas vezes. A caixa de dilogo Propriedades da configurao de poltica exibida. Uma
configurao de poltica pode ter trs estados: No Configurado, Habilitado e Desabilitado.
Em um novo GPO, o padro de todas as configuraes de poltica No Configurado. Isso significa que
o GPO no pode modificar a configurao existente da configurao em questo de um usurio ou um
computador. Se voc habilitar ou desabilitar uma configurao de poltica, ser feita uma alterao na
configurao de usurios e computadores aos quais o GPO est aplicado. Ao restaurar o valor No
Configurado de uma configurao, voc recupera seu valor padro.
O efeito da alterao depende da configurao de poltica. Por exemplo, se voc habilitar a configurao
de poltica Impedir Acesso a Ferramentas de Edio do Registro, os usurios no podero iniciar o
Editor do Registro, o Regedit.exe. Se voc desabilitar a configurao de poltica, assegurar que os
usurios possam iniciar o Editor do Registro. Observe o duplo aspecto negativo desta configurao de
poltica: Voc desabilita uma poltica que impede uma ao, portanto, voc permite a execuo da ao.
Algumas configuraes de poltica agrupam vrias configuraes em uma poltica, e podem requerer
parmetros adicionais.
Implantao de software
Polticas de Grupo permitem implantar software a usurios e computadores. Voc pode usar Poltica de
Grupo para implantar todos os aplicativos de software que esto no formato de .msi. Alm disso, voc
pode aplicar instalao de software automtica ou deixar que seus usurios decidam se desejam que o
software seja implantado em suas mquinas.
Observao: A implantao de pacotes grandes com GPOs pode no ser o modo mais
eficiente de distribuir um aplicativo nos computadores de sua organizao. Em muitas
circunstncias, pode ser mais eficaz distribuir os aplicativos como parte da imagem de
computador desktop.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-5
Para criar um novo GPO em um domnio, clique com o boto direito do mouse no continer Objetos de
Poltica de Grupo e, em seguida, clique em Novo.
Para modificar as configuraes em um GPO, clique com o boto direito do mouse no GPO e, em
seguida, clique em Editar. O snap-in do Editor de Gerenciamento de Poltica de Grupo aberto.
Os prximos dois nveis da hierarquia so os ns Polticas e Preferncias. Voc aprender, mais adiante
neste mdulo, a diferena entre esses dois ns. Mais abaixo na hierarquia, possvel ver que o Editor de
Gerenciamento de Poltica de Grupo exibe pastas, que tambm so chamadas de ns ou grupos de
configuraes de poltica. Dentro das pastas, esto as prprias configuraes de poltica.
Escopo do GPO
A configurao definida por configuraes de
poltica em GPOs. No entanto, as alteraes de
configurao em um GPO no afetaro os
computadores nem os usurios de sua
organizao at que voc especifique os
computadores ou os usurios aos quais o GPO se
aplicar. Isso denominado definio do escopo
de um GPO. O escopo de um GPO a coleo de
usurios e computadores que aplicaro as
configuraes no GPO.
Voc pode limitar ainda mais o escopo do GPO com um dos dois tipos de filtros. Filtros de Segurana
especificam grupos de segurana que esto inseridos no escopo do GPO, mas aos quais o GPO deve ou
no ser aplicado explicitamente. Filtros WMI especificam um escopo usando caractersticas de um sistema,
como verso de sistema operacional ou espao livre em disco. Use filtros de segurana e WMI para limitar
ou especificar o escopo dentro do escopo inicial criado pelo link de GPO.
Esse servio baixa qualquer GPO que ainda no esteja armazenado em cache.
Um dos conceitos mais importantes para se lembrar sobre Poltica de Grupo que ela muito voltada ao
cliente. O Cliente de Poltica de Grupo recebe os GPOs do domnio, disparando as CSEs para aplicar
configuraes localmente. Poltica de Grupo no uma tecnologia "push".
Na realidade, voc pode configurar o comportamento das CSEs usando Poltica de Grupo. A maioria das
CSEs s aplicar configuraes em um GPO se este tiver sido alterado. Esse comportamento aperfeioa o
processamento da poltica, eliminando aplicaes redundantes das mesmas configuraes. A maioria das
polticas aplicada de tal modo que os usurios padro no podem alterar a configurao no
computador - eles sempre estaro sujeitos configurao aplicada pela Poltica de Grupo. No entanto, os
usurios padro podem alterar algumas configuraes e muitas podem ser alteradas se um usurio for
um administrador no sistema em questo. Se os usurios em seu ambiente forem os administradores nos
respectivos computadores, voc dever considerar configurar CSEs para reaplicar configuraes de
poltica mesmo se o GPO no tiver sido alterado. Dessa forma, se um usurio administrativo alterar uma
configurao, e ela deixar de ser compatvel com a poltica, o seu estado compatvel ser restaurado na
prxima atualizao da Poltica de Grupo.
Observao: Voc tambm pode aplicar uma atualizao de poltica usando o comando
GPUpdate.
N Configuraes de Software
Configuraes de Software o primeiro n. Ele contm apenas a extenso Instalao de Software que
ajuda a especificar como os aplicativos so instalados e mantidos na sua organizao.
N Configuraes do Windows
Nos ns Configurao do Computador e Configurao do Usurio, o n Polticas contm um n
Configuraes do Windows, que inclui os ns Scripts, Configuraes de Segurana e QoS Baseada
em Poltica.
N Scripts
A extenso Scripts permite especificar dois tipos de scripts, inicializao/desligamento (no n
Configurao do Computador), e logon/logoff (no n Configurao do Usurio). Scripts de
inicializao/desligamento so executados na inicializao ou no desligamento do computador. Scripts de
logon/logoff so executados quando um usurio faz logon ou logoff. Quando voc atribui vrios scripts
de logon/logoff ou de inicializao/desligamento a um usurio ou um computador, a CSE de Scripts
executa os scripts de cima para baixo. Voc pode determinar a ordem de execuo de vrios scripts na
caixa de dilogo Propriedades. Quando um computador desligado, a CSE primeiro processa os scripts
de logoff e, em seguida, os de desligamento. Por padro, o valor de tempo limite para processamento de
scripts 10 minutos. Se os scripts de logoff e desligamento precisarem de mais que 10 minutos para
serem processados, voc dever ajustar o valor de tempo limite com uma configurao de poltica. Voc
pode usar qualquer linguagem de script ActiveX para elaborar scripts. Algumas possibilidades incluem
Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl e arquivos em lote estilo
Microsoft MS-DOS (.bat e .cmd). H suporte para scripts de logon em um diretrio de rede
compartilhado em outra floresta para logon de rede entre florestas. O Windows 7 e o Windows 8
tambm do suporte a scripts Windows PowerShell.
N Configuraes de Segurana
O n Configuraes de Segurana permite que um administrador de segurana configure a segurana
usando GPOs. Isso pode ser feito depois ou, em vez disso, poder usar um modelo de segurana para
definir a segurana do sistema.
N Modelos Administrativos
Nos ns Configurao do Computador e Configurao do Usurio, o n Modelos Administrativos
contm configuraes da Poltica de Grupo baseadas no Registro. H milhares dessas configuraes
disponveis para configurar o usurio e o ambiente de computador. Como administrador, voc pode
gastar uma quantidade significante de tempo manipulando essas configuraes. Para ajud-lo com as
configuraes, uma descrio de cada configurao de poltica est disponvel em dois locais:
Demonstration
Esta demonstrao mostra como:
Etapas da demonstrao
Lio 2
Implementao e administrao de GPOs
Nesta lio, voc examinar GPOs em mais detalhes, aprender como criar, vincular, editar, gerenciar e
administrar GPOs e suas configuraes.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Armazenamento de GPO
As configuraes de Poltica de Grupo so
apresentadas como GPOs nas ferramentas de
interface do usurio do AD DS, mas, na realidade,
o GPO compreende dois componentes: um
continer e um modelo Poltica de Grupo.
Por padro, quando ocorre a atualizao da Poltica de Grupo, as CSEs s aplicam as configuraes a um
GPO se ele tiver sido atualizado.
O cliente de Poltica de Grupo pode identificar um GPO atualizado por seu nmero de verso. Cada GPO
tem um nmero de verso que incrementado a cada vez que feita uma alterao. O nmero de verso
armazenado como um atributo do continer Poltica de Grupo e em um arquivo de texto, o template.ini
Poltica de Grupo, na pasta do modelo Poltica de Grupo. O cliente de Poltica de Grupo sabe o nmero
de verso de cada GPO aplicado anteriormente. Se, durante a atualizao de Poltica de Grupo, o cliente
descobrir que o nmero de verso do continer Poltica de Grupo foi alterado, as CSEs sero informadas
que o GPO foi atualizado.
Replicao de GPO
O continer e o modelo Poltica de Grupo so replicados entre todos os controladores de domnio
no AD DS. No entanto, so usados mecanismos de replicao diferentes para esses dois itens.
O continer Poltica de Grupo no AD DS replicado pelo DRA (Agente de Replicao Diretrio). O DRA
usa uma topologia gerada pelo KCC (Knowledge Consistency Checker), que voc pode definir ou refinar
manualmente. O resultado que o continer Poltica de Grupo replicado em segundos em todos os
controladores de domnio em um site e replicado entre sites com base em sua configurao de
replicao entre sites.
O modelo Poltica de Grupo no SYSVOL replicado usando um das duas tecnologias a seguir. O FRS
(Servio de Replicao de Arquivos) usado para replicar o SYSVOL em domnios nos quais so
executados o Windows Server 2008, o Windows Server 2008 R2, o Windows Server 2003 e o
Windows 2000. Se todos os controladores de domnio estiverem executando o Windows Server 2008
ou mais recente, voc poder configurar a replicao do SYSVOL usando a Replicao DFS (Sistema de
Arquivos Distribudo), que um mecanismo muito mais eficiente e robusto.
Como o continer e o modelo Poltica de Grupo so replicados separadamente, possvel que eles
fiquem fora de sincronizao por um curto perodo.
GPOs de Incio
Um GPO de Incio usado como um modelo do
qual criar outros GPOs no GPMC. Os GPOs de
Incio podem conter apenas configuraes de
Modelos Administrativos. Voc pode usar um GPO
de Incio para fornecer um ponto de partida para
novos GPOs criados em seu domnio. O GPO de
Incio j pode conter configuraes especficas
que so prticas recomendadas para seu
ambiente. GPOs de Incio podem ser exportados e
importados de arquivos de gabinete (.cab) para
tornar a distribuio a outros ambientes simples e
eficiente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-14 Implementao de uma infraestrutura de Poltica de Grupo
O GPMC armazena GPOs de Incio em uma pasta denominada StarterGPOs, localizada no SYSVOL.
GPOs de Incio pr-configurados da Microsoft esto disponveis para sistemas operacionais cliente
Windows. Esses GPOs de Incio contm configuraes de Modelo Administrativo que refletem as prticas
recomendadas da Microsoft para a configurao do ambiente de cliente.
Backup de GPOs
Voc pode fazer backup de GPOs individualmente
ou como um todo com o GPMC. Voc deve
fornecer apenas um local de backup, que pode ser
qualquer pasta local ou compartilhada vlida. Para fazer backup do GPO, necessrio ter a permisso de
Leitura. Toda vez que voc fizer um backup, criada uma nova verso de backup do GPO, que fornece
um registro histrico.
Cpia de GPOs
Voc pode copiar GPOs usando o GPMC, ambos no mesmo domnio e entre domnios. Uma operao de
cpia copia um GPO ativo existente no domnio de destino desejado. Um novo GPO sempre criado
durante esse processo. O novo GPO denominado "cpia de OldGPOName". Por exemplo, se voc copiar
um GPO denominado "rea de Trabalho", a nova verso ser denominada "Cpia de rea de Trabalho".
Depois que o arquivo copiado e colado no continer Objetos de Poltica de Grupo, voc pode renomear
a poltica. O domnio de destino pode ser qualquer domnio confivel no qual voc tenha os direitos para
criar novos GPOs. Durante a cpia entre domnios, possvel que as entidades de segurana definidas na
origem precisem ser migradas para o destino.
Tabelas de migrao
Ao importar GPOs ou copi-los entre domnios, voc pode usar tabelas de migrao para modificar
referncias no GPO que precisem ser ajustadas para o novo local. Por exemplo, voc pode precisar
substituir o caminho UNC para redirecionamento de pasta por um caminho UNC adequado para o novo
grupo de usurios ao qual o GPO ser aplicado. Voc pode criar tabelas de migrao antes desse
processo ou cri-las durante a importao ou a operao de cpia entre domnios.
Criao de GPOs
Edio de GPOs
Leitura de dados de Resultados de Poltica de Grupo para objetos em um determina domnio ou uma UO
Criao de filtros WMI em um domnio
O grupo Proprietrios Criadores de Poltica de Grupo permite que seus membros criem novos GPOs e
editem ou excluam GPOs criados por eles.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-16 Implementao de uma infraestrutura de Poltica de Grupo
Administradores de Domnio
Administradores de Empresa
Proprietrio Criador
Sistema Local
Criao de GPOs
Por padro, s Administradores de Domnio, Administradores de Empresa e Proprietrios Criadores de
Poltica de Grupo podem criar novos GPOs. Voc pode usar dois mtodos para conceder esse direito a um
grupo ou um usurio:
Conceder explicitamente ao grupo ou ao usurio a permisso para criar GPOs com o GPMC.
Edio de GPOs
Para editar um GPO, o usurio deve ter acesso para Leitura e Gravao ao GPO. Voc pode conceder essa
permisso usando o GPMC.
O cdigo a seguir importa as configuraes do GPO Sales includo no backup e armazenado na pasta
C:\Backups para o GPO NewSales.
Lio 3
Escopo e processamento da Poltica de Grupo
Um GPO , por si s, uma coleo de instrues de configurao que sero processadas pelas CSEs
de computadores. At que o escopo do GPO seja definido, ele no aplicado a nenhum usurio ou
computador. O escopo do GPO determina as CSEs das quais os computadores recebero e processaro
o GPO, e somente os computadores ou os usurios dentro do escopo de um GPO aplicaro as
configuraes nesse GPO. Nesta lio, voc aprender a gerenciar o escopo de um GPO. Os mecanismos
a seguir so usados para definir um escopo:
Filtros WMI
Direcionamento de preferncias
Voc deve ter a capacidade de definir os usurios ou os computadores nos quais planeja implantar essas
configuraes. Consequentemente, necessrio dominar a arte de definir o escopo de GPOs. Nesta lio,
voc aprender cada um dos mecanismos que permitem definir o escopo de um GPO e, no processo,
dominar os conceitos de herana, precedncia e aplicao de Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Links de GPO
Voc pode vincular um GPO a um ou mais sites do
AD DS, domnios ou UOs. Depois de vincular um
GPO, os usurios ou os computadores inseridos no
continer em questo estaro dentro do escopo
do GPO, inclusive os computadores e os usurios
em UOs filho.
Vinculao de um GPO
Para vincular um GPO:
Se voc ainda no criou um GPO, clique em Criar um GPO neste {Domnio | UO | Site} e Fornecer
um Link para Ele Aqui.
Voc pode escolher os mesmos comandos para vincular um GPO a um site, mas, por padro, seus sites do
AD DS no ficam visveis no GPMC. Para mostrar sites no GPMC, clique com o boto direito do mouse em
Sites na rvore de console do GPMC e, em seguida, clique em Mostrar Sites.
Observao: Um GPO vinculado a um site afeta todos os computadores no site, sem levar
em conta o domnio ao qual os computadores pertenam, desde que todos os computadores
pertenam mesma floresta do Active Directory. Portanto, quando um GPO vinculado a um
site, esse GPO pode ser aplicado a vrios domnios dentro de uma floresta. Os GPOs vinculados a
site so armazenados em controladores no domnio no qual o GPO criado. Portanto, os
controladores do domnio em questo devero ser acessveis para que os GPOs vinculados a site
sejam aplicados corretamente. Se voc implementar polticas vinculadas a site, dever considerar
a aplicao de polticas ao planejar sua infraestrutura de rede. Voc pode colocar um controlador
do domnio do GPO no site ao qual a poltica est vinculada ou garantir que uma conectividade
de WAN fornea acessibilidade a um controlador no domnio do GPO.
Ao vincular um GPO a um continer, voc define o escopo inicial do GPO. Selecione um GPO e, em
seguida, clique na guia Escopo para identificar os contineres aos quais o GPO est vinculado. No painel
de detalhes do GPMC, os links de GPO so exibidos na primeira seo da guia Escopo.
O impacto dos links do GPO ser que o Cliente de Poltica de Grupo baixar o GPO se o computador ou os
objetos de usurio estiverem no escopo do link. O GPO s ser baixado se ele for novo ou atualizado.
O Cliente de Poltica de Grupo armazena o GPO em cache para tornar a atualizao de poltica mais
eficiente.
Para excluir um link de GPO, clique nele com o boto direito do mouse na rvore de console do
GPMC e, em seguida, clique em Excluir.
A excluso de um link de GPO no exclui o GPO em si, que permanece no continer de GPO em questo.
No entanto, a excluso do link altera o escopo do GPO, de forma que ele no se aplique mais aos
computadores e aos usurios dentro do objeto de continer vinculado anteriormente.
Para desabilitar um link de GPO, clique nele com o boto direito do mouse na rvore de console do
GPMC e, em seguida, desmarque a opo Vnculo Habilitado.
A desativao do link tambm altera o escopo do GPO de forma que ele no se aplique mais aos
computadores e aos usurios inseridos no continer em questo. No entanto, o link permanece para que
voc possa reabilit-lo com facilidade.
Etapas da demonstrao
2. Crie dois novos GPOs chamados Remover Comando Executar e No Remover Comando Executar.
2. Vincule o GPO No Remover Comando Executar UO IT. Agora, o GPO No Remover Comando
Executar est anexado UO IT.
3. Exiba a herana de GPO na UO IT. A guia Herana de Poltica de Grupo mostra a ordem de
precedncia dos objetos de Poltica de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-21
2. Habilite o GPO Remover Comando Executar no domnio Adatum.com. Atualize o painel Herana de
Poltica de Grupo da UO IT e, em seguida, observe os resultados no painel direito.
2. Polticas de grupo de site. As polticas vinculadas a sites so processadas em seguida. Se houver vrias
polticas de site, elas sero processadas de forma sncrona na ordem de preferncia listada.
4. Polticas de grupo de UO. As polticas vinculadas a OUs de nvel superior so processadas em quarto
lugar. Se houver vrias polticas de UO de nvel superior, elas sero processadas de forma sncrona na
ordem de preferncia listada.
5. Polticas de grupo de UO filho. As polticas vinculadas a OUs filho so processadas em quinto lugar.
Se houver vrias polticas de UO filho, elas sero processadas de forma sncrona na ordem de
preferncia listada. Quando houver vrios nveis de OUs filho, as polticas de UOs de nvel superior
sero aplicadas primeiro, e as polticas de UOs de nvel inferior sero aplicadas em seguida.
Na aplicao de Poltica de Grupo, a regra geral que a ltima poltica aplicada tem precedncia. Por
exemplo, uma poltica que restringe o acesso ao Painel de Controle aplicada no nvel de domnio pode ser
revertida por uma poltica aplicada no nvel da UO para os objetos contidos nessa UO especfica.
Se voc vincular vrios GPOs a uma UO, o processamento deles ocorrer na ordem que o administrador
especificar na guia Objetos de Poltica de Grupo Vinculados no GPMC.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-22 Implementao de uma infraestrutura de Poltica de Grupo
Por padro, o processando habilitado para todos os links de GPO. Voc pode desabilitar o link de GPO
de um continer para bloquear a aplicao de um GPO completamente para um determinado site, um
domnio ou uma UO. Observe que se o GPO estiver vinculado a outros contineres, eles continuaro a
processar o GPO se os respectivos links forem habilitados.
Quando uma configurao de poltica habilitada ou desabilitada em um GPO com precedncia mais
alta, a configurao definida entra em vigor. Porm, lembre-se que configuraes de poltica so
definidas como No Configurado, por padro. Se uma configurao de poltica no for definida em um
GPO com precedncia mais alta, a configurao de poltica (habilitada ou desabilitada) em um GPO com
precedncia inferior entrar em vigor.
Voc pode vincular mais de um GPO a um objeto de continer do AD DS. A ordem de link de GPOs
determina a precedncia de GPOs nesse cenrio. Os GPOs com uma ordem de link mais alta tem
precedncia sobre GPOs com uma ordem de link inferior. Quando voc seleciona um UO no GPMC, a guia
Objetos de Poltica de Grupo Vinculados mostra a ordem de link de GPOs vinculados UO em questo.
O comportamento padro de Poltica de Grupo que GPOs vinculados a um continer de nvel mais alto
so herdados por contineres de nvel inferior. Quando um computador inicializado ou um usurio faz
logon, o Cliente de Poltica de Grupo examina o local do objeto de usurio ou computador no AD DS e
avalia os GPOs com escopos que incluem o computador ou o usurio. Em seguida, as CSEs aplicam
configuraes de poltica desses GPOs. As polticas so aplicadas em sequncia, comeando com as
polticas vinculadas ao site, seguidas pelas vinculadas ao domnio, depois as vinculadas a UOs - da UO de
nvel superior para a UO na qual existe o usurio ou o objeto de computador. Trata-se de uma aplicao
de configuraes em camadas, portanto, um GPO que aplicado posteriormente no processo devido
sua precedncia substitui as configuraes aplicadas anteriormente no processo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-23
A aplicao sequencial de GPOs cria um efeito chamado herana de poltica. As polticas so herdadas,
portanto, o conjunto resultante de Polticas de Grupo para um usurio ou um computador ser o efeito
cumulativo das polticas de site, de domnio e de UO.
Por padro, os GPOs herdados tm uma precedncia menor do que os GPOs vinculados diretamente ao
continer. Por exemplo, voc pode definir uma configurao de poltica para desabilitar o uso de
ferramentas de edio do Registro para todos os usurios no domnio definindo-a em um GPO vinculado
ao domnio. Esse GPO, juntamente com sua configurao de poltica, herdado por todos os usurios do
domnio. No entanto, provvel que voc deseje que os administradores possam usar ferramentas de
edio do Registro, portanto, voc vincular um GPO UO que contm as contas dos administradores e,
em seguida, definir a configurao de poltica para permitir o uso de ferramentas de edio do Registro.
Como o GPO vinculado UO dos administradores tem precedncia mais alta do que o GPO herdado, os
administradores podero usar ferramentas de edio do Registro.
3. Selecione o GPO.
4. Use as setas Para Cima, Para Baixo, Mover para o Incio e Mover para Baixo para alterar a ordem
de link do GPO selecionado.
Bloqueio da Herana
Voc pode configurar um domnio ou uma UO para impedir a herana de configuraes de poltica. Isso
conhecido como bloqueio de herana. Para bloquear a herana, clique com o boto direito do mouse no
domnio ou na UO na rvore de console do GPMC e, em seguida, selecione Bloquear Herana.
A opo Bloquear Herana uma propriedade de um domnio ou uma UO, portanto, ela bloqueia todas
as configuraes de Poltica de Grupo dos GPOs vinculados a pais na hierarquia de Poltica de Grupo. Por
exemplo, quando voc bloqueia a herana em uma UO, a aplicao de GPOs comea com qualquer GPO
vinculado diretamente a essa UO. Portanto, nos GPOs vinculados a OUs de nvel mais alto, o domnio ou o
site no se aplicar.
Voc deve ser criterioso ao usar a opo Bloquear Herana porque o bloqueio da herana dificulta a
avaliao da precedncia e da herana da Poltica de Grupo. Com filtros de grupo de segurana,
possvel definir com cuidado o escopo de um GPO, para que ele se aplique apenas aos usurios e aos
computadores corretos no primeiro local, tornando desnecessrio usar a opo Bloquear Herana.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-24 Implementao de uma infraestrutura de Poltica de Grupo
Quando um link de GPO definido como Imposto, o GPO assume o nvel mais alto de precedncia, e as
configuraes de poltica nesse GPO prevalecero sobre quaisquer configuraes de poltica conflitantes
em outros GPOs. Alm disso, um link que imposto se aplicar a contineres filho mesmo quando esses
contineres esto definidos como Bloquear Herana. A opo Imposto faz com que a poltica seja
aplicada a todos os objetos dentro de seu escopo. A opo Imposto far com que as polticas substituam
todas as polticas conflitantes, e elas sero aplicadas, esteja ou no definida a opo Bloquear Herana.
A imposio til quando voc precisa configurar um GPO que defina uma configurao exigida por suas
polticas de uso e segurana de IT corporativas. Portanto, voc deseja assegurar que outros GPOs no
substituam essas configuraes. Voc pode fazer isto impondo o link do GPO.
Avaliao da precedncia
Para facilitar a avaliao da precedncia de GPOs, basta selecionar uma UO (ou um domnio) e, em
seguida, clicar na guia Herana de Poltica de Grupo. Essa guia exibir a precedncia resultante dos
GPOs, discriminando o link de GPO, a ordem de link, o bloqueio de herana e a imposio de link. Essa
guia no discrimina as polticas vinculadas a um site, to pouco a segurana de GPO e os filtros WMI.
Cada GPO tem uma ACL que define as permisses ao GPO. necessrio ter duas permisses, Permitir
Leitura e Permitir Aplicar Poltica de Grupo, para que um GPO seja aplicado a um usurio ou um
computador. Por exemplo, se o escopo de um GPO for definido para um computador por seu link UO
do computador, mas o computador no tiver as permisses de Leitura e Aplicar Poltica de Grupo, o GPO
no ser baixado nem aplicado. Dessa forma, ao definir as permisses apropriadas para grupos de
segurana, voc pode filtrar um GPO de forma que suas configuraes se apliquem somente aos
computadores e aos usurios especificados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-25
Por padro, Usurios Autenticados recebem a permisso Permitir Aplicar Poltica de Grupo em cada novo
GPO. Isso significa que, por padro, todos os usurios e computadores so afetados pelos GPOs definidos
para seus respectivos domnio, site ou UO, independentemente dos outros grupos dos quais eles possam
ser membros. Portanto, h dois modos de filtrar o escopo de um GPO:
Remova a permisso Aplicar Poltica de Grupo (atualmente definida como Permitir) para o grupo
Usurios Autenticados, mas no defina essa permisso como Negar. Em seguida, determine os grupos
aos quais o GPO dever ser aplicado e defina as permisses de Leitura e Aplicar Poltica de Grupo
para esses grupos como Permitir.
Determine os grupos aos quais o GPO no dever ser aplicado e defina a permisso Aplicar Poltica
de Grupo para esses grupos como Negar. Se voc negar a permisso Aplicar Poltica de Grupo a um
GPO, o usurio ou o computador no aplicar as configuraes do GPO, mesmo se ele for membro
de outro grupo no qual foi concedida a permisso Aplicar Poltica de Grupo.
Observao: Voc no pode filtrar GPOs com grupos de segurana locais de domnio.
4. Clique em Adicionar.
5. Selecione o grupo que voc deseja excluir do GPO. Lembre-se que ele deve ser um grupo global. O
escopo de um GPO no pode ser filtrado por grupos locais de domnio.
6. Clique em OK. Por padro, a permisso Permitir Leitura concedida ao grupo selecionado.
9. Clique em OK. Voc ser avisado que permisses Negar substituem outras permisses. Como as
permisses Negar substituem as permisses Permitir, recomendamos que voc as use com critrio. O
Microsoft Windows lembra voc dessa prtica recomendada com a mensagem de aviso. O processo
para excluir grupos com a permisso Negar Aplicar Poltica de Grupo muito mais trabalhoso do que
o processo para incluir grupos na seo Filtros de Segurana da guia Escopo.
10. Confirme que voc deseja continuar.
Voc pode usar uma consulta WMI para criar um filtro WMI, com o qual possvel filtrar um GPO. Voc
pode usar Poltica de Grupo para implantar aplicativos de software e service packs. Voc pode criar um
GPO para implantar um aplicativo e, em seguida, usar um filtro WMI para especificar que a poltica s
deve ser aplicada a computadores com um determinado sistema operacional e service pack, como o
Windows XP Service Pack 3 (SP3). A consulta WMI para identificar esses sistemas :
Quando o Cliente de Poltica de Grupo avalia GPOs baixados para determinar quais devem ser entregues
s CSEs para processamento, ele executa a consulta no sistema local. Se o sistema atender aos critrios da
consulta, o resultado da consulta ser um Verdadeiro lgico, e as CSEs processaro o GPO.
A WMI expe namespaces dentro dos quais h classes que podem ser consultadas. Muitas classes teis,
inclusive Win32_Operating System, so encontradas em uma classe denominada root\CIMv2.
Para criar um filtro WMI:
1. Clique com o boto direito do mouse no n Filtros WMI na rvore de console do GPMC e, em
seguida, clique em Novo. Digite um nome e uma descrio para o filtro e, em seguida, clique no
boto Adicionar.
2. Na caixa Namespace, digite o namespace para sua consulta.
3. Na caixa Consulta, digite a consulta.
4. Clique em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-27
Observao: Observe que a consulta WMI s processada uma vez, mesmo que voc a
use para filtrar o escopo de vrios GPOs.
Terceiro, os filtros WMI no so processados por computadores nos quais o sistema operacional
Microsoft Windows 2000 Server executado. Se um GPO for filtrado com um filtro WMI, um sistema
Windows 2000 Server ignorar o filtro e, em seguida, processar o GPO como se os resultados do
filtro fossem verdadeiros.
Criar um GPO que remove o link do menu Ajuda do menu Iniciar e vincular o link UO IT.
Usar os filtros de segurana para dispensar um usurio do GPO.
Etapas da demonstrao
2. Crie um novo GPO chamado Remover o menu Ajuda e, em seguida, vincule-o unidade
organizacional IT.
4. Crie um novo GPO chamado Atualizaes de Software para XPe, em seguida, vincule-o unidade
organizacional IT.
Voc pode configurar o status do GPO para otimizar o processamento de poltica. Por exemplo, se um
GPO s contiver configuraes do usurio, a configurao da opo Status do GPO para desabilitar
configuraes de computador impedir que o cliente de Poltica de Grupo tente processar o GPO durante
a atualizao da poltica de computador. Como o GPO no contm nenhuma configurao de
computador, no h necessidade de processar o GPO, e voc pode salvar alguns ciclos de processador.
Observao: Voc pode definir uma configurao que deve entrar em vigor no caso de
uma emergncia, incidente de segurana ou outros desastres em um GPO e, em seguida, vincular
o GPO de forma que seu escopo seja definido para os usurios e os computadores apropriados.
Em seguida, desabilite o GPO. Se voc necessitar que a configurao seja implantada, habilite o
GPO.
O processamento de poltica loopback altera o algoritmo padro que o cliente de Poltica de Grupo usa
para obter a lista ordenada de GPOs que devem ser aplicados configurao de um usurio. Em vez de a
configurao de usurio ser determinada pelo n Configurao do Usurio de GPOs cujo escopo foi
definido para o objeto de usurio, a configurao de usurio pode ser determinada pelas polticas do n
Configurao do Usurio de GPOs cujo escopo foi definido para o objeto de computador.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-30 Implementao de uma infraestrutura de Poltica de Grupo
Substituio. Nesse caso, a lista de GPOs para o usurio substituda completamente j pela lista de
GPOs j obtida para o computador na sua inicializao. As configuraes contidas nas polticas de
Configurao do Usurio dos GPOs do computador so aplicadas ao usurio. O modo de
substituio til em uma situao como uma sala de aula na qual os usurios devem receber uma
configurao padro no lugar da configurao aplicada aos usurios em um ambiente menos
gerenciado.
Mesclagem. Nesse caso, a lista de GPOs obtida para o computador na inicializao anexada lista
de GPOs obtida para o usurio ao fazer logon. Como a lista de GPOs obtida para o computador
aplicada posteriormente, as configuraes contidas nos GPOs na lista do computador tero
precedncia se elas entrarem em conflito com as configuraes na lista do usurio. Esse modo til
para aplicar configuraes adicionais s configuraes tpicas dos usurios. Por exemplo, voc pode
permitir a um usurio receber a configurao tpica do usurio ao fazer logon em um computador
em uma sala de conferncia ou uma rea de recepo, mas substituir o papel de parede com um
bitmap padro e desabilitar o uso de certos aplicativos ou dispositivos.
Observao: Observe que quando voc combina o processamento de loopback com filtros
de grupo de segurana, a aplicao de configuraes de usurio durante a atualizao de poltica
usa as credenciais do computador para determinar quais GPOs sero aplicados como parte do
processamento de loopback. Porm, o usurio conectado tambm deve ter a permisso Aplicar
Poltica de Grupo para que o GPO seja aplicado com xito. Observe tambm que o sinalizador de
processamento de loopback configurado por sesso, no por GPO.
Links lentos
O Cliente de Poltica de Grupo trata do problema de links lentos detectando a velocidade de conexo
ao domnio e determinando se a conexo deve ser considerada um link lento. Em seguida, essa
determinao usada por cada CSE para decidir se as configuraes sero aplicadas ou no. Por exemplo,
a extenso de software configurada para abrir mo do processamento de poltica, de forma que o
software no seja instalada se um link lento for detectado.
Observao: Por padro, um link ser considerado lento se estiver a menos de 500
quilobits por segundo (Kbps). No entanto, voc pode configurar uma velocidade diferente.
Se a Poltica de Grupo detectar um link lento, ela definir um sinalizador para indicar esse link para as
CSEs. Em seguida, as CSEs podero determinar se as configuraes de Poltica de Grupo aplicveis sero
processadas. A tabela a seguir descreve o comportamento padro das extenses do lado do cliente.
Computadores desconectados
Se um usurio estiver trabalhando desconectado da rede, as configuraes aplicadas anteriormente pela
Poltica de Grupo continuaro em vigor. Dessa forma, a experincia de um usurio idntica, esteja ele na
rede ou no. H excees a essa regra, principalmente no que diz respeito aos scripts de inicializao,
logon, logoff e desligamento, que no sero executados se o usurio estiver desconectado.
Se um usurio remoto se conectar rede, o Cliente de Poltica de Grupo ser ativado e determinar se
uma janela de atualizao de Poltica de Grupo foi perdida. Nesse caso, ele executar uma atualizao de
Poltica de Grupo para obter os GPOs mais recentes do domnio. Novamente, as CSEs determinaro, com
base em suas polticas de processamento de poltica, se as configuraes contidas nesses GPOs sero ou
no aplicadas.
Por padro, os clientes do Windows XP, Windows Vista, Windows 7 e Windows 8 executam somente
atualizaes em segundo plano na inicializao e no logon, o que significa que um cliente pode ser
inicializado e um usurio pode entrar sem receber as polticas mais recentes do domnio. altamente
recomendvel que voc altere esse comportamento padro de forma que as alteraes de poltica sejam
implementadas de um modo gerenciado e previsvel. Habilite a configurao de poltica Sempre Esperar
pela Rede ao Iniciar o Computador e Fazer Logon para todos os clientes Windows. A configurao
est localizada em Configurao do Computador\Polticas\Modelos
Administrativos\Sistema\Logon. Leia o texto explicativo da configurao de poltica. Observe que isso
no afeta a inicializao nem o tempo de logon hora em computadores que no so conectados a uma
rede. Se o computador detectar que est desconectado, no "esperar" por uma rede.
Logon ou reinicializao
Embora a maioria das configuraes seja aplicada durante uma atualizao de poltica em segundo plano,
algumas CSEs no aplicaro a configurao at a prxima inicializao ou evento de logon. Por exemplo,
as polticas de script de inicializao e logon recm-adicionadas no sero executadas at a prxima
inicializao ou logon do computador. A instalao de software ocorrer na prxima inicializao se o
software for atribudo em configuraes de computador. As alteraes feitas em polticas de
redirecionamento de pasta no entraro em vigor at o prximo logon.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-33
Voc tem a opo de instruir cada CSE a reaplicar as configuraes de GPOs, mesmo que os GPOs no
tenham sofrido alteraes. O comportamento de processamento de cada CSE pode ser definido nas
configuraes de poltica localizadas em Configurao do Computador\Modelos
Administrativos\Sistema\Poltica de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-34 Implementao de uma infraestrutura de Poltica de Grupo
Lio 4
Soluo de problemas na aplicao de GPOs
Com a interao de vrias configuraes em vrios GPOs cujo escopo foi definido por uma variedade de
mtodos, a aplicao de Poltica de Grupo pode ser complexa de analisar e entender. Portanto, voc dever
estar preparado para avaliar e solucionar problemas de maneira eficaz na sua implementao de Poltica de
Grupo, identificar problemas potenciais antes que eles surjam e resolver desafios imprevistos. O Windows
Server fornece ferramentas que so indispensveis para dar suporte a Poltica de Grupo. Nesta lio, voc
explorar o uso dessas ferramentas em cenrios de suporte e soluo de problemas proativa e reativa.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Gerar relatrios RSoP (Conjunto de Polticas Resultante) para ajudar na anlise das configuraes
de GPOs.
Modelar de forma proativa o impacto de alteraes de Poltica de Grupo ou do Active Directory
no RSOP.
Atualizao de GPOs
As configuraes de computador so aplicadas
na inicializao e, em seguida, so atualizadas
a intervalos regulares. Qualquer script de
inicializao executado na inicializao do
computador. O intervalo padro a cada
90 minutos, mas isso configurvel. A exceo
ao intervalo definido relativa aos controladores
de domnio, cujas configuraes so atualizadas
a cada cinco minutos.
Observao: Vrias configuraes de usurio requerem dois logons para que o usurio
perceba o efeito do GPO. A razo disso que os usurios que fazem logon no mesmo
computador usam credenciais armazenadas em cache para acelerar os logons. Isso significa que,
embora as configuraes de poltica estejam sendo entregues ao computador, o usurio j est
conectado, portanto, as configuraes s entraro em vigor no prximo logon. A configurao
de redirecionamento de pasta um exemplo disso.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-35
Voc pode alterar o intervalo de atualizao definindo uma configurao de Poltica de Grupo. Para
configuraes de computador, a configurao de intervalo de atualizao encontrada no n
Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Poltica de Grupo. Para
configuraes de usurio, o intervalo de atualizao encontrado nas configuraes correspondentes em
Configurao do Usurio. Uma exceo ao intervalo de atualizao relativa s configuraes de
segurana. A seo de configuraes de segurana da Poltica de Grupo ser atualizada a cada 16 horas,
independentemente do intervalo que voc definiu para o intervalo de atualizao.
Voc tambm pode atualizar a Poltica de Grupo manualmente. O utilitrio de linha de comando
Gpupdate atualiza e entrega qualquer nova configurao de Poltica de Grupo. O comando Gpupdate
/force atualiza todas as configuraes da Poltica de Grupo. Tambm h um novo cmdlet do Windows
PowerShell, o Invoke-Gpupdate, que executa a mesma funo.
Um novo recurso do Windows Server 2012 a Atualizao Remota de Polticas. Esse recurso permite aos
administradores usar o GPMC para direcionar uma UO e forar a atualizao de Poltica de Grupo em todos
os seus computadores e nos usurios conectados. Para fazer isso, clique com o boto direito do mouse em
qualquer UO e clique em Atualizao da Poltica de Grupo. A atualizao ocorrer em at 10 minutos.
O Windows Server 2012 fornece as ferramentas a seguir para executar anlises de RSoP:
GPResult.exe
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-36 Implementao de uma infraestrutura de Poltica de Grupo
Voc deve poder acessar a WMI no computador de destino. Isso significa que o computador deve
estar online, conectado rede e acessvel pelas portas 135 e 445.
Se voc desejar analisar o RSoP para um usurio, este dever ter feito logon no computador pelo
menos uma vez, embora no precise estar conectado no momento.
Depois de garantir que os requisitos sejam atendidos, voc estar pronto para executar uma anlise
de RSoP.
Para executar um relatrio de RSoP, clique com o boto direito do mouse em Resultados de Poltica de
Grupo na rvore de console do GPMC e, em seguida, clique em Assistente de Resultados de Poltica
de Grupo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-37
O assistente solicita que voc selecione um computador. Em seguida, ele se conecta ao provedor WMI no
computador em questo e fornece uma lista de usurios que fizeram logon nele. Voc pode selecionar
um dos usurios e ignorar a anlise de RSoP para polticas de configurao de usurio.
Depois de gerar um relatrio de RSoP com o Assistente de Resultados de Poltica de Grupo, voc poder
clicar com o boto direito do mouse no relatrio para executar novamente a consulta, imprimi-lo ou
salv-lo como ou um arquivo XML ou HTML, que mantm as sees que so expandidas e recolhidas de
forma dinmica. Voc pode abrir os dois tipos de arquivos com o Internet Explorer, para que o relatrio
de RSoP possa ser exportado para fora do GPMC.
Ao clicar com o boto direito do mouse no n do prprio relatrio, na pasta Resultados de Poltica de
Grupo na rvore de console, voc poder alternar para Modo de exibio avanado. No Modo de
exibio avanado, o RSoP exibido usando o snap-in de RSoP, que expe todas as configuraes
aplicadas inclusive polticas de IPsec, sem fio e de cota de disco.
/scomputername
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-38 Implementao de uma infraestrutura de Poltica de Grupo
Essa opo especifica o nome ou o endereo IP de um sistema remoto. Se voc usar um ponto (.) como o
nome do computador ou no incluir a opo /s, a anlise de RSoP ser executada no computador local:
Isso exibe a anlise de RSoP das configuraes de usurio ou computador. Se voc omitir a opo /scope,
a anlise de RSoP incluir as configuraes de usurio e de computador:
/userusername
/r
/v
Essa opo exibe dados de RSoP detalhados que apresentam as informaes mais significativas:
/z
Isso exibe dados superdetalhados, inclusive os detalhes de todas as configuraes de poltica aplicadas ao
sistema. Frequentemente, so mais informaes do que voc precisar para solucionar problemas tpicos
de Poltica de Grupo:
/udomain\user/ppassword
Isso fornece credenciais que esto no grupo Administradores de um sistema remoto. Sem essas
credenciais, GPResult executado com as credenciais com as quais voc est conectado:
Essa opo salva os relatrios no formato XML ou HTML. Essas opes esto disponveis no Windows Vista
Service Pack 1 (SP1), no Windows Server 2008 e no Windows 7 e Windows 8 e verses mais recentes
desses sistemas.
Antes de fazer quaisquer dessas alteraes, voc deve avaliar o impacto potencial que um usurio ou um
computador ter no RSoP. O Assistente de Resultados de Poltica de Grupo s pode realizar a anlise de
RSoP do que ocorreu realmente. Para prever o futuro e executar anlises hipotticas, voc pode usar o
Assistente para Modelagem de Poltica de Grupo.
Para executar a Modelagem de Poltica de Grupo, clique com o boto direito do mouse no n
Modelagem de Poltica de Grupo na rvore de console do GPMC, clique no Assistente para Modelagem
de Poltica de Grupo e execute as etapas do assistente.
Escolher quais filtros WMI sero aplicados na simulao do processamento de poltica de usurio e
computador.
Quando as configuraes da simulao so especificadas, gerado um relatrio muito semelhante ao
relatrio Resultados de Poltica de Grupo discutido anteriormente. A guia Resumo mostra uma viso
geral dos GPOs que sero processados, e a guia Configuraes detalha as configuraes de poltica que
sero se aplicadas ao usurio ou ao computador. Esse relatrio tambm pode ser salvo clicando nele com
o boto direito do mouse e, em seguida, escolhendo Salvar Relatrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-40 Implementao de uma infraestrutura de Poltica de Grupo
Demonstration
Esta demonstrao mostra como:
Abra o GPMC.
Etapas da demonstrao
Gpresult /t
Gpresult /h results.html
2. Especifique o usurio para o relatrio como Ed Meadows e o continer de computador como a unidade
organizacional de IT.
O log operacional da Poltica de Grupo, que fornece informaes detalhadas sobre processamento
de Poltica de Grupo.
Para localizar logs de Poltica de Grupo, abra o snap-in ou o console do Visualizador de Eventos. Os logs
de sistema e de aplicativo se encontram no n Logs do Windows. O log operacional da Poltica de Grupo
encontrado em
Voc foi solicitado a usar Poltica de Grupo para implementar configuraes de segurana padronizadas
a fim de bloquear telas de computadores quando os usurios se afastam de seus computadores por
10 minutos ou mais. Voc tambm precisa configurar uma poltica que impedir o acesso a certos
programas em estaes de trabalho locais.
Depois de algum tempo, voc soube que um aplicativo falhou na inicializao da proteo de tela, e um
engenheiro solicitou que a configurao no aplicada equipe de engenheiros de pesquisa que usa o
aplicativo diariamente. Tambm solicitaram que voc configurasse os computadores de sala de
conferncia para usarem um tempo limite de 45 minutos.
Depois de criar as polticas, voc precisa avaliar o conjunto de polticas resultante para os usurios em seu
ambiente, a fim de garantir que a infraestrutura de Poltica de Grupo tenha sido otimizada e que todas as
polticas tenham sido aplicadas da maneira planejada.
Objetivos
Gerenciar GPOs.
Configurao do laboratrio
Tempo previsto: 90 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-43
b. Senha: Pa$$w0rd
c. Domnio: Adatum
2. Vincular o GPO.
6. Habilite a configurao de poltica Proteger com senha a proteo de tela e feche a janela Editor
de Gerenciamento de Poltica de Grupo.
2. Tente alterar o tempo de espera da proteo de tela e retomar as configuraes. Voc no poder
fazer isso pela Poltica de Grupo.
3. Tente executar o Bloco de Notas. Voc no poder fazer isso pela Poltica de Grupo.
Resultados: Aps este exerccio, voc ter criado, editado e vinculado os GPOs necessrios com xito.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-44 Implementao de uma infraestrutura de Poltica de Grupo
5. Configure a delegao de GPO para negar a permisso Aplicar Poltica de Grupo ao grupo
GPO_ADATUM Standards_Exempt.
6. Confirme que o escopo do GPO Polticas de Sala de Conferncia est definido para Usurios
Autenticados.
7. Edite o GPO Polticas de Sala de Conferncia e modifique a poltica Tempo limite de Proteo
de Tela para iniciar a proteo de tela depois de 45 minutos.
Resultados: Aps este exerccio, voc ter configurado com xito o escopo necessrio dos GPOs.
3. Avaliar os resultados dos GPOs usando o Assistente para Modelagem de Poltica de Grupo.
3. Execute o comando gpupdate /force. Terminado o comando, anote a hora do sistema atual porque
voc precisar dessa informao em uma tarefa futura deste laboratrio:
Time: ____________________________________
4. Reinicialize o computador LON-CL1 e aguarde que ela seja reiniciada antes de passar para a prxima
tarefa.
6. Use o Assistente de Resultados de Poltica de Grupo para executar um relatrio de RSoP para Pat
em LON-CL1.
8. Clique na guia Detalhes. Revise as configuraes que foram aplicadas durante a aplicao de poltica
de usurio e computador e identifique o GPO do qual as configuraes foram obtidas.
9. Clique na guia Eventos de Polticas e localize o evento que registra em log a atualizao de poltica
voc disparou com o comando GPUpdate na Tarefa 1.
10. Clique na guia Resumo, clique com o boto direito do mouse na pgina e escolha Salvar Relatrio.
Salve o relatrio como um arquivo HTML na sua rea de trabalho. Em seguida, abra o relatrio de
RSoP da rea de trabalho.
3. Digite gpresult /v e pressione Enter. gerado um relatrio de RSoP mais detalhado. Observe que
muitas das configuraes de Poltica de Grupo aplicadas pelo cliente esto listadas nesse relatrio.
6. Abra o relatrio de RSoP salvo na rea de trabalho. Compare o relatrio, suas informaes e a
formatao com o relatrio de RSoP que voc salvou na tarefa anterior.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-47
7. Na guia Resumo, role a tela e, se necessrio, expanda Detalhes do Usurio, Objetos de Poltica de
Grupo e GPOs Aplicados.
8. Verifique se o GPO Polticas de Sala de Conferncia se aplica a Mike como uma poltica de usurio
quando ele fizer logon em LON-CL1 se LON-CL1 estiver na UO Salas de Conferncia.
4. Localize e revise os eventos de Poltica de Grupo no log de aplicativo. Revise os eventos e identifique
os eventos de Poltica de Grupo inseridos nesse log. Quais eventos esto relacionados com a
aplicao de Poltica de Grupo e quais esto relacionados com as atividades que voc executou para
gerenciar Poltica de Grupo? Observe que, dependendo do tempo que a mquina virtual est em
execuo, talvez voc no tenha Eventos de Poltica de Grupo no log do aplicativo.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de RSoP com xito para verificar a
aplicao correta de seus GPOs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
5-48 Implementao de uma infraestrutura de Poltica de Grupo
Resultados: Depois deste exerccio, voc dever ter executado com xito tarefas de gerenciamento
comuns em seus GPOs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 5-49
Ferramentas
Ferramenta Use para Onde encontrar
Mdulo 6
Gerenciamento de reas de trabalho de usurios
com Poltica de Grupo
Contedo:
Viso geral do mdulo 6-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever e implementar Modelos Administrativos.
Lio 1
Implementao de modelos administrativos
Os arquivos de Modelo Administrativo fornecem a maioria das configuraes do GPO disponveis que
modificam chaves de registro especficas. O uso de Modelos Administrativos s vezes chamado de
poltica baseada em registro. Para muitos aplicativos, o uso de poltica baseada em registro que os
arquivo de Modelo Administrativo fornecem o modo mais simples e melhor para suportar o
gerenciamento centralizado de configuraes de poltica. Nesta lio, voc aprender a configurar os
Modelos Administrativos.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Algumas configuraes existem para o usurio e o computador. Por exemplo, h uma configurao
para impedir que o Windows Messenger seja executado nos modelos do usurio e do computador.
No caso de conflitos nas configuraes, a configurao do computador prevalece.
Algumas configuraes somente esto disponveis para certas verses dos sistemas operacionais
Windows. Por exemplo, voc pode aplicar um nmero de configuraes novas apenas ao Windows 7
e verses mais recentes do sistema operacional Windows. Clicar duas vezes nas configuraes exibe
as verses suportadas pela configurao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 6-3
Arquivos ADM
Tradicionalmente, os arquivos ADM foram usados
para definir as configuraes que um
administrador pode configurar atravs da Poltica
de Grupo. Cada sistema operacional Windows
sucessivo e pacote de servio incluiu uma verso
mais recente desses arquivos. Os arquivos ADM
usam sua prpria linguagem de marcao.
Portanto, difcil personalizar os arquivos ADM.
Os modelos ADM esto localizados na pasta
%SystemRoot%\Inf.
A principal desvantagem dos arquivos ADM que eles so copiados em cada GPO que criado e
consomem aproximadamente 3 megabytes (MB) de espao. Isso pode fazer com que a pasta Volume de
Sistema (SYSVOL) fique muito grande e aumente o trfego de replicao.
Arquivos ADMX
O Windows Vista e o Windows Server 2008 introduziram um novo formato para exibir configuraes
de poltica baseadas em registro. Essas configuraes so definidas usando um formato de arquivo XML
baseado em padres conhecido como arquivos ADMX. Esses arquivos novos substituem os arquivos ADM.
As ferramentas de Poltica de grupo no Windows Vista e nos sistemas operacionais mais novos e no
Windows Server 2008 continuam reconhecendo os arquivos ADM personalizados que voc possui em seu
ambiente, mas ignoram qualquer arquivo ADM que os arquivos ADMX substituram. Diferente dos
arquivos ADM, os arquivos ADMX no so armazenados em GPOs individuais. O Editor de GPO faz a
leitura e exibe as configuraes automaticamente do repositrio de arquivo ADMX local. Por padro, os
arquivos so armazenados na pasta Windows\PolicyDefinitions, mas eles podem ser armazenados em um
local central.
Os arquivos ADMX apresentam um idioma neutro. As descries de idioma simples das configuraes no
fazem parte dos arquivos ADMX. Eles so armazenados em arquivos ADML especficos do idioma. Isso
significa que administradores que falam idiomas diferentes, como ingls e espanhol, podem consultar o
mesmo GPO e ver as descries da poltica em seu prprio idioma, porque eles podem usar seus prprios
arquivos ADML especficos para o seu idioma. Os arquivos ADML so armazenados em uma subpasta da
pasta PolicyDefinitions. Por padro, apenas os arquivos de idioma ADML para o idioma do sistema
operacional instalado so adicionados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-4 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
O repositrio central
Para empresas baseadas em domnio, voc pode
criar um local de repositrio central de arquivos
ADMX, que todos que possuem permisses para
criar ou editar GPOs podem acessar. O Editor de
GPO no Windows Vista e no Windows Server 2008
(ou mais recente) faz a leitura e exibe as
configuraes de poltica do Modelo
Administrativo automaticamente de todos os
arquivos ADMX que o repositrio central
armazena em cache e ignora os que esto
armazenados localmente. Se o controlador de
domnio no estiver disponvel, o repositrio local
ser usado.
Voc deve criar o repositrio central e atualiz-lo manualmente no controlador de domnio. O uso de
arquivos ADMX dependente do sistema operacional do computador onde voc est criando ou
editando o GPO. Portanto, o controlador de domnio pode ser um servidor com o Windows 2000 ou mais
recente. O Servio de Replicao de Arquivos (FRS) no replicar o controlador de domnio para os outros
controladores daquele domnio. Dependendo da configurao e do sistema operacional de seu servidor,
voc pode usar FRS ou Replicao do Sistema de Arquivos Distribudo (DFS-R) para replicar os dados.
Para criar um repositrio central para os arquivos .admx e .adml, crie uma pasta chamada
PolicyDefinitions no seguinte local: \\FQDN\SYSVOL\FQDN\policies
Por exemplo, para criar um repositrio central para o domnio Test.Microsoft.com, crie uma pasta
PolicyDefinitions no seguinte local: \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Policies
Um usurio deve copiar todos os arquivos e subpastas da pasta PolicyDefinitions. A pasta
PolicyDefinitions em um computador baseado em Windows 7 reside na pasta Windows. A pasta
PolicyDefinitions armazena todos os arquivos .admx e .adml para todos os idiomas que esto habilitados
no computador cliente.
Observao: Voc deve atualizar o PolicyDefintions para cada pacote de servio e para
outro software adicional, como os arquivos ADMX do Microsoft Office 2010.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 6-5
2. Para localizar uma poltica especfica, selecione a caixa de seleo Habilitar Filtros de Palavra-
chave, insira as palavras pelas quais filtrar e selecione os campos dentro dos quais pesquisar.
Voc tambm pode filtrar por configuraes de Poltica de Grupo que aplicam-se a verses especficas do
Windows, Windows Internet Explorer e outros componentes do Windows.
uma prtica recomendada adicionar comentrios a configuraes de poltica configuradas. Voc deve
documentar a justificao para uma configurao e o seu efeito desejado. Voc tambm deve adicionar
comentrios ao prprio GPO. O Windows Server 2012 permite anexar comentrios a um GPO. No Editor
de Gerenciamento de Poltica de Grupo, na rvore de console, clique com o boto direito do mouse no
n da raiz, clique em Propriedades e clique na guia Comentrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-6 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Voc pode copiar e colar GPOs inteiros no continer Objetos de Poltica de Grupo do GPMC, de
forma que voc tenha um novo GPO com todas as configuraes do GPO de origem.
Para transferir configuraes entre GPOs em domnios ou florestas diferentes, clique com o boto
direito do mouse em um GPO e clique em Fazer backup. No domnio de destino, crie um novo GPO,
clique com o boto direito do mouse em GPO e clique em Importar Configuraes. Voc poder
importar as configuraes do GPO de backup.
Etapas da demonstrao
5. Filtre as configuraes para exibir somente as que possuem as palavras-chave proteo de tela.
2. Adicione um comentrio aos valores Proteger com senha a proteo de tela e Habilitar a
proteo de tela.
Crie um novo GPO importando configuraes que foram exportadas de outro GPO
1. Fazer backup de GPO1.
Lio 2
Configurao do redirecionamento de pasta e scripts
No Windows Server 2012, voc pode usar GPOs para implantar scripts em usurios e computadores. Voc
tambm pode redirecionar pastas que esto includas no perfil do usurio para um servidor central. Esses
recursos permitem configurar as configuraes de rea de trabalho dos usurios mais facilmente e, onde
desejvel, criar um ambiente de rea de trabalho padronizado que satisfaz suas necessidades
organizacionais.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Aps redirecionar uma pasta para um servidor de arquivos, ela ainda aparecer para o usurio como
se estivesse armazenada no disco rgido local.
Voc pode usar a tecnologia de arquivo offline junto com redirecionamento para sincronizar dados
na pasta redirecionada para o disco rgido local do usurio. Isso garante que os usurios tero acesso
aos seus dados se uma interrupo de rede ocorrer ou se o usurio estiver trabalhando offline.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 6-9
Os usurios que entram em vrios computadores podem acessar os seus dados contanto que eles
possam acessar o compartilhamento de rede.
As pastas offline permitem que os usurios acessem seus dados mesmo se eles sarem da rede local
(LAN).
Tamanho de perfil de roaming pode ser reduzido consideravelmente por meio do redirecionamento
de dados a partir do perfil.
Avanado. Voc pode usar o redirecionamento avanado para especificar locais de rede diferentes
para os grupos de segurana do Active Directory.
Siga a pasta Documents. O redirecionamento de pasta Siga a pasta Documents est disponvel
somente para imagens, msicas e vdeos. Essa configurao torna a pasta afetada uma subpasta da
pasta Documents.
Criar uma pasta para cada usurio no caminho raiz. Essa opo criar uma pasta no formulrio
\\server\share\User Account Name\Folder Name. Por exemplo, se voc desejar armazenar as
configuraes de rea de trabalho de seus usurios em uma pasta compartilhada chamada
Documents, em um servidor chamado LON-DC1, voc pode definir o caminho de raiz como \\lon-
dc1\Documents.
Cada usurio tem um caminho exclusivo para a pasta redirecionada para assegurar a privacidade dos
dados. Por padro, esse usurio recebe direitos exclusivos em relao pasta. No caso da pasta
Documents, o contedo atual da pasta movido para o novo local.
Redirecionar para o seguinte local. Essa opo usa um caminho explcito para o local de
redirecionamento. Faz com que vrios usurios compartilhem o mesmo caminho para a pasta
redirecionada. Por padro, esse usurio recebe direitos exclusivos em relao pasta. No caso da
pasta Documents, o contedo atual da pasta movido para o novo local.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-10 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Redirecionar para localizao de perfil de usurio local. Essa opo move o local da pasta para o perfil
do usurio local sobre a pasta Usurios.
Redirecionar para o diretrio base do usurio. Essa opo est disponvel somente para a pasta
Documents.
Se criar pastas manualmente, voc precisar conhecer as permisses corretas. O slide ilustra essas
permisses.
Etapas da demonstrao
4. Verifique se o local da Pasta de destino est configurado para Criar uma pasta para cada usurio
no caminho raiz.
Outras configuraes da Poltica de Grupo controlam como os scripts so executados. Por exemplo, se
vrios scripts forem atribudos, voc poder controlar se eles sero executados sincronicamente ou de
forma assncrona.
Voc pode escrever scripts em qualquer linguagem de scripts que o cliente Windows possa interpretar,
como o VBScript, Jscript ou comando simples ou arquivos em lotes.
Os scripts so armazenados em pastas compartilhadas na rede. Voc precisa assegurar que o cliente
tenha acesso a esse local de rede. Se os clientes no puderem acessar o local de rede, os scripts no sero
executados. Embora qualquer local de rede armazene scripts, como uma prtica recomendada, use o
compartilhamento Netlogon porque todos os usurios e computadores que so autenticados para os
Servios de Domnio Active Directory (AD DS) tm acesso a este local.
Para muitas dessas configuraes, o uso das preferncias de Poltica de Grupo uma alternativa melhor
do que configur-las nas imagens do Windows ou usando scripts de logon. As preferncias de Poltica de
Grupo sero explicadas com mais detalhes posteriormente neste mdulo.
Etapas da demonstrao
Criar um script de logon para mapear uma unidade de rede
1. Em LON-DC1, inicie o Bloco de Notas e digite o seguinte comando:
3. Saia de LON-CL1.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-14 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Lio 3
Configurao de preferncias de Poltica de Grupo
Em verses do Windows Server anteriores, no era possvel usar Polticas de Grupo para controlar
configuraes comuns que afetam o ambiente do usurio e do computador, como unidades mapeadas.
Normalmente, essas configuraes eram fornecidas pelos scripts de logon ou solues de gerao de
imagens.
Porm, o Windows Server 2012 inclui as preferncias de Poltica de Grupo embutidas no GPMC, o que
permite que configuraes como unidades mapeadas possam ser fornecidas atravs da Poltica de Grupo.
Alm disso, voc pode configurar preferncias instalando as RSAT (Ferramentas de Administrao de
Servidor Remoto) em um computador que esteja executando o Windows 7 ou o Windows 8. Isso lhe
permite fornecer muitas configuraes comuns usando a Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever preferncias de poltica de grupo.
Opes de pasta
Mapas de unidade
Impressoras
Tarefas Agendadas
Servios
Menu Iniciar
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 6-15
As configuraes de preferncia no so
impostas.
O usurio final pode alterar qualquer configurao de preferncia que aplicada atravs da Poltica
de Grupo, mas as configuraes de politica no deixam os usurios alter-las.
Em alguns casos, voc pode configurar as mesmas configuraes atravs de uma configurao de
poltica, assim como um item de preferncia. Se configuraes de Poltica de Grupo e de preferncia
conflitantes forem configuradas e aplicadas ao mesmo objeto, o valor da configurao de poltica
sempre ser aplicado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-16 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Interromper o processamento de itens nessa extenso se ocorrer um erro. Se um erro ocorrer durante o
processamento de uma preferncia, nenhuma outra preferncia neste GPO ser processada.
Executar no contexto de segurana de usurio conectado. As preferncias podem ser executadas como
a conta Sistema ou o usurio conectado. Essa configurao fora o contexto do usurio conectado.
Remover esse item quando ele no for mais aplicvel. Ao contrrio das configuraes de poltica, as
preferncias no so removidas quando o GPO que a forneceu removido. Essa configurao alterar
esse comportamento.
o Nome do computador
o Intervalo de endereos IP
o Sistema operacional
o Grupo de segurana
o Usurio
Indique a preferncia.
Configurar uma nova pasta com preferncias de Poltica de Grupo.
Indique a preferncia.
Testar a preferncia.
Etapas da demonstrao
Indique a preferncia
Indique a preferncia para o computador, LON-CL1.
Indique a preferncia
Indique essa preferncia para computadores que esto executando o sistema operacional Windows 8.
Teste as preferncias
1. Alterne para LON-CL1 e atualize as polticas de grupo usando o comando a seguir no prompt de
comando:
gpupdate /force
2. Entre e verifique a presena da pasta C:\Reports e o atalho do Bloco de Notas na rea de Trabalho.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-18 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Lio 4
Gerenciamento de software com Poltica de Grupo
O Windows Server 2012 inclui um recurso chamado Instalao e manuteno de software que o AD DS, a
Poltica de Grupo, e o servio Windows Installer usam para instalar, manter e remover um software dos
computadores da organizao. Nesta lio, voc aprender a gerenciar software com Poltica de Grupo.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever como a distribuio de software de Poltica de Grupo aborda o ciclo de vida do software.
Atribuindo o software
A atribuio de software tem as seguintes caractersticas:
Quando voc atribui software a um usurio, ele anunciado no menu Iniciar do usurio quando ele
faz logon. A instalao s iniciar depois que o usurio clicar duas vezes no cone do aplicativo ou em
um arquivo associado a ele.
Quando voc atribui um aplicativo a um computador, o aplicativo instalado na prxima vez que o
computador iniciado. O aplicativo estar disponvel a todos os usurios do computador.
Publicando o software
A publicao de software tem as seguintes caractersticas:
Observao: Ao configurar a Poltica de Grupo para implantar aplicativos, eles devem ser
mapeados para caminhos UNC. Se voc usar caminhos locais, a implantao falhar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 6-21
Voc poder reimplantar um pacote se o arquivo do Windows Installer original tiver sido modificado.
Voc poder remover pacotes de software se eles foram fornecidos originalmente usando a Poltica
de Grupo. Isso til se um aplicativo de linha de negcios (LOB) estiver sendo substitudo por um
outro aplicativo. A remoo pode ser obrigatria ou opcional.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-22 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
A. Datum acabou de abrir uma nova filial. Os usurios neste escritrio requerem um mtodo
automatizado para mapear unidades para recursos de servidor compartilhados, e voc decide usar as
preferncias de Poltica de Grupo. Alm disso, lhe pediram que crie um atalho para o aplicativo Bloco de
Notas para todos os usurios que pertencem ao grupo de segurana de IT. Para ajudar a minimizar os
tamanhos do arquivo, lhe pediram para configurar redirecionamento de pasta para redirecionar vrias
pastas de perfil unidade de incio de cada usurio.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Implementar configuraes usando as preferncias de Poltica de Grupo
Configurao do laboratrio
Tempo previsto: 45 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
o Domnio: ADATUM
4. Teste as preferncias
o Caminho: C:\Branch1
o Nome do compartilhamento: Branch1
5. Na rea de trabalho, copie o arquivo na rea de Transferncia. Voc colar o arquivo posteriormente
na pasta apropriada no laboratrio.
o Ao: Criao
4. Saia de LON-CL1.
9. Saia de LON-CL1.
Resultados: Depois desse exerccio, voc deve ter criado os scripts e as configuraes de preferncia
requeridas com sucesso, e depois atribudo-os usando os GPOs.
o Caminho: C:\Branch1\Redirect
3. Verifique se o local da Pasta de destino est configurado para Criar uma pasta para cada usurio
no caminho raiz.
6. Clique com o boto direito do mouse na rea de trabalho e use o menu Personalizar para ativar
Arquivos de Usurio na rea de trabalho.
7. Na rea de trabalho, abra a pasta Holly Dickson.
9. Na caixa de dilogo Propriedades de Meus Documentos, observe que o local da pasta agora o
compartilhamento de rede em uma subpasta nomeada para o usurio.
10. Se o redirecionamento da pasta no for evidente, saia, e entre como ADATUM\Holly com a senha
Pa$$word. Repita as etapas de 7 a 9.
11. Saia de LON-CL1.
Resultados: Depois deste exerccio, voc deve ter configurado o redirecionamento de pasta com xito
para uma pasta compartilhada no servidor de LON-DC1.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
6-26 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
Use um repositrio central para Modelos Administrativos se tiver clientes com o Windows Vista, o
Windows 7 e o Windows 8
Use preferncias de Poltica de Grupo para definir configuraes que no esto disponveis no
conjunto de configuraes de Poltica de Grupo
Use instalao de software de Poltica de Grupo para implantar pacotes no formato .msi em um
grande nmero de usurios ou computadores
Perguntas de reviso
Pergunta: Por que algumas configuraes de Poltica de Grupo precisam de dois logons para
entrarem em vigor?
Pergunta: Como voc pode suportar preferncias de Poltica de Grupo no Windows XP?
Pergunta: Voc pode usar scripts do Windows PowerShell como scripts de inicializao?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-1
Mdulo 7
Configurao e soluo de problemas de acesso remoto
Contedo:
Viso geral do mdulo 7-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar o DirectAccess.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-2 Configurao e soluo de problemas de acesso remoto
Lio 1
Configurao do acesso rede
O acesso rede no sistema operacional Windows Server 2012 fornece os servios obrigatrios que
permitem aos usurios remotos se conectarem rede. Para dar suporte s necessidades da organizao e
dos usurios remotos, importante que voc consiga instalar e configurar esses componentes de acesso
rede do Windows Server 2012 com xito.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como servidores DHCP (Dynamic Host Configuration Protocol) so usados com o servio de
roteamento e acesso remoto.
AD CS (Servios de Certificados do Active Directory). possvel usar certificados digitais para fornecer
autenticao em cenrios de acesso remoto. Implantando o AD CS, possvel criar uma PKI na
organizao para dar suporte ao problema, ao gerenciamento e revogao de certificados.
Servidor DHCP. Fornece conexes de acesso remoto de entrada aceitas com uma configurao de IP
para conectividade de rede com a LAN (rede local) corporativa.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-3
NPS (Servidor de Polticas de Rede). Fornece servios de autenticao para outros componentes de
acesso rede.
o Servidores de atualizaes. Fornece servios de correo para os clientes que no atenderem aos
requisitos de integridade da rede corporativa. Os Servidores de Atualizaes so servidores
especiais em uma rede limitada.
Centraliza o gerenciamento de polticas de rede com servidor e proxy RADIUS (Remote Authentication
Dial-in User Service). Em vez de configurar a poltica de acesso rede em cada servidor de acesso
rede (como pontos de acesso sem fio, opes de autenticao 802.1X, servidores VPN e servidores de
discagem), possvel criar polticas em um nico local que especifiquem todos os aspectos das
solicitaes de conexo rede. Entre essas polticas esto quem tem autorizao para se conectar,
quando eles podem se conectar e o nvel de segurana que devem usar para se conectar rede.
DirectAccess. O DirectAccess permite acesso remoto contnuo a recursos de intranet sem que o
usurio estabelea primeiro uma conexo VPN. O DirectAccess assegura conectividade contnua
infraestrutura do aplicativo para usurios internos e remotos.
DirectAccess e RAS (servio de acesso remoto) VPN. Usando DirectAccess e RAS VPN, possvel
habilitar e configurar:
o Conexes VPN para dar aos usurios finais acesso remoto rede da organizao.
Roteamento. Ele fornece um roteador de software completo e uma plataforma aberta para
roteamento e trabalho na Internet. Ele oferece servios de roteamento para as empresas em
ambientes de LAN e WAN (rede de longa distncia).
Quando voc opta pelo roteamento, a NAT (converso de endereos de rede) tambm instalada.
Quando voc implanta a NAT, o servidor que est executando Acesso Remoto configurado para
compartilhar uma conexo de Internet com computadores em uma rede privada e converter o
trfego entre o endereo pblico e a rede privada. Usando a NAT, os computadores na rede privada
obtm certo nvel de proteo, pois o roteador em que voc configura a NAT no encaminha o
trfego da Internet para a rede privada, a menos que um cliente da rede privada solicite ou o trfego
seja explicitamente permitido.
Ao implantar a VPN e a NAT, voc configura o servidor que est executando o Acesso Remoto para
oferecer a NAT rede privada e aceitar conexes VPN. Os computadores na Internet no podero
determinar os endereos IP de computadores na rede privada. No entanto, os clientes VPN podero se
conectar aos computadores na rede privada, como se estivessem fisicamente conectados mesma rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-5
Para que uma tentativa de conexo seja aceita, ela deve ser autenticada e autorizada. possvel que a
tentativa de conexo seja autenticada usando credenciais vlidas, mas no seja autorizada; nesse caso, a
tentativa de conexo negada.
Se voc configurar um servidor Acesso Remoto para autenticao RADIUS, as credenciais da tentativa de
conexo passaro ao servidor RADIUS para fins de autenticao e autorizao. Se a tentativa de conexo
for autenticada e autorizada, o servidor RADIUS enviar uma mensagem de aceitao para o servidor
Acesso Remoto, e essa tentativa de conexo ser aceita. Se a tentativa de conexo no for autenticada
nem autorizada, o servidor RADIUS retornar uma mensagem de rejeio para o servidor Acesso Remoto,
e essa tentativa de conexo ser rejeitada.
Mtodos de autenticao
A autenticao dos clientes de acesso uma
questo de segurana importante. Normalmente,
os mtodos de autenticao utilizam um
protocolo de autenticao que negociado
durante o processo de estabelecimento da
conexo. Os mtodos a seguir tm suporte da
funo Acesso Remoto.
PAP
O PAP (Password Authentication Protocol) usa
senhas de texto sem formatao e o protocolo
de autenticao menos seguro. Ele normalmente
ser negociado se o cliente de acesso remoto e o
servidor Acesso Remoto no conseguirem negociar uma forma de validao mais segura. PAP est
includo no Microsoft Windows Server 2012 para dar suporte a sistemas operacionais de clientes mais
antigos no compatveis com nenhum outro mtodo de autenticao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-6 Configurao e soluo de problemas de acesso remoto
CHAP
O CHAP (Challenge Handshake Authentication Protocol) um protocolo de autenticao de
desafio/resposta que usa o esquema de hash MD5 padro do setor para criptografar a resposta. Diversos
fornecedores de servidores e clientes de acesso rede utilizam o CHAP. Como o CHAP exige o uso de
uma senha de criptografia reversvel, voc deve considerar o uso de outro protocolo de autenticao,
como o MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) verso 2.
MS-CHAP V2
O MS-CHAP v2 um processo de autenticao mtua unidirecional, de senha criptografada, que funciona
da seguinte forma:
1. O autenticador (o servidor Acesso Remoto ou o computador que est executando NPS) envia um
desafio ao cliente de acesso remoto. O desafio consiste em um identificador de sesso e em uma
cadeia de caracteres de desafio arbitrria.
2. O cliente de acesso remoto envia uma resposta que contm uma criptografia unidirecional da cadeia
de caracteres de desafio recebida, da cadeia de caracteres de desafio par, do identificador da sesso e
da senha do usurio.
3. O autenticador verifica a resposta do cliente e envia de volta uma resposta contendo uma indicao
de xito ou falha da tentativa de conexo e uma resposta autenticada baseada na cadeia de
caracteres de desafio enviada, na cadeia de caracteres de desafio par, na resposta criptografada do
cliente e na senha do usurio.
4. O cliente de acesso remoto verifica a resposta da autenticao e, se estiver correta, utiliza a conexo.
Se a resposta da autenticao no estiver correta, o cliente de acesso remoto encerrar a conexo.
EAP
Com o EAP (Extensible Authentication Protocol), um mecanismo de autenticao arbitrrio autentica uma
conexo de acesso remoto. O cliente de acesso remoto e o autenticador (seja o servidor Acesso Remoto
ou o servidor RADIUS) negociam o esquema de autenticao exato a ser usado. Por padro, o servio
Roteamento e Acesso Remoto inclui suporte para o protocolo EAP-TLS (EAP-Transport Level Security).
Voc pode conectar outros mdulos EAP ao servidor que est executando o Roteamento e Acesso
Remoto para fornecer outros mtodos EAP.
Outras opes
Alm dos mtodos de autenticao mencionados anteriormente, existem outras duas opes que
possvel habilitar durante a seleo de um mtodo de autenticao:
Certificado de mquina para IKEv2 (Internet Key Exchange verso 2). Selecione esta opo caso voc
queira usar Reconexo VPN.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-7
o Os respondentes online fazem parte do servio de funo OCSP (Online Certificate Status
Protocol) no Windows Server 2008 e no Windows Server 2012. Um respondente online pode
receber uma solicitao para verificar a revogao de um certificado sem exigir que o cliente
baixe toda a CRL. Isso acelera a verificao de revogao de certificado e reduz a largura de
banda da rede. Isso tambm aumenta a escalabilidade e a tolerncia a falhas possibilitando a
configurao da matriz dos respondentes online.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-8 Configurao e soluo de problemas de acesso remoto
Servios e aplicativos pblicos baseados em chave. Diz respeito a aplicativos ou servios que do
suporte criptografia de chave pblica. Em outras palavras, o aplicativo ou os servios devem ser
capazes de dar suporte a implementaes de chave pblica para receber os benefcios.
o Configurar ACs.
AIA (acesso s informaes da autoridade) e CDPs (pontos de distribuio de CRL). Os pontos AIA
determinam o local onde os certificados AC podem ser localizados e validados, e os locais CDP
determinam os pontos onde as listas de revogao de certificados podem ser encontradas durante o
processo de validao de certificados. Como as CRLs podem aumentar (dependendo do nmero de
certificados emitidos e revogados por uma AC), voc tambm pode publicar CRLs menores e interinas
chamadas CRLs delta. As CRLs delta contm apenas os certificados revogados desde a publicao da
ltima CRL regular. Isso permite que os clientes recuperem as CRLs delta menores e compilem mais
rapidamente uma lista completa de certificados revogados. O uso de CRLs delta tambm permite a
publicao de dados de revogao com mais frequncia, j que o tamanho de uma CRL delta
significa que ela normalmente no exige tanto tempo de transferncia quanto uma CRL completa.
HSM (mdulo de segurana de hardware). Um mdulo de segurana de hardware um dispositivo
opcional seguro de hardware criptogrfico que acelera o processamento criptogrfico de
gerenciamento de chaves digitais. Ele um armazenamento especializado de alta segurana,
conectado AC para gerenciar os certificados. Um HSM costuma estar conectado fisicamente a um
computador. Este um complemento opcional na PKI e mais usado em ambientes de alta
segurana em que poderia haver um grande impacto caso uma chave fosse comprometida.
Nos ambientes de LAN, os clientes DHCP negociam e recebem as seguintes informaes de configurao,
totalmente baseadas nas configuraes definidas no console DHCP para o servidor DHCP:
Parmetros adicionais e outras informaes de configurao fornecidas pelas opes DHCP atribudas
na concesso do endereo. Os valores e a lista de opes correspondem aos tipos de opo
configurados e atribudos no servidor DHCP.
Ao fornecer a configurao dinmica para os clientes de acesso remoto, o servidor Acesso Remoto realiza
primeiramente as seguintes etapas:
1. Quando o servidor que est executando Acesso Remoto inicializado com a opo Usar DHCP para
atribuir endereos TCP/IP remotos, ele instrui o cliente DHCP a obter dez endereos IP de um
servidor DHCP.
2. O servidor Acesso Remoto usa o primeiro desses dez endereos IP obtidos no servidor DHCP para a
interface do servidor Acesso Remoto.
3. Os nove endereos restantes so alocados para clientes baseados no TCP/IP ao discarem para
estabelecer uma sesso com o servidor Acesso Remoto.
Os endereos IP liberados com a desconexo dos clientes de acesso remoto so reutilizados. Quando
todos os dez endereos IP forem utilizados, o servidor Acesso Remoto obter outros dez de um servidor
DHCP. Quando o servio Roteamento e Acesso Remoto for parado, todos os endereos IP obtidos por
meio do DHCP sero liberados.
Ao usar esse tipo de cache pr-ativo de concesses de endereos DHCP para clientes de conexo discada,
o servidor Acesso Remoto registra as seguintes informaes para cada resposta de concesso obtida do
servidor DHCP:
O endereo IP concedido pelo cliente (para distribuio posterior ao cliente de Roteamento e Acesso
Remoto).
A durao da concesso.
Todas as outras informaes da opo DHCP que o servidor DHCP retorna (como as opes de servidor,
escopo e reserva) so descartadas. Ao discar para o servidor e solicitar um endereo IP (ou seja, quando a
opo Usar endereo IP atribudo pelo servidor selecionada), o cliente utiliza uma concesso do DHCP
armazenada no cache para fornecer ao cliente de conexo discada uma configurao dinmica de
endereos IP.
Quando o endereo IP fornecido ao cliente de conexo discada, o cliente desconhece que o endereo IP
foi obtido por meio desse processo intermedirio entre o servidor DHCP e o servidor Acesso Remoto. O
servidor Acesso Remoto mantm a concesso em nome do cliente. Portanto, a nica informao que o
cliente recebe do servidor DHCP o endereo IP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-10 Configurao e soluo de problemas de acesso remoto
Nos ambientes de conexo discada, os clientes DHCP negociam e recebem a configurao dinmica
atravs do seguinte comportamento modificado:
Observao: Os servidores DHCP que executam o Windows Server 2012 fornecem uma classe
de usurio predefinida a Classe de Roteamento e Acesso Remoto Padro para atribuir opes
fornecidas apenas aos clientes de Roteamento e Acesso Remoto. Para atribuir essas opes, voc deve
criar uma poltica DHCP com uma condio da Classe de Usurio Igual Classe de Roteamento e
Acesso Remoto Padro. Em seguida, configure as opes obrigatrias.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-11
Lio 2
Configurao do acesso VPN
Para implementar corretamente um ambiente VPN e dar suporte a ele dentro da organizao,
importante que voc compreenda como selecionar um protocolo de encapsulamento apropriado, como
configurar a autenticao VPN e definir a funo de servidor Servios de Acesso e Poltica de Rede para
dar suporte configurao escolhida.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o que uma conexo VPN e como ela usada para conectar clientes de redes remotas.
Descrever os protocolos de encapsulamento usados em uma conexo VPN.
Descrever a reconexo VPN.
Descrever os requisitos de configurao para uma conexo VPN.
Explicar como configurar o acesso VPN.
Descrever tarefas adicionais que possvel concluir aps a configurao de um servidor VPN.
Descrever os recursos e os benefcios do Kit de Administrao do Gerenciador de conexes.
Explicar como criar um perfil de conexo usando o Kit de Administrao do Gerenciador de conexes.
Acesso remoto
Site a site
Uma conexo VPN site a site conecta duas partes de uma rede privada. O servidor VPN fornece uma
conexo roteada para a rede qual ele est vinculado. O roteador de chamada (o cliente VPN) se
autentica no roteador de resposta (o servidor VPN) e, para ocorrer a autenticao mtua, o roteador de
resposta se autentica no roteador de chamada. Em uma conexo VPN site a site, os pacotes enviados
de ambos os roteadores atravs da conexo VPN geralmente no se originam nos roteadores.
Autenticao. A autenticao para conexes VPN usa estas trs formas diferentes:
o Autenticao no nvel de usurio usando a autenticao PPP. Para estabelecer a conexo VPN,
o servidor VPN autentica o cliente VPN que est tentando a conexo usando um mtodo de
autenticao PPP no nvel de usurio e verifica se o cliente VPN tem a autorizao adequada. Se
a autenticao mtua for utilizada, o cliente VPN tambm autenticar o servidor VPN, o que
fornecer proteo contra computadores que estejam se passando por servidores VPN.
o Autenticao no nvel de computador usando o protocolo IKE. Para estabelecer uma associao
de segurana IPsec, o cliente VPN e o servidor VPN utilizam o protocolo IKE para trocar
certificados de computador ou uma chave pr-compartilhada. Em ambos os casos, o cliente e o
servidor VPN se autenticam mutuamente, no nvel de computador. A autenticao por
certificados de computador recomendvel por ser um mtodo de autenticao muito mais
seguro. A autenticao no nvel de computador s executada para as conexes L2TP/IPsec.
o Autenticao da origem de dados e integridade de dados. Para que seja possvel verificar se os
dados enviados na conexo VPN se originaram na outra extremidade da conexo e no foram
modificados em trnsito, os dados contm uma soma de verificao criptogrfica baseada em
uma chave de criptografia conhecida apenas pelo emissor e pelo receptor. A autenticao da
origem de dados e a integridade de dados s esto disponveis para as conexes L2TP/IPsec.
Criptografia de dados. Para garantir a confidencialidade dos dados quando eles percorrerem a rede
de trnsito compartilhado ou pblico, o emissor criptografa os dados e o receptor os descriptografa.
Os processos de criptografia e descriptografia dependem do uso de uma chave de criptografia
comum ao emissor e ao receptor.
Os pacotes interceptados na rede de trnsito so ilegveis para quem no tem a chave de criptografia
comum. O tamanho da chave de criptografia um parmetro de segurana importante. Voc pode
utilizar tcnicas computacionais para determinar a chave de criptografia. Entretanto, com o aumento
do tamanho das chaves de criptografia, essas tcnicas exigem mais poder tecnolgico e tempo
computacional. Sendo assim, importante utilizar o maior tamanho possvel de chave para assegurar
a confidencialidade dos dados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-13
PPTP
O PPTP permite criptografar e encapsular um
trfego multiprotocolo de cabealho IP, que posteriormente enviado por meio de uma rede IP ou rede
IP pblica, como a Internet. Voc pode usar o PPTP para acesso remoto e conexes VPN site a site.
Quando voc usa a Internet como rede pblica VPN, o servidor PPTP um servidorVPN habilitado
para PPTP com uma interface na Internet e uma segunda interface na intranet.
Encapsulamento. o PPTP encapsula quadros PPP em datagramas IP para transmisso pela rede.
O PPTP usa uma conexo TCP (Transmission Control Protocol) no gerenciamento de tnel e uma
verso modificada do cabealho GRE (Generic Route Encapsulation) para encapsular quadros PPP de
dados em tnel. As cargas dos quadros PPP encapsulados podem ser criptografadas, compactadas,
ou ambas.
Criptografia. o quadro PPP criptografado com a MPPE (Criptografia Ponto a Ponto da Microsoft)
usando as chaves de criptografa geradas nos processos de autenticao MS-CHAPv2 ou EAP-TLS.
Para que as cargas dos quadros PPP sejam criptografadas, os clientes VPN devem utilizar o protocolo
de autenticao MS-CHAPv2 ou EAP-TLS. O PPTP usa a criptografia subjacente do PPP e encapsula
um quadro PPP j criptografado.
L2TP
O L2TP permite que voc criptografe o trfego multiprotocolo a ser enviado por qualquer meio
compatvel com a entrega de datagramas ponto a ponto, como IP ou ATM (modo de transferncia
assncrona). O L2TP uma combinao do PPTP e do L2F (Layer 2 Forwarding). O L2TP representa os
melhores recursos do PPTP e do L2F.
Para utilizar L2TP/IPsec, cliente e servidor VPN devem dar suporte a L2TP e IPsec. O suporte do
cliente para L2TP interno dos clientes de acesso remoto do Windows XP, do Windows Vista,
do Windows 7 e do Windows 8. O suporte do servidor VPN para L2TP interno nos membros das
famlias Windows Server 2012, Windows Server 2008 e Windows Server 2003.
o Primeira camada. A primeira camada o encapsulamento L2TP. Um quadro PPP (um datagrama
IP) encapsulado com um cabealho L2TP e um cabealho UDP (User Datagram Protocol).
Criptografia: a mensagem L2TP criptografada com AES (Advanced Encryption Standard) ou 3DES
(Triple Data Encryption Standard) usando chaves de criptografia geradas pelo processo de
negociao IKE.
SSTP
SSTP um protocolo de encapsulamento que usa o protocolo HTTPS pela porta TCP 443 para passar o
trfego pelos firewalls e proxies Web, que poderiam bloquear o trfego PPTP e L2TP/IPsec. O SSTP dispe
de um mecanismo para encapsular o trfego PPP pelo canal SSL (Secure Sockets Layer) do protocolo
HTTPS. O uso do PPP permite suporte para mtodos de autenticao seguros, como EAP-TLS. O SSL
oferece segurana no nvel de transporte com negociao avanada de chaves, criptografia e verificao
de integridade.
Quando um cliente tenta estabelecer uma conexo VPN baseada no SSTP, este estabelece primeiramente
uma camada HTTPS bidirecional com o servidor SSTP. Nessa camada HTTPS, os pacotes do protocolo
fluem conforme a carga til de dados usando os seguintes mtodos de encapsulamento e criptografia:
Encapsulamento. O SSTP encapsula quadros PPP em datagramas IP para transmisso pela rede.
O SSTP usa uma conexo TCP (pela porta 443) para o gerenciamento de tneis e como quadros de
dados PPP.
Criptografia. A mensagem SSTP criptografada com o canal SSL do protocolo HTTPS.
IKEv2
IKEv2 usa o protocolo IPsec Tunnel Mode via porta UDP 500. O IKEv2 d suporte mobilidade tornando-
o uma boa opo de protocolo para uma fora de trabalho mvel. As VPNs baseadas em IKEv2 permitem
que os usurios alternem facilmente pontos de acesso sem fio ou conexes sem e com fio.
O uso do IKEv2 e do IPsec habilita o suporte para mtodos seguros de autenticao e criptografia.
Encapsulamento. IKEv2 encapsula datagramas usando ESP ou AH IPsec para transmisso pela rede.
A Reconexo VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contnua e consistente. Os
usurios que se conectam via banda larga mvel sem fio so os que mais aproveitaro esse recurso. Pense
em um usurio com um laptop que esteja executando o Windows 8. Quando viaja de trem a trabalho, o
usurio se conecta Internet com um carto de banda larga mvel sem fio e estabelece uma conexo
VPN com a rede da empresa. Quando o trem passa por um tnel, a conexo com a Internet perdida.
Depois que o trem sai do tnel, o carto de banda larga mvel sem fio se reconecta automaticamente
Internet. Nas verses anteriores do sistemas operacionais cliente e servidor do Windows, a VPN no se
reconectava automaticamente. Por isso, o usurio teria que repetir o processo de vrias etapas de
conexo com a VPN manualmente. Essa tarefa era demorada e frustrante para usurios mveis com
conectividade intermitente.
Com a Reconexo VPN, o Windows Server 2012 e o Windows 8 restabelecem conexes VPN ativas
automaticamente quando a conectividade com a Internet restabelecida. Ainda que a reconexo possa
demorar alguns segundos, os usurios no precisam restabelecer a conexo manualmente ou se
autenticar novamente para acessarem os recursos de rede internos.
PKI, pois um certificado de computador obrigatrio para uma conexo remota com a
Reconexo VPN. possvel usar certificados emitidos por uma AC interna ou pblica.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-16 Configurao e soluo de problemas de acesso remoto
Requisitos de configurao
Antes de implantar a soluo VPN da organizao,
considere os seguintes requisitos de configurao:
Observao: Para habilitar uma infraestrutura RADIUS, instale a funo de servidor Servios
de Acesso e Poltica de Rede. O NPS pode funcionar como um proxy ou um servidor RADIUS.
Determine se os clientes VPN podem enviar mensagens DHCPINFORM ao servidor DHCP em sua rede
privada. Se existir um servidor DHCP na mesma sub-rede do servidor VPN de acesso remoto, as
mensagens DHCPINFORM dos clientes VPN podero acessar o servidor DHCP depois que a conexo
VPN for estabelecida. Se um servidor DHCP estiver em uma sub-rede diferente daquela do servidor
VPN de acesso remoto, verifique se o roteador entre as sub-redes pode retransmitir mensagens do
DHCP entre os clientes e o servidor. Se o roteador estiver executando o Windows Server 2008 R2 ou o
Windows Server R2 2012, ser possvel configurar o servio Agente de Retransmisso DHCP no
roteador para encaminhar mensagens DHCPINFORM entre as sub-redes.
Verifique se a pessoa responsvel pela implantao da soluo VPN tem as associaes ao grupo
administrativo necessrias para instalar as funes de servidor e configurar os servios necessrios; a
associao do grupo Administradores local obrigatria para realizar essas tarefas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-17
Etapas da demonstrao
o O servidor configurado com a opo No; use Roteamento e Acesso Remoto para
autenticar solicitaes de conexo.
3. Depois que voc tiver criado a VPN, modifique as configuraes exibindo as propriedades da
conexo e selecione a guia Segurana para reconfigurar o VPN usando as seguintes configuraes:
o Senha: Pa$$w0rd
5. Espere a conexo VPN ser estabelecida. A conexo malsucedida. Voc recebe um erro referente a
problemas de autenticao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-18 Configurao e soluo de problemas de acesso remoto
O CMAK uma ferramenta que possvel usar para personalizar a experincia de conexo remota dos
usurios na rede criando conexes predefinidas com redes e servidores remotos. Voc usa o assistente
CMAK para criar e personalizar uma conexo para os usurios.
O CMAK um componente opcional que no instalado por padro. Instale o CMAK para gerar os perfis
de conexo que seus usurios podero instalar para acessar as redes remotas.
Voc pode instalar o perfil de conexo como parte das imagens do computador cliente instaladas nos
novos computadores da sua organizao.
possvel fornecer o programa de instalao do perfil de conexo em CD/DVD, unidade flash USB ou
em qualquer outra mdia removvel a que os usurios possam ter acesso. Algumas mdias removveis
oferecem suporte a recursos de execuo automtica, que permitem iniciar a instalao
automaticamente quando o usurio insere a mdia no computador cliente.
Examinar o perfil.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-20 Configurao e soluo de problemas de acesso remoto
Etapas da demonstrao
Instalar o CMAK
1. Se necessrio, em LON-CL2, entre como ADATUM\Administrador com a senha Pa$$w0rd.
2. Abra Painel de Controle e ative um novo recurso do Windows chamado Kit de Administrao do
Gerenciador de Conexes (CMAK) RAS.
Lio 3
Viso geral das polticas de rede
As polticas de rede determinam se uma tentativa de conexo tem xito. Se a tentativa de conexo foi
bem-sucedida, a poltica de rede tambm define as caractersticas de conexo, como restries de dia e
hora, tempos de desconexo por tempo ocioso e outras configuraes.
A compreenso de como configurar polticas de rede ser essencial se voc quiser implementar com xito
VPNs baseadas na funo de servidor Servios de Acesso e Poltica de Rede na organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Quando voc configurar vrias polticas de rede no NPS, elas se tornaro um conjunto ordenado de
regras. O NPS verificar cada solicitao de conexo com a primeira regra da lista, depois com a segunda,
e assim sucessivamente, at encontrar uma correspondncia.
Observao: Assim que uma regra de correspondncia for determinada, as demais regras
sero desconsideradas. Por isso, importante que voc ordene as polticas de rede corretamente
em nvel de importncia.
Cada poltica de rede possui uma configurao Estado da Poltica que permite habilitar ou desabilitar a
poltica. Quando voc desabilita uma poltica de rede, o NPS no avalia essa poltica ao autorizar as
solicitaes de conexo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-22 Configurao e soluo de problemas de acesso remoto
Viso geral. As propriedades de viso geral permitem especificar se a poltica est habilitada, se
concede ou nega acesso e se o mtodo de conexo com a rede especfico ou o tipo de servidor de
acesso rede obrigatrio para as solicitaes de conexo. As propriedades de Viso geral tambm
permitem especificar se as propriedades de discagem das contas de usurios no AD DS devem ser
ignoradas. Se voc marcar essa opo, o NPS usar apenas as configuraes da poltica de rede para
determinar se deve autorizar a conexo.
Condies. essas propriedades permitem especificar as condies a que a solicitao de conexo
deve atender para corresponder poltica de rede. Se as condies configuradas na poltica
corresponderem solicitao de conexo, o NPS aplicar as configuraes da poltica de rede
conexo. Por exemplo, se voc especificar o Endereo IPv4 NAS (servidor de acesso rede) como
uma condio da poltica de rede, e o NPS receber uma solicitao de conexo de um NAS que
possui o endereo IP especificado, a condio na poltica corresponder solicitao de conexo.
Ao adicionar uma nova poltica de rede usando o snap-in MMC (Console de Gerenciamento Microsoft) do
NPS, use o Assistente de Nova Poltica de Rede. Depois de criar uma poltica de rede usando o Assistente
de Nova Poltica de Rede, ser possvel personaliz-la clicando nela duas vezes nela dentro do NPS para
obter as respectivas propriedades.
Observao: As polticas padro no NPS bloqueiam o acesso rede. Aps a criao de suas
prprias polticas, voc dever alterar a prioridade, desabilitar ou remover as polticas padro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-23
Se as propriedades de discagem da conta do usurio estiverem definidas para negar o acesso, o NPS
recusar a solicitao de conexo.
Criao da poltica
Quando voc usa o Assistente de Nova Poltica de
Rede para criar uma poltica de rede, o valor
especificado como o mtodo de conexo da rede
usado automaticamente para configurar a
condio Tipo de Poltica. Se voc mantiver o
valor padro No Especificado, o NPS avaliar a poltica de rede que voc criar para todos os tipos de
conexo de rede por meio de qualquer tipo de servidor de acesso rede. Se voc especificar um mtodo
de conexo de rede, o NPS avaliar a poltica de rede somente se a solicitao de conexo tiver sido
originada no tipo de servidor de acesso rede especificado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-24 Configurao e soluo de problemas de acesso remoto
Por exemplo, se voc especificar Gateway de rea de Trabalho Remota, o NPS avaliar a poltica de rede
somente das solicitaes de conexo originadas nos servidores do Gateway de rea de Trabalho Remota.
Na pgina Especificar Permisso de Acesso, voc deve selecionar Acesso concedido se quiser que a
poltica permita que os usurios se conectem rede. Caso voc queira que a poltica impea os usurios
de se conectarem rede, selecione Acesso negado. Caso voc queira que as propriedades de discagem
no AD DS determinem a permisso de acesso, possvel marcar a caixa de seleo O acesso
determinado pelas propriedades de Discagem do Usurio (que substituem a poltica de NPS). Essa
configurao substitua a poltica do NPS.
Configurao da poltica
Depois de criar a poltica de rede, ser possvel usar a caixa de dilogo Propriedades da poltica de rede
para exibir ou modificar as configuraes.
Permisso de Acesso. determine se a poltica dever permitir ou negar acesso. Especifique tambm
se o NPS deve ignorar as propriedades de discagem das contas de usurio no AD DS quando a
poltica estiver sendo usada para autorizar a tentativa de conexo.
O mtodo de conexo de rede que deve ser usado para a solicitao de conexo:
o No Especificado. Se voc selecionar No Especificado, o NPS avaliar a poltica de rede para
todas as solicitaes de conexo originadas de qualquer tipo de servidor de acesso rede e de
qualquer mtodo de conexo.
o Servidor HCAP: se voc especificar servidor HCAP, o NPS avaliar a poltica de rede das
solicitaes de conexo originadas nos servidores que executam o HCAP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-25
HCAP (Host Credential Authorization Protocol). essas condies so usadas somente quando voc
deseja integrar a soluo NAP do NPS ao Cisco Network Admission Control. Para usar essas condies,
necessrio implantar o Cisco Network Admission Control e o NAP. Voc tambm deve implantar um
servidor HCAP que esteja executando o IIS (Servios de Informaes da Internet) e o NPS.
Restries de Dia e Horrio. a condio Restries de Dia e Horrio permite que voc especifique, em
um intervalo semanal, se permitir conexes em um conjunto especfico de dias e de horrios.
NAP. as configuraes incluem Tipo de Identidade, Classe de Servio MS, Computadores Compatveis
com NAP, Sistema Operacional e Expirao da Poltica.
Propriedades da Conexo. as configuraes incluem Endereo IPv4 do Cliente de Acesso, Endereo
IPv6 do Cliente de Acesso, Tipo de Autenticao, Tipos de EAP Permitidos, Protocolo em Quadros,
Tipo de Servio e Tipo de Tnel.
Propriedades do Cliente RADIUS. as configuraes incluem ID de Estao de Chamada, Nome
Amigvel do Cliente, Endereo IPv4 do Cliente, Endereo IPv6 do Cliente, Fornecedor do Cliente e
Fornecedor do MS RAS.
A seguinte tabela descreve as restries que possvel configurar na caixa de dilogo Propriedades da
poltica de rede, guia Restries:
Mtodos de Autenticao. permite especificar os mtodos de autenticao que so exigidos para que
a solicitao de conexo corresponda poltica de rede.
Tempo Limite de Ociosidade. permite especificar o mximo de tempo, em minutos, que o servidor de
aceso rede pode permanecer ocioso antes de a conexo ser desconectada.
Tempo Limite da Sesso. permite especificar a quantidade de tempo mxima, em minutos, que um
usurio pode ficar conectado rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-26 Configurao e soluo de problemas de acesso remoto
Restries de Dia e Horrio. permite especificar quando os usurios podem se conectar rede.
Tipo de Porta do NAS. permite especificar os tipos de mdia de acesso que so permitidos para que os
usurios se conectem rede.
Atributos RADIUS. Essa configurao permite definir atributos RADIUS adicionais a serem enviados
ao servidor RADIUS.
NAP. Essa definio permite determinar configuraes relacionadas ao NAP, inclusive a possibilidade
dos clientes de conexo receberem acesso total rede, acesso limitado ou serem habilitados para
correo automtica.
Roteamento e Acesso Remoto. Essa definio permite configurar conexes mltiplas e configuraes
do protocolo de alocao da largura de banda, filtros IP, configuraes de criptografia e outras
configuraes de IP para as conexes.
Testar a VPN.
Etapas da demonstrao
Criar uma poltica de VPN com base na condio dos Grupos do Windows
1. Em LON-RTR, alterne para o console do Servidor de Polticas de Rede.
2. Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
o Restries: padro
o Configuraes: padro
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-27
Testar a VPN
1. Alterne para LON-CL2.
o Senha: Pa$$w0rd
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-28 Configurao e soluo de problemas de acesso remoto
Lio 4
Soluo de problemas de Roteamento e Acesso Remoto
A soluo de problemas ocorridos no Roteamento e Acesso Remoto pode ser uma tarefa demorada. Os
problemas podem variar e no so facilmente identificveis. Considerando que pode estar usando redes
de conexo discada, dedicadas, concedidas ou pblicas para atender soluo de conectividade remota,
voc dever realizar uma soluo de problemas em um processo metdico e sistemtico.
Em alguns casos, possvel identificar e resolver o problema rapidamente, e outros casos podem testar a
compreenso de todas as ferramentas disponveis para ajudar a determinar a origem do problema e
resolv-lo em tempo hbil.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Registrar apenas Erros no Log Especifica que somente erros so registrados no log do
sistema no Visualizador de Eventos.
Registrar Erros e Avisos no Log Especifica que erros e avisos so registrados no log do sistema
no Visualizador de Eventos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-29
(continuao)
Desativar log de eventos Especifica que nenhum evento registrado no log do sistema
no Visualizador de Eventos.
A caixa de seleo Registrar informaes de roteamento e acesso remoto (usadas para depurao)
permite especificar se os eventos no processo de estabelecimento da conexo PPP so gravados no
arquivo PPP.LOG. O arquivo de log armazenado na pasta systemroot\Tracing (o local padro).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
possvel habilitar o rastreamento para cada componente do servio Roteamento e Acesso Remoto
definindo os valores de Registro apropriados. Voc pode habilitar e desabilitar o rastreamento de
componentes enquanto o servio Roteamento e Acesso Remoto est sendo executado. Cada componente
capaz de rastrear, alm de ser exibido como uma subchave na chave do Registro anterior.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-30 Configurao e soluo de problemas de acesso remoto
Para alterar o local padro dos arquivos de rastreamento, configure FileDirectory para o caminho
desejado. O nome do arquivo de log o nome do componente para o qual o rastreamento est
habilitado. Por padro, os arquivos de log so colocados na pasta SystemRoot\Tracing.
possvel alterar o tamanho do arquivo de log configurando valores diferentes para MaxFileSize. O valor
padro 0x10000 (64 K).
Soluo: configure o firewall da rede entre o cliente VPN e o servidor para permitir o GRE. Alm disso,
verifique se o firewall da rede permite o trfego TCP na porta 1723. Essas duas condies devem ser
atendidas para que seja possvel usar o PPTP para estabelecer a conectividade VPN.
Soluo: verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se Exigir
criptografia de dados (desconectar se no houver) estiver selecionado, desmarque-a seleo e
tente fazer a conexo novamente. Se voc estiver usando o NPS, verifique o nvel de criptografia na
poltica de rede no console do NPS ou as polticas em outros servidores RADIUS. Verifique se o nvel
de criptografia solicitado pelo cliente VPN est selecionado no servidor VPN.
Ausncia de certificado. Por padro, as conexes L2TP/IPsec exigem que, para a autenticao no
mesmo nvel do IPsec, uma troca de certificados de computador ocorra entre o servidor Acesso
Remoto e o cliente Acesso Remoto. Verifique os armazenamentos de certificado do Computador
Local do cliente Acesso Remoto e do servidor Acesso Remoto que usam o snap-in Certificados para
garantir que haja um certificado adequado.
Certificado incorreto. O cliente VPN deve ter um certificado de computador vlido instalado, emitido
por uma AC que siga uma cadeia de certificados vlida, da AC de emisso at uma AC raiz e na qual
o servidor VPN confie. Alm disso, o servidor VPN precisa ter um certificado de computador vlido
instalado que tenha sido emitido por uma AC que siga uma cadeia de certificados vlida, da AC de
emisso at a AC raiz e na qual o cliente VPN confie.
Um dispositivo NAT existe entre o cliente de acesso remoto e servidor Acesso Remoto. Se houver uma
NAT entre um cliente L2TP/IPsec baseado no Windows 2000 Server, no Windows Server 2003 ou no
Windows XP e um servidor L2TP/IPsec do Windows Server 2008, no ser possvel estabelecer uma
conexo L2TP/IPsec a menos que o cliente e o servidor deem suporte ao NAT-T (IPsec NAT traversal).
Existe um firewall entre o cliente Acesso Remoto e o servidor Acesso Remoto. Se houver um firewall
entre um cliente L2TP/IPsec do Windows e um servidor L2TP/IPsec do Windows Server 2012 e voc
no puder estabelecer uma conexo L2TP/IPsec, verifique se o firewall permite o encaminhamento do
trfego L2TP/IPsec.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-33
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado no foi revogado. Os certificados emitidos podem ser revogados a qualquer momento.
Cada AC de emisso mantm uma lista de certificados no considerados vlidos e publica uma CRL
atualizada. Por padro, o servidor de autenticao verifica todos os certificados na cadeia de
certificados dos clientes VPN (a srie de certificados do certificado do cliente VPN at a autoridade de
certificao raiz) para revogao. Se um dos certificados na cadeia tiver sido revogado, a validao do
certificado falhar.
O certificado possui uma assinatura digital vlida. As autoridades de certificao assinam digitalmente
os certificados emitidos. O servidor de autenticao verifica a assinatura digital de cada certificado na
cadeia (com exceo do certificado da AC raiz) obtendo a chave pblica da AC de emisso e
validando matematicamente a assinatura digital.
Para que o cliente VPN valide o certificado do servidor de autenticao de uma das autenticaes de
EAP-TLS, as seguintes condies devero ser verdadeiras para cada certificado na cadeia de
certificados enviados pelo servidor de autenticao:
o A data atual deve estar compreendida entre as datas de validade dos certificados.
A gerncia da A. Datum deseja implementar uma soluo de acesso remoto para os funcionrios de
forma que eles possam se conectar rede corporativa quando estiverem fora do escritrio. Voc opta por
implantar um projeto piloto que permitir aos usurios no departamento de IT se conectarem usando
uma VPN com a intranet corporativa.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
21. Alterne para o computador LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-36 Configurao e soluo de problemas de acesso remoto
22. Abra um prompt de comando e execute o comando gpupdate /force para atualizar as
configuraes da poltica de grupo.
c. O servidor configurado com a opo No; use Roteamento e Acesso Remoto para
autenticar solicitaes de conexo.
9. Inicie o servio VPN.
2. Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
g. Configuraes: padro
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN com xito e configurado
o acesso para membros do grupo de segurana global de IT.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-37
f. Pgina Criar ou Modificar uma Entrada de VPN: Edite a entrada VPN listada. Na guia Segurana:
Estratgia de VPN: Usar apenas o protocolo de tnel de camada 2 (L2TP).
o Senha: Pa$$w0rd
Resultados: Depois deste exerccio, voc deve ter distribudo um perfil CMAK com xito e testado o
acesso VPN.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-39
Lio 5
Configurao do DirectAccess
Geralmente, as organizaes dependem das conexes VPN para fornecer aos usurios remotos acesso
seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e tm suporte
de diferentes clientes. No entanto, as conexes VPN devem ser primeiramente iniciadas pelo usurio e
podem exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN geralmente
habilitam o acesso remoto toda rede corporativa. As organizaes no podem gerenciar com eficincia
computadores remotos, a menos que estejam conectados. Para superar tais limitaes nas conexes VPN,
as organizaes podem implementar o DirectAccess para fornecer uma conexo contnua entre a rede
interna e o computador remoto na Internet. Com o DirectAccess, as organizaes podem gerenciar
computadores remotos mais efetivamente porque eles so efetivamente considerados parte da rede
corporativa.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o DirectAccess.
A soluo de problemas em conexes VPN com falha pode ser uma parte significativa de chamadas
de Suporte Tcnico para muitas organizaes.
O que o DirectAccess?
O recurso DirectAccess no Windows Server 2012
permite o acesso remoto contnuo aos recursos da
intranet sem primeiro estabelecer uma conexo
VPN iniciada pelo usurio. O recurso DirectAccess
tambm garante conectividade contnua
infraestrutura de aplicativo para usurios internos
e remotos.
Diferentemente das VPNs tradicionais, que exigem
interveno do usurio para iniciar uma conexo
com uma intranet, o DirectAccess permite que
qualquer aplicativo compatvel com IPv6 no
computador cliente tenha acesso completo aos
recursos da intranet. O DirectAccess tambm permite especificar recursos e aplicativos no lado do cliente
que sejam restritos para acesso remoto.
As organizaes podem aproveitar o DirectAccess fornecendo uma maneira na qual a equipe de IT possa
gerenciar computadores remotos como gerenciariam computadores locais. Usando o mesmo
gerenciamento e os servidores de atualizao, voc pode garantir que computadores remotos estejam
sempre atualizados e em conformidade com as polticas de segurana e do sistema de sade. Tambm
possvel definir polticas mais detalhadas de controle de acesso para acesso remoto em comparao com
a definio de polticas de controle de acesso em solues VPN.
Usa vrios variados, inclusive HTTPS, para estabelecer conectividade IPv6 HTTPS normalmente
permitido por firewalls e servidores proxy.
Oferece suporte ao acesso de servidor selecionado e autenticao IPsec completa com servidores
de rede da intranet.
Conectividade sempre ativa. Sempre que o usurio conectar o computador cliente Internet, o
computador cliente tambm ser conectado intranet. Essa conectividade permite que
computadores cliente remotos acessem e atualizem aplicativos com mais facilidade. Ela tambm
permite que os recursos da intranet estejam sempre disponveis e permite que os usurios se
conectem intranet corporativa de qualquer lugar e a qualquer momento, melhorando, assim, a
produtividade e o desempenho.
o Aumento da segurana
Manage-out Support. O recurso Manage-out Support novo no Windows Server 2012 e fornece a
possibilidade de permitir apenas a funcionalidade de gerenciamento remoto no cliente do
DirectAccess. A nova subopo do assistente de configurao cliente do DirectAccess automatiza a
implantao de polticas usadas no gerenciamento do computador cliente. O Manage-out support
no implementa opes de poltica que permite aos usurios se conectarem rede para acesso ao
arquivo ou ao aplicativo. O Manage-out support unidirecional e fornece acesso somente de entrada
apenas para fins de administrao.
Maior segurana. diferentemente das VPNs tradicionais, o DirectAccess oferece muitos nveis de
controle de acesso aos recursos da rede. Esse controle mais rgido permite que os arquitetos de
segurana controlem precisamente os usurios remotos que acessam recursos especificados.
possvel usar uma poltica granular para definir especificamente qual usurio pode usar o
DirectAccess e o local do qual o usurio pode acess-lo. A criptografia IPsec usada para proteger o
trfego do DirectAccess, de modos que os usurios possam garantir a segurana de suas
comunicaes.
Componentes do DirectAccess
Para implantar e configurar o DirectAccess, a
organizao deve dar suporte aos seguintes
componentes da infraestrutura:
Servidor do DirectAccess
Clientes do DirectAccess
Domnio do AD DS
Poltica de Grupo
Servidor DNS
Servidor NAP
Servidor DirectAccess
O servidor do DirectAccess pode ser qualquer servidor do Windows Server 2012 associado a um domnio e
que aceita conexes de clientes do DirectAccess e estabelece comunicao com recursos de intranet. Esse
servidor fornece servios de autenticao para clientes do DirectAccess e funciona como um ponto de
extremidade do modo de tnel IPsec para trfego externo. A nova funo de servidor Acesso Remoto
permite administrao centralizada, configurao e monitoramento para DirectAccess e conectividade VPN.
Comparado com a implementao anterior no Windows Server 2008 R2, a nova instalao
baseada no Assistente do DirectAccess simplifica o gerenciamento do DirectAccess para organizaes
pequenas e mdias. O assistente faz isso removendo a necessidade de implantao completa da PKI e
o requisito de dois endereos IPv4 pblicos consecutivos para o adaptador fsico conectado Internet.
No Windows Server 2012, o assistente de instalao do DirectAccess detecta o estado de implementao
real do servidor do DirectAccess e seleciona a melhor implantao automaticamente. Isso oculta a
complexidade da configurao manual das tecnologias de transio IPv6 do administrador.
Clientes DirectAccess
Os clientes do DirectAccess podem ser qualquer computador associado ao domnio no qual o
Windows 8 Enterprise, o Windows 7 Enterprise ou o Windows 7 Ultimate esteja em execuo.
Se um firewall ou servidor proxy impedir que o computador cliente que esteja usando 6to4 ou Teredo se
conecte ao servidor do DirectAccess, o computador cliente tentar se conectar automaticamente usando
o protocolo IP-HTTP, que usa uma conexo SSL para garantir a conectividade. O cliente tem acesso s
regras NRPT (Tabela de Polticas de Resoluo de Nomes) e de tnel de Segurana da Conexo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-43
Recursos internos
possvel configurar qualquer aplicativo compatvel com IPv6 em execuo em servidores internos ou
computadores clientes para que estejam disponveis a clientes do DirectAccess. Para aplicativos e
servidores mais antigos, inclusive os que no se baseiam em sistemas operacionais Windows e no
tenham suporte a IPv6, o Windows Server 2012 agora inclui suporte nativo para traduo de protocolo
(NAT64) e gateway de resoluo de nomes (DNS64) converterem a comunicao de IPv6 do cliente do
DirectAccess em IPv4 para os servidores internos.
Observao: Assim como no passado, essa funcionalidade tambm pode ser obtida com
Microsoft Forefront Unified Access Gateway. Da mesma forma, assim como em verses
anteriores, esses servios de traduo no do suporte a sesses iniciadas por dispositivos
internos, e sim apenas solicitaes originadas em clientes do DirectAccess IPv6.
Poltica de Grupo
A Poltica de Grupo obrigatria para administrao e a implantao centralizadas das configuraes do
DirectAccess. O Assistente de Instalao do DirectAccess cria um conjunto de GPOs e configuraes para
clientes do DirectAccess, o servidor do DirectAccess e os servidores selecionados.
PKI
A implantao de PKI opcional para configurao e gerenciamento simplificados. O DirectAccess no
Windows Server 2012 permite que solicitaes de autenticao do cliente sejam enviadas por meio de um
servio de proxy Kerberos baseado em HTTPS em execuo no servidor do DirectAccess. Isso elimina a
necessidade do estabelecimento de um segundo tnel IPsec entre clientes e controladores de domnio. O
proxy Kerberos enviar solicitaes Kerberos para controladores de domnio em nome do cliente.
No entanto, para uma configurao completa do DirectAccess que permita a integrao NAP, a
autenticao de dois fatores e o encapsulamento forado, voc continua precisando implementar
certificados para autenticao para qualquer cliente que participe da comunicao do DirectAccess.
Servidor DNS
Ao usar ISATAP, voc deve usar pelo menos Windows Server 2008 R2, Windows Server 2008 Service Pack
2 (SP2) ou mais novo, ou ainda um servidor DNS no Microsoft que d suporte a trocas de mensagem
DNS via ISATAP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-44 Configurao e soluo de problemas de acesso remoto
Servidores NAP
NAP um componente opcional da soluo do DirectAccess que o permite fornecer a verificao de
conformidade e impor a poltica de segurana para clientes do DirectAccess pela Internet. O DirectAccess
no Windows Server 2012 oferece a possibilidade de configurar a verificao de integridade NAP
diretamente na interface do usurio de configurao, em vez de editar manualmente a GPO conforme
exigido com o DirectAccess no Windows Server 2008 R2.
Nomes de rtulo nico, por exemplo, http://internal, normalmente tm sufixos de pesquisa DNS
configurados acrescentados ao nome antes de serem verificados na NRPT.
Se nenhum sufixo de pesquisa DNS for configurado e o nome de rtulo nico no corresponder a
nenhuma outra entrada de nome de rtulo nico na NRPT, a solicitao ser enviada aos servidores DNS
especificados nas configuraes TCP/IP do cliente.
Namespaces por exemplo, internal.adatum.com so inseridos na NRPT, seguidos dos servidores DNS
para os quais as solicitaes que corresponderem ao namespace devem ser direcionadas. Se um endereo
IP for inserido para o servidor DNS, todas as solicitaes de DNS sero enviadas diretamente para o
servidor DNS pela conexo do DirectAccess; voc no precisa especificar uma segurana adicional para
essas configuraes. No entanto, se um nome for especificado para o servidor DNS (como
dns.adatum.com) na NRPT, o nome dever ser resolvvel publicamente quando o cliente consultar os
servidores DNS especificados nas respectivas configuraes TCP/IP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-45
A NRPT permite que os clientes do DirectAccess usem servidores DNS da intranet para resoluo de
nomes de recursos internos e DNS da Internet para resoluo de nomes de outros recursos. No so
necessrios servidores DNS dedicados para a resoluo de nomes. O DirectAccess foi projetado para
evitar a exposio do namespace da intranet Internet.
Alguns nomes precisam ser tratados de maneira diferente em relao resoluo de nomes; esses nomes
no devem ser resolvidos usando servidores DNS da intranet. Para garantir que esses nomes sejam
resolvidos com os servidores DNS especificados nas configuraes TCP/IP do cliente, voc deve adicion-
los como isenes da NRPT.
A NRPT controlada pela Poltica de Grupo. Quando o computador configurado para usar a NRPT, o
mecanismo da resoluo de nomes usa o seguinte, na ordem:
O arquivo de hosts
NRPT
Em seguida, o mecanismo da resoluo de nomes finalmente envia a consulta para os servidores DNS
especificados nas configuraes de TCP/IP.
1. O cliente do DirectAccess tenta resolver o FQDN (nome de domnio totalmente qualificado) da URL
do NLS. Como o FQDN da URL do NLS corresponde a uma regra de iseno na NRPT, o cliente do
DirectAccess envia a consulta DNS a um servidor DNS configurado localmente (baseado na intranet).
O servidor DNS baseado na intranet resolve o nome.
2. O cliente do DirectAccess acessa a URL baseada em HTTPS do NLS, processo durante o qual ele
obtm o certificado do NLS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-46 Configurao e soluo de problemas de acesso remoto
3. Com base no campo dos pontos de distribuio CRL do certificado NLS, o cliente do DirectAccess
verifica os arquivos de revogao CRL no ponto de distribuio da CRL para determinar se o
certificado NLS foi revogado.
4. Com base em um cdigo de resposta HTTP 200 na resposta, o cliente do DirectAccess determina o
xito da URL do NLS (acesso bem-sucedido e verificao de autenticao e revogao de certificado).
O cliente do DirectAccess alternado para o perfil de firewall do domnio e ignora as polticas do
DirectAccess, alm de pressupor que ele esteja em rede interna at ocorrer a prxima alterao.
Como o cliente no referencia mais nenhuma regra do DirectAccess no NRPT durante o restante da
sesso conectada, todas as consultas DNS so enviadas por servidores DNS configurados pela
interface (com base na intranet). Com a combinao da deteco do local de rede e do logon de
domnio do computador, o cliente do DirectAccess se configura para o acesso de intranet normal.
Por projeto, as regras de tnel da Segurana de Conexo do DirectAccess tm escopo para os perfis de
firewall pblico e privado, e elas so desabilitadas na lista de regras de segurana da conexo ativas.
O cliente do DirectAccess determinou com xito que ele est conectado respectiva intranet e no
usa configuraes do DirectAccess (regras NRPT ou de tnel da Segurana de Conexo). O cliente do
DirectAccess agora pode acessar recursos de intranet normalmente. Ele tambm pode acessar os recursos
da Internet por meios normais, como um servidor proxy.
Por fim, o cliente tenta acessar recursos de intranet e, em seguida, os recursos da Internet.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-47
1. O cliente tenta resolver o FQDN da URL do NLS. Como o FQDN da URL do NLS corresponde a uma
regra de iseno na NRPT, o cliente do DirectAccess no envia a consulta DNS a um servidor DNS
configurado localmente (baseado na Internet). Um servidor DNS baseado na Internet externo no
seria capaz de resolver o nome.
2. O cliente do DirectAccess processa a solicitao de resoluo de nomes conforme definido nas regras
de iseno do DirectAccess no NRPT.
3. Como o NLS no est localizado na mesma rede na qual o cliente do DirectAccess est localizado
atualmente, o cliente do DirectAccess aplica um perfil de rede de firewall pblico ou privado rede
conectada.
4. As regras de tnel da Segurana de Conexo para o DirectAccess, com escopo para os perfis pblico
e privado, fornecem o perfil de rede de firewall pblico ou privado.
O cliente do DirectAccess usa uma combinao de regras da NRPT e de segurana da conexo para
localizar e acessar os recursos de intranet pela Internet por meio do servidor do DirectAccess.
1. O nome DNS para o controlador de domnio corresponde regra de namespace da intranet na NRPT,
que especifica o endereo IPv6 do servidor DNS da intranet. O servio do cliente DNS cria a consulta
de nome DNS endereada para o endereo IPv6 do servidor DNS de intranet e, em seguida, a
transfere para a pilha TCP/IP do cliente do DirectAccess para envio.
2. Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
3. Como o endereo IPv6 de destino na consulta de nome DNS corresponde a uma regra de segurana
da conexo que corresponde ao tnel de infraestrutura, o cliente do DirectAccess usa AuthIP
(Authenticated IP) e IPsec para negociar e autenticar um tnel IPsec criptografado para o servidor do
DirectAccess. O cliente do DirectAccess (o computador e o usurio) se autentica com o certificado de
computador instalado e as credenciais do Microsoft Windows NT LAN Manager (NTLM),
respectivamente.
4. O cliente do DirectAccess envia a consulta de nome DNS pelo tnel de infraestrutura IPsec para o
servidor do DirectAccess.
5. O servidor do DirectAccess encaminha a consulta de nome DNS para o servidor DNS de intranet. A
resposta da consulta de nome DNS reenviada ao servidor do DirectAccess e, em seguida, pelo tnel
de infraestrutura IPsec ao cliente do DirectAccess.
O trfego de logon do domnio subsequente passa pelo tnel de infraestrutura IPsec. Quando o usurio no
cliente do DirectAccess faz logon, o trfego de logon do domnio passa pelo tnel de infraestrutura IPsec.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-48 Configurao e soluo de problemas de acesso remoto
1. O aplicativo ou o processo que est tentando se comunicar cria uma mensagem ou carga e, em
seguida, a transfere pilha TCP/IP para envio.
2. Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
3. Como o endereo IPv6 de destino corresponde regra de segurana da conexo que corresponde ao
tnel da intranet (que especifica o espao de endereo IPv6 de toda a intranet), o cliente do
DirectAccess usa AuthIP ou IPsec para negociar e autenticar um tnel IPsec adicional para o servidor
do DirectAccess. O cliente DirectAccess autentica a si mesmo com o respectivo certificado do
computador instalado e as credenciais Kerberos da conta do usurio.
4. O cliente DirectAccess envia o pacote pelo tnel da intranet para o servidor DirectAccess.
1. O servio de cliente do DNS passa o nome DNS para o recurso da Internet pela NRPT. No h
correspondncias. O servio de cliente do DNS cria a consulta de nome DNS endereada ao endereo
IP de um servidor DNS da Internet configurado pela interface e a transfere pilha TCP/IP para envio.
2. Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
5. O aplicativo de usurio ou processo constri o primeiro pacote para enviar ao recurso da Internet.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
Assim como o processo de conexo, o acesso aos recursos do controlador de domnio e de intranet
tambm um processo bem parecido, porque ambos os processos esto usando tabelas NRPT para
localizar o servidor DNS apropriado a fim de resolver as consultas de nome. A diferena o tnel IPsec
estabelecido entre o cliente e o servidor do DirectAccess. Durante o acesso ao controlador de domnio,
todas as consultas DNS so enviadas pelo tnel de infraestrutura IPsec e, durante o acesso aos recursos de
intranet, um segundo tnel IPsec (intranet) estabelecido.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-49
Para suporte ao balanceamento de carga, o Windows Server 2012 tem a capacidade de usar o NLB
(at oito ns) para obter alta disponibilidade e escalabilidade para DirectAccess e RAS.
Com o cenrio do novo DirectAccess 2012, possvel provisionar offline computadores clientes do
Windows 8 para associao ao domnio sem exigir que o computador esteja nos locais.
O computador cliente pode ser carregado com o Windows 8 Enterprise, o Windows 7 Enterprise, o
Windows 7 Ultimate, o Windows Server 2012 ou o Windows Server 2008 R2. No possvel implantar
o DirectAccess em clientes nos quais estejam em execuo Windows Vista, Windows Server 2008 ou
outras verses anteriores dos sistemas operacionais Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
7-50 Configurao e soluo de problemas de acesso remoto
Requisitos de infraestrutura
Estes so os requisitos de infraestrutura para implantar o DirectAccess:
AD DS. Voc deve implantar pelo menos um domnio do Active Directory. Grupos de trabalho no
so compatveis.
Poltica de Grupo. Voc precisa da Poltica de Grupo para administrao e implantao centralizadas
das configuraes de cliente do DirectAccess. O Assistente de Instalao do DirectAccess cria um
conjunto de GPOs e configuraes para clientes do DirectAccess, servidores do DirectAccess e
servidores de gerenciamento.
DNS e controlador de domnio. Voc deve ter pelo menos um controlador de domnio ao
menos um servidor DNS executando o Windows Server 2012, o Windows Server 2008 SP2 ou
o Windows Server 2008 R2.
PKI. Se s tiver computadores clientes do Windows 8, voc no precisar de uma PKI. Os computadores
clientes do Windows 7 exigem uma configurao mais complexa e, assim, exigem uma PKI.
Polticas IPsec. O DirectAccess utiliza polticas IPsec configuradas e administradas como parte do
Firewall do Windows com Segurana Avanada.
Trfego da solicitao de eco ICMPv6. Voc deve criar regras de entrada e sada separadas que
permitam mensagens de solicitao de eco ICMPv6. A regra de entrada obrigatria para permitir
mensagens de solicitao de eco ICMPv6 e deve ter como escopo todos os perfis. A regra de sada
para permitir mensagens de solicitao de eco ICMPv6 deve ter como escopo todos os perfis e s
ser obrigatria se o bloco de sada estiver ativado. Clientes do DirectAccess que usam Teredo na
conectividade IPv6 com a intranet usam a mensagem ICMPv6 ao estabelecerem a comunicao.
IPv6 e tecnologias de transio. IPv6 e as tecnologias de transio devem estar disponveis para serem
usadas no servidor do DirectAccess. Para cada servidor DNS em execuo no Windows Server 2008 ou
no Windows Server 2008 R2, voc precisa remover o nome ISATAP da lista de bloco da consulta global.
Configurao do DirectAccess
Para configurar o DirectAccess, realize as
seguintes etapas:
o Instale a funo Acesso Remoto e configure o servidor do DirectAccess de forma que ele seja um
dos seguintes:
O servidor do DirectAccess est na rede de permetro com um adaptador de rede conectado
rede de permetro e pelo menos um outro adaptador de rede conectado intranet. Nesse
cenrio de implantao, o servidor do DirectAccess colocado entre um firewall front-end e
back-end.
O servidor do DirectAccess publicado usando TMG, UAG ou outros firewalls de terceiros.
Nesse cenrio de implantao, o DirectAccess colocado atrs de um firewall front-end e
tem um adaptador de rede conectado rede interna.
O servidor do DirectAccess est instalado em um servidor de borda (normalmente firewall
front-end) com um adaptador de rede conectado Internet e pelo menos um outro
adaptador de rede conectado intranet.
Um design alternativo que o servidor do DirectAccess s tem uma interface de rede, no duas. Para
esse design, realize as seguintes etapas:
o Verifique se as portas e os protocolos necessrios ao DirectAccess e solicitao de eco ICMP so
habilitados nas excees de firewall e abertos no permetro e nos firewalls para a Internet.
o Se tiver desabilitado o IPv6 em clientes e servidores, voc dever reabilitar o IPv6, porque ele
obrigatrio para o DirectAccess.
o Instale um servidor Web no servidor do DirectAccess para permitir que clientes do DirectAccess
determinem se eles esto dentro ou fora da intranet. possvel instalar esse servidor Web em um
servidor interno parte para determinar o local da rede.
o Com base no cenrio de implantao, voc precisa designar um dos adaptadores de rede do
servidor como a interface para Internet (na implantao com dois adaptadores de rede) ou
publicar o servidor do DirectAccess implantado atrs da NAT para acesso Internet.
o No servidor do DirectAccess, verifique se a interface para Internet est configurada para uma
interface Pblica ou Privada, dependendo do design da rede. Configure as interfaces de intranet
como interfaces de domnio. Se voc tiver mais de duas interfaces, verifique se no h mais de
dois tipos de classificao selecionados.
Como um administrador de rede snior, voc deve implantar e validar a implantao do DirectAccess.
Voc ir configurar o ambiente do DirectAccess e validar que os computadores clientes consigam se
conectar rede interna ao operarem remotamente.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em
Gerenciador Hyper-V.
2. No Gerenciador do Hyper-V, clique em 24411B-LON-DC1 e, no painel Aes, clique em Iniciar.
3. No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
2. Configurar certificados
b. Abra o console dos Usurios e Computadores do Active Directory e crie uma UO (Unidade
Organizacional) chamada DA_Clients OU.
a. Abra o console do Gerenciador DNS e crie os novos registros de host com as seguintes
configuraes:
Nome: nls
4. Remova ISATAP da lista global de consultas no autorizadas DNS realizando as seguintes etapas:
a. Abra uma janela do prompt de comando, digite o seguinte comando e pressione Enter:
Local: .crl
Selecione os seguintes:
Local: .crl
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-55
Selecione os seguintes:
gpupdate /force
mmc
6. Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
gpupdate /force
o No painel de detalhes do Explorador de Arquivos, clique com o boto direito do mouse na pasta
CRLDist, clique em Propriedades e conceda as permisses Compartilhamento de Controle
Total e NTFS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-57
Observao: Se voc vir um erro neste momento, reinicie LON-RTR, entre como
ADATUM\Administrador e reinicie a partir de c).
o Abra o prompt de comando e digite os seguintes comandos pressionando Enter depois de cada
linha:
gpupdate /force
Ipconfig
Resultados: Depois de concluir esse exerccio, voc ter configurado a infraestrutura do DirectAccess.
gpupdate /force
gpresult /R
Resultados: Depois de concluir esse exerccio, voc ter configurado os clientes do DirectAccess.
ipconfig
2. Observe que o endereo IP retornado comea com 2002. Esse o endereo IP-HTTPS.
3. No prompt de comando, digite o seguinte comando e pressione Enter:
powershell
Get-DAClientExperienceConfiguration
ping lon-dc1.adatum.com
gpupdate /force
Observao: Observe que LON-CL1 conectado via IP-HTTPS. No painel Detalhes da Conexo,
no canto inferior direito da tela, observe o uso de Kerberos para a Mquina e o Usurio.
Resultados: Depois de concluir esse exerccio, voc ter verificado a configurao do DirectAccess.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 7-61
Mdulo 8
Instalao, configurao e soluo de problemas da funo
Servidor de Polticas de Rede
Contedo:
Viso geral do mdulo 8-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Instalao e configurao de um Servidor de Polticas
de Rede
O NPS implementado como uma funo de servidor no Windows Server 2012. Durante a instalao da
funo NPS, voc deve decidir se deseja usar o NPS como um servidor RADIUS, um proxy RADIUS ou um
servidor de poltica NAP. Depois da instalao, voc pode configurar a funo NPS usando vrias
ferramentas. Voc deve entender como instalar e configurar a funo NPS para oferecer suporte sua
infraestrutura RADIUS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Servidor RADIUS
Proxy RADIUS
Servidor RADIUS
O NPS realiza a autenticao, a autorizao e a contabilizao de conexes centralizadas para conexes
sem fio, de comutao de autenticao, bem como dial-up e VPN (rede virtual privada). Ao usar o NPS
como um servidor RADIUS, configure os servidores de acesso rede, como pontos de acesso sem fio e
servidores VPN, como clientes RADIUS no NPS. Configure tambm as polticas de rede que o NPS utiliza
para autorizar as solicitaes de conexo, de modo que seja possvel configurar a contabilizao RADIUS
para que o NPS registre as informaes de contabilizao em arquivos de log no disco rgido local ou em
um banco de dados Microsoft SQL Server.
Quando um servidor NPS for membro de um domnio AD DS (Servios de Domnio Active Directory), o NPS
usar o AD DS como seu banco de dados de conta de usurio e fornecer SSO (logon nico), o que significa
que os usurios utilizam o mesmo conjunto de credenciais para controle de acesso rede (autenticando e
autorizando acesso a uma rede), da mesma forma que acessam recursos no domnio AD DS.
Organizaes que mantm o acesso rede, como ISPs (provedores de servio de Internet), tm o desafio
de gerenciar vrios mtodos de acesso rede em um nico ponto de administrao, independentemente
do tipo de equipamento de acesso rede que eles utilizam. O padro RADIUS d suporte a este requisito.
RADIUS um protocolo de plataforma cliente-servidor que permite que os equipamentos de acesso
rede, usados como clientes RADIUS, enviem solicitaes de autenticao e contabilizao para um
servidor RADIUS.
Um servidor RADIUS tem acesso s informaes da conta do usurio e pode verificar as credenciais de
autenticao do acesso rede. Se as credenciais do usurio forem autnticas e o RADIUS autorizar a
tentativa de conexo, o servidor RADIUS autorizar o acesso do usurio de acordo com as condies
configuradas e registrar a conexo de acesso rede em um log de contabilizao. O uso do RADIUS
permite coletar e manter os dados da autenticao do usurio, da autorizao e da contabilizao de
acesso rede em um local central, e no em cada servidor de acesso.
Proxy RADIUS
quando o NPS for utilizado como um proxy RADIUS, configure polticas de solicitao de conexo que
indiquem quais solicitaes de conexo o servidor NPS encaminhar para outros servidores RADIUS e os
servidores RADIUS para os quais essas solicitaes sero encaminhadas. Voc tambm pode configurar o
NPS para encaminhar dados de contabilizao para registro em log por um ou mais computadores em
um grupo de servidores RADIUS remotos.
Com o NPS, sua organizao tambm pode terceirizar a infraestrutura de acesso remoto para um
provedor de servios, e ainda manter o controle sobre a autenticao do usurio, a autorizao e a
contabilizao.
Voc pode criar diferentes configuraes NPS para as seguintes solues:
Acesso Internet
Etapas da demonstrao
Instalar a funo NPS
1. Alterne para LON-DC1.
2. Abra o Gerenciador do Servidor e adicione a funo Servios de Acesso e Poltica de Rede.
3. Feche o Gerenciador do Servidor.
Registrar o NPS no AD DS
1. Abra o console Servidor de Polticas de Rede.
2. Registre o servidor no AD DS.
3. Deixe a janela Servidor de Polticas de Rede aberta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-5
Um exemplo do uso do netsh que, aps instalar e configurar o NPS, possvel salvar a
configurao, emitindo o comando netsh nps show config > path\file.txt. Salve a configurao
NPS com esse comando toda vez que fizer uma alterao.
Windows PowerShell. Voc tambm pode usar os cmdlets do Windows PowerShell para configurar e
gerenciar um Servidor de Polticas de Rede.
Por exemplo, para exportar a configurao NPS, voc pode usar o cmdlet Export-NpsConfiguration
-Path <nome de arquivo>.
Salvar a configurao.
Etapas da demonstrao
Salvar a configurao
1. Abra o Windows PowerShell.
Lio 2
Configurao de clientes e servidores RADIUS
RADIUS um protocolo de autenticao padro do setor usado por muitos fornecedores para oferecer
suporte troca de informaes de autenticao entre elementos de uma soluo de acesso remoto. Para
centralizar as necessidades da autenticao remota de sua organizao, voc pode configurar NPS como
um servidor RADIUS ou um proxy RADIUS. Ao configurar clientes e servidores RADIUS, voc deve
considerar vrios fatores, como os servidores RADIUS que autenticaro solicitaes de conexo de clientes
RADIUS e as portas que o trfego RADIUS usar.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor de polticas NAP,
configure os clientes RADIUS no NPS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-8 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Servidores de acesso rede que oferecem conectividade de acesso remoto rede de uma
organizao ou Internet, como um computador que est executando com o sistema operacional
Windows Server 2012 e o servio Roteamento e Acesso Remoto, que fornece servios tradicionais de
rede dial-up ou de acesso remoto VPN para a intranet de uma organizao.
Pontos de acesso sem fio que fornecem acesso camada fsica da rede de uma organizao usando
tecnologias de transmisso e recepo baseadas no padro sem fio.
Switches que fornecem acesso camada fsica da rede de uma organizao usando tecnologias
tradicionais de LAN (rede local), como a Ethernet.
Proxies RADIUS baseados no NPS que encaminham solicitaes de conexo para servidores RADIUS
que pertencem a um grupo de servidores remotos RADIUS configurado no proxy RADIUS ou em
outros proxies RADIUS.
Voc for um provedor de servios que oferece servios terceirizados de rede dial-up, VPN ou de
acesso rede sem fio para diversos clientes.
Seu NAS envia solicitaes de conexo ao proxy RADIUS NPS. Com base na parte do territrio do
nome do usurio contida na solicitao de conexo, o proxy RADIUS NPS encaminha a solicitao de
conexo para um servidor RADIUS mantido pelo cliente, e pode autenticar e autorizar a tentativa de
conexo.
Isso abrange as contas existentes em domnios no confiveis, domnios com relao de confiana
unidirecional e outras florestas. Em vez de configurar os servidores de acesso para enviar as
respectivas solicitaes de conexo para um servidor RADIUS NPS, voc pode configur-los para
enviar essas solicitaes para um proxy RADIUS NPS. O proxy RADIUS NPS usa a parte do nome de
realm do nome do usurio e encaminha a solicitao para um servidor NPS no domnio ou na floresta
corretos. As tentativas de conexo de contas do usurio em um domnio ou floresta podem ser
autenticadas para o NAS em outro domnio ou floresta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-9
Voc deseja executar autenticao e autorizao usando um banco de dados diferente de um banco
de dados da conta do Windows.
Etapas da demonstrao
1. Abra o Roteamento e acesso remoto.
2. Desabilite a configuration existente.
3. Reconfigure LON-RTR como um Servidor VPN com as seguintes informaes:
o Interface pblica: Conexo local 2
o O servidor VPN aloca endereos do pool: 172.16.0.100 a 172.16.0.110
o Opo para configurar o servidor: Sim, configure este servidor para funcionar com um
servidor RADIUS.
o Servidor RADIUS principal: LON-DC1
o Segredo: Pa$$w0rd
4. Inicie o servio VPN.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-10 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Voc pode criar uma srie de polticas de solicitao de conexo, de forma que algumas mensagens de
solicitao RADIUS enviadas de clientes RADIUS sejam processadas localmente (NPS um servidor
RADIUS) e que outros tipos de mensagens sejam encaminhados para outro servidor RADIUS (NPS um
proxy de RADIUS).
Com polticas de solicitao de conexo, voc pode usar NPS como um servidor RADIUS ou como um
proxy RADIUS, com base em uma variedade de fatores, incluindo:
Condies
Condies de poltica de solicitao de conexo so um ou mais atributos RADIUS comparados com os
atributos da mensagem de solicitao de acesso RADIUS recebida. Se existirem vrias condies, o NPS ir
impor a poltica somente se todas as condies contidas na mensagem de solicitao de conexo e na
poltica de solicitao de conexo forem correspondentes.
Configuraes
Configuraes de poltica de solicitao de conexo so um conjunto de propriedades aplicadas a uma
mensagem RADIUS recebida. As configuraes so formadas pelos seguintes grupos de propriedades:
Autenticao
Contabilizao
Manipulao de atributos
Avanado
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-11
A autenticao no configurada.
A manipulao de atributo no configurada com as regras que alteram os atributos nas solicitaes
de conexo encaminhadas.
A Solicitao de Encaminhamento ativada, o que significa que o servidor NPS local autentique e
autorize as solicitaes de conexo.
Para que o servidor NPS no atue como um servidor RADIUS e processe as solicitaes de conexo
localmente, exclua a poltica padro de solicitao de conexo.
Se voc preferir que o servidor NPS atue duplamente como um servidor RADIUS (processando as
solicitaes de conexo localmente) e como um proxy RADIUS (encaminhando algumas solicitaes
de conexo para um grupo de servidores remotos RADIUS), adicione uma nova poltica e verifique se
a poltica padro de solicitao de conexo a ltima processada.
Os valores 1812 para autenticao e 1813 para contabilizao representam as portas RADIUS padro
definidas nas RFCs 2865 e 2866. No entanto, por padro, muitos servidores de acesso usam as portas 1645
para solicitaes de autenticao e 1646 para solicitaes de contabilizao. Ao determinar os nmeros
de porta a serem usados, verifique se voc configura o NPS e o servidor de acesso para usar os mesmos
nmeros de porta. se voc no usar os nmeros de porta RADIUS padro, ser necessrio configurar as
excees no firewall do computador local para permitir o trfego RADIUS nas novas portas.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
Para configurar as informaes da porta UDP do NPS por meio da interface do Windows:
2. Clique com o boto direito do mouse em Servidor de Polticas de Rede e clique em Propriedades.
3. Clique na guia Portas e examine as configuraes para portas. Se as portas UDP de autenticao e
contabilizao RADIUS variarem dos valores padro fornecidos (1812 e 1645 para autenticao, e
1813 e 1646 para contabilizao), digite as configuraes da porta em Autenticao e
Contabilizao.
Etapas da demonstrao
1. Em LON-DC1, alterne para o console do Servidor de Polticas de Rede.
Lio 3
Mtodos de autenticao do NPS
O NPS autentica e autoriza uma solicitao de conexo antes de permitir ou negar acesso quando os
usurios tentam se conectar com sua rede atravs de servidores de acesso rede, tambm conhecidos
como clientes RADIUS, como pontos de acesso sem fio, switches de autenticao 802.1X, servidores dial-
up e servidores VPN.
Ao implantar o NPS, especifique o tipo necessrio de mtodo de autenticao para acessar a rede.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
possvel configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode configurar
os servidores de acesso rede, conhecidos tambm como clientes RADIUS, para tentar negociar uma
conexo com os computadores cliente, solicitando o uso do protocolo mais seguro em primeiro lugar, e
depois os mais seguros na ordem decrescente, e assim por diante, at o menos seguro. Por exemplo, o
servio Roteamento e Acesso Remoto tenta negociar uma conexo usando os protocolos a seguir na
ordem mostrada:
1. EAP
2. MS-CHAP v2
3. MS-CHAP
4. CHAP
5. SPAP
6. PAP
Quando o protocolo EAP escolhido como mtodo de autenticao, ocorre uma negociao do tipo EAP
entre o cliente de acesso e o servidor NPS.
MS-CHAP verso 2
O MS-CHAP v2 fornece uma segurana mais forte para as conexes de acesso rede, do que o MS-CHAP,
seu antecessor. O MS-CHAP v2 um processo unidirecional de autenticao mtua de senha
criptografada, que funciona como descrito a seguir:
1. O autenticador (o servidor de acesso rede ou o servidor NPS) envia um desafio para o cliente de
acesso, que consiste em um identificador de sesso e uma cadeia de caracteres de desafio qualquer.
2. O cliente de acesso envia uma resposta que contm:
o nome de usurio.
o Uma resposta autenticada com base na cadeia enviada de caracteres de desafio, na cadeia de
caracteres de desafio de pares, na resposta criptografada do cliente e na senha do usurio.
MS-CHAP
MS-CHAP, tambm conhecido como MS-CHAP verso 1, um protocolo de autenticao irreversvel por
senha criptografada.
1. O autenticador (o servidor de acesso rede ou o servidor NPS) envia um desafio para o cliente de
acesso, que consiste em um identificador de sesso e uma cadeia de caracteres de desafio qualquer.
2. O cliente de acesso envia uma resposta que contm o nome do usurio e uma criptografia irreversvel
da cadeia de caracteres de desafio, do identificador da sesso e da senha.
O MS-CHAP v2 fornece uma segurana mais forte do que o MS-CHAP para as conexes de acesso rede.
Considere o uso do MS-CHAP v2 em vez do MS-CHAP.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta.
Diversos fornecedores de servidores e clientes de acesso rede utilizam o CHAP. Um servidor que executa
o Roteamento e Acesso Remoto oferece suporte ao CHAP para permitir a autenticao dos clientes de
acesso que exigem esse protocolo. Uma vez que o protocolo CHAP requer o uso de uma senha de
criptografia reversvel, considere o uso de outro protocolo de autenticao, como o MS-CHAP v2.
Consideraes adicionais
Ao implementar CHAP, considere o seguinte:
Quando as senhas dos usurios expirarem, o CHAP no permitir que eles alterem as senhas durante
o processo de autenticao.
Verifique se no servidor de acesso rede h suporte para o protocolo CHAP, antes de habilit-lo em
uma poltica de rede do servidor NPS. Para obter mais informaes, consulte a documentao do NAS.
PAP
O PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro. Em geral,
esse protocolo negociado se o cliente de acesso e o servidor de acesso rede no puderem negociar
um mtodo de autenticao mais seguro. Quando voc habilitar o PAP como um protocolo de
autenticao, as senhas do usurio sero enviadas na forma de texto no criptografado. Quem estiver
capturando os pacotes do processo de autenticao poder ler a senha facilmente e utiliz-la para obter
acesso no autorizado sua intranet. Desestimulamos enfaticamente o uso do PAP, principalmente em
conexes VPN.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-17
Acesso no autenticado
Com o acesso no autenticado, as credenciais do usurio (um nome de usurio e senha) no so
necessrias. Embora haja algumas situaes em que o acesso no autenticado seja til, na maioria das
vezes, no recomendvel implantar esse tipo de acesso na rede de sua organizao.
Quando voc habilitar o acesso no autenticado, os usurios podero acessar sua rede sem enviar as
credenciais do usurio. Alm disso, clientes de acesso no autenticados no negociam o uso de um
protocolo de autenticao comum durante o processo de estabelecimento de conexo e eles no enviam
para o NPS um nome de usurio ou senha.
Se voc permitir o acesso no autenticado, os clientes podero se conectar sem autenticao se os
protocolos de autenticao configurados no cliente de acesso no corresponderem aos protocolos de
autenticao configurados no servidor de acesso rede. Nesse caso, o uso de um protocolo de
autenticao comum no negociado e o cliente de acesso no envia um nome de usurio e senha. Essa
circunstncia gera um problema de segurana grave. Portanto, o acesso no autenticado no deve ser
permitido na maioria das redes.
Mtodos de autenticao
Dois mtodos de autenticao, quando voc os configura com os tipos de autenticao baseada em
certificado, usam certificados: EAP e PEAP. Com o EAP, possvel configurar o tipo de autenticao TLS
(EAP-TLS), e com o PEAP, os tipos de autenticao TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-CHAP v2).
Esses mtodos de autenticao sempre utilizam certificados para a autenticao do servidor. De acordo
com o tipo de autenticao configurado no mtodo de autenticao, voc tambm pode usar certificados
para a autenticao de usurios e de computadores cliente.
Observao: Voc pode implantar certificados para serem utilizados com o NPS,
instalando e configurando a funo Servidor AD CS.
Autenticao mtua
Quando voc utilizar o EAP com um tipo forte de EAP (como o TLS com cartes inteligentes ou
certificados), tanto o cliente quanto o servidor usaro certificados para validar mutuamente suas
identidades, o que conhecido como autenticao mtua. Os certificados devem atender a requisitos
especficos para que o servidor e o cliente os utilizem na autenticao mtua.
Um desses requisitos que o certificado esteja configurado com um ou mais propsitos nas extenses
EKU (Uso Estendido de Chave), relacionadas ao uso do certificado. Por exemplo, voc deve configurar um
certificado que seja utilizado para a autenticao de um cliente com a finalidade de Autenticao de
Cliente. Da mesma forma, voc deve configurar um certificado que seja utilizado para a autenticao de
um servidor com a finalidade de Autenticao de Servidor. Quando voc usa certificados para
autenticao, o autenticador examina o certificado do cliente e procura o identificador correto do objeto
finalidade nas extenses EKU. Por exemplo, o identificador do objeto da finalidade Autenticao do
Cliente 1.3.6.1.5.5.7.3.2. Quando voc utiliza um certificado para autenticao de computadores cliente,
esse identificador de objeto deve estar presente nas extenses EKU do certificado, caso contrrio, a
autenticao falhar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-19
Modelos de certificado
Modelos de Certificado um snap-in do MMC que permite a personalizao dos certificados emitidos
pelo AD CS. As opes de personalizao abrangem o modo como os certificados sero emitidos e o que
contero, inclusive suas finalidades. Nos Modelos de Certificado, possvel usar um modelo padro, como
o modelo Computador, para definir o modelo que a autoridade de certificao usar para atribuir
certificados aos computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a
esse modelo nas extenses EKU. Por padro, o modelo Computador contm as finalidades Autenticao
de Cliente e Autenticao de Servidor nas extenses EKU.
O modelo de certificado criado pode conter qualquer finalidade para a qual voc o utilizar. Por exemplo,
se voc usar cartes inteligentes na autenticao, ser possvel incluir a finalidade Logon do Carto
Inteligente, alm da finalidade Autenticao de Cliente. Ao usar o NPS, voc pode configur-lo para
verificar as finalidades dos certificados antes de conceder autorizao para a rede. O NPS pode verificar
outras finalidades das EKUs e das Polticas de Emisso, conhecidas tambm como Polticas de Certificados.
(continuao)
Certificado de Sim. Voc pode Sim. Alm de usar o AD O servidor NPS envia o
servidor no configurar CS para certificados de certificado de servidor
repositrio de o AD CS para registrar servidor, voc pode para o computador
certificados do automaticamente os comprar os certificados cliente. O computador
servidor NPS certificados de servidor de servidor em outras cliente usa o certificado
para os membros do autoridades de para autenticar o
grupo de servidores RAS certificao com as quais servidor NPS.
e IAS no AD DS. j existe uma relao de
confiana com os
computadores cliente.
A autenticao Institute of Electrical and Electronics Engineers, Inc. (IEEE) 802.1X fornece acesso
autenticado s redes 802.11 sem fio e s redes Ethernet com fio. O padro 802.1X compatvel com os
tipos de EAP seguros, como o TLS com cartes inteligentes ou certificados. Voc pode configurar o 802.1X
com o EAP-TLS de vrias maneiras.
Se voc configurar a opo Validar certificado do servidor no cliente, o cliente autenticar o servidor
usando seu certificado. A autenticao de computadores cliente e de usurios acontece por meio dos
certificados do repositrio de certificados ou de um carto inteligente, fornecendo autenticao mtua.
Com os clientes de rede sem fio, use o PEAP-MS-CHAP v2 como mtodo de autenticao. PEAP-MS-CHAP
v2 um mtodo de autenticao de usurio, baseado em senha, que utiliza o TLS com certificados de
servidor. Durante a autenticao do PEAP-MS-CHAP v2, o servidor NPS fornece ao cliente um certificado
para validar sua identificao (se a opo Validar certificado de servidor estiver configurada no cliente
Windows 8). A autenticao de computadores cliente e de usurios feita com senhas, o que reduz uma
parte da dificuldade da implantao de certificados para os computadores cliente de rede sem fio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-21
b. No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c. Clique na guia Nome de Requerente e clique em Criar com base nas informaes do Active
Directory.
b. No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
b. No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c. Clique na guia Nome de Requerente e clique em Criar com base nas informaes do Active
Directory.
Com o PEAP e o EAP-TLS, os servidores NPS exibem uma lista de todos os certificados instalados no
repositrio de certificados de computador, com exceo de:
Uma autoridade de certificao corporativa emitiu o certificado de cliente ou ele foi mapeado para
uma conta de usurio ou de computador do Active Directory.
O cliente 802.1X no usa os certificados baseados no registro, que so certificados de logon por
carto inteligente ou protegidos por senha.
b. No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c. Clique na guia Nome de Entidade e clique em Criar com base nas informaes do Active
Directory.
b. No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c. Clique na guia Nome de Entidade e clique em Criar com base nas informaes do Active
Directory.
Com o PEAP-TLS e o EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in
de Certificados, com exceo de:
Clientes de rede sem fio que no exibem os certificados baseados em registro e de logon por cartes
inteligentes.
Clientes de rede sem fio e de VPN que no exibem os certificados protegidos por senha.
Certificados que no contm a finalidade Autenticao de Cliente nas extenses EKU.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-24 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Lio 4
Monitoramento e soluo de problemas de um Servidor
de Polticas de Rede
Para monitorar o NPS, voc pode configurar e usar o registro em log de eventos, bem como as
solicitaes de autenticao e contabilizao. O log de eventos permite que voc registre eventos do NPS
nos logs de eventos do sistema e de segurana. Voc pode usar o log de solicitaes para fins de
cobrana e anlise de conexo. As informaes que os arquivos de log coletam so teis para solucionar
problemas de tentativas de conexo para investigao de segurana.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Certifique-se de configurar o log de eventos com capacidade suficiente para manter os logs.
Faa backup de todos os arquivos de log regularmente, pois eles no podero ser recriados se forem
danificados ou excludos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-25
Use o atributo Class do RADIUS para controlar o uso e para simplificar a identificao do
departamento ou usurio a ser cobrado pelo uso. Embora o atributo Class, que gerado
automaticamente, seja exclusivo para cada solicitao, pode haver registros duplicados nos casos em
que a resposta ao servidor de acesso perdida e a solicitao enviada novamente. Pode ser
necessrio excluir as solicitaes duplicadas dos seus logs para controlar o uso mais precisamente.
Para fornecer failover e redundncia com o log do SQL Server, coloque dois computadores com SQL
Server em sub-redes diferentes. Use o Assistente para Criar Publicao do SQL Server para configurar
a replicao do banco de dados entre os dois servidores. Para obter mais informaes, consulte a
documentao do SQL Server.
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o NPS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
como \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando voc usar pipes nomeados.
Para criar o diretrio do arquivo de log, use variveis de ambiente do sistema (em vez de variveis do
usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar o caminho a
seguir usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
A alternncia dos formatos de arquivo de log no cria um novo log. Se voc alterar formatos de
arquivo de log, o arquivo que estiver ativo quando a alterao ocorrer conter uma mistura dos dois
formatos. Os registros no incio do log tero o formato anterior e os registros no fim do log tero o
novo formato.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-26 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes de contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC (Conveno de Nomenclatura
Universal), como \\MeuServidorDeLog\CompartilhamentoDeLog.
Se a contabilizao RADIUS falhar devido a um disco rgido cheio ou por outros motivos, o NPS
interromper o processamento de solicitaes de conexo, o que impedir que os usurios acessem
os recursos da rede.
O NPS permite que voc se conecte a um banco de dados do SQL Server alm de, ou em vez de, se
conectar a um arquivo local.
4. Em Propriedades do Arquivo de Log, na guia Arquivo de Log, em Diretrio, digite o local em que
voc deseja armazenar os arquivos de log do NPS. O local padro a pasta
systemroot\System32\LogFiles.
6. Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
o Para uma atividade de log e um volume de transaes menos intenso, clique em Semanalmente
ou Mensalmente.
7. Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-27
4. Em Registrar no log as seguintes informaes, selecione as informaes que deseja registrar no log:
o Para registrar em log todas as solicitaes de contabilizao, selecione as solicitaes de
contabilizao.
5. Para configurar o nmero de sesses simultneas que voc deseja permitir entre o servidor NPS e o
banco de dados do SQL Server, digite um nmero em Nmero mximo de sesses simultneas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-28 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
6. Para configurar a origem de dados do SQL Server, clique em Configurar. A caixa de dilogo
Propriedades do associao de dados aberta. Na guia Conexo, especifique o seguinte:
o Para especificar o nome do servidor no qual o banco de dados foi armazenado, digite ou
selecione um nome em Selecione ou insira um nome de servidor.
o Para especificar o mtodo de autenticao com o qual entrar no servidor, clique em Usar
segurana integrada do Windows NT ou clique em Usar uma senha e um nome de usurio
especficos e digite suas credenciais em Nome de usurio e Senha.
o Para especificar o banco de dados que dever ser conectado no computador que executa o SQL
Server, clique em Selecionar o banco de dados no servidor, e selecione um nome de banco de
dados na lista.
7. Para testar a conexo entre o servidor NPS e o computador que executa o SQL Server, clique em
Testar conexo.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
3. Na guia Geral, selecione cada uma das opes a seguir, conforme necessrio, e clique em OK:
Observao: Para concluir este procedimento, voc deve ser membro do grupo
Administradores do Domnio ou do grupo Administradores de Empresa.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-29
Usando os logs de eventos no Visualizador de Eventos, voc pode monitorar os erros do NPS e outros
eventos que o NPS tenha sido configurado para registrar.
Por padro, o NPS registra eventos de falha na solicitao de conexo nos logs de eventos de Sistema e
Segurana. Os eventos de falha na solicitao de conexo consistem em solicitaes que o NPS rejeita ou
descarta. Outros eventos de autenticao do NPS so registrados na assinatura do sistema do Visualizar
de Eventos na base das configuraes que voc especifica no snap-in NPS. Portanto, o log de segurana
do Visualizador de Eventos pode registrar alguns eventos que contm dados confidenciais.
O autenticador da mensagem (tambm conhecido como assinatura digital) que o cliente enviou no
vlido, pois o segredo compartilhado no vlido.
Quando o NPS aceita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao e o nome da primeira poltica de
rede correspondente.
O registro em log de falhas de validao do certificado de cliente um evento do canal seguro e no est
habilitado no servidor NPS, por padro. Voc pode habilitar eventos adicionais do canal seguro alterando
o seguinte valor da chave do Registro de 1 (tipo REG_DWORD, dados 0x00000001) para 3 (tipo
REG_DWORD, dados 0x00000003):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLoggi
ng
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-30 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
A A. Datum est expandindo sua soluo de acesso remoto organizao inteira. Isso exigir vrios
servidores VPN localizados em diferentes pontos para fornecer conectividade aos funcionrios. Voc
responsvel por executar as tarefas necessrias para dar suporte as essas conexes VPN.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Instalar e configurar o NPS para dar suporte ao RADIUS.
Configurao do laboratrio
Tempo previsto: 60 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
3. Usando o Gerenciador do Servidor, instale a funo Servios de Acesso e Poltica de Rede usando
valores padro para concluir o assistente de instalao.
4. Abra o console do Servidor de Polticas de Rede e registre o servidor no Active Directory.
2. Escolha a opo Efetue o registro em um arquivo de texto no computador local e use os valores
padro para concluir o assistente.
Resultados: Aps este exerccio, voc dever ter habilitado e configurado o NPS para dar suporte ao
ambiente necessrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
8-32 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
o O servidor configurado com a opo Sim, configurar este servidor para trabalhar com um
servidor RADIUS.
o Segredo: Pa$$w0rd
3. Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
o Restries: padro
o Configuraes: padro
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 8-33
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN e configurado-o como
um cliente RADIUS.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
Pergunta: O que voc deve considerar se optar por usar uma atribuio de porta no
padro para o trfego RADIUS?
Ferramentas
Ferramenta Use para Onde encontrar
Servidor de Polticas Gerenciar e criar polticas de rede Servidor de Polticas de Rede no menu
de Rede Ferramentas Administrativas
Ferramenta de linha Criar scripts administrativos para Em uma janela de Prompt de Comando,
de comando Netsh configurar e gerenciar a funo digite netsh c nps para administrar de
Servidor de Polticas de Rede um prompt de comando
Mdulo 9
Implementao da Proteo de Acesso Rede
Contedo:
Viso geral do mdulo 9-1
A NAP (Proteo de Acesso Rede) permite criar polticas personalizadas de requisitos de integridade
para validar a integridade do computador antes de permitir o acesso ou a comunicao. Alm disso, a
NAP atualiza automaticamente computadores compatveis para garantir a conformidade contnua e
limitar o acesso de computadores incompatveis a uma rede restrita at que se tornem compatveis.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar NAP.
Lio 1
Viso geral da Proteo de Acesso Rede
NAP uma plataforma de imposio de polticas interna dos sistemas operacionais Windows 8,
Windows 7, Windows Vista, Windows XP com Service Pack 3 (SP3), Windows Server 2008,
Windows Server 2008 R2 e Windows Server 2012. possvel usar a NAP para proteger ativos de rede com
mais eficincia, impondo a conformidade com os requisitos de integridade do sistema. A NAP fornece os
componentes de software necessrios para ajudar a garantir que os computadores conectados ou que se
conectam rede permaneam gerenciveis, de maneira que no se tornem um risco segurana da rede
corporativa e a outros computadores conectados.
A compreenso da funcionalidade e das limitaes da NAP ajudar a proteger a rede dos riscos
segurana impostos por computadores incompatveis.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como possvel usar a NAP para impor requisitos de integridade do computador.
Voc pode integrar os recursos de imposio da NAP com software de outros fornecedores ou com
programas personalizados.
importante lembrar que a NAP no protege uma rede contra usurios mal-intencionados. Em vez disso,
ela ajuda voc a manter automaticamente a integridade dos computadores em rede na sua organizao,
o que ajuda a manter a integridade geral da rede. Por exemplo, se tiver todas as configuraes e software
exigidos pela poltica de integridade, um computador ser compatvel e ter acesso ilimitado rede. No
entanto, a NAP no impede um usurio autorizado com um computador compatvel de carregar um
programa mal-intencionado na rede ou de empregar outro comportamento inapropriado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-3
Para validar o estado de integridade. Quando um computador tenta se conectar rede, a NAP valida
o estado de integridade do computador em relao s polticas de requisito de integridade definidas
pelo administrador. Voc tambm pode definir o que dever ser feito no caso de incompatibilidade
de um computador. Em um ambiente somente de monitoramento, todos os computadores tm o
estado de integridade avaliado e a NAP registra o estado de conformidade de cada computador para
anlise. Em um ambiente de acesso limitado, os computadores em conformidade com as polticas de
requisito de integridade tm acesso ilimitado rede. Os computadores fora de conformidade com as
polticas de requisito de integridade podem ter o acesso limitado a uma rede restrita.
Para impor a conformidade com a poltica de integridade. possvel ajudar a garantir a conformidade
com polticas de requisito de integridade optando por atualizar computadores no compatveis
automaticamente com atualizaes de software no encontradas ou alteraes de configurao por
meio do software de gerenciamento, como Microsoft System Center Configuration Manager. Em um
ambiente somente de monitoramento, a NAP ir garantir que os computadores atualizem o acesso
rede antes de receberem atualizaes obrigatrias ou alteraes de configurao. Em um ambiente
de acesso limitado, os computadores incompatveis tm acesso limitado at que as atualizaes e
alteraes de configurao sejam concludas. Em ambos os ambientes, os computadores em
conformidade com a NAP podem se tornar compatveis de forma automtica e voc pode definir
excees para computadores que no so compatveis com a NAP.
Para limitar o acesso rede. voc pode proteger suas redes limitando o acesso de computadores no
compatveis. Voc pode basear o acesso limitado rede em um perodo especfico ou nos recursos
que o computador incompatvel poder acessar. Nesse ltimo caso, voc define uma rede restrita que
contenha os recursos de atualizao de integridade, e o acesso limitado durar at o computador se
tornar compatvel. Tambm possvel configurar excees para que os computadores que no forem
compatveis com a NAP no tenham acesso limitado rede.
Cenrios de NAP
O NAP fornece uma soluo para os cenrios
comuns, como laptops em roaming,
computadores desktop, laptops visitantes e
computadores no gerenciados. Dependendo das
suas necessidades, voc pode configurar uma
soluo para atender a alguns ou a todos esses
cenrios de rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-4 Implementao da Proteo de Acesso Rede
Laptops em roaming
Portabilidade e flexibilidade so as duas principais vantagens de um laptop, mas esses recursos tambm
apresentam uma ameaa integridade do sistema. Os usurios conectam seus laptops a outras redes com
frequncia. Enquanto os usurios esto fora da sua organizao, os respectivos laptops podem no
receber as atualizaes mais recentes de software ou as alteraes de configurao. Alm disso, a
exposio s redes sem proteo, como a Internet, pode representar para os laptops ameaas
relacionadas segurana. A NAP permite verificar o estado de integridade de qualquer laptop quando ele
se reconecta rede da organizao, seja por meio de uma VPN (rede virtual privada), uma conexo
DirectAccess do Windows 8 ou conexo de rede do local de trabalho.
Computadores desktop
Embora normalmente no usem computadores desktop fora do prdio da empresa, os usurios ainda
podem representar uma ameaa rede. Para minimizar essa ameaa, voc deve manter esses
computadores com o software e as atualizaes mais recentes necessrios. Caso contrrio, esses
computadores podero ser infectados por meio de sites, emails, arquivos de pastas compartilhadas e
outros recursos de acesso pblico. possvel usar a NAP para automatizar as verificaes do estado de
integridade para verificar a conformidade de cada computador desktop com as polticas de requisito de
integridade. Voc pode verificar arquivos de log para determinar os computadores incompatveis. Alm
disso, usando o software de gerenciamento, possvel gerar relatrios automticos e atualizar
computadores no compatveis automaticamente. Ao alterar as polticas de requisito de integridade, voc
pode configurar a NAP para provisionar computadores automaticamente com as atualizaes mais
recentes.
Laptops de visitantes
As organizaes geralmente precisam permitir que consultores, parceiros de negcios e convidados se
conectem s suas redes privadas. Os laptops que esses visitantes trazem para a sua organizao podem
no atender aos requisitos de integridade do sistema e podem apresentar riscos integridade. A NAP
permite determinar os laptops de visitantes que no forem compatveis e, nesse caso, limitar seu acesso a
redes restritas. Normalmente, voc no exige nem fornece atualizaes ou alteraes de configurao
para os laptops de visitantes. possvel configurar o acesso Internet dos laptops de visitantes, mas no
de outros computadores organizacionais que tm acesso limitado.
Conexes de rede autenticadas pelo IEEE (Institute of Electrical and Electronics Engineers) 802.1X. A
imposio do IEEE 802.1X exige que um computador seja compatvel para obter acesso rede
ilimitado por meio de uma conexo de rede autenticada por IEEE 802.1X. Entre os exemplos desse
tipo de conexo de rede esto um comutador Ethernet de autenticao ou um PA (ponto de acesso)
sem fio IEEE 802.11.
Conexes VPN de acesso remoto. A imposio da VPN exige que um computador seja compatvel
para obter acesso ilimitado rede por meio de uma conexo VPN de acesso remoto. Para
computadores no compatveis, o acesso rede limitado por um conjunto de filtros de pacote IP
que o servidor VPN aplica conexo VPN.
Configuraes de endereo DHCP (Dynamic Host Configuration Protocol). A imposio do DHCP exige
que um computador seja compatvel para obter uma configurao de endereo protocolo IP verso 4
(IPv4) com acesso ilimitado de um servidor DHCP. No caso de computadores incompatveis, o acesso
rede restrito com uma configurao de endereo IPv4 que limita o acesso rede restrita.
Componentes Descrio
Clientes NAP Esses computadores do suporte plataforma NAP para comunicao e para
validao antes do acesso rede de integridade de um sistema.
Pontos de imposio Eles so computadores ou dispositivos de acesso rede que usam NAP ou
de NAP que possvel usar com NAP para exigir a avaliao do estado de
integridade de um cliente NAP e que permitem a comunicao ou o acesso
rede restrita. Os pontos de imposio da NAP usam um NPS que funciona
como um servidor de polticas de integridade da NAP para avaliar o estado
de integridade dos clientes NAP, seja para permitir o acesso rede ou a
comunicao, e o conjunto de aes de correo que um cliente NAP no
compatvel deve realizar.
Os pontos de imposio de NAP incluem o seguinte:
o HRA (Autoridade de Registro de Integridade). Um computador que
executa o Windows Server 2012 e o IIS (Servios de Informaes da
Internet) e obtm certificados de integridade de uma AC (autoridade de
certificao) para computadores compatveis.
o Servidor VPN. Um computador que executa o Windows Server 2012 e o
Roteamento e Acesso Remoto e que habilita conexes VPN de acesso
remoto da intranet por meio de acesso remoto.
o Servidor DHCP. Um computador que executa o Windows Server 2012 e o
servio Servidor DHCP, alm de fornecer configurao automtica de
endereo IPv4 aos clientes DHCP da intranet.
o Dispositivos de acesso rede. Eles so comutadores Ethernet ou pontos
de acesso sem fio compatveis com a autenticao IEEE 802.1X
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-7
(continuao)
Componentes Descrio
Lio 2
Viso geral dos processos de aplicao da NAP
Ao tentar acessar ou se comunicar na rede, um cliente precisa apresentar a conformidade com a
declarao de integridade ou a comprovao de integridade. Se um cliente no puder provar que est em
conformidade com os requisitos de integridade do sistema, como ter o sistema operacional mais recente
e as atualizaes de antivrus instalados, ser possvel limitar o acesso ou a comunicao na rede para
uma rede restrita que contm recursos de servidor. possvel restringir o acesso at voc resolver os
problemas de conformidade de integridade. Depois que as atualizaes forem instaladas, o cliente
solicitar acesso rede ou tentar a comunicao novamente. Se houver compatibilidade, o cliente
receber acesso ilimitado rede ou a comunicao ser permitida.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Embora o cliente NAP tenha acesso ilimitado intranet, ele acessa o servidor de atualizaes para
garantir que continua compatvel. Se o cliente NAP tiver acesso limitado, ele se comunicar com o
servidor de atualizaes para tornar-se compatvel, de acordo com as instrues do servidor de
poltica de integridade de NAP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-9
A HRA envia mensagens RADIUS para o servidor de poltica de integridade de NAP que contm o
estado de integridade do sistema do cliente NAP. O servidor de polticas de integridade NAP envia
mensagens RADIUS para indicar que o cliente NAP tem:
o Acesso ilimitado porque compatvel. Com base na resposta, a HRA obtm um certificado de
integridade e, em seguida, o envia ao cliente NAP.
o Acesso limitado at ele realizar um conjunto de funes de correo. Com base na resposta, a HRA
no emite um certificado de integridade para o cliente NAP.
O dispositivo de acesso rede 802.1X envia mensagens RADIUS para transferir mensagens PEAP
(Protected Extensible Authentication Protocol) enviadas por um cliente NAP 802.1X. O servidor de
poltica de integridade de NAP envia mensagens RADIUS para:
o Indicar um perfil de acesso limitado para inserir o cliente 802.1X em uma rede restrita at que ele
execute uma srie de funes de correo.
O servidor VPN envia mensagens RADIUS para transferir mensagens PEAP enviadas por um cliente
NAP com base em VPN. O servidor de poltica de integridade de NAP envia mensagens RADIUS para:
O servidor DHCP envia as mensagens RADIUS do servidor de poltica de integridade de NAP que
contm o estado de integridade do sistema do cliente DHCP. O servidor de polticas de integridade
NAP envia mensagens RADIUS ao servidor DHCP para indicar que o cliente DHCP tem:
Ao realizar a validao do acesso rede para um cliente NAP, o servidor de polticas de integridade
de NAP pode ter que entrar em contato com um servidor de requisitos de integridade para obter
informaes sobre os requisitos atuais para a integridade do sistema.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-10 Implementao da Proteo de Acesso Rede
O cliente NAP executa autenticao da conexo 802.1X e fornece o estado de integridade de sistema
atual ao servidor de polticas de integridade NAP.
O servidor de polticas de integridade NAP fornece instrues corretivas (se o cliente 802.1X for
incompatvel) ou indica que o cliente 802.1X tem acesso ilimitado rede.
O cliente NAP que atua como um cliente VPN indica seu estado de integridade de sistema atual ao
servidor de poltica de integridade de NAP.
O servidor de poltica de integridade de NAP responde com mensagens para fornecer instrues
corretivas (se o cliente VPN for incompatvel) ou para indicar que o cliente VPN tem acesso ilimitado
intranet.
A NAP encaminha essas mensagens pelo servidor VPN.
O cliente NAP, tambm o cliente DHCP, se comunica com o servidor DHCP para obter uma
configurao vlida de endereo IPv4 e para indicar o estado de integridade atual do sistema.
O servidor DHCP aloca uma configurao de endereo IPv4 para a rede restrita e fornece instrues
corretivas (se o cliente DHCP for incompatvel) ou ele aloca uma configurao de endereo IPv4 para
acesso ilimitado (se o cliente DHCP for compatvel).
Imposio IPsec
Com a imposio IPsec, um computador deve ser
compatvel para iniciar comunicaes com outros
computadores compatveis. Por conta da
imposio NAP com base em IPsec, possvel
definir requisitos para comunicaes protegidas
com computadores compatveis com base em
uma das seguintes caractersticas de comunicao:
Endereo IP
Os componentes da imposio IPsec consistem em uma HRA que esteja executando o Windows Server
2012 e um cliente de imposio IPsec em um dos seguintes sistemas operacionais:
Windows Vista
Windows 7
Windows 8
A HRA obtm certificados X.509 para clientes NAP quando os clientes provam que so compatveis. Em
seguida, esses certificados de integridade autenticam clientes NAP quando eles iniciam comunicaes
protegidas por IPsec com outros clientes NAP em uma intranet.
A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec, ignorando as tentativas
de comunicao enviadas por computadores que no podem negociar a proteo IPsec usando
certificados de integridade. Ao contrrio da imposio 802.1X e VPN, em que a imposio ocorre no
ponto de entrada da rede, cada computador executa a imposio IPsec. Como possvel usufruir as
configuraes de poltica IPsec, a imposio de certificados de integridade pode ser feita para qualquer
um dos seguintes:
A imposio de IPsec mais complexa de implementar que outros mtodos de imposio, porque
exige uma HRA e uma AC.
Imposio 802.1x
Com a imposio de 802.1X, um computador deve
ser compatvel para obter acesso ilimitado rede
por meio de uma conexo de rede autenticada
com 802.1X, como a autenticao de um
comutador Ethernet ou um PA sem
fio IEEE 802.11.
Quando um computador no for compatvel, o comutador colocar o computador em uma VLAN parte
ou usar filtros de pacote para restringir acesso apenas aos servidores de atualizaes.
Use a imposio de 802.1X para computadores internos. Esse tipo de imposio apropriado a
computadores de rede local (LAN) com conexes com e sem fio.
No possvel usar a imposio de 802.1X caso os comutadores e os PAs sem fio no deem suporte
ao uso de 802.1X para autenticao.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-13
Imposio VPN
A imposio VPN impe os requisitos de poltica
de integridade toda vez que um computador
tenta obter uma conexo VPN de acesso remoto
rede. A imposio VPN tambm monitora
ativamente o status de integridade do cliente NAP
e aplica os filtros de pacote IP da rede restrita
conexo VPN se o cliente se tornar incompatvel.
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2008
A imposio VPN fornece um rgido acesso limitado rede para todos os computadores que acessam a
rede por meio de uma conexo VPN de acesso remoto. A imposio de VPN usa um conjunto de filtros
de pacote IP de acesso remoto para limitar o trfego de cliente VPN, de forma que ele s possa alcanar
os recursos na rede restrita. O servidor VPN aplica os filtros de pacote IP ao trfego IP recebido do cliente
VPN e descarta silenciosamente todos os pacotes no correspondentes a um filtro de pacote configurado.
A imposio de VPN mais apropriada a situaes nas quais voc j esteja usando a VPN.
improvvel que voc implemente conexes VPN em uma rede interna para usar a imposio
de VPN.
Use a imposio de VPN para garantir que membros do pessoal se conectem a partir de
computadores residenciais que no estejam inserindo malware rede. Os usurios no costumam
manter os computadores residenciais corretamente e eles podem representar um alto risco. Muitos
usurios no tm software antivrus ou no aplicam atualizaes do Windows regularmente.
Use a imposio de VPN para garantir que laptops em roaming no estejam inserindo malware na
rede. Os laptops em roaming esto mais suscetveis a malware do que computadores diretamente na
rede corporativa, porque eles talvez no possam baixar atualizaes de vrus e do Windows fora da
rede corporativa. Eles tambm tm mais chances de estarem em ambientes nos quais o malware
esteja presente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-14 Implementao da Proteo de Acesso Rede
Imposio DHCP
O DHCP impe os requisitos de poltica de
integridade toda vez que um cliente DHCP tenta
conceder ou renovar uma configurao de
endereo IP. A imposio DHCP tambm monitora
ativamente o status de integridade do cliente NAP
e, se o cliente se tornar incompatvel, renova a
configurao do endereo IPv4 para acesso
somente rede restrita.
Os componentes de uma imposio DHCP
consistem em um servio de imposio DHCP que
faz parte do servio Servidor DHCP no Windows
Server 2012 e em um cliente de imposio DHCP
que faz parte do servio Cliente DHCP no:
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Como a imposio DHCP depende de uma configurao de endereo IPv4 limitada que um usurio com
acesso no nvel de administrador pode substituir, ela a forma mais fraca de acesso limitado rede na NAP.
A configurao de endereo DHCP limita o acesso rede do cliente DHCP por meio de sua tabela de
roteamento IPv4. A imposio DHCP define o valor da opo de Roteador DHCP como 0.0.0.0, de forma
que o computador no compatvel no ter um gateway padro configurado. Alm disso, essa imposio
define a mscara de sub-rede do endereo IPv4 alocado como 255.255.255.255, de forma que no haja
nenhuma rota para a sub-rede conectada.
Para permitir que o computador no compatvel acesse os servidores de atualizaes da rede restrita, o
servidor DHCP atribui a opo DHCP de Rotas Estticas sem Classe. Essa opo contm rotas de host para
os computadores da rede restrita, como o DNS e os servidores de atualizaes. O resultado do acesso
limitado rede por DHCP uma tabela de configurao e roteamento que permite a conectividade
somente para endereos de destino especficos que correspondem rede restrita. Portanto, quando um
aplicativo tenta fazer envios para um endereo IPv4 unicast que no seja nenhum dos fornecidos pela
opo Rotas Estticas sem Classe, o protocolo TCP/IP retorna um erro de roteamento.
A imposio de DHCP fcil de evitar. Um cliente pode evitar a imposio de DHCP usando um
endereo IP esttico. Alm disso, um computador no compatvel poderia adicionar rotas de host
estticas para alcanar servidores que no sejam servidores de atualizaes.
A imposio de DHCP no possvel para clientes IPv6. Se os computadores na rede usam endereos
IPv6 para se comunicarem, a imposio de DHCP ser ineficiente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-15
Lio 3
Configurao de NAP
Se voc quiser que a implantao de NAP funcione de maneira ideal, ser importante que voc
compreenda o que cada um dos componentes NAP faz, alm de como eles interagem para proteger a
rede. Se quiser proteger a rede usando a NAP, voc precisar compreender os requisitos de configurao
do cliente NAP, bem como a maneira de configurar o NPS como um servidor de polticas de integridade
NAP, configurar polticas de integridade e polticas de rede, alm de definir as configuraes de cliente e
servidor. Tambm importante testar a NAP antes de us-la.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O SHV retorna a uma resposta SoHR para o Servidor de Administrao de NAP. A SoHR pode conter
informaes de correo sobre como o SHA correspondente no cliente NAP pode atender aos requisitos
atuais de integridade do sistema. Por exemplo, a SoHR que o SHV do antivrus envia poderia instruir o
SHA do antivrus do cliente NAP a solicitar a verso mais recente, por nome ou endereo IP, do arquivo
de assinatura de antivrus de um servidor de assinatura de antivrus especfico.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-16 Implementao da Proteo de Acesso Rede
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
2. Na rvore de console, clique duas vezes em Poltica de Computador Local, clique duas vezes em
Configurao do Computador, em Modelos Administrativos, em Componentes do Windows e
em Central de Segurana.
3. Clique duas vezes em Ativar a Central de Segurana (somente PCs no domnio), clique em
Habilitado e clique em OK.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-18 Implementao da Proteo de Acesso Rede
2. Na lista de servios, role para baixo e clique duas vezes em Agente de Proteo de Acesso Rede.
2. Clique em Clientes de Imposio. No painel de detalhes, clique com o boto direito do mouse no
cliente de imposio a habilitar ou desabilitar e clique em Habilitar ou Desabilitar.
Observao: Para executar esse procedimento, voc deve ser membro do grupo
Administradores no computador local ou ter recebido a autoridade apropriada. Se o computador
estiver em um domnio, os membros do grupo Administradores do Domnio podero executar
esse procedimento. Como uma prtica recomendada de segurana, considere adotar esse
procedimento usando o comando Executar como.
Testar a NAP.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-19
Etapas da demonstrao
Instalar a funo de servidor NPS
1. Alterne para LON-DC1 e entre como um administrador de domnio.
2. Abra o Gerenciador do Servidor e instale a funo Ferramentas de Servios de Acesso e Poltica
de Rede.
Testar a NAP
1. Verifique a configurao obtida usando ipconfig.
2. Desabilite e pare o servio Firewall do Windows.
3. Na rea Bandeja do Sistema, clique no aviso pop-up Proteo de Acesso Rede. Revise as
informaes na caixa de dilogo Proteo de Acesso Rede. Clique em Fechar.
4. Verifique a configurao obtida usando ipconfig.
5. Observe que o computador tem uma mscara de sub-rede 255.255.255.255 e um sufixo DNS
restricted.Adatum.com. Deixe todas as janelas abertas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-20 Implementao da Proteo de Acesso Rede
Lio 4
Monitoramento e soluo de problemas da NAP
A soluo de problemas e o monitoramento da NAP so tarefas administrativas importantes, em virtude
dos diferentes nveis de tecnologia, incluindo especializao tcnica e pr-requisitos variados, para
cada mtodo de imposio de NAP. Os logs de rastreamento esto disponveis para NAP, mas esto
desabilitados, por padro. Esses logs servem para duas finalidades: soluo de problemas e avaliao
da integridade e da segurana de uma rede.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever como o rastreamento de NAP pode ajudar a monitorar e solucionar problemas de NAP.
Alm do log de rastreamento, voc pode exibir os logs de contabilizao do NPS. Esses logs podem
conter informaes teis sobre a NAP. Por padro, os logs de contabilizao do NPS esto localizados em
%systemroot%\system32\logfiles.
Os logs a seguir podem conter informaes relacionadas NAP:
IASNAP.LOG. Ele contm dados detalhados sobre processos NAP, autenticao NPS e autorizao NPS.
2. Na rvore de console, clique com o boto direito do mouse em Configurao de Cliente NAP
(Computador Local) e clique em Propriedades.
Observao: Para executar esse procedimento, voc deve ser membro do grupo Administradores
no computador local ou ter recebido a autoridade apropriada. Como uma prtica recomendada de
segurana, considere executar essa operao usando o comando Executar Como.
4. Se Habilitado for escolhido, em Especifique o nvel de detalhamento para a gravao dos logs de
rastreamento, selecione Bsico, Avanado ou Depurar.
o Para habilitar o rastreamento de NAP para informaes de depurao, digite: netsh nap client
set tracing state=enable level =verbose
o Para desabilitar o rastreamento de NAP, digite: netsh nap client set tracing state=disable
Observao: Para executar esse procedimento, voc deve ser membro do grupo Administradores
no computador local ou ter recebido a autoridade apropriada. Como uma prtica recomendada de
segurana, considere executar essa operao usando o comando Executar Como.
Demonstration
Esta demonstrao mostra como:
Configurar o rastreamento na GUI.
Etapas da demonstrao
Comandos Netsh
Use o comando netsh NAP para ajudar na soluo
de problemas de NAP. O seguinte comando exibe
o status de um cliente NAP, inclusive:
Estado de restrio
Configuraes de criptografia
Configuraes de criptografia
Ocorre quando um cliente NAP se autentica com xito e, dependendo de seu estado de integridade,
obtm acesso restrito ou total rede.
Identificao do Evento 6277. O Servidor de Polticas de Rede concedeu acesso a um usurio, mas o
colocou em experincia, pois o host no atendeu poltica de integridade definida.
Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso total rede por tempo
limitado quando a data especificada na poltica tiver passado.
Identificao do Evento 6278. O Servidor de Polticas de Rede concedeu acesso total a um usurio,
pois o host atendeu poltica de integridade definida.
Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso total rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-24 Implementao da Proteo de Acesso Rede
Para ajudar a aumentar os requisitos de segurana e conformidade, A. Datum deve estender a soluo
de VPN para incluir a NAP. Voc precisa estabelecer uma maneira de verificar e, se necessrio, colocar
automaticamente computadores clientes em conformidade sempre que se conectarem remotamente
usando a conexo VPN. Voc realizar essa meta usando o NPS para criar configuraes da validao de
integridade do sistema, polticas de rede e integridade e configurando a NAP para verificar e solucionar a
integridade do cliente.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
5. Realize as etapas de 2 a 4 para 24411B-LON-CL2 e 24411B-LON-RTR.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 9-25
8. Usando Gerenciador do Servidor, instale o Servidor NPS com os seguintes servios de funo:
11. Na guia Windows 8/Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto
Firewall habilitado para todas as conexes de rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-26 Implementao da Proteo de Acesso Rede
o Nome: Compatvel
o Nome: No compatvel
d. Edite Microsoft: EAP protegido (PEAP) para verificar se Impor Proteo de Acesso
Rede est habilitada.
Resultados: Depois desse exerccio, voc deve ter instalado e configurado os componentes da NAP
obrigatrios, criado as polticas de integridade e rede, alm das polticas de solicitao de conexo.
o Tipo: Personalizada
o Todos os Programas
o Escopo padro
Resultados: Aps este exerccio, voc dever ter criado um servidor VPN e configurado a comunicao
de entrada.
5. Execute services.msc e configure o servio Agente de Proteo de Acesso Rede para inicializao
automtica.
6. Inicie o servio.
5. Ping 172.16.0.10.
11. Execute o comando ipconfig /all para verificar se Estado de Quarentena do Sistema Restrito.
Resultados: Depois deste exerccio, voc dever ter criado uma nova conexo VPN em LON-CL2 e
habilitado, alm de testado a NAP em LON-CL2.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
9-30 Implementao da Proteo de Acesso Rede
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
Quais so as trs principais configuraes de cliente que voc precisa definir para a maioria
das implantaes de NAP?
Pergunta: Voc deseja avaliar a integridade e a segurana gerais dos computadores com
imposio de NAP. O que voc precisa fazer para comear a registrar eventos de NAP?
Pergunta: Em um computador cliente, quais etapas voc deve executar para garantir a
avaliao da integridade?
Ferramentas
Ferramenta Use para Onde encontrar
Netsh nap Usando netsh, possvel criar Abra uma janela de comando com direitos
scripts para configurar administrativos e digite netsh c nap. Voc
automaticamente um conjunto de pode digitar help para obter uma lista
NAPs, bem como para exibir a completa de comandos disponveis.
configurao e o status do servio
do cliente NAP.
Mdulo 10
Otimizao de Servios de Arquivo
Contedo:
Viso geral do mdulo 10-1
A funo de servidor Servios de Arquivo e Armazenamento do Windows Server 2012 foi projetada para
ajudar administradores em um ambiente corporativo a gerenciar o volume de dados em constante
crescimento e mudana. Quando os requisitos de armazenamento mudam e os dados armazenados
tambm so alterados, voc precisa gerenciar uma infraestrutura de armazenamento cada vez maior e
complexa. Portanto, para atender s necessidades da organizao, voc precisa compreender e controlar
como os recursos de armazenamento existentes so usados.
Este mdulo apresenta o FSRM e o DFS (sistema de arquivos distribudo), duas tecnologias que possvel
usar para resolver e gerenciar esses problemas.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever o FSRM.
Descrever o DFS.
Lio 1
Viso geral do FSRM
FSRM um conjunto de ferramentas que permitem compreender, controlar e gerenciar a quantidade e o
tipo de dados armazenados nos servidores. Usando-se o FSRM, possvel colocar cotas em volumes de
armazenamento, fazer triagem de arquivos e pastas, gerar relatrios de armazenamento abrangentes,
controlar a infraestrutura de classificao de arquivos e usar tarefas de gerenciamento para executar aes
agendadas em conjuntos de arquivos. Essas ferramentas ajudam a monitorar recursos de armazenamento
existentes e auxiliam no planejamento e na implementao de futuras alteraes na poltica.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
O que o FSRM?
FSRM um servio de funo da funo Servios
de Arquivo no Windows Server 2012. possvel
instal-lo como parte da funo Servios de
Arquivo usando-se o Gerenciador do Servidor.
Assim, possvel usar o console FSRM para
gerenciar o FSRM no servidor. O FSRM
deve funcionar como uma soluo de
gerenciamento de capacidade para o servidor
Windows Server 2012. Ele fornece um conjunto
robusto de ferramentas e recursos que permitem
gerenciar efetivamente e monitorar a capacidade
de armazenamento de seu servidor.
O FSRM contm cinco componentes que funcionam juntos para fornecer uma soluo de gerenciamento
de capacidade.
Gerenciamento de Cota
Gerenciamento de cota um componente que permite criar, gerenciar e obter informaes sobre cotas
que so usadas para definir limites de armazenamento em volumes ou pastas (e o respectivo contedo).
Definindo limites de notificao, possvel enviar notificaes por email, registrar em log um evento,
executar um comando ou script ou gerar relatrios quando os usurios se aproximam ou excedem uma
cota. O gerenciamento de cota tambm permite criar e gerenciar modelos de cota para simplificar o
processo de gerenciamento de cota.
Assim como o gerenciamento de cota, o gerenciamento de triagem de arquivo permite criar e gerenciar
modelos de triagem de arquivo para simplificar o gerenciamento de triagem de arquivo. Tambm
possvel criar grupos de arquivos que permitem gerenciar quais tipos de arquivo podem ser bloqueados
ou permitidos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-5
Uso de cota.
Arquivos que podem afetar negativamente o gerenciamento de capacidade, como arquivos grandes,
duplicados ou no usados.
Arquivos de lista e filtro de acordo com proprietrio, grupo de arquivos ou uma propriedade de
arquivo especfica.
Gerenciamento de Classificao
Gerenciamento de Classificao um componente que permite criar e gerenciar propriedades de
classificao que possvel atribuir aos arquivos. possvel atribuir valores de propriedade a arquivos
usando regras de classificao que podem ser se aplicadas sob demanda ou com base em uma agenda. A
classificao permite categorizar e gerenciar arquivos usando uma matriz ampla de propriedades para
identificar e agrupar os arquivos.
Observao: Os volumes gerenciados pelo FSRM devem ser formatados usando-se o sistema de
arquivos NTFS. O FSRM est presente no Windows Server 2003 Service Pack 1 (SP1) e mais recentes.
O FSRM tem vrias opes de configurao que se aplicam globalmente a todos os componentes
do FSRM.
2. No painel esquerdo, clique com o boto direito do mouse no n raiz Gerenciador de Recursos de
Servidor de Arquivos e clique em Configurar Opes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-6 Otimizao de Servios de Arquivo
Opes FSRM
Na caixa de dilogo de propriedades Opes do Gerenciador de Recursos de Servidor de Arquivos,
vrias guias permitem configurar diversos aspectos do FSRM. As seguintes guias esto disponveis na caixa
de dilogo de propriedades Opes do Gerenciador de Recursos de Servidor de Arquivos:
Guia Notificaes de Email. Esta guia permite fornecer o nome ou o endereo de um nome de
servidor SMTP, alm de outros detalhes que o FSRM usar para enviar notificaes por email.
Guia Limites de Notificao. Os limites de notificao permitem especificar um perodo que o FSRM
aguardar entre o envio de notificaes para evitar notificaes em excesso de uma cota excedida
repetidamente ou de uma deteco de arquivo no autorizado. Isso permite definir valores separados
para notificaes por email, entradas registradas no log de eventos, comandos executados ou
relatrios gerados. O valor padro de cada 60 minutos.
Guia Relatrios de Armazenamento. Esta guia permite configurar e exibir os parmetros padro de
qualquer relatrio de armazenamento existente. Guia Locais de Relatrio. Esta guia permite exibir e
modificar o local no qual os trs tipos diferentes de relatrios de armazenamento so armazenados:
relatrios de incidentes, relatrios agendados e relatrios sob demanda. Por padro, cada categoria
armazenada na prpria pasta: %systemdrive%\Relatrios de Armazenamento.
Guia Auditoria da Triagem de Arquivo. Nesta guia, uma nica caixa de seleo permite habilitar ou
desabilitar a gravao da atividade de triagem de arquivo no banco de dados de auditoria. possvel
exibir a atividade de triagem de arquivo resultante durante a execuo do relatrio Auditoria da
Triagem de Arquivo no Gerenciamento de Relatrios de Armazenamento.
Guia Classificao Automtica. Esta guia permite fornecer uma agenda que controla a classificao
automtica dos arquivos. Dentro da guia, possvel especificar quais logs gerar, alm de se e como
gerar um relatrio do processo de classificao.
Guia Assistncia de Acesso Negado. Esta guia permite fornecer uma mensagem personalizada quando
o FSRM impede uma operao no nvel de arquivo como resultado de um gerenciamento de cota da
restrio de gerenciamento de triagem de arquivo.
Gerenciamento do FSRM
O gerenciamento de um servidor no qual o FSRM esteja em execuo normalmente acontece no local,
por meio do console Microsoft Management Console (MMC). Porm, h outras opes disponveis para
gerenciar um servidor no qual o FSRM esteja em execuo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-7
Para ver uma lista completa dos cmdlets do FSRM disponveis, execute o seguinte comando em uma
interface da linha de comando do Windows PowerShell:
Verifique se ambos os servidores esto executando o Windows Server 2008 R2 ou mais recente e se
tm o FSRM instalado.
Permita trfego RPC (chamada de procedimento remoto) por qualquer firewall entre os dois
servidores.
Entre no computador local com uma conta que seja membro do grupo Administradores local no
computador remoto.
Etapas da demonstrao
Instalar o servio de funo FSRM
Lio 2
Uso do FSRM para gerenciar cotas, triagens de arquivos e
relatrios de armazenamento
Os dados formam o componente principal da infraestrutura do servidor. Na maioria das circunstncias, a
infraestrutura do servidor fornece os dados contidos nos arquivos no servidor aos usurios ou aplicativos.
Independentemente dos arquivos serem adicionados aos servidores por usurios ou aplicativos, o
gerenciamento de cota pode ajudar a garantir que usurios e aplicativos s usem os espaos alocados
para eles. As triagens de arquivo no FSRM podem ajudar a controlar os tipos de arquivo que podem ser
armazenados na infraestrutura de arquivo e armazenamento, alm dos relatrios de armazenamento
permitirem fornecer relatrios detalhados sobre o gerenciamento de cota, a triagem de arquivo e vrios
outros aspectos da funcionalidade do FSRM.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Explicar como usar o FSRM para gerenciar cotas, triagens de arquivo e gerar relatrios de
armazenamento.
Tipos de cota
possvel criar dois tipos diferentes de cotas dentro do gerenciamento de cota:
Uma cota fixa impede os usurios de salvar arquivos depois que o limite de espao atingido e gera
notificaes quando o volume de dados atinge cada limite configurado.
Uma cota flexvel no aplica o limite de cota, mas gera notificaes configuradas.
Notificaes de cota
Para determinar o que acontece quando o limite de cota se aproxima, voc configura limites de
notificao. Para cada limite que voc define, voc pode enviar notificaes de email, registrar em log um
evento, executar um comando ou script, ou gerar relatrios de armazenamento. Por exemplo, convm
notificar o administrador e o usurio quando uma pasta atinge 85% do limite de cota e, em seguida,
enviar outra notificao quando o limite de cota for atingido. Em alguns casos, possvel executar um
script que eleve o limite de cota automaticamente quando esse limite for atingido.
Criao de cotas
Ao criar uma cota em um volume ou uma pasta, voc pode basear a cota em um modelo ou usar
propriedades personalizadas. Sempre que possvel, baseie uma cota em um modelo. possvel reutilizar
um modelo de cota para criar cotas adicionais, e isso simplifica a manuteno de cota contnua.
O FSRM tambm pode gerar cotas automaticamente. Quando voc configura uma cota de aplicao
automtica, aplica um modelo de cota a um volume pai ou pasta. Em seguida, uma cota baseada no
modelo criada para cada subpasta existente, e uma cota gerada automaticamente para cada nova
subpasta criada. Tambm possvel criar cotas usando-se o cmdlet do Windows PowerShell, New-
FSRMQuota.
possvel usar o modelo Relatrios com Limite de 200 MB para o Usurio a fim de estabelecer um
limite de 200 MB na pasta pessoal de cada usurio e, em seguida, enviar relatrios de
armazenamento para usurios que excedam a cota.
Para algumas pastas, convm usar o modelo Limite de 200 MB com Extenso de 50 MB para
conceder uma extenso de cota de 50 MB nica a usurios que excedam o limite de cota de 200 MB.
Outros modelos padro foram projetados para monitorar o uso do disco por cotas flexveis, como o
modelo Monitorar Uso de Volume de 200 GB e o modelo Monitorar Compartilhamento de 500 MB.
Quando voc usa esses modelos, os usurios podem exceder o limite de cota, mas notificaes de
email e log de evento so geradas quando eles fazem isso.
Windows PowerShell
possvel usar o cmdlet Get-FSRMQuota para exibir cotas do FSRM existentes no servidor, alm das
estatsticas de cada cota.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-12 Otimizao de Servios de Arquivo
A triagem passiva envia notificaes configuradas a usurios que esto salvando tipos de arquivos
especficos, mas no impede que os usurios salvem esses arquivos.
Para obter flexibilidade adicional, possvel configurar uma exceo de triagem de arquivo em uma
subpasta de um caminho no qual voc criou uma triagem de arquivo. Ao colocar uma exceo de triagem
de arquivo em uma subpasta, voc permite que os usurios salvem tipos de arquivos, o que acabaria
sendo bloqueado pela triagem de arquivo aplicada pasta pai. Tambm possvel criar triagens de
arquivo no Windows PowerShell usando o cmdlet New-FSRMFileScreen.
Por exemplo, um grupo de arquivos Arquivos de udio pode incluir os seguintes padres de nome de
arquivo:
Arquivos a serem includos: *.mp*: Inclui todos os arquivos de udio criados nos formatos MPEG
atuais e futuros (MP2, MP3 e assim por diante).
Arquivos a serem excludos: *.mpp: Exclui arquivos criados no Microsoft Project (arquivos .mpp), que
seriam includos pela regra de incluso *.mp *.
O FSRM fornece vrios grupos de arquivos padro, que voc pode exibir em Gerenciamento de Triagem
de Arquivo clicando no n Grupos de Arquivos. possvel definir grupos de arquivos adicionais ou alterar
os arquivos para incluir ou excluir. As alteraes feitas em um grupo de arquivos afetam todas as triagens
de arquivo, modelos e relatrios existentes aos quais o grupo de arquivos foi adicionado.
No n Gerenciamento de Relatrios de
Armazenamento, possvel criar tarefas de
relatrio, que voc acaba usando para agendar
um ou mais relatrios peridicos, ou possvel gerar relatrios sob demanda. Para relatrios sob
demanda e agendados, os dados atuais so coletados antes do relatrio ser gerado. Os relatrios tambm
podem ser gerados automaticamente para notific-lo quando um usurio excede um limite de cota ou
salva um arquivo no autorizado.
Relatrio Descrio
Arquivos Duplicados Este relatrio lista arquivos que parecem ser duplicados (arquivos com o
mesmo tamanho e hora da ltima modificao). Use este relatrio para
identificar e recuperar o espao em disco que perdido devido presena de
arquivos duplicados. Esse o nico relatrio no configurvel.
Auditoria de Triagem Este relatrio lista eventos de triagem de arquivo ocorridos no servidor
de Arquivo durante um determinado nmero de dias. Use esse relatrio para identificar
usurios ou aplicativos que violaram a poltica de triagem de arquivo.
Arquivos por Grupo Este relatrio lista arquivos que pertencem a grupos de arquivos especficos.
de Arquivos Use esse relatrio para identificar padres de uso de grupos de arquivos e
grupos de arquivos que ocupam muito espao em disco. Isso pode ajudar
voc a determinar as triagens de arquivo que devem ser configuradas no
servidor.
Arquivos por Este relatrio lista arquivos que esto agrupados por proprietrios. Use esse
Proprietrio relatrio para analisar padres de uso no servidor e para identificar usurios
que usem muito espao em disco.
Arquivos por Este relatrio lista arquivos pelos valores de uma propriedade de classificao
Propriedade especfica. Use este relatrio para observar padres de uso de classificao de
arquivos.
Pastas por Este relatrio lista pastas pelo valor de uma propriedade de classificao
Propriedade segura especfica. Use este relatrio para observar padres de classificao de
pasta.
Arquivos Grandes Este relatrio lista arquivos que so de um tamanho especfico ou maior. Use
esse relatrio para identificar arquivos que esto consumindo a maior parte
do espao em disco no servidor. Isto pode ajudar a recuperar rapidamente
grandes quantidades de espao em disco.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-16 Otimizao de Servios de Arquivo
(continuao)
Relatrio Descrio
Arquivos Menos Este relatrio lista arquivos que no so acessados durante um determinado
Acessados nmero de dias. Isso pode ajudar a identificar dados usados raramente que
Recentemente podem ser arquivados e removidos do servidor.
Arquivos Mais Este relatrio lista arquivos que so acessados em um nmero de dias
Acessados especificado. Use esse relatrio para identificar dados mais usados que devem
Recentemente permanecer altamente disponveis.
Uso de Cota Este relatrio lista cotas cujo uso mais alto do que uma porcentagem
especificada. Use esse relatrio para identificar cotas com altos nveis de uso
para que voc possa tomar as medidas apropriadas.
Gravao de relatrios
Seja qual for o modo como voc gera um relatrio, ou se voc escolhe exibir o relatrio imediatamente, o
relatrio salvado no disco. Os relatrios de incidentes so salvos no formato DHTML (HTML Dinmico).
Voc pode salvar relatrios agendados e sob demanda em formatos DHTML, HTML, XML, CSV e texto.
Relatrios agendados, relatrios sob demanda e relatrios de incidentes so salvos em pastas separadas
dentro de um repositrio de relatrios designado.
Quando voc gera relatrios sob demanda, os relatrios so salvos no repositrio de relatrios, mas
nenhuma tarefa de relatrio criada para uso posterior. possvel exibir os relatrios logo depois que
eles so gerados ou envi-los para um grupo de administradores por email.
Para gerar relatrios sob demanda:
Observao: Ao gerar um relatrio sob demanda, voc pode aguardar os relatrios serem
gerados e exibi-los imediatamente. Se optar por abrir os relatrios imediatamente, voc dever
aguardar os relatrios serem gerados. O tempo de processamento varia de acordo com os tipos
de relatrios e o escopo de dados.
Etapas da demonstrao
Criar uma cota
2. Navegue at E:\Labfiles\Mod10.
3. Crie uma nova imagem de bitmap (.bmp) chamada testimage.
Lio 3
Implementao de tarefas de classificao e
gerenciamento de arquivos
A maioria dos aplicativos gerencia arquivos com base no diretrio no qual esto contidos. Isso leva a
layouts de arquivos complicados que requerem ateno de administradores. Esse layout tambm pode
resultar na frustrao entre os usurios. No Windows Server 2012, as tarefas Gerenciamento de
Classificao e Gerenciamento de Arquivos permitem aos administradores gerenciarem grupos de
arquivos com base em vrios atributos de arquivo e pasta. Com tarefas Gerenciamento de Classificao e
Gerenciamento de Arquivos, possvel automatizar tarefas de manuteno de arquivo e pasta, como
limpar dados obsoletos ou proteger informaes confidenciais.
Nesta lio, voc saber como as tarefas Gerenciamento de Classificao e Gerenciamento de Arquivos
funcionam juntas para facilitar o gerenciamento e a organizao dos arquivos e das pastas nos servidores.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o gerenciamento de classificao.
Descrever propriedades de classificao.
Descrever uma regra de classificao.
Explicar como configurar o gerenciamento de classificao.
Identificar consideraes quanto ao uso da classificao de arquivo.
Descrever tarefas de gerenciamento de arquivos.
Explicar como configurar tarefas de gerenciamento de arquivos.
1. Definir propriedades de classificao e valores que podem ser atribudos a arquivos executando
regras de classificao.
2. Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins de
classificao instalados.
Ao executar uma regra de classificao, voc pode reavaliar arquivos que j foram classificados. possvel
optar por substituir valores de classificao existentes ou adicionar o valor a propriedades que deem
suporte a vrios valores.
Sim/No Uma propriedade Booliana que pode ter um valor SIM ou NO. Quando vrios
valores so integrados, um valor NO substitui um valor SIM.
Lista de mltipla Uma lista de valores que podem ser atribudos a uma propriedade. Mais de um
escolha valor pode ser atribudo a uma propriedade por vez. Quando vrios valores
so integrados, cada valor na lista usado.
Lista ordenada Uma lista de valores fixos. Somente um valor pode ser atribudo a uma
propriedade por vez. Quando vrios valores so integrados, o valor mais alto
na lista usado.
Vrias cadeias de Uma lista de cadeias de caracteres que podem ser atribudas a uma
caracteres propriedade. Mais de um valor pode ser atribudo a uma propriedade por vez.
Quando vrios valores so integrados, cada valor na lista usado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-21
Propriedades-chave da regra de
classificao
Para definir o comportamento de uma regra de
classificao, se faa as seguintes perguntas:
Qual o escopo da regra? Na guia Configuraes da Regra, o parmetro Escopo permite selecionar
uma pasta ou pastas s quais a regra de classificao se aplicar. Quando executada, a regra
processa e tenta classificar todos os objetos do sistema de arquivos nesse local.
Que propriedade a regra atribuir? A funo principal da regra de classificao atribuir uma
propriedade a um objeto de arquivo com base na maneira como a regra se aplica ao objeto de
arquivo. Na guia Classificao, voc deve especificar uma propriedade e o valor especfico que a
regra atribuir propriedade.
Quais parmetros de classificao adicionais sero usados? A base da lgica da regra est nos
parmetros de classificao adicionais. O clique no boto Avanado na guia Classificao abre a
janela Parmetros de Classificao Adicionais. Aqui, possvel especificar parmetros adicionais
inclusive cadeias de caracteres ou expresses regularesque, se encontrados no objeto do sistema de
arquivos, faro a regra se aplicar a ela prpria. Por exemplo, esse parmetro poderia ser a frase
Cadastro de Pessoas Fsicas ou qualquer nmero com o formato 000-00-000. Se esse parmetro for
localizado, o parmetro de classificao aplicar um valor SIM para uma propriedade de classificao
Confidencial ao arquivo. Essa classificao poderia ser aproveitada para realizar algumas tarefas no
objeto do sistema de arquivos, como mov-lo para um local seguro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-22 Otimizao de Servios de Arquivo
RegularExpression. Compare uma expresso regular usando a sintaxe do Microsoft .NET. Por exemplo,
\d\d\d ir comparar qualquer cadeia de caracteres de trs dgitos.
Agendamento de classificao
Voc pode executar regras de classificao de duas maneiras: sob demanda ou com base em uma
agenda. De qualquer maneira que voc escolher, cada vez que voc executar a classificao, ele usar
todas as regras que voc deixou no estado Habilitado.
Configurar um agendamento para classificao permite especificar um intervalo regular no qual as regras
de classificao de arquivo sero executadas, assegurando que os arquivos de seu servidor sejam
classificados e atualizados regularmente com as propriedades de classificao mais recentes.
Etapas da demonstrao
Criar uma propriedade de classificao
1. Abra Gerenciador de Recursos de Servidor de Arquivos e expanda o n Gerenciamento de
Classificao.
1. Usando o n Regras de Classificao, crie uma nova Regra de Classificao chamada Documentos
de Folha de Pagamento Confidencial.
2. Configure a regra para classificar documentos com um valor Sim para a propriedade de classificao
Confidencial, caso o arquivo contenha a expresso da cadeia de caracteres FOLHA DE PAGAMENTO.
Para propriedades Sim ou No, um valor SIM tem prioridade sobre um valor NO.
Para propriedades de lista ordenadas, o valor de propriedade mais alto tem a prioridade.
Para vrias propriedades de cadeia de caracteres, definido um valor de vrias cadeias de caracteres
que contm todas as cadeias de caracteres dos valores da propriedade individual.
Local
Propriedades de classificao
Hora da criao
Hora da modificao
Hora do ltimo acesso
Nome do arquivo
Etapas da demonstrao
Criar uma tarefa de gerenciamento de arquivos
2. Crie uma tarefa de gerenciamento de arquivos chamada Expirar Documentos Confidenciais com
um escopo E:\Labfiles\Mod10\Data.
Cada cliente de rede dentro do domnio da Adatum fornecido com uma pasta base com base no
servidor usada para armazenar documentos pessoais ou arquivos que estejam em andamento. Voc fica
sabendo que as pastas base esto ficando muito grandes e podem conter tipos de arquivo como arquivos
.MP3 no aprovados devido poltica corporativa. Voc opta por implementar cotas do FSRM e triagem
de arquivo para ajudar a resolver esse problema.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 30 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
3. Configure o modelo para registrar um evento no Log de Eventos quando a pasta alcanar 85 por
cento e 100 por cento da capacidade.
3. Crie uma pasta adicional chamada Max na pasta E:\Labfiles\Mod10\Users e verifique se a nova
pasta est na lista de cotas no Gerenciador de Recursos de Servidor de Arquivos.
E:
cd \Labfiles\Mod10\Users\Mx
fsutil file createnew file1.txt 89400000
3. Teste se a cota funciona tentando criar um arquivo com 16.400.000 bytes e pressione Enter:
4. Observe que o arquivo no pode ser criado. A mensagem retornada do Windows menciona o espao
em disco, mas a criao do arquivo falha porque ultrapassaria o limite de cota. Feche a janela do
Windows PowerShell.
Resultados: Aps concluir este exerccio, voc ter configurado uma cota do FSRM.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-28 Otimizao de Servios de Arquivo
Voc tambm deve fornecer um relatrio ao gerente documentando todas as tentativas de salvar
arquivos de mdia restritos em LON-SVR1.
3. Modifique o modelo Bloquear Arquivos de udio e Vdeo para usar apenas o grupo de arquivos
Arquivos de Mdia MPx.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-29
3. Copie musicfile.mp3 para E:\Labfiles\Mod10\Users. Voc ser notificado que o sistema no pode
copiar o arquivo.
Resultados: Depois de concluir este exerccio, voc ter configurado a triagem de arquivo e os relatrios
de armazenamento no FSRM.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-30 Otimizao de Servios de Arquivo
Lio 4
Viso geral do DFS
possvel usar o DFS para superar os desafios do gerenciamento de dados de filiais fornecendo acesso
com tolerncia a falhas e WAN (rede de longa distncia)replicao amigvel de arquivos localizados em
toda a empresa.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o DFS.
Descrever os namespaces DFS.
Descrever a Replicao do DFS.
Descrever como funcionam namespaces e replicao do DFS.
Descrever a eliminao de duplicao de dados.
Descrever cenrios onde o DFS pode ser usado.
Explicar como instalar a funo DFS.
O que o DFS?
Para acessar um compartilhamento de arquivos, os
usurios normalmente precisam do nome UNC
(Universal Naming Convention) para acessar o
contedo da pasta compartilhada. Muitas
organizaes grandes podem ter centenas de
servidores de arquivos que esto dispersos
geograficamente por toda a organizao. Isso
representa inmeros desafios para usurios que
estejam tentando localizar e acessar arquivos de
maneira eficaz.
Pelo uso de um namespace, o DFS pode
simplificar a estrutura de pastas de UNC. Alm
disso, o DFS pode replicar o namespace virtual e
as pastas compartilhadas para vrios servidores dentro da organizao. Isto pode assegurar que os
compartilhamentos estejam localizados o mais prximo possvel dos usurios, fornecendo um benefcio
adicional de tolerncia a falhas para os compartilhamento de rede.
O DFS inclui duas tecnologias implementadas como servios de funo:
DFS-N (Namespace do DFS). Permitem que os administradores agrupem as pastas compartilhadas
que esto localizadas em servidores diferentes, em um ou mais namespaces logicamente
estruturados. Cada namespace visto pelos usurios como uma nica pasta compartilhada com uma
srie de subpastas. As subpastas geralmente apontam para pastas compartilhadas localizadas em
vrios servidores de diversos locais geogrficos de toda a organizao.
DFS-R. Um mecanismo de replicao de vrios mestres que sincroniza arquivos entre servidores para
conexes de rede local e WAN. A Replicao do DFS d suporte agenda de replicao, limitao de
largura de banda e usa a RDC (Compactao Diferencial Remota) para atualizar apenas as partes de
arquivos que foram alteradas desde a ltima replicao. possvel usar a Replicao do DFS com
namespaces do DFS ou como um mecanismo de replicao de arquivos autnomo.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-31
necessrio ocultar dos usurios o nome dos servidores de namespaces. Isso tambm facilita a
substituio de um servidor de namespaces ou a migrao de namespace para um outro servidor.
Assim, os usurios acessaro o formato \\nomedodomnio\namespace e no o formato
\\nomedoservidor\compartilhamento.
Se optar por implantar um namespace com base em domnio, voc tambm precisar especificar se
deseja usar o modo Microsoft Windows 2000 Server ou o modo Windows Server 2008. O modo Windows
Server 2008 fornece benefcios adicionais, como suporte para enumerao com base em acesso, e
aumenta o nmero de destinos de pasta de 5.000 para 50.000. Com enumerao com base em acesso,
tambm possvel ocultar pastas que os usurios no tm permisso para exibir.
Para usar o modo do Windows Server 2008, os seguintes requisitos devero ser atendidos:
A floresta do Active Directory deve estar no Windows Server 2003 ou no nvel funcional da floresta
superior.
O domnio do Active Directory deve estar no nvel funcional de domnio do Windows Server 2008.
Namespace autnomo
Um namespace autnomo usado quando:
Uma organizao no atende aos requisitos de um modo do Windows Server 2008, um namespace
com base em domnio, e h requisitos de mais de 5.000 pastas do DFS. Os namespaces do DFS
autnomos do suporte at 50.000 pastas com destinos.
A eliminao de duplicao de dados pode ser implementada com a DFS-R para fornecer uma
infraestrutura de replicao e armazenamento ainda mais eficiente.
Arquivos no otimizados. Entre eles esto todos os arquivos que no atendam aos critrios de idade
do arquivo para eliminao de duplicao de dados. Para serem otimizados por eliminao de
duplicao de dados, os arquivos devem permanecer estticos durante um determinado perodo.
Entre os arquivos no otimizados poderiam estar arquivos de estado do sistema, arquivos
criptografados, arquivos menores que 32 KB, arquivos com atributos estendidos ou arquivos que
estejam sendo usados por outros aplicativos.
Arquivos otimizados. Os arquivos otimizados so armazenados como pontos de nova anlise. Como
um ponto de nova anlise contm um ponteiro para os locais dos dados no repositrio de partes, as
respectivas partes podem ser recuperadas quando necessrio.
Repositrio de partes. Os dados de arquivos otimizados esto localizados no repositrio de partes.
Integridade dos dados de confiabilidade. O Windows Server 2012 usa soma de verificao.
Consistncia e validao para garantir que a integridade de dados afetada pela eliminao de
duplicao de dados permanea intacta. A eliminao de duplicao de dados tambm mantm
cpias redundantes dos dados mais usados em um volume para se proteger da corrupo de dados.
Eficincia da largura de banda. Com DFS-R ou outra tecnologia de replicao de arquivos, como
BranchCache, a eliminao de duplicao de dados pode reduzir enormemente a largura de banda
consumida replicando dados de arquivo, desde que os parceiros de replicao tambm estejam
executando o Windows Server 2012.
Gerenciamento de otimizao simples. O Windows Server 2012 e o Windows PowerShell 3.0 contm
suporte integrado eliminao de duplicao de dados. A implementao e o gerenciamento dentro
do Windows Server 2012 so feitos com ferramentas familiares.
1. Instale o servio de funo Eliminao de Duplicao de Dados para a funo Servios de Arquivo.
Isso pode ser realizado usando o Assistente de Adio de Funes e Recursos no Gerenciador do
Servidor ou os seguintes cmdlets do Windows PowerShell:
Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication
Import-Module Deduplication
Dentro do Gerenciador do Servidor, possvel clicar com o boto direito do mouse em um volume e
selecionar Configurar Eliminao de Duplicao de Dados, que abre a pgina Configuraes da
Eliminao de Duplicao de Dados.
Tambm possvel usar o seguinte cmdlet do Windows PowerShell para habilitar a eliminao da
duplicao de dados (para o volume E:, neste caso):
Enable-DedupVolume E:
Por padro, os trabalhos internos so criados e agendados quando voc habilita a eliminao da
duplicao de dados para um volume. Se for necessrio, ser possvel configurar manualmente esses
trabalhos ou criar trabalhos adicionais para gerenciar melhor como funciona a eliminao da
duplicao de dados.
Cenrios de DFS
Vrios cenrios importantes podem aproveitar
DFS-N e DFS-R. Esses cenrios incluem:
Coleta de dados.
Distribuio de dados.
Coleta de dados
As tecnologias DFS podem coletar arquivos de uma filial e replic-los em um site do hub, permitindo que
eles sejam usados para diversos fins especficos. Os dados crticos podem ser replicados para um site do
hub usando a DFS-R e, em seguida, includos em backup no site do hub usando procedimentos de
backup padro. Isso aumenta a capacidade de recuperao de dados da filial quando ocorre falha do
servidor, porque os arquivos ficaro disponveis em dois locais separados e tambm em backup. Alm
disso, as empresas podem reduzir custos da filial eliminando hardware de backup e experincia do
pessoal de IT no local. Os dados replicados podem tambm ser usados para tornar os compartilhamentos
de arquivos da filial tolerantes a falhas. Se houver falha do servidor da filial, os clientes da filial podero
acessar os dados replicados no site do hub.
Distribuio de dados
possvel usar DFS-N e DFS-R para publicar e replicar documentos, software e outros dados LOB (linha de
negcios) em toda a organizao. Os DFS-N e os destinos de pasta podem aumentar a disponibilidade de
dados e distribuir a carga de clientes entre vrios servidores de arquivos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-37
Etapas da demonstrao
Lio 5
Configurao de namespaces DFS
A configurao do namespace DFS consiste em vrias tarefas, como a criao da estrutura de namespaces,
a criao de pastas no namespace e a adio de destinos de pasta. Tambm possvel optar por realizar
tarefas adicionais de gerenciamento, como a configurao da ordem de referncia, a habilitao de
failback de cliente e a implementao da DFS-R. Esta lio fornece informaes sobre como concluir essas
tarefas de configurao e gerenciamento para implantar uma soluo DFS eficaz.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
1. Crie um namespace.
Depois de voc criar o namespace, adicione uma pasta no namespace que ser usada para
armazenar o contedo que voc deseja publicar. Durante a criao da pasta, possvel adicionar
destinos de pasta, ou realizar uma tarefa separada para adicionar, editar ou remover destinos de
pasta posteriormente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-39
Depois que voc criar uma pasta no namespace, a tarefa seguinte criar destinos de pasta. O destino
de pasta um caminho UNC de uma pasta compartilhada em um servidor especfico. Voc pode
pesquisar pastas compartilhadas nos servidores remotos e criar pastas compartilhadas, conforme o
necessrio. Alm disso, pode adicionar vrios destinos de pasta para aumentar a disponibilidade da
pasta no namespace. Se voc adicionar vrios destinos de pasta, use o DFS-R para assegurar que o
contedo o mesmo entre os destinos.
Defina a prioridade do destino para substituir a ordenao da referncia. Pode haver um destino de
pasta especfico a ser usado por todos os usurios de todos os locais do site, ou um destino a ser
usado por ltimo entre todos os destinos. possvel configurar esses cenrios substituindo a
ordenao da referncia na guia Avanado da caixa de dilogo Propriedades de Destino da Pasta.
Replique os destinos de pasta usando a DFS-R. Voc pode usar a DFS-R para manter sincronizado o
contedo dos destinos de pasta. O prximo tpico aborda DFS-R em detalhes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-40 Otimizao de Servios de Arquivo
Etapas da demonstrao
Criar um novo namespace
Otimizao de um Namespace
H vrias opes de configurao de namespaces
que podem ser usadas para otimizar sua
usabilidade e desempenho.
Otimizar para consistncia. Os servidores de namespaces consultam o emulador PDC sempre que
ocorre uma alterao no namespace. Esse o valor padro.
Otimizar para escalabilidade. Cada servidor de namespace sonda seu controlador de domnio mais
prximo em intervalos peridicos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-43
Lio 6
Configurao e soluo de problemas de DFS-R
Para configurar corretamente a DFS-R, importante conhecer a terminologia e os requisitos associados
ao recurso. Esta lio fornece informaes sobre elementos especficos, requisitos e consideraes de
escalabilidade na medida em que eles relacionam com a DFS-R. Essa lio tambm fornece um processo
para configurar uma topologia de replicao efetiva.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Topologias de replicao
Ao configurar um grupo de replicao, voc deve definir sua topologia. Selecione entre o seguinte:
Hub e spoke. Para selecionar esta opo, voc precisa de pelo menos trs servidores no grupo de
replicao. Esta topologia funciona bem em cenrios de publicao onde dados originam-se no hub
e so replicados para membros nos receptores.
Malha completa. Se dez membros ou menos estiverem no grupo de replicao, esta topologia
funcionar bem, com cada membro replicando para todos os outros, conforme o necessrio.
Sem topologia. Escolha esta opo se voc desejar configurar uma topologia personalizada
manualmente depois de criar o grupo de replicao.
A replicao inicial sempre ocorre entre o membro primrio e seus parceiros de replicao de
recebimento. Depois que um membro recebe todos os arquivos do membro primrio, esse membro
replicar os arquivos para seus parceiros de recebimento. Dessa forma, a replicao de uma nova
pasta replicada iniciada pelo membro primrio e avana para outros membros do grupo de
replicao.
Ao receberem arquivos do membro primrio durante a replicao inicial, os membros de
recebimento com arquivos que no esto presentes no membro primrio movero esses arquivos
para a respectiva pasta DfsrPrivate\PreExisting. Se um arquivo for fisicamente idntico a um arquivo
do membro primrio, ele no ser replicado. Se a verso de um arquivo do membro de recebimento
for diferente da verso do membro primrio, a verso do membro de recebimento ser movida para
a pasta Conflito e Excludo, e a RDC poder ser usada para baixar somente os blocos alterados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-45
Etapas da demonstrao
Criar um novo destino de pasta para replicao
2. Declare LON-SVR1 como o membro primrio e crie uma replicao da malha completa.
o Teste de propagao. Gera um arquivo de teste em uma pasta replicada para verificar a
replicao e fornecer estatsticas para o relatrio de propagao.
o Relatrio de propagao. Fornece informaes sobre o progresso para o arquivo de teste que
gerado durante um teste de propagao. Este relatrio garantir que a replicao funcione.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-46 Otimizao de Servios de Arquivo
Verificar Topologia. Use Verificar Topologia para verificar e relatar o status da topologia do grupo de
replicao. Isto relatar os membros que estiverem desconectados.
Dfsrdiag.exe. Use essa ferramenta de linha de comando para monitorar o estado de replicao do
servio DFS-R.
Incapaz de acessar o namespace DFS. Verifique se os servios Netlogon e DFS esto sendo executados
em todos os servidores que esto hospedando o namespace.
No possvel acessar os links DFS e pastas compartilhadas. Verifique se a pasta subjacente est
disponvel e se o cliente tem permisses. Se existir uma rplica, verifique se o problema est
relacionado com a latncia de replicao (consulte a entrada latncia de replicao a seguir nessa
lista).
Problema relacionado com a segurana. Lembre-se de que o cliente acessa a pasta compartilhada
diretamente. Portanto, voc deve verificar a pasta compartilhada e as permisses ACL na pasta.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 45 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
Resultados: Depois de concluir este exerccio, voc ter instalado o servio de funo DFS em LON-SVR1
e instalado o servio de funo DFS em LON-SVR4.
Namespace: \\Adatum.com\BranchDocs
o \\LON-SVR4\ResearchTemplates
o \\LON-SVR1\DataFiles
o Servidor: LON-SVR1
o Nome: BranchDocs
Resultados: Depois de concluir este exerccio, voc ter configurado um namespace do DFS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
10-50 Otimizao de Servios de Arquivo
o Criar compartilhamento
o Criar pasta
4. Na caixa de dilogo Replicao, clique em Sim. O Assistente para Replicao de Pasta ser iniciado.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 10-51
Pergunta: Por que a DFS-R uma plataforma de replicao mais eficiente do que o FRSM?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
11-1
Mdulo 11
Configurao de criptografia e auditoria avanada
Contedo:
Viso geral do mdulo 11-1
Usando o Windows Server 2012, possvel compreender como arquivos e pastas esto sendo usados nos
computadores do Windows Server 2012. Tambm possvel auditar o acesso ao arquivo e pasta. A
auditoria do acesso a arquivos e pastas pode fornecer informaes sobre o uso geral e informaes mais
crticas, como tentativas de uso no autorizadas.
Este mdulo descreve as ferramentas do Windows Server 2012 que podem ajudar a aumentar a
segurana do sistema de arquivos nos servidores.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Lio 1
Criptografia de arquivos usando EFS
EFS um componente interno do sistema de arquivos NTFS que permite a criptografia e a descriptografia
do arquivo e do contedo da pasta em um volume NTFS. importante compreender como o EFS
funciona antes de implementar o EFS no ambiente. Voc tambm deve saber como recuperar os arquivos
criptografados e resolver problemas quando a criptografia EFS no funciona corretamente.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o EFS.
Explicar como funciona o EFS.
Explicar como recuperar arquivos criptografados comEFS.
Explicar como criptografar um arquivo usando o EFS.
O que o EFS?
EFS um recurso que pode criptografar arquivos
armazenados em uma partio formatada com
NTFS. Por padro, essa opo est disponvel para
todos os usurios. Tambm possvel usar o EFS
para criptografar arquivos em um
compartilhamento de arquivos.
Depois que um arquivo criptografado usando
EFS, ele s pode ser acessado por usurios
autorizados. Se um usurio estiver autorizado, o
acesso ao arquivo ser transparente e poder ser
aberto como um arquivo no criptografado. Se
um usurio no estiver autorizado, as tentativas
em abrir o arquivo resultaro em uma mensagem de acesso negado.
A criptografia EFS age como uma camada adicional de segurana alm de permisses NTFS. Se os
usurios tiverem permisso NTFS para ler um arquivo, ainda assim eles estaro autorizados pelo EFS para
descriptografar o arquivo.
A configurao padro de EFS no requer nenhum esforo administrativo. Os usurios podem comear a
criptografar os arquivos imediatamente e o EFS gerar um certificado de usurio automaticamente com
um par de chaves para um usurio se no houver. Usar uma CA (autoridade de certificao) para emitir
certificados de usurio aprimora o gerenciamento dos certificados.
Voc pode desabilitar o EFS em computadores cliente usando a Poltica de Grupo. Nas Propriedades da
poltica, navegue at Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas de Chave Pblica\Sistema de Arquivos de Criptografia e clique em No permitir.
Observao: Se no estiver usando certificados de uma CA e quiser permitir que o EFS seja
usado em um compartilhamento de arquivos, voc dever configurar a conta do computador do
servidor de arquivos para ser confivel para delegao. Os controladores de domnio so
confiveis para delegao por padro.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 11-3
O EFS usa a criptografia de chave pblica para proteger a chave simtrica, que necessria para
descriptografar o contedo dos arquivos. Cada certificado de usurio contm uma chave privada e uma
chave pblica que usada para criptografar a chave simtrica. Somente o usurio com o certificado e sua
chave privada pode descriptografar a chave simtrica.
2. Para descriptografar arquivos, o usurio pode abrir o arquivo, remover o atributo de criptografia
ou descriptografar o arquivo usando o comando de criptografia. Quando isso ocorre, o EFS
descriptografa a FEK com a chave privada do usurio e, em seguida, descriptografa os dados
usando a FEK.
Quando voc adiciona um novo agente de recuperao por meio da Poltica de Grupo, o agente
adicionado automaticamente a todos os arquivos recm-criptografados, mas o agente no adicionado
automaticamente aos arquivos criptografados existentes. Como o agente de recuperao para um
arquivo definido no momento em que o arquivo criptografado, um arquivo criptografado deve ser
acessado e salvo para atualizar o agente de recuperao.
Para fazer backup do certificado do agente de recuperao, voc deve sempre exportar o certificado com
a chave privada e mant-la em um local seguro. Os dois motivos para fazer backup da chave privada do
agente de recuperao (ou a chave de recuperao) so:
Para proteger contra falhas do sistema. A chave de administrador de domnio que usada por
padro para a recuperao EFS armazenada apenas no primeiro controlador de domnio do
domnio. Se algo tivesse acontecido nesse controlador de domnio, a recuperao EFS seria
impossvel.
Etapas da demonstrao
Lio 2
Configurao de auditoria avanada
Os logs de auditoria relatam uma grande variedade de atividades na empresa para o Log de Segurana
do Windows. Em seguida, possvel monitorar esses logs de auditoria para identificar problemas que
garantam mais investigao. A auditoria tambm pode registrar em log atividades bem-sucedidas para
fornecer a documentao de alteraes. Ela tambm pode registrar em log tentativas mal-intencionadas
com falha e em potencial de acessar recursos corporativos. Ao configurar a auditoria, voc ir especificar
as configuraes de auditoria, habilitar uma poltica de auditoria e monitorar eventos nos logs de
segurana.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Configurao da
Descrio Configurao padro
poltica de auditoria
(continuao)
Configurao da
Descrio Configurao padro
poltica de auditoria
Auditoria de acesso Audita acesso a objetos como arquivos, Nenhum evento auditado.
a objetos pastas, chaves de registro e impressoras com
SACLs prprias. Alm de habilitar essa poltica
de auditoria, voc deve configurar as
entradas de auditoria nas SACLs de objetos.
Observe que a maioria dos eventos do Active Directory mais importantes j auditada por controladores
de domnio, supondo que os eventos sejam bem-sucedidos. Por isso, a criao de um usurio, a
redefinio da senha de um usurio, o logon no domnio e a recuperao dos scripts de logon de um
usurio so todos registrados em log.
Porm, nem todos os eventos de falha so auditados por padro. Voc talvez precise implementar
auditoria de falha adicional com base nas polticas de segurana de IT da organizao e nos requisitos.
Por exemplo, se auditar eventos de logon com falha, voc poder expor tentativas mal-intencionadas de
acessar o domnio tentando fazer logon repetidamente como uma conta de usurio do domnio sem
saber ainda a senha da conta. A auditoria dos eventos de gerenciamento de conta com falha pode revelar
um usurio mal-intencionado que est tentando manipular a associao de um grupo cuja segurana
confidencial.
Uma das tarefas mais importantes que voc deve realizar equilibrar e alinhar a poltica de auditoria com
as polticas corporativas e, assim, realista. A poltica corporativa pode determinar que todos os logons
com falha e alteraes bem-sucedidas feitas em usurios e grupos do Active Directory devem ser
auditadas. Isso fcil de atingir no AD DS (Servios de Domnio Active Directory). Mas como, exatamente,
voc usar essas informaes? Os logs de auditoria detalhados sero inteis se voc no souber como ou
no tiver as ferramentas para gerenciar esses logs de maneira efetiva. Para implementar a auditoria, voc
deve ter uma poltica de auditoria bem configurada e as ferramentas com as quais gerenciar os eventos
auditados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 11-9
3. Clique em Auditoria.
4. Para adicionar uma entrada, clique em Editar. Isso abre a guia Auditoria no modo Editar.
Para monitorar o acesso que sugeriria que os usurios esto realizando aes maiores que o
planejado, o que indica que as permisses so muito generosas.
Para identificar o acesso alm de uma determinada conta, que pode ser um sinal de que uma conta
de usurio foi invadida por um hacker.
Para monitorar tentativas mal-intencionadas de acesso a um recurso cujo acesso foi negado.
Para identificar tentativas com falha de acesso a um arquivo ou a uma pasta a que um usurio precisa
de acesso. Isso indicaria que as permisses no so suficientes para atender a um requisito de
negcios.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
11-10 Configurao de criptografia e auditoria avanada
A auditoria de entradas leva sistemas operacionais Windows a auditarem as atividades com xito ou falha
de uma entidade de segurana (usurio, grupo ou computador) para usarem uma permisso especfica.
Como Controle Total inclui todos os nveis de acesso individuais, essa entrada abrange qualquer tipo de
acesso. Por exemplo, se voc atribuir Controle Total ao grupo Consultor e se um membro do grupo
Consultor tentar o acesso de qualquer tipo e falhar, essa atividade ser registrada em log.
Normalmente, as entradas de auditoria refletem as entradas de permisso do objeto, mas nem sempre
so correspondentes. No cenrio anterior, lembre-se, um membro do grupo Consultores tambm pode
pertencer a outro grupo com permisso para acessar a pasta. Como esse acesso ser bem-sucedido, a
atividade no ser registrada em log. Por isso, se estiver preocupado com a restrio do acesso pasta e a
garantia de que usurios no a acessem de maneira alguma, voc dever monitorar tentativas de acesso
com falha. Porm, voc tambm deve auditar o acesso bem-sucedido para identificar situaes nas quais
um usurio esteja acessando a pasta por meio de outra associao de grupo potencialmente incorreta.
possvel definir a poltica e auditar eventos bem-sucedidos, com falha ou ambos. A configurao da
poltica deve especificar a auditoria de tentativas bem-sucedidas ou com falha correspondentes ao tipo
de entrada de auditoria na SACL no objeto. Por exemplo, para registrar em log uma tentativa com falha
de consultores em acessar a pasta Dados Confidenciais, voc deve configurar a poltica de acesso do
objeto Auditoria para auditar falhas e a SACL da pasta Dados Confidenciais para auditar falhas. Se a
poltica de auditoria auditar apenas xitos, as entradas com falha na SACL da pasta no iniciaro o
registro em log.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 11-11
Logon de conta. Essas configuraes permitem a auditoria da validao das credenciais e outros
eventos de autenticao especfica de Kerberos e operao de tquete.
Acesso DS. As configuraes de auditoria envolvem acesso aos Servios de Diretrio, inclusive acesso
geral, alteraes e replicao.
Logon/Logoff. Os eventos de logon e logoff padro so auditados por esse grupo de configuraes.
Outra atividade especfica de conta, como IPsec, Servidor de Polticas de Rede e outros eventos de
logon e logoff no categorizados tambm so auditados.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 11-13
Acesso a objetos. Essas configuraes habilitam a auditoria de qualquer acesso ao AD DS, ao Registro,
ao aplicativo e ao armazenamento de arquivos.
Alterao de Poltica. Quando voc define essas configuraes, as alteraes internas feitas nas
configuraes da poltica de auditoria so auditadas.
Uso de Privilgio. Dentro do ambiente do Windows, o Windows Server 2012 audita as tentativas de
uso de privilgio, quando voc define essas configuraes.
Auditoria de Acesso a Objetos Globais. Essas configuraes se destinam ao controle das configuraes
SACL de todos os objetos em um ou mais computadores. Quando as configuraes no grupo so
definidas e aplicadas com a Poltica de Grupo, a associao SACL determinada pela definio da
configurao de poltica e as SACLs so configuradas diretamente no prprio servidor. possvel
configurar SACLs para o sistema de arquivos e o acesso ao Registro em Auditoria de Acesso a Objetos
Globais.
Etapas da demonstrao
3. Edite o GPO Auditoria de Arquivo e habilite os eventos de auditoria xito e Falha para as
configuraes Compartilhamento de Arquivos de Auditoria Detalhado e Auditoria de
Armazenamento Removvel.
Voc deve configurar o ambiente do Windows Server 2012 para proteger arquivos confidenciais e
garantir que o acesso aos arquivos na rede seja auditado de maneira apropriada. Voc tambm deve
configurar a auditoria do novo servidor.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Criptografar e recuperar arquivos usando ferramentas de gerenciamento do EFS.
Configurao do laboratrio
Tempo previsto: 40 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em
Gerenciador Hyper-V.
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4. Criptografar um arquivo
6. Leia as informaes sobre o novo certificado e verifique se foi emitido por AdatumCA.
4. No console MMC, clique com o boto direito do mouse em Pessoal e solicite um novo certificado.
Resultados: Depois de concluir esse exerccio, voc ter criptografado e recuperado os arquivos.
6. Clique duas vezes em uma das entradas de log com uma Origem de auditoria de segurana do
Microsoft Windows e uma Categoria de Tarefas de Compartilhamento de Arquivos Detalhado.
Resultados: Depois de concluir este exerccio, voc ter configurado a auditoria avanada.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
Pergunta: Por que o EFS pode ser considerado um mtodo de criptografia problemtico em
um ambiente de servidor de arquivos de rede amplamente distribudo?
Pergunta: Voc configurou uma poltica de auditoria usando a Poltica de Grupo a ser
aplicada a todos os servidores de arquivos na organizao. Depois de habilitar a poltica e
confirmar se as configuraes da Poltica de Grupo esto sendo aplicadas, voc descobre que
nenhum evento de auditoria est sendo registrado nos logs de eventos. Qual o motivo
mais provvel para isso?
Ferramentas
Ferramenta Usada para Onde encontr-la?
Mdulo 12
Implementao do gerenciamento de atualizaes
Contedo:
Viso geral do mdulo 12-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever a funo do WSUS.
Lio 1
Viso geral do WSUS
A funo WSUS fornece um ponto de gerenciamento central para atualizaes para computadores com o
sistema operacional Windows. Usando o WSUS, possvel criar um ambiente de atualizao mais
eficiente na organizao e estar mais bem informado sobre o status da atualizao geral dos
componentes na rede. Esta lio apresenta o WSUS e descreve os principais recursos da funo de
servidor WSUS.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o WSUS.
O que o WSUS?
O WSUS uma funo de servidor includa no
sistema operacional Windows Server 2012 que
baixa e distribui atualizaes a clientes e
servidores Windows. O WSUS pode obter
atualizaes aplicveis ao sistema operacional
e a aplicativos comuns da Microsoft como
Microsoft Office e Microsoft SQL Server.
O WSUS pode gerar relatrios para ajudar no monitoramento da instalao de atualizaes. Esses
relatrios podem identificar os computadores que no aplicaram as atualizaes aprovadas recentemente.
Com base nesses relatrios, possvel investigar por que as atualizaes no esto sendo aplicadas.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 12-3
Estimar
Identificar
Avaliar e planejar
Implantar
A fase de avaliao
O objetivo da fase de estimativa configurar um ambiente de produo que oferea suporte ao
gerenciamento de atualizaes para situaes de rotina e de emergncia. Essa fase um processo
contnuo usado para determinar a topologia mais eficiente para colocar em escala os componentes do
WSUS. medida que sua organizao muda, voc pode identificar a necessidade de adicionar mais
servidores do WSUS em diferentes locais.
A fase de identificao
A fase de identificao destina-se a identificar as novas atualizaes que so disponibilizadas e a
determinar se elas so relevantes para a organizao. Voc tem a opo de configurar o WSUS para
recuperar automaticamente todas as atualizaes ou somente tipos especficos de atualizao. O WSUS
tambm identifica quais atualizaes so relevantes para os computadores registrados.
Para avaliar as atualizaes, voc deve ter um ambiente de teste no qual possam ser aplicadas
atualizaes a fim de verificar a funcionalidade adequada. Durante essa fase, voc pode identificar as
dependncias que permitem a uma atualizao funcionar corretamente, assim, possvel planejar quais
alteraes precisam ser feitas.
A fase de implantao
Depois de testar uma atualizao por completo e determinar todas as dependncias, voc poder aprov-
la para implantao na rede de produo. O ideal que voc aprove a atualizao para um grupo piloto
de computadores antes de aprov-la para a organizao inteira.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
12-4 Implementao do gerenciamento de atualizaes
SQL Server 2012, SQL Server 2008, SQL Server 2005 SP2 ou Banco de Dados Interno do Windows
Os requisitos mnimos de hardware para o WSUS so quase iguais aos requisitos mnimos de hardware
para os sistemas operacionais do Windows Server. No entanto, preciso considerar o espao em disco
como parte de sua implantao. Um servidor do WSUS exige cerca de 10 GB de espao em disco e voc
deve alocar pelo menos 30 GB de espao em disco para as atualizaes baixadas.
Um nico servidor do WSUS pode oferecer suporte a milhares de clientes. Por exemplo, um nico
servidor do WSUS com 4 GB de RAM e CPUs duplas com ncleo qudruplo podem oferecer suporte a
at 100.000 clientes. No entanto, na maioria das vezes, uma organizao com tantos clientes assim
provavelmente ter vrios servidores do WSUS para reduzir a carga nos links WAN (rede de longa
distncia).
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 12-5
Lio 2
Implantao de atualizaes com o WSUS
Esta lio explica as especificidades da implantao das atualizaes com o WSUS para os computadores
clientes. A implantao de atualizaes no Windows atualizam clientes por meio do WSUS pode fornecer
inmeros benefcios. possvel configurar atualizaes a serem baixadas, aprovadas e instaladas
automaticamente, sem a participao de um administrador. Tambm possvel impor mais controle sobre
o processo de atualizao e fornecer um ambiente controlado no qual implantar atualizaes. possvel
realizar um teste em um grupo de computadores de teste isolado antes da aprovao de uma atualizao
para aprovao em toda a organizao.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Alm de configurar a fonte das atualizaes, voc tambm pode usar um GPO para definir as seguintes
configuraes:
Administrao do WSUS
O console de administrao do WSUS um snap-
in MMC que possvel usar para administrar o
WSUS. Use essas ferramenta para:
Gerar relatrios.
Wuauclt.exe /detectnow
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 12-7
cmdlet Descrio
possvel criar grupos de computadores personalizados para controlar como as atualizaes sero
aplicadas. Normalmente, os grupos de computadores personalizados contm computadores com
caractersticas semelhantes. Por exemplo, voc pode criar um grupo de computadores personalizados
para cada departamento da sua organizao. Tambm possvel criar um grupo de computadores
personalizados para um laboratrio no qual voc implanta as atualizaes para teste. Voc normalmente
agruparia servidores separados de computadores clientes.
Aprovao de atualizaes
A configurao padro do WSUS no aprova
automaticamente as atualizaes de aplicativos
nos computadores. Embora seja possvel aprovar
as atualizaes automaticamente, isso no
recomendvel. O processo recomendado para
aprovar atualizaes primeiro testar as
atualizaes em um ambiente de laboratrio,
depois em um grupo piloto e somente depois no
ambiente de produo. Esse processo reduz o
risco de uma atualizao gerar um problema
inesperado no ambiente de produo. Execute
esse processo aprovando atualizaes para grupos
especficos de computadores antes de aprov-las para o grupo Todos os Computadores.
Se voc aplicar uma atualizao e achar que ela est causando problemas, ser possvel usar o WSUS para
remov-la. No entanto, a atualizao s poder ser removida se ela oferecer suporte remoo. A
maioria delas permite a remoo.
Observando os detalhes de uma atualizao, voc saber se ela foi substituda por outra. As atualizaes
substitudas geralmente no so mais necessrias, pois uma mais nova incluir as alteraes dessa
atualizao e muito mais. As atualizao substitudas no so recusadas por padro, pois em alguns casos,
elas ainda so necessrias. Por exemplo, a atualizao mais antiga pode ser necessria se alguns servidores
no estiverem executando o service pack mais recente.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 12-9
A. Datum tem aplicado manualmente as atualizaes a servidores em um local remoto. Isso resultou em
dificuldade na identificao de quais servidores tm atualizaes aplicadas e quais no. Esse um
problema de segurana potencial. Voc deve automatizar o processo de atualizao estendendo a
implantao do WSUS da A. Datum para incluir o escritrio da matriz.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
2. No Gerenciador do Servidor, instale a funo Windows Server Update Services com os servios
de funo WID Database e WSUS Services. Tambm configure o local das atualizaes como
C:\WSUSUpdates.
3. Abra o console do Windows Server Update Services e conclua a instalao quando solicitado.
Tarefa 2: Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
1. Em LON-SVR4, conclua o Assistente de Configurao de Windows Server Update Services,
especificando as seguintes configuraes:
o Idiomas padro
2. No console Windows Server Update Services, em Opes, defina Computadores como Usar Poltica
de Grupo ou configuraes do Registro em computadores.
Resultados: Depois de concluir este exerccio, voc dever ter implementado a funo de servidor WSUS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 12-11
2. Reinicie LON-CL1.
Gpresult /r
Resultados: Aps concluir esse exerccio, voc dever ter definido as configuraes de atualizao dos
computadores clientes.
Wuauclt.exe /detectnow
Resultados: Depois de concluir este exerccio, voc ter aprovado e implantado uma atualizao usando
o WSUS.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
Ferramentas
Ferramenta Uso Onde encontrar
Mdulo 13
Monitoramento do Windows Server 2012
Contedo:
Viso geral do mdulo 13-1
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Descrever as ferramentas de monitoramento do Windows Server 2012.
Usar o Monitor de Desempenho para visualizar e analisar estatsticas de desempenho dos programas
em execuo em seus servidores.
Monitorar logs de eventos para visualizar e interpretar os eventos ocorridos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
13-2 Monitoramento do Windows Server 2012
Lio 1
Ferramentas de monitoramento
O Windows Server 2012 fornece uma gama de ferramentas para monitorar um sistema operacional em
um computador. Voc pode usar estas ferramentas para ajustar seu sistema para solucionar problemas de
eficincia. Voc deve usar estas ferramentas e complement-las onde for necessrio com suas prprias
ferramentas.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Usurios. A guia Usurios exibe o consumo de recursos por usurio. possvel expandir a exibio do
usurio para ver informaes mais detalhadas sobre processos especficos que um usurio est
executando.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 13-3
Detalhes. A guia Detalhes lista todos os processos em execuo no servidor, fornecendo estatsticas
sobre o consumo da CPU, da memria e de outros recursos. Voc pode usar essa guia para gerenciar
os processos em execuo. Por exemplo, possvel interromper um processo, interromper um
processo e todos os processos relacionados, bem como alterar os valores de prioridade dos
processos. Ao alterar a prioridade de um processo, voc determina a quantidade de recursos da CPU
que o processo pode consumir. Ao aumentar a prioridade, voc permite que o processo solicite mais
recursos da CPU.
Servios. A guia Servios fornece uma lista dos servios do Windows em execuo, alm de
informaes relacionadas: se o servio est em execuo e o valor de identidade de processador (PID)
do servio em execuo. Voc pode iniciar e parar os servios usando a lista na guia Servios.
De modo geral, voc pode usar o Gerenciador de Tarefas quando um problema relacionado ao
desempenho se manifesta. Por exemplo, voc pode examinar os processos em execuo para determinar
se um programa especfico est usando recursos de CPU em excesso. Lembre-se sempre de que o
Gerenciador de Tarefas mostra um instantneo do consumo de recursos atual, e talvez voc tambm
precise examinar dados histricos para ter uma ideia real sobre a subcarga de resposta e o desempenho
de um computador servidor.
Um valor mximo.
Um valor mnimo.
O Monitor de Desempenho fornece uma coleo de objetos e contadores que registram dados sobre o
uso dos recursos do computador.
H muitos contadores que voc pode pesquisar e considerar monitorar para atender a seus requisitos
especficos.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
13-4 Monitoramento do Windows Server 2012
Processador > % Tempo do Processador. Esse contador avalia a porcentagem de tempo decorrido
que o processador gasta executando um thread no ocioso. Se o valor for maior que 85%, o
processador ficar sobrecarregado e o servidor poder exigir um processador mais rpido. Em outras
palavras, esse contador exibe o percentual de tempo decorrido que um determinado thread usou o
processador para executar instrues. Uma instruo a unidade bsica de execuo em um
processador e um thread o objeto que executa instrues. O cdigo executado para lidar com
algumas interrupes de hardware e condies de desvio includo nessa contagem.
Processador > Interrupes/s. Esse contador exibe a taxa, em incidentes por segundo, na qual o
processador recebeu e atendeu interrupes de hardware.
Sistema > Comprimento da Fila de Processador. Esse contador exibe um nmero aproximado de
threads que cada processador est atendendo. O servidor no ter potncia de processador suficiente
se o valor for duas vezes maior que o nmero de CPUs para um perodo estendido. O tamanho da fila
do processador, s vezes chamado de profundidade da fila do processador, que esse contador relata
um valor instantneo que s representa um instantneo atual do processador. Portanto, voc deve
observar esse contador ao longo de um perodo estendido para notar tendncias de dados. Alm
disso, o contador Sistema > Comprimento da fila de processador relata um tamanho de fila total para
todos os processadores, e no um tamanho para cada processador.
Disco Fsico > % tempo de disco. Esse contador indica a ocupao de um determinado disco, e mede
o percentual de tempo em que o disco esteve ocupado durante o intervalo de exemplo. Um contador
aproximando 100 por cento indica que o disco est ocupado praticamente todo o tempo e
iminente um afunilamento de desempenho. Talvez seja conveniente substituir o sistema de disco
atual por um mais rpido.
Disco fsico > Comprimento mdio da fila de disco. Esse contador indica quantas solicitaes de disco
esto esperando para ser atendidas pelo gerenciador de E/S no Windows 7 a qualquer momento. Se
o valor for duas vezes maior que o nmero de eixos, isso significa que o prprio disco pode ser o
afunilamento. Quanto mais longa a fila, menos satisfatria a taxa de transferncia do disco.
Ao monitorar os contadores de desempenho de rede, voc poder avaliar o desempenho de sua rede.
Entre os contadores primrios de rede esto:
Interface de Rede > Largura de banda atual. Esse contador indica a largura de banda atual que est
sendo consumida na interface de rede em bits por segundo (bps). A maioria das topologias de rede
tm larguras de banda potenciais mximas cotadas em megabits por segundo (Mbps). Por exemplo,
Ethernet pode operar a larguras de banda de 10 Mbps, 100 Mbps, 1 Gigabit por segundo (Gbps), e
mais alto. Para interpretar este contador, divida o valor dado por 1.048.576 para Mbps. Se o valor
chegar a largura de banda potencial mxima da rede, voc deve implementar uma rede alternada ou
atualizar para uma rede que d suporte a larguras de banda mais altas.
Interface de Rede > Comprimento da Fila de Sada. Esse contador indica o comprimento atual da fila
de pacote de sada na interface de rede selecionada. Um valor crescente, ou que for
consistentemente mais alto que dois, pode indicar um afunilamento de rede, o que voc deve
investigar.
Interface de Rede > Total de Bytes/s Esse contador avalia a taxa na qual os bytes so enviados e
recebidos em cada adaptador de rede, incluindo caracteres de enquadramento. A rede ficar
sobrecarregada se voc descobrir que mais de 70% da interface consumida.
O Visualizador de Eventos fornece listas categorizadas de eventos de log do Windows essenciais, inclusive
aplicativo, segurana, instalao e eventos do sistema, bem como agrupamentos de logs para aplicativos
individuais instalados e categorias de componentes do Windows especficas. Os eventos individuais
fornecem informaes detalhadas referentes ao tipo de evento ocorrido, quando o evento ocorreu, a
origem do evento e as informaes tcnicas detalhadas para auxiliar na soluo de problemas do evento.
Alm disso, o Visualizador de Eventos permite consolidar logs de vrios computadores em um
computador centralizado usando assinaturas. Por fim, possvel configurar o Visualizador de Eventos para
realizar uma ao com base em um evento especfico ou eventos ocorridos. Isso pode incluir o envio de
uma mensagem de email, a inicializao de um aplicativo, a execuo de um script ou outras aes de
manuteno que poderiam notific-lo ou tentar resolver um problema potencial.
A capacidade para exibir vrios logs. possvel filtrar eventos especficos em vrios logs, o que
simplifica a investigao de problemas e a soluo de problemas que possam ser exibidos em vrios
logs.
A incluso de exibies personalizadas. possvel usar a filtragem para restringir pesquisas apenas a
eventos nos quais voc tenha interesse e salvar essas exibies filtradas.
A capacidade para configurar tarefas agendadas para serem executadas em resposta a eventos. Voc
pode automatizar respostas a eventos. O Visualizador de Eventos integrado ao Agendador de
tarefas.
A capacidade para criar e gerenciar inscries de evento. possvel coletar eventos de computadores
remotos e armazen-los localmente.
Observao: Para coletar eventos de computadores remotos, voc deve criar uma regra de
entrada no Firewall do Windows Firewall para permitir o Gerenciamento do Log de Eventos do
Windows.
O Visualizador de Eventos acompanha informaes em vrios logs diferentes. Estes logs fornecem
informaes detalhadas que incluem:
Log do aplicativo Este log contm erros, avisos e eventos informativos que pertencem
operao de aplicativos como o Microsoft Exchange Server, o servio
SMTP (Simple Mail Transfer Protocol) e outros aplicativos.
Eventos encaminhados Este log armazena eventos que so coletados de computadores remotos.
Para coletar eventos de computadores remotos, voc deve criar uma
assinatura de evento.
Admin
Operacional
Analtico
Depurao
Os eventos no log operacional tambm so teis para profissionais de IT, mas provvel que eles exijam
mais interpretao. possvel usar eventos operacionais para analisar e diagnosticar um problema ou uma
ocorrncia e acionar ferramentas ou tarefas com base no problema ou na ocorrncia.
Por padro, arquivos de log do Windows tm 1.028 KB, e os eventos so substitudos conforme
necessrio. Se quiser limpar um log manualmente, voc dever entrar no servidor como um administrador
local. Se quiser definir configuraes de log de eventos de maneira centralizada, voc poder fazer isso
usando a Poltica de Grupo. Abra o Editor de Gerenciamento da Poltica de Grupo do GPO (Objeto de
Poltica de Grupo) e navegue at Configurao do Computador\Polticas\Modelos Administrativos\
Componentes do Windows\Servio do Log de Eventos.
Lio 2
Utilizao do Monitor de Desempenho
possvel usar o Monitor de Desempenho para coletar, analisar e interpretar dados relacionados ao
desempenho sobre os servidores da organizao. Isso permite tomar decises de planejamento de
capacidade mais bem informadas. Porm, para tomar decises informadas, importante que voc saiba
como estabelecer uma linha de base de desempenho, como usar conjuntos de coletores de dados e como
usar relatrios para ajudar a comparar dados de desempenho com a linha de base.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Identificar os parmetros-chave que voc deve acompanhar durante o monitoramento dos servios
de infraestrutura de rede.
Anlise de tendncias
Voc deve considerar o valor dos dados de desempenho atentamente para assegurar que eles reflitam o
ambiente do servidor real.
Alm disso, voc deve considerar a anlise de desempenho, bem como o crescimento do negcio ou da
tecnologia e atualizar os planos. Ser possvel reduzir o nmero de servidores em operao depois de
voc medir o desempenho e avaliar o ambiente necessrio.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 13-11
Ao analisar tendncias de desempenho, voc pode prever quando a capacidade existente provvel de
ser esgotada. Analise o histrico com relao ao seu negcio e use isto para determinar quando uma
capacidade adicional necessria. Alguns picos so associados a atividades nica como, por exemplo,
ordens extremamente grandes. Outros picos ocorrem regularmente, como uma folha de pagamento
mensal. Esses picos poderiam exigir maior capacidade para atender a um nmero crescente de
funcionrios.
Alm disso, voc deve considerar virtualizar seu ambiente para reduzir o nmero de servidores fsicos que
so necessrios. Voc pode consolidar servidores implementando a funo Hyper-V no ambiente do
Windows Server 2012.
Planejamento de capacidade
O planejamento de capacidade concentra-se em avaliar a carga de trabalho de servidor, o nmero de
usurios que um servidor pode suportar, e as maneiras como escalar sistemas para suportar carga de
trabalho adicional e usurios no futuro.
Novos aplicativos para servidores e servios afetam o desempenho de sua infraestrutura de IT. Estes
servios podem receber hardware dedicado embora eles geralmente usem a mesma LAN (rede local) e
infraestrutura de WAN (rede sem fio). Planejar para capacidade futura deve incluir todos os componentes
de hardware e como novos servidores, servios e aplicativos afetam a infraestrutura existente. Fatores
como energia, resfriamento e espao fsico so geralmente negligenciados durante exerccios iniciais para
planejar expanso de capacidade. Voc deve considerar como seus servidores podem ser dimensionados
para suportar um aumento de carga de trabalho.
Tarefas como atualizar para o Windows Server 2008 R2 e atualizar sistemas operacionais podem afetar
seus servidores e sua rede. s vezes, uma atualizao pode causar um problema com um aplicativo. O
cuidado ao monitorar o desempenho antes e depois de aplicar as atualizaes pode identificar
problemas.
Um negcio em expanso exige que voc fornea suporte a mais usurios. Voc deve considerar
requisitos comerciais ao comprar hardware. Fazendo isso, possvel atender aos requisitos comerciais
futuros por meio do aumento do nmero de servidores ou adicionando capacidade a hardware existente.
Mais servidores
Hardware adicional
Reduo de usurios
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
13-12 Monitoramento do Windows Server 2012
Um computador que sofre de uma escassez de recursos severa pode deixar de processar solicitaes de
usurio, o que exige ateno imediata. Porm, se seu computador experimentar um afunilamento, mas
ainda funcionar dentro de limites aceitveis, voc pode decidir adiar qualquer alterao at voc resolver
a situao ou at que voc tenha uma oportunidade de realizar uma ao corretiva.
Processador
A velocidade do processador um fator importante na determinao da capacidade geral de processador
do servidor. A velocidade do processador determinada pelo nmero de operaes executadas em um
perodo medido. Os servidores com vrios processadores ou com processadores com vrios ncleos
executam tarefas de uso intensivo do processador com mais eficincia e normalmente so mais rpidos
do que os computadores com um nico processador ou com um processador de ncleo nico.
A arquitetura do processador tambm importante. Os processadores de 64 bits podem acessar mais
memria e podem ter um efeito significativo sobre o desempenho. Porm, importante observar que o
Windows Server 2012 e o Windows Server 2008 R2 s esto disponveis em edies 64 bits.
Disco
Os discos rgidos armazenam programas e dados. Consequentemente, a produtividade dos discos afeta a
velocidade da estao de trabalho ou do servidor, especialmente quando a estao de trabalho ou o
servidor est executando tarefas de uso intensivo do disco. A maioria dos discos rgidos tem partes mveis
e demora um pouco para posicionar as cabeas de leitura/gravao no setor adequado no disco para
recuperar a informao solicitada.
Ao selecionar discos mais rpidos e usando conjuntos de discos para otimizar os tempos de acesso, voc
poder suavizar o potencial do subsistema de disco para criar um gargalo de desempenho.
Voc tambm deve lembrar que as informaes no disco so movidas para a memria antes de serem
usadas. Se houver excesso de memria, o sistema operacional Windows Server criar um cache de arquivo
para itens gravados recentemente ou lidos dos discos. A instalao de memria adicional em um servidor
quase sempre pode aprimorar o desempenho do subsistema de disco uma vez que acessar o cache mais
rpido do que mover as informaes para a memria.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 13-13
Memria
Os programas e os dados so carregados do disco para a memria antes que o programa manipule os
dados. Em servidores que executam vrios programas, ou onde os conjuntos de dados so extremamente
grandes, o aumento da quantidade de memria instalada pode ajudar a melhorar o desempenho do
servidor.
Rede
fcil subestimar o efeito de uma rede com um desempenho ruim porque ele no fcil ver ou medir
como os outros trs componentes de estao de trabalho. Entretanto, a rede um componente crtico
para o monitoramento de desempenho, uma vez que os dispositivos de rede armazenam muitos
programas, dados em processamento e aplicativos.
Dados de rastreamento de eventos. Esse coletor de dados fornece informaes sobre atividades de
sistema e eventos, que normalmente so teis para solucionar problemas.
Informaes de configurao do sistema. Esse coletor de dados permite registrar o estado atual da
chave do Registro e gravar alteraes a essas chaves.
Etapas da demonstrao
3. Crie um novo conjunto de coletores de dados Definido pelo Usurio com os seguintes contadores-
chave:
o Processador > % Tempo do Processador
3. Crie uma nova cpia do arquivo grande no disco rgido local copiando-o de LON-DC1.
Etapas da demonstrao
3. Defina o limite para estar acima de 10 por cento e gerar uma entrada no log de eventos quando essa
condio for atendida.
Etapas da demonstrao
Monitoramento da DNS
O DNS (Sistema de Nomes de Domnio) fornece servios de resoluo de nome na rede. Voc pode
monitorar a funo de servidor DNS do Windows Server 2012 para determinar os seguintes aspectos de
sua infraestrutura de DNS:
As estatsticas gerais de servidor DNS, incluindo o nmero de consultas globais e respostas que so
processadas pelo servidor DNS.
Os contadores UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol) para medir
consultas DNS e respostas que o servidor DNS processa respectivamente usando qualquer um destes
protocolos de transporte.
Contador de uso de memria, para medir o uso de memria de sistema e padres de alocao de
memria que so criados operando o computador de servidor como um servidor DNS.
Os contadores de pesquisa recursivos, para medir consultas e respostas quando o servio do Servidor
DNS usa recurso para procurar e resolver completamente os nomes de DNS em nome dos clientes
que fazem a solicitao.
Os contadores de transferncia de zona, incluindo contadores especficos para medir o seguinte: toda
a transferncia de zona (AXFR), transferncia de zona incremental (IXFR) e atividade de notificao de
atualizao de zona DNS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 13-17
Monitoramento do DHCP
O servio DHCP fornece servios dinmicos de configurao de IP em sua rede. Voc pode monitorar
a funo de servidor DHCP do Windows Server 2012 para determinar os seguintes aspectos de seu
servidor DHCP:
O Comprimento Mdio da Fila, que indica o tamanho atual da fila de mensagens interna do servidor
DHCP. Esse nmero representa o nmero de mensagens no processadas que o servidor recebe. Um
nmero grande pode indicar trfego pesado de servidor.
O contador Milissegundos por pacote (Md.) o tempo mdio em milissegundos que o servidor
DHCP usa para processar cada pacote que recebe. Esse nmero varia de acordo com o hardware do
servidor e o subsistema de E/S. Um pico pode indicar um problema com o subsistema de E/S que fica
mais lento ou um problema devido a uma sobrecarga de processamento intrnseco no servidor.
Com a virtualizao de servidores do Hyper-V, voc pode criar mquinas virtuais separadas e execut-las
simultaneamente usando os recursos de um nico sistema operacional de servidor. Essas mquinas
virtuais so conhecidas como convidados, e o computador executando o Hyper-V o host.
Convidados de mquina virtual funcionam como computadores normais. Convidados de mquina virtual
hospedados no mesmo hipervisor continuam independentes entre si. possvel executar vrias mquinas
virtuais que estejam usando diferentes sistemas operacionais em um servidor de host simultaneamente,
desde que o servidor de host tenha recursos suficientes.
Ao criar uma mquina virtual, voc configura caractersticas que definem os recursos disponveis para esse
convidado. Esses recursos incluem memria, processadores, configurao de disco e tecnologia de
armazenamento, alm de configurao do adaptador de rede. Essas mquinas virtuais funcionam dentro
dos limites dos recursos alocados para eles e podem sofrer os mesmos afunilamentos de desempenho dos
servidores de host. Dessa forma, importante que voc monitore mquinas virtuais da mesma maneira e,
assim como acontece com as mesmas ferramentas, que monitora os servidores de host.
A Microsoft fornece uma ferramenta, Medio de Recursos do Hyper-V, que permite monitorar o
consumo de recurso nas mquinas virtuais.
A medio de recursos permite que voc acompanhe a utilizao de recursos de mquinas virtuais
hospedadas em computadores com Windows Server 2012 com a funo Hyper-V instalada.
Com a medio de recursos, voc pode medir os seguintes parmetros em mquinas virtuais Hyper-V
individuais:
Ao medir o quanto desses recursos cada uma das mquinas virtuais utiliza, uma organizao pode cobrar
departamentos ou clientes com base no uso de mquina virtual hospedada, em vez de cobrarem uma
taxa fixa por mquina virtual. Uma organizao com apenas clientes internos tambm pode usar essas
medidas para ver os padres de uso e planejar futuras expanses.
Voc realiza tarefas de medio de recurso usando cmdlets do Windows PowerShell no mdulo
Windows PowerShell do Hyper-V. No h ferramenta GUI que permita executar essa tarefa. possvel usar
os seguintes cmdlets para realizar tarefas de medio de recursos:
Enable-VMResourceMetering. Inicia a coleta de dados, por mquina virtual.
Lio 3
Monitoramento de logs de eventos
O Visualizador de Eventos fornece um local prtico e acessvel para voc exibir eventos que ocorram e
que o Windows Server registra em um dos vrios arquivos de log com base no tipo de evento ocorrido.
Para dar suporte a seus usurios, voc deve saber como acessar informaes de evento de maneira rpida
e conveniente, e saiba como interpretar os dados no log de eventos.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Criar exibies personalizadas no painel Ao no Visualizador de Eventos. Voc pode filtrar exibies
personalizadas com base em vrios critrios, incluindo:
Etapas da demonstrao
o Crtico
o Aviso
o Erro
o Sistema
o Servidor de
Para usar o recurso de coleta de eventos, voc deve configurar o encaminhamento e a coleta de
computadores. A funcionalidade de coleta de eventos depende dos servios WinRM (Gerenciamento
Remoto do Windows) e Wecsvc (Servio do Coletor de Eventos do Windows). Estes servios devem estar
sendo executados em computadores que esto participando do processo de encaminhamento e coleta.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 13-21
Habilitando inscries
Para habilitar inscries, realize as seguintes tarefas:
winrm quickconfig
wecutil qc
Etapas da demonstrao
o Coletor iniciado
o ltimos 30 dias
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
13-22 Monitoramento do Windows Server 2012
Como a empresa implantou novos servidores, ser importante estabelecer uma linha de base de
desempenho com uma carga tpica para esses novos servidores. Sua tarefa trabalhar neste projeto. Alm
disso, para facilitar o processo de monitoramento e soluo de problemas, voc opta por realizar o
monitoramento centralizado de logs de eventos.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Configurao do laboratrio
Tempo previsto: 60 minutos
Senha Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
3. No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
o Senha: Pa$$w0rd
o Domnio: Adatum
o Memria, Pginas/s
6. Registre os valores listados no relatrio para anlise posterior. Os valores registrados incluem:
o Memria, Pginas/s
Resultados: Depois deste exerccio, voc deve ter estabelecido uma linha de base para fins de
comparao de desempenho.
2. No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resultados, clique com
o boto direito do mouse em Desempenho de LON-SVR1.
7. Clique em Adicionar.
Observao: Se voc receber um erro nesse ponto, ou os valores em seu relatrio forem
zero, repita as etapas de 4 a 9.
o Memria, Pginas/s
o Interface de Rede, Total de Bytes/s
Pergunta: Comparado com seu relatrio anterior, quais valores foram alterados?
Pergunta: O que voc recomendaria?
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de desempenho para identificar
um afunilamento de desempenho potencial.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
13-26 Monitoramento do Windows Server 2012
5. Verificar resultados
o Computadores: LON-SVR1
o Logs: Aplicativos e Servios> Microsoft > Windows > Diagnosis-PLA > Operacional
3. Crie um novo conjunto de coletores de dados Definido pelo Usurio usando as seguintes
informaes para concluir o processo:
3. Aguarde um minuto para a captura de dados ocorrer e, no prompt de comando, pressione Ctrl+ C e
feche o prompt de comando.
Resultados: Ao final deste exerccio, voc ter centralizado logs de eventos e examinado esses logs de
eventos relacionados ao desempenho.
Ferramentas
Ferramenta Use para Onde encontrar
Avaliao do curso
Sua avaliao deste curso ajudar a Microsoft a
entender a qualidade da sua experincia de
aprendizagem.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado os Servios de
Implantao do Windows.
5. Na janela Abrir, clique duas vezes em Disco Local (C:), em Arquivos de Programas, em Microsoft
Learning, em 24411, em Drives e em Windows2012_RTM.ISO.
3. Clique com o boto direito do mouse em Imagens de Inicializao e clique em Adicionar Imagem
de Inicializao.
2. Na caixa de dilogo Adicionar Grupo de Imagens, no campo Digite um nome para o grupo de
imagens, digite Windows Server 2012 e clique em OK.
7. Na pgina Imagens Disponveis, desmarque todas as caixas de seleo, exceto Windows Server
2012 SERVERSTANDARDCORE e clique em Avanar.
8. Na pgina Resumo, clique em Avanar.
Resultados: Depois de concluir este exerccio, voc criar uma imagem de sistema operacional com
Servios de Implantao do Windows.
5. Na caixa de dilogo Procurar uma pasta de servio de diretrio, expanda Adatum, clique em
Research e clique em OK.
3. Em Usurios e Computadores do Active Directory, expanda Adatum.com, clique com o boto direito
do mouse em Research e clique em Delegar controle.
7. Na caixa de dilogo Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
10. Na pgina Tarefas a delegar, clique em Criar uma tarefa personalizada para delegar e em
Avanar.
11. Na pgina Tipo de Objeto do Active Directory, clique em Somente os seguintes objetos na
pasta, marque as caixas de seleo Computador objetos, Criar objetos selecionados nesta pasta e
clique em Avanar.
12. Na pgina Permisses, na Lista de permisses, marque a caixa de seleo Controle Total e clique
em Avanar.
13. Na pgina Concluindo o 'Assistente para delegao de controle', clique em Concluir.
Resultados: Depois de concluir esse exerccio, voc ter configurado a nomenclatura de computador
personalizada.
2. Nos Servios de Implantao do Windows, na rvore de console, clique com o boto direito do
mouse em Transmisses Multicaste clique em Criar Transmisso Multicast.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L1-5
3. No Assistente para Criar Transmisso Multicast, na pgina Nome da Transmisso, no campo Digite
um nome para esta transmisso, digite Servidores de Ramificao do Windows Server 2012 e
clique em Avanar.
4. Na pgina Seleo de Imagem, na lista Selecionar o grupo de imagens que contm a imagem,
clique em Windows Server 2012.
7. Clique em Concluir.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-SVR3 e clique em
Configuraes.
5. Use as setas para mover Adaptador de Rede Herdado at a parte superior da lista e clique em OK.
8. Quando o computador for reinicializado, revise o aviso de DHCP PXE. Quando solicitado, pressione
F12 para Inicializao de Rede.
11. Clique com o boto direito do mouse em solicitao pendente e clique em Aprovar.
2. Clique com o boto direito do mouse em 24411B-LON-DC1 na lista Mquinas Virtuais e clique
em Reverter.
Resultados: Depois de concluir este exerccio, voc ter implantado uma imagem com Servios de
Implantao do Windows.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L2-7
10. Na caixa de dilogo Novo Registro de Recursos, na caixa Nome de domnio totalmente
qualificado (FQDN) do servidor de email, digite Mail1.Adatum.com e clique em OK.
6. Clique com o boto direito do mouse em Adatum.com, e clique em Outros registros novos.
2. Clique com o boto direito do mouse em Zonas de Pesquisa Inversa e clique em Nova zona.
6. Na pgina Nome da Zona de Pesquisa Inversa, clique em Zona de Pesquisa Inversa IPv4 e em
Avanar.
7. Na segunda pgina Nome da Zona de Pesquisa Inversa, na caixa Identificao de rede, digite
172.16.0 e clique em Avanar.
Resultados: Depois deste exerccio, voc dever ter configurado os registros do servio de sistema de
mensagens obrigatrio e a zona de pesquisa inversa com xito.
4. Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite 131.107.1.2
e pressione Enter. A validao falhar porque no foi possvel entrar em contato com o servidor.
6. Clique em OK.
Resultados: Depois deste exerccio, voc ter configurado com xito o encaminhamento condicional.
7. Na pgina Selecionar funes de servidor, na lista Funes, marque a caixa de seleo Servidor
DNS.
8. Na caixa de dilogo Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
9. Clique em Cancelar.
4. Clique com o boto direito do mouse em LON-DC1 e clique em Definir durao/eliminao para
todas as zonas.
Resultados: Depois deste exerccio, voc ter instalado e configurado com xito o DNS em LON-SVR1.
5. Na guia Monitorando, selecione Uma consulta simples a este servidor DNS e clique em
Testar agora.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L2-11
6. Na guia Monitorando, selecione Uma consulta recursiva a outros servidores DNS e clique em
Testar agora. Observe que o teste recursivo falha para LON-DC1, o que normal, pois no h
encaminhadores configurados para uso por este servidor DNS.
sc stop dns
11. No Gerenciador DNS, na caixa de dilogo LON-DC1 Properties, na guia Monitorando, clique em
Testar agora. Agora, os testes simples e recursivo falham porque nenhum servidor DNS est
disponvel.
sc start dns
15. Na guia Monitorando, clique em Testar agora. O teste simples foi concludo com xito.
16. Feche a caixa de dilogo Propriedades de LON-DC1.
Resultados: Aps este exerccio, voc dever ter testado e verificado o DNS com xito.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L3-13
3. Na janela Aumentar nvel funcional do domnio, confirme que o Nvel funcional atual do
domnio definido como Windows Server 2008 R2. O nvel mnimo para suporte do RODC
Windows Server 2003. Clique em Cancelar.
9. Clique em OK duas vezes para configurar a alterao de nome e o reincio do servidor pendente.
16. Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse em
Domain Controllers e clique em Pr-criar conta do Controlador de Domnio Somente Leitura.
17. Na janela Assistente de Instalao dos Servios de Domnio Active Directory, clique em Avanar.
12. Na janela Segurana do Windows, digite ADATUM\April para Nome de usurio e Pa$$w0rd como
uma senha e clique em OK.
16. Na pgina Opes Adicionais, ao lado de Replicar de, clique na caixa suspensa, clique em LON-
DC1.Adatum.com e em Prximo.
20. Depois que o Assistente de Servios de Domnio Active Directory tiver concludo, o LON-SVR1 ser
reiniciado.
2. Na janela Usurios e Computadores do Active Directory, clique no continer Users, clique duas vezes
em Grupo de Replicao de Senha RODC Permitido, clique na guia Membros e verifique se no
h nada listado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L3-15
3. Clique em OK.
6. Clique em OK.
2. Na janela Novo Objeto Grupo, digite Usurios de Escritrio Remotos no campo Nome do grupo,
confirme que Global e Segurana esto selecionados e clique em OK.
7. No campo Digite os nomes de objeto a serem selecionados, digite LON-CL1, clique em Verificar
nomes e clique em OK.
3. Na janela Adicionar Grupos, Usurios e Computadores, clique no boto de opo para selecionar
Permitir a replicao de senhas da conta para este RODC e clique em OK.
2. Clique na guia Diretiva Resultante, clique em Adicionar, digite Aziz;, clique em Verificar nomes e
clique em OK.
2. Tente entrar como ADATUM\Aziz com a senha Pa$$w0rd. A entrada falhara, porque Aziz no tem
permisso para entrar em LON-SVR1. Porm, as credenciais para a conta de Aziz foram processadas e
armazenadas em cache em LON-SVR1.
4. Clique em OK e confirme se Louise e LON-CL1 foram adicionadas lista de contas com credenciais
armazenadas em cache.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado um RODC.
ntdsutil
snapshot
create
Anote o nmero de GUID que o comando retorna ou copie o GUID para a rea de transferncia.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L3-17
7. Depois que o instantneo for criado, no prompt de comando, digite o seguinte e pressione Enter:
quit
quit
ntdsutil
snapshot
list all
mount <GUID>
quit
quit
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L3-18 Manuteno dos Servios de Domnio Active Directory
Observe que datetime ser um valor exclusivo. Deve haver somente uma pasta em sua unidade C:\
com um nome que comea com $snap.
Uma mensagem indica que a inicializao dos Servios de Domnio Active Directory est concluda.
Deixe Dsamain.exe executando e no feche o prompt de comando.
ntdsutil
snapshot
activate instance ntds
list all
unmount guid
list all
quit
Quit
Resultados: Depois de concluir este exerccio, voc ter configurado instantneos do AD DS.
o Senha: Pa$$w0rd
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
Resultados: Depois de concluir esse exerccio, voc ter configurado a Lixeira do Active Directory.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L4-21
7. Na janela Propriedades de Tempo de vida mximo da senha, digite 45 no campo A senha expirar
em e clique em OK.
9. Na janela Propriedades de Tempo de vida mnimo da senha, verifique se o campo A senha pode ser
alterada aps 1 e clique em OK.
6. Na janela de propriedades de Zerar contador de bloqueios de conta aps, digite 15 no campo Zerar
contador de bloqueios de conta aps e clique em OK.
4. No painel de detalhes, clique com o boto direito do mouse no grupo Managers e clique em
Propriedades.
10. No campo Digite os nomes de objeto a serem selecionados, digite ADATUM\Managers, clique
em Verificar nomes e clique em OK.
Resultados: Aps concluir esse exerccio, voc ter configurado a poltica de senha e as configuraes de
bloqueio de conta.
Get-ADServiceAccount -Filter *
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
Resultados: Aps ter concludo esse exerccio, voc ter criado e associado uma conta de servio
gerenciada.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L5-25
3. Na rvore de console, clique com o boto direito do mouse no continer Objetos de Poltica de
Grupo e, em seguida, clique em Novo.
9. Clique em Mostrar.
10. Na caixa de dilogo Mostrar Contedo, na lista Valor, digite notepad.exe e clique em OK.
11. Na janela No executar aplicativos do Windows especificados, clique em OK.
14. Clique duas vezes na configurao de poltica Tempo limite de Proteo de Tela.
17. Clique duas vezes na configurao de poltica Proteger com senha a proteo de tela.
4. Clique em Proteo de Tela. Observe que o controle Aguardar est desabilitado, ou seja, voc no
pode alterar o tempo limite. Observe que a opo Ao reiniciar, exibir tela de logon est
selecionada e desabilitada, e que voc no pode desabilitar a proteo por senha.
7. Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
Resultados: Aps este exerccio, voc ter criado, editado e vinculado os GPOs necessrios com xito.
3. Clique com o boto direito do mouse na UO Research, selecione Novo e clique em Unidade
Organizacional.
8. Clique com o boto direito do mouse na UO Engenheiros e clique em Criar um GPO neste
domnio e fornecer um link para ele aqui.
10. Clique com o boto direito do mouse no GPO Substituio da Aplicao Engenharia e clique
em Editar.
12. Clique duas vezes na configurao de poltica Tempo limite da Proteo de Tela.
2. Clique na guia Herana de Poltica de Grupo. Observe que o GPO Substituio da Aplicao
Engenharia tem precedncia mais alta do que o GPO Padres da ADATUM. A configurao de
poltica de tempo limite de proteo de tela que voc acabou de configurar no GPO Substituio da
Aplicao Engenharia aplicada aps a configurao no GPO Padres da ADATUM. Portanto, a
nova configurao substituir a configurao padro e prevalecer. O tempo limite da Proteo de
Tela ser desabilitado para usurios dentro do escopo do GPO Substituio da Aplicao
Engenharia.
3. Clique com o boto direito do mouse na UO Engenheiros, selecione Novo e clique em Grupo.
6. Na rvore de console, se for necessrio, expanda a UO Engenheiros e clique duas vezes no link do
GPO Substituio da Aplicao Engenharia na UO Engenheiros. Uma mensagem exibida.
7. Leia a mensagem e marque a caixa de seleo No exibir esta mensagem novamente e clique
em OK. Na seo Filtros de Segurana, voc ver que o GPO se aplica por padro a todos os usurios
autenticados.
8. Na seo Filtros de Segurana, clique em Usurios autenticados.
12. Na caixa de dilogo Selecione Usurio, Computador ou Grupo, na caixa Digite o nome do objeto
a ser selecionado (exemplos): digite GPO_Engineering Application Override_Apply e pressione
Enter.
15. Clique com o boto direito do mouse em User, selecione Novo e clique em Grupo.
20. Clique no boto Avanado. A caixa de dilogo Padres da ADATUM Configuraes de Segurana
exibida.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L5-28 Implementao de uma infraestrutura de Poltica de Grupo
21. Clique no boto Adicionar. A caixa de dilogo Selecionar Usurios, Computadores, Contas de
Servio ou Grupos exibida.
22. Na caixa Digite os nomes de objeto a serem selecionados (exemplos): digite GPO_ADATUM
Standards_Exempt e pressione Enter.
24. Clique em OK. Uma mensagem de aviso exibida para lembrar que permisses Negar substituem as
permisses Permitir. Clique em Sim. Observe que a permisso aparece na guia Delegao como
Personalizado.
3. Clique com o boto direito do mouse em Adatum.com, selecione Novo e clique em Unidade
Organizacional.
4. Na caixa de dilogo Novo Objeto - Unidade Organizacional, digite Quiosques e clique em OK.
5. Clique com o boto direito do mouse em Quiosques, selecione Novo e clique em Unidade
Organizacional.
6. Na caixa de dilogo Novo Objeto - Unidade Organizacional, digite Salas de Conferncia e clique
em OK.
9. Clique com o boto direito do mouse na UO Salas de Conferncia e clique em Criar um GPO neste
domnio e fornecer um link para ele aqui.
10. Na caixa Novo GPO, na caixa Nome, digite Polticas de Sala de Conferncia e pressione Enter.
11. Na rvore de console, expanda Salas de Conferncia e clique no GPO Polticas de Sala de
Conferncia.
12. Clique na guia Escopo. Confirme que o escopo do GPO est definido para ser aplicado a Usurios
Autenticados.
13. Clique com o boto direito do mouse no GPO Polticas de Sala de Conferncia na rvore de
console e clique em Editar.
15. Clique duas vezes na configurao de poltica Tempo limite de Proteo de Tela.
19. Clique duas vezes no modo de processamento de loopback Configurar modo de processamento
de loopback de poltica de grupo.
Resultados: Aps este exerccio, voc ter configurado com xito o escopo necessrio dos GPOs.
2. Verifique se voc ainda est conectado como ADATUM\Pat. Se necessrio, fornea a senha
Pa$$w0rd.
4. Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
5. Na lista Aplicativos, clique com o boto direito do mouse em Prompt de Comando e clique em
Executar como administrador.
gpupdate.exe /force
8. Aguarde a concluso do comando. Anote a hora do sistema atual porque voc precisar dessa
informao em uma tarefa futura deste laboratrio. Para registrar a hora de sistema, digite o seguinte
comando e pressione Enter duas vezes:
Time
9. Reinicie LON-CL1.
10. Aguarde a reinicializao do LON-CL1 antes de passar para a prxima tarefa. No entre no LON-CL1.
14. Clique com o boto direito do mouse na pasta Resultados da Poltica de Grupo e clique em
Assistente de Resultados de Poltica de Grupo.
15. Na pgina Assistente de Resultados de Poltica de Grupo, clique em Avanar.
16. Na pgina Seleo de Computador, clique em Outro computador, digite LON-CL1 e clique em
Avanar.
17. Na pgina Seleo de Usurio, verifique se as opes Exibir configuraes de poltica para e
Selecione um usurio especfico so selecionadas, selecione ADATUM\Pat e clique em Avanar.
18. Na pgina Resumo das Selees, examine suas configuraes e clique em Avanar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L5-30 Implementao de uma infraestrutura de Poltica de Grupo
20. Revise os Resultados de Poltica de Grupo. Para a configurao de usurio e computador, identifique
a hora da ltima atualizao de poltica e a lista de GPOs permitidos e negados. Identifique os
componentes que foram usados para processar configuraes de poltica.
21. Clique na guia Detalhes. Revise as configuraes que foram aplicadas durante a aplicao de poltica
de usurio e computador e identifique o GPO do qual as configuraes foram obtidas.
22. Clique na guia Eventos de Polticas e localize o evento que registra em log a atualizao de poltica
voc disparou com o comando GPUpdate na Tarefa 1.
23. Clique na guia Resumo, clique com o boto direito do mouse na pgina e clique em Salvar
Relatrio.
25. Abra o relatrio de RSoP salvo na rea de trabalho. Examine o relatrio de RSoP e feche-o.
2. Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
3. Na lista Aplicativos, clique em Prompt de Comando.
gpresult /r
gpresult /v
Observe que muitas das configuraes de Poltica de Grupo aplicadas pelo cliente esto listadas nesse
relatrio.
gpresult /z
gpresult /h:"%userprofile%\Desktop\RSOP.html"
9. Compare o relatrio, suas informaes e a formatao com o relatrio de RSoP que voc salvou na
tarefa anterior.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L5-31
3. Clique com o boto direito do mouse em Modelagem da Poltica de Grupo e clique em Assistente
para Modelagem de Poltica de Grupo. O Assistente para Modelagem de Poltica de Grupo
aberto.
4. Clique em Avanar.
14. Expanda Adatum e Quiosques e clique em Salas de Conferncia. Voc est simulando o efeito de
LON-CL1 como um computador da sala de conferncia.
21. Revise suas configuraes na pgina Resumo das Selees e clique em Avanar.
23. Na guia Detalhes, role a tela e, se necessrio, expanda Detalhes do Usurio, Objetos de Poltica de
Grupo e GPOs Aplicados.
24. Verifique se o GPO Polticas de Sala de Conferncia se aplica a Mike como uma poltica de usurio
quando ele fizer logon em LON-CL1 se LON-CL1 estiver na UO Salas de Conferncia?
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L5-32 Implementao de uma infraestrutura de Poltica de Grupo
25. Role a tela e, se necessrio, expanda Detalhes do Usurio, Polticas, Modelos Administrativos e
Painel de Controle/Personalizao.
26. Confirme que o tempo limite de proteo de tela 2.700 segundos (45 minutos), a configurao
definida pelo GPO Polticas de Sala de Conferncia que substitui o padro de 10 minutos configurado
pelo GPO Padres da ADATUM.
2. Coloque o ponteiro do mouse no canto inferior direito do vdeo e clique em Configuraes. Clique
em Painel de Controle.
8. Localize eventos com Poltica de Grupo como a Origem. Voc pode at clicar no link Filtrar Log Atual
no painel Aes e selecionar Poltica de Grupo na lista suspensa Origens de Eventos.
12. Revise os eventos e identifique os eventos de Poltica de Grupo inseridos nesse log. Quais eventos
esto relacionados com a aplicao de Poltica de Grupo e quais esto relacionados com as atividades
que voc executou para gerenciar Poltica de Grupo? Observe que, dependendo do tempo que a
mquina virtual est em execuo, talvez voc no tenha Eventos de Poltica de Grupo no log do
aplicativo.
13. Na rvore de console, expanda Logs de Aplicativos e Servios, Microsoft, Windows e Group
Policy e clique em Operacional.
14. Localize o primeiro evento relacionado na atualizao de Poltica de Grupo que voc iniciou no
Exerccio 1, com o comando GPUpdate. Revise esse evento e os eventos que se seguem.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de RSoP com xito para verificar a
aplicao correta de seus GPOs.
3. No painel de detalhes, clique com o boto direito do mouse em Padres da ADATUMe clique
em Backup.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L5-33
4. Na caixa de dilogo Fazer Backup do Objeto de Poltica de Grupo, na caixa Local, digite C:\.
5. Clique em Backup.
2. Na caixa de dilogo Assistente para Restaurar Objeto de Poltica de Grupo, clique em Avanar.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
Resultados: Depois deste exerccio, voc dever ter executado com xito tarefas de gerenciamento
comuns em seus GPOs.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L6-35
4. No painel de detalhes, clique duas vezes em Disco Local (C:), e na guia Incio, clique na pasta Nova
pasta.
6. Clique com o boto direito do mouse na pasta Branch1, clique em Compartilhar com e clique em
Pessoas especficas.
7. Na caixa de dilogo Compartilhamento de Arquivos, clique na seta suspensa, selecione Todos e
clique em Adicionar.
11. Coloque o ponteiro do mouse no canto inferior direito do visor, e clique em Iniciar.
12. Digite Bloco de Notas e pressione Enter.
19. Na rea de trabalho, clique com o boto direito do mouse no arquivo BranchScript.bat e clique em
Copiar. Voc colar o arquivo posteriormente na pasta apropriada no laboratrio.
5. Clique com o boto direito do mouse em Adatum.com, aponte para Novo e clique em Unidade
Organizacional.
6. Na caixa de dilogo Novo Objeto Unidade Organizacional, na caixa Nome, digite Filial 1 e
clique em OK.
11. No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e, em seguida, clique em
Mover.
16. Clique com o boto direito do mouse em Filial 1 e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui.
17. Na caixa de dilogo Novo GPO, na caixa Nome, digite Branch1 e clique em OK.
19. Clique com o boto direito do mouse no GPO Branch1 e clique em Editar.
20. No Editor de Gerenciamento de Poltica de Grupo, sob Configurao do Computador, expanda
Polticas, expanda Configuraes do Windows e clique em Scripts (Inicializaao/Encerramento).
23. No painel de detalhes, clique com o boto direito do mouse na rea em branco e clique em Colar.
8. Na caixa de dilogo Editor de Destino, clique em Novo Item e clique em Grupo de Segurana.
10. Na caixa de dilogo Selecionar Grupo, na caixa Digite o nome do objeto a ser selecionado
(exemplos), digite IT e clique em OK.
11. Clique em OK duas vezes.
gpupdate /force
7. Saia de LON-CL1.
11. Verifique se o atalho para o Bloco de Notas est na rea de trabalho de Holly.
Resultados: Depois desse exerccio, voc deve ter criado os scripts e as configuraes de preferncia
requeridas com sucesso, e depois atribudo-os usando os GPOs.
3. No painel de detalhes, clique duas vezes em Disco Local (C:), e na guia Incio clique em Nova pasta.
6. Na caixa de dilogo Compartilhamento de Arquivos, clique na seta suspensa, selecione Todos e clique
em Adicionar.
3. Clique com o boto direito do mouse em Filial 1 e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui. Clique em OK.
4. Na caixa de dilogo Novo GPO, na caixa Nome, digite Redirecionamento de Pasta e clique em OK.
5. Verifique se a caixa Local da pasta de destino est definida para Criar uma pasta para cada usurio
no caminho raiz.
gpupdate /force
11. Clique com o boto direito do mouse em Meus Documentos, e clique em Propriedades.
12. Na caixa de dilogo Propriedades de Meus Documentos, observe que o local da pasta agora o
compartilhamento de rede em uma subpasta nomeada para o usurio.
13. Se o redirecionamento da pasta no for evidente, saia, e entre como ADATUM\Holly com a senha
Pa$$word. Repita as etapas de 10 at 12.
14. Saia de LON-CL1.
Resultados: Depois deste exerccio, voc deve ter configurado o redirecionamento de pasta com xito
para uma pasta compartilhada no servidor de LON-DC1.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
4. No painel de detalhes Console de Modelos de Certificado, clique com o boto direito do mouse em
Computador e clique em Propriedades.
5. Na caixa de dilogo Propriedades do Computador, clique na guia Segurana e em Usurios
autenticados.
6. Em Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
9. Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas e
clique em Iniciar Servio.
10. Feche o console de gerenciamento certsrv.
12. No painel da lista Gerenciamento de Poltica de Grupo, expanda Floresta: Adatum.com, expanda
Domnios e expanda Adatum.com.
13. No painel da lista, em Adatum.com, clique com o boto direito do mouse em Default Domain
Policy e clique em Editar.
15. No painel de navegao, clique com o boto direito do mouse em Configuraes de solicitao
automtica de certificado, aponte para Novo e clique em Solicitao de Certificado Automtica.
22. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
27. Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
34. Alterne para LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
35. Em Iniciar, digite cmd.exe e pressione Enter.
38. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
14. No Gerenciador de Poltica de Rede, no painel de navegao, clique com o boto direito do mouse
em NPS (Local) e clique em Registrar servidor no Active Directory.
19. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto.
21. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
22. Clique em Avanar, selecione Acesso remoto (dial-up ou rede virtual privada) e clique em
Avanar.
24. Clique na interface de rede Conexo Local 2. Desmarque a caixa de seleo Habilitar a segurana
na interface selecionada configurando filtros de pacotes estticos e clique em Avanar.
26. Na pgina Atribuio de intervalo de endereos, clique em Novo. Na caixa de texto Endereo IP
inicial, digite 172.16.0.100, na caixa de texto Endereo IP final, digite 172.16.0.110 e clique em OK.
3. No painel de detalhes, clique com o boto direito do mouse na poltica na parte de cima da lista e
clique em Desabilitar.
4. No painel de detalhes, clique com o boto direito do mouse na poltica na parte de baixo da lista e
clique em Desabilitar.
5. No painel de navegao, clique com o boto direito do mouse em Polticas de Rede e clique em
Novo.
6. No Assistente de Nova Poltica de Rede, na caixa de texto Nome da Poltica, digite Poltica VPN de
Piloto de IT.
7. Na lista Tipo de servidor de acesso rede, clique em Servidor de Acesso Remoto (VPN-Dial up)
e em Avanar.
11. Na caixa de dilogo Selecionar Grupo, na caixa de texto Digite o nome do objeto a ser
selecionado (exemplos), digite IT e clique em OK.
15. Marque a caixa de seleo Permitir acesso somente nos seguintes dias e horrios e clique em
Editar.
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN com xito e configurado
o acesso para membros do grupo de segurana global de IT.
2. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
6. Clique em Fechar.
11. Na pgina Selecionar o Sistema Operacional de Destino, verifique se a opo Windows Vista ou
superior est selecionada e clique em Avanar.
12. Na pgina Criar ou Modificar um Perfil do Gerenciador de Conexes, verifique se a opo Novo
perfil est selecionada e clique em Avanar.
13. Na pgina Especificar o Nome do Servio e o Nome do Arquivo, na caixa de texto Nome do
servio, digite VPN Piloto da Adatum, na caixa de texto Nome do arquivo, digite Adatum e clique
em Avanar.
14. Na pgina Especificar um Nome de Realm, clique em No adicionar um nome de realm ao nome
do usurio e em Avanar.
16. Na pgina Adicionar Suporte a Conexes VPN, marque a caixa de seleo Catlogo telefnico
deste perfil.
17. Na caixa de texto Nome ou endereo IP do servidor VPN, digite 10.10.0.1 e clique em Avanar.
20. Na lista Estratgia de VPN, clique em Usar apenas o protocolo de tnel de camada 2 (L2TP) e
em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L7-46 Configurao e soluo de problemas de acesso remoto
33. Na pgina Instalar Arquivos Adicionais com o Perfil do Gerenciador de Conexes, clique em
Avanar.
40. Na caixa de dilogo VPN Piloto da Adatum, clique em Todos os usurios e clique em OK.
7. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN Piloto da
Adatum e clique em Conectar/Desconectar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L7-47
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
Resultados: Depois deste exerccio, voc deve ter distribudo um perfil CMAK com xito e testado o
acesso VPN.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L7-48 Configurao e soluo de problemas de acesso remoto
e. Na janela Novo Objeto Unidade Organizacional, na caixa de texto Nome, digite DA_Clients
OU e clique em OK.
f. No console Usurios e Computadores do Active Directory, clique com o boto direito do mouse
em DA_Clients OU, clique em Novo e em Grupo.
g. Na caixa de dilogo Novo Objeto - Grupo, em Nome do grupo, digite DA_Clients.
c. Em Adatum.com, clique com o boto direito do mouse em Default Domain Policy, e clique em
Editar.
e. No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com o
boto direito do mouse em Regras de Entrada e clique em Nova Regra.
f. Na pgina Tipo de regra, clique em Personalizado, e em Avanar.
j. Clique em Avanar.
k. Na pgina Escopo, clique em Avanar.
o. Na rvore de console, clique em Regras de Sada, clique com o boto direito do mouse em
Regras de Sada e clique em Nova Regra.
t. Clique em Avanar.
x. Na pgina Nome, na caixa de texto Nome, digite Solicitaes de eco ICMPv6 de sada, e
clique em Concluir.
b. No console Gerenciador DNS, com LON-DC1 expandido, Zonas de pesquisa direta e clique em
Adatum.com.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L7-50 Configurao e soluo de problemas de acesso remoto
c. Clique com o boto direito do mouse em Adatum.com, e clique em Novo Host (A ou AAAA).
d. Na caixa de texto Nome , digite nls. Na caixa de texto Endereo IP, digite 172.16.0.21, clique
em Adicionar Host e em OK.
e. Na caixa de dilogo Novo Host, na caixa de texto Nome , digite CRL. Na caixa Endereo IP ,
digite 172.16.0.1 e clique em Adicionar Host.
f. Na caixa de dilogo DNS que informa que o registro foi criado, clique em OK.
4. Remova ISATAP da lista global de consultas no autorizadas DNS realizando as seguintes etapas:
a. Mova o ponteiro do mouse para o canto inferior direito, selecione Pesquisar no menu direita e
digite cmd.exe. Pressione Enter.
b. Mova o mouse para o canto inferior direito da tela, clique em Configuraes, em Painel de
Controle e em Exibir o status e as tarefas da rede.
d. Na janela Conexo de Rede, clique com o boto direito do mouse em Conexo Local e clique
em Propriedades.
e. Na janela Propriedades da Rede Local, clique duas vezes em Propriedades de Protocolo TCP/IP
Verso 4 (TCP/IPv4).
g. Na guia DNS, na caixa de texto Sufixo DNS para esta conexo, digite Adatum.com, e clique
em OK.
a. Na janela Conexo de Rede, clique com o boto direito do mouse em Conexo Local 2 e clique
em Propriedades.
b. Na janela Propriedades de Conexo Local 2, clique duas vezes em Protocolo TCP/IP Verso 4
(TCP/IPv4).
d. Clique em OK e em OK novamente.
h. Na caixa de texto Local, no final da cadeia de caracteres Local, digite .crl e clique em OK.
j. Clique em Adicionar.
k. Na caixa de texto Local, digite \\LON-RTR\crldist$\.
o. Na caixa de texto Local, no final da cadeia de caracteres, digite .crl e clique em OK.
p. Marque as caixas de seleo Publicar listas de certificados revogados neste local e Publicar
listas de certificados revogados delta neste local e clique em OK.
k. Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas
e clique em Iniciar o Servio.
c. No console Adatum.com, clique com o boto direito do mouse em Default Domain Policy e
clique em Editar.
a. Em LON-SVR1, mova o mouse para o canto inferior direito da tela, clique em Pesquisar, digite
cmd, e pressione Enter.
gpupdate /force
mmc
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L7-53
g. Clique com o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique
em Solicitar novo certificado.
n. Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
gpupdate /force
g. Clique com o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique
em Solicitar novo certificado.
p. Feche a janela do console. Se for solicitado que voc salve as configuraes, clique em No.
2. Crie ponto de distribuio CRL em LON-RTR realizando as seguintes etapas:
c. Na rvore de console, expanda para LON-RTR (Se a caixa de mensagem Gerenciador do Servio
de Informaes da Internet for exibida, clique em No), para Sites, clique em Default Web Site,
clique com o boto direito do mouse em Default Web Site e clique em Adicionar Diretrio
Virtual.
d. Na caixa de dilogo Adicionar Diretrio Virtual, na caixa de texto Alias, digite CRLD. Prximo a
Caminho fsico, clique no boto ().
e. Na caixa de dilogo Procurar Pasta, clique em Disco Local (C:) e em Criar Nova Pasta.
i. No painel no meio do console, clique duas vezes em Pesquisa no Diretrio e, no painel Aes,
clique em Habilitar.
l. Clique na seta para baixo da lista suspensa Seo, expanda system.webServer, security e clique
em requestFiltering.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L7-55
c. No painel de detalhes do Explorador de Arquivos, clique com o boto direito do mouse na pasta
CRLDist e clique em Propriedades.
l. Na caixa de dilogo Permisses para CRLDist$, na lista Nomes de grupo ou de usurio, clique
em LON-DC1 (ADATUM\LON-DC1$). Na rea Permisses para LON-DC1, em Controle total,
clique em Permitir e em OK.
t. Na caixa de dilogo Permisses para CRLDist, na lista Nomes de grupo ou de usurio, clique
em LON-DC1 (ADATUM\LON-DC1$). Na rea Permisses para LON-DC1, em Controle total,
clique em Permitir e em OK.
Observao: Se voc vir um erro neste momento, reinicie LON-RTR, entre como
ADATUM\Administrador e reinicie a partir de c).
a. Mova o ponteiro do mouse para o canto inferior direito da tela, na barra de menus, clique em
Pesquisar, digite cmd e pressione Enter.
gpupdate /force
Ipconfig
Resultados: Depois de concluir esse exerccio, voc ter configurado a infraestrutura do DirectAccess.
gpupdate /force
gpresult /R
6. Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
Resultados: Depois de concluir esse exerccio, voc ter configurado os clientes do DirectAccess.
2. Em LON-CL1, mova o ponteiro do mouse para o canto inferior direito da tela, clique em
Configuraes, selecione Painel de Controle e clique em Rede e Internet.
6. Na caixa de dilogo Propriedades de Conexo Local, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
7. Na caixa de dilogo Propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Usar o
seguinte endereo IP.
10. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em
Desativar.
11. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em
Ativar.
12. No host, no Gerenciador do Hyper-V, clique com o boto direito do mouse em 24411B-LON-CL1 e
clique em Configuraes.
13. Altere o Adaptador de Rede Herdado para que esteja na Rede Particular 2 e clique em OK.
ipconfig
3. Observe que o endereo IP retornado comea com 2002. Esse um endereo IP-HTTPS.
4. No prompt de comando, digite o seguinte comando e pressione Enter:
powershell
Get-DAClientExperienceConfiguration
ping lon-dc1.adatum.com
gpupdate /force
Observao: Observe que LON-CL1 conectado via IP via HTTPS (IP-HTTPS). No painel
Detalhes da Conexo, no canto inferior direito da tela, observe o uso de Kerberos para a Mquina
e o Usurio.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL1 e clique
em Reverter.
Resultados: Depois de concluir esse exerccio, voc ter verificado a configurao do DirectAccess.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L8-63
11. Na pgina Selecionar servios de funo, verifique se a caixa de seleo Servidor de Polticas de
Rede est marcada e clique em Prximo.
17. No Gerenciador de Poltica de Rede, no painel de navegao, clique com o boto direito do mouse
em NPS (Local) e clique em Registrar servidor no Active Directory.
4. Nas caixas Segredo compartilhado e Confirmar segredo compartilhado, digite Pa$$w0rd e clique
em OK.
5. No painel de navegao, clique com o boto direito do mouse em Clientes RADIUS e clique em
Novo.
6. Na caixa de dilogo Novo Cliente RADIUS, na caixa Nome amigvel, digite LON-RTR.
7. Clique em Verificar e, na caixa de dilogo Verificar Endereo, na caixa Endereo, digite LON-RTR e
clique em Resolver.
8. Clique em OK.
9. Na caixa de dilogo Novo Cliente RADIUS, em Segredo Compartilhado, em Selecione um
modelo existente de Segredos Compartilhados, clique em Segredo da Adatum e clique em OK.
Resultados: Aps este exerccio, voc dever ter habilitado e configurado o NPS para dar suporte ao
ambiente necessrio.
3. Na caixa de dilogo Novo Cliente RADIUS, desmarque a caixa de seleo Habilitar este
cliente RADIUS.
5. Clique em OK.
9. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
10. Em Iniciar, clique em Ferramentas Administrativas e clique duas vezes em Roteamento e acesso
remoto.
11. Se necessrio, na caixa de dilogo Assistente para Habilitar o DirectAccess, clique em Cancelar.
Clique em OK.
12. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto.
13. Na caixa de dilogo, clique em Sim.
14. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local)e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
15. Clique em Avanar, verifique se a opo Acesso remoto (dial-up ou rede virtual privada) est
selecionada e clique em Avanar.
17. Clique na interface de rede denominada Conexo Local 2. Desmarque a caixa de seleo Habilitar
a segurana na interface selecionada configurando filtros de pacotes estticos e clique em
Avanar.
19. Na pgina Atribuio de intervalo de endereos, clique em Novo. Digite 172.16.0.100 ao lado de
Endereo IP inicial e 172.16.0.110 ao lado de Endereo IP final e clique em OK. Verifique se os 11
endereos IP foram atribudos a clientes remotos e clique em Avanar.
20. Na pgina Gerenciando mltiplos servidores de acesso remoto, clique em Sim, configurar este
servidor para funcionar com um servidor RADIUS e em Avanar.
21. Na pgina Seleo de Servidor RADIUS, na caixa Servidor RADIUS principal, digite LON-DC1.
4. No painel de detalhes, clique com o boto direito do mouse na poltica na parte de cima da lista e
clique em Desabilitar.
5. No painel de detalhes, clique com o boto direito do mouse na poltica na parte de baixo da lista e
clique em Desabilitar.
6. No painel de navegao, clique com o boto direito do mouse em Polticas de Rede e clique em
Novo.
7. No Assistente de Nova Poltica de Rede, na caixa de texto Nome da poltica, digite Poltica VPN
Adatum.
8. Na lista Tipo de servidor de acesso rede, clique em Servidor de Acesso Remoto (VPN-Dial up)
e em Avanar.
10. Na caixa de dilogo Selecionar condio, clique em Tipo de Porta do NAS e clique em Adicionar.
11. Na caixa de dilogo Tipo de Porta do NAS, marque a caixa de seleo Virtual (VPN) e clique
em OK.
12. Clique em Avanar e, na pgina Especificar Permisso de Acesso, verifique se a opo Acesso
concedido est selecionada e clique em Avanar.
8. Na pgina Como deseja se conectar, clique em Usar minha conexo com a Internet (VPN).
10. Na pgina Digite o endereo da Internet com o qual se conectar, na caixa Endereo na Internet,
digite 10.10.0.1.
12. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Criar.
14. Clique com o boto direito do mouse na conexo VPN Adatum, clique em Propriedades e na guia
Segurana.
15. Na lista Tipo de VPN, clique em Protocolo de Tnel Ponto Ponto (PPTP).
17. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo Adatum VPN, e
clique em Conectar/Desconectar.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN e configurado-o como
um cliente RADIUS.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L9-69
3. No painel de detalhes Console de Modelos de Certificado, clique com o boto direito do mouse em
Computador e clique em Propriedades.
5. Em Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
8. Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas e
clique em Iniciar o Servio.
9. Feche o console de gerenciamento certsrv.
8. Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
20. Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Acesso e
Poltica de Rede.
31. Na guia Windows 8/Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto
Firewall habilitado para todas as conexes de rede e clique em OK.
33. Clique com o boto direito do mouse em Polticas de Integridade e clique em Novo.
34. Na caixa de dilogo Criar Nova Poltica de Integridade, em Nome da poltica, digite Compatvel.
39. Na caixa de dilogo Criar Nova Poltica de Integridade, em Nome da Poltica, digite
Incompatvel.
40. Em Verificaes de SHV de cliente, selecione Cliente reprovado em uma ou mais verificaes de
SHV.
41. Em SHVs usados nesta poltica de integridade, marque a caixa de seleo Validador de
Integridade da Segurana do Windows.
3. Na pgina Especificar Nome de Poltica de Rede e Tipo de Conexo, em Nome da poltica, digite
Compatvel com Acesso Total e clique em Avanar.
11. Na pgina Definir Configuraes, clique em Imposio de NAP. Verifique se a opo Permitir
acesso total rede est marcada e clique em Avanar.
13. Clique com o boto direito do mouse em Polticas de Rede e clique em Novo.
14. Na pgina Especificar Nome de Poltica de Rede e Tipo de Conexo, em Nome da poltica, digite
Incompatvel Restrito e clique em Avanar.
15. Na pgina Especificar Condies, clique em Adicionar.
16. Na caixa de dilogo Selecionar condio, clique duas vezes em Polticas de Integridade.
19. Na pgina Especificar Permisso de Acesso, verifique se Acesso concedido est selecionado e
clique em Avanar.
20. Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, marque a
caixa de seleo Executar somente a verificao de integridade do computador e clique em
Avanar.
22. Na pgina Definir Configuraes, clique em Imposio de NAP. Clique em Permitir acesso
limitado.
3. Clique com o boto direito do mouse em Polticas de Solicitao de Conexo e clique em Novo.
4. Na pgina Especificar Nome da Poltica de Solicitao de Conexo e Tipo de Conexo, na caixa
Nome da poltica, digite Conexes de VPN.
5. Em Tipo de servidor de acesso rede, selecione Servidor de Acesso Remoto (VPN-Dial up) e
clique em Avanar.
7. Na caixa de dilogo Selecionar Condio, clique duas vezes em Tipo de Tnel e selecione PPTP,
SSTP e L2TP. Clique em OK e em Avanar.
11. Na caixa de dilogo Adicionar EAP, em Mtodos de autenticao, clique em Microsoft: EAP
protegido (PEAP), e em OK.
12. Em Tipos de EAP, clique em Adicionar. Na caixa de dilogo Adicionar EAP, em Mtodos de
autenticao, clique em Microsoft: Senha segura (EAP-MSCHAP v2) e clique em OK.
14. Verifique se Impor Proteo de Acesso Rede est selecionado e clique em OK.
Resultados: Depois desse exerccio, voc deve ter instalado e configurado os componentes da NAP
obrigatrios, criado as polticas de integridade e rede, alm das polticas de solicitao de conexo.
3. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto.
5. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local)e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
6. Clique em Avanar, verifique se a opo Acesso remoto (dial-up ou rede virtual privada) est
selecionada e clique em Avanar.
8. Clique na Interface de rede denominada Conexo Local 2. Desmarque a caixa de seleo Habilitar a
segurana na interface selecionada configurando filtros de pacotes estticos e clique em
Avanar.
11. Na pgina Gerenciando mltiplos servidores de acesso remoto, verifique se No, usar o
'Roteamento e acesso remoto' para autenticar pedidos de conexo est selecionado e clique em
Avanar.
13. Clique em OK duas vezes e aguarde a inicializao do servio de Roteamento e Acesso Remoto.
3. Clique em Regras de Entrada, clique com o boto direito do mouse em Regras de Entrada e clique
em Nova Regra.
7. Selecione Tipos especficos de ICMP, marque a caixa de seleo Solicitao de Eco, clique em OK e
em Avanar.
11. Na janela Nome, em Nome, digite Solicitao de eco ICMPv4 e clique em Concluir.
12. Feche o console do Firewall do Windows com Segurana Avanada.
Resultados: Aps este exerccio, voc dever ter criado um servidor VPN e configurado a comunicao
de entrada.
8. Em Servios, no painel de resultados, clique duas vezes em Agente de Proteo de Acesso Rede.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L9-75
11. Coloque o mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
6. Na pgina Como deseja se conectar?, clique em Usar minha conexo com a Internet (VPN).
7. Clique em Configurarei minha conexo com a Internet mais tarde.
8. Na pgina Digite o endereo da Internet com o qual se conectar, na caixa Endereo na Internet,
digite 10.10.0.1.
10. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Criar.
12. Clique com o boto direito do mouse na conexo Adatum VPN, clique em Propriedades e na guia
Segurana.
14. Na lista Microsoft: Senha segura (EAP-MSCHAP v2) (criptografia habilitada), selecione
Microsoft: EAP protegido (PEAP) (criptografia habilitada) e clique em Propriedades.
15. Verifique se a caixa de seleo Verificar a identidade do servidor validando o certificado est
marcada.
19. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo Adatum VPN, e
clique em Conectar/Desconectar.
23. A janela Alerta de Segurana do Windows exibida na primeira vez em que essa conexo VPN
usada. Clique em Mostrar detalhes do certificado.
24. Clique em Conectar. Aguarde a conexo VPN ocorrer. Como a LON-CL2 compatvel, ela dever ter
acesso ilimitado sub-rede da Intranet.
25. Coloque o mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
27. Digite ipconfig /all, e pressione Enter. Exiba a configurao do IP. Estado de Quarentena do
Sistema deve ser Irrestrito.
28. No prompt de comando, digite ping 172.16.0.10, e pressione Enter. Isso deve ocorrer com xito.
Agora o cliente atende ao requisito da conectividade total VPN.
36. Na guia Windows 8/Windows 7/Windows Vista, marque a caixa de seleo Acesso restrito para
clientes que no tm instaladas todas as atualizaes de segurana e clique em OK.
37. Alterne para LON-CL2.
40. Digite ipconfig /all, e pressione Enter. Exiba a configurao do IP. Estado de Quarentena do
Sistema deve ser Restrito.
42. Clique com o boto direito do mouse em Adatum VPN e clique em Conectar/Desconectar.
Resultados: Depois deste exerccio, voc dever ter criado uma nova conexo VPN em LON-CL2 e
habilitado, alm de testado a NAP em LON-CL2.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L9-77
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
9. Clique em Prximo duas vezes para confirmar o servio de funo e a seleo do recurso.
10. Na pgina Confirmar selees de instalao, clique em Instalar.
14. Clique com o boto direito do mouse em Modelos de Cota e clique em Criar Modelo de Cota.
15. Na caixa de dilogo Criar Modelo de Cota, no campo Nome do modelo, digite Log do Limite de
100 MB para Visualizador de Eventos.
16. Em Limites de notificao, clique em Adicionar.
18. Na guia Log do Evento, marque a caixa de seleo Enviar aviso para log de eventos e clique em OK.
19. Na caixa de dilogo Criar Modelo de Cota, clique em Adicionar.
20. Na caixa de dilogo Adicionar Limite, no campo Gerar notificao quando o uso alcanar (%),
digite 100.
21. Clique na guia Log do Evento, marque a caixa de seleo Enviar aviso para log de eventos e clique
em OK duas vezes.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L10-80 Otimizao de Servios de Arquivo
5. Na lista Derivar propriedades deste modelo de cota (recomendvel), clique em Log do Limite de
100 MB para Visualizador de Eventos e em Criar.
8. Na janela do Explorador de Arquivos, clique na unidade E, expanda Labfiles (se necessrio), Mod10 e
Users.
2. Na janela do Windows PowerShell, digite os comandos a seguir. Pressione Enter ao final de cada
linha:
E:
cd \Labfiles\Mod10\Users\Mx
fsutil file createnew file1.txt 89400000
Isso cria um arquivo com mais de 85 MB, que ir gerar um aviso no Visualizador de Eventos.
3. Na barra de tarefas, clique no atalho do Gerenciador do Servidor.
Observe que o arquivo no pode ser criado. A mensagem retornada do Windows menciona o espao
em disco, mas a criao do arquivo falha porque ultrapassaria o limite de cota.
Resultados: Aps concluir este exerccio, voc ter configurado uma cota do FSRM.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L10-81
3. Clique com o boto direito do mouse em Triagens de Arquivo e clique em Criar Triagem de
Arquivo.
4. Na janela Criar Triagem de Arquivo, na caixa de texto Caminho da triagem de arquivo, digite
E:\Labfiles\Mod10\Users.
5. Na janela Criar Triagem de Arquivo, na caixa de listagem suspensa Derivar propriedades desse
modelo de triagem de arquivo (recomendvel), verifique se Bloquear Arquivos de udio e
Vdeo est selecionado.
6. Clique em Criar.
5. Clique com o boto direito do mouse em Grupos de Arquivos e clique em Criar Grupo de
Arquivos.
6. Na janela Criar Propriedades do Grupo de Arquivos, na caixa Nome do grupo de arquivos, digite
Arquivos de Mdia MPx.
3. No painel direito, clique com o boto direito do mouse e aponte para Novo, alm de clicar em
Documento de Texto.
4. Renomeie Novo Documento de Texto.txt para musicfile.mp3. Clique em Sim para alterar a
extenso do nome de arquivo.
5. Clique com o boto direito do mouse em musicfile.mp3 e clique em Copiar.
6. No painel esquerdo, expanda Allfiles (E:), Labfiles, Mod10, clique com o boto direito do mouse em
Users e clique em Colar. Voc ser notificado que o sistema no pode copiar o arquivo para
E:\Labfiles\Mod10\Users.
7. Clique em Cancelar.
Resultados: Depois de concluir este exerccio, voc ter configurado a triagem de arquivo e os relatrios
de armazenamento no FSRM.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L10-83
Resultados: Depois de concluir este exerccio, voc ter instalado o servio de funo DFS em LON-SVR1
e instalado o servio de funo DFS em LON-SVR4.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L10-84 Otimizao de Servios de Arquivo
8. Verifique se a caixa de seleo Habilitar o modo Windows Server 2008 est marcada e clique em
Avanar.
9. Na pgina Examinar Configuraes e Criar Namespace, clique em Criar.
10. Na pgina Confirmao, verifique se a tarefa Criar namespace foi bem-sucedida e clique em
Fechar.
12. No painel de detalhes, clique na guia Servidores de Namespaces e verifique se h uma entrada
habilitada para \\LON-SVR1\BranchDocs.
3. Na guia Avanado, marque a caixa de seleo Habilitar enumerao baseada em acesso para este
namespace e clique em OK.
Resultados: Depois de concluir este exerccio, voc ter configurado um namespace do DFS.
3. Clique com o boto direito do mouse em DataFiles e clique em Adicionar Destino de Pasta.
4. Na caixa de dilogo Novo Destino de Pasta, no campo Caminho para o destino de pasta, digite
\\LON-SVR4\DataFiles e clique em OK.
5. Na caixa de dilogo Aviso, clique em Sim para criar a pasta compartilhada em LON-SVR4.
9. Na caixa de dilogo Replicao, clique em Sim. O Assistente para Replicao de Pasta ser iniciado.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L10-86 Otimizao de Servios de Arquivo
11. No Assistente para Nova Topologia, na pgina Seleo de Topologia, Verifique se Malha completa
est selecionado e clique em Avanar.
14. Na pgina Confirmao, clique em Fechar e, na caixa de dilogo Atraso na Replicao, clique
em OK.
15. No painel de detalhes, na guia Associaes, verifique se a pasta replicada exibida em LON-SVR4 e
LON-SVR1.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
4. Clique com o boto direito do mouse em Default Domain Policy e clique em Editar.
5. Na janela Console de Gerenciamento de Poltica de Grupo, em Configurao do Computador,
expanda Polticas, expanda Configuraes do Windows, expanda Configuraes de segurana,
expanda Polticas de chave pblica e clique em Sistema de Arquivos com Criptografia.
8. Clique com o boto direito em Sistema de Arquivos com Criptografia e clique em Criar agente de
recuperao de dados.
9. Leia as informaes para o novo certificado que foi criado. Observe que este certificado foi obtido da
AdatumCA.
10. Feche o Editor de Gerenciamento de Poltica de Grupo.
gpupdate /force
gpupdate /force
6. No painel esquerdo, clique em Certificados Usurio Atual, clique com o boto direito em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
8. Na pgina Selecionar Poltica de Registro de Certificado, clique em Avanar para usar a Poltica
de Registro do Active Directory.
9. Na pgina Solicitar certificados, marque a caixa de seleo EFS Bsico e clique em Registrar.
10. Na pgina Resultados da Instalao de Certificados, clique em Concluir.
11. Na janela Console1, no painel esquerdo, expanda Certificados Usurio Atual, expanda Pessoal e
clique em Certificados.
12. Leia os detalhes do certificado e observe se ele foi emitido por AdatumCA.
Resultados: Depois de concluir esse exerccio, voc ter criptografado e recuperado os arquivos.
4. Clique no continer Computers, clique com o boto direito do mouse em LON-SVR1, clique em
Mover, na OU Servidores de Arquivos e em OK.
8. Clique duas vezes no continer Objetos de Poltica de Grupo, clique com o boto direito do mouse
em Auditoria de Arquivo e clique em Editar.
11. Na janela Propriedades, marque a caixa de seleo Configurar estes eventos de auditoria.
14. Na janela Propriedades, marque a caixa de seleo Configurar estes eventos de auditoria.
7. Na janela Visualizador de Eventos, clique duas vezes em Logs do Windows e clique em Segurana.
8. Clique duas vezes em uma das entradas de log com uma Origem de auditoria de segurana do
Microsoft Windows e uma Categoria de Tarefas de Compartilhamento de Arquivos Detalhado.
Resultados: Depois de concluir este exerccio, voc ter configurado a auditoria avanada.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
12. Na pgina Seleo de local do contedo, na caixa de texto, digite C:\WSUSUpdates e clique em
Prximo.
18. Na janela Concluir a Instalao do WSUS, clique em Executar e aguarde a concluso da tarefa. Clique
em Fechar.
Tarefa 2: Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
1. Na janela Assistente de Configurao do Windows Server Update Services, clique em Avanar duas
vezes.
Resultados: Depois de concluir este exerccio, voc dever ter implementado a funo de servidor WSUS.
3. Na caixa de dilogo Adicionar Grupo de Computadores, na caixa de texto Nome, digite Research
e clique em Adicionar.
4. Clique com o boto direito do mouse na OU Research e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui.
5. Na caixa de dilogo Novo GPO, na caixa de texto Nome, digite Pesquisa do WSUS e clique em OK.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L12-93
6. Clique duas vezes na OU Research, clique com o boto direito do mouse em Pesquisa do WSUS e
clique em Editar.
10. No painel Configurao, clique duas vezes em Especificar o local do servio de atualizao na
intranet da Microsoft e clique na opo Habilitado.
11. Nas caixas de texto Configurar o servio de atualizao da intranet para detectar atualizaes e
Configure as estatsticas do servidor intranet, digite http://LON-SVR4.Adatum.com:8530 e
clique em OK.
12. No painel Configurao, clique duas vezes em Habilitar destino do lado do cliente.
13. Na caixa de dilogo Habilitar destino do lado do cliente, clique na opo Habilitado, na caixa de
texto Nome do grupo de destino para este computador, digite Research e clique em OK.
16. Em Usurios e Computadores do Active Directory, clique duas vezes em Adatum.com, clique em
Computadores, clique com o boto direito do mouse em LON-CL1 e clique em Mover.
4. Na tela Iniciar, digite cmd, clique com o boto direito do mouse no Prompt de Comando e clique
em Executar como Administrador.
Gpresult /r
Resultados: Aps concluir esse exerccio, voc dever ter definido as configuraes de atualizao dos
computadores clientes.
3. Clique em OK e em Fechar.
Wuauclt.exe /detectnow
Resultados: Depois de concluir este exerccio, voc ter aprovado e implantado uma atualizao usando
o WSUS.
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
2. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
6. No Assistente para Criar Novo Conjunto de Coletores de Dados, na caixa Nome, digite
Desempenho de LON-SVR1.
8. Na pgina Que tipo de dados voc deseja incluir?, marque a caixa de seleo Contador de
desempenho e clique em Avanar.
11. Na lista Contadores disponveis, expanda Memria, clique em Pginas/s e clique em Adicionar.
12. Na lista Contadores disponveis, expanda PhysicalDisk, clique em % tempo de disco e clique em
Adicionar.
15. Na lista Contadores disponveis, expanda Interface de rede, clique em Total de bytes/s, clique em
Adicionar e clique em OK.
16. Na pgina Que contadores de desempenho deseja registrar em log?, na caixa Intervalo de
amostragem, digite 1 e clique em Avanar.
18. Na pgina Criar conjunto de coletores de dados?, clique em Salvar e fechar e clique em Concluir.
19. No Monitor de Desempenho, no painel de resultados, clique com o boto direito do mouse em
Desempenho de LON-SVR1 e clique em Iniciar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L13-98 Monitoramento do Windows Server 2012
Del bigfile*.*
Del \\LON-dc1\c$\bigfile*.*
7. Clique duas vezes em Desempenho de LON-SVR1, clique duas vezes na pasta LON-SVR1_date-
000001 e ento clique duas vezes em DataCollector01.blg.
10. Expanda Interface de Rede, clique em Total de bytes/s e ento clique em Adicionar.
Resultados: Depois deste exerccio, voc deve ter estabelecido uma linha de base para fins de
comparao de desempenho.
C:
Cd\Labfiles
StressTool 95
2. No Monitor de Desempenho, clique com o boto direito do mouse em Definido pelo usurio, no
painel de resultados, clique com o boto direito do mouse em Desempenho de LON-SVR1 e clique
em Iniciar.
2. Pressione Ctrl+C.
9. Clique em Adicionar.
Observao: Se voc receber um erro nesse ponto, ou os valores em seu relatrio forem
zero, repita as etapas de 4 a 11.
Pergunta: Comparado com seu relatrio anterior, quais valores foram alterados?
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de desempenho para identificar
um afunilamento de desempenho potencial.
winrm quickconfig
9. Na caixa de dilogo Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
10. Na caixa de dilogo Selecionar Usurios, Contatos, Computadores, Contas de Servio ou Grupos,
na caixa Digite os nomes de objeto a serem selecionados, digite LON-DC1, e clique em OK.
13. Coloque o mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
Wecutil qc
8. Na caixa de dilogo Selecionar Computador, na caixa Digite o nome do objeto a ser selecionado,
digite LON-SVR1 e clique em OK.
11. Na caixa de dilogo Filtro de Consulta, marque as caixas de seleo Nivel crtico, Aviso,
Informaes, Modo detalhado e Erro.
12. Na lista Registrado, clique em ltimos 7 dias.
13. Na lista Logs de Eventos, expanda Logs de Aplicativos e Servios, Microsoft, Windows,
Diagnosis-PLA e marque a caixa de seleo Operational.
14. Clique com o mouse novamente na caixa de dilogo Filtro de Consulta e em OK.
3. Clique com o boto direito do mouse em Definido pelo Usurio, aponte para Novo e clique em
Conjunto de Coletores de Dados.
6. Na pgina Que tipo de dados voc deseja incluir?, clique em Contador de desempenho e clique
em Avanar.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
L13-102 Monitoramento do Windows Server 2012
9. Na pgina Que contadores de desempenho deseja monitorar?, na lista Alertar quando, clique em
Acima.
12. No painel de navegao, expanda o n Definido pelo Usurio e clique em Alerta de LON-SVR1.
13. No painel de resultados, clique com o boto direito em DataCollector01 e clique em Propriedades.
15. Marque a caixa de seleo Registrar uma entrada no log de eventos do aplicativo e clique em OK.
16. No painel de navegao, clique com o boto direito do mouse em Alerta de LON-SVR1 e clique em
Iniciar.
C:
Cd\Labfiles
StressTool 95
5. Pressione Ctrl+C.
Resposta: As respostas podem variar, mas dever haver alguns eventos relacionados carga de
trabalho imposta no LON-SVR1. Eventos tero uma ID de 2031.
Resultados: Ao final deste exerccio, voc ter centralizado logs de eventos e examinado esses logs de
eventos relacionados ao desempenho.
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Administrao do Windows Server 2012 L13-103
2. Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.