A Mostra

Captulo 1
Criao de um domnio do
Active Directory
O Active Directory Domain Services (AD DS, Servios de Domnio Active Directory) e
seus servios relacionados formam a base das redes corporativas em execuo no Mi-
crosoft Windows. Em conjunto, eles funcionam como ferramentas que armazenam in-
formaes sobre as identidades de usurios, computadores e servios; autenticam um
usurio ou computador; e fornecem um mecanismo com o qual o usurio ou o compu-
tador pode acessar os recursos na empresa. Neste captulo, voc comear a explorar
o Active Directory do Windows Server 2008 R2 instalando a funo Active Directory
Domain Services e criando um controlador de domnio em uma nova floresta do Active
Directory. Voc descobrir que o Windows Server 2008 R2 apresenta melhorias em mui-
tos dos conceitos e recursos do Active Directory que voc j conhece.
Este captulo enfoca a criao de uma nova floresta do Active Directory com um nico
domnio em um nico controlador de domnio. Nos exerccios deste captulo, voc criar
um domnio chamado contoso.com, o qual ser utilizado em todos os outros exerccios
deste kit de treinamento. Nos captulos subsequentes, voc adquirir experincia em
outros cenrios e na implementao de outros componentes-chave do Active Directory
integrados ao AD DS.
Objetivo do exame neste captulo:

Configurar uma floresta ou um domnio.
Lies neste captulo:

Lio 1: Instalao do Active Directory Domain Services 3
Lio 2: Active Directory Domain Services no Server Core 23
2 Kit de Treinamento MCTS (Exame 70-640): Configurao do Windows Server 2008 ...
Antes de comear
Para concluir as lies deste captulo, voc deve:
Ter dois computadores em que instalar o Windows Server 2008 R2. Os computa-
dores podem ser sistemas fsicos que preenchem os requisitos mnimos de hard-
ware do Windows Server 2008 encontrados em http://www.microsoft.com/windows-
server2008/en/us/system-requirements.aspx ou http://technet.microsoft.com/en-us/
library/dd379511(WS.10).aspx. Voc precisar de pelo menos 512 MB de RAM, 32
GB de espao livre no disco rgido e um processador x64 com uma velocidade de
clock mnima de 1,4 GHz. Alternativamente, voc pode utilizar mquinas virtuais
que preenchem os mesmos requisitos.
Ter uma verso de avaliao do Windows Server 2008 R2. Uma verso de avaliao
de 180 dias do Windows Server 2008 R2 com SP1 est disponvel para download
em http://www.microsoft.com/windowsserver2008/en/us/trial-software.aspx.
Mundo real
Jason Kellington
O Windows Server 2008 R2 d suporte somente a processadores x64 ou Itanium 2; no
oferece mais suporte arquitetura de processadores x86. Se os requisitos desse sistema
no forem atendidos, no ser possvel instalar o Windows Server 2008 R2. Isso muito
importante ao fazer a atualizao de servidores preexistentes para o Windows Server 2008
R2. Servidores preexistentes baseados na arquitetura de processadores x86 devem ser subs-
titudos por hardware baseado na arquitetura de processador x64 ou Itanium 2.
No cenrio de instalao mais comum do AD DS, o servidor funciona como controlador
de domnio, o qual mantm uma cpia do banco de dados do AD DS e replica esse banco
de dados em outros controladores de domnio. Os controladores de domnio so os com-
ponentes mais crticos em uma infraestrutura de Active Directory e devem funcionar com
o menor nmero possvel de componentes no relacionados adicionais instalados. Essa
configurao oferece controladores de domnio mais estveis e confiveis porque limita a
possibilidade de outros aplicativos ou servios interferirem nos componentes do AD DS em
execuo no controlador de domnio.
Nas verses do Windows Server anteriores ao Windows Server 2008, os administradores
do servidor tinham que selecionar e configurar os componentes individuais em um ser-
vidor para assegurar que componentes no essenciais do Windows fossem desabilitados
ou desinstalados. No Windows Server 2008, os componentes-chave do Windows so
divididos em grupos relacionados por funcionalidade chamados de funes. A adminis-
trao baseada em funes permite ao administrador simplesmente selecionar a funo
ou as funes que o servidor deve preencher. Em seguida, o Windows Server 2008 instala
os componentes apropriados do Windows necessrios para realizar essa funo. Voc
entender a administrao baseada em funes medida que avanar nos exerccios
deste livro.
Captulo 1 Criao de um domnio do Active Directory 3
Lio 1: Instalao do Active

Directory Domain Services
O Active Directory Domain Services (AD DS) fornece a funcionalidade de uma soluo Iden-
tity and Access (IDA, Identidade e Acesso) para redes corporativas. Nesta lio, voc apren-
der sobre o AD DS e outras funes do Active Directory suportadas pelo Windows Server
2008. Tambm explorar o Server Manager (Gerenciador do Servidor), ferramenta com a
qual possvel configurar funes de servidor, e o Active Directory Domain Services Ins-
tallation Wizard (Assistente de Instalao dos Servios de Domnio Active Directory) apri-
morado. Esta lio tambm revisa os conceitos-chave da soluo IDA e do Active Directory.
Depois de ler esta lio, voc ser capaz de:

Explicar a funo IDA em uma rede corporativa.
Entender o relacionamento entre os servios do Active Directory.
Instalar a funo do Active Directory Domain Services (AD DS) e configurar um con-
trolador de domnio do Windows Server 2008 R2 utilizando a interface do Windows.
Tempo estimado da lio: 60 minutos
Active Directory, Identity and Access

A infraestrutura IDA se refere s ferramentas e tecnologias de base usadas para integrar
pessoas, processos e tecnologia em uma organizao. Uma infraestrutura IDA efetiva as-
segura que as pessoas certas tenham acesso aos recursos corretos no momento oportuno.
Como mencionado previamente, o Active Directory oferece a soluo IDA para redes
corporativas em execuo no Windows. O AD DS o componente bsico de uma infraes-
trutura IDA do Active Directory. O AD DS coleta e armazena informaes IDA da empresa
em um banco de dados chamado repositrio de dados do Active Directory. O repositrio
de dados contm todas as informaes pertinentes sobre todos os objetos existentes
dentro da infraestrutura Active Directory. Alm disso, o AD DS age como um hub de
comunicao e de informaes para servios adicionais do Active Directory que juntos
formam uma infraestrutura IDA completa.
O Active Directory armazena informaes sobre usurios, grupos, computadores e ou-
tras identidades. Uma identidade , no sentido mais amplo, uma representao de um
objeto que realizar aes na rede corporativa. Por exemplo, um usurio abrir docu-
mentos a partir de uma pasta compartilhada em um servidor. O documento ser manti-
do seguro com permisses em uma lista de controle de acesso (ACL, access control list).
O acesso ao documento gerenciado pelo subsistema de segurana do servidor, que
compara a identidade do usurio s identidades na ACL para determinar se a solicitao
de acesso pelo usurio ser concedida ou negada.
Computadores, grupos, servios e outros objetos tambm realizam aes na rede e de-
vem ser representados por identidades. Entre as informaes armazenadas sobre uma
identidade esto as propriedades que identificam unicamente o objeto, como um nome
de usurio ou um identificador de segurana (SID, security identifier) e a senha para a
identidade. O repositrio de identidades , portanto, um componente da infraestrutura
IDA. O repositrio de dados do Active Directory, tambm conhecido como diretrio, um
repositrio de identidades. O prprio diretrio hospedado em um banco de dados ar-
mazenado e gerenciado por um controlador de domnio um servidor que desempenha

a funo AD DS. Se houver controladores de domnio mltiplos na infraestrutura do
Active Directory, eles trabalham juntos para manter uma cpia do armazenamento de
dados em cada controlador de domnio. As informaes desse armazenamento permi-
tem que o Active Directory realize as trs principais funes de uma infraestrutura IDA:
autenticao, controle de acesso e auditoria.
Autenticao Um usurio, computador ou outro objeto deve primeiro confirmar
sua identidade para a infraestrutura do Active Directory antes de poder funcionar
como parte do domnio do Active Directory. Esse processo de verificao geralmente
ocorre pela troca de informaes protegidas ou sigilosas, como uma senha ou um
certificado digital. Depois que as informaes de autenticao tiverem sido sub-
metidas ao Active Directory e confirmadas como sendo vlidas, o usurio pode
prosseguir como membro do domnio e realizar aes como solicitar acesso a arqui-
vos compartilhados, enviar trabalho de impresso a uma impressora, acessar e ler
emails ou quaisquer outras aes dentro do domnio.
Autenticao Kerberos em um domnio do Active Directory

Em um domnio do Active Directory, o protocolo Kerberos utilizado para autenticar as iden-
tidades. Quando um usurio ou computador efetua logon no domnio, o Kerberos autentica
suas credenciais e emite um pacote de informaes chamado tquete de concesso de tque-
te (TGT, Ticket Granting Ticket). Antes de o usurio realizar uma tarefa como conectar-se ao
servidor para solicitar um documento, uma solicitao Kerberos enviada a um controlador
de domnio junto com o TGT que identifica o usurio autenticado. O controlador de domnio
emite ao usurio outro pacote de informaes chamado tquete de servio, que identifica
o usurio autenticado para o servidor. O usurio apresenta o tquete de servio ao servidor,
que o aceita como prova de que o usurio foi autenticado.
Essas transaes Kerberos resultam em um nico logon de rede. Depois que o usurio ou
computador se conectou inicialmente e recebeu um TGT, o usurio autenticado dentro de
todo o domnio e pode receber tquetes de servio que o identificam para qualquer servio.
Toda essa atividade de tquetes gerenciada pelos clientes e servios Kerberos incorporados
ao Windows e transparente para o usurio.
Controle de acesso A infraestrutura IDA responsvel por proteger informaes

e recursos, assegurando que o acesso aos recursos somente seja concedido s iden-
tidades que devem ter esse acesso. O acesso a recursos e informaes confidenciais
importantes deve ser gerenciado de acordo com as diretivas da empresa. Cada obje-
to individual (como computadores, pastas, arquivos e impressoras) dentro do Acti-
ve Directory tem uma lista de controle de acesso discricionrio (DACL, discretionary
access control list) associada, a qual contm informaes referentes s identidades
que receberam direito de acesso ao objeto e ao nvel de acesso concedido.
Quando um usurio cuja identidade j foi autenticada no domnio tenta acessar um re-
curso, a DACL do recurso verificada para determinar se a identidade do usurio cons-
ta da lista. Se a identidade estiver na lista, o usurio pode acessar o recurso de acordo
com as especificaes das permisses de acesso da DACL listadas para esse usurio.
Auditoria O controle das atividades que ocorrem dentro da infraestrutura IDA
chamado de auditoria. A auditoria permite que as organizaes monitorem os even-
tos que ocorrem na infraestrutura IDA, incluindo acesso a arquivos e pastas, onde
e quando os usurios estiverem efetuando logon, alteraes na infraestrutura IDA e

funcionalidade geral do Active Directory. O comportamento da auditoria controla-
do por listas de controle de acesso do sistema (SACLs, system access control lists).
Da mesma forma que a DACL mencionada anteriormente, cada objeto da infraes-
trutura IDA possui uma SACL associada. A SACL contm uma lista de identidades
cuja atividade naquele recurso ser auditada, assim como o nvel de auditoria que
ocorrer para cada identidade.
O AD DS no o nico componente da soluo IDA que suportado pelo Windows
Server 2008. Com a verso do Windows Server 2008, a Microsoft consolidou vrios
componentes anteriormente separados em uma plataforma IDA integrada. O prprio
Active Directory agora inclui cinco tecnologias, cada uma das quais identificada com
uma palavra-chave que indica o propsito da tecnologia, como mostrado na Figura 1-1.
AD FS AD LDS
Parceria Aplicativos
Captulo 17 Captulo 14
AD DS
Identidade
Captulos 1 a 13
Confiana Integridade
Captulo 15 Captulo 16
AD CS AD RMS
Legenda
Integrao da tecnologia do Active Directory
Relacionamentos possveis
Figura 1-1 Integrao das cinco tecnologias do Active Directory.
Essas cinco tecnologias compreendem uma soluo IDA completa:

Active Directory Domain Services (Identidade) O AD DS, como descrito antes,
projetado para fornecer um repositrio central ao gerenciamento de identidades
dentro de uma organizao. O AD DS fornece servios de autenticao, autorizao
e auditoria em uma rede e suporta o gerenciamento de objetos por meio de Group
Policy (diretivas de grupo). O AD DS tambm fornece o gerenciamento de informa-
es e servios de compartilhamento, permitindo aos usurios localizar qualquer
componente servidores de arquivos, impressoras, grupos e outros usurios pes-

quisando o diretrio. Por causa disso, o AD DS muitas vezes tratado como um
servio de diretrio de sistema operacional de rede. O AD DS a principal tecnologia
do Active Directory e deve ser implantado em todas as redes que executam sistemas
operacionais Windows Server 2008. Os Captulos 1 a 13 tratam do AD DS.
MAIS INFORMAES PROJETO DO AD DS

Para mais detalhes sobre o planejamento da implementao do AD DS e sobre informaes
referentes ao projeto do AD DS, consulte o Guia de Projeto do AD DS em http://technet.
microsoft.com/en-us/library/cc754678(WS.10).aspx.
Active Directory Lightweight Directory Services (Aplicativos) Essencialmente,

uma verso autnoma do Active Directory, a funo Active Directory Lightweight
Directory Services (AD LDS, Servios de Diretrios Leves do Active Directory), antes
conhecida como Active Directory Application Mode (ADAM, Modo de Aplicativo do
Active Directory), fornece suporte a aplicativos compatveis com diretrio. O AD
LDS , na verdade, um subconjunto do AD DS porque ambos esto baseados no
mesmo cdigo bsico. O diretrio AD LDS s armazena e replica informaes re-
lacionadas a aplicativos e comumente utilizado por aplicativos que exigem um
armazenamento de diretrio, mas no exigem que as informaes sejam replicadas
de uma maneira to ampla como, por exemplo, todos os controladores de domnio.
O AD LDS tambm permite implantar um esquema personalizado para suportar um
aplicativo sem modificar o esquema AD DS. A funo AD LDS realmente leve e
suporta mltiplos armazenamentos de dados em um nico sistema, portanto, cada
aplicativo pode ser implantado com seu prprio diretrio, esquema, atribuies de
Lightweight Directory Access Protocol (LDAP) e portas SSL, e seu log de eventos de
aplicativo. Como o AD LDS no se baseia no AD DS, ele pode ser utilizado em um
ambiente autnomo ou de grupo de trabalho. Contudo, em ambientes de domnio, o
AD LDS pode utilizar o AD DS para a autenticao de entidades de segurana Win-
dows (usurios, grupos e computadores). O AD LDS tambm pode ser usado para
fornecer servios de autenticao em redes expostas, como extranets. Empregar o
AD LDS nessa situao fornece menos risco do que utilizar o AD DS. O Captulo 14,
Active Directory Lightweight Directory Services, trata do AD LDS.
Active Directory Certificate Services (Confiana) Organizaes podem utilizar o
Active Directory Certificate Services (AD CS, Servios de Certificados do Active Di-
rectory) a fim de configurar uma autoridade certificadora para emitir certificados
digitais como parte de uma infraestrutura de chave pblica (PKI, public key infras-
tructure) que vincula a identidade de uma pessoa, dispositivo ou servio a uma
chave privada correspondente. Os certificados podem ser utilizados para autenticar
usurios e computadores, fornecer autenticao baseada na Web, suportar autenti-
cao de carto inteligente e suportar aplicativos, incluindo redes sem fio seguras,
redes virtuais privadas (VPNs, virtual private networks), Internet Protocol Security
(IPSec), Encrypting File System (EFS), assinaturas digitais, etc. O AD CS fornece um
modo eficiente e seguro de emitir e gerenciar certificados. Voc pode utilizar o AD
CS para fornecer esses servios a comunidades externas. Se fizer isso, o AD CS deve
estar vinculado a uma autoridade de certificao externa conhecida que provar a
outros que voc quem diz ser. O AD CS projetado para criar confiana em um
mundo no confivel; como tal, ele deve confiar em processos comprovados que
certificam que cada pessoa ou computador que obtm um certificado foi criterio-
samente verificado e aprovado. Em redes internas, o AD CS pode ser integrado ao
AD DS para fornecer automaticamente certificados aos usurios e computadores.
O Captulo 15, Servios de certificado e infraestrutura de chave pblica do Active
Directory, trata do AD CS.
Active Directory Rights Management Services (Integridade) Embora um servidor
em execuo no Windows possa negar ou permitir acesso a um documento baseado
na DACL do documento, h poucas maneiras de controlar o que acontece ao do-
cumento e seu contedo depois que um usurio o abre. O Active Directory Rights
Management Services (AD RMS, Servios de Gerenciamento de Direitos do Active
Directory) uma tecnologia de proteo das informaes que permite implementar
modelos persistentes de diretiva de uso que definem a utilizao autorizada e no
autorizada, seja online, seja offline, dentro ou fora do firewall. Por exemplo, voc
pode configurar um modelo que permite aos usurios ler um documento, mas no
imprimir ou copiar seu contedo. Assim, voc pode assegurar a integridade dos da-
dos gerados, proteger a propriedade intelectual e controlar quem pode fazer o que
com os documentos produzidos pela sua organizao. O AD RMS exige um domnio
do Active Directory com controladores de domnio em execuo no Windows 2000
Server com o Service Pack 3 (SP3) ou superior; o IIS; um servidor de banco de dados
como o Microsoft SQL Server 2008; o cliente AD RMS, que pode ser baixado do Mi-
crosoft Download Center e includo por padro no Windows Vista, no Windows 7
e no Windows Server 2008; e um navegador compatvel com RMS ou um aplicativo
como Microsoft Internet Explorer, Microsoft Office, Microsoft Word, Microsoft Out-
look ou Microsoft PowerPoint. O AD RMS pode basear-se no AD CS para incorporar
certificados a documentos, bem como no AD DS para gerenciar direitos de acesso.
O Captulo 16, Active Directory Rights Management Services, trata do AD RMS.
Active Directory Federation Services (Parceria) O Active Directory Federation Ser-
vices (AD FS, Servios de Federao do Active Directory) permite que uma organi-
zao estenda a soluo IDA para mltiplas plataformas, incluindo ambientes Win-
dows e no Windows, e projete identidades e direitos de acesso cruzando limites de
segurana para parceiros confiveis. Em um ambiente federado, cada organizao
mantm e gerencia suas prprias identidades, mas cada empresa tambm pode pro-
jetar com segurana e aceitar identidades de outras organizaes. Os usurios so
autenticados em uma rede, porm, podem acessar recursos em outra um processo
conhecido como logon nico (SSO, Single Sign-On). O AD FS suporta parcerias por-
que permite que diferentes organizaes compartilhem o acesso a aplicativos de
extranet baseando-se em suas prprias estruturas AD DS internas para fornecer o
processo de autenticao real. Para tanto, o AD FS estende a estrutura interna do AD
DS ao mundo externo por meio das portas Transmission Control Protocol/Internet
Protocol (TCP/IP) comuns como 80 (HTTP) e 443 (Secure HTTP, ou HTTPS). Ele nor-
malmente reside na rede de permetro. O AD FS pode basear-se no AD CS para criar
servidores confiveis e no AD RMS para fornecer proteo externa propriedade
intelectual. O Captulo 17, Active Directory Federation Services, trata do AD FS.
Em conjunto, as funes do Active Directory fornecem uma soluo IDA integrada. O AD
DS ou o AD LDS fornece servios de diretrio fundamentais tanto nas implementaes
de domnio como nas implementaes autnomas. O AD CS fornece credenciais confi-
veis na forma de certificados digitais PKI. O AD RMS protege a integridade das informa-
es contidas nos documentos. E o AD FS suporta parcerias eliminando a necessidade

de ambientes federados para criar identidades mltiplas e separadas para uma nica
entidade de segurana.
Alm da soluo IDA

Contudo, o Active Directory oferece mais do que uma simples soluo IDA. Ele tambm
fornece os mecanismos para suportar, gerenciar e configurar recursos nos ambientes de
rede distribuda.
Um conjunto de regras, o esquema, define classes de objetos e atributos que podem estar
contidos no diretrio. O fato de o Active Directory ter objetos de usurio que incluem um
nome de usurio e uma senha, por exemplo, ocorre porque o esquema define a classe
de objetos user, os dois atributos e a associao entre a classe de objeto e os atributos.
A administrao baseada em diretivas reduz a carga de gerenciamento at mesmo das
maiores e mais complexas redes, fornecendo um ponto nico em que especificar as
configuraes que so depois implantadas em mltiplos sistemas. Voc aprender sobre
essas diretivas, incluindo Group Policy, diretivas de auditoria e diretivas de senha refi-
nada, no Captulo 6, Implementao de infraestrutura de Group Policy, no Captulo 7,
Gerenciamento de segurana corporativa e configuraes de Group Policy, e no Cap-
tulo 8, Aprimoramento da segurana de autenticao em um domnio AD DS.
Os servios de replicao distribuem os dados de diretrio por uma rede, o que inclui o
prprio armazenamento dos dados, bem como os dados necessrios para implementar
as diretivas e a configurao, incluindo scripts de logon. No Captulo 8, no Captulo 11,
Gerenciamento de sites e replicao do Active Directory, e no Captulo 10, Administra-
o de controladores de domnio, voc aprender sobre a replicao do Active Directory.
H at mesmo uma partio separada do armazenamento de dados denominada con-
figuration que mantm informaes sobre configurao, topologia e servios de rede.
Vrios componentes e tecnologias permitem pesquisar o Active Directory e localizar ob-
jetos no armazenamento de dados. Uma partio do armazenamento de dados chamada
catlogo global (global catalog, tambm conhecida como conjunto de atributos parcial)
contm informaes sobre cada objeto no diretrio. Ela um tipo de ndice que pode
ser utilizado para localizar objetos no diretrio. Interfaces programticas como a Active
Directory Services Interface (ADSI) e protocolos como o LDAP podem ser utilizados para
ler e manipular o armazenamento de dados.
O armazenamento de dados do Active Directory tambm pode ser utilizado para supor-
tar aplicativos e servios no diretamente relacionados ao AD DS. Dentro do banco de
dados, as parties de aplicativo podem armazenar dados para suportar aplicativos que
exigem dados replicados. O servio Domain Name System (DNS, Sistema de Nomes de
Domnio) em um servidor que executa no Windows Server 2008 pode armazenar suas
informaes em um banco de dados chamado zona integrada do Active Directory, que
mantida como uma partio de aplicativo no AD DS e replicada usando-se servios de
replicao do Active Directory.
Componentes de uma infraestrutura do Active Directory

Os 13 primeiros captulos deste kit de treinamento se concentram na instalao, con-
figurao e gerenciamento do AD DS. O AD DS fornece a base da soluo IDA e o ge-
renciamento de uma rede corporativa. Vale a pena investir algum tempo revisando os
componentes de uma infraestrutura do Active Directory.
OBSERVAO ONDE ENCONTRAR DETALHES DO ACTIVE DIRECTORY

Para mais detalhes sobre o Active Directory, consulte o Help do produto instalado com o
Windows Server 2008 e a home page do Windows Server 2008 R2, localizada em http://
technet.microsoft.com/en-us/windowsserver/bb310558.aspx.
Armazenamento de dados do Active Directory Como mencionado na seo ante-

rior, o AD DS armazena suas identidades no diretrio um armazenamento de dados
hospedado nos controladores de domnio. O diretrio um banco de dados de arquivo
nico chamado Ntds.dit e localizado por padro na pasta %SystemRoot%\Ntds em um
controlador de domnio. O banco de dados dividido em vrias parties, incluindo
esquema, configurao e contexto de nomenclatura de domnios que contm os dados
sobre objetos dentro de um domnio usurios, grupos e computadores, por exemplo.
Dependendo do ambiente, tambm pode haver parties de aplicativo e um conjunto
de atributos parcial (PAS, partial attribute set), tambm chamado de catlogo global.
Controladores de domnio Os controladores de domnio (DCs, domain control-
lers) so servidores que realizam a funo AD DS e mantm uma cpia do arma-
zenamento de dados do Active Directory com outros dados importantes para o do-
mnio. Como parte dessa funo, eles tambm executam o servio Kerberos Key
Distribution Center (KDC), que realiza a autenticao e outros servios do Active
Directory. O Captulo 10 detalha as funes executadas pelos DCs.
Domnio So necessrios um ou mais controladores de domnio para criar um
domnio no Active Directory. Um domnio uma unidade administrativa dentro da
qual certas capacidades e caractersticas so compartilhadas. Primeiro, todos os con-
troladores de domnio replicam a partio do armazenamento de dados do domnio,
a qual contm, entre outras coisas, os dados da identidade de usurios do domnio,
grupos e computadores. Como todos os DCs mantm o mesmo repositrio de identi-
dades, qualquer DC pode autenticar qualquer identidade em um domnio. Alm dis-
so, um domnio define os limites das diretivas administrativas, como as diretivas de
complexidade de senha e de bloqueio de conta. Essas diretivas configuradas em um
domnio afetam todas as contas no domnio e no afetam contas em outros domnios.
As modificaes podem ser feitas nos objetos no banco de dados do Active Directory
por qualquer controlador de domnio e sero replicadas a todos os outros controlado-
res de domnio. Portanto, nas redes em que a replicao de todos os dados entre os
controladores de domnio no pode ser suportada, talvez seja necessrio implementar
mais de um domnio para gerenciar a replicao dos subconjuntos de identidades. Voc
aprender mais sobre domnios no Captulo 12, Gerenciamento de mltiplos domnios
e florestas.
Floresta Uma floresta uma coleo de um ou mais domnios do Active Directory.
O primeiro domnio instalado em uma floresta chamado domnio raiz da floresta.
Uma floresta contm uma nica definio de configurao de rede e uma nica
instncia do esquema de diretrio.
Uma floresta uma instncia nica do diretrio nenhum dado replicado pelo
Active Directory fora dos limites da floresta. Consequentemente, a floresta define um
limite de segurana. O Captulo 12 explora o conceito de floresta em mais detalhes.
rvore O namespace de DNS dos domnios em uma floresta cria rvores dentro
da floresta. Se um domnio for um subdomnio de outro domnio, os dois domnios
sero considerados uma rvore. Por exemplo, se a floresta treyresearch.net conti-
ver dois domnios treyresearch.net e antarctica.treyresearch.net , esses domnios
constituiro uma parte contgua do namespace de DNS, formando assim uma r-
vore nica. Se, inversamente, os dois domnios forem treyresearch.net e proseware.
com, os quais no so contguos no namespace de DNS, a floresta ser considerada
como tendo duas rvores. As rvores so o resultado direto dos nomes de DNS es-
colhidos para os domnios na floresta.
A Figura 1-2 ilustra uma floresta do Active Directory para a Trey Research, que mantm
uma pequena operao em uma estao de campo na Antrtida. Como o link entre a
Antrtida e a sede caro, lento e inseguro, a Antrtida configurada como um domnio
separado. O nome de DNS da floresta treyresearch.net. O domnio Antrtida um do-
mnio filho no namespace de DNS, antarctica.treyresearch.net; portanto, considerado
um domnio filho na rvore de domnio.
treyresearch.net
antarctica.treyresearch.net
Figura 1-2 Uma floresta do Active Directory com dois domnios.
Nvel funcional A funcionalidade disponvel em um domnio ou floresta do Active

Directory depende do seu nvel funcional. O nvel funcional uma configurao do
AD DS que habilita recursos avanados do AD DS por todo o domnio ou por toda a
floresta. H seis nveis funcionais de domnio (nativo do Windows 2000, misto do
Windows 2000, Windows Server 2003, provisrio do Windows Server 2003, Win-
dows Server 2008 e Windows Server 2008 R2); e cinco nveis funcionais de floresta
(Windows Server 2000, Windows Server 2003, provisrio do Windows Server 2003,
Windows Server 2008 e Windows Server 2008 R2). medida que voc eleva o nvel
funcional de um domnio ou floresta, os recursos fornecidos pela verso do Win-
dows envolvida tornam-se disponveis para o AD DS. Por exemplo, quando o nvel
funcional de floresta elevado para o Windows Server 2008 R2, a capacidade de
habilitar a Lixeira do Active Directory torna-se disponvel. Com a Lixeira do Active
Directory, os objetos excludos do Active Directory so mantidos no estado em que
estavam antes da excluso. Isso permite fcil restaurao de objetos previamente

excludos, se necessrio. O importante a saber sobre os nveis funcionais que eles
determinam as verses do Windows autorizadas nos controladores de domnio.
Antes de elevar o nvel funcional de domnio para o Windows Server 2008, todos os
controladores de domnio devem estar rodando o Windows Server 2008. O Captulo
12 discute os nveis funcionais de domnio e floresta.
Unidades organizacionais O Active Directory um banco de dados hierrquico. Os
objetos no armazenamento de dados podem ser agrupados em contineres. Um tipo
de continer a classe de objeto chamada container. Podem-se ver os contineres pa-
dro, incluindo Users, Computers e Builtin, quando se abre o snap-in do Active Di-
rectory Users and Computers (Usurios e Computadores do Active Directory). Outro
tipo de continer a unidade organizacional (OU, organizational unit). As OUs, alm
de fornecerem um continer para objetos, tambm fornecem um escopo com o qual
gerenci-los. Isso ocorre porque as OUs podem ter objetos chamados Group Policy Ob-
jects (GPOs, objetos de Group Policy) vinculados a elas. As GPOs podem conter defini-
es de configurao que sero ento aplicadas automaticamente pelos usurios ou
computadores em uma OU. No Captulo 2, Administrao do Active Directory Domain
Services, voc aprender mais sobre OUs, e, no Captulo 6, voc explorar as GPOs.
Sites Quando voc considera a topologia de rede de uma empresa distribuda, cer-
tamente discutir os sites ou localizaes da rede fsica. Contudo, os sites do Active
Directory tm um significado bem especfico. Um site do Active Directory um objeto
que representa uma parte da empresa dentro da qual se espera uma conectividade
de rede de largura de banda alta consistente. Um site define um limite de uso de
replicao e servios. Os controladores de domnio dentro de um site replicam as
modificaes em questo de segundos. Contudo, as modificaes so replicadas entre
sites de maneira controlada sob a suposio de que as conexes entre os sites so
lentas, caras ou inseguras se comparadas s conexes dentro de um site. Alm dis-
so, os clientes preferem utilizar servios distribudos fornecidos pelos servidores nos
seus sites ou no site mais prximo. Por exemplo, quando um usurio efetua logon no
domnio, o cliente do Windows primeiro tenta se autenticar com um controlador de
domnio no site. O cliente far uma tentativa de se autenticar com um DC em outro
site somente se nenhum controlador de domnio estiver disponvel no site. O Captulo
11 detalha a configurao e a funcionalidade dos sites do Active Directory.
Cada um desses componentes discutido detalhadamente mais adiante neste kit de
treinamento. Neste ponto, se voc tiver pouco conhecimento do Active Directory, im-
portante que tenha uma noo bsica da terminologia, dos componentes e de seus re-
lacionamentos.
Preparao da criao de uma nova

floresta do Windows Server 2008
Antes de instalar a funo AD DS em um servidor e promov-la para atuar como um
controlador de domnio, planeje a infraestrutura do Active Directory. Algumas informa-
es necessrias para criar um controlador de domnio so:
O nome do domnio e o nome de DNS. Um domnio deve ter um nome de DNS ni-
co, por exemplo, contoso.com, bem como um nome curto, por exemplo, CONTOSO,
chamado de nome NetBIOS. O NetBIOS um protocolo de rede utilizado desde as
primeiras verses do Microsoft Windows NT e ainda especificado e utilizado para

compatibilidade com verses anteriores.
Se o domnio precisa suportar controladores de domnio que rodam verses ante-
riores do Windows. Ao criar uma nova floresta do Active Directory, voc configura o
nvel funcional. Se o domnio incluir apenas controladores de domnio do Windows
Server 2008 R2, voc poder configurar o nvel funcional apropriadamente para
tirar proveito dos recursos avanados introduzidos por essa verso do Windows.
Detalhes de como o DNS ser implementado para suportar o Active Directory.
uma prtica recomendada implementar o DNS para suas zonas de domnio Win-
dows utilizando o Windows DNS Service, como voc aprender no Captulo 9, In-
tegrao do Domain Name System ao AD DS; mas possvel suportar um domnio
do Windows em um servio de DNS de terceiros.
Configurao de IP para o controlador de domnio. Os controladores de domnio
exigem valores para endereos IP estticos e mscara de sub-rede. Alm disso, o
controlador de domnio deve ser configurado com um endereo de servidor de DNS
para realizar a resoluo de nomes. Se voc criar uma nova floresta e executar o
Windows DNS Service no controlador de domnio, poder configurar o endereo
DNS para que ele aponte para o endereo IP do prprio servidor. Depois que o DNS
instalado, o prprio servidor pode resolver os nomes DNS.
O nome de usurio e a senha de uma conta no grupo Administrators (Administra-
dores) do servidor. A conta deve ter uma senha e a senha no pode ser o campo
vazio.
A localizao em que o armazenamento de dados (incluindo Ntds.dit) e o volume
do sistema (SYSVOL) devem ser instalados. Por padro, esses armazenamentos so
criados em %SystemRoot%; por exemplo, C:\Windows, nas pastas NTDS e SYSVOL,
respectivamente. Ao criar um controlador de domnio, voc pode redirecionar esses
armazenamentos para outras unidades.
MAIS INFORMAES IMPLANTAO DO AD DS

Essa lista compreende as configuraes que voc ser solicitado a definir ao criar um con-
trolador de domnio. H vrias consideraes adicionais com relao implantao do
AD DS em um ambiente corporativo que devem ser examinadas. Consulte o Guia de Im-
plantao do AD DS em http://technet.microsoft.com/en-us/library/cc753963(WS.10).aspx
para mais informaes.
Adio da funo AD DS utilizando a interface do Windows

Depois de coletar as informaes dos pr-requisitos listados anteriormente, voc est
pronto para adicionar a funo AD DS. H vrias maneiras de realizar esse procedimen-
to. Nesta lio, voc aprender a criar um controlador de domnio utilizando a interface
do Windows. Na prxima lio, voc aprender a fazer o mesmo utilizando a linha de
comando.
O Windows Server 2008 fornece uma configurao baseada em funo, instalando ape-
nas os componentes e servios necessrios para as funes que um servidor executa.
Esse gerenciamento de servidor baseado em funo refletido no novo console admi-
nistrativo, Server Manager, mostrado na Figura 1-3. O Server Manager consolida as

informaes, as ferramentas e os recursos necessrios para suportar as funes de um
servidor.
Voc pode adicionar funes a um servidor utilizando o link Add Roles na home page
do Server Manager ou clicando com o boto direito do mouse no n Roles na rvore de
console e escolhendo Add Roles.
O Add Roles Wizard apresenta uma lista das funes disponveis para a instalao e o
orienta na instalao das funes selecionadas.
Figura 1-3 Server Manager.
Criao de um controlador de domnio

Depois de adicionar a funo AD DS, os arquivos exigidos para executar a funo so
instalados no servidor; porm, o servidor ainda no funciona como um controlador
de domnio. Posteriormente, voc precisa executar o Active Directory Domain Services
Installation Wizard, que pode ser iniciado utilizando-se o comando Dcpromo.exe para
configurar e inicializar o Active Directory.
PRTICA
O Exerccio 4, Instale uma nova floresta do Windows Server 2008 R2, no final desta lio,
discute como configurar o AD DS utilizando o Active Directory Domain Services Installation
Wizard.
Teste rpido
Voc quer utilizar um novo servidor rodando Windows Server 2008 R2 como um con-
trolador de domnio no seu domnio do Active Directory. Que comando voc usa para
iniciar a configurao do controlador de domnio?
Resposta
Dcpromo.exe
Prtica: Criao de uma floresta do Windows Server 2008 R2

Nesta prtica, voc criar a floresta do AD DS para a Contoso, Ltd. Essa floresta ser
utilizada em todos os exerccios deste kit de treinamento. Voc comear instalando o
Windows Server 2008 R2 e realizando as tarefas de configurao da ps-instalao. De-
pois, adicionar a funo AD DS e promover o servidor a um controlador de domnio na
floresta contoso.com utilizando o Active Directory Domain Services Installation Wizard.
Exerccio 1: Instale o Windows Server 2008 R2
Neste exerccio, voc instalar o Windows Server 2008 R2 em um computador ou m-
quina virtual.
1. Ligue o computador e insira o DVD de instalao do Windows Server 2008 R2.
Se estiver utilizando uma mquina virtual (VM, virtual machine), poder ter a op-
o de montar uma imagem ISO do DVD de instalao. Consulte a documentao da
seo Help da VM para orientao.
Se o disco rgido do sistema estiver vazio, o sistema dever inicializar a partir do
DVD. Se houver dados no disco, talvez seja solicitado que voc pressione uma tecla
para inicializar a partir do DVD.
Se o sistema no inicializar a partir do DVD ou oferecer um menu de inicializao,
acesse as configuraes da BIOS do computador e configure a ordem de inicializa-
o para que o sistema seja inicializado a partir do DVD.
O Install Windows Wizard aparece conforme a Figura 1-4.
2. Selecione idioma, configurao regional e layout do teclado apropriados ao seu
sistema e clique em Next.
3. Clique em Install Now.
A configurao iniciada, e uma lista de verses a serem instaladas mostrada
conforme a Figura 1-5.
4. Selecione Windows Server 2008 R2 Standard (Full Installation) e clique em Next.
5. Marque a caixa de seleo I Accept The License Terms e clique em Next.
6. Clique em Custom (Advanced).
7. Na pgina Where Do You Want To Install Windows, selecione a partio na qual
voc quer instalar o Windows Server 2008.
Se precisar criar, excluir, estender ou formatar as parties, ou se precisar carregar
um driver personalizado de armazenamento em massa para acessar o subsistema
de disco, clique em Driver Options (Advanced).
Figura 1-4 Install Windows Wizard.
Figura 1-5 Pgina Select the operating system you want to install.
8. Clique em Next.
A pgina Installing Windows aparece conforme a Figura 1-6. A janela informa o
progresso da instalao do Windows.
Nota: Se voc estiver instalando sobre uma verso existente do Windows, o insta-
lador emite um aviso neste ponto e solicita que voc continue.
A instalao do Windows Server 2008 R2 baseada em imagens. Portanto, a ins-
talao significativamente mais rpida do que as verses anteriores do Windows,
embora os sistemas operacionais sejam bem maiores do que as verses anteriores.
O computador reiniciar uma ou mais vezes durante a instalao.
Figura 1-6 Pgina Installing Windows.
Quando a instalao terminar, voc ser informado de que a senha do usurio pre-
cisa ser alterada antes de efetuar logon pela primeira vez.
9. Clique em OK.
10. Digite uma senha para a conta Administrator nas duas caixas New Password e Con-
firm Password e pressione Enter.
A senha deve ter pelo menos sete caracteres e deve ter no mnimo trs dos quatro
seguintes tipos de caractere:
Maisculas: A-Z
Minsculas: a-z
Numricos: 0-9
No alfanumricos: smbolos como $, #, @ e !
OBSERVAO NO ESQUEA ESSA SENHA

Sem ela, voc no ser capaz de efetuar logon no servidor para realizar os outros exerc-
cios neste kit de treinamento. Alternativamente, voc pode selecionar a opo Create A
Password Reset Disk para iniciar o assistente que cria um disco que pode ser usado para
recuperar a senha caso ela seja extraviada ou esquecida.
11. Clique em OK.

O desktop da conta Administrator aparece.
Exerccio 2: Realize a configurao de ps-instalao
Neste exerccio, voc realizar a configurao da ps-instalao do servidor para prepa-
rar o servidor com o nome e as configuraes de TCP/IP exigidos para os exerccios neste
kit de treinamento.
1. Espere at o desktop da conta Administrator aparecer.
A janela Initial Configuration Tasks (Tarefas de Configurao Inicial) aparece, con-
forme a Figura 1-7. Essa ferramenta projetada para facilitar a realizao das tare-
fas de melhor prtica da configurao da ps-instalao.
Figura 1-7 Janela Initial Configuration Tasks.

2. Na janela Initial Configuration Tasks, clique em Provide Computer Name And Do-
main.
3. Na janela System Properties na guia Computer Name, clique em Change.
4. Altere o texto na caixa Computer Name para SERVER01 e clique em OK.
5. Na caixa de dilogo Computer Name/Domain Changes, clique em OK.
6. Na caixa de dilogo System Properties, clique em Close.
Voc solicitado a reiniciar o computador para aplicar essas alteraes. No reinicie
o computador at que seja instrudo a faz-lo mais adiante neste exerccio.
7. Clique em Restart Later.
8. Clique em Configure Networking na janela Initial Configuration Tasks.
Os demais exerccios desta lio criam um domnio utilizando os endereos de IP no
intervalo 10.0.0.1110.0.0.20, com uma mscara de sub-rede de 255.255.255.0.
Se esses endereos forem utilizados no seu ambiente de produo e o servidor esti-
ver conectado ao seu ambiente de produo, voc tambm dever alterar os ende-
reos IP usados neste livro para que o domnio contoso.com que voc criar nestes
exerccios no entre em conflito com sua rede de produo.
9. Clique com o boto direito do mouse e depois clique em Properties.
10. Clique em Internet Protocol Version 4 (TCP/IPv4) e, depois, em Properties.
O Windows Server 2008 R2 tambm fornece suporte nativo ao Internet Protocol
Version 6 (TCP/IPv6).
11. Clique em Use The Following IP Address. Insira a configurao a seguir:
IP address: 10.0.0.11
Subnet mask: 255.255.255.0
Default gateway: 10.0.0.1
Preferred DNS server: 10.0.0.11
12. Clique em OK e, ento, em Close.
13. Feche a janela Network Connections.
14. Clique em Set Time Zone e configure o fuso horrio conforme o seu ambiente.
15. Se o servidor tiver uma conexo Internet, altamente recomendvel clicar em
Download And Install Updates para que voc possa atualizar o servidor com as
atualizaes de segurana mais recentes da Microsoft.
Observe os links Add Roles e Add Features na janela Initial Configuration Tasks.
No prximo exerccio, voc utilizar o Server Manager para adicionar funes e
recursos ao SERVER01.
Esses links so outra maneira de realizar as mesmas tarefas.
O comportamento padro da janela Initial Configuration Tasks aparecer a cada
vez que voc efetuar logon no servidor.
16. Marque a caixa de seleo Do Not Show This Window At Logon para que a janela
Initial Configuration Tasks no aparea da prxima vez que voc efetuar logon.
Se voc precisar abrir a janela Initial Configuration Tasks no futuro, execute o co-
mando Oobe.exe.
17. Clique em Close.
18. Quando for solicitado a reiniciar, clique em Yes.
OBSERVAO CRIE UM SNAPSHOT DA SUA

MQUINA VIRTUAL APS REINICIAR
Se voc estiver utilizando uma mquina virtual para fazer este exerccio e a mquina virtual
permitir criar snapshots de um ponto no tempo do estado da mquina, crie um snapshot
nesse momento. Essa instalao de linha de base do Windows Server 2008 R2 pode ser uti-
lizada para fazer os exerccios neste captulo, o que lhe permite testar vrios mtodos para
adicionar a funo AD DS.
Exerccio 3: Instale uma nova floresta do Windows Server 2008 R2 com a Interface
do Windows
Neste exerccio, voc adicionar a funo AD DS ao servidor que instalou e configurou
no Exerccio 1, Instale o Windows Server 2008 R2, e no Exerccio 2, Realize a confi-
gurao de ps-instalao.
1. Efetue logon no servidor com a conta Administrator e a senha usada no Exerc-
cio 1.
Se o Server Manager no abrir automaticamente, abra-o a partir do grupo de pro-
grama Administrative Tools.
2. Na seo Roles Summary da home page, clique em Add Roles. Voc pode precisar
rolar para ver a poro Roles Summary da janela.
3. Na primeira pgina do Add Roles Wizard, clique em Next.
4. Na pgina Select Server Roles, marque a caixa de seleo ao lado do Active Direc-
tory Domain Services.
5. Quando for solicitado a adicionar os recursos exigidos para o Active Directory Do-
main Services, clique em Add Required Features para prosseguir.
6. Na pgina Select Server Roles, clique em Next.
7. Na pgina Active Directory Domain Services, clique em Next.
8. Na pgina Confirm Installation Selections, clique em Install.
A pgina Installation Progress informa o status das tarefas da instalao.
9. Na pgina Installation Results, confirme se a instalao foi bem-sucedida e clique
em Close.
Na seo Roles Summary da home page do Server Manager, voc perceber uma
mensagem de erro indicada por um crculo vermelho com um x branco. Voc tam-
bm ver uma mensagem na seo Active Directory Domain Services da pgina.
Esses dois links o levaro pgina de funes Active Directory Domain Services do
Server Manager, mostrada na Figura 1-8. A mensagem exibida lembra que neces-
srio executar o Dcpromo.exe, o que voc far no prximo exerccio.
Figura 1-8 Pgina de funes Active Directory Domain Services no Server Manager.
Exerccio 4: Instale uma nova floresta do Windows Server 2008 R2

Neste exerccio, voc utilizar o Active Directory Domain Services Installation Wizard
(Dcpromo.exe) para criar uma nova floresta do Windows Server 2008.
1. Clique em Start e em Run, digite Dcpromo.exe e, ento, clique em OK.
OBSERVAO O DCPROMO ADICIONAR A FUNO AD DS SE NECESSRIO

No exerccio anterior, voc adicionou a funo AD DS utilizando o Server Manager. Mas, se
voc executar o Dcpromo.exe em um servidor em que a funo AD DS ainda no foi insta-
lada, o Dcpromo.exe instalar a funo automaticamente.
O Active Directory Domain Services Installation Wizard aparece. No Captulo 10,

voc aprender sobre os modos avanados desse assistente.
2. Clique em Next.
3. Na pgina Operating System Compatibility, revise o aviso sobre as configuraes de
segurana padro para os controladores de domnio do Windows Server 2008 R2 e
clique em Next.
4. Na pgina Choose a Deployment Configuration, escolha Create A New Domain In A
New Forest e clique em Next.
5. Na pgina Name The Forest Root Domain, digite contoso.com e clique em Next.
O sistema realiza uma verificao para assegurar que o nome de DNS e o nome
NetBIOS para a floresta ainda no esto em uso na rede.
6. Na pgina Set Forest Functional Level, escolha nvel funcional de floresta do Win-
dows Server 2008 R2 e clique em Next.
Cada um dos nveis funcionais descrito na caixa Details na pgina. Escolher o
nvel funcional de floresta do Windows Server 2008 R2 assegura que todos os do-
mnios na floresta operem no nvel funcional do domnio do Windows Server 2008
R2, o que habilita vrios novos recursos fornecidos pelo Windows Server 2008 R2.
Voc aprender mais sobre os nveis funcionais no Captulo 12.
A pgina Additional Domain Controller Options aparece. O DNS Server selecio-
nado por padro. O Active Directory Domain Services Installation Wizard cria uma
infraestrutura de DNS durante a instalao do AD DS. O primeiro controlador de do-
mnio em uma floresta deve ser um servidor de catlogo global (GC) e no pode ser
um controlador de domnio somente leitura (RODC, Read-only Domain Controller).
7. Clique em Next.
Um aviso aparece informando que uma delegao do servidor de DNS no pode
ser criada. No contexto deste exerccio, voc pode ignorar esse erro. As delegaes
dos domnios de DNS sero discutidas no Captulo 9. Clique em Yes para ignorar a
mensagem.
8. Na pgina Location For Database, Log Files, And SYSVOL, aceite as localizaes
padro para o arquivo de banco de dados, os arquivos de log de servio de diretrio
e os arquivos SYSVOL e clique em Next.
A melhor prtica em um ambiente de produo armazenar esses arquivos em trs
volumes separados que no contm aplicativos ou outros arquivos no relaciona-
dos ao AD DS. Esse design de melhores prticas aprimora o desempenho e aumenta
a eficincia do backup e da restaurao.
9. Na pgina Directory Services Restore Mode Administrator Password, digite uma
senha forte nas caixas Password and Confirmed Password. Clique em Next.
No se esquea da senha que voc atribuiu ao Directory Services Restore Mode
Administrator.
10. Na pgina Summary, revise suas selees.
Se alguma configurao estiver incorreta, clique em Back para fazer as modifica-
es.
11. Clique em Next e, em seguida, clique em Finish.
A configurao do AD DS inicia. O servidor precisar ser reinicializado quando o
processo estiver concludo.
Resumo da lio
Os servios do Active Directory compreendem uma soluo integrada para identida-
de e acesso nas redes corporativas.
O Active Directory Domain Services (AD DS) fornece o servio de diretrio e os com-
ponentes da autenticao da soluo IDA. Alm disso, o AD DS facilita o gerencia-
mento at de redes distribudas grandes e complexas.
Os sistemas do Windows Server 2008 so configurados com base nas funes

que eles executam. Voc pode adicionar a funo AD DS utilizando o Server Ma-
nager.
Utilize o Dcpromo.exe para configurar o AD DS e criar um controlador de domnio.
Reviso da lio
Responda s questes a seguir para testar seu conhecimento sobre a Lio 1, Instala-
o do Active Directory Domain Services. As perguntas tambm esto disponveis no
CD do livro (em ingls) se voc preferir revis-las na forma eletrnica.
OBSERVAO RESPOSTAS
As respostas a estas perguntas e as explicaes das respostas esto na seo Respostas
no final do livro.
1. O que exigido para criar um controlador de domnio com sucesso? (Cada resposta
correta apresenta parte da soluo. Escolha todas as que se aplicam.)
A. Um nome de domnio de DNS vlido
B. Um nome NetBIOS vlido
C. Um servidor DHCP para atribuir um endereo IP ao controlador de domnio
D. Um servidor de DNS
2. A Trey Research adquiriu recentemente a Litware, Inc. Por causa de questes regu-
lamentadoras relacionadas replicao de dados, ela decidiu configurar um do-
mnio filho na floresta de usurios e computadores da Litware. A floresta da Trey
Research atualmente contm apenas controladores de domnio do Windows Server
2008 R2. O novo domnio ser criado promovendo-se um controlador de domnio
do Windows Server 2008 R2, mas talvez voc precise utilizar os sistemas existentes
do Windows Server 2003 como controladores de domnio no domnio Litware. Que
configurao dos nveis funcionais ser apropriada?
A. Nvel funcional da floresta do Windows Server 2008 R2 e nvel funcional do
domnio do Windows Server 2008 R2 para o domnio Litware
B. Nvel funcional da floresta do Windows Server 2008 R2 e nvel funcional do
domnio do Windows Server 2003 para o domnio Litware
C. Nvel funcional da floresta do Windows Server 2003 e nvel funcional do dom-
nio do Windows Server 2008 R2 para o domnio Litware
D. Nvel funcional da floresta do Windows Server 2003 e nvel funcional do dom-
nio do Windows Server 2003 para o domnio Litware
Lio 2: Active Directory Domain

Services no Server Core
A segurana um fator importante a ser considerado ao implantar servidores com a
funo Active Directory Domain Services (AD DS) instalada. Muitas organizaes arma-
zenam dados sensveis no diretrio, como informaes pessoais e senhas de usurios,
que devem ser protegidos adequadamente. Embora a configurao baseada em funo
do Windows Server 2008 R2 reduza a superfcie de ataque de um servidor, instalando
apenas os componentes e servios exigidos pelas suas funes, possvel reduzir a
superfcie de ataque do servidor ainda mais instalando o Windows Server 2008 R2 com
a opo de instalao do Server Core. Trata-se de uma instalao mnima do Windows
Server que instala apenas os componentes mais crticos do sistema operacional bsico
exigidos para executar o Windows Server 2008 R2. A maioria dos elementos da interfa-
ce grfica do usurio (GUI, graphical user interface) Windows no instalada como par-
te da instalao do Server Core, limitando a capacidade de usurios mal-intencionados
de obter acesso ao servidor usando a interface familiar do Windows Explorer.
Uma instalao do Server Core pode ser administrada de outro servidor usando ferra-
mentas remotas da GUI, como o Server Manager, para as tarefas mais comuns. Contudo,
para gerenciar uma instalao do Server Core localmente, deve-se conhecer as ferra-
mentas de linha de comando necessrias para administrar um servidor Windows Server
2008 R2 e suas funes instaladas. Nesta lio, voc aprender mais sobre a opo de
instalao do Server Core. Voc tambm aprender a configurar um controlador de do-
mnio a partir da linha de comando em uma instalao do Server Core e a remover os
controladores de domnio a partir de um domnio.
Depois de ler esta lio, voc ser capaz de:

Identificar as vantagens e a funcionalidade da instalao do Server Core.
Instalar e configurar o Server Core.
Adicionar e remover o AD DS utilizando as ferramentas de linha de comando.
Tempo estimado da lio: 60 minutos
Introduo ao Server Core

A instalao do Server Core do Windows Server 2008 R2 uma instalao mnima do
Windows que consome aproximadamente 3 GB de espao de disco e menos de 256 MB de
memria e limita as funes e os recursos de servidor que podem ser adicionados, mas
pode aprimorar a segurana e a gerenciabilidade do servidor reduzindo a superfcie de
ataque. O nmero de servios e componentes em execuo em um dado momento qual-
quer limitado, assim h menos oportunidades para que um usurio mal-intencionado
comprometa a segurana do servidor. Devido ao nmero reduzido de funes e recursos
instalados, a instalao do Server Core tambm reduz a carga do gerenciamento do ser-
vidor, o que exige menos atualizaes e menos manuteno.
O Server Core suporta as seguintes funes de servidor:

Active Directory Certificate Services
Active Directory Domain Services
Active Directory Lightweight Directory Services (AD LDS)
BranchCache Hosted Cache
DNS Server
Dynamic Host Configuration Protocol (DHCP) Server
File Services
Hyper-V
Print and Media Services
Streaming Media Services
Web Server (IIS) (incluindo um subconjunto de ASP.NET)
O Server Core tambm suporta estes recursos opcionais:
Failover Clustering
Multipath I/O
Network Load Balancing
Quality of Service (QoS)
Removable Storage Management
Simple Network Management Protocol (SNMP)
Subsystem for UNIX-based applications
Telnet client
Windows Bitlocker Drive Encryption
Windows Internet Naming Service (WINS)
Windows-on-Windows 64-bit (WoW64)
Windows PowerShell
Windows Server Backup
Instalao do Server Core

Voc pode instalar o Server Core utilizando os mesmos passos apresentados no Exerc-
cio 1 da Lio 1.
Os seguintes pontos descrevem as principais diferenas entre uma instalao completa
do Windows Server 2008 R2 e a instalao do Server Core:
Voc deve selecionar a opo Server Core Installation ao executar o assistente de
instalao do Windows Server 2008 R2, conforme a Figura 1-9.
No final do processo de instalao, aparecer uma janela do prompt de comando

em vez da janela de GUI do Windows Server 2008 R2.
Figura 1-9 Pgina de seleo de sistemas operacionais do Install Windows Wizard.
Realizao das tarefas de configurao iniciais

Em um servidor executando uma instalao completa do Windows Server 2008 R2, a
janela Initial Configuration Tasks aparece para orient-lo na configurao da ps-insta-
lao do servidor. A instalao do Server Core no fornece qualquer GUI, portanto, voc
precisa concluir as tarefas utilizando as ferramentas de linha de comando. A Tabela
1-1 lista as tarefas de configurao comuns e os comandos que voc pode utilizar. Para
aprender mais sobre qualquer comando, abra um prompt de comando e digite o nome
do comando seguido por /?.
Tabela 1-1 Comandos da configurao do Server Core

Tarefa Comando
Alterar a senha de administrador Net user administrator *
Especificar uma configurao de IPv4 esttico Netsh interface ipv4
Ativar Windows Server Cscript c:windowssystem32slmgr.vbs -ato
Ingressar em um domnio Netdom
(Continua)
Tabela 1-1 Comandos da configurao do Server Core (Continuao)

Tarefa Comando
Instalar componentes opcionais (funes, servios Pacote ou recurso Ocsetup.exe
de funo ou recursos) Observe que os nomes de pacote ou recurso
diferenciam maisculas de minsculas. Listar
os pacotes e recursos vlidos digitando o co-
mando Ocsetup /?.
Exibir funes, componentes e recursos instalados Oclist.exe
Ativar Remote Desktop (rea de Trabalho Remota) Cscript c:\windows\system32\scregedit.wsf /
AR 0
Promover um controlador de domnio Dcpromo.exe
Configurar o DNS Dnscmd.exe
Configurar o DFS Dfscmd.exe
O comando Ocsetup.exe adiciona funes e recursos do Server Core suportados ao ser-

vidor. A exceo a esse regra o AD DS. No utilize o Ocsetup.exe para adicionar ou
remover o AD DS. Utilize, em vez disso, o Dcpromo.exe.
Configurao do Servidor
O Windows Server 2008 R2 inclui uma ferramenta de linha de comando baseada em
menu chamada Configurao do Servidor (Server Configuration) para tarefas admi-
nistrativas bsicas (ver Figura 1-10). A Configurao do Servidor oferece um conjunto
simples de comandos administrativos que podem ser executados digitando-se nmeros
de menu baseados em contexto mapeados para executveis de linha de comando, em
vez de digitar a sintaxe dos executveis de linha de comando manualmente. Embora a
Configurao do Servidor possa economizar tempo nas tarefas administrativas simples,
tarefas mais complicadas, como configurar o Active Directory Domain Services, ainda
precisam ser realizadas a partir da linha de comando.
Figura 1-10 Janela Server Configuration.

OBSERVAO EXECUO DA CONFIGURAO DO SERVIDOR

Para executar a Configurao do Servidor na instalao do Server Core do Windows Server
2008 R2, digite sconfig.exe no prompt de comando e depois pressione Enter.
Adio do AD DS a uma instalao do Server Core

Como no h um Active Directory Domain Services Installation Wizard no Server Core,
voc deve utilizar a linha de comando para executar o Dcpromo.exe com os parmetros
que configuram o AD DS. Para aprender sobre os parmetros do Dcpromo.exe, abra uma
linha de comando e digite dcpromo.exe /?. Cada cenrio de configurao tem informa-
es adicionais sobre uso. Por exemplo, digite dcpromo.exe /?:Promotion para obter
instrues de uso detalhadas para promover um controlador de domnio.
MAIS INFORMAES PARMETROS DA INSTALAO AUTNOMA

Uma listagem dos parmetros da instalao autnoma para AD DS est disponvel em
http://technet.microsoft.com/en-us/library/cc732086(WS.10).aspx.
Remoo de controladores de domnio

Ocasionalmente, talvez haja alguma razo para colocar um controlador de domnio
offline a fim de fazer uma manuteno extensa ou remov-lo de forma permanente.
importante que voc remova um controlador de domnio de maneira correta para que as
informaes sobre ele sejam removidas do Active Directory.
Para remover um controlador de domnio, utilize o comando Dcpromo.exe. Se voc exe-
cutar o comando em um controlador de domnio utilizando a interface do Windows, o
Active Directory Domain Services Installation Wizard guiar voc ao longo do processo.
Se quiser utilizar a linha de comando ou estiver removendo o AD DS de uma instalao
do Server Core, digite dcpromo.exe /?:Demotion para obter informaes de uso com
relao aos parmetros da operao de rebaixamento.
Ao rebaixar um controlador de domnio, voc deve fornecer uma senha que ser atri-
buda conta Administrator local do servidor depois do rebaixamento.
Prtica: Instalao de um controlador de domnio do Server Core

Nesta prtica, voc adicionar um controlador de domnio floresta contoso.com criada
na prtica da Lio 1. Para aumentar a segurana e reduzir a sobrecarga do gerencia-
mento do novo DC, voc promover um servidor que executa o Server Core a controlador
de domnio. Antes de fazer os exerccios desta prtica, voc precisa completar a prtica
da Lio 1.
Exerccio 1: Instale o Server Core
Neste exerccio, voc instalar o Server Core em um computador ou em uma mquina
virtual.
1. Insira o DVD de instalao do Windows Server 2008 R2.

Se estiver utilizando uma VM, talvez voc tenha a opo de montar uma imagem ISO
do DVD de instalao. Consulte a documentao da seo Help da VM para orientao.
2. Ligue o computador.
Se o disco rgido do sistema estiver vazio, o sistema dever inicializar a partir do
DVD. Se houver dados no disco, talvez seja solicitado que voc pressione uma tecla
para inicializar a partir do DVD.
Se o sistema no inicializar a partir do DVD ou oferecer um menu de inicializao,
acesse as configuraes da BIOS do computador e configure a ordem de inicializa-
o para que o sistema seja inicializado a partir do DVD.
3. Selecione idioma, configurao regional e layout do teclado apropriados ao seu
sistema e clique em Next.
4. Clique em Install Now.
5. Selecione Windows Server 2008 R2 Standard (Server Core Installation) e clique em
Next.
6. Marque a caixa de seleo I Accept The License Terms e clique em Next.
7. Clique em Custom (Advanced).
8. Na pgina Where Do You Want To Install Windows, selecione o disco no qual voc
quer instalar o Windows Server 2008 R2.
Se precisar criar, excluir, estender ou formatar as parties, ou se precisar carregar
um driver personalizado de armazenamento em massa para acessar o subsistema
de disco, clique em Driver Options (Advanced).
9. Clique em Next.
10. Quando a instalao terminar, voc ser informado de que a senha do Administra-
dor precisa ser alterada. Clique em OK.
11. Digite uma senha para a conta Administrator nas duas caixas New Password e Con-
firm Password e pressione Enter.
A senha deve ter pelo menos sete caracteres e deve ter no mnimo trs dos quatro
tipos de caractere seguintes:
A. Maisculas: AZ
B. Minsculas: az
C. Numricos: 09
D. No alfanumricos: smbolos como $, #, @ e !
OBSERVAO NO ESQUEA ESSA SENHA

Sem ela, voc no conseguir efetuar logon no servidor para realizar os outros exerccios
deste kit de treinamento.
12. Clique em OK.

O prompt de comando para a conta Administrator aparece.
Exerccio 2: Realize a configurao de ps-instalao no Server Core

Neste exerccio, voc realizar a configurao da ps-instalao do servidor para pre-
par-lo com o nome e as configuraes de TCP/IP exigidas para os exerccios restantes
nesta lio.
Nota: Assegure-se de que SERVER01 est sendo executado ao realizar estes exerccios.
SERVER02 acessa o banco de dados AD DS de SERVER01 ao longo do exerccio.
1. Renomeie o servidor digitando netdom renamecomputer %computername%/
newname: SERVER02. Voc ser solicitado a pressionar Y para confirmar a ope-
rao. Alternativamente, voc pode configurar o nome do computador digitando
sconfig na linha de comando e usando a ferramenta de configurao do servidor
baseada em menu. De qualquer forma, voc ser solicitado a reiniciar o seu com-
putador aps mudar o nome dele. No reinicie o computador at ser instrudo a
faz-lo mais adiante nesta prtica.
A ferramenta de configurao do servidor tambm pode ser usada para realizar os
passos 2 e 6 do exerccio.
2. Configure o endereo IPv4 do servidor digitando cada um dos comandos netsh a
seguir:
netsh interface ipv4 set address name="Local Area Connection"
source=static address=10.0.0.12 mask=255.255.255.0 gateway=10.0.0.1 1
netsh interface ipv4 set dnsserver name="Local Area Connection"

source=static address=10.0.0.11 primary
Se voc receber um erro, verifique se sua interface de rede se chama Local Area
Connection digitando netsh interface Show interface. Substitua a Local Area Con-
nection mostrada nos comandos acima pelo nome correto da sua conexo de rede.
3. Confirme a configurao IP que voc digitou anteriormente com o comando
ipconfig /all.
4. Reinicie digitando shutdown /r /t 0.
5. Efetue logon como Administrator.
6. Adicione o domnio digitando o comando netdom join %computername% /do-
main: contoso.com.
7. Reinicie digitando shutdown /r /t 0 e ento efetue logon novamente como Admi-
nistrator.
8. Exiba as funes de servidor instaladas digitando oclist | more.
Observe o identificador de pacote para a funo do servidor de DNS: DNS-Server-
-Core-Role.
9. Digite ocsetup e pressione Enter.
Surpresa! H uma pequena quantidade de GUI no Server Core.
10. Clique em OK para fechar a janela.
11. Digite ocsetup DNS-Server-Core-Role.
Os identificadores de pacote diferenciam maisculas de minsculas.
12. Digite oclist e confirme que a funo do servidor de DNS est instalada.
Exerccio 3: Crie um controlador de domnio com o Server Core

Neste exerccio, voc adicionar a funo AD DS instalao do Server Core utilizando
o comando Dcpromo.exe.
1. Digite dcpromo.exe /? e pressione Enter.
Revise as informaes sobre o uso.
2. Digite dcpromo.exe /?:Promotion e pressione Enter.
Revise as informaes sobre o uso.
3. Digite o comando a seguir para adicionar e configurar a funo AD DS:
dcpromo /unattend /replicaornewdomain:replica
/replicaDomainDNSName:contoso.com /ConfirmGC:Yes
/UserName:Administrator UserDomain:Contoso /Password:*
/safeModeAdminPassword:P@ssword
onde * a senha que voc usou no Exerccio 1.

4. Quando solicitado a inserir as credenciais de rede, digite a senha da conta Adminis-
trator no domnio contoso.com e clique em OK.
A funo AD DS ser instalada e configurada, e, ento, o servidor reiniciar.
Exerccio 4: Remova um controlador de domnio
Neste exerccio, voc remover o AD DS da instalao do Server Core.
1. Efetue logon na instalao do Server Core como Administrator.
2. Digite dcpromo /unattend /AdministratorPassword:senha onde senha uma
senha forte que se tornar a senha de administrador local do servidor depois que o
AD DS for removido. Pressione Enter.
Resumo da lio
O Windows Server 2008 R2 Server Core Installation, mais conhecido como Server
Core, uma instalao mnima do Windows que suporta um subconjunto de fun-
es e recursos de servidor.
O Server Core pode aprimorar a segurana e a gerenciabilidade dos servidores Win-
dows.
O comando Ocsetup.exe utilizado para adio e remoo de funes do Server
Core, exceto o AD DS, que adicionado utilizando-se o Dcpromo.exe.
Voc pode configurar completamente uma operao de promoo ou rebaixamento
utilizando o comando Dcpromo.exe /unattend com os parmetros apropriados para
a operao.
Reviso da lio
Responda s perguntas a seguir para testar seu conhecimento sobre as informaes da
Lio 2, Active Directory Domain Services no Server Core. As perguntas tambm esto
disponveis no CD do livro (em ingls) se voc preferir revis-las na forma eletrnica.
OBSERVAO RESPOSTAS
As respostas a estas perguntas e as explicaes das respostas esto na seo Respostas
no final do livro.
1. Voc est conectado como Administrator em SERVER02, um dos quatro controla-

dores de domnio no domnio contoso.com que executam o Server Core. Voc quer
rebaixar o controlador de domnio. Qual dos itens a seguir exigido?
A. A senha de Administrator local
B. As credenciais para um usurio no grupo Domain Admins
C. As credenciais para um usurio no grupo Domain Controllers
D. O endereo de um servidor de DNS
2. SERVER02 est executando o Server Core. Ele j est configurado com a funo AD
DS. Voc quer adicionar o Active Directory Federated Services (AD FS) ao servidor. O
que voc deve fazer?
A. Instalar a funo Active Directory Certificate Services.
B. Instalar a funo Active Directory Federated Services.
C. Instalar a funo AD Rights Management Services.
D. Reinstalar o servidor como Windows Server 2008 R2 (Full Installation).
Reviso do captulo
Para reforar as habilidades aprendidas neste captulo, voc pode:
Ler o resumo do captulo.
Ler a lista de termos-chave introduzidos neste captulo.
Completar o cenrio. Esse cenrio especifica uma situao do mundo real que en-
volve os tpicos deste captulo e solicita que voc crie uma soluo.
Fazer um teste.
Resumo do captulo
Os servios do Active Directory executam as funes de acesso de identidade e as
funes de gerenciamento para suportar a rede de uma organizao.
Um controlador de domnio hospeda o armazenamento de dados e servios correla-
cionados do Active Directory. Os controladores de domnio so criados adicionando-
-se a funo AD DS e ento configurando o AD DS utilizando o Dcpromo.exe.
O Server Core ajuda a reduzir os custos do gerenciamento e aumentar a segurana
dos controladores de domnio.
Termos-chave
Os seguintes termos foram introduzidos neste captulo. Voc sabe o que eles significam?
autenticao
catlogo global (ou conjunto de atributos parcial)
domnio
domnio raiz da floresta
esquema
floresta
Kerberos
nvel funcional
repositrio de identidades
site
Cenrio
No cenrio a seguir, voc aplicar o que aprendeu sobre a instalao do Server Core e
os servios de domnio do Active Directory relacionados. As respostas a estas perguntas
esto na seo Respostas no final deste livro.
Cenrio: Criao de uma floresta do Active Directory

Voc foi solicitado a criar uma nova floresta do Active Directory para um novo projeto
de pesquisa na Trey Research. Por causa da natureza sigilosa do projeto, voc precisa
assegurar que o diretrio seja o mais seguro possvel. Voc est pensando em utilizar
uma instalao do Server Core nos dois servidores que funcionaro como controladores
de domnio.
Voc pode criar uma floresta do Active Directory utilizando apenas os servidores do
Server Core?
Que comando voc utilizar para configurar os endereos IP estticos nos servidores?
Que comando voc utilizar para adicionar a funo de servidor de DNS?
Que comando voc utilizar para adicionar o Active Directory Domain Services?
Faa um teste
Os testes no CD deste livro (em ingls) oferecem muitas opes. Voc pode fazer um teste
sobre apenas um objetivo de exame ou sobre todo o contedo do exame de certificao
70-640. possvel configurar o teste para que ele simule a experincia de fazer um exa-
me de certificao ou configur-lo no modo de estudo (study mode) para examinar as
respostas corretas e explicaes depois de cada questo.
MAIS INFORMAES TESTES

Para mais detalhes sobre todas as opes de testes disponveis, consulte a seo Como
utilizar os testes, na Introduo deste livro.

A Mostra

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

A Mostra

Caricato da

Copyright:

Formati disponibili

Captulo 1

Objetivo do exame neste captulo:

Lies neste captulo:

Lio 1: Instalao do Active

Depois de ler esta lio, voc ser capaz de:

Active Directory, Identity and Access

mazenado e gerenciado por um controlador de domnio um servidor que desempenha

Autenticao Kerberos em um domnio do Active Directory

Controle de acesso A infraestrutura IDA responsvel por proteger informaes

e quando os usurios estiverem efetuando logon, alteraes na infraestrutura IDA e

Figura 1-1 Integrao das cinco tecnologias do Active Directory.

Essas cinco tecnologias compreendem uma soluo IDA completa:

componente servidores de arquivos, impressoras, grupos e outros usurios pes-

MAIS INFORMAES PROJETO DO AD DS

Active Directory Lightweight Directory Services (Aplicativos) Essencialmente,

es contidas nos documentos. E o AD FS suporta parcerias eliminando a necessidade

Alm da soluo IDA

Componentes de uma infraestrutura do Active Directory

OBSERVAO ONDE ENCONTRAR DETALHES DO ACTIVE DIRECTORY

Armazenamento de dados do Active Directory Como mencionado na seo ante-

Figura 1-2 Uma floresta do Active Directory com dois domnios.

Nvel funcional A funcionalidade disponvel em um domnio ou floresta do Active

estavam antes da excluso. Isso permite fcil restaurao de objetos previamente

Preparao da criao de uma nova

primeiras verses do Microsoft Windows NT e ainda especificado e utilizado para

MAIS INFORMAES IMPLANTAO DO AD DS

Adio da funo AD DS utilizando a interface do Windows

nistrativo, Server Manager, mostrado na Figura 1-3. O Server Manager consolida as

Figura 1-3 Server Manager.

Criao de um controlador de domnio

Prtica: Criao de uma floresta do Windows Server 2008 R2

Figura 1-4 Install Windows Wizard.

Figura 1-6 Pgina Installing Windows.

OBSERVAO NO ESQUEA ESSA SENHA

11. Clique em OK.

Figura 1-7 Janela Initial Configuration Tasks.

OBSERVAO CRIE UM SNAPSHOT DA SUA

Exerccio 4: Instale uma nova floresta do Windows Server 2008 R2

OBSERVAO O DCPROMO ADICIONAR A FUNO AD DS SE NECESSRIO

O Active Directory Domain Services Installation Wizard aparece. No Captulo 10,

Os sistemas do Windows Server 2008 so configurados com base nas funes

Lio 2: Active Directory Domain

Depois de ler esta lio, voc ser capaz de:

Introduo ao Server Core

O Server Core suporta as seguintes funes de servidor:

Instalao do Server Core

No final do processo de instalao, aparecer uma janela do prompt de comando

Figura 1-9 Pgina de seleo de sistemas operacionais do Install Windows Wizard.

Realizao das tarefas de configurao iniciais

Tabela 1-1 Comandos da configurao do Server Core

Tabela 1-1 Comandos da configurao do Server Core (Continuao)

O comando Ocsetup.exe adiciona funes e recursos do Server Core suportados ao ser-

Figura 1-10 Janela Server Configuration.

OBSERVAO EXECUO DA CONFIGURAO DO SERVIDOR

Adio do AD DS a uma instalao do Server Core

MAIS INFORMAES PARMETROS DA INSTALAO AUTNOMA

Remoo de controladores de domnio

Prtica: Instalao de um controlador de domnio do Server Core

1. Insira o DVD de instalao do Windows Server 2008 R2.

OBSERVAO NO ESQUEA ESSA SENHA

12. Clique em OK.

Exerccio 2: Realize a configurao de ps-instalao no Server Core

netsh interface ipv4 set dnsserver name="Local Area Connection"

Exerccio 3: Crie um controlador de domnio com o Server Core