24411B PTB TrainerHandbook

O F F I C I A L
M I C R O S O F T
24411B
L E A R N I N G
P R O D U C T
Administrao do Windows Server 2012
ii Configurao do Windows 8
As informaes includas neste documento, incluindo URL e outras referncias a sites da Internet, esto
sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes,
produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui
mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos,
nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento
de todas as leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos
autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um
sistema de recuperao, ou transmitida de qualquer forma por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por
escrito, da Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou outros
direitos de propriedade intelectual abordando o assunto em questo neste documento. Exceto se
expressamente previsto em um contrato de licena por escrito da Microsoft, o fornecimento deste
documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra
propriedade intelectual.
Os nomes dos fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais referentes a esses
fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou
produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para
sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo
contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer
mudana ou atualizao em tais sites. A Microsoft no se responsabiliza pela divulgao por webcast ou
qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo
esses links somente para sua convenincia, e a incluso de tais links no implica endosso da Microsoft em
relao ao site ou aos produtos nele contidos.
2013 Microsoft Corporation. Todos os direitos reservados.
Microsoft e as marcas comerciais listadas em http://www.microsoft.com/about/legal/en/us/IntellectualProperty/
Trademarks/EN-US.aspx so marcas comerciais do grupo de empresas Microsoft. Todas as outras marcas
comerciais pertencem aos respectivos proprietrios
Nmero do produto: 24411B

Pea nmero: X18-86906
Lanamento: 3/2013
Configurao do Windows 8
iii
TERMOS DE LICENA MICROSOFT

CURSO CONDUZIDO PELO INSTRUTOR DA MICROSOFT
Os presentes termos de licena constituem um acordo entre a Microsoft Corporation (ou, dependendo do
local no qual voc esteja domiciliado, uma de suas afiliadas) e voc. Leia-os atentamente. Eles se aplicam
ao uso que voc faz do contedo que acompanha este contrato, que inclui, se houver, a mdia na qual
voc o recebeu. Esses termos de licena tambm se aplicam ao Contedo do Instrutor e a quaisquer
atualizaes e suplementos para o Contedo Licenciado, a menos que outros termos acompanhem esses
itens. Nesse caso, estes ltimos sero aplicados.
O ACESSO, DOWNLOAD OU USO DO CONTEDO LICENCIADO REPRESENTA SUA ACEITAO
DESTES TERMOS. SE VOC NO ACEITAR OS TERMOS, NO ACESSE, BAIXE NEM USE O
CONTEDO LICENCIADO.
Ao cumprir estes termos de licena, voc ter os direitos abaixo para cada licena de software
adquirida.
1. DEFINIES.
a. Centro de Treinamento Autorizado significa um Membro do Programa Microsoft IT Academy,
Membro de Competncia de Treinamento da Microsoft ou uma outra entidade que a Microsoft
pode designar de tempo em tempo.
b. Sesso de Treinamento Autorizado significa a aula de treinamento conduzida pelo instrutor
usando o Curso Conduzido pelo Instrutor da Microsoft conduzido por um Instrutor em ou por meio
de um Centro de Treinamento Autorizado.
c.
Dispositivo em Sala de Aula significa 1 (um) computador dedicado e protegido que um Centro de
Treinamento Autorizado possui ou controla, localizado nas instalaes de treinamento do Centro
de Treinamento Autorizado que atende ou excede o nvel de hardware especificado para o referido
Curso Conduzido pelo Instrutor da Microsoft.
d. Usurio Final significa um indivduo que est (i) devidamente inscrito em e participando de uma
Sesso de Treinamento Autorizado ou Sesso de Treinamento Privado, (ii) um funcionrio de um
Membro MPN ou (iii) um funcionrio em tempo integral da Microsoft.
e. Contedo Licenciado significa o contedo que acompanha este contrato, que pode incluir
o Curso Conduzido pelo Instrutor da Microsoft ou o Contedo do Instrutor.
f.
Instrutor Certificado pela Microsoft ou MCT significa um indivduo que (i) contratado para
ministrar uma sesso de treinamento para Usurios Finais em nome de um Centro de Treinamento
Autorizado ou Membro do MPN e (ii) atualmente certificado como um Instrutor Certificado pela
Microsoft pelo Programa do Programa de Certificao da Microsoft.
iv Configurao do Windows 8
g. Curso Conduzido pelo Instrutor da Microsoft significa o curso de treinamento conduzido pelo
instrutor com a marca da Microsoft que instrui profissionais de TI e desenvolvedores nas
tecnologias da Microsoft. Um ttulo de Curso Conduzido pelo Instrutor da Microsoft pode
ser um curso com a marca MOC, Microsoft Dynamics ou Microsoft Business Group.
h. Membro do Programa Microsoft IT Academy significa um membro ativo do
Programa Microsoft IT Academy.
i.
Membro de Competncia de Treinamento da Microsoft significa um membro ativo do programa

Microsoft Partner Network de boa reputao que no momento retm o status de Competncia
de Treinamento.
j.
MOC significa o curso conduzido pelo instrutor de Official Microsoft Learning Product, conhecido
como Microsoft Official Course, que instrui profissionais de TI e desenvolvedores nas tecnologias
da Microsoft.
k. Membro MPN significa um membro ativo do programa Microsoft Partner Network com nvel silver
ou gold de boa reputao.
l.
Dispositivo Pessoal significa 1 (um) computador pessoal, dispositivo, estao de trabalho ou

dispositivo eletrnico digital que voc pessoalmente possui ou controla que atende ou excede o
nvel de hardware especificado para o referido Curso Conduzido pelo Instrutor da Microsoft.
m. Sesso de Treinamento Privado significa as aulas de treinamento conduzidas pelo instrutor

fornecidas pelos Membros MPN para clientes corporativos para ensinar um objetivo de
aprendizagem predefinido usando o Curso Conduzido pelo Instrutor da Microsoft. Essas aulas
no so anunciadas nem promovidas para o pblico em geral, e a participao na aula restrita
aos indivduos empregados por ou contratados por um cliente corporativo.
n. Instrutor significa (i) um instrutor academicamente certificado contratado por um Membro
do Programa Microsoft IT Academy para ministrar uma Sesso de Treinamento Autorizado
e/ou (ii) um MCT.
o. Contedo do Instrutor significa a verso do instrutor do Curso Conduzido pelo Instrutor da
Microsoft e contedo suplementar adicional projetado exclusivamente para o uso dos Instrutores
para ministrar uma sesso de treinamento usando o Curso Conduzido pelo Instrutor da Microsoft.
O Contedo do Instrutor pode incluir apresentaes do Contedo do Instrutor, guia de preparao
do instrutor, treinamento sobre os materiais do instrutor, pacotes do Microsoft One Note, guia de
configurao da sala de aula e formulrio de comentrios do curso de pr-lanamento. Para fins
de esclarecimento, o Contedo do Instrutor no inclui nenhum software, disco rgido virtual ou
mquinas virtuais.
2. DIREITOS DE USO. O Contedo Licenciado licenciado, no vendido. O Contedo Licenciado

licenciado em uma base de um a cpia por usurio , de forma que voc pode adquirir uma licena
para cada indivduo que acessa ou usa o Contedo Licenciado.
2.1 A seguir, h cinco conjuntos separados de direitos de uso. Apenas um conjunto de direitos
se aplica a voc.
a. Se voc for um Membro do Programa Microsoft IT Academy:
i.
Cada licena adquirida em seu prprio nome s pode ser usada para revisar 1 (uma) cpia
do Curso Conduzido pelo Instrutor da Microsoft no formato fornecido a voc. Se o Curso
Conduzido pelo Instrutor da Microsoft estiver no formato digital, voc poder instalar
1 (uma) cpia em at 3 (trs) Dispositivos Pessoais. Voc no poder instalar o Curso
Conduzido pelo Instrutor da Microsoft em um dispositivo que no lhe pertena ou sobre
o qual no tenha controle.
ii.
Para cada licena adquirida em nome de um Usurio Final ou Instrutor, voc poder:
1. distribuir uma (1) verso de cpia impressa do Curso Conduzido pelo Instrutor da
Microsoft para 1 (um) Usurio Final que esteja inscrito na Sesso de Treinamento
Autorizado e apenas imediatamente antes do incio da Sesso de Treinamento
Autorizado, ou seja, o assunto do Curso Conduzido pelo Instrutor da Microsoft
que est sendo fornecido ou
2. fornecer 1 (um) Usurio Final com o cdigo de resgate exclusivo e instrues sobre
como eles podem ser acessar 1 (uma) verso digital do Curso Conduzido pelo Instrutor
da Microsoft ou
3. fornecer 1 (um) Instrutor com o cdigo de resgate exclusivo e instrues sobre como
eles podem ser acessar 1 (um) Contedo do Instrutor,
desde que voc cumpra com os termos abaixo:
iii.
voc s fornecer acesso ao Contedo Licenciado aos indivduos que tenham adquirido
uma licena vlida para o Contedo Licenciado,
iv.
voc garantir que cada Usurio Final que esteja participando de uma Sesso de
Treinamento Autorizado tenha sua prpria cpia licenciada vlida do Curso Conduzido
pelo Instrutor da Microsoft sujeito Sesso de Treinamento Autorizado,
v.
voc garantir que cada Usurio Final fornecido com a verso da cpia impressa do
Curso Conduzido pelo Instrutor da Microsoft ser apresentado com uma cpia deste
contrato e cada Usurio Final concordar que seu uso do Curso Conduzido pelo Instrutor
da Microsoft estar sujeito aos termos neste contrato antes de fornecer a eles o Curso
Conduzido pelo Instrutor da Microsoft. Cada indivduo ter que denotar sua aceitao
deste contrato de forma exigvel pelas leis locais antes de acessar o Curso Conduzido
pelo Instrutor da Microsoft,
vi.
voc garantir que cada Instrutor que esteja ministrando uma Sesso de Treinamento
Autorizado tenha sua prpria cpia licenciada vlida do Contedo do Instrutor sujeito
Sesso de Treinamento Autorizado,
vii.
voc s usar Instrutores qualificados que tenham conhecimento profundo de e
experincia na tecnologia da Microsoft sujeita ao Curso Conduzido pelo Instrutor da
Microsoft que est sendo ensinado para todas as Sesses de Treinamento Autorizado,
viii.
voc s fornecer no mximo 10 horas de treinamento por semana para cada Sesso
de Treinamento Autorizado que usa um ttulo MOC e
ix.
voc reconhece que os Instrutores que no so MCTs no tero acesso a todos os recursos
do instrutor para o Curso Conduzido pelo Instrutor da Microsoft.
vi Configurao do Windows 8
b. Se voc for um Membro de Competncia de Treinamento da Microsoft:

i.
ii.
Microsoft para 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Autorizado e apenas imediatamente antes do incio da Sesso de Treinamento
Autorizado, ou seja, o assunto do Curso Conduzido pelo Instrutor da Microsoft
que est sendo fornecido ou
2. fornecer 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Autorizado com o cdigo de resgate exclusivo e instrues sobre como eles podem ser
acessar 1 (uma) verso digital do Curso Conduzido pelo Instrutor da Microsoft ou
3. voc fornecer 1 (um) Instrutor com o cdigo de resgate exclusivo e instrues sobre
como eles podem ser acessar 1 (um) Contedo do Instrutor,
iii.
iv.
Treinamento Autorizado tenha sua prpria cpia licenciada vlida do Curso Conduzido
pelo Instrutor da Microsoft sujeito Sesso de Treinamento Autorizado,
v.
voc garantir que cada Usurio Final fornecido com a verso da cpia impressa do
Curso Conduzido pelo Instrutor da Microsoft ser apresentado com uma cpia deste
contrato e cada Usurio Final concordar que seu uso do Curso Conduzido pelo Instrutor
da Microsoft estar sujeito aos termos neste contrato antes de fornecer a eles o Curso
vi.
Autorizado tenha sua prpria cpia licenciada vlida do Contedo do Instrutor sujeito
Sesso de Treinamento Autorizado,
vii.
voc s usar Instrutores qualificados com credenciais de Certificao da Microsoft
aplicveis sujeitas ao Curso Conduzido pelo Instrutor da Microsoft que est sendo ensinado
para todas as Sesses de Treinamento Autorizado,
viii.
voc s usar MCTs qualificados que tambm tenham credenciais de Certificao da
Microsoft aplicveis sujeitas ao ttulo MOC que est sendo ensinado para todas as Sesses
de Treinamento Autorizado usando o MOC,
ix.
voc s fornecer acesso ao Curso Conduzido pelo Instrutor da Microsoft para Usurios
Finais e
x.
voc s fornecer acesso ao Contedo do Instrutor aos Instrutores.
vii
Se voc for um Membro MPN:

ii.
Microsoft para 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Privado e apenas imediatamente antes do incio da Sesso de Treinamento Privado,
ou seja, o assunto do Curso Conduzido pelo Instrutor da Microsoft que est sendo
fornecido ou
2. fornecer 1 (um) Usurio Final que esteja participando da Sesso de Treinamento
Privado com o cdigo de resgate exclusivo e instrues sobre como eles podem ser
acessar 1 (uma) verso digital do Curso Conduzido pelo Instrutor da Microsoft ou
3. voc fornecer 1 (um) Instrutor que est ministrando a Sesso de Treinamento
Privado com o cdigo de resgate exclusivo e instrues sobre como eles podem
ser acessar 1 (um) Contedo do Instrutor,
iii.
iv.
Treinamento Privado tenha sua prpria cpia licenciada vlida do Curso Conduzido
pelo Instrutor da Microsoft sujeito Sesso de Treinamento Privado,
v.
voc garantir que cada Usurio Final fornecido com a verso da cpia impressa do Curso
Conduzido pelo Instrutor da Microsoft ser apresentado com uma cpia deste contrato
e cada Usurio Final concordar que seu uso do Curso Conduzido pelo Instrutor da
Microsoft estar sujeito aos termos neste contrato antes de fornecer a eles o Curso
vi.
Privado tenha sua prpria cpia licenciada vlida do Contedo do Instrutor sujeito Sesso
de Treinamento Privado,
vii.
voc s usar Instrutores qualificados com credenciais de Certificao da Microsoft
aplicveis sujeitas ao Curso Conduzido pelo Instrutor da Microsoft que est sendo ensinado
para todas as Sesses de Treinamento Privado,
viii.
voc s usar MCTs qualificados que tenham credenciais de Certificao da Microsoft
aplicveis sujeitas ao ttulo MOC que est sendo ensinado para todas as Sesses de
Treinamento Privado usando o MOC,
ix.
voc s fornecer acesso ao Curso Conduzido pelo Instrutor da Microsoft para
Usurios Finais e
x.
voc s fornecer acesso ao Contedo do Instrutor aos Instrutores.
c.
i.
viii Configurao do Windows 8
d. Se voc for um Usurio Final:

Para cada licena adquirida, voc poder usar o Curso Conduzido pelo Instrutor da Microsoft
unicamente para seu uso de treinamento pessoal. Se o Curso Conduzido pelo Instrutor da
Microsoft estiver no formato digital, voc poder acessar o referido curso online usando o
cdigo de resgate exclusivo fornecido a voc pelo provedor de treinamento e instalar e usar
1 (uma) cpia do Curso Conduzido pelo Instrutor da Microsoft em at 3 (trs) Dispositivos
Pessoais. Voc tambm poder imprimir 1 (uma) cpia do Curso Conduzido pelo Instrutor
da Microsoft. Voc no poder instalar o Curso Conduzido pelo Instrutor da Microsoft em
um dispositivo que no lhe pertena ou sobre o qual no tenha controle.
e. Se voc for um Instrutor.
i.
Para cada licena adquirida, voc poder instalar e usar 1 (uma) cpia do Contedo do
Instrutor no formato fornecido a voc em 1 (um) Dispositivo Pessoal unicamente para
preparar e fornecer uma Sesso de Treinamento Autorizado ou Sesso de Treinamento
Privado e instalar 1 (uma) cpia adicional em outro Dispositivo Pessoal como uma cpia
de backup que pode ser usada unicamente para reinstalar o Contedo do Instrutor. Voc
no poder instalar nem usar uma cpia do Contedo do Instrutor em um dispositivo
que no lhe pertena ou sobre o qual no tenha controle.
ii.
Voc poder personalizar as partes escritas do Contedo do Instrutor que esto
logicamente associadas instruo de uma sesso de treinamento de acordo com a verso
mais recente do contrato do MCT. Se voc optar por exercer os direitos acima, voc
concorda em cumprir com os seguintes termos: (i) personalizaes s podero ser usadas
para ministrar as Sesses de Treinamento Autorizado e as Sesses de Treinamento Privado
e (ii) todas as personalizaes cumpriro com este contrato. Para fins de esclarecimento,
qualquer uso de personalizar se refere apenas alterao da ordem de slides e contedo
e/ou ao no uso de todos os slides ou contedo, no significa alterar nem modificar
nenhum slide ou contedo.
2.2 Separao de Componentes. O Contedo Licenciado licenciado como uma nica unidade,
e voc no poder separar seus componentes e instal-los em dispositivos diferentes.
2.3 Redistribuio de Contedo Licenciado. Exceto como expressamente fornecido nos direitos
de uso acima, voc no poder distribuir nenhum Contedo Licenciado ou qualquer parte dele
(incluindo qualquer modificao permitida) para outras pessoas, sem a permisso expressa por
escrito da Microsoft.
2.4 Servios e Programas de Terceiros. O Contedo Licenciado poder conter programas ou
servios de terceiros. Esses termos de licenas se aplicaro ao uso que voc faz de programas
ou servios de terceiros, a menos que outros termos acompanhem esses programas e servios.
2.5 Termos Adicionais. Algum Contedo Licenciado pode conter componentes com termos,
condies e licenas adicionais com relao a seu uso. Quaisquer termos no conflitantes
nessas condies e licenas tambm se aplicaro ao uso que voc faz desse respectivo
componente e complementa os termos descritos neste contrato.
ix
3. CONTEDO LICENCIADO BASEADO EM TECNOLOGIA DE PR-LANAMENTO. Se o assunto

do Contedo Licenciado se basear em uma verso de pr-lanamento da tecnologia da Microsoft
(Prlanamento), as seguintes clusulas sero aplicveis alm de outros termos neste contrato:
a. Contedo Licenciado de Pr-Lanamento. O assunto do Contedo Licenciado est na verso
de Pr-lanamento da tecnologia da Microsoft. A tecnologia talvez no funcione da forma que uma
verso final da tecnologia, e ns poderemos mudar a tecnologia para a verso final. Alm disso,
possvel que uma verso final no seja lanada. O Contedo Licenciado baseado na verso final
da tecnologia no pode conter as mesmas informaes do Contedo Licenciado baseado na verso
de Pr-lanamento. A Microsoft no tem nenhuma obrigao de fornecer a voc nenhum contedo
adicional, inclusive nenhum Contedo Licenciado baseado na verso final da tecnologia.
b. Comentrios. Se voc concordar em enviar Microsoft comentrios sobre o Contedo Licenciado,
quer diretamente ou por meio de seu designado terceirizado, voc dar Microsoft, a ttulo
gratuito, o direito de usar, compartilhar e comercializar seus comentrios de qualquer maneira
e para qualquer finalidade. Alm disso, voc concede a terceiros, sem custos, todos os direitos
de patente necessrios para que seus produtos, suas tecnologias e seus servios usem, ou
estabeleam conexo com, qualquer parte especfica de um software, produto ou servio da
Microsoft que inclua os comentrios. Voc no dever enviar feedback que esteja sujeito a uma
licena que requeira da Microsoft o licenciamento do software, de tecnologias ou produtos a
terceiros em virtude da incluso do seu feedback nesses elementos. Esses direitos permanecero
em vigor aps o trmino deste contrato.
c.
Prazo de Pr-lanamento. Se voc for Membro do Programa Microsoft IT Academy, Membro

de Competncia de Treinamento da Microsoft, Membro MPN ou Instrutor, voc parar de usar
todas as cpias do Contedo Licenciado na tecnologia de Pr-lanamento na (i) data na qual a
Microsoft te informar que a data de trmino para usar o Contedo Licenciado na tecnologia de
Pr-lanamento ou (ii) 60 (sessenta) dias depois do lanamento comercial da tecnologia sujeita ao
Contedo Licenciado, o que quer que ocorra primeiro (Prazo de Pr-lanamento). Mediante
a expirao ou o trmino do prazo de Pr-lanamento, voc excluir de uma maneira irreparvel
e destruir todas as cpias do Contedo Licenciado em seu poder ou sob seu controle.
4. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato simplesmente

confere a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros
direitos. Salvo quando a lei aplicvel conferir outros direitos, no obstante a presente limitao, o
Contedo Licenciado dever ser usado conforme expressamente permitido neste contrato. Ao fazer
isso, voc dever respeitar todas as limitaes tcnicas do Contedo Licenciado que permitam seu uso
apenas de determinadas formas. Exceto se expressamente permitido neste contrato, voc no poder:
acessar nem permitir a nenhum indivduo acesso ao Contedo Licenciado se eles no tiverem
adquirido uma licena vlida para o Contedo Licenciado,
alterar, remover ou ocultar nenhum aviso de direito autoral ou outros avisos de proteo
(inclusive marcas dgua), marcas ou identificaes contidas no Contedo Licenciado,
modificar ou criar um trabalho derivado de qualquer Contedo Licenciado,
exibir publicamente ou tornar o Contedo Licenciado disponvel para outros acessarem ou usarem,
copiar, imprimir, instalar, vender, publicar, transmitir, emprestar, adaptar, reutilizar, vincular
a ou publicar, tornar disponvel ou distribuir o Contedo Licenciado a qualquer terceiro,
contornar quaisquer limitaes tcnicas do Contedo Licenciado ou
aplicar engenharia reversa, descompilar, remover ou, de outra maneira, impedir protees
ou desmontar o Contedo Licenciado, salvo e somente na medida em que essa atividade seja
expressamente permitida pela lei aplicvel, no obstante a presente limitao.
5. RESERVA DE DIREITOS E PROPRIEDADE. A Microsoft se reserva todos os outros direitos que

no foram expressamente concedidos a voc neste contrato. O Contedo Licenciado protegido por
direitos autorais e outros tratados e leis de propriedade intelectual. A Microsoft ou seus fornecedores
detm o ttulo, os direitos autorais e outros direitos de propriedade intelectual do Contedo Licenciado.
6. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e aos regulamentos
de exportao dos Estados Unidos. Voc dever cumprir todas as leis e os regulamentos internacionais
e nacionais de exportao que se aplicam ao Contedo Licenciado. Essas leis incluem restries
relacionadas a destinos, usurios finais e uso final. Para obter informaes adicionais, consulte
o site www.microsoft.com/exporting.
7. SERVIOS DE SUPORTE. Como o Contedo Licenciado fornecido no estado em que se encontra,
a Microsoft poder no prestar servios de suporte para ele.
8. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato
caso voc no cumpra qualquer de seus termos e condies. Mediante o trmino deste contrato
por qualquer motivo, voc interromper imediatamente todo o uso de e excluir e destruir todas
as cpias do Contedo Licenciado em seu poder ou sob seu controle.
9. LINKS PARA SITES DE TERCEIROS. Voc pode criar links para sites de terceiros por meio do uso
do Contedo Licenciado. Os sites dos outros fabricantes no esto sob controle da Microsoft, e nem
a Microsoft se responsabiliza pelo contedo de qualquer site de terceiros, por nenhum link presente
nos sites de terceiros, ou por qualquer mudana ou atualizao nos sites de terceiros. Nem a Microsoft
responsvel pela transmisso pela Web nem por qualquer outra forma de transmisso recebida
de qualquer site de terceiros. A Microsoft est fornecendo esses links a sites de terceiros para voc
somente como uma convenincia, e a incluso de qualquer link no implica o aval da Microsoft
ao respectivo site.
10. ACORDO INTEGRAL. Este contrato e quaisquer termos adicionais do Contedo do Instrutor,
atualizaes e suplementos constituem o acordo integral do Contedo Licenciado, das atualizaes
e dos suplementos.
11. LEI APLICVEL.
a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, este
contrato ser regido e interpretado de acordo com as leis do Estado de Washington, que sero
aplicadas s reclamaes de violao de contrato, independentemente dos princpios de conflito
de leis. As leis do estado no qual voc reside regero todas as outras reclamaes, incluindo
leis de defesa do consumidor, concorrncia desleal e atos ilcitos extracontratuais.
b. Fora dos Estados Unidos. Caso voc tenha adquirido este Contedo Licenciado em qualquer
outro pas, as leis desse pas sero aplicveis.
12. EFEITO LEGAL. Este contrato descreve determinados direitos previstos em lei. Outros direitos podem
ser conferidos a voc de acordo com as leis do seu pas. Voc tambm poder ter direitos em relao
parte de quem o Contedo Licenciado foi adquirido. Este contrato no altera seus direitos previstos
nas leis do seu pas, caso essas leis no o permitam.
xi
13. ISENO DE GARANTIA. O CONTEDO LICENCIADO LICENCIADO NO ESTADO EM QUE

SE ENCONTRA E CONFORME A DISPONIBILIDADE. VOC ASSUME O RISCO DE US-LA.
A MICROSOFT E SUAS RESPECTIVAS AFILIADAS NO OFERECEM OUTRAS GARANTIAS
NEM CONDIES CONTRATUAIS. VOC PODER TER DIREITOS DE CONSUMIDOR
ADICIONAIS DE ACORDO COM SUAS LEIS LOCAIS, OS QUAIS ESTE CONTRATO NO
PODE ALTERAR. AT O LIMITE PERMITIDO PELAS LEIS LOCAIS, A MICROSOFT E SUAS
RESPECTIVAS AFILIADAS EXCLUEM TODAS E QUAISQUER GARANTIAS LEGAIS DE
PADRES DE COMERCIALIZAO, ADEQUAO A UMA FINALIDADE ESPECFICA
E NO VIOLAO.
14. LIMITAES E EXCLUSES DE RECURSOS E DANOS. A INDENIZAO DE DANOS DIRETOS
PELA MICROSOFT, SUAS RESPECTIVAS AFILIADAS E SEUS FORNECEDORES RESTRINGE-SE
AO VALOR DE US$ 5,00. NO SER POSSVEL RECUPERAR QUAISQUER OUTROS DANOS,
INCLUSIVE DANOS CONSEQUENCIAIS, ESPECIAIS, INDIRETOS, INCIDENTAIS OU POR
LUCROS CESSANTES.
Esta limitao se aplica a:
o toda e qualquer questo relacionada ao Contedo Licenciado, aos servios ou ao contedo
(inclusive cdigo) em sites ou programas de terceiros e
o reclamaes por violao de contrato, violao de garantia ou condio, responsabilidade objetiva,
negligncia ou outro ato ilcito extracontratual, de acordo com os termos da lei aplicvel.
A limitao tambm se aplicar mesmo que a Microsoft saiba ou tenha sido avisada da possibilidade
de danos. A limitao ou excluso acima poder no se aplicar a voc se a legislao do seu pas
proibir, entre outros, a excluso ou a limitao de danos incidentais ou consequenciais.
Nota: como este Contedo Licenciado distribudo em Quebec, Canad, algumas das clusulas
so fornecidas abaixo em francs.
Remarque : Ce le contenu sous licence tant distribu au Qubec, Canada, certaines
des clauses dans ce contrat sont fournies ci-dessous en franais.
EXONRATION DE GARANTIE. Le contenu sous licence vis par une licence est offert tel quel .
Toute utilisation de ce contenu sous licence est votre seule risque et pril. Microsoft naccorde aucune
autre garantie expresse. Vous pouvez bnficier de droits additionnels en vertu du droit local sur la
protection des consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit
locale, les garanties implicites de qualit marchande, dadquation un usage particulier et dabsence
de contrefaon sont exclues.
LIMITATION DES DOMMAGES-INTRTS ET EXCLUSION DE RESPONSABILIT POUR LES
DOMMAGES. Vous pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de
dommages directs uniquement hauteur de 5,00 $ US. Vous ne pouvez prtendre aucune indemnisation
pour les autres dommages, y compris les dommages spciaux, indirects ou accessoires et pertes de
bnfices.
Cette limitation concerne:
tout ce qui est reli au le contenu sous licence, aux services ou au contenu (y compris le code)
figurant sur des sites Internet tiers ou dans des programmes tiers; et
les rclamations au titre de violation de contrat ou de garantie, ou au titre de responsabilit

stricte, de ngligence ou dune autre faute dans la limite autorise par la loi en vigueur.
xii Configurao do Windows 8
Elle sapplique galement, mme si Microsoft connaissait ou devrait connatre lventualit dun tel
dommage. Si votre pays nautorise pas lexclusion ou la limitation de responsabilit pour les dommages
indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou lexclusion ci-dessus
ne sappliquera pas votre gard.
EFFET JURIDIQUE. Le prsent contrat dcrit certains droits juridiques. Vous pourriez avoir dautres
droits prvus par les lois de votre pays. Le prsent contrat ne modifie pas les droits que vous confrent
les lois de votre pays si celles-ci ne le permettent pas.
Revisado em junho de 2012
Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.
Microsoft Certified Trainers e Instructors o seu instrutor um especialista tcnico

e em treinamentos que atende a avanados requisitos de certificao. Alm disso, se os
instrutores estiverem oferecendo o treinamento em um de nossos Certified Partners for
Learning Solutions, eles tambm sero avaliados durante o ano pelos alunos e pela
Microsoft.
Benefcios do Exame de Certificao aps o treinamento, considere a possibilidade

de prestar um exame de Certificao Microsoft. As Certificaes Microsoft validam suas
habilidades em tecnologias da Microsoft e podem ajudar a diferenci-lo na procura por
um emprego ou impulsionar a sua carreira. De fato, uma pesquisa independente
realizada pelo IDC concluiu que 75% dos gerentes consideram as certificaes
importantes para o desempenho da equipe1. Pergunte ao seu instrutor sobre descontos
e promoes de exames de Certificao Microsoft que possam estar disponveis para
voc.
Garantia de satisfao do cliente os nossos Certified Partners for Learning Solutions

oferecem garantia de satisfao, e ns os consideramos responsveis por isso. Ao final
da aula, preencha uma avaliao da experincia de hoje. Seus comentrios so muito
importantes para ns!
Desejamos a voc uma excelente experincia em termos de aprendizado e uma carreira de

constante sucesso!
Atenciosamente,
Microsoft Learning
www.microsoft.com/brasil/certifique
1 IDC,
Value of Certication: Team Certication and Organizational Performance, novembro de 2006
xiii
xiv Administrao do Windows Server 2012
Agradecimentos
O Microsoft Learning gostaria de reconhecer e agradecer s seguintes pessoas por sua contribuio no
desenvolvimento deste curso. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu que
voc tivesse uma boa experincia em sala de aula.
Andrew J. Warren - desenvolvedor de contedo

Andrew Warren tem mais de 25 anos de experincia na indstria de TI, muitos dos quais foram gastos
escrevendo e ensinando. Ele o especialista envolvido em muitos dos cursos do Windows Server 2008
e o lder tcnico em inmeros outros cursos. Ele tambm est envolvido no desenvolvimento de sesses
do TechNet no Microsoft Exchange Server 2007. Com sede no Reino Unido, Andrew tem sua prpria
empresa de consultoria, treinamento e educao em TI.
Jason Kellington desenvolvedor de contedo

Jason Kellington MCT (instrutor certificado pela Microsoft), MCITP (profissional de TI certificado pela
Microsoft) e MCSE (especialista em solues certificado pela Microsoft) consultor, instrutor e autor.
Ele tem experincia no trabalho com uma ampla gama de tecnologias da Microsoft e se concentra
em infraestruturas de redes corporativas. Jason trabalha em vrias posies com a Microsoft. Ele
desenvolvedor de contedo para ttulos de cursos do Microsoft Learning, escritor tcnico snior da
Microsoft IT Showcase e autor da Microsoft Press.
Brian Desmond Revisor Tcnico

Brian Desmond um consultor MVP (Microsoft Most Valuable Professional) que mora em Chicago,
Illinois. Brian se concentra em projetos de Active Directory, Exchange Server e Gerenciamento de
Identidades para clientes corporativos globais. Brian o autor de Active Directory, 4 Edio (OReilly) e
de vrios artigos nas principais publicaes do setor, como a revista Windows IT Pro. Viajante contumaz,
voc normalmente pode encontrar Brian por a se apresentando em conferncias e visitando clientes.
David Susemiehl - desenvolvedor de contedo

David Susemiehl trabalha como consultor, instrutor e desenvolvedor de cursos desde 1996. David
tem vasta experincia em consultoria com os produtos Microsoft Systems Management Server e
Microsoft System Center Configuration Manager 2007, bem como em implantaes do Active Directory,
Exchange Server e Terminal Server/Citrix. David aperfeioou o desenvolvimento de cursos para a
Microsoft e a Hewlett-Packard e forneceu esses cursos com xito na Europa, Amrica Central e pela
Amrica do Norte. Nos ltimos anos, David vem escrevendo cursos para o Microsoft Learning e
oferecendo servios de consultoria sobre transies de infraestrutura em Michigan.
Contedo
Mdulo 1: Implantao e manuteno de imagens de servidor
Lio 1: Viso geral dos Servios de Implantao do Windows
Lio 2: Implementao da implantao com os Servios de Implantao
do Windows
Lio 3: Administrao dos Servios de Implantao do Windows
Laboratrio: Uso dos Servios de Implantao do Windows
para implantar o Windows Server 2012
1-2
1-9
1-16
1-23
Mdulo 2: Configurao e soluo de problemas do Sistema de Nomes de Domnio

Lio 1: Instalao da funo Servidor DNS
Lio 2: Configurao da funo Servidor DNS
Lio 3: Configurao de zonas DNS
Lio 4: Configurao de transferncias de zona DNS
Lio 5: Gerenciamento e soluo de problemas de DNS
Laboratrio: Configurao e soluo de problemas de DNS
2-2
2-9
2-16
2-21
2-24
2-32
Mdulo 3: Manuteno dos Servios de Domnio Active Directory

Lio 1: Viso geral do AD DS
Lio 2: Implementao de controladores de domnio virtualizados
Lio 3: Implementao de controladores de domnio somente leitura
Lio 4: Administrao do AD DS
Lio 5: Gerenciamento do banco de dados do AD DS
Laboratrio: Manuteno do AD DS
3-2
3-7
3-11
3-15
3-24
3-34
Mdulo 4: Gerenciamento de contas de servio e de usurio

Lio 1: Automao do gerenciamento de contas de usurio
Lio 2: Definio de configuraes de poltica de senha e bloqueio
de contas de usurio.
Lio 3: Configurao de contas de servio gerenciadas
Laboratrio: Gerenciamento de contas de servio e de usurio
4-2
4-8
4-16
4-23
Mdulo 5: Implementao de uma infraestrutura de Poltica de Grupo

Lio 1: Introduo Poltica de Grupo
Lio 2: Implementao e administrao de GPOs
Lio 3: Escopo e processamento da Poltica de Grupo
Lio 4: Soluo de problemas na aplicao de GPOs
Laboratrio: Implementao de uma infraestrutura de Poltica de Grupo
5-2
5-11
5-18
5-34
5-42
xv
xvi Administrao do Windows Server 2012
Mdulo 6: Gerenciamento de reas de trabalho de usurios com Poltica de Grupo

Lio 1: Implementao de modelos administrativos
Lio 2: Configurao do redirecionamento de pasta e scripts
Lio 3: Configurao de preferncias de Poltica de Grupo
Lio 4: Gerenciamento de software com Poltica de Grupo
Laboratrio: Gerenciamento de reas de trabalho de usurios
com Poltica de Grupo
6-2
6-8
6-14
6-18
6-22
Mdulo 7: Configurao e soluo de problemas de acesso remoto

Lio 1: Configurao do acesso rede
Lio 2: Configurao do acesso VPN
Lio 3: Viso geral das polticas de rede
Lio 4: Soluo de problemas de Roteamento e Acesso Remoto
Laboratrio A: Configurao do acesso remoto
Lio 5: Configurao do DirectAccess
Laboratrio B: Configurao do DirectAccess
7-2
7-11
7-21
7-28
7-34
7-39
7-52
Mdulo 8: Instalao, configurao e soluo de problemas da funo Servidor de Polticas

de Rede
Lio 1: Instalao e configurao de um Servidor de Polticas de Rede
Lio 2: Configurao de clientes e servidores RADIUS
Lio 3: Mtodos de autenticao do NPS
Lio 4: Monitoramento e soluo de problemas de um Servidor
de Polticas de Rede
Laboratrio: Instalao e configurao de um Servidor de Polticas
de Rede
8-2
8-7
8-14
8-24
8-30
Mdulo 9: Implementao da Proteo de Acesso Rede

Lio 1: Viso geral da Proteo de Acesso Rede
Lio 2: Viso geral dos processos de aplicao da NAP
Lio 3: Configurao de NAP
Lio 4: Monitoramento e soluo de problemas da NAP
Laboratrio: Implementao de NAP
9-2
9-8
9-15
9-20
9-24
Mdulo 10: Otimizao de Servios de Arquivo

Lio 1: Viso geral do FSRM
Lio 2: Uso do FSRM para gerenciar cotas, triagens de arquivos
e relatrios de armazenamento
Lio 3: Implementao de tarefas de classificao e gerenciamento
de arquivos
Laboratrio A: Configurao de cotas e triagem de arquivos
por meio do FSRM
Lio 4: Viso geral do DFS
Lio 5: Configurao de namespaces DFS
Lio 6: Configurao e soluo de problemas de DFS-R
Laboratrio B: Implementao de DFS
10-2
10-9
10-19
10-26
10-30
10-38
10-43
10-47
Mdulo 11: Configurao de criptografia e auditoria avanada

Lio 1: Criptografia de arquivos usando EFS
Lio 2: Configurao de auditoria avanada
Laboratrio: Configurao de criptografia e auditoria avanada
11-2
11-6
11-14
Mdulo 12: Implementao do gerenciamento de atualizaes

Lio 1: Viso geral do WSUS
Lio 2: Implantao de atualizaes com o WSUS
Laboratrio: Implementao do gerenciamento de atualizaes
12-2
12-5
12-9
Mdulo 13: Monitoramento do Windows Server 2012

Lio 1: Ferramentas de monitoramento
Lio 2: Utilizao do Monitor de Desempenho
Lio 3: Monitoramento de logs de eventos
Laboratrio: Monitoramento do Windows Server 2012
13-2
13-10
13-19
13-22
Gabaritos dos laboratrios

Mdulo 1, Laboratrio: Uso dos Servios de Implantao
do Windows para implantar o Windows Server 2012
Mdulo 2, Laboratrio: Configurao e soluo de problemas de DNS
Mdulo 3, Laboratrio: Manuteno do AD DS
Mdulo 4, Laboratrio: Gerenciamento de contas de servio
e de usurio
Mdulo 5, Laboratrio: Implementao de uma infraestrutura
de Poltica de Grupo
Mdulo 6, Laboratrio: Gerenciamento de reas de trabalho
de usurios com Poltica de Grupo
Mdulo 7, Laboratrio A: Configurao do acesso remoto
Mdulo 7, Laboratrio B: Configurao do DirectAccess
L1-1
L2-7
L3-13
L4-21
L5-25
L6-35
L7-41
L7-48
xvii
xviii Administrao do Windows Server 2012
Mdulo 8, Laboratrio: Instalao e configurao de um Servidor

de Polticas de Rede
Mdulo 9, Laboratrio: Implementao de NAP
Mdulo 10, Laboratrio A: Configurao de cotas e triagem
de arquivos por meio do FSRM
Mdulo 10, Laboratrio B: Implementao de DFS
Mdulo 11, Laboratrio: Configurao de criptografia
e auditoria avanada
Mdulo 12, Laboratrio: Implementao do gerenciamento
de atualizaes
Mdulo 13, Laboratrio: Monitoramento do Windows Server 2012
L8-63
L9-69
L10-79
L10-83
L11-87
L12-91
L13-97
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Sobre este curso
Sobre este curso
xix
Esta seo fornece uma breve descrio do curso24411B: Administrao do Windows Server 2012
pblico-alvo, pr-requisitos sugeridos e objetivos do curso.
Descrio do curso
O objetivo principal deste curso configurar e manter servios de infraestrutura bsicos em um ambiente
corporativo do Windows Server 2012. O pblico-alvo principal deste curso de profissionais de TI
(tecnologia da informao) que conseguiram implementar com xito um servidor Microsoft Windows
Server 2008, em uma infraestrutura corporativa existente ou como uma instalao autnoma, e desejam
adquirir as habilidades e o conhecimento necessrio ampliao dessa implementao para gerenciar e
manter a infraestrutura bsica necessria a um ambiente do Windows Server 2008. Os candidatos tambm
devem ter um conhecimento equivalente ao j abordado no curso Windows Server 2012 Enterprise Bsico
1, porque esse curso partir desse conhecimento.
Pblico-alvo
Este curso se destina a alunos para ampliar a implantao inicial de servios no Bsico 1 e fornecer as
habilidades necessrias ao gerenciamento e manuteno da infraestrutura do Windows Server 2012
com base em domnio. Os candidatos normalmente seriam administradores de sistema e deveriam ter
pelo menos um ano de experincia trabalhando em um ambiente do Windows Server 2012 ou do
Windows 8. O pblico-alvo secundrio deste curso ser de candidatos que desejam adquirir a credencial
MCSA (Microsoft Certified Solutions Associate) sozinhos ou continuar adquirindo as credenciais MCSE
(Microsoft Certified Solutions Expert), das quais este curso um pr-requisito.
Pr-requisitos do aluno
Este curso exige que voc tenha a possibilidade de atender aos seguintes pr-requisitos:
Instalar e configurar o Windows Server 2012 em ambientes corporativos existentes ou como

instalaes autnomas.
Configurar o armazenamento local.
Configurar funes e recursos.
Configurar servios de arquivos e impresso.
Configurar servidores Windows Server 2012 para administrao local e remota.
Configurar endereos IPv4 e IPv6.
Configurar servios DNS (Sistema de Nomes de Domnio) e DHCP (Dynamic Host Configuration
Protocol).
Instalar controladores de domnio.
Criar e configurar usurios, grupos, computadores e UOs (unidades organizacionais).
Criar e gerenciar polticas de Grupo.
Configurar polticas de segurana locais.
Sobre este curso
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Implantar, gerenciar e manter servidores.
Configurar servios de arquivos e impresso.
Configurar servios e acesso a redes.
Configurar uma infraestrutura de servidor de poltica de rede.
Configurar gerenciar o AD DS (Servios de Domnio Active Directory).
Configurar e gerenciar a Poltica de Grupo.
Estrutura do curso
Veja a seguir a estrutura do curso:
Mdulo 1, Implantao e manuteno de imagens de servidor
Mdulo 2, Configurao e soluo de problemas do Sistema de Nomes de Domnio
Mdulo 3, Manuteno dos Servios de Domnio Active Directory
Mdulo 4, Gerenciamento de contas de servio e de usurio
Mdulo 5, Implementao de uma infraestrutura de Poltica de Grupo
Mdulo 6, Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Mdulo 7, Configurao e soluo de problemas de acesso remoto
Mdulo 8, Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Mdulo 9, Implementao da Proteo de Acesso Rede
Mdulo 10, Otimizao de Servios de Arquivo
Mdulo 11, Configurao de criptografia e auditoria avanada
Mdulo 12, Implementao do gerenciamento de atualizaes
Mdulo 13, Monitoramento do Windows Server 2012
xx
Sobre este curso
Mapeamento do exame/curso
Este curso, 24411B: Administrao do Windows Server 2012, tem um mapeamento direto do
seu contedo com o domnio de objetivos para o exame da Microsoft 70-411: Administrao
do Windows Server 2012.
xxi
A tabela a seguir fornecida como uma ajuda de estudo que o ajudar na preparao para este exame e
para mostrar a voc como os objetivos do exame e o contedo do curso so integrados. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao: os objetivos do exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-411#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls).
Exame 70-411: Administrao do Windows Server 201

Domnio do objetivo do exame
Implantar, gerenciar e manter servidores (17%)
Este objetivo pode incluir, mas no est limitado
Implantar e
a: instalar a funo WDS (Servios de
gerenciar
Implantao do Windows); configurar e gerenciar
imagens do
inicializao, instalar e descobrir imagens;
servidor
atualizar imagens com patches, hotfixes e
drivers; instalar recursos para imagens offline
a: Instalar e configurar a funo WSUS (Windows
Implementar
Server Update Services); configurar polticas de
gerenciamento
grupo para atualizaes; configurar destino do
de patch
cliente; configurar sincronizao do WSUS;
configurar grupos do WSUS
a: Configurar DCS (Conjuntos de Coletores
de Dados); configurar alertas; monitorar
Monitorar
desempenho em tempo real; monitorar VMs
servidores
(mquinas virtuais); monitorar eventos;
configurar inscries em eventos; configurar
monitoramento de rede
Contedo do curso
Mdulo
Lio
Laboratrio
Md 1
Lio
Md 1
1/2/3
Ex 1/2/3/4
Md 12
Lio
1/2
Md 12
Ex 1/2/3
Md 13
Lio
1/2/3
Md 13
Ex 1/2/3
(continuao)

Configurar servios de arquivos e impresso (15%)
Configurar
a: Instalar e configurar namespaces DFS;
um DFS
configurar destinos de replicao DFS; configurar
(Sistema de
agendamento de replicao; configurar
Arquivos
definies de Compactao Diferencial Remota;
Distribudo)
configurar preparo; configurar tolerncia a falhas
Configurar
FSRM
(Gerenciador de a: Instalar a funo FSRM; configurar cotas;
Recursos de
configurar triagens de arquivo; configurar
Servidor de
relatrios
Arquivos)
Configurar
a: Configurar criptografia Bitlocker; configurar
criptografia de
o recurso Desbloqueio de Rede; configurar
arquivos e
polticas Bitlocker; configurar o agente de
discos
recuperao EFS; gerenciar certificados EFS e
Bitlocker inclusive de backup e restaurao
Configurar
a: Implementar auditoria usando Poltica de
polticas de
Grupo e AuditPol.exe; criar polticas de auditoria
auditoria
com base na expresso; criar polticas de
avanada
auditoria de dispositivo removvel
Contedo do curso
Md 10
Lio
4/5/6
Md 10
Lab B
Ex 1/2/3
Md 10
Lio
1/2/3
Md 10
Lab A
Ex 1/2
Md 11
Lio 1
Md 11
Ex 1
Md 11
Lio 2
Md 11
Ex 2
xxii Sobre este curso

Configurar servios e acesso a redes (17%)
Este objetivo pode incluir, mas no est limitado a:
Configurar zonas primrias e secundrias; configurar zonas
de stub; configurar encaminhamentos condicionais;
Configurar
configurar zona e armazenamento de encaminhamento
zonas DNS
condicional no Active Directory; configurar delegao de
zona; definir configuraes da zona de transferncia;
definir configuraes de notificao
Criar e configurar RR (Registros de Recurso) DNS
inclusive registros A, AAAA, PTR, SOA, NS, SRV, CNAME
Configurar
e MX; configurar limpeza de zona; configurar opes
registros DNS
de registro inclusive TTL (vida til) e ponderao;
configurar round robin; configurar atualizaes
dinmicas seguras
Instalar e configurar a funo Acesso Remoto;
Configurar VPN
implementar NAT (converso de endereos de rede);
e encamidefinir configuraes de VPN; definir configuraes de
nhamento
discagem remota para usurios; configurar
encaminhamento
Implementar requisitos de servidor; implementar
Configurar o
configurao do cliente; configurar DNS para
DirectAccess
Direct Access; configurar certificados para Direct
Access
Contedo do curso
Sobre este curso
xxiii
Md 2
Lio
1/3/4
Md 2
Ex 2/4
Md 2
Lio
2/5
Md 2
Ex 1/3
Md 7
Lio
1/2/3/4
Mod 7
Lab A
Ex 1/2
Md 7
Lio 5
Md 7
Lab B
Ex 1/2/3
(continuao)

Configurar uma infraestrutura de servidor de poltica de rede (14%)
Configurar NPS
Configurar vrias infraestruturas de servidor RADIUS;
(Servidor de
configurar clientes RADIUS; gerenciar modelos
Polticas de
RADIUS; configurar contabilidade RADIUS; configurar
Rede)
certificados
Configurar polticas de solicitao de conexo;
configurar polticas de rede para clientes VPN
Configurar
(conexes mltiplas e alocao de largura de banda,
polticas NPS
filtros IP, criptografia, endereamento IP); gerenciar
modelos NPS; importar e exportar polticas NPS
Configurar SHVs (validadores da integridade do
Configurar NAP sistema); configurar polticas de integridade;
configurar imposio de NAP usando DHCP e VPN;
(Proteo de
configurar isolamento e correo de computadores
Acesso Rede)
no compatveis usando DHCP e VPN; definir
configuraes do cliente NAP
Contedo do curso
xxiv Sobre este curso
Md 8
Lio
3/4
Md 8
Ex 2
Md 6
Lio 2
Md 8
Lio
1/2
Md 8
Ex 1
Md 9
Lio
1/2/3/4
Md 9
Ex 1/2/3

Configurar e gerenciar o Active Directory (19%)
Criar e configurar contas de servio; criar e configurar
Configurar
contas de servio gerenciadas pelo grupo; criar e
autenticao
configurar contas de servio gerenciadas; configurar
do servio
delegao Kerberos; gerenciar SPNs (nomes da
entidade do servio)
Configurar UGMC (Cache de Associao de Grupo
Configurar
Universal); transferir e dimensionar mestres de
controladores
operaes; instalar e configurar um RODC (controlador
de domnio
de domnio somente leitura); configurar clonagem do
controlador de domnio
Fazer backup do Active Directory e de SYSVOL;
gerenciar Active Directory offline; otimizar um banco
Manter
de dados do Active Directory; limpar metadados;
Active Directory
configurar instantneos do Active Directory; realizar
recuperao no nvel de objeto e continer; realizar
restaurao do Active Directory
Configurar poltica da senha de usurio do domnio;
Configurar
configurar e aplicar PSOs (objetos Configurao de
polticas de
Senha); delegar gerenciamento de configuraes da
conta
senha; configurar poltica de senha de usurio local;
definir configuraes de bloqueio de conta
Contedo do curso
Sobre este curso
xxv
Md 4
Lio
1/2/3
Md 4
Ex 1/2
Md 3
Lio
1/2/3
Md 3
Ex 1/2
Md 3
Lio
1/3/4/5
Md 3
Ex 2/3
Md 4
Lio
1/2/3
Md 4
Ex 1
(continuao)
xxvi Sobre este curso

Contedo do curso
Configurar e gerenciar poltica de grupo (18%)
Md 5
Lio
Md 5
Configurar ordem de processamento e precedncia;
1/3/4
Ex 1/2
configurar bloqueio de herana; configurar polticas
Configurar
processamento impostas; configurar filtragem de segurana e
filtragem do WMI; configurar processamento de
da poltica de
loopback; configurar e gerenciar processamento de
grupo
slow-link; configurar comportamento CSE (extenso do
lado do cliente)
Md 6
Lio
Md 6
Definir configuraes incluindo instalao de software,
1/2/4
Ex 2
redirecionamento de pasta, scripts e configuraes de
Definir
modelo administrativo; importar modelos de
configuraes
segurana; importar arquivo de modelo administrativo
de poltica de
personalizado; converter modelos administrativos
grupo
usando ADMX Migrator; configurar filtros de
propriedade para modelos administrativos
Md 5 Lio 2
Md 5
Fazer backup, importar, copiar e restaurar GPOs; criar
Ex 4
Gerenciar GPOs
e configurar Tabela de Migrao; redefinir GPOs
padro; delegar gerenciamento da poltica de grupo
Configurar
preferncias da
Poltica de
Grupo

Definir configuraes GPP (Preferncias da Poltica de
Grupo) inclusive impressoras, mapeamentos de unidade
de rede, opes de energia, configuraes de registro
personalizadas, configuraes do Painel de Controle,
configuraes do Internet Explorer, implantao de
arquivo e pasta, alm de implantao de atalho;
configurar destino no nvel de item
Contedo do curso
Md 6
Lio
Md 6
1/2/3
Ex 1
Importante: participar deste curso em si no ir prepar-lo para passar em qualquer

exame de certificao associado.
Sobre este curso
xxvii
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Administrao, gerenciamento e manuteno da infraestrutura do Windows Server 2012 real, prtica.
Estudo adicional fora do contedo nesta apostila.
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo do
pblico-alvo para este exame est disponvel na URL:
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
Sobre este curso
Material do curso
Os seguintes materiais foram includos no seu kit:
xxviii
Manual do curso Um guia de aprendizado em sala de aula sucinto contendo todas as informaes
tcnicas cruciais em um formato conciso e altamente direcionado, ideal para uma experincia efetiva
de aprendizado em sala de aula.
Lies: orientam os alunos nos objetivos de aprendizagem e apresentam os pontos principais

que so crticos para uma experincia bem-sucedida de aprendizado em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas e os
conhecimentos aprendidos em cada mdulo.
Revises de mdulos e informaes complementares: fornecem material de referncia

prtico e aprimorado para incentivar a reteno do conhecimento e das tcnicas.
Respostas do laboratrio: Fornecem orientao passo a passo e imediata para a resoluo dos
laboratrios quando necessrio.
Contedo Complementar do Curso no site http://www.microsoft.com/learning/companionmoc:

Contedo digital pesquisvel e de fcil navegao com recursos online premium integrados
desenvolvidos para complementar o Manual do curso.
Mdulos: incluem contedo complementar, como perguntas e respostas, etapas detalhadas de

demonstrao e links de leituras adicionais, para cada lio. Alm disso, eles incluem perguntas e
respostas da Reviso do laboratrio, bem como sees de Revises e informaes
complementares, que contm as perguntas e respostas da reviso, prticas recomendadas,
problemas comuns e dicas de soluo de problemas com respostas, alm de cenrios e
problemas reais com respostas.
Recursos: Incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
mais atual na TechNet, na MSDN e na Microsoft Press.
Arquivos do Curso para o aluno no site http://www.microsoft.com/learning/companionmoc :

Inclui o Allfiles.exe, um arquivo executvel de auto-extrao que contm todos os arquivos necessrios
para os laboratrios e as demonstraes.
Avaliao do curso Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para pesquisar sobre o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
Ambiente de mquina virtual
Sobre este curso
Esta seo fornece as informaes para configurao do ambiente de sala de aula para dar suporte ao
cenrio comercial do curso.
Configurao da mquina virtual

Neste curso, voc usar o Hyper-V para executar os laboratrios.
Importante Ao final de cada laboratrio, voc dever fechar a mquina virtual e
no dever salvar as alteraes. Para fechar uma mquina virtual sem salvar as alteraes,
execute estas etapas:
1.
Na mquina virtual, no menu Ao, clique em Fechar.
2.
Na caixa de dilogo Fechar, na lista O que voc deseja que a mquina virtual faa?,
clique em Desligar e exclua as alteraes e, em seguida, clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso.
Mquina virtual
Funo
24411B-LON-DC1
Controlador de domnio do Windows Server 2012 do domnio Adatum.com
24411B-LON-CL1
Computador cliente com Windows 8 e no domnio Adatum.com
24411B-LON-CL2
Computador cliente com Windows 8 e no domnio Adatum.com
24411B-LON-SVR1
Windows Server 2012 no domnio Adatum.com
24411B-LON-SVR3
Nenhum sistema operacional instalado
24411B-LON-SVR4
Um computador servidor com Windows Server 2012 no domnio

Adatum.com
24411B-LON-RTR
Um computador servidor com Windows Server 2012 no domnio

Adatum.com
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
O Monitor de Rede 3.4 instalado em LON-SVR2.
Arquivos do curso
H arquivos de laboratrio associados aos laboratrios neste curso. Os arquivos de laboratrio esto
localizados na pasta E:\Labfiles\LabXX em NYC-DC1.
Arrumao da sala de aula

Cada computador da sala de aula ter a mesma mquina virtual configurada da mesma forma.
xxix
Sobre este curso
Nvel de hardware do curso
xxx
Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.
Nvel de hardware 6 com 8 GB de RAM
Navegao no Windows Server 2012

Se voc no estiver familiarizado com a interface do usurio no Windows Server 2012 ou Windows 8,
as informaes a seguir o ajudaro com a nova interface.
Entrar e Sair substituem Fazer Logon e Fazer Logoff.
As Ferramentas Administrativas so encontradas no menu Ferramentas do Gerenciador do Servidor.
Mova o mouse para o canto inferior direito da rea de trabalho para abrir um menu com:
Configuraes: isso inclui Painel de Controle e Energia
Menu Iniciar: isso fornece acesso a alguns aplicativos
Pesquisar: permite procurar aplicativos, configuraes e arquivos
As teclas de atalho a seguir tambm podem ser teis:
Windows: abre o menu Iniciar
Windows+C: abre o mesmo menu que aberto com a movimentao do mouse no canto inferior
direito
Windows+I: abre Configuraes
Windows+R: abre a janela Executar

1-1
Mdulo 1
Implantao e manuteno de imagens de servidor
Contedo:
Viso geral do mdulo
1-1
Lio 1: Viso geral dos Servios de Implantao do Windows
1-2
Lio 2: Implementao da implantao com os Servios de Implantao

do Windows
1-9
Lio 3: Administrao dos Servios de Implantao do Windows
1-16
Laboratrio: Uso dos Servios de Implantao do Windows para implantar

o Windows Server 2012
1-23
Reviso e informaes complementares do mdulo
1-29
Viso geral do mdulo
Organizaes maiores precisam de tecnologias de implantao que possam reduzir ou eliminar a

interao do usurio durante o processo de implantao. possvel usar a funo Servios de Implantao
no Windows Server 2012 e no Windows Server 2008 para ajudar a dar suporte a implantaes simples,
zero-touch e de alto volume. Este mdulo explora a funcionalidade dos Servios de Implantao do
Windows e como usar as respectivas ferramentas para executar implantaes com pouca interveno
humana.
Objetivos
Ao concluir este mdulo, os alunos estaro aptos a:
Descrever os recursos importantes e a funcionalidade dos Servios de Implantao do Windows.
Configurar os Servios de Implantao do Windows no Windows Server 2012.
Realizar implantaes com os Servios de Implantao do Windows.
Lio 1
Viso geral dos Servios de Implantao do Windows

Servios de Implantao do Windows permitem implantar sistemas operacionais Windows. possvel
usar uma instalao baseada na rede dos Servios de Implantao do Windows para implantar esses
sistemas operacionais em novos computadores. Isso significa que voc no precisa estar fisicamente
presente em cada computador. Alm disso, voc no precisa instalar cada sistema operacional
diretamente a partir de uma mdia local. Consequentemente, os Servios de Implantao do Windows
so bem dimensionados para dar suporte s necessidades de implantao das organizaes maiores.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever a funo dos Servios de Implantao do Windows.
Descrever os componentes dos Servios de Implantao do Windows.
Descrever os benefcios dos Servios de Implantao do Windows.
Identificar como usar os Servios de Implantao do Windows para dar suporte a vrios cenrios
de implantao.
O que so Servios de Implantao do Windows?

Servios de Implantao do Windows uma
funo de servidor fornecida com o Windows
Server 2012. Eles fornecem as seguintes funes:
1-2
Permitem realizar instalaes baseadas em

rede.
Simplificam o processo de implantao.
Do suporte implantao de computadores

sem sistemas operacionais atuais.
Fornecem solues de implantao de ponta

a ponta para computadores cliente e servidor.
Usam tecnologias existentes, como Windows PE (Ambiente de Pr-Instalao do Windows), arquivos de

imagem do Windows (.wim) e de disco rgido virtual (.vhd), alm da implantao baseada em imagem.
1-3
Os Servios de Implantao do Windows permitem a implantao automatizada de sistemas operacionais

Windows. possvel automatizar por completo a implantao dos seguintes sistemas operacionais:
Windows XP
Windows Server 2003
Windows Vista com Service Pack 1 (SP1)
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8
Windows Server 2012
Os Servios de Implantao do Windows oferecem a possibilidade de criar, armazena e implantar imagens

de instalao de sistemas operacionais compatveis e do suporte a arquivos de imagem .wim e .vhd.
Agora a implantao pode ser unicast ou multicast. O uso de multicasting permite um gerenciamento
mais efetivo do trfego de rede que o processo de implantao consome. Isso potencialmente agiliza a
implantao sem afetar negativamente outros servios de rede.
Sistemas operacionais com componentes
Os Servios de Implantao do Windows esto intimamente integrados ao Windows Vista,

ao Windows Server 2008, ao Windows 7, ao Windows Server 2008 R2, ao Windows 8 e ao
Windows Server 2012. Um exemplo importante dessa integrao o design desses sistemas operacionais
com componentes. Esses sistemas operacionais consistem em elementos de autodescrio, conhecidos
como componentes. A autodescrio se refere ao fato de que os elementos contm um manifesto que
lista as opes de configurao diferentes que possvel definir para cada componente. possvel ver os
recursos e as configuraes de cada componente. Atualizaes, service packs e pacotes de idiomas so
componentes aplicados a sistemas operacionais que podem ser divididos.
Os drivers tambm so considerados componentes separados, configurveis. O principal benefcio disso

que possvel instalar drivers, como hotfixes e service packs em um sistema operacional offline. Em vez de
atualizar imagens completas sempre que uma nova atualizao, service pack ou driver for disponibilizado,
possvel instalar esses componentes na imagem offline de forma que o Windows os aplique quando
voc implanta a imagem.
Durante a implantao das imagens no disco rgido de um novo computador, o sistema recebe a imagem
base com cada um dos componentes adicionados antes da inicializao do sistema pela primeira vez.
1-4
Se a organizao for multilngue ou internacional, ser possvel utilizar a natureza neutra do idioma dos
sistemas operacionais Windows mais recentes. O nmero de imagens que voc precisa manter reduzido
novamente porque no h mais nenhuma verso localizada. Algumas verses de sistemas operacionais
Windows so limitadas ao nmero de pacotes de idiomas. possvel adicionar ou remover pacotes de
idiomas de um sistema conforme necessrio e a qualquer momento sem alterar a instalao.
Se precisar dar suporte a vrios idiomas, voc adicionar todos os pacotes de idiomas necessrios ao
arquivo .wim de implantao e ativ-los conforme necessrio, em todos os computadores ou em
computadores especficos.
Componentes do Servios de Implantao do Windows

Os Servios de Implantao do Windows fornecem
vrias funes distintas por meio de vrios
componentes identificveis.
Servidor Pre-Boot Execution

Environment dos Servios de
Implantao do Windows
O servidor PXE (Pre-Boot Execution Environment)
fornece a seguinte funcionalidade:
Associa-se a interfaces de rede.
Escuta solicitaes PXE de entrada.
Formata os pacotes de resposta DHCP (Dynamic Host Configuration Protocol).
Cliente dos Servios de Implantao do Windows

O cliente dos Servios de Implantao do Windows fornece uma interface grfica construda a partir da
interface grfica de configurao do Windows Server. Ele estabelece um canal de comunicao com o
servidor dos Servios de Implantao do Windows e recupera uma lista de imagens de instalao no
servidor dos Servios de Implantao do Windows. Alm disso, o cliente dos Servios de Implantao
do Windows fornece informaes de status no computador de destino durante implantao.
Componentes de servidor
Entre os componentes de servidor adicionais esto um servidor TFTP (Trivial File Transfer Protocol)
que permite a clientes de inicializao de rede carregarem uma imagem de inicializao na memria.
Tambm est includo: um repositrio de imagem que contm imagens de inicializao, imagens de
instalao, arquivos necessrios especificamente para suporte inicializao de rede e uma pasta
compartilhada que hospeda as imagens de instalao.
Mecanismo de multicasting
1-5
A transmisso de imagens grandes do sistema operacional pela rede mais eficiente com os Servios de
Implantao do Windows. Porm, o envio de arquivos com vrios gigabytes pela rede cria um grande
volume de trfego de rede. Usando o recurso multicast, possvel reduzir ainda mais o custo de rede
de usar a implantao dos Servios de Implantao do Windows.
Com multicasting, o servidor envia os dados uma nica vez e vrios destinos recebem os mesmos dados.
Se voc estiver implantando em vrios destinos, isso poder reduzir o trfego de rede a uma frao do
nmero equivalente de vrias transmisses de unicast. Os Servios de Implantao do Windows fornecem
dois tipos de multicasting:
Multicast programado. H dois modos que possvel configurar o multicast programado:

o
contagem de clientes. Quando voc especificar uma contagem de clientes, o servidor aguardar
a contagem definida de clientes conectados ser alcanada e ento comear a enviar as
informaes.
Momento determinado. Quando voc especifica um momento pontual, o servidor aguarda at

a hora especificada e comea a implantao em computadores clientes conectados.
Embora fornea um uso mais eficiente da rede, o multicast programado exige um pouco mais
de trabalho; cada computador de destino deve ser conectado, ligado e marcado.
Multicast automtico. Um destino pode unir um multicast automtico a qualquer momento, e o

servidor repete a transmisso desde que os destinos estejam conectados. Se comear a receber
a imagem no meio ou se ele perder alguma parte da imagem, o destino ir continuar conectado
e coletar as partes adicionais do arquivo quando o servidor reiniciar a transmisso.
Pergunta: Qual a vantagem de multicasting em comparao com unicasting em cenrios
de implantao por volume?
Por que usar Servios de Implantao do Windows?

Qualquer organizao que queira reduzir a
interao do administrador obrigatria durante a
implantao do Windows Server deve usar os
Servios de Implantao do Windows. Por conta
dessa possibilidade de dar suporte implantao
em toda a rede, potencialmente sem interao do
usurio, os Servios de Implantao do Windows
permitem que organizaes criem um ambiente
mais autnomo e eficiente para instalar o
Windows. Considere os seguintes cenrios.
Cenrio 1
1-6
Em uma rede pequena consistindo em um nico servidor e com cerca de 25 computadores do

Windows XP, voc poderia usar os Servios de Implantao do Windows para agilizar o processo de
atualizao dos computadores clientes para o Windows 8. Assim que voc tiver instalado e configurado a
funo de servidor Servios de Implantao do Windows no nico servidor, ser possvel usar os Servios
de Implantao do Windows para realizar as seguintes tarefas:
1.
Adicione boot.wim a partir da pasta de origem da mdia do Windows Server 2012 como uma imagem
de inicializao nos Servios de Implantao do Windows.
2.
Adicione install.wim a partir da pasta de origem da mdia do Windows 8 como uma imagem de
instalao.
3.
Crie uma imagem de captura a partir da imagem de inicializao adicionada anteriormente.
Observao: Uma imagem de captura uma imagem de inicializao modificada que

contm os elementos necessrios que permitem capturar uma imagem de arquivo WIM a partir
de um computador de referncia configurado.
4.
Inicie o computador de referncia a partir da rede que usa PXE.
5.
Execute uma instalao padro do Windows 8 a partir da imagem install.wim.
6.
Instale aplicativos de produtividade de escritrio e aplicativos personalizados conforme obrigatrio

no computador de referncia.
7.
Generalize o computador de referncia com a Ferramenta de Preparao do Sistema (Sysprep).
8.
Reinicie o computador de referncia a partir da rede que usa PXE.
9.
Conecte-se imagem de captura criada por voc, use-a para capturar o sistema operacional local e
carregue-a no servidor dos Servios de Implantao do Windows.
10. Inicie cada um dos computadores de destino existentes a partir da rede usando PXE e conecte-se
imagem de inicializao apropriada.
11. Selecione a imagem de instalao personalizada.
12. A implantao iniciada.
Os benefcios para a organizao neste cenrio so:
Uma imagem de computador desktop padronizada.
Implantao rpida de cada computador com interao de instalador limitada.
Essa soluo no seria adequada a implantaes maiores, porque voc precisa do instalador para iniciar a
implantao no computador de destino. Alm disso, o instalador obrigatrio para selecionar uma
partio de disco na qual instalar a imagem de instalao selecionada.
Cenrio 2
1-7
No segundo cenrio, uma organizao de mdio a grande porte deseja implantar vrios servidores em
filiais geograficamente espalhadas. Seria demorado e caro enviar a equipe de TI experiente a cada local
para implantar os servidores.
Usando os Servios de Implantao do Windows, a equipe de TI pode resolver esse problema:
1.
Adicione boot.wim a partir da mdia do Windows Server 2012 como uma imagem de inicializao
nos Servios de Implantao do Windows.
2.
Adicione install.wim a partir da mdia do Windows Server 2012 como uma imagem de instalao.
3.
Crie uma imagem de captura.
4.
Inicie o computador de referncia a partir da rede.
5.
Execute uma instalao padro do Windows Server 2012 a partir da imagem install.wim.
6.
Personalize o computador de referncia conforme obrigatrio.
7.
Generalize o computador de referncia.
8.
Reinicie o computador de referncia.
9.
Capture o sistema operacional Windows de referncia e o recarregue no servidor dos Servios de

Implantao do Windows.
10. Configure as contas de computador necessrias do AD DS (Servios de Domnio Active Directory);

isso conhecido como pr-teste das contas de computador.
11. Use o SIM (Gerenciador de Imagem de Sistema do Windows) no Windows ADK (Kit de Instalao
Automatizada do Windows) para criar um arquivo de resposta autnomo.
12. Configure o arquivo de resposta a ser usado com a imagem de instalao capturada nos Servios de
13. Configure uma poltica de nomenclatura personalizada nos Servios de Implantao do Windows de
forma que cada computador servidor receba um nome de computador apropriado durante a implantao.
14. Configure os Servios de Implantao do Windows para usarem uma imagem de inicializao padro.
15. Configure os Servios de Implantao do Windows para atenderem a solicitaes PXE e inicie a
implantao da imagem de instalao automaticamente.
16. Inicie cada um dos computadores de destino a partir da rede.
Observao: Para evitar um loop de inicializao, aconselhvel configurar o BIOS (basic
input/output system) do computador para ser inicializado a partir do disco rgido e, em seguida,
da rede. Para obter mais informaes sobre como evitar um loop de inicializao, consulte o Guia
de Implantao dos Servios de Implantao do Windows.
Os benefcios para a organizao neste cenrio so:
Compilaes de servidor padronizadas.
Ingresso automtico no domnio depois da implantao.
Nomenclatura de computador automtica.
Pouca ou nenhuma interao do instalador.
A soluo no implementa transmisses multicast nem usa referncia PXE. Essas tecnologias tambm
poderiam ser usadas para ajudar a gerenciar o trfego de rede durante a implantao.
Discusso: Como usar Servios de Implantao do Windows

Os Servios de Implantao do Windows podem
ser teis em muitos cenrios de implantao
envolvendo sistemas operacionais Windows.
Pergunta: A equipe de TI da A. Datum
Corporation est prestes a implantar o
Windows Server 2012 em vrias filiais. As
seguintes informaes foram fornecidas
equipe de TI pela gerncia:
o
A configurao dos vrios servidores de

ramificao deve ser bem consistente.
No h requisito de atualizar
configuraes de servidores existentes, porque essas so novas filiais sem infraestrutura de TI
atual implantada.
A automao do processo de implantao importante, porque existem muitos servidores a

serem implantados.
Como voc usaria os Servios de Implantao do Windows para ajudar na implantao?

Pergunta: A. Datum Corporation deseja implantar vrios servidores novos nas respectivas
matrizes. Esses servidores sero instalados com o Windows Server 2012. As seguintes
informaes foram fornecidas equipe de TI pela gerncia:
1-8
A configurao dos vrios servidores deve variar um pouco; h duas configuraes de servidor
bsicas: servidor completo e Server Core.
O gerenciamento do trfego de rede crtico, medida que a rede se aproxima da capacidade

mxima.
Como voc aconselharia o pessoal na A. Datum a continuar com a implantao?
Lio 2
Implementao da implantao com os Servios

de Implantao do Windows
1-9
Embora os Servios de Implantao do Windows no sejam complicados de instalar e configurar,

importante que voc compreenda a constituio dos respectivos componentes, alm de como configurlos corretamente. Fazendo isso, voc garantir que ele fornea o nvel apropriado de automao da
implantao e que atenda s necessidades de implantao da organizao. Ao instalar e configurar os
Servios de Implantao do Windows, voc deve compreender como us-los e as ferramentas associadas
para criar, gerenciar e implantar imagens em computadores dentro da organizao.
Objetivos da lio
Descrever componentes dos Servios de Implantao do Windows.
Explicar como instalar e configurar os Servios de Implantao do Windows.
Explicar o processo de usar os Servios de Implantao do Windows para implantar o Windows Server.
Noes bsicas sobre os componentes do Servios de Implantao

do Windows
Ao implantar a funo de servidor Servios de
Implantao do Windows, voc pode escolher
uma de duas opes de configurao. possvel
escolher a configurao padro, que implanta os
servios de funo Servidor de Implantao e
Servidor de Transporte, ou optar por implantar
apenas o servio de funo Servidor de
Transporte. Nesse segundo cenrio, o servio
de funo Servidor de Implantao fornece
o servidor de imagem; o Servidor de Transporte
no fornece a funcionalidade de imagens.
O Servidor de Implantao permite uma soluo

de implantao de ponta a ponta, e o Servidor de Transporte fornece uma plataforma usada por voc
para criar uma soluo de implantao multicast personalizada.
A tabela a seguir compara os dois servios de funo.
Componente de servidor
Servidor de implantao
Servidor de transporte
Requisitos
AD DS, DHCP e DNS
Nenhum requisito de infraestrutura
PXE
Usa o provedor PXE padro
Voc deve criar um provedor PXE
Servidor de imagem
Inclui servidor de imagem dos

Servios de Implantao do
Windows
Nenhum
Transmisso
Unicast e multicast
Somente multicast
(continuao)
Componente de servidor
Servidor de implantao
Servidor de transporte
Gerenciamento
As ferramentas de linha de
comando WDSutil.exe e o snap-in
MMC (Console de Gerenciamento
Microsoft) dos Servios de
Somente WDSutil.exe
Computador de destino
Usa o cliente dos Servios de

Implantao do Windows ou a
ferramenta Wdsmcast.exe
Somente Wdsmcast.exe
Funcionalidade do servidor de transporte

possvel usar o Servidor de Transporte para fornecer as seguintes funes:
1-10 Implantao e manuteno de imagens de servidor
Inicialize a partir da rede. O Servidor de Transporte s fornece um ouvinte PXE; esse o componente
que escuta e aceita o trfego de entrada. Voc deve escrever um provedor PXE personalizado para
usar um Servidor de Transporte a fim de inicializar o computador a partir da rede.
Multicasting. O servidor multicast nos Servios de Implantao do Windows consiste em um provedor

multicast e em um provedor de contedo:
o
Provedor multicast. Transmite dados pela rede.
Provedor de contedo. Interpreta e passa os dados e para o provedor multicast. Ele instalado
com os Servidores de Transporte e o Servidor de Implantao e pode ser usado para transferir
qualquer tipo de arquivo, embora tenha conhecimento especfico sobre o formato do arquivo de
imagem .wim.
Requisitos de instalao dos Servios de Implantao do Windows

Os requisitos especficos para instalar a funo Servios de Implantao do Windows dependem da
possibilidade de implantao de Servidor de Implantao ou apenas de um Servidor de Transporte.
Para instalar um Servidor de Implantao, a rede e o servidor de destino devem atender aos requisitos
a seguir.
AD DS. O servidor dos Servios de Implantao do Windows devem ser um membro de um domnio
do AD DS ou um controlador de domnio do AD DS.
Observao: O domnio do AD DS e os nveis funcionais da floresta no so relevantes;

todas as configuraes de domnio e floresta do suporte aos Servios de Implantao do
Windows.
DHCP. Voc deve ter um servidor DHCP funcional com um escopo ativo na rede. Isso porque os Servios
de Implantao do Windows usam PXE, que depende do DHCP para alocar configuraes de IP.
1-11
DNS. Voc deve ter um servidor DNS funcional na rede de forma que os computadores clientes
possam localizar os servios obrigatrios para implantao.
Volume do sistema de arquivos NTFS. O servidor que executa os Servios de Implantao do

Windows exige um volume NTFS para o repositrio de imagens. Os Servios de Implantao
do Windows acessam o repositrio de imagens dentro do contexto do usurio conectado. Por isso,
as contas de usurio da implantao devem ter permisses suficientes em arquivos de imagem.
Embora no seja um requisito, o Windows ADK permite simplificar o processo de criao dos arquivos
de resposta (unattend.xml) a serem usados com implantaes dos Servios de Implantao do Windows
automatizadas.
Observao: Para instalar a funo Servios de Implantao do Windows, voc deve ser um
membro do grupo local de administradores no servidor. Para inicializar o servidor, voc deve ser
um membro do grupo Usurios do Domnio.
Instalao e configurao dos Servios de Implantao do Windows

Desde que a infraestrutura de rede atenda aos
pr-requisitos, voc poder instalar a funo de
servidor Servios de Implantao do Windows.
Instalao da funo de servidor

Servios de Implantao do Windows
Use as seguintes etapas de alto nvel para fornecer
orientao sobre como instalar a funo.
1.
Abra o Gerenciador do Servidor e adicione a

funo de servidor Servios de Implantao
do Windows.
2.
Escolha se voc deseja instalar o servio de

funo Servidor de Implantao (que inclui a funo Servidor de Transporte) ou apenas o servio
de funo Servidor de Transporte.
3.
Conclua o assistente para instalar a funo obrigatria.
Configurao inicial dos Servios de Implantao do Windows
Quando os Servios de Implantao do Windows forem instalados, abra os Servios de Implantao do

Windows a partir de Ferramentas Administrativas e use a orientao de alto nvel a seguir para configurar
os Servios de Implantao do Windows.
1.
Selecione o servidor no console Servios de Implantao do Windows e inicie o Assistente de

Configurao.
2.
Especifique um local para armazenar imagens. Este local:

o
Deve ser uma partio NTFS.
Deve ser grande o bastante para acomodar as imagens de implantao cuja necessidade voc
prev.
Deve ser um disco fsico separado a partir do qual o sistema operacional instalado para ajudar a
otimizar o desempenho.
3.
Se a funo de servidor DHCP for co-hospedada no servidor Servios de Implantao do Windows,

voc dever:
o
Impedir o servidor PXE de escutar a porta UDP (User Datagram Protocol) 67; essa porta usada
pelo DHCP.
Configurar a opo DHCP 60 para PXEClient; isso permite ao cliente PXE localizar a porta de
servidor dos Servios de Implantao do Windows.
Observao: Se voc implantar os Servios de Implantao do Windows em um servidor que j

esteja executando a funo Servidor DHCP, essas alteraes sero feitas automaticamente. Se adicionar
a funo Servidor DHCP subsequentemente a um Servidor de Implantao do Windows, voc no
dever se esquecer de fazer essas alteraes.
4.
Determine como voc deseja que o servidor PXE responda aos clientes:
o
O padro que o servidor PXE no responda a nenhum cliente; isso til quando voc est
configurando inicialmente os Servios de Implantao do Windows, porque ainda no tem
imagens disponveis para clientes.
Tambm possvel optar por configurar o servidor PXE para:
Responder a computadores clientes conhecidos; eles so computadores que voc pr-testou.
Responda a todos os computadores clientes, independentemente de t-los pr-testado ou

no; se selecionar essa opo, voc poder definir adicionalmente que a aprovao do
administrador obrigatria para computadores desconhecidos. Enquanto aguardam a
aprovao, os computadores clientes ficam em uma fila pendente.
Observao: Se necessrio, ser possvel redefinir essas configuraes depois que a

configurao inicial for concluda.
Gerenciamento das implantaes com os Servios de Implantao

do Windows
Quando voc instala e configura os Servios de
Implantao do Windows, possvel preparar
os Servios de Implantao do Windows para
atender a implantaes do cliente; isso envolve
os procedimentos a seguir.
Definio das configuraes de inicializao
1-13
Voc deve concluir vrias tarefas de configurao para definir configuraes de inicializao no servidor
que est hospedando os Servios de Implantao do Windows.
Adicione imagens de inicializao. Uma imagem de inicializao uma imagem do Windows PE

usada para inicializar um computador e instalar a imagem de instalao. Normalmente, voc usa o
arquivo boot.wim no DVD do produto Windows Server 2012 na pasta \sources. Voc tambm pode
optar por criar uma imagem de captura, que um tipo especfico da imagem de inicializao que
possvel usar para capturar um sistema operacional instalado atualmente em um computador de
referncia.
Configure a poltica de inicializao PXE para clientes conhecidos e desconhecidos. Essa poltica
determina o comportamento do instalador obrigatrio durante a parte inicial da implantao.
Por padro, as polticas de computador conhecidas e desconhecidas exigem que o instalador
pressione F12 para se conectar ao servidor de imagens dos Servios de Implantao do Windows.
No fazer isso resulta no computador usando configuraes de BIOS para determinar um mtodo
de inicializao alternativopor exemplo, disco rgido ou CD ROM. Em vez desse padro, possvel
configurar as seguintes opes:
o
Sempre continuar a inicializao do PXE. Essa opo garante que o computador continue
passando pelo processo de implantao sem nenhuma interao do instalador.
Continuar a inicializao PXE a menos que o usurio tenha pressionado a tecla Esc. Essa opo
d ao instalador a capacidade de cancelar a implantao.
Configurar uma imagem de inicializao padro. Se voc tiver vrias imagens de inicializaopor
exemplo, para dar suporte a vrias plataformasser possvel configurar uma imagem de
inicializao padro para cada uma delas. Essa imagem ser selecionada depois de um tempo
limite no computador cliente PXE.
Associe um arquivo de resposta para configurao. possvel definir um arquivo de resposta

associado para cada arquitetura cliente. Esse arquivo de resposta fornece informaes usadas
durante a fase de configurao inicial e permite que o servidor de imagens dos Servios de
Implantao do Windows para selecionar a imagem de instalao apropriada para o cliente,
sem a interveno do instalador.
Crie imagens de descoberta. Nem todos os computadores do suporte inicializao de rede PXE.
Para aqueles que no do, possvel criar um imagem de descoberta com base em uma imagem de
inicializao e export-la para um dispositivo de armazenamento removvel. Para criar uma imagem
de descoberta, especifique:
o
O nome da imagem e a descrio.
A imagem de inicializao na qual se baseia.
Um nome de arquivo com o qual armazenar a imagem.
O nome do servidor dos Servios de Implantao do Windows que ser usado na implantao.
Definio das configuraes de instalao

Voc deve definir configuraes de instalao adicionais nos Servios de Implantao do Windows.
Adicione imagens de instalao. Essa a imagem do sistema operacional usada para instalar o
Windows Server. Normalmente, voc comea com a imagem de instalao install.wim na pasta
\sources do DVD do produto Windows Server 2012. Por isso, convm optar por criar imagens
personalizadas para grupos de computadores com configuraes semelhantes.
Observao: Para criar imagens de instalao, voc deve definir um grupo de imagens de
instalao no qual consolidar as imagens relacionadas. Se voc no fizer isso, o programa de
administrao dos Servios de Implantao do Windows criar um grupo genrico.
Associe um arquivo de resposta a uma imagem de instalao. Se voc tiver criado um arquivo de
resposta, por exemplo, usando o Windows ADK, ser possvel associ-lo a uma instalao para
fornecer as informaes necessrias para concluir a implantao do computador sem interao
do instalador.
Configure uma poltica de nomenclatura do cliente. possvel usar a poltica de nomenclatura

do cliente a fim de definir nomes de computador para computadores desconhecidos durante
a implantao. A poltica usa vrias variveis para criar um nome exclusivo:
a.
%First. O nome do instalador. A colocao de um nmero depois do sinal % resulta no uso

apenas desses caracteres. Por exemplo, % 3First usa os trs primeiros caracteres do nome do
instalador.
b.
%Last. O sobrenome do instalador. Tambm possvel definir o nmero de caracteres a serem

usados.
c.
%Username. O nome do usurio do instalador. Novamente, possvel limitar o nmero de

caracteres especificando um nmero depois do sinal %.
d.
%MAC. O endereo MAC (controle de acesso mdia).
e.
%[n]#. possvel usar essa sequncia a fim de definir um nmero sequencial de identificao
exclusivo para o nome do computador contendo n dgitos. Se voc quiser usar um nmero com
vrios dgitos, acrescente a varivel com zeros esquerda, depois do sinal %. Por exemplo, % 2#
resulta nos nmeros sequenciais 1, 2, 3 e assim por diante. %02# resulta em 01, 02 e 03.
Especifique o local do AD DS para contas de computador. O padro usar o mesmo domnio

do AD DS como o servidor dos Servios de Implantao do Windows. Tambm possvel selecionar:
o
O mesmo domnio no qual o usurio realiza a implantao.
A mesma UO (unidade organizacional) do usurio que est realizando a implantao.
Um local do AD DS especificado.
Observao: O computador dos Servios de Implantao do Windows exige as permisses

Criar Objeto do Computador e Gravar Todas as Propriedades no continer do AD DS
especificado por voc.
Definio das configuraes de transmisso
1-15
Configure transmisses multicast. A transmisso unicast habilitada por padro; ou seja, voc no precisa
fazer mais nada e possvel implantar clientes usando unicast. Porm, para habilitar a transmisso
multicast, especifique:
O nome da transmisso multicast.
Uma imagem de instalao qual a transmisso associada.
Um mtodo de transmisso multicast. Escolha entre Multicast Automtico e Multicast Programado.

Se voc escolher Multicast Programado, ser possvel definir um nmero mnimo limite de clientes
antes do incio da transmisso e da data e da hora de incio.
Configurao de drivers
Os Servios de Implantao do Windows no Windows Server 2012 permite adicionar e configurar pacotes
de driver no servidor e implant-los em computadores clientes durante instalaes baseadas no hardware.
Use as seguintes etapas de alto nvel para configurar drivers:
1.
Obtenha os drivers dos quais voc precisa. Eles devem estar na forma de um arquivo .inf, em vez
de um arquivo .msi ou .exe.
2.
Configure filtros, se desejado, no grupo de drivers. Esses filtros determinam quais computadores
recebem os drivers com base nas caractersticas de hardware dos computadores clientes. Por
exemplo, possvel criar um filtro que aplica os drivers apenas a computadores que tenham
uma BIOS fabricada pela A. Datum.
3.
Adicione os drivers como um pacote de driver. Os pacotes de driver devem ser associados
a um grupo de drivers. Se voc associar o pacote de driver a um grupo no filtrado, todos os
computadores recebero o driver.
possvel usar os Servios de Implantao do Windows para adicionar pacotes de drivers s imagens de
inicializao do Windows 8 e do Windows Server 2012; consequentemente, voc no precisa exportar a
imagem. Use as ferramentas no Windows ADK para adicionar pacotes de driver manualmente e adicione
a imagem de inicializao atualizada.
Pergunta: Qual a vantagem de definir uma poltica de nomenclatura do cliente?
Lio 3
Administrao dos Servios de Implantao do Windows

Quando tiver concludo a configurao dos Servios de Implantao do Windows, voc dever criar
e administrar imagens de inicializao, imagens de instalao e, como opo, imagens de captura e
descoberta. Alm disso, voc deve disponibilizar essas imagens para computadores clientes com o nvel
desejado de automao usando um mecanismo de transmisso apropriado.
Objetivos da lio
Descreva as tarefas de administrao comuns.
Explique como adicionar e configurar imagens de inicializao, captura, descoberta e instalao.
Explique como automatizar implantaes.
Explique como configurar a transmisso multicast para implantar as imagens.
Tarefas de administrao comuns

Para configurar efetivamente os Servios de
Implantao do Windows, voc deve concluir
vrias tarefas de administrao comuns. Para
ajudar a concluir essas tarefas, os Servios de
Implantao do Windows fornecem vrias
ferramentas. Entre as tarefas administrativas
que voc deve concluir esto as seguintes:
Configurao de DHCP
Criao e atendimento de imagens
Gerenciamento do menu de inicializao
Pr-teste dos computadores clientes
Automatizao da implantao
Configurao de transmisso
Configurao de DHCP
Os clientes que inicializam usando PXE exigem uma configurao de IPv4 alocada dinamicamente. Voc
deve criar e configurar um escopo DHCP apropriado a essa finalidade. Alm disso, se as funes de
servidor DHCP e Servios de Implantao do Windows forem co-hospedadas, voc dever configurar
como o servidor PXE escuta solicitaes de cliente; h um conflito inerente porque DHCP e Servios de
Implantao do Windows usam a porta UDP 67. Para criar e gerenciar escopos DHCP, possvel usar
o snap-in DHCP ou a ferramenta de linha de comando Netsh.exe.
Criao e atendimento de imagens
1-17
possvel criar e atender imagens com o snap-in Servios de Implantao do Windows, o Windows SIM,
a ferramenta de linha de comando WDSutil.exe ou a ferramenta de linha de comando Dism.exe.
Por exemplo, para adicionar uma imagem de inicializao, use o seguinte comando:
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path> /ImageType:Boot
Para criar uma imagem de captura, use o seguinte comando:

WDSUTIL /New-CaptureImage /Image:<source boot image name> /Architecture:{x86|ia64|x64}
/DestinationImage /FilePath:<file path>
Para adicionar uma imagem de instalao, use os dois comandos a seguir, pressionando Enter depois de
cada linha:
WDSUTIL /Add-ImageGroup /ImageGroup:<image group name>
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:<path to .wim file> /ImageType:Install
Observao: Tambm possvel realizar essas tarefas de gerenciamento usando o console

de gerenciamento Servio de Implantao do Windows, localizado no Gerenciador do Servidor.
Gerenciamento do menu de inicializao

O ambiente de inicializao para Windows Server 2012 depende do repositrio BCD (Dados de
Configurao da Inicializao). Esse repositrio define como o menu de inicializao configurado.
possvel personalizar o repositrio usando Bcdedit.exe.
Observao: Ao personalizar o repositrio BCD, voc deve for-lo a ser recriado para que as
alteraes entrem em vigor. Para fazer isso, execute os dois comandos WDSutil.exe a seguir (pressionando
Enter depois de cada linha), pare e reinicie o servidor Servios de Implantao do Windows:
wdsutil /stop-server
wdsutil /start-server
Esta uma lista de limitaes para a interface do usurio do menu de inicializao:
Tamanho da tela. Apenas 13 imagens podem ser exibidas no menu. Se voc tiver mais, o instalador
dever rolar a tela para v-las.
Mouse. No h ponteiro do mouse.
Teclado. No h suporte a teclados alternativos, que no sejam os compatveis com o BIOS.
Localizao. H suporte limitado localizao, que no seja a compatvel com o BIOS.
Acessibilidade. Existe suporte limitado acessibilidade.
Pr-teste dos computadores clientes
Os Servios de Implantao do Windows d suporte implantao em clientes desconhecidos. possvel

exercer certo controle sobre clientes desconhecidos configurando a aprovao do administrador. Isso
garante que os clientes que estejam tentando implantar com os Servios de Implantao do Windows
sejam colocados em uma fila pendente aguardando a aprovao. Tambm possvel configurar o nome
do computador cliente durante a aprovao.
Porm, se quiser um controle mais especfico sobre implantaes, voc poder pr-testar os
computadores no AD DS; isso permite configurar o cliente para:
Iniciar a partir de um servidor Servios de Implantao do Windows.
Usar um programa de inicializao de rede diferente.
Usar um arquivo autnomo especfico.
Usar uma imagem de inicializao especfica.
Ingressar em um domnio do AD DS especfico.
Tambm possvel usar a seguinte ferramenta de linha de comando WDSutil.exe para pr-testar
computadores:
WDSUTIL /Add-Device /Device:<name> /ID:<GUIDorMACAddress>
Nesse exemplo, <GUIDorMACAddress> o identificador do novo computador.
Automatizao da implantao
possvel automatizar implantaes dos Servios de Implantao do Windows de ponta a ponta.
possvel usar o snap-in Servios de Implantao do Windows e o Windows SIM para concluir
essas tarefas.
Configurao de transmisso
O multicasting permite implantar uma imagem em um grande nmero de computadores clientes
sem consumir largura de banda da rede em excesso.
Considere a habilitao de transmisses multicast caso a organizao:
Preveja muitas implantaes simultneas.
Tenha roteadores que deem suporte propagao de multicasts; ou seja, suporte ao IGMP
(Internet Group Management Protocol).
possvel usar o snap-in Servios de Implantao do Windows ou a ferramenta de linha

de comando WDSutil.exe para gerenciar a transmisso multicast. Por exemplo, para criar uma
transmisso multicast com Autocast, use o seguinte comando:
WDSUTIL /New-MulticastTransmission /Image:<image name> /FriendlyName:<friendly name>
/ImageType:Install /ImageGroup:<Image group name> /TransmissionType:AutoCast
Para criar uma transmisso de Multicast Programado, use o seguinte comando:

WDSUTIL /New-MulticastTransmission /Image:<image name> /FriendlyName:<friendly name>
/ImageType:Install /ImageGroup:<Image group name> /TransmissionType:ScheduledCast
[/Time:<yyyy/mm/dd:hh:mm>][/Clients:<no of clients>]
Demonstrao: Como administrar imagens

Esta demonstrao tambm mostra como administrar imagens: Nessa demonstrao, esse processo
ser dividido nas quatro etapas a seguir:
Instalar e configurar a funo Servios de Implantao do Windows.
Adicionar uma imagem de inicializao.
Criar uma imagem de captura.
Adicionar uma imagem de instalao.
Etapas da demonstrao
Instalar e configurar a funo Servios de Implantao do Windows
1.
Alterne para o computador LON-SVR1.
2.
Abra o Gerenciador do Servidor.
3.
Instale a funo de servidor Servios de Implantao do Windows com ambos os servios

de funo.
4.
No console Servios de Implantao do Windows, clique com o boto direito

em LON-SVR1.Adatum.com e clique em Configurar Servidor.
5.
Use as seguintes informaes para concluir a configurao:
1-19
Integre os Servios de Implantao do Windows ao Active Directory.
Na pgina Local da pasta Instalao Remota, aceite os padres.
Aceite a mensagem Aviso do Volume de Sistema.
Na pgina Configuraes Iniciais do Servidor PXE, selecione a opo Responder a todos os

computadores cliente (conhecidos e desconhecidos).
Quando solicitado, opte por no adicionar imagens ao servidor.
Adicionar uma imagem de inicializao

1.
Alterne para LON-SVR1.
2.
Se necessrio, abra o console Servios de Implantao do Windows.
3.
Adicione uma nova imagem de inicializao usando as seguintes informaes para concluir o
processo:
4.
a.
Na pgina Arquivo de Imagem, use o nome do arquivo: D:\sources\boot.wim.
b.
Aceite os padres na pgina Metadados da Imagem.
c.
Aceite os padres na pgina Resumo.
Na pgina Andamento da Tarefa, clique em Concluir.
Adicionar uma imagem de instalao

1.
Se necessrio, abra Servios de Implantao do Windows.
2.
Adicione um novo Grupo de Imagens com o nome do grupo de imagens Windows Server 2012.
3.
Use o Assistente para Adicionar Imagem para adicionar uma nova imagem de instalao ao grupo.
Use as seguintes informaes para concluir o processo:
4.
a.
Na pgina Arquivo de Imagem, use o seguinte nome do arquivo: D:\sources\install.wim
b.
Na pgina Imagens Disponveis, desmarque todas as caixas de seleo, exceto

Windows Server 2012 SERVERSTANDARDCORE.
c.
d.
Minimize a janela Servios de Implantao do Windows.
Automatizao de implantaes
H quatro fases que possvel automatizar
durante o processo de implantao dos Servios
de Implantao do Windows. So elas:
Poltica de Inicializao do PXE. possvel

determinar como o servidor PXE responde a
clientes e se o instalador deve pressionar a
tecla F12 para se conectar ao servidor Servios
de Implantao do Windows e selecionar
uma imagem de inicializao. Por exemplo,
a opo Sempre continuar a inicializao
do PXE garante que o computador continue
passando pelo processo de implantao sem
nenhuma interao do instalador.
A imagem de inicializao padro. Se voc configurar uma imagem de inicializao padro,

o instalador no dever fazer uma seleo.
As telas dos Servios de Implantao do Windows. Quando o computador cliente usa o protocolo
TFTP para se conectar ao servidor Servios de Implantao do Windows e selecionar uma imagem de
inicializao, o instalador deve fornecer credenciais e selecionar uma imagem do sistema operacional
a ser instalado. possvel criar um arquivo de resposta Unattend.xml para automatizar essa fase.
Instalao do Windows. possvel personalizar o programa de instalao de forma que, uma vez que
a imagem de instalao for selecionada (automtica ou manualmente), o programa de instalao
concluir o processo de instalao sem interveno do instalador. Esse o mesmo tipo de automao
usado para automatizar instalaes com o Windows ADKADK.
Use o Windows SIM para criar ambos os tipos de arquivos de resposta e use o snap-in Servios de
Implantao do Windows para associar os arquivos de resposta fase de implantao obrigatria.
Automatizar cliente autnomo
1-21
Use o seguinte procedimento para associar um arquivo de resposta para a fase de implantao autnoma
do cliente:
1.
Crie o arquivo Unattend.xml no Windows ADK com configuraes apropriadas aos Servios de
2.
Copie o arquivo para o servidor Servios de Implantao do Windows e cole-o em uma pasta em
\RemoteInstall.
3.
Abra Servios de Implantao do Windows.
4.
Exiba a caixa de dilogo Propriedades do servidor Servios de Implantao do Windows no console

Servios de Implantao do Windows.
5.
Na guia Cliente, habilite a instalao autnoma e selecione o arquivo de resposta criado

anteriormente.
Arquivo de resposta autnomo de exemplo para o cliente dos Servios

de Implantao do Windows autnomo
Esta uma parte de um arquivo de resposta de exemplo obrigatrio para automatizar a fase Autnoma
do cliente dos Servios de Implantao do Windows:
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>Installer</Username>
<Domain>Adatum.com</Domain>
<Password>Pa$$w0rd</Password>
</Credentials>
</Login>
<ImageSelection>
<WillShowUI>OnError</WillShowUI>
<InstallImage>
<ImageName>Windows Server 2021</ImageName>
<ImageGroup>Adatum Server Images</ImageGroup>
<Filename>Install.wim</Filename>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
Automatizar Instalao do Windows

Para automatizar o processo Instalao do Windows, use as seguintes etapas:
1.
Crie o arquivo Unattend.xml no Windows ADK com configuraes apropriadas Instalao do

Windows.
2.
Copie o arquivo para um local adequado no servidor Servios de Implantao do Windows.
3.
Em Servios de Implantao do Windows, exiba as propriedades da imagem de instalao apropriada.
4.
Habilite a opo Permitir instalao de imagem em modo autnomo e selecione o arquivo de

resposta criado anteriormente.
Demonstrao: Como configurar transmisses multicast

Esta demonstrao mostra como configurar transmisso multicast.
1.
Abra o console dos Servios de Implantao do Windows em LON-SVR1.
2.
Crie uma nova transmisso multicast usando as seguintes informaes:

o
Nome da transmisso: Servidores de Ramificao do Windows Server 2012
Grupo de imagens: Windows Server 2012
Imagem: Windows Server 2012 SERVERENTERPRISECORE
Tipo de multicast: Multicast automtico
1-23
Laboratrio: Uso dos Servios de Implantao do Windows

para implantar o Windows Server 2012
Cenrio
A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Reino Unido. Um escritrio de TI e um data center esto em Londres para dar suporte ao escritrio
matriz e a outros locais filiais. A. A Datum implantou recentemente uma infraestrutura de cliente
e servidor do Windows Server 2012.
A. Datum est implantando servidores em escritrios filiais em toda a regio para o departamento
de pesquisa. Voc recebeu a tarefa de ajudar a automatizar essa implantao. Voc sugere o uso dos
Servios de Implantao do Windows para implantar o Windows Server 2012 nos escritrios filiais. Voc
recebeu algumas instrues por email referentes implantao. Voc deve ler essas instrues, alm de
instalar e configurar os Servios de Implantao do Windows para dar suporte implantao.
Objetivos
Depois de concluir este laboratrio, voc ser capaz de:
Instalar e configurar os Servios de Implantao do Windows.
Criar imagens de sistema operacional usando os Servios de Implantao do Windows.
Configurar nomenclatura de computador personalizada.
Implantar imagens com os Servios de Implantao do Windows.
Configurao do laboratrio
Tempo previsto: 75 minutos
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-SVR3
Nome de usurio
Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
preciso concluir as seguintes etapas:
1.
No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique em

Gerenciador Hyper-V.
2.
No Gerenciador do Hyper-V, clique em 24411B-LON-DC1 e, no painel Aes, clique em Iniciar.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
Faa logon usando as seguintes credenciais:
5.
Nome de usurio: ADATUM\Administrador
Senha: Pa$$w0rd
Execute as etapas de 2 a 4 para 24411B-LON-SVR1. No inicie 24411B-LON-SVR3 at receber instrues.
Exerccio 1: Instalao e configurao dos Servios de Implantao

do Windows
Cenrio
Para ajudar no processo de configurao dos Servios de Implantao do Windows, voc recebeu um
email com as informaes de configurao apropriadas.
Guia de Implantao do Escritrio Filial
Viso geral dos requisitos

Para configurar os Servios de Implantao do Microsoft Windows a fim de ajudar na implantao dos
servidores de escritrio filial.
Informaes adicionais
Mtodo de implantao: Implantaes de imagem padro automatizadas
Informaes de configurao:
o
LON-SVR1 deve ser usado para hospedar os Servios de Implantao do Windows.
Configure a transmisso multicast para usar Multicast Automtico.
Configure a nomenclatura automtica para identificar servidores de ramificao.
Coloque servidores de ramificao na UO de pesquisa.
O sistema operacional deve ser Windows Server 2012 Enterprise Edition.
Uma instalao Server Core deve ser realizada.
As principais tarefas neste exerccio so:

1.
Ler a documentao de suporte.
2.
Instalar a funo Servios de Implantao do Windows.
3.
Configurar os Servios de Implantao do Windows.
Tarefa 1: Ler a documentao de suporte
Ler a documentao de suporte no cenrio do exerccio para determinar os detalhes da implantao.
Tarefa 2: Instalar a funo Servios de Implantao do Windows

1.
2.
3.
Instale a funo de servidor Servios de Implantao do Windows com ambos os servios de funo.
4.
Feche o Gerenciador do Servidor.
Tarefa 3: Configurar os Servios de Implantao do Windows
1-25
1.
Abra o console dos Servios de Implantao do Windows.
2.
Clique com o boto direito do mouse em LON-SVR1.Adatum.com e clique em Configurar Servidor.
3.
Use as seguintes informaes para concluir a configurao:

a.
Integre os Servios de Implantao do Windows ao Active Directory.
b.
Na pgina Local da pasta Instalao Remota, aceite os padres.
c.
Aceite a mensagem Aviso do Volume de Sistema.
d.
Na pgina Configuraes Iniciais do Servidor PXE, selecione a opo Responder a todos os

computadores cliente (conhecidos e desconhecidos).
e.
Quando solicitado, opte por no adicionar imagens ao servidor.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado os Servios de
Exerccio 2: Criao de imagens do sistema operacional com os Servios

Cenrio
Os Servios de Implantao do Windows so instalados e configurados com xito. Agora voc deve criar
vrias imagens de sistema operacional para ajudar na implantao.
1.
Insira a mdia de instalao do Windows Server 2012 em LON-SVR1.
2.
Adicione uma imagem de inicializao.
3.
Adicione uma imagem de instalao.
Tarefa 1: Insira a mdia de instalao do Windows Server 2012 em LON-SVR1

1.
No computador host, abra o Gerenciador do Hyper-V.
2.
Abra a pgina Configuraes de 24411B-LON-SVR1.
3.
Selecione a Unidade de DVD e anexe o arquivo ISO localizado em C:\Program Files\

Microsoft Learning\24411\Drives\Windows2012_RTM.ISO.
Tarefa 2: Adicionar uma imagem de inicializao

1.
2.
Se necessrio, abra o console Servios de Implantao do Windows.
3.
Adicione uma nova imagem de inicializao usando as seguintes informaes para concluir
o processo:
4.
Na pgina Arquivo de Imagem, use o nome do arquivo: D:\sources\boot.wim.
Aceite os padres na pgina Metadados da Imagem.
Tarefa 3: Adicionar uma imagem de instalao

1.
Se necessrio, abra Servios de Implantao do Windows.
2.
Adicione um novo Grupo de Imagens com o nome do grupo de imagens Windows Server 2012.
3.
Use o Assistente para Adicionar Imagem para adicionar uma nova imagem de instalao ao grupo.
Use as seguintes informaes para concluir o processo:
4.
a.
Na pgina Arquivo de Imagem, use o seguinte nome do arquivo: D:\sources\install.wim
b.
Na pgina Imagens Disponveis, desmarque todas as caixas de seleo, exceto

Windows Server 2012 SERVERSTANDARDCORE.
c.
d.
Minimize a janela Servios de Implantao do Windows.
Resultados: Depois de concluir este exerccio, voc criar uma imagem de sistema operacional com
Exerccio 3: Configurao de nomes de computador personalizados

Cenrio
Para automatizar a nomenclatura de computador, voc deve configurar as propriedades de nomenclatura

personalizadas do Servios de Implantao do Windows segundo o documento enviado a voc. Isso
tambm envolve a configurao da delegao na UO do Active Directory que conter as contas de
computador. Como a aprovao do administrador obrigatria, voc tambm deve configur-la.
1.
Configure a nomenclatura automtica.
2.
Configure a aprovao do administrador.
3.
Configure as permisses do AD DS.
Tarefa 1: Configurar nomenclatura automtica

1.
Em Servios de Implantao do Windows, exiba as propriedades de LON-SVR1.Adatum.com.
2.
Na guia AD DS, use as seguintes informaes para configurar a nomenclatura automtica:

o
Formatar: BRANCH-SVR-%02#
Local da Conta do Computador: Adatum UO de pesquisa
Tarefa 2: Configurar a aprovao do administrador

1.
Em Servios de Implantao do Windows, exiba as propriedades de LON-SVR1.Adatum.com.
2.
Na guia Resposta do PXE, selecione Exigir aprovao do administrador para computadores

desconhecidos e altere Atraso de Resposta do PXE para 3 segundos.
3.
Abra o Windows PowerShell e digite o seguinte comando a fim de criar uma mensagem a ser
exibida aos instaladores enquanto aguardam a aprovao de administrao:
1-27
WDSUTIL /Set-Server /AutoAddPolicy /Message:The Adatum administrator is authorizing

this request. Please wait.
4.
Feche a janela Prompt de Comando.
Tarefa 3: Configurar permisses do AD DS (Servios de Domnio Active Directory)

1.
Alterne para o computador LON-DC1 e abra Usurios e Computadores do Active Directory.
2.
Clique com o boto direito do mouse na UO Research e use o Assistente para Delegar Controle
conta do computador LON-SVR1 a capacidade de criar objetos de computador na UO.
Use as seguintes informaes para ajudar a:
a.
Tarefas a delegar: Criar uma tarefa personalizada a ser delegada
b.
Na pgina Tipo de objeto do Active Directory, clique em Somente os seguintes objetos

na pasta, marque as caixas de seleo Computador objetos e Criar objetos selecionados
nesta pasta.
c.
Na pgina Permisses, na Lista de permisses, marque a caixa de seleo Controle Total.
Resultados: Depois de concluir esse exerccio, voc ter configurado a nomenclatura de computador
personalizada.
Exerccio 4: Implantao de imagens com os Servios de Implantao

do Windows
Cenrio
Voc forneceu instrues para um supervisor de filial para iniciar o processo de instalao no computador
de servidor da filial. A instalao ocorrer agora.
1.
Configure um servidor Servios de Implantao do Windows para transmisso multicast.
2.
Configure o cliente para inicializao do PXE.
Tarefa 1: Configurar um servidor Servios de Implantao do Windows para

transmisso multicast
1.
2.
Crie uma nova transmisso multicast usando as seguintes informaes para concluir o processo:
o
Nome da transmisso: Servidores de Ramificao do Windows Server 2012
Grupo de imagens: Windows Server 2012
Imagem: Windows Server 2012 SERVERSTANDARDCORE
Tipo de multicast: Multicast automtico
Tarefa 2: Configure o cliente para inicializao do PXE
1.
No computador host, alterne para Gerenciador do Hyper-V.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-SVR3 e clique
em Configuraes.
3.
Na caixa de dilogo Configuraes de 24411B-LON-SVR3, clique em BIOS.
4.
No painel de resultados, clique em Adaptador de Rede Herdado.
5.
Use as setas para mover Adaptador de Rede Herdado at a parte superior da lista e clique em OK.
6.
No Gerenciador do Hyper-V, clique em 24411B-LON-SVR3 e, no painel Aes, clique em Iniciar.
7.
No painel Aes, clique em Conectar.
8.
Quando o computador for reinicializado, observe o aviso de DHCP PXE. Quando solicitado,
pressione F12 para Inicializao de Rede.
Pergunta: Voc v a mensagem de aprovao da administrao?
9.
10. Em Servios de Implantao do Windows, clique em Dispositivos Pendentes.

11. Clique com o boto direito do mouse emsolicitao pendente e clique em Aprovar.
12. Na caixa de dilogo Dispositivo Pendente, clique em OK.
13. Alternar para o computador LON-SVR3.
Pergunta: Qual imagem o padro?
Pergunta: A instalao iniciada?
14. Voc no precisa continuar a instalao.
Para se preparar para o prximo mdulo

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial
1.
No computador host, inicie o Gerenciador do Hyper-V.
2.
Clique com o boto direito do mouse em 24411B-LON-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.
4.
Repita essas etapas para 24411B-LON-SVR3 e 24411B-LON-SVR1.
Resultados: Depois de concluir este exerccio, voc ter implantado uma imagem com Servios de

Ferramentas
Ferramenta
Para que ela usada
Onde encontrar
Console Servios de
Administrao dos Servios de

Gerenciador do Servidor Ferramentas
WDSutil.exe
Gerenciamento de linha de
comando dos Servios de
Linha de comando
Windows ADK
Gerenciamento dos arquivos de

imagem e criao dos arquivos de
resposta
Baixar em Microsoft.com
Dism.exe
Atendimento offline e online de

imagens
Windows ADK
Netsh.exe
Ferramenta de linha de comando

para gerenciar configuraes
relacionadas rede
Linha de comando
1-29

2-1
Mdulo 2
Configurao e soluo de problemas do Sistema de Nomes

de Domnio
Contedo:
Viso geral do mdulo
2-1
Lio 1: Instalao da funo Servidor DNS
2-2
Lio 2: Configurao da funo Servidor DNS
2-9
Lio 3: Configurao de zonas DNS
2-16
Lio 4: Configurao de transferncias de zona DNS
2-21
Lio 5: Gerenciamento e soluo de problemas de DNS
2-24
2-32
2-38
Viso geral do mdulo

O DNS o servio de nome de base no Windows Server 2012. Ele fornece resoluo de nomes
e permite que clientes DNS localizem servios de rede, como controladores de domnio do AD DS
(Active Directory), servidores de catlogo global e servidores de mensagem. Se voc configurar a
infraestrutura do DNS incorretamente, ou ele no estiver funcionando corretamente, esses servios
de rede importantes sero inacessveis a servidores de rede e clientes. Consequentemente, essencial
que voc compreenda como implantar, configurar e gerenciar esse importante servio, bem como
solucionar problemas.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Instalar a funo Servidor DNS.
Configurar a funo Servidor DNS.
Criar e configurar zonas DNS.
Configurar transferncias de zona.
Gerenciar o DNS e solucionar problemas relacionados.
Configurao e soluo de problemas do Sistema de Nomes de Domnio
Lio 1
Instalao da funo Servidor DNS
2-2
Para dar suporte aos servios de rede subjacentes dentro da organizao, voc precisa ser capaz de instalar e
configurar a funo de servidor DNS do Windows Server 2012. Antes de instalar a funo de servidor DNS,
voc deve compreender o requisito da infraestrutura de rede da organizao e optar por usar um DNS
dividido. Voc tambm deve considerar a colocao da funo de servidor DNS e o nmero de clientes DNS
e zonas que voc usar. Esta lio descreve o processo de instalao de uma funo de servidor DNS.
Objetivos da lio
Explicar a funo e os benefcios do DNS na infraestrutura de rede.
Explicar um namespace DNS.
Descrever como integrar o DNS em AD DS.
Explicar o uso do DNS dividido.
Explicar como instalar a funo de servidor DNS.
Descrever as consideraes para implantar um servidor DNS.
Viso geral da funo DNS

O DNS um servio de resoluo de nomes que
resolve nomes para endereos IP. O servio DNS
um banco de dados distribudo, hierrquico,
logicamente separado que permite que muitos
servidores diferentes hospedem um banco de
dados mundial de nomes DNS.
Como o DNS oferece suporte base do

esquema de nomenclatura na Internet
O DNS um servio mundial que permite

digitar um nome de domnio (por exemplo,
Microsoft.com) que o computador resolve para
um endereo IP. Um benefcio de DNS que
endereos IPv4 podem ser longos e difceis de lembrar, como 131.107.0.32. Porm, um nome de domnio
costuma ser mais fcil de lembrar. Alm disso, possvel usar nomes de host que no se alteram, embora
possa modificar os endereos IP subjacentes de acordo com as necessidades organizacionais.
Com a adoo do IPv6, o DNS se tornar ainda mais crtico porque os endereos IPv6 so ainda mais complexos
do que endereos IPv4. Um exemplo de um endereo IPv6 2001:db8:4136:e38c:384f:3764:b59c:3d97.
Como o DNS d suporte base da organizao dos esquemas de nomenclatura do AD DS

O DNS responsvel por resolver recursos em um domnio do AD DS. A funo DNS um pr-requisito
para instalar o AD DS. O DNS fornece informaes aos clientes da estao de trabalho, que permitem a
entrada na rede. O DNS resolve recursos no domnio, como servidores, estaes de trabalho, impressoras
e pastas compartilhadas. Se voc configurar um servidor DNS incorretamente, ele poder ser a origem de
muitos problemas no AD DS.
Viso geral do namespace DNS

O namespace DNS facilita a maneira como um
resolvedor de DNS localiza um computador. O
namespace organizado em hierarquias para
distribuir informaes entre vrios servidores.
Domnio raiz
Um ponto (.) representa o domnio raiz e voc no
o digita em um navegador da Web. O ponto (.)
pressuposto. Na prxima vez em que voc digitar
um endereo em um computador, tente adicionar
um ponto ao final (por exemplo,
www.microsoft.com.). Existem 13 servidores de
domnios raiz no mundo inteiro.
Observao: Durante a soluo de problemas de DNS, comum especificar o ponto
direita.
Domnio de primeiro nvel
2-3
O TLD (domnio de primeiro nvel) o primeiro nvel do namespace DNS. Entre os exemplos de TLDs na
Internet esto .com, .net, .org, .biz e .ca. Os domnios mais reconhecidos so .com, .net, .org e .gov, para o
governo norte-americano dos Estados Unidos. H vrios mais nomes de domnios nesse nvel e existe um
TLD para cada pas. Por exemplo, o TLD do Canad .ca, e o TLD do Reino Unido .uk. A organizao
que regulamenta nomes de domnios, conhecida como ICANN (Internet Corporation for Assigned Names
and Numbers), adiciona novo TLDs ocasionalmente.
Domnio de segundo nvel
O nome de domnio de segundo nvel a parte do nome do domnio que vem antes do TLD. Um exemplo
de nome de domnio de segundo nvel microsoft no domnio www.microsoft.com. As organizaes que
registram nomes de domnio de segundo nvel controlam esses nomes. Qualquer pessoa pode registrar um
nome de domnio de segundo nvel atravs de servio um registro da Internet. Vrios domnios de segundo
nvel tm regras especiais sobre organizaes ou pessoas que podem registrar um nome de domnio. Por
exemplo, somente as organizaes sem fins lucrativos podem utilizar o domnio .org.
Subdomnio
O subdomnio aparece antes dos domnios de nvel superior e de segundo nvel. Um exemplo de
subdomnio www no nome de domnio www.microsoft.com. Os subdomnios so definidos no servidor
DNS da organizao que mantm o servidor DNS de segundo nvel.
Nome de Domnio Totalmente Qualificado

Um FQDN (nome de domnio totalmente qualificado) o nome DNS explcito, que contm o nome do
computador e os subdomnios para o domnio raiz. Por exemplo, se o computador for designado como
Serverr1 no domnio sales.south.contoso.com, o FQDN desse computador ser
server1.sales.south.contoso.com.
Padres de nomenclatura DNS

Os seguintes caracteres so vlidos para nomes DNS:
A-Z
a-z
0-9
Hfen (-)
Observao: O sublinhado (_) um caractere reservado.
Integrao do AD DS e do DNS
Ao comear a planejar o namespace DNS, voc
deve considerar os namespaces interno e externo.
O namespace interno o usado por clientes
internos e servidores dentro da rede privada.
O namespace externo o referenciado pela
organizao na Internet. No h requisito de
que voc deva implementar o mesmo nome
de domnio DNS interna e externamente.
Ao implementar o AD DS, voc deve usar um
namespace DNS para hospedar registros
do AD DS.
Observao: Considere as opes com
cuidado para selecionar um design de namespace para o AD DS. Embora seja possvel alterar
um namespace depois de implementar o AD DS, trata-se de um processo demorado e complexo
com muitas limitaes.
2-4
2-5
Para determinar um namespace DNS para o ambiente do AD DS, possvel optar pelos seguintes cenrios:
Deixe o namespace interno igual ao namespace pblico. Nesse cenrio, os namespaces internos e
pblicos so iguais, mas tero registros diferentes. Embora isso oferea simplicidade, que o torna
uma escolha apropriada a organizaes menores, pode ser difcil gerenci-lo para redes maiores.
Deixe o namespace interno diferente do namespace pblico. Nesse cenrio, os namespaces internos
e pblicos so completamente diferentes, sem vnculo entre eles. Isso proporciona a separao
bvia no namespace. Em redes complexas, com muitos aplicativos para Internet, o uso de um nome
diferente esclarece um pouco durante a configurao desses aplicativos. Por exemplo, servidores de
borda colocados em uma rede de permetro costumam exigir vrias placas de interface de rede: uma
conectada rede privada e uma atendendo a solicitaes da rede pblica. Se cada placa de interface
de rede tiver um nome de domnio diferente, normalmente ser mais fcil concluir a configurao
desse servidor.
Torne o namespace interno um subdomnio do namespace pblico. Nesse cenrio, o namespace

interno vinculado ao namespace pblico, mas no h sobreposio entre eles. Isso fornece
uma abordagem hbrida. O nome interno diferente, o que possibilita a separao do namespace.
Porm, o nome interno tambm est relacionado ao nome pblico, o que garante simplicidade. Essa
abordagem a mais simples de instrumentar e gerenciar. Porm, se no puder usar um subdomnio
do namespace pblico para AD DS, voc dever usar namespaces exclusivos.
Observao: Na maioria das situaes, computadores dentro de um domnio do AD DS

tm um sufixo DNS primrio que corresponde ao nome de domnio DNS. Ocasionalmente, voc
talvez precise que esses nomes sejam diferentes, como depois de uma fuso ou durante uma
aquisio. Quando os nomes so diferentes, isso conhecido como um namespace no contguo.
Um cenrio de namespace no contguo aquele no qual o sufixo DNS primrio de um
computador no corresponde ao nome de domnio DNS no qual esse computador reside. Diz-se
que o computador com o sufixo DNS primrio no correspondente deve ser no contguo. Outro
cenrio de namespace no contguo ocorrer se o nome de domnio do NetBIOS de um
controlador de domnio no corresponder ao nome de domnio do DNS.
Determinao da possibilidade de usar o DNS dividido

O uso do mesmo namespace interna e
externamente simplifica o acesso ao recurso do
ponto de vista dos usurios, mas tambm
aumenta a complexidade do gerenciamento. Voc
no deve disponibilizar os registros DNS internos
externamente, mas certa sincronizao dos
registros para recursos externos costuma ser
obrigatria. Por exemplo, os namespaces interno
e externo podem usar o nome Contoso.com.
2-6
O uso de namespaces exclusivos para os namespaces interno e pblico do uma clara delineao entre
o DNS interno e externo e evita a necessidade de sincronizar registros entre os namespaces. Porm, em
alguns casos, ter vrios namespaces poder levar confuso do usurio. Por exemplo, voc pode escolher
o namespace externo Contoso.com e o namespace interno Contoso.local. Observe que, ao implementar
uma configurao de namespace exclusiva, voc no est mais vinculado ao uso de nomes de domnio
registrados.
O uso de um subdomnio do namespace pblico para AD DS evita a necessidade para sincronizar
registros entre os servidores DNS interno e externo. Como os namespaces so vinculados, os usurios
normalmente acham essa estrutura mais fcil de compreender. Por exemplo, se o namespace pblico
for Contoso.com, convm optar por implementar o namespace interno como o AD do subdomnio
ou AD.Contoso.com.
Considerao do DNS dividido
Um namespace DNS interno e externo correspondente pode ocasionar determinados problemas. Porm,
o DNS dividido pode fornecer uma soluo para esses problemas. O DNS dividido uma configurao
na qual o domnio tem duas zonas de servidor raiz que contm informaes de registro do nome de
domnio. Os hosts de rede internos so dirigidos a uma zona, e os hosts externos so dirigidos a outra
para resoluo de nomes. Por exemplo, em uma configurao de DNS no dividido para o domnio
Contoso.com, convm ter uma zona DNS semelhante ao exemplo na tabela a seguir.
Host
Tipo de registro
Endereo IP
www
131.107.1.200
Relay
131.107.1.201
Servidor Web1
192.168.1.200
Exchange1
192.168.0.201
Quando quiser acessar a retransmisso SMTP (Simple Mail Transfer Protocol) usando o nome publicado
de relay.contoso.com, um computador cliente na Internet consulta o servidor DNS retornando o resultado
131.107.1.201. Assim, o cliente estabelece uma conexo via SMTP com esse endereo IP.
Porm, os computadores clientes na intranet corporativa tambm usam o nome publicado
relay.contoso.com. O servidor DNS retorna o mesmo resultado: um endereo IP pblico 131.107.1.201.
O cliente agora tenta estabelecer uma conexo com o endereo IP retornado usando a interface externa
do computador de publicao. Dependendo da configurao do cliente, isso pode ou no ser bemsucedido.
Configurando duas zonas para o mesmo nome de domnio uma em cada um dos dois
servidores DNS possvel evitar esse problema.
A zona interna para adatum.com seria semelhante s informaes na tabela a seguir.
Host
Tipo de registro
Endereo IP
www
CNAME
ServidorWeb1.contoso.com
Relay
CNAME
Exchange1.contoso.com
Servidor Web1
192.168.1.200
Exchange1
192.168.0.201
A zona externa para adatum.com seria semelhante s informaes na tabela a seguir.

Host
Tipo de registro
Endereo IP
www
131.107.1.200
Relay
131.107.1.201
MX
Relay.contoso.com
2-7
Agora, os computadores cliente nas redes interna e externa podem resolver o nome relay.contoso.com
para o endereo IP interno ou externo apropriado.
Demonstrao: Instalao da funo Servidor DNS

Esta demonstrao mostra como instalar a funo de servidor DNS.
1.
Alterne para LON-SVR1 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Use o Gerenciador do Servidor para instalar a funo Servidor DNS.
Consideraes para implantar a funo Servidor DNS

Ao planejar a implantao do DNS, voc deve
revisar vrias consideraes. Entre algumas das
perguntas que voc deve fazer esto:
Quantas zonas DNS voc ir configurar no

servidor e quantos registros de DNS cada
zona conter? Normalmente, as zonas so
mapeadas uma para uma com domnios no
namespace. Quando voc tiver um grande
nmero de registros, poder ser mais sensato
dividir os registros em vrias zonas.
Quantos clientes DNS se comunicaro com o

servidor no qual voc configurar a funo
DNS? Quanto maior o nmero de resolvedores de cliente, maior ser a carga colocada no servidor.
Quando houver previso de carga adicional, pense em implantar mais servidores DNS.
Onde voc colocar os servidores DNS? Por exemplo, voc centralizar os servidores ou ser mais
conveniente localizar os servidores DNS nas filiais? Se houvesse menos clientes em uma filial, voc
poderia atender maioria das solicitaes DNS usando um servidor DNS central ou implementando
um servidor somente de cache. Um grande nmero de usurios em uma filial pode se beneficiar de
um servidor DNS local com dados de zona adequados.
As respostas dadas s perguntas acima determinaro quantos servidores DNS devem ser implantados e
onde eles devem ser colocados.
Integrao do Active Directory

A funo DNS do Windows Server 2012 pode armazenar o banco de dados DNS de duas maneiras
diferentes, conforme mostra a tabela a seguir.
Mtodo de armazenamento
Descrio
2-8
Arquivo de texto
A funo Servidor DNS armazena as entradas DNS em um arquivo de

texto, que voc pode editar com um editor de texto.
Active Directory
A funo Servidor DNS armazena as entradas DNS no banco de

dados do Active Directory, replicado para outros controladores de
domnio, mesmo que eles no estejam executando a funo DNS do
Windows Server 2008. No possvel utilizar um editor de texto para
editar os dados DNS armazenados no Active Directory.
As zonas integradas do Active Directory so mais fceis de gerenciar do que as zonas baseadas em texto
tradicionais, alm de serem mais seguras. A replicao dos dados da zona ocorre como parte da
replicao do Active Directory.
Posicionamento do servidor DNS
Em geral, voc implantar a funo DNS em todos os controladores de domnio. Se voc optar
implementar alguma outra estratgia, se faa as seguintes perguntas e mantenha as respostas em mente:
Como computadores clientes resolvero nomes se o servidor DNS habitual ficar indisponvel?
Qual ser o impacto no trfego da rede se os computadores cliente comearem a usar um servidor
DNS alternativo, talvez localizado remotamente?
Como voc implementar transferncias de zona? As zonas integradas do Active Directory usam a
replicao do Active Directory para transferir a zona para todos os outros controladores de domnio.
Ao implementar zonas integradas que no sejam do Active Directory, voc deve planejar o
mecanismo de transferncia da zona por conta prpria.
Lio 2
Configurao da funo Servidor DNS
2-9
A infraestrutura do DNS a base para a resoluo de nomes na Internet e em domnios do AD DS

baseados no Windows Server 2012. Esta lio fornece orientao e informaes sobre o que obrigatrio
para configurar a funo de servidor DNS e explica as funes bsicas de um servidor DNS.
Objetivos da lio
Listar os componentes de uma soluo DNS.
Descrever como funcionam vrios tipos de consulta DNS.
Descrever os registros de recursos DNS.
Explicar como funcionam as dicas de raiz.
Explicar como funcionam o encaminhamento e o encaminhamento condicional.
Explicar como funciona o cache do servidor DNS.
Explicar como configurar as propriedades da funo de servidor DNS.
Quais so os componentes de uma soluo DNS?

Entre os componentes de uma soluo DNS esto
servidores DNS, servidores DNS na Internet e
resolvedores ou clientes DNS.
Servidores DNS
Um servidor DNS responde a consultas DNS
recursivas e iterativas. Os servidores DNS tambm
podem hospedar uma ou mais zonas de um
domnio especfico. As zonas contm diferentes
registros de recursos. Os servidores DNS tambm
podem armazenar as pesquisas em cache para
reservar tempo para as consultas comuns.
Servidores DNS na Internet
Os servidores DNS na Internet esto acessveis ao pblico. Eles hospedam informaes de zonas pblicas
e do servidor raiz, alm de outros TLDs comuns, como .com, .net e .edu.
Observao: No confunda esses servidores com os servidores DNS da organizao que
hospedam o namespace pblico. Eles esto localizados fisicamente na rede de permetro.
Resolvedores de DNS
O resolvedor de DNS gera e envia consultas iterativas ou recursivas ao servidor DNS. Um resolvedor de
DNS pode ser qualquer computador que executa uma pesquisa de DNS que exige interao com o
servidor DNS. Os servidores DNS tambm podem emitir consultas DNS para outros servidores DNS.
O que so as consultas DNS?

Uma consulta DNS o mtodo usado para
solicitar a resoluo de nomes, alm de envolver
uma consulta enviada a um servidor DNS. Existem
dois tipos de resposta s consultas DNS:
autoritativa e no autoritativa.
importante observar que servidores DNS
tambm podem atuar como resolvedores de DNS
e enviar consultas DNS a outros servidores DNS.
Um servidor DNS tm autoridade ou no sobre o
namespace da consulta. Um servidor DNS
autoritativo quando hospeda uma cpia primria
ou secundria de uma zona DNS. Existem dois
tipos de consultas:
2-10 Configurao e soluo de problemas do Sistema de Nomes de Domnio
Uma consulta autoritativa aquela para a qual o servidor pode retornar uma resposta que ele sabe
estar correta, pois a solicitao direcionada ao servidor autoritativo que gerencia o domnio.
Um servidor DNS que contm no cache o domnio que solicitado, responde a uma consulta no
autoritativa usando encaminhadores ou dicas de raiz. No entanto, a resposta fornecida pode no ser
exata, uma vez que somente o servidor DNS com autoridade sobre o domnio especificado pode
emitir essa informao.
Se o servidor DNS tiver autoridade sobre o namespace da consulta, o servidor DNS verificar a zona e
executar um dos seguintes procedimentos:
Retornar o endereo solicitado.
Retornar uma resposta autoritativa, "No, esse nome no existe".
Observao: Uma resposta autoritativa s pode ser dada pelo servidor com autoridade
direta para o nome consultado.
Se for no autoritativo para o namespace da consulta, o servidor DNS local realizar um dos seguintes
procedimentos:
Verifique o cache e retorne uma resposta armazenada nesse cache.
Encaminhe a consulta no resolvida para um servidor especfico conhecido como um encaminhador.
Usar endereos conhecidos de diversos servidores raiz para encontrar um servidor DNS autoritativo
que resolva a consulta. Esse processo usa dicas de raiz.
Consultas recursivas
Uma consulta recursiva pode ter dois resultados possveis:
Retorna o endereo IP do host solicitado.
O servidor DNS no pode resolver um endereo IP.
Por motivos de segurana, s vezes, necessrio desabilitar consultas recursivas em um servidor DNS. Isso
impede o servidor DNS em questo de encaminhar as solicitaes DNS para outro servidor. Isso pode ser
til para impedir que determinado servidor DNS se comunique fora da prpria rede local.
Consultas iterativas
2-11
As consultas iterativas oferecem um mecanismo para acessar informaes de nome de domnio residentes no
sistema DNS e habilitam servidores para resolver nomes de maneira rpida e eficiente em vrios servidores.
Ao receber uma solicitao que no pode ser respondida com as informaes locais ou com as pesquisas
armazenadas no cache, um servidor DNS repassa essa solicitao para outro servidor DNS usando uma
consulta iterativa.
Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereo IP do nome do
domnio (se for conhecido) ou com uma referncia aos servidores DNS responsveis pelo domnio que
est sendo consultado.
Registros de recursos DNS

O arquivo de zona DNS armazena registros
de recurso. Registros de recursos especificam um
tipo de recurso e o endereo IP para localizar o
recurso. O registro de recurso mais comum o
registro de recurso A. Ele um registro simples
que resolve um nome de host para um endereo
IP. O host pode ser uma estao de trabalho, um
servidor ou outro dispositivo de rede, como
um roteador.
Os registros de recursos tambm ajudam a
encontrar recursos para um domnio especfico.
Por exemplo, quando precisar encontrar o servidor
responsvel por entregar o email para outro domnio, um Exchange Server solicitar o registro MX
(Servidor de mensagens) desse domnio, apontando para o registro A do host que est executando
o servio de email SMTP.
Os registros de recurso tambm podem conter atributos personalizados. Por exemplo, os registros MX
tm um atributo de preferncia, que ser til se uma organizao tiver vrios servidores de email. Isso
informar ao servidor emissor o servidor de correio preferido pela empresa receptora. Os registros SRV
(localizador de servio) tambm contm informaes sobre a porta que est sendo escutada pelo servio
e sobre o protocolo que voc deve usar para se comunicar com o servio.
A tabela a seguir descreve os registros de recursos mais comuns.
Registros de recurso DNS
Descrio
Registro de recurso SOA

(incio de autoridade)
O registro identifica o nome do servidor principal para uma

zona DNS, bem como outros detalhes especficos, como TTl
(tempo de vida) e atualizao.
Registro do recurso Endereo

do host (A)
O principal registro que resolve um nome de host para um

endereo IPv4.
(continuao)
Registros de recurso DNS
Descrio
Registro do recurso Nome

cannico (CNAME)
Um tipo de registro de alias que mapeia um nome para outro

(por exemplo, www.microsoft.com um CNAME do registro A
microsoft.com).
Registro do recurso MX
O registro usado para especificar um servidor de email de um

domnio especfico.
Registro do recurso SRV
O registro identifica um servio disponvel no domnio.

O Active Directory usa esses registros intensamente.
Registro do recurso NS
(servidor de nomes)
O registro identifica um servidor de nomes para um domnio.
AAAA
O principal registro que resolve um nome de host para um

endereo IPv6.
Registro do recurso PTR (ponteiro)
O registro usado para pesquisar e mapear um endereo IP

para um nome de domnio. A zona de pesquisa inversa
armazena os nomes.
O que so as dicas de raiz?

As dicas de raiz so a lista dos servidores na
Internet que o servidor DNS utiliza, caso ele no
consiga resolver uma consulta DNS usando um
encaminhador de DNS ou o prprio cache. As
dicas de raiz so os servidores mais importantes
na hierarquia do DNS e podem fornecer as
informaes necessrias para um servidor DNS
fazer uma pesquisa iterativa para a prxima
camada mais inferior do namespace DNS.
Os servidores raiz so instalados automaticamente
quando voc instala a funo DNS. Eles so
copiados do arquivo cache.dns includo nos
arquivos de instalao da funo DNS.
Tambm possvel adicionar dicas de raiz em um servidor DNS para dar suporte a pesquisas de domnios
no contguos em uma floresta.
2-13
Ao se comunicar com um servidor de dicas de raiz, um servidor DNS usa somente uma consulta iterativa.
Se voc marcar a opo No usar recurso neste domnio, o servidor no poder fazer consultas sobre
dicas de raiz. Se voc configurar o servidor para usar um encaminhador, ele tentar enviar uma consulta
recursiva para o respectivo servidor de encaminhamento. Se o servidor de encaminhamento no
responder a essa consulta, o servidor responder que no foi possvel encontrar o host.
importante compreender que a recurso em um servidor DNS e consultas recursivas no significam a
mesma coisa. Recurso em um servidor significa que esse servidor usar as respectivas dicas de raiz e
tentar resolver uma consulta DNS. O prximo tpico aborda consultas iterativas e recursivas com mais
detalhes.
O que o encaminhamento?
Um encaminhador uma definio de
configurao do servidor DNS que encaminha
consultas DNS de nomes DNS externos para
servidores DNS fora dessa rede. Tambm
possvel usar encaminhadores condicionais
para encaminhar consultas de acordo com
nomes de domnio especficos.
Um servidor DNS da rede designado como um
encaminhador quando outros servidores DNS da
rede encaminham para ele as consultas que no
conseguiram resolver localmente. Ao utilizar um
encaminhador, voc pode gerenciar a resoluo
de nomes fora de sua rede, como os nomes na
Internet, e melhorar a eficincia desse processo nos computadores da rede.
O servidor que estiver encaminhando solicitaes na rede deve poder se comunicar com o servidor DNS
localizado na Internet. Isso significa que voc o configura para encaminhar solicitaes para outro
servidor DNS ou ele utiliza as dicas de raiz para se comunicar.
Prtica recomendada
Use um servidor DNS de encaminhamento central para a resoluo de nomes da Internet. Isso pode
melhorar o desempenho, simplificar o processo de soluo de problemas e uma prtica de segurana
recomendada. possvel isolar o servidor DNS de encaminhamento em uma rede de permetro, o que
garante que nenhum servidor dentro da rede se comunique diretamente com a Internet.
Encaminhamento condicional
Um encaminhador condicional uma definio de configurao no servidor DNS que encaminha

consultas DNS de acordo com o nome de domnio DNS da consulta. Por exemplo, voc pode configurar
um servidor DNS para encaminhar todas as consultas por ele recebidas sobre nomes que terminam com
corp.contoso.com para o endereo IP de um servidor DNS especfico ou para os endereos IP de vrios
servidores DNS. Isso pode ser til quando voc tem vrios namespaces DNS em uma floresta.
Prtica recomendada para encaminhamento condicional
Use encaminhadores condicionais, se existirem vrios namespaces internos. Isso agiliza a resoluo de nomes.
Como funciona o cache do servidor DNS

O cache do DNS aumenta o desempenho do sistema
DNS de uma organizao, diminuindo o tempo que
ele leva para fornecer pesquisas de DNS.
Ao resolver com xito um nome DNS, um servidor
DNS adiciona esse nome ao seu cache. Com o
tempo, isso cria um cache de nomes de domnio e
os respectivos endereos IP dos domnios mais
comuns que a organizao usa ou acessa.
Observao: O tempo padro para
armazenar dados DNS em cache de uma hora.
possvel configurar esse recurso alterando o registro SOA da zona DNS adequada.
Um servidor somente de cache no hospedar dados de zonas DNS; apenas responder s pesquisas
dos clientes DNS. Esse o tipo ideal de servidor DNS para ser utilizado como encaminhador.
O cache de cliente DNS um cache DNS armazenado pelo servio Cliente DNS no computador local.
Para exibir o cache do lado do cliente atual, execute o comando ipconfig /displaydns no prompt de
comando. Se voc precisar desmarcar o cache local, como quando voc est solucionando problemas
da resoluo de nomes, ser possvel usar ipconfig /flushdns.
Observao: Tambm possvel usar os seguintes cmdlets do Windows PowerShell:
clear-DnsClientCache para limpar o cache do resolvedor de DNS
get-DnsClientCache para exibir o cache do resolvedor
Demonstrao: Configurao da funo Servidor DNS

Esta demonstrao mostra como configurar as propriedades do servidor DNS.
Configurar as propriedades do servidor DNS
1.
Alterne para LON-DC1 e, se necessrio, faa logon como ADATUM\Administrator com a senha
Pa$$w0rd.
2.
Abra o console do DNS.
3.
Revise as propriedades do servidor LON-DC1:

Na guia Encaminhadores, possvel configurar o seguinte.
b.
Na guia Avanado, possvel configurar opes, inclusive a proteo do cache contra poluio,
alm de DNSSEC.
c.
Na guia Dicas de raiz, possvel ver a configurao para os servidores de dicas de raiz.
d.
Na guia Log de depurao, possvel configurar opes de registro em log da depurao.
e.
Na guia Log de eventos, possvel configurar o nvel de registro do evento.
f.
Na guia Monitorando, possvel realizar testes simples e recursivos no servidor.
g.
Na guia Segurana, possvel definir permisses na infraestrutura DNS.
No n Encaminhadores Condicionais, possvel configurar o encaminhamento condicional:

a.
Na caixa de dilogo Novo Encaminhador Condicional, na caixa Domnio DNS, digite

contoso.com.
b.
Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite
131.107.1.2 e pressione Enter. A validao falhar porque apenas uma configurao
de exemplo.
Limpar o cache DNS
2-15
a.
Configurar encaminhamento condicional
No painel de navegao, clique com o boto direito do mouse em LON-DC1 e clique em

Limpar cache.
Lio 3
Configurao de zonas DNS
Zonas DNS so um conceito importante na infraestrutura de DNS, pois permitem que voc separe e
gerencie logicamente domnios DNS. Esta lio apresenta os princpios bsicos do relacionamento entre
as zonas e os domnios DNS, bem como fornece informaes sobre os diversos tipos de zonas DNS
disponveis na funo DNS do Windows Server 2012 R2.
Objetivos da lio
Explicar uma zona DNS.
Explicar os vrios tipos de zona DNS disponveis no Windows Server 2012.
Explicar a finalidade das zonas de pesquisa direta e inversa.
Explicar a finalidade das zonas de stub.
Explicar como criar zonas.
Explicar como possvel usar a delegao de zona DNS.
O que uma zona DNS?

Uma zona DNS hospeda todo ou parte de um
domnio e seus subdomnios. O slide mostra como
os subdomnios podem pertencer mesma zona
de seus pais ou podem ser delegados a outra
zona. O domnio microsoft.com est dividido em
duas zonas. A primeira zona hospeda os registros
www.microsoft.com e ftp.microsoft.com. O
exemplo.microsoft.com delegado para uma
nova zona, que hospeda o subdomnio
exemplo.microsoft.com e os registros
ftp.exemplo.microsoft.com e
www.exemplo.microsoft.com.
Observao: A zona que hospeda uma raiz do domnio (microsoft.com) deve
delegar o subdomnio (exemplo.microsoft.com) segunda zona. Se isso no ocorrer,
o exemplo.microsoft.com ser considerado uma parte da primeira zona.
Os dados da zona podem ser replicados em mais de um servidor. Isso gera redundncia em uma zona,
pois as informaes necessrias para encontrar os recursos na zona agora existem em dois ou mais
servidores. O nvel de redundncia necessria um motivo para criar as zonas. Se existir uma zona que
hospeda os registros de recursos crticos do servidor, provvel que essa zona tenha um nvel mais alto
de redundncia do que outra onde estejam definidos dispositivos no crticos.
Caractersticas de uma zona DNS

Os dados de zona so mantidos em um servidor DNS e so armazenados de uma destas maneiras:
Em um arquivo de zona simples que contm listas de mapeamentos
Integrados ao Active Directory
Um servidor DNS ter autoridade em uma zona se ele hospedar, no arquivo de zona, os registros
de recursos dos nomes e endereos que os clientes solicitarem.
Quais so os tipos de zona DNS?

Os quatro tipos de zona DNS so?
Primria
Secundria
Stub
Integrada ao-Active Directory
Zona primria
Quando uma zona hospedada por um servidor
DNS uma zona primria, o servidor DNS a
fonte principal de informaes sobre essa zona e
armazena uma cpia mestra dos dados da zona
em um arquivo local ou no AD DS. Quando o servidor DNS armazena a zona em um arquivo, o
arquivo de zona primria , por padro, denominado nome_da_zona.dns e est localizado na pasta
%windir%\System32\Dns no servidor. Quando a zona no armazenada no Active Directory, o
servidor DNS que hospeda a zona primria o nico servidor DNS que tem uma cpia gravvel do
arquivo da zona.
Zona secundria
2-17
Quando uma zona hospedada em um Servidor DNS uma zona secundria, o Servidor DNS uma fonte
secundria de informaes da zona. A zona contida nesse servidor deve ser obtida em outro servidor DNS
remoto que tambm a hospeda. O servidor DNS deve ter acesso via rede ao servidor DNS remoto para
receber informaes atualizadas da zona. Como uma zona secundria uma cpia de uma zona primria
hospedada em outro servidor, ela no pode ser armazenada no AD DS. As zonas secundrias podero ser
teis se voc estiver replicando dados de zonas DNS que no estejam no Windows ou executando o DNS
em servidores que no sejam controladores de domnio do AD DS.
Zona de stub
O Windows Server 2003 lanou as zonas de stub, que resolvem vrios problemas relacionados a grandes
namespaces DNS e a diversas florestas de rvores. Uma floresta com vrias rvores uma floresta do
Active Directory que contm dois nomes de domnio de alto nvel diferentes.
Zona integrada ao Active Directory
Se o Active Directory armazenar a zona, o DNS poder aproveitar o modelo de replicao de vrios
mestres para replicar a zona primria. Isso permite editar dados da zona em qualquer servidor DNS.
O Windows Server 2008 introduziu um novo conceito chamado RODC (controlador de domnio somente
leitura). Os dados de zona integrada ao Active Directorypodem ser replicados para controladores de
domnio, mesmo quando a funo DNS no est instalada no controlador de domnio. Se o servidor for
um controlador de domnio somente leitura, um processo local no poder gravar os dados.
O que so zonas de pesquisa direta e inversa?

As zonas podem ser diretas ou inversas.
Zona de pesquisa direta

A zona de pesquisa direta resolve nomes de host
para endereos IP e hospeda os registros comuns
de recursos: A, CNAME, SRV, MX, SOA, TXT e NS.
Zona de pesquisa inversa

A zona de pesquisa inversa resolve um endereo
IP para um nome de domnio e hospeda registros
SOA, NS e PTR.
Uma zona inversa funciona da mesma maneira

que uma zona direta, mas o endereo IP faz parte da consulta e o nome do host a informao
retornada. Nem sempre as zonas inversas so configuradas, mas voc deve configur-las para reduzir as
mensagens de aviso e de erro. Vrios protocolos padro de Internet dependem dos dados de pesquisa
das zonas inversas para validar as informaes das zonas diretas. Por exemplo, se a pesquisa direta indicar
que training.contoso.com est resolvido para 192.168.2.45, voc poder usar uma pesquisa inversa para
confirmar se 192.168.2.45 est associado a training.contoso.com.
importante ter uma zona inversa, se voc tiver aplicativos que precisam procurar hosts pelos respectivos
endereos IP. Vrios aplicativos registraro essas informaes nos logs de segurana ou de evento. Se
voc se deparar com uma atividade suspeita em um determinado endereo IP, ser possvel o host
usando as informaes da zona inversa.
Muitos gateways de segurana de email usam pesquisas inversas para verificar se um endereo IP que
envia mensagens est associado a um domnio.
Viso geral das zonas de stub

Uma zona de stub a cpia replicada de uma
zona que contm apenas esses registros de
recursos necessrios para identificar os servidores
DNS autoritativos dessa zona. A zona de stub
resolve nomes entre namespaces DNS distintos,
que podem ser necessrios quando uma fuso
corporativa exige que os servidores DNS de dois
namespaces DNS distintos resolvam nomes de
clientes em ambos os namespaces.
Uma zona de stub apresenta:
Registro de recurso SOA da zona delegada,

registros de recurso NS e registros de recurso A.
O endereo IP de um ou mais servidores principais que podem ser usados para atualizar a zona de stub.
Servidores mestre de uma zona de stub so um ou mais servidores DNS com autoridade sobre a zona
filho, geralmente o servidor DNS que hospeda a zona primria do nome do domnio delegado.
Resoluo da zona de stub
2-19
Quando um resolvedor de DNS faz uma operao de consulta recursiva em um servidor DNS que hospeda
uma zona de stub, este ltimo utiliza os registros de recurso na zona de stub para resolver a consulta.
O servidor DNS envia uma consulta iterativa para os servidores DNS com autoridade, que os registros de
recurso NS da zona de stub especificam como se ele estivesse usando registros de recurso NS no respectivo
cache. Se o servidor DNS no puder encontrar os servidores DNS autoritativos na respectiva zona de stub,
o servidor DNS que hospeda a zona de stub tentar uma recurso padro usando as dicas de raiz.
O servidor DNS armazenar os registros de recursos recebidos dos servidores DNS autoritativos listados
em uma zona de stub que est em seu cache, mas no os armazenar na prpria zona de stub. So
armazenados na zona de stub somente os registros de recurso SOA, NS e A associado retornados na
resposta consulta. Os registros de recursos guardados no cache so armazenados de acordo com o valor
TTL existente em cada um deles. Os registros de recurso SOA, NS e A associado, que no so gravados no
cache, expiram de acordo com o intervalo de expirao especificado pelo registro SOA da zona de stub.
Durante a criao da zona de stub, o registro SOA gerado. As atualizaes dos registros SOA ocorrem
durante as transferncias da zona primria, original para a zona de stub.
No caso de uma consulta iterativa, o servidor DNS retorna uma referncia contendo os servidores
especificados pela zona de stub.
Comunicao entre os servidores DNS que hospedam as zonas pai e filho
Um servidor DNS que delega um domnio a uma zona filho existente em outro servidor DNS s
reconhecer os novos servidores DNS com autoridade sobre a zona filho quando os respectivos registros
de recurso forem adicionados zona pai hospedada no servidor DNS. Trata-se de um processo manual
que exige que os administradores dos diversos servidores DNS se comuniquem frequentemente. As zonas
de stub permitem um servidor DNS que hospeda uma zona de stub para um de seus domnios delegados
pode obter atualizaes dos servidores DNS com autoridade sobre a zona filho quando a zona de stub for
atualizada. A atualizao ocorre a partir do servidor DNS que hospeda a zona de stub, e o administrador
do servidor DNS que hospeda a zona filho no precisa ser contatado.
Comparao entre zonas de stub e encaminhadores condicionais
Pode haver certa confuso quanto ao momento de usar encaminhadores condicionais em vez de zonas
de stub. Isso porque ambos os recursos do DNS permitem que um servidor DNS responda a uma consulta
com uma referncia a, ou encaminhando para, um servidor DNS diferente. No entanto, essas
configuraes tm diferentes finalidades:
Uma configurao de encaminhador condicional define o servidor DNS para encaminhar uma
consulta recebida para um servidor DNS, dependendo do nome DNS contido nessa consulta.
Uma zona de stub faz com que um servidor DNS hospede uma zona pai que reconhea os servidores
DNS com autoridade sobre uma zona filho.
Quando usar encaminhadores condicionais
Para que os clientes DNS em redes distintas resolvam mutuamente os nomes, sem precisar consultar os
servidores DNS da Internet, por exemplo, quando ocorre uma fuso de empresas, configure os servidores
DNS de cada rede para encaminhar as consultas de nomes na outra rede. Os servidores DNS existentes
em uma das redes encaminharo os nomes de clientes presentes na outra rede para um servidor DNS
especfico que forme um grande cache de informaes sobre a outra rede. Isso permite criar um ponto
de contato direto entre os servidores DNS das duas redes, o que diminui a necessidade de recurso.
Porm, as zonas de stub no oferecem o mesmo benefcio entre servidores. Isso porque um servidor DNS
que esteja hospedando uma zona de stub em uma rede responde s consultas de nomes na outra rede
com uma lista de todos os servidores DNS com autoridade para a zona com esse nome, em vez dos
servidores DNS especficos designados para lidar com esse trfego. Essa configurao complica as
configuraes de segurana que voc deseja definir entre os servidores DNS especficos em execuo
em cada uma das redes.
Quando usar zonas de stub

Use zonas de stub quando voc quiser que um servidor DNS continue reconhecendo os servidores DNS
autoritativos para uma zona estrangeira.
Um encaminhador condicional no um mtodo eficiente para fazer com que um servidor DNS que
hospeda uma zona pai reconhea os servidores DNS autoritativos para uma zona filho. Isso ocorre porque
sempre que os servidores DNS autoritativos para a zona filho mudam, voc precisa configurar manualmente
a configurao de encaminhador condicional no servidor DNS que hospeda a zona pai. Especificamente,
voc deve atualizar o endereo IP para cada novo servidor DNS autoritativo para a zona filho.
Demonstrao: Criao de zonas

Esta demonstrao mostra como:
Criar uma zona de pesquisa inversa.
Criar uma zona de pesquisa direta.
Criar uma zona de pesquisa inversa
1.
Alterne para LON-DC1 e crie uma nova zona de pesquisa inversa para a sub-rede IPv4 172.16.0.0.
2.
Habilite atualizaes dinmicas na zona.
Criar uma zona de pesquisa direta

1.
Alterne para LON-SVR1 e abra o console DNS.
2.
Crie uma nova zona de pesquisa direta.
3.
Configure o tipo como secundrio e defina LON-DC1 como o servidor Mestre para a zona.
Delegao de zonas DNS

O DNS um sistema hierrquico, e a delegao de
zona conecta as camadas DNS juntas. A delegao
de zona aponta para o prximo nvel hierrquico
abaixo e identifica os servidores de nome
responsveis por um domnio de nvel inferior.
Ao optar pela diviso do namespace DNS para
criar zonas adicionais, considere os seguintes
motivos para o uso dessas zonas:
Necessidade de delegar o gerenciamento de

uma parte do namespace DNS para outro
local ou departamento da organizao.
Voc precisa dividir uma zona grande em zonas menores de forma que seja possvel distribuir cargas
de trfego entre vrios servidores. Isso melhora o desempenho da resoluo de nomes DNS e cria um
ambiente DNS mais tolerante a falhas.
Voc precisa estender o namespace, adicionando diversos subdomnios imediatamente para

acomodar a abertura de uma nova filial ou local.
Lio 4
Configurao de transferncias de zona DNS
2-21
As transferncias de zona DNS determinam como a infraestrutura de DNS movimenta informaes da

zona DNS de um servidor para outro. Sem transferncias de zona, os vrios servidores de nome na
organizao mantm cpias parte dos dados de zona. Voc tambm deve considerar que a zona
contm dados confidenciais e a proteo das transferncias de zona importante. Esta lio abrange os
diferentes mtodos que a funo de servidor DNS usa ao transferir zonas.
Objetivos da lio
Descrever como funcionam as transferncias de zona DNS.
Explicar como configurar a segurana da transferncia de zona.
Explicar como colocar transferncias de zona em DNS.
O que uma transferncia de zona DNS?

Uma transferncia de zona ocorre quando voc
replica a zona DNS existente em um servidor
transferida para outro servidor DNS.
As transferncias de zona sincronizam as zonas
dos servidores DNS primrio e secundrio. assim
que o DNS forma sua resilincia na Internet.
importante que as zonas DNS permaneam
atualizadas nos servidores primrio e secundrio.
Discrepncias nas zonas primria e secundria
podem causar interrupes de servio e nomes
de host resolvidos incorretamente.
As transferncias de zona podem acontecer de
trs maneiras:
Transferncia de zona plena. Uma transferncia de zona completa ocorre quando a zona inteira
copiada de um servidor DNS para outro. Uma transferncia de zona completa conhecida como
transferncia de zona plena (AXFR).
Transferncia de zona incremental. Uma transferncia de zona incremental ocorre quando existe uma
atualizao para o servidor DNS e apenas os registros de recursos alterados so replicados no outro
servidor. Essa uma Transferncia de Zona Incremental (IXFR).
Transferncia rpida. Os servidores DNS do Windows tambm realizam transferncias rpidas, que
um tipo de transferncia de zona que usa a compactao e envia diversos registros de recurso em
cada transmisso.
Nem todas as implementao do servidor DNS oferecem suporte s transferncias de zona incremental e
rpida. Ao integrar um servidor DNS do Windows 2012 a um servidor DNS BIND (Berkeley Internet Name
Domain), assegure-se de que, na verso do BIND instalada, haja suporte para os recursos necessrios.
A tabela a seguir lista os recursos com suporte nos vrios servidores DNS.
Servidor DNS
Zona plena (AXFR)
Zona incremental (IXFR)
Transferncia rpida
BIND anterior
verso 4.9.4
Com suporte
Sem suporte
Sem suporte
BIND 4.9.4 8.1
Com suporte
Sem suporte
Com suporte
BIND 8.2
Com suporte
Com suporte
Com suporte
Windows 2000
Service Pack 3 (SP3)
Com suporte
Com suporte
Com suporte
Windows 2003 (R2)
Com suporte
Com suporte
Com suporte
Windows 2008 e R2
Com suporte
Com suporte
Com suporte
Windows 2012
Com suporte
Com suporte
Com suporte
As zonas integradas ao Active Directory so replicadas usando-se a replicao do AD DS de vrios

mestres, em vez do processo de transferncia de zona. Isso significa que qualquer controlador de domnio
padro que tambm tenha a funo DNS pode atualizar a informao da zona DNS que, posteriormente,
replica para todos os servidores DNS que hospedam a zona DNS.
Notificao DNS
A notificao DNS usada por um servidor mestre para alertar os servidores secundrios configurados de
que h atualizaes de zona disponveis. Em seguida, os servidores secundrios solicitam ao mestre para
obter as atualizaes. Uma notificao DNS uma atualizao para a especificao de protocolo DNS
original que permite a notificao em servidores secundrios quando ocorrem alteraes de zona.
Isso til em um ambiente de deteco de hora, em que a exatido de dados importante.
Configurao da segurana de transferncia de zona

As informaes de zona fornecem dados
organizacionais e, por isso, voc deve tomar
precaues para garantir que estejam protegidos
contra o acesso de usurios mal-intencionados e
que no possam sergravados com dados invlidos,
conhecido como envenenamento do DNS. Uma
maneira de proteger a infraestrutura do DNS
resguardando as zonas de transferncia.
Na guia Transferncias de Zona da caixa de
dilogo Propriedades da Zona, voc pode
especificar a lista de servidores DNS permitidos.
Voc tambm pode usar essas opes para
impedir a transferncia de zona. Por padro, as
transferncias de zona esto desabilitadas.
2-23
Embora a opo que especifica os servidores que podem solicitar dados da zona fornea segurana,
restringindo os destinatrios dos dados, ela no protege os dados durante transmisses. Se as
informaes da zona forem altamente confidenciais, recomendvel usar uma poltica IPsec para
proteger a transmisso ou replicar os dados da zona por um tnel VPN (rede virtual privada). Isso impede
a deteco de pacotes para determinar informaes na transmisso dos dados.
O uso de zonas integradas ao Active Directoryreplica os dados da zona como parte das replicaes
habituais do AD DS. A transferncia de zona protegida como parte de replicao do AD DS.
Demonstrao: Configurao de transferncias de zona DNS

Esta demonstrao mostra a voc como:
Habilitar transferncias de zona DNS.
Atualizar a zona secundria do servidor mestre.
Atualizar a zona primria e verificar a alterao na zona secundria.
Habilitar transferncias de zona DNS
1.
Em LON-DC1, habilite transferncias de zona configurando a opo Permitir transferncias de zona.
2.
Configure transferncias de zona para Apenas para servidores listados na guia 'Servidores de nomes'.
3.
Habilite Notificar para Apenas para servidores listados na guia 'Servidores de nomes'.
4.
Adicione LON-SVR1.Adatum.com como um servidor de nomes listado para receber transferncias.
Atualizar a zona secundria do servidor mestre
Alterne para LON-SVR1 e no Gerenciador DNS, selecione Transferir do Principal. s vezes,

necessrio realizar essa etapa vrias vezes antes das transferncias de zona. Alm disso, observe
que a transferncia pode ocorrer automaticamente a qualquer momento.
Atualizar a zona primria e verificar a alterao na zona secundria

1.
Alterne para LON-DC1 e crie um novo registro de alias.
2.
Alterne para LON-SVR1 e verifique se o novo registro est presente na zona secundria. Isso pode
exigir um Transferir do Principal e uma atualizao de tela antes do registro permanecer visvel.
Lio 5
Gerenciamento e soluo de problemas de DNS
O DNS um servio fundamental na infraestrutura do Active Directory. Quando o servio DNS apresenta
problemas, importante saber como solucion-los e identificar os problemas comuns que podem ocorrer
em uma infraestrutura de DNS. Esta lio aborda os problemas comuns que ocorrem no DNS, as reas
comuns das quais possvel coletar informaes de DNS e as ferramentas que voc pode usar para
solucionar problemas.
Objetivos da lio
Explicar como o TTL, a durao e a eliminao ajudam a gerenciar os registros DNS.
Explicar como gerenciar o TTL, a durao e a eliminao de registros DNS.
Explicar como identificar problemas com DNS usando ferramentas de DNS.
Descrever como solucionar problemas DNS usando ferramentas DNS.
Explicar como monitorar o DNS usando o log de eventos DNS e o registro em log de auditoria.
O que TTL, classificao por vencimento e limpeza?

TTL, classificao por vencimento e limpeza
ajudam a gerenciar registros de recursos DNS nos
arquivos de zona. Os arquivos de zona podem
mudar ao longo do tempo, de modo que
necessrio ter um modo de gerenciar registros
DNS que so atualizados ou que no so mais
vlidos, pois os hosts que eles representam no
esto mais na rede.
A tabela a seguir descreve as ferramentas do DNS
que ajudam a manter um banco de dados DNS.
Ferramenta
Descrio
TTL
Indica por quanto tempo um registro DNS continua vlido e inelegvel para limpeza.
Durao
Ocorre quando os registros inseridos no servidor DNS atingem sua expirao e so

removidos. Isso mantm a exatido do banco de dados. Durante as operaes normais,
a durao deve se encarregar dos registros de recursos DNS obsoletos.
Eliminao
Executa o grooming de registros de recursos do servidor DNS para os registros antigos

no DNS. Se os registros de recursos no estiverem obsoletos, um administrador poder
eliminar os registros obsoletos do banco de dados da zona para forar uma limpeza
do banco de dados.
2-25
Se permanecerem sem gerenciamento, a presena de registros de recursos obsoletos nos dados da zona
pode causar problemas. Por exemplo:
Se uma grande quantidade de registros de recursos obsoletos permanecer nas zonas do servidor,
o espao em disco do servidor ser esgotado e esses registros ocasionaro transferncias
desnecessariamente longas da zona.
Um servidor DNS que carrega zonas com registros de recursos obsoletos pode utilizar informaes
desatualizadas para responder s consultas dos clientes, o que pode fazer com que os computadores
cliente enfrentem problemas de resoluo de nomes ou problemas de conectividade na rede.
O acmulo de registros de recursos obsoletos no servidor DNS pode degradar seu desempenho
e sua capacidade de resposta.
Em alguns casos, se uma zona tiver um registro de recursos obsoleto, ele poder impedir que outro
computador ou um dispositivo host use um nome de domnio DNS.
Para solucionar esses problemas, o servio Servidor DNS dispe dos seguintes recursos:
Carimbo de data/hora, baseado na data e hora atuais definidas no computador servidor, para
quaisquer registros de recursos adicionados dinamicamente s zonas do tipo primrio. Alm disso, os
carimbos de data/hora sero registrados nas zonas primrias padro nas quais voc habilitar a
durao e a eliminao.
Para os registros de recursos adicionados manualmente, use um valor zero de carimbo de data/hora
para indicar que o processo de durao no afeta esses registros e que eles podem permanecer sem
limitao nos dados da zona, a menos que voc altere, de outra forma, os respectivos carimbos de
data/hora ou os exclua.
Durao dos registros de recursos nos dados locais, com base em um perodo de atualizao
especificado, para quaisquer zonas qualificadas.
Somente as zonas do tipo primrio carregadas pelo servio Servidor DNS esto qualificadas a
participar nesse processo.
Eliminao dos registros de recursos que persistirem alm do perodo de atualizao especificado.
Ao executar uma operao de eliminao, um servidor DNS pode detectar que os registros de recursos
envelheceram a ponto de se tornarem obsoletos e pode remov-los dos dados da zona. Voc pode
configurar os servidores para executar automaticamente as operaes de eliminao recorrentes ou pode
iniciar uma operao de eliminao imediata no servidor.
Observao: Por padro, o mecanismo de durao e eliminao do servio Servidor DNS
est desabilitado. Habilite-o somente quando voc realmente entender todos os parmetros.
Caso contrrio, voc poderia configurar o servidor para excluir inadvertidamente os registros que
no deveriam ser eliminados. Se um registro for excludo por engano, no somente os usurios
deixaro de resolver as consultas para esse registro, mas qualquer usurio poder criar o registro
e se apossar dele, inclusive nas zonas que voc configurar para fazer atualizao dinmica segura.
Esse um riscos segurana significativo.
O servidor utiliza o contedo de cada carimbo de data/hora para registros de recurso especficos, bem
como outras propriedades de classificao por vencimento e limpeza que possvel ajustar ou configurar
para determinar quando ele limpa os registros.
Pr-requisitos para durao e eliminao

Para utilizar os recursos de durao e eliminao do DNS, necessrio atender a algumas condies:
Habilite a durao e a eliminao no servidor DNS e na zona DNS. Por padro, a durao e a
eliminao dos registros de recursos esto desabilitadas.
Adicione dinamicamente os registros de recursos s zonas ou modifique-os manualmente para uso

nas operaes de durao e eliminao.
Em geral, somente os registros de recursos adicionados dinamicamente atravs do protocolo de

atualizao dinmica DNS esto sujeitos durao e eliminao.
Para os registros adicionados s zonas carregando um arquivo de zona baseado em texto de outro
servidor DNS ou adicionando-os manualmente a uma zona, definido um carimbo de data/hora de valor
zero. Isso desqualifica esses registros para uso nas operaes de durao e eliminao.
Para alterar esse padro, voc pode administrar cada um desses registros, de modo a redefinir e permitir
que eles utilizem um valor de carimbo de data/hora atual (diferente de zero). Isso permite que esses
registros se tornem obsoletos e sejam eliminados.
Demonstrao: Gerenciamento de registros DNS

Configurar TTL.
Habilitar e configurar a eliminao e a durao.
Configurar o TTL
1.
Alterne para LON-DC1 e abra as propriedades da zona Adatum.com.
2.
Na guia Incio de Autoridade, configure o valor Tempo de vida mnimo (padro) para ser de 2 horas.
Habilitar e configurar a eliminao e a durao

1.
Clique com o boto direito do mouse em LON-DC1 e selecione a opo Definir durao/
eliminao para todas as zonas para configurar as opes de classificao por vencimento
e limpeza.
2.
Habilite Eliminar registros de recursos obsoletose use os valores padro.
Demonstrao: Testando a configurao do servidor DNS
2-27
Podem ocorrer problemas quando voc no configura corretamente o servidor DNS, bem como as zonas
e os registros de recursos respectivos. Quando os registros de recursos esto causando problemas pode
ser mais difcil identificar o problema, pois problemas de configurao nem sempre so bvios.
A tabela a seguir lista os possveis problemas na configurao que podem ocasionar problemas no DNS.
Problema
Result
Registros ausentes
Os registros de um host no esto no servidor DNS. Talvez tenham sido

eliminados prematuramente. Com isso, as estaes de trabalho podem no
se conectar entre si.
Registros incompletos
Os registros sem as informaes necessrias para localizar o recurso que

representam podem fazer com que os clientes que esto solicitando o
recurso usem informaes invlidas. Por exemplo, um registro incompleto
um registro de servio que no contm um endereo de porta necessrio.
Registros configurados
incorretamente
Os registros que apontam para um endereo IP invlido ou que tm

informaes invlidas em sua configurao causaro problemas quando os
clientes DNS tentarem encontrar os recursos.
As ferramentas utilizadas para solucionar esses e outros problemas de configurao so:
Nslookup. Use essa ferramenta para consultar informaes do DNS. A ferramenta flexvel e pode
fornecer muitas informaes sobre o status do servidor DNS. Tambm possvel us-la para
pesquisar registros de recurso e validar as respectivas configuraes. Alm disso, voc tambm
pode testar as transferncias de zona, as opes de segurana e a resoluo de registros MX.
Observao: possvel usar o cmdlet do Windows PowerShell Resolve-DNSName para

realizar funes semelhantes a Nslookup durante a soluo de problemas do DNS.
Windows PowerShell. possvel usar cmdlets do Windows PowerShell para configurar e solucionar
problemas de vrios aspectos do DNS.
Dnscmd. gerencie o servio Servidor DNS com essa interface de linha de comando. Esse utilitrio ajuda
a criar scripts de arquivos em lote para automatizar tarefas rotineiras de gerenciamento do DNS ou
para realizar uma instalao simples e automtica e a configurao de novos servidores DNS na rede.
IPconfig. use este comando para exibir e modificar detalhes da configurao de IP usada pelo
computador. Esse utilitrio inclui outras opes de linha de comando que podem ser usadas para
solucionar problemas e oferecer suporte aos clientes DNS. possvel exibir o cache DNS local do
cliente usando o comando ipconfig /displaydns e limpar o cache local usando ipconfig /flushdns.
Observao: Tambm possvel usar os seguintes cmdlets do Windows PowerShell:
clear-DnsClientCache para limpar o cache do resolvedor de DNS
get-DnsClientCache para exibir o cache do resolvedor
Guia Monitoramento no servidor DNS. na guia Monitoramento do servidor DNS, voc pode
configurar um teste que permite ao servidor DNS determinar se ele pode resolver consultas locais
simples e executar uma consulta recursiva para garantir que o servidor pode se comunicar com
servidores upstream. Voc tambm pode agendar esses testes periodicamente.
Tratam-se de testes bsicos, mas que representam um bom ponto de partida para a soluo
de problemas ocorridos no servio DNS. As possveis causas para a falha de um teste so:
o
O servio Servidor DNS falhou.
O servidor upstream no est disponvel na rede.
Esta demonstrao mostra como usar Nslookup.exe para testar a configurao do servidor DNS.
1.
Abra um prompt de comando e execute o seguinte comando:

nslookup d2 LON-svr1.Adatum.com
2.
Revise as informaes fornecidas por nslookup.
Monitoramento do DNS usando o log de eventos do DNS

O servidor DNS tem sua prpria categoria
no log de eventos. Assim como em qualquer log
de eventos do Visualizador de Eventos do
Windows, voc deve revisar o log de eventos
periodicamente.
Eventos DNS comuns

A tabela a seguir descreve os eventos DNS comuns.
ID do
evento
Descrio
2-29
O servidor DNS foi iniciado. Geralmente, essa mensagem exibida durante o processo de
inicializao, quando o computador servidor ou o servio Servidor DNS inicializado.
O servidor DNS foi desligado. Geralmente, essa mensagem exibida quando o computador
servidor desligado ou o servio Servidor DNS interrompido manualmente.
408
O servidor DNS no pde abrir o soquete para o endereo [EndereoIP]. Verifique se esse
um endereo IP vlido para o computador servidor.
Para corrigir o problema, faa o seguinte:
1. Se o endereo IP especificado no for vlido, remova-o da lista de interfaces restritas para
o servidor e reinicie o servidor.
2.
Se o endereo IP especificado no for mais vlido e era o nico endereo habilitado para
uso no servidor DNS, o servidor no deve ter inicializado devido a um erro de
configurao. Para corrigir o problema, exclua o seguinte valor do Registro e reinicie o
servidor DNS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters
\ListenAddress
3.
413
Se o endereo IP para o computador servidor for vlido, certifique-se de que nenhum

outro aplicativo que tente usar a mesma porta do servidor DNS (como outro aplicativo
do servidor DNS) esteja em execuo. Por padro, o DNS usa a porta TCP 53.
O servidor DNS envia solicitaes para outros servidores DNS atravs de uma porta
diferente da padro (porta TCP 53).
Esse servidor DNS tem hospedagem mltipla e foi configurado para restringir o servio
Servidor DNS a apenas alguns de seus endereos IP configurados. Por esse motivo, no
possvel garantir que as consultas DNS feitas por esse servidor a outros servidores DNS
remotos sejam enviadas atravs de um dos endereos IP habilitados para o servidor DNS.
Isso pode impedir que as respostas s consultas, retornadas por esses servidores, sejam
recebidas na porta DNS configurada para uso desse servidor. Para evitar esse problema, o
servidor DNS envia consultas a outros servidores DNS usando uma porta no DNS aleatria,
e a resposta recebida independentemente do endereo IP utilizado.
Para limitar o servidor DNS a usar apenas sua respectiva porta DNS configurada para enviar
consultas a outros servidores DNS, use o console DNS para implementar uma das seguintes
alteraes na configurao das propriedades do servidor, na guia Interfaces:
o
Selecione Todos os endereos IP para permitir que o servidor DNS escute em todos os
endereos IP configurados do servidor.
Selecione Apenas nos seguintes endereos IP para limitar a lista de endereos IP a um

nico endereo IP do servidor.
(continuao)
ID do
evento
Descrio
414
Atualmente, o computador servidor no possui um sufixo DNS primrio configurado. Seu

nome DNS , no momento, um nome de host de rtulo nico. Por exemplo, seu nome
configurado host em vez de host.exemplo.microsoft.com ou outro FQDN.
Embora o servidor DNS tenha apenas um nome de rtulo nico, os registros de recursos
padro criados para suas zonas configuradas utilizam somente esse nome de rtulo nico ao
mapear o nome do host para esse servidor DNS. Isso pode levar a referncias incorretas ou
com falhas quando os clientes e outros servidores DNS utilizam esses registros para localizar
esse servidor pelo nome.
Em geral, voc deve reconfigurar o servidor DNS com um nome completo de computador
DNS que seja apropriado para ser usado pelo respectivo domnio ou grupo de trabalho em
sua rede.
708
O servidor DNS no detectou nenhuma zona do tipo primria ou secundria. Ele ser
executado como um servidor somente de cache, mas no ter autoridade sobre quaisquer
zonas.
3150
O servidor DNS gravou uma nova verso da zona [nome_da_zona] no arquivo

[nome_do_arquivo]. Para exibir o nmero da nova verso, clique na guia Dados do Registro.
Esse evento dever aparecer somente se voc configurar o servidor DNS para atuar como um
servidor raiz.
6527
A zona [nome_da_zona] expirou antes de obter xito em uma transferncia de zona ou uma
atualizao de um servidor mestre que atua como sua fonte para a zona. A zona foi
desligada.
Essa ID de evento pode aparecer quando voc configura o servidor DNS para hospedar uma
cpia secundria da zona de outro servidor DNS que est atuando como a respectiva fonte
ou servidor mestre. Verifique se esse servidor tem conectividade de rede com o respectivo
servidor mestre configurado.
Se o problema persistir, considere uma ou mais das seguintes opes:
1. Exclua a zona e recrie-a, especificando outro servidor mestre ou um endereo IP
atualizado e corrigido para o mesmo servidor mestre.
2.
Se a expirao da zona persistir, experimente ajustar o intervalo de expirao.
Monitoramento do DNS usando o log de depurao

s vezes pode ser necessrio obter mais detalhes
sobre um problema de DNS alm daqueles
fornecidos pelo Visualizador de Eventos. Nessa
instncia, voc pode usar o log de depurao para
fornecer informaes adicionais.
Esto disponveis as seguintes opes de log de depurao DNS:
Direo de pacotes. Esta opo tem as seguintes configuraes:

o
Enviar. o arquivo de log do servidor DNS registra os pacotes por ele enviados.
Receber. o arquivo de log registra os pacotes recebidos pelo servidor DNS.
Contedo dos pacotes. Esta opo tem as seguintes configuraes:

o
Consulta padro. especifica que os pacotes que contm consultas padro (de acordo com
a RFC 1034) so registrados no arquivo de log do servidor DNS.
Atualizaes. especifica que os pacotes que contm atualizaes dinmicas (de acordo com
a RFC 2136) so registrados no arquivo de log do servidor DNS.
Notificaes. especifica que os pacotes que contm notificaes (de acordo com a RFC 1996)
so registrados no arquivo de log do servidor DNS.
Protocolo de transporte. Esta opo tem as seguintes configuraes:
2-31
UDP. Especifica que os pacotes enviados e recebidos atravs do UDP (User Datagram Protocol)
so registrados no arquivo de log do servidor DNS
TCP. Especifica que os pacotes enviados e recebidos por TCP so registrados no arquivo de log
do servidor DNS
Tipo de pacote. Esta opo tem as seguintes configuraes:

o
Solicitao. Especifica que os pacotes de solicitao so registrados no arquivo de log do servidor

DNS. Um pacote de solicitao caracterizado por um conjunto de bits Query/Response (QR)
definido como zero no cabealho da mensagem de DNS.
Um bit QR um campo de um nico bit que especifica se a mensagem em questo uma
consulta (0) ou uma resposta.
Resposta. Especifica que os pacotes de resposta so registrados no arquivo de log do servidor

DNS. Um pacote de resposta caracterizado por um conjunto de bits QR definido como 1 no
cabealho da mensagem de DNS.
Habilitar filtragem com base no endereo IP. A opo fornece filtragem adicional dos pacotes
registrados no arquivo de log do servidor DNS. Esta opo permite registrar no log os pacotes
enviados de endereos IP especficos para um servidor DNS ou vice-versa.
Limite de tamanho mximo do arquivo de log. A opo permite definir o tamanho mximo do
arquivo de log do servidor DNS. Quando o arquivo de log do servidor DNS atingir seu tamanho
mximo especificado, o servidor DNS substituir as informaes de pacote mais antigas por novas
informaes.
Se voc no especificar um tamanho mximo para o arquivo de log, esse arquivo do servidor DNS
poder ocupar muito espao no disco rgido.
Por padro, todas as opes do log de depurao esto desabilitadas. Quando habilitadas seletivamente,
o servio do servidor DNS pode executar um log de rastreamento adicional de tipos de eventos ou
mensagens selecionados para soluo de problemas gerais e depurao do servidor.
O log de depurao poder fazer uso intensivo de recursos, afetando o desempenho geral do servidor e
consumindo espao em disco. Portanto, utilize-o apenas temporariamente, quando voc precisar de
informaes mais detalhadas sobre o desempenho do servidor.
Observao: O arquivo dns.log contm a atividade do log de depurao. Por padro, esse
arquivo est localizado na pasta %systemroot%\System32\Dns.

Cenrio
A. Datum uma empresa global de engenharia e manufatura com sede em Londres, Reino Unido.
Um escritrio de TI e um data center esto localizados em Londres para dar suporte ao escritrio
matriz e a outros locais. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor
Voc precisou adicionar vrios registros de recurso novos ao servio DNS instalado em LON-DC1.
Entre os registros esto um novo registro MX para o Exchange Server 2010 e um registro SRV para uma
implantao do Microsoft Lync que est ocorrendo.
A. Datum est trabalhando com uma organizao parceira, Contoso, Ltd. Voc precisou configurar a
resoluo de nomes interna entre as duas organizaes. Uma pequena filial informou que o desempenho
da resoluo de nomes insuficiente. A filial contm um servidor do Windows Server 2012 que realiza
vrias funes. Porm, no h planos de implementar um controlador de domnio adicional. Voc
precisou instalar a funo de servidor DNS na filial e criar uma zona secundria de Adatum.com. Para
manter a segurana, voc recebeu a instruo de configurar o servidor da filial para estar na lista Notificar
das transferncias de zona Adatum.com. Voc tambm deve atualizar todos os clientes de filial para usar
o novo servidor de nomes na filial.
Voc deve configurar a nova funo de servidor DNS para realizar classificao por vencimento e limpeza,
conforme necessrio e especificado pela poltica corporativa. Depois de implementar o novo servidor, voc
precisar testar e verificar a configurao usando ferramentas para soluo de problemas do DNS padro.
Objetivos
Configurar registros de recurso DNS
Configurar o encaminhamento condicional do DNS.
Instalar e configurar zonas de DNS.
Soluo de problemas de DNS.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-CL1
Nome de usurio
ADATUM\Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Entre usando as seguintes credenciais:

o
Nome de usurio: Administrador
Senha: Pa$$w0rd
Domnio: Adatum
Repita as etapas de 2 a 4 para 24411B-LON-SVR1 e 24411B-LON-CL1.
Exerccio 1: Configurao de registros de recursos DNS

Cenrio
2-33
Voc precisou adicionar vrios registros de recurso novos ao servio DNS instalado em LON-DC1. Entre
os registros esto um novo registro MX para o Exchange Server 2010 e um registro SRV obrigatrio para
uma implantao do Lync que est ocorrendo. Voc tambm deve configurar uma zona de pesquisa
inversa para o domnio.
As principais tarefas deste exerccio so:
1.
Adicionar o registro MX obrigatrio
2.
Adicionar os registros de servidor Lync obrigatrios
3.
Criar a zona de pesquisa inversa
Tarefa 1: Adicionar o registro MX obrigatrio

1.
Alterne para LON-DC1 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Abra o console do Gerenciador DNS.
3.
Crie um novo registro de host com as seguintes propriedades:
4.
Zona: Adatum.com
Nome: Mail1
Endereo IP: 172.16.0.250
Na zona Adatum.com, adicione um novo registro com as seguintes informaes:

o
Tipo: Novo MX
FQDN do servidor de email: Mail1.Adatum.com.
Tarefa 2: Adicionar os registros de servidor Lync obrigatrios

1.
2.
Crie um novo registro de host com as seguintes propriedades:

o
Zona: Adatum.com
Nome: Lync-svr1
Endereo IP: 172.16.0.251
Na zona Adatum.com, adicione um novo registro:

o
Tipo: Local do servio (SRV)
Servio: _sipinternaltls
Protocolo: _tcp
Nmero da porta: 5061
Host que oferece o servio: Lync-svr1.adatum.com.
Tarefa 3: Criar a zona de pesquisa inversa
Crie uma nova zona de pesquisa inversa com as seguintes propriedades:

o
Tipo de zona: Zona primria
Escopo de Replicao de Zona do Active Directory: Padro
Nome da Zona de Pesquisa Inversa: Zona de Pesquisa Inversa IPv4
Nome da Zona de Pesquisa Inversa: 172.16.0
Atualizao Dinmica: Padro
Resultados: Depois deste exerccio, voc dever ter configurado os registros do servio de sistema de
mensagens obrigatrio e a zona de pesquisa inversa com xito.
Exerccio 2: Configurao do encaminhamento condicional DNS

Cenrio
Voc precisou configurar a resoluo de nomes interna entre A. Datum Corporation e a organizao
parceira, Contoso Ltd.
As principais tarefas deste exerccio so adicionar o registro de encaminhamento condicional para
contoso.com
Tarefa 1: Adicionar o registro de encaminhamento condicional para contoso.com
No n Encaminhadores Condicionais, configure o encaminhamento condicional para Contoso.com:

a.

contoso.com.
b.
Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite
131.107.1.2 e pressione Enter. A validao falhar porque no foi possvel entrar em contato
com o servidor.
c.
Habilite Armazenar o encaminhador condicional no Active Directory e replic-lo desta forma.
Resultados: Depois deste exerccio, voc ter configurado com xito o encaminhamento condicional.
Exerccio 3: Instalao e configurao de zonas DNS

Cenrio
Uma pequena filial informou que o desempenho da resoluo de nomes insuficiente. A filial contm um
servidor do Windows Server 2012 que realiza vrias funes. Porm, no h planos de implementar um
controlador de domnio adicional. Voc precisou instalar a funo de servidor DNS na filial e criar uma
zona secundria de Adatum.com. Para manter a segurana, voc tambm recebeu a instruo de
configurar o servidor da filial para estar na lista Notificar das transferncias de zona Adatum.com. Voc
tambm deve atualizar todos os clientes de filial para usar o novo servidor de nomes na filial e configurar
a nova funo de servidor DNS para realizar a classificao por vencimento e a limpeza, conforme
necessrio e especificado pela poltica corporativa.

1.
Instalar a funo Servidor DNS no LON-SVR1
2.
Criar as zonas secundrias obrigatrias em LON-SVR1
3.
Habilitar e configurar transferncias de zona
4.
Configurar TTL, classificao por vencimento e limpeza
5.
Configurar os clientes para usar o novo servidor de nomes
Tarefa 1: Instalar a funo Servidor DNS no LON-SVR1

1.
2.
Use o Gerenciador do Servidor para instalar a funo Servidor DNS.
Tarefa 2: Criar as zonas secundrias obrigatrias em LON-SVR1

1.
Abra um prompt de comando.
2.
Digite o seguinte comando para criar a zona secundria obrigatria:

Dnscmd.exe /zoneadd Adatum.com /secondary 172.16.0.10
3.
Abra o Gerenciador DNS, e verifique a presena da nova zona de pesquisa direta secundria
Adatum.com.
Tarefa 3: Habilitar e configurar transferncias de zona
2-35
1.
Alterne para LON-DC1.
2.
Abra um prompt de comando e execute o seguinte comando para configurar transferncias de zona
para a zona Adatum.com:
Dnscmd.exe /zoneresetsecondaries Adatum.com /notifylist 172.16.0.21
3.
No Gerenciador DNS, verifique as alteraes feitas nas configuraes das transferncias de zona:
a.
No painel de navegao, clique em Adatum.com e, na barra de ferramentas, clique em Atualizar.
b.
Clique com o boto direito do mouse em Adatum.com e clique em Propriedades.
c.
Na caixa de dilogo Propriedades de Adatum.com, clique na guia Transferncias de zona.
d.
Clique em Notificar e verifique se o servidor 172.16.0.21 est listado. Clique em Cancelar.
e.
Feche a caixa de dilogo Propriedades de Adatum.com.
Tarefa 4: Configurar TTL, classificao por vencimento e limpeza

1.
Em LON-DC1, abra as propriedades da zona Adatum.com.
2.
Na guia Incio de Autoridade, configure o valor Tempo de vida mnimo (padro) para ser de 2 horas.
3.
Clique com o boto direito do mouse em LON-DC1 e selecione a opo Definir durao/eliminao
para todas as zonas para configurar as opes de classificao por vencimento e limpeza.
4.
Habilite Eliminar registros de recursos obsoletose use os valores padro.
Tarefa 5: Configurar os clientes para usar o novo servidor de nomes

1.
Entre na mquina virtual LON-CL1 como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Use a Central de Rede e Compartilhamento para exibir as propriedades da Conexo Local.
3.
Reconfigure Protocolo TCP/IP Verso 4 (TCP/IPv4) da seguinte forma:

o
Modifique o servidor DNS preferencial: 172.16.0.21.
Resultados: Depois deste exerccio, voc ter instalado e configurado com xito o DNS em LON-SVR1.
Exerccio 4: Soluo de problemas do DNS

Cenrio
Depois de implementar o novo servidor, voc precisar testar e verificar a configurao usando
ferramentas para soluo de problemas do DNS padro.
1.
Testar consultas simples e recursivas
2.
Verificar registros de recurso SOA com o Windows PowerShell
Tarefa 1: Testar consultas simples e recursivas

1.
Em LON-DC1, no Gerenciador DNS, abra as propriedades de LON-DC1.
2.
Na guia Monitorando, execute uma consulta simples no servidor DNS. A consulta ser bemsucedida.
3.
Realize consultas simples e recursivas nesse e em outros servidores DNS. O teste recursivo falhar
porque no h encaminhadores configurados.
4.
Interrompa o servio e repita os testes anteriores. Eles falharo porque nenhum servidor DNS est
disponvel.
5.
Reinicie o servio DNS e repita os testes. O teste simples ser bem-sucedido.
6.
Feche a caixa de dilogo Propriedades de LON-DC1.
Tarefa 2: Verificar registros de recurso SOA com o Windows PowerShell

1.
Abra o Windows PowerShell LON-DC1.
2.
Digite o seguinte comando e pressione Enter:

resolve-dnsname name Adatum.com type SOA
3.
Exiba os resultados e feche o prompt do Windows PowerShell.
Resultados: Aps este exerccio, voc dever ter testado e verificado o DNS com xito.
2-37
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para isso, execute estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24411B-LON-SVR1 e 24411B-LON-CL1.

Perguntas de reviso
Pergunta: voc est implantando servidores DNS em um domnio Active Directory e seu
cliente exige que a infraestrutura seja resistente a pontos isolados de falha. O que voc deve
considerar ao planejar a configurao do DNS?
Pergunta: Qual a diferena entre consultas recursivas e iterativas?
Pergunta: O que deve ser configurado para que uma zona DNS seja transferida para um
servidor DNS secundrio?
Pergunta: voc o administrador de um ambiente DNS do Windows Server 2012. Sua
empresa adquiriu outra empresa recentemente. Voc quer replicar as respectivas zonas
primrias DNS. A empresa adquirida est usando o Bind 4.9.4 para hospedar suas zonas
primrias DNS. Voc observa um volume considervel de trfego entre o servidor DNS do
Windows Server 2012 e o servidor Bind. Cite um motivo possvel para essa ocorrncia.
Pergunta: Voc deve automatizar o processo de configurao de um servidor DNS para

automatizar a implantao do Windows Server 2012. Que ferramenta DNS possvel usar para isso?
Ferramentas
Ferramenta
Use para
Onde encontrar
Dnscmd.exe
Configurar a funo Servidor DNS
Linha de comando
Dnslint.exe
Testar o servidor DNS
Baixe-a no site da Microsoft e

use-a na linha de comando
Nslookup.exe
Testar a resoluo de nomes DNS
Linha de comando
Ping.exe
Teste simples de resoluo de nomes DNS
Linha de comando
Ipconfig.exe
Verificar e testar a funcionalidade de IP; exibir

ou limpar o cache do resolvedor do cliente
DNS
Linha de comando

3-1
Mdulo 3
Manuteno dos Servios de Domnio Active Directory
Contedo:
Viso geral do mdulo
3-1
Lio 1: Viso geral do AD DS
3-2
Lio 2: Implementao de controladores de domnio virtualizados
3-7
Lio 3: Implementao de controladores de domnio somente leitura
3-11
Lio 4: Administrao do AD DS
3-15
Lio 5: Gerenciamento do banco de dados do AD DS
3-24
3-34
3-40
Viso geral do mdulo
O AD DS (Servios de Domnio Active Directory) o componente mais importante em uma rede baseada
em domnio do Windows Server 2012. O AD DS contm informaes importantes sobre autenticao,
autorizao e recursos do ambiente. Este mdulo se concentra em explicar por que voc implementa
recursos especficos do AD DS, como componentes importantes so integrados uns aos outros e como
voc pode assegurar que sua rede baseada em domnio funcione de forma correta.
Voc aprender sobre novos recursos, como a clonagem de controladores de domnio virtualizados,
recursos recentes como RODCs (controladores de domnio somente leitura) e vrios outros recursos e
ferramentas que voc pode usar no ambiente do AD DS.
Objetivos
Explicar a estrutura geral do AD DS.
Implementar controladores de domnio virtualizados.
Implementar RODCs.
Administrar o AD DS.
Gerenciar o banco de dados do AD DS.
Lio 1
Viso geral do AD DS
3-2
O banco de dados do AD DS armazena informaes sobre identidade de usurio, computadores, grupos,

servios e recursos. Os controladores de domnio do AD DS tambm hospedam o servio que autentica
contas de usurio e computador quando eles entram no domnio. O AD DS armazena informaes sobre
todos os objetos do domnio, e todos os usurios e computadores devem se conectar a controladores de
domnio do AD DS quando entram na rede. Portanto, o AD DS o principal meio para voc poder
configurar e gerenciar contas de usurio e computador na rede.
Esta lio aborda os principais componentes lgicos de uma implantao do AD DS.
Objetivos da lio
Descrever os componentes do AD DS.
Explicar a estrutura de esquema e floresta do AD DS.
Explicar a estrutura de domnio do AD DS.
Viso geral dos componentes do AD DS

O AD DS composto de componentes fsicos e
lgicos. Voc precisa entender o modo como os
componentes do AD DS funcionam juntos, para
que possa fazer a manuteno do seu ambiente
do AD DS de maneira eficiente.
Componentes fsicos
As informaes do AD DS so armazenadas em
um nico arquivo no disco rgido de cada
controlador de domnio. A tabela a seguir lista
alguns componentes fsicos e seus locais de
armazenamento.
Componente fsico
Descrio
Controladores de domnio
Contm cpias do banco de dados do AD DS.
Repositrio de dados
O arquivo em cada controlador de domnio que armazena as

informaes do AD DS.
Servidores de catlogo global
Hospedam o catlogo global, que uma cpia parcial e somente

leitura de todos os objetos da floresta. Um catlogo global acelera as
pesquisas por objetos que possam estar armazenados em
controladores de um domnio diferente da floresta.
RODC (controladores de
domnio somente leitura)
Uma instalao especial do AD DS em formato somente leitura. Voc

geralmente usa esse componente em filiais nas quais a segurana e o
suporte de TI podem ser menos avanados do que nas matrizes de
uma empresa.
Componentes lgicos
3-3
Os componentes lgicos do AD DS so estruturas que voc usa para implementar um design do Active
Directory que seja apropriado para uma organizao. A tabela a seguir descreve alguns dos tipos de
estruturas lgicas que um banco de dados do Active Directory pode conter.
Componente lgico
Descrio
Partio
Uma seo do banco de dados do AD DS. Embora o banco de dados seja, de

fato, apenas um arquivo denominado NTDS.DIT, os usurios o exibem,
gerenciam e replicam como se consistisse em sees ou instncias distintas.
Estas so parties ou contextos de nomenclatura.
Esquema
Define a lista de tipos e atributos que todos os objetos do AD DS podem ter.
Domnio
Um limite administrativo lgico para usurios e computadores.
rvore de domnio
Uma coleo de domnios que compartilham um domnio raiz comum e um

namespace DNS (Sistema de Nomes de Domnio).
Floresta
Uma coleo de domnios que compartilham um AD DS comum.
Site
Uma coleo de usurios, grupos e computadores que so definidos por suas

localizaes fsicas. Os sites so teis no planejamento de tarefas
administrativas, como a replicao de alteraes no banco de dados do AD DS.
UO
As UOs (unidades organizacionais) so contineres do AD DS que oferecem

uma estrutura para delegar direitos administrativos e para vincular GPOs
(Objetos de Poltica de Grupo).
Noes bsicas sobre a estrutura de esquema e floresta do AD DS

No AD DS, a estrutura de floresta e esquema
importante para a definio da funcionalidade e
do escopo de seu ambiente.
Estrutura de floresta do AD DS
Uma floresta uma coleo de uma ou mais

rvores de domnio. Uma rvore uma coleo de
um ou mais domnios. O primeiro domnio que
criado na floresta chamado de domnio raiz da
floresta. O domnio raiz da floresta contm alguns
objetos que no existem em outros domnios da
floresta. Por exemplo, o domnio raiz da floresta
contm duas funes especiais: o mestre de
esquema e o mestre de nomeao de domnios. Alm disso, o grupo Administradores de Empresa e o
grupo Administradores de Esquema existem apenas no domnio raiz da floresta. O grupo Administradores
de Empresa tem controle total sobre cada domnio da floresta.
A floresta do AD DS um limite de segurana. Isso significa que, por padro, nenhum usurio de fora da
floresta pode acessar recursos dentro da floresta. Significa tambm que os administradores de fora da
floresta no tm acesso administrativo dentro da floresta. Um dos principais motivos pelos quais as
organizaes implantam vrias florestas porque elas precisam isolar permisses administrativas entre
partes diferentes da organizao.
A floresta do AD DS tambm o limite de replicao para as parties de configurao e esquema no

banco de dados do AD DS. Isso significa que todos os controladores de domnio da floresta devem
compartilhar o mesmo esquema. Um segundo motivo pelo qual as organizaes implantam vrias
florestas porque elas devem implantar esquemas incompatveis em duas partes da organizao.
3-4
A floresta do AD DS tambm o limite de replicao do catlogo global. Isso facilita a maioria das formas
de colaborao entre os usurios de domnios diferentes. Por exemplo, todos os destinatrios do
Microsoft Exchange Server 2010 so listados no catlogo global, tornando fcil enviar email para
qualquer um dos usurios da floresta, at aqueles de domnios diferentes.
Por padro, todos os domnios de uma floresta confiam automaticamente nos outros domnios da
floresta. Isso torna fcil habilitar o acesso a recursos como compartilhamentos de arquivos e sites para
todos os usurios de uma floresta, independentemente do domnio em que a conta de usurio est
localizada.
Estrutura de esquema do AD DS
O esquema do AD DS o componente do AD DS que define todos os tipos e atributos de objetos que o

AD DS usa para armazenar dados. Ele s vezes chamado de plano grfico do AD DS.
O AD DS armazena e recupera informaes de uma ampla variedade de aplicativos e servios. O AD DS

padroniza a forma como os dados so armazenados, para que ele possa armazenar e replicar dados
dessas diversas fontes. Ao padronizar a forma como os dados so armazenados, o AD DS pode recuperar,
atualizar e replicar dados, garantindo ao mesmo tempo que a integridade dos dados seja mantida.
Alm disso, o AD DS usa objetos como unidades de armazenamento. Todos os tipos de objetos so
definidos no esquema. Sempre que o diretrio manipula dados, ele consulta o esquema a respeito de
uma definio de objeto apropriada. Com base na definio de objeto do esquema, o diretrio cria o
objeto e armazena os dados.
As definies de objetos controlam ambos os tipos de dados que os objetos podem armazenar e a sintaxe
dos dados. Usando essas informaes, o esquema garante que todos os objetos estejam de acordo com
suas definies padro. Com isso, o AD DS pode armazenar, recuperar e validar os dados que gerencia,
independentemente do aplicativo que a fonte original dos dados. Somente os dados que tm uma
definio de objeto existente no esquema podem ser armazenados no diretrio. Se um novo tipo de
dados precisar ser armazenado, primeiro dever ser criada uma nova definio de objeto para os dados
no esquema.
No AD DS, o esquema define o seguinte:
Os objetos que so usados para armazenar dados no diretrio
As regras que definem que tipos de objetos voc pode criar, que atributos devem ser definidos
(obrigatrios) quando voc cria o objeto e que atributos so opcionais
A estrutura e o contedo do prprio diretrio
Voc pode usar uma conta que seja membro dos Administradores de Esquema para modificar os
componentes do esquema em um formato grfico. Exemplos de objetos que so definidos no esquema
incluem usurio, computador, grupo e site. Entre os muitos atributos esto location, accountExpires,
buildingName, company, manager e displayName.
O mestre de esquema um dos controladores de domnio de operaes de mestre nico no AD DS.
Como um mestre nico, voc deve fazer alteraes no esquema visando ao controlador de domnio
que tem a funo de mestre de operaes de esquema.
O esquema replicado entre todos os controladores de domnio da floresta. Qualquer alterao feita no
esquema replicada em cada controlador de domnio da floresta do proprietrio da funo de mestre de
operaes de esquema, geralmente o primeiro controlador de domnio da floresta.
3-5
Como o esquema estabelece o modo como as informaes so armazenadas, e quaisquer alteraes que
so feitas no esquema afetam cada controlador de domnio, as alteraes no esquema devem ser feitas
somente quando necessrio. Antes de fazer qualquer alterao, voc deve revisar as alteraes usando um
processo rigorosamente controlado, e implement-las somente depois de executar testes que assegurem
que as alteraes no afetaro o restante da floresta e quaisquer aplicativos que usem o AD DS de
maneira adversa.
Embora voc talvez no faa alteraes no esquema diretamente, alguns aplicativos alteram o esquema
para dar suporte a recursos adicionais. Por exemplo, quando voc instala o Exchange Server 2010 em sua
floresta do AD DS, o programa de instalao estende o esquema para dar suporte a novos tipos e
atributos de objetos.
Noes bsicas sobre a estrutura de domnio do AD DS

Um domnio do AD DS um agrupamento lgico
de objetos de usurio, computador e grupo para
fins de gerenciamento e segurana. Todos esses
objetos so armazenados no banco de dados do
AD DS, e uma cpia desse banco de dados
armazenada em cada controlador de domnio no
domnio do AD DS.
H vrios tipos de objetos que podem ser

armazenados no banco de dados do AD DS,
inclusive contas de usurio. As contas de usurio
oferecem um mecanismo que voc pode usar para
autenticar e, em seguida, autorizar os usurios a
acessar recursos na rede. Cada computador includo no domnio deve ter uma conta no AD DS. Isso
permite que os administradores de domnios usem polticas que so definidas no domnio para gerenciar
os computadores. O domnio tambm armazena grupos, que so o mecanismo para agrupar objetos por
razes administrativas ou de segurana; por exemplo, contas de usurio e de computador.
O domnio do AD DS tambm um limite de replicao. Quando so feitas alteraes em qualquer
objeto no domnio, essa alterao automaticamente replicada em todos os outros controladores de
domnio desse domnio.
Um domnio do AD DS uma central administrativa. Ele contm uma conta Administrador e um grupo
Admins. do Domnio, que tm ambos controle total sobre cada objeto no domnio. Porm, a menos que
estejam no domnio raiz da floresta, sua faixa de controle limitada ao domnio. As regras de senha e
conta so gerenciadas no nvel do domnio por padro. O domnio do AD DS tambm fornece um centro
de autenticao. Todas as contas de usurio e de computador no domnio so armazenadas no banco de
dados do domnio, e os usurios e computadores devem se conectar a um controlador de domnio para
autenticao.
Um nico domnio pode conter mais de 1 milho de objetos, portanto a maioria das organizaes precisa
implantar apenas um nico domnio. As organizaes que descentralizaram as estruturas administrativas,
ou que esto distribudas em vrios locais, podem implementar vrios domnios na mesma floresta.
Controladores de domnio
3-6
Um controlador de domnio um servidor que possvel configurar para armazenar uma cpia do banco
de dados de diretrios do AD DS (NTDS.DIT) e uma cpia da pasta Volume do Sistema (SYSVOL). Todos
os controladores de domnio, exceto os RODCs, armazenam uma cpia de leitura/gravao do NTDS.DIT
e da pasta SYSVOL. O NTDS.DIT o prprio banco de dados, e a pasta SYSVOL contm todas as
configuraes de modelo para GPOs.
As alteraes no banco de dados do AD DS podem ser iniciadas em qualquer controlador de um domnio,

exceto os RODCs. Em seguida, o servio de replicao do AD DS sincroniza todas as alteraes e
atualizaes do banco de dados do AD DS com todos os outros controladores de domnio no domnio.
Alm disso, o FRS (servio de replicao de arquivos) ou o DFS-R (Replicao de Sistema de Arquivos
Distribudos) replica as pastas SYSVOL.
Um domnio do AD DS deve sempre ter um mnimo de dois controladores de domnio. Desse modo, se
um dos controladores de domnio falhar, haver um backup para garantir a continuidade dos servios de
domnio do AD DS. Quando voc decidir adicionar mais de dois controladores de domnio, leve em
considerao o tamanho de sua organizao e os requisitos de desempenho.
Unidades organizacionais
Uma unidade organizacional um objeto continer dentro de um domnio que voc pode usar para
consolidar usurios, grupos, computadores e outros objetos. H dois motivos para voc criar UOs:
Para configurar objetos contidos na UO. Voc pode atribuir GPOs UO, e as configuraes so
aplicadas a todos os objetos contidos na UO. GPOs so polticas que os administradores criam para
gerenciar e configurar contas de computador e de usurio. A maneira mais comum de implantar
essas polticas vincul-las a UOs.
Para delegar o controle administrativo de objetos dentro da UO. Voc pode atribuir permisses de
gerenciamento em uma UO, dessa forma delegando o controle dessa UO a um usurio ou grupo no
AD DS que no seja o administrador.
possvel usar UOs para representar estruturas hierrquicas lgicas dentro de sua organizao.
Por exemplo, voc pode criar UOs que representem os departamentos de sua organizao, as regies
geogrficas da organizao ou uma combinao de regies departamentais e geogrficas. As UOs podem
ser usadas para gerenciar a configurao e o uso de contas de usurio, grupo e computador com base em
seu modelo organizacional.
Cada domnio do AD DS contm um conjunto padro de contineres e UOs que so criados quando voc
instala o AD DS, incluindo o seguinte:
Continer de domnio. Serve como o continer raiz da hierarquia.
Continer de usurios. O local padro para as novas contas de usurio e os grupos que voc cria no
domnio. O continer de usurios tambm contm as contas de administrador e convidado para o
domnio, alm de alguns grupos padro.
Continer de computadores. O local padro para as novas contas de computador que voc cria no domnio.
UO controladores de domnio. O local padro para as contas de computador de controladores de

domnio. Essa a nica UO que est presente em uma nova instalao do AD DS.
Observao: Nenhum dos contineres padro no domnio do AD DS podem ter GPOs

vinculados a eles, exceto a UO controladores de domnio e o prprio domnio. Todos os outros
contineres so apenas pastas. Para vincular GPOs a fim de aplicar configuraes e restries,
crie uma hierarquia de UOs e vincule GPOs a elas.
Lio 2
3-7
Implementao de controladores de domnio virtualizados

Virtualizao uma prtica comum em departamentos de TI. Os benefcios de consolidao e
desempenho que a virtualizao proporciona so grandes ativos para qualquer organizao.
O Windows Server 2012 AD DS e os controladores de domnio agora reconhecem mais a virtualizao.
Nesta lio, voc aprender as consideraes para implementar controladores de domnio virtualizados
no Windows Server 2012 e como voc pode implantar e gerenciar esses controladores de domnio no
ambiente do AD DS.
Objetivos da lio
Identificar consideraes para implementar controladores de domnio virtualizados clonados.
Explicar como implantar um controlador de domnio virtualizado clonado.
Descrever como gerenciar instantneos de controlador de domnio virtualizado.
Noes bsicas sobre controladores de domnio virtualizados clonados
O Windows Server 2012 introduz a clonagem do

controlador de domnio virtualizado. Em verses
anteriores do Windows Server, os controladores
de domnio que estavam executando em uma
mquina virtual no tinham conhecimento de seu
estado virtual. Isso tornou a execuo de
processos como clonar e restaurar instantneos de
mquina virtual potencialmente perigosos, porque
poderiam ocorrer alteraes no ambiente do
sistema operacional que o controlador de domnio
no esperava. Por exemplo, dois controladores de
domnio no podem coexistir na mesma floresta
com o mesmo nome, ID de invocao e GUID (identificador globalmente exclusivo) do DSA (agente do
sistema de diretrios). Em verses do Windows anteriores ao Windows Server 2012, voc criou
controladores de domnio virtualizados implantando uma imagem de servidor base que sysprep e
promovendo-a manualmente para ser um controlador de domnio. O Windows Server 2012 fornece
recursos de virtualizao especficos aos VDCs (Controladores de Domnio Virtualizados) do AD DS para
resolver esses problemas.
Os VDCs do Windows Server 2012 fornecem dois benefcios significativos:
Voc pode clonar controladores de domnio com segurana para implantar capacidade adicional e
poupar tempo de configurao.
A restaurao acidental de instantneos de controlador de domnio no interrompe o ambiente do AD DS.
Clonagem de VDCs no Windows Server 2012
3-8
No Windows Server 2012, a clonagem de mquinas virtuais que funcionam como controladores de
domnio fornece o recurso para implantar controladores de domnio rapidamente em seu ambiente. Por
exemplo, voc pode precisar aumentar os controladores de domnio do ambiente para ter suporte no
aumento do uso do AD DS. Voc pode implantar controladores de domnio adicionais rapidamente com
o processo a seguir:
1.
Execute a operao de clonagem em um VDC existente.
2.
Desligue o VDC existente e use o Hyper-V para exportar os arquivos de mquina virtual.
3.
Inicie o VDC existente (se pretender que ele continue no uso de produo).
4.
Use o Hyper-V para importar os arquivos de mquina virtual como uma nova mquina virtual e inicie
a mquina virtual, que agora contm o novo controlador de domnio.
A clonagem do controlador de domnio virtual fornece os seguintes benefcios no Windows Server 2012:
Implantao rpida do controlador de domnio em uma nova floresta ou domnio.
Provisionamento escalvel de controladores de domnio para controlar o aumento da carga.
Rpida substituio ou recuperao de controladores de domnio para continuidade dos negcios.
Rpido provisionamento de ambientes de teste.
Clonagem segura
Os controladores de domnio tm caractersticas exclusivas que tornam a clonagem no gerenciada

prejudicial para o processo de replicao de banco de dados do AD DS. Os controladores de domnio
que so simplesmente clonados terminam com o mesmo nome, o que no aceito dentro do mesmo
domnio ou floresta. Em verses anteriores do Windows Server, voc teve que preparar um controlador
de domnio para clonagem usando sysprep. Depois do processo de clonagem, voc teve que promover
manualmente o novo servidor para um controlador de domnio.
Com Clonagem Segura no Windows Server 2012, um controlador de domnio clonado executa
automaticamente um subconjunto do processo sysprep e promove os dados do AD DS locais existentes
como mdia de instalao.
Backup e restaurao seguros

A reverso para um instantneo anterior de um VDC problemtica porque o AD DS usa replicao
de vrios mestres que depende das transaes s quais esto sendo atribudos valores numricos
denominados USNs (Nmeros de Seqncia de Atualizao). O VDC tenta atribuir USNs a transaes
anteriores que j foram atribudas a transaes vlidas. Isto causa inconsistncias no banco de dados
do AD DS. O Windows Server 2003 e mais recentes implementam um processo que conhecido como
proteo de reverso do USN. Com isso definido, o VDC no replica e voc deve rebaix-lo de forma
forada ou restaur-lo de modo manual.
O Windows Server 2012 agora detecta o estado de instantneo de um controlador de domnio e
sincroniza ou replica o delta de alteraes, entre um controlador de domnio e seus parceiros para
o AD DS e o SYSVOL. Voc agora pode usar instantneos sem risco de desabilitar controladores de
domnio permanentemente e requerer manualmente o rebaixamento forado, a limpeza de metadados
e a nova promoo.
Implantao de um controlador de domnio virtualizado clonado

Ao implantar um VDC, considere o seguinte com
relao instalao:
Todos os computadores Windows Server 2012

do suporte clonagem de VDC
automaticamente.
Os requisitos a seguir devem ser atendidos

para dar suporte clonagem de VDC:
3-9
A funo FSMO do Emulador do PDC

(controlador de domnio primrio) deve
ser localizada em um controlador de
domnio do Windows Server 2012.
O controlador de domnio que hospeda a funo FSMO (operaes de mestre nico flexveis) do
Emulador do PDC deve estar disponvel durante operaes de clonagem.
Os requisitos a seguir devem ser atendidos para dar suporte clonagem e restaurao segura do VDC:
o
Mquinas virtuais convidadas devem estar executando o Windows Server 2012.
A plataforma do host de virtualizao deve dar suporte VM GENID (ID de Gerao da VM). Isso
inclui o Windows Server 2012 Hyper-V.
Criao de um clone do VDC

Para criar um clone do VDC no Windows Server 2012, execute as seguintes etapas:
1.
Crie um arquivo DcCloneConfig.xml que contm a configurao exclusiva do servidor.
2.
Copie este arquivo no local do banco de dados do AD DS no controlador de domnio de origem

(C:\Windows\NTDS, por padro). Esse arquivo tambm pode ser armazenado em mdia removvel,
se necessrio.
3.
Coloque o VDC de origem offline e exporte-o ou copie-o.
4.
Crie uma nova mquina virtual importando o VDC exportado. Essa mquina virtual promovida
automaticamente como um controlador de domnio exclusivo.
Gerenciamento de controladores de domnio virtualizados

O recurso de restaurao segura do Windows
Server 2012 permite que os VDCs que esto
executando o Windows Server 2012 participem
adequadamente na topologia de replicao
do AD DS, depois que voc aplicar um
instantneo no Hyper-V mquina virtual que
est hospedando o controlador de domnio.
A obteno e aplicao de instantneos para
um VDC no Hyper-V requerem consideraes
e etapas especficas.
Validao da replicao do AD DS
3-10 Manuteno dos Servios de Domnio Active Directory
Quando um instantneo de mquina virtual aplicado a um VDC, o processo de restaurao segura inicia
a replicao de entrada para as alteraes no AD DS entre o controlador de domnio virtual e o restante
do ambiente do AD DS. O pool RID (identificador relativo) liberado e um novo solicitado, a fim de
impedir SIDs duplicadas no AD DS. Tambm inicia uma replicao no autoritativa da pasta SYSVOL.
Este processo assegura que a nova verso de instantneo aplicada do controlador de domnio virtual
reconhea todos os objetos AD DS, completamente atualizados, e esteja completamente funcional.
Para assegurar que este processo possa ser concludo com xito, os seguintes elementos de replicao do
AD DS devem ser considerados:
Um controlador de domnio virtual recuperado de um instantneo de Hyper-V deve poder entrar em

contato com um controlador de domnio gravvel.
No possvel restaurar todos os controladores em um domnio simultaneamente. Se todos os

controladores de domnio forem restaurados simultaneamente, a replicao do SYSVOL ser
interrompida e todos os parceiros em sincronizao sero considerados no autoritativos. Esta uma
considerao importante para situaes de reverso completa do ambiente que podem ocorrer
frequentemente em um ambiente de teste.
As alteraes originadas em um controlador de domnio virtual restaurado que no foram replicadas

desde que o instantneo foi tirado so perdidas. Por causa disto, voc deve assegurar que todas as
replicaes em andamento em um controlador de domnio foram concludas antes de tirar um
instantneo da mquina virtual.
Uso do Windows PowerShell para Gerenciamento de Instantneo do Hyper-V

Voc pode usar os seguintes cmdlets do Windows PowerShell para executar o gerenciamento de
instantneo no Windows Server 2012:
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot
Consideraes para gerenciar instantneos de controlador de domnio virtual
Considere o seguinte ao gerenciar instantneos de controlador de domnio virtual no Windows Server 2012:
No use instantneos para substituir backups de estado do sistema regular. Em um ambiente do

AD DS alterado com frequncia, os instantneos no contm sempre o contedo completo de
objetos AD DS, devido a alteraes de replicao.
No restaure um instantneo de um controlador de domnio que foi usado antes de ser promovido.
Isso exigir que voc repromova o servidor manualmente depois que o instantneo for aplicado
e a limpeza de metadados ocorrer.
No hospede todos os controladores de domnio virtuais no mesmo hypervisor ou servidor.

Isto introduz um nico ponto de falha na infraestrutura do AD DS e evita muitos dos benefcios
proporcionados pela virtualizao da infraestrutura do controlador de domnio.
Lio 3
3-11
Implementao de controladores de domnio somente leitura

Os RODCs fornecem uma alternativa para um controlador de domnio totalmente gravvel. Em muitos
cenrios, como uma filial remota ou um local onde um servidor no pode ser colocado em um ambiente
fsico seguro, os RODCs podem fornecer a funcionalidade de um controlador de domnio sem expor
potencialmente seu ambiente do AD DS a riscos desnecessrios. Esta lio o ajudar a entender melhor
os mtodos e as prticas recomendadas que voc pode usar para gerenciar RODCs no ambiente do
Windows Server 2012.
Objetivos da lio
Explicar consideraes para implementar RODCs.
Descrever como gerenciar o cache de credenciais do RODC.
Identificar os aspectos importantes do gerenciamento da administrao local para RODCs.
Consideraes para implementao de RODCs

Um RODC tem uma cpia somente leitura de um
domnio do Active Directory, que contm todos os
objetos do domnio, mas nem todos os seus
atributos. Atributos crticos do sistema, como
senhas, no replicam para um RODC porque ele
no considerado seguro. Voc pode impedir
atributos adicionais de serem replicados para
RODCs marcando o atributo como confidencial e
adicionando-o ao FAS (Conjunto de Atributos
Filtrados).
Noes bsicas sobre a funcionalidade

do RODC
Voc no pode fazer alteraes no banco de dados de domnio do RODC, porque o banco de dados do
AD DS no RODC no aceita solicitaes de modificao de clientes e aplicativos. Todas as solicitaes de
alteraes so encaminhadas a um controlador de domnio gravvel. Como nenhuma alterao ocorre no
RODC, a replicao de alteraes do Active Directory ocorre em apenas uma direo: dos controladores
de domnio gravveis para o RODC.
Cache de credencial
As credenciais de usurio e computador no so replicadas em um RODC por padro. Para usar um RODC
a fim de aprimorar o logon de usurio, voc precisa configurar uma PRP (Diretiva de Replicao de Senha)
que defina quais credenciais de usurio podem ser armazenadas em cache. A limitao das credenciais
armazenadas em cache no RODC reduz os riscos de segurana. Se o RODC for roubado, somente as
senhas das contas de usurio e computador armazenadas em cache precisam ser redefinidas.
Se as credenciais de usurio e computador no forem replicadas em um RODC, um controlador de
domnio gravvel dever ser contatado durante o processo de autenticao. Geralmente (em um cenrio
de filial), as credenciais de computadores e usurios locais so armazenadas em cache em um RODC.
Quando os RODCs so colocados em uma rede de permetro, as credenciais de usurios e computadores
geralmente no so armazenadas em cache.
Separao de funes administrativas
Para gerenciar um controlador de domnio gravvel, voc deve ser um membro do grupo Administradores
local do domnio. Qualquer usurio inserido no grupo Administradores local do domnio recebe permisses
para gerenciar todos os controladores no domnio. Isso causa problemas para a administrao de
escritrios remotos com um controlador de domnio gravvel, porque no deve ser concedido acesso ao
administrador em um escritrio remoto para os outros controladores de domnio da organizao.
Isso d ao administrador de um escritrio remoto permisso para gerenciar apenas esse RODC, que tambm
pode ser configurado para fornecer outros servios, como compartilhamentos de arquivo e impresso.
DNS somente leitura

DNS um recurso crtico para uma rede do Windows. Se configurar um RODC como um servidor DNS,
voc poder replicar zonas DNS pelo AD DS para o RODC. O DNS no RODC somente leitura.
As solicitaes de atualizao do DNS so referidas em uma cpia gravvel do DNS.
Implantao dos RODCs

Para implantar um RODC, assegure que as seguintes atividades sejam executadas:
Assegure que o nvel funcional da floresta seja o Windows Server 2003 ou mais recente. Isso significa
que todos os controladores de domnio devem ser o Windows Server 2003 ou mais recente e que cada
domnio na floresta deve estar no nvel funcional do domnio do Windows Server 2003 ou mais recente.
Execute o ADPrep/RODCPrep. Isso configura permisses nas parties de diretrio de aplicativos

do DNS, a fim de permitir que elas sejam replicadas nos RODCs. Isso ser necessrio somente se a
floresta do Active Directory tiver sido atualizada.
Verifique se h um controlador de domnio gravvel que executa o Windows Server 2008 ou

mais recente. Um RODC replica a partio de domnio somente a partir desses controladores de
domnio. Portanto, cada domnio com RODCs deve ter pelo menos um controlador de domnio do
Windows Server 2008 ou mais recente. Voc pode replicar as parties de Esquema e Configurao
Instalao do RODC
Assim como um controlador de domnio gravvel, voc pode instalar um RODC usando uma instalao
assistida ou autnoma. Se voc executar uma instalao assistida usando a interface grfica, selecione
o RODC como uma das opes adicionais do controlador de domnio.
Voc tambm pode delegar a instalao do RODC ao administrador no escritrio remoto usando uma
instalao em etapas. Em uma instalao em etapas, voc precisa executar as seguintes etapas:
1.
Assegurar que o servidor a ser configurado como o RODC no seja um membro do domnio.
2.
Um administrador de domnio usa Usurios e Computadores do Active Directory para pr-criar a

conta do RODC na UO (unidade organizacional) dos Controladores de Domnio. O assistente para
executar este processo solicita as informaes necessrias, incluindo o usurio ou grupo que tem
permisso para associar o RODC ao domnio.
3.
O administrador no escritrio remoto executa o Assistente de Instalao dos Servios de Domnio

Active Directory e segue o assistente para associar o domnio como a conta do RODC pr-criada.
Gerenciamento do cache de credenciais do RODC
3-13
Os RODCs fornecem o recurso para armazenar

apenas um subconjunto de credenciais para
contas no AD DS pela implementao do cache
de credenciais. Com o cache de credenciais, a
PRP determina quais credenciais de usurio e
computador podem ser armazenadas em cache
em um RODC especfico. Se a PRP permitir que
um RODC armazene as credenciais de uma conta,
as atividades de tquete de autenticao e servio
dessa conta podero ser processadas localmente
pelo RODC. Se as credenciais de uma conta no
puderem ser armazenadas em cache no RODC ou
elas no forem armazenadas em cache no RODC, as atividades de tquete de autenticao e servio sero
encadeadas pelo RODC em um controlador de domnio gravvel.
Componentes da poltica de replicao de senha

A PRP de um RODC contm uma Lista Permitida e uma Lista Negada. Cada lista pode conter contas
ou grupos especficos. Uma conta deve estar na Lista Permitida para que as credenciais possam ser
armazenadas em cache. Se um grupo estiver na Lista Permitida e um membro desse grupo estiver
na Lista Negada, o armazenamento em cache no ser permitido para esse membro.
H dois grupos de domnio local que voc pode usar para permitir ou negar globalmente o
armazenamento em cache para todos os RODCs em um domnio:
O Grupo de Replicao de Senha RODC Permitido adicionado Lista Permitida de todos os RODCs.
Por padro, esse grupo no tem membros.
O Grupo de Replicao de Senha RODC Negado adicionado Lista Negada de todos os RODCs.
Por padro, Administradores de Domnio, Administradores Corporativos e Proprietrios Criadores
de Poltica de Grupo so os membros deste grupo.
Voc pode configurar a Lista Permitida e a Lista Negada para cada RODC. A Lista Permitida contm
somente o Grupo de Replicao de Senha RODC Permitido. A associao padro da Lista Negada inclui
Administradores, Operadores de Servidor e Operadores de Conta.
Na maioria dos casos, voc desejar adicionar contas separadamente para cada RODC ou adicionar
grupos globais que contenham contas, em vez de permitir globalmente o armazenamento de senha em
cache. Isso permite limitar o nmero de credenciais armazenadas em cache somente para aquelas contas
que geralmente esto nesse local. As contas administrativas de domnio no devem ser armazenadas em
cache nos RODCs de escritrios remotos. Voc deve armazenar em cache contas de computador para
acelerar a autenticao de contas de computador durante a inicializao do sistema. Alm disso, voc
deve armazenar em cache contas para servios que esto em execuo no escritrio remoto.
Prticas recomendadas para cache de credencial

As seguintes prticas recomendadas devem ser observadas para assegurar o uso mais efetivo de
credenciais armazenadas em cache:
Crie grupos globais do AD DS separados para cada RODC.
No armazene em cache senhas para contas administrativas de todo o domnio.
Gerenciamento da administrao local para RODCs

O gerenciamento de RODCs separado de
outros controladores de domnio. Portanto,
voc pode delegar administrao de RODCs a
administradores locais em escritrios remotos,
sem conceder a esses administradores acesso a
controladores de domnio gravvel.
Voc pode delegar a administrao de um RODC
nas propriedades da conta de computador do
RODC na guia Gerenciado por. Siga este mtodo
para delegar a administrao de um RODC porque
voc pode gerenci-la central e facilmente.
Voc pode especificar somente uma entidade de

segurana na guia Gerenciado por de uma conta de computador de RODC. Especifique um grupo de forma
que voc possa delegar permisses de gerenciamento a vrios usurios, tornando-os membros do grupo.
Voc tambm pode delegar administrao de um RODC usando ntdsutil ou dsmgmt com a opo de
funes local, como mostra o exemplo a seguir:
C:\>dsmgmt
Dsmgmt: funes locais
funes locais: add ADATUM\Research
Voc deve armazenar em cache a senha para administradores delegados, a fim de assegurar que seja
possvel executar a manuteno do sistema quando um controlador de domnio gravvel no est
disponvel.
Observao: Voc nunca deve acessar o RODC com uma conta que tenha permisses
similares para Administradores de Domnio. Os computadores de RODC so considerados
comprometidos por padro, portanto, voc dever assumir que fazendo logon no RODC estar
renunciando a credenciais de administrao de domnio. Dessa forma, os administradores de
domnio devem ter uma conta do tipo administrador de servidor separada qual seja delegado
acesso de gerenciamento ao RODC.
Lio 4
Administrao do AD DS
3-15
O gerenciamento do AD DS acontece de muitas formas diferentes. O ambiente do AD DS contm uma

grande quantidade de ferramentas de gerenciamento que permitem que voc monitore e modifique
o AD DS, para assegurar que a infraestrutura de domnio de sua organizao esteja atendendo a sua
finalidade e funcionando de forma adequada. O Windows Server 2012 inclui um conjunto mais abrangente
de ferramentas para trabalhar no AD DS do que as verses anteriores do Windows incluam. As melhorias
feitas na Central Administrativa do Active Directory e a adio de vrios cmdlets ao mdulo do Active
Directory para Windows PowerShell permitem um controle ainda maior de seu domnio do AD DS.
Objetivos da lio
Descrever os snap-ins administrativos do Active Directory.
Descrever a Central Administrativa do Active Directory.
Explicar como gerenciar o AD DS usando ferramentas de gerenciamento.
Descrever o mdulo do Active Directory para Windows PowerShell.
Explicar como gerenciar funes de mestre de operaes.
Explicar como gerenciar o backup e a recuperao do AD DS.
Viso geral dos snap-ins de administrao do Active Directory

Voc geralmente executar a maior parte da
administrao do Active Directory usando os
seguintes snap-ins e consoles:
Usurios e Computadores do Active Directory.

Esse snap-in gerencia os recursos cotidianos
mais comuns, incluindo usurios, grupos e
computadores. provvel que ele seja o
snap-in mais usado por um administrador
do Active Directory.
Servios e Sites do Active Directory. Gerencia

a replicao, a topologia de rede e os servios
relacionados.
Domnios e Relaes de Confiana do Active Directory. Configura e mantm relaes de confiana

e o nvel funcional de domnio e floresta.
Esquema do Active Directory. Esse esquema examina e modifica a definio de atributos e classes de
objeto do Active Directory. O esquema o plano grfico para o Active Directory, e voc geralmente
no o exibe ou altera com muita frequncia. Portanto, o snap-in Esquema do Active Directory no
completamente instalado, por padro.
Viso geral da Central Administrativa do Active Directory

O Windows Server 2012 fornece outra opo para
gerenciar objetos do AD DS. A Central
Administrativa do Active Directory fornece uma
GUI (interface grfica do usurio) compilada no
Windows PowerShell. Essa interface aprimorada
permite executar o gerenciamento de objeto do
Active Directory usando a navegao orientada a
tarefas. As tarefas que voc pode executar usando
a Central Administrativa do Active Directory
incluem:
Criar e gerenciar contas de usurio,

computador e grupo.
Criar e gerenciar UOs.
Conectar-se a vrios domnios dentro de uma nica instncia da Central Administrativa do

Active Directory e gerenci-los.
Pesquisar e filtrar os dados do Active Directory, compilando consultas.
Criar e gerenciar polticas de senha refinadas.
Recuperar objetos da Lixeira do Active Directory.
Requisitos de instalao
Voc pode instalar a Central Administrativa do Active Directory somente em computadores que esto
executando o Windows Server 2008 R2, o Windows Server 2012, o Windows 7 ou o Windows 8.
possvel instalar a Central Administrativa do Active Directory por meio da:
Instalao da funo de servidor do AD DS por meio do Gerenciador do Servidor.
Instalao das RSAT (Ferramentas de Administrao de Servidor Remoto) em um servidor

Windows Server 2012 ou Windows 8.
Observao: A Central Administrativa do Active Directory conta com o servio ADWS

(Servios Web do Active Directory), que voc deve instalar em pelo menos um controlador no
domnio. O servio tambm exige que a porta 9389 esteja aberta no controlador de domnio
onde o ADWS est em execuo.
3-17
Novos recursos da Central Administrativa do Active Directory no Windows Server 2012

A Central Administrativa do Active Directory contm vrios recursos novos no Windows Server 2012 que
habilitam o gerenciamento grfico da funcionalidade do AD DS:
Lixeira do Active Directory. A Central Administrativa do Active Directory agora oferece gerenciamento
completo da Lixeira do Active Directory. Os administradores podem usar a Central Administrativa do
Active Directory para exibir e localizar objetos excludos e gerenciar e restaurar esses objetos para
seus originais ou para outro local desejado.
Polticas Refinadas de Senha. A Central Administrativa do Active Directory tambm fornece uma
interface grfica do usurio para a criao e o gerenciamento de objetos de configuraes de senha
para implementar polticas refinadas de senha em um domnio do AD DS.
Visualizador de Histrico do Windows PowerShell. A funcionalidade Central Administrativa

do Active Directory criada no Windows PowerShell. Qualquer comando ou ao que voc
executa dentro da interface da Central Administrativa do Active Directory realizado no
Windows Server 2012 por meio dos cmdlets do Windows PowerShell. Quando um administrador
executa uma tarefa na interface da Central Administrativa do Active Directory, o Visualizador
de Histrico do Windows PowerShell mostra os comandos do Windows PowerShell que foram
emitidos para a tarefa. Isso permite que os administradores reutilizem cdigo para criar scripts
reutilizveis, bem como permite que eles se fiquem mais familiarizados com a sintaxe e o uso do
Windows PowerShell.
Viso geral do mdulo do Active Directory para Windows PowerShell

O mdulo do Active Directory para Windows
PowerShell no Windows Server 2012 consolida
um grupo de cmdlets que voc pode usar para
gerenciar seus domnios do Active Directory. O
Windows Server 2012 baseado no fundamento
criado no mdulo do Active Directory para o
Windows PowerShell originalmente introduzido
no Windows Server 2008 R2, adicionando outros
60 cmdlets que expandem as reas preexistentes
de recursos do Windows PowerShell e adicionam
novos recursos nas reas de replicao e controle
de acesso de recurso.
O mdulo do Active Directory para Windows PowerShell habilita o gerenciamento do AD DS nas
seguintes reas:
1.
Gerenciamento de usurios
2.
Gerenciamento do computador
3.
Gerenciamento de grupos
4.
Gerenciamento de UO
5.
Gerenciamento de poltica de senha
6.
Pesquisa e modificao de objetos
7.
Gerenciamento de floresta e domnio
8.
Gerenciamento de controlador de domnio e de mestre de operaes
9.
Gerenciamento de conta de servio gerenciado
10. Gerenciamento de replicao de site

11. Gerenciamento de acesso central e de declaraes
Exemplos de cmdlet
New-ADComputer cria um novo objeto de computador no AD DS.
Remove-ADGroup remove um grupo do Active Directory.
Set-ADDomainMode define o nvel funcional do domnio para um domnio do Active Directory.
Instalao
Voc pode instalar o mdulo do Active Directory usando qualquer um dos seguintes mtodos:
Por padro, em um servidor Windows Server 2008 R2 ou Windows Server 2012, quando voc instala
as funes de servidor do AD DS ou do AD LDS (Active Directory Lightweight Directory Services).
Por padro, quando voc torna um servidor Windows Server 2008 R2 ou Windows Server 2012
um controlador de domnio.
Como parte do recurso RSAT em um computador com Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8.
Demonstrao: Gerenciamento do AD DS usando ferramentas de

gerenciamento
Cada uma das vrias ferramentas de gerenciamento do AD DS tem uma finalidade na administrao do
ambiente completo do AD DS. Esta demonstrao mostrar as principais ferramentas que voc pode usar
para gerenciar o AD DS e uma tarefa que voc executa normalmente com a ferramenta.
Criar objetos em Usurios e Computadores do Active Directory.
Exibir atributos de objeto em Usurios e Computadores do Active Directory.
Navegar na Central Administrativa do Active Directory.
Executar uma tarefa administrativa na Central Administrativa do Active Directory.
Usar o Visualizador do Windows PowerShell na Central Administrativa do Active Directory.
Gerenciar objetos do AD DS com o Windows PowerShell.
Usurios e Computadores do Active Directory
Exibir objetos
1.
Em LON-DC1, abra Usurios e Computadores do Active Directory.
2.
Navegue na rvore de domnio Adatum.com, exibindo os objetos Contineres, UOs

(Unidades Organizacionais) e Computador, Usurio e Grupo.
Atualizar a exibio
Atualize a exibio em Usurios e Computadores do Active Directory.
Criar objetos
3-19
1.
Crie um novo objeto de computador denominado LON-CL4 no continer Computadores.
2.
Para criar um objeto em Usurios e Computadores do Active Directory, clique com o boto direito
em um domnio, um continer (como Usurios ou Computadores) ou uma unidade organizacional,
aponte para Novo e clique no tipo de objeto que voc deseja criar.
3.
Ao criar um objeto, solicitado que voc configure vrias das propriedades mais bsicas do objeto,
incluindo as propriedades requeridas pelo objeto.
Configurar atributos de objetos

1.
Em Usurios e Computadores do Active Directory, abra a pgina Propriedades de LON-CL4.
2.
Adicione LON-CL4 ao grupo Adatum/Research.
Exibir todos os atributos de objeto

1.
Habilite o modo de exibio Recursos Avanados em Usurios e Computadores do Active Directory.
2.
Abra a pgina Propriedades de LON-CL4 e exiba os atributos do AD DS.
Central Administrativa do Active Directory

Navegao
1.
Em LON-DC1, abra a Central Administrativa do Active Directory.
2.
Na Central Administrativa do Active Directory, clique nos ns de Navegao.
3.
Alterne para o modo de exibio de rvore.
4.
Expanda Adatum.com.
Executar tarefas administrativas

1.
Navegue para o modo de exibio Viso Geral.
2.
Redefina a senha de ADATUM\Adam para Pa$$w0rd, sem exigir que o usurio altere a senha no
prximo logon.
3.
Use a seo Pesquisa Global para localizar todos os objetos que correspondem cadeia de caracteres
de pesquisa Rex.
Usar o Visualizador de Histrico do Windows PowerShell

1.
Abra o painel Histrico do Windows PowerShell.
2.
Exiba o cmdlet do Windows PowerShell que voc usou para executar a tarefa mais recente.
Windows PowerShell
Criao de um grupo
1.
Abra o Mdulo Active Directory para Windows PowerShell.
2.
Crie um novo grupo chamado SalesManagers usando o seguinte comando:

New-ADGroup Name SalesManagersGroupCategory Security GroupScope Global
DisplayName Sales Managers Path CN=Users,DC=Adatum,DC=com
3.
Abra a Central Administrativa do Active Directory e confirme se o grupo SalesManagers est

presente no continer Users.
Mover um objeto para uma nova UO (unidade organizacional)

4.
No prompt do PowerShell, mova SalesManagers para a UO Vendas usando o seguinte comando:

Move-ADObject CN=SalesManagers,CN=Users,DC=Adatum,DC=com TargetPath
UO=Sales,DC=Adatum,DC=com
5.
Alterne para a Central Administrativa do Active Directory e confirme se o grupo SalesManagers foi
movidos para a UO Sales.
Gerenciamento das funes de mestre de operaes

Em um ambiente do AD DS, replicao de vrios
mestres significa que todos os controladores de
domnio tm os mesmos recursos gerais e
prioridades ao modificar o banco de dados
do AD DS. Porm, certas operaes devem ser
executadas por apenas um sistema. No AD DS,
mestres de operaes so controladores de
domnio que executam uma funo especfica
no ambiente de domnio.
Funes de mestre de operaes de toda

a floresta
O mestre de esquema e o mestre de nomeao do
domnio devem ser exclusivos na floresta. Cada funo executada por apenas um controlador de
domnio na floresta inteira.
Funo do mestre de nomeao de domnio

A funo de nomeao de domnio usada ao adicionar ou remover domnios e parties de aplicativo
na floresta. Quando voc adicionar ou remover um domnio ou uma partio de aplicativo, o mestre de
nomeao de domnio dever estar acessvel ou a operao falhar.
Funo de Mestre de Esquema
O controlador de domnio que retm a funo de mestre de esquema responsvel por fazer alteraes
no esquema da floresta. Todos os outros controladores de domnio retm rplicas somente leitura do
esquema. Quando voc precisar modificar o esquema, as modificaes devero ser enviadas ao
controlador de domnio que hospeda a funo de mestre de esquema.
Funes de mestre de operaes de todo o domnio
3-21
Cada domnio mantm trs operaes de mestre nico: mestre de RID (identificador relativo), mestre de
infraestrutura e Emulador PDC (controlador de domnio primrio). Cada funo executada por apenas
um controlador no domnio.
Funo de mestre de RID
O mestre de RID executa uma parte integrante na gerao de SIDs (identificadores de segurana) para
entidades de segurana, como usurios, grupos e computadores. O SID de uma entidade de segurana deve
ser exclusivo. Como qualquer controlador de domnio pode criar contas e, portanto, SIDs, um mecanismo
necessrio para assegurar que os SIDs gerados por um controlador de domnio sejam exclusivos. Os
controladores de domnio do Active Directory geram SIDs acrescentando um RID exclusivo ao SID de
domnio. O mestre de RID do domnio aloca pools de RIDs exclusivos para cada controlador no domnio.
Portanto, cada controlador de domnio pode ter certeza de que os SIDs que ele gera so exclusivos.
Funo de mestre de infraestrutura
Em um ambiente de diversos domnios, comum para um objeto fazer referncia a objetos em outros
domnios. Por exemplo, um grupo pode incluir membros de outro domnio. Seu atributo de membro com
vrios valores contm os nomes distintos de cada membro. Se o membro no outro domnio for movido
ou renomeado, o mestre de infraestrutura do domnio do grupo atualizar as referncias ao objeto.
Funo de Emulador PDC

A funo de Emulador PDC executa vrias funes cruciais para um domnio:
Participa do controle especial de atualizao de senha para o domnio. Quando a senha de

um usurio redefinida ou alterada, o controlador de domnio que faz a alterao a replica
imediatamente ao emulador PDC. Essa replicao especial assegura que os controladores de domnio
saibam a nova senha o mais rpido possvel.
Gerencia atualizaes da Poltica de Grupo em um domnio. Se voc modificar um GPO em dois

controladores de domnio aproximadamente ao mesmo tempo, poder haver conflitos entre as duas
verses que no puderam ser reconciliadas conforme o GPO se replicava. Para evitar esta situao,
o emulador PDC funciona como o foco padro para todas as alteraes de Poltica de Grupo.
Fornece uma origem de tempo mestre para o domnio. Muitos componentes e tecnologias do
Windows contam com carimbos de data e hora, portanto, sincronizar o tempo em todos os sistemas
de um domnio crucial. O emulador PDC no domnio raiz da floresta o mestre de tempo para a
floresta inteira, por padro. O emulador PDC em cada domnio sincroniza seu tempo com o emulador
PDC raiz da floresta. Outros controladores no domnio sincronizam seus relgios com relao ao
emulador PDC desse domnio. Todos os outros membros de domnio sincronizam o tempo com seus
controladores de domnio preferidos.
Age como o navegador do mestre de domnio. Ao abrir rede no Windows, voc v uma lista de
grupos de trabalho e domnios e, ao abrir um grupo de trabalho ou domnio, voc v uma lista de
computadores. O servio de navegador cria essas duas listas, chamadas listas de procura. Em cada
segmento de rede, um navegador mestre cria o lista de procura: as listas de grupos de trabalho,
domnios e servidores nesse segmento. O navegador mestre de domnio usado para mesclar as
listas de cada navegador mestre, de forma que os clientes de procura possam recuperar uma lista de
procura abrangente.
Diretrizes para posicionamento das funes de mestre de operaes
Coloque as funes do nvel de domnio em um controlador de domnio de alto desempenho.
No coloque a funo do nvel de domnio Mestre de Infraestrutura em um servidor de catlogo

global, exceto quando sua floresta contiver apenas um domnio ou todos os controladores de
domnio em sua floresta tambm forem catlogos globais.
Deixe as duas funes do nvel de floresta em um controlador no domnio raiz da floresta.
Ajuste a carga de trabalho do emulador PDC, se necessrio, descarregando funes que no so

do AD DS em outros servidores.
Observao: Voc pode exibir a atribuio de funes de mestre de operaes executando

o seguinte de um prompt de comando:
Netdom query fsmo
Gerenciamento de backup e recuperao do AD DS

Em verses anteriores do Windows, o backup do
Active Directory envolvia a criao de um backup
do SystemState, que era uma pequena coleo
de arquivos que incluam o banco de dados do
Active Directory e o Registro.
No Windows Server 2012, o conceito de
SystemState ainda existe, mas muito maior.
Por causa das interdependncias entre funes de
servidor, configurao fsica e Active Directory,
o SystemState agora um subconjunto de um
backup de Servidor Completo e, em algumas
configuraes, pode ser apenas maior. Para fazer
backup de um controlador de domnio, voc deve fazer backup de todos os volumes crticos
completamente.
Restaurao de dados do AD DS
Quando um controlador de domnio ou seu diretrio est corrompido, danificado ou com falha, voc tem
vrias opes com as quais restaurar o sistema.
Restaurao no autoritativa
3-23
A primeira opo desse tipo chamada restaurao normal ou no autoritativa. Em uma operao
de restaurao normal, voc restaura um backup do Active Directory a partir de uma data vlida.
Efetivamente, voc reverte o controlador de domnio no tempo. Quando o AD DS reiniciado no
controlador de domnio, o controlador de domnio contata os parceiros de sua replicao e solicita todas
as atualizaes subsequentes. Efetivamente, o controlador de domnio captura o restante do domnio
usando mecanismos de replicao padro.
A restaurao normal til quando o diretrio em um controlador de domnio foi danificado ou

corrompido, mas o problema no se dispersou para outros controladores de domnio. O que acontece
em uma situao em que ocorreu o dano e ele foi replicado? Por exemplo, o que acontece se voc exclui
um ou mais objetos e essa excluso foi replicada?
Nessas situaes, uma restaurao normal no suficiente. Se voc restaurar uma verso vlida do
Active Directory e reiniciar o controlador de domnio, a excluso (que aconteceu subsequente ao backup)
simplesmente replicar novamente para o controlador de domnio.
Restaurao autoritativa
Quando uma cpia vlida do AD DS foi restaurada e contm objetos que devem substituir objetos
existentes no banco de dados do AD DS, uma restaurao autoritativa necessria. Em uma restaurao
autoritativa, voc restaura a verso vlida do Active Directory da mesma maneira que faz em uma
restaurao normal. Porm, antes de reiniciar o controlador de domnio, voc marca os objetos excludos
acidentalmente ou corrompidos anteriormente que deseja reter como autoritativos, de forma que eles
replicaro do controlador de domnio restaurado para seus parceiros de replicao. No segundo plano,
quando voc marca objetos como autoritativos, o Windows incrementa o nmero de verso de todos os
atributos de objeto para ser to alto que a verso virtualmente garantida ser mais alta que o nmero
de verso em todos os outros controladores de domnio.
Quando o controlador de domnio restaurado reiniciado, ele replica de seus parceiros de replicao
todas as alteraes que foram feitas no diretrio. Ele tambm notifica seus parceiros que foram feitas
alteraes, e os nmeros de verso das alteraes asseguram que os parceiros adotem as alteraes e
as repliquem em todo o servio de diretrio. Nas florestas com a Lixeira do Active Directory habilitada,
voc pode usar a Lixeira do Active Directory como uma alternativa mais simples para uma restaurao
autoritativa.
Outras opes de restaurao
A terceira opo para restaurar o servio de diretrio restaurar o controlador de domnio inteiro. Isto
feito inicializando o Ambiente de Recuperao do Windows e restaurando um backup completo de
servidor do controlador de domnio. Por padro, esta uma restaurao normal. Se tambm precisar
marcar objetos como autoritativos, voc dever reiniciar o servidor no Modo de Restaurao dos Servios
de Diretrio e dever definir esses objetos como autoritativos antes de iniciar o controlador de domnio
em operao normal.
Finalmente, possvel restaurar um backup do SystemState para um local alternativo. Isso permite
examinar arquivos e, possivelmente, montar o arquivo NTDS.dit. Voc no deve copiar os arquivos de um
local de restaurao alternativo sobre as verses de produo desses arquivos. No faa uma restaurao
por etapas do Active Directory. Voc tambm poder usar esta opo se desejar usar a opo Instalar
da Mdia para criar um novo controlador de domnio.
Lio 5
Gerenciamento do banco de dados do AD DS
Na parte principal do ambiente do AD DS est o banco de dados do AD DS. O banco de dados do AD DS

contm todas as informaes crticas necessrias para fornecer a funcionalidade do AD DS. A manuteno
adequada desse banco de dados um aspecto crtico do gerenciamento do AD DS e existem vrias
ferramentas e prticas recomendadas das quais voc deve estar ciente para que possa gerenciar seu
banco de dados do AD DS com eficcia. Esta lio apresentar o gerenciamento do banco de dados do
AD DS e mostrar as ferramentas e os mtodos para mant-lo.
Objetivos da lio
Explicar a arquitetura do banco de dados do AD DS.
Descrever o NTDSUtil.
Explicar o AD DS reinicivel.
Explicar como executar o gerenciamento de banco de dados do AD DS.
Descrever como criar instantneos do AD DS.
Explicar como restaurar objetos excludos.
Descrever como configurar a Lixeira do Active Directory.
Noes bsicas sobre o banco de dados do AD DS

As informaes do AD DS so armazenadas no
banco de dados do diretrio. Cada partio de
diretrio, tambm chamada de contexto de
nomenclatura, contm objetos de um escopo de
replicao e finalidade especfica. H trs parties
do AD DS em cada controlador de domnio, como
segue:
Domnio. A partio Domnio contm todos

os objetos armazenados em um domnio,
incluindo usurios, grupos, computadores e
GPCs (contineres de poltica de grupo).
Configuration (Configurao). A partio

Configurao contm objetos que representam a estrutura lgica da floresta, incluindo informaes
sobre domnios, bem como a topologia fsica, incluindo sites, sub-redes e servios.
Esquema. A partio Esquema define as classes de objeto e seus atributos para o diretrio inteiro.
Os controladores de domnio tambm podem hospedar parties de aplicativo. Voc pode usar parties
de aplicativo para limitar a replicao de dados especficos do aplicativo para um subconjunto de
controladores de domnio. O DNS integrado do Active Directory um exemplo comum de aplicativo
que tira proveito das parties do aplicativo.
Cada controlador de domnio mantm uma cpia, ou rplica, de vrias parties. A Configurao
replicada a todos os controladores de domnio na floresta, assim como o Esquema. A partio Domnio
de um domnio replicada a todos os controladores dentro de um domnio, mas no a controladores em
outros domnios, com a exceo dos servidores de catlogos globais. Portanto, cada controlador de
domnio tem pelo menos trs rplicas: a partio Domnio para seu domnio, Configurao e Esquema.
Arquivos de banco de dados do AD DS
3-25
O banco de dados do AD DS armazenado como um arquivo denominado NTDS.dit. Ao instalar e

configurar o AD DS, voc pode especificar o local do arquivo. O local padro %systemroot%\NTDS. No
NTDS.dit, todas as parties so hospedadas pelo controlador de domnio: o esquema e a configurao
de floresta; o contexto de nomenclatura de domnio; e, dependendo da configurao do servidor, o
conjunto de atributos parcial e as parties de aplicativo.
Na pasta NTDS, existem outros arquivos que do suporte ao banco de dados do Active Directory.
Os arquivos Edb*.log so os logs de transaes do Active Directory. Quando uma alterao deve ser feita
no diretrio, primeiro ela gravada no arquivo de log. A alterao confirmada no diretrio como uma
transao. Se a transao falhar, poder ser revertida.
A tabela a seguir descreve os diferentes componentes de nvel do arquivo do banco de dados do AD DS.
Arquivo
NTDS.dit
Descrio
Arquivo principal do banco de dados do AD DS
Contm todas as parties e objetos do AD DS
EDB*.log
Log(s) de transaes
EDB.chk
Arquivo do ponto de verificao do banco de dados
Edbres00001.jrs
Edbres00002.jrs
Arquivo reserva do log de transaes que permite que o diretrio

processe transaes se o servidor ficar sem espao em disco
Modificaes e replicao do banco de dados do AD DS
Em operaes normais, o log de transaes se dispe ao redor com novas transaes substituindo
transaes antigas que haviam sido confirmadas. Porm, se um nmero grande de transaes for feito
dentro de um curto perodo de tempo, o AD DS criar arquivos adicionais de log de transaes, de forma
que voc possa ver vrios arquivos EDB*.log se consultar a pasta NTDS de um controlador de domnio
particularmente ocupado. Com o passar do tempo, esses arquivos so removidos automaticamente.
O arquivo EDB.chk funciona como um indicador nos arquivos de log, marcando o local antes do qual as
transaes foram confirmadas com xito no banco de dados e depois do qual as transaes permanecem
para serem confirmadas.
Se uma unidade de disco estiver sem espao, ser altamente problemtico para o servidor. Ser ainda
mais problemtico se esse disco estiver hospedando o banco de dados do AD DS, porque as transaes
que podem estar pendentes no podero ser gravadas nos logs. Portanto, o AD DS mantm dois arquivos
de log adicionais, edbres0001.jrs e edbres0002.jrs. Esses so arquivos vazios de 10 MB (megabytes) cada.
Quando um disco est sem espao para logs de transaes normais, o AD DS recruta o espao usado por
esses dois arquivos para gravar as transaes que esto atualmente em uma fila. Depois disso, ele encerra
com segurana os servios do AD DS e desmonta o banco de dados. Obviamente que ser importante
para um administrador corrigir o problema de pouco espao em disco o mais rpido possvel. O arquivo
simplesmente fornece uma soluo temporria para impedir o servio de diretrio de recusar novas
transaes.
O que NTDSUtil?
O NTDSUtil um executvel de linha de
comando que voc pode usar para executar
manuteno do banco de dados, incluindo a
criao de instantneos, a desfragmentao
offline e a realocao dos arquivos do banco
de dados.
Voc tambm pode usar o NTDSUtil para limpar
metadados do controlador de domnio. Se um
controlador de domnio for removido do domnio
enquanto estiver offline, no ser possvel remover
informaes importantes do servio de diretrio.
Voc pode usar o NTDSUtil para limpar os
excedentes do controlador de domnio e muito importante fazer isso.
O NTDSUtil tambm pode redefinir a senha usada para fazer logon no Modo de Restaurao dos Servios
de Diretrio. Essa senha configurada inicialmente durante a configurao de um controlador de
domnio. Se voc esquecer a senha, o comando NTDSUtil set dsrm poder redefini-la.
Noes bsicas sobre o AD DS reinicivel

Na maioria dos cenrios em que o gerenciamento
do AD DS necessrio, voc deve reiniciar o
controlador de domnio no modo de Restaurao
dos Servios de Diretrio.
O Windows Server 2012 permite que os
administradores parem e iniciem o AD DS da
mesma maneira que qualquer outro servio e sem
reiniciar um controlador de domnio, a fim de
executar algumas tarefas de gerenciamento
rapidamente. Este recurso chamado Servios de
Domnio do Active Directory Reiniciveis.
O AD DS reinicivel reduz o tempo necessrio

para executar certas operaes. Voc pode parar o AD DS de forma que possa aplicar atualizaes a
um controlador de domnio. Alm disso, os administradores podem parar o AD DS para executar tarefas
como desfragmentao offline do banco de dados do Active Directory, sem reiniciar o controlador de
domnio. Outros servios que esto em execuo no servidor e que no dependem do AD DS funcionar,
como o Protocolo DHCP, permanecem disponveis para satisfazer solicitaes do cliente enquanto
o AD DS interrompido.
3-27
O AD DS reinicivel est disponvel por padro em todos os controladores de domnio que executam o
Windows Server 2012. No h nenhum requisito de nvel funcional ou qualquer outro pr-requisito para
usar este recurso.
Observao: Voc no pode executar uma restaurao de estado do sistema de um controlador
de domnio enquanto o AD DS est interrompido. Para concluir uma restaurao de estado do
sistema de um controlador de domnio, voc precisa iniciar no DSRM (Modo de Restaurao dos
Servios de Diretrio). No entanto, voc pode executar uma restaurao autoritativa dos objetos
do Active Directory enquanto o AD DS est interrompido usando Ntdsutil.exe.
O AD DS reinicivel adiciona pequenas alteraes aos snap-ins existentes do MMC (Console de

Gerenciamento Microsoft). Um controlador de domnio que executa o Windows Server 2012 AD DS
exibe o Controlador de Domnio no n Servios (Local) dos snap-ins Servios de Componentes e
Gerenciamento do Computador. Usando o snap-in, um administrador pode parar e reiniciar facilmente
o AD DS da mesma maneira que faria com qualquer outro servio que est executando localmente
no servidor.
Embora parar o AD DS seja similar a fazer logon no Modo de Restaurao dos Servios de Diretrio,
o AD DS reinicivel fornece um estado exclusivo, conhecido como AD DS Interrompido, para um
controlador de domnio que est executando o Windows Server 2012.
Estados do controlador de domnio

Os trs estados possveis para um controlador de domnio que executa o Windows Server 2012 so:
AD DS Iniciado. Neste estado, AD DS iniciado. O controlador de domnio pode executar as tarefas

relacionadas ao AD DS normalmente.
AD DS Interrompido. Neste estado, o AD DS est interrompido. Embora este modo seja exclusivo, o
servidor tem algumas caractersticas de um controlador de domnio no DSRM e um servidor membro
associado ao domnio.
DSRM. Este modo (ou estado) permite tarefas administrativas padro do AD DS.
Com o DSRM, o banco de dados do Active Directory (Ntds.dit) no controlador de domnio local est
offline. Outro controlador de domnio pode ser contatado para logon, se um estiver disponvel. Se
nenhum outro controlador de domnio puder ser contatado, por padro voc pode executar um dos
procedimentos a seguir:
Fazer logon localmente no controlador de domnio no DSRM usando a senha do DSRM.
Reiniciar o controlador de domnio para fazer logon com uma conta de domnio.
Como ocorre com um servidor membro, o servidor associado ao domnio. Isso significa que a Poltica
de Grupo e outras configuraes ainda sejam aplicadas ao computador. No entanto, um controlador de
domnio no deve permanecer no estado AD DS Interrompido por um perodo estendido porque, neste
estado, ele no pode atender solicitaes de logon ou replicar com outros controladores de domnio.
Demonstrao: Execuo da manuteno do banco de dados do AD DS

H vrias tarefas e ferramentas relacionadas que voc pode usar para executar a manuteno do banco
de dados do AD DS.
Parar o AD DS.
Executar uma desfragmentao offline do banco de dados do AD DS.
Verificar a integridade do banco de dados do AD DS.
Iniciar o AD DS.
Parar o AD DS
1.
No LON-DC1, abra o console Servios.
2.
Pare o servio Servios de Domnio Active Directory.
Executar uma desfragmentao offline do banco de dados do AD DS
Execute os comandos a seguir de um prompt do Windows PowerShell. Pressione Enter depois

de cada linha:
ntdsutil
activate instance NTDS
files
compact to C:\
Verificar a integridade do banco de dados offline

1.
Execute os comandos a seguir de um prompt do Windows PowerShell. Pressione Enter depois de

cada linha:
Integrity
quit
Quit
2.
Feche a janela do prompt de comando.
Iniciar o AD DS
1.
Abra o console dos Servios.
2.
Inicie o servio Servios de Domnio Active Directory.
Criao de instantneos do AD DS
O NTDSUtil no Windows Server 2012 pode criar e
montar instantneos do AD DS. Um instantneo
uma forma de backup histrico que captura o
estado exato do servio de diretrio no momento
do instantneo. Voc pode usar ferramentas para
explorar o contedo de um instantneo para
examinar o estado do servio de diretrio no
momento em que o instantneo foi criado ou para
conectar a um instantneo montado com LDIFDE e
exportar um objeto de reimportao para o AD DS.
Criao de um instantneo do AD DS
Para criar um instantneo:
3-29
1.
Abra o prompt de comando.
2.
Digite ntdsutil e pressione Enter.
3.
Digite snapshot e pressione Enter.
4.
Digite activate instance ntds e pressione Enter.
5.
Digite create e pressione Enter.
6.
O comando retorna uma mensagem que indica que o conjunto de instantneos foi gerado com xito.
7.
O GUID exibido importante para comandos em tarefas subsequentes. Anote o GUID ou,
alternativamente, copie-o para a rea de Transferncia.
8.
Digite quit e pressione Enter.
Agende instantneos do Active Directory regularmente. Voc pode usar o Agendador de Tarefas para
executar um arquivo em lotes usando os comandos NTDSUtil apropriados.
Montagem de um instantneo do AD DS
Para exibir o contedo de um instantneo, voc deve montar o instantneo como uma nova instncia
do AD DS. Isto tambm realizado com NTDSUtil.
Para montar um instantneo:
1.
Abra um prompt de comando com privilgios elevados.
2.
3.
4.
5.
Digite list all e pressione Enter.
6.
O comando retorna uma lista de todos os instantneos.
7.
Digite mount {GUID}, em que GUID o GUID retornado pelo comando de criao de instantneo e
pressione Enter.
8.
9.
10. Digite dsamain -dbpath c:\$SNAP_datetime_VOLUMEC$\windows\ntds\

ntds.dit -ldapport 50000 e pressione Enter.
11. O nmero de porta, 50000, pode ser qualquer nmero de porta TCP aberta e exclusiva.
12. Uma mensagem indica que a inicializao dos Servios de Domnio Active Directory est concluda.
13. No feche a janela do prompt de comando e deixe o comando que voc acabou de executar,
Dsamain.exe, em execuo enquanto continua na prxima etapa.
Exibio de um instantneo do AD DS
Depois que o instantneo foi montado, voc pode usar ferramentas para conectar a ele e explor-lo.
At mesmo Usurios e Computadores do Active Directory podem conectar instncia.
Para conectar a um instantneo com Usurios e Computadores do Active Directory:
1.
Abra Usurios e Computadores do Active Directory.
2.
Clique com o boto direito do mouse no n raiz e clique em Alterar Controlador de Domnio.
3.
A caixa de dilogo Alterar Servidor de Diretrio exibida.
4.
Clique em <Digite um nome de Servidor de Diretrio[:porta] aqui>.
5.
Digite LON-DC1:50000 e pressione Enter.
6.
LON-DC1 o nome do controlador de domnio no qual voc montou o instantneo e 50000 o

nmero de porta TCP que voc configurou para a instncia. Voc agora est conectado ao instantneo.
7.
Clique em OK.
Observe que os instantneos so somente leitura. Voc no pode modificar o contedo de um

instantneo. Alm disso, no h mtodos diretos com o qual mover, copiar ou restaurar objetos ou
atributos do instantneo para a instncia de produo do Active Directory.
Desmontagem de um instantneo do AD DS
Para desmontar o instantneo:
1.
Alterne para o prompt de comando no qual o instantneo montado.
2.
Pressione Ctrl+C para parar DSAMain.exe.
3.
4.
5.
6.
Digite unmount GUID, em que GUID o GUID do instantneo, e pressione Enter.
7.
8.
Noes bsicas sobre como restaurar objetos excludos

Quando um objeto no AD DS excludo,
movido para o continer Objetos Excludos
e separado de muitos atributos importantes.
Voc pode estender a lista de atributos que
permanecem quando um objeto excludo,
mas nunca pode reter valores de atributos
vinculados (como associao de grupo).
Contanto que o objeto ainda no tenha sido
eliminado pelo processo de coleta de lixo depois
de atingir o fim de seu tempo de vida para
desativao, voc poder restaurar ou reanimar
o objeto excludo.
Para restaurar um objeto excludo:
1.
Clique em Iniciar e, na caixa Iniciar Pesquisa, digite LDP.exe e pressione Ctrl+Shift+Enter, que
executa o comando como um administrador.
2.
A caixa de dilogo Controle de Conta de Usurio exibida.
3.
Clique em Usar outra conta.
4.
Na caixa Nome do usurio, digite o nome do usurio de um administrador.
5.
Na caixa Senha, digite a senha da conta administrativa e pressione Enter.
6.
O LDP aberto.
7.
Clique no menu Conexo, clique em Conectar e em OK.
8.
Clique no menu Conexo, clique em Associar e em OK.
9.
Clique no menu Options e em Controles.
10. Na lista Carregar Predefinidos, clique em Return deleted objects em OK.

11. Clique no menu Exibir, clique em rvore e em OK.
12. Expanda o domnio e clique duas vezes em CN=DeletedObjects, DC=Adatum, DC=com.
13. Clique com o boto direito do mouse no Deleted Objects, e clique em Modificar.
14. Na caixa Atributo, digite isDeleted.
15. Na seo Operao, clique em Excluir.
16. Pressione Enter.
17. Na caixa Atributo, digite distinguishedName.
3-31
18. Na caixa Valores, digite o nome distinto do objeto no continer pai ou a UO em que voc deseja que
a restaurao do objeto ocorra. Por exemplo, digite o nome distinto do objeto antes de ser excludo.
19. Na seo Operao, clique em Substituir.
20. Pressione Enter.
21. Marque a caixa de seleo Estendido.
22. Clique em Executar, em Fechar e em LDP.
23. Use Usurios e Computadores do Active Directory para repopular os atributos do objeto, redefina
a senha (de um objeto de usurio) e habilite o objeto (se desabilitado).
Configurao da Lixeira do Active Directory

No Windows 2012, a Lixeira do Active Directory
pode ser habilitada para fornecer um processo
simplificado de restaurao de objetos excludos.
Este recurso supera problemas com a restaurao
autoritativa ou a reanimao de marca para
excluso. A Lixeira do Active Directory permite
que os administradores restaurem os objetos
excludos com funcionalidade completa, sem
precisar restaurar dados do AD DS de backups e
reiniciar o AD DS ou reinicializar controladores de
domnio. A Lixeira do Active Directory baseada
na infraestrutura existente de reanimao da
marca para excluso e aprimora sua capacidade
para preservar e recuperar objetos do Active Directory excludos acidentalmente.
Como a Lixeira do Active Directory funciona
Quando voc habilita a Lixeira do Active Directory, todos os atributos com valores de link e sem valores
de link dos objetos do Active Directory excludos so preservados, e os objetos so restaurados em sua
totalidade para o mesmo estado lgico consistente em que estavam imediatamente antes da excluso.
Por exemplo, as contas de usurio restauradas recuperam automaticamente todas as associaes de
grupo e direitos de acesso correspondentes que tiveram imediatamente antes da excluso, dentro e por
domnios. A Lixeira do Active Directory funciona nos ambiente do AD DS e do AD LDS (Active Directory
Lightweight Directory Services).
Depois que voc habilita a Lixeira do Active Directory, quando um objeto do Active Directory excludo,
o sistema preserva todos os atributos com valores de link e sem valores de link do objeto e o objeto se
torna logicamente excludo. Um objeto excludo movido para o continer Objetos Excludos e seu nome
distinto danificado. Um objeto excludo permanece no continer Objetos Excludos em um estado
logicamente excludo durante todo o tempo de vida do objeto excludo. Dentro do tempo de vida do
objeto excludo, voc pode recuperar um objeto excludo com Lixeira do Active Directory e torn-lo
novamente um objeto ativo do Active Directory.
O tempo de vida do objeto excludo determinado pelo valor do atributo msDS-deletedObjectLifetime.

Para um item excludo depois que a Lixeira do Active Directory foi habilitada (objeto reciclado), o tempo
de vida do objeto reciclado determinado pelo valor do atributo tombstoneLifetime herdado. Por
padro, msDS-deletedObjectLifetime definido como nulo. Quando msDS-deletedObjectLifetime
est definido como nulo, o tempo de vida do objeto excludo definido como o valor do tempo de vida
do objeto reciclado. Por padro, o tempo de vida do objeto reciclado, que armazenado no atributo
tombstoneLifetime, tambm definido como nulo. Quando tombstoneLifetime est definido como
nulo, o tempo de vida do objeto reciclado padronizado para 180 dias. Voc pode modificar os valores
dos atributos msDS-deletedObjectLifetime e tombstoneLifetime a qualquer momento. Quando
msDS-deletedObjectLife definido como algum valor diferente de nulo, no assume mais o valor
de tombstoneLifetime.
Habilitao da Lixeira do Active Directory

Voc pode habilitar a Lixeira do Active Directory somente quando o nvel funcional da floresta est
definido como Windows Server 2008 R2 ou superior.
3-33
Para habilitar a Lixeira do Active Directory no Windows 2012, voc pode executar um dos procedimentos
a seguir:
No mdulo do Active Directory para prompt do Windows PowerShell, use o cmdlet EnableADOptionalFeature.
Na Central Administrativa do Active Directory, selecione o domnio e clique em Habilitar Lixeira

do Active Directory no painel Tarefas.
Somente itens excludos depois que a Lixeira do Active Directory est ativada podem ser restaurados da
Lixeira do Active Directory.
Restaurao de itens da Lixeira do Active Directory
No Windows Server 2012, a Central Administrativa do Active Directory fornece uma interface grfica para
restaurar objetos do AD DS que so excludos. Quando a Lixeira do Active Directory tiver sido habilitada, o
continer Objetos Excludos estar visvel na Central Administrativa do Active Directory. Objetos excludos
sero visveis neste continer at o perodo de tempo de vida desses objetos expirar. Voc pode escolher
restaurar os objetos para o local original ou para um local alternativo dentro do AD DS.
Cenrio
Reino Unido. Um escritrio de TI e um data center localizados em Londres para dar suporte ao escritrio
matriz e a outros locais. A A. Datum implantou recentemente uma infraestrutura de cliente e servidor
A. Datum est fazendo vrias mudanas organizacionais que exigem modificaes na infraestrutura
do AD DS. Um novo local requer um mtodo seguro de fornecimento do AD DS no local, e foi solicitado
que voc estendesse os recursos da Lixeira do Active Directory organizao inteira.
Mquina(s) virtual(is)
24411B-LON-DC1
24411B-LON-SVR1
Nome de usurio
Administrador
Senha
Pa$$w0rd
Objetivos
Instalar e configurar um RODC.
Configurar e exibir instantneos do Active Directory.
Configurar a lixeira do Active Directory.
1.

2.
3.
4.
5.
a.
b.
Senha: Pa$$w0rd
c.
Domnio: Adatum
Repita as etapas 2 at 4 para 24411B-LON-SVR1.
Exerccio 1: Instalao e configurao de um RODC

Cenrio
3-35
A. A Datum est adicionando uma nova filial. Foi solicitado que voc configure um RODC para atender
solicitaes de logon na filial. Voc tambm precisa configurar polticas de senha que assegurem o
armazenamento em cache somente de senhas para usurios locais na filial.
1.
Verificar os requisitos para instalar um RODC
2.
Instalar um RODC
3.
Configurar uma poltica de replicao de senha
Tarefa 1: Verificar os requisitos para instalar um RODC

1.
Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory.
2.
Nas propriedades de Adatum.com, verifique se o nvel funcional da floresta pelo menos o Windows
Server 2003.
3.
Em LON-SVR1, abra o Gerenciador do Servidor e verifique se o computador um membro de

domnio.
4.
Use Propriedades do Sistema para colocar o LON-SVR1 em um grupo de trabalho denominado

TEMPORRIO.
5.
Reinicie LON-SVR1.
6.
7.
Exclua a conta de computador LON-SVR1 do continer Computadores.
8.
Na UO Domain Controllers, pr-crie uma conta de RODC usando configuraes padro, com
exceo do seguinte:
9.
Nome do computador: LON-SVR1
Delegado para: ADATUM\IT
Feche Usurios e Computadores do Active Directory.
Tarefa 2: Instalar um RODC

1.
Entre em LON-SVR1 como Administrador com a senha Pa$$w0rd.
2.
Em LON-SVR1, adicione a Funo Servios de Domnio Active Directory.
3.
Conclua o Assistente de Instalao dos Servios de Domnio do Active Directory usando opes
padro, exceto estas listadas abaixo:
4.
Domnio: Adatum.com
Credenciais de rede: ADATUM\April (um membro do grupo de TI)
Senha para abril: Pa$$w0rd
Senha do modo de restaurao dos Servios de Diretrio: Pa$$w0rd
Replicar de: LON-DC1.Adatum.com
Quando a instalao for concluda, reinicie o LON-SVR1.
Tarefa 3: Configurar uma poltica de replicao de senha
1.
2.
No continer Users, exiba a associao do Grupo de Replicao de Senha RODC Permitido e

verifique se no h membros atuais.
3.
Na UO Domain Controllers, abra as propriedades de LON-SVR1.
4.
Na guia Diretiva de Replicao de Senha, verifique se o Grupo de Replicao de Senha RODC

Permitido e o Grupo de Replicao de Senha RODC Negado esto listados.
5.
Em LON-DC1, em Usurios e Computadores do Active Directory, na UO Research, crie um novo

grupo denominado Usurios de Escritrio Remoto.
6.
Adicione Aziz, Colin, Lukas, Louise e LON-CL1 associao de Usurios de Escritrio Remoto.
7.
Em LON-DC1, em Usurios e Computadores do Active Directory, clique na UO Domain

Controllers e abra as propriedades de LON-SVR1.
8.
Na guia Diretiva de Replicao de Senha, permita que o grupo Usurios de Escritrio Remotos
replique senhas para LON-SVR1.
9.
Em LON-DC1, em Usurios e Computadores do Active Directory, na UO Controladores de

Domnio, abra as propriedades de LON-SVR1.
10. Na guia Diretiva de Replicao de Senha, abra a configurao Avanada. Na guia Diretiva
Resultante, adicione Aziz, e confirme que a senha de Aziz pode ser armazenada em cache.
11. Tente fazer logon no LON-SVR1 como Aziz. Este logon falhar porque o Aziz no tem permisso para
fazer logon no RODC, mas a autenticao executada e as credenciais so armazenadas em cache.
12. Em LON-DC1, em Usurios e Computadores do Active Directory, na UO Domain Controllers,
abra as propriedades de LON-SVR1.
13. Na guia Diretiva de Replicao de Senha, abra a configurao Avanado.
14. Na guia Uso da Poltica, selecione a opo Contas que foram autenticadas para este Controlador
de Domnio Somente Leitura. Note que a senha de Aziz foi armazenada em cache.
15. Em LON-DC1, em Usurios e Computadores do Active Directory, na UO Domain Controllers,
clique em LON-SVR1 e em Propriedades.
16. Na guia Diretiva de Replicao de Senha, abra a configurao Avanado.
17. Na guia Uso de Poltica, pr-popule a senha para Louise e LON-CL1.
18. Leia a lista de senhas armazenadas em cache e confirme que Louise e LON-CL1 foram adicionadas.
19. Feche todas as janelas em LON-DC1.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado um RODC.
Exerccio 2: Configurao de instantneos do AD DS

Cenrio
3-37
Como parte do plano geral de recuperao de desastres da A. Datum, voc foi instrudo a testar
o processo para tirar instantneos do Active Directory e exibi-los. Se o processo tiver xito, voc o
agendar para que ocorra regularmente com a inteno de auxiliar na recuperao de objetos do AD DS
excludos ou modificados.
1
Criar um instantneo do AD DS.
Fazer uma alterao no AD DS.
Montar um instantneo do Active Directory e criar uma nova instncia.
Explorar um instantneo com Usurios e Computadores do Active Directory.
Desmontar um instantneo do Active Directory.
Tarefa 1: Criar um instantneo do AD DS

1.
Em LON-DC1, abra uma janela de prompt de comando e digite os comandos a seguir, sempre
seguidos de Enter:
ntdsutil
snapshot
activate instance ntds
create
quit
Quit
2.
O comando retorna uma mensagem que indica que o conjunto de instantneos foi gerado com xito.
O GUID (identificador globalmente exclusivo) exibido importante para comandos em tarefas
subsequentes. Anote o GUID ou copie-o para a rea de Transferncia.
Tarefa 2: Fazer uma alterao no AD DS

1.
Em LON-DC1, abra o Gerenciador do Servidor.
2.
No Gerenciador do Servidor, abra Usurios e Computadores do Active Directory.
3.
Exclua a conta de Adam Barr da UO Marketing.
Tarefa 3: Montar um instantneo do Active Directory e criar uma nova instncia

1.
Abra um prompt de comando administrativo e digite os comandos a seguir, sempre seguidos de Enter:
ntdsutil
snapshot
list all
O comando retorna uma lista de todos os instantneos.

2.
Digite os comandos a seguir, cada um seguido de Enter:

mount guid
quit
Quit
Em que guid o GUID do instantneo que voc criou.
3.
Use o instantneo para iniciar uma instncia do Active Directory digitando o comando a seguir, tudo
em uma linha, e pressione Enter:
dsamain /dbpath c:\$SNAP_datetime_VOLUMEC$\windows\ntds\ntds.dit /ldapport 50000
Observe que datetime ser um valor exclusivo. Deve haver somente uma pasta em sua unidade C:/
com um nome que comea com $snap.
Uma mensagem indica que a inicializao do AD DS est concluda. Deixe Dsamain.exe executando e
no feche o prompt de comando.
Tarefa 4: Explorar um instantneo com Usurios e Computadores do Active Directory

1.
Alterne para Usurios e Computadores do Active Directory. Clique com o boto direito do mouse
no n raiz do snap-in e clique em Alterar o Controlador de Domnio. Digite o nome de servidor de
diretrio e a porta LON-DC1:50000 e pressione Enter. Clique em OK.
2.
Localize o objeto da conta de usurio Adam Barr na UO Marketing. Observe que o objeto de Adam
Barr exibido porque o instantneo foi tirado antes de exclu-lo.
Tarefa 5: Desmontar um instantneo do Active Directory

1.
No prompt de comando, pressione Ctrl+C para parar DSAMain.exe.
2.
Digite os seguintes comandos:

ntdsutil
snapshot
list all
unmount guid
list all
quit
Quit
Em que guid o GUID do instantneo.
Resultados: Depois de concluir este exerccio, voc ter configurado instantneos do AD DS.
Exerccio 3: Configurao da Lixeira do Active Directory

Cenrio
Como parte do plano de Recuperao de Desastres do AD DS, voc precisa configurar e testar a Lixeira
do Active Directory para permitir recuperao de nvel de objeto e continer.
1
Habilitar a Lixeira do Active Directory
Criar e excluir os usurios de teste
Restaurar os usurios excludos
Tarefa 1: Habilitar a Lixeira do Active Directory

1.
Em LON-DC1, no Gerenciador do Servidor, abra a Central Administrativa do Active Directory.
2.
Habilite a Lixeira.
3.
Pressione F5 para atualizar a Central Administrativa do Active Directory.
Tarefa 2: Criar e excluir os usurios de teste

1.
2.
Na Central Administrativa do Active Directory, crie os usurios a seguir na UO Research.

D a cada um uma senha Pa$$w0rd:
o
Teste1
Teste2
Exclua as contas Teste1 e Teste2.
Tarefa 3: Restaurar os usurios excludos
3-39
1.
Na Central Administrativa do Active Directory, navegue para a pasta Deleted Objects do domnio
Adatum.
2.
Restaure Teste1 para seu local original.
3.
Restaure Teste2 para a UO TI.
4.
Confirme se Teste1 agora est localizado na UO Research e se Teste2 est na UO TI.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial.
Resultados: Depois de concluir esse exerccio, voc ter configurado a Lixeira do Active Directory.

Prticas recomendadas para administrar o AD DS
No virtualize todos os controladores de domnio no mesmo host hypervisor ou servidor.
Instantneos de mquina virtual fornecem um ponto de referncia excelente ou mtodo de

recuperao rpido, mas voc no deve utiliz-los como uma substituio para backups regulares.
Eles tambm no permitiro que voc recupere objetos revertendo a um instantneo mais antigo.
Use RODCs quando a segurana fsica tornar um controlador de domnio gravvel invivel.
Use a melhor ferramenta para o trabalho. Usurios e Computadores do Active Directory a

ferramenta mais comumente usada para gerenciar o AD DS, mas nem sempre a melhor. Voc
pode usar a Central Administrativa do Active Directory para executar tarefas em larga escala ou
tarefas que envolvem vrios objetos. Voc tambm pode usar o mdulo do Active Directory para
Windows PowerShell para criar scripts reutilizveis para tarefas administrativas frequentemente
repetidas.
Habilite a Lixeira do Active Directory se seu nvel funcional da floresta aceitar a funcionalidade. Pode
ser inestimvel na economia de tempo ao recuperar objetos acidentalmente excludos no AD DS.
Ferramentas
Ferramentas
Usada para
Onde encontrar
Gerenciador do Hyper-V
Gerenciar hosts virtualizados no

Windows Server 2012
Mdulo Active Directory

para Windows PowerShell
Gerenciar o AD DS por meio de

scripts e da linha de comando
Usurios e Computadores
do Active Directory
Gerenciar objetos no AD DS
Central Administrativa
do Active Directory
Gerenciar objetos no AD DS,

habilitar e gerenciar a Lixeira do
Active Directory
Ntdsutil.exe
Gerenciar instantneos do AD DS
Prompt de comando
Dsamain.exe
Montar instantneos do AD DS
para navegar
Prompt de comando

4-1
Mdulo 4
Gerenciamento de contas de servio e de usurio
Contedo:
Viso geral do mdulo
4-1
Lio 1: Automao do gerenciamento de contas de usurio
4-2
Lio 2: Definio de configuraes de poltica de senha e bloqueio

de contas de usurio.
4-8
Lio 3: Configurao de contas de servio gerenciadas
4-16
4-23
4-27
Viso geral do mdulo
Gerenciar contas de usurio em um ambiente corporativo pode ser uma tarefa desafiadora. Voc deve
configurar as contas de usurio em seu ambiente corretamente, e proteg-las contra uso no autorizado
e contra usurios que abusam de seus privilgios de conta. O uso de contas de servio dedicadas para
servios de sistema e processos em segundo plano, assim como a definio de polticas de conta
adequadas, ajudaro a garantir que o ambiente do Windows Server 2012 fornecer aos usurios
e aos aplicativos o acesso de que precisam para funcionarem corretamente.
Este mdulo o ajudar a compreender como gerenciar grupos de contas de usurio grandes, explicar as
diferentes opes disponveis para fornecer segurana de senha adequada para contas em seu ambiente
e mostrar como configurar contas para fornecer autenticao para servios do sistema e processos em
segundo plano.
Objetivos
Automatizar a criao de contas de usurio.
Definir configuraes de poltica de senha e bloqueio de contas.
Configurar contas de servio gerenciadas.
Lio 1
Automao do gerenciamento de contas de usurio

Usurios e Computadores do Active Directory e a Central Administrativa do Active Directory fornecem
interfaces grficas de usurio (GUIs) para criar uma ou mais contas de usurio. Embora a interface
que essas ferramentas fornecem seja fcil de navegar, a criao de vrios usurios ou a execuo de
modificaes para vrios usurios podem ser tarefas trabalhosas. O Windows Server 2012 contm vrias
ferramentas que permitem gerenciar contas de usurio com mais eficincia em seu domnio AD DS
(Servios de Domnio Active Directory). Esta lio apresenta ferramentas que permitem executar tarefas
como a alterao de atributos de usurio para muitos usurios, a procura de usurios e a importao e
exportao de usurios de e para fontes de dados externas ou diretrios.
Objetivos da lio
4-2
Explicar como exportar usurios usando a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Explicar como importar usurios usando a ferramenta CSVDE (Comma-Separated Values Data Exchange).
Descrever como importar contas de usurio usando o padro da Internet (LDIFDE) de Formato de troca
de dados LDAP.
Explicar como importar contas de usurio usando o Windows PowerShell.
Demonstrao: Exportao de contas de usurio com a ferramenta CSVDE

(Comma-Separated Values Data Exchange)
A ferramenta CSVDE (Comma-Separated Values Data Exchange) uma ferramenta de linha de comando
que exporta ou importa objetos AD DS para ou de um arquivo de texto delimitado por vrgulas, que
tambm conhecido como arquivo de texto de valores separados por vrgulas ou arquivo .csv. Voc pode
criar, modificar e abrir arquivos delimitados por vrgulas usando ferramentas familiares como o Bloco de
Notas e o Microsoft Office Excel. Alm disso, voc pode usar esses arquivos para exportar informaes
do AD DS para serem usadas em outras reas de sua organizao, ou voc pode us-los para importar
informaes de outras fontes para criar ou modificar os objetos AD DS de seu domnio.
A seguir est a sintaxe bsica do comando da ferramenta CSVDE (Comma-Separated Values Data
Exchange) para exportao:
csvde -f nomedoarquivo
Porm, esse comando exportar todos os objetos em seu domnio do Active Directory. Para limitar o
escopo da exportao, voc pode usar os quatro parmetros a seguir:
-d RootDN. Especifica o nome diferenciado do continer a partir do qual a exportao ser iniciada.
O padro o prprio domnio.
-p SearchScope. Especifica o escopo da pesquisa relativa ao continer especificado por -d.

SearchScope pode ser base (apenas esse objeto), onelevel (objetos dentro deste continer)
ou subtree (esse continer e todos os subcontineres). O padro subrvore.
4-3
-r Filter. Filtra os objetos retornados dentro do escopo configurado por - d e -p. O filtro
especificado na sintaxe de consulta do protocolo LDAP. Voc trabalhar com um filtro no laboratrio
para esta lio. A sintaxe de consulta do LDAP no est no escopo deste curso. Para obter mais
informaes, consulte http://go.microsoft.com/fwlink/?LinkId=168752 (Alguns dos sites abordados
neste curso pode ser em Ingls).
-l ListOfAttributes. Especifica os atributos que sero exportados. Use o nome LDAP para cada atributo,
separado por uma vrgula, como em
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
A sada de uma exportao da ferramenta CSVDE (Comma-Separated Values Data Exchange) lista os
nomes de atributo LDAP na primeira linha. Cada objeto segue, um por linha, e deve conter exatamente
os atributos listados na primeira linha, como ilustrado nos exemplos seguintes:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
Nesta demonstrao, voc ver como:

Exportar contas de usurio com a ferramenta CSVDE (Comma-Separated Values Data Exchange).
1.
Em LON-DC1, abra um prompt de comando.
2.
Na janela do prompt de comando, digite o seguinte comando e pressione Enter:

csvde -f E:\Labfiles\Mod04\UsersNamedRex.csv -r "(name=Rex*)" -l
DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
3.
Abra E:\LABFILES\Mod04\UsersNamedRex.csv no Bloco de Notas.
4.
Examine o arquivo e feche o Bloco de Notas.
5.
Feche todas as janelas em LON-DC1.
Demonstrao: Importao de contas de usurio com a ferramenta CSVDE

(Comma-Separated Values Data Exchange)
Voc tambm pode usar a ferramenta CSVDE (Comma-Separated Values Data Exchange) para criar
contas de usurio importante um arquivo .csv. Se voc tiver informaes de usurio nos bancos de
dados do Excel ou do Microsoft Office Access existentes, voc perceber que a ferramenta CSVDE
(Comma-Separated Values Data Exchange) uma maneira bastante eficiente de aproveitar essas
informaes para automatizar a criao de contas de usurio.
A seguir est a sintaxe bsica do comando ferramenta CSVDE (Comma-Separated Values Data Exchange)
para importao:
csvde -i -f nomedoarquivo -k
O parmetro -i especifica o modo de importao. Sem esse parmetro, o modo padro da ferramenta
CSVDE (Comma-Separated Values Data Exchange) exportao. O parmetro -f identifica o nome
do arquivo do qual importar ou para o qual exportar. O parmetro -k til durante as operaes de
importao porque ele instrui a ferramenta CSVDE (Comma-Separated Values Data Exchange) para
ignorar os erros, incluindo o objeto que j existe
O prprio arquivo de importao um arquivo de texto delimitado por vrgulas (.csv ou .txt) no qual a
primeira linha define os atributos importados pelos nomes de atributo LDAP. Cada objeto segue, um
por linha, e deve conter exatamente os atributos listados na primeira linha, por exemplo, um arquivo
de amostra ser da seguinte forma:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@contoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrews@contoso.com
4-4
Esse arquivo, quando importado pelo comando da ferramenta CSVDE (Comma-Separated Values Data
Exchange), criar um objeto de usurio para Lisa Andrews na unidade organizacional (UO) Funcionrios.
O arquivo configura os nomes de logon de usurio, sobrenome e nome. Voc no pode usar a ferramenta
CSVDE (Comma-Separated Values Data Exchange) para importar senhas. Sem uma senha, a conta de usurio
ser inicialmente desabilitada. Depois de redefinir a senha, voc poder habilitar o objeto no AD DS.
Importar contas de usurio com a ferramenta CSVDE (Comma-Separated Values Data Exchange).
1.
Em LON-DC1, abra E:\Labfiles\Mod04\NewUsers.csv com o Bloco de Notas. Examine as

informaes sobre os usurios listados no arquivo.
2.
Abra um prompt de comando, digite o seguinte comando e pressione Enter:

csvde -i -f E:\Labfiles\Mod04\NewUsers.csv -k
3.
No Gerenciador do Servidor, abra Usurios e Computadores do Active Directory e confirme que

os usurios foram criados com xito.
4.
Examine as contas para confirmar que o nome, o sobrenome, o nome principal do usurio e o nome
de logon anterior ao Windows 2000 foram preenchidos de acordo com as instrues em
NewUsers.csv.
5.
Redefina as senhas das duas contas para Pa$$w0rd.
6.
Habilite as duas contas.
7.
Demonstrao: Importao de contas de usurio com LDIFDE
4-5
Voc tambm pode usar o LDIFDE.exe para importar ou exportar objetos do Active Directory, inclusive
usurios. O formato de troca de dados LDPA (LDIF) um formato de arquivo padro que pode ser usado
para armazenar informaes e executar operaes de lote em diretrios que esto em conformidade
com os padres LDAP. O LDIF oferece suporte a operaes de importao e de exportao, bem como a
operaes de lote que modificam objetos no diretrio. O comando LDIFDE implementa essas operaes
de lote usando os arquivos LDIF.
O formato de arquivo LDIF consiste em um bloco de linhas que juntas constituem uma nica operao.
Vrias operaes em um nico arquivo so separadas por uma linha em branco. Cada linha, que contm
uma operao, consiste em um nome de atributo seguido por dois-pontos e o valor do atributo. Por
exemplo, suponha voc deseja importar objetos de usurio para dois representantes de vendas chamados
Bonnie Kearney e Bobby Moore. O contedo do arquivo LDIF ficaria similar ao exemplo a seguir:
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Operations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com
dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bobby Moore
sn: Moore
title: Legal
description: Legal (New York)
givenName: Bobby
displayName: Moore, Bobby
company: Contoso, Ltd.
sAMAccountName: bobby.moore
userPrincipalName: bobby.moore@contoso.com
mail: bobby.moore@contoso.com
Cada operao comea com o atributo de nome de domnio (DN) do objeto que o destino da operao.
A linha seguinte, changeType, especifica o tipo de operao: adicionar, modificar ou excluir.
Como voc pode ver, o formato do arquivo LDIF no to intuitivo ou familiar como o formato de texto
separado por vrgulas. No entanto, como o formato LDIF tambm um padro, muitos servios de
diretrio e banco de dados podem exportar arquivos LDIF.
4-6
Depois de criar ou obter um arquivo LDIF, voc pode executar as operaes que o arquivo especifica,
usando o comando LDIFDE. Em um prompt de comando, digite ldifde /? para obter informaes de uso.
As duas opes mais importantes para o comando LDIFDE so:
-i. Ativa o modo de importao. Sem esse parmetro, o LDIFDE exporta informaes.
-f nomedoarquivo. O arquivo do qual importar ou para qual exportar.
Importar contas de usurio com o LDIFDE.
1.
Abra E:\Labfiles\Mod04\NewUsers.ldf com o Bloco de Notas. Examine as informaes sobre os

usurios listados no arquivo.
2.

ldifde -i -f E:\Labfiles\Mod04\NewUsers.ldf -k
3.
Abra Usurios e Computadores do Active Directory e confirme que os usurios foram criados
com xito.
4.
Examine as contas para confirmar que as propriedades de usurio foram preenchidas de acordo
com as instrues em NewUsers.ldf.
5.
Redefina as senhas das duas contas para Pa$$w0rd.
6.
Habilite as duas contas.
7.

Pergunta: Quais so as vantagens que o LDIFDE tem sobre a ferramenta CSVDE (CommaSeparated Values Data Exchange) ao gerenciar contas de usurio em um ambiente AD DS?
Demonstrao: Importao de contas de usurio com o Windows PowerShell

O Mdulo Active Directory para Windows PowerShell tambm pode utilizar o contedo de um
arquivo .csv para importar objetos no AD DS.
Dois cmdlets so usados para executar essa tarefa:
Import-CSV. Esse cmdlet cria objetos de arquivos .csv que podem ser enviados por pipeline para
outros cmdlets do Windows PowerShell.
New-ADUser. Esse cmdlet usado para criar os objetos que foram importados do cmdlet Import-CSV.
Importar contas de usurio com o Windows PowerShell.
4-7
1.
Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory

e sob Adatum.com, crie uma nova UO chamada Import Users.
2.
Abra E:\Labfiles\Mod04\ImportUsers.ps1 com o Bloco de Notas. Examine o contedo do arquivo.
3.
Ao lado de $impfile, altere o caminho e o nome do arquivo para csv em

E:\Labfiles\Mod04\ImportUsers.csv e salve o arquivo.
4.
Abra o Mdulo Active Directory para Windows PowerShell.
5.
Digite os seguintes comandos e pressione Enter depois de cada um. Quando solicitado para alterar
a poltica de execuo, pressione enter para aceitar a opo padro de Y:
Set-ExecutionPolicy remotesigned
E:\Labfiles\Mod04\importusers.ps1
6.
No prompt de senha, digite Pa$$w0rd.
7.
Abra Usurios e Computadores do Active Directory e verifique se as contas de usurio foram

importadas na UO Import Users.
8.
Lio 2
Definio de configuraes de poltica de senha

e bloqueio de contas de usurio.
Como administrador, voc deve garantir que as contas de usurio em seu ambiente estejam
em conformidade com as configuraes de segurana estabelecidas por sua organizao.
O Windows Server 2012 usa polticas de conta para definir configuraes de segurana para contas
de usurio. Este mdulo o ajudar a identificar as configuraes disponveis para definir segurana de
conta e os mtodos disponveis para definir essas configuraes.
Objetivos da lio
Depois desta lio, voc ser capaz de:
Explicar as polticas de conta de usurio.
Explicar como configurar polticas de conta de usurio.
Descrever objetos de configuraes de senha.
Explicar como configurar Objetos Configurao de Senha.
Noes bsicas sobre polticas de conta de usurio

As polticas de conta no AD DS definem as
configuraes padro para atributos relacionados
segurana atribudos a objetos de usurio.
No AD DS, as polticas de conta so separadas
em dois grupos de configuraes diferentes:
poltica de senha e bloqueio de conta. Voc pode
configurar os dois grupos de configuraes nas
configuraes de poltica local para um servidor
Windows Server 2012 individual, ou para todo o
domnio usando o Console de Gerenciamento de
Poltica de Grupo (GPMC) no AD DS. Quando
houver conflitos entre as configuraes de poltica
local e de poltica de grupo, as configuraes de poltica de grupo substituiro as configuraes de
poltica local
No Gerenciamento de Poltica de Grupo no AD DS, a maioria das configuraes de poltica pode ser
aplicada em nveis diferentes na estrutura do AD DS: domnio, site ou UO. No entanto, as polticas de
conta somente podem ser aplicadas a um nvel no AD DS no domnio inteiro. Portanto, s um conjunto
de configuraes de poltica de conta pode ser aplicado a um domnio AD DS.
4-8
Poltica de senha
Voc define a poltica de senha usando as seguintes configuraes:
4-9
Aplicar histrico de senhas. Esse o nmero de senhas novas e exclusivas que devem ser associadas a
uma conta de usurio para que uma senha antiga possa ser reutilizada. A configurao padro 24
senhas anteriores. Quando voc usa essa configurao com uma configurao de tempo de vida
mnimo de senha, a configurao de aplicar histrico de senha impede a reutilizao constante da
mesma senha.
Tempo de vida mximo da senha. Isso o nmero de dias que uma senha pode ser usada antes que
o usurio precise alter-la. A alterao regular de senhas ajuda a impedir o comprometimento das
senhas. Porm, voc deve encontrar um equilbrio entre essa considerao de segurana e as
consideraes logsticas que resultam em solicitar que os usurios alterem as senha com muita
frequncia. A configurao padro de 42 dias provavelmente apropriada para a maioria das
organizaes.
Tempo de vida mnimo da senha. Isso o nmero de dias que uma senha deve ser usada para que
o usurio possa alter-la. O valor padro um dia, o que apropriado se voc tambm aplicar o
histrico de senha. Voc poder restringir o uso frequente da mesma senha se usar essa configurao
junto com uma configurao curta para aplicar o histrico de senha.
Comprimento mnimo da senha. Esse o nmero mnimo de caracteres que a senha de um usurio
deve conter. O valor padro sete. Esse padro o mnimo usado extensamente, mas voc deve
aumentar o comprimento da senha para pelo menos 10 para aprimorar a segurana.
Requisitos de complexidade. O Windows Server inclui um filtro de senha padro que habilitado por
padro e voc no deve desabilit-lo. O filtro requer que uma senha tenha as seguintes
caractersticas:
o
No contenha o seu nome ou nome de usurio
Contenha pelo menos seis caracteres
Contenha caracteres de trs dos quatros grupos a seguir:
Letras maisculas [AZ]
Letras minsculas [az]
Numerais [09]
Caracteres no alfanumricos especiais, por exemplo, !@#)(*&^%
Poltica de bloqueio de conta
4-10 Gerenciamento de contas de servio e de usurio
Voc pode definir limites para bloqueio de conta, durao do bloqueio e um modo de desbloquear as
contas. Os limites para o bloqueio de conta estipulam que as contas fiquem inoperveis depois um
determinado nmero de tentativas de logon com falha durante um determinado perodo de tempo. As
polticas de bloqueio de conta ajudam a detectar e a impedir ataques de fora bruta em senhas de conta.
As seguintes configuraes esto disponveis:
Durao do bloqueio de conta. Define o nmero de minutos que uma conta bloqueada permanece
bloqueada. Depois do nmero especificado de minutos, a conta desbloqueada automaticamente.
Para especificar que um administrador deve desbloquear a conta, defina o valor para 0. Considere o
uso de polticas de senha refinadas para solicitar que os administradores desbloqueiem contas de alta
segurana e defina essa configurao para 30 minutos para usurios normais.
Limite de bloqueio de conta. Determina o nmero de tentativas de logon com falha que so
permitidas antes que a conta do usurio seja bloqueada. O valor 0 significa que a conta nunca
bloqueada. Voc deve definir esse valor alto o suficiente para permitir que os usurios digitem a
senha errada, mas baixo o suficiente para garantir que tentativas de fora bruta para adivinhar a
senha falhem. Os valores comuns para esse intervalo de configurao de trs a cinco.
Zerar contador de bloqueios de conta aps. Determina quantos minutos devem passar aps uma
tentativa de logon com falha para que o contador de logon incorreto seja redefinido para 0. Essa
configurao se aplica quando um usurio digita a senha incorretamente, mas no ultrapassa o limite
de bloqueio de conta. Considere definir esse valor para 30 minutos.
Poltica do Kerberos
As opes de configurao de poltica do Kerberos contm configuraes para o protocolo Kerberos
verso 5 TGT (tquete de concesso de tquete) e os tempos de vida do tquete de sesso e as
configuraes de carimbo de data/hora. Para a maioria das organizaes, as configuraes padro so
apropriadas.
Configurao de polticas de conta de usurio

H vrias opes disponveis para configurar
polticas de conta de usurio ao administrar
um ambiente do AD DS.
Configuraes de poltica local

com Secpol.msc
Cada computador Windows Server 2012 individual
tem seu prprio conjunto de polticas de conta,
que se aplica a contas criadas e gerenciadas no
computador local. Para configurar essas
configuraes de poltica, abra o Console de
Poltica de Segurana Local executando o
secpol.msc no prompt de comando. As
configuraes de poltica de senha e poltica de conta podem ser localizadas no Console de Poltica de
Segurana Local expandindo Configuraes de Segurana e expandindo Polticas de Conta.
Poltica de grupo com Gerenciamento de poltica de grupo

No ambiente de domnio do AD DS, as configuraes de poltica de conta em todo o domnio so
configuradas no Console de Gerenciamento de Poltica de Grupo. As configuraes podem ser
encontradas na Configurao do Computador, expandindo o n Polticas, o n Configuraes
do Windows, o n Configuraes de Segurana e o n Polticas de Conta.
As configuraes encontradas no n Polticas de Conta so as mesmas configuraes encontradas
na Poltica de Segurana Local, alm das configuraes de poltica do Kerberos que se aplicam
autenticao de domnio.
4-11
As configuraes de Poltica de Conta da Poltica de grupo existem no modelo de cada Objeto de Poltica
de Grupo (GPO) criado no GPMC. Porm, voc pode aplicar uma poltica de conta apenas uma vez a um
domnio e apenas a um GPO. Essa a Poltica de Domnio Padro, e ela est vinculada raiz do domnio
AD DS. Dessa forma, as configuraes de poltica de conta na Poltica de Domnio Padro se aplicam a
cada computador que unido ao domnio.
Observao: Se as configuraes de poltica de conta na Poltica de Segurana Local e as
configuraes de poltica de conta na Poltica de Domnio Padro GPO entrarem em conflito, as
configuraes da Poltica de Domnio Padro tero precedncia.
Pergunta: Por que voc usaria secpol.msc para definir as configuraes de poltica de conta
local para um computador Windows Server 2012 em vez de usar as configuraes de poltica
de conta da Poltica de Grupo baseada em domnio?
O que so Objetos Configurao de Senha?

Comeando com o Windows Server 2008, os
administradores podem definir mais de uma
poltica de senha em um nico domnio
implementando polticas de senha refinadas.
Isso permite que voc tenha um controle mais
granular em relao aos requisitos de senha de
usurio, e voc pode ter requisitos de senha
diferentes para usurios ou grupos diferentes.
Para suportar o recurso de poltica de senha
refinada, o AD DS no Windows Server 2008 e nas
verso mais recentes incluem dois tipos de objeto:
Continer de Configurao de Senha.

O Windows Server cria esse continer por padro, e voc pode visualiz-lo no continer do sistema
do domnio. O continer armazena os Objetos Configurao de Senha que voc cria e os vincula aos
grupos de segurana global ou aos usurios.
Objetos Configurao de Senha. Os membros do grupo Administradores de Domnio criam Objetos

Configurao de Senha e definem a senha especfica e configuraes de bloqueio de conta a serem
vinculadas a um grupo de segurana especfico ou usurio.
As polticas de senha refinadas se aplicam somente aos objetos de usurio (ou a objetos inetOrgPerson,
se voc usar esses em vez de objetos de usurio) e a grupos de segurana global. Ao vincular Objetos
Configurao de Senha a um usurio ou a um grupo, voc modifica um atributo chamado msDSPSOApplied, que por padro vazio. Essa abordagem trata agora a senha e as configuraes de
bloqueio de senha como atributos para um usurio especfico ou para um grupo, e no como requisitos
de todo o domnio.
Por exemplo, para configurar uma poltica de senha rgida para contas administrativas, crie um grupo
de segurana global, adicione as contas de usurio administrativas como membros e vincule um Objeto
Configurao de Senha ao grupo. A aplicao de polticas de senha refinadas a um grupo dessa maneira
mais gerencivel do que a aplicao de polticas a cada conta de usurio individual. Se voc criar
uma nova conta de servio, simplesmente adicione-a ao grupo e a conta ser gerenciada pelo Objeto
Configurao de Senha.
Por padro, apenas membros do grupo Administradores de Domnio podem definir polticas de senha
refinadas. Porm, voc tambm pode delegar a capacidade para definir essas polticas para outros usurios.
Aplicao de polticas de senha refinadas
Voc no pode aplicar uma poltica de senha refinada diretamente a uma UO. Para aplicar uma poltica
de senha refinada a usurios de uma UO, voc pode usar um grupo de sombra. Um grupo de sombra
um grupo de segurana global que mapeado logicamente para uma UO e impe uma poltica de senha
refinada. Voc pode adicionar os usurios de uma UO como membros do grupo de sombra recentemente
criado e aplicar a poltica de senha refinada a esse grupo de sombra. Se voc mover um usurio de uma
UO para outra, deve atualizar a associao dos grupos de sombra correspondentes.
As configuraes gerenciadas por poltica de senha refinada so iguais s configuraes nos ns Poltica
de Conta e Poltica de Senha de um GPO. Porm, as polticas de senha refinadas no so implementadas
como parte da Poltica de Grupo e no so aplicadas como parte de um GPO. Em vez disso, existe uma
classe separada de objeto no Active Directory que mantm as configuraes para a poltica de senha
refinada o PSO.
Voc pode criar um ou mais PSOs em seu domnio. Cada um contm um conjunto completo de senhas e
configuraes de poltica de bloqueio. Um Objeto Configurao de Senha aplicado vinculando o Objeto
Configurao de Senha a um ou mais grupos de segurana global ou usurios.
Para usar uma poltica de senha refinada, o nvel funcional do domnio deve ser pelo menos o
Windows Server 2008, o que significa que todos os controladores de domnio no domnio esto pelo
menos executando o Windows Server 2008, e o nvel funcional do domnio foi aumentado para pelo
menos o Windows Server 2008.
Para confirmar e modificar o nvel funcional do domnio:
1.
Abra Domnios e Relaes de Confiana do Active Directory.
2.
Na rvore de console, expanda Domnios e Relaes de Confiana do Active Directory e expanda

a rvore at poder ver o domnio.
3.
Clique com o boto direito do mouse no domnio e, em seguida, clique em Aumentar nvel
funcional do domnio.
Configurao de Objetos Configurao de Senha

Voc pode criar e aplicar Objetos Configurao de
Senha ao ambiente Windows Server 2012 usando
qualquer uma das seguintes ferramentas:
Centro Administrativo do Active Directory
Windows PowerShell
Configurando os Objetos Configurao

de Senha usando o Windows PowerShell
No Windows Server 2012, cmdlets novos do
Windows PowerShell no Mdulo Active Directory
para Windows PowerShell podem ser usados para
criar e gerenciar Objetos Configurao de Senha
em seu domnio.
New-ADFineGrainedPasswordPolicy
4-13
Esse cmdlet usado para criar um novo Objeto Configurao de Senha e definir os parmetros do
Objeto Configurao de Senha. Por exemplo, o comando a seguir cria um novo Objeto Configurao
de Senha nomeado TestPwd e especifica as suas configuraes:
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0"
-MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false ProtectedFromAccidentalDeletion:$true
Add-FineGrainedPasswordPolicySubject
Esse cmdlet permite vincular um usurio ou um grupo a um Objeto Configurao de Senha existente.
Por exemplo, o comando a seguir vincula o Objeto Configurao de Senha TestPwd ao grupo
do AD DS nomeado grupo1:
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects Marketing
Configurando Objetos Configurao de Senha usando a Central Administrativa

do Active Directory
A Central Administrativa do Active Directory fornece uma GUI para criar e gerenciar Objetos Configurao
de Senha. Para gerenciar Objetos Configurao de Senha na Central Administrativa do Active Directory,
siga as seguintes etapas:
1.
Abra a Central Administrativa do Active Directory.
2.
Clique em Gerenciar, clique em Adicionar Ns de Navegao, selecione o domnio de destino

apropriado na caixa de dilogo Adicionar Ns de Navegao e clique em OK.
3.
No painel de navegao da Central Administrativa do Active Directory, abra o continer System

e clique em Password Settings Container.
4.
No painel Tarefas, clique em Nova e em Configuraes de Senha.
5.
Preencha ou edite os campos na pgina de propriedades para criar um novo Objeto Configurao
de Senha.
6.
Em Aplica-se Diretamente a, clique em Adicionar, digite Marketing e clique em OK.
7.
Isso associa o objeto de Poltica de Senha aos membros do grupo global que foi criado no ambiente
de teste.
8.
Clique em OK para enviar a criao do Objeto Configurao de Senha.
Observao: A interface da Central Administrativa do Active Directory para o

gerenciamento do Objeto Configurao de Senha usa os cmdlets do Windows PowerShell
mencionado anteriormente para executar a criao e o gerenciamento de Objetos Configurao
de Senha.
Considerao para configurar os Objetos Configurao de Senha
possvel vincular mais de um Objeto Configurao de Senha a um usurio ou a um grupo de segurana.

Voc pode fazer isso se um usurio for um membro de vrios grupos de segurana, e cada um talvez
tenha um Objeto Configurao de Senha j atribudo, ou se voc atribuir vrios Objetos Configurao
de Senha diretamente a um objeto de usurio. Em qualquer caso, importante entender que voc pode
aplicar apenas um Objeto Configurao de Senha como poltica de senha efetiva.
Se voc atribuir vrios Objetos Configurao de Senha a um usurio ou a um grupo, o atributo msDSPasswordSettingsPrecedence ajudar a determinar o Objeto Configurao de Senha resultante. Um
Objeto Configurao de Senha com um valor mais baixo tem precedncia sobre um Objeto Configurao
de Senha com um valor mais alto.
O processo a seguir descreve como o AD DS determina o Objeto Configurao de Senha resultante se
voc vincular vrios Objetos Configurao de Senha a um usurio ou a um grupo:
1.
Qualquer Objeto Configurao de Senha que voc vincula diretamente a um objeto de usurio
o Objeto Configurao de Senha resultante. Se voc vincular vrios Objetos Configurao de
Senha diretamente ao objeto de usurio, o Objeto Configurao de Senha com o valor msDSPasswordSettingsPrecedence mais baixo o Objeto Configurao de Senha resultante. Se dois
Objetos Configurao de Senha tiverem a mesma precedncia, o Objeto Configurao de Senha com
a objectGUID matematicamente menor ser o PSO resultante.
2.
Se voc no vincular nenhum Objeto Configurao de Senha diretamente ao objeto de usurio, o AD DS

comparar os Objetos Configurao de Senha de todos os grupos de segurana global que contm o
objeto de usurio. O Objeto Configurao de Senha com msDS-PasswordSettings mais baixo
Valor de precedncia o Objeto Configurao de Senha resultante. Se voc aplicar vrios Objetos
Configurao de Senha ao mesmo usurio, e eles tiverem o mesmo valor msDSPasswordSettingsPrecedence, o AD DS aplicar o Objeto Configurao de Senha com o GUID
(identificador globalmente exclusivo) matematicamente menor.
3.
Se voc no vincular nenhum Objeto Configurao de Senha ao objeto de usurio, diretamente

ou indiretamente (por associao de grupo), o AD DS aplicar a Poltica de Domnio Padro.
4-15
Todos os objetos de usurio contm um novo atributo chamado msDS-ResultantPSO. Voc pode
usar esse atributo para ajudar a determinar o nome diferenciado do Objeto Configurao de Senha
que o AD DS aplica ao objeto de usurio. Se voc no vincular um Objeto Configurao de Senha ao
objeto de usurio, esse atributo no conter nenhum valor e a Poltica de Domnio Padro GPO conter
a poltica de senha efetiva.
Para exibir o efeito de uma poltica que o AD DS est aplicando a um usurio, abra o Usurios e
Computadores do Active Directory e no menu Exibir, verifique se Recursos Avanados est habilitada.
Abra as propriedades de uma conta de usurio. Voc pode exibir o atributo msDS-ResultantPSO na guia
Editor de Atributos, se a opo Mostrar Atributos Construdos tiver sido configurada nas opes Filtro.
Lio 3
Configurao de contas de servio gerenciadas
A criao de contas de usurio para prover autenticao para aplicativos, servios de sistema e processos
em segundo uma prtica comum no ambiente do Windows. Historicamente, foram criadas contas
que foram frequentemente nomeadas para uso por um servio especfico. O Windows Server 2012
suporta objetos do tipo conta do AD DS chamados de contas de servio gerenciadas que facilitam
o gerenciamento de contas de servio e apresentam menos riscos para o seu ambiente.
Esta lio introduzir as contas de servio gerenciadas e a nova funcionalidade relacionada s contas
de servio gerenciadas no Windows Server 2012.
Objetivos da lio
Identificar os desafios de usar contas de usurio padro para servios.
Descrever contas de servio gerenciadas.
Explicar como configurar contas de servio gerenciadas.
Descrever contas de servio gerenciadas por grupo.
Quais so os desafios na utilizao de contas de usurio padro para servios?

Muitos aplicativos como o Microsoft SQL Server
ou Servios de Informaes da Internet (IIS)
contm servios que so instalados no servidor
que hospeda o aplicativo. Esses servios
normalmente so executados na inicializao do
servidor ou so acionados por outros eventos.
Os servios geralmente so executados no
segundo plano e no requerem nenhuma
interao com o usurio.
Para um servio ser inicializado e autenticado,
uma conta de servio usada. Uma conta de
servio pode ser uma conta que local no
computador, como o Servio local interno, Servio de rede ou contas do sistema local. Voc tambm
pode configurar uma conta de servio para usar uma conta baseada em domnio localizada no AD DS.
4-17
Para ajudar a centralizar a administrao e satisfazer os requisitos do aplicativo, muitas organizaes

escolhem usar uma conta baseada em domnio para executar servios de aplicativo. Isso oferece algum
benefcio em relao ao uso de uma conta local. Porm, existe um nmero de desafios associados, tais como:
Esforo de administrao adicional pode ser necessrio para gerenciar a senha de conta de servio
com segurana. Isso inclui tarefas como alterar a senha e resolver situaes que causam um bloqueio
de conta. As contas de servio tambm normalmente so configuradas para ter senhas que no
expiram, o que pode ir contra as polticas de segurana de sua organizao.
Pode ser difcil determinar onde uma conta baseada em domnio est sendo usada como uma conta
de servio. Uma conta de usurio padro pode ser usada para vrios servios em vrios servidores em
todo o ambiente. Uma tarefa simples, como alterar a senha, pode causar problemas de autenticao
para alguns aplicativos. importante saber onde e como uma conta de usurio padro est sendo
usada quando associada a um servio de aplicativo.
Esforo de administrao adicional pode ser necessrio para gerenciar o nome principal do servio
(SPN). O uso de uma conta de usurio padro pode requerer administrao manual do SPN.
Se a conta de logon do servio for alterada, o nome de computador ser alterado. Ou, se uma
propriedade de nome de host do DNS (sistema de nome de domnio) for modificada, os registros de
SPN talvez precisem ser modificados manualmente para refletir a alterao. Um SPN configurado
incorretamente causa problemas de autenticao com o servio do aplicativo.
O Windows Server 2012 suporta um objeto AD DS usado para facilitar o gerenciamento de conta de
servio, chamado de conta de servio gerenciada. Os tpicos a seguir fornecem informaes sobre os
requisitos e uso de contas de servio gerenciadas no Windows Server 2012.
O que uma conta de servio gerenciada?

Uma conta de servio gerenciada uma classe de
objeto AD DS que habilita senha simplificada e
gerenciamento de SPN para contas de servio.
Muitos aplicativos baseados em rede usam uma
conta para executar servios ou fornecer
autenticao. Por exemplo, um aplicativo em um
computador local poderia usar o Servio Local,
o Servio de Rede ou contas do Sistema Local.
Essas contas de servio podem funcionar bem.
Porm, elas geralmente so compartilhadas entre
vrios aplicativos e servios, tornando-as difceis
de serem gerenciadas para um aplicativo
especfico. Alm disso, voc no pode gerenciar essas contas de servio locais no nvel de domnio.
Alternativamente, bastante comum que um aplicativo possa usar uma conta de domnio padro que
seja configurada especificamente para o aplicativo. No entanto, a desvantagem principal que voc
precisa gerenciar as senhas manualmente, o que aumenta o esforo de administrao.
Uma conta de servio gerenciada pode proporcionar a um aplicativo sua prpria conta exclusiva,
eliminando a necessidade de um administrador para administrar as credenciais da conta manualmente.
Como uma conta de servio gerenciada funciona
As contas de servio gerenciadas so armazenadas no AD DS como objetos msDSManagedServiceAccount. Essa classe herda aspectos estruturais da classe do Computador (que herda da
classe do Usurio). Isso permite que uma conta de servio gerenciada cumpra as funes de usurio,
como fornecer autenticao e contexto de segurana para um servio em execuo. Isso tambm
permite que uma conta de servio gerenciada use o mesmo mecanismo de atualizao de senha usado
por objetos Computador no AD DS, um processo que no requer interveno de usurio.
As contas de servio gerenciadas fornecem os seguintes benefcios para simplificar administrao:
Gerenciamento de senha automtico. Uma conta de servio gerenciada mantm sua prpria senha
automaticamente, inclusive alteraes de senha.
Gerenciamento SPN simplificado. O gerenciamento de SPN poder ser gerenciado automaticamente se

seu domnio for configurado no nvel funcional do domnio do Windows Server 2008 R2 ou superior.
As contas de servio gerenciadas so armazenadas no continer CN=Managed Service Accounts,

DC=<domain>, DC=<com>. Voc pode ver isso habilitando a opo Recursos Avanados no menu
Exibir em Usurios e Computadores do Active Directory. Esse continer por padro visvel na Central
Administrativa do Active Directory.
Requisitos para usar Contas de Servio Gerenciadas
Para usar uma conta de servio gerenciada, o servidor que executa o servio ou aplicativo deve est sendo
executado no Windows Server 2008 R2 ou Windows Server 2012. Voc tambm precisa verificar se o
.NET Framework 3.5.x e o Mdulo Active Directory para Windows PowerShell esto instalados no servidor.
Observao: Uma conta de servio gerenciada padro no pode ser compartilhada entre
vrios computadores ou ser usada em clusters de servidores onde o servio replicado entre ns.
Para simplificar e fornecer senha totalmente automtica e gerenciamento SPN, ns recomendamos que o
domnio AD DS fique no nvel funcional do Windows Server 2008 R2 ou superior. Porm, se voc tiver um
controlador de domnio executando o Windows Server 2008 ou o Windows Server 2003, poder
atualizar o esquema do Active Directory para o Windows Server 2008 R2 para suportar esse recurso. A
nica desvantagem que o administrador de domnio deve configurar os dados de SPN manualmente
para as contas de servio gerenciadas.
Para atualizar o esquema no Windows Server 2008, Windows Server 2003 ou ambientes de modo misto,
voc deve executar as seguintes tarefas:
1.
Execute adprep/forestprep no nvel de floresta e execute adprep/domainprep no nvel de domnio.
2.
Implante um controlador de domnio que esteja executando o Windows Server 2008 R2, o Windows
Server 2008 com o Active Directory Management Gateway Service ou o Windows Server 2003 com o
Active Directory Management Gateway Service.
Observao: O Active Directory Management Gateway Service permite que os

administradores com controladores de domnio que esto executando o Windows Server 2003 ou o
Windows Server 2008 usem os cmdlets do Windows PowerShell para gerenciar contas de servio
gerenciadas.
Consideraes para contas de servio gerenciadas nos controladores de domnio

do Windows Server 2012
4-19
No Windows 2012, as contas de servio gerenciadas so criadas como tipo de objeto da conta de servio
gerenciada do novo grupo por padro. No entanto, para acomodar isso, voc deve cumprir um dos
requisitos para Contas de Servio Gerenciadas de grupo para poder criar qualquer Conta de Servio
Gerenciada em um controlador de domnio do Windows 2012.
Em um controlador de domnio do Windows 2012, uma chave raiz de servios de distribuio principal
deve ser criada para o domnio para que qualquer Conta de Servio Gerenciada possa ser criada. Para
criar a chave raiz, execute o seguinte cmdlet a partir do Mdulo Active Directory PowerShell para o
Windows PowerShell:
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
Mais informaes sobre Conta de Servio Gerenciado de grupo, incluindo mais explicao sobre o cmdlet
acima, e sobre a criao de uma chave raiz KDS (Servios de Distribuio de Chave) podem ser
encontradas mais adiante nesta lio.
Demonstrao: Configurao de contas de servio gerenciadas usando

o Windows PowerShell
A criao e a configurao de uma conta de servio gerenciada requerem o uso de quatro cmdlets
do Mdulo Active Directory do Windows PowerShell:
Add-KDSRootkey criar a chave raiz KDS para suportar contas de servio gerenciadas de grupo, um
requisito no Windows Server 2012 DCs:
Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10))
New-ADServiceAccount cria a conta de servio gerenciada no AD DS:

New-ADServiceAccount Name <MSA Name> -DNSHostname <DC DNS Name>
Add-ADComputerServiceAccount associa a conta de servio gerenciada a uma conta de computador

no domnio do AD DS:
Add-ADComputerServiceAccount identity <Host Computer Name> -ServiceAccount <MSA
Name>
Install-ADServiceAccount instala a conta de servio gerenciada em um computador host no domnio

e disponibiliza a conta de servio gerenciada para ser usada por servios no computador host:
Install-ADServiceAccount Identity <MSA Name>
Criar a chave raiz KDS para o domnio.
Criar e associar uma conta de servio gerenciada.
Criar a chave raiz KDS (Servios de Distribuio de Chave) para o domnio
1.
Em LON-DC1, no Gerenciador do Servidor, abra o console Console do Mdulo Active Directory

Module para Windows PowerShell.
2.
Use o cmdlet Add-KDSRootKey para criar a chave raiz KDS de domnio.
Crie e associe uma conta de servio gerenciada

1.
Em LON-DC1, abra o console Mdulo Active Directory para Windows PowerShell.
2.
Use o cmdlet New-ADServiceAccount para criar uma conta de servio gerenciada.
3.
Use o cmdlet Add-ADComputerServiceAccount para associar a conta de servio gerenciada ao

LON-SVR1.
4.
Use o cmdlet Get- ADServiceAccount para exibir a nova conta de servio gerenciada criada e
confirmar a configurao adequada.
Instalar uma conta de servio gerenciada
1.
Em LON-SVR1, abra o console Console do Mdulo Active Directory para Windows PowerShell.
2.
Use o cmdlet Install-ADServiceAccount para instalar a Conta de Servio Gerenciada no LON-SVR1.
3.
Abra o Gerenciador do Servidor, e inicie o console Servios.
4.
Abra as pginas Propriedades para o servio Identidade de Aplicativo e selecione a guia Fazer logon.
5.
Configure o servio Identidade de Aplicativo para usar ADATUM\SampleApp_SVR1$.
O que so contas de servios gerenciadas de grupo?
As contas de servio gerenciadas de grupo

permitem que voc estenda os recursos das contas
de servio gerenciadas padro para mais de um
servidor em seu domnio. Em cenrios de farm de
servidores como clusters de balanceamento de
carga de rede (NLB) ou servidores IIS,
frequentemente necessrio executar o sistema
ou servios de aplicativo sob a mesma conta de
servio. As contas de servio gerenciadas padro
no podem fornecer a funcionalidade de conta de
servio gerenciada a servios que esto sendo
executados em mais de um servidor. Ao usar as
contas de servio gerenciadas de grupo, voc pode configurar vrios servidores para usar a mesma conta
de servio gerenciada e ainda permanecer com os benefcios que as contas de servio gerenciadas
fornecem, como manuteno de senha automtica e gerenciamento SPN simplificado.
Requisitos de conta de servio gerenciada de grupo
4-21
Para suportar a funcionalidade de conta de servio gerenciada de grupo, o seu ambiente deve atender os
seguintes requisitos:
Pelo menos um controlador de domnio deve estar executando o Windows Server 2012 para
armazenar informaes de senha gerenciada.
Uma chave raiz KDS deve ser criada em um controlador de domnio no domnio.
Para criar a chave raiz KDS, execute o comando a seguir a partir do Mdulo Active Directory para
Windows PowerShell em um controlador de domnio do Windows Server 2012:
Add-KdsRootKey EffectiveImmediately
Observao: A opo EffectiveImmediately usa a hora atual para estabelecer o carimbo

de data/hora que marca a chave como vlida. No entanto, ao usar EffectiveImmediately, a
hora efetiva real definida para 10 horas mais tarde que a hora atual. Essa diferena de 10 horas
para permitir que a replicao do AD DS replique as alteraes em outros controladores de
domnio no domnio. Para fins de teste, possvel ignorar essa funcionalidade definindo o
parmetro EffectiveTime para 10 horas antes da hora atual:
Add-KdsRootKey EffectiveTime ((get-date).addhours(-10))
Noes bsicas sobre a funcionalidade da conta de servio gerenciada de grupo
As contas de servio gerenciadas de grupo habilitam a funcionalidade de conta de servio gerenciada em

vrios servidores por meio da delegao do gerenciamento de informaes de senha da conta de servio
gerenciada aos controladores de domnio do Windows Server 2012. Ao fazer isso, o gerenciamento de
senhas no fica mais dependente da relao entre um nico servidor e o AD DS, mas sim fica totalmente
controlado pelo AD DS.
O objeto de conta de servio gerenciada de grupo contm uma lista de entidades de segurana
(computadores ou grupos do AD DS) que podem recuperar informaes de senha de conta de servio
gerenciada de grupo do AD DS e usar a conta de servio gerenciada de grupo para autenticao de
servios.
As contas de servio gerenciadas de grupo so criadas usando os mesmos cmdlets do Mdulo
Active Directory para Windows PowerShell. Na realidade, os cmdlets usados para o gerenciamento
da conta de servio gerenciada criaro as contas de servio gerenciadas de grupo, por padro.
Em um controlador de domnio do Windows Server 2012, crie uma nova conta de servio
gerenciada usando o cmdlet New-ADServiceAccount com o parmetro
PrinicipalsAllowedToRetrieveManagedPassword. Esse parmetro aceita uma ou mais contas de
computador separadas por vrgulas ou grupos do AD DS que possuem permisso para obter informaes
de senha para a conta de servio gerenciada de grupo que est armazenada no AD DS nos controladores
de domnio do Windows Server 2012.
Por exemplo, o cmdlet a seguir criar uma nova conta de servio gerenciada de grupo chamada SQLFarm
e habilitar os hosts LON-SQL1, LON-SQL2 e LON-SQL3 para usar a conta de servio gerenciada de
grupo:
New_ADServiceAccount Name LondonSQLFarm PrincipalsAllowedToRetrieveManagedPassword LONSQL1, LON-SQL2, LON-SQL3
Quando um computador for adicionado para usar PrincipalsAllowedToRetrieveManagedPassword, a

conta de servio Conta de Servio Gerenciada de grupo ficar disponvel para ser atribuda a servios
usando o mesmo processo de atribuio que a Conta de Servio Gerenciada padro.
Usando grupos do AD DS para gerenciar farms de servidores de conta de servio

gerenciada de grupo
Os grupos de segurana do AD DS podem ser usados para identificar contas de servio

gerenciadas de grupo. Quando voc usar um grupo do AD DS para o parmetro
PrincipalsAllowedToRetriveManagedPassword, qualquer computador que seja membro desse grupo
poder recuperar a senha e utilizar a funcionalidade da conta de servio gerenciada de grupo. Ao usar um
grupo do AD DS como o principal permitido para recuperar uma senha gerenciada, qualquer conta que
seja membro do grupo tambm ter o mesmo recurso.
4-23

Cenrio
A. Datum uma empresa global de engenharia e manufatura com sede em Londres, Reino Unido. Um
escritrio de TI e um data center esto localizados em Londres para dar suporte ao escritrio de Londres
e a outros locais. O A. Datum implantou um servidor Windows Server 2012 e a infraestrutura de cliente
recentemente e precisa implementar as alteraes sobre como as contas de usurio so gerenciadas no
ambiente.
Objetivos
Definir configuraes de poltica de senha e bloqueio de contas.
Criar e associar uma conta de servio gerenciada.
Tempo previsto: Tempo estimado: 45 minutos
Mquina virtual
20411B-LON-DC1
Nome de usurio
Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.

a.
b.
Senha: Pa$$w0rd
Exerccio 1: Definio de configuraes de poltica de senha e bloqueio

de contas
Cenrio
O A. Datum concluiu uma reviso de segurana recentemente para senhas e polticas de bloqueio de
conta. Voc precisa implementar as recomendaes contidas no relatrio para controlar a complexidade
e o comprimento de senha. Voc tambm precisa configurar as configuraes de bloqueio de conta
apropriadas. Parte de sua configurao de poltica de senha incluir uma poltica de senha especfica a ser
atribuda ao grupo de segurana de Gerenciadores. Esse grupo requer uma poltica de senha diferente da
que foi aplicada ao nvel de domnio.
O relatrio recomendou que as seguintes configuraes de senha devem ser aplicadas a todas as contas
no domnio:
Histrico de Senha: 20 senhas
Tempo de vida mximo da senha: 45 dias
Tempo de vida mnimo da senha: 1 dia
Comprimento de Senha: 10 caracteres
Complexidade Habilitada: Sim
Durao do bloqueio de conta: 30 minutos
Limite de bloqueio de conta: 5 tentativas
Zerar contador de bloqueios de conta aps: 15 minutos
O relatrio tambm recomendou que uma poltica separada seja aplicada a usurios nos grupos
Gerenciadores, devido aos privilgios elevados atribudos a essas contas de usurio. A poltica aplicada
ao grupos Gerenciadores deve conter as seguintes configuraes:
Durao do bloqueio de conta: 0 minutos (Um administrador ter que desbloquear a conta)

1.
Configurar uma poltica de senha baseada em domnio
2.
Configurar uma poltica de bloqueio de conta
3.
Configurar e aplicar uma poltica de senha refinada
Tarefa 1: Configurar uma poltica de senha baseada em domnio

1.
Em LON-DC1, abra o Console de Gerenciamento de Poltica de Grupo.
2.
Edite a Poltica de Domnio Padro e configure as seguintes configuraes de Poltica de Senha

de Conta:
o
Tarefa 2: Configurar uma poltica de bloqueio de conta

1.
Durao do bloqueio de conta: 30 minutos
Feche o Editor de Gerenciamento de Poltica de Grupo.
3.
Feche Gerenciamento de Poltica de Grupo.
Tarefa 3: Configurar e aplicar uma poltica de senha refinada

1.
Em LON-DC1, abra o Console da Central Administrativa do Active Directory.
2.
Altere o escopo de grupo do grupo Gerenciadores para Global.
Observao: verifique se abriu a pgina Propriedades do grupo Gerenciadores e no de UO de

Gerenciadores.
4.
4-25
No Editor de Gerenciamento de Poltica de Grupo, configure as seguintes configuraes de Poltica

de bloqueio de conta para a Poltica de Domnio Padro:
2.
3.
Na Central Administrativa do Active Directory, configure uma poltica de senha refinada para o grupo
ADATUM\Gerenciadores com as seguintes configuraes:
o
Nome: ManagersPSO
Precedncia: 10
Nmero de tentativas de logon com falha permitido: 3 tentativas
Redefinir contagem de tentativas de logon com falha aps. 30 minutos
At que um administrador desbloqueie manualmente a conta: marcada
Feche a Central Administrativa do Active Directory.
Resultados: Aps concluir esse exerccio, voc ter configurado a poltica de senha e as configuraes de
bloqueio de conta.
Exerccio 2: Criao e associao de uma conta de servio gerenciada

Cenrio
Voc precisa configurar uma conta de servio gerenciada para suportar um novo aplicativo baseado
na Web que est sendo implantado no servio Web DefaultAppPool em LON-DC1. O uso de uma conta
de servio gerenciada ajudar a manter os requisitos de segurana de senha da conta.
1.
Criar e associar uma conta de servio gerenciada
2.
Instalar uma conta de servio gerenciada em LON-DC1
3.
Tarefa 1: Criar e associar uma conta de servio gerenciada

1.
Em LON-DC1, abra o console Mdulo Active Directory para Windows PowerShell.
2.
Crie uma chave raiz KDS usando o cmdlet Add-KdsRootKey. Defina a hora efetiva menos 10 horas,
de forma que a chave ficar efetiva imediatamente.
3.
Crie a nova conta de servio nomeada Webservice para o host LON-DC1.
4.
Associe a conta gerenciada Webservice ao LON-DC1.
5.
Verifique se a conta de servio gerenciada foi criada usando o cmdlet Get-ADServiceAccount.
Tarefa 2: Instalar uma conta de servio gerenciada em LON-DC1

1.
Em LON-DC1,instale a conta de servio Webservice.
2.
No menu Ferramentas do Gerenciador do Servidor, abra o Gerenciador do IIS (Servios de

informaes da internet).
3.
Configure o DefaultAppPool para usar a conta Webservice$ como a identidade.
4.
Interrompa e inicie o pool de aplicativos.
Quando voc terminar o laboratrio, reverta as mquinas virtuais para o estado inicial.
Resultados: Aps ter concludo esse exerccio, voc ter criado e associado uma conta de servio
gerenciada.

Problemas comuns e dicas de soluo de problemas
Problema comum
Dica para a soluo de problemas
As contas de usurio contidas no arquivo .csv no

foram importadas ao usar a ferramenta CSVDE
(Comma-Separated Values Data Exchange).
As configuraes de senha no esto sendo

aplicadas como o esperado.
O cmdlet New-ADServiceAccount falha com

mensagens relacionadas a chaves.
Ferramentas
Ferramenta
Para que ela usada
Onde encontrar
4-27
Ferramenta CSVDE (CommaSeparated Values Data Exchange)
Importando e exportando os
usurios usando arquivos .csv
Prompt de comando:
csvde.exe
LDIFDE
Importando, exportando e
modificando usurios usando
arquivos .ldf
Prompt de comando:
ldifde.exe
Poltica de segurana local
Definindo configuraes de
poltica de conta local
Secpol.msc
Console de Gerenciamento de
Poltica de Grupo
Definindo configuraes de
poltica de conta de poltica
de grupo de domnio
Centro Administrativo do
Active Directory
Criando e gerenciando Objetos

Configurao Senha
Mdulo Active Directory para

Windows PowerShell
Criando e gerenciando Conta

de servio gerenciadas

5-1
Mdulo 5
Implementao de uma infraestrutura de Poltica de Grupo

Contedo:
Viso geral do mdulo
5-1
Lio 1: Introduo Poltica de Grupo
5-2
Lio 2: Implementao e administrao de GPOs
5-11
Lio 3: Escopo e processamento da Poltica de Grupo
5-18
Lio 4: Soluo de problemas na aplicao de GPOs
5-34
Laboratrio: Implementao de uma infraestrutura de Poltica de Grupo
5-42
5-49
Viso geral do mdulo
Poltica de Grupo fornece uma infraestrutura na qual voc pode definir configuraes centralmente e
implant-las aos usurios e aos computadores em sua empresa. Em um ambiente gerenciado por uma
infraestrutura de Poltica de Grupo bem-implementada, uma parte muito pequena da configurao feita
diretamente por um administrador no computador de um usurio. Voc pode definir, aplicar e atualizar a
configurao inteira usando as configuraes em GPOs (Objetos de Poltica de Grupo) ou filtragem de
GPOs. Por meio de configuraes de GPO, voc pode afetar um site ou um domnio inteiro de uma
empresa ou limitar seu foco a uma nica UO (unidade organizacional). Este mdulo detalhar o que
Poltica de Grupo, como ela funciona e qual a melhor forma de implement-la em sua organizao.
Objetivos
Descrever os componentes e as tecnologias que compreendem a estrutura de Poltica de Grupo.
Configurar e entender uma variedade de tipos de configurao de poltica.
Definir o escopo dos GPOs usando links, grupos de segurana, filtros WMI (Instrumentao de
Gerenciamento do Windows ), processamento de loopback e direcionamento de preferncias.
Descrever como os GPOs so processados.
Localizar os logs de eventos que contm eventos relacionados a Poltica de Grupo e solucionam
problemas na aplicao de Poltica de Grupo.
Lio 1
Introduo Poltica de Grupo
5-2
Uma infraestrutura de Poltica de Grupo tem vrios componentes interativos, e voc precisa entender o que
cada um faz, como eles trabalham juntos e como voc pode mont-los em configuraes diferentes. Esta
lio fornece uma viso geral abrangente dos componentes, procedimentos e funes da Poltica de Grupo.
Objetivos da lio
Identificar os requisitos de negcios para o gerenciamento de configurao.
Descrever os componentes principais e a terminologia de Poltica de Grupo.
Explicar os benefcios a implementao de GPOs.
Descrever GPOs.
Explicar a funo e o comportamento dos componentes de GPO do lado do cliente.
Explicar atualizao de GPO.
Criar e configurar GPOs.
O que gerenciamento de configurao?

Se voc tiver s um computador em seu ambiente,
por exemplo, em casa, e precisar modificar o
plano de fundo da rea de trabalho, poder fazlo de vrios modos diferentes. A maioria das
pessoas, provavelmente, abriria Aparncia e
Personalizao no Painel de Controle e faria a
alterao por meio da interface do Windows.
Embora isso funcione bem em um computador,
poder ser tedioso se desejar fazer a alterao em
vrios computadores. mais difcil implementar
qualquer alterao e manter um ambiente
consistente em vrios computadores.
Gerenciamento de configurao uma abordagem centralizada aplicao de uma ou mais alteraes a

um ou mais usurios ou computadores. Os principais elementos do gerenciamento de configurao so
os seguintes:
Configurao. Configurao tambm conhecida como uma definio centralizada de uma

alterao. A configurao traz um usurio ou um computador a um estado desejado de configurao.
Escopo. O escopo da alterao a capacidade de alterar os computadores dos usurios.
Aplicao. A aplicao um mecanismo ou um processo que assegura que a configurao seja

aplicada aos usurios e aos computadores dentro do escopo.
Poltica de Grupo uma estrutura dentro do Windows - com componentes que residem no AD DS
(Servios de Domnio Active Directory, em controladores de domnio e em cada servidor e cliente
Windows - que permite gerenciar a configurao em um domnio do AD DS.
Viso geral das Polticas de Grupo

O componente mais granular de Poltica de Grupo
uma configurao de poltica individual,
tambm conhecida como uma poltica que define
uma alterao de configurao especfica a ser
aplicada, como uma configurao de poltica que
impede um usurio de acessar ferramentas de
edio de Registro. Se voc definir essa
configurao de poltica e, em seguida, aplic-la
ao usurio, este no poder executar ferramentas
como Regedit.exe.
5-3
importante saber que algumas configuraes

afetam um usurio, conhecidas como
configuraes de usurio (ou polticas de usurio), e algumas afetam o computador, conhecidas como
configuraes de computador (ou polticas de computador).
Uma Poltica de Grupo gerencia vrias configuraes de poltica, e a estrutura de Poltica de Grupo
extensvel. No final, voc pode gerenciar quase qualquer definio configurvel com a Poltica de Grupo.
No Editor de Gerenciamento de Poltica de Grupo, voc pode definir uma configurao de poltica
clicando nela duas vezes. A caixa de dilogo Propriedades da configurao de poltica exibida. Uma
configurao de poltica pode ter trs estados: No Configurado, Habilitado e Desabilitado.
Em um novo GPO, o padro de todas as configuraes de poltica No Configurado. Isso significa que
o GPO no pode modificar a configurao existente da configurao em questo de um usurio ou um
computador. Se voc habilitar ou desabilitar uma configurao de poltica, ser feita uma alterao na
configurao de usurios e computadores aos quais o GPO est aplicado. Ao restaurar o valor No
Configurado de uma configurao, voc recupera seu valor padro.
O efeito da alterao depende da configurao de poltica. Por exemplo, se voc habilitar a configurao
de poltica Impedir Acesso a Ferramentas de Edio do Registro, os usurios no podero iniciar o
Editor do Registro, o Regedit.exe. Se voc desabilitar a configurao de poltica, assegurar que os
usurios possam iniciar o Editor do Registro. Observe o duplo aspecto negativo desta configurao de
poltica: Voc desabilita uma poltica que impede uma ao, portanto, voc permite a execuo da ao.
Algumas configuraes de poltica agrupam vrias configuraes em uma poltica, e podem requerer
parmetros adicionais.
Observao: Muitas configuraes de poltica so complexas, e o efeito de habilit-las ou
desabilit-las pode no ser bvio. Alm disso, algumas configuraes de poltica s afetam
determinadas verses do sistema operacional Windows. Revise o texto explicativo de uma
configurao de poltica no painel de detalhes do Editor de Gerenciamento de Poltica de Grupo
ou na guia Explicar da caixa de dilogo Propriedades da configurao de poltica. Alm disso,
sempre teste os efeitos de uma configurao de poltica e suas interaes com outras
configuraes de poltica antes de implantar uma alterao em seu ambiente de produo.
Benefcios de usar Poltica de Grupo

Polticas de Grupo so ferramentas administrativas
muito avanadas. Voc pode us-las para aplicar
vrias configuraes a um grande nmero de
usurios e computadores. Como possvel apliclas a vrios nveis desde o local at o domnio,
voc tambm pode definir o foco dessas
configuraes de forma bastante precisa.
Principalmente, voc pode usar Polticas de Grupo
para definir configuraes que voc no deseja
que os usurios definam. Alm disso, possvel
usar Polticas de Grupo para padronizar ambientes
de rea de trabalho em todos os computadores de
uma UO ou de uma empresa inteira, com o objetivo de fornecer segurana adicional e algumas
configuraes de sistema avanadas, alm de atender a outros fins que sero detalhados nas
prximas sees.
Aplicao de configuraes de segurana

No sistema operacional Windows Server 2012, os GPOs incluem um nmero grande de configuraes
relacionadas a segurana que voc pode aplicar a usurios e computadores. Por exemplo, voc pode
aplicar configuraes para o Firewall do Windows e configurar auditoria e outras configuraes de
segurana. Voc tambm pode configurar conjuntos completos de atribuies de direitos de usurio.
Gerenciamento de configuraes de rea de trabalho e de aplicativos

Voc pode usar uma Poltica de Grupo para fornecer um ambiente consistente de rea de trabalho e
aplicativos a todos os usurios de sua organizao. Por meio de GPOs, voc pode definir cada
configurao que afeta o aspecto do ambiente de usurio e tambm definir configuraes para alguns
aplicativos que do suporte a GPOs.
Implantao de software
Polticas de Grupo permitem implantar software a usurios e computadores. Voc pode usar Poltica de
Grupo para implantar todos os aplicativos de software que esto no formato de .msi. Alm disso, voc
pode aplicar instalao de software automtica ou deixar que seus usurios decidam se desejam que o
software seja implantado em suas mquinas.
Observao: A implantao de pacotes grandes com GPOs pode no ser o modo mais
eficiente de distribuir um aplicativo nos computadores de sua organizao. Em muitas
circunstncias, pode ser mais eficaz distribuir os aplicativos como parte da imagem de
computador desktop.
5-4
Gerenciamento do redirecionamento de pasta
5-5
Com o redirecionamento de pasta, voc pode gerenciar e fazer backup de dados com rapidez e
facilidade. Ao redirecionar pastas, voc tambm assegura que os usurios tenham acesso aos dados
independentemente do computador no qual eles entrem. Alm disso, possvel centralizar os dados de
todos os usurios em um local no servidor de rede, fornecendo, ao mesmo tempo, uma experincia ao
usurio que semelhante ao armazenamento dessas pastas em computadores. Por exemplo, voc pode
configurar o redirecionamento para redirecionar as pastas Documentos dos usurios para uma pasta
compartilhada em um servidor de rede.
Definio das configuraes de rede
O uso de Poltica de Grupo permite configurar vrias configuraes de rede em computadores clientes.
Por exemplo, possvel aplicar configuraes para redes sem fio para que os usurios s possam se
conectar a identificadores SSID, e com autenticao predefinida e configuraes de criptografia. Voc
tambm pode implantar polticas que se aplicam a configuraes de rede com fio, alm de configurar
servios no lado do cliente, como a NAP (Proteo de Acesso Rede).
Objetos de Poltica de Grupo

As configuraes de poltica so definidas e
existem dentro de um GPO. GPO um objeto que
contm uma ou mais configuraes de poltica
que se aplicam a um ou mais configuraes para
um usurio ou um computador.
Observao: Os GPOs podem ser
gerenciados no AD DS usando o GPMC (Console
de Gerenciamento de Poltica de Grupo).
Os GPOs so exibidos em um continer
denominado Objetos de Poltica de Grupo.
Para criar um novo GPO em um domnio, clique com o boto direito do mouse no continer Objetos de
Poltica de Grupo e, em seguida, clique em Novo.
Para modificar as configuraes em um GPO, clique com o boto direito do mouse no GPO e, em
seguida, clique em Editar. O snap-in do Editor de Gerenciamento de Poltica de Grupo aberto.
O Editor de Gerenciamento de Poltica de Grupo exibe os milhares de configuraes de poltica

disponveis em um GPO em uma hierarquia organizada que comea com a diviso entre configuraes de
computador e de usurio: os ns Configurao do Computador e Configurao do Usurio.
Os prximos dois nveis da hierarquia so os ns Polticas e Preferncias. Voc aprender, mais adiante
neste mdulo, a diferena entre esses dois ns. Mais abaixo na hierarquia, possvel ver que o Editor de
Gerenciamento de Poltica de Grupo exibe pastas, que tambm so chamadas de ns ou grupos de
configuraes de poltica. Dentro das pastas, esto as prprias configuraes de poltica.
Observao: O GPO deve ser se aplicado a um domnio, um site ou uma UO na hierarquia
do AD DS para que as configuraes dentro do objeto entrem em vigor.
Escopo do GPO
A configurao definida por configuraes de
poltica em GPOs. No entanto, as alteraes de
configurao em um GPO no afetaro os
computadores nem os usurios de sua
organizao at que voc especifique os
computadores ou os usurios aos quais o GPO se
aplicar. Isso denominado definio do escopo
de um GPO. O escopo de um GPO a coleo de
usurios e computadores que aplicaro as
configuraes no GPO.
5-6
Voc pode usar vrios mtodos para gerenciar o

escopo de GPOs. O primeiro o link de GPO.
possvel vincular GPOs a sites, domnios e UOs no AD DS. O site, o domnio ou a UO torna-se, ento, o
escopo mximo do GPO. Todos os computadores e usurios dentro do site, do domnio ou da UO,
inclusive os contidos em UOs filho, sero afetados pelas configuraes de poltica especificadas no GPO.
Observao: Voc pode vincular um GPO a mais de um domnio, uma UO ou um site. A
vinculao de GPOs a vrios sites pode introduzir problemas de desempenho durante a aplicao
da poltica, e necessrio evitar a vinculao de um GPO a vrios sites. A razo disso que em
uma rede multissite, os GPOs so armazenados nos controladores do domnio raiz da floresta. A
consequncia disso que computadores em outros domnios podem precisar atravessar um link
de WAN (rede de longa distncia) lenta para obter os GPOs.
Voc pode limitar ainda mais o escopo do GPO com um dos dois tipos de filtros. Filtros de Segurana
especificam grupos de segurana que esto inseridos no escopo do GPO, mas aos quais o GPO deve ou
no ser aplicado explicitamente. Filtros WMI especificam um escopo usando caractersticas de um sistema,
como verso de sistema operacional ou espao livre em disco. Use filtros de segurana e WMI para limitar
ou especificar o escopo dentro do escopo inicial criado pelo link de GPO.
Observao: O Windows Server 2008 introduziu um novo componente de Poltica de
Grupo: Preferncias de Poltica de Grupo. As configuraes definidas por Preferncias de Poltica
de Grupo em um GPO podem ser filtradas ou direcionadas com base em vrios critrios. As
preferncias direcionadas permitem refinar ainda mais o escopo de preferncias um nico GPO.
Extenses do lado do cliente e cliente de Poltica de Grupo

Aplicao de Poltica de Grupo
importante entender como Polticas de Grupo
se aplicam a computadores clientes. A estrutura
de tpicos a seguir detalha o processo:
Quando a atualizao da Poltica de Grupo
iniciada, um servio que est em execuo em
todos os computadores Windows, conhecido
como o Cliente de Poltica de Grupo no
Windows Vista , Windows 7, Windows 8,
Windows Server 2008, Windows Server 2008 R2 e
Windows Server 2012, determina quais GPOs se
aplicam ao computador ou ao usurio.
Esse servio baixa qualquer GPO que ainda no esteja armazenado em cache.
5-7
As CSEs (extenses do lado do cliente) interpretam as configuraes em um GPO e fazem alteraes

apropriadas no computador local ou no usurio conectado no momento. H CSEs para cada categoria
principal de configurao de poltica. Por exemplo, h uma CSE de segurana que aplica alteraes de
segurana, uma CSE que executa scripts de inicializao e logon, uma que instala software e outra que faz
alteraes nas chaves e valores do Registro. Cada verso do Windows adicionou CSEs para estender o
alcance funcional da Poltica de Grupo e h dezenas de CSEs no Windows.
Um dos conceitos mais importantes para se lembrar sobre Poltica de Grupo que ela muito voltada ao
cliente. O Cliente de Poltica de Grupo recebe os GPOs do domnio, disparando as CSEs para aplicar
configuraes localmente. Poltica de Grupo no uma tecnologia "push".
Na realidade, voc pode configurar o comportamento das CSEs usando Poltica de Grupo. A maioria das
CSEs s aplicar configuraes em um GPO se este tiver sido alterado. Esse comportamento aperfeioa o
processamento da poltica, eliminando aplicaes redundantes das mesmas configuraes. A maioria das
polticas aplicada de tal modo que os usurios padro no podem alterar a configurao no
computador - eles sempre estaro sujeitos configurao aplicada pela Poltica de Grupo. No entanto, os
usurios padro podem alterar algumas configuraes e muitas podem ser alteradas se um usurio for
um administrador no sistema em questo. Se os usurios em seu ambiente forem os administradores nos
respectivos computadores, voc dever considerar configurar CSEs para reaplicar configuraes de
poltica mesmo se o GPO no tiver sido alterado. Dessa forma, se um usurio administrativo alterar uma
configurao, e ela deixar de ser compatvel com a poltica, o seu estado compatvel ser restaurado na
prxima atualizao da Poltica de Grupo.
Observao: Voc pode configurar CSEs para reaplicar configuraes de poltica na
prxima atualizao em segundo plano, mesmo se o GPO no tiver sido alterado. Voc pode
faz-lo configurando um GPO cujo escopo foi definido nos computadores e, em seguida,
definindo as configuraes no n Configuraes do Computador\Polticas\Modelos
Administrativos\Sistema\ Poltica de Grupo. Para cada CSE que voc deseja configurar, abra sua
configurao de poltica de processamento de polticas, como o Processamento de Poltica do
Registro para a CSE do Registro. Clique em Habilitado e marque a caixa de seleo Processar
mesmo que os objetos de Poltica de Grupo no tenham mudado.
5-8
A CSE de segurana gerencia uma exceo importante s configuraes do processamento de poltica

padro. As configuraes de segurana so reaplicadas a cada 16 horas, mesmo que um GPO no tenha
sido alterado.
Observao: Habilite a configurao de poltica Sempre Esperar pela Rede ao Iniciar o
Computador e Fazer Logon para todos os clientes Windows. Sem essa configurao, por
padro, os clientes Windows XP, Windows Vista, Windows 7 e Windows 8 executam s
atualizaes em segundo plano. Isso significa que um cliente pode ser inicializado e, em seguida,
um usurio pode entrar sem receber as polticas mais recentes do domnio. A configurao est
localizada em Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Logon.
Leia o texto explicativo da configurao de poltica.
Atualizao de Poltica de Grupo

As configuraes de poltica no n Configurao do Computador so aplicadas na inicializao do
sistema e, posteriormente, a cada 90-120 minutos. As configuraes de poltica de Configurao do
Usurio so aplicadas no logon e, posteriormente, a cada 90-120 minutos. A aplicao de polticas
denominada atualizao de Poltica de Grupo.
Observao: Voc tambm pode aplicar uma atualizao de poltica usando o comando
GPUpdate.
Demonstrao: Como criar um GPO e definir configuraes de GPO
As configuraes de Poltica de Grupo, tambm conhecidas como polticas, esto inseridas em um GPO, e
voc pode visualiz-las e modific-las por meio do Editor de Gerenciamento de Poltica de Grupo. Esta
demonstrao aborda mais profundamente as categorias de configuraes disponveis em um GPO.
Configurao do Computador e Configurao do Usurio
H duas divises principais de configuraes de poltica: configuraes de computador, contidas no n

Configurao do Computador, e configuraes de usurio, contidas no n Configurao do Usurio:
O n Configurao do Computador contm as configuraes que so se aplicadas a computadores,

independentemente de quem faz logon neles. As configuraes de computador so aplicadas
quando o sistema operacional iniciado, durante atualizaes em segundo plano e, posteriormente,
a cada 90 a 120 minutos.
O n Configurao do Usurio contm configuraes que so aplicadas quando um usurio faz

logon no computador, durante atualizaes em segundo plano e, posteriormente, a cada 90 a 120
minutos.
Nos ns Configurao do Computador e Configurao do Usurio, esto inseridas as Polticas e as

Preferncias. Polticas so configuraes que so definidas e se comportam de forma semelhante s
configuraes de poltica em sistemas operacionais Windows mais antigos. As Preferncias foram
introduzidas no Windows Server 2008.
Nos ns Polticas da Configurao do Computador e da Configurao do Usurio, se encontra uma

hierarquia de pastas que contm configuraes de poltica. Como h milhares de configuraes, est alm
do escopo deste curso examinar configuraes individuais. No entanto, vale a pena definir as categorias
amplas das configuraes nas pastas.
N Configuraes de Software
5-9
Configuraes de Software o primeiro n. Ele contm apenas a extenso Instalao de Software que
ajuda a especificar como os aplicativos so instalados e mantidos na sua organizao.
N Configuraes do Windows
Nos ns Configurao do Computador e Configurao do Usurio, o n Polticas contm um n

Configuraes do Windows, que inclui os ns Scripts, Configuraes de Segurana e QoS Baseada
em Poltica.
Observao: Tambm inclui a pasta Poltica de Resoluo de Nome que contm
configuraes para definir o Windows 8 DirectAccess, que abordado em um mdulo posterior.
N Scripts
A extenso Scripts permite especificar dois tipos de scripts, inicializao/desligamento (no n

Configurao do Computador), e logon/logoff (no n Configurao do Usurio). Scripts de
inicializao/desligamento so executados na inicializao ou no desligamento do computador. Scripts de
logon/logoff so executados quando um usurio faz logon ou logoff. Quando voc atribui vrios scripts
de logon/logoff ou de inicializao/desligamento a um usurio ou um computador, a CSE de Scripts
executa os scripts de cima para baixo. Voc pode determinar a ordem de execuo de vrios scripts na
caixa de dilogo Propriedades. Quando um computador desligado, a CSE primeiro processa os scripts
de logoff e, em seguida, os de desligamento. Por padro, o valor de tempo limite para processamento de
scripts 10 minutos. Se os scripts de logoff e desligamento precisarem de mais que 10 minutos para
serem processados, voc dever ajustar o valor de tempo limite com uma configurao de poltica. Voc
pode usar qualquer linguagem de script ActiveX para elaborar scripts. Algumas possibilidades incluem
Microsoft Visual Basic Scripting Edition (VBScript), Microsoft JScript, Perl e arquivos em lote estilo
Microsoft MS-DOS (.bat e .cmd). H suporte para scripts de logon em um diretrio de rede
compartilhado em outra floresta para logon de rede entre florestas. O Windows 7 e o Windows 8
tambm do suporte a scripts Windows PowerShell.
N Configuraes de Segurana
O n Configuraes de Segurana permite que um administrador de segurana configure a segurana

usando GPOs. Isso pode ser feito depois ou, em vez disso, poder usar um modelo de segurana para
definir a segurana do sistema.
N QoS Baseada em Poltica
Esse n de qualidade de servio (QoS), conhecido como n QoS Baseada em Poltica, define polticas
que gerenciam o trfego de rede. Por exemplo, voc pode querer garantir que os usurios no
departamento de finanas tenham prioridade para executar um aplicativo de rede crtico durante o
perodo de relatrio financeiro de final de ano. O n QoS Baseada em Poltica permite fazer isso.
S no n Configurao do Usurio, a pasta Configuraes do Windows contm os ns adicionais

Servios de Instalao Remota, Redirecionamento de Pasta e Manuteno do Internet Explorer. As
polticas RIS (Servios de Instalao Remota) controlam o comportamento de uma instalao de sistema
operacional remota. O Redirecionamento de Pasta permite redirecionar dados de usurio e pastas de
configuraes como AppData, rea de Trabalho, Documentos, Imagens, Msica e Favoritos do local de
perfil do usurio padro para um local alternativo na rede, onde eles podem ser gerenciados centralmente.
A Manuteno do Internet Explorer permite administrar e personalizar o Windows Internet Explorer.
N Modelos Administrativos
Nos ns Configurao do Computador e Configurao do Usurio, o n Modelos Administrativos
contm configuraes da Poltica de Grupo baseadas no Registro. H milhares dessas configuraes
disponveis para configurar o usurio e o ambiente de computador. Como administrador, voc pode
gastar uma quantidade significante de tempo manipulando essas configuraes. Para ajud-lo com as
configuraes, uma descrio de cada configurao de poltica est disponvel em dois locais:
5-10 Implementao de uma infraestrutura de Poltica de Grupo
Na guia Explicar da caixa de dilogo Propriedades da configurao. Alm disso, a guia

Configuraes da caixa de dilogo Propriedades para cada configurao tambm lista o sistema
operacional ou o software necessrio para a configurao.
Na guia Estendido do Editor de Gerenciamento de Poltica de Grupo. A guia Estendido aparece no

canto inferior direito do painel de detalhes e fornece uma descrio de cada configurao
selecionada em uma coluna entre a rvore de console e o painel de configuraes. O sistema
operacional ou o software necessrio para cada configurao tambm listado.
Demonstration
1.
Abrir o Console de Gerenciamento de Poltica de Grupo.
2.
Criar um novo GPO denominado rea de Trabalho no continer Poltica de Grupo.
3.
Na configurao do computador, impedir a exibio do ltimo nome de logon e, em seguida,

impedir a execuo do Windows Installer.
4.
Na configurao do usurio, remover o link Pesquisar do menu Iniciar e ocultar a guia de

configuraes de vdeo.
Use o GPMC para criar um novo GPO
1.
Entre em LON-DC1 como administrador.
2.
Abra o Console de Gerenciamento de Poltica de Grupo.
3.
Crie um novo GPO denominado rea de Trabalho.
Defina configuraes de Poltica de Grupo

1.
Abra a nova poltica rea de Trabalho para editar.
2.
Na configurao do computador, impea a exibio do ltimo nome de logon e, em seguida, impea

a execuo do Windows Installer.
3.
Na configurao do usurio, remova o link Pesquisar do menu Iniciar e oculte a guia de

configuraes de vdeo.
4.
Feche todas as janelas abertas.
Lio 2
Implementao e administrao de GPOs
5-11
Nesta lio, voc examinar GPOs em mais detalhes, aprender como criar, vincular, editar, gerenciar e
administrar GPOs e suas configuraes.
Objetivos da lio
Descrever GPOs baseados em domnio.
Explicar como criar, vincular e editar GPOs.
Explicar o armazenamento de GPOs.
Descrever GPOs de incio.
Executar tarefas comuns de gerenciamento de GPOs.
Explicar como delegar a administrao de GPOs.
Descrever como usar o Windows PowerShell para gerenciar GPOs.
GPOs baseados em domnio

Os GPOs baseados em domnio so criados
no AD DS e armazenados em controladores de
domnio. Voc pode us-los para gerenciar a
configurao centralmente para os usurios e
os computadores do domnio. O restante deste
curso trata de GPOs baseados em domnio
no lugar de GPOs locais, a menos que seja
especificado de outra forma.
Quando voc instala o AD DS, so criados dois
GPOs padro: Poltica de Controladores de
Domnio Padro e Poltica de Domnio Padro.
Poltica de Domnio Padro
Este GPO vinculado ao domnio e no tem nenhum grupo de segurana nem filtros WMI. Portanto, ele
afeta todos os usurios e computadores no domnio, inclusive computadores que so controladores de
domnio. Este GPO contm configuraes de poltica que especificam senha, bloqueio de conta e polticas
de protocolo Kerberos verso 5. Voc no deve acrescentar configuraes de poltica no relacionadas a
este GPO. Se precisar definir outras configuraes para aplicar amplamente em seu domnio, crie GPOs
adicionais que se vinculem ao domnio.
Poltica de Controladores de Domnio Padro
Esse GPO vinculado UO dos controladores de domnio. Como as contas de computador para
controladores de domnio so mantidas exclusivamente na UO Controladores de Domnio, e outras contas
de computador devem ser mantidas em outras UOs, esse GPO s afeta controladores de domnio.
necessrio modificar o GPO Controladores de Domnio Padro para implementar suas polticas de
auditoria e atribuir os direitos de usurio necessrios em controladores de domnio.
Observao: Computadores Windows tambm tm GPOs locais que so usados quando
no esto conectados a ambientes de domnio. O Windows Vista, o Windows 7, o Windows 8, o
Windows Server 2008, o Windows Server 2008 R2 e o Windows Server 2012 do suporte ideia
de vrios GPOs locais. O GPO Computador Local igual ao GPO nas verses anteriores do
Windows. No n Configurao do Computador, voc pode definir todas as configuraes
relacionadas a computador. No n Configurao do Usurio, voc pode definir configuraes
que voc deseja aplicar a todos os usurios no computador. As configuraes de usurio no GPO
Computador Local podem ser modificadas pelas configuraes de usurio em dois novos GPOs
locais: Administradores e Usurios Sem Privilgios de Administrador. Esses dois GPOs aplicam
configuraes aos usurios conectados de acordo com o respectivo status, ou seja, se eles so
membros do grupo Administradores local, caso em que eles usariam o GPO Administradores, ou
no so membros do grupo Administradores e, portanto, usariam o GPO Usurios Sem Privilgios
de Administrador. Voc pode refinar ainda mais as configuraes do usurio com um GPO local
que se aplique a uma conta de usurio especfica. Os GPOs locais especficos ao usurio so
associados a contas de usurio locais, no do domnio.
importante entender que as configuraes de GPO baseado em domnio so combinadas com
as aplicadas usando GPOs locais, mas como os GPOs baseados em domnio so aplicados por
ltimo, eles tm precedncia sobre as configuraes de GPOs locais.
Armazenamento de GPO
As configuraes de Poltica de Grupo so
apresentadas como GPOs nas ferramentas de
interface do usurio do AD DS, mas, na realidade,
o GPO compreende dois componentes: um
continer e um modelo Poltica de Grupo.
O continer Poltica de Grupo um objeto do AD

DS armazenado no continer Objetos de Poltica
de Grupo dentro do contexto de nomeao de
domnio do diretrio. Como todos os objetos AD
DS, cada continer Poltica de Grupo inclui um
atributo GUID (identificador exclusivo) que
identifica, de forma exclusiva, o objeto no AD DS.
O continer Poltica de Grupo define atributos bsicos do GPO, mas no contm nenhum das
configuraes. As configuraes so contidas no modelo Poltica de Grupo, uma coleo de arquivos
armazenada no Volume de Sistema (SYSVOL) de cada controlador de domnio no caminho
%SystemRoot%\SYSVOL\Domain\Policies\GPOGUID, onde GPOGUID o GUID do continer Poltica
de Grupo. Quando so feitas alteraes nas configuraes de um GPO, as alteraes so salvas ao modelo
Poltica de Grupo do servidor do qual o GPO foi aberto.
5-13
Por padro, quando ocorre a atualizao da Poltica de Grupo, as CSEs s aplicam as configuraes a um
GPO se ele tiver sido atualizado.
O cliente de Poltica de Grupo pode identificar um GPO atualizado por seu nmero de verso. Cada GPO
tem um nmero de verso que incrementado a cada vez que feita uma alterao. O nmero de verso
armazenado como um atributo do continer Poltica de Grupo e em um arquivo de texto, o template.ini
Poltica de Grupo, na pasta do modelo Poltica de Grupo. O cliente de Poltica de Grupo sabe o nmero
de verso de cada GPO aplicado anteriormente. Se, durante a atualizao de Poltica de Grupo, o cliente
descobrir que o nmero de verso do continer Poltica de Grupo foi alterado, as CSEs sero informadas
que o GPO foi atualizado.
Replicao de GPO
O continer e o modelo Poltica de Grupo so replicados entre todos os controladores de domnio
no AD DS. No entanto, so usados mecanismos de replicao diferentes para esses dois itens.
O continer Poltica de Grupo no AD DS replicado pelo DRA (Agente de Replicao Diretrio). O DRA
usa uma topologia gerada pelo KCC (Knowledge Consistency Checker), que voc pode definir ou refinar
manualmente. O resultado que o continer Poltica de Grupo replicado em segundos em todos os
controladores de domnio em um site e replicado entre sites com base em sua configurao de
replicao entre sites.
O modelo Poltica de Grupo no SYSVOL replicado usando um das duas tecnologias a seguir. O FRS
(Servio de Replicao de Arquivos) usado para replicar o SYSVOL em domnios nos quais so
executados o Windows Server 2008, o Windows Server 2008 R2, o Windows Server 2003 e o
Windows 2000. Se todos os controladores de domnio estiverem executando o Windows Server 2008
ou mais recente, voc poder configurar a replicao do SYSVOL usando a Replicao DFS (Sistema de
Arquivos Distribudo), que um mecanismo muito mais eficiente e robusto.
Como o continer e o modelo Poltica de Grupo so replicados separadamente, possvel que eles
fiquem fora de sincronizao por um curto perodo.
Normalmente, quando isso acontece, o continer Poltica de Grupo replicado primeiro em um

controlador de domnio. Sistemas que obtiveram a lista ordenada de GPOs desse controlador de domnio
identificaro o novo continer Poltica de Grupo, tentaro baixar o modelo Poltica de Grupo e notaro
que os nmeros de verso no so os mesmos. Um erro de processamento de poltica ser registrado nos
logs de eventos. Se ocorrer o contrrio, e o GPO for replicado em um controlador de domnio antes do
continer Poltica de Grupo, os clientes que obtiveram a lista ordenada de GPOs desse controlador de
domnio no sero notificados do novo GPO at que o continer Poltica de Grupo seja replicado.
GPOs de Incio
Um GPO de Incio usado como um modelo do
qual criar outros GPOs no GPMC. Os GPOs de
Incio podem conter apenas configuraes de
Modelos Administrativos. Voc pode usar um GPO
de Incio para fornecer um ponto de partida para
novos GPOs criados em seu domnio. O GPO de
Incio j pode conter configuraes especficas
que so prticas recomendadas para seu
ambiente. GPOs de Incio podem ser exportados e
importados de arquivos de gabinete (.cab) para
tornar a distribuio a outros ambientes simples e
eficiente.
O GPMC armazena GPOs de Incio em uma pasta denominada StarterGPOs, localizada no SYSVOL.
GPOs de Incio pr-configurados da Microsoft esto disponveis para sistemas operacionais cliente
Windows. Esses GPOs de Incio contm configuraes de Modelo Administrativo que refletem as prticas
recomendadas da Microsoft para a configurao do ambiente de cliente.
Tarefas comuns de gerenciamento de GPOs

Como dados crticos e recursos relacionados ao
AD DS, voc deve fazer backup dos GPOs para
proteger a integridade do AD DS e dos GPOs.
O GPMC no s fornece as opes de backup
e restaurao bsicas, mas tambm oferece
controle adicional dos GPOs para finalidades
administrativas. Opes para gerenciar GPOs
incluem o seguinte:
Backup de GPOs
Voc pode fazer backup de GPOs individualmente

ou como um todo com o GPMC. Voc deve
fornecer apenas um local de backup, que pode ser
qualquer pasta local ou compartilhada vlida. Para fazer backup do GPO, necessrio ter a permisso de
Leitura. Toda vez que voc fizer um backup, criada uma nova verso de backup do GPO, que fornece
um registro histrico.
Restaurao de GPOs includos no backup

Voc pode restaurar qualquer verso de um GPO. Se uma se tornar corrompida ou voc a excluir, ser
possvel restaurar qualquer verso histrica do GPO em questo. A interface de restaurao oferece a
capacidade de exibir as configuraes armazenadas na verso includa no backup antes de restaur-la.
Importao de configuraes de um GPO includo no backup
Voc pode importar configuraes de poltica de um GPO em outro. A importao de um GPO permite
transferir configuraes de um GPO includo no backup para um GPO existente. A importao de um GPO
transfere s as configuraes do GPO. O processo de importao no importa links de GPO. Talvez seja
necessrio migrar as entidades de segurana definidas na origem para o destino.
Observao: No possvel mesclar configuraes importadas com as configuraes
do GPO de destino atuais. As configuraes importadas substituiro todas as configuraes
existentes.
Cpia de GPOs
5-15
Voc pode copiar GPOs usando o GPMC, ambos no mesmo domnio e entre domnios. Uma operao de
cpia copia um GPO ativo existente no domnio de destino desejado. Um novo GPO sempre criado
durante esse processo. O novo GPO denominado "cpia de OldGPOName". Por exemplo, se voc copiar
um GPO denominado "rea de Trabalho", a nova verso ser denominada "Cpia de rea de Trabalho".
Depois que o arquivo copiado e colado no continer Objetos de Poltica de Grupo, voc pode renomear
a poltica. O domnio de destino pode ser qualquer domnio confivel no qual voc tenha os direitos para
criar novos GPOs. Durante a cpia entre domnios, possvel que as entidades de segurana definidas na
origem precisem ser migradas para o destino.
Observao: No possvel copiar configuraes de vrios GPOs em um nico GPO.
Tabelas de migrao
Ao importar GPOs ou copi-los entre domnios, voc pode usar tabelas de migrao para modificar
referncias no GPO que precisem ser ajustadas para o novo local. Por exemplo, voc pode precisar
substituir o caminho UNC para redirecionamento de pasta por um caminho UNC adequado para o novo
grupo de usurios ao qual o GPO ser aplicado. Voc pode criar tabelas de migrao antes desse
processo ou cri-las durante a importao ou a operao de cpia entre domnios.
Delegao da administrao de Polticas de Grupo

A delegao de tarefas relacionadas a GPOs
permite distribuir a carga de trabalho
administrativa pela empresa. Voc pode atribuir a
um grupo a tarefa de criar e editar GPOs,
enquanto outro grupo executa tarefas de relatrio
e anlise. Um terceiro grupo pode ficar
encarregado de criar filtros WMI.
possvel delegar as seguintes tarefas de Poltica
de Grupo de forma independente:
Criao de GPOs
Edio de GPOs
Gerenciamento de links de Poltica de Grupo para um site, um domnio ou uma UO
Realizao de anlises de modelagem de Poltica de Grupo em um determinado domnio ou uma UO
Leitura de dados de Resultados de Poltica de Grupo para objetos em um determina domnio ou uma UO
Criao de filtros WMI em um domnio
O grupo Proprietrios Criadores de Poltica de Grupo permite que seus membros criem novos GPOs e
editem ou excluam GPOs criados por eles.
Permisses padro de Poltica de Grupo

Por padro, o usurio e os grupos a seguir tm controle total do gerenciamento de GPOs:
Administradores de Domnio
Administradores de Empresa
Proprietrio Criador
Sistema Local
O grupo Usurios Autenticados tem as permisses Leitura e Aplicar Poltica de Grupo.
Criao de GPOs
Por padro, s Administradores de Domnio, Administradores de Empresa e Proprietrios Criadores de

Poltica de Grupo podem criar novos GPOs. Voc pode usar dois mtodos para conceder esse direito a um
grupo ou um usurio:
Adicionar o grupo ou o usurio ao grupo Proprietrios Criadores de Poltica de Grupo
Conceder explicitamente ao grupo ou ao usurio a permisso para criar GPOs com o GPMC.
Edio de GPOs
Para editar um GPO, o usurio deve ter acesso para Leitura e Gravao ao GPO. Voc pode conceder essa
permisso usando o GPMC.
Gerenciamento de links de GPO

A capacidade de vincular GPOs a um continer uma permisso que especfica ao continer em
questo. No GPMC, voc pode gerenciar essa permisso usando a guia Delegao no continer.
Voc tambm pode conced-la por meio da Delegao do Assistente de Controle em Usurios e
Computadores do Active Directory.
Modelagem e Resultados da Poltica de Grupo
Voc pode delegar a capacidade de usar as ferramentas de relatrio da mesma forma, por meio do GPMC
ou da Delegao do Assistente de Controle em Usurios e Computadores do Active Directory.
Criao de filtros WMI

Voc pode delegar a capacidade de criar e gerenciar filtros WMI da mesma forma, por meio do GPMC
ou da Delegao do Assistente de Controle em Usurios e Computadores do Active Directory.
Gerenciamento de GPOs com o Windows PowerShell

Alm de usar o Console de Gerenciamento de
Poltica de Grupo e o Editor de Gerenciamento de
Poltica de Grupo, voc tambm pode executar
tarefas administrativas de GPO comuns usando o
Windows PowerShell.
A tabela a seguir lista algumas das tarefas
administrativas mais comuns possvel com o
Windows PowerShell.
Nome de cmdlet
Descrio
5-17
New-GPO
Cria um novo GPO
New-GPLink
Cria um novo link de GPO para o GPO especificado
Backup-GPO
Faz backup dos GPOs especificados
Restore-GPO
Restaura os GPOs especificados
Copy-GPO
Copia um GPO
Get-GPO
Obtm os GPOs especificados
Import-GPO
Importa as configuraes includas no backup para um GPO especificado
Set-GPInheritance
Concede as permisses especificadas a um usurio ou grupo de segurana

para os GPOs especificados
Por exemplo, o comando a seguir cria um novo GPO chamado Sales:

New-GPO - Nome Sales - comentrio "Este o GPO de vendas"
O cdigo a seguir importa as configuraes do GPO Sales includo no backup e armazenado na pasta
C:\Backups para o GPO NewSales.
import-gpo - BackupGpoName Sales - TargetName NewSales -path c:\backups
Lio 3
Escopo e processamento da Poltica de Grupo
Um GPO , por si s, uma coleo de instrues de configurao que sero processadas pelas CSEs
de computadores. At que o escopo do GPO seja definido, ele no aplicado a nenhum usurio ou
computador. O escopo do GPO determina as CSEs das quais os computadores recebero e processaro
o GPO, e somente os computadores ou os usurios dentro do escopo de um GPO aplicaro as
configuraes nesse GPO. Nesta lio, voc aprender a gerenciar o escopo de um GPO. Os mecanismos
a seguir so usados para definir um escopo:
O link de GPO para um site, um domnio ou uma UO e se esse link habilitado
A opo Impor de um GPO
A opo Bloquear Herana em uma UO
Filtros do grupo de segurana
Filtros WMI
Habilitao ou desativao de ns de poltica
Direcionamento de preferncias
Processamento de poltica loopback
Voc deve ter a capacidade de definir os usurios ou os computadores nos quais planeja implantar essas
configuraes. Consequentemente, necessrio dominar a arte de definir o escopo de GPOs. Nesta lio,
voc aprender cada um dos mecanismos que permitem definir o escopo de um GPO e, no processo,
dominar os conceitos de herana, precedncia e aplicao de Poltica de Grupo.
Objetivos da lio
Descrever links de GPO.
Explicar o processamento de GPO.
Descrever a herana e a precedncia de GPOs.
Usar filtros de segurana para filtrar o escopo de um GPO.
Explicar como usar os filtros WMI para filtrar o escopo de um GPO.
Descrever como habilitar e desabilitar GPOs.
Explicar como e quando usar o processamento de loopback.
Explicar as consideraes relativas a computadores desconectados ou que esto conectados por

links lentos.
Explicar quando as configuraes de Poltica de Grupo entram em vigor.
Links de GPO
Voc pode vincular um GPO a um ou mais sites do
AD DS, domnios ou UOs. Depois de vincular um
GPO, os usurios ou os computadores inseridos no
continer em questo estaro dentro do escopo
do GPO, inclusive os computadores e os usurios
em UOs filho.
Vinculao de um GPO
Para vincular um GPO:
5-19
Clique com o boto direito do mouse no

domnio ou na UO na rvore de console do
GPMC e clique em Vincular como GPO
Existente.
Se voc ainda no criou um GPO, clique em Criar um GPO neste {Domnio | UO | Site} e Fornecer
um Link para Ele Aqui.
Voc pode escolher os mesmos comandos para vincular um GPO a um site, mas, por padro, seus sites do
AD DS no ficam visveis no GPMC. Para mostrar sites no GPMC, clique com o boto direito do mouse em
Sites na rvore de console do GPMC e, em seguida, clique em Mostrar Sites.
Observao: Um GPO vinculado a um site afeta todos os computadores no site, sem levar
em conta o domnio ao qual os computadores pertenam, desde que todos os computadores
pertenam mesma floresta do Active Directory. Portanto, quando um GPO vinculado a um
site, esse GPO pode ser aplicado a vrios domnios dentro de uma floresta. Os GPOs vinculados a
site so armazenados em controladores no domnio no qual o GPO criado. Portanto, os
controladores do domnio em questo devero ser acessveis para que os GPOs vinculados a site
sejam aplicados corretamente. Se voc implementar polticas vinculadas a site, dever considerar
a aplicao de polticas ao planejar sua infraestrutura de rede. Voc pode colocar um controlador
do domnio do GPO no site ao qual a poltica est vinculada ou garantir que uma conectividade
de WAN fornea acessibilidade a um controlador no domnio do GPO.
Ao vincular um GPO a um continer, voc define o escopo inicial do GPO. Selecione um GPO e, em
seguida, clique na guia Escopo para identificar os contineres aos quais o GPO est vinculado. No painel
de detalhes do GPMC, os links de GPO so exibidos na primeira seo da guia Escopo.
O impacto dos links do GPO ser que o Cliente de Poltica de Grupo baixar o GPO se o computador ou os
objetos de usurio estiverem no escopo do link. O GPO s ser baixado se ele for novo ou atualizado.
O Cliente de Poltica de Grupo armazena o GPO em cache para tornar a atualizao de poltica mais
eficiente.
Vinculao de um GPO a vrias UOs
Voc pode vincular um GPO a mais de um site ou uma UO. Por exemplo, comum aplicar configurao a
computadores em vrias UOs. Voc pode definir a configurao em um nico GPO e, em seguida, vincular
esse GPO a cada UO. Se posteriormente voc alterar as configuraes no GPO, suas alteraes sero
aplicadas a todas as UOs s quais o GPO estiver vinculado.
Excluso ou desabilitao de um link de GPO

Depois de vincular um GPO, o link de GPO aparece no GPMC abaixo do site, do domnio ou da UO.
O cone do link de GPO tem uma pequena seta de atalho. Quando voc clica com o boto direito do
mouse no link de GPO, um menu de contexto exibido:
Para excluir um link de GPO, clique nele com o boto direito do mouse na rvore de console do
GPMC e, em seguida, clique em Excluir.
A excluso de um link de GPO no exclui o GPO em si, que permanece no continer de GPO em questo.
No entanto, a excluso do link altera o escopo do GPO, de forma que ele no se aplique mais aos
computadores e aos usurios dentro do objeto de continer vinculado anteriormente.
Voc tambm pode modificar um link de GPO desabilitando o seguinte:
Para desabilitar um link de GPO, clique nele com o boto direito do mouse na rvore de console do
GPMC e, em seguida, desmarque a opo Vnculo Habilitado.
A desativao do link tambm altera o escopo do GPO de forma que ele no se aplique mais aos
computadores e aos usurios inseridos no continer em questo. No entanto, o link permanece para que
voc possa reabilit-lo com facilidade.
Demonstrao: Como vincular GPOs

Criar dois novos GPOs.
Vincular o primeiro GPO ao domnio.
Vincular o segundo GPO UO IT.
Desabilitar o link do primeiro GPO.
Excluir o segundo GPO.
Reabilitar o link do primeiro GPO.
Criao e edio de dois GPOs
1.
Abrir o Console de Gerenciamento de Poltica de Grupo.
2.
Crie dois novos GPOs chamados Remover Comando Executar e No Remover Comando Executar.
3.
Edite as configuraes dos dois GPOs.
Vinculao dos GPOs a locais diferentes

1.
Vincule o GPO Remover Comando Executar ao domnio. Agora, o GPO Remover Comando Executar
est anexado ao domnio Adatum.com.
2.
Vincule o GPO No Remover Comando Executar UO IT. Agora, o GPO No Remover Comando
Executar est anexado UO IT.
3.
Exiba a herana de GPO na UO IT. A guia Herana de Poltica de Grupo mostra a ordem de
precedncia dos objetos de Poltica de Grupo.
Desabilitao de um link de GPO
5-21
1.
Desabilite o GPO Remover Comando Executar no domnio Adatum.com.
2.
Atualize o painel Herana de Poltica de Grupo para a UO IT e, em seguida, observe os resultados no

painel direito. O GPO Remover Comando Executar no est mais listado.
Excluso de um link de GPO

1.
Selecione a UO IT e, em seguida, exclua o link do GPO No Remover Comando Executar. Verifique a

remoo do GPO No Remover Comando Executar e a ausncia do GPO Remover Comando
Executar.
2.
Habilite o GPO Remover Comando Executar no domnio Adatum.com. Atualize o painel Herana de
Poltica de Grupo da UO IT e, em seguida, observe os resultados no painel direito.
Ordem de processamento da Poltica de Grupo

Os GPOs que se aplicam a um usurio, um
computador ou ambos no so aplicados
imediatamente. Os GPOs so aplicados em uma
ordem especfica. Essa ordem significa que as
configuraes que so processadas primeiro
podem ser substitudas por configuraes
conflitantes que so processadas posteriormente.
A Poltica de Grupo segue esta ordem de
processamento hierrquica:
1.
Polticas de grupo locais. Cada computador

no qual o Windows 2000 ou verso mais
recente executado tem, pelo menos, uma
poltica de grupo local. As polticas locais so aplicadas primeiro.
2.
Polticas de grupo de site. As polticas vinculadas a sites so processadas em seguida. Se houver vrias
polticas de site, elas sero processadas de forma sncrona na ordem de preferncia listada.
3.
Polticas de grupo de domnio. As polticas vinculadas a domnios so processadas em terceiro lugar.

Se houver vrias polticas de domnios, elas sero processadas de forma sncrona na ordem de
preferncia listada.
4.
Polticas de grupo de UO. As polticas vinculadas a OUs de nvel superior so processadas em quarto
lugar. Se houver vrias polticas de UO de nvel superior, elas sero processadas de forma sncrona na
ordem de preferncia listada.
5.
Polticas de grupo de UO filho. As polticas vinculadas a OUs filho so processadas em quinto lugar.
Se houver vrias polticas de UO filho, elas sero processadas de forma sncrona na ordem de
preferncia listada. Quando houver vrios nveis de OUs filho, as polticas de UOs de nvel superior
sero aplicadas primeiro, e as polticas de UOs de nvel inferior sero aplicadas em seguida.
Na aplicao de Poltica de Grupo, a regra geral que a ltima poltica aplicada tem precedncia. Por
exemplo, uma poltica que restringe o acesso ao Painel de Controle aplicada no nvel de domnio pode ser
revertida por uma poltica aplicada no nvel da UO para os objetos contidos nessa UO especfica.
Se voc vincular vrios GPOs a uma UO, o processamento deles ocorrer na ordem que o administrador
especificar na guia Objetos de Poltica de Grupo Vinculados no GPMC.
Por padro, o processando habilitado para todos os links de GPO. Voc pode desabilitar o link de GPO
de um continer para bloquear a aplicao de um GPO completamente para um determinado site, um
domnio ou uma UO. Observe que se o GPO estiver vinculado a outros contineres, eles continuaro a
processar o GPO se os respectivos links forem habilitados.
Voc tambm pode desabilitar a configurao do usurio ou do computador de um GPO especfico
independente do usurio ou do computador. Se uma determinada seo de uma poltica estiver vazia, a
desativao do outro lado agilizar o processamento de poltica. Por exemplo, se voc tiver uma poltica
que s entregue configurao da rea de trabalho do usurio, poder desabilitar o lado do computador
da poltica.
Configurao da herana e da precedncia de GPOs

Voc pode definir uma configurao de poltica
em mais de um GPO, o que resulta em GPOs
conflitantes. Por exemplo, possvel habilitar uma
configurao de poltica em um GPO, desabilit-la
em outro GPO e, em seguida, no configur-la em
um terceiro GPO. Nesse caso, a precedncia dos
GPOs determina qual configurao de poltica ser
aplicada pelo cliente. Um GPO com precedncia
mais alta prevalece sobre um GPO com
precedncia inferior. A precedncia mostrada
como um nmero no GPMC. Quanto menor o
nmero, ou seja, mais prximo de 1, maior a
precedncia. Portanto, um GPO com uma precedncia de 1 prevalecer sobre outros GPOs. Selecione o
continer do AD DS pertinente e, em seguida, clique na guia Herana de Poltica de Grupo para
visualizar a precedncia de cada GPO.
Quando uma configurao de poltica habilitada ou desabilitada em um GPO com precedncia mais
alta, a configurao definida entra em vigor. Porm, lembre-se que configuraes de poltica so
definidas como No Configurado, por padro. Se uma configurao de poltica no for definida em um
GPO com precedncia mais alta, a configurao de poltica (habilitada ou desabilitada) em um GPO com
precedncia inferior entrar em vigor.
Voc pode vincular mais de um GPO a um objeto de continer do AD DS. A ordem de link de GPOs
determina a precedncia de GPOs nesse cenrio. Os GPOs com uma ordem de link mais alta tem
precedncia sobre GPOs com uma ordem de link inferior. Quando voc seleciona um UO no GPMC, a guia
Objetos de Poltica de Grupo Vinculados mostra a ordem de link de GPOs vinculados UO em questo.
O comportamento padro de Poltica de Grupo que GPOs vinculados a um continer de nvel mais alto
so herdados por contineres de nvel inferior. Quando um computador inicializado ou um usurio faz
logon, o Cliente de Poltica de Grupo examina o local do objeto de usurio ou computador no AD DS e
avalia os GPOs com escopos que incluem o computador ou o usurio. Em seguida, as CSEs aplicam
configuraes de poltica desses GPOs. As polticas so aplicadas em sequncia, comeando com as
polticas vinculadas ao site, seguidas pelas vinculadas ao domnio, depois as vinculadas a UOs - da UO de
nvel superior para a UO na qual existe o usurio ou o objeto de computador. Trata-se de uma aplicao
de configuraes em camadas, portanto, um GPO que aplicado posteriormente no processo devido
sua precedncia substitui as configuraes aplicadas anteriormente no processo.
5-23
A aplicao sequencial de GPOs cria um efeito chamado herana de poltica. As polticas so herdadas,
portanto, o conjunto resultante de Polticas de Grupo para um usurio ou um computador ser o efeito
cumulativo das polticas de site, de domnio e de UO.
Por padro, os GPOs herdados tm uma precedncia menor do que os GPOs vinculados diretamente ao
continer. Por exemplo, voc pode definir uma configurao de poltica para desabilitar o uso de
ferramentas de edio do Registro para todos os usurios no domnio definindo-a em um GPO vinculado
ao domnio. Esse GPO, juntamente com sua configurao de poltica, herdado por todos os usurios do
domnio. No entanto, provvel que voc deseje que os administradores possam usar ferramentas de
edio do Registro, portanto, voc vincular um GPO UO que contm as contas dos administradores e,
em seguida, definir a configurao de poltica para permitir o uso de ferramentas de edio do Registro.
Como o GPO vinculado UO dos administradores tem precedncia mais alta do que o GPO herdado, os
administradores podero usar ferramentas de edio do Registro.
Precedncia de vrios GPOs vinculados

Se houver vrios GPOs vinculados a um objeto de continer do AD DS, a ordem de link do objeto
determinar a precedncia.
Para alterar a precedncia de um link de GPO:
1.
Selecione o objeto de continer do AD DS na rvore de console do GPMC.
2.
Clique na guia Objetos de Poltica de Grupo Vinculados do painel de detalhes.
3.
Selecione o GPO.
4.
Use as setas Para Cima, Para Baixo, Mover para o Incio e Mover para Baixo para alterar a ordem
de link do GPO selecionado.
Bloqueio da Herana
Voc pode configurar um domnio ou uma UO para impedir a herana de configuraes de poltica. Isso
conhecido como bloqueio de herana. Para bloquear a herana, clique com o boto direito do mouse no
domnio ou na UO na rvore de console do GPMC e, em seguida, selecione Bloquear Herana.
A opo Bloquear Herana uma propriedade de um domnio ou uma UO, portanto, ela bloqueia todas
as configuraes de Poltica de Grupo dos GPOs vinculados a pais na hierarquia de Poltica de Grupo. Por
exemplo, quando voc bloqueia a herana em uma UO, a aplicao de GPOs comea com qualquer GPO
vinculado diretamente a essa UO. Portanto, nos GPOs vinculados a OUs de nvel mais alto, o domnio ou o
site no se aplicar.
Voc deve ser criterioso ao usar a opo Bloquear Herana porque o bloqueio da herana dificulta a
avaliao da precedncia e da herana da Poltica de Grupo. Com filtros de grupo de segurana,
possvel definir com cuidado o escopo de um GPO, para que ele se aplique apenas aos usurios e aos
computadores corretos no primeiro local, tornando desnecessrio usar a opo Bloquear Herana.
Imposio de um link de GPO
Alm disso, voc pode definir um link de GPO para ser Imposto. Para impor um link de GPO, clique com
o boto direito do mouse no link de GPO na rvore de console e, em seguida, selecione Imposto no
menu de contexto.
Quando um link de GPO definido como Imposto, o GPO assume o nvel mais alto de precedncia, e as
configuraes de poltica nesse GPO prevalecero sobre quaisquer configuraes de poltica conflitantes
em outros GPOs. Alm disso, um link que imposto se aplicar a contineres filho mesmo quando esses
contineres esto definidos como Bloquear Herana. A opo Imposto faz com que a poltica seja
aplicada a todos os objetos dentro de seu escopo. A opo Imposto far com que as polticas substituam
todas as polticas conflitantes, e elas sero aplicadas, esteja ou no definida a opo Bloquear Herana.
A imposio til quando voc precisa configurar um GPO que defina uma configurao exigida por suas
polticas de uso e segurana de IT corporativas. Portanto, voc deseja assegurar que outros GPOs no
substituam essas configuraes. Voc pode fazer isto impondo o link do GPO.
Avaliao da precedncia
Para facilitar a avaliao da precedncia de GPOs, basta selecionar uma UO (ou um domnio) e, em
seguida, clicar na guia Herana de Poltica de Grupo. Essa guia exibir a precedncia resultante dos
GPOs, discriminando o link de GPO, a ordem de link, o bloqueio de herana e a imposio de link. Essa
guia no discrimina as polticas vinculadas a um site, to pouco a segurana de GPO e os filtros WMI.
Uso de filtros de segurana para modificar o escopo do grupo

Embora voc possa usar as opes Imposio e
Bloquear Herana para controlar a aplicao de
GPOs a objetos continer, possvel aplicar GPOs
apenas a determinados grupos de usurios ou
computadores em vez de a todos os usurios ou
computadores dentro do escopo do GPO. Embora
no seja possvel vincular um GPO diretamente a
um grupo de segurana, h um modo de aplicar
GPOs a grupos de segurana especficos. As
polticas em um GPO so aplicadas somente aos
usurios que tm as permisses de Leitura e
Permitir Aplicar Poltica de Grupo ao GPO.
Cada GPO tem uma ACL que define as permisses ao GPO. necessrio ter duas permisses, Permitir
Leitura e Permitir Aplicar Poltica de Grupo, para que um GPO seja aplicado a um usurio ou um
computador. Por exemplo, se o escopo de um GPO for definido para um computador por seu link UO
do computador, mas o computador no tiver as permisses de Leitura e Aplicar Poltica de Grupo, o GPO
no ser baixado nem aplicado. Dessa forma, ao definir as permisses apropriadas para grupos de
segurana, voc pode filtrar um GPO de forma que suas configuraes se apliquem somente aos
computadores e aos usurios especificados.
5-25
Por padro, Usurios Autenticados recebem a permisso Permitir Aplicar Poltica de Grupo em cada novo
GPO. Isso significa que, por padro, todos os usurios e computadores so afetados pelos GPOs definidos
para seus respectivos domnio, site ou UO, independentemente dos outros grupos dos quais eles possam
ser membros. Portanto, h dois modos de filtrar o escopo de um GPO:
Remova a permisso Aplicar Poltica de Grupo (atualmente definida como Permitir) para o grupo
Usurios Autenticados, mas no defina essa permisso como Negar. Em seguida, determine os grupos
aos quais o GPO dever ser aplicado e defina as permisses de Leitura e Aplicar Poltica de Grupo
para esses grupos como Permitir.
Determine os grupos aos quais o GPO no dever ser aplicado e defina a permisso Aplicar Poltica
de Grupo para esses grupos como Negar. Se voc negar a permisso Aplicar Poltica de Grupo a um
GPO, o usurio ou o computador no aplicar as configuraes do GPO, mesmo se ele for membro
de outro grupo no qual foi concedida a permisso Aplicar Poltica de Grupo.
Filtragem de um GPO a ser aplicado a grupos especficos

Para aplicar um GPO a um grupo de segurana especfico:
1.
Selecione o GPO no continer Objetos de Poltica de Grupo na rvore de console.
2.
Na seo Filtros de Segurana, selecione o grupo Usurios Autenticados e clique em Remover.

Observao: Voc no pode filtrar GPOs com grupos de segurana locais de domnio.
3.
Clique em OK para confirmar a alterao.
4.
Clique em Adicionar.
5.
Selecione o grupo ao qual voc deseja aplicar a poltica e clique em OK.
Filtragem de um GPO para excluir grupos especficos
A guia Escopo de um GPO no permite excluir grupos especficos. Para excluir um grupo, ou seja, negar a
permisso Aplicar Poltica de Grupo, necessrio usar a guia Delegao.
Para negar a um grupo a permisso Aplicar Poltica de Grupo:
1.
Selecione o GPO no continer Objetos de Poltica de Grupo na rvore de console.
2.
Clique na guia Delegao.
3.
Clique no boto Avanado. A caixa de dilogo Configuraes de Segurana exibida.
4.
Clique no boto Adicionar.
5.
Selecione o grupo que voc deseja excluir do GPO. Lembre-se que ele deve ser um grupo global. O
escopo de um GPO no pode ser filtrado por grupos locais de domnio.
6.
Clique em OK. Por padro, a permisso Permitir Leitura concedida ao grupo selecionado.
7.
Desmarque a caixa de seleo da permisso Permitir Leitura.
8.
Marque a caixa de seleo Negar Aplicar Poltica de Grupo.
9.
Clique em OK. Voc ser avisado que permisses Negar substituem outras permisses. Como as
permisses Negar substituem as permisses Permitir, recomendamos que voc as use com critrio. O
Microsoft Windows lembra voc dessa prtica recomendada com a mensagem de aviso. O processo
para excluir grupos com a permisso Negar Aplicar Poltica de Grupo muito mais trabalhoso do que
o processo para incluir grupos na seo Filtros de Segurana da guia Escopo.
10. Confirme que voc deseja continuar.

Observao: As permisses Negar no so expostas na guia Escopo. Infelizmente, quando
voc exclui um grupo, a excluso no mostrada na seo Filtros de Segurana da guia Escopo.
No entanto, essa mais uma razo para usar as permisses Negar com critrio.
O que so filtros WMI?

WMI uma tecnologia da infraestrutura de
gerenciamento que permite aos administradores
monitorar e controlar objetos gerenciados na
rede. Uma consulta WMI capaz de filtrar
sistemas com base em caractersticas, inclusive a
RAM, a velocidade do processador, a capacidade
do disco, o endereo IP, a verso do sistema
operacional, o nvel de service pack, os aplicativos
instalados e as propriedades da impressora. Como
a WMI expe quase todas as propriedades de
cada objeto dentro de um computador, a lista de
atributos que voc pode usar em uma consulta
WMI praticamente ilimitada. As consultas WMI so elaboradas com a linguagem WQL.
Voc pode usar uma consulta WMI para criar um filtro WMI, com o qual possvel filtrar um GPO. Voc
pode usar Poltica de Grupo para implantar aplicativos de software e service packs. Voc pode criar um
GPO para implantar um aplicativo e, em seguida, usar um filtro WMI para especificar que a poltica s
deve ser aplicada a computadores com um determinado sistema operacional e service pack, como o
Windows XP Service Pack 3 (SP3). A consulta WMI para identificar esses sistemas :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft Windows XP Professional" AND

CSDVersion="Service Pack 3"
Quando o Cliente de Poltica de Grupo avalia GPOs baixados para determinar quais devem ser entregues
s CSEs para processamento, ele executa a consulta no sistema local. Se o sistema atender aos critrios da
consulta, o resultado da consulta ser um Verdadeiro lgico, e as CSEs processaro o GPO.
A WMI expe namespaces dentro dos quais h classes que podem ser consultadas. Muitas classes teis,
inclusive Win32_Operating System, so encontradas em uma classe denominada root\CIMv2.
Para criar um filtro WMI:
1.
Clique com o boto direito do mouse no n Filtros WMI na rvore de console do GPMC e, em
seguida, clique em Novo. Digite um nome e uma descrio para o filtro e, em seguida, clique no
boto Adicionar.
2.
Na caixa Namespace, digite o namespace para sua consulta.
3.
Na caixa Consulta, digite a consulta.
4.
Clique em OK.
Para filtrar um GPO com um filtro WMI:

1.
Selecione o GPO ou o link de GPO na rvore de console.
2.
Clique na guia Escopo.
3.
Clique na lista suspensa WMI e selecione o filtro WMI.
5-27
Voc pode filtrar um GPO com apenas um filtro WMI, mas pode criar um filtro WMI com uma consulta
complexa com vrios critrios. possvel vincular um nico filtro WMI a um ou mais GPOs. A guia Geral
de um filtro WMI exibe os GPOs que usam o filtro WMI:
H trs questes significativas em relao a filtros WMI:
Primeiro, a sintaxe WQL de consultas WMI pode ser difcil de dominar. Com frequncia, possvel
encontrar exemplos na Internet quando voc faz pesquisas com as palavras-chave filtro WMI e
consulta WMI, juntamente com uma descrio da consulta que voc deseja criar.
Segundo, filtros WMI so caros em termos de desempenho do processamento de Poltica de Grupo.

Como o Cliente de Poltica de Grupo deve executar a consulta WMI a cada intervalo do
processamento de poltica, h um leve impacto no desempenho do sistema cada 90 a 120 minutos.
Com o desempenho dos computadores atuais, possvel que o impacto no seja notado. No entanto,
voc deve testar os efeitos de um filtro WMI antes de implant-lo amplamente em seu ambiente de
produo.
Observao: Observe que a consulta WMI s processada uma vez, mesmo que voc a
use para filtrar o escopo de vrios GPOs.
Terceiro, os filtros WMI no so processados por computadores nos quais o sistema operacional
Microsoft Windows 2000 Server executado. Se um GPO for filtrado com um filtro WMI, um sistema
Windows 2000 Server ignorar o filtro e, em seguida, processar o GPO como se os resultados do
filtro fossem verdadeiros.
Demonstrao: Como filtrar polticas

Criar um GPO que remove o link do menu Ajuda do menu Iniciar e vincular o link UO IT.
Usar os filtros de segurana para dispensar um usurio do GPO.
Testar a aplicao de Poltica de Grupo.
Crie um novo GPO e vincule-o unidade organizacional IT
1.
Abra o Console de Gerenciamento de Poltica de Grupo em LON-DC1.
2.
Crie um novo GPO chamado Remover o menu Ajuda e, em seguida, vincule-o unidade
organizacional IT.
3.
Modifique as configuraes do GPO para remover a Ajuda do menu Iniciar.
Filtre a aplicao de Poltica de Grupo usando filtros de grupo de segurana

1.
Remova a entrada Usurios Autenticados da lista Filtros de Segurana para o GPO Remover o
menu Ajuda na unidade organizacional IT.
2.
Adicione o usurio Ed Meadows lista Filtros de Segurana. Agora, s Ed Meadows tem a

permisso Aplicar Poltica.
Filtre a aplicao de Poltica de Grupo usando filtros WMI

1.
Crie um filtro WMI chamado filtro XP.
2.
Adicione esta consulta ao filtro:

Select * from Win32_OperatingSystem Weir Caption = "Microsoft Windows XP
Professional"
3.
Salve a consulta como Filtro XP.
4.
Crie um novo GPO chamado Atualizaes de Software para XPe, em seguida, vincule-o unidade
organizacional IT.
5.
Modifique as propriedades da poltica para usar o filtro XP.
6.
Feche o console de Gerenciamento de Poltica de Grupo.
Como habilitar ou desabilitar GPOs e ns de GPO

Voc pode impedir que as configuraes nos ns
Configurao do Computador ou Configurao
do Usurio sejam processadas durante a
atualizao de poltica alterando o status do GPO.
Para habilitar ou desabilitar os ns de um GPO,
selecione o GPO ou o link de GPO na rvore de
console, clique na guia Detalhes, mostrada na
figura, e selecione uma das seguintes opes na
lista suspensa Status do GPO:
Habilitado. As configuraes de computador e

de usurio sero processadas por CSEs
durante atualizao de poltica.
Todas as Configuraes Desabilitadas. As CSEs no processaro o GPO durante a atualizao de poltica.
Configuraes de Computador Desabilitadas. Durante a atualizao de poltica de computador, as

configuraes de computador no GPO no sero aplicadas.
Configuraes de Usurio Desabilitadas. Durante a atualizao de poltica de usurio, as

configuraes do usurio no GPO no sero aplicadas.
5-29
Voc pode configurar o status do GPO para otimizar o processamento de poltica. Por exemplo, se um
GPO s contiver configuraes do usurio, a configurao da opo Status do GPO para desabilitar
configuraes de computador impedir que o cliente de Poltica de Grupo tente processar o GPO durante
a atualizao da poltica de computador. Como o GPO no contm nenhuma configurao de
computador, no h necessidade de processar o GPO, e voc pode salvar alguns ciclos de processador.
Observao: Voc pode definir uma configurao que deve entrar em vigor no caso de
uma emergncia, incidente de segurana ou outros desastres em um GPO e, em seguida, vincular
o GPO de forma que seu escopo seja definido para os usurios e os computadores apropriados.
Em seguida, desabilite o GPO. Se voc necessitar que a configurao seja implantada, habilite o
GPO.
Processamento de poltica loopback
Por padro, as configuraes de um usurio se

originam de GPOs cujo escopo foi definido para o
objeto de usurio no AD DS. Independentemente
do computador no qual o usurio faz logon, o
conjunto de polticas resultante que determina o
ambiente do usurio o mesmo. Porm, h
situaes nas quais voc pode desejar configurar
um usurio de forma diferente, dependendo do
computador em uso. Por exemplo, voc pode
desejar bloquear e padronizar reas de trabalho
de usurio quando os usurios entram em
computadores em ambientes rigidamente
gerenciados, como salas de conferncia, reas de recepo, laboratrios, salas de aula e quiosques. Isso
tambm importante para cenrios VDI (Virtual Desktop Infrastructure), inclusive mquinas virtuais
remotas e RDS (Servios de rea de Trabalho Remota).
Imagine um cenrio no qual voc deseja aplicar uma aparncia corporativa padro para a rea de
trabalho do Windows em todos os computadores de salas de conferncia e outras reas pblicas de seu
escritrio. Como voc gerenciar essa configurao centralmente usando Poltica de Grupo? As
configuraes de poltica que definem a aparncia de rea de trabalho esto localizadas no n
Configurao do Usurio de um GPO. Portanto, por padro, as configuraes se aplicam a usurios, no
importando o computador no qual eles entrem. O processamento de poltica padro no lhe oferece uma
maneira de definir o escopo de configuraes de usurio a serem aplicadas a computadores,
independentemente do usurio que faz logon. Essa a forma como o processamento de poltica
loopback pode ser til.
O processamento de poltica loopback altera o algoritmo padro que o cliente de Poltica de Grupo usa
para obter a lista ordenada de GPOs que devem ser aplicados configurao de um usurio. Em vez de a
configurao de usurio ser determinada pelo n Configurao do Usurio de GPOs cujo escopo foi
definido para o objeto de usurio, a configurao de usurio pode ser determinada pelas polticas do n
Configurao do Usurio de GPOs cujo escopo foi definido para o objeto de computador.
A poltica do modo de processamento de loopback Configurar Poltica de Grupo de usurio,

situada na pasta Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Grupo
do Editor de Gerenciamento de Poltica de Grupo em Editor de Gerenciamento de Poltica de Grupo,
pode ser, como todas as configuraes, definida como No Configurado, Habilitado ou Desabilitado.
Quando habilitada, a poltica pode especificar o modo de substituio ou de mesclagem:
Substituio. Nesse caso, a lista de GPOs para o usurio substituda completamente j pela lista de
GPOs j obtida para o computador na sua inicializao. As configuraes contidas nas polticas de
Configurao do Usurio dos GPOs do computador so aplicadas ao usurio. O modo de
substituio til em uma situao como uma sala de aula na qual os usurios devem receber uma
configurao padro no lugar da configurao aplicada aos usurios em um ambiente menos
gerenciado.
Mesclagem. Nesse caso, a lista de GPOs obtida para o computador na inicializao anexada lista
de GPOs obtida para o usurio ao fazer logon. Como a lista de GPOs obtida para o computador
aplicada posteriormente, as configuraes contidas nos GPOs na lista do computador tero
precedncia se elas entrarem em conflito com as configuraes na lista do usurio. Esse modo til
para aplicar configuraes adicionais s configuraes tpicas dos usurios. Por exemplo, voc pode
permitir a um usurio receber a configurao tpica do usurio ao fazer logon em um computador
em uma sala de conferncia ou uma rea de recepo, mas substituir o papel de parede com um
bitmap padro e desabilitar o uso de certos aplicativos ou dispositivos.
Observao: Observe que quando voc combina o processamento de loopback com filtros
de grupo de segurana, a aplicao de configuraes de usurio durante a atualizao de poltica
usa as credenciais do computador para determinar quais GPOs sero aplicados como parte do
processamento de loopback. Porm, o usurio conectado tambm deve ter a permisso Aplicar
Poltica de Grupo para que o GPO seja aplicado com xito. Observe tambm que o sinalizador de
processamento de loopback configurado por sesso, no por GPO.
Consideraes sobre links lentos e sistemas desconectados

Algumas configuraes que voc pode definir
com Poltica de Grupo podem ser afetadas pela
velocidade do link que o computador do usurio
tem com sua rede de domnio. Por exemplo, a
implantao de software por meio de GPOs seria
inadequado em links mais lentos. Alm disso,
importante considerar o efeito de Polticas de
Grupo em computadores que so desconectados
da rede de domnio.
Links lentos
5-31
O Cliente de Poltica de Grupo trata do problema de links lentos detectando a velocidade de conexo
ao domnio e determinando se a conexo deve ser considerada um link lento. Em seguida, essa
determinao usada por cada CSE para decidir se as configuraes sero aplicadas ou no. Por exemplo,
a extenso de software configurada para abrir mo do processamento de poltica, de forma que o
software no seja instalada se um link lento for detectado.
Observao: Por padro, um link ser considerado lento se estiver a menos de 500
quilobits por segundo (Kbps). No entanto, voc pode configurar uma velocidade diferente.
Se a Poltica de Grupo detectar um link lento, ela definir um sinalizador para indicar esse link para as
CSEs. Em seguida, as CSEs podero determinar se as configuraes de Poltica de Grupo aplicveis sero
processadas. A tabela a seguir descreve o comportamento padro das extenses do lado do cliente.
Extenso do lado do cliente
Processamento de link lento
Pode ser alterado?
Processamento de poltica do Registro
Ativado
No
Manuteno do Internet Explorer
Desativado
Sim
Poltica de instalao de software
Desativado
Sim
Poltica de redirecionamento de pasta
Desativado
Sim
Poltica de scripts
Desativado
Sim
Poltica de segurana
Ativada
No
Poltica do Protocolo IPsec
Desativado
Sim
Poltica sem fio
Desativado
Sim
Poltica de recuperao EFS (Sistema de

Arquivos Criptografados)
Ativada
Sim
Poltica de quota de disco
Desativado
Sim
Computadores desconectados
Se um usurio estiver trabalhando desconectado da rede, as configuraes aplicadas anteriormente pela

Poltica de Grupo continuaro em vigor. Dessa forma, a experincia de um usurio idntica, esteja ele na
rede ou no. H excees a essa regra, principalmente no que diz respeito aos scripts de inicializao,
logon, logoff e desligamento, que no sero executados se o usurio estiver desconectado.
Se um usurio remoto se conectar rede, o Cliente de Poltica de Grupo ser ativado e determinar se
uma janela de atualizao de Poltica de Grupo foi perdida. Nesse caso, ele executar uma atualizao de
Poltica de Grupo para obter os GPOs mais recentes do domnio. Novamente, as CSEs determinaro, com
base em suas polticas de processamento de poltica, se as configuraes contidas nesses GPOs sero ou
no aplicadas.
Observao: Esse processo no se aplica a sistemas Windows XP e Windows Server 2003.
Ele s se aplica aos sistemas Windows Vista, Windows Server 2008, Windows Server 2008 R2,
Windows 7, Windows 8 e Windows Server 2012.
Como identificar quando as configuraes se tornam efetivas

H vrios processos que devem ser concludos
para que as configuraes de Poltica de Grupo
sejam de fato aplicadas a um usurio ou um
computador. Este tpico discute esses processos.
A replicao de GPOs deve acontecer

Para que um GPO entre em vigor, o continer
Poltica de Grupo no Active Directory deve ser
replicado no controlador de domnio do qual o
Cliente de Poltica de Grupo obtm sua lista
ordenada de GPOs. Alm disso, o modelo Poltica
de Grupo no SYSVOL deve ser replicado no
mesmo controlador de domnio.
As alteraes do grupo devem ser incorporadas

Finalmente, se voc adicionou um novo grupo ou alterou a associao de um grupo que usado para
filtrar o GPO, essa alterao tambm dever ser replicada. Alm disso, a alterao dever ser feita no
token de segurana do computador e do usurio, o que exige uma reinicializao (para que o
computador atualize sua associao de grupo) ou logoff e logon (para que o usurio atualize sua
associao de grupo).
A atualizao de Poltica de Grupo de usurio ou computador dever ocorrer
Por padro, a atualizao ocorre na inicializao (para as configuraes de computador), no logon (para
configuraes de usurio) e, posteriormente, a cada 90 a 120 minutos.
Observao: Lembre-se que o impacto prtico do intervalo de atualizao de Poltica de
Grupo que quando voc fizer uma alterao em seu ambiente, levar, em mdia, metade desse
tempo, ou seja, de 45 a 60 minutos, para que a alterao entre em vigor.
Por padro, os clientes do Windows XP, Windows Vista, Windows 7 e Windows 8 executam somente
atualizaes em segundo plano na inicializao e no logon, o que significa que um cliente pode ser
inicializado e um usurio pode entrar sem receber as polticas mais recentes do domnio. altamente
recomendvel que voc altere esse comportamento padro de forma que as alteraes de poltica sejam
implementadas de um modo gerenciado e previsvel. Habilite a configurao de poltica Sempre Esperar
pela Rede ao Iniciar o Computador e Fazer Logon para todos os clientes Windows. A configurao
est localizada em Configurao do Computador\Polticas\Modelos
Administrativos\Sistema\Logon. Leia o texto explicativo da configurao de poltica. Observe que isso
no afeta a inicializao nem o tempo de logon hora em computadores que no so conectados a uma
rede. Se o computador detectar que est desconectado, no "esperar" por uma rede.
Logon ou reinicializao
Embora a maioria das configuraes seja aplicada durante uma atualizao de poltica em segundo plano,
algumas CSEs no aplicaro a configurao at a prxima inicializao ou evento de logon. Por exemplo,
as polticas de script de inicializao e logon recm-adicionadas no sero executadas at a prxima
inicializao ou logon do computador. A instalao de software ocorrer na prxima inicializao se o
software for atribudo em configuraes de computador. As alteraes feitas em polticas de
redirecionamento de pasta no entraro em vigor at o prximo logon.
Atualizao manual de Poltica de Grupo
5-33
Ao experimentar o processamento de Poltica de Grupo para soluo de problemas de Poltica de Grupo,

voc pode precisar iniciar uma atualizao de Poltica de Grupo manual para no precisar aguardar a
prxima atualizao em segundo plano. Voc pode usar o comando GPUpdate para iniciar essa
atualizao. Usado isoladamente, esse comando dispara um processamento idntico a uma atualizao de
Poltica de Grupo em segundo plano. As polticas de computador e de usurio so atualizadas. Use o
parmetro /target:computer ou /target:user para limitar a atualizao s configuraes de computador
ou de usurio, respectivamente. Durante a atualizao em segundo plano, por padro, as configuraes
sero aplicadas apenas se o GPO tiver sido atualizado. A opo /force faz com que o sistema reaplique
todas as configuraes contidas em todos os GPOs cujo escopo foi definido para o usurio ou o
computer. Algumas configuraes de poltica requerem um logoff ou uma reinicializao para que
realmente entrem em vigor. As opes /logoff e /boot do comando GPUpdate causam um logoff ou
uma reinicializao, conforme o caso. Voc pode usar essas opes ao aplicar configuraes que
requeiram um logoff ou uma reinicializao.
Por exemplo, o comando que causar uma aplicao de atualizao total e, se necessrio, reinicializar e
far logon para aplicar as configuraes de poltica atualizadas :
gpupdate /force /logoff /boot
A maioria das CSEs no reaplicar configuraes se o GPO tiver sido alterado
Lembre-se que a maioria das CSEs s aplicar configuraes em um GPO se a verso deste tiver
sido alterada. Isso significa que se um usurio puder alterar uma configurao que foi especificada
originalmente por Poltica de Grupo, essa configurao no voltar a ser compatvel com as configuraes
especificadas pelo GPO at que este sofra alteraes. Felizmente, a maioria das configuraes de poltica
no pode ser alterada por um usurio sem privilgios. No entanto, se um usurio for um administrador
de seu computador ou se a configurao de poltica afetar uma parte do Registro ou do sistema que o
usurio tiver permisses para alterar, isso poder ser um problema srio.
Voc tem a opo de instruir cada CSE a reaplicar as configuraes de GPOs, mesmo que os GPOs no
tenham sofrido alteraes. O comportamento de processamento de cada CSE pode ser definido nas
configuraes de poltica localizadas em Configurao do Computador\Modelos
Administrativos\Sistema\Poltica de Grupo.
Lio 4
Soluo de problemas na aplicao de GPOs
Com a interao de vrias configuraes em vrios GPOs cujo escopo foi definido por uma variedade de
mtodos, a aplicao de Poltica de Grupo pode ser complexa de analisar e entender. Portanto, voc dever
estar preparado para avaliar e solucionar problemas de maneira eficaz na sua implementao de Poltica de
Grupo, identificar problemas potenciais antes que eles surjam e resolver desafios imprevistos. O Windows
Server fornece ferramentas que so indispensveis para dar suporte a Poltica de Grupo. Nesta lio, voc
explorar o uso dessas ferramentas em cenrios de suporte e soluo de problemas proativa e reativa.
Objetivos da lio
Descrever como atualizar GPOs em um computer cliente.
Analisar o conjunto de GPOs e as configuraes de poltica que foram aplicados a um usurio

ou um computador.
Gerar relatrios RSoP (Conjunto de Polticas Resultante) para ajudar na anlise das configuraes
de GPOs.
Modelar de forma proativa o impacto de alteraes de Poltica de Grupo ou do Active Directory

no RSOP.
Localizar os logs de eventos que contm eventos relacionados a Poltica de Grupo.
Atualizao de GPOs
As configuraes de computador so aplicadas
na inicializao e, em seguida, so atualizadas
a intervalos regulares. Qualquer script de
inicializao executado na inicializao do
computador. O intervalo padro a cada
90 minutos, mas isso configurvel. A exceo
ao intervalo definido relativa aos controladores
de domnio, cujas configuraes so atualizadas
a cada cinco minutos.
As configuraes de usurio so aplicadas no
logon e so atualizadas a intervalos regulares
configurveis; o padro tambm 90 minutos.
Qualquer script de logon executado no logon.
Observao: Vrias configuraes de usurio requerem dois logons para que o usurio
perceba o efeito do GPO. A razo disso que os usurios que fazem logon no mesmo
computador usam credenciais armazenadas em cache para acelerar os logons. Isso significa que,
embora as configuraes de poltica estejam sendo entregues ao computador, o usurio j est
conectado, portanto, as configuraes s entraro em vigor no prximo logon. A configurao
de redirecionamento de pasta um exemplo disso.
5-35
Voc pode alterar o intervalo de atualizao definindo uma configurao de Poltica de Grupo. Para
configuraes de computador, a configurao de intervalo de atualizao encontrada no n
Configurao do Computador\Polticas\Modelos Administrativos\Sistema\Poltica de Grupo. Para
configuraes de usurio, o intervalo de atualizao encontrado nas configuraes correspondentes em
Configurao do Usurio. Uma exceo ao intervalo de atualizao relativa s configuraes de
segurana. A seo de configuraes de segurana da Poltica de Grupo ser atualizada a cada 16 horas,
independentemente do intervalo que voc definiu para o intervalo de atualizao.
Voc tambm pode atualizar a Poltica de Grupo manualmente. O utilitrio de linha de comando
Gpupdate atualiza e entrega qualquer nova configurao de Poltica de Grupo. O comando Gpupdate
/force atualiza todas as configuraes da Poltica de Grupo. Tambm h um novo cmdlet do Windows
PowerShell, o Invoke-Gpupdate, que executa a mesma funo.
Um novo recurso do Windows Server 2012 a Atualizao Remota de Polticas. Esse recurso permite aos
administradores usar o GPMC para direcionar uma UO e forar a atualizao de Poltica de Grupo em todos
os seus computadores e nos usurios conectados. Para fazer isso, clique com o boto direito do mouse em
qualquer UO e clique em Atualizao da Poltica de Grupo. A atualizao ocorrer em at 10 minutos.
Observao: s vezes, a no aplicao de um GPO resultado de problemas na tecnologia
subjacente, que responsvel pela replicao do AD DS e do SYSVOL. No Windows Server 2012,
para exibir o status de replicao, use Gerenciamento de Poltica de Grupo, selecione o n
Domnio, clique na guia Status e, em seguida, clique em Detectar Agora.
Conjunto de Polticas Resultante
A herana, os filtros e as excees de Poltica de
Grupo so elementos complexos e, em geral,
difcil determinar quais configuraes de poltica
sero aplicadas.
RSoP o efeito final de GPOs aplicados a um
usurio ou um computador, levando-se em conta
links de GPO, excees, como Imposto e Bloquear
Herana, e a aplicao de segurana e filtros WMI.
RSoP tambm uma coleo de ferramentas que

ajudam a avaliar, modelar e solucionar problemas
na aplicao de configuraes de Poltica de
Grupo. O RSoP pode consultar um computador
local ou remoto e, em seguida, relatar as configuraes exatas que foram aplicadas ao computador e a
qualquer usurio que fez logon no computador. O RSoP tambm pode modelar as configuraes de
poltica que so antecipadas para aplicao a um usurio ou um computador em uma variedade de
cenrios, inclusive mover o objeto entre UOs ou sites ou alterar a associao de grupo do objeto. Com
esses recursos, o RSoP pode ajud-lo a gerenciar e solucionar problemas em polticas conflitantes.
O Windows Server 2012 fornece as ferramentas a seguir para executar anlises de RSoP:
O Assistente de Resultados de Poltica de Grupo
O Assistente para Modelagem de Poltica de Grupo
GPResult.exe
Gerao de relatrios de RSoP

Para ajudar a analisar o efeito cumulativo de GPOs
e configuraes de poltica em um usurio ou um
computador em sua organizao, o GPMC inclui
o Assistente de Resultados de Poltica de Grupo.
Se voc desejar entender exatamente quais
configuraes de poltica foram aplicadas a um
usurio ou um computador, e por qu, o
Assistente de Resultados de Poltica de Grupo
a ferramenta a ser usada.
Gerao de relatrios de RSoP com o

Assistente de Resultados de Poltica
de Grupo
O Assistente de Resultados de Poltica de Grupo pode alcanar o provedor WMI em um local ou um
computador remoto que esteja executando o Windows Vista ou verso mais recente. O provedor WMI
pode relatar todos os fatos sobre o modo como a Poltica de Grupo foi aplicada ao sistema. Ele sabe
quando ocorreu o processamento, quais GPOs foram ou no aplicados e por qu, os erros que foram
encontrados e as configuraes de poltica exatas que tiveram precedncia e seu GPO de origem.
Veja os requisitos para executar o Assistente de Resultados de Poltica de Grupo:
O computador de destino deve ser online.
Voc deve ter credenciais administrativas no computador de destino.
O computador de destino deve estar executando o Windows XP ou mais recente. O Assistente de

Resultados de Poltica de Grupo no pode acessar sistemas Windows 2000.
Voc deve poder acessar a WMI no computador de destino. Isso significa que o computador deve
estar online, conectado rede e acessvel pelas portas 135 e 445.
Observao: A realizao de uma anlise de RSoP com o Assistente de Resultados de Poltica de

Grupo apenas um exemplo de administrao remota. Para executar administrao remota, voc
pode precisar configurar regras de entrada para o firewall usado por seus clientes e servidores.
O servio WMI deve ser iniciado no computador de destino.
Se voc desejar analisar o RSoP para um usurio, este dever ter feito logon no computador pelo
menos uma vez, embora no precise estar conectado no momento.
Depois de garantir que os requisitos sejam atendidos, voc estar pronto para executar uma anlise
de RSoP.
Para executar um relatrio de RSoP, clique com o boto direito do mouse em Resultados de Poltica de
Grupo na rvore de console do GPMC e, em seguida, clique em Assistente de Resultados de Poltica
de Grupo.
5-37
O assistente solicita que voc selecione um computador. Em seguida, ele se conecta ao provedor WMI no
computador em questo e fornece uma lista de usurios que fizeram logon nele. Voc pode selecionar
um dos usurios e ignorar a anlise de RSoP para polticas de configurao de usurio.
O assistente gera um relatrio de RSoP detalhado em um formato HTML dinmico. Se a Configurao de
Segurana Reforada do Internet Explorer estiver definida, voc ser solicitado a permitir que o console
exiba o contedo dinmico. Voc pode expandir ou recolher cada seo do relatrio clicando no link
Mostrar ou Ocultar ou clicando duas vezes no ttulo da seo.
O relatrio exibido em trs guias:
Resumo. A guia Resumo exibe o status do processamento de Poltica de Grupo que foi atualizada
pela ltima vez. Voc pode identificar informaes que foram coletadas sobre o sistema, os GPOs que
foram aplicados e negados, a associao de grupo de segurana que pode ter afetado GPOs filtrados
com grupos de segurana, filtros WMI que foram analisados e o status de CSEs.
Configuraes. A guia Configuraes exibe o conjunto resultante de configuraes de poltica

aplicadas ao computador ou ao usurio. Essa guia mostra exatamente o que aconteceu ao usurio
com a implementao de Poltica de Grupo. Voc pode obter uma quantidade enorme de
informaes com a guia Configuraes, embora alguns dados no sejam relatados, inclusive
configuraes de polticas de IPsec, sem fio e de cota de disco.
Eventos de Polticas. A guia Eventos de Polticas exibe eventos de Poltica de Grupo dos logs de
eventos do computador de destino.
Depois de gerar um relatrio de RSoP com o Assistente de Resultados de Poltica de Grupo, voc poder
clicar com o boto direito do mouse no relatrio para executar novamente a consulta, imprimi-lo ou
salv-lo como ou um arquivo XML ou HTML, que mantm as sees que so expandidas e recolhidas de
forma dinmica. Voc pode abrir os dois tipos de arquivos com o Internet Explorer, para que o relatrio
de RSoP possa ser exportado para fora do GPMC.
Ao clicar com o boto direito do mouse no n do prprio relatrio, na pasta Resultados de Poltica de
Grupo na rvore de console, voc poder alternar para Modo de exibio avanado. No Modo de
exibio avanado, o RSoP exibido usando o snap-in de RSoP, que expe todas as configuraes
aplicadas inclusive polticas de IPsec, sem fio e de cota de disco.
Gerao de relatrios de RSoP com GPResult.exe
O comando GPResult.exe a verso de linha de comando do Assistente de Resultados de Poltica

de Grupo. O GPResult atinge o mesmo provedor WMI que o assistente, produz as mesmas informaes
e, na realidade, permite criar os mesmos relatrios grficos. O GPResult executado nos sistemas
Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008
e Windows Server 2012.
Observao: O Windows 2000 inclui um comando GPResult.exe que gera um relatrio
limitado do processamento de Poltica de Grupo. No entanto, ele no to sofisticado quanto o
comando includo nas verses mais recentes do Windows.
Ao executar o comando GPResult, provvel que voc use as seguintes opes:
/scomputername
Essa opo especifica o nome ou o endereo IP de um sistema remoto. Se voc usar um ponto (.) como o
nome do computador ou no incluir a opo /s, a anlise de RSoP ser executada no computador local:
/scope [user | computer]
Isso exibe a anlise de RSoP das configuraes de usurio ou computador. Se voc omitir a opo /scope,
a anlise de RSoP incluir as configuraes de usurio e de computador:
/userusername
Especifica o nome do usurio cujos dados de RSoP voc deseja exibir:

/r
Essa opo exibe um resumo de dados de RSoP:

/v
Essa opo exibe dados de RSoP detalhados que apresentam as informaes mais significativas:
/z
Isso exibe dados superdetalhados, inclusive os detalhes de todas as configuraes de poltica aplicadas ao
sistema. Frequentemente, so mais informaes do que voc precisar para solucionar problemas tpicos
de Poltica de Grupo:
/udomain\user/ppassword
Isso fornece credenciais que esto no grupo Administradores de um sistema remoto. Sem essas
credenciais, GPResult executado com as credenciais com as quais voc est conectado:
[/x | /h] filename
Essa opo salva os relatrios no formato XML ou HTML. Essas opes esto disponveis no Windows Vista
Service Pack 1 (SP1), no Windows Server 2008 e no Windows 7 e Windows 8 e verses mais recentes
desses sistemas.
Soluo de problemas na Poltica de Grupo com o Assistente de Resultados

de Poltica de Grupo ou GPResult.exe
Como um administrador, voc encontrar cenrios que requerem soluo de problemas de Poltica de
Grupo. Voc pode precisar diagnosticar e resolver problemas, inclusive o seguinte:
Nenhum GPO est sendo aplicado.
O conjunto resultante de polticas para um computador ou um usurio no o esperado.
Em geral, o Assistente de Resultados de Poltica de Grupo e o GPResult.exe fornecero a mais valiosa

percepo sobre os problemas de processamento e aplicao de Poltica de Grupo. Lembre-se que essas
ferramentas examinam o provedor WMI RSoP para relatar o que aconteceu exatamente em um sistema.
Ao examinar o relatrio de RSoP, voc identificar os GPOs cujos escopos esto definidos de forma
incorreta ou os erros de processamento de poltica que impediram a aplicao de configuraes de GPO.
Demonstrao: Como executar uma anlise hipottica com o Assistente

para Modelagem de Poltica de Grupo
5-39
Se voc mover um computador ou um usurio entre sites, domnios ou UOs ou alterar sua associao de
grupo de segurana, os GPOs com escopo definido para esse usurio ou computador sero alterados.
Portanto, o RSoP para o computador ou o usurio ser diferente. O RSoP tambm mudar se ocorrer o
processamento de link lento ou loopback ou se houver uma alterao em uma caracterstica do sistema a
que um filtro WMI se destine.
Antes de fazer quaisquer dessas alteraes, voc deve avaliar o impacto potencial que um usurio ou um
computador ter no RSoP. O Assistente de Resultados de Poltica de Grupo s pode realizar a anlise de
RSoP do que ocorreu realmente. Para prever o futuro e executar anlises hipotticas, voc pode usar o
Assistente para Modelagem de Poltica de Grupo.
Para executar a Modelagem de Poltica de Grupo, clique com o boto direito do mouse no n
Modelagem de Poltica de Grupo na rvore de console do GPMC, clique no Assistente para Modelagem
de Poltica de Grupo e execute as etapas do assistente.
A modelagem executada por meio de uma simulao em um controlador de domnio, portanto,
primeiro voc solicitado a selecionar um controlador de domnio. Voc no precisa estar conectado
localmente ao controlador de domnio, mas a solicitao de modelagem ser executada no controlador
de domnio. Em seguida, voc precisar especificar as configuraes para a simulao, inclusive para:
Selecionar um usurio ou um objeto a ser avaliado ou especificar a UO, o site ou o domnio a ser
avaliado.
Escolher se o processamento de link lento dever ser simulado.
Especificar a simulao de processamento de loopback e, nesse caso, escolher o modo de

substituio ou mesclagem.
Selecionar um site para simulao.
Selecionar grupos de segurana para o usurio e para o computador.
Escolher quais filtros WMI sero aplicados na simulao do processamento de poltica de usurio e
computador.
Quando as configuraes da simulao so especificadas, gerado um relatrio muito semelhante ao

relatrio Resultados de Poltica de Grupo discutido anteriormente. A guia Resumo mostra uma viso
geral dos GPOs que sero processados, e a guia Configuraes detalha as configuraes de poltica que
sero se aplicadas ao usurio ou ao computador. Esse relatrio tambm pode ser salvo clicando nele com
o boto direito do mouse e, em seguida, escolhendo Salvar Relatrio.
Demonstration
Execute GPResult.exe no prompt de comando.
Execute GPResult.exe no prompt de comando e, em seguida, produza os resultados em um

arquivo HTML.
Abra o GPMC.
Execute o Assistente de Relatrios de Poltica de Grupo e, em seguida, visualize os resultados.
Execute o Assistente para Modelagem de Poltica de Grupo e, em seguida, visualize os resultados.
Uso do GPResult.exe para criar um relatrio
1.
Em LON-DC1, abra um prompt de comando.
2.
Execute os seguintes comandos:

Gpresult /t
Gpresult /h results.html
3.
Abra o relatrio results.html no Internet Explorer e analise-o.
Uso do Assistente de Resultados de Poltica de Grupo para criar um relatrio

1.
Feche o prompt de comando e abra o Console de Gerenciamento de Poltica de Grupo.
2.
No n Resultados de Poltica de Grupo, execute o Assistente de Resultados de Poltica de Grupo.
3.
Conclua o assistente usando os padres.
4.
Revise o relatrio e salve-o na rea de Trabalho.
Uso do Assistente para Modelagem de Poltica de Grupo para criar um relatrio
1.
No n Modelagem de Poltica de Grupo, execute o Assistente para Modelagem de Poltica de Grupo.
2.
Especifique o usurio para o relatrio como Ed Meadows e o continer de computador como a unidade
organizacional de IT.
3.
Conclua o assistente usando os padres e revise o relatrio.
4.
Feche o console de Gerenciamento de Poltica de Grupo.
Verificao dos logs de eventos de poltica

Os sistemas Windows Vista, Windows 7,
Windows 8, Windows Server 2008 e Windows
Server 2012 melhoram sua capacidade de
solucionar problemas na Poltica de Grupo no
apenas com ferramentas RSoP, mas tambm com
o registro em log aprimorado de eventos de
Poltica de Grupo, incluindo:
5-41
O log de sistema, no qual voc localizar

informaes de alto nvel sobre Poltica de
Grupo, inclusive erros criados pelo cliente de
Poltica de Grupo quando ele no consegue
se conectar a um controlador de domnio ou
localizar GPOs.
O log de aplicativo, que captura eventos registrado por CSEs.
O log operacional da Poltica de Grupo, que fornece informaes detalhadas sobre processamento
de Poltica de Grupo.
Para localizar logs de Poltica de Grupo, abra o snap-in ou o console do Visualizador de Eventos. Os logs
de sistema e de aplicativo se encontram no n Logs do Windows. O log operacional da Poltica de Grupo
encontrado em
Logs de Aplicativos e Servios\Microsoft \Windows\GroupPolicy\Operational.
Laboratrio: Implementao de uma infraestrutura

de Poltica de Grupo
Cenrio
Um escritrio de TI e um data center esto localizados em Londres para dar suporte ao escritrio de
Londres e a outros locais. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor
Voc foi solicitado a usar Poltica de Grupo para implementar configuraes de segurana padronizadas
a fim de bloquear telas de computadores quando os usurios se afastam de seus computadores por
10 minutos ou mais. Voc tambm precisa configurar uma poltica que impedir o acesso a certos
programas em estaes de trabalho locais.
Depois de algum tempo, voc soube que um aplicativo falhou na inicializao da proteo de tela, e um
engenheiro solicitou que a configurao no aplicada equipe de engenheiros de pesquisa que usa o
aplicativo diariamente. Tambm solicitaram que voc configurasse os computadores de sala de
conferncia para usarem um tempo limite de 45 minutos.
Depois de criar as polticas, voc precisa avaliar o conjunto de polticas resultante para os usurios em seu
ambiente, a fim de garantir que a infraestrutura de Poltica de Grupo tenha sido otimizada e que todas as
polticas tenham sido aplicadas da maneira planejada.
Objetivos
Criar e configurar um GPO.
Gerenciar o escopo da Poltica de Grupo.
Solucionar problemas na Poltica de Grupo.
Gerenciar GPOs.
24411B-LON-DC1
24411B-LON-CL1
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.

a.
b.
Senha: Pa$$w0rd
c.
Domnio: Adatum
Repita as etapas 2 e 3 para 24411B-LON-CL1. No entre em LON-CL1 at receber instrues.
Exerccio 1: Criao e configurao de GPOs

Cenrio
5-43
Voc foi solicitado a usar Poltica de Grupo para implementar configuraes de segurana padronizadas
a fim de bloquear telas de computadores quando os usurios se afastam de seus computadores por
10 minutos ou mais. Voc tambm precisa configurar uma poltica que impedir que os usurios
executem o aplicativo Bloco de Notas em estaes de trabalho locais.
1.
Criar e editar um GPO (Objeto de Poltica de Grupo).
2.
Vincular o GPO.
3.
Exibir os efeitos das configuraes dos GPOs.
Tarefa 1: Criar e editar um GPO (Objeto de Poltica de Grupo)

1.
Em LON-DC1, no Gerenciador do Servidor, abra o console de Gerenciamento de Poltica de Grupo.
2.
Crie um GPO denominado Padres da ADATUM no continer Objetos de Poltica de Grupo.
3.
Edite a poltica Padres da ADATUM e navegue at Configurao do Usurio, Polticas, Modelos

Administrativos, Sistema.
4.
Impea que os usurios executem notepad.exe definindo a configurao de poltica No executar

aplicativos do Windows especificados.
5.
Navegue at Configurao do Usurio, Polticas, Modelos Administrativos, Painel de

Controle, pasta Personalizao e configure a poltica Tempo limite de Proteo de Tela como
600 segundos.
6.
Habilite a configurao de poltica Proteger com senha a proteo de tela e feche a janela Editor
de Gerenciamento de Poltica de Grupo.
Tarefa 2: Vincular o GPO
Vincule o GPO Padres da ADATUM ao domnio Adatum.com.
Tarefa 3: Exibir os efeitos das configuraes dos GPOs

1.
Entre em LON-CL1 como ADATUM\Pat com a senha Pa$$w0rd.
2.
Tente alterar o tempo de espera da proteo de tela e retomar as configuraes. Voc no poder
fazer isso pela Poltica de Grupo.
3.
Tente executar o Bloco de Notas. Voc no poder fazer isso pela Poltica de Grupo.
Resultados: Aps este exerccio, voc ter criado, editado e vinculado os GPOs necessrios com xito.
Exerccio 2: Gerenciamento do escopo do GPO

Cenrio
Depois de algum tempo, voc percebeu que no possvel abrir um aplicativo essencial usado pela
equipe de engenheiros na inicializao da proteo de tela. Solicitaram que a configurao do GPO no
fosse aplicada a nenhum membro do grupo de segurana de engenharia. Tambm solicitaram que voc
configurasse os computadores de sala de conferncia para ficarem isentos da poltica corporativa. No
entanto, eles sempre devero ter um tempo limite de proteo de tela de 45 minutos aplicado.
1.
Criar e vincular os GPOs necessrios.
2.
Verificar a ordem de precedncia.
3.
Configurar o escopo de um GPO com filtros de segurana.
4.
Configurar o processamento de loopback.
Tarefa 1: Criar e vincular os GPOs necessrios

1.
Em LON-DC1, abra Usurios e Computadores do Active Directory e na UO Research, crie uma

subunidade organizacional denominada Engenheiros e, em seguida, feche Usurios e Computadores
2.
No Console de Gerenciamento de Poltica de Grupo, crie um novo GPO vinculado UO Engenheiros

denominada Substituio da Aplicao Engenharia.
3.
Defina a configurao de poltica Tempo limite da Proteo de Tela como desabilitado e, em

seguida, feche o Editor de Gerenciamento de Poltica de Grupo.
Tarefa 2: Verificar a ordem de precedncia
Na rvore de console do Gerenciamento de Poltica de Grupo, selecione a UO Engenheiros e clique

na guia Herana de Poltica de Grupo. Observe que o GPO Substituio da Aplicao Engenharia
tem precedncia sobre o GPO Padres da ADATUM. A configurao de poltica de tempo limite de
proteo de tela que voc acabou de configurar no GPO Substituio da Aplicao Engenharia ser
aplicada aps a configurao no GPO Padres da ADATUM. Portanto, a nova configurao substituir
a configurao padro e prevalecer. O tempo limite da Proteo de Tela ser desabilitado para
usurios dentro do escopo do GPO Substituio da Aplicao Engenharia.
Tarefa 3: Configurar o escopo de um GPO com filtros de segurana

1.
Em LON-DC1, abra Usurios e Computadores do Active Directory. Na UO Research\Engenheiros,

crie um grupo de segurana global denominado GPO_Engineering Application Override_Apply.
2.
No Console de Gerenciamento de Poltica de Grupo, selecione o GPO Substituio da Aplicao

Engenharia. Observe que a seo Filtros de Segurana, o GPO se aplica por padro a todos os
usurios autenticados. Configure o GPO para ser aplicado apenas ao grupo GPO_Engineering
Application Override_Apply.
3.
Na pasta Usurios, crie um grupo de segurana global denominado GPO_ADATUM

Standards_Exempt.
4.
No Console de Gerenciamento de Poltica de Grupo, selecione o GPO Padres da ADATUM.

Observe que a seo Filtros de Segurana, o GPO se aplica por padro a todos os usurios
autenticados.
5.
Configure a delegao de GPO para negar a permisso Aplicar Poltica de Grupo ao grupo
GPO_ADATUM Standards_Exempt.
Tarefa 4: Configurar o processamento de loopback
1.
Em LON-DC1, alterne para Usurios e Computadores do Active Directory.
2.
Crie uma nova UO chamada Quiosques.
3.
Em Quiosques, crie uma subunidade organizacional chamada Salas de Conferncia.
4.
Alterne para o Console de Gerenciamento de Poltica de Grupo.
5.
Crie um novo GPO denominado Polticas de Sala de Conferncia e vincule-o UO Quiosques\

Sala de Conferncia.
6.
Confirme que o escopo do GPO Polticas de Sala de Conferncia est definido para Usurios
Autenticados.
7.
Edite o GPO Polticas de Sala de Conferncia e modifique a poltica Tempo limite de Proteo
de Tela para iniciar a proteo de tela depois de 45 minutos.
8.
Modifique a configurao de poltica Configurar o modo de processamento de loopback de

poltica de grupo de usurios para usar o modo de mesclagem.
Resultados: Aps este exerccio, voc ter configurado com xito o escopo necessrio dos GPOs.
Exerccio 3: Verificao da aplicao de GPOs

Cenrio
5-45
Depois de criar as polticas, voc precisa avaliar o conjunto de polticas resultante para os usurios de seu
ambiente a fim de garantir que a infraestrutura de Poltica de Grupo esteja ntegra e que todas as polticas
tenham sido aplicadas da maneira planejada.
1.
Executar a anlise de RSoP (Conjunto de Polticas Resultante).
2.
Analisar o RSoP com GPResults.
3.
Avaliar os resultados dos GPOs usando o Assistente para Modelagem de Poltica de Grupo.
4.
Revisar eventos de poltica e determinar o status da infraestrutura de GPOs.
Tarefa 1: Executar a anlise de RSoP (Conjunto de Polticas Resultante)
1.
Em LON-CL1, verifique se voc ainda est conectado como ADATUM\Pat. Se necessrio, fornea a
senha Pa$$w0rd.
2.
Execute o prompt de comando como administrador, com o nome de usurio

ADATUM\Administrador e a senha Pa$$w0rd.
3.
Execute o comando gpupdate /force. Terminado o comando, anote a hora do sistema atual porque
voc precisar dessa informao em uma tarefa futura deste laboratrio:
Time: ____________________________________
4.
Reinicialize o computador LON-CL1 e aguarde que ela seja reiniciada antes de passar para a prxima
tarefa.
5.
Em LON-DC1, alterne para o console de Gerenciamento de Poltica de Grupo.
6.
Use o Assistente de Resultados de Poltica de Grupo para executar um relatrio de RSoP para Pat
em LON-CL1.
7.
Revise os resultados do Resumo da Poltica de Grupo. Para a configurao de usurio e computador,

identifique a hora da ltima atualizao de poltica e a lista de GPOs permitidos e negados.
Identifique os componentes que foram usados para processar configuraes de poltica.
8.
Clique na guia Detalhes. Revise as configuraes que foram aplicadas durante a aplicao de poltica
de usurio e computador e identifique o GPO do qual as configuraes foram obtidas.
9.
Clique na guia Eventos de Polticas e localize o evento que registra em log a atualizao de poltica
voc disparou com o comando GPUpdate na Tarefa 1.
10. Clique na guia Resumo, clique com o boto direito do mouse na pgina e escolha Salvar Relatrio.
Salve o relatrio como um arquivo HTML na sua rea de trabalho. Em seguida, abra o relatrio de
RSoP da rea de trabalho.
Tarefa 2: Analisar o RSoP com GPResults

1.
Entre em LON-CL1 como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Abra um prompt de comando e execute o comando gpresult /r. Os resultados do resumo de RSoP
so exibidos. As informaes so muito semelhantes guia Resumo do relatrio de RSoP produzido
pelo Assistente de Resultados de Poltica de Grupo.
3.
Digite gpresult /v e pressione Enter. gerado um relatrio de RSoP mais detalhado. Observe que
muitas das configuraes de Poltica de Grupo aplicadas pelo cliente esto listadas nesse relatrio.
4.
Digite gpresult /z e pressione Enter. gerado o relatrio de RSoP mais detalhado.
5.
Digite gpresult /h:"%userprofile%\Desktop\RSOP.html" e pressione Enter. Um relatrio de RSoP

salvo como um arquivo HTML na sua rea de trabalho.
6.
Abra o relatrio de RSoP salvo na rea de trabalho. Compare o relatrio, suas informaes e a
formatao com o relatrio de RSoP que voc salvou na tarefa anterior.
5-47
Tarefa 3: Avaliar os resultados dos GPOs usando o Assistente para Modelagem de

Poltica de Grupo
1.
2.
Inicie o Assistente para Modelagem de Poltica de Grupo.
3.
Selecione ADATUM\Mike como o usurio, e LON-CL1 como o computador para modelagem.
4.
Quando solicitado, marque a caixa de seleo Processamento de Loopback e clique em Mesclar.

Embora o GPO Polticas de Sala de Conferncia especifique o processamento de loopback, voc deve
instruir o Assistente para Modelagem de Poltica de Grupo para considerar o processamento de
loopback em sua simulao.
5.
Quando solicitado, na pgina Caminhos alternativos do Active Directory, escolha o local

Quiosques\Sala de Conferncia. Voc est simulando o efeito de LON-CL1 como um computador
da sala de conferncia.
6.
Aceite todas as outras opes como padres.
7.
Na guia Resumo, role a tela e, se necessrio, expanda Detalhes do Usurio, Objetos de Poltica de
Grupo e GPOs Aplicados.
8.
Verifique se o GPO Polticas de Sala de Conferncia se aplica a Mike como uma poltica de usurio
quando ele fizer logon em LON-CL1 se LON-CL1 estiver na UO Salas de Conferncia.
9.
Role a tela e, se necessrio, expanda Detalhes do Usurio, Polticas, Modelos Administrativos e

Painel de Controle/Personalizao.
10. Confirme que o tempo limite de proteo de tela 2.700 segundos (45 minutos), a configurao
definida pelo GPO Polticas de Sala de Conferncia que substitui o padro de 10 minutos configurado
pelo GPO Padres da ADATUM.
Tarefa 4: Revisar eventos de poltica e determinar o status da infraestrutura de GPOs

1.
Em LON-CL1, voc est conectado como ADATUM\Administrador.
2.
Abra o Painel de Controle e navegue at o Visualizador de Eventos.
3.
Localize e revise os eventos de Poltica de Grupo no log de sistema.
4.
Localize e revise os eventos de Poltica de Grupo no log de aplicativo. Revise os eventos e identifique
os eventos de Poltica de Grupo inseridos nesse log. Quais eventos esto relacionados com a
aplicao de Poltica de Grupo e quais esto relacionados com as atividades que voc executou para
gerenciar Poltica de Grupo? Observe que, dependendo do tempo que a mquina virtual est em
execuo, talvez voc no tenha Eventos de Poltica de Grupo no log do aplicativo.
5.
Navegue at o log Operacional da Poltica de Grupo e localize o primeiro evento relacionado na

atualizao de Poltica de Grupo que voc iniciou no Exerccio 1, com o comando GPUpdate. Revise
esse evento e os eventos que se seguem.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de RSoP com xito para verificar a
aplicao correta de seus GPOs.
Exerccio 4: Gerenciamento de GPOs

Cenrio
Voc deve fazer backup de todos os GPOs crticos. Voc usa o recurso de backup do Gerenciamento de
Poltica de Grupo para fazer backup do GPO Padres da ADATUM.
1.
Executar um backup de GPOs
2.
Executar uma restaurao de GPOs
3.
Tarefa 1: Executar um backup de GPOs

1.
Alterne para LON-DC1 e no Console de Gerenciamento de Poltica de Grupo, no painel de

navegao, clique na pasta Objetos de Poltica de Grupo.
2.
Faa backup do GPO ADATUM Standards para C:\.
Tarefa 2: Executar uma restaurao de GPOs
No Console de Gerenciamento de Poltica de Grupo, restaure o backup anterior de Padres

da ADATUM.
Depois de concluir o exerccio, reverta todas as mquinas virtuais para seu estado inicial.
Resultados: Depois deste exerccio, voc dever ter executado com xito tarefas de gerenciamento
comuns em seus GPOs.

Problema comum
As configuraes de Poltica de Grupo no so

aplicadas a todos os usurios ou os
computadores na UO onde o GPO foi aplicado
s vezes, as configuraes de Poltica de Grupo

precisam de duas reinicializaes para serem
aplicadas
Ferramentas
5-49
Ferramenta
Use para
Onde encontrar
RSoP de relatrios de
poltica de grupo
Gerar relatrios com informaes sobre as

polticas atuais que esto sendo entregues
aos clientes.
Console de Gerenciamento
de Poltica de Grupo
GPResult
Um utilitrio de linha de comando que

exibe informaes de RSoP.
Utilitrio de linha de
comando
GPUpdate
Atualizar configuraes de Poltica de

Grupo locais e baseadas no AD DS
(Servios de Domnio Active Directory).
comando
Dcgpofix
Restaurar os objetos de Poltica de Grupo

padro ao seu estado original aps a
instalao inicial.
comando
GPOLogView
Exportar eventos relacionados a Poltica de

Grupo de logs do sistema e operacionais
para arquivos de texto, HTML ou XML.
Para uso com o Windows Vista, o
Windows 7 e verses mais recentes.
comando
Scripts de Gerenciamento
de Poltica de Grupo
Scripts de exemplo que executam vrias

tarefas diferentes de soluo de problemas
e manuteno.

6-1
Mdulo 6
Gerenciamento de reas de trabalho de usurios
Contedo:
Viso geral do mdulo
6-1
Lio 1: Implementao de modelos administrativos
6-2
Lio 2: Configurao do redirecionamento de pasta e scripts
6-8
Lio 3: Configurao de preferncias de Poltica de Grupo
6-14
Lio 4: Gerenciamento de software com Poltica de Grupo
6-18
Laboratrio: Gerenciamento de reas de trabalho de usurios

6-22
6-27
Viso geral do mdulo
Usando os Objetos de Poltica de Grupo (GPOs), voc pode implementar ambientes de rea de trabalho
em toda a organizao usando Modelos Administrativos, Redirecionamento de pasta, preferncias de
Poltica de Grupo, e onde aplicvel, usar implantao de software para instalar e atualizar programas de
aplicativos. importante saber como usar esses diversos recursos do GPO de forma que voc possa definir
as configuraes do computador do usurio adequadamente.
Objetivos
Descrever e implementar Modelos Administrativos.
Configurar o redirecionamento de pasta e scripts por meio de GPOs.
Configurar preferncias de GPO.
Implantar software usando GPOs.
Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Lio 1
Implementao de modelos administrativos

Os arquivos de Modelo Administrativo fornecem a maioria das configuraes do GPO disponveis que
modificam chaves de registro especficas. O uso de Modelos Administrativos s vezes chamado de
poltica baseada em registro. Para muitos aplicativos, o uso de poltica baseada em registro que os
arquivo de Modelo Administrativo fornecem o modo mais simples e melhor para suportar o
gerenciamento centralizado de configuraes de poltica. Nesta lio, voc aprender a configurar os
Modelos Administrativos.
Objetivos da lio
Descrever os Modelos Administrativos da Poltica de grupo
Descrever ADM e ADMX ou Modelo Administrativo, arquivos.
Descrever o repositrio central.
Descrever os cenrios de exemplo para usar os Modelos Administrativos.
Explicar como definir configuraes com os Modelos Administrativos.
O que so Modelos Administrativos?

Voc pode usar os Modelos Administrativos para
controlar o ambiente de um sistema operacional e
a experincia do usurio. H dois conjuntos de
Modelos Administrativos: um para os usurios e
um para os computadores.
Nas sees do Modelo Administrativo do GPO,
voc pode implementar centenas de modificaes
no registro. Os Modelos Administrativos possuem
as seguintes caractersticas:
6-2
Eles so organizados em subpastas que

tratam de reas especficas do ambiente,
como rede, sistema e componentes do
Windows.
As configuraes na seo do computador editam o hive HKEY_LOCAL_MACHINE no registro e as

configuraes na seo do usurio editam o hive HKEY_CURRENT_USER no registro.
Algumas configuraes existem para o usurio e o computador. Por exemplo, h uma configurao
para impedir que o Windows Messenger seja executado nos modelos do usurio e do computador.
No caso de conflitos nas configuraes, a configurao do computador prevalece.
Algumas configuraes somente esto disponveis para certas verses dos sistemas operacionais
Windows. Por exemplo, voc pode aplicar um nmero de configuraes novas apenas ao Windows 7
e verses mais recentes do sistema operacional Windows. Clicar duas vezes nas configuraes exibe
as verses suportadas pela configurao.
O que so arquivos ADM e ADMX?

Arquivos ADM
Tradicionalmente, os arquivos ADM foram usados
para definir as configuraes que um
administrador pode configurar atravs da Poltica
de Grupo. Cada sistema operacional Windows
sucessivo e pacote de servio incluiu uma verso
mais recente desses arquivos. Os arquivos ADM
usam sua prpria linguagem de marcao.
Portanto, difcil personalizar os arquivos ADM.
Os modelos ADM esto localizados na pasta
%SystemRoot%\Inf.
6-3
A principal desvantagem dos arquivos ADM que eles so copiados em cada GPO que criado e
consomem aproximadamente 3 megabytes (MB) de espao. Isso pode fazer com que a pasta Volume de
Sistema (SYSVOL) fique muito grande e aumente o trfego de replicao.
Arquivos ADMX
O Windows Vista e o Windows Server 2008 introduziram um novo formato para exibir configuraes
de poltica baseadas em registro. Essas configuraes so definidas usando um formato de arquivo XML
baseado em padres conhecido como arquivos ADMX. Esses arquivos novos substituem os arquivos ADM.
As ferramentas de Poltica de grupo no Windows Vista e nos sistemas operacionais mais novos e no
Windows Server 2008 continuam reconhecendo os arquivos ADM personalizados que voc possui em seu
ambiente, mas ignoram qualquer arquivo ADM que os arquivos ADMX substituram. Diferente dos
arquivos ADM, os arquivos ADMX no so armazenados em GPOs individuais. O Editor de GPO faz a
leitura e exibe as configuraes automaticamente do repositrio de arquivo ADMX local. Por padro, os
arquivos so armazenados na pasta Windows\PolicyDefinitions, mas eles podem ser armazenados em um
local central.
Os arquivos ADMX apresentam um idioma neutro. As descries de idioma simples das configuraes no
fazem parte dos arquivos ADMX. Eles so armazenados em arquivos ADML especficos do idioma. Isso
significa que administradores que falam idiomas diferentes, como ingls e espanhol, podem consultar o
mesmo GPO e ver as descries da poltica em seu prprio idioma, porque eles podem usar seus prprios
arquivos ADML especficos para o seu idioma. Os arquivos ADML so armazenados em uma subpasta da
pasta PolicyDefinitions. Por padro, apenas os arquivos de idioma ADML para o idioma do sistema
operacional instalado so adicionados.
Migrar Modelos Administrativos clssicos para .ADMX

O ADMX Migrator um snap-in do Console de Gerenciamento Microsoft (MMC) que simplifica o
processo de converso dos modelos ADM de Poltica de Grupo no novo formato ADMX e fornece uma
interface de usurio grfica para a criao e a edio de Modelos Administrativos. Voc pode baixar o
ADMX Migrator do site de download da Microsoft em http://go.microsoft.com/fwlink/?linkID=270013.
O repositrio central
Para empresas baseadas em domnio, voc pode
criar um local de repositrio central de arquivos
ADMX, que todos que possuem permisses para
criar ou editar GPOs podem acessar. O Editor de
GPO no Windows Vista e no Windows Server 2008
(ou mais recente) faz a leitura e exibe as
configuraes de poltica do Modelo
Administrativo automaticamente de todos os
arquivos ADMX que o repositrio central
armazena em cache e ignora os que esto
armazenados localmente. Se o controlador de
domnio no estiver disponvel, o repositrio local
ser usado.
6-4
Voc deve criar o repositrio central e atualiz-lo manualmente no controlador de domnio. O uso de
arquivos ADMX dependente do sistema operacional do computador onde voc est criando ou
editando o GPO. Portanto, o controlador de domnio pode ser um servidor com o Windows 2000 ou mais
recente. O Servio de Replicao de Arquivos (FRS) no replicar o controlador de domnio para os outros
controladores daquele domnio. Dependendo da configurao e do sistema operacional de seu servidor,
voc pode usar FRS ou Replicao do Sistema de Arquivos Distribudo (DFS-R) para replicar os dados.
Para criar um repositrio central para os arquivos .admx e .adml, crie uma pasta chamada
PolicyDefinitions no seguinte local: \\FQDN\SYSVOL\FQDN\policies
Por exemplo, para criar um repositrio central para o domnio Test.Microsoft.com, crie uma pasta
PolicyDefinitions no seguinte local: \\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Policies
Um usurio deve copiar todos os arquivos e subpastas da pasta PolicyDefinitions. A pasta

PolicyDefinitions em um computador baseado em Windows 7 reside na pasta Windows. A pasta
PolicyDefinitions armazena todos os arquivos .admx e .adml para todos os idiomas que esto habilitados
no computador cliente.
Observao: Voc deve atualizar o PolicyDefintions para cada pacote de servio e para
outro software adicional, como os arquivos ADMX do Microsoft Office 2010.
Discusso: Usos prticos dos Modelos Administrativos

Reserve alguns minutos para examinar os Modelos
Administrativos e considere como voc poderia
empregar alguns deles em sua organizao.
Esteja preparado para compartilhar informaes
sobre o uso atual de sua organizao de GPOs e
scripts de logon, como:
Como voc fornece segurana de rea de

trabalho atualmente?
Quantos acessos administrativos os usurios

tm para seus sistemas?
Quais configuraes de Poltica de Grupo

voc acha til para sua organizao?
6-5
Demonstrao: Definio de configurao com Modelos Administrativos
As ferramentas de edio de Poltica de Grupo no Windows Server 2012 fornecem vrias funcionalidades
que facilitam a configurao e o gerenciamento de GPOs. Nesta demonstrao, voc revisar essas opes.
Filtrar configuraes de Poltica para Modelos Administrativos
Uma desvantagem nas ferramentas de edio de Poltica de Grupo nas verso do Windows anteriores
que elas no podem pesquisar uma configurao de poltica especfica. Entre milhares de politicas que
podem ser escolhidas, difcil localizar exatamente a configurao que voc deseja configurar. O Editor
de Gerenciamento de Poltica de Grupo no Windows Server 2012 resolve esse problema das
configuraes do Modelo Administrativo. Voc agora pode criar filtros para localizar configuraes de
poltica especficas.
Para criar um filtro:
1.
Clique com o boto direito do mouse em Modelos Administrativos e clique em Opes de Filtro.
2.
Para localizar uma poltica especfica, selecione a caixa de seleo Habilitar Filtros de Palavrachave, insira as palavras pelas quais filtrar e selecione os campos dentro dos quais pesquisar.
Voc tambm pode filtrar por configuraes de Poltica de Grupo que aplicam-se a verses especficas do
Windows, Windows Internet Explorer e outros componentes do Windows.
Infelizmente, o filtro apenas se aplica a configuraes nos ns dos Modelos Administrativos.
Filtrar com base em comentrios
Voc tambm pode pesquisar e filtrar com base em comentrios de configurao de poltica. O Windows
Server 2012 permite adicionar comentrios a configuraes de poltica no n Modelos Administrativos.
Para fazer isso, clique duas vezes na configurao de poltica e clique na guia Comentrio.
uma prtica recomendada adicionar comentrios a configuraes de poltica configuradas. Voc deve
documentar a justificao para uma configurao e o seu efeito desejado. Voc tambm deve adicionar
comentrios ao prprio GPO. O Windows Server 2012 permite anexar comentrios a um GPO. No Editor
de Gerenciamento de Poltica de Grupo, na rvore de console, clique com o boto direito do mouse no
n da raiz, clique em Propriedades e clique na guia Comentrio.
Como copiar configuraes GPO
6-6
Os GPOs de incio podem conter apenas configuraes de poltica de Modelos Administrativos. Mas, alm
de usar os GPOs de incio, h dois outros modos de copiar configuraes de um GPO em um novo GPO:
Voc pode copiar e colar GPOs inteiros no continer Objetos de Poltica de Grupo do GPMC, de
forma que voc tenha um novo GPO com todas as configuraes do GPO de origem.
Para transferir configuraes entre GPOs em domnios ou florestas diferentes, clique com o boto
direito do mouse em um GPO e clique em Fazer backup. No domnio de destino, crie um novo GPO,
clique com o boto direito do mouse em GPO e clique em Importar Configuraes. Voc poder
importar as configuraes do GPO de backup.
Leitura adicional: Pesquisa de Poltica de Grupo

http://go.microsoft.com/fwlink/?linkID=270014
Filtrar configuraes de poltica de Modelos Administrativos
Aplicar comentrios s configuraes de poltica de Modelos Administrativos.
Adicionar comentrios s configuraes de poltica de Modelos Administrativos.
Criar um novo GPO copiando um GPO j existente.
Criar um novo GPO importando configuraes que foram exportadas de outro GPO.
Filtrar configuraes de poltica de Modelos Administrativos
1.
2.
Crie um novo Objeto de Poltica de Grupo (GPO) chamado GPO1.
3.
Abra GPO1 para edit-lo.
4.
Localize o n Configurao do Usurio, Polticas, Modelos Administrativos.
5.
Filtre as configuraes para exibir somente as que possuem as palavras-chave proteo de tela.
6.
Filtrar as configuraes para exibir apenas valores configurados.
Adicionar comentrios a uma configurao de poltica

1.
Localize o valor Personalizao em Configurao do Usurio\Polticas\ Modelos

Administrativos\Painel de Controle.
2.
Adicione um comentrio aos valores Proteger com senha a proteo de tela e Habilitar a
proteo de tela.
Adicione comentrios a um GPO
Abra o n raiz da poltica GPO1 e adicione um comentrio na guia Comentrio.
Crie um novo GPO copiando um GPO j existente
Copie GPO1, e cole-o na pasta de Objetos de Poltica de Grupo.
Crie um novo GPO importando configuraes que foram exportadas de outro GPO
1.
Fazer backup de GPO1.
2.
Crie um novo GPO chamado ADATUM Import.
3.
Importe as configuraes do backup do GPO1 no GPO ADATUM Import.
6-7
Lio 2
Configurao do redirecionamento de pasta e scripts
6-8
No Windows Server 2012, voc pode usar GPOs para implantar scripts em usurios e computadores. Voc
tambm pode redirecionar pastas que esto includas no perfil do usurio para um servidor central. Esses
recursos permitem configurar as configuraes de rea de trabalho dos usurios mais facilmente e, onde
desejvel, criar um ambiente de rea de trabalho padronizado que satisfaz suas necessidades
organizacionais.
Objetivos da lio
Descrever o redirecionamento de pasta.
Explicar as configuraes disponveis para configurar o redirecionamento de pasta.
Descrever as configuraes de segurana para pastas redirecionadas.
Explicar como configurar o redirecionamento de pasta.
Descrever as configuraes de poltica de grupo para aplicar scripts.
Explicar como configurar scripts usando a Poltica de Grupo.
O que redirecionamento de pasta?

Voc pode usar o recurso Redirecionamento
de Pasta para gerenciar dados efetivamente,
e opcionalmente, fazer backup de dados.
Ao redirecionar pastas, voc pode garantir o
acesso de usurios aos dados independentemente
dos computadores nos quais os usurios entram.
O redirecionamento de pasta tem as seguintes
caractersticas:
Ao redirecionar pastas, voc altera o local de

armazenamento delas, do disco rgido local
no computador do usurio para uma pasta
compartilhada em um servidor de arquivos de
rede.
Aps redirecionar uma pasta para um servidor de arquivos, ela ainda aparecer para o usurio como
se estivesse armazenada no disco rgido local.
Voc pode usar a tecnologia de arquivo offline junto com redirecionamento para sincronizar dados
na pasta redirecionada para o disco rgido local do usurio. Isso garante que os usurios tero acesso
aos seus dados se uma interrupo de rede ocorrer ou se o usurio estiver trabalhando offline.
Vantagens do redirecionamento de pasta

H muitas vantagens no redirecionamento de pasta, incluindo:
6-9
Os usurios que entram em vrios computadores podem acessar os seus dados contanto que eles
possam acessar o compartilhamento de rede.
As pastas offline permitem que os usurios acessem seus dados mesmo se eles sarem da rede local
(LAN).
Os dados que so armazenados em servidores em compartilhamentos de rede so guardados em

backup.
Tamanho de perfil de roaming pode ser reduzido consideravelmente por meio do redirecionamento
de dados a partir do perfil.
Configuraes para configurao de redirecionamento de pasta

Em um GPO, as configuraes a seguir esto
disponveis para redirecionamento de pasta:
Nenhum. Nenhum a configurao padro. O

redirecionamento de pasta no est
habilitado.
Bsico. Redirecionamento de pasta bsico

para:
o
Usurios que devem redirecionar suas

pastas para uma rea comum.
Usurios que precisam que os dados

sejam confidenciais.
Avanado. Voc pode usar o redirecionamento avanado para especificar locais de rede diferentes
para os grupos de segurana do Active Directory.
Siga a pasta Documents. O redirecionamento de pasta Siga a pasta Documents est disponvel
somente para imagens, msicas e vdeos. Essa configurao torna a pasta afetada uma subpasta da
pasta Documents.
Locais de pasta de destino para configuraes bsicas e avanadas

Se voc escolher Bsico ou Avanado, poder escolher entre os seguintes locais de pasta de destino:
Criar uma pasta para cada usurio no caminho raiz. Essa opo criar uma pasta no formulrio
\\server\share\User Account Name\Folder Name. Por exemplo, se voc desejar armazenar as
configuraes de rea de trabalho de seus usurios em uma pasta compartilhada chamada
Documents, em um servidor chamado LON-DC1, voc pode definir o caminho de raiz como \\londc1\Documents.
Cada usurio tem um caminho exclusivo para a pasta redirecionada para assegurar a privacidade dos
dados. Por padro, esse usurio recebe direitos exclusivos em relao pasta. No caso da pasta
Documents, o contedo atual da pasta movido para o novo local.
Redirecionar para o seguinte local. Essa opo usa um caminho explcito para o local de
redirecionamento. Faz com que vrios usurios compartilhem o mesmo caminho para a pasta
redirecionada. Por padro, esse usurio recebe direitos exclusivos em relao pasta. No caso da
pasta Documents, o contedo atual da pasta movido para o novo local.
6-10 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
Redirecionar para localizao de perfil de usurio local. Essa opo move o local da pasta para o perfil
do usurio local sobre a pasta Usurios.
Redirecionar para o diretrio base do usurio. Essa opo est disponvel somente para a pasta
Documents.
Observao: Depois da criao inicial e da aplicao de um GPO que fornece as

configuraes de redirecionamento de pasta, os usurios precisam fazer dois logons para que o
redirecionamento entre em vigor. Isso porque os usurios entraro com credenciais
armazenadas em cache.
Pergunta: Usurios no mesmo departamento geralmente entram em computadores diferentes.
Eles precisam de acesso pasta Documents. Eles tambm precisam que os dados permaneam
confidenciais. Qual configurao de redirecionamento de pasta voc escolheria?
Configuraes de segurana para pastas redirecionadas

Voc deve criar e configurar as permisses
manualmente em uma pasta de rede
compartilhada para armazenar as pastas
redirecionadas. Porm, o redirecionamento
de pasta tambm pode criar as pastas
redirecionadas do usurio.
As permisses de pasta so tratadas da seguinte
forma:
Quando voc usa essa opo, as permisses

de subpasta corretas so definidas
automaticamente.
Se criar pastas manualmente, voc precisar conhecer as permisses corretas. O slide ilustra essas
permisses.
Demonstrao: Configurao do redirecionamento de pasta

Criar uma pasta compartilhada.
Criar um GPO para redirecionar a pasta Documents.
Testar o redirecionamento de pasta
Criar uma pasta compartilhada
1.
Em LON-DC1, crie uma pasta chamada C:\Redirect.
2.
Compartilhe a pasta com Todos com permisses de Leitura/Gravao.
Crie um GPO para redirecionar a pasta Documents
6-11
1.
Abra o Console de Gerenciamento de Poltica de Grupo. Crie um GPO chamado Redirecionamento

de Pasta e vincule-o ao domnio Adatum.
2.
Edite o GPO Redirecionamento de Pasta.
3.
Configure as propriedades da pasta Documents para usar a configurao Bsico Redirecionar a

pastas de todos os usurios p/ mesmo local.
4.
Verifique se o local da Pasta de destino est configurado para Criar uma pasta para cada usurio
no caminho raiz.
5.
Especifique o caminho raiz como \\LON-DC1\Redirect.
6.
Teste o redirecionamento de pasta

1.
2.
Verifique as propriedades da pasta Documents. O caminho ser \\LON-DC1\Redirect.
3.
Saia de LON-CL1.
Configuraes de Poltica de Grupo para aplicar scripts

Voc pode usar scripts de Poltica de Grupo para
executar vrias tarefas. Pode haver aes que voc
precise executar toda vez que um computador for
iniciado ou desligado, ou quando os usurios
entrarem ou sarem. Por exemplo, voc pode usar
scripts para:
Limpar as reas de trabalho quando os

usurios sarem ou desligarem os
computadores.
Excluir o contedo de diretrios temporrio.
Mapear unidades ou impressoras.
Definir variveis de ambiente.
Scripts que so atribudos ao computador so executados no contexto de segurana da conta do Sistema

local. Scripts que so atribudos ao usurio que est fazendo logon so executados no contexto de
segurana do usurio.
Outras configuraes da Poltica de Grupo controlam como os scripts so executados. Por exemplo, se
vrios scripts forem atribudos, voc poder controlar se eles sero executados sincronicamente ou de
forma assncrona.
Voc pode escrever scripts em qualquer linguagem de scripts que o cliente Windows possa interpretar,
como o VBScript, Jscript ou comando simples ou arquivos em lotes.
Observao: No Windows Server 2008 R2 e no Windows Server 2012, a interface
de usurio (UI) no Editor de Poltica de Grupo para scripts de logon, logoff, inicializao e
desligamento fornece uma guia adicional para os scripts do Windows PowerShell. Voc pode
implantar o script do Windows PowerShell adicionando-o a essa guia. O Windows Server 2008 R2,
Windows Server 2012, Windows 7 ou Windows 8 podem executar scripts do Windows PowerShell
atravs da Poltica de Grupo.
Os scripts so armazenados em pastas compartilhadas na rede. Voc precisa assegurar que o cliente
tenha acesso a esse local de rede. Se os clientes no puderem acessar o local de rede, os scripts no sero
executados. Embora qualquer local de rede armazene scripts, como uma prtica recomendada, use o
compartilhamento Netlogon porque todos os usurios e computadores que so autenticados para os
Servios de Domnio Active Directory (AD DS) tm acesso a este local.
Para muitas dessas configuraes, o uso das preferncias de Poltica de Grupo uma alternativa melhor
do que configur-las nas imagens do Windows ou usando scripts de logon. As preferncias de Poltica de
Grupo sero explicadas com mais detalhes posteriormente neste mdulo.
Demonstrao: Configurao de scripts com GPOs

Criar um script de logon para mapear uma unidade de rede.
Criar e vincular um GPO para usar o script, e armazenar o script no compartilhamento Netlogon.
Entrar no cliente para testar os resultados.
Criar um script de logon para mapear uma unidade de rede
1.
Em LON-DC1, inicie o Bloco de Notas e digite o seguinte comando:

Net use t: \\LON-dc1\Redirect
2.
Salve o arquivo como Map.bat.
3.
Copie o arquivo na rea de transferncia.
Criar e vincular um GPO para usar o script, e armazenar o script no

compartilhamento Netlogon
6-13
1.
Use o Console de Gerenciamento de Poltica de Grupo para criar um novo GPO chamado DriveMap
e vincule-o ao domnio Adatum.com.
2.
Edite o GPO para configurar um script de logon de usurio.
3.
Cole o script Map.bat no compartilhamento Netlogon.
4.
Adicione o script Map.bat aos scripts de logon.
Entre no cliente para testar os resultados

1.
Em LON-CL1, entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Verifique se a unidade est mapeada.
3.
Saia de LON-CL1.
Lio 3
Configurao de preferncias de Poltica de Grupo

Em verses do Windows Server anteriores, no era possvel usar Polticas de Grupo para controlar
configuraes comuns que afetam o ambiente do usurio e do computador, como unidades mapeadas.
Normalmente, essas configuraes eram fornecidas pelos scripts de logon ou solues de gerao de
imagens.
Porm, o Windows Server 2012 inclui as preferncias de Poltica de Grupo embutidas no GPMC, o que
permite que configuraes como unidades mapeadas possam ser fornecidas atravs da Poltica de Grupo.
Alm disso, voc pode configurar preferncias instalando as RSAT (Ferramentas de Administrao de
Servidor Remoto) em um computador que esteja executando o Windows 7 ou o Windows 8. Isso lhe
permite fornecer muitas configuraes comuns usando a Poltica de Grupo.
Objetivos da lio
Descrever preferncias de poltica de grupo.
Identificar as diferenas entre as configuraes e as preferncias da Poltica de Grupo.
Descrever os recursos de preferncia da Poltica de Grupo.
Explicar como definir configuraes usando as preferncias.
O que so preferncias de Poltica de Grupo?

As extenses de preferncia da Poltica de Grupo
incluem mais de 20 extenses de Poltica de
Grupo que expandem o intervalo de definies
configurveis em um GPO. Voc agora pode usar
preferncias para aplicar um nmero de
configuraes que tinham que ser aplicadas por
meio de script anteriormente, como
mapeamentos de unidade.
As preferncias de Poltica de Grupo so
suportadas nativamente no Windows Server 2008
e nas verses mais recentes e no Windows Vista
Service Pack 2 (SP2) e verses mais recentes. Voc
pode baixar e instalar extenses do lado do cliente (CSEs) de preferncias de Poltica de Grupo para o
Windows Server 2003, Windows XP Service Pack 3 (SP3) e Windows Vista Service Pack 1 (SP1) para
fornecer suporte a preferncias nesses sistemas.
Exemplos de extenses de preferncia de Poltica de Grupo incluem:
Opes de pasta
Mapas de unidade
Impressoras
Tarefas Agendadas
Servios
Menu Iniciar
A configurao das preferncias de Poltica de Grupo no requer qualquer ferramenta especial ou

instalao de software, mas elas so nativamente parte do GPMC no Windows Server 2008 (e mais
recentes), e so aplicadas da mesma maneira que as configuraes de Poltica de Grupo, por padro.
As preferncias tm duas sees distintas: Configuraes do Windows e Configuraes do Painel
de Controle.
Quando voc configurar uma nova preferncia, poder executar as quatro aes bsicas a seguir:
Criar. Criar uma nova configurao de preferncia para o usurio ou o computador.
Excluir. Remover uma configurao de preferncia existente do usurio ou do computador.
Substituir. Excluir ou recriar uma configurao de preferncia para o usurio ou o computador.

O resultado que as preferncias de Poltica de Grupo substituem todas as configuraes
e arquivos existentes associados ao item de preferncia.
Atualizar. Modificar uma configurao de preferncia existente do usurio ou do computador.
Comparao de preferncias de Poltica de Grupo e Configuraes GPO

As preferncias so semelhantes a polticas no
sentido de que aplicam configuraes ao usurio
ou ao computador. Porm, h vrias diferenas no
modo em que voc pode configur-las e apliclas. Um dessas diferenas que as preferncias
no so impostas. No entanto, voc pode
configurar preferncias para serem reaplicadas
automaticamente.
A seguir est uma lista de diferenas entre
configuraes e preferncias de Poltica de Grupo:
6-15
As configuraes de preferncia no so
impostas.
As configuraes de Poltica de grupo desabilita a interface de usurio para configuraes que a

poltica gerencia. As preferncias no fazem isso.
As configuraes da Poltica de Grupo so aplicadas em intervalos regulares. Voc pode aplicar as

preferncias apenas uma vez ou em intervalos.
O usurio final pode alterar qualquer configurao de preferncia que aplicada atravs da Poltica
de Grupo, mas as configuraes de politica no deixam os usurios alter-las.
Em alguns casos, voc pode configurar as mesmas configuraes atravs de uma configurao de
poltica, assim como um item de preferncia. Se configuraes de Poltica de Grupo e de preferncia
conflitantes forem configuradas e aplicadas ao mesmo objeto, o valor da configurao de poltica
sempre ser aplicado.
Recursos das preferncias de Poltica de Grupo

Depois que voc criar uma preferncia de Grupo
de Poltica, deve configurar as suas propriedades.
Preferncias diferentes requerero informaes de
entrada diferentes. Por exemplo, preferncias de
atalho requerem caminhos de destino, enquanto
as variveis de ambiente requerem tipos e valores
de varivel. As preferncias tambm fornecem
vrios recursos nas propriedades comuns para
ajudar na implantao.
Guia Propriedades Gerais
As informaes bsicas so fornecidas na guia

Propriedades Gerais. A primeira etapa especificar
a ao para a preferncia: criar, excluir, substituir ou atualizar. Configuraes diferentes estaro
disponveis, dependendo da ao inicial selecionada. Por exemplo, ao criar um mapeamento de unidade,
voc deve fornecer uma caminho UNC e uma opo para a letra de unidade que voc deseja atribuir.
Guia Propriedades Comuns

As propriedades comuns so consistentes em todas as preferncias. Voc pode usar a guia Propriedade
Comum para controlar o comportamento da preferncia da seguinte maneira:
Interromper o processamento de itens nessa extenso se ocorrer um erro. Se um erro ocorrer durante o
processamento de uma preferncia, nenhuma outra preferncia neste GPO ser processada.
Executar no contexto de segurana de usurio conectado. As preferncias podem ser executadas como
a conta Sistema ou o usurio conectado. Essa configurao fora o contexto do usurio conectado.
Remover esse item quando ele no for mais aplicvel. Ao contrrio das configuraes de poltica, as
preferncias no so removidas quando o GPO que a forneceu removido. Essa configurao alterar
esse comportamento.
Aplicar uma vez e no reaplicar. Normalmente, as preferncias so atualizadas no mesmo intervalo

que as configuraes de Poltica de Grupo. Essa configurao altera esse comportamento para aplicar
a configurao apenas uma vez no logon ou na inicializao.
Usar Direcionamento de nvel de item. Um dos recursos mais avanados de preferncias o

direcionamento de nvel de item. Voc pode usar esse recurso para especificar critrios facilmente, de
forma que voc pode determinar exatamente quais usurios ou computadores recebero uma
preferncia. Os critrios incluem, mas no so limitados ao:
o
Nome do computador
Intervalo de endereos IP
Sistema operacional
Grupo de segurana
Usurio
Consultas de WMI (Instrumentao de Gerenciamento do Windows)
Demonstrao: Configurao de preferncias de Poltica de Grupo

Configurar um atalho de rea de trabalho com preferncias de Poltica de Grupo.
Indique a preferncia.
Configurar uma nova pasta com preferncias de Poltica de Grupo.
Indique a preferncia.
Testar a preferncia.
Configurar um atalho de rea de trabalho com preferncias de Poltica de Grupo
6-17
1.
Em LON-DC1, no Console de Gerenciamento de Poltica de Grupo, abra a Default Domain Policy

para edio.
2.
Navegue at Configurao do Computador\Preferncias\ Configuraes do Windows\Atalhos.
3.
Crie um novo atalho para o programa Notepad.exe.
Indique a preferncia
Indique a preferncia para o computador, LON-CL1.
Configure uma nova pasta com preferncias de Poltica de Grupo

1.
Navegue at Configurao do Usurio\Preferncias\Configuraes do Windows\Pastas.
2.
Crie uma nova pasta para a pasta C:\Reports.
Indique a preferncia
Indique essa preferncia para computadores que esto executando o sistema operacional Windows 8.
Teste as preferncias
1.
Alterne para LON-CL1 e atualize as polticas de grupo usando o comando a seguir no prompt de
comando:
gpupdate /force
2.
Entre e verifique a presena da pasta C:\Reports e o atalho do Bloco de Notas na rea de Trabalho.
Lio 4
Gerenciamento de software com Poltica de Grupo
O Windows Server 2012 inclui um recurso chamado Instalao e manuteno de software que o AD DS, a
Poltica de Grupo, e o servio Windows Installer usam para instalar, manter e remover um software dos
computadores da organizao. Nesta lio, voc aprender a gerenciar software com Poltica de Grupo.
Objetivos da lio
Descrever como a distribuio de software de Poltica de Grupo aborda o ciclo de vida do software.
Descrever como o Windows Installer aprimora a distribuio de software.
Descrever a diferena entre atribuir e publicar um software.
Explicar como gerenciar atualizaes de software usando a Poltica de Grupo.
Como a distribuio de software de poltica de grupo ajuda a abordar o

ciclo de vida do software
O ciclo de vida do software consiste em quatro
fases: preparao, implantao, manuteno e
remoo. Voc pode usar a Poltica de Grupo
para gerenciar todas as fases exceto a preparao.
Voc pode aplicar as configuraes de Poltica de
grupo aos usurios ou computadores de um local,
domnio ou unidade organizacional (UO), a fim de
instalar, atualizar ou remover automaticamente o
software.
A aplicao de configuraes de Poltica de Grupo
ao software permite gerenciar as fases da sua
implantao sem implant-lo em cada
computador individualmente.
Como o Windows Installer aprimora a distribuio do software

Para que a Poltica de Grupo possa implantar e
gerenciar o software, o Windows Server 2012 usa
o servio Windows Installer. Esse componente
automatiza a instalao e a remoo de aplicativos
aplicando um conjunto de regras de configurao
definidas centralmente durante o processo de
instalao. O servio Windows Installer instala os
arquivos de pacote do Microsoft Installer (MSI).
Os arquivos MSI contm um banco de dados que
armazena todas as instrues requeridas para
instalar o aplicativo. Aplicativos pequenos podem
ser completamente armazenados como arquivos
MSI, enquanto outros aplicativos maiores tero
muitos arquivos de origem associados que fazem referncia ao MSI. Muitos fornecedores de software
fornecem arquivos MSI para os seus aplicativos.
O servio Windows Installer tem as seguintes caractersticas:
6-19
Esse servio executado com privilgios elevados, de forma que o software pode ser instalado pelo
servio Windows Installer, independente do usurio estar ou no conectado ao sistema. Usurios s
requerem acesso de leitura ao ponto de distribuio de software.
Os aplicativos so resilientes. Se um aplicativo for corrompido, o instalador detectar e reinstalar ou

reparar o aplicativo.
Windows Installer no pode instalar arquivos .exe. Para distribuir um pacote de software que
instalado com um arquivo .exe, o arquivo .exe deve ser convertido em um arquivo .msi usando um
utilitrio de terceiros.
Pergunta: Os usurios precisam de direitos administrativos para instalar aplicativos
manualmente que possuem arquivos MSI?
Pergunta: O que so algumas desvantagens de implantar software por Poltica de Grupo?
Atribuio e publicao de software

H dois tipos de implantao disponveis para
fornecer software a clientes. Os administradores
podem instalar com antecedncia o software para
usurios ou computadores atribuindo o software,
ou permitir que os usurios instalem o software
quando eles solicitarem publicando o software no
AD DS. As sees de configurao de computador
e de usurio de um GPO tm uma seo de
configuraes de software. Voc pode adicionar
software a um GPO adicionando um novo pacote
ao n de Instalao de Software e especificando se
deve ser atribudo ou publicado.
Voc tambm pode escolher a implantao avanada de um pacote. Use essa opo para aplicar um
arquivo de personalizao a um pacote para implantao personalizada. Por exemplo, se voc usar a
ferramenta de Personalizao do Office para criar um arquivo de personalizao de instalao para
implantar o Microsoft Office 2010.
Atribuindo o software
A atribuio de software tem as seguintes caractersticas:
Quando voc atribui software a um usurio, ele anunciado no menu Iniciar do usurio quando ele
faz logon. A instalao s iniciar depois que o usurio clicar duas vezes no cone do aplicativo ou em
um arquivo associado a ele.
Os usurios no compartilham aplicativos implantados. Quando voc atribui um software a um

usurio, um aplicativo que voc instala para um usurio atravs da Poltica de Grupo no ficar
disponvel a outros usurios.
Quando voc atribui um aplicativo a um computador, o aplicativo instalado na prxima vez que o
computador iniciado. O aplicativo estar disponvel a todos os usurios do computador.
Publicando o software
A publicao de software tem as seguintes caractersticas:
O atalho Programas no Painel de Controle anuncia um programa publicado para o usurio. Os

usurios podem instalar o aplicativo usando o applet Programas, ou voc pode configur-lo para que
a ativao de documento instale o aplicativo.
Os aplicativos para os quais os usurios no tm permisso para instalar no so anunciados.
Os aplicativos no podem ser publicados para computadores.
Observao: Ao configurar a Poltica de Grupo para implantar aplicativos, eles devem ser
mapeados para caminhos UNC. Se voc usar caminhos locais, a implantao falhar.
Gerenciar atualizaes de software usando a Poltica de Grupo

Os fornecedores de software ocasionalmente
lanam atualizaes de software. Elas geralmente
abordam problemas pequenos, como uma
atualizao ou aprimoramentos de recurso, que
no requerem uma reinstalao total do
aplicativo. A Microsoft lana alguns patches de
software como arquivos .MSP.
Atualizaes importantes que fornecem uma nova
funcionalidade requerem a atualizao do pacote
do software para uma verso mais recente. Voc
pode usar a guia Atualizaes para atualizar um
pacote usando o GPO. Quando voc executar
atualizaes usando a Poltica de Grupo, notar as seguintes caractersticas:
6-21
Voc poder reimplantar um pacote se o arquivo do Windows Installer original tiver sido modificado.
As atualizaes frequentemente removero a verso antiga de um aplicativo e instalaro uma verso

mais nova, geralmente mantendo as configuraes do aplicativo.
Voc poder remover pacotes de software se eles foram fornecidos originalmente usando a Poltica
de Grupo. Isso til se um aplicativo de linha de negcios (LOB) estiver sendo substitudo por um
outro aplicativo. A remoo pode ser obrigatria ou opcional.
Laboratrio: Gerenciamento de reas de trabalho

de usurios com Poltica de Grupo
Cenrio
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres,
Reino Unido. Um escritrio de IT e um data center esto localizados em Londres para dar suporte ao
escritrio matriz de Londres e a outros locais. A. A Datum implantou recentemente uma infraestrutura
de cliente e servidor do Windows Server 2012.
A. Datum acabou de abrir uma nova filial. Os usurios neste escritrio requerem um mtodo
automatizado para mapear unidades para recursos de servidor compartilhados, e voc decide usar as
preferncias de Poltica de Grupo. Alm disso, lhe pediram que crie um atalho para o aplicativo Bloco de
Notas para todos os usurios que pertencem ao grupo de segurana de IT. Para ajudar a minimizar os
tamanhos do arquivo, lhe pediram para configurar redirecionamento de pasta para redirecionar vrias
pastas de perfil unidade de incio de cada usurio.
Objetivos
Implementar configuraes usando as preferncias de Poltica de Grupo
Configurar o redirecionamento de pasta.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-CL1
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: ADATUM
Repita as etapas 2 at 4 para 24411B-LON-CL1.
Exerccio 1: Implementao de configuraes por meio de preferncias

de Poltica de Grupo
Cenrio
6-23
A. Datum tem usado scripts de logon para fornecer aos usurios mapeamentos de unidade para
compartilhamentos de arquivos. A manuteno desses scripts um problema contnuo porque eles so
grandes e complexos. O seu gerente lhe pediu para implementar mapeamentos de unidade usando as
preferncias de Poltica de Grupo de forma que scripts de logon possam ser removidos. Alm disso, lhe
pediram para colocar um atalho para o aplicativo Bloco de Notas para todos os usurios que pertencem
ao grupo de segurana de IT.
1.
Criar o script de logon requerido
2.
Crie um novo GPO e vincule-o unidade organizacional (UO) Filial 1
3.
Editar a poltica de domnio padro com as preferncias de Poltica de Grupo requeridas
4.
Teste as preferncias
Tarefa 1: Criar o script de logon requerido

1.
Entre em LON-DC1 como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Abra o Explorador de Arquivos e crie uma pasta e compartilhe-a com Pessoas especficas usando as
seguintes propriedades:
3.
Caminho: C:\Branch1
Nome do compartilhamento: Branch1
Permisses: Todos, Ler/Gravar.
Inicie o Bloco de Notas, e digite o seguinte comando:

Net use S: \\LON-dc1\Branch1
4.
Salve o arquivo na rea de trabalho como BranchScript.bat.
5.
Na rea de trabalho, copie o arquivo na rea de Transferncia. Voc colar o arquivo posteriormente
na pasta apropriada no laboratrio.
Tarefa 2: Crie um novo GPO e vincule-o unidade organizacional (UO) Filial 1

1.
Em LON-DC1, abra Usurios e Computadores do Active Directory, e crie uma unidade

organizacional (UO) no domnio Adatum.com chamado Filial 1.
2.
Mova o usurio Holly Dickson da UO IT para a UO Filial 1.
3.
Mova o computador LON-CL1 para a UO Branch Office 1.
4.
5.
Crie e vincule um novo GPO chamado Branch1 unidade organizacional Filial 1.
6.
Abra o GPO Branch1 para edio.
7.
Edite o GPO para configurar um script de logon de usurio.
8.
Cole o script BranchScript.bat no compartilhamento Netlogon.
9.
Adicione o script BranchScript.bat configurao GPO de scripts de logon.
Tarefa 3: Editar a poltica de domnio padro com as preferncias de Poltica

de Grupo requeridas
1.
Em LON-DC1, abra a Default Domain Policy para edio.
2.
Navegue at Configurao do Usurio\Preferncias\Configuraes do Windows\Atalhos.
3.
Crie um novo atalho para o programa Notepad.exe:

o
Nome: Bloco de Notas
Ao: Criao
Local: rea de Trabalho
Caminho de destino: C:\Windows\notepad.exe
4.
Indique a preferncia para membros do grupo de segurana IT.
5.
Tarefa 4: Teste as preferncias

1.
Alterne para LON-CL1 e reinicie o computador.
2.
Entre como ADATUM\Administrador com a senha Pa$$w0rd.
3.
Abra a janela Prompt de comando e use o comando gpupdate /force para atualizar a Poltica de
Grupo.
4.
Saia de LON-CL1.
5.
Entre como ADATUM\Holly com a senha Pa$$w0rd.
6.
Verifique se a unidade est mapeada para \\LON-DC1\Branch1.
7.
Verifique se o atalho para o Bloco de Notas est na rea de trabalho de Holly.
8.
Se o atalho no aparecer, repita as etapas de 2 at 5.
9.
Saia de LON-CL1.
Resultados: Depois desse exerccio, voc deve ter criado os scripts e as configuraes de preferncia
requeridas com sucesso, e depois atribudo-os usando os GPOs.
Exerccio 2: Configurao do redirecionamento de pasta

Cenrio
Para ajudar a minimizar os tamanhos dos perfis, lhe pediram para configurar o redirecionamento de pasta
para os usurios da filial para redirecionar vrias pastas de perfil unidade de incio de cada usurio.
1.
Crie uma pasta compartilhada para armazenar as pastas redirecionadas
2.
Crie um novo GPO e vincule-o UO da filial
3.
Editar as configuraes de redirecionamento de pasta na poltica
4.
Teste as configuraes de redirecionamento de pasta
5.
Tarefa 1: Crie uma pasta compartilhada para armazenar as pastas redirecionadas
Em LON-DC1, abra o Explorador de Arquivos e crie uma pasta e compartilhe-a com Pessoas
especficas usando as seguintes propriedades:
o
Caminho: C:\Branch1\Redirect
Nome do compartilhamento: Branch1Redirect
Permisses: Todos, Ler/Gravar.
Tarefa 2: Crie um novo GPO e vincule-o UO da filial
6-25
Em LON-DC1, abra o Gerenciamento de Poltica de Grupo e crie e vincule um novo GPO nomeado
Redirecionamento de Pasta UO Filial 1.
Tarefa 3: Editar as configuraes de redirecionamento de pasta na poltica

1.
Abra o GPO Redirecionamento de pasta para editar.
2.
Em Configurao do Usurio, navegue at Redirecionamento de pasta e configure as propriedades da

pasta Documentos para usar a configurao Bsico Redirecionar a pastas de todos os usurios
p/ mesmo local.
3.
Verifique se o local da Pasta de destino est configurado para Criar uma pasta para cada usurio
no caminho raiz.
4.
Especifique o caminho raiz como \\LON-DC1\Branch1Redirect.
5.
Tarefa 4: Teste as configuraes de redirecionamento de pasta

1.
Alterne para LON-CL1.
2.
3.
Abra a janela Prompt de comando e use o comando gpupdate /force para atualizar a Poltica de
Grupo.
4.
Entre e saia como ADATUM\Holly com a senha Pa$$w0rd.
5.
Navegue at a rea de trabalho.
6.
Clique com o boto direito do mouse na rea de trabalho e use o menu Personalizar para ativar
Arquivos de Usurio na rea de trabalho.
7.
Na rea de trabalho, abra a pasta Holly Dickson.
8.
Clique com o boto direito do mouse em Meus Documentos e clique em Propriedades.
9.
Na caixa de dilogo Propriedades de Meus Documentos, observe que o local da pasta agora o
compartilhamento de rede em uma subpasta nomeada para o usurio.
10. Se o redirecionamento da pasta no for evidente, saia, e entre como ADATUM\Holly com a senha
Pa$$word. Repita as etapas de 7 a 9.
11. Saia de LON-CL1.
Resultados: Depois deste exerccio, voc deve ter configurado o redirecionamento de pasta com xito
para uma pasta compartilhada no servidor de LON-DC1.

1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-DC1 e clique em
Reverter.
3.
4.
Repita as etapas 2 e 3 para 24411B-LON-CL1.

Prticas recomendadas relacionadas ao gerenciamento da poltica de grupo
Inclua comentrios nas configuraes do GPO
Use um repositrio central para Modelos Administrativos se tiver clientes com o Windows Vista, o
Windows 7 e o Windows 8
Use preferncias de Poltica de Grupo para definir configuraes que no esto disponveis no
conjunto de configuraes de Poltica de Grupo
Use instalao de software de Poltica de Grupo para implantar pacotes no formato .msi em um
grande nmero de usurios ou computadores

Problema comum
Voc configurou o redirecionamento de pasta para

uma UO, mas nenhuma das pastas de usurio est
sendo redirecionada para o local de rede. Na pasta
raiz, voc observa que um subdiretrio nomeado
para cada usurio foi criado, mas eles esto vazios.
Voc atribuiu um aplicativo a uma UO. Depois que
vrios logons, os usurios relatam que ningum
instalou o aplicativo.
Voc tem uma mistura de computadores Windows
XP e Windows 8. Depois de definir vrias
configuraes nos Modelos Administrativos de um
GPO, os usurios com o sistema operacional
Windows XP relatam que alguns configuraes
esto sendo aplicadas, mas outras no.
As preferncias de Poltica de Grupo no esto
sendo aplicadas.
Perguntas de reviso
Pergunta: Por que algumas configuraes de Poltica de Grupo precisam de dois logons para
entrarem em vigor?
Pergunta: Como voc pode suportar preferncias de Poltica de Grupo no Windows XP?
Pergunta: Qual a vantagem de ter um repositrio central?
Pergunta: Qual a principal diferena entre as configuraes de Poltica de Grupo e as
preferncias de Poltica de Grupo?
Pergunta: O que a diferena entre publicar e atribuir software atravs de Poltica de Grupo?
Pergunta: Voc pode usar scripts do Windows PowerShell como scripts de inicializao?
6-27

7-1
Mdulo 7
Configurao e soluo de problemas de acesso remoto
Contedo:
Viso geral do mdulo
7-1
Lio 1: Configurao do acesso rede
7-2
Lio 2: Configurao do acesso VPN
7-11
Lio 3: Viso geral das polticas de rede
7-21
Lio 4: Soluo de problemas de Roteamento e Acesso Remoto
7-28
7-34
Lio 5: Configurao do DirectAccess
7-39
7-52
7-61
Viso geral do mdulo
A maioria das organizaes tem usurios que trabalham remotamente, talvez de casa ou de locais do
cliente. Para facilitar e dar suporte essas conexes remotas, voc deve implementar tecnologias de acesso
remoto a fim de dar suporte a essa fora de trabalho distribuda. Voc deve estar familiarizado com as
tecnologias que permitem aos usurios remotos se conectarem infraestrutura de rede da organizao.
Entre essas tecnologias esto VPNs e DirectAccess, um recurso dos sistemas operacionais Windows 7 e
Windows 8. importante que voc compreenda como configurar e proteger os clientes de acesso remoto
usando as polticas de rede. Este mdulo explora essas tecnologias de acesso remoto.
Objetivos
Configurar o acesso rede.
Criar e configurar uma soluo de VPN.
Descrever a funo das polticas de rede.
Solucionar problemas de roteamento e acesso remoto.
Configurar o DirectAccess.
Lio 1
Configurao do acesso rede
7-2
O acesso rede no sistema operacional Windows Server 2012 fornece os servios obrigatrios que
permitem aos usurios remotos se conectarem rede. Para dar suporte s necessidades da organizao e
dos usurios remotos, importante que voc consiga instalar e configurar esses componentes de acesso
rede do Windows Server 2012 com xito.
Objetivos da lio
Descrever os componentes de uma infraestrutura de servios de acesso rede.
Descrever a funo Servios de Acesso e Poltica de Rede.
Descrever o roteamento e o acesso remoto.
Explicar a autenticao e a autorizao de acesso rede.
Explicar os tipos de mtodos de autenticao usados no acesso rede.
Descrever uma PKI (infraestrutura de chave pblica).
Explicar como servidores DHCP (Dynamic Host Configuration Protocol) so usados com o servio de
roteamento e acesso remoto.
Componentes de uma infraestrutura de servios de acesso rede

A infraestrutura subjacente em uma infraestrutura
completa de servios de acesso rede no
Windows Server 2012 normalmente inclui os
seguintes componentes:
Servidor VPN. Fornece conectividade de

acesso remoto com base em vrios protocolos
de encapsulamento VPN via rede pblica,
como a Internet.
AD DS (Active Directory Domain Services).

Atende a solicitaes de autenticao de
tentativas de conexo do cliente de acesso
remoto.
AD CS (Servios de Certificados do Active Directory). possvel usar certificados digitais para fornecer
autenticao em cenrios de acesso remoto. Implantando o AD CS, possvel criar uma PKI na
organizao para dar suporte ao problema, ao gerenciamento e revogao de certificados.
Servidor DHCP. Fornece conexes de acesso remoto de entrada aceitas com uma configurao de IP
para conectividade de rede com a LAN (rede local) corporativa.
NPS (Servidor de Polticas de Rede). Fornece servios de autenticao para outros componentes de
acesso rede.
Componentes da NAP (Proteo de Acesso Rede):
7-3
servidor de poltica de integridade de NAP. Avalia a integridade do sistema em relao s

polticas de integridade configuradas que descrevem os requisitos de integridade e os
comportamentos de imposio, como a exigncia de que os clientes de conexo sejam
compatveis para que tenham acesso rede.
HRA (Autoridade de Registro de Integridade). Obtm certificados de integridade para clientes

aprovados na verificao da poltica de integridade.
Servidores de atualizaes. Fornece servios de correo para os clientes que no atenderem aos
requisitos de integridade da rede corporativa. Os Servidores de Atualizaes so servidores
especiais em uma rede limitada.
O que a funo Servios de Acesso e Poltica de Rede?

A funo Servios de Acesso e Poltica de Rede no
Windows Server 2012 fornece as seguintes
solues de conectividade de rede:
Impe polticas de integridade. Estabelea e

impe automaticamente polticas de
integridade, que podem incluir requisitos de
software, requisitos de atualizao de
segurana e configuraes de computador
obrigatrias.
Ajuda a proteger o acesso com fio e sem fio.

Quando voc implantar pontos de acesso
802.1X sem fio, o acesso seguro sem fio
fornecer aos usurios da tecnologia sem fio um mtodo de autenticao seguro, com base em senha
ou certificado, simples de implantar. Quando voc implanta opes de autenticao 802.1X, elas
permitem que voc proteja a rede com fio, garantindo que os usurios da intranet sejam
autenticados para que se conectem rede ou obtenham um endereo IP usando DHCP.
Centraliza o gerenciamento de polticas de rede com servidor e proxy RADIUS (Remote Authentication
Dial-in User Service). Em vez de configurar a poltica de acesso rede em cada servidor de acesso
rede (como pontos de acesso sem fio, opes de autenticao 802.1X, servidores VPN e servidores de
discagem), possvel criar polticas em um nico local que especifiquem todos os aspectos das
solicitaes de conexo rede. Entre essas polticas esto quem tem autorizao para se conectar,
quando eles podem se conectar e o nvel de segurana que devem usar para se conectar rede.
Observao: Os componentes de acesso remoto so uma funo de servidor separada no

O que a funo Acesso Remoto?

A funo Acesso Remoto permite dar aos usurios
acesso remoto rede da organizao usando uma
das seguintes tecnologias:
Acesso VPN. Uma VPN fornece uma conexo

ponto a ponto entre os componentes de uma
rede privada por meio de uma rede pblica,
como a Internet. Os protocolos de
encapsulamento permitem que um cliente
VPN estabelea e mantenha uma conexo
com uma porta virtual de escuta do servidor
VPN. Tambm possvel conectar filiais rede
com solues VPN, implantar roteadores de
software completos na rede e compartilhar conexes com a Internet pela intranet.
DirectAccess. O DirectAccess permite acesso remoto contnuo a recursos de intranet sem que o
usurio estabelea primeiro uma conexo VPN. O DirectAccess assegura conectividade contnua
infraestrutura do aplicativo para usurios internos e remotos.
possvel implantar as seguintes tecnologias durante a instalao da funo Acesso Remoto:
DirectAccess e RAS (servio de acesso remoto) VPN. Usando DirectAccess e RAS VPN, possvel
habilitar e configurar:
o
Solues do DirectAccess para a organizao.
Conexes VPN para dar aos usurios finais acesso remoto rede da organizao.
Roteamento. Ele fornece um roteador de software completo e uma plataforma aberta para
roteamento e trabalho na Internet. Ele oferece servios de roteamento para as empresas em
ambientes de LAN e WAN (rede de longa distncia).
7-4
Quando voc opta pelo roteamento, a NAT (converso de endereos de rede) tambm instalada.
Quando voc implanta a NAT, o servidor que est executando Acesso Remoto configurado para
compartilhar uma conexo de Internet com computadores em uma rede privada e converter o
trfego entre o endereo pblico e a rede privada. Usando a NAT, os computadores na rede privada
obtm certo nvel de proteo, pois o roteador em que voc configura a NAT no encaminha o
trfego da Internet para a rede privada, a menos que um cliente da rede privada solicite ou o trfego
seja explicitamente permitido.
Ao implantar a VPN e a NAT, voc configura o servidor que est executando o Acesso Remoto para
oferecer a NAT rede privada e aceitar conexes VPN. Os computadores na Internet no podero
determinar os endereos IP de computadores na rede privada. No entanto, os clientes VPN podero se
conectar aos computadores na rede privada, como se estivessem fisicamente conectados mesma rede.
Autenticao e autorizao de rede

A distino entre autenticao e autorizao
importante para ajudar a compreender por que as
tentativas de conexo so aceitas ou negadas:
Autenticao a verificao das credenciais

da tentativa de conexo. Esse processo
consiste no envio das credenciais do cliente
de acesso remoto para o servidor de acesso
remoto, na forma de texto no criptografado
ou criptografado, usando um protocolo de
autenticao.
Autorizao o processo de verificar se a

tentativa de conexo permitida. A
autorizao ocorre aps a autenticao bem-sucedida.
7-5
Para que uma tentativa de conexo seja aceita, ela deve ser autenticada e autorizada. possvel que a
tentativa de conexo seja autenticada usando credenciais vlidas, mas no seja autorizada; nesse caso, a
tentativa de conexo negada.
Se voc configurar um servidor Acesso Remoto para a Autenticao do Windows, os recursos de

segurana do Windows Server 2012 verificaro as credenciais de autenticao, e as propriedades de
discagem da conta do usurio, alm das polticas de acesso remoto armazenadas localmente autorizaro
a conexo. Se uma tentativa de conexo for autenticada e autorizada, ela ser aceita.
Se voc configurar um servidor Acesso Remoto para autenticao RADIUS, as credenciais da tentativa de
conexo passaro ao servidor RADIUS para fins de autenticao e autorizao. Se a tentativa de conexo
for autenticada e autorizada, o servidor RADIUS enviar uma mensagem de aceitao para o servidor
Acesso Remoto, e essa tentativa de conexo ser aceita. Se a tentativa de conexo no for autenticada
nem autorizada, o servidor RADIUS retornar uma mensagem de rejeio para o servidor Acesso Remoto,
e essa tentativa de conexo ser rejeitada.
Mtodos de autenticao
A autenticao dos clientes de acesso uma
questo de segurana importante. Normalmente,
os mtodos de autenticao utilizam um
protocolo de autenticao que negociado
durante o processo de estabelecimento da
conexo. Os mtodos a seguir tm suporte da
funo Acesso Remoto.
PAP
O PAP (Password Authentication Protocol) usa
senhas de texto sem formatao e o protocolo
de autenticao menos seguro. Ele normalmente
ser negociado se o cliente de acesso remoto e o
servidor Acesso Remoto no conseguirem negociar uma forma de validao mais segura. PAP est
includo no Microsoft Windows Server 2012 para dar suporte a sistemas operacionais de clientes mais
antigos no compatveis com nenhum outro mtodo de autenticao.
CHAP
7-6
O CHAP (Challenge Handshake Authentication Protocol) um protocolo de autenticao de

desafio/resposta que usa o esquema de hash MD5 padro do setor para criptografar a resposta. Diversos
fornecedores de servidores e clientes de acesso rede utilizam o CHAP. Como o CHAP exige o uso de
uma senha de criptografia reversvel, voc deve considerar o uso de outro protocolo de autenticao,
como o MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) verso 2.
MS-CHAP V2
O MS-CHAP v2 um processo de autenticao mtua unidirecional, de senha criptografada, que funciona

da seguinte forma:
1.
O autenticador (o servidor Acesso Remoto ou o computador que est executando NPS) envia um
desafio ao cliente de acesso remoto. O desafio consiste em um identificador de sesso e em uma
cadeia de caracteres de desafio arbitrria.
2.
O cliente de acesso remoto envia uma resposta que contm uma criptografia unidirecional da cadeia
de caracteres de desafio recebida, da cadeia de caracteres de desafio par, do identificador da sesso e
da senha do usurio.
3.
O autenticador verifica a resposta do cliente e envia de volta uma resposta contendo uma indicao
de xito ou falha da tentativa de conexo e uma resposta autenticada baseada na cadeia de
caracteres de desafio enviada, na cadeia de caracteres de desafio par, na resposta criptografada do
cliente e na senha do usurio.
4.
O cliente de acesso remoto verifica a resposta da autenticao e, se estiver correta, utiliza a conexo.
Se a resposta da autenticao no estiver correta, o cliente de acesso remoto encerrar a conexo.
EAP
Com o EAP (Extensible Authentication Protocol), um mecanismo de autenticao arbitrrio autentica uma
conexo de acesso remoto. O cliente de acesso remoto e o autenticador (seja o servidor Acesso Remoto
ou o servidor RADIUS) negociam o esquema de autenticao exato a ser usado. Por padro, o servio
Roteamento e Acesso Remoto inclui suporte para o protocolo EAP-TLS (EAP-Transport Level Security).
Voc pode conectar outros mdulos EAP ao servidor que est executando o Roteamento e Acesso
Remoto para fornecer outros mtodos EAP.
Outras opes
Alm dos mtodos de autenticao mencionados anteriormente, existem outras duas opes que
possvel habilitar durante a seleo de um mtodo de autenticao:
Acesso no autenticado. Falando em termos essenciais, no se trata de um mtodo de autenticao,

e sim da falta de um. O acesso no autenticado permite que sistemas remotos se conectem sem
autenticao. Porm, essa opo jamais deve ser habilitada em um ambiente de produo, porque
deixa a rede em risco. No entanto, essa opo pode, s vezes, ser til para solucionar problemas de
autenticao em um ambiente de teste.
Certificado de mquina para IKEv2 (Internet Key Exchange verso 2). Selecione esta opo caso voc
queira usar Reconexo VPN.
O que uma PKI?

Uma PKI consiste em vrios componentes que
ajudam a proteger comunicaes e transaes
corporativas, inclusive as usadas em cenrios de
acesso remoto. Existem muitos componentes que
precisam funcionar juntos para fornecer uma
soluo PKI completa. Os componentes da PKI no
Windows Server 2012 so:
7-7
AC (autoridade de certificao). A AC emite e

gerencia certificados digitais para usurios,
servios e computadores. Ao implantar a AC,
voc estabelece a PKI na sua organizao.
Certificados digitais. Os certificados digitais

so semelhantes em funo a um passaporte eletrnico. Um certificado digital usado para provar a
identidade do usurio (ou outra entidade). Os certificados digitais contm as credenciais eletrnicas
que so associadas a uma chave pblica e uma chave privada, usadas para autenticar usurios e
outros dispositivos como servidores Web e servidores de email. Os certificados digitais tambm
garantem que o software ou o cdigo sejam executados de uma fonte confivel. Os certificados
digitais contm vrios campos, como Assunto, Emissor e Nome Comum. Esses campos so usados
para determinar o uso especfico do certificado. Por exemplo, um certificado de servidor Web poderia
conter o campo Nome Comum web01.contoso.com, que validaria esse certificado apenas para esse
servidor Web. Se fosse feita uma tentativa de usar esse certificado em um servidor Web chamado
web02.contoso.com, o usurio desse servidor receberia um aviso.
Modelos de certificado. Esse componente descreve o contedo e a finalidade de um certificado digital.

Ao solicitar um certificado de uma AC corporativa do AD CS, o solicitante do certificado, dependendo
dos direitos de acesso, pode selecionar de uma variedade de tipos de certificado baseados em
modelos de certificados, como Usurio e Assinatura de Cdigo. O modelo de certificado poupa
usurios de decises tcnicas de nvel baixo sobre o tipo de certificado de que precisam. Alm disso,
eles permitem que os administradores identifiquem quem pode solicitar quais certificados.
CRLs e respondentes online.

o
As CRLs (listas de certificados revogados) so listas completas e assinadas digitalmente de

certificados que foram revogados. Essas listas so publicadas periodicamente e podem ser
recuperadas e armazenadas em cache pelos clientes, com base no tempo de vida configurado da
CRL. As listas so usadas para verificar o status de revogao de um certificado.
Os respondentes online fazem parte do servio de funo OCSP (Online Certificate Status
Protocol) no Windows Server 2008 e no Windows Server 2012. Um respondente online pode
receber uma solicitao para verificar a revogao de um certificado sem exigir que o cliente
baixe toda a CRL. Isso acelera a verificao de revogao de certificado e reduz a largura de
banda da rede. Isso tambm aumenta a escalabilidade e a tolerncia a falhas possibilitando a
configurao da matriz dos respondentes online.
Servios e aplicativos pblicos baseados em chave. Diz respeito a aplicativos ou servios que do
suporte criptografia de chave pblica. Em outras palavras, o aplicativo ou os servios devem ser
capazes de dar suporte a implementaes de chave pblica para receber os benefcios.
Ferramentas de gerenciamento de certificado e AC. As ferramentas de gerenciamento fornecem

ferramentas de linha de comando e baseadas em GUI para:
o
Configurar ACs.
Recuperar chaves privadas arquivadas.
Importar e exportar chaves e certificados.
Publicar certificados de AC e CRLs.
Gerenciar certificados emitidos.
7-8
AIA (acesso s informaes da autoridade) e CDPs (pontos de distribuio de CRL). Os pontos AIA
determinam o local onde os certificados AC podem ser localizados e validados, e os locais CDP
determinam os pontos onde as listas de revogao de certificados podem ser encontradas durante o
processo de validao de certificados. Como as CRLs podem aumentar (dependendo do nmero de
certificados emitidos e revogados por uma AC), voc tambm pode publicar CRLs menores e interinas
chamadas CRLs delta. As CRLs delta contm apenas os certificados revogados desde a publicao da
ltima CRL regular. Isso permite que os clientes recuperem as CRLs delta menores e compilem mais
rapidamente uma lista completa de certificados revogados. O uso de CRLs delta tambm permite a
publicao de dados de revogao com mais frequncia, j que o tamanho de uma CRL delta
significa que ela normalmente no exige tanto tempo de transferncia quanto uma CRL completa.
HSM (mdulo de segurana de hardware). Um mdulo de segurana de hardware um dispositivo

opcional seguro de hardware criptogrfico que acelera o processamento criptogrfico de
gerenciamento de chaves digitais. Ele um armazenamento especializado de alta segurana,
conectado AC para gerenciar os certificados. Um HSM costuma estar conectado fisicamente a um
computador. Este um complemento opcional na PKI e mais usado em ambientes de alta
segurana em que poderia haver um grande impacto caso uma chave fosse comprometida.
Integrao do DHCP a Roteamento e Acesso Remoto

possvel implantar a funo DHCP com a funo
Acesso Remoto, que fornece acesso remoto a
clientes com um endereo IP atribudo
dinamicamente durante a conexo. Quando voc
usa esses servios juntos no mesmo servidor, as
informaes fornecidas durante a configurao
dinmica so oferecidas de forma diferente da
configurao DHCP normal para clientes baseados
em LAN.
7-9
Nos ambientes de LAN, os clientes DHCP negociam e recebem as seguintes informaes de configurao,
totalmente baseadas nas configuraes definidas no console DHCP para o servidor DHCP:
Um endereo IP concedido fornecido a partir de um pool de endereos disponveis de um escopo

ativo no servidor DHCP. O servidor DHCP gerencia e distribui diretamente o endereo para o cliente
DHCP baseado na LAN.
Parmetros adicionais e outras informaes de configurao fornecidas pelas opes DHCP atribudas
na concesso do endereo. Os valores e a lista de opes correspondem aos tipos de opo
configurados e atribudos no servidor DHCP.
Ao fornecer a configurao dinmica para os clientes de acesso remoto, o servidor Acesso Remoto realiza
primeiramente as seguintes etapas:
1.
Quando o servidor que est executando Acesso Remoto inicializado com a opo Usar DHCP para
atribuir endereos TCP/IP remotos, ele instrui o cliente DHCP a obter dez endereos IP de um
servidor DHCP.
2.
O servidor Acesso Remoto usa o primeiro desses dez endereos IP obtidos no servidor DHCP para a
interface do servidor Acesso Remoto.
3.
Os nove endereos restantes so alocados para clientes baseados no TCP/IP ao discarem para
estabelecer uma sesso com o servidor Acesso Remoto.
Os endereos IP liberados com a desconexo dos clientes de acesso remoto so reutilizados. Quando
todos os dez endereos IP forem utilizados, o servidor Acesso Remoto obter outros dez de um servidor
DHCP. Quando o servio Roteamento e Acesso Remoto for parado, todos os endereos IP obtidos por
meio do DHCP sero liberados.
Ao usar esse tipo de cache pr-ativo de concesses de endereos DHCP para clientes de conexo discada,
o servidor Acesso Remoto registra as seguintes informaes para cada resposta de concesso obtida do
servidor DHCP:
O endereo IP do cliente DHCP.
O endereo IP concedido pelo cliente (para distribuio posterior ao cliente de Roteamento e Acesso
Remoto).
A hora em que a concesso foi obtida.
A hora de expirao da concesso.
A durao da concesso.
Todas as outras informaes da opo DHCP que o servidor DHCP retorna (como as opes de servidor,
escopo e reserva) so descartadas. Ao discar para o servidor e solicitar um endereo IP (ou seja, quando a
opo Usar endereo IP atribudo pelo servidor selecionada), o cliente utiliza uma concesso do DHCP
armazenada no cache para fornecer ao cliente de conexo discada uma configurao dinmica de
endereos IP.
Quando o endereo IP fornecido ao cliente de conexo discada, o cliente desconhece que o endereo IP
foi obtido por meio desse processo intermedirio entre o servidor DHCP e o servidor Acesso Remoto. O
servidor Acesso Remoto mantm a concesso em nome do cliente. Portanto, a nica informao que o
cliente recebe do servidor DHCP o endereo IP.
Nos ambientes de conexo discada, os clientes DHCP negociam e recebem a configurao dinmica
atravs do seguinte comportamento modificado:
7-10 Configurao e soluo de problemas de acesso remoto
Um endereo IP concedido do cache de endereos de escopo DHCP do servidor de Roteamento e

Acesso Remoto. O servidor de Roteamento e Acesso Remoto obtm e renova seu pool de endereos
armazenado no cache com o servidor DHCP.
Se o servidor DHCP normalmente fornecer os parmetros adicionais e outras informaes de

configurao disponibilizadas atualmente por meio de opes DHCP atribudas na concesso de
endereo, essas informaes sero retornadas para o cliente Acesso Remoto com base nas
propriedades do TCP/IP configuradas no servidor Acesso Remoto.
Observao: Os servidores DHCP que executam o Windows Server 2012 fornecem uma classe
de usurio predefinida a Classe de Roteamento e Acesso Remoto Padro para atribuir opes
fornecidas apenas aos clientes de Roteamento e Acesso Remoto. Para atribuir essas opes, voc deve
criar uma poltica DHCP com uma condio da Classe de Usurio Igual Classe de Roteamento e
Acesso Remoto Padro. Em seguida, configure as opes obrigatrias.
Lio 2
Configurao do acesso VPN
7-11
Para implementar corretamente um ambiente VPN e dar suporte a ele dentro da organizao,
importante que voc compreenda como selecionar um protocolo de encapsulamento apropriado, como
configurar a autenticao VPN e definir a funo de servidor Servios de Acesso e Poltica de Rede para
dar suporte configurao escolhida.
Objetivos da lio
Descrever o que uma conexo VPN e como ela usada para conectar clientes de redes remotas.
Descrever os protocolos de encapsulamento usados em uma conexo VPN.
Descrever a reconexo VPN.
Descrever os requisitos de configurao para uma conexo VPN.
Explicar como configurar o acesso VPN.
Descrever tarefas adicionais que possvel concluir aps a configurao de um servidor VPN.
Descrever os recursos e os benefcios do Kit de Administrao do Gerenciador de conexes.
Explicar como criar um perfil de conexo usando o Kit de Administrao do Gerenciador de conexes.
O que uma conexo VPN?

Para emular um link ponto a ponto, os dados so
encapsulados e prefixados com um cabealho;
esse cabealho fornece informaes de
roteamento que permitem aos dados percorram a
rede compartilhada ou pblica at chegarem a
seu destino.
Para emular um link particular, os dados so
criptografados a fim de garantir a
confidencialidade. Os pacotes interceptados na
rede compartilhada ou pblica no podem ser
decifrados sem as chaves de criptografia. O link no
qual os dados particulares so encapsulados e
criptografados conhecido como uma conexo VPN.
H dois tipos de conexo VPN:
Acesso remoto
Site a site
VPN de acesso remoto
As conexes VPN de acesso remoto permitem que os usurios que estejam trabalhando fora do local (por
exemplo, em casa, em um local do cliente ou em um ponto de acesso pblico sem fio) acessem um servidor
na rede privada da organizao usando a infraestrutura fornecida por uma rede pblica, como a Internet.
Da perspectiva do usurio, a VPN uma conexo ponto a ponto entre o computador, o cliente VPN, e o
servidor da sua organizao. A infraestrutura exata da rede compartilhada ou pblica irrelevante, pois ela
aparece em termos lgicos, como se os dados fossem enviados via link particular dedicado.
VPN site a site
Conexes VPN site a site, tambm conhecidas como conexes VPN roteador a roteador, permitem que a
organizao tenha conexes roteadas entre escritrios distintos (ou com outras organizaes) via rede
pblica, alm de ajudar a manter a comunicao segura. Uma conexo VPN roteada na Internet opera de
modo lgico como um link WAN dedicado. Quando as redes se conectam pela Internet, um roteador
encaminha pacotes para outro roteador usando uma conexo VPN. Para os roteadores, a conexo VPN
funciona como um vnculo da camada do vnculo de dados.
Uma conexo VPN site a site conecta duas partes de uma rede privada. O servidor VPN fornece uma
conexo roteada para a rede qual ele est vinculado. O roteador de chamada (o cliente VPN) se
autentica no roteador de resposta (o servidor VPN) e, para ocorrer a autenticao mtua, o roteador de
resposta se autentica no roteador de chamada. Em uma conexo VPN site a site, os pacotes enviados
de ambos os roteadores atravs da conexo VPN geralmente no se originam nos roteadores.
Propriedades das conexes VPN
As conexes VPN que usam o PPTP (Point-to-Point Tunneling Protocol), o L2TP/IPsec (Layer 2
Tunneling Protocol with Internet Protocol Security) ou o SSTP (Secure Socket Tunneling Protocol) tm as
seguintes propriedades:
Encapsulamento. Com a tecnologia VPN, os dados particulares so encapsulados com um cabealho

contendo informaes de roteamento que permitem que os dados percorram a rede de trnsito.
Autenticao. A autenticao para conexes VPN usa estas trs formas diferentes:
Autenticao no nvel de usurio usando a autenticao PPP. Para estabelecer a conexo VPN,
o servidor VPN autentica o cliente VPN que est tentando a conexo usando um mtodo de
autenticao PPP no nvel de usurio e verifica se o cliente VPN tem a autorizao adequada. Se
a autenticao mtua for utilizada, o cliente VPN tambm autenticar o servidor VPN, o que
fornecer proteo contra computadores que estejam se passando por servidores VPN.
Autenticao no nvel de computador usando o protocolo IKE. Para estabelecer uma associao
de segurana IPsec, o cliente VPN e o servidor VPN utilizam o protocolo IKE para trocar
certificados de computador ou uma chave pr-compartilhada. Em ambos os casos, o cliente e o
servidor VPN se autenticam mutuamente, no nvel de computador. A autenticao por
certificados de computador recomendvel por ser um mtodo de autenticao muito mais
seguro. A autenticao no nvel de computador s executada para as conexes L2TP/IPsec.
Autenticao da origem de dados e integridade de dados. Para que seja possvel verificar se os
dados enviados na conexo VPN se originaram na outra extremidade da conexo e no foram
modificados em trnsito, os dados contm uma soma de verificao criptogrfica baseada em
uma chave de criptografia conhecida apenas pelo emissor e pelo receptor. A autenticao da
origem de dados e a integridade de dados s esto disponveis para as conexes L2TP/IPsec.
Criptografia de dados. Para garantir a confidencialidade dos dados quando eles percorrerem a rede
de trnsito compartilhado ou pblico, o emissor criptografa os dados e o receptor os descriptografa.
Os processos de criptografia e descriptografia dependem do uso de uma chave de criptografia
comum ao emissor e ao receptor.
Os pacotes interceptados na rede de trnsito so ilegveis para quem no tem a chave de criptografia
comum. O tamanho da chave de criptografia um parmetro de segurana importante. Voc pode
utilizar tcnicas computacionais para determinar a chave de criptografia. Entretanto, com o aumento
do tamanho das chaves de criptografia, essas tcnicas exigem mais poder tecnolgico e tempo
computacional. Sendo assim, importante utilizar o maior tamanho possvel de chave para assegurar
a confidencialidade dos dados.
Protocolos de encapsulamento para conexes VPN

Os protocolos PPTP, L2TP, e SSTP dependem
intensamente dos recursos especificados
inicialmente para o PPP. O PPP foi projetado para
enviar dados atravs de conexes discadas ou
ponto a ponto dedicadas. Para o IP, o PPP
encapsula pacotes IP em quadros PPP e transmite
os pacotes PPP encapsulados por meio do link
ponto a ponto. O PPP foi definido originalmente
como o protocolo a ser usado entre um cliente de
conexo discada e um servidor de acesso rede.
PPTP
7-13
O PPTP permite criptografar e encapsular um

trfego multiprotocolo de cabealho IP, que posteriormente enviado por meio de uma rede IP ou rede
IP pblica, como a Internet. Voc pode usar o PPTP para acesso remoto e conexes VPN site a site.
Quando voc usa a Internet como rede pblica VPN, o servidor PPTP um servidorVPN habilitado
para PPTP com uma interface na Internet e uma segunda interface na intranet.
Encapsulamento. o PPTP encapsula quadros PPP em datagramas IP para transmisso pela rede.
O PPTP usa uma conexo TCP (Transmission Control Protocol) no gerenciamento de tnel e uma
verso modificada do cabealho GRE (Generic Route Encapsulation) para encapsular quadros PPP de
dados em tnel. As cargas dos quadros PPP encapsulados podem ser criptografadas, compactadas,
ou ambas.
Criptografia. o quadro PPP criptografado com a MPPE (Criptografia Ponto a Ponto da Microsoft)
usando as chaves de criptografa geradas nos processos de autenticao MS-CHAPv2 ou EAP-TLS.
Para que as cargas dos quadros PPP sejam criptografadas, os clientes VPN devem utilizar o protocolo
de autenticao MS-CHAPv2 ou EAP-TLS. O PPTP usa a criptografia subjacente do PPP e encapsula
um quadro PPP j criptografado.
L2TP
O L2TP permite que voc criptografe o trfego multiprotocolo a ser enviado por qualquer meio
compatvel com a entrega de datagramas ponto a ponto, como IP ou ATM (modo de transferncia
assncrona). O L2TP uma combinao do PPTP e do L2F (Layer 2 Forwarding). O L2TP representa os
melhores recursos do PPTP e do L2F.
Diferentemente do PPTP, a implementao Microsoft do L2TP no usa a MPPE para criptografar os
datagramas PPP. O L2TP depende do IPsec no Modo de Transporte para os servios de criptografia.
A combinao do L2TP com o IPsec conhecida como L2TP/IPsec.
Para utilizar L2TP/IPsec, cliente e servidor VPN devem dar suporte a L2TP e IPsec. O suporte do
cliente para L2TP interno dos clientes de acesso remoto do Windows XP, do Windows Vista,
do Windows 7 e do Windows 8. O suporte do servidor VPN para L2TP interno nos membros das
famlias Windows Server 2012, Windows Server 2008 e Windows Server 2003.
Encapsulamento: o encapsulamento para pacotes L2TP/IPsec consiste em duas camadas,

encapsulamentos L2TP e IPsec. L2TP encapsula e criptografa dados da seguinte maneira:
Primeira camada. A primeira camada o encapsulamento L2TP. Um quadro PPP (um datagrama
IP) encapsulado com um cabealho L2TP e um cabealho UDP (User Datagram Protocol).
Segunda camada. A segunda camada o encapsulamento IPsec. A mensagem L2TP resultante

encapsulada com um cabealho e trailer ESP de encapsulamento IPsec, alm de um trailer de
autenticao IPsec que fornece integridade de mensagem e autenticao, e um cabealho final
IP. O cabealho IP contm os endereos IP de origem e de destino que correspondem ao cliente
e ao servidor VPN.
Criptografia: a mensagem L2TP criptografada com AES (Advanced Encryption Standard) ou 3DES
(Triple Data Encryption Standard) usando chaves de criptografia geradas pelo processo de
negociao IKE.
SSTP
SSTP um protocolo de encapsulamento que usa o protocolo HTTPS pela porta TCP 443 para passar o
trfego pelos firewalls e proxies Web, que poderiam bloquear o trfego PPTP e L2TP/IPsec. O SSTP dispe
de um mecanismo para encapsular o trfego PPP pelo canal SSL (Secure Sockets Layer) do protocolo
HTTPS. O uso do PPP permite suporte para mtodos de autenticao seguros, como EAP-TLS. O SSL
oferece segurana no nvel de transporte com negociao avanada de chaves, criptografia e verificao
de integridade.
Quando um cliente tenta estabelecer uma conexo VPN baseada no SSTP, este estabelece primeiramente
uma camada HTTPS bidirecional com o servidor SSTP. Nessa camada HTTPS, os pacotes do protocolo
fluem conforme a carga til de dados usando os seguintes mtodos de encapsulamento e criptografia:
Encapsulamento. O SSTP encapsula quadros PPP em datagramas IP para transmisso pela rede.
O SSTP usa uma conexo TCP (pela porta 443) para o gerenciamento de tneis e como quadros de
dados PPP.
Criptografia. A mensagem SSTP criptografada com o canal SSL do protocolo HTTPS.
IKEv2
IKEv2 usa o protocolo IPsec Tunnel Mode via porta UDP 500. O IKEv2 d suporte mobilidade tornandoo uma boa opo de protocolo para uma fora de trabalho mvel. As VPNs baseadas em IKEv2 permitem
que os usurios alternem facilmente pontos de acesso sem fio ou conexes sem e com fio.
O uso do IKEv2 e do IPsec habilita o suporte para mtodos seguros de autenticao e criptografia.
Encapsulamento. IKEv2 encapsula datagramas usando ESP ou AH IPsec para transmisso pela rede.
Criptografia. a mensagem criptografada com um dos protocolos a seguir usando chaves de

criptografia que so geradas no processo de negociao do IKEv2: algoritmos de criptografia AES
256, AES 192, AES 128 e 3DES.
IKEv2 s compatvel em computadores nos quais estejam em execuo Windows 7, Windows 8,

Windows Server 2008 R2 e Windows Server 2012. IKEv2 o protocolo de encapsulamento VPN padro
no Windows 7 e no Windows 8.
O que uma Reconexo VPN?

Em cenrios de negcios dinmicos, os usurios
devem poder acessar os dados com segurana a
qualquer momento, de qualquer lugar, e acesslos continuamente, sem interrupo. Por exemplo,
talvez os usurios queiram acessar com segurana
dados que estejam no servidor da empresa, a
partir de uma filial ou enquanto estiverem
viajando.
7-15
Para atender a esse requisito, possvel configurar

o recurso Reconexo VPN que est disponvel no
Windows Server 2012, no Windows Server 2008
R2, no Windows 8 e no Windows 7. Com esse
recurso, os usurios podem acessar os dados da empresa usando uma conexo VPN, que reconectar
automaticamente se a conectividade for interrompida. A Reconexo VPN tambm permite roaming entre
redes diferentes.
A Reconexo VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contnua e consistente. Os
usurios que se conectam via banda larga mvel sem fio so os que mais aproveitaro esse recurso. Pense
em um usurio com um laptop que esteja executando o Windows 8. Quando viaja de trem a trabalho, o
usurio se conecta Internet com um carto de banda larga mvel sem fio e estabelece uma conexo
VPN com a rede da empresa. Quando o trem passa por um tnel, a conexo com a Internet perdida.
Depois que o trem sai do tnel, o carto de banda larga mvel sem fio se reconecta automaticamente
Internet. Nas verses anteriores do sistemas operacionais cliente e servidor do Windows, a VPN no se
reconectava automaticamente. Por isso, o usurio teria que repetir o processo de vrias etapas de
conexo com a VPN manualmente. Essa tarefa era demorada e frustrante para usurios mveis com
conectividade intermitente.
Com a Reconexo VPN, o Windows Server 2012 e o Windows 8 restabelecem conexes VPN ativas
automaticamente quando a conectividade com a Internet restabelecida. Ainda que a reconexo possa
demorar alguns segundos, os usurios no precisam restabelecer a conexo manualmente ou se
autenticar novamente para acessarem os recursos de rede internos.
Os requisitos de sistema para usar o recurso Reconexo VPN so os seguintes:
Windows Server 2008 R2 ou Windows Server 2012 como um servidor VPN.
Cliente Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012.
PKI, pois um certificado de computador obrigatrio para uma conexo remota com a
Reconexo VPN. possvel usar certificados emitidos por uma AC interna ou pblica.
Requisitos de configurao
Antes de implantar a soluo VPN da organizao,
considere os seguintes requisitos de configurao:
O servidor VPN exige duas interfaces de rede.

Voc deve identificar qual interface de rede se
conectar Internet e qual interface de rede
se conectar rede privada. Durante a
configurao, voc dever escolher qual
interface de rede se conectar Internet. Se
voc especificar a interface incorreta, o
servidor VPN de acesso remoto no
funcionar corretamente.
Determine se clientes remotos recebem

endereos IP de um servidor DHCP na rede privada ou do servidor VPN de acesso remoto que voc
est configurando. Se voc tiver um servidor DHCP na rede privada, o servidor VPN de acesso remoto
poder conceder dez endereos de cada vez do servidor DHCP e atribu-los a clientes remotos. Se
voc no tiver um servidor DHCP na rede privada, o servidor VPN de acesso remoto poder gerar e
atribuir endereos IP automaticamente a clientes remotos. Para que o servidor VPN de acesso remoto
atribua endereos IP de um intervalo especificado, determine esse intervalo.
Determine se deseja que as solicitaes de conexo dos clientes VPN sejam autenticadas por um
servidor RADIUS ou pelo servidor VPN de acesso remoto que est configurando. A incluso de um
servidor RADIUS ser til se voc pretender instalar vrios servidores VPN de acesso remoto, pontos
de acesso sem fio ou outros clientes RADIUS na rede privada.
Observao: Para habilitar uma infraestrutura RADIUS, instale a funo de servidor Servios
de Acesso e Poltica de Rede. O NPS pode funcionar como um proxy ou um servidor RADIUS.
Determine se os clientes VPN podem enviar mensagens DHCPINFORM ao servidor DHCP em sua rede
privada. Se existir um servidor DHCP na mesma sub-rede do servidor VPN de acesso remoto, as
mensagens DHCPINFORM dos clientes VPN podero acessar o servidor DHCP depois que a conexo
VPN for estabelecida. Se um servidor DHCP estiver em uma sub-rede diferente daquela do servidor
VPN de acesso remoto, verifique se o roteador entre as sub-redes pode retransmitir mensagens do
DHCP entre os clientes e o servidor. Se o roteador estiver executando o Windows Server 2008 R2 ou o
Windows Server R2 2012, ser possvel configurar o servio Agente de Retransmisso DHCP no
roteador para encaminhar mensagens DHCPINFORM entre as sub-redes.
Verifique se a pessoa responsvel pela implantao da soluo VPN tem as associaes ao grupo
administrativo necessrias para instalar as funes de servidor e configurar os servios necessrios; a
associao do grupo Administradores local obrigatria para realizar essas tarefas.
Demonstrao: Como configurar o acesso VPN

Configure Acesso Remoto como um servidor VPN.
Configurar um cliente VPN.
Configurar Acesso Remoto como um servidor VPN
1.
Entre em LON-RTR como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Em LON-RTR, abra Gerenciador do Servidor e adicione a funo Servios de Acesso e Poltica

de Rede.
3.
4.
Abra o console Servidor de Polticas de Rede.
5.
Registre o servidor no AD DS.
6.
Deixe a janela Servidor de Polticas de Rede aberta.
7.
Abra o Roteamento e acesso remoto.
8.
Desabilite a configuration existente.
9.
Reconfigure LON-RTR como um servidor VPN usando as seguintes configuraes:

o
Conexo Local 2 a interface pblica.
O servidor VPN aloca endereos do pool: 172.16.0.100 - 172.16.0.111.
O servidor configurado com a opo No; use Roteamento e Acesso Remoto para
autenticar solicitaes de conexo.
10. Inicie o servio VPN.
Configurar um cliente VPN

1.
Alterne para LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Crie uma nova conexo VPN com as seguintes propriedades:
3.
4.
5.
Endereo na Internet para se conectar a: 10.10.0.1.
Nome do destino: VPN Adatum
Permitir que outras pessoas usem esta conexo: verdadeiro.
7-17
Depois que voc tiver criado a VPN, modifique as configuraes exibindo as propriedades da
conexo e selecione a guia Segurana para reconfigurar o VPN usando as seguintes configuraes:
o
Tipo de VPN: PPTP.
Autenticao: Permitir estes protocolos =MS-CHAP v2.
Teste a conexo VPN usando as seguintes credenciais:

o
Senha: Pa$$w0rd
Espere a conexo VPN ser estabelecida. A conexo malsucedida. Voc recebe um erro referente a
problemas de autenticao.
Concluso de tarefas de configurao adicionais

Depois que voc conclui as etapas para implantar
e inicialmente configurar a soluo Acesso
Remoto, o servidor estar pronto para ser usado
como servidor VPN de acesso remoto. Porm,
estas so as tarefas adicionais que tambm
possvel realizar no servidor de acesso
remoto/VPN:
Configurar filtros de pacote esttico. Adicione

filtros de pacote esttico para proteger
melhor a rede.
Configurar servios e portas. Escolha os

servios na rede privada que devem ser
disponibilizados para os usurios de acesso remoto.
Ajustar os nveis de log. Configure o nvel de detalhes de evento a ser registrado em log. Voc pode
determinar as informaes que devem ser rastreadas nos arquivos de log.
Configurar o nmero de portas VPN. Adicione ou remova portas VPN.
Criar um perfil do Gerenciador de Conexes para os usurios. Gerencie a experincia de conexes

de clientes para os usurios e simplifique a configurao e a soluo de problemas de conexes de
cliente.
Adicionar (AD CS. Configure e gerencie uma AC em um servidor a ser usado em uma PKI.
Aumentar a segurana do acesso remoto. Proteja os usurios remotos e a rede privada impondo o uso
de mtodos de autenticao seguros, exigindo nveis mais altos de criptografia de dados e muito mais.
Aumentar a segurana da VPN. Proteja os usurios remotos e a rede privada exigindo o uso de
protocolos seguros de tnel, configurando o bloqueio de contas e muito mais.
Considerar a implementao da Reconexo VPN. Considere a adio de uma Reconexo VPN para
restabelecer conexes VPN automaticamente para usurios que percam temporariamente as
respectivas conexes com a Internet.
O que o Kit de Administrao do Gerenciador de Conexes?

O CMAK permite personalizar opes de conexo
remota dos usurios criando conexes
predefinidas para servidores e redes remotas. O
assistente CMAK cria um arquivo executvel, que
possvel distribuir de vrias maneiras ou incluir
durante as atividades de implantao como parte
da imagem do sistema operacional.
O Gerenciador de Conexes uma ferramenta de
conexo de rede de cliente que permite que um
usurio se conecte a uma rede remota, como um
ISP (provedor de servios de Internet) ou uma
rede corporativa protegida por um servidor VPN.
7-19
O CMAK uma ferramenta que possvel usar para personalizar a experincia de conexo remota dos
usurios na rede criando conexes predefinidas com redes e servidores remotos. Voc usa o assistente
CMAK para criar e personalizar uma conexo para os usurios.
O CMAK um componente opcional que no instalado por padro. Instale o CMAK para gerar os perfis
de conexo que seus usurios podero instalar para acessar as redes remotas.
Distribuio do perfil de conexo
O assistente do CMAK compila o perfil de conexo em um nico arquivo executvel com uma extenso
.exe. Voc pode passar esse arquivo para os usurios usando qualquer mtodo disponvel. Alguns
mtodos a serem considerados so:
Inclua o perfil de conexo como parte da imagem includa em novos computadores.
Voc pode instalar o perfil de conexo como parte das imagens do computador cliente instaladas nos
novos computadores da sua organizao.
Entregue o perfil de conexo em mdia removvel para o usurio instalar manualmente.
possvel fornecer o programa de instalao do perfil de conexo em CD/DVD, unidade flash USB ou
em qualquer outra mdia removvel a que os usurios possam ter acesso. Algumas mdias removveis
oferecem suporte a recursos de execuo automtica, que permitem iniciar a instalao
automaticamente quando o usurio insere a mdia no computador cliente.
Entregue o perfil de conexo com ferramentas de distribuio de software automatizadas.
Muitas organizaes usam uma ferramenta de gerenciamento de rea de trabalho e implantao de

software, como o Microsoft System Center Configuration Manager (anteriormente chamado de
Systems Management Server). O Gerenciador de Configuraes permite empacotar e implantar
software destinado aos computadores clientes. A instalao pode ser invisvel aos usurios e possvel
configur-la para relatar ao console de gerenciamento se o processo foi bem-sucedido ou no.
Demonstrao: Como criar um perfil de conexo

Instalar o CMAK.
Criar um perfil de conexo.
Examinar o perfil.
Instalar o CMAK
1.
Se necessrio, em LON-CL2, entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Abra Painel de Controle e ative um novo recurso do Windows chamado Kit de Administrao do
Gerenciador de Conexes (CMAK) RAS.
Criar um perfil de conexo

1.
Em Ferramentas Administrativas, abra o Kit de Administrao do Gerenciador de Conexes.
2.
Conclua o Kit de Administrao do Gerenciador de conexes para criar o perfil de conexo.
Examinar o perfil criado
Use o Explorador de Arquivos para examinar o contedo da pasta que voc criou com o Assistente do
Kit de Administrao do Gerenciador de Conexes para criar o perfil de conexo. Normalmente,
agora voc distribuiria esse perfil aos usurios.
Lio 3
Viso geral das polticas de rede
7-21
As polticas de rede determinam se uma tentativa de conexo tem xito. Se a tentativa de conexo foi
bem-sucedida, a poltica de rede tambm define as caractersticas de conexo, como restries de dia e
hora, tempos de desconexo por tempo ocioso e outras configuraes.
A compreenso de como configurar polticas de rede ser essencial se voc quiser implementar com xito
VPNs baseadas na funo de servidor Servios de Acesso e Poltica de Rede na organizao.
Objetivos da lio
Descrever o que uma poltica de rede.
Descrever o processamento da poltica de rede.
Descrever o processo para criar uma nova poltica de rede.
Explicar como criar uma poltica de rede para conexes VPN.
O que uma poltica de rede?

Uma poltica de rede um conjunto de condies,
restries e configuraes que permitem designar
quem est autorizado a se conectar rede e as
circunstncias nas quais possvel se conectar ou
no. Alm disso, quando voc implanta a NAP, a
poltica de integridade adicionada
configurao de polticas de rede para que o NPS
faa as verificaes de integridade do cliente
durante o processo de autorizao.
possvel exibir polticas de rede como regras:

cada regra tem um conjunto de condies e
configuraes. O NPS compara as condies da
regra com as propriedades das solicitaes de conexo. Se ocorrer uma correspondncia entre a regra e a
solicitao de conexo, as configuraes definidas na regra sero aplicadas conexo.
Quando voc configurar vrias polticas de rede no NPS, elas se tornaro um conjunto ordenado de
regras. O NPS verificar cada solicitao de conexo com a primeira regra da lista, depois com a segunda,
e assim sucessivamente, at encontrar uma correspondncia.
Observao: Assim que uma regra de correspondncia for determinada, as demais regras
sero desconsideradas. Por isso, importante que voc ordene as polticas de rede corretamente
em nvel de importncia.
Cada poltica de rede possui uma configurao Estado da Poltica que permite habilitar ou desabilitar a
poltica. Quando voc desabilita uma poltica de rede, o NPS no avalia essa poltica ao autorizar as
solicitaes de conexo.
Propriedades de poltica de rede

Cada poltica de rede tem quatro categorias de propriedades:
Viso geral. As propriedades de viso geral permitem especificar se a poltica est habilitada, se
concede ou nega acesso e se o mtodo de conexo com a rede especfico ou o tipo de servidor de
acesso rede obrigatrio para as solicitaes de conexo. As propriedades de Viso geral tambm
permitem especificar se as propriedades de discagem das contas de usurios no AD DS devem ser
ignoradas. Se voc marcar essa opo, o NPS usar apenas as configuraes da poltica de rede para
determinar se deve autorizar a conexo.
Condies. essas propriedades permitem especificar as condies a que a solicitao de conexo

deve atender para corresponder poltica de rede. Se as condies configuradas na poltica
corresponderem solicitao de conexo, o NPS aplicar as configuraes da poltica de rede
conexo. Por exemplo, se voc especificar o Endereo IPv4 NAS (servidor de acesso rede) como
uma condio da poltica de rede, e o NPS receber uma solicitao de conexo de um NAS que
possui o endereo IP especificado, a condio na poltica corresponder solicitao de conexo.
Restries. as restries so parmetros adicionais da poltica de rede, necessrios para a

correspondncia com a solicitao de conexo. Se a solicitao de conexo no corresponder a uma
restrio, o NPS rejeitar a solicitao automaticamente. Diferentemente da resposta do NPS s
condies no correspondidas na poltica de rede, se uma restrio no for correspondida, o NPS
no avaliar polticas de rede adicionais, e a solicitao de conexo ser negada.
Configuraes. As propriedades de configuraes permitem especificar as configuraes aplicadas

pelo NPS solicitao de conexo, desde que todas as condies da poltica de rede da poltica sejam
correspondidas e a solicitao seja aceita.
Ao adicionar uma nova poltica de rede usando o snap-in MMC (Console de Gerenciamento Microsoft) do
NPS, use o Assistente de Nova Poltica de Rede. Depois de criar uma poltica de rede usando o Assistente
de Nova Poltica de Rede, ser possvel personaliz-la clicando nela duas vezes nela dentro do NPS para
obter as respectivas propriedades.
Observao: As polticas padro no NPS bloqueiam o acesso rede. Aps a criao de suas
prprias polticas, voc dever alterar a prioridade, desabilitar ou remover as polticas padro.
Processamento da poltica de rede

Quando o NPS autoriza uma solicitao de
conexo, ele compara a solicitao a cada poltica
de rede na lista de polticas ordenada, comeando
pela primeira poltica e descendo at o final da
lista. Ao encontrar uma poltica em que as
condies correspondem solicitao de conexo,
o NPS usar a poltica correspondente e as
propriedades de discagem da conta do usurio
para fazer a autorizao. Se voc configurar as
propriedades de discagem da conta do usurio de
modo a conceder ou controlar o acesso atravs de
poltica de rede e a solicitao de conexo for
autorizada, o NPS aplicar as configuraes definidas na poltica de rede conexo:
7-23
Se no localizar uma poltica de rede correspondente solicitao de conexo, o NPS rejeitar a

conexo, a menos que as propriedades de discagem na conta do usurio estejam definidas para
conceder o acesso.
Se as propriedades de discagem da conta do usurio estiverem definidas para negar o acesso, o NPS
recusar a solicitao de conexo.
Processo para criar e configurar uma poltica de rede

O NPS usa polticas de rede e as propriedades de
discagem das contas de usurio para determinar
se deve autorizar uma solicitao de conexo com
a sua rede. possvel configurar uma nova poltica
de rede no snap-in MMC do NPS ou no snap-in
MMC Servio de Roteamento e Acesso Remoto.
Criao da poltica
Quando voc usa o Assistente de Nova Poltica de

Rede para criar uma poltica de rede, o valor
especificado como o mtodo de conexo da rede
usado automaticamente para configurar a
condio Tipo de Poltica. Se voc mantiver o
valor padro No Especificado, o NPS avaliar a poltica de rede que voc criar para todos os tipos de
conexo de rede por meio de qualquer tipo de servidor de acesso rede. Se voc especificar um mtodo
de conexo de rede, o NPS avaliar a poltica de rede somente se a solicitao de conexo tiver sido
originada no tipo de servidor de acesso rede especificado.
Por exemplo, se voc especificar Gateway de rea de Trabalho Remota, o NPS avaliar a poltica de rede
somente das solicitaes de conexo originadas nos servidores do Gateway de rea de Trabalho Remota.
Na pgina Especificar Permisso de Acesso, voc deve selecionar Acesso concedido se quiser que a
poltica permita que os usurios se conectem rede. Caso voc queira que a poltica impea os usurios
de se conectarem rede, selecione Acesso negado. Caso voc queira que as propriedades de discagem
no AD DS determinem a permisso de acesso, possvel marcar a caixa de seleo O acesso
determinado pelas propriedades de Discagem do Usurio (que substituem a poltica de NPS). Essa
configurao substitua a poltica do NPS.
Configurao da poltica
Depois de criar a poltica de rede, ser possvel usar a caixa de dilogo Propriedades da poltica de rede
para exibir ou modificar as configuraes.
Propriedades da Poltica de Rede - Guia Viso Geral

Na guia Viso Geral da caixa de dilogo Propriedades da poltica de rede ou durante a execuo do
Assistente de Nova Poltica de Rede, possvel definir as seguintes configuraes:
Nome da Poltica. digite um nome amigvel e relevante para a poltica de rede.
Estado da Poltica. indique se deseja habilitar a poltica.
Permisso de Acesso. determine se a poltica dever permitir ou negar acesso. Especifique tambm
se o NPS deve ignorar as propriedades de discagem das contas de usurio no AD DS quando a
poltica estiver sendo usada para autorizar a tentativa de conexo.
O mtodo de conexo de rede que deve ser usado para a solicitao de conexo:
o
No Especificado. Se voc selecionar No Especificado, o NPS avaliar a poltica de rede para

todas as solicitaes de conexo originadas de qualquer tipo de servidor de acesso rede e de
qualquer mtodo de conexo.
Gateway de rea de Trabalho Remota. Se voc especificar Gateway de rea de Trabalho

Remota, o NPS avaliar a poltica de rede das solicitaes de conexo originadas nos servidores
que esto executando o Gateway de rea de Trabalho Remota.
Servidor de Acesso Remoto (VPN-Dial up). Se voc especificar Servidor de Acesso Remoto
(VPN-Dial up), o NPS avaliar a poltica de rede das solicitaes de conexo originadas em um
computador que est executando o servio Roteamento e Acesso Remoto configurado como um
servidor de conexo discada ou VPN. Se outro servidor de conexo discada ou VPN for usado, o
servidor dever dar suporte ao protocolo RADIUS e aos protocolos de autenticao que o NPS
fornece para conexes discadas ou VPN.
Servidor DHCP. Se voc especificar Servidor DHCP, o NPS avaliar a poltica de rede das
solicitaes de conexo originadas nos servidores que esto executando o DHCP.
Autoridade de Registro de Integridade: se voc especificar Autoridade de Registro de

Integridade, o NPS avaliar a poltica de rede das solicitaes de conexo originadas nos
servidores que esto executando a Autoridade de Registro de Integridade.
Servidor HCAP: se voc especificar servidor HCAP, o NPS avaliar a poltica de rede das
solicitaes de conexo originadas nos servidores que executam o HCAP.
Propriedades da Poltica de Rede - Guia Condies
7-25
necessrio configurar pelo menos uma condio para cada poltica de rede. Voc faz isso na caixa de
dilogo Propriedades da poltica de rede, na guia Condies. Nessa guia, o NPS fornece vrios grupos
de condies, que permitem definir claramente as propriedades que a solicitao de conexo deve ter
para corresponder poltica.
Os dois grupos de condies disponveis nos quais possvel selecionar so:
Grupos. elas especificam o usurio ou os grupos de computadores configurados no AD DS e para os

quais voc deseja que outras regras da poltica de rede sejam aplicadas quando os membros do
grupo tentarem se conectar rede.
HCAP (Host Credential Authorization Protocol). essas condies so usadas somente quando voc
deseja integrar a soluo NAP do NPS ao Cisco Network Admission Control. Para usar essas condies,
necessrio implantar o Cisco Network Admission Control e o NAP. Voc tambm deve implantar um
servidor HCAP que esteja executando o IIS (Servios de Informaes da Internet) e o NPS.
Restries de Dia e Horrio. a condio Restries de Dia e Horrio permite que voc especifique, em
um intervalo semanal, se permitir conexes em um conjunto especfico de dias e de horrios.
NAP. as configuraes incluem Tipo de Identidade, Classe de Servio MS, Computadores Compatveis
com NAP, Sistema Operacional e Expirao da Poltica.
Propriedades da Conexo. as configuraes incluem Endereo IPv4 do Cliente de Acesso, Endereo

IPv6 do Cliente de Acesso, Tipo de Autenticao, Tipos de EAP Permitidos, Protocolo em Quadros,
Tipo de Servio e Tipo de Tnel.
Propriedades do Cliente RADIUS. as configuraes incluem ID de Estao de Chamada, Nome

Amigvel do Cliente, Endereo IPv4 do Cliente, Endereo IPv6 do Cliente, Fornecedor do Cliente e
Fornecedor do MS RAS.
Gateway. as configuraes incluem ID de Estao de Chamada, Identificador do NAS, Endereo IPv4

do NAS, Endereo IPv6 do NAS e Tipo de Porta do NAS.
Propriedades da Poltica de Rede - Guia Restries
Restries so parmetros de poltica de rede adicionais opcionais diferentes das condies da poltica de
rede de maneira substancial: quando uma condio no corresponde a uma solicitao de conexo, o
NPS continua avaliando outras polticas de rede configuradas para localizar uma correspondncia para a
solicitao de conexo. Quando uma restrio no corresponder a uma solicitao de conexo, o NPS no
avaliar outras polticas de rede, mas rejeitar a solicitao de conexo e o usurio ou o computador ter
o acesso rede negado.
A seguinte tabela descreve as restries que possvel configurar na caixa de dilogo Propriedades da
poltica de rede, guia Restries:
Mtodos de Autenticao. permite especificar os mtodos de autenticao que so exigidos para que
a solicitao de conexo corresponda poltica de rede.
Tempo Limite de Ociosidade. permite especificar o mximo de tempo, em minutos, que o servidor de
aceso rede pode permanecer ocioso antes de a conexo ser desconectada.
Tempo Limite da Sesso. permite especificar a quantidade de tempo mxima, em minutos, que um
usurio pode ficar conectado rede.
ID de Estao Chamada. permite especificar o nmero de telefone do servidor de conexo discada

que os clientes usam para acessar a rede.
Restries de Dia e Horrio. permite especificar quando os usurios podem se conectar rede.
Tipo de Porta do NAS. permite especificar os tipos de mdia de acesso que so permitidos para que os
usurios se conectem rede.
Propriedades da Poltica de Rede - Guia Configuraes
Se todas as condies e restries configuradas na poltica corresponderem s propriedades da solicitao

de conexo, o NPS aplicar conexo as configuraes definidas na caixa de dilogo Propriedades da
poltica de rede, guia Configuraes. Essas configuraes incluem:
Atributos RADIUS. Essa configurao permite definir atributos RADIUS adicionais a serem enviados
ao servidor RADIUS.
NAP. Essa definio permite determinar configuraes relacionadas ao NAP, inclusive a possibilidade
dos clientes de conexo receberem acesso total rede, acesso limitado ou serem habilitados para
correo automtica.
Roteamento e Acesso Remoto. Essa definio permite configurar conexes mltiplas e configuraes
do protocolo de alocao da largura de banda, filtros IP, configuraes de criptografia e outras
configuraes de IP para as conexes.
Demonstrao: Como criar uma poltica de rede

Criar uma poltica de VPN com base na condio Grupo do Windows.
Testar a VPN.
Criar uma poltica de VPN com base na condio dos Grupos do Windows
1.
Em LON-RTR, alterne para o console do Servidor de Polticas de Rede.
2.
Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento da poltica que
voc est prestes a criar.
3.
Crie uma nova poltica de rede usando as seguintes propriedades:

o
Nome da poltica: Poltica VPN Adatum
Tipo de servidor de acesso rede: Servidor de Acesso Remoto (VPN-Dial up)
Condio: Grupos do Windows = Admins. do domnio
Permisso: Acesso concedido
Mtodos de autenticao: padro
Restries: padro
Configuraes: padro
Testar a VPN
1.
2.
Teste a conexo VPN Adatum. Use as credenciais a seguir:

o
Senha: Pa$$w0rd
7-27
Lio 4
Soluo de problemas de Roteamento e Acesso Remoto
A soluo de problemas ocorridos no Roteamento e Acesso Remoto pode ser uma tarefa demorada. Os
problemas podem variar e no so facilmente identificveis. Considerando que pode estar usando redes
de conexo discada, dedicadas, concedidas ou pblicas para atender soluo de conectividade remota,
voc dever realizar uma soluo de problemas em um processo metdico e sistemtico.
Em alguns casos, possvel identificar e resolver o problema rapidamente, e outros casos podem testar a
compreenso de todas as ferramentas disponveis para ajudar a determinar a origem do problema e
resolv-lo em tempo hbil.
Objetivos da lio
Descrever como configurar o log de acesso remoto.
Descrever como configurar o rastreamento de acesso remoto.
Explicar como resolver problemas gerais de conectividade VPN.
Explicar como solucionar outros problemas comuns de acesso remoto.
Configurao do log de acesso remoto

Para configurar o registro em log de acesso
remoto, abra o console Roteamento e Acesso
Remoto, clique com o boto direito do mouse em
servername e clique em Propriedades. Clique na
guia Log para exibir as opes disponveis para o
log de rastreamento e a respectiva localizao.
Inicialmente, pode ser melhor especificar mais
opes de log do que o necessrio, em vez de
especificar muito menos opes. Depois de
determinar o nvel de log que mais til para
solucionar problemas na sua infraestrutura, voc
poder alterar as opes e/ou o nvel de log de
acordo com a sua preferncia.
Quatro nveis de registro em log esto disponveis na guia Log, conforme descrito na tabela a seguir.
Opo da caixa de dilogo
Descrio
Registrar apenas Erros no Log
Especifica que somente erros so registrados no log do

sistema no Visualizador de Eventos.
Registrar Erros e Avisos no Log
Especifica que erros e avisos so registrados no log do sistema

no Visualizador de Eventos.
(continuao)
Opo da caixa de dilogo
Descrio
7-29
Registrar todos os eventos
Especifica que a quantidade mxima de informaes foi

armazenada no log do sistema no Visualizador de Eventos.
Desativar log de eventos
Especifica que nenhum evento registrado no log do sistema

no Visualizador de Eventos.
A caixa de seleo Registrar informaes de roteamento e acesso remoto (usadas para depurao)
permite especificar se os eventos no processo de estabelecimento da conexo PPP so gravados no
arquivo PPP.LOG. O arquivo de log armazenado na pasta systemroot\Tracing (o local padro).
Configurao do rastreamento de acesso remoto

O servio Acesso Remoto no Windows Server 2012
tem uma extensa capacidade de rastreamento que
possvel usar para solucionar problemas de rede
complexos. possvel habilitar os componentes no
Windows Server 2012 para registrar em log as
informaes de rastreamento nos arquivos usando
o comando Netsh ou por meio do Registro.
Habilitao do rastreamento com o

comando Netsh
O comando Netsh pode ser usado para habilitar e
desabilitar o rastreamento de componentes
especficos ou de todos os componentes. Para
habilitar e desabilitar o rastreamento de um componente especfico, use a seguinte sintaxe:
netsh ras set tracing componente enabled|disabled
Em que componente um componente da lista de componentes do servio Roteamento e Acesso Remoto

encontrado no Registro em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing. Por exemplo, para
habilitar o rastreamento do componente RASAUTH, o comando este:
netsh ras set tracing rasauth enabled
Para habilitar o rastreamento de todos os componentes, use o seguinte comando:

netsh ras set tracing * enabled
Habilitao do rastreamento usando o Registro

Tambm possvel configurar o rastreamento alterando as configuraes no Registro no seguinte
caminho:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
possvel habilitar o rastreamento para cada componente do servio Roteamento e Acesso Remoto
definindo os valores de Registro apropriados. Voc pode habilitar e desabilitar o rastreamento de
componentes enquanto o servio Roteamento e Acesso Remoto est sendo executado. Cada componente
capaz de rastrear, alm de ser exibido como uma subchave na chave do Registro anterior.
Para habilitar o rastreamento de cada componente, possvel configurar as seguintes entradas do

Registro para cada chave de protocolo:
EnableFileTracing REG_DWORD Flag
possvel habilitar as informaes de rastreamento de registro em log em um arquivo definindo

EnableFileTracing como 1. O valor padro 0.
Para alterar o local padro dos arquivos de rastreamento, configure FileDirectory para o caminho
desejado. O nome do arquivo de log o nome do componente para o qual o rastreamento est
habilitado. Por padro, os arquivos de log so colocados na pasta SystemRoot\Tracing.
FileDirectory REG_EXPAND_SZ Path
FileTracingMask determina a quantidade de informaes de rastreamento registradas no arquivo. O valor

padro 0xFFFF0000.
FileTracingMask REG_DWORD LevelOfTracingInformationLogged
possvel alterar o tamanho do arquivo de log configurando valores diferentes para MaxFileSize. O valor
padro 0x10000 (64 K).
MaxFileSize REG_DWORD SizeOfLogFile
Observao: O rastreamento consome recursos do sistema, e voc deve us-lo com

moderao para ajudar a identificar problemas de rede. Aps fazer o rastreamento ou identificar
o problema, desabilite o rastreamento imediatamente. No deixe o rastreamento habilitado em
computadores com multiprocessadores.
O rastreamento das informaes pode ser complexo e detalhado. Por isso, normalmente, apenas
profissionais de suporte da Microsoft ou administradores de rede com experincia no servio
Roteamento e Acesso Remoto acham essas informaes teis.
possvel salvar informaes de rastreamento como arquivos e envi-las para serem analisadas
pelo suporte da Microsoft
Resoluo de problemas gerais da VPN

Para resolver problemas gerais com o
estabelecimento de uma conexo VPN de acesso
remoto, execute as seguintes tarefas:
Use o comando ping para verificar se o nome

do host est sendo resolvido para o endereo
IP correto. O ping pode no ser bemsucedido devido filtragem de pacotes, que
est impedindo a entrega e o recebimento de
mensagens ICMP (Internet Control Message
Protocol) no servidor VPN.
Verifique se as credenciais do cliente VPN,

que consistem no nome do usurio, na senha
e no nome do domnio, esto corretas e se o servidor VPN pode valid-las.
7-31
Verifique se a conta de usurio do cliente VPN no est bloqueada, vencida, desabilitada ou se o

horrio de estabelecimento da conexo no corresponde aos horrios de logon configurados. Se a
senha da conta tiver expirado, verifique se o cliente VPN de acesso remoto est usando o MS-CHAP
v2. MS-CHAP v2 o nico protocolo de autenticao fornecido pelo Windows Server 2012 que
permite alterar uma senha vencida durante o processo de conexo.
Redefina as senhas de conta no nvel de administrador usando outra conta no nvel de administrador.
Verifique se a conta do usurio no foi bloqueada devido ao bloqueio da conta de acesso remoto.
Verifique se o servio Roteamento e Acesso Remoto est em execuo no servidor VPN.
Verifique se o servidor VPN est habilitado para acesso remoto na caixa de dilogo Propriedades do
servidor VPN, na guia Geral.
Verifique se os dispositivos Miniporta WAN (PPTP) e Miniporta WAN (L2TP) esto habilitados para acesso
remoto de entrada nas propriedades do objeto Portas do snap-in de Roteamento e Acesso Remoto.
Verifique se o cliente VPN, o servidor VPN e a poltica de rede que correspondem s conexes VPN
esto configurados para usar pelo menos um mtodo de autenticao comum.
Verifique se o cliente VPN e a poltica de rede que correspondem s conexes VPN esto
configurados para usar pelo menos uma intensidade de criptografia comum.
Verifique se os parmetros da conexo tm permisso nas polticas de rede.
Soluo de outros problemas

Este tpico lista outros problemas comuns que
voc pode encontrar ao usar Acesso Remoto no
Erro 800: Servidor VPN inalcanvel
Causa: os pacotes PPTP/L2TP/SSTP do cliente

VPN no conseguem chegar ao servidor VPN.
Soluo: garanta que as portas necessrias

estejam abertas no firewall.
o
PPTP. Para trfego PPTP, configure o

firewall da rede para abrir a porta TCP
1723 e encaminhar o protocolo IP 47 do
trfego GRE ao servidor VPN.
L2TP. Para trfego L2TP, configure o firewall da rede para abrir a porta UDP 1701 e permitir
pacotes ESP IPsec formatados (protocolo IP 50).
SSTP. Para SSTP, habilite a porta TCP 443.
Erro 721: Computador remoto no est respondendo
Causa: esse problema poder ocorrer se o firewall da rede no permitir o trfego GRE (protocolo IP 47).
O PPTP usa o GRE para dados em tnel.
Soluo: configure o firewall da rede entre o cliente VPN e o servidor para permitir o GRE. Alm disso,
verifique se o firewall da rede permite o trfego TCP na porta 1723. Essas duas condies devem ser
atendidas para que seja possvel usar o PPTP para estabelecer a conectividade VPN.
Observao: O firewall pode estar ativado na frente do cliente VPN ou na frente do

servidor VPN.
Erro 741/742: Erro de incompatibilidade de criptografia
Causa: esses erros ocorrero se o cliente VPN solicitar um nvel de criptografia invlido ou se o
servidor VPN no der suporte ao tipo de criptografia solicitado pelo cliente.
Soluo: verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se Exigir
criptografia de dados (desconectar se no houver) estiver selecionado, desmarque-a seleo e
tente fazer a conexo novamente. Se voc estiver usando o NPS, verifique o nvel de criptografia na
poltica de rede no console do NPS ou as polticas em outros servidores RADIUS. Verifique se o nvel
de criptografia solicitado pelo cliente VPN est selecionado no servidor VPN.
Problemas de autenticao do L2TP/IPsec

A lista a seguir descreve as causas mais comuns de falhas nas conexes L2TP/IPsec:
Ausncia de certificado. Por padro, as conexes L2TP/IPsec exigem que, para a autenticao no
mesmo nvel do IPsec, uma troca de certificados de computador ocorra entre o servidor Acesso
Remoto e o cliente Acesso Remoto. Verifique os armazenamentos de certificado do Computador
Local do cliente Acesso Remoto e do servidor Acesso Remoto que usam o snap-in Certificados para
garantir que haja um certificado adequado.
Certificado incorreto. O cliente VPN deve ter um certificado de computador vlido instalado, emitido
por uma AC que siga uma cadeia de certificados vlida, da AC de emisso at uma AC raiz e na qual
o servidor VPN confie. Alm disso, o servidor VPN precisa ter um certificado de computador vlido
instalado que tenha sido emitido por uma AC que siga uma cadeia de certificados vlida, da AC de
emisso at a AC raiz e na qual o cliente VPN confie.
Um dispositivo NAT existe entre o cliente de acesso remoto e servidor Acesso Remoto. Se houver uma
NAT entre um cliente L2TP/IPsec baseado no Windows 2000 Server, no Windows Server 2003 ou no
Windows XP e um servidor L2TP/IPsec do Windows Server 2008, no ser possvel estabelecer uma
conexo L2TP/IPsec a menos que o cliente e o servidor deem suporte ao NAT-T (IPsec NAT traversal).
Existe um firewall entre o cliente Acesso Remoto e o servidor Acesso Remoto. Se houver um firewall
entre um cliente L2TP/IPsec do Windows e um servidor L2TP/IPsec do Windows Server 2012 e voc
no puder estabelecer uma conexo L2TP/IPsec, verifique se o firewall permite o encaminhamento do
trfego L2TP/IPsec.
Problemas de autenticao EAP-TLS
7-33
Quando voc usa o EAP-TLS para a autenticao, o cliente VPN envia um certificado de usurio e o
servidor de autenticao (o servidor VPN ou o servidor RADIUS) envia um certificado de computador.
Para permitir que o servidor de autenticao valide o certificado do cliente VPN, as seguintes condies
devero ser verdadeiras para cada certificado na cadeia de certificados enviados pelo cliente VPN:
A data atual deve estar compreendida entre as datas de validade dos certificados. Quando so
emitidos, os certificados contm um intervalo de datas vlidas, antes do qual eles no podem ser
usados e aps o qual so considerados vencidos.
O certificado no foi revogado. Os certificados emitidos podem ser revogados a qualquer momento.
Cada AC de emisso mantm uma lista de certificados no considerados vlidos e publica uma CRL
atualizada. Por padro, o servidor de autenticao verifica todos os certificados na cadeia de
certificados dos clientes VPN (a srie de certificados do certificado do cliente VPN at a autoridade de
certificao raiz) para revogao. Se um dos certificados na cadeia tiver sido revogado, a validao do
certificado falhar.
O certificado possui uma assinatura digital vlida. As autoridades de certificao assinam digitalmente
os certificados emitidos. O servidor de autenticao verifica a assinatura digital de cada certificado na
cadeia (com exceo do certificado da AC raiz) obtendo a chave pblica da AC de emisso e
validando matematicamente a assinatura digital.
Para que o cliente VPN valide o certificado do servidor de autenticao de uma das autenticaes de
EAP-TLS, as seguintes condies devero ser verdadeiras para cada certificado na cadeia de
certificados enviados pelo servidor de autenticao:
o
A data atual deve estar compreendida entre as datas de validade dos certificados.
O certificado precisa ter uma assinatura digital vlida.

Cenrio
A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres, Reino
Unido. Um escritrio de IT e um data center esto localizados em Londres para dar suporte a Londres e a
outros locais. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor do Windows
Server 2012.
A gerncia da A. Datum deseja implementar uma soluo de acesso remoto para os funcionrios de
forma que eles possam se conectar rede corporativa quando estiverem fora do escritrio. Voc opta por
implantar um projeto piloto que permitir aos usurios no departamento de IT se conectarem usando
uma VPN com a intranet corporativa.
Objetivos
1.
Configurar um servidor VPN.
2.
Configurar clientes VPN.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-RTR
24411B-LON-CL2
Nome de usurio
Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Realize as etapas de 2 a 4 para 24411B-LON-RTR e 24411B-LON-CL2.
Exerccio 1: Configurao de um servidor VPN

Cenrio
7-35
A. Datum Corporation deseja implementar uma soluo Acesso Remoto para os funcionrios de forma
que eles possam se conectar rede corporativa quando estiverem fora do escritrio. Voc deve habilitar e
configurar os servios de servidor necessrios para facilitar esse acesso remoto. Para dar suporte soluo
VPN, voc precisa configurar uma Poltica de Rede que reflete a poltica de conexo remota corporativa.
Para o piloto, apenas o grupo de segurana deve ser capaz de usar a VPN. Entre as condies obrigatrias
esto a necessidade de um certificado do cliente, e horas de conexo s so permitidas entre a segundafeira e a sexta-feira, a qualquer momento.
1.
Configurar certificados de servidor e cliente
2.
Configurar a funo Acesso Remoto
3.
Criar uma poltica de rede para clientes de VPN
Tarefa 1: Configurar certificados de servidor e cliente

1.
2.
3.
Abra certification authority.
4.
No console Modelos de Certificado, abra as propriedades do modelo de certificado Computador.
5.
Na guia Segurana, conceda ao grupo Usurios autenticados a permisso Permitir Registro.
6.
Reinicie a autoridade de certificao.
7.
Feche a autoridade de certificao.
8.
9.
Navegue para Floresta: Adatum.com\Domains\Adatum.com.
10. Edite a Default Domain Policy.

11. Navegue at Configurao do Computador\Polticas\Configuraes do Windows\
Configuraes de Segurana\Polticas de Chave Pblica.
12. Crie Configuraes de solicitao automtica de certificado para o modelo de certificado
Computador.
13. Feche o Editor de Gerenciamento da Poltica de Grupo e o Console do Gerenciamento de Poltica
de Grupo.
14. Alterne para o computador LON-RTR.
15. Crie um console de gerenciamento executando mmc.exe.
16. Adicione o snap-in Certificados com foco na conta do computador local.
17. Navegue at o repositrio Certificado pessoal e Solicitar novo certificado.
18. Na pgina Selecionar Poltica de Registro de Certificado, clique em Poltica de Registro do
Active Directory e em Avanar.
19. Registre o certificado Computador listado.
20. Feche o console e no salve as configuraes do console.
21. Alterne para o computador LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
22. Abra um prompt de comando e execute o comando gpupdate /force para atualizar as
configuraes da poltica de grupo.
23. Crie um console de gerenciamento executando mmc.exe.
24. Adicione o snap-in Certificados com foco na conta do computador local.
25. Navegue at o repositrio de certificados Pessoal.
26. Verifique se h um certificado para LON-CL2 emitido por Adatum-LON-DC1-CA.
27. Feche o console e no salve as configuraes do console.
Tarefa 2: Configurar a funo Acesso Remoto

1.
Em LON-RTR, abra Gerenciador do Servidor e adicione a funo Servios de Acesso e Poltica

de Rede.
2.
3.
4.
5.
6.
7.
8.
Reconfigure LON-RTR como um servidor VPN com as seguintes configuraes:
9.
a.
Conexo Local 2 a interface pblica
b.
O servidor VPN aloca endereos do pool: 172.16.0.100 - 172.16.0.111
c.
O servidor configurado com a opo No; use Roteamento e Acesso Remoto para
autenticar solicitaes de conexo.
Inicie o servio VPN.
Tarefa 3: Criar uma poltica de rede para clientes de VPN

1.
Em LON-RTR, alterne para o console do Servidor de Polticas de Rede.
2.
3.
a.
Nome da poltica: Poltica VPN de Piloto de IT
b.
c.
Condio: Grupos do Windows = IT
d.
e.
Mtodos de autenticao: Autenticao Criptografada da Microsoft verso 2 (MS-CHAP-v2)
f.
Restries: Restries de dia e horrio = O dia todo de segunda-feira a sexta-feira permitido.
g.
Configuraes: padro
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN com xito e configurado
o acesso para membros do grupo de segurana global de IT.
Exerccio 2: Configurao de clientes VPN

Cenrio
7-37
Voc deve fornecer uma soluo de cliente simples de forma de os usurios possam instalar uma conexo
VPN baseada em L2TP pr-configurada que os permita se conectar rede corporativa.
1.
Configurar e distribuir um perfil do Kit de Administrao do Gerenciador de conexes
2.
Verificar acesso do cliente
3.
Para se preparar para o prximo laboratrio
Tarefa 1: Configurar e distribuir um perfil do Kit de Administrao do Gerenciador

de conexes
1.
2.
No Painel de Controle, instale o recurso Kit de Administrao do Gerenciador de Conexes

(CMAK) RAS.
3.
Em Ferramentas Administrativas, abra o Kit de Administrao do Gerenciador de Conexes.
4.
Conclua o Assistente do Kit de Administrao do Gerenciador de Conexes usando padres, exceto

quando indicado abaixo:
a.
Pgina Selecionar o Sistema Operacional de Destino: Windows Vista ou superior
b.
Pgina Criar ou Modificar um Perfil do Gerenciador de Conexes: Novo perfil
c.
Pgina Especificar o Nome do Servio e o Nome do Arquivo:
Nome do servio: VPN Piloto da Adatum
Nome do arquivo: Adatum
d.
Pgina Especificar um Nome de Realm: No adicionar um nome de territrio ao nome

do usurio
e.
Pgina Adicionar Suporte a Conexes VPN:
f.
Catlogo telefnico deste perfil: habilitado
Nome ou endereo IP do servidor VPN: 10.10.0.1
Pgina Criar ou Modificar uma Entrada de VPN: Edite a entrada VPN listada. Na guia Segurana:
g.
Estratgia de VPN: Usar apenas o protocolo de tnel de camada 2 (L2TP).
Pgina Adicionar um Catlogo Telefnico Personalizado: Download automtico de

atualizaes do catlogo telefnico desmarcado.
5.
Abra o Explorador de Arquivos e navegue at C:\Arquivos de Programas\CMAK\Profiles\

Windows Vista e superior\Adatum.
6.
Clique duas vezes em Adatum.exe e complete o Assistente do VPN Piloto da Adatum:

o
7.
Tornar esta conexo disponvel para: Todos os usurios
Na janela de conexo, clique em Cancelar.
Tarefa 2: Verificar acesso do cliente

1.
Saia de LON-CL2.
2.
Entre como ADATUM\April com a senha Pa$$w0rd.
3.
Abra Conexes de rede.
4.
Teste a conexo VPN Piloto da Adatum. Use as credenciais a seguir:

o
Nome de usurio: ADATUM\April
Senha: Pa$$w0rd
Quando tiver concludo o laboratrio, reverta todas as mquinas virtuais de volta para o estado inicial.
Resultados: Depois deste exerccio, voc deve ter distribudo um perfil CMAK com xito e testado o
acesso VPN.
Lio 5
Configurao do DirectAccess
7-39
Geralmente, as organizaes dependem das conexes VPN para fornecer aos usurios remotos acesso
seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e tm suporte
de diferentes clientes. No entanto, as conexes VPN devem ser primeiramente iniciadas pelo usurio e
podem exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN geralmente
habilitam o acesso remoto toda rede corporativa. As organizaes no podem gerenciar com eficincia
computadores remotos, a menos que estejam conectados. Para superar tais limitaes nas conexes VPN,
as organizaes podem implementar o DirectAccess para fornecer uma conexo contnua entre a rede
interna e o computador remoto na Internet. Com o DirectAccess, as organizaes podem gerenciar
computadores remotos mais efetivamente porque eles so efetivamente considerados parte da rede
corporativa.
Objetivos da lio
Abordar as complexidades de conexes VPN tpicas.
Descrever o DirectAccess.
Descrever os componentes exigidos para implementar o DirectAccess.
Explicar como usar a Tabela de Polticas de Resoluo de Nomes.
Explicar como o DirectAccess funciona para clientes conectados internamente.
Explicar como o DirectAccess funciona para clientes conectados externamente.
Listar os pr-requisitos do DirectAccess.
Explicar como configurar o DirectAccess.
Complexidades do gerenciamento de VPNs

Muitas organizaes dependem das conexes
VPN para dar aos usurios acesso seguro remoto
para recursos na rede corporativa interna. Essas
conexes VPN devem ser configuradas
manualmente, o que pode apresentar problemas
de interoperabilidade em situaes nas quais os
usurios esto utilizando vrios clientes VPN
diferentes. Alm disso, as conexes VPN podem
oferecer os seguintes problemas:
Os usurios devem iniciar as conexes VPN.
As conexes podem exigir vrias etapas para

serem iniciadas e o processo de conexo pode
demorar vrios segundos ou mais.
Os firewalls podem oferecer consideraes adicionais. Se no forem configuradas corretamente no

firewall, as conexes VPN podero falhar, ou pior, habilitar inadvertidamente o acesso remoto a toda
a rede corporativa.
A soluo de problemas em conexes VPN com falha pode ser uma parte significativa de chamadas
de Suporte Tcnico para muitas organizaes.
Computadores conectados via VPN no so gerenciados facilmente. Computadores clientes remotos

baseados em VPN apresentam um desafio aos profissionais de IT porque esses computadores talvez
no se conectem rede interna durante semanas, o que os impede de baixar GPOs (Objetos de
Poltica de Grupo) e atualizaes de software.
Extenso da rede at computadores e usurios conectados remotamente
Para superar essas limitaes em conexes VPN tradicionais, as organizaes podem implementar o
DirectAccess para fornecer uma conexo contnua entre a rede interna e o computador remoto na
Internet. Com o DirectAccess, as organizaes podem gerenciar mais facilmente computadores remotos,
porque eles esto sempre conectados.
O que o DirectAccess?
O recurso DirectAccess no Windows Server 2012
permite o acesso remoto contnuo aos recursos da
intranet sem primeiro estabelecer uma conexo
VPN iniciada pelo usurio. O recurso DirectAccess
tambm garante conectividade contnua
infraestrutura de aplicativo para usurios internos
e remotos.
Diferentemente das VPNs tradicionais, que exigem

interveno do usurio para iniciar uma conexo
com uma intranet, o DirectAccess permite que
qualquer aplicativo compatvel com IPv6 no
computador cliente tenha acesso completo aos
recursos da intranet. O DirectAccess tambm permite especificar recursos e aplicativos no lado do cliente
que sejam restritos para acesso remoto.
As organizaes podem aproveitar o DirectAccess fornecendo uma maneira na qual a equipe de IT possa
gerenciar computadores remotos como gerenciariam computadores locais. Usando o mesmo
gerenciamento e os servidores de atualizao, voc pode garantir que computadores remotos estejam
sempre atualizados e em conformidade com as polticas de segurana e do sistema de sade. Tambm
possvel definir polticas mais detalhadas de controle de acesso para acesso remoto em comparao com
a definio de polticas de controle de acesso em solues VPN.
O DirectAccess oferece os seguintes recursos:
Conecta-se automaticamente intranet corporativa quando conectado Internet.
Usa vrios variados, inclusive HTTPS, para estabelecer conectividade IPv6 HTTPS normalmente
permitido por firewalls e servidores proxy.
Oferece suporte ao acesso de servidor selecionado e autenticao IPsec completa com servidores
de rede da intranet.
Oferece suporte criptografia e autenticao completa com servidores de rede da intranet.
Oferece suporte ao gerenciamento de computadores cliente remotos.
Permite que usurios remotos se conectem diretamente aos servidores da intranet.
O DirectAccess tambm fornece as seguintes vantagens:
7-41
Conectividade sempre ativa. Sempre que o usurio conectar o computador cliente Internet, o
computador cliente tambm ser conectado intranet. Essa conectividade permite que
computadores cliente remotos acessem e atualizem aplicativos com mais facilidade. Ela tambm
permite que os recursos da intranet estejam sempre disponveis e permite que os usurios se
conectem intranet corporativa de qualquer lugar e a qualquer momento, melhorando, assim, a
produtividade e o desempenho.
Conectividade contnua. O DirectAccess proporciona uma experincia de conectividade consistente,

independentemente do computador cliente ser local ou remoto. Dessa forma, os usurios se
concentram mais na produtividade e menos no processo e nas opes de conectividade. Essa
consistncia pode reduzir os custos de treinamento para usurios, com menos incidentes de suporte.
Acesso bidirecional. possvel configurar o DirectAccess de maneira que os clientes do DirectAccess

tenham acesso aos recursos da intranet, alm de tambm ser possvel acess-lo da intranet a esses
clientes do DirectAccess. Por isso, o DirectAccess pode ser bidirecional. Isso garante que os
computadores clientes estejam sempre atualizados com atualizaes de segurana mais recentes, que
a Poltica de Grupo do domnio seja imposta e que no haja diferena se os usurios estiverem na
intranet corporativa ou na rede pblica. Esse acesso bidirecional tambm resulta em:
o
Diminuio do tempo de atualizao
Aumento da segurana
Diminuio da taxa de erros de atualizao
Melhoria do monitoramento de conformidade
Manage-out Support. O recurso Manage-out Support novo no Windows Server 2012 e fornece a
possibilidade de permitir apenas a funcionalidade de gerenciamento remoto no cliente do
DirectAccess. A nova subopo do assistente de configurao cliente do DirectAccess automatiza a
implantao de polticas usadas no gerenciamento do computador cliente. O Manage-out support
no implementa opes de poltica que permite aos usurios se conectarem rede para acesso ao
arquivo ou ao aplicativo. O Manage-out support unidirecional e fornece acesso somente de entrada
apenas para fins de administrao.
Maior segurana. diferentemente das VPNs tradicionais, o DirectAccess oferece muitos nveis de
controle de acesso aos recursos da rede. Esse controle mais rgido permite que os arquitetos de
segurana controlem precisamente os usurios remotos que acessam recursos especificados.
possvel usar uma poltica granular para definir especificamente qual usurio pode usar o
DirectAccess e o local do qual o usurio pode acess-lo. A criptografia IPsec usada para proteger o
trfego do DirectAccess, de modos que os usurios possam garantir a segurana de suas
comunicaes.
Soluo integrada. o DirectAccess integra-se totalmente s solues de NAP e de Isolamento de

Servidor e Domnio, resultando na integrao perfeita das polticas de requisitos de segurana, acesso
e integridade entre a intranet e os computadores remotos.
Componentes do DirectAccess
Para implantar e configurar o DirectAccess, a
organizao deve dar suporte aos seguintes
componentes da infraestrutura:
Servidor do DirectAccess
Clientes do DirectAccess
Servidor do local da rede
Recursos internos
Domnio do AD DS
Poltica de Grupo
PKI (opcional para a rede interna)
Servidor DNS
Servidor NAP
Servidor DirectAccess
O servidor do DirectAccess pode ser qualquer servidor do Windows Server 2012 associado a um domnio e
que aceita conexes de clientes do DirectAccess e estabelece comunicao com recursos de intranet. Esse
servidor fornece servios de autenticao para clientes do DirectAccess e funciona como um ponto de
extremidade do modo de tnel IPsec para trfego externo. A nova funo de servidor Acesso Remoto
permite administrao centralizada, configurao e monitoramento para DirectAccess e conectividade VPN.
Comparado com a implementao anterior no Windows Server 2008 R2, a nova instalao
baseada no Assistente do DirectAccess simplifica o gerenciamento do DirectAccess para organizaes
pequenas e mdias. O assistente faz isso removendo a necessidade de implantao completa da PKI e
o requisito de dois endereos IPv4 pblicos consecutivos para o adaptador fsico conectado Internet.
No Windows Server 2012, o assistente de instalao do DirectAccess detecta o estado de implementao
real do servidor do DirectAccess e seleciona a melhor implantao automaticamente. Isso oculta a
complexidade da configurao manual das tecnologias de transio IPv6 do administrador.
Clientes DirectAccess
Os clientes do DirectAccess podem ser qualquer computador associado ao domnio no qual o
Windows 8 Enterprise, o Windows 7 Enterprise ou o Windows 7 Ultimate esteja em execuo.
Observao: Com provisionamento fora do local, possvel associar um computador
cliente do Windows 8 Enterprise em um domnio sem conectar o computador cliente nos locais
internos.
O computador cliente do DirectAccess se conecta ao servidor do DirectAccess usando IPv6 e IPsec.

Se uma rede IPv6 nativa no estiver disponvel, o cliente estabelecer um tnel IPv6 via IPv4 usando 6to4
ou Teredo. Observe que o usurio no precisa estar conectado ao computador para que essa etapa seja
concluda.
Se um firewall ou servidor proxy impedir que o computador cliente que esteja usando 6to4 ou Teredo se
conecte ao servidor do DirectAccess, o computador cliente tentar se conectar automaticamente usando
o protocolo IP-HTTP, que usa uma conexo SSL para garantir a conectividade. O cliente tem acesso s
regras NRPT (Tabela de Polticas de Resoluo de Nomes) e de tnel de Segurana da Conexo.
Servidor do local da rede
7-43
Os clientes do DirectAccess usam o NLS (Servidor de Local de Rede) para determinar o respectivo local. Se
puder se conectar com HTTPS, o computador cliente ir pressupor que ele esteja na intranet e desabilitar
os componentes do DirectAccess. Se o NLS no puder ser contatado, o cliente supor que est na
Internet. O servidor NLS instalado com a funo Servidor Web.
Observao: A URL do NLS distribuda usando a GPO.
Recursos internos
possvel configurar qualquer aplicativo compatvel com IPv6 em execuo em servidores internos ou
computadores clientes para que estejam disponveis a clientes do DirectAccess. Para aplicativos e
servidores mais antigos, inclusive os que no se baseiam em sistemas operacionais Windows e no
tenham suporte a IPv6, o Windows Server 2012 agora inclui suporte nativo para traduo de protocolo
(NAT64) e gateway de resoluo de nomes (DNS64) converterem a comunicao de IPv6 do cliente do
DirectAccess em IPv4 para os servidores internos.
Observao: Assim como no passado, essa funcionalidade tambm pode ser obtida com
Microsoft Forefront Unified Access Gateway. Da mesma forma, assim como em verses
anteriores, esses servios de traduo no do suporte a sesses iniciadas por dispositivos
internos, e sim apenas solicitaes originadas em clientes do DirectAccess IPv6.
Domnio Active Directory
Voc deve implantar pelo menos um domnio do Active Directory, em execuo no nvel funcional de
domnio do Windows Server 2003 no mnimo. O DirectAccess do Windows Server 2012 fornece suporte a
vrios domnios integrados, que permite que computadores clientes de domnios diferentes acessem
recursos que possam estar localizados em domnios confiveis diferentes.
Poltica de Grupo
A Poltica de Grupo obrigatria para administrao e a implantao centralizadas das configuraes do

DirectAccess. O Assistente de Instalao do DirectAccess cria um conjunto de GPOs e configuraes para
clientes do DirectAccess, o servidor do DirectAccess e os servidores selecionados.
PKI
A implantao de PKI opcional para configurao e gerenciamento simplificados. O DirectAccess no

Windows Server 2012 permite que solicitaes de autenticao do cliente sejam enviadas por meio de um
servio de proxy Kerberos baseado em HTTPS em execuo no servidor do DirectAccess. Isso elimina a
necessidade do estabelecimento de um segundo tnel IPsec entre clientes e controladores de domnio. O
proxy Kerberos enviar solicitaes Kerberos para controladores de domnio em nome do cliente.
No entanto, para uma configurao completa do DirectAccess que permita a integrao NAP, a
autenticao de dois fatores e o encapsulamento forado, voc continua precisando implementar
certificados para autenticao para qualquer cliente que participe da comunicao do DirectAccess.
Servidor DNS
Ao usar ISATAP, voc deve usar pelo menos Windows Server 2008 R2, Windows Server 2008 Service Pack
2 (SP2) ou mais novo, ou ainda um servidor DNS no Microsoft que d suporte a trocas de mensagem
DNS via ISATAP.
Servidores NAP
NAP um componente opcional da soluo do DirectAccess que o permite fornecer a verificao de

conformidade e impor a poltica de segurana para clientes do DirectAccess pela Internet. O DirectAccess
no Windows Server 2012 oferece a possibilidade de configurar a verificao de integridade NAP
diretamente na interface do usurio de configurao, em vez de editar manualmente a GPO conforme
exigido com o DirectAccess no Windows Server 2008 R2.
O que a tabela de polticas de resoluo de nomes?

Para separar o trfego da Internet do trfego de
intranet no DirectAccess, o Windows Server 2012 e
o Windows 8 incluem a NRPT. NRPT um recurso
que permite que os servidores DNS sejam
definidos por namespace DNS, e no por
interface.
A NRPT armazena uma lista de regras. Cada regra
define um namespace DNS e definies de
configurao que descrevem o comportamento
do cliente DNS para esse namespace.
Quando um cliente do DirectAccess estiver na
Internet, cada solicitao de consulta de nome
comparada com as regras de namespace armazenadas na NRPT.
Se uma correspondncia for encontrada, a solicitao ser processada de acordo com as

configuraes na regra NRPT.
Se uma solicitao de consulta de nome no corresponder a um namespace listado na NRPT, a

solicitao ser enviada aos servidores DNS que estiverem configurados nas definies TCP/IP da
interface de rede especificada.
Essas definies DNS so configuradas de acordo com o local do cliente:
Para um computador cliente remoto, os servidores DNS normalmente so os servidores DNS

configurados pelo ISP.
Para um cliente do DirectAccess na intranet, os servidores DNS normalmente so os servidores DNS

de intranet configurados pelo DHCP.
Nomes de rtulo nico, por exemplo, http://internal, normalmente tm sufixos de pesquisa DNS
configurados acrescentados ao nome antes de serem verificados na NRPT.
Se nenhum sufixo de pesquisa DNS for configurado e o nome de rtulo nico no corresponder a
nenhuma outra entrada de nome de rtulo nico na NRPT, a solicitao ser enviada aos servidores DNS
especificados nas configuraes TCP/IP do cliente.
Namespaces por exemplo, internal.adatum.com so inseridos na NRPT, seguidos dos servidores DNS
para os quais as solicitaes que corresponderem ao namespace devem ser direcionadas. Se um endereo
IP for inserido para o servidor DNS, todas as solicitaes de DNS sero enviadas diretamente para o
servidor DNS pela conexo do DirectAccess; voc no precisa especificar uma segurana adicional para
essas configuraes. No entanto, se um nome for especificado para o servidor DNS (como
dns.adatum.com) na NRPT, o nome dever ser resolvvel publicamente quando o cliente consultar os
servidores DNS especificados nas respectivas configuraes TCP/IP.
A NRPT permite que os clientes do DirectAccess usem servidores DNS da intranet para resoluo de
nomes de recursos internos e DNS da Internet para resoluo de nomes de outros recursos. No so
necessrios servidores DNS dedicados para a resoluo de nomes. O DirectAccess foi projetado para
evitar a exposio do namespace da intranet Internet.
7-45
Alguns nomes precisam ser tratados de maneira diferente em relao resoluo de nomes; esses nomes
no devem ser resolvidos usando servidores DNS da intranet. Para garantir que esses nomes sejam
resolvidos com os servidores DNS especificados nas configuraes TCP/IP do cliente, voc deve adicionlos como isenes da NRPT.
A NRPT controlada pela Poltica de Grupo. Quando o computador configurado para usar a NRPT, o
mecanismo da resoluo de nomes usa o seguinte, na ordem:
O cache de nome local
O arquivo de hosts
NRPT
Em seguida, o mecanismo da resoluo de nomes finalmente envia a consulta para os servidores DNS
especificados nas configuraes de TCP/IP.
Como funciona o DirectAccess para clientes internos

Um NLS um servidor de rede interno que
hospeda uma URL baseada em HTTPS. Os clientes
do DirectAccess tentam acessar uma URL NLS para
determinar se esto localizados na intranet ou em
uma rede pblica. O servidor do DirectAccess
tambm pode ser o NLS. Em algumas
organizaes nas quais o DirectAccess seja um
servio crtico de negcios, o NLS deve estar
altamente disponvel. Normalmente, o servidor
Web no NLS no precisa ser informado apenas
para dar suporte a clientes do DirectAccess.
fundamental que o NLS esteja em cada local da

empresa, porque o comportamento do cliente do DirectAccess depende da resposta do NLS. Os locais de
filial podem exigir um NLS parte em cada local para garantir que o NLS continue acessvel mesmo
quando houver uma falha de link entre as filiais.
Como funciona o DirectAccess para clientes internos

O processo de conexo do DirectAccess ocorre automaticamente, sem exigir interveno do usurio.
Os clientes DirectAccess usam o seguinte processo para se conectar a recursos de intranet:
1.
O cliente do DirectAccess tenta resolver o FQDN (nome de domnio totalmente qualificado) da URL
do NLS. Como o FQDN da URL do NLS corresponde a uma regra de iseno na NRPT, o cliente do
DirectAccess envia a consulta DNS a um servidor DNS configurado localmente (baseado na intranet).
O servidor DNS baseado na intranet resolve o nome.
2.
O cliente do DirectAccess acessa a URL baseada em HTTPS do NLS, processo durante o qual ele
obtm o certificado do NLS.
3.
Com base no campo dos pontos de distribuio CRL do certificado NLS, o cliente do DirectAccess
verifica os arquivos de revogao CRL no ponto de distribuio da CRL para determinar se o
certificado NLS foi revogado.
4.
Com base em um cdigo de resposta HTTP 200 na resposta, o cliente do DirectAccess determina o
xito da URL do NLS (acesso bem-sucedido e verificao de autenticao e revogao de certificado).
O cliente do DirectAccess alternado para o perfil de firewall do domnio e ignora as polticas do
DirectAccess, alm de pressupor que ele esteja em rede interna at ocorrer a prxima alterao.
5.
O computador cliente do DirectAccess tenta localizar e entrar no domnio AD DS usando a conta do

computador.
Como o cliente no referencia mais nenhuma regra do DirectAccess no NRPT durante o restante da
sesso conectada, todas as consultas DNS so enviadas por servidores DNS configurados pela
interface (com base na intranet). Com a combinao da deteco do local de rede e do logon de
domnio do computador, o cliente do DirectAccess se configura para o acesso de intranet normal.
6.
Com base no logon bem-sucedido do computador no domnio, o cliente do DirectAccess atribui o

perfil do domnio (rede do firewall) rede conectada.
Por projeto, as regras de tnel da Segurana de Conexo do DirectAccess tm escopo para os perfis de
firewall pblico e privado, e elas so desabilitadas na lista de regras de segurana da conexo ativas.
O cliente do DirectAccess determinou com xito que ele est conectado respectiva intranet e no
usa configuraes do DirectAccess (regras NRPT ou de tnel da Segurana de Conexo). O cliente do
DirectAccess agora pode acessar recursos de intranet normalmente. Ele tambm pode acessar os recursos
da Internet por meios normais, como um servidor proxy.
Como o DirectAccess funciona para clientes externos

Ao ser iniciado, o cliente do DirectAccess tenta
alcanar o endereo da URL especificado para NLS
e pressupe que ele no esteja conectado
intranet porque no consegue se comunicar com
o NLS. Em vez disso, o cliente do DirectAccess
comea a usar a NRPT e as regras de segurana da
conexo. A NRPT tem regras baseadas no
DirectAccess para resoluo de nomes, e as regras
de segurana de conexo definem tneis IPsec do
DirectAccess para comunicao com recursos de
intranet. Os clientes do DirectAccess conectados
pela Internet usam as seguintes etapas de alto
nvel para se conectar a recursos da intranet:
O cliente do DirectAccess tenta acessar primeiro o NLS
Em seguida, o cliente tenta localizar um controlador de domnio.
Por fim, o cliente tenta acessar recursos de intranet e, em seguida, os recursos da Internet.
O cliente do DirectAccess tenta acessar o servidor do local da rede

O cliente do DirectAccess tenta acessar o NLS da seguinte forma:
7-47
1.
O cliente tenta resolver o FQDN da URL do NLS. Como o FQDN da URL do NLS corresponde a uma
regra de iseno na NRPT, o cliente do DirectAccess no envia a consulta DNS a um servidor DNS
configurado localmente (baseado na Internet). Um servidor DNS baseado na Internet externo no
seria capaz de resolver o nome.
2.
O cliente do DirectAccess processa a solicitao de resoluo de nomes conforme definido nas regras
de iseno do DirectAccess no NRPT.
3.
Como o NLS no est localizado na mesma rede na qual o cliente do DirectAccess est localizado
atualmente, o cliente do DirectAccess aplica um perfil de rede de firewall pblico ou privado rede
conectada.
4.
As regras de tnel da Segurana de Conexo para o DirectAccess, com escopo para os perfis pblico
e privado, fornecem o perfil de rede de firewall pblico ou privado.
O cliente do DirectAccess usa uma combinao de regras da NRPT e de segurana da conexo para
localizar e acessar os recursos de intranet pela Internet por meio do servidor do DirectAccess.
O cliente do DirectAccess tenta localizar um controlador de domnio
Depois determinar o local de rede, o cliente do DirectAccess tentar localizar e entrar em um controlador
de domnio. Esse processo cria um tnel IPsec ou de infraestrutura usando o modo de tnel IPsec e ESP
no servidor do DirectAccess. O processo o seguinte:
1.
O nome DNS para o controlador de domnio corresponde regra de namespace da intranet na NRPT,
que especifica o endereo IPv6 do servidor DNS da intranet. O servio do cliente DNS cria a consulta
de nome DNS endereada para o endereo IPv6 do servidor DNS de intranet e, em seguida, a
transfere para a pilha TCP/IP do cliente do DirectAccess para envio.
2.
Antes de enviar o pacote, a pilha TCP/IP verifica se h regras de sada no Firewall do Windows ou
regras de segurana da conexo para o pacote.
3.
Como o endereo IPv6 de destino na consulta de nome DNS corresponde a uma regra de segurana
da conexo que corresponde ao tnel de infraestrutura, o cliente do DirectAccess usa AuthIP
(Authenticated IP) e IPsec para negociar e autenticar um tnel IPsec criptografado para o servidor do
DirectAccess. O cliente do DirectAccess (o computador e o usurio) se autentica com o certificado de
computador instalado e as credenciais do Microsoft Windows NT LAN Manager (NTLM),
respectivamente.
Observao: AuthIP aprimora a autenticao em IPsec adicionando suporte autenticao

baseada no usurio com v5 Kerberos ou certificados SSL. AuthIP tambm d suporte
negociao do protocolo eficiente e ao uso de vrios conjuntos de credenciais para autenticao.
4.
O cliente do DirectAccess envia a consulta de nome DNS pelo tnel de infraestrutura IPsec para o
servidor do DirectAccess.
5.
O servidor do DirectAccess encaminha a consulta de nome DNS para o servidor DNS de intranet. A
resposta da consulta de nome DNS reenviada ao servidor do DirectAccess e, em seguida, pelo tnel
de infraestrutura IPsec ao cliente do DirectAccess.
O trfego de logon do domnio subsequente passa pelo tnel de infraestrutura IPsec. Quando o usurio no
cliente do DirectAccess faz logon, o trfego de logon do domnio passa pelo tnel de infraestrutura IPsec.
O cliente do DirectAccess tenta acessar recursos da Intranet
Na primeira vez em que o cliente do DirectAccess envia trfego para um local da intranet que no esteja
na lista de destinos do tnel de infraestrutura (como um site interno), ocorre o seguinte processo:
1.
O aplicativo ou o processo que est tentando se comunicar cria uma mensagem ou carga e, em
seguida, a transfere pilha TCP/IP para envio.
2.
3.
Como o endereo IPv6 de destino corresponde regra de segurana da conexo que corresponde ao
tnel da intranet (que especifica o espao de endereo IPv6 de toda a intranet), o cliente do
DirectAccess usa AuthIP ou IPsec para negociar e autenticar um tnel IPsec adicional para o servidor
do DirectAccess. O cliente DirectAccess autentica a si mesmo com o respectivo certificado do
computador instalado e as credenciais Kerberos da conta do usurio.
4.
O cliente DirectAccess envia o pacote pelo tnel da intranet para o servidor DirectAccess.
5.
O servidor do DirectAccess encaminha o pacote aos recursos de intranet. A resposta enviada de

volta ao servidor DirectAccess e pelo tnel da intranet para o cliente DirectAccess.
Qualquer trfego de acesso intranet subsequente no correspondente a um destino de intranet na regra

de segurana da conexo do tnel de infraestrutura passa pelo tnel da intranet.
O cliente DirectAccess tenta acessar recursos da Internet
Quando o usurio ou um processo no cliente do DirectAccess tenta acessar um recurso da Internet (como
um servidor Web da Internet), ocorre o seguinte processo:
1.
O servio de cliente do DNS passa o nome DNS para o recurso da Internet pela NRPT. No h
correspondncias. O servio de cliente do DNS cria a consulta de nome DNS endereada ao endereo
IP de um servidor DNS da Internet configurado pela interface e a transfere pilha TCP/IP para envio.
2.
3.
Como o endereo IP de destino na consulta de nome DNS no corresponde s regras de segurana

da conexo dos tneis para o servidor do DirectAccess, o cliente do DirectAccess envia a consulta de
nome DNS normalmente.
4.
O servidor DNS da Internet responde com o endereo IP do recurso da Internet.
5.
O aplicativo de usurio ou processo constri o primeiro pacote para enviar ao recurso da Internet.
6.
Como o endereo IP de destino na consulta de nome DNS no corresponde s regras de segurana

da conexo dos tneis para o servidor do DirectAccess, o cliente do DirectAccess envia o pacote
normalmente.
Qualquer recurso da Internet subsequente que no corresponda a um destino no tnel de infraestrutura

da Internet ou a regras de segurana da conexo enviado e recebido normalmente.
Assim como o processo de conexo, o acesso aos recursos do controlador de domnio e de intranet
tambm um processo bem parecido, porque ambos os processos esto usando tabelas NRPT para
localizar o servidor DNS apropriado a fim de resolver as consultas de nome. A diferena o tnel IPsec
estabelecido entre o cliente e o servidor do DirectAccess. Durante o acesso ao controlador de domnio,
todas as consultas DNS so enviadas pelo tnel de infraestrutura IPsec e, durante o acesso aos recursos de
intranet, um segundo tnel IPsec (intranet) estabelecido.
Pr-requisitos para implementao do DirectAccess

Requisitos do servidor do DirectAccess
Para implantar o DirectAccess, voc precisa
garantir que o servidor atenda os seguintes
requisitos de hardware e de rede:
7-49
O servidor deve estar associado a um domnio

do AD DS.
O servidor deve ter o sistema

operacional Windows Server 2012 ou
Windows Server 2008 R2 instalado.
O Windows Server 2012 que ser instalado

como o servidor do DirectAccess s pode ter um adaptador de rede instalado, conectado
intranet e publicado no TMG (Microsoft Forefront Threat Management Gateway) ou no UAG
(Microsoft Forefront Unified Access Gateway) 2010 para conexo com a Internet. No cenrio de
implantao no qual o DirectAccess instalado em um servidor de Borda, ele precisa ter dois
adaptadores de rede: um conectado rede interna e outro conectado a uma rede externa.
Um servidor de borda qualquer servidor que resida na borda entre duas ou mais redes,
normalmente uma rede privada e a Internet.
A implementao do DirectAccess no Windows Server 2012 no exige que dois endereos IPv4
pblicos estticos consecutivos sejam atribudos ao adaptador de rede.
possvel desconsiderar a necessidade de um endereo pblico adicional implantando o DirectAccess

do Windows Server 2012 atrs de um dispositivo NAT, com suporte a uma nica interface ou a vrias.
Nessa configurao, o IP-HTTPS (IP via HTTP) implantado, o que permite estabelecer um tnel IP
seguro usando uma conexo HTTP segura.
No servidor do DirectAccess, possvel instalar a funo Acesso Remoto para definir as configuraes
do servidor e dos clientes do DirectAccess, alm de monitorar o status do servidor do DirectAccess. O
Assistente de Acesso Remoto oferece a opo de configurar apenas o DirectAccess, somente VPN, ou
ambos os cenrios no mesmo servidor que est executando o Windows Server 2012. Isso no era
possvel na implantao do Windows Server 2008 R2 do DirectAccess.
Para suporte ao balanceamento de carga, o Windows Server 2012 tem a capacidade de usar o NLB
(at oito ns) para obter alta disponibilidade e escalabilidade para DirectAccess e RAS.
Requisitos do cliente do DirectAccess

Para implantar o DirectAccess, voc tambm precisa garantir que o computador cliente atenda a
determinados requisitos:
O computador cliente deve estar associado a um domnio do Active Directory.
Com o cenrio do novo DirectAccess 2012, possvel provisionar offline computadores clientes do
Windows 8 para associao ao domnio sem exigir que o computador esteja nos locais.
O computador cliente pode ser carregado com o Windows 8 Enterprise, o Windows 7 Enterprise, o
Windows 7 Ultimate, o Windows Server 2012 ou o Windows Server 2008 R2. No possvel implantar
o DirectAccess em clientes nos quais estejam em execuo Windows Vista, Windows Server 2008 ou
outras verses anteriores dos sistemas operacionais Windows.
Requisitos de infraestrutura
Estes so os requisitos de infraestrutura para implantar o DirectAccess:
AD DS. Voc deve implantar pelo menos um domnio do Active Directory. Grupos de trabalho no
so compatveis.
Poltica de Grupo. Voc precisa da Poltica de Grupo para administrao e implantao centralizadas
das configuraes de cliente do DirectAccess. O Assistente de Instalao do DirectAccess cria um
conjunto de GPOs e configuraes para clientes do DirectAccess, servidores do DirectAccess e
servidores de gerenciamento.
DNS e controlador de domnio. Voc deve ter pelo menos um controlador de domnio ao
menos um servidor DNS executando o Windows Server 2012, o Windows Server 2008 SP2 ou
o Windows Server 2008 R2.
PKI. Se s tiver computadores clientes do Windows 8, voc no precisar de uma PKI. Os computadores
clientes do Windows 7 exigem uma configurao mais complexa e, assim, exigem uma PKI.
Polticas IPsec. O DirectAccess utiliza polticas IPsec configuradas e administradas como parte do
Firewall do Windows com Segurana Avanada.
Trfego da solicitao de eco ICMPv6. Voc deve criar regras de entrada e sada separadas que
permitam mensagens de solicitao de eco ICMPv6. A regra de entrada obrigatria para permitir
mensagens de solicitao de eco ICMPv6 e deve ter como escopo todos os perfis. A regra de sada
para permitir mensagens de solicitao de eco ICMPv6 deve ter como escopo todos os perfis e s
ser obrigatria se o bloco de sada estiver ativado. Clientes do DirectAccess que usam Teredo na
conectividade IPv6 com a intranet usam a mensagem ICMPv6 ao estabelecerem a comunicao.
IPv6 e tecnologias de transio. IPv6 e as tecnologias de transio devem estar disponveis para serem
usadas no servidor do DirectAccess. Para cada servidor DNS em execuo no Windows Server 2008 ou
no Windows Server 2008 R2, voc precisa remover o nome ISATAP da lista de bloco da consulta global.
Configurao do DirectAccess
Para configurar o DirectAccess, realize as
seguintes etapas:
1.
2.
Configure o AD DS e os requisitos do DNS:

o
Crie um grupo de segurana no AD DS e

adicione todas as contas do computador
cliente que acessaro a intranet pelo
DirectAccess.
Configure servidores DNS internos e

externos com nomes de host apropriados
e endereos IP.
Configure o ambiente da PKI:

o
Adicione e configure a funo de servidor Autoridade de Certificao, crie o modelo de

certificado e o ponto de distribuio CRL, publique a lista CRL e distribua os certificados de
computador. Isso no ser necessrio se voc iniciar a configurao do Assistente do Guia de
Introduo.
3.
Configure o servidor do DirectAccess.
7-51
Instale o Windows Server 2012 em um computador servidor com um ou dois adaptadores de

rede fsicos (dependendo do cenrio de design do DirectAccess).
Associe o servidor do DirectAccess a um domnio do Active Directory.
Instale a funo Acesso Remoto e configure o servidor do DirectAccess de forma que ele seja um
dos seguintes:
O servidor do DirectAccess est na rede de permetro com um adaptador de rede conectado

rede de permetro e pelo menos um outro adaptador de rede conectado intranet. Nesse
cenrio de implantao, o servidor do DirectAccess colocado entre um firewall front-end e
back-end.
O servidor do DirectAccess publicado usando TMG, UAG ou outros firewalls de terceiros.

Nesse cenrio de implantao, o DirectAccess colocado atrs de um firewall front-end e
tem um adaptador de rede conectado rede interna.
O servidor do DirectAccess est instalado em um servidor de borda (normalmente firewall

front-end) com um adaptador de rede conectado Internet e pelo menos um outro
adaptador de rede conectado intranet.
Um design alternativo que o servidor do DirectAccess s tem uma interface de rede, no duas. Para
esse design, realize as seguintes etapas:
4.
Verifique se as portas e os protocolos necessrios ao DirectAccess e solicitao de eco ICMP so

habilitados nas excees de firewall e abertos no permetro e nos firewalls para a Internet.
O servidor do DirectAccess na implementao simplificada pode usar um nico endereo IP

pblico com servios de proxy Kerberos para autenticao em controladores de domnio. Para
autenticao de dois fatores e integrao com NAP, voc precisa configurar pelo menos dois
endereos IPv4 pblicos, estticos consecutivos resolvveis externamente por meio do DNS.
Verifique se voc tem um endereo IPv4 disponvel e se voc tem a capacidade de publicar esse
endereo no servidor DNS externamente.
Se tiver desabilitado o IPv6 em clientes e servidores, voc dever reabilitar o IPv6, porque ele
obrigatrio para o DirectAccess.
Instale um servidor Web no servidor do DirectAccess para permitir que clientes do DirectAccess
determinem se eles esto dentro ou fora da intranet. possvel instalar esse servidor Web em um
servidor interno parte para determinar o local da rede.
Com base no cenrio de implantao, voc precisa designar um dos adaptadores de rede do
servidor como a interface para Internet (na implantao com dois adaptadores de rede) ou
publicar o servidor do DirectAccess implantado atrs da NAT para acesso Internet.
No servidor do DirectAccess, verifique se a interface para Internet est configurada para uma
interface Pblica ou Privada, dependendo do design da rede. Configure as interfaces de intranet
como interfaces de domnio. Se voc tiver mais de duas interfaces, verifique se no h mais de
dois tipos de classificao selecionados.
Configure os clientes do DirectAccess e teste o acesso intranet e Internet.

o
Verifique se a poltica de grupo do DirectAccess foi aplicada e se certificados foram distribudos a

computadores clientes:
Teste se voc possvel se conectar ao servidor do DirectAccess em uma intranet.
Teste se voc possvel se conectar ao servidor do DirectAccess na Internet.

Cenrio
Como A. Datum Corporation se expandiu, muitos dos funcionrios agora costumam estar fora do
escritrio, trabalhando de casa ou viajando. A. Datum Corporation deseja implementar uma soluo de
acesso remoto para os funcionrios de forma que eles possam se conectar rede corporativa quando
estiverem fora do escritrio. Embora a soluo VPN implementada fornea um nvel elevado de
segurana, a gerncia comercial se preocupa com a complexidade do ambiente pelos usurios finais.
Alm disso, o gerenciamento de IT se preocupa com a possibilidade de no conseguirem gerenciar os
clientes remotos de maneira efetiva. Para abordar esses problemas, A. Datum optou por implementar o
DirectAccess em computadores cliente que esto executando o Windows 8.
Como um administrador de rede snior, voc deve implantar e validar a implantao do DirectAccess.
Voc ir configurar o ambiente do DirectAccess e validar que os computadores clientes consigam se
conectar rede interna ao operarem remotamente.
Objetivos
Configurar a infraestrutura do servidor para implantar o DirectAccess.
Configurar os clientes do DirectAccess.
Validar a implementao do DirectAccess.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-RTR
24411B-LON-CL1
Nome de usurio
Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.

o
Senha: Pa$$w0rd
5.
Realize as etapas de 2 a 4 para 24411B-LON-SVR1 e 24411B-LON-RTR.
6.
No inicie 24411B-LON-CL1 at receber a orientao para isso.
Exerccio 1: Configurao da infraestrutura de DirectAccess

Cenrio
7-53
Voc optou por implementar o DirectAccess como uma soluo para computadores clientes remotos que
no consigam se conectar por VPN. Alm disso, voc deseja abordar problemas de gerenciamento, como
aplicativo de GPO para computadores cliente remotos. Para essa finalidade, voc ir configurar os
componentes de pr-requisito do DirectAccess e o servidor do DirectAccess.
1.
Configurar AD DS (Active Directory Domain Services) e DNS
2.
Configurar certificados
3.
Configurar recursos internos
4.
Configurar o servidor DirectAccess
Tarefa 1: Configurar AD DS (Active Directory Domain Services) e DNS

1.
2.
Crie um grupo de segurana para computadores clientes do DirectAccess realizando as seguintes

etapas:
a.
b.
Abra o console dos Usurios e Computadores do Active Directory e crie uma UO (Unidade
Organizacional) chamada DA_Clients OU.
c.
Dentro dessa UO, crie um grupo Segurana Global chamado DA_Clients.
d.
Modifique a associao do grupo DA_Clients para incluir LON-CL1.
e.
Configure regras de firewall para o trfego ICMPv6 realizando as seguintes etapas:

a.
Abra o Console de Gerenciamento de Poltica de Grupo e Default Domain Policy.
b.
No Editor de Gerenciamento de Poltica de Grupo, navegue at Configurao do Computador

\Polticas\Configuraes do Windows\Configuraes de segurana\Firewall do Windows
com Segurana Avanada\Firewall do Windows com Segurana Avanada.
c.
Crie uma nova regra de entrada com as seguintes configuraes:
d.
e.
Tipo de regra: Personalizado
Tipo de protocolo: ICMPv6
Tipos especficos de ICMP: Solicitao de eco
Nome: Solicitaes de eco ICMPv6 de entrada
Crie uma nova regra de sada com as seguintes configuraes:
Tipo de regra: Personalizado
Tipo de protocolo: ICMPv6
Ao: Permitir a conexo
Nome: Solicitaes de eco ICMPv6 de sada
Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica

de Grupo.
3.
Crie registros DNS obrigatrios realizando as seguintes etapas:

Abra o console do Gerenciador DNS e crie os novos registros de host com as seguintes
configuraes:
a.
Nome: nls
Endereo IP: 172.16.0.21
Nome: crl
Endereo IP: 172.16.0.1
b.
4.
Feche o console Gerenciador DNS.
Remova ISATAP da lista global de consultas no autorizadas DNS realizando as seguintes etapas:
a.
Abra uma janela do prompt de comando, digite o seguinte comando e pressione Enter:
dnscmd /config /globalqueryblocklist wpad
5.
6.
b.
Verifique se a mensagem O comando foi concludo com xito exibida.
c.
Feche a janela do prompt de comando.
Alterne para LON-RTR e configure o sufixo DNS realizando as seguintes etapas:

a.
Na caixa de dilogo Propriedades da Conexo Local, na caixa de dilogo Protocolo TCP/IP

Verso, adicione o sufixo DNS Adatum.com.
b.
Feche a caixa de dilogo Propriedades da Conexo Local.
Configure as propriedades da Conexo Local 2 da seguinte forma:

Altere a configurao Conexo Local 2\ Protocolo TCP/IP Verso 4 (TCP/IPv4) usando as
seguintes definies de configurao:
a.
Endereo IP: 131.107.0.2
Mscara de sub-rede: 255.255.0.0
Tarefa 2: Configurar certificados

1.
Defina as configuraes de distribuio CRL realizando as seguintes etapas:

a.
Alterne para LON-DC1 e abra o console Autoridade de Certificao.
b.
Configure a autoridade de certificao Adatum-LON-DC1-CA com as seguintes configuraes

de extenso:
Adicionar Local: http://crl.adatum.com/crld/
Varivel: CAName, CRLNameSuffix, DeltaCRLAllowed
Local: .crl
Selecione os seguintes:
Incluir em listas de certificados revogados. Usado para encontrar listas delta
Incluir na extenso CDP de certificados emitidos
No reinicie Servios de Certificados.
Adicionar Local: \\LON-RTR\crldist$\
Varivel: CaName, CRLNameSuffix, DeltaCRLAllowed
Local: .crl
2.
Incluir em listas de certificados revogados. Usado para encontrar listas delta
Incluir na extenso CDP de certificados emitidos
c.
Reinicie Servios de Certificados.
d.
Feche o console Autoridade de Certificao.
Para duplicar o modelo de certificado Web e configurar a permisso apropriada realizando as

seguintes etapas:
Nome de exibio do modelo: Certificado do Servidor Web Adatum
Tratamento de Solicitao: Permitir que a chave privada seja exportada
Permisses Usurios Autenticados: em Permitir, clique em Registrar
b.
Feche o Console Modelos de Certificados.
c.
No console Autoridade de Certificao, opte por emitir um Novo Modelo de Certificado e

selecione o modelo Certificado do Servidor Web Adatum.
d.
e.
Configure o registro automtico do certificado de computador realizando as seguintes etapas:

a.
b.
No Console de Gerenciamento de Poltica de Grupo, navegue at Floresta:

Adatum.com\Domains\Adatum.com.
c.
Edite a Default Domain Policy.
d.
N Editor de Gerenciamento de Poltica de Grupo, navegue at Configurao do Computador

\Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas de chave pblica.
e.
Em Configuraes de solicitao automtica de certificado, configure Solicitao de

Certificado Automtica para emitir o certificado Computador.
f.

de Grupo.
Tarefa 3: Configurar recursos internos

1.
7-55
No console Modelos de Certificado, no painel de contedo, duplique o modelo Servidor Web

usando as seguintes opes:
a.
3.
Selecione os seguintes:
Solicite um certificado para LON-SVR1 realizando as seguintes etapas:

a.
Em LON-SVR1, abra um prompt de comando, digite o seguinte comando e pressione Enter:

gpupdate /force
b.
No prompt de comando, digite o seguinte comando e pressione Enter:

mmc
2.
Adicione o snap-in Certificados para Computador local.
3.
Na rvore de console do snap-in Certificados, navegue at Certificados (computador local)

\Pessoal\Certificados e solicite um novo certificado.
4.
Em Registro de Certificado, selecione Certificado do Servidor Web Adatum com a seguinte

configurao:
o
Nome do assunto: Em Nome comum, digite nls.adatum.com
5.
No painel de detalhes do snap-in Certificados, verifique se um novo certificado com o nome

nls.adatum.com foi registrado com Finalidades de Autenticao do Servidor.
6.
Feche a janela do console. Quando for solicitado que voc salve as configuraes, clique em No.
7.
Para alterar as associaes HTTP, realize as seguintes etapas:

a.
Abra o Gerenciador do Servios de Informaes da Internet (IIS).
b.
No console Gerenciador do Servios de Informaes da Internet (IIS), navegue at e clique no

Default Web Site.
c.
Configurar Ligaes do Site selecionando nls.adatum.com para Certificado SSL.
d.
Feche o console do Gerenciador dos Servios de Informaes da Internet (IIS).
Tarefa 4: Configurar o servidor DirectAccess

1.
Obtenha certificados obrigatrios para LON-RTR realizando as seguintes etapas:

a.
Alterne para LON-RTR.
b.
Abra um prompt de comando e atualize a poltica de grupo digitando o seguinte comando:

gpupdate /force
a.
Abra o Console de Gerenciamento Microsoft digitando mmc em um prompt de comando.
c.
Adicione o snap-in Certificados para Computador local.
d.
No snap-in Certificados, no Console de Gerenciamento Microsoft, solicite um novo certificado

com as seguintes configuraes:
a.
2.
3.
Modelo de certificado: Certificado do Servidor Web Adatum
Nome comum: 131.107.0.2
Nome amigvel: Certificado IP-HTTPS
Feche o Console de Gerenciamento Microsoft.
Crie ponto de distribuio CRL em LON-RTR realizando as seguintes etapas:

a.
Alterne para Gerenciador do Servidor.
b.
N Gerenciador do Servios de Informaes da Internet (IIS), crie um novo diretrio virtual

chamado CRLD e atribua c:\crldist como um diretrio base.
c.
Habilite a navegao no diretrio que permite o recurso de sada dupla.
Compartilhe e proteja o ponto de distribuio CRL realizando a seguinte etapa:
Observao
distribuio CRL.
o
Voc realiza essa etapa para atribuir permisses ao ponto de
No painel de detalhes do Explorador de Arquivos, clique com o boto direito do mouse na pasta
CRLDist, clique em Propriedades e conceda as permisses Compartilhamento de Controle
Total e NTFS.
4.
Publique a CRL em LON-RTR realizando as seguintes etapas:
Observao: Essa etapa disponibiliza a CRL no servidor de borda para clientes

DirectAccess baseados na Internet.
5.
a.
b.
Inicie o console Autoridade de Certificao.
c.
Na rvore de console, abra Adatum-LON-DC1-CA, clique com o boto direito do mouse em

Certificados Revogados, aponte para Todas as tarefas e clique em Publicar.
7-57
Conclua o Assistente de Configurao do DirectAccess em LON-RTR realizando as seguintes etapas:

a.
Em LON-RTR, abra o Gerenciador do Servidor.
b.
No Gerenciador do Servidor, em Ferramentas, selecione Roteamento e Acesso Remoto.
c.
Em Roteamento e Acesso Remoto, desabilite a configurao existente e feche o console.
d.
No console Gerenciador do Servidor, inicie o console Gerenciamento Remoto, clique em

Configurao e inicie o Assistente para Habilitar o DirectAccess.
Observao: Se voc vir um erro neste momento, reinicie LON-RTR, entre como
ADATUM\Administrador e reinicie a partir de c).
e.
Conclua o assistente com as seguintes configuraes:
Topologia de rede: Borda est selecionada
131.107.0.2 usado por clientes para se conectar ao servidor Acesso Remoto.
f.
No console Gerenciamento de Acesso Remoto, em Etapa 1, clique em Editar.
g.
Adicione o grupo DA_Clients.
h.
Desmarque a caixa de seleo Habilitar o DirectAccess apenas para computadores mveis.
i.
Remova o grupo Computadores do domnio.
j.
No painel de detalhes do console Gerenciamento de Acesso Remoto, em Etapa 2, clique em

Editar.
k.
Na pgina Topologia de Rede, verifique se Borda est selecionada e digite 131.107.0.2.
l.
Na pgina Adaptadores de Rede, verifique se CN=131.107.0.2 usado como um certificado

para autenticar a conexo IP-HTTPS.
m. Na pgina Autenticao, clique em Usar certificados de computador, em Procurar e em

Adatum Lon-Dc1 CA.
n.
Na pgina Configurao de VPN, clique em Concluir.
No painel de detalhes do console Gerenciamento de Acesso Remoto, em Etapa 3, clique em

Editar.
o.
Na pgina Servidor de Local de Rede, clique em O servidor do local de rede implantado

em um servidor web remoto (recomendado) e na URL do NLS, digite
https://nls.adatum.com, e clique em Validar.
6.
p.
Verifique se a URL validada.
q.
Na pgina DNS, examine os valores e clique em Prximo.
r.
Na Lista de Pesquisa de Sufixos DNS, clique em Prximo.
s.
Na pgina Gerenciamento, clique em Concluir.
t.
No painel de detalhes do console Gerenciamento de Acesso Remoto, revise a configurao da

Etapa 4.
u.
Em Avaliao do Acesso Remoto, clique em Aplicar.
v.
Em Aplicando Configuraes do Assistente de Configurao de Acesso Remoto, clique em

Fechar.
Atualize as configuraes da Poltica de Grupo em LON-RTR realizando a seguinte etapa:

o
Abra o prompt de comando e digite os seguintes comandos pressionando Enter depois de cada
linha:
gpupdate /force
Ipconfig
Observao: Verifique se LON-RTR tem um endereo IPv6 para o adaptador de Tnel

IPHTTPSInterface a partir de 2002.
Resultados: Depois de concluir esse exerccio, voc ter configurado a infraestrutura do DirectAccess.
Exerccio 2: Configurao dos clientes de DirectAccess

Cenrio
Depois de ter configurado o servidor do DirectAccess e a infraestrutura obrigatria, voc dever

configurar clientes do DirectAccess. Voc opta por usar a Poltica de Grupo para aplicar as configuraes
do DirectAccess aos clientes e para a distribuio de certificados.
1.
Definir configuraes da Poltica de Grupo DirectAccess
2.
Verificar a distribuio de certificado do computador cliente
3.
Verificar a conectividade interna com recursos
Tarefa 1: Definir configuraes da Poltica de Grupo DirectAccess

1.
Inicie LON-CL1 e entre como ADATUM\Administrador com a senha Pa$$w0rd. Abra uma janela do
prompt de comando e digite os seguintes comandos pressionando Enter ao final de cada linha:
gpupdate /force
gpresult /R
2.
Verifique se a GPO Configuraes do Cliente do DirectAccess exibida na lista dos objetos de

poltica aplicada para as configuraes do computador.
Tarefa 2: Verificar a distribuio de certificado do computador cliente

1.
Em LON-CL1, abra o MMC Certificados.
2.
Verifique se um certificado com o nome LON-CL1.adatum.com exibido como Finalidades de

Autenticao do Cliente e Autenticao do Servidor.
3.
Feche a janela do console sem salv-la.
Tarefa 3: Verificar a conectividade interna com recursos
7-59
1.
Em LON-CL1, abra um Windows Internet Explorer na rea de Trabalho e, na barra de endereos,

digite http://lon-svr1.adatum.com/. A pgina da Web do IIS 8 padro para LON-SVR1 exibida.
2.
No Internet Explorer, v at https://nls.adatum.com/. A pgina da Web do IIS 8 padro

para LON-SVR1 exibida.
3.
Abra uma janela do Explorador de Arquivos e, na barra de endereos, digite \\Lon-SVR1\Files e

pressione Enter. Uma janela com o contedo da pasta compartilhada Arquivos ser exibida.
4.
Resultados: Depois de concluir esse exerccio, voc ter configurado os clientes do DirectAccess.
Exerccio 3: Verificao da configurao do DirectAccess

Cenrio
Quando a configurao do cliente for concluda, ser importante verificar se o DirectAccess funciona.
Voc faz isso movendo o cliente do DirectAccess para a Internet e tentando acessar recursos internos.
1.
Mover o computador cliente para a rede virtual da Internet
2.
Verificar a conectividade com o servidor do DirectAccess
2.
Verificar a conectividade com os recursos de rede internos
3.
Tarefa 1: Mover o computador cliente para a rede virtual da Internet

1.
2.
Altere a configurao do adaptador de rede para as seguintes configuraes:

o
Endereo IP: 131.107.0.10
Gateway padro: 131.107.0.2
3.
Desabilite e reabilite o adaptador de Rede Local.
4.
Feche a janela Conexes de Rede.
5.
No host, no Gerenciador do Hyper-V, clique com o boto direito do mouse em 24411B-LON-CL1 e

clique em Configuraes. Altere o Adaptador de Rede Herdado para que esteja na Rede Particular
2 e clique em OK.
Tarefa 2: Verificar a conectividade com o servidor do DirectAccess

1.
Em LON-CL1, abra um prompt de comando e digite o seguinte comando:

ipconfig
2.
Observe que o endereo IP retornado comea com 2002. Esse o endereo IP-HTTPS.
3.

Netsh name show effectivepolicy
4.

powershell
5.
Na interface da linha de comando do Windows PowerShell, digite o seguinte comando e pressione

Enter:
Get-DAClientExperienceConfiguration
Observao: Observe as configuraes de cliente do DirectAccess.
Tarefa 3: Verificar a conectividade com os recursos de rede internos

1.
Alterne para Internet Explorer e v at http://lon-svr1.adatum.com/. Voc dever ver a pgina da

Web padro do IIS 8 para LON-SVR1.
2.
Abra o Explorador de Arquivos, na barra de endereos, digite \\LON-SVR1\Files e pressione Enter.
3.
Uma janela de pasta com o contedo da pasta compartilhada Arquivos deve ser exibida.
4.
Em um prompt de comando, digite o seguinte comando e pressione Enter:

ping lon-dc1.adatum.com
5.
Verifique se voc est recebendo respostas de lon-dc1.adatum.com.
6.

gpupdate /force
7.
8.
9.
Inicie o console Gerenciamento de Acesso Remoto e revise as informaes em Status de Cliente

Remoto.
Observao: Observe que LON-CL1 conectado via IP-HTTPS. No painel Detalhes da Conexo,
no canto inferior direito da tela, observe o uso de Kerberos para a Mquina e o Usurio.
10. Feche todas as janelas abertas.
Tarefa 4: Para se preparar para o prximo mdulo
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial.
Resultados: Depois de concluir esse exerccio, voc ter verificado a configurao do DirectAccess.

Ferramentas
Ferramenta
Use para
Onde encontrar
7-61
Services.msc
Gerenciar servios do Windows
Ferramentas Administrativas
Inicie-a em Executar
Gpedit.msc
Editar a Poltica de Grupo local
Mmc.exe
Criao e gerenciamento do Console de

Gerenciamento Microsoft
Gpupdate.exe
Gerenciamento da Poltica de Grupo
Executar uma linha de comando

8-1
Mdulo 8
Instalao, configurao e soluo de problemas da funo

Servidor de Polticas de Rede
Contedo:
Viso geral do mdulo
8-1
Lio 1: Instalao e configurao de um Servidor de Polticas de Rede
8-2
Lio 2: Configurao de clientes e servidores RADIUS
8-7
Lio 3: Mtodos de autenticao do NPS
8-14
Lio 4: Monitoramento e soluo de problemas de um Servidor

de Polticas de Rede
8-24
Laboratrio: Instalao e configurao de um Servidor de Polticas

de Rede
8-30
8-34
Viso geral do mdulo
A funo NPS (Servidor de Poltica de Rede) no Windows Server 2012 fornece suporte para o protocolo
RADIUS e pode ser configurada como um servidor ou proxy RADIUS. Alm disso, o NPS fornece
funcionalidade essencial implementao da NAP (Proteo de Acesso Rede). Para oferecer suporte a
clientes remotos e implementar a NAP, importante saber como instalar e configurar o NPS, bem como
solucionar problemas relacionados.
Objetivos
Instalar e configurar o NPS.
Configurar clientes e servidores RADIUS.
Explicar os mtodos de autenticao do NPS.
Monitorar e solucionar problemas do NPS.
Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Lio 1
Instalao e configurao de um Servidor de Polticas

de Rede
8-2
O NPS implementado como uma funo de servidor no Windows Server 2012. Durante a instalao da
funo NPS, voc deve decidir se deseja usar o NPS como um servidor RADIUS, um proxy RADIUS ou um
servidor de poltica NAP. Depois da instalao, voc pode configurar a funo NPS usando vrias
ferramentas. Voc deve entender como instalar e configurar a funo NPS para oferecer suporte sua
infraestrutura RADIUS.
Objetivos da lio
Descreva o servio da funo NPS.
Explicar como instalar o NPS.
Descrever as ferramentas usadas para configurar um NPS.
Explicar como definir configuraes gerais do NPS.
O que um Servidor de Polticas de Rede?

O NPS permite criar e impor polticas de acesso
rede em nvel organizacional, para fins de
integridade do cliente, autenticao e autorizao
de solicitao de conexo. Voc tambm pode
usar o NPS como um proxy RADIUS para
encaminhar solicitaes de conexo para o NPS
ou para outros servidores RADIUS configurados
em grupos de servidores RADIUS remotos.
Voc pode usar o NPS para configurar e gerenciar
de modo centralizado a autenticao de acesso
rede, a autorizao e as polticas de integridade de
cliente usando qualquer combinao das trs
funes a seguir:
Servidor RADIUS
Proxy RADIUS
Servidor de poltica NAP
Servidor RADIUS
8-3
O NPS realiza a autenticao, a autorizao e a contabilizao de conexes centralizadas para conexes

sem fio, de comutao de autenticao, bem como dial-up e VPN (rede virtual privada). Ao usar o NPS
como um servidor RADIUS, configure os servidores de acesso rede, como pontos de acesso sem fio e
servidores VPN, como clientes RADIUS no NPS. Configure tambm as polticas de rede que o NPS utiliza
para autorizar as solicitaes de conexo, de modo que seja possvel configurar a contabilizao RADIUS
para que o NPS registre as informaes de contabilizao em arquivos de log no disco rgido local ou em
um banco de dados Microsoft SQL Server.
O NPS a implementao Microsoft de um servidor RADIUS. O NPS permite o uso de um conjunto
heterogneo de equipamento sem fio, de comutao, de acesso remoto ou de VPN. Voc pode usar o
NPS com o servio Roteamento e Acesso Remoto, que est disponvel no Windows 2000 e nas verses
mais recentes do Windows Server.
Quando um servidor NPS for membro de um domnio AD DS (Servios de Domnio Active Directory), o NPS
usar o AD DS como seu banco de dados de conta de usurio e fornecer SSO (logon nico), o que significa
que os usurios utilizam o mesmo conjunto de credenciais para controle de acesso rede (autenticando e
autorizando acesso a uma rede), da mesma forma que acessam recursos no domnio AD DS.
Organizaes que mantm o acesso rede, como ISPs (provedores de servio de Internet), tm o desafio
de gerenciar vrios mtodos de acesso rede em um nico ponto de administrao, independentemente
do tipo de equipamento de acesso rede que eles utilizam. O padro RADIUS d suporte a este requisito.
RADIUS um protocolo de plataforma cliente-servidor que permite que os equipamentos de acesso
rede, usados como clientes RADIUS, enviem solicitaes de autenticao e contabilizao para um
servidor RADIUS.
Um servidor RADIUS tem acesso s informaes da conta do usurio e pode verificar as credenciais de
autenticao do acesso rede. Se as credenciais do usurio forem autnticas e o RADIUS autorizar a
tentativa de conexo, o servidor RADIUS autorizar o acesso do usurio de acordo com as condies
configuradas e registrar a conexo de acesso rede em um log de contabilizao. O uso do RADIUS
permite coletar e manter os dados da autenticao do usurio, da autorizao e da contabilizao de
acesso rede em um local central, e no em cada servidor de acesso.
Proxy RADIUS
quando o NPS for utilizado como um proxy RADIUS, configure polticas de solicitao de conexo que
indiquem quais solicitaes de conexo o servidor NPS encaminhar para outros servidores RADIUS e os
servidores RADIUS para os quais essas solicitaes sero encaminhadas. Voc tambm pode configurar o
NPS para encaminhar dados de contabilizao para registro em log por um ou mais computadores em
um grupo de servidores RADIUS remotos.
Com o NPS, sua organizao tambm pode terceirizar a infraestrutura de acesso remoto para um
provedor de servios, e ainda manter o controle sobre a autenticao do usurio, a autorizao e a
contabilizao.
Voc pode criar diferentes configuraes NPS para as seguintes solues:
Acesso sem fio
Acesso remoto rede dial-up ou VPN da organizao
Acesso terceirizado rede dial-up ou sem fio
Acesso Internet
Acesso autenticado aos recursos da extranet de parceiros de negcio
Servidor de poltica NAP
8-4
Quando voc configura o NPS como um servidor de polticas NAP, o NPS avalia as declaraes de
integridade (SoHs) enviadas pelos computadores cliente compatveis com NAP que tentam se conectar
rede. O NPS tambm atua como um servidor RADIUS quando configurado com a NAP, realizando a
autenticao e autorizao de solicitaes de conexo. possvel definir polticas e configuraes NAP no
NPS, inclusive SHVs (validadores da integridade do sistema), poltica de integridade e grupos de
servidores de atualizaes que permitem que os computadores cliente atualizem as respectivas
configuraes, de modo a se tornarem compatveis com a poltica de rede de sua organizao.
O Windows 8 e o Windows Server 2012 incluem a NAP, o que ajuda a proteger o acesso s redes
privadas, garantindo que os computadores cliente sejam configurados de acordo com as polticas de
integridade da rede da organizao para que possam se conectar aos recursos da rede. Alm disso, a NAP
monitora a conformidade dos computadores cliente com a poltica de integridade definida pelo
administrador, enquanto o computador estiver conectado rede. O recurso de correo automtica da
NAP permite verificar se computadores incompatveis so atualizados automaticamente, tornando-os
compatveis com a poltica de integridade para que obtenham xito na conexo com a rede.
Os administradores de sistema definem as polticas de integridade da rede e geram essas polticas usando
componentes da NAP fornecidos pelo NPS, de acordo com a implantao da NAP, ou fornecidos por terceiros.
As polticas de integridade podem conter requisitos de software, de atualizao de segurana e as
definies das configuraes necessrias. Para impor as polticas de integridade, a NAP inspeciona e avalia
a integridade dos computadores cliente, restringe o acesso rede quando os computadores cliente so
considerados problemticos e os corrige para que obtenham o acesso total rede.
Demonstrao: Instalao da funo de Servidor de Poltica de Rede

Instalar a funo NPS.
Registrar o NPS no AD DS.
Instalar a funo NPS
1.
2.
Abra o Gerenciador do Servidor e adicione a funo Servios de Acesso e Poltica de Rede.
3.
Registrar o NPS no AD DS
1.
2.
3.
Ferramentas para configurar um Servidor de Polticas de Rede

Aps instalar a funo Servidor de Polticas de
Rede, voc pode abrir a ferramenta administrativa
NPS no menu Ferramentas Administrativas ou
adicionar o snap-in para criar uma ferramenta
personalizada MMC (Console de Gerenciamento
Microsoft). Voc tambm pode usar os comandos
netsh para gerenciar e configurar a funo NPS.
Estas ferramentas permitem que voc gerencie a
funo de servidor Servios de Acesso e Poltica de
Rede:
8-5
Snap-in do MMC do NPS. Use o MMC do NPS

para configurar um servidor RADIUS, um
proxy RADIUS ou uma tecnologia NAP.
Comandos netsh para NPS. Os comandos netsh para NPS consistem em um conjunto de comandos
que o equivalente completo de todas as definies de configurao disponveis por meio do snapin NPS MMC. Voc pode executar os comandos netsh manualmente no prompt do netsh ou nos
scripts do administrador.
Um exemplo do uso do netsh que, aps instalar e configurar o NPS, possvel salvar a
configurao, emitindo o comando netsh nps show config > path\file.txt. Salve a configurao
NPS com esse comando toda vez que fizer uma alterao.
Windows PowerShell. Voc tambm pode usar os cmdlets do Windows PowerShell para configurar e
gerenciar um Servidor de Polticas de Rede.
Por exemplo, para exportar a configurao NPS, voc pode usar o cmdlet Export-NpsConfiguration
-Path <nome de arquivo>.
Demonstrao: Definindo configuraes gerais do NPS

Configurar um servidor RADIUS para conexes VPN.
Salvar a configurao.
Configurar um servidor RADIUS para conexes VPN
1.
No console Servidor de Polticas de Rede, inicie o Assistente para Configurar VPN ou Dial-Up.
2.
Adicione LON-RTR como um cliente RADIUS.
3.
Use um segredo compartilhado de Pa$$word para autenticao entre o cliente RADIUS e o

servidor NPS.
4.
Selecione Autenticao Criptografada da Microsoft verso 2 (MS-CHAP-v2) para autenticao.
Salvar a configurao
1.
Abra o Windows PowerShell.
2.
Use o comando Export-NpsConfiguration -Path lon-dc1.xml para salvar a configurao.
3.
Examine esta configurao com o bloco de notas.
8-6
Lio 2
Configurao de clientes e servidores RADIUS
8-7
RADIUS um protocolo de autenticao padro do setor usado por muitos fornecedores para oferecer
suporte troca de informaes de autenticao entre elementos de uma soluo de acesso remoto. Para
centralizar as necessidades da autenticao remota de sua organizao, voc pode configurar NPS como
um servidor RADIUS ou um proxy RADIUS. Ao configurar clientes e servidores RADIUS, voc deve
considerar vrios fatores, como os servidores RADIUS que autenticaro solicitaes de conexo de clientes
RADIUS e as portas que o trfego RADIUS usar.
Objetivos da lio
Descrever um cliente RADIUS.
Descrever um proxy RADIUS.
Explicar como configurar um cliente RADIUS.
Descrever o uso de uma poltica de solicitao de conexo.
Descrever e configurar o processamento de solicitao de conexo para um ambiente de proxy

RADIUS.
Explicar como criar uma nova poltica de solicitao de conexo.
O que um cliente RADIUS?
um NAS (servidor de acesso rede) um

dispositivo que fornece nveis de acesso a uma
rede maior. Um NAS que usa uma infraestrutura
RADIUS tambm um cliente RADIUS, que origina
solicitaes de conexo e mensagens de
contabilizao para um servidor RADIUS para
autenticao, autorizao e contabilizao. Os
computadores cliente, como laptops sem fio e
outros computadores que executam sistemas
operacionais cliente, no so clientes RADIUS. Os
clientes RADIUS so servidores de acesso rede
incluindo pontos de acesso sem fio, comutadores
de autenticao 802.1X, servidores VPN e servidores de rede dial-up uma vez que utilizam o protocolo
RADIUS para se comunicar com os servidores RADIUS, como os servidores NPS.
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor de polticas NAP,
configure os clientes RADIUS no NPS.
Exemplos de clientes RADIUS

Exemplos de servidores de acesso rede:
8-8
Servidores de acesso rede que oferecem conectividade de acesso remoto rede de uma
organizao ou Internet, como um computador que est executando com o sistema operacional
Windows Server 2012 e o servio Roteamento e Acesso Remoto, que fornece servios tradicionais de
rede dial-up ou de acesso remoto VPN para a intranet de uma organizao.
Pontos de acesso sem fio que fornecem acesso camada fsica da rede de uma organizao usando
tecnologias de transmisso e recepo baseadas no padro sem fio.
Switches que fornecem acesso camada fsica da rede de uma organizao usando tecnologias
tradicionais de LAN (rede local), como a Ethernet.
Proxies RADIUS baseados no NPS que encaminham solicitaes de conexo para servidores RADIUS
que pertencem a um grupo de servidores remotos RADIUS configurado no proxy RADIUS ou em
outros proxies RADIUS.
O que um proxy RADIUS?

Voc pode usar o NPS como um proxy RADIUS
para rotear mensagens do RADIUS entre clientes
RADIUS (servidores de acesso rede) e servidores
RADIUS que executam a autenticao, a
autorizao e a contabilizao de usurio na
tentativa de conexo.
Quando voc usa o NPS como um proxy RADIUS,
o NPS um ponto de comutao e roteamento
central atravs do qual fluem as mensagens de
contabilizao e acesso do RADIUS. O NPS registra
informaes em um log de contabilizao sobre as
mensagens encaminhadas.
Voc pode usar o NPS como um proxy RADIUS quando:
Voc for um provedor de servios que oferece servios terceirizados de rede dial-up, VPN ou de
acesso rede sem fio para diversos clientes.
Seu NAS envia solicitaes de conexo ao proxy RADIUS NPS. Com base na parte do territrio do
nome do usurio contida na solicitao de conexo, o proxy RADIUS NPS encaminha a solicitao de
conexo para um servidor RADIUS mantido pelo cliente, e pode autenticar e autorizar a tentativa de
conexo.
Voc deseja oferecer autenticao e autorizao de contas do usurio que no so membros do

domnio ao qual o servidor NPS pertence, ou de um domnio que possui uma relao de confiana
bidirecional com o domnio do membro do servidor NPS.
Isso abrange as contas existentes em domnios no confiveis, domnios com relao de confiana
unidirecional e outras florestas. Em vez de configurar os servidores de acesso para enviar as
respectivas solicitaes de conexo para um servidor RADIUS NPS, voc pode configur-los para
enviar essas solicitaes para um proxy RADIUS NPS. O proxy RADIUS NPS usa a parte do nome de
realm do nome do usurio e encaminha a solicitao para um servidor NPS no domnio ou na floresta
corretos. As tentativas de conexo de contas do usurio em um domnio ou floresta podem ser
autenticadas para o NAS em outro domnio ou floresta.
8-9
Voc deseja executar autenticao e autorizao usando um banco de dados diferente de um banco
de dados da conta do Windows.
Nesse caso, o NPS encaminha as solicitaes de conexo correspondentes a um nome de realm

especificado para um servidor RADIUS, que tem acesso a outro banco de dados de contas do usurio
e dados de autorizao. Um exemplo de outro banco de dados de usurio so bancos de dados SQL.
Voc deseja processar uma grande quantidade de solicitaes de conexo. Nesse caso, em vez de
configurar os clientes RADIUS para tentar equilibrar as respectivas solicitaes de conexo e
contabilizao entre vrios servidores RADIUS, configure-os para enviar suas solicitaes de conexo
e contabilizao para um proxy RADIUS NPS.
O proxy RADIUS NPS equilibra dinamicamente a carga das solicitaes de conexo e contabilizao
entre os diversos servidores RADIUS, alm de aumentar o processamento de grandes quantidades de
clientes e autenticaes RADIUS a cada segundo.
Voc deseja fornecer autenticao e autorizao RADIUS para provedores de servios terceirizados e
minimizar a configurao do firewall da intranet.
Um firewall de intranet est entre sua intranet e sua rede de permetro (a rede existente entre a
intranet e a Internet). Ao colocar um servidor NPS em sua rede de permetro, o firewall existente entre
a rede de permetro e a intranet deve permitir o fluxo do trfego entre o servidor NPS e os diversos
controladores de domnio.
Ao substituir o servidor NPS por um proxy NPS, o firewall deve permitir que somente o trfego do
RADIUS flua entre o proxy NPS e um ou vrios servidores NPS dentro de sua intranet.
Demonstrao: Configurao de um cliente RADIUS

Esta demonstrao mostra como configurar um cliente RADIUS.
1.
2.
3.
Reconfigure LON-RTR como um Servidor VPN com as seguintes informaes:
4.
Interface pblica: Conexo local 2
O servidor VPN aloca endereos do pool: 172.16.0.100 a 172.16.0.110
Opo para configurar o servidor: Sim, configure este servidor para funcionar com um
servidor RADIUS.
Servidor RADIUS principal: LON-DC1
Segredo: Pa$$w0rd
Inicie o servio VPN.
O que uma Poltica de Solicitao de Conexo?

Polticas de solicitao de conexo so conjuntos
de condies e configuraes que permitem que
os administradores de rede designem quais
servidores RADIUS executaro a autenticao e a
autorizao de solicitaes de conexo que o
servidor NPS recebe de clientes RADIUS. possvel
configurar as polticas de solicitao de conexo
para que designem os servidores RADIUS que
sero usados para a contabilizao RADIUS.
Observao: Ao implantar a NAP usando os
mtodos de imposio VPN ou 802.1X com
autenticao PEAP, configure a autenticao PEAP na poltica de solicitao de conexo, mesmo
que as solicitaes de conexes sejam processadas localmente.
Voc pode criar uma srie de polticas de solicitao de conexo, de forma que algumas mensagens de
solicitao RADIUS enviadas de clientes RADIUS sejam processadas localmente (NPS um servidor
RADIUS) e que outros tipos de mensagens sejam encaminhados para outro servidor RADIUS (NPS um
proxy de RADIUS).
Com polticas de solicitao de conexo, voc pode usar NPS como um servidor RADIUS ou como um
proxy RADIUS, com base em uma variedade de fatores, incluindo:
A hora do dia e o dia da semana.
O nome de realm na solicitao de conexo.
O tipo de conexo que est sendo solicitada.
O endereo IP do cliente RADIUS.
Condies
8-10 Instalao, configurao e soluo de problemas da funo Servidor de Polticas de Rede
Condies de poltica de solicitao de conexo so um ou mais atributos RADIUS comparados com os

atributos da mensagem de solicitao de acesso RADIUS recebida. Se existirem vrias condies, o NPS ir
impor a poltica somente se todas as condies contidas na mensagem de solicitao de conexo e na
poltica de solicitao de conexo forem correspondentes.
Configuraes
Configuraes de poltica de solicitao de conexo so um conjunto de propriedades aplicadas a uma
mensagem RADIUS recebida. As configuraes so formadas pelos seguintes grupos de propriedades:
Autenticao
Contabilizao
Manipulao de atributos
Avanado
Poltica padro de solicitao de conexo

Quando voc instala o NPS, criada uma poltica padro de solicitao de conexo com as seguintes
condies:
8-11
A autenticao no configurada.
A contabilizao no configurada para encaminhar as informaes de contabilizao para um

grupo de servidores remotos RADIUS.
A manipulao de atributo no configurada com as regras que alteram os atributos nas solicitaes
de conexo encaminhadas.
A Solicitao de Encaminhamento ativada, o que significa que o servidor NPS local autentique e
autorize as solicitaes de conexo.
Os atributos avanados no so configurados.
A poltica padro de solicitao de conexo utiliza o NPS como um servidor RADIUS. Para configurar um
servidor NPS para atuar como um proxy RADIUS, configure tambm um grupo de servidores remotos
RADIUS. Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de criao de
uma nova poltica de solicitao de conexo com o Assistente de Nova Poltica de Solicitao de Conexo.
possvel excluir a poltica padro de solicitao de conexo ou garantir que essa poltica padro seja a
ltima a ser processada.
Observao: Se o NPS e o servio Roteamento e Acesso Remoto estiverem instalados no
mesmo computador, e esse servio estiver configurado para autenticao e contabilizao do
Windows, ser possvel que as solicitaes de autenticao e contabilizao do servio
Roteamento e Acesso Remoto sejam encaminhadas para um servidor RADIUS. Isso pode ocorrer
quando as solicitaes de autenticao e contabilizao do servio Roteamento e Acesso Remoto
atenderem a uma poltica de solicitao de conexo configurada para encaminh-las para um
grupo de servidores remotos RADIUS.
Configurao do processamento de solicitao de conexo

A poltica padro de solicitao de conexo usa o
NPS como um servidor RADIUS e processa todas
as solicitaes de autenticao localmente.
Consideraes sobre a configurao do

processamento das solicitaes de
conexo
Ao configurar o processamento das solicitaes de
conexo, leve em considerao os seguintes
pontos:
Para configurar um servidor NPS para atuar

como um proxy RADIUS e encaminhar as
solicitaes de conexo para outros servidores NPS ou RADIUS, preciso configurar um grupo de
servidores remotos RADIUS e adicionar uma nova poltica de solicitao de conexo que especifique
as condies e configuraes que devem ser atendidas pelas solicitaes de conexo.
Voc pode usar o Assistente de Nova Poltica de Solicitao de Conexo para criar um novo grupo de
servidores remotos RADIUS ao criar uma nova solicitao de conexo.
Para que o servidor NPS no atue como um servidor RADIUS e processe as solicitaes de conexo
localmente, exclua a poltica padro de solicitao de conexo.
Se voc preferir que o servidor NPS atue duplamente como um servidor RADIUS (processando as
solicitaes de conexo localmente) e como um proxy RADIUS (encaminhando algumas solicitaes
de conexo para um grupo de servidores remotos RADIUS), adicione uma nova poltica e verifique se
a poltica padro de solicitao de conexo a ltima processada.
Portas para RADIUS e registro em log
Por padro, o NPS escuta o trfego RADIUS nas portas 1812, 1813, 1645 e 1646 para os protocolos IPv6 e
IPv4 em todos os adaptadores de rede instalados.
Observao: Se voc desabilitar o IPv4 ou o IPv6 em um adaptador de rede, o NPS no
monitorar o trfego RADIUS para o protocolo desinstalado.
Os valores 1812 para autenticao e 1813 para contabilizao representam as portas RADIUS padro
definidas nas RFCs 2865 e 2866. No entanto, por padro, muitos servidores de acesso usam as portas 1645
para solicitaes de autenticao e 1646 para solicitaes de contabilizao. Ao determinar os nmeros
de porta a serem usados, verifique se voc configura o NPS e o servidor de acesso para usar os mesmos
nmeros de porta. se voc no usar os nmeros de porta RADIUS padro, ser necessrio configurar as
excees no firewall do computador local para permitir o trfego RADIUS nas novas portas.
Configurao das informaes de porta UDP do NPS
Voc pode usar o procedimento a seguir para configurar as portas UDP que o NPS usa para o trfego de
autenticao e contabilizao do RADIUS.
Observao: Para executar esse procedimento, preciso que voc seja membro do grupo
Administradores do Domnio, Administradores de Empresa ou Administradores no computador local.
Para configurar as informaes da porta UDP do NPS por meio da interface do Windows:
1.
Abra o console do NPS.
2.
Clique com o boto direito do mouse em Servidor de Polticas de Rede e clique em Propriedades.
3.
Clique na guia Portas e examine as configuraes para portas. Se as portas UDP de autenticao e
contabilizao RADIUS variarem dos valores padro fornecidos (1812 e 1645 para autenticao, e
1813 e 1646 para contabilizao), digite as configuraes da porta em Autenticao e
Contabilizao.
Observao: Para usar vrias configuraes de porta em solicitaes de autenticao ou

contabilizao, separe os nmeros das portas com vrgulas.
Demonstrao: Criao de uma poltica de solicitao de conexo

Esta demonstrao mostra como criar poltica de solicitao de conexo VPN.
1.
Em LON-DC1, alterne para o console do Servidor de Polticas de Rede.
2.
Exiba as Polticas de Solicitao de Rede existentes. O assistente criou essas polticas

automaticamente quando voc especificou a funo do NPS deste servidor.
3.
Crie uma nova Poltica de Solicitao de Conexo com as seguintes configuraes:
4.
Condio: Tipo de Porta do NAS como Virtual (VPN)
Outras configuraes: valores padro
Atribua a nova poltica a prioridade mais alta.
8-13
Lio 3
Mtodos de autenticao do NPS
O NPS autentica e autoriza uma solicitao de conexo antes de permitir ou negar acesso quando os
usurios tentam se conectar com sua rede atravs de servidores de acesso rede, tambm conhecidos
como clientes RADIUS, como pontos de acesso sem fio, switches de autenticao 802.1X, servidores dialup e servidores VPN.
Como a autenticao o processo de verificar a identidade do usurio ou do computador que est

tentando se conectar rede, o NPS deve comprovar a identidade do usurio ou do computador na forma
de credenciais.
Alguns mtodos de autenticao implementam o uso de credenciais baseadas em senha. Em seguida, o

servidor de acesso rede transfere essas credenciais para o servidor NPS, que as compara com as entradas
contidas no banco de dados de contas de usurio.
Outros mtodos de autenticao implementam o uso de credenciais baseadas em certificados do usurio,
do computador cliente, do servidor NPS ou outra combinao. Os mtodos de autenticao baseados em
certificados fornecem alta segurana e so mais recomendveis do que os mtodos de autenticao
baseados em senha.
Ao implantar o NPS, especifique o tipo necessrio de mtodo de autenticao para acessar a rede.
Objetivos da lio
Descrever os mtodos de autenticao baseados em senha para um servidor NPS.
Descrever como os certificados so usados para fornecer autenticao a clientes de rede.
Descrever os tipos de certificados que so necessrios para vrios mtodos de autenticao.
Descrever como implantar certificados para PEAP e EAP.
Mtodos de autenticao baseados em senha

Cada mtodo de autenticao tem vantagens e
desvantagens em termos de segurana,
usabilidade e abrangncia do suporte. No entanto,
mtodos de autenticao baseados em senha no
garantem segurana mxima e no so
recomendados. recomendvel usar um mtodo
de autenticao baseado em certificado para o
acesso rede para todos os mtodos que
ofeream suporte ao uso de certificado. Isso se
constata principalmente nas conexes sem fio,
para as quais recomendvel o uso do PEAP-MSCHAP v2 ou PEAP-TLS.
8-15
O mtodo de autenticao necessrio determinado pela configurao do servidor de acesso rede,

pelo computador cliente e pela poltica de rede no servidor NPS. Consulte a documentao do servidor
de acesso para conhecer os mtodos de autenticao compatveis.
possvel configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode configurar
os servidores de acesso rede, conhecidos tambm como clientes RADIUS, para tentar negociar uma
conexo com os computadores cliente, solicitando o uso do protocolo mais seguro em primeiro lugar, e
depois os mais seguros na ordem decrescente, e assim por diante, at o menos seguro. Por exemplo, o
servio Roteamento e Acesso Remoto tenta negociar uma conexo usando os protocolos a seguir na
ordem mostrada:
1.
EAP
2.
MS-CHAP v2
3.
MS-CHAP
4.
CHAP
5.
SPAP
6.
PAP
Quando o protocolo EAP escolhido como mtodo de autenticao, ocorre uma negociao do tipo EAP
entre o cliente de acesso e o servidor NPS.
MS-CHAP verso 2
O MS-CHAP v2 fornece uma segurana mais forte para as conexes de acesso rede, do que o MS-CHAP,
seu antecessor. O MS-CHAP v2 um processo unidirecional de autenticao mtua de senha
criptografada, que funciona como descrito a seguir:
1.
O autenticador (o servidor de acesso rede ou o servidor NPS) envia um desafio para o cliente de
acesso, que consiste em um identificador de sesso e uma cadeia de caracteres de desafio qualquer.
2.
O cliente de acesso envia uma resposta que contm:
3.
4.
nome de usurio.
Uma cadeia de caracteres de desafio de pares.
Uma criptografia unidirecional da cadeia de caracteres de desafio recebida, da cadeia de

caracteres de desafio par, do identificador da sesso e da senha do usurio.
O autenticador verifica a resposta do cliente e envia uma resposta que contm:

o
Uma indicao do xito ou da falha da tentativa de conexo
Uma resposta autenticada com base na cadeia enviada de caracteres de desafio, na cadeia de
caracteres de desafio de pares, na resposta criptografada do cliente e na senha do usurio.
O cliente de acesso verifica a resposta da autenticao e, se estiver correta, utiliza a conexo. Se a

resposta da autenticao no estiver correta, o cliente de acesso encerrar a conexo.
MS-CHAP
MS-CHAP, tambm conhecido como MS-CHAP verso 1, um protocolo de autenticao irreversvel por
senha criptografada.
O processo de desafio funciona da seguinte maneira:
1.
O autenticador (o servidor de acesso rede ou o servidor NPS) envia um desafio para o cliente de
acesso, que consiste em um identificador de sesso e uma cadeia de caracteres de desafio qualquer.
2.
O cliente de acesso envia uma resposta que contm o nome do usurio e uma criptografia irreversvel
da cadeia de caracteres de desafio, do identificador da sesso e da senha.
3.
O autenticador verifica a resposta e, se for vlida, autentica as credenciais do usurio.
Observao: Ao usar o MS-CHAP, o MS-CHAP v2 ou o EAP-TLS como protocolo de

autenticao, voc pode utilizar a MPPE (Microsoft Point-to-Point Encryption) para criptografar
os dados enviados atravs da conexo PPP ou PPTP.
O MS-CHAP v2 fornece uma segurana mais forte do que o MS-CHAP para as conexes de acesso rede.
Considere o uso do MS-CHAP v2 em vez do MS-CHAP.
CHAP
O protocolo CHAP um protocolo de autenticao de desafio/resposta que utiliza o esquema de hash
MD5 (Message Digest 5), padro do setor, para criptografar a resposta.
Diversos fornecedores de servidores e clientes de acesso rede utilizam o CHAP. Um servidor que executa
o Roteamento e Acesso Remoto oferece suporte ao CHAP para permitir a autenticao dos clientes de
acesso que exigem esse protocolo. Uma vez que o protocolo CHAP requer o uso de uma senha de
criptografia reversvel, considere o uso de outro protocolo de autenticao, como o MS-CHAP v2.
Consideraes adicionais
Ao implementar CHAP, considere o seguinte:
Quando as senhas dos usurios expirarem, o CHAP no permitir que eles alterem as senhas durante
o processo de autenticao.
Verifique se no servidor de acesso rede h suporte para o protocolo CHAP, antes de habilit-lo em
uma poltica de rede do servidor NPS. Para obter mais informaes, consulte a documentao do NAS.
No possvel usar a MPPE com o CHAP.
PAP
O PAP usa senhas de texto no criptografado e o protocolo de autenticao menos seguro. Em geral,
esse protocolo negociado se o cliente de acesso e o servidor de acesso rede no puderem negociar
um mtodo de autenticao mais seguro. Quando voc habilitar o PAP como um protocolo de
autenticao, as senhas do usurio sero enviadas na forma de texto no criptografado. Quem estiver
capturando os pacotes do processo de autenticao poder ler a senha facilmente e utiliz-la para obter
acesso no autorizado sua intranet. Desestimulamos enfaticamente o uso do PAP, principalmente em
conexes VPN.
Acesso no autenticado
8-17
Com o acesso no autenticado, as credenciais do usurio (um nome de usurio e senha) no so

necessrias. Embora haja algumas situaes em que o acesso no autenticado seja til, na maioria das
vezes, no recomendvel implantar esse tipo de acesso na rede de sua organizao.
Quando voc habilitar o acesso no autenticado, os usurios podero acessar sua rede sem enviar as
credenciais do usurio. Alm disso, clientes de acesso no autenticados no negociam o uso de um
protocolo de autenticao comum durante o processo de estabelecimento de conexo e eles no enviam
para o NPS um nome de usurio ou senha.
Se voc permitir o acesso no autenticado, os clientes podero se conectar sem autenticao se os
protocolos de autenticao configurados no cliente de acesso no corresponderem aos protocolos de
autenticao configurados no servidor de acesso rede. Nesse caso, o uso de um protocolo de
autenticao comum no negociado e o cliente de acesso no envia um nome de usurio e senha. Essa
circunstncia gera um problema de segurana grave. Portanto, o acesso no autenticado no deve ser
permitido na maioria das redes.
Uso de certificados para autenticao

Certificados so documentos digitais emitidos
pelas autoridades de certificao, como AD CS
(Servios de Certificados do Active Directory) ou a
autoridade de certificao pblica da VeriSign. Os
certificados podem ser usados para vrios fins,
como a assinatura de cdigo e a proteo da
comunicao por email. No entanto, com o NPS,
voc usa certificados para autenticao do acesso
rede, pois eles garantem segurana mxima para
a autenticao de usurios e computadores, e
tambm eliminam a necessidade de mtodos de
autenticao baseados em senha, que so menos
seguros.
Os servidores NPS utilizam os protocolos EAP-TLS e PEAP para fazer a autenticao baseada em
certificado para diversos tipos de acesso rede, como as conexes de rede VPN e sem fio.
Mtodos de autenticao
Dois mtodos de autenticao, quando voc os configura com os tipos de autenticao baseada em
certificado, usam certificados: EAP e PEAP. Com o EAP, possvel configurar o tipo de autenticao TLS
(EAP-TLS), e com o PEAP, os tipos de autenticao TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-CHAP v2).
Esses mtodos de autenticao sempre utilizam certificados para a autenticao do servidor. De acordo
com o tipo de autenticao configurado no mtodo de autenticao, voc tambm pode usar certificados
para a autenticao de usurios e de computadores cliente.
Observao: O uso de certificados para autenticao da conexo VPN a forma mais
segura de autenticao disponvel no Windows Server 2008 R2. Voc deve usar certificados para
autenticao IPsec em conexes VPN que sejam baseadas no protocolo L2TP/IPsec. As conexes
PPTP no exigem certificados, embora seja possvel configur-las para usar certificados para a
autenticao de computadores quando voc utilizar o protocolo EAP-TLS como mtodo de
autenticao. Para os clientes de rede sem fio (dispositivos de computao com adaptadores de
rede sem fio, como um computador porttil ou o PDA (assistente digital pessoal),
recomendvel usar o PEAP com o EAP-TLS e cartes inteligentes ou certificados para
autenticao.
Observao: Voc pode implantar certificados para serem utilizados com o NPS,
instalando e configurando a funo Servidor AD CS.
Autenticao mtua
Quando voc utilizar o EAP com um tipo forte de EAP (como o TLS com cartes inteligentes ou
certificados), tanto o cliente quanto o servidor usaro certificados para validar mutuamente suas
identidades, o que conhecido como autenticao mtua. Os certificados devem atender a requisitos
especficos para que o servidor e o cliente os utilizem na autenticao mtua.
Um desses requisitos que o certificado esteja configurado com um ou mais propsitos nas extenses
EKU (Uso Estendido de Chave), relacionadas ao uso do certificado. Por exemplo, voc deve configurar um
certificado que seja utilizado para a autenticao de um cliente com a finalidade de Autenticao de
Cliente. Da mesma forma, voc deve configurar um certificado que seja utilizado para a autenticao de
um servidor com a finalidade de Autenticao de Servidor. Quando voc usa certificados para
autenticao, o autenticador examina o certificado do cliente e procura o identificador correto do objeto
finalidade nas extenses EKU. Por exemplo, o identificador do objeto da finalidade Autenticao do
Cliente 1.3.6.1.5.5.7.3.2. Quando voc utiliza um certificado para autenticao de computadores cliente,
esse identificador de objeto deve estar presente nas extenses EKU do certificado, caso contrrio, a
autenticao falhar.
Modelos de certificado
8-19
Modelos de Certificado um snap-in do MMC que permite a personalizao dos certificados emitidos
pelo AD CS. As opes de personalizao abrangem o modo como os certificados sero emitidos e o que
contero, inclusive suas finalidades. Nos Modelos de Certificado, possvel usar um modelo padro, como
o modelo Computador, para definir o modelo que a autoridade de certificao usar para atribuir
certificados aos computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a
esse modelo nas extenses EKU. Por padro, o modelo Computador contm as finalidades Autenticao
de Cliente e Autenticao de Servidor nas extenses EKU.
O modelo de certificado criado pode conter qualquer finalidade para a qual voc o utilizar. Por exemplo,
se voc usar cartes inteligentes na autenticao, ser possvel incluir a finalidade Logon do Carto
Inteligente, alm da finalidade Autenticao de Cliente. Ao usar o NPS, voc pode configur-lo para
verificar as finalidades dos certificados antes de conceder autorizao para a rede. O NPS pode verificar
outras finalidades das EKUs e das Polticas de Emisso, conhecidas tambm como Polticas de Certificados.
Observao: Alguns softwares de autoridade de certificao no pertencentes Microsoft
podem conter uma finalidade denominada Todas, que representa todas as finalidades possveis. Isso
indicado por uma extenso EKU em branco (ou nula). Embora Todas possa significar todas as
finalidades possveis, no possvel substituir essa finalidade pela finalidade Autenticao de Cliente,
Autenticao de Servidor ou por qualquer outra relacionada autenticao de acesso rede.
Certificados necessrios para autenticao

A tabela a seguir descreve os certificados que
devem implantar com xito cada mtodo de
autenticao listado, baseado em certificado:
Certificado
Certificado de
autoridade de
certificao no
repositrio de
certificados de
Autoridades de
Certificao Raiz
Confiveis para o
Computador Local
e o Usurio Atual
Necessrio para EAP-TLS

e PEAP-TLS?
Sim. O certificado de
autoridade de
certificao registrado
automaticamente para os
computadores membro
do domnio. Para os
computadores no
pertencentes ao domnio,
voc deve importar o
certificado manualmente
no repositrio de
certificados.
Necessrio para PEAPMS-CHAP v2?

Sim. Esse certificado
registrado
computadores membro
do domnio. Para os
computadores no
voc deve importar o
certificado manualmente
no repositrio de
certificados.
Detalhes
Para o PEAP-MS-CHAP
v2, esse certificado
necessrio para a
autenticao mtua
entre o cliente e o
servidor.
(continuao)
Certificado
Necessrio para EAP-TLS

e PEAP-TLS?
Necessrio para PEAPMS-CHAP v2?
Detalhes
Certificado de
computador
cliente no
repositrio de
certificados do
cliente
Sim. Os certificados de
computadores cliente
so necessrios, a menos
que os certificados de
usurio sejam
distribudos em cartes
inteligentes. Os
certificados de cliente
so registrados
computadores membro
do domnio. Para os
computadores no
voc deve importar
manualmente o
certificado ou obt-lo
com a ferramenta de
registro via Web.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Se voc implantar
certificados de usurio
em cartes inteligentes,
os computadores
cliente no precisaro
de certificados de
cliente.
Certificado de
servidor no
repositrio de
certificados do
servidor NPS
Sim. Voc pode

configurar
o AD CS para registrar
automaticamente os
certificados de servidor
para os membros do
grupo de servidores RAS
e IAS no AD DS.
Sim. Alm de usar o AD

CS para certificados de
servidor, voc pode
comprar os certificados
de servidor em outras
autoridades de
certificao com as quais
j existe uma relao de
confiana com os
computadores cliente.
O servidor NPS envia o

certificado de servidor
para o computador
cliente. O computador
cliente usa o certificado
para autenticar o
servidor NPS.
Certificado de
usurio em um
carto inteligente
o AD CS para registrar
automaticamente os
certificados de servidor
para os membros do
grupo de servidores RAS
e IAS no AD DS.
No. A autenticao do
usurio feita com
credenciais baseadas em
senha, no em
certificados.
Para os protocolos
EAP-TLS e
PEAP-TLS, se voc no
registrar
automaticamente os
certificados de
computadores cliente,
sero necessrios os
certificados de usurio
em cartes inteligentes.
A autenticao Institute of Electrical and Electronics Engineers, Inc. (IEEE) 802.1X fornece acesso
autenticado s redes 802.11 sem fio e s redes Ethernet com fio. O padro 802.1X compatvel com os
tipos de EAP seguros, como o TLS com cartes inteligentes ou certificados. Voc pode configurar o 802.1X
com o EAP-TLS de vrias maneiras.
Se voc configurar a opo Validar certificado do servidor no cliente, o cliente autenticar o servidor
usando seu certificado. A autenticao de computadores cliente e de usurios acontece por meio dos
certificados do repositrio de certificados ou de um carto inteligente, fornecendo autenticao mtua.
Com os clientes de rede sem fio, use o PEAP-MS-CHAP v2 como mtodo de autenticao. PEAP-MS-CHAP
v2 um mtodo de autenticao de usurio, baseado em senha, que utiliza o TLS com certificados de
servidor. Durante a autenticao do PEAP-MS-CHAP v2, o servidor NPS fornece ao cliente um certificado
para validar sua identificao (se a opo Validar certificado de servidor estiver configurada no cliente
Windows 8). A autenticao de computadores cliente e de usurios feita com senhas, o que reduz uma
parte da dificuldade da implantao de certificados para os computadores cliente de rede sem fio.
Implantao de certificados para PEAP e EAP

Todos os certificados que voc usa para
autenticao do acesso rede com EAP-TLS e
PEAP devem atender aos requisitos dos
certificados X.509 e funcionar para as conexes
que usam SSL/TLS. Aps atender a esse requisito
mnimo, os certificados de cliente e de servidor
tm outros requisitos.
Requisitos mnimos para certificados

de servidor
8-21
Voc pode configurar clientes para validar

certificados do servidor usando a opo Validar
certificado do servidor nas propriedades do
protocolo de autenticao. Com o protocolo PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como mtodo de
autenticao, o cliente aceita a tentativa de autenticao do servidor quando o certificado atende aos
seguintes requisitos:
O Nome do requerente contm um valor. Se voc emitir um certificado com um Requerente em

branco para seu servidor NPS, o certificado no ficar disponvel para autenticar o servidor NPS.
Para configurar o modelo de certificado com um Nome de entidade:
a.
Abra os Modelos de Certificado.
b.
No painel de detalhes, clique com o boto direito do mouse no modelo de certificado a ser
alterado e clique em Propriedades.
c.
Clique na guia Nome de Requerente e clique em Criar com base nas informaes do Active
Directory.
d.
Em Formato de nome de requerente, selecione um valor diferente de Nenhum.
O certificado de computador no servidor est vinculado a uma autoridade de certificao raiz

confivel e no reprovado em nenhuma das verificaes executadas pela CryptoAPI, especificadas
pelas polticas de rede e acesso remoto.
O certificado de computador servidor NPS ou VPN configurado com a finalidade Autenticao de

Servidor nas extenses EKU (o identificador de objeto Autenticao de Servidor 1.3.6.1.5.5.7.3.1).
O certificado de servidor configurado com um valor de algoritmo obrigatrio de RSA. Para

configurar o parmetro de criptografia obrigatria:
a.
b.
c.
Clique na guia Criptografia. Em Nome de algoritmo, clique em RSA. Verifique se Tamanho

mnimo da chave est definido como 2048.
A extenso do Nome Alternativo da Entidade (SubjectAltName), se utilizada, deve conter o FQDN

(nome de domnio totalmente qualificado) do servidor. Para configurar o modelo de certificado com
o nome do DNS (Sistema de Nomes de Domnio) do servidor de registro:
a.
b.
c.
Clique na guia Nome de Requerente e clique em Criar com base nas informaes do Active
Directory.
d.
Em Incluir esta informao no nome de requerente alternativo, selecione Nome DNS.
Com o PEAP e o EAP-TLS, os servidores NPS exibem uma lista de todos os certificados instalados no
repositrio de certificados de computador, com exceo de:
Certificados que no contm a finalidade Autenticao de Servidor nas extenses EKU.
Certificados que no contm um nome de entidade.
Certificados baseados no Registro e em logon de cartes inteligentes.
Requisitos mnimos para certificados de cliente

Com o EAP-TLS ou o PEAP-TLS, o servidor aceita a tentativa de autenticao do cliente quando o
certificado atende aos seguintes requisitos:
Uma autoridade de certificao corporativa emitiu o certificado de cliente ou ele foi mapeado para
uma conta de usurio ou de computador do Active Directory.
O certificado de usurio ou de computador no cliente est vinculado a uma autoridade de

certificao raiz confivel; o certificado inclui a finalidade Autenticao de Cliente nas extenses EKU
(o identificador de objeto da Autenticao de Cliente 1.3.6.1.5.5.7.3.2) e no reprovado nas
verificaes executadas pela CryptoAPI, especificadas pelas polticas de acesso remoto ou de rede,
nem nas verificaes de identificador de objeto Certificado especificadas pelas polticas de rede NPS.
O cliente 802.1X no usa os certificados baseados no registro, que so certificados de logon por
carto inteligente ou protegidos por senha.
Para os certificados de usurio, a extenso Nome Alternativo de Entidade (SubjectAltName) no

certificado contm o Nome UPN (Nome Principal do Usurio). Para configurar o nome UPN em um
modelo de certificado:
a.
b.
c.
Clique na guia Nome de Entidade e clique em Criar com base nas informaes do Active
Directory.
d.
Em Incluir esta informao no nome de entidade alternativo, selecione Nome principal do

usurio (UPN).
8-23
Para os certificados de computador, a extenso Nome Alternativo de Entidade (SubjectAltName) no

certificado deve conter o FQDN (Nome de Domnio Totalmente Qualificado) do cliente, tambm
conhecido como nome DNS. Para configurar esse nome no modelo de certificado:
a.
b.
c.
Clique na guia Nome de Entidade e clique em Criar com base nas informaes do Active
Directory.
d.
Em Incluir esta informao no nome de entidade alternativo, selecione Nome DNS.
Com o PEAP-TLS e o EAP-TLS, os clientes exibem uma lista de todos os certificados instalados no snap-in
de Certificados, com exceo de:
Clientes de rede sem fio que no exibem os certificados baseados em registro e de logon por cartes
inteligentes.
Clientes de rede sem fio e de VPN que no exibem os certificados protegidos por senha.
Certificados que no contm a finalidade Autenticao de Cliente nas extenses EKU.
Lio 4
Monitoramento e soluo de problemas de um Servidor

de Polticas de Rede
Para monitorar o NPS, voc pode configurar e usar o registro em log de eventos, bem como as
solicitaes de autenticao e contabilizao. O log de eventos permite que voc registre eventos do NPS
nos logs de eventos do sistema e de segurana. Voc pode usar o log de solicitaes para fins de
cobrana e anlise de conexo. As informaes que os arquivos de log coletam so teis para solucionar
problemas de tentativas de conexo para investigao de segurana.
Objetivos da lio
Descrever os mtodos de monitoramento do NPS.
Descrever como configurar as propriedades do arquivo de log.
Descrever como configurar o log do SQL Server no NPS.
Descrever como configurar a gravao de eventos do NPS no Visualizador de Eventos.
Mtodos usados para monitorar o NPS

Os dois tipos de contabilizao, ou log, que voc
pode usar para monitorar o NPS so:
Log de eventos para NPS: voc pode usar o

log de eventos para registrar eventos do NPS
nos logs de eventos do sistema e de
segurana. Ele usado principalmente para
auditorias e soluo de problemas de
tentativas de conexo.
Log das solicitaes de autenticao e

contabilizao do usurio. voc pode registrar
as solicitaes de autenticao e
contabilizao em arquivos de log em
formato de texto ou de banco de dados, ou pode registrar em log um procedimento armazenado em
um banco de dados SQL Server. Use o log de solicitaes principalmente para fins de cobrana e
anlise de conexes, e como ferramenta de investigao de segurana, j que ele permite que voc
identifique atividades de invasores.
Para utilizar o log do NPS da forma mais eficaz:
Ative o log (inicialmente) para registros de autenticao e contabilizao. Faa essas selees aps
determinar o que apropriado para seu ambiente.
Certifique-se de configurar o log de eventos com capacidade suficiente para manter os logs.
Faa backup de todos os arquivos de log regularmente, pois eles no podero ser recriados se forem
danificados ou excludos.
8-25
Use o atributo Class do RADIUS para controlar o uso e para simplificar a identificao do
departamento ou usurio a ser cobrado pelo uso. Embora o atributo Class, que gerado
automaticamente, seja exclusivo para cada solicitao, pode haver registros duplicados nos casos em
que a resposta ao servidor de acesso perdida e a solicitao enviada novamente. Pode ser
necessrio excluir as solicitaes duplicadas dos seus logs para controlar o uso mais precisamente.
Para fornecer failover e redundncia com o log do SQL Server, coloque dois computadores com SQL
Server em sub-redes diferentes. Use o Assistente para Criar Publicao do SQL Server para configurar
a replicao do banco de dados entre os dois servidores. Para obter mais informaes, consulte a
documentao do SQL Server.
Observao: Para interpretar dados registrados em log, exiba as informaes no site da

Microsoft TechNet: Interpretar arquivos de log de formato do banco de dados do NPS
http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409
Log de contabilizao do NPS

Voc pode configurar o NPS para executar a
contabilizao RADIUS para solicitaes de
autenticao do usurio, mensagens AccessAccept, mensagens Access-Reject, solicitaes e
respostas de contabilizao e atualizaes de
status peridicas. Voc pode usar este
procedimento para configurar os arquivos de log
no local no qual deseja armazenar os dados de
contabilizao.
Consideraes sobre a configurao de

contabilizao do NPS
A lista a seguir fornece mais informaes sobre a
configurao da contabilizao do NPS:
Para enviar os dados do arquivo de log para serem coletados por outro processo, configure o NPS
para gravar em um pipe nomeado. Para usar pipes nomeados, configure a pasta do arquivo de log
como \\.\pipe ou \\NomedoComputador\pipe. O programa do servidor do pipe nomeado cria um
pipe nomeado chamado \\.\pipe\iaslog.log para aceitar os dados. Na caixa de dilogo Propriedades
do Arquivo Local, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo
ilimitado) quando voc usar pipes nomeados.
Para criar o diretrio do arquivo de log, use variveis de ambiente do sistema (em vez de variveis do
usurio), como %systemdrive%, %systemroot% e %windir%. Por exemplo, se voc digitar o caminho a
seguir usando a varivel de ambiente %windir%, ela localizar o arquivo de log no diretrio do
sistema na subpasta \System32\Logs (isto , %windir%\System32\Logs\).
A alternncia dos formatos de arquivo de log no cria um novo log. Se voc alterar formatos de
arquivo de log, o arquivo que estiver ativo quando a alterao ocorrer conter uma mistura dos dois
formatos. Os registros no incio do log tero o formato anterior e os registros no fim do log tero o
novo formato.
No ser possvel navegar na estrutura de diretrios se voc estiver administrando um servidor NPS
remotamente. Se precisar registrar informaes de contabilizao em um servidor remoto,
especifique o nome do arquivo de log digitando um nome UNC (Conveno de Nomenclatura
Universal), como \\MeuServidorDeLog\CompartilhamentoDeLog.
Se a contabilizao RADIUS falhar devido a um disco rgido cheio ou por outros motivos, o NPS
interromper o processamento de solicitaes de conexo, o que impedir que os usurios acessem
os recursos da rede.
O NPS permite que voc se conecte a um banco de dados do SQL Server alm de, ou em vez de, se
conectar a um arquivo local.
Observao: Se voc no fornecer uma instruo de caminho completo no Diretrio do

Arquivo de Log, o caminho padro ser usado. Por exemplo, se voc digitar NPSLogFile no Diretrio
do Arquivo de Log, o arquivo ficar localizado em %systemroot%\System32\NPSLogFile.
Configurao das propriedades do arquivo de log
Para configurar as propriedades do arquivo de log usando a interface do Windows, execute as seguintes
tarefas:
1.
Abra o snap-in MMC do Servidor de Polticas de Rede.
2.
Na rvore de console, clique em Contabilizao.
3.
No painel de detalhes, clique em Alterar Propriedades do Arquivo de Log.
4.
Em Propriedades do Arquivo de Log, na guia Arquivo de Log, em Diretrio, digite o local em que
voc deseja armazenar os arquivos de log do NPS. O local padro a pasta
systemroot\System32\LogFiles.
5.
Em Formato, selecione Compatvel com DTS, ODBC (Herdado) e IAS (Herdado).
6.
Para configurar o NPS para iniciar novos arquivos de log em intervalos especficos, clique no intervalo
que deseja usar:
7.
Para uma atividade de log e um volume de transaes intensos, clique em Diariamente.
Para uma atividade de log e um volume de transaes menos intenso, clique em Semanalmente
ou Mensalmente.
Para armazenar todas as transaes em um arquivo de log, clique em Nunca (tamanho de

arquivo ilimitado).
Para limitar o tamanho de cada arquivo de log, clique em Quando o arquivo de log atingir
este tamanho e digite o tamanho do arquivo, aps o qual um novo log criado. O tamanho
padro 10 MB.
Para configurar o NPS para excluir arquivos de log automaticamente quando o disco estiver cheio,
clique em Excluir arquivos de log antigos quando o disco estiver cheio. Se o arquivo de log mais
antigo for o arquivo atual, ele no ser excludo.
Configurao do log do SQL Server

Voc pode configurar o NPS para executar a
contabilizao RADIUS em um banco de dados do
SQL Server. Voc pode adotar esse procedimento
para configurar as propriedades de log e a
conexo com o SQL Server em execuo que
armazena os dados de contabilizao. O banco de
dados do SQL Server pode ficar no computador
local ou em um servidor remoto.
Observao: O NPS formata dados de
contabilizao como um documento XML que
enviado para o procedimento armazenado
report_event no banco de dados do SQL Server designado no NPS. Para que o log do SQL Server
funcione corretamente, necessrio ter um procedimento armazenado chamado report_event
no banco de dados do SQL Server que possa receber e analisar documentos XML do NPS.
Configurao do log do SQL Server no NPS
8-27
Para configurar o log do SQL Server no NPS usando a interface do Windows, execute as seguintes tarefas:
1.
Abra o snap-in MMC do Servidor de Polticas de Rede.
2.
Na rvore de console, clique em Contabilizao.
3.
No painel de detalhes, clique em Alterar Propriedades do Log do Servidor SQL. A caixa de dilogo
Propriedades do Log do Servidor SQL aberta.
4.
Em Registrar no log as seguintes informaes, selecione as informaes que deseja registrar no log:
5.
Para registrar em log todas as solicitaes de contabilizao, selecione as solicitaes de

contabilizao.
Para registrar em log as solicitaes de autenticao, selecione solicitaes de autenticao.
Para registrar em log o status peridico, como solicitaes de contabilizao intermedirias,

selecione Status de contabilizao peridica.
Para registrar em log o status peridico, como solicitaes de autenticao intermedirias,

selecione Status de autenticao peridica.
Para configurar o nmero de sesses simultneas que voc deseja permitir entre o servidor NPS e o
banco de dados do SQL Server, digite um nmero em Nmero mximo de sesses simultneas.
6.
7.
Para configurar a origem de dados do SQL Server, clique em Configurar. A caixa de dilogo
Propriedades do associao de dados aberta. Na guia Conexo, especifique o seguinte:
Para especificar o nome do servidor no qual o banco de dados foi armazenado, digite ou
selecione um nome em Selecione ou insira um nome de servidor.
Para especificar o mtodo de autenticao com o qual entrar no servidor, clique em Usar
segurana integrada do Windows NT ou clique em Usar uma senha e um nome de usurio
especficos e digite suas credenciais em Nome de usurio e Senha.
Para permitir uma senha em branco, selecione Senha em branco.
Para armazenar a senha, selecione Permitir salvar senha.
Para especificar o banco de dados que dever ser conectado no computador que executa o SQL
Server, clique em Selecionar o banco de dados no servidor, e selecione um nome de banco de
dados na lista.
Para testar a conexo entre o servidor NPS e o computador que executa o SQL Server, clique em
Testar conexo.
Configurao da gravao de eventos do NPS no Visualizador de Eventos

Voc pode configurar o log de eventos do NPS
para registrar eventos de sucesso e falha de
solicitaes de conexo no log do sistema
Visualizador de Eventos.
Configurao do log de eventos do NPS

Para configurar o log de eventos do NPS usando a
interface do Windows, execute as seguintes
tarefas:
1.
Abra o snap-in do NPS (Servidor de Polticas

de Rede).
2.
Clique com o boto direito do mouse em NPS

(Local) e clique em Propriedades.
3.
Na guia Geral, selecione cada uma das opes a seguir, conforme necessrio, e clique em OK:
o
Solicitaes de autenticao rejeitadas
Solicitaes de autenticao bem-sucedidas
Observao: Para concluir este procedimento, voc deve ser membro do grupo
Administradores do Domnio ou do grupo Administradores de Empresa.
8-29
Usando os logs de eventos no Visualizador de Eventos, voc pode monitorar os erros do NPS e outros
eventos que o NPS tenha sido configurado para registrar.
Por padro, o NPS registra eventos de falha na solicitao de conexo nos logs de eventos de Sistema e
Segurana. Os eventos de falha na solicitao de conexo consistem em solicitaes que o NPS rejeita ou
descarta. Outros eventos de autenticao do NPS so registrados na assinatura do sistema do Visualizar
de Eventos na base das configuraes que voc especifica no snap-in NPS. Portanto, o log de segurana
do Visualizador de Eventos pode registrar alguns eventos que contm dados confidenciais.
Eventos de falha na solicitao de conexo
Embora o NPS registre eventos de falha da solicitao de conexo por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log. O NPS rejeita ou ignora solicitaes
de conexo por diversos motivos, que incluem:
A mensagem do RADIUS no formatada de acordo com as RFCs 2865 ou 2866.
O cliente RADIUS desconhecido.
O cliente RADIUS possui vrios endereos IP e enviou a solicitao em um endereo diferente do

endereo que voc define no NPS.
O autenticador da mensagem (tambm conhecido como assinatura digital) que o cliente enviou no
vlido, pois o segredo compartilhado no vlido.
O NPS no pde localizar o domnio do nome do usurio.
O NPS no pde se conectar ao domnio do nome do usurio.
O NPS no pde acessar a conta do usurio no domnio.
Quando o NPS rejeita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao, o nome da poltica de rede
correspondente, o motivo da rejeio e outras informaes.
Eventos de solicitao de conexo bem-sucedida
Embora o NPS registre eventos de solicitao de conexo bem-sucedida por padro, voc pode alterar a
configurao de acordo com as suas necessidades de registro em log.
Quando o NPS aceita uma solicitao de conexo, as informaes no texto do evento incluem o nome do
usurio, os identificadores do servidor de acesso, o tipo de autenticao e o nome da primeira poltica de
rede correspondente.
Log de eventos de Schannel
O Schannel (canal seguro) um SSP (provedor de suporte de segurana) que oferece suporte para uma
srie de protocolos de segurana da Internet, como o SSL e o TLS. Esses protocolos fornecem autenticao
de identidade e comunicao segura e privada por meio de criptografia.
O registro em log de falhas de validao do certificado de cliente um evento do canal seguro e no est
habilitado no servidor NPS, por padro. Voc pode habilitar eventos adicionais do canal seguro alterando
o seguinte valor da chave do Registro de 1 (tipo REG_DWORD, dados 0x00000001) para 3 (tipo
REG_DWORD, dados 0x00000003):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLoggi
ng
Laboratrio: Instalao e configurao de um Servidor

de Polticas de Rede
Cenrio
escritrio de IT e um data center esto localizados em Londres para dar suporte ao escritrio de Londres e
a outros locais. A A. Datum implantou recentemente uma infraestrutura de cliente e servidor do Windows
Server 2012.
A A. Datum est expandindo sua soluo de acesso remoto organizao inteira. Isso exigir vrios
servidores VPN localizados em diferentes pontos para fornecer conectividade aos funcionrios. Voc
responsvel por executar as tarefas necessrias para dar suporte as essas conexes VPN.
Objetivos
Instalar e configurar o NPS para dar suporte ao RADIUS.
Configurar e testar um cliente RADIUS.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-RTR
24411B-LON-CL2
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
No painel Aes, clique em Conectar. Espere at que a mquina virtual seja iniciada.
4.
5.
Senha: Pa$$w0rd
Realize as etapas de 2 a 4 para 24411B-LON-RTR e 24411B-LON-CL2.
Exerccio 1: Instalao e configurao de um NPS para dar suporte

ao servio RADIUS
Cenrio
8-31
Voc tem como tarefa instalar um NPS na infraestrutura existente a ser usada para servios RADIUS. Neste
exerccio, voc configurar o servidor RADIUS com modelos apropriados para ajudar a gerenciar qualquer
implementao futura. Voc tambm precisa configurar Contabilizao para registrar em log informaes
de autenticao para um arquivo de texto local no servidor.
1.
Instalar e configurar o Servidor de Polticas de Rede
2.
Configurar modelos do NPS
3.
Configurar a contabilizao RADIUS
Tarefa 1: Instalar e configurar o Servidor de Polticas de Rede

1.
2.
3.
Usando o Gerenciador do Servidor, instale a funo Servios de Acesso e Poltica de Rede usando
valores padro para concluir o assistente de instalao.
4.
Abra o console do Servidor de Polticas de Rede e registre o servidor no Active Directory.
5.
Deixe o console Servidor de Polticas de Rede aberto.
Tarefa 2: Configurar modelos do NPS

1.
2.
3.
Crie um novo modelo segredo compartilhado com as seguintes propriedades:

o
Nome: Segredo da Adatum
Segredo compartilhado: Pa$$w0rd
Crie um novo modelo Clientes RADIUS com as seguintes propriedades:

o
Nome amigvel: LON-RTR
Endereo (IP ou DNS): LON-RTR
Segredo compartilhado: Use o modelo Segredo da Adatum.
Tarefa 3: Configurar a contabilizao RADIUS

1.
No console Servidor de Polticas de Rede, inicie o Assistente de Configurao de Contabilizao.
2.
Escolha a opo Efetue o registro em um arquivo de texto no computador local e use os valores
padro para concluir o assistente.
3.
Resultados: Aps este exerccio, voc dever ter habilitado e configurado o NPS para dar suporte ao
ambiente necessrio.
Exerccio 2: Configurao e teste de um cliente RADIUS

Cenrio
Voc precisa configurar um servidor como um servidor VPN e um cliente RADIUS, incluindo a
configurao de cliente, e voc precisa modificar as configuraes de Poltica de Rede.
1.
Configurar um cliente RADIUS
2.
Configurar uma poltica de rede para RADIUS
3.
Testar a configurao de RADIUS
4.
Tarefa 1: Configurar um cliente RADIUS

1.
Crie um Cliente RADIUS usando as propriedades a seguir:

o
Modelo: LON-RTR
2.
Deixe o console aberto e alterne para LON-RTR.
3.
Faa logon como ADATUM\Administrador com a senha Pa$$w0rd.
4.
Abra Roteamento e Acesso Remoto e clique em Desabilitar Roteamento e Acesso Remoto.
5.
Selecione Configurar e Habilitar Roteamento e acesso remoto.
6.
Reconfigure o LON-RTR como um Servidor VPN:
Conexo Local 2 a interface pblica
O servidor VPN aloca endereos do pool: 172.16.0.100 > 172.16.0.110
O servidor configurado com a opo Sim, configurar este servidor para trabalhar com um
servidor RADIUS.
Servidor RADIUS principal: LON-DC1
Segredo: Pa$$w0rd
O servio VPN iniciado.
Tarefa 2: Configurar uma poltica de rede para RADIUS

1.
2.
Alterne para o console do Servidor de Polticas de Rede.
3.
4.

o
Nome da poltica: Poltica VPN Adatum
Condio: Tipo de Porta do NAS = Virtual (VPN)
Mtodos de autenticao: padro
Restries: padro
Configuraes: padro
Tarefa 3: Testar a configurao de RADIUS

1.
Alterne para LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Crie uma nova conexo VPN com as seguintes propriedades:
3.
4.
Endereo na Internet para se conectar a: 10.10.0.1
Permitir que outras pessoas usem esta conexo: true
Depois de criar a VPN, modifique as configuraes exibindo as propriedades da conexo e

selecionando a guia Segurana. Use as definies a seguir para reconfigurar a VPN:
o
Tipo de VPN: PPTP
Autenticao: Permitir estes protocolos = Microsoft CHAP Verso 2 (MS-CHAP v2)
Teste a conexo VPN. Use as credenciais a seguir:

o
Senha: Pa$$w0rd
8-33
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN e configurado-o como
um cliente RADIUS.
Quando terminar o laboratrio, reverta todas as mquinas virtuais para o estado inicial. Para isso, execute
estas etapas:
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL2 e clique em
Reverter.
3.
Na caixa de dilogo Reverter Mquinas Virtuais, clique em Reverter.
4.
Repita as etapas 2 e 3 para 24411B-LON-RTR e 24411B-LON-DC1.

Perguntas de reviso
Pergunta: Como possvel usar os recursos de log do NPS mais eficazmente?
Pergunta: O que voc deve considerar se optar por usar uma atribuio de porta no
padro para o trfego RADIUS?
Pergunta: Por que necessrio registrar o servidor NPS no Active Directory?
Ferramentas
Ferramenta
Use para
Onde encontrar
Servidor de Polticas
de Rede
Gerenciar e criar polticas de rede
Servidor de Polticas de Rede no menu

Ferramenta de linha
de comando Netsh
Criar scripts administrativos para

configurar e gerenciar a funo
Em uma janela de Prompt de Comando,

digite netsh c nps para administrar de
um prompt de comando
Visualizador de
Eventos
Exibir informaes registradas em

log de eventos de aplicativos, do
sistema e da segurana
Visualizador de Eventos no menu


9-1
Mdulo 9
Implementao da Proteo de Acesso Rede
Contedo:
Viso geral do mdulo
9-1
Lio 1: Viso geral da Proteo de Acesso Rede
9-2
Lio 2: Viso geral dos processos de aplicao da NAP
9-8
Lio 3: Configurao de NAP
9-15
Lio 4: Monitoramento e soluo de problemas da NAP
9-20
9-24
9-31
Viso geral do mdulo
Sua rede est to protegida quanto o computador menos seguro conectado a ela. Existem muitos
programas e ferramentas para ajudar a proteger os computadores conectados rede, como antivrus ou
software de deteco de malware. Porm, se o software em alguns dos computadores no estiver
atualizado, habilitado ou configurado corretamente, esses computadores continuaro oferecendo risco
segurana.
relativamente fcil manter configurados e atualizados os computadores que permanecem no ambiente

de trabalho e esto sempre conectados mesma rede. Computadores que se conectam a redes
diferentes, especialmente redes no gerenciadas, so menos fceis controlar. Por exemplo, difcil de
controlar laptops que os usurios utilizam para se conectar a redes de clientes ou pontos de acesso Wi-Fi
pblicos. Alm disso, computadores no gerenciados tentando se conectar remotamente rede, como
usurios que se conectam a partir de computadores domsticos, tambm so um desafio.
A NAP (Proteo de Acesso Rede) permite criar polticas personalizadas de requisitos de integridade
para validar a integridade do computador antes de permitir o acesso ou a comunicao. Alm disso, a
NAP atualiza automaticamente computadores compatveis para garantir a conformidade contnua e
limitar o acesso de computadores incompatveis a uma rede restrita at que se tornem compatveis.
Objetivos
Descrever como a NAP pode ajudar a proteger sua rede.
Descrever os vrios processos de aplicao da NAP.
Configurar NAP.
Monitorar a NAP e solucionar problemas relacionados.
Lio 1
Viso geral da Proteo de Acesso Rede
9-2
NAP uma plataforma de imposio de polticas interna dos sistemas operacionais Windows 8,
Windows 7, Windows Vista, Windows XP com Service Pack 3 (SP3), Windows Server 2008,
Windows Server 2008 R2 e Windows Server 2012. possvel usar a NAP para proteger ativos de rede com
mais eficincia, impondo a conformidade com os requisitos de integridade do sistema. A NAP fornece os
componentes de software necessrios para ajudar a garantir que os computadores conectados ou que se
conectam rede permaneam gerenciveis, de maneira que no se tornem um risco segurana da rede
corporativa e a outros computadores conectados.
A compreenso da funcionalidade e das limitaes da NAP ajudar a proteger a rede dos riscos
segurana impostos por computadores incompatveis.
Objetivos da lio
Explicar como possvel usar a NAP para impor requisitos de integridade do computador.
Descrever os cenrios nos quais voc usaria a NAP.
Descrever os mtodos de imposio da NAP.
Descrever a arquitetura de uma infraestrutura de rede habilitada para NAP.
O que a Proteo de Acesso Rede?

A NAP fornece componentes e uma API (interface
de programao de aplicativo) que podem ajudar
a impor conformidade com as polticas do
requisito de integridade da organizao para
acesso rede ou comunicao.
A NAP permite criar solues para validar
computadores que se conectam s redes e
fornecem atualizaes necessrias ou acesso a
recursos de atualizao de integridade
necessrios. Alm disso, a NAP permite limitar o
acesso ou a comunicao de computadores no
compatveis.
Voc pode integrar os recursos de imposio da NAP com software de outros fornecedores ou com
programas personalizados.
importante lembrar que a NAP no protege uma rede contra usurios mal-intencionados. Em vez disso,
ela ajuda voc a manter automaticamente a integridade dos computadores em rede na sua organizao,
o que ajuda a manter a integridade geral da rede. Por exemplo, se tiver todas as configuraes e software
exigidos pela poltica de integridade, um computador ser compatvel e ter acesso ilimitado rede. No
entanto, a NAP no impede um usurio autorizado com um computador compatvel de carregar um
programa mal-intencionado na rede ou de empregar outro comportamento inapropriado.
Como usar o NAP

possvel usar a NAP de trs maneiras distintas:
9-3
Para validar o estado de integridade. Quando um computador tenta se conectar rede, a NAP valida
o estado de integridade do computador em relao s polticas de requisito de integridade definidas
pelo administrador. Voc tambm pode definir o que dever ser feito no caso de incompatibilidade
de um computador. Em um ambiente somente de monitoramento, todos os computadores tm o
estado de integridade avaliado e a NAP registra o estado de conformidade de cada computador para
anlise. Em um ambiente de acesso limitado, os computadores em conformidade com as polticas de
requisito de integridade tm acesso ilimitado rede. Os computadores fora de conformidade com as
polticas de requisito de integridade podem ter o acesso limitado a uma rede restrita.
Para impor a conformidade com a poltica de integridade. possvel ajudar a garantir a conformidade
com polticas de requisito de integridade optando por atualizar computadores no compatveis
automaticamente com atualizaes de software no encontradas ou alteraes de configurao por
meio do software de gerenciamento, como Microsoft System Center Configuration Manager. Em um
ambiente somente de monitoramento, a NAP ir garantir que os computadores atualizem o acesso
rede antes de receberem atualizaes obrigatrias ou alteraes de configurao. Em um ambiente
de acesso limitado, os computadores incompatveis tm acesso limitado at que as atualizaes e
alteraes de configurao sejam concludas. Em ambos os ambientes, os computadores em
conformidade com a NAP podem se tornar compatveis de forma automtica e voc pode definir
excees para computadores que no so compatveis com a NAP.
Para limitar o acesso rede. voc pode proteger suas redes limitando o acesso de computadores no
compatveis. Voc pode basear o acesso limitado rede em um perodo especfico ou nos recursos
que o computador incompatvel poder acessar. Nesse ltimo caso, voc define uma rede restrita que
contenha os recursos de atualizao de integridade, e o acesso limitado durar at o computador se
tornar compatvel. Tambm possvel configurar excees para que os computadores que no forem
compatveis com a NAP no tenham acesso limitado rede.
Cenrios de NAP
O NAP fornece uma soluo para os cenrios
comuns, como laptops em roaming,
computadores desktop, laptops visitantes e
computadores no gerenciados. Dependendo das
suas necessidades, voc pode configurar uma
soluo para atender a alguns ou a todos esses
cenrios de rede.
Laptops em roaming
9-4
Portabilidade e flexibilidade so as duas principais vantagens de um laptop, mas esses recursos tambm
apresentam uma ameaa integridade do sistema. Os usurios conectam seus laptops a outras redes com
frequncia. Enquanto os usurios esto fora da sua organizao, os respectivos laptops podem no
receber as atualizaes mais recentes de software ou as alteraes de configurao. Alm disso, a
exposio s redes sem proteo, como a Internet, pode representar para os laptops ameaas
relacionadas segurana. A NAP permite verificar o estado de integridade de qualquer laptop quando ele
se reconecta rede da organizao, seja por meio de uma VPN (rede virtual privada), uma conexo
DirectAccess do Windows 8 ou conexo de rede do local de trabalho.
Computadores desktop
Embora normalmente no usem computadores desktop fora do prdio da empresa, os usurios ainda
podem representar uma ameaa rede. Para minimizar essa ameaa, voc deve manter esses
computadores com o software e as atualizaes mais recentes necessrios. Caso contrrio, esses
computadores podero ser infectados por meio de sites, emails, arquivos de pastas compartilhadas e
outros recursos de acesso pblico. possvel usar a NAP para automatizar as verificaes do estado de
integridade para verificar a conformidade de cada computador desktop com as polticas de requisito de
integridade. Voc pode verificar arquivos de log para determinar os computadores incompatveis. Alm
disso, usando o software de gerenciamento, possvel gerar relatrios automticos e atualizar
computadores no compatveis automaticamente. Ao alterar as polticas de requisito de integridade, voc
pode configurar a NAP para provisionar computadores automaticamente com as atualizaes mais
recentes.
Laptops de visitantes
As organizaes geralmente precisam permitir que consultores, parceiros de negcios e convidados se

conectem s suas redes privadas. Os laptops que esses visitantes trazem para a sua organizao podem
no atender aos requisitos de integridade do sistema e podem apresentar riscos integridade. A NAP
permite determinar os laptops de visitantes que no forem compatveis e, nesse caso, limitar seu acesso a
redes restritas. Normalmente, voc no exige nem fornece atualizaes ou alteraes de configurao
para os laptops de visitantes. possvel configurar o acesso Internet dos laptops de visitantes, mas no
de outros computadores organizacionais que tm acesso limitado.
Computadores domsticos no gerenciados
Os computadores domsticos no gerenciados que no sejam membros do domnio Active Directory da

empresa podem se conectar a uma rede corporativa gerenciada por VPN. Esses computadores
apresentam mais um desafio, pois voc no pode acess-los fisicamente. A falta de acesso fsico dificulta
ainda mais a imposio da conformidade com os requisitos de integridade, como o uso de software
antivrus. No entanto, a NAP permite que voc verifique o estado de integridade de um computador
domstico toda vez que ele estabelece uma conexo VPN com a rede da empresa e limite o acesso desse
computador a uma rede restrita at que ele atenda aos requisitos de integridade do sistema.
Mtodos de imposio de NAP

Os componentes da infraestrutura de NAP,
conhecidos como clientes de imposio e
servidores de imposio, exigem a validao do
estado de integridade e impem acesso limitado
rede aos computadores incompatveis. Windows 8,
Windows 7, Windows Vista, Windows XP with SP3,
Windows Server 2008, Windows Server 2008 R2 e
Windows Server 2012 incluem suporte NAP para
os seguintes mtodos de comunicao ou acesso
rede:
9-5
Trfego protegido por IPsec. A imposio do

IPsec (Internet Protocol security) restringe a
comunicao a computadores compatveis depois que eles se conectarem com xito e obterem uma
configurao de endereo IP vlida. A imposio IPsec a forma mais forte de acesso ou
comunicao limitados rede na NAP.
Conexes de rede autenticadas pelo IEEE (Institute of Electrical and Electronics Engineers) 802.1X. A
imposio do IEEE 802.1X exige que um computador seja compatvel para obter acesso rede
ilimitado por meio de uma conexo de rede autenticada por IEEE 802.1X. Entre os exemplos desse
tipo de conexo de rede esto um comutador Ethernet de autenticao ou um PA (ponto de acesso)
sem fio IEEE 802.11.
Conexes VPN de acesso remoto. A imposio da VPN exige que um computador seja compatvel
para obter acesso ilimitado rede por meio de uma conexo VPN de acesso remoto. Para
computadores no compatveis, o acesso rede limitado por um conjunto de filtros de pacote IP
que o servidor VPN aplica conexo VPN.
Conexes do DirectAccess. As conexes do DirectAccess exigem que um computador seja compatvel

para obter acesso ilimitado rede por meio de um servidor DirectAccess. Para computadores no
compatveis, o acesso rede limitado ao conjunto de computadores que foram definidos como
servidores de infraestrutura usando o tnel de infraestrutura. Os computadores compatveis podem
criar o tnel de intranet separado que fornece acesso ilimitado aos recursos da intranet. As conexes
do DirectAccess usam a imposio IPsec.
Configuraes de endereo DHCP (Dynamic Host Configuration Protocol). A imposio do DHCP exige
que um computador seja compatvel para obter uma configurao de endereo protocolo IP verso 4
(IPv4) com acesso ilimitado de um servidor DHCP. No caso de computadores incompatveis, o acesso
rede restrito com uma configurao de endereo IPv4 que limita o acesso rede restrita.
Esses mtodos de acesso rede ou de comunicao, ou mtodos de imposio da NAP, so teis

separadamente ou juntos para limitar o acesso ao computador ou comunicao no compatvel. Um
servidor que executa o NPS (Servidor de Polticas de Rede) no Windows Server 2012 funciona como um
servidor de polticas de integridade para todos esses mtodos de imposio da NAP.
Arquitetura da plataforma NAP

A tabela a seguir descreve os componentes de
uma infraestrutura de rede habilitada para NAP.
Componentes
Clientes NAP
Pontos de imposio
de NAP
Descrio
9-6
Esses computadores do suporte plataforma NAP para comunicao e para

validao antes do acesso rede de integridade de um sistema.
Eles so computadores ou dispositivos de acesso rede que usam NAP ou

que possvel usar com NAP para exigir a avaliao do estado de
integridade de um cliente NAP e que permitem a comunicao ou o acesso
rede restrita. Os pontos de imposio da NAP usam um NPS que funciona
como um servidor de polticas de integridade da NAP para avaliar o estado
de integridade dos clientes NAP, seja para permitir o acesso rede ou a
comunicao, e o conjunto de aes de correo que um cliente NAP no
compatvel deve realizar.
Os pontos de imposio de NAP incluem o seguinte:
o
HRA (Autoridade de Registro de Integridade). Um computador que

executa o Windows Server 2012 e o IIS (Servios de Informaes da
Internet) e obtm certificados de integridade de uma AC (autoridade de
certificao) para computadores compatveis.
Servidor VPN. Um computador que executa o Windows Server 2012 e o

Roteamento e Acesso Remoto e que habilita conexes VPN de acesso
remoto da intranet por meio de acesso remoto.
Servidor DHCP. Um computador que executa o Windows Server 2012 e o

servio Servidor DHCP, alm de fornecer configurao automtica de
endereo IPv4 aos clientes DHCP da intranet.
Dispositivos de acesso rede. Eles so comutadores Ethernet ou pontos

de acesso sem fio compatveis com a autenticao IEEE 802.1X
(continuao)
Componentes
Descrio
9-7
Servidores de
polticas de
integridade de NAP
So computadores que executam o Windows Server 2012 e o servio NPS;

armazenam polticas de requisito de integridade e fornecem a validao do
estado de integridade para a NAP. O NPS substitui o IAS (Servio de
Autenticao da Internet), bem como o proxy e servidor RADIUS fornecidos
pelo Windows Server 2003.
O NPS tambm funciona como um servidor AAA (autenticao, autorizao e
contabilizao) para acesso rede. Quando atua como um servidor AAA ou
um servidor de polticas de integridade de NAP, o NPS normalmente
executado em um servidor separado para a configurao centralizada do
acesso rede e das polticas de requisito de integridade. O servio NPS
tambm executado em pontos de imposio NAP, com base no Windows
Server 2012, que no tm um cliente RADIUS interno, como um servidor HRA
ou DHCP. No entanto, nessas configuraes, o servio NPS age como um
proxy RADIUS para trocar mensagens RADIUS com um servidor de polticas de
integridade de NAP.
Servidores de
requisitos de
integridade
Esses computadores fornecem o estado de integridade atual do sistema para

servidores de poltica de integridade NAP. Um exemplo um servidor de
requisitos de integridade para um programa antivrus que procura a verso
mais recente do arquivo de assinatura do antivrus.
AD DS
Esse servio de diretrio do Windows armazena credenciais e propriedades de

contas, alm de configuraes da Poltica de Grupo. Embora no seja
necessrio para a validao do estado de integridade, o Active Directory
exigido para comunicaes protegidas por IPsec, conexes autenticadas por
802.1X e conexes VPN de acesso remoto.
Dispositivos 802.1X
Autenticao de comutador Ethernet ou um PA sem fio IEEE 802.11.
Rede restrita
uma rede lgica ou fsica separada que contm:

o
Servidores de atualizaes. Esses computadores contm recursos de

atualizao de integridade que os clientes NAP podem acessar para
corrigir o estado de incompatibilidade. Os exemplos incluem servidores
de distribuio de antivrus e servidores de atualizao de software.
Clientes NAP com acesso limitado. Esses computadores so colocados na

rede restrita quando no atendem s polticas de requisitos de
integridade.
Lio 2
Viso geral dos processos de aplicao da NAP
9-8
Ao tentar acessar ou se comunicar na rede, um cliente precisa apresentar a conformidade com a

declarao de integridade ou a comprovao de integridade. Se um cliente no puder provar que est em
conformidade com os requisitos de integridade do sistema, como ter o sistema operacional mais recente
e as atualizaes de antivrus instalados, ser possvel limitar o acesso ou a comunicao na rede para
uma rede restrita que contm recursos de servidor. possvel restringir o acesso at voc resolver os
problemas de conformidade de integridade. Depois que as atualizaes forem instaladas, o cliente
solicitar acesso rede ou tentar a comunicao novamente. Se houver compatibilidade, o cliente
receber acesso ilimitado rede ou a comunicao ser permitida.
Objetivos da lio
Descrever os processos gerais de imposio da NAP.
Discutir a imposio IPsec.
Descrever a imposio 802.1x.
Explicar a imposio de VPN.
Discutir a imposio DHCP.
Processos de imposio de NAP

Seja qual for o formulrio de imposio de NAP
que voc selecionar, muitas das comunicaes
entre cliente e servidor so comuns. Os seguintes
pontos resumem essas comunicaes:
Entre um cliente NAP e um HRA

O cliente NAP envia seu estado de
integridade de sistema atual HRA e solicita
um certificado de integridade. Se o cliente for
compatvel, a HRA enviar o certificado de
integridade para o cliente NAP. Se o cliente
for incompatvel, a HRA enviar as instrues
corretivas ao cliente.
Entre um cliente NAP e um servidor de atualizaes

Embora o cliente NAP tenha acesso ilimitado intranet, ele acessa o servidor de atualizaes para
garantir que continua compatvel. Se o cliente NAP tiver acesso limitado, ele se comunicar com o
servidor de atualizaes para tornar-se compatvel, de acordo com as instrues do servidor de
poltica de integridade de NAP.
Entre uma HRA e um servidor de poltica de integridade de NAP
9-9
A HRA envia mensagens RADIUS para o servidor de poltica de integridade de NAP que contm o
estado de integridade do sistema do cliente NAP. O servidor de polticas de integridade NAP envia
mensagens RADIUS para indicar que o cliente NAP tem:
Acesso ilimitado porque compatvel. Com base na resposta, a HRA obtm um certificado de
integridade e, em seguida, o envia ao cliente NAP.
Acesso limitado at ele realizar um conjunto de funes de correo. Com base na resposta, a HRA
no emite um certificado de integridade para o cliente NAP.
Entre um dispositivo de acesso rede 802.1X e um servidor de polticas de integridade NAP
O dispositivo de acesso rede 802.1X envia mensagens RADIUS para transferir mensagens PEAP
(Protected Extensible Authentication Protocol) enviadas por um cliente NAP 802.1X. O servidor de
poltica de integridade de NAP envia mensagens RADIUS para:
Indicar que o cliente 802.1X tem acesso ilimitado porque compatvel.
Indicar um perfil de acesso limitado para inserir o cliente 802.1X em uma rede restrita at que ele
execute uma srie de funes de correo.
Enviar mensagens PEAP ao cliente 802.1X
Entre um servidor VPN e um servidor de poltica de integridade de NAP
O servidor VPN envia mensagens RADIUS para transferir mensagens PEAP enviadas por um cliente
NAP com base em VPN. O servidor de poltica de integridade de NAP envia mensagens RADIUS para:
Indicar que o cliente VPN tem acesso ilimitado porque compatvel.
Indicar que o cliente VPN tem acesso limitado por meio de um conjunto de filtros de pacotes IP
que so aplicados conexo VPN.
Enviar mensagens PEAP ao cliente VPN.
Entre um servidor DHCP e um servidor de poltica de integridade de NAP
O servidor DHCP envia as mensagens RADIUS do servidor de poltica de integridade de NAP que
contm o estado de integridade do sistema do cliente DHCP. O servidor de polticas de integridade
NAP envia mensagens RADIUS ao servidor DHCP para indicar que o cliente DHCP tem:
Acesso ilimitado porque compatvel.
Acesso limitado at ele realizar um conjunto de funes de correo.
Entre um servidor de polticas de integridade NAP e um servidor de requisitos de integridade:
Ao realizar a validao do acesso rede para um cliente NAP, o servidor de polticas de integridade
de NAP pode ter que entrar em contato com um servidor de requisitos de integridade para obter
informaes sobre os requisitos atuais para a integridade do sistema.
Comunicao com base no tipo de imposio

Dependendo do tipo de imposio selecionado, ocorre a seguinte comunicao:
Entre um cliente NAP e um dispositivo de acesso rede 802.1X
9-10 Implementao da Proteo de Acesso Rede
O cliente NAP executa autenticao da conexo 802.1X e fornece o estado de integridade de sistema
atual ao servidor de polticas de integridade NAP.
O servidor de polticas de integridade NAP fornece instrues corretivas (se o cliente 802.1X for
incompatvel) ou indica que o cliente 802.1X tem acesso ilimitado rede.
A NAP encaminha essas mensagens pelo dispositivo de acesso rede de 802.1X.
Entre um cliente NAP e um servidor VPN

O cliente NAP que atua como um cliente VPN indica seu estado de integridade de sistema atual ao
servidor de poltica de integridade de NAP.
O servidor de poltica de integridade de NAP responde com mensagens para fornecer instrues
corretivas (se o cliente VPN for incompatvel) ou para indicar que o cliente VPN tem acesso ilimitado
intranet.
A NAP encaminha essas mensagens pelo servidor VPN.
Entre um cliente NAP e um servidor DHCP

O cliente NAP, tambm o cliente DHCP, se comunica com o servidor DHCP para obter uma
configurao vlida de endereo IPv4 e para indicar o estado de integridade atual do sistema.
O servidor DHCP aloca uma configurao de endereo IPv4 para a rede restrita e fornece instrues
corretivas (se o cliente DHCP for incompatvel) ou ele aloca uma configurao de endereo IPv4 para
acesso ilimitado (se o cliente DHCP for compatvel).
Imposio IPsec
Com a imposio IPsec, um computador deve ser
compatvel para iniciar comunicaes com outros
computadores compatveis. Por conta da
imposio NAP com base em IPsec, possvel
definir requisitos para comunicaes protegidas
com computadores compatveis com base em
uma das seguintes caractersticas de comunicao:
Endereo IP
Nmero de porta TCP
Nmero da porta UDP
A imposio IPsec restringe a comunicao a

computadores compatveis, depois que eles tiverem se conectado com xito e obtido uma configurao
vlida de endereo IP. A imposio IPsec a forma mais forte de acesso ou comunicao limitados rede
na NAP.
9-11
Os componentes da imposio IPsec consistem em uma HRA que esteja executando o Windows Server
2012 e um cliente de imposio IPsec em um dos seguintes sistemas operacionais:
Windows XP Service Pack 3
Windows Vista
Windows 7
Windows 8
Windows Server 2008
Windows Server 2012
A HRA obtm certificados X.509 para clientes NAP quando os clientes provam que so compatveis. Em
seguida, esses certificados de integridade autenticam clientes NAP quando eles iniciam comunicaes
protegidas por IPsec com outros clientes NAP em uma intranet.
A imposio IPsec limita a comunicao para clientes NAP protegidos por IPsec, ignorando as tentativas
de comunicao enviadas por computadores que no podem negociar a proteo IPsec usando
certificados de integridade. Ao contrrio da imposio 802.1X e VPN, em que a imposio ocorre no
ponto de entrada da rede, cada computador executa a imposio IPsec. Como possvel usufruir as
configuraes de poltica IPsec, a imposio de certificados de integridade pode ser feita para qualquer
um dos seguintes:
Todos os computadores em um domnio
Computadores especficos em uma sub-rede
Um computador especfico
Um conjunto especfico de portas TCP ou UDP
Um conjunto de portas TCP ou UDP em um computador especfico
Consideraes para imposio de IPsec

Ao selecionar um mtodo de imposio da NAP IPsec, considere os seguintes pontos:
A imposio de IPsec mais complexa de implementar que outros mtodos de imposio, porque
exige uma HRA e uma AC.
Nenhum hardware adicional obrigatrio para implementar a imposio de IPsec. No h

necessidade de atualizar comutadores ou WAPs (Wireless Application Protocols), o que precisaria
fazer se voc selecionasse a imposio de 802.1X.
possvel implementar a imposio de IPsec em qualquer ambiente.
A imposio de IPsec muito segura e difcil de contornar.
possvel configurar IPsec para criptografar a comunicao para segurana adicional.
A imposio de IPsec aplicada comunicao IPv4 e IPv6.
Imposio 802.1x
Com a imposio de 802.1X, um computador deve
ser compatvel para obter acesso ilimitado rede
por meio de uma conexo de rede autenticada
com 802.1X, como a autenticao de um
comutador Ethernet ou um PA sem
fio IEEE 802.11.
Para os computadores no compatveis, o acesso

rede limitado por um perfil de acesso restrito
que a comutao Ethernet ou um AP sem fio
insere na conexo. O perfil de acesso restrito
pode especificar filtros de pacote IP ou um
ID (identificador) de VLAN (LAN virtual)
correspondente rede restrita. A imposio 802.1X impe requisitos de polticas de integridade toda vez
que um computador tenta uma conexo de rede autenticada por 802.1X. A imposio de 802.1X tambm
monitora ativamente o status de integridade do cliente NAP conectado e, em seguida, aplica o perfil de
acesso restrito conexo se o cliente se tornar incompatvel.
Os componentes da imposio de 802.1X consistem em NPS no Windows Server 2012 e em um cliente de

imposio Host EAP no Windows 8, no Windows 7, no Windows Vista, no Windows XP Service Pack 3, no
Windows Server 2008, no Windows Server 2008 R2 e no Windows Server 2012. A imposio de 802.1X
fornece acesso rede limitado para todos os computadores que acessam a rede por uma conexo
autenticada por 802.1X.
Para implementar a imposio de 802.1X, voc deve garantir que os comutadores de rede ou PAs sem fio
deem suporte autenticao de 802.1X. Os comutadores ou PAs sem fio funcionam como um ponto de
imposio para clientes NAP. O status de integridade do cliente enviado como parte do processo de
autenticao.
Quando um computador no for compatvel, o comutador colocar o computador em uma VLAN parte
ou usar filtros de pacote para restringir acesso apenas aos servidores de atualizaes.
Consideraes para imposio de 802.1X

Ao considerar o mtodo de imposio da NAP 802.1X, considere os seguintes pontos:
O comutador ou o PA sem fio que se conecta ao cliente impe o isolamento do computador no

compatvel. Isso dificulta muito o engano e, assim, o deixa muito seguro.
Use a imposio de 802.1X para computadores internos. Esse tipo de imposio apropriado a
computadores de rede local (LAN) com conexes com e sem fio.
No possvel usar a imposio de 802.1X caso os comutadores e os PAs sem fio no deem suporte
ao uso de 802.1X para autenticao.
Imposio VPN
A imposio VPN impe os requisitos de poltica
de integridade toda vez que um computador
tenta obter uma conexo VPN de acesso remoto
rede. A imposio VPN tambm monitora
ativamente o status de integridade do cliente NAP
e aplica os filtros de pacote IP da rede restrita
conexo VPN se o cliente se tornar incompatvel.
Os componentes de uma imposio VPN
consistem no NPS do Windows Server 2012 e em
um cliente de imposio VPN que faz parte do
cliente de acesso remoto no:
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2008
Windows Server 2012
9-13
A imposio VPN fornece um rgido acesso limitado rede para todos os computadores que acessam a
rede por meio de uma conexo VPN de acesso remoto. A imposio de VPN usa um conjunto de filtros
de pacote IP de acesso remoto para limitar o trfego de cliente VPN, de forma que ele s possa alcanar
os recursos na rede restrita. O servidor VPN aplica os filtros de pacote IP ao trfego IP recebido do cliente
VPN e descarta silenciosamente todos os pacotes no correspondentes a um filtro de pacote configurado.
Consideraes para imposio de VPN

Ao considerar o mtodo de imposio da NAP VPN considere os seguintes pontos:
A imposio de VPN mais apropriada a situaes nas quais voc j esteja usando a VPN.
improvvel que voc implemente conexes VPN em uma rede interna para usar a imposio
de VPN.
Use a imposio de VPN para garantir que membros do pessoal se conectem a partir de
computadores residenciais que no estejam inserindo malware rede. Os usurios no costumam
manter os computadores residenciais corretamente e eles podem representar um alto risco. Muitos
usurios no tm software antivrus ou no aplicam atualizaes do Windows regularmente.
Use a imposio de VPN para garantir que laptops em roaming no estejam inserindo malware na
rede. Os laptops em roaming esto mais suscetveis a malware do que computadores diretamente na
rede corporativa, porque eles talvez no possam baixar atualizaes de vrus e do Windows fora da
rede corporativa. Eles tambm tm mais chances de estarem em ambientes nos quais o malware
esteja presente.
Imposio DHCP
O DHCP impe os requisitos de poltica de
integridade toda vez que um cliente DHCP tenta
conceder ou renovar uma configurao de
endereo IP. A imposio DHCP tambm monitora
ativamente o status de integridade do cliente NAP
e, se o cliente se tornar incompatvel, renova a
configurao do endereo IPv4 para acesso
somente rede restrita.
Os componentes de uma imposio DHCP
consistem em um servio de imposio DHCP que
faz parte do servio Servidor DHCP no Windows
Server 2012 e em um cliente de imposio DHCP
que faz parte do servio Cliente DHCP no:
Windows 8
Windows 7
Windows Vista
Windows XP SP3
Windows Server 2008
Windows Server 2012
Como a imposio DHCP depende de uma configurao de endereo IPv4 limitada que um usurio com
acesso no nvel de administrador pode substituir, ela a forma mais fraca de acesso limitado rede na NAP.
A configurao de endereo DHCP limita o acesso rede do cliente DHCP por meio de sua tabela de
roteamento IPv4. A imposio DHCP define o valor da opo de Roteador DHCP como 0.0.0.0, de forma
que o computador no compatvel no ter um gateway padro configurado. Alm disso, essa imposio
define a mscara de sub-rede do endereo IPv4 alocado como 255.255.255.255, de forma que no haja
nenhuma rota para a sub-rede conectada.
Para permitir que o computador no compatvel acesse os servidores de atualizaes da rede restrita, o
servidor DHCP atribui a opo DHCP de Rotas Estticas sem Classe. Essa opo contm rotas de host para
os computadores da rede restrita, como o DNS e os servidores de atualizaes. O resultado do acesso
limitado rede por DHCP uma tabela de configurao e roteamento que permite a conectividade
somente para endereos de destino especficos que correspondem rede restrita. Portanto, quando um
aplicativo tenta fazer envios para um endereo IPv4 unicast que no seja nenhum dos fornecidos pela
opo Rotas Estticas sem Classe, o protocolo TCP/IP retorna um erro de roteamento.
Consideraes para imposio de DHCP

Ao considerar o mtodo de imposio da NAP DHCP considere os seguintes pontos:
A imposio de DHCP fcil de implementar e pode se aplicar a qualquer computador com um

endereo IP dinmico.
A imposio de DHCP fcil de evitar. Um cliente pode evitar a imposio de DHCP usando um
endereo IP esttico. Alm disso, um computador no compatvel poderia adicionar rotas de host
estticas para alcanar servidores que no sejam servidores de atualizaes.
A imposio de DHCP no possvel para clientes IPv6. Se os computadores na rede usam endereos
IPv6 para se comunicarem, a imposio de DHCP ser ineficiente.
Lio 3
Configurao de NAP
9-15
Se voc quiser que a implantao de NAP funcione de maneira ideal, ser importante que voc
compreenda o que cada um dos componentes NAP faz, alm de como eles interagem para proteger a
rede. Se quiser proteger a rede usando a NAP, voc precisar compreender os requisitos de configurao
do cliente NAP, bem como a maneira de configurar o NPS como um servidor de polticas de integridade
NAP, configurar polticas de integridade e polticas de rede, alm de definir as configuraes de cliente e
servidor. Tambm importante testar a NAP antes de us-la.
Objetivos da lio
Descrever SHVs (Validadores da Integridade do Sistema).
Explicar o uso de uma poltica de integridade.
Discutir o uso dos grupos de servidores de atualizaes.
Descrever os requisitos de configurao de cliente NAP.
Explicar como habilitar e configurar a NAP.
O que so Validadores da Integridade do Sistema?

Os SHAs (Agentes de Integridade do Sistema) e os
SHVs (Validadores da Integridade do Sistema), que
so componentes da infraestrutura da NAP,
fornecem o status e a validao do estado de
integridade. O Windows 8 inclui um Validador da
Integridade da Segurana do Windows SHA
que monitora as configuraes da Central de
Segurana do Windows. O Windows Server 2012
inclui um Validador da Integridade da
Segurana do Windows SHV correspondente.
O projeto da NAP a torna muito flexvel e

extensvel, alm de interoperar com software de
qualquer fornecedor que oferea SHAs e SHVs que usam a API da NAP. Um SHV recebe uma SoH
(declarao de integridade) e compara as informaes sobre o status da integridade do sistema dessa
declarao com o estado de integridade do sistema exigido. Por exemplo, se a SoH for proveniente de um
SHA do antivrus e contiver o nmero de verso mais recente do arquivo de assinatura de vrus, o SHV do
antivrus correspondente poder verificar o nmero da verso mais recente no servidor de requisitos de
integridade do antivrus para validar a declarao de integridade do sistema do cliente NAP.
O SHV retorna a uma resposta SoHR para o Servidor de Administrao de NAP. A SoHR pode conter
informaes de correo sobre como o SHA correspondente no cliente NAP pode atender aos requisitos
atuais de integridade do sistema. Por exemplo, a SoHR que o SHV do antivrus envia poderia instruir o
SHA do antivrus do cliente NAP a solicitar a verso mais recente, por nome ou endereo IP, do arquivo
de assinatura de antivrus de um servidor de assinatura de antivrus especfico.
O que uma poltica de integridade?

As polticas de integridade consistem em um ou
mais SHVs e em outras configuraes que
possvel usar para definir os requisitos de
configurao de computador cliente para
computadores compatveis com NAP que tentam
se conectar rede.
Quando os clientes compatveis com a NAP
tentam se conectar rede, o computador cliente
envia uma SoH ao NPS. A SoH um relatrio do
estado da configurao do cliente, e o NPS
compara a SoH com os requisitos que a poltica de
integridade define. Se o estado de configurao
do cliente no atender aos requisitos definidos
pela poltica de integridade, dependendo da configurao da NAP, a NAP:
Rejeitar a solicitao de conexo.
Colocar o cliente NAP em uma rede restrita, na qual ele poder receber atualizaes dos servidores
de atualizaes para ficar em conformidade com a poltica de integridade. Depois que o cliente NAP
entrar em conformidade e reenviar seu novo estado de integridade, o NPS o habilitar para conexo.
Permitir que o cliente NAP se conecte rede, apesar de no estar em conformidade com a poltica
de integridade.
Voc pode definir polticas de integridade do cliente para NPS adicionando um ou mais SHVs poltica
de integridade.
Depois de configurar uma poltica de integridade com um ou mais SHVs, voc poder adicion-la
condio de Polticas de Integridade de uma poltica de rede que pretenda usar para impor NAP quando
os computadores cliente tentarem se conectar rede.
O que so grupos de servidores de atualizaes?

Um grupo de servidores de atualizaes uma lista
de servidores da rede restrita que oferece
conformidade para clientes NAP incompatveis com
a sua poltica de integridade de cliente definida.
Um servidor de atualizaes hospeda as
atualizaes que um agente NAP pode usar para
tornar os computadores cliente compatveis com a
poltica de integridade, conforme definido pelo
NPS. Por exemplo, um servidor de atualizaes
pode hospedar assinaturas de antivrus. Se uma
poltica de integridade exigir que os
computadores cliente tenham as definies mais
recentes de antivrus, os seguintes elementos
trabalharo juntos para atualizar os computadores incompatveis:
Uma SHA de antivrus
Um SHV de antivrus
Um servidor de polticas de antivrus
O servidor de atualizaes
Configurao do cliente NAP

Lembre-se destas diretrizes bsicas ao configurar
clientes NAP:
9-17
Algumas implantaes de NAP que usam o

Validador da Integridade da Segurana do
Windows exigem a habilitao da Central
de Segurana. A Central de Segurana no
est includa no Windows Server 2008,
no Windows Server 2008 R2 ou no
Voc deve habilitar o servio Cliente de

Proteo de Acesso Rede ao implantar a
NAP emcomputadores cliente compatveis
com NAP.
necessrio configurar os clientes de imposio de NAP adequados nos computadores compatveis

com NAP.
Habilitao da Central de Segurana na Poltica de Grupo
Voc pode usar o procedimento Habilitar Central de Segurana na Poltica de Grupo para habilitar a
Central de Segurana em clientes compatveis com NAP usando a Poltica de Grupo. Algumas
implantaes de NAP que usam o Validador de Integridade de Segurana do Windows exigem a Central
de Segurana.
Para habilitar a Central de Segurana na Poltica de Grupo:
1.
2.
Na rvore de console, clique duas vezes em Poltica de Computador Local, clique duas vezes em
Configurao do Computador, em Modelos Administrativos, em Componentes do Windows e
em Central de Segurana.
3.
Clique duas vezes em Ativar a Central de Segurana (somente PCs no domnio), clique em
Habilitado e clique em OK.
Habilitao do servio Proteo de Acesso Rede em clientes
Voc pode usar o procedimento Habilitar o Servio Proteo de Acesso Rede em Clientes para habilitar
e configurar o servio NAP em computadores cliente compatveis com NAP. A implementao de NAP
requer a habilitao desse servio.
Para habilitar o servio Proteo de Acesso Rede em computadores cliente:
1.
Abra o Painel de Controle, clique em Sistema e Segurana, em Ferramentas Administrativas e

clique duas vezes em Servios.
2.
Na lista de servios, role para baixo e clique duas vezes em Agente de Proteo de Acesso Rede.
3.
Na caixa de dilogo Propriedades do Agente de Proteo de Acesso Rede, altere Tipo de

Inicializao para Automtico e clique em OK.
Habilitao e desabilitao de clientes de imposio de NAP

Voc pode usar o procedimento Habilitar e Desabilitar Clientes de Imposio de NAP para habilitar ou
desabilitar um ou mais clientes de imposio de NAP em computadores compatveis com NAP. Esses
clientes podem incluir:
Cliente de imposio DHCP
Cliente de Imposio de Acesso Remoto
Cliente de imposio EAP
Cliente de Imposio IPsec (tambm usado para conexes do DirectAccess)
Cliente de Imposio do Gateway dos Servios de Terminal (Gateway TS)
Para habilitar e desabilitar clientes de imposio de NAP:

1.
Abra o console de configurao do cliente da NAP (NAPCLCFG.MSC).
2.
Clique em Clientes de Imposio. No painel de detalhes, clique com o boto direito do mouse no
cliente de imposio a habilitar ou desabilitar e clique em Habilitar ou Desabilitar.
Observao: Para executar esse procedimento, voc deve ser membro do grupo
Administradores no computador local ou ter recebido a autoridade apropriada. Se o computador
estiver em um domnio, os membros do grupo Administradores do Domnio podero executar
esse procedimento. Como uma prtica recomendada de segurana, considere adotar esse
procedimento usando o comando Executar como.
Demonstrao: Configurao de NAP

Instalar a funo de servidor NPS.
Configurar o NPS como um servidor de poltica de integridade de NAP.
Configurar as polticas de integridade.
Configurar polticas de rede para computadores compatveis.
Configurar polticas de rede para computadores incompatveis.
Configurar a funo Servidor DHCP para NAP.
Definir as configuraes de NAP do cliente.
Testar a NAP.
Instalar a funo de servidor NPS
9-19
1.
Alterne para LON-DC1 e entre como um administrador de domnio.
2.
Abra o Gerenciador do Servidor e instale a funo Ferramentas de Servios de Acesso e Poltica

de Rede.
Configurar o NPS como um servidor de poltica de integridade de NAP

1.
2.
Configure o Validador da Integridade da Segurana do Windows para exigir que todos os

computadores com Windows 8 estejam executando um firewall.
Configurar as polticas de integridade

1.
Crie uma poltica de integridade chamada Compatvel cuja condio seja Cliente passa por todas
as verificaes SHV.
2.
Crie uma poltica de integridade chamada No compatvel cuja condio seja Cliente no passa em
uma ou mais verificaes SHV.
Configurar polticas de rede para computadores compatveis

1.
Desabilite as duas polticas de rede existentes. Elas interfeririam no processamento das polticas que
2.
Crie uma nova poltica de rede chamada Compliant-Full-Access com uma condio da poltica de
integridade Compatvel. Os computadores recebem acesso irrestrito.
Configurar polticas de rede para computadores incompatveis
Crie uma nova poltica de rede chamada Noncompliant-Restricted com uma condio da poltica
de integridade No compatvel. Os computadores recebem acesso restrito.
Configurar a funo Servidor DHCP para NAP

1.
Abra o console do DHCP.
2.
Modifique as propriedades do escopo IPv4 para dar suporte Proteo de Acesso Rede.
3.
Crie uma nova poltica DHCP que aloque opes de escopo DHCP apropriadas a computadores no
compatveis. Essas opes atribuem um sufixo DNS restricted.Adatum.com.
Definir as configuraes de NAP do cliente

1.
Habilite Cliente de Imposio de Quarentena DHCP em LON-CL1.
2.
Inicie o servio Agente de Proteo de Acesso Rede.
3.
Use o console Gerenciamento de Poltica de Grupo local para habilitar a Central de Segurana.
4.
Reconfigure LON-CL1 para obter um endereo IP de um servidor DHCP.
Testar a NAP
1.
Verifique a configurao obtida usando ipconfig.
2.
Desabilite e pare o servio Firewall do Windows.
3.
Na rea Bandeja do Sistema, clique no aviso pop-up Proteo de Acesso Rede. Revise as
informaes na caixa de dilogo Proteo de Acesso Rede. Clique em Fechar.
4.
Verifique a configurao obtida usando ipconfig.
5.
Observe que o computador tem uma mscara de sub-rede 255.255.255.255 e um sufixo DNS
restricted.Adatum.com. Deixe todas as janelas abertas.
Lio 4
Monitoramento e soluo de problemas da NAP
A soluo de problemas e o monitoramento da NAP so tarefas administrativas importantes, em virtude

dos diferentes nveis de tecnologia, incluindo especializao tcnica e pr-requisitos variados, para
cada mtodo de imposio de NAP. Os logs de rastreamento esto disponveis para NAP, mas esto
desabilitados, por padro. Esses logs servem para duas finalidades: soluo de problemas e avaliao
da integridade e da segurana de uma rede.
Objetivos da lio
Descrever como o rastreamento de NAP pode ajudar a monitorar e solucionar problemas de NAP.
Explicar como configurar o rastreamento NAP.
Solucionar problemas de NAP com Netsh.
Usar o log de eventos do NAP para solucionar problemas de NAP.
O que rastreamento de NAP?

Alm das diretrizes gerais anteriores, possvel
usar o console Configurao de Cliente NAP para
configurar o rastreamento de NAP. O
rastreamento registra eventos da NAP em um
arquivo de log e til na soluo de problemas e
manuteno. Alm disso, os logs de rastreamento
tambm podem ser usados para avaliar a
integridade e a segurana da rede. Voc pode
configurar trs nveis de rastreamento: Bsico,
Avanado e Depurao.
Habilite o rastreamento de NAP ao:
Solucionar problemas de NAP.
Avaliar a integridade e a segurana gerais dos computadores da organizao.
Alm do log de rastreamento, voc pode exibir os logs de contabilizao do NPS. Esses logs podem
conter informaes teis sobre a NAP. Por padro, os logs de contabilizao do NPS esto localizados em
%systemroot%\system32\logfiles.
Os logs a seguir podem conter informaes relacionadas NAP:
IASNAP.LOG. Ele contm dados detalhados sobre processos NAP, autenticao NPS e autorizao NPS.
IASSAM.LOG. Ele contm dados detalhados sobre autenticao e autorizao de usurio.
Demonstrao: Configurao do rastreamento de NAP
9-21
Duas ferramentas esto disponveis para a configurao do rastreamento de NAP. O console

Configurao de Cliente NAP faz parte da interface de usurio do Windows, e netsh uma ferramenta de
linha de comando.
Uso da interface de usurio do Windows
Voc pode usar a interface de usurio do Windows para habilitar ou desabilitar o rastreamento de NAP e
para especificar o nvel de detalhes registrados seguindo o seguinte procedimento:
1.
Abra o console da Configurao de Cliente NAP executando napclcfg.msc.
2.
Na rvore de console, clique com o boto direito do mouse em Configurao de Cliente NAP
(Computador Local) e clique em Propriedades.
3.
Na caixa de dilogo Propriedades de Configurao de Cliente NAP (Computador Local),

selecione Habilitado ou Desativado.
Observao: Para executar esse procedimento, voc deve ser membro do grupo Administradores
no computador local ou ter recebido a autoridade apropriada. Como uma prtica recomendada de
segurana, considere executar essa operao usando o comando Executar Como.
4.
Se Habilitado for escolhido, em Especifique o nvel de detalhamento para a gravao dos logs de
rastreamento, selecione Bsico, Avanado ou Depurar.
Uso de uma ferramenta de linha de comando
Para usar uma ferramenta de linha de comando para habilitar ou desabilitar o rastreamento de NAP e
especificar o nvel de detalhes registrados, execute as etapas a seguir:
1.
Abra um prompt de comando com privilgios elevados.
2.
Para habilitar ou desabilitar o rastreamento de NAP, siga um destes procedimentos:

o
Para habilitar o rastreamento de NAP e configurar o log bsico ou avanado, digite: netsh nap
client set tracing state=enable level =[advanced ou basic]
Para habilitar o rastreamento de NAP para informaes de depurao, digite: netsh nap client
set tracing state=enable level =verbose
Para desabilitar o rastreamento de NAP, digite: netsh nap client set tracing state=disable
Observao: Para executar esse procedimento, voc deve ser membro do grupo Administradores
no computador local ou ter recebido a autoridade apropriada. Como uma prtica recomendada de
segurana, considere executar essa operao usando o comando Executar Como.
Exibio de arquivos de log

Para exibir os arquivos de log, navegue at o diretrio %systemroot%\tracing\nap e abra o log de
rastreamento especfico que voc deseja exibir.
Demonstration
Configurar o rastreamento na GUI.
Configurar o rastreamento na linha de comando.
Configurar o rastreamento na GUI
1.
Em LON-CL1, abra o console NAPCLCFG [Configurao de Cliente NAP (Computador Local)].
2.
Nas propriedades de Configurao de Cliente NAP (Computador Local), habilite Rastreamento

avanado.
Configurar o rastreamento na linha de comando
Na janela do prompt de comando, digite netsh nap client set tracing state = enable e pressione
Enter.
Soluo de problemas do NAP

possvel usar as ferramentas a seguir para
solucionar problemas de NAP.
Comandos Netsh
Use o comando netsh NAP para ajudar na soluo
de problemas de NAP. O seguinte comando exibe
o status de um cliente NAP, inclusive:
Estado de restrio
Status dos clientes de imposio
Status de SHAs instalados
Grupos de servidores confiveis que foram

configurados
netsh NAP client show state
O seguinte comando exibe as definies de configurao local em um cliente NAP, inclusive:
Configuraes de criptografia
Configuraes de cliente de imposio
Configuraes de grupos de servidores confiveis
Configuraes de rastreamento de cliente que foram definidas

netsh NAP client show config
O seguinte comando exibe as definies de configurao da Poltica de Grupo em um cliente NAP,

inclusive:
Configuraes de criptografia
Configuraes de cliente de imposio
Configuraes de grupos de servidores confiveis
Configuraes de rastreamento de cliente que foram definidas

netsh NAP client show group
Soluo de problemas de NAP com logs de eventos

Os servios de NAP registram eventos
relacionados NAP nos logs de eventos do
Windows. Para exibir esses eventos, abra o
Visualizador de Eventos, selecione Modos de
Exibio Personalizados, Funes de Servidor e
Servios de Acesso e Poltica de Rede. Os
eventos a seguir fornecem informaes sobre
servios de NAP que esto em execuo em um
servidor NAP:
Identificao do Evento 6272. O Servidor de

Polticas de Rede concedeu acesso a um
usurio.
9-23
Ocorre quando um cliente NAP se autentica com xito e, dependendo de seu estado de integridade,
obtm acesso restrito ou total rede.
Identificao do Evento 6273. O Servidor de Polticas de Rede negou acesso a um usurio.
Ocorre quando surge um problema na autenticao ou na autorizao, associado a um cdigo de

motivo.
Identificao do Evento 6274. O Servidor de Polticas de Rede descartou a solicitao de um usurio.

Ocorre quando surge um problema de configurao, ou se as configuraes de cliente RADIUS
estiverem incorretas ou o NPS no conseguir criar logs de contabilidade.
Identificao do Evento 6276. O Servidor de Polticas de Rede colocou um usurio em quarentena.

Ocorre quando a solicitao de acesso do cliente corresponde a uma poltica de rede que est
configurada com uma definio de imposio de NAP de Permitir acesso limitado.
Identificao do Evento 6277. O Servidor de Polticas de Rede concedeu acesso a um usurio, mas o
colocou em experincia, pois o host no atendeu poltica de integridade definida.
configurada com uma definio de imposio de NAP de Permitir acesso total rede por tempo
limitado quando a data especificada na poltica tiver passado.
Identificao do Evento 6278. O Servidor de Polticas de Rede concedeu acesso total a um usurio,
pois o host atendeu poltica de integridade definida.
configurada com uma definio de imposio de NAP de Permitir acesso total rede.

Cenrio
Um escritrio de IT e um data center localizados em Londres para dar suporte ao escritrio matriz
e a outros locais. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor do
Para ajudar a aumentar os requisitos de segurana e conformidade, A. Datum deve estender a soluo
de VPN para incluir a NAP. Voc precisa estabelecer uma maneira de verificar e, se necessrio, colocar
automaticamente computadores clientes em conformidade sempre que se conectarem remotamente
usando a conexo VPN. Voc realizar essa meta usando o NPS para criar configuraes da validao de
integridade do sistema, polticas de rede e integridade e configurando a NAP para verificar e solucionar a
integridade do cliente.
Objetivos
Configurar componentes da NAP.
Configurar acesso VPN.
Definir das configuraes do cliente para dar suporte NAP.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-RTR
24411B-LON-CL2
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Realize as etapas de 2 a 4 para 24411B-LON-CL2 e 24411B-LON-RTR.
Exerccio 1: Configurao dos componentes da NAP

Cenrio
9-25
Como a primeira etapa na implementao de conformidade e segurana, voc deve configurar

componentes da NAP, como requisitos de certificado, polticas de integridade e rede, alm de polticas de
solicitao de conexo.
1.
Configurar requisitos de certificado de servidor e cliente
2.
Configurar as polticas de integridade
3.
Configurar polticas de rede
4.
Configurar polticas de solicitao da VPN
Tarefa 1: Configurar requisitos de certificado de servidor e cliente

1.
Alterne para o servidor virtual LON-DC1.
2.
Abra a ferramenta certification authority.
3.
No Console de Modelos de Certificado, abra as propriedades do modelo de certificado Computador.
4.
Na guia Segurana, conceda ao grupo Usurios autenticados a permisso Permitir Registro.
5.
6.
Feche a ferramenta Autoridade de Certificao.
Tarefa 2: Configurar as polticas de integridade

1.
Alterne para o computador LON-RTR.
2.
Crie um console de gerenciamento executando mmc.exe.
3.
Adicione o snap-in Certificados com foco na conta do computador local.
4.
Navegue at o repositrio de certificados Pessoal e Solicitar novo certificado.
5.
Na pgina Selecionar Poltica de Registro de Certificado, clique em Poltica de Registro do

6.
Registre o certificado Computador listado.
7.
Feche o console e no salve as configuraes do console.
8.
Usando Gerenciador do Servidor, instale o Servidor NPS com os seguintes servios de funo:
o
9.
Abra o console do Servidor de Polticas de Rede.
10. Em Proteo de Acesso Rede, abra a Configurao Padro do Validador da Integridade da

Segurana do Windows.
11. Na guia Windows 8/Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto
Firewall habilitado para todas as conexes de rede.
12. Crie uma poltica de integridade com as seguintes configuraes:

o
Nome: Compatvel
Verificaes de SHV de cliente: Cliente aprovado em todas as verificaes de SHV
SHVs usados nesta poltica de integridade: Validador de Integridade de Segurana do

Windows
13. Crie uma poltica de integridade com as seguintes configuraes:

o
Nome: No compatvel
Verificaes de SHV de cliente: Cliente reprovado em uma ou mais verificaes de SHV
SHVs usados nesta poltica de integridade: Validador de Integridade de Segurana do

Windows
Tarefa 3: Configurar polticas de rede

1.
Desabilite todas as polticas de rede existentes.
2.
Configure uma nova poltica de rede com as seguintes definies:
3.
Nome: Acesso Completo por Compatibilidade
Condies: Polticas de Integridade, Compatvel
Permisses de acesso: Acesso concedido
Configuraes: Imposio de NAP, Permitir acesso total rede
Configure uma nova poltica de rede com as seguintes definies:

o
Nome: Restrito por Incompatibilidade
Condies: Polticas de Integridade, No compatvel
Permisses de acesso: Acesso concedido
Configuraes: Imposio de NAP, Permitir acesso limitado est selecionado e Habilitar

correo automtica de computadores clientes no est selecionado.
Filtros IP: Filtro de entrada IPv4
Rede de destino: 172.16.0.10/255.255.255.255
Filtro de sada IPv4:

Rede de origem: 172.16.0.10/255.255.255.255
Tarefa 4: Configurar polticas de solicitao da VPN

1.
Desabilite as polticas de solicitao de conexo existentes.
2.
Crie uma nova Poltica de Solicitao de Conexo com as seguintes configuraes:

o
Nome da poltica: Conexes VPN
Condies, tipo de tnel: L2TP, SSTP e PPTP
Autenticar solicitaes neste servidor: Habilitada
Na pgina Especificar Mtodos de Autenticao, faa o seguinte:

a.
Selecione Substituir configuraes de autenticao da poltica de rede.
b.
Adicione Microsoft: EAP protegido (PEAP).
c.
Adicione Microsoft: Senha segura (EAP-MSCHAP v2).
d.
Edite Microsoft: EAP protegido (PEAP) para verificar se Impor Proteo de Acesso
Rede est habilitada.
Resultados: Depois desse exerccio, voc deve ter instalado e configurado os componentes da NAP
obrigatrios, criado as polticas de integridade e rede, alm das polticas de solicitao de conexo.
Exerccio 2: Configurao do acesso VPN

Cenrio
Depois de configurar a NAP, voc ir configurar um servidor VPN e habilitar o protocolo PING pelo
firewall para fins de teste.
1.
Configurar um servidor VPN
2.
Permitir PING para fins de teste
Tarefa 1: Configurar um servidor VPN

1.
Em LON-RTR, abra Roteamento e acesso remoto.
2.
Desabilite Roteamento e Acesso Remoto.
3.
Selecione Configurar e Habilitar Roteamento e Acesso Remoto.
4.
Use as definies a seguir para concluir a configurao:
9-27
a.
Selecione Acesso remoto (dial-up ou rede virtual privada).
b.
Marque a caixa de seleo VPN.
c.
Selecione a interface chamada Public e desmarque a caixa de seleo Habilitar a segurana na

interface selecionada configurando filtros de pacotes estticos.
d.
Em Atribuio de endereo IP, De um intervalo de endereos especificado: 172.16.0.100 a

172.16.0.110
e.
Conclua o processo aceitando padres ao receber um aviso e, clicando em OK para confirmar

todas as mensagens.
5.
No Servidor de Polticas de Rede, clique no n Polticas de Solicitao de Conexo e verifique se

Poltica do Servio de Roteamento e Acesso Remoto da Microsoft est desabilitado. Isso foi
criado automaticamente quando Roteamento e Acesso Remoto foi habilitado.
6.
Feche o console de gerenciamento Servidor de Polticas de Rede e, em seguida, o console

Roteamento e Acesso Remoto.
Tarefa 2: Permitir PING para fins de teste

1.
Em LON-RTR, abra Firewall do Windows com Segurana Avanada.
2.
Crie uma regra de entrada com as seguintes propriedades:
3.
Tipo: Personalizada
Todos os Programas
Tipo de protocolo: Escolha ICMPv4 e clique em Personalizar
Escopo padro
Ao: Permitir a conexo
Perfil padro
Nome: solicitao de eco ICMPv4
Feche o console do Firewall do Windows com Segurana Avanada.
Resultados: Aps este exerccio, voc dever ter criado um servidor VPN e configurado a comunicao
de entrada.
Exerccio 3: Definio das configuraes de cliente para oferecer suporte

NAP
Cenrio
Neste exerccio, voc permitir que um cliente VPN se conecte rede Adatum. Em seguida, voc ir
habilitar e configurar os componentes da NAP do lado do cliente obrigatrios.
1.
Habilitar um mtodo de imposio de NAP do cliente
2.
Estabelecer uma conexo VPN
Tarefa 1: Habilitar um mtodo de imposio de NAP do cliente
1.
Alterne para o computador LON-CL2.
2.
Execute a ferramenta Configurao de Cliente NAP (napclcfg.msc).
3.
Em Clientes de Imposio, habilite Cliente de Imposio de Quarentena EAP.
4.
Feche a ferramenta Configurao do Cliente NAP.
5.
Execute services.msc e configure o servio Agente de Proteo de Acesso Rede para inicializao
automtica.
6.
Inicie o servio.
7.
Feche o console de servios.
8.
Abra o Editor de Poltica Local (gpedit.msc) e habilite a configurao Poltica de Computador

Local/Configurao do Computador/Modelos Administrativos/Componentes do
Windows/Central de Segurana/Ativar a Central de Segurana (PCs em domnios somente).
9.
Feche o Editor de Poltica de Grupo Local.
Tarefa 2: Estabelecer uma conexo VPN

1.
2.
3.
Em LON-CL2, crie uma nova conexo VPN com as seguintes propriedades:

o
Endereo na Internet para se conectar a: 10.10.0.1
Permitir que outras pessoas usem esta conexo: Ativar
Depois de criar a VPN, modifique as configuraes exibindo as propriedades da conexo e

selecionando a guia Segurana. Use as definies a seguir para reconfigurar a VPN:
o
Tipo de autenticao: Microsoft: EAP protegido (PEAP) (criptografia habilitada)
Propriedades deste tipo de autenticao:
Validar certificado do servidor: Ativar
Conectar-se a estes servidores: Desativar
Mtodo de autenticao: Senha segura (EAP-MSCHAP v2)
Ativar Reconexo Rpida: Desativar
Impor Proteo de Acesso Rede: Ativar
Testar a conexo VPN:
9-29
Na janela Conexes de Rede, use a conexo Adatum VPN
Exiba os detalhes do Alerta de Segurana do Windows. Verifique se as informaes de certificado

corretas so exibidas, e clique em Conectar.
4.
No prompt de comando, execute ipconfig /all para verificar se Estado de Quarentena do Sistema
No Restrito.
5.
Ping 172.16.0.10.
6.
Desconecte a Adatum VPN.
7.
8.
Abra Servidor de Polticas de Rede.
9.
Na Configurao Padro do Validador da Integridade da Segurana do Windows, habilite a opo

Acesso restrito para clientes que no tm instaladas todas as atualizaes de segurana na
pgina Windows 8/Windows 7/Windows Vista.
10. Alterne para LON-CL2, e, em seguida, reconecte a VPN.
11. Execute o comando ipconfig /all para verificar se Estado de Quarentena do Sistema Restrito.
12. Desconecte a VPN.
Resultados: Depois deste exerccio, voc dever ter criado uma nova conexo VPN em LON-CL2 e
habilitado, alm de testado a NAP em LON-CL2.
estas etapas:
1.
2.
Reverter.
3.
4.

Perguntas de reviso
Pergunta:
Quais so as trs principais configuraes de cliente que voc precisa definir para a maioria
das implantaes de NAP?
Pergunta: Voc deseja avaliar a integridade e a segurana gerais dos computadores com
imposio de NAP. O que voc precisa fazer para comear a registrar eventos de NAP?
Pergunta: Em um computador cliente, quais etapas voc deve executar para garantir a
avaliao da integridade?
Ferramentas
Ferramenta
Use para
Onde encontrar
9-31
Servios
Habilitar e configurar o servio

NAP em computadores cliente.
Clique em Iniciar, em Painel de Controle, em

Sistema e Manuteno, em Ferramentas
Administrativas e clique duas vezes em
Servios.
Netsh nap
Usando netsh, possvel criar

scripts para configurar
automaticamente um conjunto de
NAPs, bem como para exibir a
configurao e o status do servio
do cliente NAP.
Abra uma janela de comando com direitos

administrativos e digite netsh c nap. Voc
pode digitar help para obter uma lista
completa de comandos disponveis.
Poltica de
Grupo
Algumas implantaes de NAP que

usam o Validador de Integridade
de Segurana do Windows exigem
a habilitao da Central de
Segurana.
Habilite a configurao Ativar a Central de

Segurana (PCs em domnios somente) nas
sees Configurao do Computador/Modelos
Administrativos/Componentes do
Windows/Central de Segurana da Poltica de
Grupo.

10-1
Mdulo 10
Otimizao de Servios de Arquivo
Contedo:
Viso geral do mdulo
10-1
Lio 1: Viso geral do FSRM
10-2
Lio 2: Uso do FSRM para gerenciar cotas, triagens de arquivos

e relatrios de armazenamento
10-9
Lio 3: Implementao de tarefas de classificao e gerenciamento

de arquivos
10-19
Laboratrio A: Configurao de cotas e triagem de arquivos

por meio do FSRM
10-26
Lio 4: Viso geral do DFS
10-30
Lio 5: Configurao de namespaces DFS
10-38
Lio 6: Configurao e soluo de problemas de DFS-R
10-43
10-47
10-52
Viso geral do mdulo

Os arquivos nos servidores esto constantemente mudando de acordo com o contedo adicionado,
removido e modificado.
A funo de servidor Servios de Arquivo e Armazenamento do Windows Server 2012 foi projetada para
ajudar administradores em um ambiente corporativo a gerenciar o volume de dados em constante
crescimento e mudana. Quando os requisitos de armazenamento mudam e os dados armazenados
tambm so alterados, voc precisa gerenciar uma infraestrutura de armazenamento cada vez maior e
complexa. Portanto, para atender s necessidades da organizao, voc precisa compreender e controlar
como os recursos de armazenamento existentes so usados.
Este mdulo apresenta o FSRM e o DFS (sistema de arquivos distribudo), duas tecnologias que possvel
usar para resolver e gerenciar esses problemas.
Objetivos
Descrever o FSRM.
Usar o FSRM para gerenciar cotas, triagens de arquivos e relatrios de armazenamento.
Implementar tarefas de classificao e gerenciamento de arquivos.
Descrever o DFS.
Configurar namespaces DFS.
Configurar a Replicao do DFS e solucionar problemas relacionados.
Lio 1
Viso geral do FSRM
10-2 Otimizao de Servios de Arquivo
FSRM um conjunto de ferramentas que permitem compreender, controlar e gerenciar a quantidade e o

tipo de dados armazenados nos servidores. Usando-se o FSRM, possvel colocar cotas em volumes de
armazenamento, fazer triagem de arquivos e pastas, gerar relatrios de armazenamento abrangentes,
controlar a infraestrutura de classificao de arquivos e usar tarefas de gerenciamento para executar aes
agendadas em conjuntos de arquivos. Essas ferramentas ajudam a monitorar recursos de armazenamento
existentes e auxiliam no planejamento e na implementao de futuras alteraes na poltica.
Objetivos da lio
Descrever desafios comuns do gerenciamento de capacidade.
Descrever os recursos disponveis dentro do FSRM.
Explicar como instalar e configurar o servio de funo do FSRM.
Noes bsicas sobre os desafios do gerenciamento de capacidade

Gerenciamento de capacidade um processo
proativo de determinar as necessidades de
capacidades atual e futura do ambiente de
armazenamento da empresa. medida que
aumentam o tamanho e a complexidade dos
dados, tambm aumenta a necessidade para
gerenciamento de capacidade. Para atender s
necessidades de capacidade de armazenamento
de sua organizao, voc precisa acompanhar a
capacidade de armazenamento disponvel, saber
quanto espao de armazenamento necessrio
para expanso futura e determinar como o
armazenamento do ambiente est sendo usado.
Desafios-chave do gerenciamento de capacidade

O gerenciamento de capacidade apresenta os seguintes desafios-chave:
10-3
Determinao do uso de armazenamento existente. Para gerenciar o ambiente de armazenamento e

garantir que voc seja capaz de realizar a tarefa de gerenciamento de capacidade mais simples,
necessrio compreender os requisitos de armazenamento atuais do ambiente. Saber quantos dados
esto sendo armazenados nos servidores, quais tipos de dados esto sendo armazenados e como
esses dados esto sendo usados formam o parmetro de comparao para avaliar os vrios aspectos
do gerenciamento de capacidade no ambiente.
Estabelecimento e imposio de polticas de uso de armazenamento. O gerenciamento de capacidade

inclui a garantia de que o ambiente de armazenamento esteja sendo usado em seu pleno potencial. O
gerenciamento do crescimento importante para garantir que o ambiente de armazenamento no
seja saturado pelo armazenamento de dados no planejado ou autorizado nos servidores. Dados de
mdia modernos, como udio, vdeo e arquivos grficos, consomem uma grande quantidade de espao
de armazenamento e, se desmarcado, o armazenamento no autorizado desses tipos de arquivos
poder consumir o espao de armazenamento necessrio ao uso comercial legtimo.
Previso de requisitos futuros Os requisitos de armazenamento esto em constante alterao. Novos

projetos e novas iniciativas organizacionais exigem um maior armazenamento. Novos aplicativos e
dados importados exigem armazenamento adicional. Caso voc no possa prever ou se preparar para
eventos assim, o ambiente de armazenamento talvez no atenda aos requisitos de armazenamento.
Superao dos desafios do gerenciamento de capacidade
Para superar esses desafios-chave, voc precisa implementar medidas de gerenciamento de capacidade
bsicas para gerenciar proativamente o ambiente de armazenamento e evitar que desafios se tornem
problemas. Esta uma lista das medidas de gerenciamento de capacidade que possvel usar para
gerenciar proativamente o ambiente de armazenamento:
Analisar como o armazenamento est sendo usado. A primeira etapa no gerenciamento de

capacidade analisar o ambiente de armazenamento atual. A anlise precisa comea com as
ferramentas apropriadas que fornecem informaes teis e organizadas referentes ao estado atual do
ambiente de armazenamento.
Definir as polticas de gerenciamento de recurso de armazenamento. Um conjunto robusto de

polticas necessrio para manter o ambiente de armazenamento atual e garantir que o crescimento
do armazenamento acontea de maneira gerencivel e previsvel. O impedimento da gravao de
arquivos no autorizados nos servidores, a garantia de que os dados sejam armazenados no local
certo e de que os usurios tenham o armazenamento obrigatrio so algumas das reas-chave que
as polticas de gerenciamento de capacidade podem resolver.
Implementar polticas para gerenciar o crescimento do armazenamento. Depois de implementar

polticas de gerenciamento de capacidade, voc precisa ter uma ferramenta efetiva para garantir que
as polticas sejam estabelecidas e impostas tecnicamente. As cotas colocadas no armazenamento de
dados de um usurio devem ser mantidas, os arquivos restritos devem ser impedidos de serem salvos
e os arquivos comerciais devem ser armazenados nos locais apropriados.
Implementar um sistema para relatrios e monitoramento. Estabelecer um sistema de relatrios e

notificao para informar como as polticas so impostas. Esses relatrios devem ser alm dos
relatrios referentes ao estado geral do sistema de gerenciamento de capacidade e da situao de
armazenamento dos dados.
Pergunta: Quais desafios de gerenciamento de capacidade voc enfrentou ou est
enfrentando no ambiente?
O que o FSRM?
FSRM um servio de funo da funo Servios
de Arquivo no Windows Server 2012. possvel
instal-lo como parte da funo Servios de
Arquivo usando-se o Gerenciador do Servidor.
Assim, possvel usar o console FSRM para
gerenciar o FSRM no servidor. O FSRM
deve funcionar como uma soluo de
gerenciamento de capacidade para o servidor
Windows Server 2012. Ele fornece um conjunto
robusto de ferramentas e recursos que permitem
gerenciar efetivamente e monitorar a capacidade
de armazenamento de seu servidor.
O FSRM contm cinco componentes que funcionam juntos para fornecer uma soluo de gerenciamento
de capacidade.
Gerenciamento de Cota
Gerenciamento de cota um componente que permite criar, gerenciar e obter informaes sobre cotas
que so usadas para definir limites de armazenamento em volumes ou pastas (e o respectivo contedo).
Definindo limites de notificao, possvel enviar notificaes por email, registrar em log um evento,
executar um comando ou script ou gerar relatrios quando os usurios se aproximam ou excedem uma
cota. O gerenciamento de cota tambm permite criar e gerenciar modelos de cota para simplificar o
processo de gerenciamento de cota.
Gerenciamento de Triagem de Arquivo
O gerenciamento de triagem de arquivo um componente que permite criar, gerenciar e obter

informaes sobre triagens de arquivo. possvel usar essas informaes para evitar que tipos de arquivo
especficos sejam armazenados em um volume ou pasta, ou notificar quando os usurios esto
armazenando esses tipos de arquivos. Quando os usurios tentam salvar arquivos no autorizados, a
triagem de arquivo pode bloquear o processo e notificar os administradores para possibilitar um
gerenciamento proativo.
Assim como o gerenciamento de cota, o gerenciamento de triagem de arquivo permite criar e gerenciar
modelos de triagem de arquivo para simplificar o gerenciamento de triagem de arquivo. Tambm
possvel criar grupos de arquivos que permitem gerenciar quais tipos de arquivo podem ser bloqueados
ou permitidos.
Gerenciamento de Relatrios de Armazenamento
10-5
O gerenciamento de relatrios de armazenamento um componente que permite agendar e configurar

relatrios de armazenamento. Esses relatrios fornecem informaes referentes aos componentes e
aspectos do FSRM, inclusive:
Uso de cota.
Atividade de triagem de arquivo.
Arquivos que podem afetar negativamente o gerenciamento de capacidade, como arquivos grandes,
duplicados ou no usados.
Arquivos de lista e filtro de acordo com proprietrio, grupo de arquivos ou uma propriedade de
arquivo especfica.
Observao: Os relatrios de armazenamento podem ser executados com base em uma

agenda ou possvel ger-los sob demanda.
Gerenciamento de Classificao
Gerenciamento de Classificao um componente que permite criar e gerenciar propriedades de

classificao que possvel atribuir aos arquivos. possvel atribuir valores de propriedade a arquivos
usando regras de classificao que podem ser se aplicadas sob demanda ou com base em uma agenda. A
classificao permite categorizar e gerenciar arquivos usando uma matriz ampla de propriedades para
identificar e agrupar os arquivos.
Tarefas de gerenciamento de arquivos
Com o componente das tarefas de gerenciamento de arquivos, possvel agendar e configurar tarefas
especficas, que podem automatizar o aplicativo ou a expirao de comandos personalizados, o que
possibilita procedimentos de gerenciamento de arquivos automatizados. As tarefas do gerenciamento de
arquivos aproveitam os recursos de gerenciamento de classificao para permitir excluir arquivos antigos
ou mover arquivos para um local especfico com base em uma propriedade do arquivo (nome ou tipo).
Observao: Os volumes gerenciados pelo FSRM devem ser formatados usando-se o sistema de
arquivos NTFS. O FSRM est presente no Windows Server 2003 Service Pack 1 (SP1) e mais recentes.
Demonstrao: Como instalar e configurar o FSRM

possvel instalar o FSRM no Windows 2012 adicionando o servio de funo FSRM dentro da funo
Servios de Arquivo e Armazenamento.
O FSRM tem vrias opes de configurao que se aplicam globalmente a todos os componentes
do FSRM.
possvel acessar essas opes usando as seguintes etapas:
1.
Abra o console do Gerenciador de Recursos de Servidor de Arquivos.
2.
No painel esquerdo, clique com o boto direito do mouse no n raiz Gerenciador de Recursos de
Servidor de Arquivos e clique em Configurar Opes.
Opes FSRM
Na caixa de dilogo de propriedades Opes do Gerenciador de Recursos de Servidor de Arquivos,

vrias guias permitem configurar diversos aspectos do FSRM. As seguintes guias esto disponveis na caixa
de dilogo de propriedades Opes do Gerenciador de Recursos de Servidor de Arquivos:
Guia Notificaes de Email. Esta guia permite fornecer o nome ou o endereo de um nome de
servidor SMTP, alm de outros detalhes que o FSRM usar para enviar notificaes por email.
Guia Limites de Notificao. Os limites de notificao permitem especificar um perodo que o FSRM
aguardar entre o envio de notificaes para evitar notificaes em excesso de uma cota excedida
repetidamente ou de uma deteco de arquivo no autorizado. Isso permite definir valores separados
para notificaes por email, entradas registradas no log de eventos, comandos executados ou
relatrios gerados. O valor padro de cada 60 minutos.
Guia Relatrios de Armazenamento. Esta guia permite configurar e exibir os parmetros padro de
qualquer relatrio de armazenamento existente. Guia Locais de Relatrio. Esta guia permite exibir e
modificar o local no qual os trs tipos diferentes de relatrios de armazenamento so armazenados:
relatrios de incidentes, relatrios agendados e relatrios sob demanda. Por padro, cada categoria
armazenada na prpria pasta: %systemdrive%\Relatrios de Armazenamento.
Observao: Caso o FSRM gere um nmero grande de relatrios de armazenamento, convm

realocar as pastas de relatrios de armazenamento para outro volume fsico a fim de diminuir a carga
de E/S (entrada/sada) em disco no volume do sistema. Tambm convm alterar o local caso o tamanho
dos relatrios de armazenamento cause um problema de capacidade no volume do sistema.
Guia Auditoria da Triagem de Arquivo. Nesta guia, uma nica caixa de seleo permite habilitar ou
desabilitar a gravao da atividade de triagem de arquivo no banco de dados de auditoria. possvel
exibir a atividade de triagem de arquivo resultante durante a execuo do relatrio Auditoria da
Triagem de Arquivo no Gerenciamento de Relatrios de Armazenamento.
Guia Classificao Automtica. Esta guia permite fornecer uma agenda que controla a classificao
automtica dos arquivos. Dentro da guia, possvel especificar quais logs gerar, alm de se e como
gerar um relatrio do processo de classificao.
Guia Assistncia de Acesso Negado. Esta guia permite fornecer uma mensagem personalizada quando
o FSRM impede uma operao no nvel de arquivo como resultado de um gerenciamento de cota da
restrio de gerenciamento de triagem de arquivo.
Gerenciamento do FSRM
O gerenciamento de um servidor no qual o FSRM esteja em execuo normalmente acontece no local,

por meio do console Microsoft Management Console (MMC). Porm, h outras opes disponveis para
gerenciar um servidor no qual o FSRM esteja em execuo.
Gerenciamento do FSRM usando o Windows PowerShell

O Windows PowerShell 3.0 contm novos cmdlets para gerenciar o FSRM que estendem recursos
de gerenciamento a todos os aspectos do FSRM. O mdulo FileServerResourceManager para
Windows PowerShell instalado automaticamente em um computador Windows Server 2012
quando voc instala o servio de funo FSRM.
10-7
Os cmdlets do Windows PowerShell3.0 substituem a funcionalidade fornecida anteriormente pelos

executveis de linha de comando do FSRM dirquota.exe, filescrn.exe e storrpt.exe. Enquanto ainda
estavam presentes no Windows Server 2012, esses executveis foram substitudos e sero removidos em
uma verso futura do Windows Server. Portanto, voc deve criar solues de gerenciamento envolvendo
tarefas de linha de comando que usem os cmdlets do Windows PowerShell.
Para ver uma lista completa dos cmdlets do FSRM disponveis, execute o seguinte comando em uma
interface da linha de comando do Windows PowerShell:
Get-Command Module FileServerResourceManager
Gerenciamento remoto do FSRM

possvel se conectar remotamente a outro servidor no qual o FSRM esteja em execuo usando o
console do FSRM. Nele, voc gerencia o FSRM da mesma maneira que gerencia recursos no
computador local.
Para gerenciar o FSRM remotamente usando o console do FSRM:
Verifique se ambos os servidores esto executando o Windows Server 2008 R2 ou mais recente e se
tm o FSRM instalado.
Habilite a exceo Gerenciamento do Gerenciador de Recursos do Servidor de Arquivos Remoto

manualmente no Firewall do Windows pelo Painel de Controle ou usando a Poltica de Grupo.
Permita trfego RPC (chamada de procedimento remoto) por qualquer firewall entre os dois
servidores.
Entre no computador local com uma conta que seja membro do grupo Administradores local no
computador remoto.
Tambm possvel executar remotamente os cmdlets do Windows PowerShell do FRSM usando os

recursos remotos do Windows PowerShell.
Instalar o servio de funo FSRM.
Especificar as opes de configurao do FSRM.
Gerenciar o FSRM usando o Windows PowerShell.
Instalar o servio de funo FSRM
1.
Entre em LON-SVR1 como ADATUM\Administrador com a senha Pa$$w0rd.
2.
3.
Instale o servio de funo Gerenciador de Recursos de Servidor de Arquivos dentro da funo

Servios de Arquivo e Armazenamento.
Especificar as opes de configurao do FSRM

1.
2.
Abra a janela Opes do Gerenciador de Recursos de Servidor de Arquivos da instncia local do

Gerenciador de Recursos de Servidor de Arquivos.
3.
Habilite a auditoria de triagem de arquivo.
Gerenciar o FSRM usando o Windows PowerShell
Em um prompt de comando do Windows PowerShell, execute o seguinte comando:

set-FSRMSetting -SMTPServer server1 -AdminEmailAddress fileadmin@adatum.com FromEmailAddress fileadmin@adatum.com
Lio 2
10-9
Uso do FSRM para gerenciar cotas, triagens de arquivos e

relatrios de armazenamento
Os dados formam o componente principal da infraestrutura do servidor. Na maioria das circunstncias, a

infraestrutura do servidor fornece os dados contidos nos arquivos no servidor aos usurios ou aplicativos.
Independentemente dos arquivos serem adicionados aos servidores por usurios ou aplicativos, o
gerenciamento de cota pode ajudar a garantir que usurios e aplicativos s usem os espaos alocados
para eles. As triagens de arquivo no FSRM podem ajudar a controlar os tipos de arquivo que podem ser
armazenados na infraestrutura de arquivo e armazenamento, alm dos relatrios de armazenamento
permitirem fornecer relatrios detalhados sobre o gerenciamento de cota, a triagem de arquivo e vrios
outros aspectos da funcionalidade do FSRM.
Objetivos da lio
Descrever o gerenciamento de cota.
Descrever modelos de cota.
Explicar como monitorar o uso de cotas.
Descrever o gerenciamento de triagem de arquivo.
Descrever grupos de arquivos.
Descrever modelos de triagem de arquivo e excees de triagem de arquivo.
Descrever relatrios de armazenamento.
Descrever uma tarefa de relatrio.
Explicar como usar o FSRM para gerenciar cotas, triagens de arquivo e gerar relatrios de
armazenamento.
O que gerenciamento de cotas?

No FSRM, o gerenciamento de cota permite
limitar o espao em disco alocado para um
volume ou uma pasta. O limite de cota se aplica a
toda a subrvore da pasta.
Usando cotas, voc pode gerenciar restries de
capacidade em uma variedade de maneiras. Por
exemplo, possvel usar uma cota para garantir
que usurios individuais no consumam
quantidades excessivas de armazenamento com as
unidades locais ou para limitar a quantidade de
espao consumido por arquivos multimdia em
uma determinada pasta.
Tipos de cota
possvel criar dois tipos diferentes de cotas dentro do gerenciamento de cota:
10-10
Uma cota fixa impede os usurios de salvar arquivos depois que o limite de espao atingido e gera
notificaes quando o volume de dados atinge cada limite configurado.
Uma cota flexvel no aplica o limite de cota, mas gera notificaes configuradas.
Notificaes de cota
Para determinar o que acontece quando o limite de cota se aproxima, voc configura limites de
notificao. Para cada limite que voc define, voc pode enviar notificaes de email, registrar em log um
evento, executar um comando ou script, ou gerar relatrios de armazenamento. Por exemplo, convm
notificar o administrador e o usurio quando uma pasta atinge 85% do limite de cota e, em seguida,
enviar outra notificao quando o limite de cota for atingido. Em alguns casos, possvel executar um
script que eleve o limite de cota automaticamente quando esse limite for atingido.
Criao de cotas
Ao criar uma cota em um volume ou uma pasta, voc pode basear a cota em um modelo ou usar
propriedades personalizadas. Sempre que possvel, baseie uma cota em um modelo. possvel reutilizar
um modelo de cota para criar cotas adicionais, e isso simplifica a manuteno de cota contnua.
O FSRM tambm pode gerar cotas automaticamente. Quando voc configura uma cota de aplicao
automtica, aplica um modelo de cota a um volume pai ou pasta. Em seguida, uma cota baseada no
modelo criada para cada subpasta existente, e uma cota gerada automaticamente para cada nova
subpasta criada. Tambm possvel criar cotas usando-se o cmdlet do Windows PowerShell, NewFSRMQuota.
O que so Modelos de cota?

Os modelos de cota do FSRM do flexibilidade na
criao, no uso e no gerenciamento de modelos
para cotas. Um modelo de cota define um limite
espacial, o tipo de cota (fixa ou flexvel) e um
conjunto de notificaes a serem geradas quando
o limite de cota for atingido ou excedido.
Os modelos de cota simplificam a criao e a
manuteno de cotas. Usando um modelo de
cota, voc pode aplicar um limite de
armazenamento padro e um conjunto padro de
limites de notificao a muitos volumes e pastas
em servidores em toda a sua organizao.
Atualizao de cota com base no modelo
Se basear as cotas em um modelo, voc poder atualizar todas as cotas com base no modelo editando
esse modelo. Esse recurso simplifica o processo de atualizao das propriedades de cota oferecendo um
ponto central em que os administradores de IT podem fazer todas as alteraes.
Por exemplo, possvel criar um modelo de cota de usurio usado para colocar um limite de 200 MB na
pasta pessoal de cada usurio. Para cada usurio, voc iria criar uma cota com base no modelo de cota de
usurio e a atribuir pasta do usurio. Se, mais tarde, optar por permitir a cada usurio espao adicional
no servidor, voc s precisar alterar o limite de espao no modelo de cota de usurio e, em seguida,
escolher atualizar cada cota com base nesse modelo de cota.
Exemplos do modelo de cota

O FSRM fornece vrios modelos de cota. Por exemplo:
10-11
possvel usar o modelo Relatrios com Limite de 200 MB para o Usurio a fim de estabelecer um
limite de 200 MB na pasta pessoal de cada usurio e, em seguida, enviar relatrios de
armazenamento para usurios que excedam a cota.
Para algumas pastas, convm usar o modelo Limite de 200 MB com Extenso de 50 MB para
conceder uma extenso de cota de 50 MB nica a usurios que excedam o limite de cota de 200 MB.
Outros modelos padro foram projetados para monitorar o uso do disco por cotas flexveis, como o
modelo Monitorar Uso de Volume de 200 GB e o modelo Monitorar Compartilhamento de 500 MB.
Quando voc usa esses modelos, os usurios podem exceder o limite de cota, mas notificaes de
email e log de evento so geradas quando eles fazem isso.
Monitoramento do uso de cotas

Alm das informaes nas notificaes enviadas
por cotas, possvel saber mais sobre uso de cota
de vrias formas. possvel exibir as cotas no
gerenciamento de cota dentro do console do
FSRM, gerar um relatrio Uso da Cota ou criar
cotas flexveis para monitorar o uso geral do disco.
Tambm possvel usar um cmdlet do Windows
PowerShell.
Relatrio Uso da Cota
Use o relatrio Uso da Cota para identificar cotas

que possam ser alcanadas ou excedidas em breve
e, assim, tomar a ao apropriada. A gerao de
um relatrio Uso da Conta ser abordada com mais detalhes na lio Gerenciamento dos relatrios de
armazenamento.
Modelos para monitorar o uso do disco
Para monitorar o uso de discos de uma forma geral, voc pode criar cotas flexveis para volumes ou
compartilhamentos. O FSRM fornece os seguintes modelos padro que possvel usar (ou adaptar) com
essa finalidade.
Monitorar Uso de Volume de 200 GB
Monitorar Compartilhamento de 500 MB
Windows PowerShell
possvel usar o cmdlet Get-FSRMQuota para exibir cotas do FSRM existentes no servidor, alm das
estatsticas de cada cota.
O que Gerenciamento de Triagem de Arquivo?

O Gerenciamento de Triagem de Arquivo permite
criar triagens de arquivo para bloquear a gravao
dos tipos de arquivo em um volume ou em uma
rvore de pasta. Uma triagem de arquivo afeta
todas as pastas no caminho designado. Voc usa
grupos de arquivos para controlar os tipos de
arquivos que as triagens de arquivo gerenciam.
Por exemplo, voc pode criar uma triagem de
arquivo para impedir que os usurios armazenem
arquivos de udio e vdeo nas suas pastas pessoais
no servidor. Como todos os componentes do
FSRM, voc pode escolher gerar notificaes de
email ou outras quando ocorrer um evento de triagem de arquivo.
Tipos de triagem de arquivo

possvel configurar uma triagem de arquivo como ativa ou passiva:
A triagem ativa impede que usurios salvem tipos de arquivos no autorizados no servidor e gera
notificaes configuradas quando eles tentarem fazer isso.
A triagem passiva envia notificaes configuradas a usurios que esto salvando tipos de arquivos
especficos, mas no impede que os usurios salvem esses arquivos.
Consideraes sobre o gerenciamento de triagem de arquivo

Para simplificar o gerenciamento de triagem de arquivo, possvel basear as triagens de arquivo em
modelos de triagem de arquivo, que sero abordados posteriormente nesta lio.
10-12
Para obter flexibilidade adicional, possvel configurar uma exceo de triagem de arquivo em uma
subpasta de um caminho no qual voc criou uma triagem de arquivo. Ao colocar uma exceo de triagem
de arquivo em uma subpasta, voc permite que os usurios salvem tipos de arquivos, o que acabaria
sendo bloqueado pela triagem de arquivo aplicada pasta pai. Tambm possvel criar triagens de
arquivo no Windows PowerShell usando o cmdlet New-FSRMFileScreen.
Observao: Uma triagem de arquivo no impede que usurios e aplicativos acessem
arquivos que foram salvos no caminho antes da triagem de arquivo ter sido criada,
independentemente dos arquivos serem membros de grupos de arquivos bloqueados.
O que so grupos de arquivos?

Antes de comear a trabalhar com triagens de
arquivo, voc deve compreender a funo dos
grupos de arquivos na determinao de quais
arquivos so verificados. Voc usa um grupo de
arquivos a fim de definir um namespace para uma
triagem de arquivo ou uma exceo de triagem
de arquivo ou para gerar um relatrio de
armazenamento Arquivos por Grupo de Arquivos.
Caractersticas do grupo de arquivos

Um grupo de arquivos consiste em um conjunto
de padres de nome de arquivo, agrupados como
arquivos a serem includos e arquivos a serem
excludos:
Arquivos a serem includos: Arquivos aos quais o grupo de arquivos se aplica.
Arquivos a serem excludos: Arquivos aos quais o grupo de arquivos no se aplica.
10-13
Por exemplo, um grupo de arquivos Arquivos de udio pode incluir os seguintes padres de nome de
arquivo:
Arquivos a serem includos: *.mp*: Inclui todos os arquivos de udio criados nos formatos MPEG
atuais e futuros (MP2, MP3 e assim por diante).
Arquivos a serem excludos: *.mpp: Exclui arquivos criados no Microsoft Project (arquivos .mpp), que
seriam includos pela regra de incluso *.mp *.
O FSRM fornece vrios grupos de arquivos padro, que voc pode exibir em Gerenciamento de Triagem
de Arquivo clicando no n Grupos de Arquivos. possvel definir grupos de arquivos adicionais ou alterar
os arquivos para incluir ou excluir. As alteraes feitas em um grupo de arquivos afetam todas as triagens
de arquivo, modelos e relatrios existentes aos quais o grupo de arquivos foi adicionado.
Observao: Para comodidade, possvel modificar grupos de arquivos quando voc
editar as propriedades de uma triagem de arquivo, exceo de triagem de arquivo, modelo de
triagem de arquivo ou o relatrio Arquivos por Grupo de Arquivos. Observe que qualquer
alterao feita por voc em um grupo de arquivos nessas folhas de propriedades afetam todos os
itens que usam esse grupo de arquivos.
O que so modelos de triagem de arquivo e excees de triagem

de arquivo?
Voc usa modelos de triagem de arquivo e
excees de triagem de arquivo para expandir os
recursos de gerenciamento de triagem de arquivo
no FSRM.
Modelos de triagem de arquivo

Para simplificar o gerenciamento de triagens de
arquivos, voc pode criar suas triagens com base
em modelos de triagem de arquivo. Um modelo
de triagem de arquivo define o seguinte:
Os grupos de arquivos a serem bloqueados
Os tipos de triagens a serem realizadas
As notificaes a serem geradas
10-14
possvel configurar dois tipos de triagem em um modelo de triagem de arquivo. A triagem ativa no
permite que os usurios salvem arquivos relacionados aos grupos de arquivos selecionados configurados
por voc com o modelo. A triagem passiva permite que os usurios salvem arquivos, mas fornece
notificaes para monitorar.
O FSRM fornece vrios modelos de triagem de arquivo padro, os quais possvel usar para bloquear
arquivos de udio e vdeo, arquivos executveis, arquivos de imagem e arquivos de email para atender s
necessidades administrativas comuns. Para exibir os modelos padro, na rvore do console Gerenciador
de Recursos de Servidor de Arquivos, clique no n Modelos de Triagem de Arquivo.
Criando triagens de arquivo exclusivamente a partir de modelos, possvel gerenciar as triagens de
arquivo de maneira centralizada atualizando os modelos, em vez de triagens de arquivo individuais.
Observao: Voc cria triagens de arquivo a partir de modelos de triagem de arquivo,
assim como cria cotas a partir de modelos de cota.
Excees de triagem de arquivo
Haver situaes em que voc ter de permitir excees triagem de arquivo. Por exemplo, talvez voc
queira impedir arquivos de vdeo de um servidor de arquivos, mas precisa permitir que o grupo de
treinamento salve os arquivos de vdeo para ministrar o treinamento por computador. Para permitir arquivos
que esto sendo bloqueados por outras triagens de arquivo, crie uma exceo de triagem de arquivo.
Uma exceo de triagem de arquivo um tipo especial de triagem que substitui qualquer triagem de
arquivo que, de outra forma, seria aplicada a uma pasta e a todas as subpastas, em um caminho de
exceo designado. Ou seja, ela cria uma exceo a qualquer regra derivada de uma pasta pai. Para
determinar quais tipos de arquivo a exceo permitir, grupos de arquivos so atribudos.
Voc cria excees de triagem de arquivo escolhendo especificamente Criar Exceo da Triagem de
Arquivo a partir do n Triagens de Arquivos em Gerenciamento de Triagem de Arquivo no FSRM.
Observao: As excees de triagem de arquivo sempre substituem triagens de arquivo
por configuraes conflitantes. Por isso, voc deve planejar e implementar excees de triagem
de arquivo com cuidado.
O que so relatrios de armazenamento?

O FSRM pode gerar relatrioschamados de
relatrios de armazenamentoque ajudam a
compreender o uso do arquivo no servidor de
armazenamento. possvel usar relatrios de
armazenamento para monitorar padres de uso
de disco (por tipo de arquivo ou usurio),
identificar arquivos duplicados e inativos,
acompanhar o uso de cota e auditar a triagem de
arquivo.
10-15
No n Gerenciamento de Relatrios de
Armazenamento, possvel criar tarefas de
relatrio, que voc acaba usando para agendar
um ou mais relatrios peridicos, ou possvel gerar relatrios sob demanda. Para relatrios sob
demanda e agendados, os dados atuais so coletados antes do relatrio ser gerado. Os relatrios tambm
podem ser gerados automaticamente para notific-lo quando um usurio excede um limite de cota ou
salva um arquivo no autorizado.
Tipos de relatrio de armazenamento

A tabela a seguir descreve cada relatrio de armazenamento disponvel.
Relatrio
Descrio
Arquivos Duplicados
Este relatrio lista arquivos que parecem ser duplicados (arquivos com o
mesmo tamanho e hora da ltima modificao). Use este relatrio para
identificar e recuperar o espao em disco que perdido devido presena de
arquivos duplicados. Esse o nico relatrio no configurvel.
Auditoria de Triagem
de Arquivo
Este relatrio lista eventos de triagem de arquivo ocorridos no servidor

durante um determinado nmero de dias. Use esse relatrio para identificar
usurios ou aplicativos que violaram a poltica de triagem de arquivo.
Arquivos por Grupo

de Arquivos
Este relatrio lista arquivos que pertencem a grupos de arquivos especficos.

Use esse relatrio para identificar padres de uso de grupos de arquivos e
grupos de arquivos que ocupam muito espao em disco. Isso pode ajudar
voc a determinar as triagens de arquivo que devem ser configuradas no
servidor.
Arquivos por
Proprietrio
Este relatrio lista arquivos que esto agrupados por proprietrios. Use esse
relatrio para analisar padres de uso no servidor e para identificar usurios
que usem muito espao em disco.
Arquivos por
Propriedade
Este relatrio lista arquivos pelos valores de uma propriedade de classificao

especfica. Use este relatrio para observar padres de uso de classificao de
arquivos.
Pastas por
Propriedade
Este relatrio lista pastas pelo valor de uma propriedade de classificao

segura especfica. Use este relatrio para observar padres de classificao de
pasta.
Arquivos Grandes
Este relatrio lista arquivos que so de um tamanho especfico ou maior. Use

esse relatrio para identificar arquivos que esto consumindo a maior parte
do espao em disco no servidor. Isto pode ajudar a recuperar rapidamente
grandes quantidades de espao em disco.
(continuao)
Relatrio
Descrio
10-16
Arquivos Menos
Acessados
Recentemente
Este relatrio lista arquivos que no so acessados durante um determinado

nmero de dias. Isso pode ajudar a identificar dados usados raramente que
podem ser arquivados e removidos do servidor.
Arquivos Mais
Acessados
Recentemente
Este relatrio lista arquivos que so acessados em um nmero de dias

especificado. Use esse relatrio para identificar dados mais usados que devem
permanecer altamente disponveis.
Uso de Cota
Este relatrio lista cotas cujo uso mais alto do que uma porcentagem
especificada. Use esse relatrio para identificar cotas com altos nveis de uso
para que voc possa tomar as medidas apropriadas.
Configurao dos parmetros de relatrio
Exceto o relatrio Arquivos Duplicados, todos os relatrios tm parmetros de relatrio configurveis que
determinam o contedo no relatrio. Os parmetros variam conforme o tipo de relatrio. Para alguns
relatrios, possvel usar parmetros de relatrio para selecionar os volumes e as pastas para relatrio,
definir um tamanho de arquivo mnimo a ser includo ou restringir um relatrio a arquivos de
propriedade de usurios especficos.
Gravao de relatrios
Seja qual for o modo como voc gera um relatrio, ou se voc escolhe exibir o relatrio imediatamente, o
relatrio salvado no disco. Os relatrios de incidentes so salvos no formato DHTML (HTML Dinmico).
Voc pode salvar relatrios agendados e sob demanda em formatos DHTML, HTML, XML, CSV e texto.
Relatrios agendados, relatrios sob demanda e relatrios de incidentes so salvos em pastas separadas
dentro de um repositrio de relatrios designado.
Por padro, os relatrios so armazenados nos subdiretrios da pasta %Systemdrive%\StorageReports\.
Para alterar os locais de relatrio padro, na caixa de dilogo Opes do Gerenciador de Recursos de
Servidor de Arquivos, na guia Locais de Relatrio, especifique onde salvar cada tipo de relatrio de
armazenamento.
O que uma tarefa de relatrio?

Uma tarefa de relatrio um conjunto de
relatrios de gerenciamento de armazenamento
que executada com base em um agendamento.
A tarefa de relatrio especifica quais relatrios
devem ser gerados, quais parmetros devem ser
usados e quais volumes e pastas devem estar no
relatrio. A tarefa de relatrio tambm gera um
relatrio da frequncia de gerao dos relatrios e
em quais formatos de arquivo eles devem ser
salvos.
10-17
Quando voc agenda um conjunto de relatrios, os relatrios so salvos automaticamente no repositrio

de relatrios. Tambm possvel enviar os relatrios automaticamente por email para um grupo de
administradores.
possvel agendar tarefas de relatrio usando-se as etapas a seguir no FSRM.
1.
Clique no n Gerenciamento de Relatrios de Armazenamento.
2.
Clique com o boto direito do mouse em Gerenciamento de Relatrios de Armazenamento e

clique em Agendar uma Nova Tarefa de Relatrio. Tambm possvel clicar em Agendar uma
Nova Tarefa de Relatrio no painel Aes.
Observao: Para minimizar o impacto do processamento do relatrio em relao ao

desempenho do servidor, gere vrios relatrios na mesma data de forma que os dados sejam
coletados apenas uma vez.
Gerao de relatrios sob demanda
Durante operaes dirias, convm gerar relatrios sob demanda para analisar os diferentes aspectos do
uso de disco atual no servidor. Antes dos relatrios serem gerados, os dados atuais so coletados.
Quando voc gera relatrios sob demanda, os relatrios so salvos no repositrio de relatrios, mas
nenhuma tarefa de relatrio criada para uso posterior. possvel exibir os relatrios logo depois que
eles so gerados ou envi-los para um grupo de administradores por email.
Para gerar relatrios sob demanda:
1.
Clique no n Gerenciamento de Relatrios de Armazenamento.
2.
Clique com o boto direito em Gerenciamento de Relatrios de Armazenamento e clique em

Gerar Relatrios Agora (ou no painel Aes, clique em Gerar Relatrios Agora).
Observao: Ao gerar um relatrio sob demanda, voc pode aguardar os relatrios serem
gerados e exibi-los imediatamente. Se optar por abrir os relatrios imediatamente, voc dever
aguardar os relatrios serem gerados. O tempo de processamento varia de acordo com os tipos
de relatrios e o escopo de dados.
Demonstrao: Uso do FSRM para gerenciar cotas e triagens de arquivo,

alm de gerar relatrios de armazenamento sob demanda
Criar uma cota.
Testar uma cota.
Criar uma triagem de arquivo.
Testar uma triagem de arquivo.
Gerar um relatrio de armazenamento.
Criar uma cota
1.
2.
3.
4.
Crie uma cota com base no Limite de 100 MB na pasta E:\Labfiles\Mod10\Data.
Testar uma cota

1.
Abra o Windows PowerShell.
2.
Crie um novo arquivo, 130 MB na pasta E:\Labfiles\Mod10\Data usando o seguinte comando:

fsutil file createnew largefile.txt 130000000
3.
Feche o Windows PowerShell.
Criar uma triagem de arquivo
10-18
No Gerenciador de Recursos de Servidor de Arquivos, crie uma nova triagem de arquivo com base no
modelo de triagem de arquivo Bloquear Arquivos de Imagem
para E:\Labfiles\Mod10\Data.
Testar uma triagem de arquivo

1.
Abra o Microsoft Explorador de Arquivos.
2.
Navegue at E:\Labfiles\Mod10.
3.
Crie uma nova imagem de bitmap (.bmp) chamada testimage.
4.
Copie testimage e cole-a na pasta E:\Labfiles\Mod10\Data.
5.
Exiba e feche a janela de erro.
6.
Feche a janela do Explorador de Arquivos.
Gerar um relatrio de armazenamento

1.
Gere um relatrio sob demanda para Arquivos Grandes na unidade E.
2.
Exiba e feche o relatrio html.
3.
Feche o Gerenciador de Recursos de Servidor de Arquivos.
Lio 3
Implementao de tarefas de classificao e

gerenciamento de arquivos
10-19
A maioria dos aplicativos gerencia arquivos com base no diretrio no qual esto contidos. Isso leva a
layouts de arquivos complicados que requerem ateno de administradores. Esse layout tambm pode
resultar na frustrao entre os usurios. No Windows Server 2012, as tarefas Gerenciamento de
Classificao e Gerenciamento de Arquivos permitem aos administradores gerenciarem grupos de
arquivos com base em vrios atributos de arquivo e pasta. Com tarefas Gerenciamento de Classificao e
Gerenciamento de Arquivos, possvel automatizar tarefas de manuteno de arquivo e pasta, como
limpar dados obsoletos ou proteger informaes confidenciais.
Nesta lio, voc saber como as tarefas Gerenciamento de Classificao e Gerenciamento de Arquivos
funcionam juntas para facilitar o gerenciamento e a organizao dos arquivos e das pastas nos servidores.
Objetivos da lio
Descrever o gerenciamento de classificao.
Descrever propriedades de classificao.
Descrever uma regra de classificao.
Explicar como configurar o gerenciamento de classificao.
Identificar consideraes quanto ao uso da classificao de arquivo.
Descrever tarefas de gerenciamento de arquivos.
Explicar como configurar tarefas de gerenciamento de arquivos.
O que gerenciamento de classificao?

Para reduzir o custo e o risco associados ao
gerenciamento de dados, a infraestrutura
Classificao de Arquivos usa uma plataforma que
permite que os administradores classifiquem
arquivos e apliquem polticas com base nessa
classificao. O layout de armazenamento no
afetado por requisitos de gerenciamento de dados
e a organizao pode adaptar-se mais facilmente
a um ambiente regulatrio de negcio em
constante mudana.
O Gerenciamento de Classificao foi projetado

para diminuir a carga e o gerenciamento de dados
espalhados pela organizao. Usando o Gerenciamento de Classificao, possvel classificar arquivos de
vrias maneiras. Na maioria dos cenrios, voc realiza a classificao manualmente. No Windows Server
2012, o recurso Infraestrutura de Classificao de Arquivos permite que as organizaes convertam esses
processos manuais em polticas automatizadas. possvel especificar polticas de gerenciamento de
arquivos com base na classificao de um arquivo e aplicar requisitos corporativos para gerenciar dados
com base no valor comercial. Tambm possvel modificar as polticas facilmente e usar ferramentas que
deem suporte classificao para gerenciar arquivos.
Voc pode usar a classificao de arquivo para executar as seguintes aes:

1.
Definir propriedades de classificao e valores que podem ser atribudos a arquivos executando
regras de classificao.
2.
Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins de
classificao instalados.
10-20
Ao executar uma regra de classificao, voc pode reavaliar arquivos que j foram classificados. possvel
optar por substituir valores de classificao existentes ou adicionar o valor a propriedades que deem
suporte a vrios valores.
O que so propriedades de classificao?

As propriedades de classificao so usadas para
atribuir valores a arquivos. H muitos tipos de
propriedade para escolher. possvel definir essas
propriedades com base nas necessidades da
organizao. As propriedades de classificao so
atribudas a arquivos que usam regras de
classificao, abordadas no prximo tpico.
A seguinte tabela define os tipos de propriedade
disponveis e a poltica aplicada quando um
arquivo reclassificado:
Tipo de propriedade
Descrio
Sim/No
Uma propriedade Booliana que pode ter um valor SIM ou NO. Quando vrios
valores so integrados, um valor NO substitui um valor SIM.
Data-hora
Uma propriedade de data e hora simples. Quando vrios valores so

integrados, valores conflitantes impedem a reclassificao.
Nmero
Uma propriedade de nmero simples. Quando vrios valores so integrados,

valores conflitantes impedem a reclassificao.
Lista de mltipla
escolha
Uma lista de valores que podem ser atribudos a uma propriedade. Mais de um
valor pode ser atribudo a uma propriedade por vez. Quando vrios valores
so integrados, cada valor na lista usado.
Lista ordenada
Uma lista de valores fixos. Somente um valor pode ser atribudo a uma
propriedade por vez. Quando vrios valores so integrados, o valor mais alto
na lista usado.
Cadeia de
caracteres
Uma propriedade de cadeia de caracteres simples. Quando vrios valores so

integrados, valores conflitantes impedem a reclassificao.
Vrias cadeias de
caracteres
Uma lista de cadeias de caracteres que podem ser atribudas a uma

propriedade. Mais de um valor pode ser atribudo a uma propriedade por vez.
Quando vrios valores so integrados, cada valor na lista usado.
10-21
O que uma regra de classificao?

Uma regra de classificao atribui uma
propriedade de classificao a um objeto do
sistema de arquivos. Uma regra de classificao
inclui informaes que detalham quando atribuir
uma propriedade de classificao a um arquivo.
Propriedades-chave da regra de
classificao
Para definir o comportamento de uma regra de
classificao, se faa as seguintes perguntas:
A regra est habilitada? Na pgina

Propriedades da regra de classificao, na
guia Configuraes da Regra, a caixa de seleo Habilitada permite desabilitar ou habilitar
especificamente a regra de classificao.
Qual o escopo da regra? Na guia Configuraes da Regra, o parmetro Escopo permite selecionar
uma pasta ou pastas s quais a regra de classificao se aplicar. Quando executada, a regra
processa e tenta classificar todos os objetos do sistema de arquivos nesse local.
Que mecanismo de classificao a regra usar? Na pgina Propriedades da regra de classificao, na

guia Classificao, voc deve escolher um mtodo de classificao que a regra usar para atribuir a
propriedade de classificao. Por padro, existem dois mtodos para voc escolher:
o
Classificador de Pasta. O mecanismo classificador de pasta atribui propriedades a um arquivo

com base no caminho de pasta do arquivo.
Classificador de Contedo. O classificador de contedo procura cadeias de caracteres ou

expresses regulares em arquivos. Isso significa que o classificador de contedo classifica um
arquivo com base no contedo textual do arquivo, como se ele contm uma palavra, frase, valor
numrico ou tipo especfico.
Que propriedade a regra atribuir? A funo principal da regra de classificao atribuir uma
propriedade a um objeto de arquivo com base na maneira como a regra se aplica ao objeto de
arquivo. Na guia Classificao, voc deve especificar uma propriedade e o valor especfico que a
regra atribuir propriedade.
Quais parmetros de classificao adicionais sero usados? A base da lgica da regra est nos
parmetros de classificao adicionais. O clique no boto Avanado na guia Classificao abre a
janela Parmetros de Classificao Adicionais. Aqui, possvel especificar parmetros adicionais
inclusive cadeias de caracteres ou expresses regularesque, se encontrados no objeto do sistema de
arquivos, faro a regra se aplicar a ela prpria. Por exemplo, esse parmetro poderia ser a frase
Cadastro de Pessoas Fsicas ou qualquer nmero com o formato 000-00-000. Se esse parmetro for
localizado, o parmetro de classificao aplicar um valor SIM para uma propriedade de classificao
Confidencial ao arquivo. Essa classificao poderia ser aproveitada para realizar algumas tarefas no
objeto do sistema de arquivos, como mov-lo para um local seguro.
Um parmetro de classificao pode ser um destes trs tipos:
10-22
RegularExpression. Compare uma expresso regular usando a sintaxe do Microsoft .NET. Por exemplo,
\d\d\d ir comparar qualquer cadeia de caracteres de trs dgitos.
StringCaseSensitive. Corresponda a uma cadeia de caracteres com diferenciao de maisculas e

minsculas. Por exemplo, Confidencial s corresponder a Confidencial e no a confidencial ou
CONFIDENCIAL.
String. Corresponda a uma cadeia de caracteres, independentemente de ser maiscula ou minscula.

Confidencial corresponder a Confidencial, confidencial e CONFIDENCIAL.
Agendamento de classificao
Voc pode executar regras de classificao de duas maneiras: sob demanda ou com base em uma
agenda. De qualquer maneira que voc escolher, cada vez que voc executar a classificao, ele usar
todas as regras que voc deixou no estado Habilitado.
Configurar um agendamento para classificao permite especificar um intervalo regular no qual as regras
de classificao de arquivo sero executadas, assegurando que os arquivos de seu servidor sejam
classificados e atualizados regularmente com as propriedades de classificao mais recentes.
Demonstrao: Como configurar o gerenciamento de classificao

Criar uma propriedade de classificao.
Criar uma regra de classificao.
Modificar a agenda de classificao.
Criar uma propriedade de classificao
1.
Abra Gerenciador de Recursos de Servidor de Arquivos e expanda o n Gerenciamento de

Classificao.
2.
Usando o n Propriedades de Classificao, crie uma nova Propriedade de Classificao chamada

Confidencial, com o tipo de propriedade Sim/No.
Criar uma regra de classificao

1.
Usando o n Regras de Classificao, crie uma nova Regra de Classificao chamada Documentos
de Folha de Pagamento Confidencial.
2.
Configure a regra para classificar documentos com um valor Sim para a propriedade de classificao
Confidencial, caso o arquivo contenha a expresso da cadeia de caracteres FOLHA DE PAGAMENTO.
Modificar a agenda de classificao

1.
Crie uma agenda de classificao executada a cada domingo s 08h30.
2.
Usando o n Regra de Classificao, execute manualmente Executar a Classificao com Todas as

Regras Agora e exiba o relatrio.
Consideraes sobre o uso da classificao de arquivo

Embora o Gerenciamento de Classificao fornea
um mecanismo avanado para catalogar,
categorizar e classificar os objetos do sistema de
arquivos, voc deve considerar determinados
fatores ao lidar com o Gerenciamento de
Classificao.
Como as propriedades de classificao

so armazenadas
As propriedades de classificao so armazenadas
em um fluxo de dados alternativo, que um
recurso do NTFS. Se um arquivo for migrado
dentro do NTFS, os fluxos de dados alternativos
sero migrados com o arquivo, mas no sero exibidos no contedo do arquivo. Nos aplicativos do
Microsoft Office, as propriedades de classificao tambm so armazenadas em formatos de arquivo,
como propriedades de documento personalizadas ou propriedades de documento do servidor.
Como a migrao afeta as propriedades de classificao
10-23
Ao migrar um arquivo de um sistema de arquivos NTFS para outro, se voc usar um mecanismo padro
como Copiar ou Mover, o arquivo manter as propriedades de classificao. Porm, se voc mover um
arquivo para um sistema de arquivos no NTFS, independentemente de como mova o arquivo, as
propriedades de classificao de arquivo no sero mantidas. Se o arquivo for o produto de um aplicativo
do Microsoft Office, as propriedades de classificao continuaro anexadas, independentemente de como
o arquivo seja movido.
Processo de gerenciamento de classificao no Windows Server
As propriedades de classificao s esto disponveis para servidores nos quais o Windows Server 2008 R2
ou mais recente esteja em execuo. Porm, documentos do Microsoft Office mantero informaes de
propriedade de classificao em Propriedades do Documento, visualizvel independentemente do sistema
operacional usado.
Regras de classificao conflitantes
s vezes, as regras de classificao podem ser conflitantes. Quando isso acontecer, a infraestrutura de
classificao de arquivo tentar integrar propriedades. Os seguintes comportamentos ocorrero quando
regras de classificao conflitantes ocorrerem:
Para propriedades Sim ou No, um valor SIM tem prioridade sobre um valor NO.
Para propriedades de lista ordenadas, o valor de propriedade mais alto tem a prioridade.
Para propriedades de mltipla escolha, os conjuntos de propriedades so combinados em um

conjunto.
Para vrias propriedades de cadeia de caracteres, definido um valor de vrias cadeias de caracteres
que contm todas as cadeias de caracteres dos valores da propriedade individual.
Para outros tipos de propriedade, ocorre um erro.
Gerenciamento de classificao no pode classificar determinados arquivos
10-24
A Infraestrutura de Classificao de Arquivos no identificar arquivos individuais dentro de um continer,

arquivo como um arquivo .zip ou .vhd. Alm disso, a Infraestrutura de Classificao de Arquivos no
permitir a classificao do contedo dos arquivos criptografados.
O que so Tarefas de gerenciamento de arquivos?

As tarefas de gerenciamento de arquivos
automatizam o processo de localizar subconjuntos
de arquivos em um servidor e, em seguida, aplicar
comandos simples de maneira agendada. Os
arquivos so identificados por propriedades de
classificao atribudas ao arquivo por uma regra
de classificao.
Entre as tarefas de gerenciamento de arquivo
esto um comando de expirao de arquivo,
tambm sendo possvel criar tarefas
personalizadas. Voc pode definir os arquivos que
sero processados por uma tarefa de
gerenciamento de arquivos por meio das propriedades a seguir:
Local
Propriedades de classificao
Hora da criao
Hora da modificao
Hora do ltimo acesso
Nome do arquivo
Tambm possvel configurar tarefas de gerenciamento de arquivos para notificar proprietrios de

arquivo de qualquer poltica iminente que ser aplicada aos arquivos.
Tarefas de expirao de arquivo
As tarefas de expirao de arquivo migram automaticamente todos os arquivos que correspondam a

determinados critrios para um diretrio de expirao especificado, quando um administrador pode,
ento, fazer backup desses arquivos e exclu-los. Quando voc executa uma tarefa de expirao de
arquivo, um novo diretrio criado dentro do diretrio de expirao. O novo diretrio agrupado pelo
nome de servidor no qual a tarefa foi executada e nomeado de acordo com o nome da tarefa de
gerenciamento de arquivos e a hora em que foi executado. Quando descoberto, um arquivo expirado
movido para o novo diretrio, preservando a estrutura de diretrios original.
Tarefas personalizadas de gerenciamento de arquivos
10-25
A expirao nem sempre uma ao desejada para ser executada em arquivos. As tarefas de
gerenciamento de arquivos permitem executar comandos personalizados. Usando a caixa de dilogo
Comandos Personalizados, possvel executar um arquivo executvel, um script ou outro comando
personalizado para realizar uma operao nos arquivos dentro do escopo da tarefa de gerenciamento de
arquivos.
Observao: Voc configura tarefas personalizadas selecionando o tipo Personalizado na
guia Ao da janela Criar Tarefa de Gerenciamento de Arquivos.
Demonstrao: Como configurar tarefas de gerenciamento de arquivos

Criar uma tarefa de gerenciamento de arquivos.
Configurar uma tarefa de gerenciamento de arquivos para expirar documentos.
Criar uma tarefa de gerenciamento de arquivos
1.
Abra Gerenciador de Recursos de Servidor de Arquivos e expanda o n Tarefas de

Gerenciamento de Arquivos.
2.
Crie uma tarefa de gerenciamento de arquivos chamada Expirar Documentos Confidenciais com
um escopo E:\Labfiles\Mod10\Data.
Configurar uma tarefa de gerenciamento de arquivos para expirar documentos

1.
Na guia Ao, configure a tarefa para expirao de arquivo para E:\Labfiles\Mod10\Expired.
2.
Adicione uma condio Confidencial igual a Sim.
3.
Executar Tarefa de Gerenciamento de Arquivos e exiba o relatrio.
Laboratrio A: Configurao de cotas e triagem

de arquivos por meio do FSRM
Cenrio
Reino Unido. Um escritrio de IT e um data center em Londres para dar suporte ao local de Londres
e a outros locais. A A. Datum implantou recentemente uma infraestrutura de cliente e servidor do
10-26
Cada cliente de rede dentro do domnio da Adatum fornecido com uma pasta base com base no
servidor usada para armazenar documentos pessoais ou arquivos que estejam em andamento. Voc fica
sabendo que as pastas base esto ficando muito grandes e podem conter tipos de arquivo como arquivos
.MP3 no aprovados devido poltica corporativa. Voc opta por implementar cotas do FSRM e triagem
de arquivo para ajudar a resolver esse problema.
Objetivos
Configurar cotas do FSRM.
Configurar triagem de arquivo e gerar um relatrio de armazenamento.
24411B-LON-DC1
24411B-LON-SVR1
Nome de usurio
Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Execute as etapas de 2 a 4 para 24411B-LON-SVR1.
10-27
Exerccio 1: Configurao de cotas do FSRM

Cenrio
Para controlar o tamanho das pastas base, voc est implementando cotas de FSRM. Cada pasta base
limitada a 100 MB. Para garantir que administradores saibam de pastas base que esto ficando sem
espao, um evento gravado no log de eventos quando um usurio excede 85 por cento da cota de
armazenamento de forma que ele possa ser acompanhado por administradores.
1.
Criao de um modelo de cota
2.
Configurar uma cota com base no modelo de cota
3.
Testar se a cota funcional
Tarefa 1: Criao de um modelo de cota

1.
Em LON-SVR1, no Gerenciador do Servidor, instale o Gerenciador de Recursos de Servidor de

Arquivos.
2.
No console Gerenciador de Recursos de Servidor de Arquivos, use o n Modelos de Cota para

configurar um modelo que defina um limite fixo de 100 MB no tamanho de pasta mximo.
3.
Configure o modelo para registrar um evento no Log de Eventos quando a pasta alcanar 85 por
cento e 100 por cento da capacidade.
Tarefa 2: Configurar uma cota com base no modelo de cota

1.
Use o console Gerenciador de Recursos de Servidor de Arquivos e o n Cotas para criar uma cota na
pasta E:\Labfiles\Mod10\Users usando o modelo de cota criado na Tarefa 1.
2.
Configure a cota para ser aplicada automaticamente a subpastas existentes e novas.
3.
Crie uma pasta adicional chamada Max na pasta E:\Labfiles\Mod10\Users e verifique se a nova
pasta est na lista de cotas no Gerenciador de Recursos de Servidor de Arquivos.
Tarefa 3: Testar se a cota funcional

1.
Abra uma janela do Windows PowerShell e use os comandos a seguir para criar um arquivo na pasta
E:\Labfiles\Mod10\Users\Mx. Pressione Enter depois de cada linha:
E:
cd \Labfiles\Mod10\Users\Mx
fsutil file createnew file1.txt 89400000
2.
Verifique o Visualizador de Eventos em busca de uma Identificao do Evento de 12325.
3.
Teste se a cota funciona tentando criar um arquivo com 16.400.000 bytes e pressione Enter:
4.
Observe que o arquivo no pode ser criado. A mensagem retornada do Windows menciona o espao
em disco, mas a criao do arquivo falha porque ultrapassaria o limite de cota. Feche a janela do
Windows PowerShell.
5.
Feche todas as janelas em LON-SVR1.
Resultados: Aps concluir este exerccio, voc ter configurado uma cota do FSRM.
Exerccio 2: Configurao da triagem de arquivos e de relatrios

de armazenamento
Cenrio
Os gerentes esto preocupados com arquivos de mdia grandes sendo armazenados em pastas base, o
que viola a poltica corporativa. Os gerentes desejam evitar que arquivos de mdia, como vdeo, udio e
arquivos grficos, sejam salvos. Voc precisa implementar a triagem de arquivo para impedir que os
arquivos de mdia sejam armazenados em pastas base. Porm, voc tambm foi alertado que vrios
usurios armazenam arquivos do Microsoft Project com extension.mpp nos diretrios base. Voc deve
garantir que a triagem de arquivo criada no restrinja o armazenamento desses arquivos.
Voc tambm deve fornecer um relatrio ao gerente documentando todas as tentativas de salvar
arquivos de mdia restritos em LON-SVR1.
1.
Criar uma triagem de arquivo
2.
Criar um grupo de arquivos
3.
Testar a triagem de arquivo
4.
Gerar um relatrio de armazenamento sob demanda
5.
Tarefa 1: Criar uma triagem de arquivo
10-28
1.
Em LON-SVR1, abra o Gerenciador de Recursos de Servidor de Arquivos.
2.
Crie uma Triagem de Arquivo com base no modelo de triagem de arquivo Bloquear Arquivos de
udio e Vdeo para o diretrio E:\Labfiles\Mod10\Users.
Tarefa 2: Criar um grupo de arquivos

1.
Em LON-SVR1, abra a caixa de dilogo Opes de Configurao do Gerenciador de Recursos de

Servidor de Arquivos e, na guia Auditoria da Triagem de Arquivo, habilite a opo Registrar
atividade de triagem de arquivo no banco de dados de auditoria.
Observao: Esta etapa permite o registro de eventos de triagem de arquivo. Essas

gravaes fornecero dados para um relatrio Auditoria da Triagem de Arquivo, que ser
executado posteriormente neste exerccio.
2.
3.
Crie um novo grupo de arquivos com as seguintes propriedades:

o
Nome do grupo de arquivos: Arquivos de Mdia MPx
Arquivos a serem includos: *.mp*
Arquivos a serem excludos *.mpp
Modifique o modelo Bloquear Arquivos de udio e Vdeo para usar apenas o grupo de arquivos
Arquivos de Mdia MPx.
Tarefa 3: Testar a triagem de arquivo
10-29
1.
Na barra de tarefas, clique no atalho do Explorador de Arquivos.
2.
Crie um novo documento de texto em E:\Labfiles\Mod10 e renomeie-o como musicfile.mp3.
3.
Copie musicfile.mp3 para E:\Labfiles\Mod10\Users. Voc ser notificado que o sistema no pode
copiar o arquivo.
Tarefa 4: Gerar um relatrio de armazenamento sob demanda

1.
Abra o console do Gerenciador de Recursos de Servios de Arquivos.
2.
Clique com o boto direito do mouse em Gerenciamento de Relatrios de Armazenamento,

selecione Gerar Relatrios Agora e fornea os seguintes parmetros:
o
Gerar apenas o relatrio Auditoria de Triagem de Arquivo
Gerar relatrio em E:\Labfiles\Mod10\Users
3.
Revise os relatrios gerados no Windows Internet Explorer.
4.
Tarefa 5: Para se preparar para o prximo laboratrio
Quando concluir o laboratrio, no desligue as mquinas virtuais. Voc precisar deles no prximo
laboratrio.
Resultados: Depois de concluir este exerccio, voc ter configurado a triagem de arquivo e os relatrios
de armazenamento no FSRM.
Lio 4
Viso geral do DFS
10-30
possvel usar o DFS para superar os desafios do gerenciamento de dados de filiais fornecendo acesso
com tolerncia a falhas e WAN (rede de longa distncia)replicao amigvel de arquivos localizados em
toda a empresa.
Objetivos da lio
Descrever o DFS.
Descrever os namespaces DFS.
Descrever a Replicao do DFS.
Descrever como funcionam namespaces e replicao do DFS.
Descrever a eliminao de duplicao de dados.
Descrever cenrios onde o DFS pode ser usado.
Explicar como instalar a funo DFS.
O que o DFS?
Para acessar um compartilhamento de arquivos, os
usurios normalmente precisam do nome UNC
(Universal Naming Convention) para acessar o
contedo da pasta compartilhada. Muitas
organizaes grandes podem ter centenas de
servidores de arquivos que esto dispersos
geograficamente por toda a organizao. Isso
representa inmeros desafios para usurios que
estejam tentando localizar e acessar arquivos de
maneira eficaz.
Pelo uso de um namespace, o DFS pode
simplificar a estrutura de pastas de UNC. Alm
disso, o DFS pode replicar o namespace virtual e
as pastas compartilhadas para vrios servidores dentro da organizao. Isto pode assegurar que os
compartilhamentos estejam localizados o mais prximo possvel dos usurios, fornecendo um benefcio
adicional de tolerncia a falhas para os compartilhamento de rede.
O DFS inclui duas tecnologias implementadas como servios de funo:
DFS-N (Namespace do DFS). Permitem que os administradores agrupem as pastas compartilhadas

que esto localizadas em servidores diferentes, em um ou mais namespaces logicamente
estruturados. Cada namespace visto pelos usurios como uma nica pasta compartilhada com uma
srie de subpastas. As subpastas geralmente apontam para pastas compartilhadas localizadas em
vrios servidores de diversos locais geogrficos de toda a organizao.
DFS-R. Um mecanismo de replicao de vrios mestres que sincroniza arquivos entre servidores para
conexes de rede local e WAN. A Replicao do DFS d suporte agenda de replicao, limitao de
largura de banda e usa a RDC (Compactao Diferencial Remota) para atualizar apenas as partes de
arquivos que foram alteradas desde a ltima replicao. possvel usar a Replicao do DFS com
namespaces do DFS ou como um mecanismo de replicao de arquivos autnomo.
O que um namespace DFS?

Os namespaces do DFS permitem uma
representao virtual das estruturas de pastas
compartilhadas. possvel criar um namespace
com base em domnio ou autnomo. Cada tipo
tem caractersticas diferentes.
Namespace baseado em domnio

Um namespace baseado em domnio pode ser
usado quando:
10-31
A alta disponibilidade de namespace

necessria, e isso atingido replicando-se o
namespace para vrios servidores de
namespace.
necessrio ocultar dos usurios o nome dos servidores de namespaces. Isso tambm facilita a
substituio de um servidor de namespaces ou a migrao de namespace para um outro servidor.
Assim, os usurios acessaro o formato \\nomedodomnio\namespace e no o formato
\\nomedoservidor\compartilhamento.
Se optar por implantar um namespace com base em domnio, voc tambm precisar especificar se
deseja usar o modo Microsoft Windows 2000 Server ou o modo Windows Server 2008. O modo Windows
Server 2008 fornece benefcios adicionais, como suporte para enumerao com base em acesso, e
aumenta o nmero de destinos de pasta de 5.000 para 50.000. Com enumerao com base em acesso,
tambm possvel ocultar pastas que os usurios no tm permisso para exibir.
Para usar o modo do Windows Server 2008, os seguintes requisitos devero ser atendidos:
A floresta do Active Directory deve estar no Windows Server 2003 ou no nvel funcional da floresta
superior.
O domnio do Active Directory deve estar no nvel funcional de domnio do Windows Server 2008.
Todos os servidores de namespaces devem ser Windows Server 2008.
Namespace autnomo
Um namespace autnomo usado quando:
Uma organizao no implementou o AD DS (Servios de Domnio Active Directory).
Uma organizao no atende aos requisitos de um modo do Windows Server 2008, um namespace
com base em domnio, e h requisitos de mais de 5.000 pastas do DFS. Os namespaces do DFS
autnomos do suporte at 50.000 pastas com destinos.
Uma organizao est hospedando um namespace do DFS em um cluster de failover.
O que Replicao DFS?

DFS-R fornece uma maneira de manter pastas
sincronizadas entre servidores em conexes de
largura de banda bem conectadas e limitadas.
Tome nota dos seguintes pontos principais
relacionados DFS-R:
10-32
O DFS-R usa RDC (compactao diferencial

remota). A RDC um protocolo de clienteservidor que pode ser usado para atualizar os
arquivos de forma eficiente por uma rede
com largura de banda limitada. A RDC
detecta inseres, remoes e reorganizaes
de dados nos arquivos, permitindo que a
DFS-R replique somente os blocos de arquivo alterados quando os arquivos forem atualizados. O
RDC s usado para arquivos que tm 64 quilobytes (KB) ou mais por padro. O DFS-R tambm d
suporte a RDC entre arquivos, que permite a DFS-R usar RDC, mesmo quando um arquivo com o
mesmo nome no existir no cliente. O RDC entre arquivos pode determinar os arquivos que so
semelhantes ao que precisa ser replicado e usa blocos de arquivos semelhantes que so idnticos ao
arquivo de replicao, para minimizar a quantidade de dados que precisam ser replicados.
A DFS-R usa uma pasta de preparao oculta para executar um arquivo antes de envi-lo ou receblo. As pastas de preparao atuam como caches para que arquivos novos e alterados sejam replicados
dos membros de envio para os membros de recebimento. O membro de envio comea a executar um
arquivo quando ele recebe uma solicitao do membro de recebimento. O processo envolve a leitura
do arquivo da pasta replicada e a criao de uma representao compactada do arquivo na pasta de
preparao. Depois de ter sido criado, o arquivo preparado enviado para o membro de
recebimento; se a RDC for usada, somente uma frao do arquivo de preparao poder ser
replicada. O membro de recebimento baixa os dados e cria o arquivo em sua pasta de preparao.
Depois que o download do arquivo for concludo no membro de recebimento, a DFS-R o
descompactar e o instalar na pasta replicada. Cada pasta replicada tem sua prpria pasta de
preparao que, por padro, fica localizada no caminho local da pasta replicada na pasta
DfsrPrivate\Staging.
A DFS-R detecta alteraes no volume, monitorando o dirio USN (nmeros de sequncia de

atualizao) do sistema de arquivos e replica as alteraes somente depois que o arquivo fechado.
A DFS-R usa um protocolo de troca de vetores de verso para determinar os arquivos que precisam
ser sincronizados. O protocolo envia menos de 1 KB por arquivo pela rede para sincronizar os
metadados associados aos arquivos alterados nos membros de envio e de recebimento.
A DFS-R usa uma heurstica de resoluo de conflitos de tipo "ltimo gravador vence" para arquivos
que esto em conflito (ou seja, um arquivo que atualizado simultaneamente em vrios servidores) e
de tipo "primeiro criador vence" para conflitos de nome. Os arquivos e pastas que perdem a
resoluo de conflito so movidos para uma pasta conhecida como Conflito e Excludos. Voc pode
tambm configurar o servio para mover arquivos excludos para a pasta Conflito e Excludos para
recuperao, se o arquivo ou a pasta for excluda. Cada pasta replicada tem sua prpria pasta oculta
Conflito e Excludos, que fica localizada no caminho local da pasta replicada na pasta
DfsrPrivate\ConflictandDeleted.
10-33
A DFS-R autorrecupervel e pose se recuperar automaticamente dos ajustes do dirio USN, da

perda do dirio USN ou da perda do banco de dados da DFS-R.
A DFS-R usa um provedor de WMI (Instrumentao de Gerenciamento do Windows) que fornece

interfaces para obter informaes sobre configurao e monitoramento do servio DFS-R.
Como funcionam DFS-N e DFS-R

Muito embora a DFS-N e a DFS-R sejam servios
de funo parte, possvel us-los para fornecer
alta disponibilidade e redundncia de dados. O
seguinte processo descreve como funcionam DFSN e DFS-R juntos:
1.
O usurio acessa uma pasta no namespace

virtual. Quando um usurio tenta acessar uma
pasta em um namespace, o computador
cliente contata o servidor que est
hospedando a raiz de namespace. O servidor
host pode ser um servidor autnomo que est
hospedando um namespace autnomo, ou
uma configurao com base em domnio armazenada no AD DS e, em seguida, replicada para vrios
locais a fim de oferecer alta disponibilidade. O servidor de namespaces envia ao computador cliente
uma referncia contendo uma lista de servidores que hospedam as pastas compartilhadas (chamadas
destinos de pasta) que esto associadas pasta que est sendo acessada. Como DFS uma
tecnologia com reconhecimento de site, computadores clientes podem ser configurados para
acessarem namespaces que estejam no primeiro site para garantir o acesso mais confivel.
2.
O computador cliente acessa o primeiro servidor da referncia. O computador cliente armazena em

cache as informaes sobre referncia e contata o primeiro servidor da referncia. Essa referncia
geralmente um servidor no prprio site do cliente, a menos que no haja nenhum servidor
localizado no site do cliente. Nesse caso, o administrador pode configurar a prioridade de destino.
No exemplo do slide, a pasta Marketing publicada no namespace efetivamente contm dois destinos de
pasta. Um compartilhamento est localizado em um servidor de arquivos em Nova York, o outro est
localizado em um servidor de arquivos em Londres. As pastas compartilhadas so mantidas sincronizadas
pela DFS-R. Muito embora vrios servidores hospedem as pastas de origem, esse fato transparente para
os usurios, que acessam somente uma pasta no namespace. Se uma das pastas de destino ficar
indisponvel, os usurios sero redirecionados para os destinos restantes do namespace.
O que eliminao de duplicao de dados?

No Windows Server 2012, possvel habilitar a
eliminao de duplicao de dados para volumes
fora do sistema. A eliminao de duplicao de
dados otimiza o armazenamento do volume
localizando dados redundantes em um volume e
garantindo que os dados sejam armazenados
apenas uma vez no volume. Isso obtido
armazenando os dados em um nico local e
fazendo referncia ao nico local para outras
cpias redundantes dos dados. Como os dados
so segmentados em partes de 32 KB a 218 KB, a
eliminao de duplicao de dados pode otimizar
no apenas arquivos redundantes, mas tambm partes de arquivos redundante no volume.
A eliminao de duplicao de dados pode ser implementada com a DFS-R para fornecer uma
infraestrutura de replicao e armazenamento ainda mais eficiente.
Como funciona a eliminao de duplicao de dados

Quando um volume tem a eliminao de duplicao de dados habilitada, o Windows 2012 otimiza os
volumes mantendo os seguintes componentes:
10-34
Arquivos no otimizados. Entre eles esto todos os arquivos que no atendam aos critrios de idade
do arquivo para eliminao de duplicao de dados. Para serem otimizados por eliminao de
duplicao de dados, os arquivos devem permanecer estticos durante um determinado perodo.
Entre os arquivos no otimizados poderiam estar arquivos de estado do sistema, arquivos
criptografados, arquivos menores que 32 KB, arquivos com atributos estendidos ou arquivos que
estejam sendo usados por outros aplicativos.
Arquivos otimizados. Os arquivos otimizados so armazenados como pontos de nova anlise. Como
um ponto de nova anlise contm um ponteiro para os locais dos dados no repositrio de partes, as
respectivas partes podem ser recuperadas quando necessrio.
Repositrio de partes. Os dados de arquivos otimizados esto localizados no repositrio de partes.
Benefcios da eliminao de duplicao de dados

A eliminao de duplicao de dados pode ajudar a lidar com o crescimento de armazenamento nas
seguintes reas:
Otimizao de capacidade. A eliminao de duplicao de dados permite que um servidor armazene

mais dados com menos espao em disco fsico.
Escala e desempenho. A eliminao de duplicao de dados altamente escalvel no

Windows Server 2012. Ela pode ser executada em vrios volumes sem afetar outros servios e
aplicativos em execuo no servidor. A eliminao de duplicao de dados pode ser limitada para
acomodar outras cargas de trabalho pesadas no servidor, de forma que nenhuma degradao de
desempenho ocorra em tarefas de servidor importantes.
10-35
Integridade dos dados de confiabilidade. O Windows Server 2012 usa soma de verificao.
Consistncia e validao para garantir que a integridade de dados afetada pela eliminao de
duplicao de dados permanea intacta. A eliminao de duplicao de dados tambm mantm
cpias redundantes dos dados mais usados em um volume para se proteger da corrupo de dados.
Eficincia da largura de banda. Com DFS-R ou outra tecnologia de replicao de arquivos, como
BranchCache, a eliminao de duplicao de dados pode reduzir enormemente a largura de banda
consumida replicando dados de arquivo, desde que os parceiros de replicao tambm estejam
executando o Windows Server 2012.
Gerenciamento de otimizao simples. O Windows Server 2012 e o Windows PowerShell 3.0 contm
suporte integrado eliminao de duplicao de dados. A implementao e o gerenciamento dentro
do Windows Server 2012 so feitos com ferramentas familiares.
Implementao da eliminao da duplicao de dados

Use o seguinte processo para implementar a eliminao da duplicao de dados em um servidor:
1.
Instale o servio de funo Eliminao de Duplicao de Dados para a funo Servios de Arquivo.
Isso pode ser realizado usando o Assistente de Adio de Funes e Recursos no Gerenciador do
Servidor ou os seguintes cmdlets do Windows PowerShell:
Import-Module ServerManager
Add-WindowsFeature -name FS-Data-Deduplication
Import-Module Deduplication
2.
Habilite a eliminao de duplicao de dados em um ou mais volumes.
Dentro do Gerenciador do Servidor, possvel clicar com o boto direito do mouse em um volume e
selecionar Configurar Eliminao de Duplicao de Dados, que abre a pgina Configuraes da
Eliminao de Duplicao de Dados.
Tambm possvel usar o seguinte cmdlet do Windows PowerShell para habilitar a eliminao da
duplicao de dados (para o volume E:, neste caso):
Enable-DedupVolume E:
3.
Tambm configure trabalhos de eliminao da duplicao de dados para um volume.
Por padro, os trabalhos internos so criados e agendados quando voc habilita a eliminao da
duplicao de dados para um volume. Se for necessrio, ser possvel configurar manualmente esses
trabalhos ou criar trabalhos adicionais para gerenciar melhor como funciona a eliminao da
duplicao de dados.
Leitura adicional: Viso geral de Remoo de Duplicao de Dados
http://go.microsoft.com/fwlink/?linkID=270996
Cenrios de DFS
Vrios cenrios importantes podem aproveitar
DFS-N e DFS-R. Esses cenrios incluem:
Compartilhamento de arquivos entre filiais.
Coleta de dados.
Distribuio de dados.
Compartilhamento de arquivos entre

filiais
10-36
As grandes organizaes que tm vrias filiais

geralmente precisam compartilhar arquivos ou
necessitam de colaborao entre esses locais. A
DFS-R pode ajudar a replicar arquivos entre filiais ou de uma filial para um site do hub. A disponibilidade
de arquivos em vrias filiais tambm beneficia os usurios que viajam de uma filial para outra. As
alteraes que os usurios fazem nos arquivos em uma filial so replicadas para sua filial.
Observao: Esse cenrio s ser recomendvel se os usurios tolerarem algumas
inconsistncias de arquivo, pois as alteraes so replicadas em todos os servidores das filiais.
Observe tambm que a DFS-R s replicar o arquivo depois que ele for fechado. Portanto, a DFSR no recomendada para replicar arquivos de banco de dados ou quaisquer arquivos mantidos
abertos por longos perodos.
Coleta de dados
As tecnologias DFS podem coletar arquivos de uma filial e replic-los em um site do hub, permitindo que
eles sejam usados para diversos fins especficos. Os dados crticos podem ser replicados para um site do
hub usando a DFS-R e, em seguida, includos em backup no site do hub usando procedimentos de
backup padro. Isso aumenta a capacidade de recuperao de dados da filial quando ocorre falha do
servidor, porque os arquivos ficaro disponveis em dois locais separados e tambm em backup. Alm
disso, as empresas podem reduzir custos da filial eliminando hardware de backup e experincia do
pessoal de IT no local. Os dados replicados podem tambm ser usados para tornar os compartilhamentos
de arquivos da filial tolerantes a falhas. Se houver falha do servidor da filial, os clientes da filial podero
acessar os dados replicados no site do hub.
Distribuio de dados
possvel usar DFS-N e DFS-R para publicar e replicar documentos, software e outros dados LOB (linha de
negcios) em toda a organizao. Os DFS-N e os destinos de pasta podem aumentar a disponibilidade de
dados e distribuir a carga de clientes entre vrios servidores de arquivos.
Demonstrao: Como instalar a funo DFS

Esta demonstrao mostra como instalar a funo DFS.
Instalar a funo DFS
Na funo Gerenciamento de Arquivos e Armazenamento, instale os servios de funo

Namespaces de DFS e Replicao do DFS.
10-37
Lio 5
Configurao de namespaces DFS
10-38
A configurao do namespace DFS consiste em vrias tarefas, como a criao da estrutura de namespaces,
a criao de pastas no namespace e a adio de destinos de pasta. Tambm possvel optar por realizar
tarefas adicionais de gerenciamento, como a configurao da ordem de referncia, a habilitao de
failback de cliente e a implementao da DFS-R. Esta lio fornece informaes sobre como concluir essas
tarefas de configurao e gerenciamento para implantar uma soluo DFS eficaz.
Objetivos da lio
Descrever o processo de implantao de namespaces para publicao de contedo.
Descrever as permisses necessrias para a criao e o gerenciamento de um namespace.
Explicar como criar e configurar namespaces DFS e destinos de pasta.
Descrever as opes para otimizao de um namespace.
Implantao de namespaces para publicar contedo

A maioria das implementaes de DFS consiste
principalmente no contedo publicado no
namespace DFS. Para configurar um namespace
para publicar contedo para usurios, siga os
seguintes procedimentos:
1.
Crie um namespace.
Use o Assistente de Novo Namespace para
criar o namespace a partir do console de
Gerenciamento DFS. Quando um novo
namespace for criado, voc dever fornecer o
nome do servidor que deseja usar como o
servidor de namespaces, alm do nome e o
tipo de namespace (com base no domnio ou autnomo). Voc pode tambm especificar se o
namespace est habilitado para o modo do Windows Server 2008.
2.
Crie uma pasta no namespace.

Depois de voc criar o namespace, adicione uma pasta no namespace que ser usada para
armazenar o contedo que voc deseja publicar. Durante a criao da pasta, possvel adicionar
destinos de pasta, ou realizar uma tarefa separada para adicionar, editar ou remover destinos de
pasta posteriormente.
3.
Adicione destinos de pasta.
10-39
Depois que voc criar uma pasta no namespace, a tarefa seguinte criar destinos de pasta. O destino
de pasta um caminho UNC de uma pasta compartilhada em um servidor especfico. Voc pode
pesquisar pastas compartilhadas nos servidores remotos e criar pastas compartilhadas, conforme o
necessrio. Alm disso, pode adicionar vrios destinos de pasta para aumentar a disponibilidade da
pasta no namespace. Se voc adicionar vrios destinos de pasta, use o DFS-R para assegurar que o
contedo o mesmo entre os destinos.
4.
Defina o mtodo de ordenao dos destinos nas referncias.
A referncia uma lista ordenada de destinos que um computador cliente recebe do servidor de
namespaces quando o usurio acessa a raiz ou a pasta de um namespace. Quando um cliente recebe
a referncia, ele tenta acessar o primeiro destino da lista. Se o destino no estiver disponvel, ele
tentar o destino seguinte. Por padro, os destinos no site do cliente so sempre listados primeiro na
referncia. possvel configurar o mtodo para ordenar destinos fora do local do cliente na guia
Referncias da caixa de dilogo Propriedades do Namespace. possvel configurar a ordem pelo
custo mais baixo, ou aleatria, ou configurar o mtodo de ordenao para excluir destinos fora do
site do cliente.
Observao: As pastas herdam configuraes de referncia da raiz de namespace. Voc
pode substituir as configuraes do namespace na guia Referncias da caixa de dilogo
Propriedades da Pasta excluindo os destinos fora do site do cliente.
Tarefas opcionais de gerenciamento

Vrias tarefas de gerenciamento opcionais que voc pode considerar incluem:
Defina a prioridade do destino para substituir a ordenao da referncia. Pode haver um destino de
pasta especfico a ser usado por todos os usurios de todos os locais do site, ou um destino a ser
usado por ltimo entre todos os destinos. possvel configurar esses cenrios substituindo a
ordenao da referncia na guia Avanado da caixa de dilogo Propriedades de Destino da Pasta.
Habilite o failback de cliente. Se um cliente no conseguir acessar um destino da referncia, o destino

seguinte ser selecionado. O failback de cliente garantir que os clientes realizem failback para o
destino original depois de restaurado. possvel configurar o failback do cliente na guia Referncias
da caixa de dilogo Propriedades do Namespace marcando a caixa de seleo Failback de clientes
para destinos preferenciais. Todas as pastas e destinos de pasta herdam essa opo. Porm, voc
tambm pode substituir uma pasta especfica para habilitar ou desabilitar recursos de failback de
cliente, se necessrio.
Replique os destinos de pasta usando a DFS-R. Voc pode usar a DFS-R para manter sincronizado o
contedo dos destinos de pasta. O prximo tpico aborda DFS-R em detalhes.
Permisses necessrias para a criao e gerenciamento de um namespace

Para executar as tarefas de gerenciamento de
namespace DFS, necessrio que o usurio seja
membro de um grupo administrativo ou que lhe
seja delegada a permisso especfica para executar
a tarefa. Para delegar as permisses obrigatrias,
clique com o boto direito do mouse no
namespace e clique em Delegar Permisses de
Gerenciamento.
A tabela a seguir descreve os grupos que podem
executar a administrao de DFS por padro e o
mtodo para delegar a capacidade para executar
as tarefas de gerenciamento de DFS.
Tarefa
Grupos que podem executar a

tarefa por padro
Mtodo de delegao
Criar um namespace
baseado em domnio.
Administradores do Domnio
Clique em Delegar Permisses de

Gerenciamento.
Adicionar um servidor de
namespaces a um
namespace baseado em
domnio.
Adicionar usurios ao grupo local de

administradores no servidor de
namespaces.
Gerenciar um namespace
baseado em domnio.
Administradores locais em
cada servidor de namespaces

Gerenciamento.
Criar um namespace
autnomo.

namespaces.
Gerenciar um namespace
autnomo.

Gerenciamento.
Criar um grupo de
replicao ou habilitar
DFS-R em uma pasta.

namespaces.
10-40
Demonstrao: Como criar namespaces

Criar um novo namespace.
Criar uma nova pasta e um destino de pasta.
Criar um novo namespace
1.
Abrir o console Gerenciamento DFS.
2.
Criar um namespace com base em domnio em LON-SVR1 chamado Pesquisa.
Criar uma nova pasta e um destino de pasta
10-41
1.
Criar uma nova pasta chamada Propostas no namespace \\Adatum.com\Pesquisa.
2.
Criar um destino de pasta para Propostas que aponta para \\LON-SVR1\Proposal_docs.
3.
Confirme a funcionalidade do namespace navegando at \\Adatum.com\Pesquisa e confirmando

se a pasta Propostas exibida.
Otimizao de um Namespace
H vrias opes de configurao de namespaces
que podem ser usadas para otimizar sua
usabilidade e desempenho.
Renomear ou mover uma pasta

Voc pode renomear ou mover uma pasta em um
namespace para reorganizar a hierarquia de
pastas para atender melhor os usurios da
organizao. Por exemplo, quando a empresa
reorganizada, o namespace pode ser
reorganizado para corresponder nova estrutura.
Desabilitar referncias a uma pasta
Uma referncia uma lista de destinos que um computador cliente recebe do controlador de domnio ou
do servidor de namespaces quando o usurio acessa uma raiz ou pasta de namespace. Ao desabilitar a
referncia de um destino de pasta, voc impede que computadores cliente acessem esse destino de pasta
no namespace. Isso til na transferncia de dados entre servidores.
Especificar a durao da referncia em cache
Os clientes no entram em contato com um servidor de namespaces para obter uma referncia sempre
que acessam uma pasta em um namespace; em vez disso, as referncias da raiz de namespace so
armazenadas em cache. Os clientes que usam uma referncia em cache renovaro o valor da durao de
cache da referncia toda vez que um arquivo ou uma pasta for acessada usando a referncia. Isso significa
que os clientes usaro a referncia indefinidamente at o cache de referncia do cliente ser limpa ou o
cliente ser reiniciado. Voc pode personalizar a durao do cache da referncia. O padro 300 segundos
(cinco minutos).
Configurar a sondagem de namespace
10-42
Para manter um namespace com base em domnio consistente nos servidores de namespaces, eles devem
consultar o AD DS periodicamente para obter os dados mais atuais do namespace. Os dois modos de
sondagem de namespace so:
Otimizar para consistncia. Os servidores de namespaces consultam o emulador PDC sempre que
ocorre uma alterao no namespace. Esse o valor padro.
Otimizar para escalabilidade. Cada servidor de namespace sonda seu controlador de domnio mais
prximo em intervalos peridicos.
Lio 6
Configurao e soluo de problemas de DFS-R
10-43
Para configurar corretamente a DFS-R, importante conhecer a terminologia e os requisitos associados

ao recurso. Esta lio fornece informaes sobre elementos especficos, requisitos e consideraes de
escalabilidade na medida em que eles relacionam com a DFS-R. Essa lio tambm fornece um processo
para configurar uma topologia de replicao efetiva.
Objetivos da lio
Descrever grupos de replicao e pastas replicadas.
Descrever o processo de replicao inicial.
Explicar como configurar DFS-N e DFS-R.
Descrever opes de soluo de problemas do DFS.
Grupos de replicao e pastas replicadas

O grupo de replicao composto por um
conjunto de servidores membros que participam
da replicao de uma ou mais pastas replicadas.
Existem dois tipos principais de grupos de
replicao:
Grupo de replicao multiuso. Esse grupo de

replicao ajuda a configurar a replicao
entre dois ou mais servidores para publicao,
compartilhamento de contedo ou outros
cenrios.
Grupo de replicao para coleta de dados.

Esse grupo de replicao configura uma
replicao bidirecional entre dois servidores, por exemplo, um servidor da filial e um servidor do hub.
Esse tipo de grupo usado para coletar dados do servidor da filial para o servidor do hub. Em seguida,
voc pode usar o software de backup padro para fazer backup dos dados do servidor do hub.
A pasta replicada sincronizada entre cada servidor membro. A criao de vrias pastas replicadas em um
nico grupo de replicao ajuda a simplificar os seguintes itens para todo o grupo:
Tipo de grupo de replicao
Topologia
Configurao de hub e spoke
Agendamento de replicao
Limitao da largura de banda
As pastas replicadas armazenadas em cada membro podem estar localizadas em diferentes volumes no
membro. As pastas replicadas no precisam ser pastas compartilhadas ou partes de um namespace,
embora o snap-in Gerenciamento DFS facilite o compartilhamento das pastas replicadas e,
opcionalmente, sua publicao em um namespace existente.
Topologias de replicao
Ao configurar um grupo de replicao, voc deve definir sua topologia. Selecione entre o seguinte:
10-44
Hub e spoke. Para selecionar esta opo, voc precisa de pelo menos trs servidores no grupo de
replicao. Esta topologia funciona bem em cenrios de publicao onde dados originam-se no hub
e so replicados para membros nos receptores.
Malha completa. Se dez membros ou menos estiverem no grupo de replicao, esta topologia
funcionar bem, com cada membro replicando para todos os outros, conforme o necessrio.
Sem topologia. Escolha esta opo se voc desejar configurar uma topologia personalizada
manualmente depois de criar o grupo de replicao.
Processo de replicao inicial

Ao configurar a replicao pela primeira vez, voc
escolhe um membro principal com os arquivos
mais atualizados a serem replicados. Esse servidor
considerado autoritativo para qualquer
resoluo de conflito que ocorra quando os
membros receptores tm arquivos mais antigos ou
mais novos em comparao com os mesmos
arquivos no membro principal.
Considere os conceitos a seguir sobre o processo
de replicao inicial:
A replicao inicial no iniciada

imediatamente. As configuraes da
topologia e da DFS-R devem ser replicadas para todos os controladores de domnio, e cada membro
do grupo de replicao precisa sondar os controladores de domnio mais prximos para obter essas
configuraes. O tempo gasto determinado pela latncia de replicao do Active Directory e pelo
intervalo longo de sondagem (60 minutos) em cada membro.
A replicao inicial sempre ocorre entre o membro primrio e seus parceiros de replicao de
recebimento. Depois que um membro recebe todos os arquivos do membro primrio, esse membro
replicar os arquivos para seus parceiros de recebimento. Dessa forma, a replicao de uma nova
pasta replicada iniciada pelo membro primrio e avana para outros membros do grupo de
replicao.
Ao receberem arquivos do membro primrio durante a replicao inicial, os membros de

recebimento com arquivos que no esto presentes no membro primrio movero esses arquivos
para a respectiva pasta DfsrPrivate\PreExisting. Se um arquivo for fisicamente idntico a um arquivo
do membro primrio, ele no ser replicado. Se a verso de um arquivo do membro de recebimento
for diferente da verso do membro primrio, a verso do membro de recebimento ser movida para
a pasta Conflito e Excludo, e a RDC poder ser usada para baixar somente os blocos alterados.
10-45
Para determinar se os arquivos so idnticos no membro primrio e no membro de recebimento, a

DFS-R compara os arquivos usando um algoritmo de hash. Se os arquivos forem idnticos, sero
transferidos somente os metadados mnimos.
Aps a inicializao da pasta replicada, a indicao de membro primrio removida. (A inicializao

ocorre depois que todos os arquivos existentes antes da configurao DFS-R forem adicionados ao
banco de dados da DFS-R.) Em seguida, esse membro tratado como qualquer outro membro, e seus
arquivos no tm mais autoridade sobre outros membros que concluram a replicao inicial.
Qualquer membro que tenha concludo a replicao inicial tem autoridade sobre os membros que
no a concluram.
Demonstrao: Como configurar uma DFS-R

Criar um novo destino de pasta para replicao.
Criar um novo grupo de replicao.
Criar um novo destino de pasta para replicao
Em LON-SVR1, crie uma pasta de destino para \\LON-SVR4\Proposal_docs.
Criar um novo grupo de replicao

1.
Adicione a pasta ao grupo de replicao para LON-SVR1 e LON-SVR4.
2.
Declare LON-SVR1 como o membro primrio e crie uma replicao da malha completa.
Soluo de problemas de DFS

O Windows Server 2012 fornece vrias
ferramentas que possvel usar para monitorar e
solucionar problemas do DFS-R. Entra as
ferramentas esto:
Relatrios de diagnstico. Use relatrios de

diagnstico para executar um relatrio de
diagnstico para o seguinte:
o
Relatrio de integridade. Mostrar

estatsticas e relatrios de apresentaes
abrangentes sobre integridade e
eficincia de replicao.
Teste de propagao. Gera um arquivo de teste em uma pasta replicada para verificar a
replicao e fornecer estatsticas para o relatrio de propagao.
Relatrio de propagao. Fornece informaes sobre o progresso para o arquivo de teste que
gerado durante um teste de propagao. Este relatrio garantir que a replicao funcione.
10-46
Verificar Topologia. Use Verificar Topologia para verificar e relatar o status da topologia do grupo de
replicao. Isto relatar os membros que estiverem desconectados.
Dfsrdiag.exe. Use essa ferramenta de linha de comando para monitorar o estado de replicao do
servio DFS-R.
Soluo de problemas do DFS

Os problemas de DFS geralmente caem em uma das seguintes categorias:
Incapaz de acessar o namespace DFS. Verifique se os servios Netlogon e DFS esto sendo executados
em todos os servidores que esto hospedando o namespace.
Incapacidade de localizar pastas compartilhadas. Se os clientes no puderem conectar-se a uma pasta

compartilhada, use tcnicas de soluo de problemas padro para garantir que a pasta esteja
acessvel e que os clientes tenham permisses. Lembre-se de que os clientes conectam-se
diretamente pasta compartilhada.
No possvel acessar os links DFS e pastas compartilhadas. Verifique se a pasta subjacente est
disponvel e se o cliente tem permisses. Se existir uma rplica, verifique se o problema est
relacionado com a latncia de replicao (consulte a entrada latncia de replicao a seguir nessa
lista).
Problema relacionado com a segurana. Lembre-se de que o cliente acessa a pasta compartilhada
diretamente. Portanto, voc deve verificar a pasta compartilhada e as permisses ACL na pasta.
Latncia de replicao. Lembre-se de que a topologia da DFS-R armazenada no AD DS do domnio.

Consequentemente, existe alguma latncia antes de qualquer modificao feita na DFS-N ser
replicada para todos os controladores de domnio.

Cenrio
10-47
A. Datum Corporation implantou uma nova filial. Esse escritrio tem um nico servidor. Para oferecer
suporte aos requisitos da equipe da filial, voc deve configurar o DFS. Para evitar a necessidade de realizar
backups remotamente, um compartilhamento de arquivos departamental na filial ser replicado
novamente matriz para backup centralizado, e os arquivos de dados da filial sero replicados para o
servidor da filial a fim de fornecer acesso mais rapidamente.
Objetivos
Instalar o servio de funo do DFS.
Configurar um namespaces DFS.
Configurar a Replicao do DFS.
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-SVR4
Nome de usurio
Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Realize as etapas de 2 a 4 para 24411B-LON- SVR1 e 24411B-LON-SVR4.
Exerccio 1: Instalao do servio de funo DFS

Cenrio
Para dar suporte criao de um namespace replicado, voc deve realizar a instalao da funo de
servidor DFS para LON-SVR1 e LON-SVR4.
1.
Instalar o servio de funo DFS em LON-SVR1
2.
Instalar o servio de funo DFS em LON-SVR4
Tarefa 1: Instalar o servio de funo DFS em LON-SVR1

1.
Em LON-SVR1, no Gerenciador do Servidor, na funo Gerenciamento de Arquivos e

Armazenamento, instale os servios de funo Namespaces de DFS e Replicao de DFS.

1.
Em LON-SVR4, no Gerenciador do Servidor, na funo Gerenciamento de Arquivos e

Armazenamento, instale os servios de funo Namespaces de DFS e Replicao de DFS.
10-48
Resultados: Depois de concluir este exerccio, voc ter instalado o servio de funo DFS em LON-SVR1
e instalado o servio de funo DFS em LON-SVR4.
Exerccio 2: Configurao de um namespace DFS

Cenrio
Voc deve configurar um namespace DFS para dar suporte estrutura de arquivos recm-solicitada.
A gerncia solicitou que a nova estrutura atenda aos seguintes requisitos:
Namespace: \\Adatum.com\BranchDocs
Compartilhamentos de arquivo a serem includos:

o
\\LON-SVR4\ResearchTemplates
\\LON-SVR1\DataFiles

1.
Criar o namespace BranchDocs
2.
Habilitar enumerao com base em acesso para o namespace BranchDocs
3.
Adicionar a pasta ResearchTemplates ao namespace BranchDocs
4.
Adicionar a pasta DataFiles ao namespace BranchDocs
5.
Verificar o namespace BranchDocs
Tarefa 1: Criar o namespace BranchDocs

1.
Alterne para LON-SVR1 e abra o Gerenciador do Servidor.
2.
Abra Gerenciamento DFS.
3.
Crie um novo namespace com as seguintes propriedades:
4.
10-49
Servidor: LON-SVR1
Nome: BranchDocs
Tipo de namespace: Namespace baseado em domnio e selecione Habilitar o modo Windows

Server 2008
No n Namespaces, verifique se o namespace foi criado.
Tarefa 2: Habilitar enumerao com base em acesso para o namespace BranchDocs
No Gerenciamento DFS, na caixa de dilogo \\Adatum.com\BranchDocs Properties, na guia

Avanado, marque a caixa de seleo Habilitar enumerao baseada em acesso para este
namespace.
Tarefa 3: Adicionar a pasta ResearchTemplates ao namespace BranchDocs
Adicione uma nova pasta ao namespace BranchDocs:

o
Nome da pasta: ResearchTemplates
Adicione um destino de pasta:
Caminho: \\LON-SVR4\ResearchTemplates
Criar compartilhamento
Caminho local: C:\BranchDocs\ResearchTemplates
Permisses: Todos os usurios tm permisses de leitura e gravao
Tarefa 4: Adicionar a pasta DataFiles ao namespace BranchDocs
Adicione uma nova pasta ao namespace BranchDocs:

o
Nome da pasta: DataFiles
Caminho: \\LON-SVR1\DataFiles
Caminho local: C:\BranchDocs\DataFiles
Tarefa 5: Verificar o namespace BranchDocs

1.
Em LON-SVR1, abra o Explorador de Arquivos, no tipo da barra de endereos, digite

\\Adatum.com\BranchDocs\ e pressione Enter.
2.
Verifique se ResearchTemplates e DataFiles so exibidos e feche a janela.
Resultados: Depois de concluir este exerccio, voc ter configurado um namespace do DFS.
Exerccio 3: Configurao da DFS-R

Cenrio
Voc deve verificar se os arquivos contidos no novo namespace DFS so replicados para LON-SVR1 e
LON-SVR4 a fim de garantir a disponibilidade dos dados.
1.
Criar outro destino de pasta para DataFiles
2.
Configurar replicao para o namespace
3.
Tarefa 1: Criar outro destino de pasta para DataFiles

1.
Em Gerenciamento DFS, expanda Adatum.com\BranchDocs e clique em DataFiles.
2.
No painel de detalhes, observe que h no momento somente um destino de pasta.
3.
4.
Caminho para o destino: \\LON-SVR4\DataFiles
Caminho local: C:\BranchDocs\DataFiles
Criar pasta
Na caixa de dilogo Replicao, clique em Sim. O Assistente para Replicao de Pasta ser iniciado.
Tarefa 2: Configurar replicao para o namespace

1.
2.
3.
10-50
Concluir o Assistente para Replicao de Pasta:

o
Membro primrio: LON-SVR1
Sem topologia
Usar padres em outro lugar e aceitar qualquer mensagem.
Criar uma nova topologia de replicao para o namespace:

o
Tipo: Malha completa
Agenda e largura de banda: Usar configuraes padro
No painel de detalhes, na guia Associaes, verifique se a pasta replicada exibida em LON-SVR4 e

LON-SVR1.

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute estas
etapas:
1.
2.
em Reverter.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter configurado a DFS-R.

Pergunta: Quais so os requisitos para implantar um namespace no modo
Windows Server 2008?
Pergunta: Quais so as vantagens de hospedar um namespace em vrios servidores de
namespaces?
10-51

Perguntas de reviso
Pergunta: Como modelos do FSRM para cotas e triagens de arquivo oferecem uma
experincia de gerenciamento do FSRM mais eficiente?
Pergunta: Por que a DFS-R uma plataforma de replicao mais eficiente do que o FRSM?
10-52

11-1
Mdulo 11
Configurao de criptografia e auditoria avanada
Contedo:
Viso geral do mdulo
11-1
Lio 1: Criptografia de arquivos usando EFS
11-2
Lio 2: Configurao de auditoria avanada
11-6
Laboratrio: Configurao de criptografia e auditoria avanada
11-14
11-18
Viso geral do mdulo
Como um administrador do sistema operacional Windows Server 2012, voc deve verificar a segurana
contnua dos arquivos e das pastas nos servidores. possvel criptografar arquivos confidenciais usando
ferramentas do Windows Server 2012. No entanto, voc deve reconhecer algumas consideraes e
mtodos de implementao para fornecer um ambiente confivel.
Usando o Windows Server 2012, possvel compreender como arquivos e pastas esto sendo usados nos
computadores do Windows Server 2012. Tambm possvel auditar o acesso ao arquivo e pasta. A
auditoria do acesso a arquivos e pastas pode fornecer informaes sobre o uso geral e informaes mais
crticas, como tentativas de uso no autorizadas.
Este mdulo descreve as ferramentas do Windows Server 2012 que podem ajudar a aumentar a
segurana do sistema de arquivos nos servidores.
Objetivos
Criptografar arquivos usando o EFS.
Configurar a auditoria avanada.
Lio 1
Criptografia de arquivos usando EFS
11-2 Configurao de criptografia e auditoria avanada
EFS um componente interno do sistema de arquivos NTFS que permite a criptografia e a descriptografia
do arquivo e do contedo da pasta em um volume NTFS. importante compreender como o EFS
funciona antes de implementar o EFS no ambiente. Voc tambm deve saber como recuperar os arquivos
criptografados e resolver problemas quando a criptografia EFS no funciona corretamente.
Objetivos da lio
Descrever o EFS.
Explicar como funciona o EFS.
Explicar como recuperar arquivos criptografados comEFS.
Explicar como criptografar um arquivo usando o EFS.
O que o EFS?
EFS um recurso que pode criptografar arquivos
armazenados em uma partio formatada com
NTFS. Por padro, essa opo est disponvel para
todos os usurios. Tambm possvel usar o EFS
para criptografar arquivos em um
compartilhamento de arquivos.
Depois que um arquivo criptografado usando
EFS, ele s pode ser acessado por usurios
autorizados. Se um usurio estiver autorizado, o
acesso ao arquivo ser transparente e poder ser
aberto como um arquivo no criptografado. Se
um usurio no estiver autorizado, as tentativas
em abrir o arquivo resultaro em uma mensagem de acesso negado.
A criptografia EFS age como uma camada adicional de segurana alm de permisses NTFS. Se os
usurios tiverem permisso NTFS para ler um arquivo, ainda assim eles estaro autorizados pelo EFS para
descriptografar o arquivo.
A configurao padro de EFS no requer nenhum esforo administrativo. Os usurios podem comear a
criptografar os arquivos imediatamente e o EFS gerar um certificado de usurio automaticamente com
um par de chaves para um usurio se no houver. Usar uma CA (autoridade de certificao) para emitir
certificados de usurio aprimora o gerenciamento dos certificados.
Voc pode desabilitar o EFS em computadores cliente usando a Poltica de Grupo. Nas Propriedades da
poltica, navegue at Configurao do Computador\Polticas\Configuraes do Windows\Configuraes
de Segurana\Polticas de Chave Pblica\Sistema de Arquivos de Criptografia e clique em No permitir.
Observao: Se no estiver usando certificados de uma CA e quiser permitir que o EFS seja
usado em um compartilhamento de arquivos, voc dever configurar a conta do computador do
servidor de arquivos para ser confivel para delegao. Os controladores de domnio so
confiveis para delegao por padro.
Como o EFS funciona

O EFS usa uma combinao de chave pblica e
criptografia de chave simtrica para proteger
arquivos do ataque. O EFS usa uma chave
simtrica para criptografar o arquivo e uma chave
pblica para proteger a chave simtrica.
A criptografia de chave simtrica usa a mesma
chave para criptografar e descriptografar um
arquivo. Esse tipo de criptografia mais rpido e
mais seguro do que a criptografia de chave
pblica. Como difcil proteger a chave simtrica
durante uma transferncia entre redes, ela exige
segurana adicional. A criptografia de chave
simtrica o mtodo comum de criptografia de grandes quantidades de dados.
11-3
O EFS usa a criptografia de chave pblica para proteger a chave simtrica, que necessria para
descriptografar o contedo dos arquivos. Cada certificado de usurio contm uma chave privada e uma
chave pblica que usada para criptografar a chave simtrica. Somente o usurio com o certificado e sua
chave privada pode descriptografar a chave simtrica.
O processo de criptografia de arquivos o seguinte:
1.
Quando um usurio criptografa um arquivo, o EFS gera uma FEK (chave de criptografia de arquivos)
para criptografar os dados. A FEK criptografada com a chave pblica do usurio, e ento
armazenada com o arquivo. Isso assegura que apenas o usurio com a chave privada de criptografia
EFS correspondente seja capaz de descriptografar o arquivo. Depois que um usurio criptografa um
arquivo, este permanece criptografado pelo tempo em que estiver armazenado no disco.
2.
Para descriptografar arquivos, o usurio pode abrir o arquivo, remover o atributo de criptografia
ou descriptografar o arquivo usando o comando de criptografia. Quando isso ocorre, o EFS
descriptografa a FEK com a chave privada do usurio e, em seguida, descriptografa os dados
usando a FEK.
Observao: Alm do usurio que criptografou o arquivo, cpias adicionais da chave

simtrica so criptografadas com a chave pblica do agente de recuperao e esto disponveis
para qualquer outro usurio autorizado.
Recuperao de arquivos criptografados por EFS

Se um usurio que criptografou um arquivo
usando o EFS perder a chave privada por qualquer
motivo, voc precisar de um mtodo para
recuperar o arquivo criptografado com EFS. A
chave privada faz parte de um certificado de
usurio que usado para criptografia. Fazer
backup de um certificado de usurio um
mtodo para recuperar arquivos com criptografia
EFS. O certificado de usurio de backup pode ser
importado em outro perfil e possvel us-lo para
descriptografar o arquivo. Porm, este mtodo
difcil de implementar quando h muitos usurios.
Um mtodo melhor para recuperar arquivos criptografados com EFS usar um agente de recuperao.
Um agente de recuperao um indivduo que est autorizado a descriptografar todos os arquivos com
criptografia EFS. O agente de recuperao padro o administrador do domnio. Porm, possvel
delegar a funo do agente de recuperao a qualquer usurio.
Quando voc adiciona um novo agente de recuperao por meio da Poltica de Grupo, o agente
adicionado automaticamente a todos os arquivos recm-criptografados, mas o agente no adicionado
automaticamente aos arquivos criptografados existentes. Como o agente de recuperao para um
arquivo definido no momento em que o arquivo criptografado, um arquivo criptografado deve ser
acessado e salvo para atualizar o agente de recuperao.
Para fazer backup do certificado do agente de recuperao, voc deve sempre exportar o certificado com
a chave privada e mant-la em um local seguro. Os dois motivos para fazer backup da chave privada do
agente de recuperao (ou a chave de recuperao) so:
Para proteger contra falhas do sistema. A chave de administrador de domnio que usada por
padro para a recuperao EFS armazenada apenas no primeiro controlador de domnio do
domnio. Se algo tivesse acontecido nesse controlador de domnio, a recuperao EFS seria
impossvel.
Tornar a chave de recuperao mvel. A chave de recuperao no est automaticamente disponvel

para o agente em todos os computadores. Ela deve ser instalada no perfil do agente de recuperao.
Se no so usados perfis mveis, a exportao e a importao da chave um mtodo para atualizar o
perfil do agente de recuperao em um computador em particular.
Demonstrao: Criptografia de um arquivo usando o EFS

Verificar se uma conta de computador oferece suporte a EFS em um compartilhamento de rede.
Usar EFS para criptografar um arquivo em um compartilhamento de rede.
Exibir o certificado usado para criptografia.
Testar o acesso a um arquivo criptografado.
Verificar se uma conta de computador oferece suporte a EFS em um
compartilhamento de rede
1.
2.
Verifique se LON-DC1 confivel para delegao a qualquer servio.
Usar EFS para criptografar um arquivo em um compartilhamento de rede

1.
Faa logon em LON-CL1 como ADATUM\Doug como uma senha Pa$$w0rd.
2.
Navegue at \\LON-DC1\Mod11Share.
3.
Crie um novo documento do Microsoft Word chamado MyEncryptedFile.
4.
Abra MyEncryptedFile, digite Meus dados secretos e salve o arquivo.
5.
Criptografe MyEncryptedFile.
6.
Faa logoff de LON-CL1.
Exibir o certificado usado para criptografia
11-5
1.
Em LON-DC1, navegue at C:\Users\. Observe que Doug tem um perfil no computador. Este o
local onde o certificado autoassinado. Ele no poder ser exibido no snap-in Certificados do MMC
(Console de Gerenciamento Microsoft), a menos que Doug faa logon localmente no servidor.
2.
Navegue at C:\Users\Doug\AppData\roaming\Microsoft\SystemCertificates\My\Certificates.
Essa a pasta que armazena o certificado autoassinado para Doug.
Testar o acesso a um arquivo criptografado

1.
Faa logon em LON-CL1 como ADATUM\Alex.
2.
Tente abrir \\LON-DC1\Mod11Share\MyEncryptedFile usando o Microsoft Word. A tentativa

falhar porque o arquivo criptografado por Doug.
Lio 2
Configurao de auditoria avanada
Os logs de auditoria relatam uma grande variedade de atividades na empresa para o Log de Segurana
do Windows. Em seguida, possvel monitorar esses logs de auditoria para identificar problemas que
garantam mais investigao. A auditoria tambm pode registrar em log atividades bem-sucedidas para
fornecer a documentao de alteraes. Ela tambm pode registrar em log tentativas mal-intencionadas
com falha e em potencial de acessar recursos corporativos. Ao configurar a auditoria, voc ir especificar
as configuraes de auditoria, habilitar uma poltica de auditoria e monitorar eventos nos logs de
segurana.
Objetivos da lio
Descrever polticas de auditoria.
Explicar como especificar configuraes de auditoria para um arquivo ou uma pasta.
Explicar como habilitar a poltica de auditoria.
Explicar como avaliar eventos no log de segurana.
Descrever a configurao da poltica de auditoria avanada.
Explicar como configurar a auditoria avanada.
Viso geral das polticas de auditoria

A poltica de auditoria configura um sistema para
auditar categorias de atividades. Se a poltica de
auditoria no estiver habilitada, um servidor no
ir auditar essas atividades.
possvel exibir polticas de auditoria na Poltica

de Grupo, em Configurao do Computador. Em
Configurao do Computador, expanda
Polticas\Configuraes do
Windows\Configuraes de Segurana\Polticas
Locais e clique em Poltica de Auditoria. Para
configurar a auditoria, voc deve definir a
configurao da poltica. No Editor de
Gerenciamento de Poltica de Grupo, clique duas vezes em qualquer configurao de poltica e marque a
caixa de seleo Definir estas configuraes de polticas. Em seguida, opte por habilitar a auditoria de
eventos bem-sucedidos, com falha ou ambos.
A tabela a seguir define cada poltica de auditoria e as configuraes padro em um controlador de

domnio do Windows Server 2012.
Configurao da
poltica de auditoria
Descrio
Configurao padro
11-7
Auditoria de
eventos de logon
de conta
Cria um evento quando um usurio ou um

computador tenta se autenticar usando uma
conta do Active Directory. Por exemplo,
quando um usurio entra em qualquer
computador no domnio, um evento de
logon de conta gerado.
Os logons de conta bemsucedidos so auditados.
Auditoria de
eventos de logon
Cria um evento quando um usurio entra em

um computador interativamente (localmente)
ou pela rede (remotamente). Por exemplo, se
uma estao de trabalho e um servidor forem
configurados para auditar eventos de logon,
a estao de trabalho auditar um usurio
entrando diretamente nessa estao de
trabalho. Quando o usurio se conecta a uma
pasta compartilhada no servidor, o servidor
registra em log esse logon remoto. Quando
um usurio faz logon, o controlador de
domnio registra um evento de logon porque
scripts de logon e polticas so recuperados
do controlador de domnio.
Os logons bem-sucedidos so
auditados.
Auditoria de
gerenciamento de
contas
Os eventos de auditoria, inclusive a criao, a

excluso ou a modificao de contas de
usurio, grupo ou computador, alm da
redefinio das senhas de usurio.
As atividades de
gerenciamento de conta bemsucedidas so auditadas.
Auditoria de acesso
ao servio de
diretrio
Audita eventos especificados na SACL (lista de

controle de acesso do sistema), o que visto
em uma caixa de dilogo Configuraes de
Segurana Avanadas das Propriedades do
objeto do Active Directory. Alm de definir a
poltica de auditoria com essa configurao,
voc tambm deve configurar a auditoria
para o objeto especfico ou os objetos usando
a SACL do objeto ou dos objetos. Essa poltica
semelhante poltica do Acesso a objetos
de auditoria usada por voc para auditar
arquivos e pastas, mas essa poltica se aplica
aos objetos do Active Directory.
Os eventos de acesso do
servio de diretrio bemsucedidos so auditados, mas
algumas SACLs de objetos
especificam as configuraes
de auditoria.
Auditoria de
alterao de
polticas
Audita alteraes feitas em polticas de

atribuio de direitos, polticas de auditoria
ou polticas confiveis.
As alteraes de poltica bemsucedidas so auditadas.
(continuao)
Configurao da
poltica de auditoria
Descrio
Configurao padro
Auditoria de uso de
privilgios
Audita o uso de um privilgio ou direito de

usurio. Consulte o texto explicativo da
poltica no Editor de Gerenciamento de
Poltica de Grupo.
Nenhuma auditoria
realizada por padro.
Auditoria de
eventos de sistema
Audita reinicializao do sistema,

desligamento ou alteraes que afetem o
sistema ou os logs de segurana.
Os eventos de sistema bemsucedidos so auditados.
Auditoria de
acompanhamento
de processos
Audita eventos como a ativao do programa

e a sada do processo. Consulte o texto
explicativo da poltica no Editor de
Gerenciamento de Poltica de Grupo.
Nenhum evento auditado.
Auditoria de acesso
a objetos
Audita acesso a objetos como arquivos,

pastas, chaves de registro e impressoras com
SACLs prprias. Alm de habilitar essa poltica
de auditoria, voc deve configurar as
entradas de auditoria nas SACLs de objetos.
Nenhum evento auditado.
Observe que a maioria dos eventos do Active Directory mais importantes j auditada por controladores
de domnio, supondo que os eventos sejam bem-sucedidos. Por isso, a criao de um usurio, a
redefinio da senha de um usurio, o logon no domnio e a recuperao dos scripts de logon de um
usurio so todos registrados em log.
Porm, nem todos os eventos de falha so auditados por padro. Voc talvez precise implementar
auditoria de falha adicional com base nas polticas de segurana de IT da organizao e nos requisitos.
Por exemplo, se auditar eventos de logon com falha, voc poder expor tentativas mal-intencionadas de
acessar o domnio tentando fazer logon repetidamente como uma conta de usurio do domnio sem
saber ainda a senha da conta. A auditoria dos eventos de gerenciamento de conta com falha pode revelar
um usurio mal-intencionado que est tentando manipular a associao de um grupo cuja segurana
confidencial.
Uma das tarefas mais importantes que voc deve realizar equilibrar e alinhar a poltica de auditoria com
as polticas corporativas e, assim, realista. A poltica corporativa pode determinar que todos os logons
com falha e alteraes bem-sucedidas feitas em usurios e grupos do Active Directory devem ser
auditadas. Isso fcil de atingir no AD DS (Servios de Domnio Active Directory). Mas como, exatamente,
voc usar essas informaes? Os logs de auditoria detalhados sero inteis se voc no souber como ou
no tiver as ferramentas para gerenciar esses logs de maneira efetiva. Para implementar a auditoria, voc
deve ter uma poltica de auditoria bem configurada e as ferramentas com as quais gerenciar os eventos
auditados.
Especificao das configuraes de auditoria em um arquivo

ou em uma pasta
Muitas organizaes optam por auditar o sistema
de arquivos de auditoria para fornecer
informaes sobre o uso do recurso e os possveis
problemas de segurana. O Windows Server 2012
d suporte auditoria granular com base em
contas de usurio ou grupo e nas aes especficas
realizadas por essas contas. Para configurar a
auditoria, voc deve seguir trs etapas: especificar
configuraes de auditoria, habilitar a poltica de
auditoria e avaliar eventos no log de segurana.
possvel auditar o acesso a um arquivo ou a uma
pasta adicionando entradas de auditoria na SACL.
Para isso, execute estas etapas:
1.
Abra a caixa de dilogo de propriedades do arquivo ou da pasta e clique na guia Segurana.
2.
Na guia Segurana, clique em Avanadas.
3.
Clique em Auditoria.
4.
Para adicionar uma entrada, clique em Editar. Isso abre a guia Auditoria no modo Editar.
5.
Clique em Adicionar para selecionar o usurio, o grupo ou o computador a ser auditado.
6.
Na caixa de dilogo Entrada de Auditoria, indique o tipo de acesso auditoria.
Consideraes para configurar a auditoria de arquivos e pastas
11-9
possvel auditar xitos, falhas ou ambos medida que o usurio, o grupo ou o computador especificado
tenta acessar o recurso usando um ou mais dos nveis de acesso granulares.
possvel auditar xitos com as seguintes finalidades:
Para registrar em log o acesso ao recurso para relatrio e cobrana.
Para monitorar o acesso que sugeriria que os usurios esto realizando aes maiores que o
planejado, o que indica que as permisses so muito generosas.
Para identificar o acesso alm de uma determinada conta, que pode ser um sinal de que uma conta
de usurio foi invadida por um hacker.
possvel auditar eventos com falha com as seguintes finalidades:
Para monitorar tentativas mal-intencionadas de acesso a um recurso cujo acesso foi negado.
Para identificar tentativas com falha de acesso a um arquivo ou a uma pasta a que um usurio precisa
de acesso. Isso indicaria que as permisses no so suficientes para atender a um requisito de
negcios.
11-10
A auditoria de entradas leva sistemas operacionais Windows a auditarem as atividades com xito ou falha
de uma entidade de segurana (usurio, grupo ou computador) para usarem uma permisso especfica.
Como Controle Total inclui todos os nveis de acesso individuais, essa entrada abrange qualquer tipo de
acesso. Por exemplo, se voc atribuir Controle Total ao grupo Consultor e se um membro do grupo
Consultor tentar o acesso de qualquer tipo e falhar, essa atividade ser registrada em log.
Normalmente, as entradas de auditoria refletem as entradas de permisso do objeto, mas nem sempre
so correspondentes. No cenrio anterior, lembre-se, um membro do grupo Consultores tambm pode
pertencer a outro grupo com permisso para acessar a pasta. Como esse acesso ser bem-sucedido, a
atividade no ser registrada em log. Por isso, se estiver preocupado com a restrio do acesso pasta e a
garantia de que usurios no a acessem de maneira alguma, voc dever monitorar tentativas de acesso
com falha. Porm, voc tambm deve auditar o acesso bem-sucedido para identificar situaes nas quais
um usurio esteja acessando a pasta por meio de outra associao de grupo potencialmente incorreta.
Observao: Os logs de auditoria podem ficar bem grandes rapidamente. Portanto,
configure o mnimo necessrio para atingir o objetivo de segurana da empresa. Quando voc
especifica a auditoria dos xitos e das falhas em uma pasta de dados ativa para o grupo Todos
usando Controle Total (todas as permisses), isso gera logs de auditoria enormes que poderiam
afetar o desempenho do servidor e praticamente impossibilitar um evento de auditoria
especfico.
Habilitao da poltica de auditoria

A configurao das entradas de auditoria no
descritor de segurana de um arquivo ou de uma
pasta no habilita a auditoria por si. A auditoria
deve ser habilitada definindo-se a configurao
da poltica de acesso do objeto de auditoria
dentro da Poltica de Grupo.
Depois que a auditoria for habilitada, o
subsistema de segurana comear a registrar em
log o acesso conforme orientado pelas
configuraes de auditoria.
A configurao da poltica deve ser aplicada ao
servidor que contm o objeto auditado. possvel
definir a configurao da poltica no GPO local do servidor ou usar uma GPO com escopo do servidor.
possvel definir a poltica e auditar eventos bem-sucedidos, com falha ou ambos. A configurao da
poltica deve especificar a auditoria de tentativas bem-sucedidas ou com falha correspondentes ao tipo
de entrada de auditoria na SACL no objeto. Por exemplo, para registrar em log uma tentativa com falha
de consultores em acessar a pasta Dados Confidenciais, voc deve configurar a poltica de acesso do
objeto Auditoria para auditar falhas e a SACL da pasta Dados Confidenciais para auditar falhas. Se a
poltica de auditoria auditar apenas xitos, as entradas com falha na SACL da pasta no iniciaro o
registro em log.
Localizao das configuraes da poltica de auditoria
11-11
No Gerenciamento de Poltica de Grupo no AD DS, existe um grupo de configuraes padro em um GPO

que controlam o comportamento de auditoria. Esse conjunto de configuraes de poltica de auditoria
localizado na Configurao do Computador, no seguinte n:
Configuraes do Windows\Segurana\Polticas Locais\Poltica de Auditoria. As configuraes da
poltica de auditoria regem as seguintes configuraes bsicas:
Auditoria de eventos de logon de conta
Auditoria de gerenciamento de contas
Auditoria de acesso ao servio de diretrio
Auditoria de eventos de logon
Auditoria de acesso a objetos
Auditoria de alterao de polticas
Auditoria de uso de privilgios
Auditoria de acompanhamento de processos
Auditoria de eventos de sistema
Observao: Lembre-se de que o acesso auditado e registrado a combinao das

configuraes na poltica de auditoria e das entradas de auditoria em arquivos e pastas
especficos. Se voc tiver configurado entradas de auditoria para registrar falhas em log, mas a
poltica s permitir o registro em log de xitos, os logs de auditoria continuaro vazios.
Avaliao de eventos no log de segurana

Depois de habilitar a configurao Poltica de
Acesso do Objeto de Auditoria e especificar o
acesso que voc deseja auditar usando as SACLs
de objeto, o sistema comea a registrar em log o
acesso de acordo com as entradas de auditoria.
possvel exibir os eventos resultantes no log de
segurana do servidor. Para fazer isso, em
Ferramentas Administrativas, abra o console
Visualizador de Eventos e expanda Logs do
Windows\Segurana.
No log de segurana, os eventos de auditoria so

representados como xito na Auditoria ou Tipos
de Evento de Falha na Auditoria. O campo Detalhes de cada evento conter as informaes relevantes,
dependendo do tipo de evento que foi auditado. Muitas categorias de auditoria retornaro um grande
nmero de eventos. Como esses eventos podem ser chatos de navegar, a filtragem de evento
recomendvel. possvel filtrar com base no campo de detalhes e incluir informaes apropriadas, como
o nome de um usurio ou o nome de um arquivo ou de uma pasta em auditoria.
Polticas de Auditoria Avanadas

No Windows Server 2012 e no Windows Server
2008 R2, os administradores podem auditar
aspectos mais especficos do comportamento do
cliente no computador ou na rede. Isso facilita a
identificao dos comportamentos pelo
administrador de maior interesse. Por exemplo,
em Configurao do
Computador\Polticas\Configuraes do
Windows\Configuraes de Segurana\Polticas
Locais\Poltica de Auditoria, existe apenas uma
configurao de polticaAuditoria de eventos de
logonpara eventos de logon. Em Configurao
do Computador\Polticas\Configuraes do Windows\Configuraes de Segurana\Configurao
Avanada de Poltica de Auditoria\Polticas de Auditoria, possvel escolher uma das dez configuraes
de poltica diferentes na categoria Logon/Logoff. Isso fornece um controle mais detalhado de quais
aspectos do logon e do logoff possvel acompanhar.
Essas melhorias na auditoria de segurana podem ajudar a conformidade de auditoria da organizao
com regras importantes relacionadas aos negcios e segurana acompanhando atividades definidas,
como:
11-12
Um administrador de grupo que modificou configuraes ou dados em servidores que contenham

informaes financeiras.
Um funcionrio em um grupo definido que acessou um arquivo importante.
A SACL correta aplicada a todos os arquivos e pastas ou chave do Registro em um computador ou

um compartilhamento de arquivos como uma proteo verificvel diante do acesso no detectado.
Noes bsicas sobre configuraes da poltica de auditoria avanada

Existem dez grupos de configuraes de poltica de auditoria avanada que possvel configurar na
Poltica de Grupo do Windows Server 2012:
Logon de conta. Essas configuraes permitem a auditoria da validao das credenciais e outros
eventos de autenticao especfica de Kerberos e operao de tquete.
Gerenciamento de conta. possvel habilitar a auditoria de eventos referentes modificao de

contas de usurio, contas de computador e grupos com o grupo de configuraes Gerenciamento de
Conta.
Acompanhamento detalhado. Essas configuraes controlam a auditoria dos eventos de criptografia,

os eventos de criao e encerramento do processo do Windows, alm dos eventos de RPC.
Acesso DS. As configuraes de auditoria envolvem acesso aos Servios de Diretrio, inclusive acesso
geral, alteraes e replicao.
Logon/Logoff. Os eventos de logon e logoff padro so auditados por esse grupo de configuraes.
Outra atividade especfica de conta, como IPsec, Servidor de Polticas de Rede e outros eventos de
logon e logoff no categorizados tambm so auditados.
11-13
Acesso a objetos. Essas configuraes habilitam a auditoria de qualquer acesso ao AD DS, ao Registro,
ao aplicativo e ao armazenamento de arquivos.
Alterao de Poltica. Quando voc define essas configuraes, as alteraes internas feitas nas
configuraes da poltica de auditoria so auditadas.
Uso de Privilgio. Dentro do ambiente do Windows, o Windows Server 2012 audita as tentativas de
uso de privilgio, quando voc define essas configuraes.
Sistema. As configuraes de sistema so usadas na auditoria de alteraes feitas no estado do

subsistema de segurana.
Auditoria de Acesso a Objetos Globais. Essas configuraes se destinam ao controle das configuraes
SACL de todos os objetos em um ou mais computadores. Quando as configuraes no grupo so
definidas e aplicadas com a Poltica de Grupo, a associao SACL determinada pela definio da
configurao de poltica e as SACLs so configuradas diretamente no prprio servidor. possvel
configurar SACLs para o sistema de arquivos e o acesso ao Registro em Auditoria de Acesso a Objetos
Globais.
Demonstrao: Configurao de auditoria avanada

Esta demonstrao mostra como criar e editar um GPO para a configurao da poltica de auditoria.
Criar e editar um GPO para configurao da poltica de auditoria
1.
Em LON-DC1, abra Gerenciamento de Poltica de Grupo.
2.
Crie um novo GPO chamado Auditoria de Arquivo.
3.
Edite o GPO Auditoria de Arquivo e habilite os eventos de auditoria xito e Falha para as
configuraes Compartilhamento de Arquivos de Auditoria Detalhado e Auditoria de
Armazenamento Removvel.
4.
Laboratrio: Configurao de criptografia e auditoria

avanada
Cenrio
11-14
escritrio de IT e um datacenter esto localizados em Londres como suporte localizao em Londres e
outras localizaes. A. A Datum implantou recentemente uma infraestrutura de cliente e servidor do
Voc deve configurar o ambiente do Windows Server 2012 para proteger arquivos confidenciais e
garantir que o acesso aos arquivos na rede seja auditado de maneira apropriada. Voc tambm deve
configurar a auditoria do novo servidor.
Objetivos
Criptografar e recuperar arquivos usando ferramentas de gerenciamento do EFS.
Configurar a auditoria avanada.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-CL1
24411B-LON-SVR1
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Realize as etapas de 2 a 4 para 24411B-LON-CL1 e 24411B-LON-SVR1.
Exerccio 1: Criptografia e recuperao de arquivos

Cenrio
11-15
Sua organizao deseja permitir que os usurios iniciem a criptografia de arquivos com EFS. Entretanto,
existem preocupaes com a capacidade de recuperao. Para aprimorar o gerenciamento dos
certificados usados para EFS, voc vai configurar uma AC interna para emitir certificados para usurios.
Voc tambm vai configurar um agente de recuperao para o EFS e verificar se ele pode recuperar
arquivos.
1.
Atualizar o certificado do agente de recuperao do EFS
2.
Atualizar a Poltica de Grupo nos computadores
3.
Obter um certificado para EFS
4.
Criptografar um arquivo
5.
Usar o agente de recuperao para abrir o arquivo
Tarefa 1: Atualizar o certificado do agente de recuperao do EFS

1.
Em LON-DC1, no Gerenciador do Servidor, abra a ferramenta administrativa Gerenciamento de

Poltica de Grupo.
2.
Edite a Default Domain Policy vinculada a Adatum.com.
3.
No Editor de Gerenciamento de Poltica de Grupo, navegue at Configurao do Computador\

Polticas\Configuraes do Windows\Configuraes de Segurana\Polticas de Chave Pblica\
Sistema de Arquivos de Criptografia.
4.
Na pasta Sistema de Arquivos de Criptografia, exclua o certificado Administrador existente.
5.
Crie um novo Agente de recuperao de dados.
6.
Leia as informaes sobre o novo certificado e verifique se foi emitido por AdatumCA.
Tarefa 2: Atualizar a Poltica de Grupo nos computadores

1.
Em LON-DC1, use a interface de linha de comando do Windows PowerShell para executar

gpupdate /force.
2.
Em LON-CL1, abra um prompt de comando e execute gpupdate /force.
3.
Tarefa 3: Obter um certificado para EFS

1.
Em LON-CL1, entre como ADATUM\Doug com uma senha Pa$$w0rd.
2.
Execute mmc.exe para abrir um console de MMC vazio.
3.
Adicione o snap-in de Certificados ao console do MMC.
4.
No console MMC, clique com o boto direito do mouse em Pessoal e solicite um novo certificado.
5.
Selecione um certificado EFS bsico.
6.
Verifique se o novo certificado foi emitido por AdatumCA.
7.
Feche o console e no salve as alteraes.
Tarefa 4: Criptografar um arquivo

1.
Em LON-CL1, navegue at \\LON-DC1\Mod11Share\Marketing.
2.
Abra as propriedades de DougFile.
3.
Habilite a criptografia nos atributos avanados apenas de DougFile.
4.
Feche o Explotador de Arquivos.
5.
Tarefa 5: Usar o agente de recuperao para abrir o arquivo

1.
Em LON-DC1, navegue at E:\Labfiles\Mod11\Mod11Share\Marketing.
2.
Abra DougFile.txt, modifique o contedo e salve o arquivo.
Resultados: Depois de concluir esse exerccio, voc ter criptografado e recuperado os arquivos.
Exerccio 2: Configurao de auditoria avanada

Cenrio
11-16
O gerente pediu para voc acompanhar todo o acesso aos compartilhamentos de arquivo armazenados
em LON-SVR1. Voc tambm precisa estar atento ao momento em que um usurio acessa um arquivo em
um dispositivo de armazenamento removvel conectado ao servidor. Voc optou por implementar as
configuraes de acesso ao objeto apropriadas usando a configurao da poltica de auditoria Avanada.
1.
Criar um GPO para auditoria avanada
2.
Verificar entradas de auditoria
3.
Tarefa 1: Criar um GPO para auditoria avanada

1.
2.
Crie uma nova OU em Adatum.com chamada Servidores de Arquivos.
3.
Mova LON-SVR1 do continer Computers para a OU Servidores de Arquivos.
4.
Em LON-DC1, abra Gerenciamento de Poltica de Grupo.
5.
Crie um novo GPO chamado Auditoria de Arquivo e vincule-o OU Servidores de Arquivos.
6.
Edite o GPO Auditoria de Arquivo e, em Configurao do Computador, navegue at o n

Configurao Avanada de Poltica de Auditoria\Polticas de Auditoria\Acesso ao Objeto.
7.
Defina as configuraes Compartilhamento de Arquivos de Auditoria Detalhado e Auditoria de

Armazenamento Removvel para registrar os eventos xito e Falha.
8.
Reinicie LON-SVR1 e entre como ADATUM\Administrador com uma senha Pa$$w0rd.
Tarefa 2: Verificar entradas de auditoria
11-17
1.
Entre em LON-CL1 como ADATUM\Allan como uma senha Pa$$w0rd.
2.
Abra o Explotador de Arquivos e navegue at \\LON-SVR1\Mod11.
3.
Abra Testfile.txt no Bloco de Notas e feche-o.
4.
5.
Abra o Visualizador de Eventos e exiba os eventos xito na Auditoria no Log de Segurana.
6.
Clique duas vezes em uma das entradas de log com uma Origem de auditoria de segurana do
Microsoft Windows e uma Categoria de Tarefas de Compartilhamento de Arquivos Detalhado.
7.
Clique na guia Detalhes e observe o acesso realizado.
Resultados: Depois de concluir este exerccio, voc ter configurado a auditoria avanada.

etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 24411B-LON-SVR1 e 24411B-LON-CL1.

Perguntas de reviso
Pergunta: Alguns usurios esto criptografando arquivos armazenados em
compartilhamentos de rede para proteg-los de usurios de outros departamentos com
permisses NTFS para esses arquivos. Esse um modo efetivo de impedir que os usurios
exibam e modifiquem esses arquivos?
Pergunta: Por que o EFS pode ser considerado um mtodo de criptografia problemtico em
um ambiente de servidor de arquivos de rede amplamente distribudo?
Pergunta: Voc configurou uma poltica de auditoria usando a Poltica de Grupo a ser
aplicada a todos os servidores de arquivos na organizao. Depois de habilitar a poltica e
confirmar se as configuraes da Poltica de Grupo esto sendo aplicadas, voc descobre que
nenhum evento de auditoria est sendo registrado nos logs de eventos. Qual o motivo
mais provvel para isso?
Ferramentas
Ferramenta
Usada para
Onde encontr-la?
Console de Gerenciamento
de Poltica de Grupo
Gerenciar GPOs contendo

configuraes da poltica de
auditoria
Visualizador de Eventos
Exibir eventos da poltica de

auditoria
11-18

12-1
Mdulo 12
Implementao do gerenciamento de atualizaes
Contedo:
Viso geral do mdulo
12-1
Lio 1: Viso geral do WSUS
12-2
Lio 2: Implantao de atualizaes com o WSUS
12-5
Laboratrio: Implementao do gerenciamento de atualizaes
12-9
Viso geral do mdulo
12-14
Windows Server melhora a segurana aplicando atualizaes de segurana aos servidores na hora certa.
Ele fornece a infraestrutura para baixar, testar e aprovar as atualizaes de segurana. A aplicao de
atualizaes de segurana de forma rpida ajuda a evitar incidentes de segurana que resultam de
vulnerabilidades conhecidas. Durante a implementao do WSUS, voc deve se lembrar dos requisitos de
hardware e software do WSUS, das configuraes a serem definidas e das atualizaes a serem aprovadas
ou removidas de acordo com as necessidades da organizao.
Objetivos
Descrever a funo do WSUS.
Implantar atualizaes com o WSUS.
Lio 1
Viso geral do WSUS
12-2 Implementao do gerenciamento de atualizaes
A funo WSUS fornece um ponto de gerenciamento central para atualizaes para computadores com o
sistema operacional Windows. Usando o WSUS, possvel criar um ambiente de atualizao mais
eficiente na organizao e estar mais bem informado sobre o status da atualizao geral dos
componentes na rede. Esta lio apresenta o WSUS e descreve os principais recursos da funo de
servidor WSUS.
Objetivos da lio
Descrever o WSUS.
Explicar o processo de gerenciamento da atualizao do WSUS.
Identificar os requisitos de servidor para o WSUS.
O que o WSUS?
O WSUS uma funo de servidor includa no
sistema operacional Windows Server 2012 que
baixa e distribui atualizaes a clientes e
servidores Windows. O WSUS pode obter
atualizaes aplicveis ao sistema operacional
e a aplicativos comuns da Microsoft como
Microsoft Office e Microsoft SQL Server.
Na configurao mais simples, uma organizao
pequena pode ter um nico servidor do WSUS
que baixa atualizaes do Microsoft Update. O
servidor do WSUS ento distribui as atualizaes a
computadores que esto configurados para obter
atualizaes automticas desse servidor. Voc deve aprovar as atualizaes para que os clientes possam
baix-las.
As organizaes maiores podem criar uma hierarquia de servidores do WSUS. Nesse cenrio, um nico
servidor do WSUS centralizado obtm atualizaes do Microsoft Update, e outros servidores do WSUS
obtm atualizaes do servidor do WSUS centralizado.
possvel organizar os computadores em grupos para simplificar a aprovao das atualizaes. Por
exemplo, possvel configurar um grupo piloto como o primeiro conjunto de computadores que so
usados para testar atualizaes.
O WSUS pode gerar relatrios para ajudar no monitoramento da instalao de atualizaes. Esses
relatrios podem identificar os computadores que no aplicaram as atualizaes aprovadas recentemente.
Com base nesses relatrios, possvel investigar por que as atualizaes no esto sendo aplicadas.
O processo de gerenciamento de atualizaes do WSUS

O processo de gerenciamento de atualizaes
permite gerenciar e manter o WSUS e as
atualizaes recuperadas pelo WSUS. Esse
processo um ciclo contnuo durante o qual
possvel reavaliar e ajustar a implantao do
WSUS de modo a atender s necessidades em
constante mudana. As quatro fases no processo
de gerenciamento de atualizaes so:
Estimar
Identificar
Avaliar e planejar
Implantar
A fase de avaliao
12-3
O objetivo da fase de estimativa configurar um ambiente de produo que oferea suporte ao

gerenciamento de atualizaes para situaes de rotina e de emergncia. Essa fase um processo
contnuo usado para determinar a topologia mais eficiente para colocar em escala os componentes do
WSUS. medida que sua organizao muda, voc pode identificar a necessidade de adicionar mais
servidores do WSUS em diferentes locais.
A fase de identificao
A fase de identificao destina-se a identificar as novas atualizaes que so disponibilizadas e a

determinar se elas so relevantes para a organizao. Voc tem a opo de configurar o WSUS para
recuperar automaticamente todas as atualizaes ou somente tipos especficos de atualizao. O WSUS
tambm identifica quais atualizaes so relevantes para os computadores registrados.
A fase de avaliao e planejamento

Depois que as atualizaes relevantes forem identificadas, voc precisar verificar se elas funcionam
corretamente em seu ambiente. Sempre existe a possibilidade de que a combinao especfica de
softwares em seu ambiente possa ter problemas com uma atualizao.
Para avaliar as atualizaes, voc deve ter um ambiente de teste no qual possam ser aplicadas
atualizaes a fim de verificar a funcionalidade adequada. Durante essa fase, voc pode identificar as
dependncias que permitem a uma atualizao funcionar corretamente, assim, possvel planejar quais
alteraes precisam ser feitas.
A fase de implantao
Depois de testar uma atualizao por completo e determinar todas as dependncias, voc poder aprovla para implantao na rede de produo. O ideal que voc aprove a atualizao para um grupo piloto
de computadores antes de aprov-la para a organizao inteira.
Requisitos de servidor do WSUS

possvel usar o Gerenciador do Servidor para
instalar e configurar a funo de servidor WSUS.
No entanto, para poder implementar o WSUS, o
servidor deve atender a alguns requisitos mnimos
de hardware e software.
O software necessrio para o WSUS 3.0 SP2 inclui:
Windows Server 2012,

Windows Server 2008 R2,
Windows Server 2008 Service Pack 1 (SP1)
ou mais recente, Windows Server 2003 SP1
ou mais recente,
Windows Small Business Server 2008 ou
Windows Small Business Server 2003
IIS (Servios de Informaes da Internet) 6.0 ou mais recente
Microsoft .NET Framework 2.0 ou mais recente
MMC (Console de Gerenciamento Microsoft) 3.0
Microsoft Report Viewer Redistributable 2008 ou mais recente
SQL Server 2012, SQL Server 2008, SQL Server 2005 SP2 ou Banco de Dados Interno do Windows
Os requisitos mnimos de hardware para o WSUS so quase iguais aos requisitos mnimos de hardware
para os sistemas operacionais do Windows Server. No entanto, preciso considerar o espao em disco
como parte de sua implantao. Um servidor do WSUS exige cerca de 10 GB de espao em disco e voc
deve alocar pelo menos 30 GB de espao em disco para as atualizaes baixadas.
Um nico servidor do WSUS pode oferecer suporte a milhares de clientes. Por exemplo, um nico
servidor do WSUS com 4 GB de RAM e CPUs duplas com ncleo qudruplo podem oferecer suporte a
at 100.000 clientes. No entanto, na maioria das vezes, uma organizao com tantos clientes assim
provavelmente ter vrios servidores do WSUS para reduzir a carga nos links WAN (rede de longa
distncia).
Lio 2
Implantao de atualizaes com o WSUS
12-5
Esta lio explica as especificidades da implantao das atualizaes com o WSUS para os computadores
clientes. A implantao de atualizaes no Windows atualizam clientes por meio do WSUS pode fornecer
inmeros benefcios. possvel configurar atualizaes a serem baixadas, aprovadas e instaladas
automaticamente, sem a participao de um administrador. Tambm possvel impor mais controle sobre
o processo de atualizao e fornecer um ambiente controlado no qual implantar atualizaes. possvel
realizar um teste em um grupo de computadores de teste isolado antes da aprovao de uma atualizao
para aprovao em toda a organizao.
Objetivos da lio
Descrever como configurar o recurso Atualizaes Automticas para usar o WSUS.
Explicar como administrar o WSUS.
Identificar grupos de computadores no WSUS.
Descrever as opes para aprovar as atualizaes do WSUS.
Configurao das Atualizaes Automticas

Quando voc habilita o recurso Atualizaes
Automticas em um servidor, a configurao
padro baixa automaticamente as atualizaes do
Microsoft Update e as instala. Depois que o WSUS
implementado, os clientes devem ser
configurados para obter as atualizaes
automaticamente do servidor do WSUS.
O local do qual as Atualizaes Automticas

obtm as atualizaes controlado por uma
chave do Registro. Embora seja possvel configurar
manualmente a chave do Registro usando a
ferramenta RegEdit, isso no recomendvel,
exceto quando o computador estiver fora de um domnio. Se um computador estiver em um domnio,
ser muito mais eficiente criar um GPO (Objeto de Poltica de Grupo) que configure a chave do Registro.
Para ambientes do AD DS (Servios de Domnio Active Directory), as Atualizaes Automticas
costumam ser configuradas em um GPO definindo as configuraes localizadas em Configurao do
Computador. Para localizar as configuraes, expanda Polticas, Modelos Administrativos, Componentes
do Windows e localizar o n Atualizaes do Windows.
Alm de configurar a fonte das atualizaes, voc tambm pode usar um GPO para definir as seguintes
configuraes:
Frequncia de atualizao. Essa configurao determina com que frequncia as atualizaes so

detectadas.
Programao da instalao de atualizaes. Essa configurao determina quando as atualizaes so

instaladas. Essa configurao tambm determina para quando as atualizaes esto reagendadas,
quando as atualizaes no podem ser instaladas na hora agendada.
Comportamento de reinicializao automtica. Essa configurao determina se o computador ser

reiniciado automaticamente se exigido por uma atualizao.
Grupo de computadores padro no WSUS. Essa configurao determina o grupo de computadores

no qual o computador ser registrado durante o registro inicial no WSUS.
Administrao do WSUS
O console de administrao do WSUS um snapin MMC que possvel usar para administrar o
WSUS. Use essas ferramenta para:
Identificar e baixar atualizaes.
Aprovar atualizaes para implantao.
Organizar computadores em grupos.
Revisar o status de atualizao de

computadores.
Gerar relatrios.
O monitoramento uma parte essencial da

manuteno de um servio. O WSUS registra informaes detalhadas de integridade no log de eventos.
Alm disso, voc pode baixar um pacote de gerenciamento para facilitar o monitoramento no Microsoft
System Center 2012 - Operations Manager.
Controle atualizaes em computadores clientes
Os computadores clientes realizam atualizaes de acordo a configurao manual ou, na maioria dos
ambientes do AD DS, a Poltica de Grupo. Em alguns casos, convm iniciar o processo de atualizao fora
da agenda de atualizao normal. possvel usar a ferramenta wuauclt.exe para controlar o
comportamento de atualizao automtica em computadores clientes do Windows Update. O comando a
seguir inicia a deteco das Atualizaes da Microsoft na origem do Windows Update.
Wuauclt.exe /detectnow
Administrao com o Windows PowerShell

No Windows Server 2012, o WSUS inclui cmdlets do Windows PowerShell que possvel usar para
gerenciar o servidor do WSUS. A tabela a seguir lista esses cmdlets.
cmdlet
Descrio
12-7
Add-WsusComputer
Adiciona um computador cliente especificado a um grupo de

destino especificado.
Approve-WsusUpdate
Aprova uma atualizao a ser aplicada aos clientes.
Deny-WsusUpdate
Recusa a atualizao de implantao.
Get-WsusClassification
Obtm a lista de todas as classificaes do WSUS atualmente

disponveis no sistema.
Get-WsusComputer
Obtm o objeto do computador WSUS que representa o

computador cliente.
Get-WsusProduct
Obtm a lista de todos os produtos disponveis no momento no

WSUS por categoria.
Get-WsusServer
Obtm o valor do objeto do servidor de atualizaes do WSUS.
Get-WsusUpdate
Obtm o objeto de atualizao do WSUS com detalhes sobre a

atualizao.
Invoke-WsusServerCleanup
Realiza o processo de limpeza em um servidor WSUS especificado.
Set-WsusClassification
Define se as classificaes de atualizaes sincronizadas pelo

WSUS esto habilitadas ou desabilitadas.
Set-WsusProduct
Define se o produto que representa a categoria de atualizaes a

serem sincronizadas est habilitado ou desabilitado.
Set-WsusServerSynchronization
Define se o servidor do WSUS sincronizado a partir do Microsoft

Update ou de um servidor upstream e usa as propriedades do
servidor upstream.
O que so grupos de computadores?

Grupos de computadores so uma maneira de
organizar os computadores nos quais um servidor
do WSUS implanta atualizaes. Os dois grupos de
computadores que existem por padro so Todos
os Computadores e Computadores No
Atribudos. Novos computadores que contatam o
servidor do WSUS so atribudos
automaticamente aos dois grupos.
possvel criar grupos de computadores personalizados para controlar como as atualizaes sero
aplicadas. Normalmente, os grupos de computadores personalizados contm computadores com
caractersticas semelhantes. Por exemplo, voc pode criar um grupo de computadores personalizados
para cada departamento da sua organizao. Tambm possvel criar um grupo de computadores
personalizados para um laboratrio no qual voc implanta as atualizaes para teste. Voc normalmente
agruparia servidores separados de computadores clientes.
O processo de atribuir novos computadores manualmente a um grupo de computadores personalizados

chamado de direcionamento no lado do servidor. Voc tambm pode usar o direcionamento no lado do
cliente para atribuir computadores a um grupo de computadores personalizados. Para usar o
direcionamento no lado do cliente, voc precisa configurar uma chave do Registro ou um GPO para o
computador que especifica o grupo de computadores personalizados a ser unido durante o registro
inicial no servidor do WSUS.
A segmentao do servidor permite aos administradores gerenciarem manualmente a associao ao
grupo de computadores do WSUS. Isso til quando a estrutura do AD DS no d suporte ao lado do
cliente lgico para grupos de computadores ou quando os computadores precisam ser migrados entre
grupos para testes ou outras finalidades. A segmentao do cliente usada principalmente em grandes
organizaes nas quais a atribuio automatizada obrigatria e deve ser atribuda aos grupos
especficos.
Aprovao de atualizaes
A configurao padro do WSUS no aprova
automaticamente as atualizaes de aplicativos
nos computadores. Embora seja possvel aprovar
as atualizaes automaticamente, isso no
recomendvel. O processo recomendado para
aprovar atualizaes primeiro testar as
atualizaes em um ambiente de laboratrio,
depois em um grupo piloto e somente depois no
ambiente de produo. Esse processo reduz o
risco de uma atualizao gerar um problema
inesperado no ambiente de produo. Execute
esse processo aprovando atualizaes para grupos
especficos de computadores antes de aprov-las para o grupo Todos os Computadores.
Algumas atualizaes no so consideradas crticas e no tm implicaes na segurana. Talvez voc no

queira implementar algumas dessas atualizaes. Se for esse o caso, voc pode recusar a atualizao.
Depois que uma atualizao recusada, ela removida da lista de atualizaes na exibio padro do
servidor do WSUS.
Se voc aplicar uma atualizao e achar que ela est causando problemas, ser possvel usar o WSUS para
remov-la. No entanto, a atualizao s poder ser removida se ela oferecer suporte remoo. A
maioria delas permite a remoo.
Observando os detalhes de uma atualizao, voc saber se ela foi substituda por outra. As atualizaes
substitudas geralmente no so mais necessrias, pois uma mais nova incluir as alteraes dessa
atualizao e muito mais. As atualizao substitudas no so recusadas por padro, pois em alguns casos,
elas ainda so necessrias. Por exemplo, a atualizao mais antiga pode ser necessria se alguns servidores
no estiverem executando o service pack mais recente.
Laboratrio: Implementao do gerenciamento

de atualizaes
Cenrio
12-9
escritrio de TI e um data center esto localizados em Londres para dar suporte ao local em Londres e a
outros locais com escritrios filiais. A A. Datum implantou recentemente uma infraestrutura de cliente e
servidor do Windows Server 2012.
A. Datum tem aplicado manualmente as atualizaes a servidores em um local remoto. Isso resultou em
dificuldade na identificao de quais servidores tm atualizaes aplicadas e quais no. Esse um
problema de segurana potencial. Voc deve automatizar o processo de atualizao estendendo a
implantao do WSUS da A. Datum para incluir o escritrio da matriz.
Objetivos
Implementar a funo de servidor WSUS.
Definir configuraes de atualizao.
Aprovar e implantar uma atualizao usando o WSUS.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
24411B-LON-SVR4
24411B-LON-CL1
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Realize as etapas de 2 a 4 para 24411B-LON-SVR1, 24411B-LON-SVR4 e 24411B-LON-CL1.
Exerccio 1: Implementao da funo de servidor WSUS

Cenrio
12-10
A organizao j tem um servidor WSUS chamado LON-SVR1, localizado no escritrio matriz. Voc
precisa instalar a funo de servidor WSUS em LON-SVR4 em um local filial. LON-SVR4 usar LON-SVR1
como a origem dos downloads do Windows Update. A instalao em LON-SRV4 usar o Banco de Dados
Interno do Windows para a implantao.
1.
Instalar a funo de servidor WSUS (Windows Server Update Services)
2.
Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
Tarefa 1: Instalar a funo de servidor WSUS (Windows Server Update Services)

1.
Entre em LON-SVR4 como ADATUM\Administrador com uma senha Pa$$w0rd.
2.
No Gerenciador do Servidor, instale a funo Windows Server Update Services com os servios
de funo WID Database e WSUS Services. Tambm configure o local das atualizaes como
C:\WSUSUpdates.
3.
Abra o console do Windows Server Update Services e conclua a instalao quando solicitado.
4.
No Assistente de Configurao de Windows Server Update Services, clique em Cancelar.
5.
Feche o console Update Services.
Tarefa 2: Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
1.
2.
Em LON-SVR4, conclua o Assistente de Configurao de Windows Server Update Services,

especificando as seguintes configuraes:
o
Servidor Upstream: LON-SVR1.Adatum.com
Nenhum servidor proxy
Idiomas padro
Agenda de sincronizao manual
Comear a sincronizao inicial
No console Windows Server Update Services, em Opes, defina Computadores como Usar Poltica
de Grupo ou configuraes do Registro em computadores.
Resultados: Depois de concluir este exerccio, voc dever ter implementado a funo de servidor WSUS.
Exerccio 2: Definio das configuraes de atualizao

Cenrio
Voc precisa definir as configuraes da Poltica de Grupo para implantar as configuraes do WSUS
automticas em computadores clientes. Com a funo WSUS configurada em LON-SVR4, voc
deve garantir que o departamento de pesquisa tenha o grupo de computadores prprio no WSUS
em LON-SVR4. Voc tambm deve configurar computadores clientes na OU Research para
usarem LON-SVR4 como a origem de atualizaes.
1.
Configurar grupos do WSUS
2.
Configurar a poltica de grupo para implantar as configuraes do WSUS
3.
Verificar o aplicativo das configuraes da Poltica de Grupo
4.
Inicializar o Windows Update
Tarefa 1: Configurar grupos do WSUS

1.
Em LON-SVR4, se necessrio, abra o console do Windows Server Update Services.
2.
Crie um novo grupo de computadores chamado Research.
12-11
Tarefa 2: Configurar a poltica de grupo para implantar as configuraes do WSUS

1.
2.
Abra Gerenciamento de Poltica de Grupo.
3.
Crie e vincule um novo GPO OU Research chamada Pesquisa do WSUS, alm de definir as
seguintes configuraes de poltica no n Windows Update :
4.
Configurar Atualizaes Automticas: Fazer o download automtico das atualizaes e

instal-las no agendamento especificado abaixo
Local de servio do Microsoft Update: http://LON-SVR4.Adatum.com:8530
Servidor de estatsticas da intranet: http://LON-SVR4.Adatum.com:8530
Grupo de destino do cliente: Research
Mova LON-CL1 para a OU Research.
Tarefa 3: Verificar o aplicativo das configuraes da Poltica de Grupo

1.
2.
Reinicie LON-CL1.
3.
Em LON-CL1, entre como ADATUM\Administrador com uma senha Pa$$w0rd.
4.
Abra um prompt de comando usando a opo Executar como Administrador.
5.
No prompt de comando, execute os seguinte comando:

Gpresult /r
6.
Na sada do comando, confirme se em Configuraes do Computador, Pesquisa do WSUS est

listado em Objetos de poltica de grupo aplicados.
Tarefa 4: Inicializar o Windows Update

1.
Em LON-CL1, no prompt de comando, digite o seguinte comando e pressione Enter:

Wuauclt.exe /reportnow /detectnow
12-12
2.
3.
No console Update Services, expanda Computadores, Todos os Computadores e clique em

Research.
4.
Verifique se LON-CL1 exibido no Grupo de Pesquisa. Se no for, repita as etapas de 1 a 3. Pode

demorar alguns minutos para LON-CL1 ser exibido.
5.
Verifique se as atualizaes so relatadas conforme necessrio. Se no houver atualizaes relatadas,

repita as etapas de 1 a 3. Pode demorar de 10 a 15 minutos para as atualizaes serem registradas.
Resultados: Aps concluir esse exerccio, voc dever ter definido as configuraes de atualizao dos
computadores clientes.
Exerccio 3: Aprovao e implantao de uma atualizao por meio do WSUS

Cenrio
Depois de definir as configuraes do Windows Update, voc poder exibir, aprovar e implantar as
atualizaes obrigatrias. Voc deve usar LON-CL1 como um caso de teste para o departamento de
pesquisa. Voc ir aprovar, implantar e verificar uma atualizao em LON-CL1 para confirmar a
configurao apropriada do ambiente do WSUS.
1.
Aprovar atualizaes do WSUS para o grupo de computadores de pesquisa
2.
Implantar atualizaes em LON-CL1
3.
Verificar a implantao da atualizao em LON-CL1
4.
Tarefa 1: Aprovar atualizaes do WSUS para o grupo de computadores de pesquisa

1.
Em LON-SVR4, abra o console do WSUS.
2.
Aprove a Atualizao de Segurana do Microsoft Office 2010 (KB2553371), edio de 32 bits

do grupo Research.
Tarefa 2: Implantar atualizaes em LON-CL1

1.

2.
Abra Windows Update e verifique se h atualizaes.
3.
Clique em Instalar para instalar a atualizao aprovada.
Tarefa 3: Verificar a implantao da atualizao em LON-CL1

1.
Em LON-CL1, abra o Visualizador de Eventos.
2.
Navegue at Logs de Aplicativos e Servios\ Microsoft\Windows e exiba os eventos em

WindowsUpdateClient Operational.
3.
Confirme se os eventos foram registrados em log em relao atualizao.
12-13
Resultados: Depois de concluir este exerccio, voc ter aprovado e implantado uma atualizao usando
o WSUS.
Quando voc concluir o laboratrio, reverta todas as mquinas virtuais ao estado inicial. Para isso, execute
estas etapas:
1.
2.
Reverter.
3.
4.
Repita as etapas de 2 a 3 para 24411B-LON-SVR1, 24411B-LON-SVR4 e 24411B-LON-CL1.

Perguntas de reviso
Pergunta: Um colega argumentou que todas as atualizaes do sistema operacional
Windows devem ser aplicadas automaticamente quando forem liberadas. Voc recomenda
um processo alternativo?
Pergunta: A organizao implementa vrios aplicativos que no sejam aplicativos da
Microsoft. Um colega props o uso do WSUS para implantar atualizaes de aplicativo e
sistema operacional. Existe algum problema potencial em relao ao uso do WSUS?
Pergunta: Por que o WSUS mais fcil de gerenciar em um domnio do AD DS?
Ferramentas
Ferramenta
Uso
Onde encontrar
Console de administrao
do WSUS
Administrar o WSUS
Cmdlets do Windows
PowerShell WSUS
Administrar o WSUS na interface da

linha de comando
Windows PowerShell
12-14

13-1
Mdulo 13
Monitoramento do Windows Server 2012
Contedo:
Viso geral do mdulo
13-1
Lio 1: Ferramentas de monitoramento
13-2
Lio 2: Utilizao do Monitor de Desempenho
13-10
Lio 3: Monitoramento de logs de eventos
13-19
13-22
13-28
Avaliao do curso
13-29
Viso geral do mdulo
Quando houver uma falha do sistema ou um evento que afete o desempenho do sistema, voc dever
reparar ou resolver o problema de maneira rpida e eficiente. Com tantas variveis e possibilidades no
ambiente de rede moderno, para poder determinar a causa principal rapidamente, muitas vezes preciso
ter um conjunto de ferramentas e uma metodologia de monitoramento de desempenho eficientes.
possvel usar ferramentas de monitoramento de desempenho para identificar os componentes que
exigem soluo de problemas e ajustes adicionais. Ao identificar os componentes que exigem ajuste
adicional, voc pode melhorar a eficincia de seus servidores.
Objetivos
Descrever as ferramentas de monitoramento do Windows Server 2012.
Usar o Monitor de Desempenho para visualizar e analisar estatsticas de desempenho dos programas
em execuo em seus servidores.
Monitorar logs de eventos para visualizar e interpretar os eventos ocorridos.
Lio 1
Ferramentas de monitoramento
13-2 Monitoramento do Windows Server 2012
O Windows Server 2012 fornece uma gama de ferramentas para monitorar um sistema operacional em
um computador. Voc pode usar estas ferramentas para ajustar seu sistema para solucionar problemas de
eficincia. Voc deve usar estas ferramentas e complement-las onde for necessrio com suas prprias
ferramentas.
Objetivos da lio
Descrever o Gerenciador de Tarefas.
Descrever o Desempenho do Sistema.
Descrever o Monitor de Recursos.
Descrever o Visualizador de Eventos.
Viso geral do Gerenciador de Tarefas

O Gerenciador de Tarefas foi aprimorado no
Windows Server 2012 para fornecer mais
informaes a fim de ajudar a identificar e resolver
problemas relacionados ao desempenho. O
Gerenciador de Tarefas inclui as guias a seguir:
Processos. A guia Processos exibe uma lista de

programas em execuo, subdivididos em
aplicativos e processos internos do Windows.
Para cada processo em execuo, essa guia
exibe um resumo do uso do processador e da
memria.
Desempenho. A guia Desempenho exibe um

resumo do uso da CPU (unidade de processamento central) e da memria, bem como as estatsticas
de rede.
Usurios. A guia Usurios exibe o consumo de recursos por usurio. possvel expandir a exibio do
usurio para ver informaes mais detalhadas sobre processos especficos que um usurio est
executando.
13-3
Detalhes. A guia Detalhes lista todos os processos em execuo no servidor, fornecendo estatsticas
sobre o consumo da CPU, da memria e de outros recursos. Voc pode usar essa guia para gerenciar
os processos em execuo. Por exemplo, possvel interromper um processo, interromper um
processo e todos os processos relacionados, bem como alterar os valores de prioridade dos
processos. Ao alterar a prioridade de um processo, voc determina a quantidade de recursos da CPU
que o processo pode consumir. Ao aumentar a prioridade, voc permite que o processo solicite mais
recursos da CPU.
Servios. A guia Servios fornece uma lista dos servios do Windows em execuo, alm de
informaes relacionadas: se o servio est em execuo e o valor de identidade de processador (PID)
do servio em execuo. Voc pode iniciar e parar os servios usando a lista na guia Servios.
De modo geral, voc pode usar o Gerenciador de Tarefas quando um problema relacionado ao
desempenho se manifesta. Por exemplo, voc pode examinar os processos em execuo para determinar
se um programa especfico est usando recursos de CPU em excesso. Lembre-se sempre de que o
Gerenciador de Tarefas mostra um instantneo do consumo de recursos atual, e talvez voc tambm
precise examinar dados histricos para ter uma ideia real sobre a subcarga de resposta e o desempenho
de um computador servidor.
Viso geral do Monitor de Desempenho

O Monitor de Desempenho permite exibir
estatsticas de desempenho atuais ou dados
histricos que so coletados pelo uso de
conjuntos de coletores de dados.
Com o Windows Server 2012, voc pode
monitorar o desempenho do sistema operacional
por meio de objetos de desempenho e contadores
nos objetos. O Windows Server 2012 coleta dados
de contadores de vrios modos, incluindo:
Um valor de instantneo em tempo real.
O total desde a ltima inicializao do

computador.
Uma mdia em um intervalo de tempo especfico.
Uma mdia dos ltimos valores.
O nmero por segundo.
Um valor mximo.
Um valor mnimo.
O Monitor de Desempenho fornece uma coleo de objetos e contadores que registram dados sobre o
uso dos recursos do computador.
H muitos contadores que voc pode pesquisar e considerar monitorar para atender a seus requisitos
especficos.
Contadores primrios de processador

Os Contadores de CPU so um recurso da CPU do computador que armazena a contagem de eventos
relacionados ao hardware. Entre os contadores primrios de processador esto:
Processador > % Tempo do Processador. Esse contador avalia a porcentagem de tempo decorrido
que o processador gasta executando um thread no ocioso. Se o valor for maior que 85%, o
processador ficar sobrecarregado e o servidor poder exigir um processador mais rpido. Em outras
palavras, esse contador exibe o percentual de tempo decorrido que um determinado thread usou o
processador para executar instrues. Uma instruo a unidade bsica de execuo em um
processador e um thread o objeto que executa instrues. O cdigo executado para lidar com
algumas interrupes de hardware e condies de desvio includo nessa contagem.
Processador > Interrupes/s. Esse contador exibe a taxa, em incidentes por segundo, na qual o
processador recebeu e atendeu interrupes de hardware.
Sistema > Comprimento da Fila de Processador. Esse contador exibe um nmero aproximado de
threads que cada processador est atendendo. O servidor no ter potncia de processador suficiente
se o valor for duas vezes maior que o nmero de CPUs para um perodo estendido. O tamanho da fila
do processador, s vezes chamado de profundidade da fila do processador, que esse contador relata
um valor instantneo que s representa um instantneo atual do processador. Portanto, voc deve
observar esse contador ao longo de um perodo estendido para notar tendncias de dados. Alm
disso, o contador Sistema > Comprimento da fila de processador relata um tamanho de fila total para
todos os processadores, e no um tamanho para cada processador.
Contadores de Memria Primrios
O objeto de desempenho de Memria consiste em contadores que descrevem o comportamento da

memria fsica e virtual do computador. A memria fsica a quantidade de memria RAM no
computador. A memria virtual consiste em espao na memria fsica e no disco. Muitos contadores de
memria monitoram a paginao, que o movimento de pginas de cdigo e dados entre a memria em
disco e a fsica.
O contador Memria > Pginas/s counter avalia a taxa na qual as pginas so lidas ou gravadas no disco
para resolver falhas de pgina de hardware. Se a paginao excessiva resultar em um valor maior que
1.000, poder haver perda de memria. Em outras palavras, o contador Memria>Pginas/s exibe o
nmero de falhas de pgina de hardware por segundo. Uma falha de pgina de hardware ocorre quando
a pgina de memria pedida no pode ser localizada na RAM porque j existe no arquivo de paginao.
Um aumento neste contador indica que est ocorrendo mais paginao, que, por sua vez, sugere uma
falta de memria fsica.
Contadores de disco primrios
13-5
O objeto de desempenho de Disco Fsico consiste em contadores que monitoram as unidades de disco
rgido ou fixo. Os discos armazenam dados de arquivo, programa e paginao. Os discos so lidos para
recuperar esses itens e so gravados para registrar alteraes feitas neles. Os valores totais de contadores
de disco fsico so o total de todos os valores dos discos lgicos (ou parties) nos quais eles so
divididos. Entre os contadores primrios de disco esto:
Disco Fsico > % tempo de disco. Esse contador indica a ocupao de um determinado disco, e mede
o percentual de tempo em que o disco esteve ocupado durante o intervalo de exemplo. Um contador
aproximando 100 por cento indica que o disco est ocupado praticamente todo o tempo e
iminente um afunilamento de desempenho. Talvez seja conveniente substituir o sistema de disco
atual por um mais rpido.
Disco fsico > Comprimento mdio da fila de disco. Esse contador indica quantas solicitaes de disco
esto esperando para ser atendidas pelo gerenciador de E/S no Windows 7 a qualquer momento. Se
o valor for duas vezes maior que o nmero de eixos, isso significa que o prprio disco pode ser o
afunilamento. Quanto mais longa a fila, menos satisfatria a taxa de transferncia do disco.
Observao: Taxa de transferncia a quantidade total de trfego que passa em um

determinado ponto de conexo de rede para cada unidade de tempo. Carga de trabalho a
quantidade de processamento que o computador faz em um determinado momento.
Contadores de rede primrios
A maioria das cargas de trabalho exigem acesso a redes de produo para assegurar a comunicao com
outros aplicativos e servios e comunicar-se com usurios. Os Requisitos de Rede incluem elementos
como taxa de transferncia e a presena de vrias conexes de rede.
As cargas de trabalho podem exigir acesso a vrias redes diferentes que devem permanecer seguras.
Exemplos incluem conexes para:
Acesso rede pblica
Redes para executar backups e outras tarefas de manuteno
Conexes dedicadas de gerenciamento remoto
Agrupamento de adaptador de rede para desempenho e failover
Conexes para o computador host fsico
Conexes para matrizes de armazenamento baseadas em rede
Ao monitorar os contadores de desempenho de rede, voc poder avaliar o desempenho de sua rede.
Entre os contadores primrios de rede esto:
Interface de Rede > Largura de banda atual. Esse contador indica a largura de banda atual que est
sendo consumida na interface de rede em bits por segundo (bps). A maioria das topologias de rede
tm larguras de banda potenciais mximas cotadas em megabits por segundo (Mbps). Por exemplo,
Ethernet pode operar a larguras de banda de 10 Mbps, 100 Mbps, 1 Gigabit por segundo (Gbps), e
mais alto. Para interpretar este contador, divida o valor dado por 1.048.576 para Mbps. Se o valor
chegar a largura de banda potencial mxima da rede, voc deve implementar uma rede alternada ou
atualizar para uma rede que d suporte a larguras de banda mais altas.
Interface de Rede > Comprimento da Fila de Sada. Esse contador indica o comprimento atual da fila
de pacote de sada na interface de rede selecionada. Um valor crescente, ou que for
consistentemente mais alto que dois, pode indicar um afunilamento de rede, o que voc deve
investigar.
Interface de Rede > Total de Bytes/s Esse contador avalia a taxa na qual os bytes so enviados e
recebidos em cada adaptador de rede, incluindo caracteres de enquadramento. A rede ficar
sobrecarregada se voc descobrir que mais de 70% da interface consumida.
Viso geral do Monitor de Recursos

A interface do Monitor de Recursos no Windows
Server 2012 oferece um exame detalhado do
desempenho em tempo real do servidor.
Voc pode usar o Monitor de Recursos para
monitorar o uso e o desempenho de recursos de
CPU, disco, rede e memria em tempo real. Isso
permite identificar e resolver conflitos de recursos
e afunilamentos.
Ao expandir os elementos monitorados, os

administradores de sistema podem identificar que
recursos os processos esto usando. Alm disso,
possvel usar o Monitor de Recursos para
acompanhar um processo ou processos marcando as caixas de seleo. Quando voc seleciona um
processo, ele permanece selecionado em todos os painis do Monitor de Recursos, que oferece as
informaes necessrias em relao ao processo na parte superior da tela, no importa onde voc estiver
na interface.
Viso geral do Visualizador de Eventos

O Visualizador de Eventos do Windows fornece
acesso aos logs de eventos do Windows Server
2012. Os logs de eventos fornecem informaes
referentes a eventos do sistema que ocorrem
dentro do Windows. Entre esses eventos esto
informaes, aviso e mensagens de erro sobre
componentes do Windows e aplicativos
instalados.
13-7
O Visualizador de Eventos fornece listas categorizadas de eventos de log do Windows essenciais, inclusive
aplicativo, segurana, instalao e eventos do sistema, bem como agrupamentos de logs para aplicativos
individuais instalados e categorias de componentes do Windows especficas. Os eventos individuais
fornecem informaes detalhadas referentes ao tipo de evento ocorrido, quando o evento ocorreu, a
origem do evento e as informaes tcnicas detalhadas para auxiliar na soluo de problemas do evento.
Alm disso, o Visualizador de Eventos permite consolidar logs de vrios computadores em um

computador centralizado usando assinaturas. Por fim, possvel configurar o Visualizador de Eventos para
realizar uma ao com base em um evento especfico ou eventos ocorridos. Isso pode incluir o envio de
uma mensagem de email, a inicializao de um aplicativo, a execuo de um script ou outras aes de
manuteno que poderiam notific-lo ou tentar resolver um problema potencial.
O Visualizador de Eventos no Windows Server 2012 contm os seguintes recursos importantes:
A incluso de vrios novos logs. possvel acessar logs de muitos componentes e subsistemas
individuais.
A capacidade para exibir vrios logs. possvel filtrar eventos especficos em vrios logs, o que
simplifica a investigao de problemas e a soluo de problemas que possam ser exibidos em vrios
logs.
A incluso de exibies personalizadas. possvel usar a filtragem para restringir pesquisas apenas a
eventos nos quais voc tenha interesse e salvar essas exibies filtradas.
A capacidade para configurar tarefas agendadas para serem executadas em resposta a eventos. Voc
pode automatizar respostas a eventos. O Visualizador de Eventos integrado ao Agendador de
tarefas.
A capacidade para criar e gerenciar inscries de evento. possvel coletar eventos de computadores
remotos e armazen-los localmente.
Observao: Para coletar eventos de computadores remotos, voc deve criar uma regra de
entrada no Firewall do Windows Firewall para permitir o Gerenciamento do Log de Eventos do
Windows.
O Visualizador de Eventos acompanha informaes em vrios logs diferentes. Estes logs fornecem
informaes detalhadas que incluem:
Uma descrio do evento.
Um nmero de identificao do evento
O componente ou subsistema que gerou o evento
Informaes, aviso ou status de erro
A hora da ocorrncia
O nome do usurio em nome do qual o evento ocorreu
O nome do computador no qual o evento ocorreu
Um link para o Microsoft TechNet para obter mais informaes sobre o evento
Logs do Windows Server

O Visualizador de Eventos tem muitos logs internos, inclusive os da tabela a seguir.
Log interno
Descrio e uso
Log do aplicativo
Este log contm erros, avisos e eventos informativos que pertencem

operao de aplicativos como o Microsoft Exchange Server, o servio
SMTP (Simple Mail Transfer Protocol) e outros aplicativos.
log Security
Este log reporta os resultados de auditoria, se voc habilit-lo. Os

eventos de auditoria so descritos como bem-sucedidos ou com falha,
dependendo do evento. Por exemplo, o log relataria com xito ou falha
referente possibilidade de um usurio acessar um arquivo.
Log da instalao
Esse log contm os eventos relacionados instalao do aplicativo.
log System
Os eventos gerais so registrados em log por componentes e servios do

Windows, e so classificados como erro, aviso ou informaes. O
Windows predetermina os eventos que os componentes do sistema
registram em log.
Eventos encaminhados
Este log armazena eventos que so coletados de computadores remotos.

Para coletar eventos de computadores remotos, voc deve criar uma
assinatura de evento.
Logs de aplicativos e servios
Os logs de Aplicativos e Servios armazenam eventos de um nico aplicativo ou componente em vez de

eventos que possam ter impacto em todo o sistema. Esta categoria de logs inclui quatro subtipos:
Admin
Operacional
Analtico
Depurao
Os logs de administrador so de interesse de profissionais de IT que usam o Visualizador de Eventos para

solucionar problemas. Estes logs fornecem orientao como sobre responder a problemas e so
destinados principalmente a usurios finais, administradores e equipe de suporte. Os eventos encontrados
nos canais do Admin indicam um problema e uma soluo bem-definida que poder ser usada pelo
administrador.
Os eventos no log operacional tambm so teis para profissionais de IT, mas provvel que eles exijam
mais interpretao. possvel usar eventos operacionais para analisar e diagnosticar um problema ou uma
ocorrncia e acionar ferramentas ou tarefas com base no problema ou na ocorrncia.
Os logs analticos e de depurao no so amigveis ao usurio. Os logs analticos armazenam eventos
que rastreiam um problema, e geralmente registram em log um alto volume de eventos. Os
desenvolvedores usam logs de depurao quando esto depurando aplicativos. Por padro, os logs
Analtico e de Depurao so ocultos e desabilitados.
13-9
Por padro, arquivos de log do Windows tm 1.028 KB, e os eventos so substitudos conforme
necessrio. Se quiser limpar um log manualmente, voc dever entrar no servidor como um administrador
local. Se quiser definir configuraes de log de eventos de maneira centralizada, voc poder fazer isso
usando a Poltica de Grupo. Abra o Editor de Gerenciamento da Poltica de Grupo do GPO (Objeto de
Poltica de Grupo) e navegue at Configurao do Computador\Polticas\Modelos Administrativos\
Componentes do Windows\Servio do Log de Eventos.
Para cada log, possvel definir:
O local do arquivos de log.
O tamanho mximo do arquivo de log.
Opes de backup automtico.
Permisses nos logs.
Comportamento que ocorre quando o log est cheio.
Lio 2
Utilizao do Monitor de Desempenho
13-10
possvel usar o Monitor de Desempenho para coletar, analisar e interpretar dados relacionados ao
desempenho sobre os servidores da organizao. Isso permite tomar decises de planejamento de
capacidade mais bem informadas. Porm, para tomar decises informadas, importante que voc saiba
como estabelecer uma linha de base de desempenho, como usar conjuntos de coletores de dados e como
usar relatrios para ajudar a comparar dados de desempenho com a linha de base.
Objetivos da lio
Descrever uma linha de base.
Descrever conjuntos de coletores de dados.
Explicar como capturar dados de contador com um conjunto de coletores de dados.
Explicar como configurar um alerta.
Explicar como exibir relatrios do Monitor de Desempenho.
Identificar os parmetros-chave que voc deve acompanhar durante o monitoramento dos servios
de infraestrutura de rede.
Identificar consideraes do monitoramento de mquinas virtuais.
Linha de base, tendncias e planejamento de capacidade

Calculando linhas de base de desempenho para
seu ambiente de servidores, possvel interpretar
informaes de monitoramento em tempo real
com mais preciso. Uma linha de base para o
desempenho do servidor indica como as
estatsticas de monitoramento de desempenho
ficam durante o uso normal, e possvel
estabelecer uma linha de base monitorando
estatsticas de desempenho ao longo de um
perodo especfico. Quando um problema ou
sintoma ocorrer em tempo real, ser possvel
comparar suas estatsticas de linha de base com
suas estatsticas de tempo real e, em seguida, identificar anomalias.
Anlise de tendncias
Voc deve considerar o valor dos dados de desempenho atentamente para assegurar que eles reflitam o
ambiente do servidor real.
Alm disso, voc deve considerar a anlise de desempenho, bem como o crescimento do negcio ou da
tecnologia e atualizar os planos. Ser possvel reduzir o nmero de servidores em operao depois de
voc medir o desempenho e avaliar o ambiente necessrio.
13-11
Ao analisar tendncias de desempenho, voc pode prever quando a capacidade existente provvel de
ser esgotada. Analise o histrico com relao ao seu negcio e use isto para determinar quando uma
capacidade adicional necessria. Alguns picos so associados a atividades nica como, por exemplo,
ordens extremamente grandes. Outros picos ocorrem regularmente, como uma folha de pagamento
mensal. Esses picos poderiam exigir maior capacidade para atender a um nmero crescente de
funcionrios.
Planejar a capacidade futura do servidor um requisito para todas as organizaes. O planejamento
comercial geralmente exige capacidade adicional de servidor para atender metas. Ao alinhar sua
estratgia de IT com a estratgia do negcio, voc pode dar suporte aos objetivos comerciais.
Alm disso, voc deve considerar virtualizar seu ambiente para reduzir o nmero de servidores fsicos que
so necessrios. Voc pode consolidar servidores implementando a funo Hyper-V no ambiente do
Planejamento de capacidade
O planejamento de capacidade concentra-se em avaliar a carga de trabalho de servidor, o nmero de
usurios que um servidor pode suportar, e as maneiras como escalar sistemas para suportar carga de
trabalho adicional e usurios no futuro.
Novos aplicativos para servidores e servios afetam o desempenho de sua infraestrutura de IT. Estes
servios podem receber hardware dedicado embora eles geralmente usem a mesma LAN (rede local) e
infraestrutura de WAN (rede sem fio). Planejar para capacidade futura deve incluir todos os componentes
de hardware e como novos servidores, servios e aplicativos afetam a infraestrutura existente. Fatores
como energia, resfriamento e espao fsico so geralmente negligenciados durante exerccios iniciais para
planejar expanso de capacidade. Voc deve considerar como seus servidores podem ser dimensionados
para suportar um aumento de carga de trabalho.
Tarefas como atualizar para o Windows Server 2008 R2 e atualizar sistemas operacionais podem afetar
seus servidores e sua rede. s vezes, uma atualizao pode causar um problema com um aplicativo. O
cuidado ao monitorar o desempenho antes e depois de aplicar as atualizaes pode identificar
problemas.
Um negcio em expanso exige que voc fornea suporte a mais usurios. Voc deve considerar
requisitos comerciais ao comprar hardware. Fazendo isso, possvel atender aos requisitos comerciais
futuros por meio do aumento do nmero de servidores ou adicionando capacidade a hardware existente.
Os requisitos de capacidade incluem:
Mais servidores
Hardware adicional
Reduo de cargas de aplicativo
Reduo de usurios
Compreenso dos afunilamentos
13-12
Um afunilamento de desempenho ocorre quando um computador no capaz de atender as solicitaes

atuais para um recurso especfico. O recurso pode ser um componente chave, como um disco, memria,
processador ou rede. Como alternativa, a escassez de um componente dentro de um pacote de aplicativo
pode causar o afunilamento.
Usando as ferramentas de monitoramento de desempenho com regularidade, e comparando os
resultados com sua linha de base e os dados histricos, voc pode identificar afunilamentos de
desempenho antes de eles afetarem os usurios.
Depois que voc identifica um afunilamento, deve decidir como remov-lo. Suas opes para remover um
afunilamento incluem:
Execuo de menos aplicativos
Adio de recursos ao computador
Um computador que sofre de uma escassez de recursos severa pode deixar de processar solicitaes de
usurio, o que exige ateno imediata. Porm, se seu computador experimentar um afunilamento, mas
ainda funcionar dentro de limites aceitveis, voc pode decidir adiar qualquer alterao at voc resolver
a situao ou at que voc tenha uma oportunidade de realizar uma ao corretiva.
Anlise dos componentes-chave de hardware

Compreendendo como o sistema operacional usa os quatro componentes de hardware principais
processador, disco, memria e rede e como interagem uns com os outros ajuda voc a comear a
entender como otimizar o desempenho do servidor.
Processador
A velocidade do processador um fator importante na determinao da capacidade geral de processador

do servidor. A velocidade do processador determinada pelo nmero de operaes executadas em um
perodo medido. Os servidores com vrios processadores ou com processadores com vrios ncleos
executam tarefas de uso intensivo do processador com mais eficincia e normalmente so mais rpidos
do que os computadores com um nico processador ou com um processador de ncleo nico.
A arquitetura do processador tambm importante. Os processadores de 64 bits podem acessar mais
memria e podem ter um efeito significativo sobre o desempenho. Porm, importante observar que o
Windows Server 2012 e o Windows Server 2008 R2 s esto disponveis em edies 64 bits.
Disco
Os discos rgidos armazenam programas e dados. Consequentemente, a produtividade dos discos afeta a
velocidade da estao de trabalho ou do servidor, especialmente quando a estao de trabalho ou o
servidor est executando tarefas de uso intensivo do disco. A maioria dos discos rgidos tem partes mveis
e demora um pouco para posicionar as cabeas de leitura/gravao no setor adequado no disco para
recuperar a informao solicitada.
Ao selecionar discos mais rpidos e usando conjuntos de discos para otimizar os tempos de acesso, voc
poder suavizar o potencial do subsistema de disco para criar um gargalo de desempenho.
Voc tambm deve lembrar que as informaes no disco so movidas para a memria antes de serem
usadas. Se houver excesso de memria, o sistema operacional Windows Server criar um cache de arquivo
para itens gravados recentemente ou lidos dos discos. A instalao de memria adicional em um servidor
quase sempre pode aprimorar o desempenho do subsistema de disco uma vez que acessar o cache mais
rpido do que mover as informaes para a memria.
Memria
13-13
Os programas e os dados so carregados do disco para a memria antes que o programa manipule os
dados. Em servidores que executam vrios programas, ou onde os conjuntos de dados so extremamente
grandes, o aumento da quantidade de memria instalada pode ajudar a melhorar o desempenho do
servidor.
O Windows Server usa um modelo de memria no qual o excesso de solicitaes de memria no

rejeitado, mas manipulado por um processo conhecido como paginao. Durante a paginao, os dados e
os programas em memria no utilizados no momento pelos processos so movidos para uma rea no
disco rgido conhecida como arquivo de paginao. Isso libera memria fsica para atender s solicitaes
em excesso; mas como um disco rgido comparativamente lento, isso tem um efeito negativo no
desempenho da estao de trabalho. Ao adicionar mais memria, e com um processador de 64 bits, a
arquitetura que oferece suporte a uma memria maior poder reduzir a necessidade de paginao.
Rede
fcil subestimar o efeito de uma rede com um desempenho ruim porque ele no fcil ver ou medir
como os outros trs componentes de estao de trabalho. Entretanto, a rede um componente crtico
para o monitoramento de desempenho, uma vez que os dispositivos de rede armazenam muitos
programas, dados em processamento e aplicativos.
O que so os Conjuntos de Coletores de Dados?

Um conjunto de coletores de dados a base do
monitoramento de desempenho e relatrio do
Windows Server no Monitor de Desempenho.
possvel usar conjuntos de coletores de dados
para coletar informaes relacionadas a
desempenho e outras estatsticas de sistema com
base nas quais possvel realizar a anlise junto
com outras ferramentas dentro do Monitor de
Desempenho, ou com ferramentas de terceiros.
Embora seja til analisar a atividade de

desempenho atual em um computador do
servidor, voc pode achar mais til coletar dados
de desempenho por um certo perodo e, ento, analisar e comparar com dados coletados previamente.
possvel usar essa comparao de dados para determinar o uso do recurso para planejar o crescimento e
identificar problemas de desempenho potenciais.
Os conjuntos de coletores de dados podem conter os seguintes tipos de coletores de dados:
Contadores de desempenho. Esse coletor de dados fornece dados de desempenho do servidor.
Dados de rastreamento de eventos. Esse coletor de dados fornece informaes sobre atividades de
sistema e eventos, que normalmente so teis para solucionar problemas.
Informaes de configurao do sistema. Esse coletor de dados permite registrar o estado atual da
chave do Registro e gravar alteraes a essas chaves.
Voc pode criar um conjunto de coletores de dados de um modelo, de um conjunto existente de

coletores de dados em uma exibio do Monitor de Desempenho, ou selecionando coletores de dados
individuais e definindo cada opo individual nas propriedades do conjunto de coletores de dados.
Demonstrao: Captura de dados de contador com um conjunto de

coletores de dados
Criar um conjunto de coletores de dados.
Criar uma carga no servidor.
Analisar os dados resultantes em um relatrio.
Criar um conjunto de coletores de uados
13-14
1.
2.
Abra o Monitor de Desempenho.
3.
Crie um novo conjunto de coletores de dados Definido pelo Usurio com os seguintes contadoreschave:
4.
Processador > % Tempo do Processador
Memria > Pginas/s
PhysicalDisk > % tempo de disco
PhysicalDisk > Comprimento mdio da fila de disco
Sistema > Comprimento da Fila de Processador
Interface de Rede > Total de Bytes/s
Inicie o conjunto de coletores de dados.
Criar uma carga de disco no servidor

1.
Abra um prompt de comando e use o comando fsutil para criar um arquivo grande.
2.
Copie o arquivo para o servidor LON-DC1 para gerar a carga de rede.
3.
Crie uma nova cpia do arquivo grande no disco rgido local copiando-o de LON-DC1.
4.
Exclua todos os arquivos criados recentemente.
Analisar os dados resultantes em um relatrio

1.
Alterne para o Monitor de Desempenho e interrompa o conjunto de coletores de dados.
2.
Selecione a ferramenta Monitor de Desempenho, e selecione Exibir dados de logs.
3.
Adicione os dados coletados no conjunto de coletor de dados ao grfico.
4.
Altere a exibio para Relatrio.
Demonstrao: Configurao de um alerta
13-15
Com contadores de alerta, possvel criar um conjunto de coletores de dados personalizado que contm
contadores de desempenho para os quais possvel configurar aes que ocorram com base nos
contadores medidos excedendo ou ficando abaixo dos limites definidos por voc. Depois de criar o
conjunto de coletores de dados, voc dever configurar as aes que o sistema usar quando os critrios
de alerta forem atendidos.
Os contadores de alerta so teis em situaes nas quais um problema de desempenho surge
periodicamente, e possvel usar as aes para executar programas, gerar eventos ou uma combinao
deles.
Criar um conjunto de coletores de dados com um contador de alertas.
Gerar uma carga no servidor que excede o limite configurado.
Examinar o log de eventos para o evento resultante.
Criar um conjunto de coletores de dados com um contador de alertas
1.
Criar um novo conjunto de coletores de dados Definido pelo Usurio.
2.
Use a opo Alerta do Contador de Desempenho e adicione apenas o contador Processador >
% tempo de processador.
3.
Defina o limite para estar acima de 10 por cento e gerar uma entrada no log de eventos quando essa
condio for atendida.
4.
Inicie o conjunto de coletores de dados.
Gerar uma carga no servidor que excede o limite configurado

1.
Abra um prompt de comando e execute uma ferramenta para gerar uma carga no servidor.
2.
Quando a ferramenta for executada durante um minuto, pare-a.
Examinar o log de eventos para o evento resultante
Abra o Visualizador de Eventos e examine o log Diagnosis-PLA para alertas de desempenho.
Demonstrao: Exibio de relatrios no Monitor de Desempenho

Esta demonstrao mostra como exibir um relatrio de desempenho.
Exibir um relatrio de desempenho
1.
No painel de navegao, expanda Relatrios/Definido pelo Usurio/Desempenho de LON-SVR1.
2.
Expanda a pasta abaixo de Desempenho de LON-SVR1. O processo de coleta anterior do conjunto

de coletores de dados gerou esse relatrio. Voc pode alterar da exibio de grfico para qualquer
outra exibio com suporte.
3.
Monitoramento de servios de infraestrutura de rede

Como os servios de infraestrutura de rede so
essenciais para muitos outros servios baseados
em servidor, importante que no apenas eles
sejam configurados corretamente, mas estejam
sendo executados de maneira eficiente.
A organizao pode aproveitar vrias maneiras de
coleta de dados relacionados a desempenho em
seus servios de infraestrutura de rede, inclusive:
13-16
Ajuda a otimizar o desempenho do servidor

de infraestrutura de rede. Ao fornecer linha
de base de desempenho e dados de
tendncia, voc pode ajudar sua organizao
a otimizar o desempenho do servidor de infraestrutura de rede.
Habilita a soluo de problemas dos servidores. Onde houver diminuio de desempenho do

servidor, com o passar do tempo ou durante perodos de pico de atividade, ser possvel ajudar a
identificar causas possveis e usar uma ao corretiva. Assim, possvel restabelecer o servio dentro
dos limites do SLA (contrato de nvel de servio).
Permite usar o Monitor de Desempenho para coletar e analisar os dados pertinentes.
Monitoramento da DNS
O DNS (Sistema de Nomes de Domnio) fornece servios de resoluo de nome na rede. Voc pode
monitorar a funo de servidor DNS do Windows Server 2012 para determinar os seguintes aspectos de
sua infraestrutura de DNS:
As estatsticas gerais de servidor DNS, incluindo o nmero de consultas globais e respostas que so
processadas pelo servidor DNS.
Os contadores UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol) para medir
consultas DNS e respostas que o servidor DNS processa respectivamente usando qualquer um destes
protocolos de transporte.
Os contadores de atualizao dinmica e atualizao dinmica segura, para medir o registro e

atualizar a atividade que gerada por clientes dinmicos.
Contador de uso de memria, para medir o uso de memria de sistema e padres de alocao de
memria que so criados operando o computador de servidor como um servidor DNS.
Os contadores de pesquisa recursivos, para medir consultas e respostas quando o servio do Servidor
DNS usa recurso para procurar e resolver completamente os nomes de DNS em nome dos clientes
que fazem a solicitao.
Os contadores de transferncia de zona, incluindo contadores especficos para medir o seguinte: toda
a transferncia de zona (AXFR), transferncia de zona incremental (IXFR) e atividade de notificao de
atualizao de zona DNS.
Monitoramento do DHCP
O servio DHCP fornece servios dinmicos de configurao de IP em sua rede. Voc pode monitorar
a funo de servidor DHCP do Windows Server 2012 para determinar os seguintes aspectos de seu
servidor DHCP:
13-17
O Comprimento Mdio da Fila, que indica o tamanho atual da fila de mensagens interna do servidor
DHCP. Esse nmero representa o nmero de mensagens no processadas que o servidor recebe. Um
nmero grande pode indicar trfego pesado de servidor.
O contador Milissegundos por pacote (Md.) o tempo mdio em milissegundos que o servidor
DHCP usa para processar cada pacote que recebe. Esse nmero varia de acordo com o hardware do
servidor e o subsistema de E/S. Um pico pode indicar um problema com o subsistema de E/S que fica
mais lento ou um problema devido a uma sobrecarga de processamento intrnseco no servidor.
Consideraes para o monitoramento de mquinas virtuais

A virtualizao de servidores tem sido apenas uma
parte do sistema operacional Windows Server
desde o lanamento do Windows Server 2008 e da
introduo da funo Hyper-V. Muitas
organizaes migraram algumas ou todas as
cargas de trabalho do para mquinas virtuais em
execuo na plataforma do Hyper-V. De um ponto
de vista de monitoramento, importante lembrar
que servidores em execuo como mquinas
virtuais convidadas consomem recursos da mesma
maneira como computadores servidores de host
fsico.
Com a virtualizao de servidores do Hyper-V, voc pode criar mquinas virtuais separadas e execut-las
simultaneamente usando os recursos de um nico sistema operacional de servidor. Essas mquinas
virtuais so conhecidas como convidados, e o computador executando o Hyper-V o host.
Convidados de mquina virtual funcionam como computadores normais. Convidados de mquina virtual
hospedados no mesmo hipervisor continuam independentes entre si. possvel executar vrias mquinas
virtuais que estejam usando diferentes sistemas operacionais em um servidor de host simultaneamente,
desde que o servidor de host tenha recursos suficientes.
Ao criar uma mquina virtual, voc configura caractersticas que definem os recursos disponveis para esse
convidado. Esses recursos incluem memria, processadores, configurao de disco e tecnologia de
armazenamento, alm de configurao do adaptador de rede. Essas mquinas virtuais funcionam dentro
dos limites dos recursos alocados para eles e podem sofrer os mesmos afunilamentos de desempenho dos
servidores de host. Dessa forma, importante que voc monitore mquinas virtuais da mesma maneira e,
assim como acontece com as mesmas ferramentas, que monitora os servidores de host.
Observao: Isso acrescenta ao monitoramento dos convidados de mquina virtual, nunca
se esquea de que voc deve monitorar o host que os executa.
A Microsoft fornece uma ferramenta, Medio de Recursos do Hyper-V, que permite monitorar o
consumo de recurso nas mquinas virtuais.
A medio de recursos permite que voc acompanhe a utilizao de recursos de mquinas virtuais
hospedadas em computadores com Windows Server 2012 com a funo Hyper-V instalada.
Com a medio de recursos, voc pode medir os seguintes parmetros em mquinas virtuais Hyper-V
individuais:
Uso mdio da GPU (unidade de processamento grfico)
Uso mdio de memria fsica, incluindo:

o
Uso mnimo de memria
Uso mximo de memria
Alocao mxima de espao em disco
Trfego de rede de entrada para um adaptador de rede
Trfego de rede de sada para um adaptador de rede
13-18
Ao medir o quanto desses recursos cada uma das mquinas virtuais utiliza, uma organizao pode cobrar
departamentos ou clientes com base no uso de mquina virtual hospedada, em vez de cobrarem uma
taxa fixa por mquina virtual. Uma organizao com apenas clientes internos tambm pode usar essas
medidas para ver os padres de uso e planejar futuras expanses.
Voc realiza tarefas de medio de recurso usando cmdlets do Windows PowerShell no mdulo
Windows PowerShell do Hyper-V. No h ferramenta GUI que permita executar essa tarefa. possvel usar
os seguintes cmdlets para realizar tarefas de medio de recursos:
Enable-VMResourceMetering. Inicia a coleta de dados, por mquina virtual.
Disable-VMResourceMetering. Desabilita a medio de recursos por mquina virtual.
Reset-VMResourceMetering. Redefine contadores para medio de recursos de mquina virtual.
Measure-VM. Exibe estatsticas de medio de recursos para uma mquina virtual especfica.
Lio 3
Monitoramento de logs de eventos
13-19
O Visualizador de Eventos fornece um local prtico e acessvel para voc exibir eventos que ocorram e
que o Windows Server registra em um dos vrios arquivos de log com base no tipo de evento ocorrido.
Para dar suporte a seus usurios, voc deve saber como acessar informaes de evento de maneira rpida
e conveniente, e saiba como interpretar os dados no log de eventos.
Objetivos da lio
Descrever uma exibio personalizada.
Explicar como criar uma exibio personalizada.
Descrever inscries de evento.
Explicar como configurar uma assinatura de evento.
O que uma exibio personalizada?

Os logs de eventos contm vastas quantidades de
dados e poderia ser um desafio restringir o
conjunto aos eventos que lhe interessam. Nas
verses anteriores do Windows, voc podia aplicar
filtros a logs, mas no podia salvar esses filtros. No
Windows Server 2008 e no Windows Server 2012,
as exibies personalizadas permitem consultar e
classificar apenas os eventos que deseja analisar.
Voc tambm pode salvar, exportar, importar e
compartilhar estas exibies personalizadas.
O Visualizador de Eventos permite que voc filtre
eventos especficos em vrios logs e exiba todos
os eventos que esto potencialmente relacionados a um problema que voc est investigando. Para
especificar um filtro que abrange vrios logs, voc precisa criar uma exibio personalizada.
Criar exibies personalizadas no painel Ao no Visualizador de Eventos. Voc pode filtrar exibies
personalizadas com base em vrios critrios, incluindo:
A hora que o evento foi registrado em log.
Nvel do evento para exibir, como erros ou avisos.
Logs dos quais incluir eventos.
IDs de Evento especficas para incluir ou excluir.
Contexto de usurio do evento.
O computador no qual o evento ocorreu.
Demonstrao: Criao de uma exibio personalizada

Exibir exibies personalizadas de Funes de Servidor.
Criar uma exibio personalizada.
Exibir exibies personalizadas de Funes de Servidor
No Visualizador de Eventos, examine as exibies personalizadas Funes de Servidor.
Criar uma exibio personalizada

1.
2.
Crie uma nova exibio personalizada para selecionar os seguintes tipos de evento:
o
Crtico
Aviso
Erro
Selecione os seguintes logs:

o
Sistema
Servidor de
3.
Nomeie a exibio personalizada como Exibio Personalizada Adatum
4.
Exiba os eventos filtrados resultantes no painel de detalhes.
O que so inscries de evento?

O Visualizador de Eventos permite que voc exiba
eventos em um nico computador remoto. Porm,
solucionar um problema pode exigir que voc
examine um conjunto de eventos que so
armazenados em vrios logs em vrios
computadores. Para essa finalidade, o Visualizador
de Eventos fornece a capacidade de coletar cpias
de eventos de vrios computadores remotos e
depois os armazenar localmente. Para especificar
quais eventos sero coletados, crie uma inscrio
de evento. Depois que uma inscrio for ativada e
que eventos estiverem sendo coletados, voc
poder exibir e manipular esses eventos encaminhados como qualquer outro evento armazenado
localmente.
13-20
Para usar o recurso de coleta de eventos, voc deve configurar o encaminhamento e a coleta de
computadores. A funcionalidade de coleta de eventos depende dos servios WinRM (Gerenciamento
Remoto do Windows) e Wecsvc (Servio do Coletor de Eventos do Windows). Estes servios devem estar
sendo executados em computadores que esto participando do processo de encaminhamento e coleta.
Habilitando inscries
Para habilitar inscries, realize as seguintes tarefas:
1.
Em cada computador de origem, execute o comando a seguir em um prompt de comandos com

privilgios elevados para habilitar o WinRM:
winrm quickconfig
2.
No computador coletor, digite o comando a seguir em um prompt de comandos com privilgios

elevados para habilitar o Wecsvc:
wecutil qc
3.
13-21
Adicione a conta do computador coletor ao grupo local de administradores em cada computador de

origem.
Demonstrao: Configurao de uma inscrio de evento

Configurar o computador de origem.
Configurar o computador coletor.
Criar e exibir o log assinado.
Configurar o computador de origem
1.
Alterne para LON-DC1 e, se necessrio, entre como ADATUM\Administrator com a senha

Pa$$w0rd.
2.
Execute o comando winrm quickconfig em um prompt de comando.

Observao: Observao: O servio j est em execuo
3.
Abra Usurios e Computadores do Active Directory e adicione o computador LON-SVR1 como

um membro do grupo Administradores local do domnio.
Configurar o computador coletor

1.
Alterne para LON-SVR1 e abra um prompt de comando.
2.
Execute o comando wecutil qc.
Criar e exibir o log assinado

1.
Alterne para o Visualizador de Eventos.
2.
Crie uma nova inscrio para coletar eventos de LON-DC1:

o
Coletor iniciado
Computador de origem LON-DC1
Todos os tipos de evento
ltimos 30 dias

Cenrio
13-22
A A. Datum Corporation uma empresa global de engenharia e manufatura com sede em Londres, Reino
Unido. Um escritrio de IT e um datacenter esto localizados em Londres como suporte localizao em
Londres e outras localizaes. A A. Datum implantou recentemente uma infraestrutura de cliente e
servidor do Windows Server 2012.
Como a empresa implantou novos servidores, ser importante estabelecer uma linha de base de
desempenho com uma carga tpica para esses novos servidores. Sua tarefa trabalhar neste projeto. Alm
disso, para facilitar o processo de monitoramento e soluo de problemas, voc opta por realizar o
monitoramento centralizado de logs de eventos.
Objetivos
Estabelecer uma linha de base de desempenho.
Identificar a origem de um problema de desempenho.
Exibir e configurar logs de eventos centralizados.
Mquinas virtuais
24411B-LON-DC1
24411B-LON-SVR1
Nome de usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Domnio: Adatum
Repita as etapas 2 at 4 para 24411B-LON-SVR1.
Exerccio 1: Estabelecimento de uma linha de base de desempenho

Cenrio
13-23
Neste exerccio, voc usar o Desempenho do Sistema em um servidor e criar uma linha de base usando
contadores de desempenho tpicos.
1.
Criar e iniciar um conjunto de coletores de dados
2.
Criar uma carga de trabalho tpica no servidor
3.
Analisar os dados coletados
Tarefa 1: Criar e iniciar um conjunto de coletores de dados

1.
2.
3.
Crie um novo conjunto de coletores de dados Definido pelo Usurio usando as seguintes
informaes para concluir o processo:
o
Nome: Desempenho do LON-SVR1
Criar: Criar manualmente (Avanado)
Tipo de dados: Contadores de desempenho
Selecione os seguintes contadores:
Memria, Pginas/s
Interface de Rede, Total de Bytes/s
PhysicalDisk, % tempo de disco
PhysicalDisk, Comprimento mdio da fila de disco
Processador, % Tempo do Processador
Sistema, Comprimento da Fila de Processador
Intervalo de amostragem: 1 segundo
Onde armazenar dados: valor padro
4.
Salvar e fechar o conjunto de coletores de dados.
5.
No Monitor de Desempenho, no painel de resultados, clique com o boto direito do mouse em

Desempenho de LON-SVR1 e clique em Iniciar.
Tarefa 2: Criar uma carga de trabalho tpica no servidor

1.
Abra um prompt de comando e execute os seguintes comandos pressionando Enter depois de

cada comando:
Fsutil file createnew bigfile 104857600
Copy bigfile \\LON-dc1\c$
Copy \\LON-dc1\c$\bigfile bigfile2
Del bigfile*.*
Del \\LON-dc1\c$\bigfile*.*
2.
No feche o prompt de comando.
Tarefa 3: Analisar os dados coletados

1.
Alterne para o Monitor de Desempenho.
2.
Pare o conjunto de coletores de dados Desempenho de LON-SVR1.
3.
Alterne para o n Monitor do Sistema.
4.
Exiba dados registrados em log e adicione os seguintes contadores:

o
Memria, Pginas/s
5.
Na barra de ferramentas, clique na seta para baixo e clique em Relatrio.
6.
Registre os valores listados no relatrio para anlise posterior. Os valores registrados incluem:
o
Memria, Pginas/s
PhysicalDisk Comprimento Mdio da Fila de Disco
Resultados: Depois deste exerccio, voc deve ter estabelecido uma linha de base para fins de
comparao de desempenho.
Exerccio 2: Identificao da origem de um problema de desempenho

Cenrio
13-24
Neste exerccio, voc agora simular uma carga para representar o sistema em uso dinmico, obtero
dados de desempenho usando o seu conjunto de coletores de dados e determinaro a potencial causa do
problema de desempenho.
1.
Criar uma carga de trabalho adicional no servidor
2.
Capturar dados de desempenho usando um conjunto de coletores de dados
3.
Remover a carga de trabalho e revisar os dados de desempenho
Tarefa 1: Criar uma carga de trabalho adicional no servidor

1.
Na mquina LON-SVR1, alterne para o prompt de comando.
2.
Altere para a pasta C:\Labfiles.
3.
Em LON-SVR1, execute StressTool.exe 95.
Tarefa 2: Capturar dados de desempenho usando um conjunto de coletores

de dados
13-25
1.
2.
No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resultados, clique com
o boto direito do mouse em Desempenho de LON-SVR1.
3.
Aguarde um minuto para permitir a captura de dados.
Tarefa 3: Remover a carga de trabalho e revisar os dados de desempenho

1.
No prompt de comando, pressione Ctrl+ C. Deixe o prompt de comando em execuo.
2.
3.
Parar o conjunto de coletores de dados.
4.
No Monitor de Desempenho, no painel de navegao, clique em Desempenho do Sistema.
5.
Na barra de ferramentas, clique em Exibir dados de logs.
6.
Na caixa de dilogo Propriedades do Desempenho do Sistema, na guia Fonte, clique em Arquivos

de log e em Remover.
7.
8.
Na caixa de dilogo Selecionar arquivo de log, clique em Um Nvel Acima.
9.
Clique duas vezes na pasta LON-SVR1_date-000002 e em DataCollector01.blg.
10. Clique na guia Dados e em OK.

Observao: Se voc receber um erro nesse ponto, ou os valores em seu relatrio forem
zero, repita as etapas de 4 a 9.
11. Valores registrados:
o
Memria, Pginas/s
Pergunta: Comparado com seu relatrio anterior, quais valores foram alterados?
Pergunta: O que voc recomendaria?
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de desempenho para identificar
um afunilamento de desempenho potencial.
Exerccio 3: Exibio e configurao de logs de eventos centralizados

Cenrio
Neste exerccio, voc usar LON-DC1 para coletar logs de eventos de LON-SVR1. Especificamente, voc
usar esse processo para coletar alertas relacionados ao desempenho nos servidores de rede.
1.
Configurar pr-requisitos de assinatura
2.
Criar uma assinatura
3.
Configurar um alerta de contador de desempenho
4.
Inserir uma carga de trabalho adicional no servidor
5.
Verificar resultados
6.
Tarefa 1: Configurar pr-requisitos de assinatura

1.
2.
No prompt de comando, execute winrm quickconfig para habilitar as alteraes administrativas

necessrias em um computador de origem.
3.
Adicione o computador LON-DC1 ao grupo Administradores local.
4.
5.
Em um prompt de comando, execute wecutil qc para permitir as alteraes administrativas

necessrias em um computador coletor.
Tarefa 2: Criar uma assinatura

1.
Abra o Visualizador de Eventos.
2.
Crie uma nova conexo inscrio com as seguintes propriedades:

o
Computadores: LON-SVR1
Nome: Eventos do LON-SVR1
Coletor Iniciado
Eventos: Crtico, Aviso, Informaes, Detalhado e Erro
Registrado: ltimos 7 dias
Logs: Aplicativos e Servios> Microsoft > Windows > Diagnosis-PLA > Operacional
Tarefa 3: Configurar um alerta de contador de desempenho

1.
2.
13-26
3.
4.
Crie um novo conjunto de coletores de dados Definido pelo Usurio usando as seguintes
informaes para concluir o processo:
13-27
Nome: Alerta do LON-SVR1
Criar: Criar manualmente (Avanado)
Tipo de dados: Alerta do contador de desempenho
Selecione os seguintes contadores: Processador, % tempo de processador acima de 10 por

cento
Intervalo de amostragem: 1 segundo
Onde armazenar dados: valor padro
Ao de alerta: Registrar uma entrada no log de eventos do aplicativo
Inicie o conjunto de coletores de dados Alerta de LON-SVR1.
Tarefa 4: Inserir uma carga de trabalho adicional no servidor

1.
Alterne para o prompt de comando.
2.
Altere para C:\Labfiles e execute StressTool.exe 95.
3.
Aguarde um minuto para a captura de dados ocorrer e, no prompt de comando, pressione Ctrl+ C e
feche o prompt de comando.
Tarefa 5: Verificar resultados
Alterne para LON-DC1 e abra Eventos Encaminhados.

Pergunta: No Monitor de Desempenho, h algum alerta relacionado ao desempenho no log do
aplicativo assinado? Dica: Eles tm uma ID de 2031.
Resultados: Ao final deste exerccio, voc ter centralizado logs de eventos e examinado esses logs de
eventos relacionados ao desempenho.
estas etapas:
1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24411B-LON-SVR1.

Perguntas de reviso
Pergunta: Que contadores significativos voc deve monitorar no Monitor de Desempenho?
Pergunta: Por que importante monitorar o desempenho do servidor periodicamente?
Pergunta: Por que voc deve usar os alertas de desempenho?
Ferramentas
Ferramenta
Use para
Onde encontrar
Fsutil.exe
Configurao e gerenciamento do sistema de

arquivos
Linha de comando
Monitor de
Desempenho
Monitoramento e anlise de dados de

desempenho tempo registrados e em tempo real
Menu Iniciar
Logman.exe
Gerenciamento e agendamento do contador de

desempenho e colees de log do rastreamento
de evento
Linha de comando
Monitor de Recursos
Monitoramento do uso e do desempenho de

CPU, disco, rede e memria em tempo real
Menu Iniciar
Visualizador de
Eventos
Exibio e gerenciamento dos logs de eventos
Menu Iniciar
Gerenciador de
Tarefas
Identificao e resoluo dos problemas

relacionados ao desempenho
Menu Iniciar
13-28
Avaliao do curso
Sua avaliao deste curso ajudar a Microsoft a
entender a qualidade da sua experincia de
aprendizagem.
Solicite ao seu instrutor o acesso ao formulrio de
avaliao do curso.
A Microsoft manter em sigilo suas respostas a esta
pesquisa e usar suas respostas para melhorar sua
experincia de aprendizagem futura. Sua avaliao
franca e honesta muito valiosa.
13-29

L1-1
Mdulo 1: Implantao e manuteno de imagens

de servidor
Laboratrio: Uso dos Servios de

Implantao do Windows para implantar
o Windows Server 2012
Exerccio 1: Instalao e configurao dos Servios de Implantao
do Windows
Tarefa 1: Ler a documentao de suporte
Ler a documentao de suporte no cenrio do exerccio para determinar os detalhes da implantao.
Tarefa 2: Instalar a funo Servios de Implantao do Windows

1.
2.
No Gerenciador do Servidor, clique em Gerenciar e em Adicionar Funes e Recursos.
3.
Na janela Assistente de Adio de Funes e Recursos, clique em Prximo.
4.
Na pgina Selecionar tipo de instalao, clique em Prximo.
5.
Na pgina Selecionar servidor de destino, clique em Prximo.
6.
Na pgina Selecionar funes do servidor, marque a caixa de seleo Servios de Implantao

do Windows.
7.
Na janela Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
8.
Na pgina Selecionar funes do servidor, clique em Prximo.
9.
Na pgina Selecionar recursos, clique em Prximo.
10. Na pgina WDS, revise as informaes apresentadas e clique em Prximo.

11. Na pgina Selecionar servios de funo, clique em Prximo.
12. Na pgina Confirmar selees de instalao, clique em Instalar.
13. Na pgina Resultados da instalao, clique em Fechar.
Tarefa 3: Configurar os Servios de Implantao do Windows

1.
No Gerenciador do Servidor, clique em Ferramentas e em Servios de Implantao do Windows.
2.
No console Servios de Implantao do Windows, expanda Servidores.
3.
Clique com o boto direito do mouse em LON-SVR1.Adatum.com e clique em Configurar

Servidor. Clique em Avanar.
4.
Na pgina Opes de Instalao, clique em Avanar.
5.
Na pgina Local da pasta Instalao Remota, clique em Avanar.
6.
Na caixa de dilogo Aviso do Volume de Sistema, clique em Sim.
7.
Na pgina Configuraes Iniciais do Servidor PXE, clique em Responder a todos os

computadores cliente (conhecidos e desconhecidos) e em Avanar.
8.
Na pgina Operao Concluda, desmarque a caixa de seleo Adicionar imagens ao servidor

agora e clique em Concluir.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado os Servios de
Exerccio 2: Criao de imagens do sistema operacional com os Servios

Tarefa 1: Insira a mdia de instalao do Windows Server 2012 em LON-SVR1
L1-2 Implantao e manuteno de imagens de servidor
1.
No computador host, abra o Gerenciador do Hyper-V.
2.
No Gerenciador do Hyper-V, clique com o boto direito do mouse na mquina

virtual 24411B-LON-SVR1 e clique em Configuraes.
3.
Na janela Configuraes, em Controlador IDE 1, clique em Unidade de DVD.
4.
Na janela Configuraes, em Mdia, selecione Arquivo de imagem e clique em Procurar.
5.
Na janela Abrir, clique duas vezes em Disco Local (C:), em Arquivos de Programas, em Microsoft
Learning, em 24411, em Drives e em Windows2012_RTM.ISO.
6.
Clique em OK para fechar a janela Configuraes de 24411B-LON-SVR1.
Tarefa 2: Adicionar uma imagem de inicializao

1.
2.
Em Servios de Implantao do Windows, na rvore de console,

expanda LON-SVR1.Adatum.com.
3.
Clique com o boto direito do mouse em Imagens de Inicializao e clique em Adicionar Imagem
de Inicializao.
4.
No Assistente para Adicionar Imagem, na pgina Arquivo de Imagem, clique em Procurar.
5.
Na caixa de dilogo Selecionar Arquivo de Imagem do Windows, no painel de navegao, clique

em Computador, clique duas vezes em Unidade de DVD (D:), em sources e em boot.wim.
6.
Na pgina Arquivo de Imagem, clique em Avanar.
7.
Na pgina Metadados da Imagem, clique em Avanar.
8.
Na pgina Resumo, clique em Avanar.
9.
Tarefa 3: Adicionar uma imagem de instalao
L1-3
1.
No console Servios de Implantao do Windows, clique com o boto direito do mouse em Imagens
de Instalao e clique em Adicionar Grupo de Imagens.
2.
Na caixa de dilogo Adicionar Grupo de Imagens, no campo Digite um nome para o grupo de
imagens, digite Windows Server 2012 e clique em OK.
3.
No console Servios de Implantao do Windows, clique com o boto direito do mouse em

Windows Server 2012 e clique em Adicionar Imagem de Instalao.
4.
No Assistente para Adicionar Imagem, na pgina Arquivo de Imagem, clique em Procurar.
5.
Na caixa de texto Nome, digite D:\sources\install.wim e clique em Abrir.
6.
Na pgina Arquivo de Imagem, clique em Avanar.
7.
Na pgina Imagens Disponveis, desmarque todas as caixas de seleo, exceto Windows Server
2012 SERVERSTANDARDCORE e clique em Avanar.
8.
9.
10. Minimize a janela Servios de Implantao do Windows.
Resultados: Depois de concluir este exerccio, voc criar uma imagem de sistema operacional com
Exerccio 3: Configurao de nomes de computador personalizados

Tarefa 1: Configurar nomenclatura automtica
1.
No Servios de Implantao do Windows, na rvore de console, clique com o boto direito do mouse
em LON-SVR1.Adatum.com e clique em Propriedades.
2.
Clique na guia AD DS.
3.
Na caixa de texto Formatar, digite BRANCH-SVR-%02#.
4.
Em Local da Conta do Computador, clique em O local a seguir e em Procurar.
5.
Na caixa de dilogo Procurar uma pasta de servio de diretrio, expanda Adatum, clique em
Research e clique em OK.
6.
Na caixa de dilogo Propriedades de LON-SVR1, clique em OK.
Tarefa 2: Configurar a aprovao do administrador

7.
No Servios de Implantao do Windows, na rvore de console, clique com o boto direito do mouse
em LON-SVR1.Adatum.com e clique em Propriedades.
8.
Clique na guia Resposta do PXE.
9.
Marque a caixa de seleo Exigir aprovao do administrador para computadores

desconhecidos. Altere o Atraso de Resposta do PXE para 3 segundos e clique em OK.
10. Na barra de tarefas, clique no atalho do Windows PowerShell.

11. No prompt de comando, digite o seguinte comando e pressione Enter:
WDSUTIL /Set-Server /AutoAddPolicy /Message:The Adatum administrator is authorizing
this request. Please wait.
12. Feche a janela Prompt de Comando.
Tarefa 3: Configurar permisses do AD DS (Servios de Domnio Active Directory)
1.
Alterne para o computador LON-DC1.
2.
No Gerenciador do Servidor, clique em Ferramentas e em Usurios e Computadores do Active

Directory.
3.
Em Usurios e Computadores do Active Directory, expanda Adatum.com, clique com o boto direito
do mouse em Research e clique em Delegar controle.
4.
No Assistente para delegao de controle, clique em Avanar.
5.
Na pgina Usurios ou Grupos, clique em Adicionar.
6.
Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, clique em Tipos de objeto.
7.
Na caixa de dilogo Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
8.
Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, na caixa de texto Digite os

nomes de objeto a serem selecionados, digite LON-SVR1, clique em Verificar nomes e em OK.
9.
Na pgina Usurios ou Grupos, clique em Avanar.
10. Na pgina Tarefas a delegar, clique em Criar uma tarefa personalizada para delegar e em
Avanar.
11. Na pgina Tipo de Objeto do Active Directory, clique em Somente os seguintes objetos na
pasta, marque as caixas de seleo Computador objetos, Criar objetos selecionados nesta pasta e
clique em Avanar.
12. Na pgina Permisses, na Lista de permisses, marque a caixa de seleo Controle Total e clique
em Avanar.
13. Na pgina Concluindo o 'Assistente para delegao de controle', clique em Concluir.
Resultados: Depois de concluir esse exerccio, voc ter configurado a nomenclatura de computador
personalizada.
Exerccio 4: Implantao de imagens com os Servios de Implantao

do Windows
Tarefa 1: Configurar um servidor Servios de Implantao do Windows para
transmisso multicast
1.
2.
Nos Servios de Implantao do Windows, na rvore de console, clique com o boto direito do
mouse em Transmisses Multicaste clique em Criar Transmisso Multicast.
L1-5
3.
No Assistente para Criar Transmisso Multicast, na pgina Nome da Transmisso, no campo Digite
um nome para esta transmisso, digite Servidores de Ramificao do Windows Server 2012 e
clique em Avanar.
4.
Na pgina Seleo de Imagem, na lista Selecionar o grupo de imagens que contm a imagem,
clique em Windows Server 2012.
5.
Na lista Nome, clique em Windows Server 2012 SERVERSTANDARDCORE e em Avanar.
6.
Na pgina Tipo de Multicast, verifique se Multicast Automtico est selecionado e clique em

Avanar.
7.
Clique em Concluir.
Tarefa 2: Configure o cliente para inicializao do PXE

1.
No computador host, alterne para Gerenciador do Hyper-V.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-SVR3 e clique em
Configuraes.
3.
Na caixa de dilogo Configuraes de 24411B-LON-SVR3, clique em BIOS.
4.
No painel de resultados, clique em Adaptador de Rede Herdado.
5.
Use as setas para mover Adaptador de Rede Herdado at a parte superior da lista e clique em OK.
6.
No Gerenciador do Hyper-V, clique em 24411B-LON-SVR3 e, no painel Aes, clique em Iniciar.
7.
No painel Aes, clique em Conectar.
8.
Quando o computador for reinicializado, revise o aviso de DHCP PXE. Quando solicitado, pressione
F12 para Inicializao de Rede.
Pergunta: Voc v a mensagem de aprovao da administrao?
Resposta: Sim.
9.
10. Em Servios de Implantao do Windows, clique em Dispositivos Pendentes.

11. Clique com o boto direito do mouse em solicitao pendente e clique em Aprovar.
12. Na caixa de dilogo Dispositivo Pendente, clique em OK.
13. Alternar para o computador LON-SVR3.
Pergunta: Qual imagem o padro?
Resposta: Instalao do Microsoft Windows (x64)
Pergunta: A instalao iniciada?
Resposta: Sim
14. Voc no precisa continuar a instalao.

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial
1.
2.
Clique com o boto direito do mouse em 24411B-LON-DC1 na lista Mquinas Virtuais e clique
em Reverter.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter implantado uma imagem com Servios de

L2-7
Mdulo 2: Configurao e soluo de problemas do Sistema

de Nomes de Domnio
Laboratrio: Configurao e soluo

de problemas de DNS
Exerccio 1: Configurao de registros de recursos DNS
Tarefa 1: Adicionar o registro MX obrigatrio
1.
Alterne para LON-DC1 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
2.
No Gerenciador do Servidor, clique em Ferramentas e em DNS.
3.
No Gerenciador do Servidor, expanda LON-DC1, Zonas de Pesquisa Direta e clique em

Adatum.com.
4.
Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
5.
Na caixa de dilogo Novo host, na caixa Nome, digite Mail1.
6.
Na caixa Endereo IP, digite 172.16.0.250, e clique em Adicionar host.
7.
Na caixa de dilogo DNS, clique em OK.
8.
Na caixa de dilogo Novo host, clique em Concludo.
9.
Clique com o boto direito do mouse em Adatum.com e clique em Novo servidor de

mensagens (MX).
10. Na caixa de dilogo Novo Registro de Recursos, na caixa Nome de domnio totalmente
qualificado (FQDN) do servidor de email, digite Mail1.Adatum.com e clique em OK.
Tarefa 2: Adicionar os registros de servidor Lync obrigatrios

1.
Clique com o boto direito do mouse em Adatum.com e clique em Novo Host (A ou AAAA).
2.
Na caixa de dilogo Novo host, na caixa Nome, digite Lync-svr1.
3.
Na caixa Endereo IP, digite 172.16.0.251, e clique em Adicionar host.
4.
Na caixa de dilogo DNS, clique em OK.
5.
Na caixa de dilogo Novo host, clique em Concludo.
6.
Clique com o boto direito do mouse em Adatum.com, e clique em Outros registros novos.
7.
Na caixa de dilogo Tipo de registro de recurso, na lista Selecione um tipo de registro de

recurso, clique em Local de servio (SRV) e em Criar Registro.
8.
Na caixa de dilogo Novo Registro de Recursos, na caixa Servio, digite _sipinternaltls.
9.
Na caixa Protocolo, digite _tcp.
10. Em Nmero da Porta, digite 5061.

11. Na caixa Host que oferece este servio, digite Lync-svr1.adatum.com.
12. Clique em OK e em Concludo.
Tarefa 3: Criar a zona de pesquisa inversa

1.
No Gerenciador DNS, no painel de navegao, clique em Zonas de Pesquisa Inversa.
2.
Clique com o boto direito do mouse em Zonas de Pesquisa Inversa e clique em Nova zona.
3.
No Assistente de Nova Zona, clique em Avanar.
4.
Na pgina Tipo de zona, clique em Zona primria e em Avanar.
5.
Na pgina Escopo de Replicao de Zona do Active Directory, clique em Avanar.
6.
Na pgina Nome da Zona de Pesquisa Inversa, clique em Zona de Pesquisa Inversa IPv4 e em
Avanar.
7.
Na segunda pgina Nome da Zona de Pesquisa Inversa, na caixa Identificao de rede, digite
172.16.0 e clique em Avanar.
8.
Na pgina Atualizao Dinmica, clique em Avanar.
9.
Na pgina Concluindo o 'Assistente de Nova Zona', clique em Concluir.
Resultados: Depois deste exerccio, voc dever ter configurado os registros do servio de sistema de
mensagens obrigatrio e a zona de pesquisa inversa com xito.
Exerccio 2: Configurao do encaminhamento condicional DNS

Tarefa 1: Adicionar o registro de encaminhamento condicional para contoso.com
L2-8 Configurao e soluo de problemas do Sistema de Nomes de Domnio
1.
No DNS, no painel de navegao, clique em Encaminhadores Condicionais.
2.
Clique com o boto direito em Encaminhadores Condicionais e clique em Novo Encaminhador

Condicional.
3.

contoso.com.
4.
Clique na caixa <Clique aqui para adicionar um endereo IP ou nome DNS>. Digite 131.107.1.2
e pressione Enter. A validao falhar porque no foi possvel entrar em contato com o servidor.
5.
Marque a caixa de seleo Armazenar o encaminhador condicional no Active Directory e repliclo desta forma.
6.
Clique em OK.
Resultados: Depois deste exerccio, voc ter configurado com xito o encaminhamento condicional.
Exerccio 3: Instalao e configurao de zonas DNS

Tarefa 1: Instalar a funo Servidor DNS no LON-SVR1
1.
2.
Se necessrio, na barra de tarefas, clique no cone Gerenciador do Servidor.
L2-9
3.
No Gerenciador do Servidor, no painel de navegao, clique em Painel e, no painel de detalhes,

clique em Adicionar funes e recursos.
4.
No Assistente de Adio de Funes e Recursos, clique em Prximo.
5.
Na pgina Selecionar tipo de instalao, clique em Instalao baseada em funo ou recursoe

em Prximo.
6.
7.
Na pgina Selecionar funes de servidor, na lista Funes, marque a caixa de seleo Servidor
DNS.
8.
Na caixa de dilogo Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
9.
Na pgina Selecionar funes de servidor, clique em Prximo.
10. Na pgina Selecionar recursos, clique em Prximo.

11. Na pgina Servidor DNS, clique em Prximo.
13. Depois que a funo for instalada, clique em Fechar.
Tarefa 2: Criar as zonas secundrias obrigatrias em LON-SVR1

1.
Deixe o ponteiro do mouse no canto inferior direito da tela e clique em Iniciar.
2.
Em Iniciar, digite cmd.exe, e pressione Enter.
3.

Dnscmd.exe /zoneadd Adatum.com /secondary 172.16.0.10
4.
5.
Em Iniciar, clique em DNS.
6.
No Gerenciador DNS, no painel de navegao, expanda LON-SVR1 e clique em Zonas de pesquisa

direta. Observe a nova zona.
Tarefa 3: Habilitar e configurar transferncias de zona

1.
2.
3.
4.

Dnscmd.exe /zoneresetsecondaries Adatum.com /notifylist 172.16.0.21
5.
No Gerenciador DNS, no painel de navegao, clique em Adatum.com e, na barra de ferramentas,

clique em Atualizar.
6.
Clique com o boto direito do mouse em Adatum.com e clique em Propriedades.
7.
Na caixa de dilogo Propriedades de Adatum.com, clique na guia Transferncias de zona.
8.
Clique em Notificar e verifique se o servidor 172.16.0.21 est listado.
9.
Clique em Cancelar.
10. Clique em OK para fechar a caixa de dilogo Propriedades de Adatum.com.
Tarefa 4: Configurar TTL, classificao por vencimento e limpeza
L2-10 Configurao e soluo de problemas do Sistema de Nomes de Domnio
1.
Em LON-DC1, no Gerenciador DNS, clique com o boto direito do mouse em Adatum.com e clique
em Propriedades.
2.
Na caixa de dilogo Propriedades de Adatum.com, clique na guia Incio de Autoridade (SOA).
3.
Na caixa Tempo de Vida Mnimo (padro), digite 2 e clique em OK.
4.
Clique com o boto direito do mouse em LON-DC1 e clique em Definir durao/eliminao para
todas as zonas.
5.
Na caixa de dilogo Propriedades de eliminao/durao de servidor, marque a caixa de seleo

Eliminar registros de recursos obsoletos e clique em OK.
6.
Na caixa de dilogo Confirmao de eliminao/durao de servidor, marque a caixa de seleo

Aplicar configuraes s zonas existentes integradas ao Active Directory e clique em OK.
Tarefa 5: Configurar os clientes para usar o novo servidor de nomes

1.
2.
Entre na mquina virtual LON-CL1 como ADATUM\Administrador com a senha Pa$$w0rd.
3.
Na tela Inicial, digite Controle e clique em Painel de Controle.
4.
No Painel de controle, clique em Rede e Internet.
5.
Em Rede e Internet, clique em Central de Rede e Compartilhamento.
6.
Em Central de Rede e Compartilhamento, direita da rede Domnio Adatum.com, clique em

Conexo Local.
7.
Na caixa de dilogo Status de Conexo Local, clique em Propriedades.
8.
Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades.
9.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), na caixa Servidor

DNS preferencial, digite 172.16.0.21 e clique em OK.
10. Na caixa de dilogo Propriedades de Conexo Local, clique em Fechar.

11. Na caixa de dilogo Status de Conexo Local, clique em Fechar.
Resultados: Depois deste exerccio, voc ter instalado e configurado com xito o DNS em LON-SVR1.
Exerccio 4: Soluo de problemas do DNS

Tarefa 1: Testar consultas simples e recursivas
1.
2.
Em LON-DC1, alterne para Gerenciador DNS.
3.
No painel de navegao, clique com o boto direito do mouse em LON-DC1 e clique em

Propriedades.
4.
Clique na guia Monitorando.
5.
Na guia Monitorando, selecione Uma consulta simples a este servidor DNS e clique em
Testar agora.
L2-11
6.
Na guia Monitorando, selecione Uma consulta recursiva a outros servidores DNS e clique em
Testar agora. Observe que o teste recursivo falha para LON-DC1, o que normal, pois no h
encaminhadores configurados para uso por este servidor DNS.
7.
8.
Em Iniciar, digite cmd e pressione Enter.
9.

sc stop dns
10. Alterne para o Gerenciador DNS.
11. No Gerenciador DNS, na caixa de dilogo LON-DC1 Properties, na guia Monitorando, clique em
Testar agora. Agora, os testes simples e recursivo falham porque nenhum servidor DNS est
disponvel.
12. Alterne para o prompt de comando.
sc start dns
14. Alterne para o Gerenciador DNS.

15. Na guia Monitorando, clique em Testar agora. O teste simples foi concludo com xito.
16. Feche a caixa de dilogo Propriedades de LON-DC1.
Tarefa 2: Verificar registros de recurso SOA com o Windows PowerShell

1.
Em LON-DC1, na barra de tarefas, clique em Windows PowerShell.
2.
No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter:

resolve-dnsname name Adatum.com type SOA
3.
Feche o prompt do Windows PowerShell.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para isso, execute estas
etapas:
Reverter.
Repita as etapas 2 e 3 para 24411B-LON-SVR1 e 24411B-LON-CL1.
Resultados: Aps este exerccio, voc dever ter testado e verificado o DNS com xito.
L3-13
Mdulo 3: Manuteno dos Servios de Domnio

Active Directory
Exerccio 1: Instalao e configurao de um RODC
Tarefa 1: Verificar os requisitos para instalar um RODC
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Usurios e

2.
Em Usurios e Computadores do Active Directory, no painel de navegao, clique com o boto

direito do mouse no domnio Adatum.com e clique em Aumentar nvel funcional do domnio.
3.
Na janela Aumentar nvel funcional do domnio, confirme que o Nvel funcional atual do
domnio definido como Windows Server 2008 R2. O nvel mnimo para suporte do RODC
Windows Server 2003. Clique em Cancelar.
4.
5.
Em LON-SVR1, em Gerenciador do Servidor, clique em Servidor Local e em LON-SVR1 ao lado de

Nome do computador.
6.
Na janela Propriedades do Sistema, clique em Alterar.
7.
Na janela Alteraes de Nome/Domnio do Computador, clique no boto de opo Grupo de

trabalho, digite TEMPORRIO no campo Grupo de Trabalho e clique em OK.
8.
Na janela Alteraes de Nome/Domnio do Computador, clique em OK.
9.
Clique em OK duas vezes para configurar a alterao de nome e o reincio do servidor pendente.
10. Na janela Propriedades do Sistema, clique em Fechar.

11. Na janela Microsoft Windows, clique em Reiniciar Agora.
12. Alterne para LON-DC1.
13. Em LON-DC1, em Usurios e Computadores do Active Directory, no painel de navegao,
expanda Adatum.com e clique em Computers.
14. Clique com o boto direito do mouse em LON-SVR1 e clique em Excluir.
15. Clique em Sim duas vezes.
16. Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse em
Domain Controllers e clique em Pr-criar conta do Controlador de Domnio Somente Leitura.
17. Na janela Assistente de Instalao dos Servios de Domnio Active Directory, clique em Avanar.
18. Clique em Avanar para aceitar as credenciais atuais.
19. No campo Nome do computador, digite LON-SVR1 e clique em Avanar.
20. Na pgina Selecione um site, clique em Avanar.
21. Na pgina Opes Adicionais de Controlador de Domnio, clique em Avanar.
22. Na pgina Instalao e Administrao de Delegao de RODC, digite ADATUM\IT no campo
Grupo ou usurio e clique em Avanar.
23. Na pgina Resumo, clique em Avanar.
24. Clique em Concluir para concluir o assistente.

25. Feche Usurios e Computadores do Active Directory.
Tarefa 2: Instalar um RODC
L3-14 Manuteno dos Servios de Domnio Active Directory
1.
Faa logon no LON-SVR1 como Administrador com a senha Pa$$w0rd.
2.
Em LON-SVR1, no Gerenciador do Servidor, clique em Gerenciar e em Adicionar Funes e

Recursos.
3.
4.
Verifique se Instalao baseada em funo ou recurso est selecionada e clique em Prximo.
5.
Selecione LON-SVR1 e clique em Prximo.
6.
Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Domnio Active
Directory, clique em Adicionar Recursos e clique em Prximo.
7.
8.
Clique em Prximo e em Instalar para continuar a instalao.
9.
Quando a instalao for concluda, clique em Fechar.
10. No Gerenciador do Servidor, clique no cone Notificaes e em Promover este servidor a um

controlador de domnio.
11. Na janela Configurao de Implantao, ao lado de Domnio, clique em Selecionar.
12. Na janela Segurana do Windows, digite ADATUM\April para Nome de usurio e Pa$$w0rd como
uma senha e clique em OK.
13. Na janela Selecionar um domnio da floresta, clique em Adatum.com e em OK.
14. Na janela Configurao de Implantao, clique em Prximo.
15. Na tela Opes do Controlador de Domnio, em Digite a senha do Modo de Restaurao dos
Servios de Diretrio (DSRM), digite Pa$$w0rd nos campos Senha e Confirmar senha e clique em
Prximo.
16. Na pgina Opes Adicionais, ao lado de Replicar de, clique na caixa suspensa, clique em LONDC1.Adatum.com e em Prximo.
17. Na pgina Caminhos, clique em Prximo.
18. Na pgina Examinar Opes, clique em Prximo.
19. Na pgina Verificao de Pr-requisitos, clique em Instalar.
20. Depois que o Assistente de Servios de Domnio Active Directory tiver concludo, o LON-SVR1 ser
reiniciado.
Tarefa 3: Configurar uma poltica de replicao de senha

Configurar grupos de replicao de senha
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Usurios e

2.
Na janela Usurios e Computadores do Active Directory, clique no continer Users, clique duas vezes
em Grupo de Replicao de Senha RODC Permitido, clique na guia Membros e verifique se no
h nada listado.
L3-15
3.
Clique em OK.
4.
Em Usurios e Computadores do Active Directory, clique na UO Domain Controllers, clique com

o boto direito do mouse em LON-SVR1 e clique em Propriedades.
5.
Clique na guia Diretiva de Replicao de Senha e confirme se Grupo de Replicao de Senha

RODC Permitido e Grupo de Replicao de Senha RODC Negado esto listados.
6.
Clique em OK.
Criar um grupo para gerenciar replicao de senha ao RODC do escritrio remoto

1.
Em LON-DC1, em Usurios e Computadores do Active Directory, clique com o boto direito do

mouse na UO Research, clique em Novo e em Grupo.
2.
Na janela Novo Objeto Grupo, digite Usurios de Escritrio Remotos no campo Nome do grupo,
confirme que Global e Segurana esto selecionados e clique em OK.
3.
Em Usurios e Computadores do Active Directory, clique na UO Research e clique duas vezes no

grupo Usurios de Escritrio Remotos.
4.
Na janela Propriedades de Usurios de Escritrio Remotos, clique na guia Membros.
5.
Clique em Adicionar, digite Aziz; Colin; Lukas; Louise e em Verificar nomes.
6.
Clique em Tipos de Objeto, selecione Computadores e clique em OK.
7.
No campo Digite os nomes de objeto a serem selecionados, digite LON-CL1, clique em Verificar
nomes e clique em OK.
8.
Clique em OK para fechar a janela Propriedades de Usurios de Escritrio Remotos.
Configurar uma poltica de replicao de senha para o RODC do escritrio remoto

1.

Controllers, clique com o boto direito do mouse em LON-SVR1 e clique em Propriedades.
2.
Na janela Propriedades de LON-SVR1, clique na guia Diretiva de Replicao de Senha e clique em

Adicionar.
3.
Na janela Adicionar Grupos, Usurios e Computadores, clique no boto de opo para selecionar
Permitir a replicao de senhas da conta para este RODC e clique em OK.
4.
Na janela Selecionar Usurios, Computadores, Contas de Servio o, no campo Digite os nomes de

objeto a serem selecionados, digite Usurios de Escritrio Remotos, clique em Verificar nomes e
em OK.
5.
Na janela Propriedades de LON-SVR1, clique em Aplicar e no feche a janela.
Avaliar a poltica de replicao de senha resultante

1.
Em LON-DC1, na janela Propriedades de LON-SVR1, na guia Diretiva de Replicao de Senha,

clique em Avanado.
2.
Clique na guia Diretiva Resultante, clique em Adicionar, digite Aziz;, clique em Verificar nomes e
clique em OK.
3.
Confirme que a Configurao Resultante para Aziz Permitir.
4.
Clique em Fechar e em OK para fechar a caixa de dilogo Propriedades de LON-SVR1.
Monitorar o cache de credencial
1.
2.
Tente entrar como ADATUM\Aziz com a senha Pa$$w0rd. A entrada falhara, porque Aziz no tem
permisso para entrar em LON-SVR1. Porm, as credenciais para a conta de Aziz foram processadas e
armazenadas em cache em LON-SVR1.
3.
4.
Em Usurios e Computadores do Active Directory, clique na UO Domain Controllers, clique duas

vezes em LON-SVR1 e clique na guia Diretiva de Replicao de Senha.
5.
Na guia Poltica de Replicao de Senha, clique em Avanado. Note que a senha da conta de Aziz
foi armazenada em LON-SVR1.
6.
Clique em Fechar e em OK.
Pr-popular o cache de credencial

1.

Controllers, clique duas vezes em LON-SVR1 e clique na guia Diretiva de Replicao de Senha.
2.
Na guia Diretiva de Replicao de Senha, clique em Avanado e em Pr-popular Senhas.
3.
Digite Louise; LON-CL1;, clique em Verificar nomes, clique em OK e em Sim.
4.
Clique em OK e confirme se Louise e LON-CL1 foram adicionadas lista de contas com credenciais
armazenadas em cache.
5.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado um RODC.
Exerccio 2: Configurao de instantneos do AD DS

Tarefa 1: Criar um instantneo do AD DS
1.
Em LON-DC1, mova seu mouse para o canto esquerdo inferior e clique no boto Iniciar.
2.
Na tela Iniciar, digite cmd e pressione Enter.
3.
No prompt de comando, digite o texto a seguir e pressione Enter:

ntdsutil
4.

snapshot
5.

6.

create
Anote o nmero de GUID que o comando retorna ou copie o GUID para a rea de transferncia.
7.
L3-17
Depois que o instantneo for criado, no prompt de comando, digite o seguinte e pressione Enter:
quit
8.

quit
Tarefa 2: Fazer uma alterao no AD DS

1.
Em LON-DC1, abra o Gerenciador do Servidor, clique em Ferramentas e em Usurios e

2.
Em Usurios e Computadores do Active Directory, clique duas vezes na UO Marketing, clique

com o boto direito do mouse em Adam Barr e clique em Excluir.
3.
Clique em Sim para confirmar a excluso.
Tarefa 3: Montar um instantneo do Active Directory e criar uma nova instncia

1.
Em LON-DC1, mova seu mouse para o canto esquerdo inferior e clique no boto Iniciar.
2.
Na tela Iniciar, digite cmd, clique com o boto direito do mouse no Prompt de Comando e clique
em Executar como Administrador.
3.

ntdsutil
4.

snapshot
5.

6.

list all
7.

mount <GUID>
Em que <GUID> o GUID retornado pelo comando Create na Tarefa 1.

8.

quit
9.

quit
10. No prompt de comando, digite o texto a seguir e pressione Enter:

dsamain /dbpath C:\$SNAP_datetime_VOLUMEC$\windows\ntds\ntds.dit /ldapport 50000
Observe que datetime ser um valor exclusivo. Deve haver somente uma pasta em sua unidade C:\
com um nome que comea com $snap.
Uma mensagem indica que a inicializao dos Servios de Domnio Active Directory est concluda.
Deixe Dsamain.exe executando e no feche o prompt de comando.
Tarefa 4: Explorar um instantneo com Usurios e Computadores do Active Directory

1.
Alterne para Usurios e Computadores do Active Directory. Clique com o boto direito do mouse
no n raiz do snap-in e clique em Alterar o Controlador de Domnio.
2.
Clique em <Digite um nome de Servidor de Diretrio[:porta] aqui>, digite LON-DC1:50000 e

pressione Enter. Clique em OK.
3.
No painel de navegao, clique duas vezes em Adatum.com.
4.
No painel de navegao, clique duas vezes na UO Marketing.
5.
Localize o objeto da conta de usurio Adam Barr. Observe que o objeto de Adam Barr exibido
porque o instantneo foi tirado antes de exclu-lo.
Tarefa 5: Desmontar um instantneo do Active Directory

1.
No prompt de comando, pressione Ctrl+C para parar DSAMain.exe.
2.
Digite os seguintes comandos:

ntdsutil
snapshot
list all
unmount guid
list all
quit
Quit
Em que guid o GUID do instantneo.
Resultados: Depois de concluir este exerccio, voc ter configurado instantneos do AD DS.
Exerccio 3: Configurao da Lixeira do Active Directory

Tarefa 1: Habilitar a Lixeira do Active Directory
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Central Administrativa

2.
Clique em Adatum (local).
3.
No painel Tarefas, clique em Habilitar Lixeira, em OK na caixa de mensagem de aviso e clique em

OK para atualizar a mensagem da Central Administrativa do Active Directory.
4.
Pressione F5 para atualizar a Central Administrativo do Active Directory.
Tarefa 2: Criar e excluir os usurios de teste

1.
Na Central Administrativa do Active Directory, clique duas vezes na UO Research.
2.
No painel Tarefa, clique em Novo e em Usurio.
3.
Insira as informaes a seguir em Conta e clique em OK:

o
Nome completo: Teste1
Logon UPN do usurio: Teste1
Senha: Pa$$w0rd
Confirmar senha: Pa$$w0rd
4.
Repita as etapas anteriores para criar um segundo usurio, Teste2.
5.
Selecione Teste1 e Teste2. Clique com o boto direito do mouse na seleo e clique em Excluir.
6.
Clique em Sim no prompt de confirmao.
Tarefa 3: Restaurar os usurios excludos
L3-19
1.
Na Central Administrativa do Active Directory, clique em Adatum (Local) e clique duas vezes em
Deleted Objects.
2.
Clique com o boto direito do mouse em Teste1 e clique em Restaurar.
3.
Clique com o boto direito do mouse em Teste2 e clique em Restaurar em.
4.
Na janela Restaurar para, clique na UO IT e clique em OK.
5.
Confirme se Teste1 agora est localizado na UO Research e se Teste2 est na UO TI.
Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial concluindo as seguintes etapas:
1.
2.
em Reverter.
3.
4.
Resultados: Depois de concluir esse exerccio, voc ter configurado a Lixeira do Active Directory.
L4-21
Mdulo 4: Gerenciamento de contas de servio e de usurio
Laboratrio: Gerenciamento de contas

de servio e de usurio
Exerccio 1: Definio de configuraes de poltica de senha e bloqueio
de contas
Tarefa 1: Configurar uma poltica de senha baseada em domnio
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de

Poltica de Grupo.
2.
Em Gerenciamento de Poltica de Grupo, expanda Floresta: Adatum.com. expanda Domnios,

expanda Adatum.com, expanda Objetos de Poltica de Grupo, clique com o boto direito do
mouse em Default Domain Policy e clique em Editar.
3.
No Editor de Gerenciamento de Poltica de Grupo, no painel de navegao, sob Configurao do

Computador, expanda Polticas, expanda Configuraes do Windows, expanda Configuraes de
Segurana, expanda Polticas de Conta e clique em Poltica de Senha.
4.
Clique duas vezes em Aplicar histrico de senhas.
5.
Na janela Propriedades de Aplicar histrico de senhas, digite 20 no campo Manter histrico da

senha por e clique em OK.
6.
Clique duas vezes em Tempo de vida mximo da senha.
7.
Na janela Propriedades de Tempo de vida mximo da senha, digite 45 no campo A senha expirar
em e clique em OK.
8.
Clique duas vezes em Tempo de vida mnimo da senha.
9.
Na janela Propriedades de Tempo de vida mnimo da senha, verifique se o campo A senha pode ser
alterada aps 1 e clique em OK.
10. Clique duas vezes em Comprimento mnimo da senha.
11. Na janela de propriedades de Comprimento mnimo da senha, digite 10 no campo A senha deve ter
pelo menos e clique em OK.
12. Clique duas vezes em A senha deve satisfazer a requisitos de complexidade.
13. Na janela de propriedades de A senha deve satisfazer a requisitos de complexidade, clique em
14. No feche o Editor de Gerenciamento de Poltica de Grupo.
Tarefa 2: Configurar uma poltica de bloqueio de conta

1.
No Editor de Gerenciamento de Poltica de Grupo, no painel de navegao, clique em Poltica de

bloqueio de conta.
2.
Clique duas vezes em Durao do bloqueio de conta.
L4-22 Gerenciamento de contas de servio e de usurio
3.
Na janela de propriedades de Durao do bloqueio de conta, clique em Definir esta configurao

de poltica, digite 30 no campo minutos e clique em OK.
4.
Na janela Alteraes de valor sugeridas, observe os valores sugeridos, incluindo a configurao de

Limite de bloqueio de conta e clique em OK.
5.
Clique duas vezes em Zerar contador de bloqueios de conta aps.
6.
Na janela de propriedades de Zerar contador de bloqueios de conta aps, digite 15 no campo Zerar
contador de bloqueios de conta aps e clique em OK.
7.
Feche o Editor de Gerenciamento de Poltica de Grupo.
8.
Tarefa 3: Configurar e aplicar uma poltica de senha refinada

1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Central Administrativa

2.
Na Central Administrativa do Active Directory, no painel de navegao, clique em Adatum (local).
3.
No painel de detalhes, clique duas vezes na UO Managers.
4.
No painel de detalhes, clique com o boto direito do mouse no grupo Managers e clique em
Propriedades.
Observao: verifique se abriu a pgina Propriedades do grupo Gerenciadores e no de

UO de Gerenciadores. Na janela Gerenciadores, sob Escopo do grupo, clique em Global e clique
em OK.
5.
Na Central Administrativa do Active Directory, no painel de navegao, clique em Adatum (local).
6.
No painel de detalhes, clique duas vezes no continer System.
7.
No painel de detalhes, clique com o boto direito do mouse em Password Settings Container,
clique em Novo, e clique em Configuraes de Senha.
8.
Na janela Criar Configuraes de Senha, conclua a seguintes etapas:

a.
Digite ManagersPSO no campo Nome.
b.
Digite 10 no campo Precedncia.
c.
Digite 15 no campo Comprimento mnimo da senha.
d.
Digite 20 no campo Nmero de senhas lembradas.
e.
Digite 30 no campo Impor durao mxima da senha.
f.
Clique em Impor poltica de desbloqueio de conta.
g.
Digite 3 no campo Nmero de tentativas de logon com falha.
h.
Digite 30 no campo Redefinir contagem de tentativas de logon com falha aps.
i.
Clique na opo At que um administrador desbloqueie manualmente a conta.
9.
L4-23
Na seo Aplica-se Diretamente a, clique em Adicionar.
10. No campo Digite os nomes de objeto a serem selecionados, digite ADATUM\Managers, clique
em Verificar nomes e clique em OK.
11. Na janela Criar Configuraes de Senha, clique em OK.
12. Feche a Central Administrativa do Active Directory.
Resultados: Aps concluir esse exerccio, voc ter configurado a poltica de senha e as configuraes de
bloqueio de conta.
Exerccio 2: Criao e associao de uma conta de servio gerenciada

Tarefa 1: Criar e associar uma conta de servio gerenciada
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique em Mdulo

Active Directory para Windows PowerShell.
2.
Digite o seguinte na janela de comando do Windows PowerShell e pressione Enter:

Add-KdsRootKey EffectiveTime ((get-date).addhours(-10))
3.

New-ADServiceAccount Name Webservice DNSHostName LON-DC1
PrincipalsAllowedToRetrieveManagedPassword LON-DC1$
4.

Add-ADComputerServiceAccount identity LON-DC1 ServiceAccount Webservice
5.

Get-ADServiceAccount -Filter *
6.
Observe a sada do comando e verifique se a nova conta criada est listada.
7.
Minimize a janela de comando do Windows PowerShell.
Tarefa 2: Instalar uma conta de servio gerenciada em LON-DC1

1.
Em LON-DC1, digite o seguinte na janela de comando do Windows PowerShell e pressione Enter:

Install-ADServiceAccount Identity Webservice
2.
No Gerenciador do Servidor, clique no menu Ferramentas e clique em Gerenciador de Servios de

Informaes da Internet (IIS).
3.
No Console do Gerenciador de Servios de Informaes da Internet (IIS), expanda LON-DC1

(ADATUM\Administrador), e clique em Pools de Aplicativos. Quando a janela Gerenciador de
Servios de Informaes da Internet (IIS) for exibida, clique em No.
4.
No painel de detalhes, clique com o boto direito do mouse em DefaultAppPool e clique em

Configuraes Avanadas.
5.
Na caixa de dilogo Configuraes Avanadas, clique em Identidade e clique em reticncias.
6.
Na caixa de dilogo Identidade do Pool de Aplicativos, clique em Conta personalizada e clique

em Definir.
7.
Na caixa de dilogo Definir Credenciais, digite ADATUM\Webservice$ no campo Nome de

usurio: e clique em OK trs vezes.
8.
No painel Aes, clique em Parar para interromper o pool de aplicativos.
9.
Clique em Iniciar para iniciar o pool de aplicativos.
10. Feche o Gerenciador de Servios de Informaes da Internet (IIS).

1.
2.
em Reverter.
3.
Resultados: Aps ter concludo esse exerccio, voc ter criado e associado uma conta de servio
gerenciada.
L4-24 Gerenciamento de contas de servio e de usurio
L5-25
Mdulo 5: Implementao de uma infraestrutura de Poltica

de Grupo
Laboratrio: Implementao de uma

infraestrutura de Poltica de Grupo
Exerccio 1: Criao e configurao de GPOs
Tarefa 1: Criar e editar um GPO (Objeto de Poltica de Grupo)
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique em Gerenciamento

de Poltica de Grupo.
2.
Na rvore de console, expanda Floresta: Adatum.com, Domnios e Adatum.com e clique no

continer Objetos de Poltica de Grupo.
3.
Na rvore de console, clique com o boto direito do mouse no continer Objetos de Poltica de
Grupo e, em seguida, clique em Novo.
4.
Na caixa Nome, digite Padres da ADATUM e clique em OK.
5.
No painel de detalhes do Console de Gerenciamento de Poltica de Grupo, clique com o boto direito
do mouse no GPO Padres da ADATUM e clique em Editar.
6.
Na rvore de console, expanda (se necessrio) Configurao do Usurio, Polticas e Modelos

Administrativos e clique em Sistema.
7.
Clique duas vezes na configurao de poltica No executar aplicativos do Windows

especificados.
8.
Na janela No executar aplicativos do Windows especificados, clique em Habilitado.
9.
Clique em Mostrar.
10. Na caixa de dilogo Mostrar Contedo, na lista Valor, digite notepad.exe e clique em OK.
11. Na janela No executar aplicativos do Windows especificados, clique em OK.
12. Na rvore de console, expanda Configurao do Usurio, Polticas, Modelos Administrativos e

Painel de Controle e clique em Personalizao.
13. No painel de detalhes, clique na configurao de poltica Tempo limite de Proteo de Tela.
14. Clique duas vezes na configurao de poltica Tempo limite de Proteo de Tela.
15. Clique em Habilitado.
16. Na caixa Segundos, digite 600 e clique em OK.
17. Clique duas vezes na configurao de poltica Proteger com senha a proteo de tela.
18. Clique em Habilitado e em OK.
19. Feche o Editor de Gerenciamento da Poltica de Grupo.
Tarefa 2: Vincular o GPO

1.
Na rvore do Console de Gerenciamento de Poltica de Grupo, clique com o boto direito do mouse
no n do domnio Adatum.com e clique em Vincular com GPO Existente.
2.
Na caixa de dilogo Selecionar GPO, clique em Padres da ADATUM e clique em OK.
Tarefa 3: Exibir os efeitos das configuraes dos GPOs
L5-26
1.
Alterne para LON-CL1 e entre como ADATUM\Pat com a senha Pa$$w0rd.
2.
Na tela inicial, clique no bloco rea de Trabalho.
3.
Clique com o boto direito do mouse na rea de trabalho e clique em Personalizar.
4.
Clique em Proteo de Tela. Observe que o controle Aguardar est desabilitado, ou seja, voc no
pode alterar o tempo limite. Observe que a opo Ao reiniciar, exibir tela de logon est
selecionada e desabilitada, e que voc no pode desabilitar a proteo por senha.
5.
Clique em OK para fechar a caixa de dilogo Configuraes de Proteo de Tela.
6.
Coloque o ponteiro do mouse no canto inferior direito do visor e clique em Iniciar.
7.
Clique com o boto direito do mouse na tela inicial e clique em Todos os aplicativos.
8.
Na lista Aplicativos, clique em Bloco de Notas. O Bloco de Notas no aberto.
Resultados: Aps este exerccio, voc ter criado, editado e vinculado os GPOs necessrios com xito.
Exerccio 2: Gerenciamento do escopo do GPO

Tarefa 1: Criar e vincular os GPOs necessrios
1.
Em LON-DC1, alterne para Gerenciador do Servidor, clique em Ferramentas e em Usurios e

2.
Na rvore de console, expanda o domnio Adatum.com e clique na UO Research.
3.
Clique com o boto direito do mouse na UO Research, selecione Novo e clique em Unidade
Organizacional.
4.
Digite Engenheiros e clique em OK.
5.
6.
7.
Na rvore de console, expanda Floresta: Adatum.com, Domnios, Adatum.com, Research e clique

na UO Engenheiros.
8.
Clique com o boto direito do mouse na UO Engenheiros e clique em Criar um GPO neste
domnio e fornecer um link para ele aqui.
9.
Digite Substituio da Aplicao Engenharia e clique em OK.
10. Clique com o boto direito do mouse no GPO Substituio da Aplicao Engenharia e clique
em Editar.
11. Na rvore de console, expanda Configurao do Usurio, Polticas, Modelos Administrativos e
Painel de Controle e clique em Personalizao.
12. Clique duas vezes na configurao de poltica Tempo limite da Proteo de Tela.
13. Clique em Desabilitado e em OK.
14. Feche o Editor de Gerenciamento de Poltica de Grupo.
Tarefa 2: Verificar a ordem de precedncia
L5-27
1.
Na rvore de console do Gerenciamento de Poltica de Grupo, clique na UO Engenheiros.
2.
Clique na guia Herana de Poltica de Grupo. Observe que o GPO Substituio da Aplicao
Engenharia tem precedncia mais alta do que o GPO Padres da ADATUM. A configurao de
poltica de tempo limite de proteo de tela que voc acabou de configurar no GPO Substituio da
Aplicao Engenharia aplicada aps a configurao no GPO Padres da ADATUM. Portanto, a
nova configurao substituir a configurao padro e prevalecer. O tempo limite da Proteo de
Tela ser desabilitado para usurios dentro do escopo do GPO Substituio da Aplicao
Engenharia.
Tarefa 3: Configurar o escopo de um GPO com filtros de segurana

1.
Em LON-DC1, em Gerenciador do Servidor, clique em Ferramentas e em Usurios e

2.
Na rvore de console, se necessrio, expanda o domnio Adatum.com e a UO Research e clique na

UO Engenheiros.
3.
Clique com o boto direito do mouse na UO Engenheiros, selecione Novo e clique em Grupo.
4.
Digite GPO_Engineering Application Override_Apply e pressione Enter.
5.
6.
Na rvore de console, se for necessrio, expanda a UO Engenheiros e clique duas vezes no link do
GPO Substituio da Aplicao Engenharia na UO Engenheiros. Uma mensagem exibida.
7.
Leia a mensagem e marque a caixa de seleo No exibir esta mensagem novamente e clique
em OK. Na seo Filtros de Segurana, voc ver que o GPO se aplica por padro a todos os usurios
autenticados.
8.
Na seo Filtros de Segurana, clique em Usurios autenticados.
9.
Clique no boto Remover. Um prompt de confirmao ser exibido.
10. Clique em OK.

11. No painel de detalhes, clique no boto Adicionar.
12. Na caixa de dilogo Selecione Usurio, Computador ou Grupo, na caixa Digite o nome do objeto
a ser selecionado (exemplos): digite GPO_Engineering Application Override_Apply e pressione
Enter.
13. Alterne para Usurios e Computadores do Active Directory.
14. Na rvore de console, expanda o domnio Adatum.com e clique na pasta User.
15. Clique com o boto direito do mouse em User, selecione Novo e clique em Grupo.
16. Digite GPO_ADATUM Standards_Exempte pressione Enter.
17. Alterne para o Console de Gerenciamento de Poltica de Grupo.
18. Na rvore de console, clique no objeto de domnio Adatum.com e clique duas vezes no GPO
Padres da Adatum. Na seo Filtros de Segurana, observe que o GPO se aplica por padro a todos
os usurios autenticados.
19. Clique na guia Delegao.
20. Clique no boto Avanado. A caixa de dilogo Padres da ADATUM Configuraes de Segurana
exibida.
21. Clique no boto Adicionar. A caixa de dilogo Selecionar Usurios, Computadores, Contas de
Servio ou Grupos exibida.
22. Na caixa Digite os nomes de objeto a serem selecionados (exemplos): digite GPO_ADATUM
Standards_Exempt e pressione Enter.
23. Marque a caixa de seleo Negar ao lado de Aplicar poltica de grupo.
L5-28
24. Clique em OK. Uma mensagem de aviso exibida para lembrar que permisses Negar substituem as
permisses Permitir. Clique em Sim. Observe que a permisso aparece na guia Delegao como
Personalizado.
Tarefa 4: Configurar o processamento de loopback

1.
Em LON-DC1, alterne para Usurios e Computadores do Active Directory.
2.
No console, clique em Adatum.com.
3.
Clique com o boto direito do mouse em Adatum.com, selecione Novo e clique em Unidade
Organizacional.
4.
Na caixa de dilogo Novo Objeto - Unidade Organizacional, digite Quiosques e clique em OK.
5.
Clique com o boto direito do mouse em Quiosques, selecione Novo e clique em Unidade
Organizacional.
6.
Na caixa de dilogo Novo Objeto - Unidade Organizacional, digite Salas de Conferncia e clique
em OK.
7.
Alterne para o Console de Gerenciamento de Poltica de Grupo. Atualize o console, se necessrio.
8.
Na rvore, expanda a UO Quiosques e clique na UO Salas de Conferncia.
9.
Clique com o boto direito do mouse na UO Salas de Conferncia e clique em Criar um GPO neste
domnio e fornecer um link para ele aqui.
10. Na caixa Novo GPO, na caixa Nome, digite Polticas de Sala de Conferncia e pressione Enter.
11. Na rvore de console, expanda Salas de Conferncia e clique no GPO Polticas de Sala de
Conferncia.
12. Clique na guia Escopo. Confirme que o escopo do GPO est definido para ser aplicado a Usurios
Autenticados.
13. Clique com o boto direito do mouse no GPO Polticas de Sala de Conferncia na rvore de
console e clique em Editar.
14. Na rvore de console Editor de Gerenciamento de Poltica de Grupo, expanda Configurao do
Usurio, Polticas, Modelos Administrativos e Painel de Controle e clique em Personalizao.
15. Clique duas vezes na configurao de poltica Tempo limite de Proteo de Tela.
17. Na caixa Segundos, digite 2700 e clique em OK.
18. Na rvore de console, expanda Configurao do Computador, Polticas, Modelos Administrativos

e Sistema e clique em Poltica de Grupo.
19. Clique duas vezes no modo de processamento de loopback Configurar modo de processamento
de loopback de poltica de grupo.
L5-29
21. Na lista suspensa Modo, selecione Mesclar e clique em OK.

Resultados: Aps este exerccio, voc ter configurado com xito o escopo necessrio dos GPOs.
Exerccio 3: Verificao da aplicao de GPOs

Tarefa 1: Executar a anlise de RSoP (Conjunto de Polticas Resultante)
1.
2.
Verifique se voc ainda est conectado como ADATUM\Pat. Se necessrio, fornea a senha
Pa$$w0rd.
3.
Coloque o ponteiro do mouse no canto inferior direito do visor e clique em Iniciar.
4.
5.
Na lista Aplicativos, clique com o boto direito do mouse em Prompt de Comando e clique em
Executar como administrador.
6.
Na caixa de dilogo Controle de Conta de Usurio, na caixa Nome de usurio, digite

Administrador. Na caixa Senha, digite Pa$$w0rd. Clique em Sim.
7.

gpupdate.exe /force
8.
Aguarde a concluso do comando. Anote a hora do sistema atual porque voc precisar dessa
informao em uma tarefa futura deste laboratrio. Para registrar a hora de sistema, digite o seguinte
comando e pressione Enter duas vezes:
Time
9.
Reinicie LON-CL1.
10. Aguarde a reinicializao do LON-CL1 antes de passar para a prxima tarefa. No entre no LON-CL1.
12. Alterne para o console de Gerenciamento de Poltica de Grupo.
13. Na rvore de console, se necessrio, expanda Floresta: Adatum.com e clique em Resultados da

Poltica de Grupo.
14. Clique com o boto direito do mouse na pasta Resultados da Poltica de Grupo e clique em
Assistente de Resultados de Poltica de Grupo.
15. Na pgina Assistente de Resultados de Poltica de Grupo, clique em Avanar.
16. Na pgina Seleo de Computador, clique em Outro computador, digite LON-CL1 e clique em
Avanar.
17. Na pgina Seleo de Usurio, verifique se as opes Exibir configuraes de poltica para e
Selecione um usurio especfico so selecionadas, selecione ADATUM\Pat e clique em Avanar.
18. Na pgina Resumo das Selees, examine suas configuraes e clique em Avanar.
19. Clique em Concluir. O relatrio de RSoP exibido no painel de detalhes do console.
L5-30
20. Revise os Resultados de Poltica de Grupo. Para a configurao de usurio e computador, identifique
a hora da ltima atualizao de poltica e a lista de GPOs permitidos e negados. Identifique os
componentes que foram usados para processar configuraes de poltica.
21. Clique na guia Detalhes. Revise as configuraes que foram aplicadas durante a aplicao de poltica
de usurio e computador e identifique o GPO do qual as configuraes foram obtidas.
22. Clique na guia Eventos de Polticas e localize o evento que registra em log a atualizao de poltica
voc disparou com o comando GPUpdate na Tarefa 1.
23. Clique na guia Resumo, clique com o boto direito do mouse na pgina e clique em Salvar
Relatrio.
24. No painel de navegao, clique em rea de Trabalho e em Salvar.
25. Abra o relatrio de RSoP salvo na rea de trabalho. Examine o relatrio de RSoP e feche-o.
Tarefa 2: Analisar o RSoP com GPResults

1.
2.
3.
Na lista Aplicativos, clique em Prompt de Comando.
4.

gpresult /r
Os resultados do resumo de RSoP so exibidos. As informaes so muito semelhantes guia

Resumo do relatrio de RSoP produzido pelo Assistente de Resultados de Poltica de Grupo.
5.

gpresult /v
Observe que muitas das configuraes de Poltica de Grupo aplicadas pelo cliente esto listadas nesse
relatrio.
6.

gpresult /z
gerado o relatrio de RSoP mais detalhado.

7.

gpresult /h:"%userprofile%\Desktop\RSOP.html"
Um relatrio de RSoP salvo como um arquivo HTML na sua rea de trabalho.

8.
Abra o relatrio de RSoP salvo na rea de trabalho.
9.
Compare o relatrio, suas informaes e a formatao com o relatrio de RSoP que voc salvou na
tarefa anterior.
Tarefa 3: Avaliar os resultados dos GPOs usando o Assistente para Modelagem

de Poltica de Grupo
L5-31
1.
2.
Na rvore de console de Gerenciamento de Poltica de Grupo, expanda Forest:Adatum.com e clique

em Modelagem da Poltica de Grupo.
3.
Clique com o boto direito do mouse em Modelagem da Poltica de Grupo e clique em Assistente
para Modelagem de Poltica de Grupo. O Assistente para Modelagem de Poltica de Grupo
aberto.
4.
Clique em Avanar.
5.
Na pgina Seleo de Controlador de Domnio, clique em Avanar.
6.
Na pgina Seleo de Usurio e Computador, na seo Informaes sobre o usurio, clique no

boto Usurio e em Procurar. A caixa de dilogo Selecionar Usurio exibida.
7.
Digite Mike e pressione Enter.
8.
Na seo Informaes do computador, clique no boto Computador e em Procurar. A caixa de

dilogo Selecionar Computador exibida.
9.
Digite LON-CL1 e pressione Enter.
10. Clique em Avanar.
11. Na pgina Opes de Simulao Avanadas, marque a caixa de seleo Processamento de

Loopback e clique em Mesclar. Embora o GPO Polticas de Sala de Conferncia especifique o
processamento de loopback, voc deve instruir o Assistente para Modelagem de Poltica de Grupo
para considerar o processamento de loopback em sua simulao.
13. Na pgina Caminhos alternativos do Active Directory, clique no boto Procurar ao lado do Local
do computador. A caixa de dilogo Escolha o continer de computador exibida.
14. Expanda Adatum e Quiosques e clique em Salas de Conferncia. Voc est simulando o efeito de
LON-CL1 como um computador da sala de conferncia.
15. Clique em OK.
17. Na pgina Grupos de Segurana de Usurio, clique em Avanar.
18. Na pgina Grupos de Segurana do Computador, clique em Avanar.
19. Na pgina Filtros WMI para usurios, clique em Avanar.
20. Na pgina Filtros WMI para Computadores, clique em Avanar.
21. Revise suas configuraes na pgina Resumo das Selees e clique em Avanar.
22. Clique em Concluir.
23. Na guia Detalhes, role a tela e, se necessrio, expanda Detalhes do Usurio, Objetos de Poltica de
Grupo e GPOs Aplicados.
24. Verifique se o GPO Polticas de Sala de Conferncia se aplica a Mike como uma poltica de usurio
quando ele fizer logon em LON-CL1 se LON-CL1 estiver na UO Salas de Conferncia?
25. Role a tela e, se necessrio, expanda Detalhes do Usurio, Polticas, Modelos Administrativos e
Painel de Controle/Personalizao.
L5-32
26. Confirme que o tempo limite de proteo de tela 2.700 segundos (45 minutos), a configurao
definida pelo GPO Polticas de Sala de Conferncia que substitui o padro de 10 minutos configurado
pelo GPO Padres da ADATUM.
Tarefa 4: Revisar eventos de poltica e determinar o status da infraestrutura de GPOs

1.
2.
Coloque o ponteiro do mouse no canto inferior direito do vdeo e clique em Configuraes. Clique
em Painel de Controle.
3.
Clique em Sistema e Segurana.
4.
Clique em Ferramentas Administrativas.
5.
Clique duas vezes em Visualizador de Eventos.
6.
Na rvore de console, expanda Logs do Windows e clique no log do sistema.
7.
Classifique o log de sistema pela Fonte.
8.
Localize eventos com Poltica de Grupo como a Origem. Voc pode at clicar no link Filtrar Log Atual
no painel Aes e selecionar Poltica de Grupo na lista suspensa Origens de Eventos.
9.
Revise as informaes associadas a eventos de Poltica de Grupo.
10. Na rvore de console, clique no log de Aplicativo.

11. Classifique o log de aplicativo pela coluna Fonte.
12. Revise os eventos e identifique os eventos de Poltica de Grupo inseridos nesse log. Quais eventos
esto relacionados com a aplicao de Poltica de Grupo e quais esto relacionados com as atividades
que voc executou para gerenciar Poltica de Grupo? Observe que, dependendo do tempo que a
mquina virtual est em execuo, talvez voc no tenha Eventos de Poltica de Grupo no log do
aplicativo.
13. Na rvore de console, expanda Logs de Aplicativos e Servios, Microsoft, Windows e Group
Policy e clique em Operacional.
14. Localize o primeiro evento relacionado na atualizao de Poltica de Grupo que voc iniciou no
Exerccio 1, com o comando GPUpdate. Revise esse evento e os eventos que se seguem.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de RSoP com xito para verificar a
aplicao correta de seus GPOs.
Exerccio 4: Gerenciamento de GPOs

Tarefa 1: Executar um backup de GPOs
1.
2.
Alterne para o Console de Gerenciamento de Poltica de Grupo e clique no n Objetos de

Poltica de Grupo.
3.
No painel de detalhes, clique com o boto direito do mouse em Padres da ADATUMe clique
em Backup.
4.
Na caixa de dilogo Fazer Backup do Objeto de Poltica de Grupo, na caixa Local, digite C:\.
5.
Clique em Backup.
6.
Na caixa de dilogo Backup, clique em OK.
Tarefa 2: Executar uma restaurao de GPOs
L5-33
1.
No Console de Gerenciamento de Poltica de Grupo, clique com o boto direito do mouse em

Padres da ADATUM e clique em Restaurar usando Backup.
2.
Na caixa de dilogo Assistente para Restaurar Objeto de Poltica de Grupo, clique em Avanar.
3.
Na pgina Local do Backup, clique em Avanar.
4.
Na pgina GPO de origem, clique em Avanar.
5.
Na pgina Concluindo o Assistente para Restaurar Objeto de Poltica de Grupo, clique

em Concluir.
6.
Na caixa de dilogo Restaurar, clique em OK.
7.

Depois de concluir o exerccio, reverta todas as mquinas virtuais para seu estado inicial.
1.
2.
em Reverter.
3.
4.
Resultados: Depois deste exerccio, voc dever ter executado com xito tarefas de gerenciamento
comuns em seus GPOs.
L6-35
Mdulo 6: Gerenciamento de reas de trabalho de usurios

Laboratrio: Gerenciamento de reas de

trabalho de usurios com Poltica de Grupo
Exerccio 1: Implementao de configuraes por meio de preferncias
de Poltica de Grupo
Tarefa 1: Criar o script de logon requerido
1.
Entre em LON-DC1 como ADATUM\Administrador com a senha Pa$$w0rd.
2.
Na barra de tarefas, clique em Explorador de Arquivos.
3.
No painel de navegao, clique em Computador.
4.
No painel de detalhes, clique duas vezes em Disco Local (C:), e na guia Incio, clique na pasta Nova
pasta.
5.
Nomeie a nova pasta como Branch1.
6.
Clique com o boto direito do mouse na pasta Branch1, clique em Compartilhar com e clique em
Pessoas especficas.
7.
Na caixa de dilogo Compartilhamento de Arquivos, clique na seta suspensa, selecione Todos e

clique em Adicionar.
8.
No grupo Todos, clique na seta suspensa Nvel de Permisso e selecione Leitura/Gravao.
9.
Clique em Compartilhar e clique em Pronto.
10. Feche a janela Disco Local (C:).

11. Coloque o ponteiro do mouse no canto inferior direito do visor, e clique em Iniciar.
12. Digite Bloco de Notas e pressione Enter.
13. No Bloco de Notas, digite Net use S: \\LON-DC1\Branch1.
14. Clique no menu Arquivo e clique em Salvar.
15. Na caixa de dilogo Salvar como, na caixa Nome do arquivo, digite BranchScript.bat.
16. Na lista Salvar como Tipo, selecione Todos os arquivos.
17. No painel de navegao, clique em rea de Trabalho e em Salvar.
18. Feche o Bloco de Notas.
19. Na rea de trabalho, clique com o boto direito do mouse no arquivo BranchScript.bat e clique em
Copiar. Voc colar o arquivo posteriormente na pasta apropriada no laboratrio.
Tarefa 2: Crie um novo GPO e vincule-o unidade organizacional (UO) Filial 1

1.
Em LON-DC1, coloque o ponteiro do mouse no canto direito inferior do visor, e clique em Iniciar.
2.
Clique em Ferramentas Administrativas.
L6-36 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
3.
Em Ferramentas Administrativas, clique duas vezes em Usurios e Computadores

4.
Em Usurios e Computadores do Active Directory, clique em Adatum.com.
5.
Clique com o boto direito do mouse em Adatum.com, aponte para Novo e clique em Unidade
Organizacional.
6.
Na caixa de dilogo Novo Objeto Unidade Organizacional, na caixa Nome, digite Filial 1 e
clique em OK.
7.
No painel de navegao, clique em IT.
8.
No painel de detalhes, clique com o boto direito do mouse em Holly Dickson e clique em Mover.
9.
Na caixa de dilogo Mover, clique em Filial 1 e, em seguida, clique em OK.
10. No painel de navegao, clique em Computers.
11. No painel de detalhes, clique com o boto direito do mouse em LON-CL1 e, em seguida, clique em
Mover.
12. Na caixa de dilogo Mover, clique em Filial 1 e, em seguida, clique em OK.
13. Coloque o ponteiro do mouse no canto inferior direito do visor, e clique em Iniciar.
14. Clique em Ferramentas Administrativas e clique duas vezes em Gerenciamento de Poltica
de Grupo.
15. Expanda a Floresta: Adatum.com, expanda Domnios e expanda Adatum.com.
16. Clique com o boto direito do mouse em Filial 1 e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui.
17. Na caixa de dilogo Novo GPO, na caixa Nome, digite Branch1 e clique em OK.
18. No painel de navegao, clique em Objetos de Poltica de Grupo.
19. Clique com o boto direito do mouse no GPO Branch1 e clique em Editar.
20. No Editor de Gerenciamento de Poltica de Grupo, sob Configurao do Computador, expanda

Polticas, expanda Configuraes do Windows e clique em Scripts (Inicializaao/Encerramento).
21. No painel de detalhes, clique duas vezes em Inicializaao.
22. Na caixa de dilogo Propriedades de Inicializaao, clique em Mostrar Arquivos.
23. No painel de detalhes, clique com o boto direito do mouse na rea em branco e clique em Colar.
24. Feche a janela de logon.
25. Na caixa de dilogo Propriedades de Inicializaao, clique em Adicionar.
26. Na caixa de dilogo Adicionar um Script, clique em Procurar.
27. Clique no script BranchScript.bat, e clique em Abrir.
28. Clique em OK duas vezes para fechar todas as caixas de dilogo.
L6-37
Tarefa 3: Editar a poltica de domnio padro com as preferncias de Poltica

de Grupo requeridas
1.
No Console de Gerenciamento de Poltica de Grupo, clique na pasta Objetos de Poltica de Grupo e no

painel de detalhes clique com o boto direito do mouse em Default Domain Policy e clique em Editar.
2.
Expanda Configurao do Usurio, expanda Preferncias, expanda Configuraes do Windows,

clique com o boto direito do mouse em Atalhos, aponte para Nova e clique em Atalho.
3.
Na caixa de dilogo Novas Propriedades de Atalho, na lista Ao, clique em Criar.
4.
Na caixa Nome, digite Bloco de Notas.
5.
Na caixa Local, clique na seta e selecione rea de Trabalho.
6.
Na caixa Caminho de destino, digite C:\Windows\Notepad.exe.
7.
Na guia Comum, selecione a caixa de seleo Direcionamento de nvel de item e clique em

Direcionamento.
8.
Na caixa de dilogo Editor de Destino, clique em Novo Item e clique em Grupo de Segurana.
9.
Na parte inferior da caixa de dilogo, clique no boto de reticncias.
10. Na caixa de dilogo Selecionar Grupo, na caixa Digite o nome do objeto a ser selecionado
(exemplos), digite IT e clique em OK.
11. Clique em OK duas vezes.
Tarefa 4: Teste as preferncias

1.
2.
Coloque o ponteiro do mouse no canto inferior direito do vdeo e clique em Configuraes.
3.
Clique em Liga/Desliga e, em seguida, clique em Reiniciar.
4.
Quando o computador for reiniciado, entre como ADATUM\Administrador com a senha

Pa$$w0rd.
5.
6.

gpupdate /force
7.
Saia de LON-CL1.
8.
Entre como ADATUM\Holly com a senha Pa$$w0rd.
9.
Clique em rea de Trabalho e na barra de tarefas, clique em Explorador de Arquivos.
10. Examine o painel de navegao, e verifique se possui uma unidade mapeada para \\lon-dc1\Branch1.
11. Verifique se o atalho para o Bloco de Notas est na rea de trabalho de Holly.
12. Se o atalho no aparecer, repita as etapas de 4 at 8.
Resultados: Depois desse exerccio, voc deve ter criado os scripts e as configuraes de preferncia
requeridas com sucesso, e depois atribudo-os usando os GPOs.
Exerccio 2: Configurao do redirecionamento de pasta

Tarefa 1: Crie uma pasta compartilhada para armazenar as pastas redirecionadas
L6-38 Gerenciamento de reas de trabalho de usurios com Poltica de Grupo
1.
Em LON-DC1, na barra de tarefas, clique em Explorador de Arquivos.
2.
No painel de navegao, clique em Computador.
3.
No painel de detalhes, clique duas vezes em Disco Local (C:), e na guia Incio clique em Nova pasta.
4.
Nomeie a nova pasta como Branch1Redirect.
5.
Clique com o boto direito do mouse na pasta Branch1Redirect, clique em Compartilhar com e clique
em Pessoas especficas.
6.
Na caixa de dilogo Compartilhamento de Arquivos, clique na seta suspensa, selecione Todos e clique
em Adicionar.
7.
No grupo Todos, clique na seta suspensa Nvel de Permisso e clique em Leitura/Gravao.
8.
Clique em Compartilhar, e clique em Pronto.
9.
Feche a janela Disco Local (C:).
Tarefa 2: Crie um novo GPO e vincule-o UO da filial

1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique em Gerenciamento de

Poltica de Grupo.
2.
Feche o Editor de Gerenciamento de Poltica de Grupo. Adatum.com, Domnios e Adatum.com.
3.
Clique com o boto direito do mouse em Filial 1 e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui. Clique em OK.
4.
Na caixa de dilogo Novo GPO, na caixa Nome, digite Redirecionamento de Pasta e clique em OK.
Tarefa 3: Editar as configuraes de redirecionamento de pasta na poltica

1.
Expanda Filial 1, clique com o boto direito do mouse em Redirecionamento de pasta e clique em
Editar.
2.
No Editor do Gerenciamento de Poltica de Grupo, em Configurao do Usurio, expanda Polticas,

expanda Configuraes do Windows e expanda Redirecionamento de Pasta.
3.
Clique com o boto direito do mouse em Documentos e clique em Propriedades.
L6-39
4.
Na caixa de dilogo Propriedades de Documentos, na guia Destino, ao lado de Configurao, clique

na seta suspensa e selecione Bsico Redireciona pastas de todos os usurios p/ mesmo local.
5.
Verifique se a caixa Local da pasta de destino est definida para Criar uma pasta para cada usurio
no caminho raiz.
6.
Na caixa Caminho da Raiz, digite \\LON-DC1\Branch1Redirect, e clique em OK.
7.
Na caixa de dilogo Aviso, clique em Sim.
8.
Tarefa 4: Teste as configuraes de redirecionamento de pasta

1.
2.
3.
4.

gpupdate /force
5.
Entre e saia como ADATUM\Holly com a senha Pa$$word.
6.
Em Iniciar, clique em rea de Trabalho.
7.
Clique com o boto direito do mouse na rea de trabalho e clique em Personalizar.
8.
No painel de navegao, clique Alterar cones da rea de trabalho.
9.
Em Configuraes dos cones da rea de Trabalho, selecione a caixa de seleo Arquivos do

Usurio e clique em OK.
10. Na rea de trabalho, clique duas vezes em Holly Dickson.

11. Clique com o boto direito do mouse em Meus Documentos, e clique em Propriedades.
12. Na caixa de dilogo Propriedades de Meus Documentos, observe que o local da pasta agora o
compartilhamento de rede em uma subpasta nomeada para o usurio.
13. Se o redirecionamento da pasta no for evidente, saia, e entre como ADATUM\Holly com a senha
Pa$$word. Repita as etapas de 10 at 12.
Resultados: Depois deste exerccio, voc deve ter configurado o redirecionamento de pasta com xito
para uma pasta compartilhada no servidor de LON-DC1.
1.
2.
Reverter.
3.
4.
L7-41
Mdulo 7: Configurao e soluo de problemas

de acesso remoto
Laboratrio A: Configurao do acesso

remoto
Exerccio 1: Configurao de um servidor VPN
Tarefa 1: Configurar certificados de servidor e cliente
1.

2.
No Gerenciador do Servidor, clique em Ferramentas e clique em certification authority.
3.
No console de gerenciamento certsrv, expanda Adatum-LON-DC1-CA, clique com o boto direito

do mouse em Modelos de Certificado e clique em Gerenciar.
4.
No painel de detalhes Console de Modelos de Certificado, clique com o boto direito do mouse em
Computador e clique em Propriedades.
5.
Na caixa de dilogo Propriedades do Computador, clique na guia Segurana e em Usurios

autenticados.
6.
Em Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
7.
Feche o Console Modelos de Certificados.
8.
Em certsrv [Autoridade de Certificao (Local)], clique com o boto direito do mouse em

Adatum-LON-DC1-CA, aponte para Todas as tarefas e clique em Parar Servio.
9.
Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas e
clique em Iniciar Servio.
10. Feche o console de gerenciamento certsrv.
11. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica de Grupo.

12. No painel da lista Gerenciamento de Poltica de Grupo, expanda Floresta: Adatum.com, expanda
Domnios e expanda Adatum.com.
13. No painel da lista, em Adatum.com, clique com o boto direito do mouse em Default Domain
Policy e clique em Editar.
14. No Editor de Gerenciamento de Poltica de Grupo, em Configurao do Computador, expanda
Polticas, Configuraes do Windows, Configuraes de Segurana e expanda Polticas de
Chave Pblica.
15. No painel de navegao, clique com o boto direito do mouse em Configuraes de solicitao
automtica de certificado, aponte para Novo e clique em Solicitao de Certificado Automtica.
16. No Bem-vindo ao Assistente para Instalao de Solicitao Automtica de Certificados, clique
em Avanar.
17. Na pgina Modelo do Certificado, aceite a configurao Computador e clique em Avanar.
L7-42 Configurao e soluo de problemas de acesso remoto
18. Na pgina Concluindo o Assistente para Instalao de Solicitao Automtica de Certificados,

clique em Concluir.
20. Feche Gerenciamento de Poltica de Grupo.
21. Alterne para o computador LON-RTR e entre como ADATUM\Administrador com a senha
Pa$$w0rd.
22. Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
23. Digite mmc.exe e pressione Enter.
24. No menu Arquivo, clique em Adicionar/remover snap-in.
25. Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em Certificados, em Adicionar, em
Conta de computador, em Avanar e em Concluir.
26. Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em OK.
27. Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
aponte para Todas as tarefas e clique em Solicitar novo certificado.
28. Na caixa de dilogo Registro de Certificado, clique em Avanar.
30. Marque a caixa de seleo Computador e clique em Registrar.
31. Verifique o status da instalao do certificado com xito e clique em Concluir.
32. Feche a janela Console1.
33. Quando solicitada a gravao das configuraes do console, clique em No.
34. Alterne para LON-CL2 e entre como ADATUM\Administrador com a senha Pa$$w0rd.
35. Em Iniciar, digite cmd.exe e pressione Enter.
36. No prompt de comando, digite gpupdate /force e pressione Enter.
37. Feche o prompt de comando.
39. Em Iniciar, digite mmc e pressione Enter.
40. No menu Arquivo, clique em Adicionar/remover snap-in.
41. Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em Certificados, em Adicionar, em
Conta de computador, em Avanar e em Concluir.
42. Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em OK.
43. Na rvore de console, expanda Certificados e Pessoal.
44. Verifique se h um certificado para LON-CL2 emitido por Adatum-LON-DC1-CA.
46. Quando solicitada a gravao das configuraes do console, clique em No.
Tarefa 2: Configurar a funo Acesso Remoto
L7-43
1.
2.
3.
No painel Detalhes, clique em Adicionar funes e recursos.
4.
5.
Na pgina Selecionar tipo de instalao, verifique se a opo Instalao baseada em funo ou

recurso est selecionada e clique em Prximo.
6.
7.
Na pgina Selecionar funes do servidor, marque a caixa de seleo Servios de Acesso e

Poltica de Rede.
8.
Clique em Adicionar Recursos e em Prximo duas vezes.
9.
Na pgina Servios de Acesso e Poltica de Rede, clique em Prximo.
10. Na pgina Selecionar servios de funo, verifique se a caixa de seleo Servidor de Polticas de
Rede est marcada e clique em Prximo.
12. Verifique se a instalao foi bem-sucedida e clique em Fechar.
13. No Gerenciador do Servidor, clique em Ferramentas e clique em Servidor de Polticas de Rede.
14. No Gerenciador de Poltica de Rede, no painel de navegao, clique com o boto direito do mouse
em NPS (Local) e clique em Registrar servidor no Active Directory.
15. Na caixa de mensagem Servidor de Polticas de Rede, clique em OK.
16. Na caixa de dilogo Servidor de Poltica de Rede subsequente, clique em OK.
17. Deixe a janela do console Servidor de Polticas de Rede aberta.
18. No Gerenciador do Servidor, clique em Ferramentas e clique em Roteamento e acesso remoto. No

Assistente para Habilitar o DirectAccess, clique em Cancelar e em OK.
19. No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto.
20. Na caixa de dilogo, clique em Sim.
(local) e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
22. Clique em Avanar, selecione Acesso remoto (dial-up ou rede virtual privada) e clique em
Avanar.
23. Marque a caixa de seleo VPN e clique em Avanar.
24. Clique na interface de rede Conexo Local 2. Desmarque a caixa de seleo Habilitar a segurana
na interface selecionada configurando filtros de pacotes estticos e clique em Avanar.
25. Na pgina Atribuio de endereo IP, clique em De um intervalo de endereos especificado e
em Avanar.
26. Na pgina Atribuio de intervalo de endereos, clique em Novo. Na caixa de texto Endereo IP
inicial, digite 172.16.0.100, na caixa de texto Endereo IP final, digite 172.16.0.110 e clique em OK.
27. Verifique se os 11 endereos IP foram atribudos a clientes remotos e clique em Avanar.
28. Na pgina Gerenciando mltiplos servidores de acesso remoto, clique em Avanar.
30. Na caixa de dilogo Roteamento e Acesso Remoto, clique em OK.
31. Se solicitado, clique em OK novamente.
Tarefa 3: Criar uma poltica de rede para clientes de VPN

1.
Em LON-RTR, alterne para Servidor de Polticas de Rede.
2.
No Servidor de Polticas de Rede, expanda Polticas e clique em Polticas de Rede.
3.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de cima da lista e
clique em Desabilitar.
4.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de baixo da lista e
5.
No painel de navegao, clique com o boto direito do mouse em Polticas de Rede e clique em
Novo.
6.
No Assistente de Nova Poltica de Rede, na caixa de texto Nome da Poltica, digite Poltica VPN de
Piloto de IT.
7.
Na lista Tipo de servidor de acesso rede, clique em Servidor de Acesso Remoto (VPN-Dial up)
e em Avanar.
8.
Na pgina Especificar Condies, clique em Adicionar.
9.
Na caixa de dilogo Selecionar condio, clique em Grupos do Windows e em Adicionar.
10. Na caixa de dilogo Grupos do Windows, clique em Adicionar Grupos.

11. Na caixa de dilogo Selecionar Grupo, na caixa de texto Digite o nome do objeto a ser
selecionado (exemplos), digite IT e clique em OK.
12. Clique em OK novamente, em Avanar e, na pgina Especificar Permisso de Acesso, clique em
Acesso concedido e em Avanar.
13. Na pgina Configurar Mtodos de Autenticao, desmarque a opo Autenticao
Criptografada da Microsoft (MS-CHAP) e clique em Avanar.
14. Na pgina Configurar Restries, clique em Restries de dia e horrio.
15. Marque a caixa de seleo Permitir acesso somente nos seguintes dias e horrios e clique em
Editar.
16. Na caixa de dilogo Restries de dia e horrio, clique em Domingo e em Negado.
17. Clique em Sbado, em Negado e em OK.

19. Na pgina Definir Configuraes, clique em Avanar.
20. Na pgina Concluindo Nova Poltica de Rede, clique em Concluir.
L7-45
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN com xito e configurado
o acesso para membros do grupo de segurana global de IT.
Exerccio 2: Configurao de clientes VPN
Tarefa 1: Configurar e distribuir um perfil do Kit de Administrao do Gerenciador

de conexes
1.
2.
Coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
3.
Na tela Iniciar, digite Controle e, na lista Aplicativos, clique em Painel de Controle.
4.
Clique em Programas e, em Programas, clique em Ativar ou desativar recursos do Windows.
5.
Em Recursos do Windows, marque a caixa de seleo Kit de Administrao do Gerenciador de

Conexes (CMAK) RAS e clique em OK.
6.
Clique em Fechar.
7.
No Painel de Controle, clique em Incio do Painel de Controle.
8.
Na lista Exibir por, clique em cones grandes.
9.
Clique em Ferramentas Administrativas e clique duas vezes em Kit de Administrao do

Gerenciador de Conexes.
10. No Assistente do Kit de Administrao do Gerenciador de Conexes, clique em Avanar.
11. Na pgina Selecionar o Sistema Operacional de Destino, verifique se a opo Windows Vista ou
superior est selecionada e clique em Avanar.
12. Na pgina Criar ou Modificar um Perfil do Gerenciador de Conexes, verifique se a opo Novo
perfil est selecionada e clique em Avanar.
13. Na pgina Especificar o Nome do Servio e o Nome do Arquivo, na caixa de texto Nome do
servio, digite VPN Piloto da Adatum, na caixa de texto Nome do arquivo, digite Adatum e clique
em Avanar.
14. Na pgina Especificar um Nome de Realm, clique em No adicionar um nome de realm ao nome
do usurio e em Avanar.
15. Na pgina Mesclar Informaes de Outros Perfis, clique em Avanar.
16. Na pgina Adicionar Suporte a Conexes VPN, marque a caixa de seleo Catlogo telefnico
deste perfil.
17. Na caixa de texto Nome ou endereo IP do servidor VPN, digite 10.10.0.1 e clique em Avanar.
18. Na pgina Criar ou Modificar uma Entrada de VPN, clique em Editar.
19. Na caixa de dilogo Editar Entrada de VPN, clique na guia Segurana.
20. Na lista Estratgia de VPN, clique em Usar apenas o protocolo de tnel de camada 2 (L2TP) e
em OK.

22. Na pgina Adicionar um Catlogo Telefnico Personalizado, desmarque a caixa de seleo
Download automtico de atualizaes do catlogo telefnico e clique em Avanar.
23. Na pgina Configurar Entradas de Rede de Conexo Discada, clique em Avanar.
24. Na pgina Especificar as Atualizaes das Tabelas de Roteamento, clique em Avanar.
25. Na pgina Configurar Definies de Proxy do Internet Explorer, clique em Avanar.
26. Na pgina Adicionar Aes Personalizadas, clique em Avanar.
27. Na pgina Exibir um Bitmap de Logon Personalizado, clique em Avanar.
28. Na pgina Exibir um Bitmap de Catlogo Telefnico Personalizado, clique em Avanar.
29. Na pgina Exibir cones Personalizados, clique em Avanar.
30. Na pgina Incluir um Arquivo de Ajuda Personalizado, clique em Avanar.
31. Na pgina Exibir Informaes de Suporte Personalizadas, clique em Avanar.
32. Na pgina Exibir um Contrato de Licena Personalizado, clique em Avanar.
33. Na pgina Instalar Arquivos Adicionais com o Perfil do Gerenciador de Conexes, clique em
Avanar.
34. Na pgina Criar o perfil e o programa de Instalao do Gerenciador de Conexes, clique em
Avanar.
35. Na pgina O perfil do Gerenciador de Conexes foi concludo e est pronto para ser
distribudo, clique em Concluir.
36. Na barra de tarefas, clique no cone do Explorador de Arquivos.
37. Na caixa de endereo Explorador de Arquivos, digite C:\Arquivos de
Programas\CMAK\Profiles\Windows Vista and above\Adatum e pressione Enter.
38. Clique duas vezes em Adatum.exe.
39. Na caixa de dilogo VPN Piloto da Adatum, clique em Sim.
40. Na caixa de dilogo VPN Piloto da Adatum, clique em Todos os usurios e clique em OK.
41. Na caixa de dilogo VPN Piloto da Adatum, clique em Cancelar.
Tarefa 2: Verificar acesso do cliente

1.
Saia de LON-CL2.
2.
Entre como ADATUM\April com a senha Pa$$w0rd.
3.
4.
5.
Na janela Rede e Internet, clique em Central de Rede e Compartilhamento.
6.
Na Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
7.
Na janela Conexes de Rede, clique com o boto direito do mouse na conexo VPN Piloto da
Adatum e clique em Conectar/Desconectar.
8.
Na lista Redes direita, clique em VPN Piloto da Adatum e em Conectar.
9.
Em VPN Piloto da Adatum, na caixa de texto Nome do usurio, digite ADATUM\April.
10. Na caixa de texto Senha, digite Pa$$w0rd.

11. Marque a caixa de seleo Salvar senha e clique em Conectar.
12. Espere a conexo VPN ser estabelecida.
Tarefa 3: Para se preparar para o prximo laboratrio
L7-47
1.
2.
Reverter.
3.
4.
Repita as etapas de 2 a 3 para 24411B-LON-RTR e 24411B-LON-DC1.
Resultados: Depois deste exerccio, voc deve ter distribudo um perfil CMAK com xito e testado o
acesso VPN.

Exerccio 1: Configurao da infraestrutura de DirectAccess
Tarefa 1: Configurar AD DS (Active Directory Domain Services) e DNS
1.
Crie um grupo de segurana para computadores clientes do Windows DirectAccess realizando as

seguintes etapas:
a.
b.
c.
No Gerenciador do Servidor, clique em Ferramentas, e em Usurios e Computadores do

Active Directory.
d.
No console Usurios e Computadores do Active Directory, clique com o boto direito do mouse
em Adatum.com, clique em Novo e em Unidade Organizacional
e.
Na janela Novo Objeto Unidade Organizacional, na caixa de texto Nome, digite DA_Clients
OU e clique em OK.
f.
No console Usurios e Computadores do Active Directory, clique com o boto direito do mouse
em DA_Clients OU, clique em Novo e em Grupo.
g.
Na caixa de dilogo Novo Objeto - Grupo, em Nome do grupo, digite DA_Clients.
h.
Em Escopo do grupo, verifique se a opo Global est selecionada, em Tipo de grupo,

verifique se a opo Segurana est selecionada e clique em OK.
i.
No painel de detalhes, clique duas vezes em DA_Clients.
j.
Na caixa de dilogo Propriedades de DA_Clients, clique na guia Membros e em Adicionar.
k.
Na caixa de dilogo Selecionar Usurios, Contatos, Computadores, Contas de Servio ou

Grupos, clique em Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
l.
Em Digite os nomes de objetos a serem selecionados (exemplos):, digite LON-CL1 e clique

em OK.
m. Verifique se LON-CL1 exibido abaixo de Membros e clique em OK.

n.
2.
Feche o console Usurios e Computadores do Active Directory.
Configure regras de firewall para o trfego ICMPv6 realizando as seguintes etapas:
Observao: importante configurar regras de firewall para o trfego ICMPv6 a fim de

habilitar testes do DirectAccess subsequentes no ambiente de laboratrio.
a.
No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica de

Grupo.
b.
No Console de Gerenciamento de Poltica de Grupo, com Floresta: Adatum.com j expandida,

expanda Domnios e expanda Adatum.com.
L7-49
c.
Em Adatum.com, clique com o boto direito do mouse em Default Domain Policy, e clique em
Editar.
d.
No Editor de Gerenciamento de Poltica de Grupo, navegue at Configurao do Computador,

expanda Polticas, Configuraes do Windows, Configuraes de segurana, Firewall do
Windows com Segurana Avanada e clique em Firewall do Windows com Segurana
Avanada.
e.
No Firewall do Windows com Segurana Avanada, clique em Regras de Entrada, clique com o
boto direito do mouse em Regras de Entrada e clique em Nova Regra.
f.
Na pgina Tipo de regra, clique em Personalizado, e em Avanar.
g.
Na pgina Programa, clique em Avanar.
h.
Na pgina Protocolos e Portas, em Tipo de protocolo, clique em ICMPv6 e em Personalizar.
i.
Na caixa de dilogo Personalizar Configuraes ICMP, clique em Tipos especficos de ICMP,

em Solicitao de Eco e em OK.
j.
Clique em Avanar.
k.
Na pgina Escopo, clique em Avanar.
l.
Na pgina Ao, clique em Avanar.
m. Na pgina Perfil, clique em Avanar.

n.
Na pgina Nome, na caixa de texto Nome, digite Solicitaes de eco ICMPv6 de entrada, e
clique em Concluir.
o.
Na rvore de console, clique em Regras de Sada, clique com o boto direito do mouse em
Regras de Sada e clique em Nova Regra.
p.
Na pgina Tipo de regra, clique en Personalizado, e em Avanar.
q.
Na pgina Programa, clique em Avanar.
r.
Na pgina Protocolos e Portas, em Tipo de protocolo, clique em ICMPv6, e em Personalizar.
s.
Na caixa de dilogo Personalizar Configuraes ICMP, clique em Tipos especficos de ICMP,

em Solicitao de Eco e em OK.
t.
Clique em Avanar.
u.
Na pgina Escopo, clique em Avanar.
v.
Na pgina Ao, clique em Permitir a conexo, e clique em Avanar.
w. Na pgina Perfil, clique em Avanar.
3.
x.
Na pgina Nome, na caixa de texto Nome, digite Solicitaes de eco ICMPv6 de sada, e
clique em Concluir.
y.
Feche o Editor de Gerenciamento da Poltica de Grupo e o Console do Gerenciamento de Poltica

de Grupo.
Crie registros DNS obrigatrios realizando as seguintes etapas:

a.
b.
No console Gerenciador DNS, com LON-DC1 expandido, Zonas de pesquisa direta e clique em
Adatum.com.
4.
c.
Clique com o boto direito do mouse em Adatum.com, e clique em Novo Host (A ou AAAA).
d.
Na caixa de texto Nome , digite nls. Na caixa de texto Endereo IP, digite 172.16.0.21, clique
em Adicionar Host e em OK.
e.
Na caixa de dilogo Novo Host, na caixa de texto Nome , digite CRL. Na caixa Endereo IP ,
digite 172.16.0.1 e clique em Adicionar Host.
f.
Na caixa de dilogo DNS que informa que o registro foi criado, clique em OK.
g.
Na caixa de dilogo Novo Host, clique em Concludo.
h.
Feche o console Gerenciador DNS.
Remova ISATAP da lista global de consultas no autorizadas DNS realizando as seguintes etapas:
a.
Mova o ponteiro do mouse para o canto inferior direito, selecione Pesquisar no menu direita e
digite cmd.exe. Pressione Enter.
b.
Na janela do prompt de comando, digite o seguinte comando e pressione Enter:

dnscmd /config /globalqueryblocklist wpad
5.
6.
c.
Verifique se a mensagem O comando foi concludo com xito exibida.
d.
Feche a janela Prompt de Comando.
Configure sufixo DNS em LON-RTR realizando as seguintes etapas:

a.
b.
Mova o mouse para o canto inferior direito da tela, clique em Configuraes, em Painel de
Controle e em Exibir o status e as tarefas da rede.
c.
Na Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
d.
Na janela Conexo de Rede, clique com o boto direito do mouse em Conexo Local e clique
em Propriedades.
e.
Na janela Propriedades da Rede Local, clique duas vezes em Propriedades de Protocolo TCP/IP
Verso 4 (TCP/IPv4).
f.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em

Avanado.
g.
Na guia DNS, na caixa de texto Sufixo DNS para esta conexo, digite Adatum.com, e clique
em OK.
h.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em OK.
i.
Na caixa de dilogo Propriedades da Conexo Local, clique em OK.
Configure as propriedades da Conexo Local 2 em LON-RTR:

a.
Na janela Conexo de Rede, clique com o boto direito do mouse em Conexo Local 2 e clique
em Propriedades.
b.
Na janela Propriedades de Conexo Local 2, clique duas vezes em Protocolo TCP/IP Verso 4
(TCP/IPv4).
c.
Na caixa de dilogo Propriedades de Protocolo TCP/IP Verso 4 (TCP/IPv4), na caixa de texto

Endereo IP, digite 131.107.0.2 e, na caixa de texto Mscara de sub-rede, digite 255.255.0.0.
d.
Clique em OK e em OK novamente.
e.
Feche Conexes de Rede.
Tarefa 2: Configurar certificados

1.
Para configurar as configuraes de distribuio CRL, realize as seguintes etapas:
L7-51
a.
Em LON-DC1, no Gerenciador do Servidor, no menu Ferramentas, clique em certification

authority.
b.
No painel de detalhes, clique com o boto direito do mouse em Adatum-LON-DC1-CA, e clique

em Propriedades.
c.
Na caixa de dilogo Propriedades de Adatum-LON-DC1-CA, clique na guia Extenses.
d.
Na guia Extenses, clique em Adicionar. Na caixa de texto Local, digite

http://crl.adatum.com/crld/.
e.
Em Varivel, clique em <CaName> e em Inserir.
f.
Em Varivel, clique em <CRLNameSuffix> e em Inserir.
g.
Em Varivel, clique em <DeltaCRLAllowed> e em Inserir.
h.
Na caixa de texto Local, no final da cadeia de caracteres Local, digite .crl e clique em OK.
i.
Marque as caixas de seleo Incluir em listas de certificados revogados. Usado para

encontrar listas delta e Incluir na extenso CDP de certificados emitidos e clique em
Aplicar. Na caixa de dilogo que voc deve reiniciar Servios de Certificados do Active Directory,
clique em No.
j.
k.
Na caixa de texto Local, digite \\LON-RTR\crldist$\.
l.
Em Varivel, clique em <CaName> e em Inserir.
m. Em Varivel, clique em <CRLNameSuffix> e em Inserir.
2.
n.
Em Varivel, clique em <DeltaCRLAllowed> e em Inserir.
o.
Na caixa de texto Local, no final da cadeia de caracteres, digite .crl e clique em OK.
p.
Marque as caixas de seleo Publicar listas de certificados revogados neste local e Publicar
listas de certificados revogados delta neste local e clique em OK.
q.
Clique em Sim para reiniciar Servios de Certificados do Active Directory.
Duplique o modelo de certificado Web e configurar a permisso apropriada realizando as seguintes

etapas:
a.
No console Autoridade de Certificao, expanda Adatum-LON-DC1-CA, clique com o boto

direito do mouse em Modelos de Certificado e em Gerenciar.
Observao: Os usurios exigem a permisso Registrar no certificado.

b.
No console Modelos de Certificados, no painel de contedo, clique com o boto direito do

mouse no modelo Servidor Web e clique em Modelo Duplicado.
c.
Clique na guia Geral e, na caixa de texto Nome de exibio do modelo, digite Certificado do
Servidor Web Adatum.
d.
Clique na guia Tratamento de Solicitao e em Permitir que a chave privada seja

exportada.
3.
e.
Clique na guia Segurana e verifique se a opo Usurios Autenticados est selecionada.
f.
Na janela Permisses para Usurios Autenticados, em Permitir, clique em Registrar e em OK.
g.
Feche o console Modelos de Certificado.
h.
No console Autoridade de Certificao, clique com o boto direito do mouse em Modelos de

Certificado e navegue at Novo/Modelo de Certificado a Ser Emitido.
i.
Clique em Certificado do Servidor Web Adatum e em OK.
j.
Em certsrv [Autoridade de Certificao (Local)], clique com o boto direito do mouse em

Adatum-LON-DC1-CA, aponte para Todas as tarefas e clique em Parar Servio.
k.
Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas
e clique em Iniciar o Servio.
l.
Configure o registro automtico do certificado de computador realizando as seguintes etapas:

a.
Em LON-DC1, alterne para Gerenciador do Servidor, clique em Ferramentas e em

Gerenciamento de Poltica de Grupo.
b.
No Console de Gerenciamento de Poltica de Grupo, expanda Floresta: Adatum.com, expanda

Domnios, e Adatum.com.
c.
No console Adatum.com, clique com o boto direito do mouse em Default Domain Policy e
clique em Editar.
d.
No Editor de Gerenciamento de Poltica de Grupo, expanda Configurao do Computador,

Polticas, Configuraes do Windows, Configuraes de Segurana e Polticas de chave pblica.
e.
No painel de detalhes Polticas de Chave Pblica, clique com o boto direito do mouse em
Configuraes de solicitao automtica de certificado, aponte para Novo e clique em
Solicitao de Certificado Automtica.
f.
No Assistente para Instalao de Solicitao Automtica de Certificado, clique em Avanar.
g.
Na pgina Modelo do Certificado, verifique se a opo Computador est selecionada, clique

em Avanar e em Concluir.
h.

de Grupo.
Tarefa 3: Configurar recursos internos

1.
Solicite um certificado para LON-SVR1 realizando as seguintes etapas:

a.
Em LON-SVR1, mova o mouse para o canto inferior direito da tela, clique em Pesquisar, digite
cmd, e pressione Enter.
b.

gpupdate /force
c.

mmc
Clique em Arquivo, e em Adicionar/remover snap-in.
e.
Clique em Certificados, em Adicionar, em Conta de computador, em Avanar, verifique se a

opo Computador local est selecionada, cllique em Concluir e em OK.
f.
No console do snap-in Certificados, expanda Certificados (computador local),

Pessoal e clique em Certificados.
g.
Clique com o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique
em Solicitar novo certificado.
h.
Clique em Avanar duas vezes.
i.
Na pgina Registro de Certificado, clique em Certificado do Servidor Web Adatum, e clique

em Mais informaes so necessrias para se registrar neste certificado. Clique aqui para
definir as configuraes.
j.
Na caixa de dilogo Propriedades do Certificado, na guia Requerente, em Nome do

requerente, em Tipo, clique em Nome comum.
k.
Na caixa de texto Valor, digite nls.adatum.com e clique em Adicionar.
l.
Clique em OK, em Registrar e em Concluir.
n.
Para alterar as associaes HTTP, realize as seguintes etapas:

a.
No Gerenciador do Servidor, clique em Ferramentas e em Gerenciador do Servios de

b.
No console Gerenciador do Servios de Informaes da Internet (IIS), clique em LON-SVR1. Na

caixa de mensagem Gerenciador do Servios de Informaes da Internet (IIS), clique em No.
Clique em Sites e em Default Web Site.
c.
No painel Aes, clique em Associaes e em Adicionar.
d.
Na caixa de dilogo Adicionar Associao do Site, clique em https, na caixa de dilogo

Certificado SSL, clique no certificado com o nome nls.adatum.com, em OK e em Fechar.
e.
Feche o console do Gerenciador dos Servios de Informaes da Internet (IIS).
Tarefa 4: Configurar o servidor DirectAccess

1.
L7-53
d.
m. No painel de detalhes do snap-in Certificados, verifique se um novo certificado com o nome

nls.adatum.com foi registrado com Finalidades de Autenticao do Servidor.
2.
Obtenha certificados obrigatrios para LON-RTR realizando as seguintes etapas:

a.
b.

gpupdate /force
c.
No prompt de comando, digite mmc.exe e pressione Enter.
d.
Clique em Arquivo e em Adicionar/remover snap-in.
e.
Clique em Certificados, em Adicionar, em Conta de computador e em Avanar, selecione

Computador local, clique em Concluir e em OK.
f.
No console do snap-in Certificados, expanda Certificados (Computador Local), Pessoal e

clique em Certificados.
g.
Clique com o boto direito do mouse em Certificados, aponte para Todas as tarefas e clique
em Solicitar novo certificado.
h.
Clique em Avanar duas vezes.
i.
Na pgina Solicitar Certificados, clique em Certificado do Servidor Web Adatum e em Mais

informaes so necessrias para se registrar neste certificado. Clique aqui para definir as
configuraes.
j.
Na caixa de dilogo Propriedades do Certificado, na guia Requerente, em Nome de

requerente, em Tipo, clique em Nome comum.
k.
Na caixa de texto Valor, digite 131.107.0.2 e clique em Adicionar.
l.
Clique em OK, em Registrar e em Concluir.
m. No painel de detalhes do snap-in Certificados, verifique se um novo certificado com o nome

131.107.0.2 foi emitido com Finalidades de Autenticao de Servidor.
2.
n.
Clique com o boto direito do mouse no certificado e clique em Propriedades.
o.
Na caixa de texto Nome amigvel, digite Certificado IP-HTTPS e clique em OK.
p.
Feche a janela do console. Se for solicitado que voc salve as configuraes, clique em No.
Crie ponto de distribuio CRL em LON-RTR realizando as seguintes etapas:

a.
Alterne para Gerenciador do Servidor.
b.
No Gerenciador do Servidor, clique em Ferramentas e clique em Gerenciador do Servios de

c.
Na rvore de console, expanda para LON-RTR (Se a caixa de mensagem Gerenciador do Servio
de Informaes da Internet for exibida, clique em No), para Sites, clique em Default Web Site,
clique com o boto direito do mouse em Default Web Site e clique em Adicionar Diretrio
Virtual.
d.
Na caixa de dilogo Adicionar Diretrio Virtual, na caixa de texto Alias, digite CRLD. Prximo a
Caminho fsico, clique no boto ().
e.
Na caixa de dilogo Procurar Pasta, clique em Disco Local (C:) e em Criar Nova Pasta.
f.
Digite CRLDist e pressione Enter.
g.
Na caixa de dilogo Procurar Pasta, clique em OK.
h.
Na caixa de dilogo Adicionar Diretrio Virtual, clique em OK.
i.
No painel no meio do console, clique duas vezes em Pesquisa no Diretrio e, no painel Aes,
clique em Habilitar.
j.
No console, clique na pasta CRLD.
k.
No painel central do console, clique duas vezes no cone Editor de Configuraes.
l.
Clique na seta para baixo da lista suspensa Seo, expanda system.webServer, security e clique
em requestFiltering.
L7-55
m. No painel do meio do console requestFiltering, clique duas vezes em allowDoubleEscaping para

alterar o valor Falso para True.
n.
No painel de aes, clique em Aplicar.
o.
Feche o Gerenciador do Servios de Informaes da Internet (IIS).
Pergunta: Por que voc disponibiliza a CRL no servidor de borda?
Resposta: Voc disponibiliza a CRL no servidor de borda de forma que os clientes do DirectAccess
possam acessar a CRL.
3.
Compartilhe e proteja o ponto de distribuio CRL realizando as seguintes etapas:
Observao: Voc realiza essas etapas para atribuir permisses ao ponto de

distribuio CRL.
a.
Na barra de tarefas, clique no cone do Explorador de Arquivos.
b.
No Explorador de Arquivos, clique duas vezes em Disco Local (C:).
c.
No painel de detalhes do Explorador de Arquivos, clique com o boto direito do mouse na pasta
CRLDist e clique em Propriedades.
d.
Na caixa de dilogo Propriedades de CRLDist, clique na guia Compartilhamento e em

Compartilhamento Avanado.
e.
Na caixa de dilogo Compartilhamento Avanado, clique em Compartilhar a pasta.
f.
Na caixa de texto Nome do compartilhamento, adicione um cifro ($) ao final do nome de

forma que o nome do compartilhamento seja CRLDist$.
g.
Na caixa de dilogo Compartilhamento Avanado, clique em Permisses.
h.
Na caixa de dilogo Permisses para CRLDist$, clique em Adicionar.
i.
Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos,

clique em Tipos de objeto.
j.
Na caixa de dilogo Tipos de objeto, selecione Computadores e clique em OK.
k.
Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, na

caixa de texto Digite os nomes de objeto a serem selecionados, digite LON-DC1, clique em
Verificar Nomes e em OK.
l.
Na caixa de dilogo Permisses para CRLDist$, na lista Nomes de grupo ou de usurio, clique
em LON-DC1 (ADATUM\LON-DC1$). Na rea Permisses para LON-DC1, em Controle total,
clique em Permitir e em OK.
m. Na caixa de dilogo Compartilhamento Avanado, clique em OK.

n.
Na caixa de dilogo Propriedades de CRLDist, clique na guia Segurana.
o.
Na guia Segurana, clique em Editar.
p.
Na caixa de dilogo Permisses para CRLDist, clique em Adicionar.
4.
q.
Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos,

clique em Tipos de objeto.
r.
Na caixa de dilogo Tipos de objeto, clique em Computadores e em OK.
s.
Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos, na

caixa de texto Digite os nomes de objeto a serem selecionados, digite LON-DC1, clique em
Verificar Nomes e em OK.
t.
Na caixa de dilogo Permisses para CRLDist, na lista Nomes de grupo ou de usurio, clique
em LON-DC1 (ADATUM\LON-DC1$). Na rea Permisses para LON-DC1, em Controle total,
clique em Permitir e em OK.
u.
Na caixa de dilogo Propriedades de CRLDist, clique em Fechar.
v.
Publique a CRL em LON-RTR realizando as seguintes etapas:
Observao: Essas etapas disponibilizam a CRL no servidor de borda para clientes

DirectAccess baseados na Internet.
5.
a.
b.
No Gerenciador do Servidor, clique em Ferramentas e em certification authority.
c.
No console Autoridade de Certificao, expanda Adatum-LON-DC1-CA, clique com o boto

direito do mouse em Certificados Revogados, aponte para Todas as tarefas e clique em
Publicar.
d.
Na caixa de dilogo Publicar Lista de Certificados Revogados, clique em Nova lista de

certificados revogados e em OK.
e.
f.
Na barra de endereos do Explorador de Arquivos, digite \\LON-RTR\CRLDist$ e pressione

Enter.
g.
Na janela do Explorador de Arquivos, observe os arquivos Adatum-LON-DC1-CA.
h.
Conclua o Assistente de Configurao do DirectAccess em LON-RTR realizando as seguintes etapas:

Observao: Essas etapas configuram LON-RTR como um servidor do DirectAccess.
a.
Em LON-RTR, abra Gerenciador do Servidor, clique em Ferramentas e em Roteamento

e Acesso Remoto. Se solicitado, clique em Cancelar, e clique em OK.
b.
No console Roteamento e Acesso Remoto, clique com o boto direito do mouse em LON-RTR
(local) e clique em Desabilitar Roteamento e Acesso Remoto. Clique em Sim e feche o
console.
c.
No Gerenciador do Servidor, no menu Ferramentas, clique em Gerenciamento de Acesso

Remoto.
d.
No console Gerenciamento de Acesso Remoto, clique em Configurao.
e.
No painel de resultados, clique em Executar o Assistente do Guia de Introduo.
Observao: Se voc vir um erro neste momento, reinicie LON-RTR, entre como
ADATUM\Administrador e reinicie a partir de c).
f.
No Assistente para Configurar Acesso Remoto, clique em Implantar somente DirectAccess.
g.
No painel Topologia de Rede,verifique se Borda est selecionada e verifique se 131.107.0.2 o

nome pblico usado por clientes para se conectar ao servidor Acesso Remoto.
h.
Clique em Prximo.
i.
Na pgina Configurar Acesso Remoto, clique em Concluir.
j.
Quando a configurao for concluda, clique em Fechar.
k.
No console Gerenciamento de Acesso Remoto, em 1 etapa, clique em Editar e em Prximo.
l.
Em Selecionar Grupos, no painel de detalhes, clique em Adicionar.
m. Na caixa de dilogo Selecionar Grupo, digite DA_Clients, clique em OK.
L7-57
n.
Desmarque a caixa de seleo Habilitar o DirectAccess apenas para computadores mveis.
o.
Remova o grupo Computadores do domnio e clique em Prximo. Clique em Concluir.
p.
No console Gerenciamento de Acesso Remoto, em Etapa 2, clique em Editar.
q.
Na pgina Topologia de Rede, verifique se Borda est selecionada, digite 131.107.0.2 e clique em
Prximo.
r.
Na pgina Adaptadores de Rede, verifique se CN=131.107.0.2 usado como um certificado para

autenticar conexes IP-HTTPS e clique em Prximo.
s.
Na pgina Autenticao, clique em Usar certificados de computador, em Procurar,

em Adatum-LON-DC1-CA, em OK, e em Concluir.
t.
No painel Instalao do Acesso Remoto, em Etapa 3, clique em Editar.
u.
Na pgina Servidor de Local de Rede, clique em O servidor do local de rede implantado em

um servidor web remoto (recomendado). No campo URL do NLS, digite https://nls.adatum.com,
e clique em Validar.
v.
Verifique se a URL validada.
w. Clique em Prximo, na pgina DNS, examine os valores e clique em Prximo.

x.
Na Lista de Pesquisa de Sufixos DNS, clique em Prximo.
y.
Na pgina Gerenciamento, clique em Concluir.
z.
Em Etapa 4, clique em Editar.
aa. Na pgina Configurao do Servidor DirectAccess, clique em Concluir.

bb. Clique em Concluir para aplicar as alteraes.
cc. Em Avaliao do Acesso Remoto, clique em Aplicar.
dd. Em Aplicando Configuraes do Assistente de Configurao de Acesso Remoto, clique em
Fechar.
6.
Atualize as configuraes da Poltica de Grupo em LON-RTR realizando as seguintes etapas:

a.
Mova o ponteiro do mouse para o canto inferior direito da tela, na barra de menus, clique em
Pesquisar, digite cmd e pressione Enter.
b.
No prompt de comando e digite os seguintes comandos pressionando Enter ao final de cada

linha:
gpupdate /force
Ipconfig
Observao: Verifique se LON-RTR tem um endereo IPv6 para o adaptador de Tnel

IPHTTPSInterface a partir de 2002.
Resultados: Depois de concluir esse exerccio, voc ter configurado a infraestrutura do DirectAccess.
Exerccio 2: Configurao dos clientes de DirectAccess

Tarefa 1: Definir configuraes da Poltica de Grupo DirectAccess
1.
Inicie LON-CL1 e entre como ADATUM\Administrador com a senha Pa$$w0rd. Isso serve para
garantir que o computador LON-CL1 se conecte ao domnio como um membro do grupo de
segurana Clientes_DA.
2.
Em Iniciar, digite cmd para abrir uma janela do prompt de comando.
3.

gpupdate /force
4.

gpresult /R
5.
Verifique se a GPO Configuraes do Cliente do DirectAccess exibida na lista dos objetos da

poltica aplicada para Configuraes de Computador.
Observao: Se a poltica no estiver sendo aplicada, execute o comando gpupdate

/force novamente. Se a poltica ainda no estiver sendo aplicada, reinicie o computador. Depois
que o computador for reiniciado, entre como ADATUM\Administrador e execute o comando
Gpresult R novamente.
Tarefa 2: Verificar a distribuio de certificado do computador cliente

1.
No prompt de comando, digite mmc.exe e pressione Enter.
2.
No console MMC, clique em Arquivo e em Adicionar/remover snap-in.
3.
Clique em Certificados, em Adicionar, selecione Conta de computador, clique em Avanar,

selecione Computador local, clique em Concluir e em OK.
L7-59
4.
No console do snap-in Certificados, clique em Certificados (Computador Local), expanda

Pessoal e clique em Certificados.
5.
No painel de detalhes Certificados, verifique se um certificado com o nome LON-CL1.adatum.com e

exibido com Finalidades de Autenticao do Cliente e Autenticao do Servidor.
6.
Tarefa 3: Verificar a conectividade interna com recursos

1.
Em LON-CL1, na rea de trabalho, na barra de tarefas, clique em Internet Explorer.
2.
Na barra de endereos do Windows Internet Explorer, digite http://lon-svr1.adatum.com/ e

pressione Enter. A pgina da Web do IIS 8 padro para LON-SVR1 exibida.
3.
Na barra de endereos do Internet Explorer, digite https://nls.adatum.com/ e pressione Enter. A

pgina da Web do IIS 8 padro para LON-SVR1 exibida.
4.
Deixe a janela do Internet Explorer aberta.
5.
6.
Na barra de endereos do Explorador de Arquivos, digite \\Lon-SVR1\Files e pressione Enter. Uma

janela com o contedo da pasta compartilhada Arquivos exibida.
7.
Resultados: Depois de concluir esse exerccio, voc ter configurado os clientes do DirectAccess.
Exerccio 3: Verificao da configurao do DirectAccess

Tarefa 1: Mover o computador cliente para a rede virtual da Internet
1.
2.
Em LON-CL1, mova o ponteiro do mouse para o canto inferior direito da tela, clique em
Configuraes, selecione Painel de Controle e clique em Rede e Internet.
3.
Clique em Central de Rede e Compartilhamento.
4.
Clique em Alterar as configuraes do adaptador.
5.
Clique com o boto direito do mouse em Conexo Local e clique em Propriedades.
6.
Na caixa de dilogo Propriedades de Conexo Local, clique duas vezes em Protocolo TCP/IP
Verso 4 (TCP/IPv4).
7.
Na caixa de dilogo Propriedades do Protocolo TCP/IP Verso 4 (TCP/IPv4), clique em Usar o

seguinte endereo IP.
8.
Conclua as seguintes configuraes e clique em OK:
9.
Endereo IP: 131.107.0.10
Gateway padro: 131.107.0.2
Na caixa de dilogo Propriedades da Conexo Local, clique em OK.
10. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em
Desativar.
11. Na janela Conexes de Rede, clique com o boto direito do mouse em Conexo Local e clique em
Ativar.
12. No host, no Gerenciador do Hyper-V, clique com o boto direito do mouse em 24411B-LON-CL1 e
clique em Configuraes.
13. Altere o Adaptador de Rede Herdado para que esteja na Rede Particular 2 e clique em OK.
Tarefa 2: Verificar a conectividade com o servidor do DirectAccess

1.
Em LON-CL1, mova o ponteiro do mouse para o canto inferior direito da tela, no menu direita,
clique em Pesquisar, digite cmd, e pressione Enter.
2.

ipconfig
3.
Observe que o endereo IP retornado comea com 2002. Esse um endereo IP-HTTPS.
4.

Netsh name show effectivepolicy
5.

powershell
6.
Na interface da linha de comando do Windows PowerShell, digite o seguinte comando e pressione

Enter:
Get-DAClientExperienceConfiguration
Observao: Observe as configuraes de cliente do DirectAccess.
Tarefa 3: Verificar a conectividade com os recursos de rede internos

1.
Alterne para Internet Explorer e, na barra de endereos, digite http://lon-svr1.adatum.com, e

pressione Enter. A pgina da Web do IIS 8 padro para LON-SVR1 exibida.
2.
Deixe a janela do Internet Explorer aberta.
3.
4.
Na barra de endereos do Explorador de Arquivos, digite \LON-SVR1\Files e pressione Enter. Uma

janela de pasta com o contedo da pasta compartilhada Arquivos exibida.
5.
Alterne para a janela prompt de comando.
6.

ping lon-dc1.adatum.com
7.
Verifique se voc est recebendo respostas de lon-dc1.adatum.com.
8.
L7-61

gpupdate /force
9.
10. Alterne para LON-RTR.

11. Alterne para Gerenciamento de Acesso Remoto.
12. No console, clique em STATUS DE CLIENTE REMOTO.
Observao: Observe que LON-CL1 conectado via IP via HTTPS (IP-HTTPS). No painel
Detalhes da Conexo, no canto inferior direito da tela, observe o uso de Kerberos para a Mquina
e o Usurio.

1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24411B-LON-CL1 e clique
em Reverter.
3.
4.
Repita as etapas de 2 a 3 para 24411B-LON-SVR1, 24411B-LON-RTR e 24411B-LON-DC1.
Resultados: Depois de concluir esse exerccio, voc ter verificado a configurao do DirectAccess.
L8-63
Mdulo 8: Instalao, configurao e soluo de problemas

da funo Servidor de Polticas de Rede
Laboratrio: Instalao e configurao

de um Servidor de Polticas de Rede
Exerccio 1: Instalao e configurao de um NPS para dar suporte
ao servio RADIUS
Tarefa 1: Instalar e configurar o Servidor de Polticas de Rede
1.
2.
3.
4.
No painel de detalhes, clique em Adicionar funes e recursos.
5.
6.
Na pgina Selecionar tipo de instalao, verifique se a opo Instalao baseada em funo ou

recurso est selecionada e em Prximo.
7.
8.
Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Acesso e

Poltica de Rede.
9.
Clique em Adicionar Recursos e em Prximo duas vezes.
10. Na pgina Servios de Acesso e Poltica de Rede, clique em Prximo.
11. Na pgina Selecionar servios de funo, verifique se a caixa de seleo Servidor de Polticas de
Rede est marcada e clique em Prximo.
14. Feche a janela Gerenciador do Servidor.
16. Clique em Servidor de Polticas de Rede.
17. No Gerenciador de Poltica de Rede, no painel de navegao, clique com o boto direito do mouse
em NPS (Local) e clique em Registrar servidor no Active Directory.
18. Na caixa de mensagem Servidor de Polticas de Rede, clique em OK.
19. Na caixa de dilogo Servidor de Poltica de Rede subsequente, clique em OK.
20. Deixe a janela do console Servidor de Polticas de Rede aberta.
Tarefa 2: Configurar modelos do NPS
L8-64
1.
No console Servidor de Polticas de Rede, no painel de navegao, expanda Gerenciamento de

Modelos.
2.
No painel de navegao, clique com o boto direito do mouse em Segredos Compartilhados e

clique em Novo.
3.
Na caixa de dilogo Novo Modelo de Segredo Compartilhado RADIUS, na caixa Nome de

modelo, digite Segredo da Adatum.
4.
Nas caixas Segredo compartilhado e Confirmar segredo compartilhado, digite Pa$$w0rd e clique
em OK.
5.
No painel de navegao, clique com o boto direito do mouse em Clientes RADIUS e clique em
Novo.
6.
Na caixa de dilogo Novo Cliente RADIUS, na caixa Nome amigvel, digite LON-RTR.
7.
Clique em Verificar e, na caixa de dilogo Verificar Endereo, na caixa Endereo, digite LON-RTR e
clique em Resolver.
8.
Clique em OK.
9.
Na caixa de dilogo Novo Cliente RADIUS, em Segredo Compartilhado, em Selecione um

modelo existente de Segredos Compartilhados, clique em Segredo da Adatum e clique em OK.
10. Deixe o console aberto.
Tarefa 3: Configurar a contabilizao RADIUS

1.
Em Servidor de Polticas de Rede, no painel de navegao, clique Contabilizao.
2.
No painel de detalhes, clique em Configurar Contabilizao.
3.
No Assistente de Configurao de Contabilizao, clique em Avanar.
4.
Na pgina Selecionar Opes de Contabilidade, clique em Efetue o registro em um arquivo de

texto no computador local e clique em Avanar.
5.
Na pgina Configurar Log de Arquivo Local, clique em Avanar.
6.
7.
Na pgina Concluso, clique em Fechar.
8.
Deixe o console aberto.
Resultados: Aps este exerccio, voc dever ter habilitado e configurado o NPS para dar suporte ao
ambiente necessrio.
Exerccio 2: Configurao e teste de um cliente RADIUS

Tarefa 1: Configurar um cliente RADIUS
1.
No console Servidor de Polticas de Rede, expanda Clientes e Servidores RADIUS.
2.
Clique com o boto direito do mouse em Clientes RADIUS e clique em Novo.
3.
Na caixa de dilogo Novo Cliente RADIUS, desmarque a caixa de seleo Habilitar este
cliente RADIUS.
4.
Marque a caixa de seleo Selecione um modelo existente.
5.
Clique em OK.
6.
7.
8.
9.
L8-65
10. Em Iniciar, clique em Ferramentas Administrativas e clique duas vezes em Roteamento e acesso
remoto.
11. Se necessrio, na caixa de dilogo Assistente para Habilitar o DirectAccess, clique em Cancelar.
Clique em OK.
13. Na caixa de dilogo, clique em Sim.
(local)e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
15. Clique em Avanar, verifique se a opo Acesso remoto (dial-up ou rede virtual privada) est
selecionada e clique em Avanar.
16. Marque a caixa de seleo VPN e clique em Avanar.
17. Clique na interface de rede denominada Conexo Local 2. Desmarque a caixa de seleo Habilitar
a segurana na interface selecionada configurando filtros de pacotes estticos e clique em
Avanar.
18. Na pgina Atribuio de endereo IP, selecione De um intervalo de endereos especificado e
clique em Avanar.
19. Na pgina Atribuio de intervalo de endereos, clique em Novo. Digite 172.16.0.100 ao lado de
Endereo IP inicial e 172.16.0.110 ao lado de Endereo IP final e clique em OK. Verifique se os 11
endereos IP foram atribudos a clientes remotos e clique em Avanar.
20. Na pgina Gerenciando mltiplos servidores de acesso remoto, clique em Sim, configurar este
servidor para funcionar com um servidor RADIUS e em Avanar.
21. Na pgina Seleo de Servidor RADIUS, na caixa Servidor RADIUS principal, digite LON-DC1.
22. Na caixa Segredo Compartilhado, digite Pa$$w0rd e clique em Avanar.
24. Na caixa de dilogo Roteamento e acesso remoto, clique em OK.
25. Se solicitado novamente, clique em OK.
Tarefa 2: Configurar uma poltica de rede para RADIUS

1.
Alterne para o computador LON-DC1.
2.
Alterne para Servidor de Polticas de Rede.
L8-66
3.
No Servidor de Polticas de Rede, expanda Polticas e clique em Polticas de Rede.
4.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de cima da lista e
5.
No painel de detalhes, clique com o boto direito do mouse na poltica na parte de baixo da lista e
6.
No painel de navegao, clique com o boto direito do mouse em Polticas de Rede e clique em
Novo.
7.
No Assistente de Nova Poltica de Rede, na caixa de texto Nome da poltica, digite Poltica VPN
Adatum.
8.
Na lista Tipo de servidor de acesso rede, clique em Servidor de Acesso Remoto (VPN-Dial up)
e em Avanar.
9.
10. Na caixa de dilogo Selecionar condio, clique em Tipo de Porta do NAS e clique em Adicionar.
11. Na caixa de dilogo Tipo de Porta do NAS, marque a caixa de seleo Virtual (VPN) e clique
em OK.
12. Clique em Avanar e, na pgina Especificar Permisso de Acesso, verifique se a opo Acesso
concedido est selecionada e clique em Avanar.
13. Na pgina Configurar Mtodos de Autenticao, clique em Avanar.
14. Na pgina Configurar Restries, clique em Avanar.
Tarefa 3: Testar a configurao de RADIUS

1.
2.
3.
4.
5.
6.
Clique em Configurar uma nova conexo ou rede.
7.
Na pgina Escolher uma opo de conexo, clique em Conectar a um local de trabalho e em

Avanar.
8.
Na pgina Como deseja se conectar, clique em Usar minha conexo com a Internet (VPN).
9.
Clique em Configurarei minha conexo com a Internet mais tarde.
10. Na pgina Digite o endereo da Internet com o qual se conectar, na caixa Endereo na Internet,
digite 10.10.0.1.
11. Na caixa Nome de Destino, digite VPN Adatum.
12. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Criar.
13. Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.
L8-67
14. Clique com o boto direito do mouse na conexo VPN Adatum, clique em Propriedades e na guia
Segurana.
15. Na lista Tipo de VPN, clique em Protocolo de Tnel Ponto Ponto (PPTP).
16. Em Autenticao, clique em Permitir estes protocolos e em OK.
17. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo Adatum VPN, e
clique em Conectar/Desconectar.
18. Na lista Redes direita, clique em VPN Adatum e em Conectar.
19. Em Autenticao de Rede, na caixa de texto Nome do usurio, digite ADATUM\Administrador.

20. Na caixa Senha, digite Pa$$w0rd e clique em OK.
21. Espere a conexo VPN ser estabelecida. A conexo bem-sucedida.
estas etapas:
1.
2.
Reverter.
3.
4.
Resultados: Depois deste exerccio, voc deve ter implantado um servidor VPN e configurado-o como
um cliente RADIUS.
L9-69
Mdulo 9: Implementao da Proteo de Acesso Rede

Exerccio 1: Configurao dos componentes da NAP
Tarefa 1: Configurar requisitos de certificado de servidor e cliente
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em certification authority.
2.
No console de gerenciamento certsrv, expanda Adatum-LON-DC1-CA, clique com o boto direito

do mouse em Modelos de Certificado e selecione Gerenciar no menu de contexto.
3.
No painel de detalhes Console de Modelos de Certificado, clique com o boto direito do mouse em
Computador e clique em Propriedades.
4.
Clique na guia Segurana da caixa de dilogo Propriedades de Computador e selecione Usurios

autenticados.
5.
Em Permisses para Usurios autenticados, marque a caixa de seleo Permitir para a permisso
Registrar e clique em OK.
6.
Feche o console Modelos de Certificados.
7.
Em Autoridade de Certificao (Local), clique com o boto direito do mouse

em Adatum-LON-DC1-CA, aponte para Todas as tarefas e clique em Parar Servio.
8.
Clique com o boto direito do mouse em Adatum-LON-DC1-CA, aponte para Todas as tarefas e
clique em Iniciar o Servio.
9.
Feche o console de gerenciamento certsrv.
Tarefa 2: Configurar as polticas de integridade

1.
Alterne para o computador LON-RTR.
2.
3.
4.
Na tela inicial, digite mmc.exe e pressione Enter.
5.
No menu Arquivo, clique em Adicionar/remover snap-in.
6.
Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em Certificados, em Adicionar,

selecione Conta de computador, clique em Avanar e em Concluir.
7.
Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em OK.
8.
Na rvore de console, expanda Certificados, clique com o boto direito do mouse em Pessoal,
9.
A caixa de dilogo Registro de Certificado aberta. Clique em Avanar.

11. Marque a caixa de seleo Computador e clique em Registrar.
12. Verifique o status da instalao do certificado como xito e clique em Concluir.
14. Clique em No quando solicitado para salvar as configuraes do console.

15. Em LON-RTR, alterne para Gerenciador do Servidor.
16. No Gerenciador do Servidor, no painel de detalhes, clique em Adicionar funes e recursos.
17. Clique em Prximo.
18. Na pgina Selecionar tipo de instalao, clique em Prximo.
19. Na pgina Selecionar servidor de destino, clique em Prximo.
20. Na pgina Selecionar funes de servidor, marque a caixa de seleo Servios de Acesso e
Poltica de Rede.
21. Clique em Adicionar Recursos e em Prximo duas vezes.
22. Na pgina Servios de Acesso e Poltica de Rede, clique em Prximo.
24. Clique em Instalar.
26. Feche a janela Gerenciador do Servidor.
28. Clique em Servidor de Polticas de Rede.
29. Expanda Proteo de Acesso Rede, Validadores da Integridade do Sistema, Validador
da Integridade da Segurana do Windows e clique em Configuraes.
30. No painel direito, em Nome, clique duas vezes em Configurao Padro.
31. Na guia Windows 8/Windows 7/Windows Vista, desmarque todas as caixas de seleo, exceto
Firewall habilitado para todas as conexes de rede e clique em OK.
32. No painel de navegao, expanda Polticas.
33. Clique com o boto direito do mouse em Polticas de Integridade e clique em Novo.
L9-70
34. Na caixa de dilogo Criar Nova Poltica de Integridade, em Nome da poltica, digite Compatvel.
35. Em Verificaes de SHV de cliente, verifique se a opo Cliente aprovado em todas as
verificaes de SHV est selecionada.
36. Em SHVs usados nesta poltica de integridade, marque a caixa de seleo Validador da
Integridade da Segurana do Windows.
37. Clique em OK.
38. Clique com o boto direito do mouse em Polticas de Integridade e clique em Novo.
39. Na caixa de dilogo Criar Nova Poltica de Integridade, em Nome da Poltica, digite
Incompatvel.
40. Em Verificaes de SHV de cliente, selecione Cliente reprovado em uma ou mais verificaes de
SHV.
41. Em SHVs usados nesta poltica de integridade, marque a caixa de seleo Validador de
Integridade da Segurana do Windows.
42. Clique em OK.
Tarefa 3: Configurar polticas de rede

1.
No painel de navegao, em Polticas, clique em Polticas de Rede.
Importante: Desabilite as duas polticas padro localizadas em Nome da Poltica clicando

com o boto direito do mouse nas polticas e clicando em Desabilitar.
L9-71
2.
Clique com o boto direito do mouse em Polticas de Rede e clique em Novo.
3.
Na pgina Especificar Nome de Poltica de Rede e Tipo de Conexo, em Nome da poltica, digite
Compatvel com Acesso Total e clique em Avanar.
4.
5.
Na caixa de dilogo Selecionar condio, clique duas vezes em Polticas de Integridade.
6.
Na caixa de dilogo Polticas de Integridade, em Polticas de integridade, selecione Compatvel e

clique em OK.
7.
Na pgina Especificar Condies, clique em Avanar.
8.
Na pgina Especificar Permisso de Acesso, clique em Avanar.
9.
Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, marque a

caixa de seleo Executar somente a verificao de integridade do computador e clique em
Avanar.
10. Clique em Avanar novamente.

11. Na pgina Definir Configuraes, clique em Imposio de NAP. Verifique se a opo Permitir
acesso total rede est marcada e clique em Avanar.
13. Clique com o boto direito do mouse em Polticas de Rede e clique em Novo.
14. Na pgina Especificar Nome de Poltica de Rede e Tipo de Conexo, em Nome da poltica, digite
Incompatvel Restrito e clique em Avanar.
15. Na pgina Especificar Condies, clique em Adicionar.
16. Na caixa de dilogo Selecionar condio, clique duas vezes em Polticas de Integridade.
17. Na caixa de dilogo Polticas de Integridade, em Polticas de integridade, selecione Incompatvel

e clique em OK.
18. Na pgina Especificar Condies, clique em Avanar.
19. Na pgina Especificar Permisso de Acesso, verifique se Acesso concedido est selecionado e
clique em Avanar.
20. Na pgina Configurar Mtodos de Autenticao, desmarque todas as caixas de seleo, marque a
caixa de seleo Executar somente a verificao de integridade do computador e clique em
Avanar.
21. Clique em Avanar novamente.
22. Na pgina Definir Configuraes, clique em Imposio de NAP. Clique em Permitir acesso
limitado.
23. Desmarque a caixa de seleo Habilitar correo automtica de computadores cliente.
24. Na janela Definir Configuraes, clique em Filtros IP.

25. Em IPv4, clique em Filtros de Entrada e em Novo.
26. Na caixa de dilogo Adicionar filtro IP, selecione Rede de destino.
27. Na caixa Endereo IP, digite 172.16.0.10.
28. Na caixa Mscara de sub-rede, digite 255.255.255.255 e clique em OK.
29. Clique em Permitir apenas os pacotes listados abaixo e em OK.
30. Em IPv4, clique em Filtros de Sada e em Novo.
31. Na caixa de dilogo Adicionar filtro IP, selecione Rede de origem.
32. Na caixa Endereo IP, digite 172.16.0.10.
33. Na caixa Mscara de sub-rede, digite 255.255.255.255 e clique em OK.
34. Clique em Permitir apenas os pacotes listados abaixo e em OK.
Tarefa 4: Configurar polticas de solicitao da VPN
L9-72
1.
Clique em Polticas de Solicitao de Conexo.
2.
Desabilite as polticas de solicitao de conexo encontradas em Nome da Poltica clicando com o

boto direito do mouse em cada uma das polticas e clicando em Desabilitar.
3.
Clique com o boto direito do mouse em Polticas de Solicitao de Conexo e clique em Novo.
4.
Na pgina Especificar Nome da Poltica de Solicitao de Conexo e Tipo de Conexo, na caixa

Nome da poltica, digite Conexes de VPN.
5.
Em Tipo de servidor de acesso rede, selecione Servidor de Acesso Remoto (VPN-Dial up) e
clique em Avanar.
6.
7.
Na caixa de dilogo Selecionar Condio, clique duas vezes em Tipo de Tnel e selecione PPTP,
SSTP e L2TP. Clique em OK e em Avanar.
8.
Na pgina Especificar Encaminhamento de Solicitaes de Conexo, verifique se Autenticar

solicitaes neste servidor est selecionado e clique em Avanar.
9.
Na pgina Especificar Mtodos de Autenticao, marque a caixa de seleo Substituir

configuraes de autenticao da poltica de rede.
10. Em Tipos de EAP, clique em Adicionar.

11. Na caixa de dilogo Adicionar EAP, em Mtodos de autenticao, clique em Microsoft: EAP
protegido (PEAP), e em OK.
12. Em Tipos de EAP, clique em Adicionar. Na caixa de dilogo Adicionar EAP, em Mtodos de
autenticao, clique em Microsoft: Senha segura (EAP-MSCHAP v2) e clique em OK.
13. Em Tipos de EAP, clique em Microsoft: EAP protegido (PEAP) e em Editar.
L9-73
14. Verifique se Impor Proteo de Acesso Rede est selecionado e clique em OK.
15. Clique em Avanar duas vezes e em Concluir.
Resultados: Depois desse exerccio, voc deve ter instalado e configurado os componentes da NAP
obrigatrios, criado as polticas de integridade e rede, alm das polticas de solicitao de conexo.
Exerccio 2: Configurao do acesso VPN

Tarefa 1: Configurar um servidor VPN
1.
Em LON-RTR, coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas, e clique
em Iniciar.
2.
Clique em Roteamento e acesso remoto. Se solicitado, na caixa de dilogo Assistente para

Habilitar o DirectAccess, clique em Cancelar e em OK.
3.
4.
Na caixa de dilogo, clique em Sim.
5.
(local)e clique em Configurar e Habilitar Roteamento e Acesso Remoto.
6.
Clique em Avanar, verifique se a opo Acesso remoto (dial-up ou rede virtual privada) est
selecionada e clique em Avanar.
7.
Marque a caixa de seleo VPN e clique em Avanar.
8.
Clique na Interface de rede denominada Conexo Local 2. Desmarque a caixa de seleo Habilitar a
segurana na interface selecionada configurando filtros de pacotes estticos e clique em
Avanar.
9.
Na pgina Atribuio de endereo IP, selecione De um intervalo de endereos especificado e

clique em Avanar.
10. Na pgina Atribuio de intervalo de endereos, clique em Novo. Digite 172.16.0.100 ao lado de
Endereo IP inicial e 172.16.0.110 ao lado de Endereo IP final e clique em OK. Verifique se os 11
endereos IP foram atribudos a clientes remotos e clique em Avanar.
11. Na pgina Gerenciando mltiplos servidores de acesso remoto, verifique se No, usar o
'Roteamento e acesso remoto' para autenticar pedidos de conexo est selecionado e clique em
Avanar.
13. Clique em OK duas vezes e aguarde a inicializao do servio de Roteamento e Acesso Remoto.
14. Alterne para Servidor de Polticas de Rede.
15. No Servidor de Polticas de Rede, clique em Polticas de Solicitao de Conexo e, no painel de

resultados, verifique se Poltica do Servio de Roteamento e Acesso Remoto da Microsoft est
Desabilitado.
Observao: Clique em Ao e em Atualizar. Se a Poltica do Servio de Roteamento e
Acesso Remoto da Microsoft estiver Habilitada, clique com o boto direito do mouse nela e
16. Feche o console de gerenciamento do Servidor de Polticas de Rede.

17. Feche o console Roteamento e Acesso Remoto.
Tarefa 2: Permitir PING para fins de teste
L9-74
1.
Em LON-RTR, coloque o ponteiro do mouse no canto inferior esquerdo da barra de tarefas, e clique
em Iniciar.
2.
Clique em Ferramentas Administrativas e clique duas vezes em Firewall do Windows com

Segurana Avanada.
3.
Clique em Regras de Entrada, clique com o boto direito do mouse em Regras de Entrada e clique
em Nova Regra.
4.
Selecione Personalizado e clique em Avanar.
5.
Verifique se a opo Todos os programas est selecionada e clique em Avanar.
6.
Prximo a Tipo de protocolo, selecione ICMPv4 e clique em Personalizar.
7.
Selecione Tipos especficos de ICMP, marque a caixa de seleo Solicitao de Eco, clique em OK e
em Avanar.
8.
Clique em Avanar para aceitar o Escopo padro.
9.
Na janela Ao, verifique se a opo Permitir a conexo est selecionada e clique em Avanar.
10. Clique em Avanar para aceitar o Perfil padro.

11. Na janela Nome, em Nome, digite Solicitao de eco ICMPv4 e clique em Concluir.
12. Feche o console do Firewall do Windows com Segurana Avanada.
Resultados: Aps este exerccio, voc dever ter criado um servidor VPN e configurado a comunicao
de entrada.
Exerccio 3: Definio das configuraes de cliente para oferecer

suporte NAP
Tarefa 1: Habilitar um mtodo de imposio de NAP do cliente
1.
Alterne para o computador LON-CL2.
2.
Na tela Iniciar, digite napclcfg.msc e pressione Enter.
3.
Em NAPCLCFG [Configurao de Cliente NAP (Computador Local)], no painel de navegao, clique

em Clientes de Imposio.
4.
No painel de resultados, clique com o boto direito do mouse em Cliente de Imposio de

Quarentena EAP e clique em Habilitar.
5.
Feche NAPCLCFG [Configurao de Cliente NAP (Computador Local)\Clientes de Imposio)].
6.
Coloque o mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
7.
Em Iniciar, digite Services.msc e pressione Enter.
8.
Em Servios, no painel de resultados, clique duas vezes em Agente de Proteo de Acesso Rede.
9.
L9-75
Na caixa de dilogo Propriedades de Agente de Proteo de Acesso Rede (Computador Local),

na lista Tipo de inicializao, clique em Automtico.
10. Clique em Iniciar e em OK.

11. Coloque o mouse no canto inferior esquerdo da barra de tarefas e clique em Iniciar.
12. Em Iniciar, digite gpedit.msc e pressione Enter.
13. Na rvore de console, expanda (se necessrio) Poltica de Computador Local, Configurao do
Computador, Modelos Administrativos, Componentes do Windows e clique em Central de
Segurana.
14. Clique duas vezes em Ativar a Central de Segurana (PCs em domnio somente), clique em
15. Feche a janela do console.
16. Feche o console Servios e a janela Ferramentas Administrativas e Sistema e Segurana.
Tarefa 2: Estabelecer uma conexo VPN

1.
Em LON-CL2, na rea de trabalho, aponte o mouse para o canto inferior direito da barra de tarefas e
clique em Configuraes.
2.
Clique em Painel de Controle e em Rede e Internet.
3.
4.
Clique em Configurar uma nova conexo ou rede.
5.
Na pgina Escolher uma opo de conexo, clique em Conectar a um local de trabalho e em

Avanar.
6.
Na pgina Como deseja se conectar?, clique em Usar minha conexo com a Internet (VPN).
7.
Clique em Configurarei minha conexo com a Internet mais tarde.
8.
Na pgina Digite o endereo da Internet com o qual se conectar, na caixa Endereo na Internet,
digite 10.10.0.1.
9.
Na caixa Nome de Destino, digite Adatum VPN.
10. Marque a caixa de seleo Permitir que outras pessoas usem esta conexo e clique em Criar.
11. Na janela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador.

12. Clique com o boto direito do mouse na conexo Adatum VPN, clique em Propriedades e na guia
Segurana.
13. Em Autenticao, clique em Usar protocolo EAP.
14. Na lista Microsoft: Senha segura (EAP-MSCHAP v2) (criptografia habilitada), selecione
Microsoft: EAP protegido (PEAP) (criptografia habilitada) e clique em Propriedades.
15. Verifique se a caixa de seleo Verificar a identidade do servidor validando o certificado est
marcada.
16. Desmarque a caixa de seleo Conectar a estes servidores e, em Selecionar Mtodo de
Autenticao, verifique se Senha segura (EAP-MSCHAP v2) est marcado.
17. Desmarque a caixa de seleo Ativar Reconexo Rpida e marque a caixa de seleo Impor
Proteo de Acesso Rede.
18. Clique em OK duas vezes para aceitar essas configuraes.

19. Na janela Conexes de Rede, clique com o boto direito do mouse na conexo Adatum VPN, e
clique em Conectar/Desconectar.
20. Na lista Redes direita, clique em Adatum VPN e em Conectar.
21. Em Autenticao de Rede, na caixa de texto Nome do usurio, digite ADATUM\Administrador.
22. Na caixa Senha, digite Pa$$w0rd e clique em OK.
23. A janela Alerta de Segurana do Windows exibida na primeira vez em que essa conexo VPN
usada. Clique em Mostrar detalhes do certificado.
L9-76
24. Clique em Conectar. Aguarde a conexo VPN ocorrer. Como a LON-CL2 compatvel, ela dever ter
acesso ilimitado sub-rede da Intranet.
26. Em Iniciar, digite cmd.exe e pressione Enter.
27. Digite ipconfig /all, e pressione Enter. Exiba a configurao do IP. Estado de Quarentena do
Sistema deve ser Irrestrito.
28. No prompt de comando, digite ping 172.16.0.10, e pressione Enter. Isso deve ocorrer com xito.
Agora o cliente atende ao requisito da conectividade total VPN.
29. Alterne para Conexes de Rede.
30. Clique com o boto direito do mouse em Adatum VPN e clique em Conectar/Desconectar.
31. Na lista Redes direita, clique em Adatum VPN e em Desconectar.
32. Alterne para LON-RTR.
33. Em Ferramentas Administrativas, clique duas vezes em Servidor de Polticas de Rede.
34. Expanda Proteo de Acesso Rede, Validadores da Integridade do Sistema, Validador da
Integridade da Segurana do Windows e clique em Configuraes.
35. No painel direito, em Nome, clique duas vezes em Configurao Padro.
36. Na guia Windows 8/Windows 7/Windows Vista, marque a caixa de seleo Acesso restrito para
clientes que no tm instaladas todas as atualizaes de segurana e clique em OK.
37. Alterne para LON-CL2.
38. Na lista Redes direita, clique em Adatum VPN e em Conectar.
39. Alterne para o prompt de comando.
40. Digite ipconfig /all, e pressione Enter. Exiba a configurao do IP. Estado de Quarentena do
Sistema deve ser Restrito.
41. Alterne para Conexes de Rede.
42. Clique com o boto direito do mouse em Adatum VPN e clique em Conectar/Desconectar.
43. Na lista Redes direita, selecione Adatum VPN e em Desconectar.
Resultados: Depois deste exerccio, voc dever ter criado uma nova conexo VPN em LON-CL2 e
habilitado, alm de testado a NAP em LON-CL2.
L9-77
estas etapas:
1.
2.
Reverter.
3.
4.
L10-79
Mdulo 10: Otimizao de Servios de Arquivo
Laboratrio A: Configurao de cotas e

triagem de arquivos por meio do FSRM
Exerccio 1: Configurao de cotas do FSRM
Tarefa 1: Criao de um modelo de cota
1.
2.
Na barra de tarefas, clique no atalho do Gerenciador do Servidor.
3.
4.
5.
Confirme se a instalao baseada em funo ou recurso est selecionada e clique em Prximo.
6.
Confirme se LON-SVR1.Adatum.com est selecionado e clique em Prximo.
7.
Na pgina Selecionar funes de servidor, expanda Servios de Arquivo e Armazenamento

(Instalado), Serviod de Arquivo e iSCSI (Instalado) e marque a caixa de seleo Gerenciador de
Recursos de Servidor de Arquivos.
8.
Na janela pop-up, clique em Adicionar Recursos.
9.
Clique em Prximo duas vezes para confirmar o servio de funo e a seleo do recurso.

11. Quando a instalao for concluda, clique em Fechar.
12. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciador de Recursos de Servidor

de Arquivos.
13. No console Gerenciador de Recursos de Servidor de Arquivos, expanda Gerenciamento de Cota e
clique em Modelos de Cota.
14. Clique com o boto direito do mouse em Modelos de Cota e clique em Criar Modelo de Cota.
15. Na caixa de dilogo Criar Modelo de Cota, no campo Nome do modelo, digite Log do Limite de
100 MB para Visualizador de Eventos.
16. Em Limites de notificao, clique em Adicionar.
17. Na caixa de dilogo Adicionar Limite, clique na guia Log do Evento.
18. Na guia Log do Evento, marque a caixa de seleo Enviar aviso para log de eventos e clique em OK.
19. Na caixa de dilogo Criar Modelo de Cota, clique em Adicionar.
20. Na caixa de dilogo Adicionar Limite, no campo Gerar notificao quando o uso alcanar (%),
digite 100.
21. Clique na guia Log do Evento, marque a caixa de seleo Enviar aviso para log de eventos e clique
em OK duas vezes.
Tarefa 2: Configurar uma cota com base no modelo de cota
L10-80
1.
No console Gerenciador de Recursos de Servidor de Arquivos, clique em Cotas.
2.
Clique com o boto direito do mouse em Cotas e clique em Criar Cota.
3.
Na caixa de dilogo Criar Cota, no campo Caminho da cota, digite E:\Labfiles\Mod10\Users.
4.
Clique em Aplicar modelo e criar cotas em subpastas novas e existentes automaticamente.
5.
Na lista Derivar propriedades deste modelo de cota (recomendvel), clique em Log do Limite de
100 MB para Visualizador de Eventos e em Criar.
6.
No painel de detalhes, verifique se o caminho E:\Labfiles\Mod10\Users foi configurado com a

prpria entrada de cota. Convm atualizar a pasta Cotas para exibir as alteraes.
7.
Na barra de tarefas, abra Explorador de Arquivos.
8.
Na janela do Explorador de Arquivos, clique na unidade E, expanda Labfiles (se necessrio), Mod10 e
Users.
9.
Na pasta Users, crie uma nova pasta chamada Mx.
10. No Gerenciador de Recursos de Servidor de Arquivos, no menu Aes, clique em Atualizar.

11. No painel de detalhes, observe se a pasta recm-criada agora exibida na lista.
Tarefa 3: Testar se a cota funcional

1.
Em LON-SVR1, na barra de tarefas, clique no atalho do Windows PowerShell.
2.
Na janela do Windows PowerShell, digite os comandos a seguir. Pressione Enter ao final de cada
linha:
E:
cd \Labfiles\Mod10\Users\Mx
Isso cria um arquivo com mais de 85 MB, que ir gerar um aviso no Visualizador de Eventos.
3.
Na barra de tarefas, clique no atalho do Gerenciador do Servidor.
4.
No Gerenciador do Servidor, clique em Ferramentas e em Visualizador de Eventos.
5.
No console Visualizador de Eventos, expanda Logs do Windows e clique em Aplicativo.
6.
No painel de detalhes, observe o evento com Identificao do Evento de 12325.
7.
Na janela do Windows PowerShell, digite o seguinte comando e pressione Enter:

Observe que o arquivo no pode ser criado. A mensagem retornada do Windows menciona o espao
em disco, mas a criao do arquivo falha porque ultrapassaria o limite de cota.
8.
Na janela do Windows PowerShell, digite exit e pressione Enter.
9.
Resultados: Aps concluir este exerccio, voc ter configurado uma cota do FSRM.
L10-81
Exerccio 2: Configurao da triagem de arquivos e de relatrios

de armazenamento
Tarefa 1: Criar uma triagem de arquivo
1.
Em LON-SVR1, abra Gerenciador do Servidor e, no menu Ferramentas, clique em Gerenciador de

Recursos de Servidor de Arquivos.
2.
Na rvore do console Gerenciador de Recursos de Servidor de Arquivos, expanda Gerenciamento

de Triagem de Arquivo e clique em Triagens de Arquivo.
3.
Clique com o boto direito do mouse em Triagens de Arquivo e clique em Criar Triagem de
Arquivo.
4.
Na janela Criar Triagem de Arquivo, na caixa de texto Caminho da triagem de arquivo, digite
E:\Labfiles\Mod10\Users.
5.
Na janela Criar Triagem de Arquivo, na caixa de listagem suspensa Derivar propriedades desse
modelo de triagem de arquivo (recomendvel), verifique se Bloquear Arquivos de udio e
Vdeo est selecionado.
6.
Clique em Criar.
Tarefa 2: Criar um grupo de arquivos

1.
Em LON-SVR1, clique com o boto direito do mouse em Gerenciador de Recursos de Servidor de

Arquivos (Local) e clique em Configurar Opes.
2.
Na caixa de dilogo Opes do Gerenciador de Recursos de Servidor de Arquivos, clique na guia

Auditoria da Triagem de Arquivo.
3.
Na guia Auditoria da Triagem de Arquivo, marque a caixa de seleo Registrar atividade de

triagem de arquivo no banco de dados de auditoria e clique em OK.
Observao: Esta etapa se destina a permitir o registro de eventos de triagem de arquivo.

Essas gravaes fornecero dados para um relatrio Auditoria da Triagem de Arquivo, que ser
executado posteriormente neste exerccio.
4.
Na rvore do console Gerenciador de Recursos de Servidor de Arquivos, expanda Gerenciamento de

Triagem de Arquivo e clique em Grupos de Arquivos.
5.
Clique com o boto direito do mouse em Grupos de Arquivos e clique em Criar Grupo de
Arquivos.
6.
Na janela Criar Propriedades do Grupo de Arquivos, na caixa Nome do grupo de arquivos, digite
Arquivos de Mdia MPx.
7.
Na caixa Arquivos a serem includos, digite *.mp* e clique em Adicionar.
8.
Na caixa Arquivos a serem excludos, digite *.mpp, clique em Adicionar e em OK.
9.
Na rvore do console Gerenciador de Recursos de Servidor de Arquivos, expanda Gerenciamento de

Triagem de Arquivo e clique em Modelos de Triagem de Arquivo.
10. Clique com o boto direito do mouse no modelo Bloquear Arquivos de udio e Vdeo e clique em
Editar Propriedades do Modelo.
11. Na guia Configuraes, em Grupos de arquivos desmarque a caixa de seleo de Arquivos de

udio e Vdeo.
12. Marque a caixa de seleo prxima a Arquivos de Mdia MPx.
13. Clique em OK. Clique em Sim no prompt de mensagem.
14. Clique em OK na mensagem.
Tarefa 3: Testar a triagem de arquivo
L10-82
1.
Na barra de tarefas, clique no atalho do Explorador de Arquivos.
2.
Na janela do Explorador de Arquivos, no painel esquerdo, clique em Allfiles (E:).
3.
No painel direito, clique com o boto direito do mouse e aponte para Novo, alm de clicar em
Documento de Texto.
4.
Renomeie Novo Documento de Texto.txt para musicfile.mp3. Clique em Sim para alterar a
extenso do nome de arquivo.
5.
Clique com o boto direito do mouse em musicfile.mp3 e clique em Copiar.
6.
No painel esquerdo, expanda Allfiles (E:), Labfiles, Mod10, clique com o boto direito do mouse em
Users e clique em Colar. Voc ser notificado que o sistema no pode copiar o arquivo para
E:\Labfiles\Mod10\Users.
7.
Clique em Cancelar.
Tarefa 4: Gerar um relatrio de armazenamento sob demanda

1.
No console Gerenciador de Recursos de Servidor de Arquivos, clique em Gerenciamento de

Relatrios de Armazenamento.
2.
Clique com o boto direito do mouse em Gerenciamento de Relatrios de Armazenamento e

clique em Gerar Relatrios Agora.
3.
Em Selecionar relatrios a serem gerados, marque a caixa de seleo Auditoria de Triagem de

Arquivo.
4.
Clique na guia Escopo e em Adicionar.
5.
Na caixa de dilogo Procurar Pasta, navegue at E:\Labfiles\Mod10\Users e clique em OK.
6.
Clique em OK para fechar Propriedades da Tarefa de Relatrios de Armazenamento.
7.
Na caixa de dilogo Gerar Relatrios de Armazenamento, verifique se Aguardar que os relatrios

sejam gerados e depois exibi-los est selecionado e clique em OK.
8.
Na janela do Windows Internet Explorer, revise os relatrios html gerados.
9.
Quando concluir o laboratrio, no desligue as mquinas virtuais. Voc precisar deles no prximo
laboratrio.
Resultados: Depois de concluir este exerccio, voc ter configurado a triagem de arquivo e os relatrios
de armazenamento no FSRM.

Exerccio 1: Instalao do servio de funo DFS
1.
2.
Na barra de tarefas, clique no Gerenciador do Servidor.
3.
4.
5.
6.
7.

(Instalado), Servios de Arquivo e Servios iSCSI (Instalado) e marque a caixa de seleo
Namespaces de DFS.
8.
Na janela pop-up Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
9.
Marque a caixa de seleo Replicao de DFS e clique em Prximo.
10. Na pgina Selecionar recursos, clique em Prximo.

13. Feche o Gerenciador do Servidor.

1.
2.
3.
4.
5.
6.

(Instalado), Servios de Arquivo e iSCSI e marque a caixa de seleo Namespaces de DFS.
7.
Na janela pop-up Assistente de Adio de Funes e Recursos, clique em Adicionar Recursos.
8.
Marque a caixa de seleo Replicao de DFS e clique em Prximo.
9.

12. Feche o Gerenciador do Servidor.
L10-83
Resultados: Depois de concluir este exerccio, voc ter instalado o servio de funo DFS em LON-SVR1
e instalado o servio de funo DFS em LON-SVR4.
Exerccio 2: Configurao de um namespace DFS

Tarefa 1: Criar o namespace BranchDocs
L10-84
1.
Alterne para LON-SVR1 e abra o Gerenciador do Servidor.
2.
No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento DFS.
3.
No painel de navegao, clique em Namespaces.
4.
Clique com o boto direito do mouse em Namespaces e clique em Novo Namespace.
5.
No Assistente de Novo Namespace, na pgina Servidor de Namespaces, em Servidor, digite LONSVR1 e clique em Avanar.
6.
Na pgina Nome e Configuraes do Namespace, em Nome, digite BranchDocs e clique em

Avanar.
7.
Na pgina Tipo de Namespace, verifique se Namespace baseado em domnio est selecionado.

Observe que o namespace ser acessado por \\Adatum.com\BranchDocs.
8.
Verifique se a caixa de seleo Habilitar o modo Windows Server 2008 est marcada e clique em
Avanar.
9.
Na pgina Examinar Configuraes e Criar Namespace, clique em Criar.
10. Na pgina Confirmao, verifique se a tarefa Criar namespace foi bem-sucedida e clique em
Fechar.
11. No painel de navegao, expanda Namespaces e clique em \\Adatum.com\BranchDocs.
12. No painel de detalhes, clique na guia Servidores de Namespaces e verifique se h uma entrada
habilitada para \\LON-SVR1\BranchDocs.
Tarefa 2: Habilitar enumerao com base em acesso para o namespace BranchDocs

1.
No painel de navegao, em Namespaces, clique com o boto direito do mouse em

\\Adatum.com\BranchDocs e clique em Propriedades.
2.
Na caixa de dilogo Propriedades de \\Adatum.com\BranchDocs, clique na guia Avanado.
3.
Na guia Avanado, marque a caixa de seleo Habilitar enumerao baseada em acesso para este
namespace e clique em OK.
Tarefa 3: Adicionar a pasta ResearchTemplates ao namespace BranchDocs

1.
Em Gerenciamento DFS, clique com o boto direito em Adatum.com\BranchDocs e clique em Nova

Pasta.
2.
Na caixa de dilogo Nova Pasta, em Nome, digite ResearchTemplates.
3.
Na caixa de dilogo Nova Pasta, clique em Adicionar.
4.
Na caixa de dilogo Adicionar Destino de Pasta, digite \\LON-SVR4\ResearchTemplates e clique

em OK.
5.
6.
Na caixa de dilogo Criar Compartilhamento, na caixa Caminho local da pasta compartilhada,

digite C:\BranchDocs\ResearchTemplates.
7.
Clique em Todos os usurios tm permisses de leitura e gravao e clique em OK.
8.
9.
Clique em OK para fechar a caixa de dilogo Nova Pasta.
Tarefa 4: Adicionar a pasta DataFiles ao namespace BranchDocs
L10-85
1.
Em Gerenciamento DFS, clique com o boto direito em Adatum.com\BranchDocs e clique em Nova

Pasta.
2.
Na caixa de dilogo Nova Pasta, em Nome, digite DataFiles e clique em Adicionar.
3.
Na caixa de dilogo Adicionar Destino de Pasta, digite \\LON-SVR1\DataFiles e clique em OK.
4.
5.
Na caixa de dilogo Criar Compartilhamento, na caixa Caminho local da pasta compartilhada,

digite C:\BranchDocs\DataFiles.
6.
Clique em Todos os usurios tm permisses de leitura e gravao e clique em OK. As permisses

sero configuradas posteriormente.
7.
8.
Clique em OK para fechar a caixa de dilogo Nova Pasta.
Tarefa 5: Verificar o namespace BranchDocs

1.
Em LON-SVR1, abra o Explorador de Arquivos, no tipo da barra de endereos, digite

\\Adatum.com\BranchDocs\ e pressione Enter
2.
Na janela BranchDocs, verifique se ResearchTemplates e DataFiles so exibidos.
3.
Feche a janela do BranchDocs.
Resultados: Depois de concluir este exerccio, voc ter configurado um namespace do DFS.
Exerccio 3: Configurao da DFS-R

Tarefa 1: Criar outro destino de pasta para DataFiles
1.
Em Gerenciamento DFS, expanda Adatum.com\BranchDocs e clique em DataFiles.
2.
No painel de detalhes, observe que h no momento somente um destino de pasta.
3.
Clique com o boto direito do mouse em DataFiles e clique em Adicionar Destino de Pasta.
4.
Na caixa de dilogo Novo Destino de Pasta, no campo Caminho para o destino de pasta, digite
\\LON-SVR4\DataFiles e clique em OK.
5.
Na caixa de dilogo Aviso, clique em Sim para criar a pasta compartilhada em LON-SVR4.
6.
Na caixa de dilogo Criar Compartilhamento, em Caminho local da pasta compartilhada, digite

C:\BranchDocs\DataFiles.
7.
Na caixa de dilogo Criar Compartilhamento, em Permisses da pasta compartilhada, selecione

Todos os usurios tm permisses de leitura e gravao e clique em OK.
8.
Na caixa de dilogo Aviso, clique em Sim para criar a pasta no LON-SVR4.
9.
Na caixa de dilogo Replicao, clique em Sim. O Assistente para Replicao de Pasta ser iniciado.
Tarefa 2: Configurar replicao para o namespace

1.
No Gerenciamento DFS, no Assistente para Replicao de Pasta, na pgina Nome do Grupo de

Replicao e da Pasta Replicada, aceite as configuraes padro e clique em Avanar.
2.
Na pgina Qualificao da Replicao, clique em Avanar.
3.
Na pgina Membro Primrio, selecione LON-SVR1 e clique em Avanar.
4.
Na pgina Seleo de Topologia, selecione Sem topologia e clique em Avanar.
5.
Na caixa de dilogo Aviso, clique em OK.
6.
Na pgina Revisar Configuraes e Criar Grupo de Replicao, clique em Criar.
7.
Na pgina Confirmao, clique em Fechar.
8.
Na caixa de dilogo Atraso na Replicao, clique em OK.
9.
No console Gerenciamento DFS, expanda Replicao e clique em

Adatum.com\BranchDocs\DataFiles.
10. No painel Ao, clique em Nova Topologia.
L10-86
11. No Assistente para Nova Topologia, na pgina Seleo de Topologia, Verifique se Malha completa
est selecionado e clique em Avanar.
12. Na pgina Agendamento e Largura de Banda do Grupo de Replicao, clique em Avanar.
13. Na pgina Revisar Configuraes e Criar Topologia, clique em Criar.
14. Na pgina Confirmao, clique em Fechar e, na caixa de dilogo Atraso na Replicao, clique
em OK.
15. No painel de detalhes, na guia Associaes, verifique se a pasta replicada exibida em LON-SVR4 e
LON-SVR1.

etapas:
1.
2.
em Reverter.
3.
4.
Resultados: Depois de concluir este exerccio, voc ter configurado a DFS-R.
L11-87
Mdulo 11: Configurao de criptografia e auditoria

avanada
Laboratrio: Configurao de criptografia

e auditoria avanada
Exerccio 1: Criptografia e recuperao de arquivos
Tarefa 1: Atualizar o certificado do agente de recuperao do EFS
1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica

de Grupo.
2.
Feche o Editor de Gerenciamento de Poltica de Grupo. Adatum.com, Domnios, Adatum.com e

clique em Default Domain Policy.
3.
Na caixa de dilogo Console de Gerenciamento de Poltica de Grupo, clique em OK para limpar a

mensagem.
4.
Clique com o boto direito do mouse em Default Domain Policy e clique em Editar.
5.
Na janela Console de Gerenciamento de Poltica de Grupo, em Configurao do Computador,

expanda Polticas, expanda Configuraes do Windows, expanda Configuraes de segurana,
expanda Polticas de chave pblica e clique em Sistema de Arquivos com Criptografia.
6.
Clique com o boto direito do mouse no certificado Administrador e clique em Excluir.
7.
Na janela Certificados, clique em Sim.
8.
Clique com o boto direito em Sistema de Arquivos com Criptografia e clique em Criar agente de
recuperao de dados.
9.
Leia as informaes para o novo certificado que foi criado. Observe que este certificado foi obtido da
AdatumCA.

11. Feche Console de Gerenciamento de Poltica de Grupo.
Tarefa 2: Atualizar a Poltica de Grupo nos computadores

1.
Em LON-DC1, na barra de tarefas, clique no atalho da interface de linha de comando do Windows

PowerShell.
2.
No prompt do Windows PowerShell, digite o comando a seguir e pressione Enter:

gpupdate /force
3.
Feche o prompt de comando.
4.
5.
Em LON-CL1, na tela Iniciar, digite cmd e pressione Enter.
6.
No prompt, digite o seguinte comando e pressione Enter

gpupdate /force
7.
8.
Tarefa 3: Obter um certificado para EFS
L11-88
1.
Em LON-CL1, entre como ADATUM\Doug com uma senha Pa$$w0rd.
2.
Na tela Iniciar, digite mmc e pressione Enter.
3.
Em Console1, clique em Arquivo e em Adicionar/remover snap-in.
4.
Na lista de snap-ins disponveis, clique em Certificados e em Adicionar.
5.
Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em OK.
6.
No painel esquerdo, clique em Certificados Usurio Atual, clique com o boto direito em Pessoal,
7.
No Assistente Registro de Certificado, clique em Avanar.
8.
Na pgina Selecionar Poltica de Registro de Certificado, clique em Avanar para usar a Poltica
de Registro do Active Directory.
9.
Na pgina Solicitar certificados, marque a caixa de seleo EFS Bsico e clique em Registrar.
10. Na pgina Resultados da Instalao de Certificados, clique em Concluir.
11. Na janela Console1, no painel esquerdo, expanda Certificados Usurio Atual, expanda Pessoal e
clique em Certificados.
12. Leia os detalhes do certificado e observe se ele foi emitido por AdatumCA.
13. Feche o Console1 e no salve as configuraes.
Tarefa 4: Criptografar um arquivo

1.
Em LON-CL1, abra Explotador de Arquivos, digite \\LON-DC1\Mod11Share\Marketing no campo

de endereo e pressione Enter.
2.
Clique com o boto direito do mouse em DougFile e clique em Propriedades.
3.
Na guia Geral, clique em Avanados.
4.
Na caixa de dilogo Atributos Avanados, marque a caixa de seleo Criptografar o contedo

para proteger os dados e clique em OK.
5.
Na caixa de dilogo Propriedades de DougFile, clique em OK.
6.
Na caixa de dilogo Aviso de Criptografia, clique em Criptografar somente o arquivo e em OK.

Espere alguns segundos para o arquivo ser criptografado.
7.
Veja a cor do nome do arquivo.
8.
Feche a janela do Windows Explorer.
9.
L11-89
Tarefa 5: Usar o agente de recuperao para abrir o arquivo

1.
Em LON-DC1, na barra de tarefas, clique no atalho do Explotador de Arquivos.
2.
No Explotador de Arquivos, navegue at E:\Labfiles\Mod11\Mod11Share\Marketing.
3.
Clique duas vezes em DougFile.txt.
4.
No Bloco de Notas, adicione um texto ao arquivo, clique em Arquivo e em Salvar.
5.
Feche o Bloco de Notas e o Explotador de Arquivos.
Resultados: Depois de concluir esse exerccio, voc ter criptografado e recuperado os arquivos.
Exerccio 2: Configurao de auditoria avanada

Tarefa 1: Criar um GPO para auditoria avanada
1.
Em LON-DC1, abra o Gerenciador do Servidor, clique em Ferramentas e em Usurios e

2.
Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse em

Adatum.com, clique em Novo e em Unidade Organizacional.
3.
Digite Servidores de Arquivo e pressione Enter.
4.
Clique no continer Computers, clique com o boto direito do mouse em LON-SVR1, clique em
Mover, na OU Servidores de Arquivos e em OK.
5.
No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica de Grupo.
6.
Feche o Editor de Gerenciamento de Poltica de Grupo. Adatum.com, expanda Domnios,

Adatum.com, clique e clique com o boto direito do mouse em Servidores de Arquivos e clique
em Criar um GPO neste domnio e fornecer um link para ele aqui.
7.
Na janela Novo GPO, digite Auditoria de Arquivo e pressione Enter.
8.
Clique duas vezes no continer Objetos de Poltica de Grupo, clique com o boto direito do mouse
em Auditoria de Arquivo e clique em Editar.
9.
No Editor de Gerenciamento de Poltica de Grupo, em Configurao do Computador, expanda

Polticas, Configuraes do Windows, Configuraes de Segurana, Configurao Avanada de
Poltica de Auditoria, Polticas de Auditoria e clique em Acesso a Objeto.
10. Clique duas vezes em Compartilhamento de Arquivos de Auditoria Detalhado.

11. Na janela Propriedades, marque a caixa de seleo Configurar estes eventos de auditoria.
12. Marque as caixas de seleo xito e Falha e clique em OK.
13. Clique duas vezes em Auditoria de Armazenamento Removvel.
14. Na janela Propriedades, marque a caixa de seleo Configurar estes eventos de auditoria.
15. Marque as caixas de seleo xito e Falha e clique em OK.

17. Reinicie LON-SVR1.
18. Entre em LON-SVR1 como ADATUM\Administrador com uma senha Pa$$w0rd.
Tarefa 2: Verificar entradas de auditoria
L11-90
1.
Entre em LON-CL1 como ADATUM\Allan como uma senha Pa$$w0rd.
2.
Na tela Iniciar, digite \\LON-SVR1\Mod11 e pressione Enter.
3.
Clique duas vezes no arquivo Testfile.txt para abri-lo no Bloco de Notas.
4.
Feche o Bloco de Notas.
5.
6.
Em LON-SVR1, no Gerenciador do Servidor, clique em Ferramentas e em Visualizador de Eventos.
7.
Na janela Visualizador de Eventos, clique duas vezes em Logs do Windows e clique em Segurana.
8.
Clique duas vezes em uma das entradas de log com uma Origem de auditoria de segurana do
Microsoft Windows e uma Categoria de Tarefas de Compartilhamento de Arquivos Detalhado.
9.
Clique na guia Detalhes e observe o acesso realizado.
Resultados: Depois de concluir este exerccio, voc ter configurado a auditoria avanada.

etapas:
1.
2.
em Reverter.
3.
4.
Repita essas etapas para 24411B-LON-SVR1 e 24411B-LON-CL1.
L12-91
Mdulo 12: Implementao do gerenciamento

de atualizaes
Laboratrio: Implementao do
gerenciamento de atualizaes
Exerccio 1: Implementao da funo de servidor WSUS
Tarefa 1: Instalar a funo de servidor WSUS (Windows Server Update Services)
1.
Entre em LON-SVR4 como ADATUM\Administrador com uma senha Pa$$w0rd.
2.
Em LON-SVR4, em Gerenciador do Servidor, clique em Gerenciar e em Adicionar Funes e

Recursos.
3.
4.
Na pgina Selecionar tipo de instalao, verifique se Instalao baseada em funo ou recurso

est selecionado e clique em Prximo.
5.
6.
Na pgina Selecionar funes de servidor, marque a caixa de seleo Windows Server Update
Services.
7.
Na janela pop-up, clique em Adicionar Recursos.
8.
Na pgina Selecionar funes de servidor, clique em Prximo.
9.
10. Na pgina Windows Server Update Services, clique em Prximo.

11. Na pgina Selecionar servios de funo, confirme se WID Database e WSUS Services esto
selecionados e clique em Prximo.
12. Na pgina Seleo de local do contedo, na caixa de texto, digite C:\WSUSUpdates e clique em
Prximo.
13. Na pgina Funo de Servidor Web (IIS), clique em Prximo.
17. No Gerenciador do Servidor, clique em Ferramentas e em Windows Server Update Services.
18. Na janela Concluir a Instalao do WSUS, clique em Executar e aguarde a concluso da tarefa. Clique
em Fechar.
19. No feche a janela Assistente de Configurao do Windows Server Update Services.
L12-92
Tarefa 2: Configurar o WSUS para ser sincronizado com um servidor WSUS upstream
1.
Na janela Assistente de Configurao do Windows Server Update Services, clique em Avanar duas
vezes.
2.
Na pgina Escolher Servidor Upstream, clique na opo Sincronizar de outro servidor

do Windows Server Update Services, na caixa de texto Nome do servidor, digite
LON-SVR1.Adatum.com e clique em Avanar.
3.
Na pgina Especificar Servidor Proxy, clique em Avanar.
4.
Na pgina Conectar ao Servidor Upstream, clique em Iniciar Conexo. Aguarde as configuraes

do servidor upstream serem aplicadas e clique em Avanar.
5.
Na pgina Escolher Idiomas, clique em Avanar.
6.
Na pgina Definir Agenda de Sincronizao, clique em Avanar.
7.
Na pgina Concludo, clique na opo Comear a sincronizao inicial e em Concluir.
8.
No console Windows Server Update Services, no painel de navegao, clique duas vezes
em LON-SVR4 e clique em Opes.
9.
No painel Opes, clique em Computadores. Na caixa de dilogo Computadores, selecione Usar

Poltica de Grupo ou configuraes do Registro em computadores. Clique em OK.
Resultados: Depois de concluir este exerccio, voc dever ter implementado a funo de servidor WSUS.
Exerccio 2: Definio das configuraes de atualizao

Tarefa 1: Configurar grupos do WSUS
1.
Em LON-SVR4, no console WSUS, no painel de navegao, clique duas vezes em LON-SVR4 e em

Computadores.
2.
Clique em Todos os Computadores e, no painel Aes, clique em Adicionar Grupo de

Computadores.
3.
Na caixa de dilogo Adicionar Grupo de Computadores, na caixa de texto Nome, digite Research
e clique em Adicionar.
Tarefa 2: Configurar a poltica de grupo para implantar as configuraes do WSUS

1.
2.
No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Poltica de Grupo.
3.
No console Gerenciamento de Poltica de Grupo, clique duas vezes em Floresta: Adatum.com, em

Domnios e em Adatum.com.
4.
Clique com o boto direito do mouse na OU Research e clique em Criar um GPO neste domnio e
fornecer um link para ele aqui.
5.
Na caixa de dilogo Novo GPO, na caixa de texto Nome, digite Pesquisa do WSUS e clique em OK.
L12-93
6.
Clique duas vezes na OU Research, clique com o boto direito do mouse em Pesquisa do WSUS e
clique em Editar.
7.
No Editor de Gerenciamento de Poltica de Grupo, em Configurao do Computador, clique duas

vezes em Polticas, em Modelos Administrativos, em Componentes do Windows e clique em
Windows Update.
8.
No painel Configurao, clique duas vezes em Configurar Atualizaes Automticas e clique na

opo Habilitado.
9.
No campo Configurar atualizao automtica, clique e selecione 4 Baixar automaticamente e

agendar a instalao e clique em OK.
10. No painel Configurao, clique duas vezes em Especificar o local do servio de atualizao na
intranet da Microsoft e clique na opo Habilitado.
11. Nas caixas de texto Configurar o servio de atualizao da intranet para detectar atualizaes e
Configure as estatsticas do servidor intranet, digite http://LON-SVR4.Adatum.com:8530 e
clique em OK.
12. No painel Configurao, clique duas vezes em Habilitar destino do lado do cliente.
13. Na caixa de dilogo Habilitar destino do lado do cliente, clique na opo Habilitado, na caixa de
texto Nome do grupo de destino para este computador, digite Research e clique em OK.
14. Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica de

Grupo.
15. No Gerenciador do Servidor, clique em Ferramentas e clique Usurios e Computadores do
Active Directory.
16. Em Usurios e Computadores do Active Directory, clique duas vezes em Adatum.com, clique em
Computadores, clique com o boto direito do mouse em LON-CL1 e clique em Mover.
17. Na caixa de dilogo Mover, clique na OU Research e em OK.
18. Feche Usurios e Computadores do Active Directory.
Tarefa 3: Verificar o aplicativo das configuraes da Poltica de Grupo

1.
2.
Em LON-CL1, mova o ponteiro do mouse para o lado direito da tela, clique no cone Configuraes,
em Energia e em Reiniciar.
3.
Aps a reinicializao do LON-CL1, entre como ADATUM\Administrador com uma senha

Pa$$w0rd.
4.
Na tela Iniciar, digite cmd, clique com o boto direito do mouse no Prompt de Comando e clique
em Executar como Administrador.
5.

Gpresult /r
6.
Na sada do comando, confirme se em CONFIGURAES DO COMPUTADOR, Pesquisa do WSUS

est listado em Objetos de poltica de grupo aplicados.
Tarefa 4: Inicializar o Windows Update

1.

Wuauclt.exe /reportnow /detectnow
L12-94
2.
3.
No console Update Services, expanda Computadores, Todos os Computadores e clique em

Research.
4.
Verifique se LON-CL1 exibido no Grupo de Pesquisa. Se no for, repita as etapas de 1 a 3. Pode

demorar alguns minutos para LON-CL1 ser exibido.
5.
Verifique se as atualizaes so relatadas conforme necessrio. Se no houver atualizaes relatadas,

repita as etapas de 1 a 3. Pode demorar de 10 a 15 minutos para as atualizaes serem registradas.
Resultados: Aps concluir esse exerccio, voc dever ter definido as configuraes de atualizao dos
computadores clientes.
Exerccio 3: Aprovao e implantao de uma atualizao por meio

do WSUS
Tarefa 1: Aprovar atualizaes do WSUS para o grupo de computadores de pesquisa

1.
Em LON-SVR4, no Windows Server Update Services, em Atualizaes, clique em Atualizaes

de Segurana, clique com o boto direito do mouse em Atualizao de Segurana do
Microsoft Office 2010 (KB2553371), edio de 32 bits e em Aprovar.
2.
Na janela Approve Updates, na caixa de listagem suspensa Research, selecione Aprovado para
Instalao.
3.
Clique em OK e em Fechar.
Tarefa 2: Implantar atualizaes em LON-CL1

1.

2.
Clique na tela Iniciar e digite Windows Update.
3.
Em Research, clique em Configuraes e em Windows Update.
4.
Clique em Verificar Atualizaes.
5.
Clique em Instalaremos 1 atualizao importante automaticamente.
6.
Clique em Instalar para instalar a atualizao aprovada.
7.
Feche a janela Configuraes do PC quando a instalao for concluda.
Tarefa 3: Verificar a implantao da atualizao em LON-CL1
L12-95
1.
Em LON-CL1, na tela Iniciar, digite Visualizador de Eventos, clique em Configuraes e pressione

Enter.
2.
No Visualizador de Eventos, expanda Logs de Aplicativos e Servios, Microsoft, Windows, e clique

em WindowsUpdateClient Operational para exibir os eventos.
3.
Confirme se os eventos foram registrados em log em relao atualizao.
Resultados: Depois de concluir este exerccio, voc ter aprovado e implantado uma atualizao usando
o WSUS.
Quando voc concluir o laboratrio, reverta todas as mquinas virtuais ao estado inicial. Para isso, execute
estas etapas:
1.
2.
Reverter.
3.
4.
Repita as etapas de 2 a 3 para 24411B-LON-SVR1, 24411B-LON-SVR4 e 24411B-LON-CL1.
L13-97
Mdulo 13: Monitoramento do Windows Server 2012
Laboratrio: Monitoramento
do Windows Server 2012
Exerccio 1: Estabelecimento de uma linha de base de desempenho
Tarefa 1: Criar e iniciar um conjunto de coletores de dados
1.
2.
3.
Em Iniciar, digite Desempenho e, na lista Aplicativos, clique em Monitor de Desempenho.
4.
No Monitor de Desempenho, no painel de navegao, expanda Conjuntos de Coletores de Dados e

clique em Definido pelo Usurio.
5.
Clique com o boto direito do mouse em Definido pelo Usurio, aponte para Novo e clique em
Conjunto de Coletores de Dados.
6.
No Assistente para Criar Novo Conjunto de Coletores de Dados, na caixa Nome, digite
Desempenho de LON-SVR1.
7.
Clique em Criar manualmente (avanado) e em Avanar.
8.
Na pgina Que tipo de dados voc deseja incluir?, marque a caixa de seleo Contador de
desempenho e clique em Avanar.
9.
Na pgina Que contadores de desempenho deseja registrar em log?, clique em Adicionar.
10. Na lista Contadores disponveis, expanda Processador, clique em % tempo de processador e

clique em Adicionar.
11. Na lista Contadores disponveis, expanda Memria, clique em Pginas/s e clique em Adicionar.
12. Na lista Contadores disponveis, expanda PhysicalDisk, clique em % tempo de disco e clique em
Adicionar.
13. Clique em Comprimento mdio da fila de disco e em Adicionar.
14. Na lista Contadores disponveis, expanda Sistema, clique em Comprimento da fila de
processador e em Adicionar.
15. Na lista Contadores disponveis, expanda Interface de rede, clique em Total de bytes/s, clique em
Adicionar e clique em OK.
16. Na pgina Que contadores de desempenho deseja registrar em log?, na caixa Intervalo de
amostragem, digite 1 e clique em Avanar.
17. Na pgina Onde deseja salvar os dados?, clique em Avanar.
18. Na pgina Criar conjunto de coletores de dados?, clique em Salvar e fechar e clique em Concluir.
19. No Monitor de Desempenho, no painel de resultados, clique com o boto direito do mouse em
Desempenho de LON-SVR1 e clique em Iniciar.
Tarefa 2: Criar uma carga de trabalho tpica no servidor

1.
2.
Em Iniciar, digite Cmd e, na lista Aplicativos, clique em Prompt de Comando.
3.

Fsutil file createnew bigfile 104857600
4.

Copy bigfile \\LON-dc1\c$
5.

Copy \\LON-dc1\c$\bigfile bigfile2
6.

Del bigfile*.*
7.

Del \\LON-dc1\c$\bigfile*.*
8.
No feche o prompt de comando.
Tarefa 3: Analisar os dados coletados
L13-98
1.
2.
No painel de navegao, clique com o boto direito do mouse em Desempenho de LON-SVR1 e

clique em Parar.
3.
No Monitor de Desempenho, no painel de navegao, clique em Monitor de Desempenho.
4.
5.
Na caixa de dilogo Propriedades de Desempenho do sistema, na guia Fonte, clique em Arquivos

de log e em Adicionar.
6.
Na caixa de dilogo Selecionar arquivo de Log, clique duas vezes em Admin.
7.
Clique duas vezes em Desempenho de LON-SVR1, clique duas vezes na pasta LON-SVR1_date000001 e ento clique duas vezes em DataCollector01.blg.
8.
Clique na guia Dados e em Adicionar.
9.
Na lista Adicionar contadores, na lista Contadores disponveis, expanda Memria, clique em

Pginas/s e ento clique em Adicionar.
10. Expanda Interface de Rede, clique em Total de bytes/s e ento clique em Adicionar.
11. Expanda PhysicalDisk, clique em % tempo de disco e em Adicionar.
12. Clique em Comprimento mdio da fila de disco e em Adicionar.
13. Expanda Processador, clique em % tempo de processador e ento clique em Adicionar.
14. Expanda Sistema, clique em Comprimento da fila de processador, em Adicionar e em OK.
15. Na caixa de dilogo Propriedades de Desempenho do sistema, clique em OK.

16. Na barra de ferramentas, clique na seta para baixo e clique em Relatar.
17. Registre os valores listados no relatrio para anlise posterior.
Resultados: Depois deste exerccio, voc deve ter estabelecido uma linha de base para fins de
comparao de desempenho.
Exerccio 2: Identificao da origem de um problema de desempenho

Tarefa 1: Criar uma carga de trabalho adicional no servidor
1.
2.

C:
3.

Cd\Labfiles
4.

StressTool 95
Tarefa 2: Capturar dados de desempenho usando um conjunto de coletores de

dados
L13-99
1.
2.
No Monitor de Desempenho, clique com o boto direito do mouse em Definido pelo usurio, no
painel de resultados, clique com o boto direito do mouse em Desempenho de LON-SVR1 e clique
em Iniciar.
3.
Aguarde um minuto para permitir a captura de dados.
Tarefa 3: Remover a carga de trabalho e revisar os dados de desempenho

1.
Depois de um minuto, alterne para o prompt de comando.
2.
Pressione Ctrl+C.
3.
NO feche o prompt de comando.
4.
5.
No painel de navegao, clique com o boto direito do mouse em Desempenho de LON-SVR1 e

clique em Parar.
6.
No Desempenho do Sistema, no painel de navegao, clique em Desempenho do Sistema.
7.
8.
Na caixa de dilogo Propriedades de Desempenho do sistema, na guia Fonte, clique em Arquivos

de log e em Remover.
9.
10. Na caixa de dilogo Selecionar arquivo de log, clique em Um Nvel Acima.

11. Clique duas vezes na pasta LON-SVR1_20130130-000002 e em DataCollector01.blg.
12. Clique na guia Dados e em OK.
Observao: Se voc receber um erro nesse ponto, ou os valores em seu relatrio forem
zero, repita as etapas de 4 a 11.
Pergunta: Comparado com seu relatrio anterior, quais valores foram alterados?
Resposta: A memria e a atividade do disco so reduzidas; porm, a atividade do processador
aumentou significativamente.
Pergunta: O que voc recomendaria?
Resposta: Voc deve continuar monitorando o servidor para garantir que a carga de trabalho do
processador no atinja a capacidade.
Resultados: Depois deste exerccio, voc dever ter usado ferramentas de desempenho para identificar
um afunilamento de desempenho potencial.
Exerccio 3: Exibio e configurao de logs de eventos centralizados

Tarefa 1: Configurar pr-requisitos de assinatura
1.
2.

winrm quickconfig
L13-100 Monitoramento do Windows Server 2012
3.
Se solicitado, digite S e pressione Enter.
4.
Na barra de tarefas, clique no Gerenciador do Servidor.
5.
No Gerenciador do Servidor, no painel de navegao, clique em Servidor Local. Na barra de tarefas,

clique em Ferramentas e em Gerenciamento do Computador.
6.
No Gerenciamento do Computador (Local), expanda Ferramentas do Sistema, Usurios e Grupos

Locais e clique em Grupos.
7.
No painel de resultados, clique duas vezes em Administradores.
8.
Clique em Adicionar e, na caixa de dilogo Selecionar Usurios, Computadores, Contas de

Servio ou Grupos, clique em Tipos de Objeto.
9.
Na caixa de dilogo Tipos de Objeto, marque a caixa de seleo Computadores e clique em OK.
10. Na caixa de dilogo Selecionar Usurios, Contatos, Computadores, Contas de Servio ou Grupos,
na caixa Digite os nomes de objeto a serem selecionados, digite LON-DC1, e clique em OK.
11. Na caixa de dilogo Propriedades de Administradores, clique em OK.

14. Em Iniciar, digite Cmd e, na lista Aplicativos, clique em Prompt de Comando.
Wecutil qc
16. Quando solicitado, digite S e pressione Enter.
Tarefa 2: Criar uma assinatura
L13-101
1.
2.
Em Iniciar, digite Evento e, na lista Aplicativos, clique em Visualizador de Eventos.
3.
No Visualizador de Eventos, no painel de navegao, clique em Assinaturas.
4.
Clique com o boto direito do mouse em Assinaturas e clique em Criar Assinatura.
5.
Na caixa de dilogo Propriedades da Assinatura, na caixa Nome da Assinatura, digite Eventos de

LON-SVR1.
6.
Verifique se Iniciado pelo coletor est selecionado e clique em Selecionar Computadores.
7.
Na caixa de dilogo Computadores, clique em Adicionar Computadores de Domnio.
8.
Na caixa de dilogo Selecionar Computador, na caixa Digite o nome do objeto a ser selecionado,
digite LON-SVR1 e clique em OK.
9.
Na caixa de dilogo Computadores, clique em OK.
10. Na caixa de dilogo Propriedades da Assinatura - Eventos de LON-SVR1, clique em Selecionar

Eventos.
11. Na caixa de dilogo Filtro de Consulta, marque as caixas de seleo Nivel crtico, Aviso,
Informaes, Modo detalhado e Erro.
12. Na lista Registrado, clique em ltimos 7 dias.
13. Na lista Logs de Eventos, expanda Logs de Aplicativos e Servios, Microsoft, Windows,
Diagnosis-PLA e marque a caixa de seleo Operational.
14. Clique com o mouse novamente na caixa de dilogo Filtro de Consulta e em OK.
15. Na caixa de dilogo Propriedades da Assinatura Eventos de LON-SVR1, clique em OK.
Tarefa 3: Configurar um alerta de contador de desempenho

1.
2.
No Monitor de Desempenho, no painel de navegao, expanda Conjuntos de Coletores de Dados e

clique em Definido pelo Usurio.
3.
Clique com o boto direito do mouse em Definido pelo Usurio, aponte para Novo e clique em
Conjunto de Coletores de Dados.
4.
No assistente Criar novo Conjunto de Coletores de Dados, na caixa Nome, digite

Alerta de LON-SVR1.
5.
Clique em Criar manualmente (avanado) e em Avanar.
6.
Na pgina Que tipo de dados voc deseja incluir?, clique em Contador de desempenho e clique
em Avanar.
L13-102 Monitoramento do Windows Server 2012
7.
Na pgina Que contadores de desempenho deseja monitorar?, clique em Adicionar.
8.
Na lista Contadores disponveis, expanda Processador e clique em % tempo de processador,

clique em Adicionar e ento clique em OK.
9.
Na pgina Que contadores de desempenho deseja monitorar?, na lista Alertar quando, clique em
Acima.
10. Na caixa Limite, digite 10 e clique em Avanar.

11. Na pgina Criar conjunto de coletores de dados?, clique em Concluir.
12. No painel de navegao, expanda o n Definido pelo Usurio e clique em Alerta de LON-SVR1.
13. No painel de resultados, clique com o boto direito em DataCollector01 e clique em Propriedades.
14. Na caixa de dilogo Propriedades de DataCollector01, na caixa Intervalo de amostragem, digite 1

e clique na guia Ao de Alerta.
15. Marque a caixa de seleo Registrar uma entrada no log de eventos do aplicativo e clique em OK.
16. No painel de navegao, clique com o boto direito do mouse em Alerta de LON-SVR1 e clique em
Iniciar.
Tarefa 4: Inserir uma carga de trabalho adicional no servidor

1.

C:
2.

Cd\Labfiles
3.

StressTool 95
4.
Aguarde um minuto para gerar alertas.
5.
Pressione Ctrl+C.
6.
Tarefa 5: Verificar resultados

1.
2.
No Visualizador de Eventos, no painel de navegao, expanda Logs do Windows.
3.
Clique em Eventos Encaminhados.

Pergunta: H algum alerta relacionado a desempenho?
Resposta: As respostas podem variar, mas dever haver alguns eventos relacionados carga de
trabalho imposta no LON-SVR1. Eventos tero uma ID de 2031.
Resultados: Ao final deste exerccio, voc ter centralizado logs de eventos e examinado esses logs de
eventos relacionados ao desempenho.
L13-103
estas etapas:
1.
2.
Reverter.
3.
4.

24411B PTB TrainerHandbook

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

24411B PTB TrainerHandbook

Caricato da

Copyright:

Formati disponibili

O F F I C I A L

Administrao do Windows Server 2012

Nmero do produto: 24411B

TERMOS DE LICENA MICROSOFT

Membro de Competncia de Treinamento da Microsoft significa um membro ativo do programa

Dispositivo Pessoal significa 1 (um) computador pessoal, dispositivo, estao de trabalho ou

m. Sesso de Treinamento Privado significa as aulas de treinamento conduzidas pelo instrutor

2. DIREITOS DE USO. O Contedo Licenciado licenciado, no vendido. O Contedo Licenciado

b. Se voc for um Membro de Competncia de Treinamento da Microsoft:

Se voc for um Membro MPN:

viii Configurao do Windows 8

d. Se voc for um Usurio Final:

3. CONTEDO LICENCIADO BASEADO EM TECNOLOGIA DE PR-LANAMENTO. Se o assunto

Prazo de Pr-lanamento. Se voc for Membro do Programa Microsoft IT Academy, Membro

4. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato simplesmente

5. RESERVA DE DIREITOS E PROPRIEDADE. A Microsoft se reserva todos os outros direitos que

13. ISENO DE GARANTIA. O CONTEDO LICENCIADO LICENCIADO NO ESTADO EM QUE

les rclamations au titre de violation de contrat ou de garantie, ou au titre de responsabilit

xii Configurao do Windows 8

Microsoft Certified Trainers e Instructors o seu instrutor um especialista tcnico

Benefcios do Exame de Certificao aps o treinamento, considere a possibilidade

Garantia de satisfao do cliente os nossos Certified Partners for Learning Solutions

Desejamos a voc uma excelente experincia em termos de aprendizado e uma carreira de

Value of Certication: Team Certication and Organizational Performance, novembro de 2006

xiv Administrao do Windows Server 2012

Andrew J. Warren - desenvolvedor de contedo

Jason Kellington desenvolvedor de contedo

Brian Desmond Revisor Tcnico

David Susemiehl - desenvolvedor de contedo

Administrao do Windows Server 2012

Mdulo 2: Configurao e soluo de problemas do Sistema de Nomes de Domnio

Mdulo 3: Manuteno dos Servios de Domnio Active Directory

Mdulo 4: Gerenciamento de contas de servio e de usurio

Mdulo 5: Implementao de uma infraestrutura de Poltica de Grupo

xvi Administrao do Windows Server 2012

Mdulo 6: Gerenciamento de reas de trabalho de usurios com Poltica de Grupo

Mdulo 7: Configurao e soluo de problemas de acesso remoto

Mdulo 8: Instalao, configurao e soluo de problemas da funo Servidor de Polticas

Mdulo 9: Implementao da Proteo de Acesso Rede

Administrao do Windows Server 2012

Mdulo 10: Otimizao de Servios de Arquivo

Mdulo 11: Configurao de criptografia e auditoria avanada

Mdulo 12: Implementao do gerenciamento de atualizaes

Mdulo 13: Monitoramento do Windows Server 2012

Gabaritos dos laboratrios

xviii Administrao do Windows Server 2012

Mdulo 8, Laboratrio: Instalao e configurao de um Servidor

USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS

Sobre este curso

Sobre este curso

Instalar e configurar o Windows Server 2012 em ambientes corporativos existentes ou como

Configurar o armazenamento local.

Configurar funes e recursos.

Configurar servios de arquivos e impresso.

Configurar servidores Windows Server 2012 para administrao local e remota.

Configurar endereos IPv4 e IPv6.

Instalar controladores de domnio.

Criar e configurar usurios, grupos, computadores e UOs (unidades organizacionais).

Criar e gerenciar polticas de Grupo.

Configurar polticas de segurana locais.

Sobre este curso

Implantar, gerenciar e manter servidores.

Configurar servios de arquivos e impresso.