Professional Documents
Culture Documents
6421B Configurao e Soluo de problemas de Windows Server 2008 Rede Infra-estrutura Pgina 2 ii Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As informaes contidas neste documento, incluindo URL e outras referncias a sites, esto sujeitas a alteraes sem aviso prvio. Salvo disposio em contrrio, os exemplos de empresas, orga nizaes, produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares e eventos aqui descritos so fictcios e nenhuma associao com qualquer empresa, organizao, produto, nome de domnio, endereo de correio e lectrnico, logtipo, pessoa, lugar ou evento aplicveis intencional ou deve ser inferida. Obedecer s leis de direitos autorais responsabilidade do
usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada em ou introduzida em um sistema de recuperao ou transmitida por qualquer fo rma ou por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou outro), ou para qualquer finalidade, sem a permisso e xpressa por escrito da Microsoft Corporation.
A Microsoft pode ter patentes, aplicaes patentes, marcas comerciais, di reitos autorais ou outra propriedade intelectual direitos relativos ao assunto tratado neste documento. Exceto conform e expressamente previsto em qualquer contrato de licena acordo da Microsoft, o fornecimento deste documento no confere a voc qua lquer licena para estas patentes, marcas comerciais, direitos autorais ou outra propriedade i ntelectual.
Os nomes dos fabricantes, produtos ou URLs so fornecidas apenas para fi ns informativos e Microsoft no faz representaes e garantias, quer expressas, implcitas ou l egais, em relao esses fabricantes ou ao uso dos produtos com qualquer tecnologia Micro soft. A incluso de um fabricante ou produto no implica o endosso da Microsoft do fabricante ou do produto. Links podem ser fornecidas a sites de terceiros. Esses sites no esto sob o co ntrole da Microsoft ea Microsoft no responsvel pelo contedo de qualquer site vinculado ou qualquer link con tido em um site vinculado, ou quaisquer alteraes ou atualizaes desses sites. A Microsoft no responsvel por webcasting ou qualq uer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo esses links para voc apenas como uma convenincia e incluso de qualquer link no implica o endosso da Microsoft do site ou os produtos contidos A
Microsoft e as marcas listadas no http://www.microsoft.com/about/lega l/en/us/IntellectualProperty / Marcas / PT-US.aspx so marcas registradas do grupo de empresas Micros oft. Todas as outras marcas so propriedade de seus respectivos proprietrios.
Programao em Visual Basic com o Microsoft Visual Studio 2010 iii Pgina 4 iv Programao em Visual Basic com o Microsoft Visual Studio 2010 Pgina 5 Programao em Visual Basic com o Microsoft Visual Studio 2010 v Pgina 6 vi Programao em Visual Basic com o Microsoft Visual Studio 2010 Pgina 7 Programao em Visual Basic com o Microsoft Visual Studio 2010 vii Pgina 8 viii Programao em Visual Basic com o Microsoft Visual Studio 2010 Pgina 9 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure ix Pgina 10 x Configurao e Soluo de Problemas do Windows Server Network Infrastructure 2008
Agradecimentos
Microsoft Learning gostaria de reconhecer e agradecer o seguinte para seu contributo para desenvolvimento deste ttulo. Seu esforo em vrias fases do desenvolvimento tem assegurado que voc tem uma boa experincia em sala de aula.
Andrew Warren (MCSE, MCITP e MCT) tem mais de 22 anos de experincia na indstria de TI, muitos dos
que foram gastos em escrever e ensinar. Ele esteve envolvido como o es pecialista no assunto (SME) para o curso 6430B para o Windows Server 2008 e do responsvel tcnico de uma srie de outros cursos. Ele tambm esteve envolvido em sesses TechNet no Microsoft Exchange Server 20 07. Com base no Reino Unido Reino, ele dirige sua prpria consultoria em TI treinamento e educao.
Byron Wright scio de uma empresa de consultoria, onde realiza consultor ia de rede, sistemas de computadores , implementao e treinamento tcnico. Byron tambm instrutor de sesses para a Escola de Asper Empresas na Universidade de Manitoba, sistemas de ensino de gesto de in formao e redes. Byron autor e co-autor de vrios livros em servidores Windows, Windows Vista e Exchange Server, incluindo o Kit de Recursos do Servidor Windows 2008 Active Di rectory.
Joe Davies um escritor principal da Informao Experincia do Windows Server (WS iX) grupo da Microsoft. Ele foi ensinar ou escrever sobre temas de rede do Windows desde 1992. Ele tem escrito montes de contedo para cursos de formao internas, documentao de produtos, white paper s, The Cable Guy coluna para TechNet e da TechNet Magazine, e oito livros da Microsoft Press, inclu indo o Windows Server 2008 Networking e Network Access Protection (NAP) Melhor do IPv6 Show-winni ng compreenso. Pgina 11 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure xi
Contedo
Pgina 12 xii Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Mdulo 6: Instalao, Configurao e Soluo de Problemas da Rede Poltica de servio de funo Servidor
Laboratrio: Aumentar a segurana para comunicao de rede 9-33 Pgina 13 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure xiii
Lab: Monitorando o Windows Server 2008 servidores de rede de infra-estr utura 14-26 Pgina 14 xiv Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Lab Mdulo 7: Implementando NAP em uma soluo de acesso remoto VPN L7-59
Esta seo fornece uma breve descrio do curso, pblico-alvo, pr-requisitos suge ridos e Claro objetivos.
Descrio do Curso
O objetivo deste curso de cinco dias para as habilidades e conheciment os necessrios para configurar e solucionar problemas um Windows Server 2008 e Windows Server 2008 R2 SP1 Network Infrastruc ture. Ele cobrir tecnologias de rede mais comumente usado com o Windows Server 2008 e W indows Server 2008 R2 Sp1 tais como DNS, DHCP, IPv4 e IPv6 endereamento de rede, servidor e D iretiva de Rede de Acesso Rede Proteo, configurar o acesso de rede seguro. Abrange tambm as tecnologias de tolerncia a falhas de armazenamento, rede Armazenamento e acesso remoto e roteamento, bem como muitas outras tec nologias relevantes.
Depois de concluir este curso, os alunos sero capazes de configurar e s olucionar problemas do Windows Server 2008 e Windows Server 2008 R2 infra-estruturas de rede Sp1.
Pblico-Alvo
Este curso ser de interesse e benefcio para os participantes com fundame ntos diferentes costas e aspiraes de carreira. Vai ser de interesse para os administradores de rede que atualmente so, ou sero, trabalhando com o Windows Server 2008 servidores. Tambm ser de interesse e benefcio para os especialistas do Active Directory tecnologia que aspiram a ser administradores de empresas (Tier 4 operaes do dia-a-dia da rede) ou administradores de servidor experientes que aspiram a ser administradores de empresas.
Armazenamento Administradores Area Network, que precisam entender esta informao para implantar ou ampliar sua Os gerentes de armazenamento atuais de infra-estrutura e Operaes que nec essitam desta informao para apoiar esforos de resoluo de problemas e decises de negcios tambm seriam beneficiad os com este curso.
Pr-requisitos Estudante
compreenso Intermedirio de sistemas operacionais Windows. Dever ter um in termedirio compreenso dos sistemas operacionais Windows Server, como o Window s Server 2003, Windows Server 2008 ou Windows Server 2008 R2 e sistemas de clientes do W indows operacionais, como Windows Vista ou Windows 7. Cliente conhecimento do sistema operacional e quivalentes s certificaes abaixo faria ser um benefcio.
ou
Conhecimento bsico de redes. Voc deve entender como funciona o TCP / IP e tambm ter um conhecimento bsico de endereamento, resoluo de nomes (Domain Name Sys tem [DNS] / Windows Internet Name Service [WINS]), mtodos de conexo (com fio, sem fio, rede virtual privada [VPN]), NET e + ou conhecimento equivalente. Pgina 16
A conscincia das melhores prticas de segurana. Voc deve compreender as per misses de sistema de arquivos, mtodos de autenticao, estao de trabalho, e mtodos de servidor endurecim ento, e assim por diante.
O nvel mnimo de conhecimento exigido nas acima de trs pontos, exclui ndo o cliente experincia, pode ser coberto por ter conhecimento equivalente aos 6420B curso MOC: Fundamentos do Windows Server 2008 ou com a obteno do Microsoft Technology Asso ciate (MTA) certificaes listados abaixo.
Objetivos do Curso
Implementar recursos de segurana para ajudar a melhorar a segurana do Wi ndows Server 2008 e Windows Sp1 Server 2008 R2.
Implementar recursos de segurana no Windows Server que ajudam a protege r as comunicaes de rede.
Recuperar dados no Windows Server 2008 e Windows Server 2008 R2 SP1 se rvidores.
Monitor do Windows Server 2008 e Windows Server 2008 R2 SP1 servios de infra-estrutura de rede. Pgina 17 Sobre este Curso xvii
Esboo do Curso
Mdulo 1: Planejamento e configurao de IPv4. Para implantar e configurar servios de r ede na sua organizao, importante que voc entenda os fundamentos que sustentam muitos desses se rvios. Este mdulo explica como implementar um esquema de endereamento IPv4, determinar os servios que de nome para implantar e solucionar problemas relacionados rede.
Mdulo 2: Configurando e solucionando problemas de DHCP. Dynamic Host Configuratio n Protocol (DHCP) desempenha um papel importante na infra-estrutura Windows Server 2008 R2. o principal meio de distribuio informaes de configurao importante rede para clientes de rede, e fornece configurao informaes para outras redes servios habilitados, incluindo o Windows Deployment Ser vices (WDS) e Rede Access Protection (NAP). Para dar suporte e solucionar problemas de uma red e baseado no Windows Server infra-estrutura, importante que voc entenda como implantar, configurar e solucion ar problemas do DHCP Funo do Servidor.
Mdulo 3: Configurando e solucionando problemas de DNS. O Domain Name System (DNS) o fundamento nome do servio no Windows Server 2008 R2. vital que voc compreende como implementa r, configurar, gerenciar e solucionar esse servio essencial.
Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP. IPv6 uma tecnologia que ajudar a garantir que a Internet pode apoiar uma base de usurios crescente eo nmero cada vez maior de di spositivos habilitados para IP. A verso atual do Internet Protocol 4 (IPv4) tem servido como o protocolo de Inter net bsica para quase
trinta anos. A sua robustez, escalabilidade e conjunto limitado de funcionalidad es agora contestada pela crescente necessidade de novos endereos IP, em grande parte devido ao rpido crescimento de novos dispositiv os de rede-aware.
Mdulo 5: Configurando e Resolvendo Problemas de Roteamento e Acesso Remoto. Para apoiar a sua organizao distribudos fora de trabalho, voc deve se familiarizar com as tecnologias que permi tem aos usurios remotos se conectem infra-estrutura de rede da organizao. Essas tecnologias incluem redes privadas vir tuais (VPNs) e DirectAccess. importante que voc entenda como configurar e proteger o acesso re moto clientes utilizando as polticas de rede. Este mdulo explora estas tecnologias de a cesso remoto.
Mdulo 6: Instalao, Configurao e Soluo de Problemas da Rede Poltica de Servio de Fun vidor. NPS fornece suporte para o Remote Authentication Dial-In User Service (RADIUS) proto colo, e pode ser configurado como um servidor RADIUS ou proxy. Alm disso, o NPS fornece funcionali dade que essencial para o implementao da Rede de Proteo de Acesso (NAP). Para apoiar os clientes remotos e imp lementar NAP, que importante que voc saiba como instalar, configurar e solucionar problemas de NPS.
Mdulo 7: Proteo de Acesso Implementao da Rede. Rede Access Protection (NAP) permite q ue voc criar personalizadas sade exigncia de polticas para validar a integridade do comput ador antes de permitir acesso ou comunicao. NAP tambm atualiza automaticamente os computadores compatveis para garant ir a conformidade contnua e pode limitar o acesso de computadores no compatveis a uma rede restrita at que eles se tornem compatveis.
Mdulo 8: aumentar a segurana para servidores Windows. A segurana uma considerao essen cial para redes com o Windows Server 2008. Nenhum sistema completamente segura, mas voc pode impl ementar vrios mtodos
para aumentar a segurana. Windows Firewall com Segurana Avanada uma das caracterstic as do Windows Server 2008, que utilizado para aumentar a segurana. Voc tambm pode usar Windows Server Up date Services para garantir que atualizaes de segurana aprovadas so aplicadas a servidores de uma forma atempada. Pgina 18 xviii sobre este curso
Mdulo 9: Aumentar a segurana para comunicao de rede. Internet Protocol Se curity (IPSec) um estrutura de padres abertos para proteger as comunicaes atravs de redes IP atravs de criptografia Servio de Segurana do Estado; IPsec suporta autenticao de nvel de rede de pares, de origem de dados de autenticao, dados integridade, confidencialidade de dados (criptografia) e proteo de repl ay. A implementao do Microsoft IPsec com base nas normas que o Internet Engineering Task Force (IETF) IPse c grupo de trabalho desenvolvidos. Para ajudar a aumentar a segurana para comunicaes de rede dentro de sua organ izao, importante que voc compreender como implementar, configurar e solucionar problemas de IP sec.
Mdulo 10: Configurando e solucionando problemas de arquivos de rede e servios de impresso. Servios de arquivos e de impresso so alguns dos servios de rede mais comumente implementada para usurios fin ais. Ao contrrio dos servios de infra-estrutura como DNS, arquivo e servios de impresso so altamente visveis para os usuri os finais. Voc precisa entender como configurar e solucionar problemas de arquivos e servios de impresso par a fornecer servios de alta qualidade para usurios finais. Alm disso de arquivo bsica e servios de impresso, ambas as EFS e BitLocker pode ser usado para aumentar a segurana dos arquivos que esto localizados em compartilhamentos de arquivos.
Mdulo 11: Otimizando o Acesso de dados para filiais. Muitas empresas m anter um grande nmero de
recursos de arquivos que precisam ser organizados e altamente disponvel para os usurios. Estes recursos de arquivos so muitas vezes armazenadas em servidores de e fornecidas aos usurios que esto distribud os geograficamente em vrios locais.
Nesta situao, voc precisa encontrar uma soluo eficiente para ajudar os usur ios a localizar os arquivos mais recentes rapidamente. Gerenciamento de mltiplos sites de dados muitas vezes apresenta desafi os adicionais, como limitar o trfego de rede mais retardar Wide Area Network (WAN) conexes, garantindo a disponibilidade dos arquivos durante a WAN ou servidor falhas, e backup de servidores de arquivos que esto localizados em pequ enos escritrios filiais.
Mdulo 12: Controle e Monitoramento de armazenamento de rede. Armazenam ento de rede para os usurios um recurso finito que deve ser gerenciado de forma adequada para garantir que ele fica d isponvel para todos os usurios. Se o armazenamento de rede no monitorados e gerenciados, pode tornar-se preenchido com dados irre levantes, como a msica pessoal ou filmes. Dados irrelevantes aumenta os custos de armazenamento em rede e em al guns casos pode evitar que dados teis de colocao sobre o armazenamento em rede. File Server Resource Manager (FSRM) po de ser usado para monitorar e gerenciar rede de armazenamento.
Mdulo 13: Recuperando Dados de Rede e Servidores. H uma variedade de ce nrios onde uma rede de dados ou um servidor que fornece servios de redes pode ser perdida. Cpias de sombra de volume pode ser usado para restaurar verses anteriores de arquivos quando um arquivo acidentalmente apagado s ou modificados em um computador que est executando Windows Server 2008. Backup do Windows Server pode ser usado para faze r backup e restaurar arquivos de dados ou um todo servidor.
Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura d e rede. Quando a falha de um sistema ou um
evento que afeta o desempenho do sistema ocorre, voc precisa ser capaz de reparar o problema ou resolver o emitir rapidamente e eficientemente. Com tantas variveis s no ambiente de rede moderna, e possibilidade
a capacidade de determinar a causa raiz rapidamente, muitas vezes depe nde de um desempenho eficaz metodologia de monitoramento e ferramentas.
Desempenho de monitoramento de ferramentas so usadas para identificar os componentes que requerem um ajuste adicional e Soluo de Problemas Ao identificar os componentes que requerem um ajuste adicional, voc pode melhorar a eficincia de seus servidores. Page:19 Sobre este Curso xix
Este curso, 6421B: Configurao e Soluo de problemas do Windows Server Network Infrast ructure 2008, tem um mapeamento direto de seu contedo para o domnio objetivo para o exame Microsoft 70-642: TS: Windows Servidor Network Infrastructure 2008, Configuring.
A tabela abaixo fornecido como um auxiliar de estudo que ir auxili-lo na preparao pa ra este exame e tomar a mostrar-lhe como o exame de objectivos e do contedo do curso se encaixam. O curso no se destina exclusivamente para apoiar o exame, mas fornece um maior conhecimento e habilida des para permitir que um mundo real
implementao da tecnologia em particular. O curso tambm ir conter contedo que no diret mente abordados no exame e ir utilizar a experincia nica e as habilidades do seu Microsof t qualificado Certified Trainer.
Observao: Os objetivos do exame esto disponveis on-line no seguinte URL: http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us~~ V # tab2.
Configurando Endereamento e Servios Configurar IPv4 e IPv6 Mdulo 1 Lies Ex 1/2 1/2/3
Configurar Dynamic Host Configuration Protocol Module (DHCP) 2 Lies Ex 1-5 1-6
Configurando a resoluo de nomes Configurar um Domain Name System (DNS) Mdulo servidor 3 Ex Lio 1/2 1/2
Configurar a resoluo de nome para computadores cliente Ex Lio Mdulo 3 3 1/2/5 / Pgina 20 xx sobre este curso
(continuao)
Labs contedo
Configurando acesso rede Configurar acesso remoto Mdulo Ex Lio 5 1/2 1/2/3/5
Configurando arquivo e servios de impresso Configurar um servidor de arquivos Mdulo 10 Lies Ex 1/2
1/2/3
Configurar o Sistema de Arquivos Distribudos (DFS) Mdulo Lab Lio 11 A Ex 2/3/4 1/2/3
Monitorando e Gerenciando uma Infra-estrutura de Rede Configure o Windows Server Update Services (WSUS) Mdulo servidor de 8 Lio 3 Ex. 2 configuraes
Mdulo 9 Lio 4
Importante participar deste curso sozinho no vai conseguir preparlo para passar qualquer associado exames de certificao. Pgina 21 Sobre este Curso xxi
A obteno deste curso no garante que voc vai passar automaticamente qualquer exame de certificao. Em Alm de participao em curso, voc tambm deve ter o seguinte:
Mnimo de 1-2 anos mundo real, hands-on experincia configurao e implementao do Windows Servidor de infra-estrutura de Rede 2008
H recursos adicionais de estudo e preparao, tais como testes prticos, disponveis para voc se preparar para este exame. Os detalhes destes esto disponveis na seguinte URL: http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us # Tab3
Voc deve se familiarizar com o perfil da audincia e pr-requisitos do exame para gar antir que est suficientemente preparado antes de fazer o exame de certificao. O perfil da audinci a completa para este exame disponvel na seguinte URL: http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us # tab1
A tabela de mapeamento exame / curso descrito acima precisa, no momento da impre sso, no entanto, sujeito a mudar a qualquer momento e Microsoft no se responsabiliza por eventuais discrepnci as entre a verso publicadas aqui e verso online disponvel e proporcionar nenhuma notificao de tais alt eraes. Pgina 22 xxii sobre este curso
Materiais do Curso
Curso Manual Um sucinto guia de aprendizagem em sala de aula que forne ce toda a tcnica crtica informaes em um formato ntido e bem focada, o que certo para um efet ivo em sala de aula-learning experincia.
Aulas: Guia-lo atravs dos objetivos de aprendizagem e fornecer os principais pontos que so fundamentais para o sucesso da experincia de aprendizagem em sala de aula.
Laboratrios: fornecer um mundo real, a plataforma de hands-on para voc aplicar o conhecimento e as habilidades aprendidas no mdulo.
Comentrios Mdulo e Takeaways: Oferecer maior on-the-job material de referncia para impulsionar conhecimento e reteno de habilidades.
Laboratrio Chaves Resposta: Fornecer passo-a-passo orientao da soluo d e laboratrio em suas pontas do dedo quando necessrio.
Contedo do Curso Companion no Site http://www.microsoft.com/learning/co mpanionmoc/: Pesquisvel, fcil de navegar de contedo digital com o prmio integrado on-li ne recursos destinados a complementar o Manual do Curso.
Mdulos: Incluir contedo companheiro, como perguntas e respostas, passos demonstrao detalhada e Outros links leitura, para cada lio. Alm disso, elas incluem pergunt as e respostas de reviso Lab Comentrios e Mdulo e sees Takeaways, que contm as perguntas de reviso e respostas, melhor prticas, problemas comuns e dicas para soluo de problemas com respos tas e questes do mundo real e cenrios com as respostas.
Recursos: Incluir bem-categorizados recursos adicionais que lhe do aces so imediato a mais up-to-date contedo premium no TechNet, MSDN e Microsoft Press .
Arquivos de alunos curso no site http://www.microsoft.com/learning/com panionmoc/: Inclui o Allfiles.exe, um arquivo executvel auto-extravel que contm todos os arqui vos necessrios para os laboratrios e manifestaes.
Avaliao do curso No final do curso, voc ter a oportunidade de completar um a linha avaliao para fornecer feedback sobre o curso, instalao, treinamento e instrutor.
Para fornecer comentrios ou feedback sobre o curso, envie um e-mai l para support@mscourseware.com. Para saber mais sobre o Programa d e Certificao Microsoft, envie um e-mail
Esta seo fornece as informaes para configurar o ambiente de sala de aula p ara suportar o negcio cenrio do curso.
Neste curso, voc vai usar o Microsoft Virtual Server 2005 R2 com SP1 pa ra executar os laboratrios. Neste curso, voc vai usar o Microsoft Hyper-V implantado em Windows Server 2008 para executar os laboratrios.
Importante: Antes de comear as mquinas virtuais pela primeira vez, voc deve criar um "StartingImage" snapshot para cada mquina virtual. No final de cada laboratrio, voc dev e fechar a mquina virtual e reverter para a "StartingImage" instantneo. Para reverter uma mquina v irtual para o "StartingImage" instantneo, execute os seguintes passos: 1. No Gerenciador de Hyper-V, no painel de Snapshots, clique com o boto "StartingImage" instantneo, e Clique em Apply. 2. Na caixa de dilogo Snapshot Apply, clique em Aplicar.
No final de cada laboratrio, voc deve fechar a mquina virtual e no deve salvar todas as alteraes, uma vez que vai ser utilizado novamente em mdulos subsequentes. Etapas para fazer isso esto includas nas medidas de laboratrio em cada module/
A tabela seguinte mostra a funo de cada mquina virtual utilizado neste cu rso:
6421B-LON-RTR Windows Server 2008 R2 servidor, membro do grupo de tr abalho com roteamento habilitado
6421B-Inet1 servidor Windows Server 2008 R2, membro do grupo de trab alho
Configuraco de Software
Windows 7
Arquivos do curso
H arquivos associados com os laboratrios deste curso. Os ficheiros de la boratrio esto localizados na pasta <install_folder> \ Labfiles \ LabXX nos computadores dos alunos.
Cada computador da sala de aula ter a mesma mquina virtual configurado d a mesma maneira. Pgina 24 xxiv sobre este curso
Para garantir uma experincia satisfatria estudante, Microsoft Learning r equer um equipamento mnimo configurao para instrutor e aluno em todos os computadores Microsoft Cer tified Partner para Learning Solutions (CPLS) salas de aula em que Official Microsoft Learning Produto cursos so ensinados. A Aprendizagem MS Hardware Nvel 6 definio necessria para os laboratrios deste curso, com RAM adicional especificado; especfica detalhes esto includos aqui abaixo:
4 GB de RAM
Unidade de DVD
Placa de rede
Mdulo 1
Contedo:
Lio 2: Viso Geral dos Servios de resoluo de nomes em IPv4 Infra-estrutura de rede 1-8
Pgina 26 1-2 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure
Para implantar e configurar servios de rede em sua organizao, importante q ue voc entenda o fundamentos que sustentam muitos desses servios. Neste mdulo, voc vai ver como implementar um IPv4 esquema de endereamento, determinar quais servios de nome para implantar e solucionar problemas relacionados rede dos problemas.
Objetivos
Configurar e solucionar problemas em uma rede IPv4. Pgina 27 Planejamento e configurao de IPv4 1-3
Para implementar corretamente os servios de rede, voc deve ter uma compre enso completa de endereamento IPv4. A
bom entendimento de endereamento IPv4 permite que voc faa decises adequadas sobre o configurao e colocao de servidores de rede dentro de sua infra-estrutura IP v4.
Objetivos
Escolha um esquema de endereamento IPv4 apropriado. Pgina 28 1-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Uma sub-rede o segmento fsico de uma rede que um roteador ou roteadores separados do resto da rede. Quando o provedor de servios Internet (ISP) atribui sua rede um interva lo de endereo, muitas vezes voc deve subdividir o intervalo para coincidir com disposio fsica de sua rede, em outras palavras, voc subdividir um grande rede em sub-redes lgicas.
Nota: A maioria das organizaes usam endereos IP privados dentro de suas redes, usando pblico aborda apenas para computadores voltados para a Internet.
Quando voc subdividir uma rede em sub-redes, voc cria uma identificao nica para cada sub-rede, que derivam
ID da rede principal. Para criar sub-redes, voc deve alocar alguns dos bits da identificao do host para o ID de rede, que permite criar redes mais.
Nme ro de Nmero de hosts por Primeira Classe octeto padro mscara de sub-rede de redes
Uma mscara de sub-rede especifica que parte de um endereo IPv4 o ID de r ede e qual o ID do host. Uma sub-rede mscara tem quatro octetos, semelhante a um endereo IPv4. Pgina 29 Planejamento e configurao de IPv4 1-5
Em simples redes IPv4, a mscara de sub-rede define octetos completos como parte d o ID de rede e host ID. A 255 representa um octeto que faz parte do ID de rede, e um 0 representa um octeto qu e parte do ID de acolhimento.
Em redes complexas, voc pode subdividir um octeto com alguns pedaos que so para a i dentificao de rede e alguns para a identificao do host. Classes de endereamento, ou Classless Inter-Domain Rout ing (CIDR), quando voc usa mais ou menos de um octeto todo para sub-redes. Este tipo de sub-redes utiliza uma notao d iferente, como mostrado na seguindo o exemplo.
172.16.16.1/255.255.240.0
O exemplo a seguir mostra a representao mais comum de IPv4 sem classes de endereame nto.
172.16.16.1/20
O / 20 representa quantos bits de sub-rede so na mscara, e esta notao sub-rede de co mprimento varivel Masking (VLSM), o que tambm conhecido como rede de notao de comprimento de prefixo.
so no-roteados para a Internet global. Uma organizao a necessidade de um espao de end ereo privado pode us-los endereos sem a aprovao de um ISP.
A 10.0.0.0-10.255.255.255 10.0.0.0 / 8
B 172.16.0.0/12 172.16.0.0-172.31.255.255
C 192.168.0.0/16 192.168.0.0-192.168.255.255
Leitura adicional
Para mais informaes, consulte a atribuio de endereos internet Privada: http://go.microsoft.com/fwlink/?LinkID=163880&clcid=0x409 Pgina 30 1-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Seleo de um regime adequado de endereamento para a sua organizao inclui as seguintes tarefas:
Calculando o nmero de sub-redes necessrias. Voc pode calcular o nmero de b its de sub-rede determinar quantos voc precisa na sua rede. Use a frmula 2 ^ n, ond e n o nmero de bits O resultado deve ser pelo menos o nmero de sub-redes que a re de exige.
Calcular o nmero de hosts em cada sub-rede. Voc pode calcular o nmero de bits de host que so exigido por meio da frmula 2 ^ n-2, onde n o nmero de bits.
Quando voc determinar esses fatores, voc deve ento executar o seguinte:
Calcule as identificaes de rede de sub-rede. Para determinar IDs de rede rapidamente, voc pode usar o bit de menor valor
na mscara de sub-rede. Por exemplo, se voc escolher a sub-rede da r ede 172.16.0.0 com a sub-rede mscara 255.255.0.0 usando 3 bits, isso significaria usar 255.255.2 24.0 como a mscara de sub-rede. O decimal 224 11.100.000 em binrio, eo conjunto de bits mais baixa p ara 1 tem um valor de 32, de modo que ser o incremento entre cada endereo de sub-rede.
Determine o intervalo de endereos de hosts em cada sub-rede. Voc pode ca lcular a distncia de cada sub-rede de hospedeiro aborda usando o seguinte processo: o primeiro hospedei ro um dgito binrio superior corrente ID de sub-rede eo ltimo host de dois dgitos binrios menor do que o I D de sub-rede que vem.
Pergunta: Qual o endereo de sub-rede para a mquina seguinte: 192.16 8.16.17/28? Pgina 31 Planejamento e configurao de IPv4 1-7
Pergunta: Contoso.com implementou IPv4 toda a organizao. actualmente implementao de uma nova sede. O escritrio vai acolher 5.000 computadores que so distribudos de forma bastante equilibrada por 10 andares desses escritrios. O endereo de classe serviria para este Remoto
Pergunta: Anlise do trfego de rede na sede existente mostra que o mximo nmero de hosts para cada sub-rede deve ser em torno de 100. Quantas sub-rede s so necessrias, e assumindo um endereo de rede para todo o site da 172.16.0.0/16, o que voc dev
Pergunta: Supondo que o endereo de rede para a sede 172.16.0.0/19, que masca ram que voc atribui a cada sub-rede?
Pergunta: Quantos hosts voc pode ter em cada sub-rede com base na sua mscara selecionada?
Pergunta: Supondo que voc implementar a mscara que voc determinou para cada su b-rede, o que seria o endereo de sub-rede primeiro ser?
Pergunta: Quais so os endereos de host primeira e ltima para a primeira sub-re de? Pgina 32 1-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Lio 2 Viso geral dos Servios de resoluo de nomes em uma rede IPv4 Infra-estrutura
A resoluo de nomes fornece a base para muitos servios de rede. Servios de r ede da Microsoft ter invocado dois servios de resoluo de nomes no passado. O Windows Intern et Name Service (WINS) fornece nomes de NetBIOS para mapeamentos de endereos IP e usado para su portar aplicaes legadas NetBIOS. O Domain Name System (DNS) tem sido amplamente adotado como padro para res oluo de nomes em redes IP.
Nesta lio, voc vai considerar que os servios de nome provvel que voc precisa para implantar em seu rede da organizao para apoiar os servios de rede que voc implementou.
Objetivos
Descrever DNS.
A resoluo de nomes o processo de determinar os endereos IP que est associado a nomes de computador. A resoluo de nomes uma parte essencial das redes de computadores porque mais fcil p ara os usurios a se lembrar nomes do que nmeros abstratos, como um endereo IPv4.
Hosts do Windows suportam dois tipos de nomes: um nome de host e um nome NetBIOS .
Em sistemas operacionais Windows, os aplicativos podem solicitar servios de rede atravs do Windows Sockets, Winsock Kernel, ou NetBIOS. Se um dos pedidos de aplicao de rede de servios atravs d e sockets do Windows ou Winsock Kernel, ele usa nomes de host. Se um aplicativo solicitar servios atravs d e NetBIOS, ele usa um NetBIOS name.
Nota NetBIOS um protocolo de gerenciamento de sesso utilizado em verses ante riores do Microsoft sistemas operacionais de rede. Windows 7 e Windows Server 2008 R2 fornece suporte para NetBIOS.
Muitas aplicaes atuais, incluindo os aplicativos de Internet, usar Sockets do Wind ows para acessar a rede servios. Novas aplicaes projetadas para Windows 7 e Windows Server 2008 R2 uso Wins ock Kernel. Aplicaes anteriores usam NetBIOS.
O Domain Name System (DNS) o padro da Microsoft para a resoluo de nomes de host par a endereos IP. Os aplicativos tambm usam o DNS para fazer o seguinte:
localizar controladores de domnio e servidores de catlogo global. Isto usado quand o voc est conectado ao Active Directory Domain Services (AD DS).
Resolver os endereos IP para nomes de host. Isso til quando um arquivo de log contm apenas o endereo de um host IP.
Coloque um servidor de correio para entrega de e-mail. Isto usado para a entrega da totalidade de e-mail da Internet. Pgina 34 1-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes de uma rede NetBIOS. Apoio mantida para o WINS para fornecer compatibilidade com verses ante riores.
Alm de usar WINS, voc pode resolver nomes NetBIOS usando o seguinte:
As mensagens de difuso. Mensagens de difuso no funcionam bem em redes gra ndes porque os roteadores fazer no propagar broadcasts.
Arquivo Lmhosts em todos os computadores. Usando um arquivo LMHOSTS pa ra a resoluo de nomes NetBIOS uma alta soluo de manuteno, porque voc deve manter o arquivo manualmente em tod os os computadores.
Quando um aplicativo especifica um nome de host e usa o Windows Socket s, TCP / IP usa o resolvedor DNS cache, DNS, e Link-Local Multicast Nome Resoluo (LLMNR) ao tentar resolv er o host name. O arquivo hosts carregado no cache de resoluo DNS. Se o NetBIOS so bre TCP / IP est ativado, o TCP / IP tambm
utiliza mtodos de resoluo de nomes NetBIOS quando a resoluo de rtulo nico, n mes de host no qualificados.
1.
2.
3.
4.
Windows resolve hospeda nomes que so rtulo nico, nomes no qualificados, fa zendo o seguinte
aes:
1.
Nota LLMNR permite que os hosts em uma rede para resolver os nom es um do outro computador sem usar um servidor de nome e sem depender de radiodifuso.
2. Convertendo o nome do host para um nome NetBIOS e verificar o cac he de nomes NetBIOS local.
3. .
4. Radiodifuso at trs nomes NetBIOS mensagens de solicitao de consulta na sub-rede que est diretamente anexado.
5.
Observao Voc pode exercer controle sobre a ordem exacta utilizada p ara resolver nomes. Por exemplo, se voc desativar o NetBIOS sobre TCP / IP, nenhum dos mtodos de resol uo de nomes NetBIOS so tentada. Alternativamente, voc pode modificar o tipo de n NetBIOS que resulta em uma mudana a ordem exata em que os mtodos de resoluo de nomes NetBIOS so tentad os. Pgina 35 Planejamento e configurao de IPv4 1-11
DNS o padro da Microsoft para a resoluo de nomes de host para endereos IP. DNS um se rvio que gerencia o resoluo de nomes FQDN baseados em host para endereos IP. TCP / IP identifica os com putadores de origem e destino por seus endereos IPv4 ou IPv6. No entanto, uma vez que fcil para os usurios se lem brar de nomes do que nmeros, nomes comuns ou amigveis e so atribudos ao endereo IP do computador. O tipo mais comum d
Quando os nomes DNS so resolvidas na internet, todo um sistema de computadores us ada em vez de apenas um nico servidor. Existem 13 servidores raiz na Internet que so responsveis obal pela gesto gl
estrutura de resoluo de DNS. Ao registrar um nome de domnio na Internet, voc est paga ndo para o privilgio de fazer parte deste sistema.
1. Uma estao de trabalho na internet consulta seu servidor DNS configurado para o endereo IP do www.microsoft.com.
2. Se o servidor DNS configurado no tem a informao, em seguida, ele consulta um s ervidor DNS raiz para a localizao dos servidores COM. DNS.
3. O servidor DNS local consulta um. Com servidor de DNS para a localizao dos se rvidores DNS do Microsoft.com.
4. O servidor DNS local consulta o Microsoft.com servidor DNS para o endereo IP de www.microsoft.com.
5.
Cache: Depois de um servidor DNS local resolve um nome de DNS, ele ir armazenar e m cache os resultados de cerca de 24
horas Solicitaes de resoluo subseqentes para o nome DNS so dadas as informaes ar enadas em cache.
Desvio: Um servidor DNS pode ser configurado para encaminhar solicitaes de DNS par a outro servidor DNS em vez de consultar servidores raiz. Por exemplo, os pedidos de todos os nomes da Internet podem ser enviadas para um servidor DNS servidor em um ISP. Pgina 36 1-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes de uma rede NetBIOS. Apoio mantida para o WINS para fornecer compatibilidade com verses ante riores.
WINS pode permanecer necessria na rede da sua organizao por vrias razes. A principal razo porque alguns aplicativos ainda usam NetBIOS para fornecer funcionalid ade para os usurios.
As verses mais antigas dos sistemas operacionais da Microsoft dependem de WINS para resoluo de nomes.
Algumas aplicaes, normalmente aqueles mais velhos, contam com nomes de N etBIOS.
Os usurios podem contar com o Ambiente de Rede ou Meus Locais de Rede r ecursos do navegador de rede.
Voc pode no estar usando o Windows Server 2008 para fornecer a infra-est rutura DNS.
Voc deve configurar um servidor WINS com um endereo IP esttico porque os computadores cliente entre em contato com as WINS servidor utilizando um endereo IP.
Alm de WINS, os nomes de NetBIOS podem ser resolvidos por mensagens de difuso ou atravs da implementao de LMHOSTS arquivos em todos os computadores. Mensagens de difuso no funcio nam bem em redes grandes porque os roteadores no passam transmisses. Usando um arquivo LMHOSTS para resoluo de nomes Net BIOS uma manuteno de alta soluo, porque o arquivo deve ser constantemente atualizado sobre os comp utadores. Pgina 37 Planejamento e configurao de IPv4 1-13
GlobalNames Zona
A Zona GlobalNames (GNZ) um novo recurso do Windows Server 2008. O GNZ fornece rt ulo nico resoluo de nomes para redes de grandes empresas que no implantam WINS. Algumas rede s podem exigir a capacidade de resolver estticos, registros globais com rtulo nico nomes WINS que
fornece atualmente. Estes rtulo nico nomes se referem a servidores bem conhecidos e amplamente utilizados co m endereos IP atribudos estaticamente. A GNZ criado manualmente e no est disponvel para registro dinmico de registros. GNZ de stina-se a ajudar clientes a migrar para o DNS para a resoluo de nome, a funo de servidor DNS no Windo ws Server 2008 suporta o recurso GNZ.
GNZ destina-se a auxiliar na migrao de WINS, no entanto, no um substituto para WINS . GNZ no se destina a apoiar a resoluo de nomes de rtulo nico de registros que so registrado s no WINS dinamicamente e aqueles que no so geridos por administradores de TI em geral. Supo rte para estes dinamicamente registros registrados no escalvel, especialmente para grandes clientes com mltiplos domnios e / ou florestas.
A implantao GNZ recomendada usando um AD DS zona integrada, com o nome GlobalNames , que distribudos globalmente.
Em vez de usar o GNZ, voc pode optar por configurar a integrao do DNS e WINS. Faa is so por meio da configurao as propriedades da zona DNS para executar WINS-lookups para NetBIOS compatveis co m nomes. A vantagem deste abordagem que voc pode configurar os computadores clientes para usar somente um s ervio nico nome, DNS, e ainda ser capaz de resolver NetBIOS compatveis com nomes.
(Melhor Prtica)
Se a sua organizao depende fortemente de aplicaes NetBIOS, continuar a usar o WINS. Se voc planeja migrar do WINS para DNS, WINS implementar a integrao em suas zonas DNS. Quando desativada a maioria das aplicaes de NetBIOS, ou s tem alguns aplicativos NetBIOS, use o GNZ p ara gerenciar
estticos, nomes de rtulo nico. Pgina 38 1-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Muitas vezes, os problemas com os servios de rede originou com a configu rao de rede subjacente. Por conseqncia, voc deve ser capaz de configurar e solucionar problemas fundamentais IPv 4 IPv4 problemas relacionados rede.
Objetivos
Configurar IPv4 manualmente para proporcionar uma configurao esttico para um servidor.
Configurar um servidor para que ele obtm uma configurao IPv4 automaticamen te.
Desenvolver metodologia de resoluo de problemas para ajudar a resolver pr oblemas fundamentais IPv4.
Voc pode configurar configurao IPv4 esttico manualmente para cada um dos computadore s da sua rede. IPv4 configurao inclui o seguinte:
endereo IPv4
Mscara de sub-
Gateway padro
Servidor DNS
Configurao esttica requer que voc visitar cada computador e entrada a configurao IPv4. Este mtodo de gerenciamento do computador demorado se sua rede tem mais de 20 usurios. Alm di sso, o fazendo um grande nmero de configuraes manuais aumenta o risco de erros.
H momentos em que a atribuio de uma configurao IPv4 esttico recomendado, por exemplo, um nome de servidor DNS ou o WINS deve ter uma configurao IPv4 esttico para permitir resolvedores clien te para localiz-lo.
Alm disso, os servidores voltados para a Internet poderia ter atribudo estaticamen te endereos IPv4, desde a sua organizao de um ISP ou fornecedor de telecomunicaes. Por exemplo, para implementar o DirectAccess, o Internet enfrentando servidor DirectAccess deve ter dois consecutivos endereos IPv4 pblicos .
Use o seguinte procedimento para configurar o Windows com uma configurao IPv4 atri budo manualmente:
1. Abra o Centro de Rede e Compartilhamento e, em seguida, selecione as config uraes do adaptador de Mudana.
2.
3. Clique duas vezes em Internet Protocol Version 4 (TCP/IPv4) e depois entrar com a configurao apropriada.
Alternativamente, voc pode usar a ferramenta de linha de comando netsh.exe. Por e xemplo, o comando seguinte configura a interface chamada Conexo de Rede Local com o endereo IP esttico 172.16. 16.3, a sub-rede mscara de rede 255.255.255.0 e um gateway padro de 172.16.16.1. Pgina 40 1-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Netsh interface ipv4 nome, endereo set = "Conexo Local" source = stati c addr = 172.16.16.3 mscara = 255.255.255.0 Gateway = 172.16.16.1 Pgina 41 Planejamento e configurao de IPv4 1-17
DHCP para IPv4 permite que voc atribua automticas IPv4 configuraes para um grande nme ro de computadores sem ter que atribuir a cada um individualmente. O servio DHCP recebe pedidos de c onfigurao IPv4 a partir de computadores que voc configura para obter um endereo IPv4 automaticame nte. Ele tambm atribui IPv4 adicionais
definies de escopos que voc definir para cada uma das sub-redes da sua rede. O serv io DHCP identifica o sub-rede a partir do qual se originou a solicitao e atribui a configurao IP do mbito relevante.
DHCP ajuda a simplificar o processo de configurao de IP, mas voc deve estar ciente que se voc usar o DHCP para atribuir IPv4 informaes eo servio crtico de negcios, voc deve fazer o seguinte:
Incluir a resilincia em seu projeto de servio de DHCP para que a falha de um nico s ervidor no impede o servio de funcionamento.
Configurar os escopos no servidor DHCP com cuidado. Se voc cometer um erro, ele p ode afetar todo o rede e impedir a comunicao.
Se voc usar um laptop para se conectar a vrias redes, como no trabalho e em casa, cada rede pode requerem uma configurao IP diferente. O Windows suporta o uso de APIPA e um endereo IP esttico alternativo para esta situao.
Quando voc configurar computadores com Windows para obter um endereo IPv4 de DHCP, use o alternativo Guia de configurao para controlar o comportamento se um servidor DHCP no est disponve l. Por padro, o Windows usa APIPA para atribuir-se um endereo IP automaticamente a partir da faixa de endereos 169.254.0.0 a 169.254.255.255, mas com nenhum gateway padro ou servidor de DNS, o que permite uma funcionalidade limitada.
APIPA til para soluo de problemas de DHCP, se o computador tem um endereo da faixa A PIPA, uma indicao de que o computador no pode se comunicar com um servidor DHCP.
Pgina 42 1-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Windows Server 2008 inclui uma srie de utilitrios que ajudam a diagnosti car problemas de rede.
IPConfig
IPConfig exibe a configurao atual da rede TCP / IP. Alm disso, voc pode us ar para atualizar IPConfig Configuraes de DHCP e DNS. A tabela a seguir descreve as opes de linha de comando para Ipconfig.exe.
Finalidade comando
Ping
Ping pode verificar IP de nvel de conectividade com outro computador TC P / IP. Ping envia mensagens de controle da Internet Protocol (ICMP) echo mensagens de solicitao e exibe o recebimento de men
sagens de resposta de eco correspondente. Ping o comando TCP / IP primrio usado para solucionar problemas de cone ctividade, no entanto, firewalls podem bloquear as mensagens ICMP.
Tracert
Tracert determina o caminho levado a um computador de destino atravs do envio de uma srie de solicitaes de eco ICMP. O caminho exibido a lista de interfaces do roteador entre uma origem e um destino. Esta ferramenta tambm determina que roteador falhou e que a latncia, ou velocidade, . Estes re sultados podem no ser preciso se o roteador est ocupado desde os pacotes ICMP so atribudos a uma baixa prioridade pelo roteador. Pgina 43 Planejamento e configurao de IPv4 1-19
Pathping
Pathping traa uma rota atravs da rede de uma maneira semelhante Tracert. No entant o, Pathping fornece estatsticas mais detalhadas sobre as etapas individuais ou lpulo, atravs da rede. P athping pode fornecer maior detalhe porque ele envia 100 pacotes para cada roteador, o que lhe permite estabelecer tendncias.
NSlookup
NSlookup exibe informaes que voc pode usar para diagnosticar a infra-estrutura de D NS. Voc pode usar NSlookup para confirmar a conexo para o servidor de DNS e que os registros necessr ios existem.
NBTSTAT
Nbstat uma linha de comando de resoluo de nome NetBIOS e uma ferramenta de soluo de problemas. Esta ferramenta permite que voc determinar os nomes de NetBIOS no cache de nomes NetBIOS, e limpar o cache de no mes NetBIOS.
Telnet
Voc pode instalar o recurso o cliente Telnet e us-lo para verificar se a porta do servidor est escutando. Por exemplo, Telnet.exe tentativas 10.10.0.10:25~~HEAD=NNS para abrir um dilogo com o servidor de destino, 10.10.0.10, na porta 25, SMTP. Se a porta est ativa e ouvir, ele deve retornar uma mensagem para o cliente Telnet.
Netstat
Netstat uma ferramenta de linha de comando que permite visualizar as conexes de r ede e estatsticas.
Use Diagnstico de Rede do Windows para diagnosticar e corrigir problemas de rede. No caso de uma letra Janelas problema de rede do servidor, a Diagnose Connection opo ajuda a diagnostic ar problemas e reparar o problema. Uma descrio possvel do problema e um remdio potencial so apresent ados. O soluo pode precisar de interveno manual do usurio.
Visualizador de Eventos
Os logs de eventos so arquivos que registram eventos significativos em um computa dor, tais como quando um processo encontra um
erro. Conflitos de IP ser refletido no registro do sistema e pode impedir que os servios sejam iniciados. Quando estes eventos ocorrem, o Windows registra o evento em um log de eventos apropriado. Vo c pode usar o Visualizador de Eventos para ler o log. Quando voc solucionar erros no servidor Windows, visualizar os eventos nos logs de eventos para determinar a causa do problema. Pgina 44 1-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Se voc tiver problemas de conectividade de rede enquanto estiver usando o Windows Server, use Rede Janela Diagnstico para iniciar o processo de soluo de problemas. Se o Diagnstico de Rede do Windows no pode resolver o problema, siga um processo de soluo de problemas que utiliza as ferramen tas Servidor de Windows disponveis e consiste em os seguintes passos:
1.
2.
3. ma remoto.
4. stemas.
5.
6.
Quando o Windows Server encontra um problema de conexo de rede, use o D iagnstico de Rede do Windows para realizar procedimentos de diagnstico. Windows Network Diagnostics anali sa o problema e, se possvel, apresenta uma soluo ou uma lista de possveis causas.
Windows Network Diagnostics seja concluda a soluo automaticamente ou exig e que o usurio executar as etapas para resolver o problema. Estas etapas podem exigir que o usurio completar vrias alteraes de configurao para o computador. Em muitos casos, essa capacidade pode resolver problemas de rede sem que o usurio necessita de suporte adicional.
Se o Diagnstico de Rede do Windows no pode corrigir o problema, voc pode precisar usar diagnstico adicional ferramentas. Pgina 45 Planejamento e configurao de IPv4 1-21
Voc pode usar IPConfig com a opo / all para exibir a configurao IP do computador. Est ude o configurao com cuidado e lembre-se o seguinte:
Se a mscara de sub-rede estiver incorreta, o computador possui um ID de rede inco rreta, portanto, da transmisso, falhar, especialmente a sub-redes remotas.
Se o gateway padro est incorreto ou faltando, o computador no pode transmitir dados com controle remoto sub-redes.
Se o servidor DNS est incorreto ou faltando, o computador pode no ser capaz de res olver nomes e comunicao pode falhar.
O utilitrio Ping (ou Pathping) confirma uma comunicao bidireccional entre dois comp utadores. Isto significa que Se o utilitrio Ping falhar, a configurao do computador local no pode ser a causa do problema. Use Ping para assegurar a transmisso atravs de um processo lgico, tais como os seguintes:
1.
2.
3.
4.
Se voc com sucesso Ping o endereo IP, mas no o nome, a resoluo de nomes est falhando.
Se voc com sucesso ping o nome do computador, mas a resposta no resolve o nome FQD
N, resoluo no foi utilizado DNS. Isto significa um processo tal como transmisses o u WINS tem sido utilizado para resolver o nome e as aplicaes que necessitam de DNS pode falhar.
"A solicitao expirou" indica que as mensagens ICMP foram enviados, mas um ou mais computadores ou roteadores ao longo do caminho, incluindo a origem eo desti no, no esto configurados para encaminhar as mensagens corretamente.
"Host inacessvel Destino" indica que o sistema no pode encontrar uma rota em sua t abela de roteamento local para o sistema de destino, e, portanto, no sabe quando a transmitir o pacote para o prximo hop.
O trfego ICMP usado pelo ping pode ser bloqueada por um firewall na rede ou em um computador Windows.
Pode usar Tracert para identificar cada salto entre a fonte e sistemas de destin o. Se a comunicao falhar, usar Tracert para identificar quantos saltos so bem sucedidos e em que si stema de comunicao hop falhar. Pgina 46 1-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As principais ferramentas para resoluo de problemas o nome do host so Ipc onfig.exe e NSlookup.exe. Quando solucionar problemas de resoluo de nomes, voc deve entender quais os mtodo s de resoluo de nomes do computador
usando, e em que ordem o computador utiliza-los. Certifique-se de limp ar o cache do resolvedor DNS entre tentativas de resoluo. Se voc no pode se conectar a um host remoto e suspe itar de um problema de resoluo de nomes, solucionar problemas de resoluo de nomes como segue:
1. Abra um prompt de comando elevado, e, em seguida, limpar o cache do resolvedor DNS, digitando o seguinte .
Ipconfig / flushdns
2. Tente fazer o ping do host remoto, o seu endereo IP. Isso ajuda a identificar se o problema est relacionado resoluo de nomes. Se o ping tiver xito com o endereo IP, mas no pelo n ome do host, ento o problema est relacionado resoluo de nome.
3. Tentativa de ping no host remoto ao seu nome. Para maior preciso, use o FQDN com um ponto direita. Por exemplo, digite o seguinte comando no prompt de comando:
Ping nyc-dc1.contoso.com.
4. Se o ping tiver xito, ento o problema no provavelmente relacionada r esoluo de nome. Se o ping vencida, editar o C: \ windows \ system32 \ drivers \ etc \ hosts de arquivo de texto usando uma instncia elevada de Notepad.exe, e adicionar a entrada apropriada para o fim do arqui vo. Por exemplo, adicione esta linha e salvar O arquivo
10.10.0.10nyc-dc1.contoso.com
5.
nomes deve agora ser bem sucedido. Verifique se o nome resolvido corretamente, examinando o cache de resoluo DNS, use o seguinte comando em um prompt de comando:
Ipconfig / displaydns
6. Remova a entrada que voc adicionou o arquivo hosts, e depois limpa r o cache do resolvedor DNS mais uma vez.
7. No prompt de comando, digite o seguinte comando e, em seguida, ex aminar o contedo do arquivo filename.txt para identificar o estgio falhou na resoluo de nomes:
Voc deve entender como interpretar a sada para que voc possa identificar se a resoluo de nomes problema est com a configurao do computador cliente, o servidor de nome, ou a configurao de registros dentro do banco de dados zona nome do servidor. Pgina 47 Planejamento e configurao de IPv4 1-23
Network Monitor um analisador de pacotes que permite capturar e analisar pacotes de rede na rede qual o computador est conectado.
Captura de pacotes uma tcnica de soluo de problemas avanada, e ajuda voc a identifica r mais incomum
Voc pode baixar o Monitor de rede a partir do site de download da Microsoft e ins tal-lo em qualquer um Estao de trabalho Windows que est executando o Windows 7, ou Windows Server.
Uma vez instalado, o Monitor de rede liga-se os adaptadores de rede locais. Quan do voc iniciar o Monitor de rede, voc pode ver capturas existentes ou ento comear uma nova captura.
Depois de ter capturado os pacotes de rede, voc deve ser capaz de interpretar o q ue est acontecendo, e se o comportamento o esperado ou no. Para ajud-lo, o Monitor de rede mostra os pacote s em uma resumida lista no painel Resumo Frame.
Horrio e data: isto permite-lhe determinar a ordem em que os pacotes foram transm itidos.
Origem e destino: esta fornece a fonte eo destino endereos IP de modo que voc pode determinar quais computadores esto envolvidos no dilogo.
Nome do Protocolo: o protocolo de nvel mais alto que o Monitor de rede pode ident ificar est listado. Por exemplo, Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP) , Transmission Control Protocol (TCP), Server Message Block (SMB), e outros. Conhecendo o protocol o de alto nvel permite que voc para identificar quais servios pode estar experimentando ou causando o probl ema que voc est
Soluo de Problemas Pgina 48 1-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando voc seleciona uma moldura do painel de resumo, o quadro Detalhes atualizaes painel com o contedo do que quadro especfico. Voc pode percorrer os detalhes do quadro, de examinar o contedo de cada elemento como voc Prosseguir
Observao Lembre-se que cada camada na arquitetura de rede, a parti r da aplicao de para baixo, encapsula os seus dados no recipiente da camada infe rior. Em outras palavras, o ICMP: Mensagem de solicitao de eco encapsulado em um pacote IPv4, que po r sua vez, encapsulado em um quadro Ethernet.
Quando voc recolheu uma grande quantidade de dados, pode ser difcil dete rminar quais quadros so relevantes para o seu problema especfico. Voc pode usar a filtragem para mostrar apenas as molduras de interesse. Utilizar a Mostrar painel de filtro para carregar padro ou para criar filtros pers onalizados.
Por exemplo, se voc quiser exibir os quadros que se originam de um ende reo IP especfico, use o seguinte procedimento de triturao.
2. Aponte para Filtros de padro, clique em Endereos e clique em endereo s IPv4. As cargas normais de filtro na caixa de texto.
3. Percorra o texto e localize o IPv4.Endereo == 192.168.0.100 linha. Edite o endereo IPv4 para coincidir com o endereo que voc est interessado polegadas
4.
5.
Voc pode usar filtros padro para filtrar em uma variedade de propriedade s, incluindo o seguinte:
Endereos
DNS
NetBIOS
SMB
TCP
O trfego de autenticao
A resoluo de nomes
Observao Quando voc aplica um filtro depois de ter aplicado outra, os dois so cumulativos. Para aplicar um filtro novo no lugar de um filtro existente, cli que em Limpar texto antes de carregar e aplicar o novo filtro. Pgina 49
Filtrar o trfego.
Guarde os dados capturados. Pgina 50 1-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5. -NYC-CL2.
Cenrio Lab
Voc um engenheiro de rede da Contoso Ltd. Voc deve selecionar um esquema de endereamento IPv4 adequado para uma implantao de filial e, em seguida, aplicar os elementos do esquema. O ra mo usar inicialmente atribudo manualmente endereos IPv4, embora esteja previsto que eles vo im plementar DHCP no futuro.
Depois de ter determinado a configurao adequada, necessrio configurar o c liente estaes de trabalho de acordo com seu plano.
Remoto
Contoso criou uma nova fora de vendas regional. Como resultado, as filiais esto se ndo alugado e equipado-out com equipamentos de escritrio e computadores. Voc foi encarregado de conceber um e squema de endereamento IPv4 para apoiar as filiais ocidentais regio. H 10 novos escritrios, trs na regio, e cada um com cerca de 100 computadores.
1.
2.
3.
_ Documentos de apoio
Charlotte Weiss
De: Ed Meadows [Ed@contoso.com] Enviado: 04 de fevereiro de 2011 09:05 Para: Charlotte@contoso.com Assunto: Re: implantaes de escritrios remotos da Contoso
Charlotte,
Cada ramo ser conectado atravs de um router para a sede; Anexei um esquema bsico da escritrios regionais.
Em termos de trfego, a sincronizao de dados ocorre durante a noite por isso no deve impactar o trfego excedente. Eu acho que o trfego nas vendas de escritrios sub-redes de cabea agora deve ser bastan te indicativo. Em vez de enviar lhe a sada, eu vou apenas dizer que ns figuramos em cerca de 50 computadores por s ub-rede.
Atenciosamente,
Ed.
-------- Mensagem Original -------De: Charlotte Weiss [Charlotte@contoso.com] Enviado: 03 de fevereiro de 2011 08:45 Para: Ed@contoso.com Assunto: implantaes de escritrios remotos da Contoso
Ed.
Voc tem alguma informao sobre o trfego de rede nas novas agncias? Eu entendo o que h p ara ser um banco de dados com rplicas regionais. Voc tem alguma informao sobre isso? Eu estou t entando descobrir o nmero
Charlotte Pgina 52 1-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Responda s perguntas no mbito do Poder Plano de Infra-estrutura do Offic e Rede: IPv4 Endereamento de documentos, demonstrado como se segue.
Viso geral Requisitos Projete um esquema de endereamento IPv4 para as filiais de vendas da Contoso escritrios, mostrados na exposio.
O endereo 172.16.16.0/20 bloco foi reservado para esta regio. Voc deve elaborar um sistema que suporta o nmero de sub-redes, o nm ero necessrio de Exrcitos, e prev crescimento de 25 por cento dos exrcitos em cada r amo. Para cada ramo, fornecer os endereos de sub-rede que voc pretende usar, junto com o incio eo fim IP endereos para cada sub-rede.
Informaes Adicionais Voc no precisa se preocupar com o endereamento IP para o lado corporativo do roteador em cada ramo.
Propostas 1. Quantas sub-redes encara exigindo para essa regio? 2. Quantos hosts vai implantar em cada sub-rede? 3. Qual a mscara de sub-rede que voc vai usar para cada ramo? 4. Quais so os endereos de sub-rede para cada filial? 5. Qual a faixa de endereos de host esto em cada filial?
Examine o plano concludo Filial de Infraestrutura de Rede na Chave Resposta Lab e ser preparado para discutir suas solues com a classe.
Resultados: No final deste exerccio, voc deve ter um plano de IP preenchido de end ereamento para a Contoso filiais. Pgina 54 1-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc ir implementar o esquema de endereamento IPv4 que voc s elecionou no exerccio anterior.
1.
2.
3.
4.
5.
Verifique a configurao.
6.
1.
2. Usando Ipconfig.exe, determinar qual o endereo IPv4 e mscara de sub -NYC-RTR que comea com 172,16 e anot-la.
O sub-rede essa?
1. No NYC-SVR2 computador, determinar qual o endereo IPv4 e mscara de sub-NYC-SVR2 que inicia com 172,16 e anot-la.
2.
O sub-rede essa?
3.
1. No NYC-CL2 computador, execute o arquivo de lote Reconfigure.cmd que est localizado em E: \ Labfiles \ Mod01.
2.
3.
1. Reconfigurar as configuraes IPv4 fosse adequada para a sub-rede que o cliente reside dentro. A resposta sugerida aparece na tecla de atendimento de laboratrio.
2.
Endereo IP:
Mscara de sub-rede:
Gateway padro:
1.
1.
2.
3. No prompt de comando, usando Ipconfig.exe, limpar o cache de resolvedor DNS e ento o ping nyc dc1.
4.
5.
6.
7.
8. Criar um novo filtro para DNSQueryName, onde o servidor = Contoso. Aplicar o filtro e, em seguida, examinar os quadros filtrados.
9.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
Pgina 56 1-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Sua organizao pretende usar IPv4 para suas filiais. H um grande nmero de hospedeiros e sub-redes necessrio. Qual o endereo de rede privada que voc recomenda ria?
2. Sua organizao tem uma linha de aplicativos de negcios que usa nomes d e NetBIOS. Relativamente poucas pessoas utilizar esta aplicao e so relutantes em implementar WINS. Que altern ativa faz do Windows Server 2008 oferecem?
3. O Windows 7 cliente incapaz de se conectar a um servidor Windows. Voc suspeita que um nome resoluo de problemas. Quais os dois utilitrios permitem solucionar a resoluo de nome de um cliente Cobertos
Ferramentas
Pgina 57 2-1
Mdulo 2
Contedo:
Lab: Configurando e solucionando problemas da funo de servidor DHCP 2-47 Pgina 58 2-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Dynamic Host Configuration Protocol (DHCP) desempenha um papel importa nte no Windows Server 2008 R2
atravs de infra-estrutura. o principal meio de distribuio de informao de con figurao importante rede para clientes da rede e fornece informaes de configurao de rede para outros serv ios habilitados, incluindo Windows Deployment Services (WDS) e Rede de Proteo de Acesso (NAP). Para dar suporte e solucionar problemas um servidor baseado no Windows infra-estrutura de rede, importante que voc entenda como implantar, configurar e solucionar problemas a funo de servidor DHCP.
Objetivos
Configurar a segurana a funo de servidor DHCP. Pgina 59 Configurando e solucionando problemas de DHCP 2-3
Usando DHCP pode ajudar a simplificar a configurao do computador cliente. Esta lio descreve os benefcios de DHCP, explica como funciona o protocolo DHCP, e discute como control ar DHCP em um Windows Directory Server 2008 R2 Active Directory servios de domnio (AD DS) de re de.
Objetivos
Adicionar e autorizar a funo de servidor DHCP. Pgina 60 2-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O protocolo DHCP simplifica a configurao do Internet Protocol (IP) clien tes em um ambiente de rede. Antes de DHCP foi amplamente utilizado, cada vez que voc adicionou um c liente a uma rede, voc tinha que configur-lo com informaes sobre a rede na qual ele foi instalado, incluindo o endereo IP, subnet da rede
Quando voc precisa gerenciar vrios computadores em uma rede, torna-se de morado para gerenci-los Manualmente Muitas empresas gerenciar milhares de dispositivos do comp utador, incluindo handhelds, computadores desktop computadores e laptops. No vivel para gerir manualmente a configurao de IP das redes desse porte.
Com a funo de servidor DHCP, voc pode ajudar a garantir que todos os clie ntes tm configurao adequada informao, o que ajuda a eliminar o erro humano durante a configurao. Quand o a configurao chave
alteraes de informaes na rede, voc pode atualiz-lo usando a funo de servido HCP sem ter que alterar as informaes diretamente em cada computador.
DHCP tambm um servio fundamental para os usurios mveis que mudam de redes muitas vezes. DHCP permite rede administradores para oferecer informaes de configurao de rede complexa par a usurios no tcnicos, sem que os usurios ter que lidar com seus detalhes de configurao de rede.
O papel DHCP no Microsoft Windows Server 2008 suporta vrios novos recur sos:
DHCPv6 stateful e stateless configurao suportada para a configurao de clie ntes em uma IPv6 produo. Stateful configurao ocorre quando o servidor DHCPv6 atribui o endereo IPv6 para o cliente, juntamente com os dados DHCP adicionais. Stateless confi gurao ocorre quando o IPv6 atribudo automaticamente pelo roteador de sub-rede, eo servidor DHCPv6 ape nas atribui configurao IPv6 outro configuraes. Pgina 61
NAP com DHCP ajuda a isolar computadores potencialmente infectados com malware a partir da rede corporativa. NAP parte de um novo conjunto de ferramentas que podem impedir o acesso complet o intranet para computadores que no cumprem com os requisitos do sistema de sade. NAP DHCP permite que os administradore s para garantir que os clientes DHCP so conformidade com as polticas de segurana interna. Por exemplo, todos os clien tes da rede devem estar up-to-date e ter um vlido, up-to-date programa antivrus instalado antes de serem atribudos uma configurao de IP que permite o acesso total intranet.
Voc pode instalar o DHCP como um papel em uma instalao Server Core do Windows 2008 Server. Um Ncleo do Servidor instalao permite que voc crie um servidor com uma superfcie de ataque reduzida. Para gerenciar o DHCP do Server Core, voc deve instalar e configurar o papel a partir da interface de linha de comando. Voc tambm pode gerenciar o Core papel DHCP a partir de uma interface grfica de usurio (GUI) baseada em console onde o DHCP papel j est instalado. Pgina 62 2-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
DHCP aloca endereos IP de forma dinmica, isto conhecido como uma locao. Em bora voc possa definir o contrato de arrendamento durao para ilimitado, tipicamente, o valor no mais do que algumas horas o u dias. O tempo de concesso padro para clientes com fio de oito dias e trs dias para clientes sem fio.
DHCP usa transmisses de IP para iniciar comunicaes. Portanto, os servidor es DHCP so limitados para comunicao dentro de sua sub-rede IP. Isto significa que, em muitas redes , existe um servidor DHCP para cada Sub-rede IP. Se houver um grande nmero de sub-redes, pode ser caro para implantar servidores para cada sub-rede. Um nico servidor DHCP pode servir colees de sub-redes menores. Para o ser vidor DHCP para responder a uma DHCP solicitao do cliente, ele deve ser capaz de receber solicitaes de DHC P. Voc pode ativar esta configurando uma Agente de retransmisso DHCP em cada sub-rede.
O agente de retransmisso DHCP permite que os pacotes de broadcast DHCP para ser retransmitida em outra sub-rede IP atravs de uma roteador. Depois, voc pode configurar o agente na sub-rede que requer e ndereos IP. Alm disso, voc pode configurar o agente com o endereo IP do servidor DHCP. Isto permite que o agente para capturar o cliente transmisses e transmiti-los para o servidor DHCP em outra sub-rede. Voc tambm pode retransmitir pacotes DHCP em outras sub-redes utilizando um router que seja compatvel com RFC 1542. Pgina 63 Configurando e solucionando problemas de DHCP 2-7
O protocolo DHCP processo de concesso de gerao inclui quatro etapas que permitem qu e um cliente para obter um IP endereo. Compreender como funciona cada passo vai ajudar voc a solucionar problema s quando os clientes no podem obter um endereo IP:
1. O cliente DHCP transmite um pacote DHCPDISCOVER. Esta uma mensagem que tran smitida para todos os computador na sub-rede. O nico computador que ir responder o computador que t em o DHCP
funo de servidor ou um computador ou roteador est em execuo um agente de retrans misso DHCP. Neste ltimo caso, o rel DHCP agente vai encaminhar a mensagem para o servidor DHCP com o qual est configu rado.
2. Um servidor DHCP responde com um pacote DHCPOFFER. Este pacote ir fornecer a o cliente um Endereo potencial.
3. O cliente recebe o pacote DHCPOFFER. Pode receber pacotes a partir de vrios servidores. Se o cliente recebe ofertas de mais de um servidor, que normalmente vai escolher o servi dor que fez o mais rpido resposta ao seu DHCPDISCOVER. Este normalmente o servidor DHCP mais prxima p ara o cliente. Em seguida, o cliente ir transmitir um DHCPREQUEST. O DHCPREQUEST contm um identificador de servido r. Isto informa o Os servidores DHCP que recebem a transmisso em que servidor o cliente optou por aceitar a DHCPOFFER.
4. Os servidores DHCP receber o DHCPREQUEST. Esses servidores que a mensagem f az DHCPREQUEST no aceitar usar a mensagem como uma notificao de que o cliente recusou a ofert a desse servidor. O escolhido servidor armazena as informaes do cliente IP endereo no banco de dados DHCP e responde com um DHCPACK mensagem. Se por algum motivo, o servidor DHCP no pode fornecer o endereo que foi oferecido no DHCPOFFER inicial, o servidor DHCP poder enviar uma mensagem DHCPNAK. Pgina 64 2-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando o arrendamento DHCP chegou a 50 por cento do tempo de concesso, o cliente ir tentar renovar a concesso. Este um processo automtico, que ocorre no fundo. Computadores podem te r o mesmo endereo IP durante um longo perodo de tempo, se eles operam continuamente sobre u ma rede, sem ser desligado.
Para renovar o endereo IP, o cliente transmite uma mensagem DHCPREQUES T. O servidor que alugou o Endereo IP originalmente envia uma mensagem DHCPACK volta para o clien te que contm os novos parmetros que mudaram desde a locao original foi criado.
Os computadores cliente tambm tentar a renovao durante o processo de ini cializao. Isto porque os computadores cliente pode ter sido movido enquanto estavam desligada, por exemplo, um computado r porttil pode ser ligado a um novo sub-rede. Se a renovao for bem sucedida, o perodo de arrendamento repost o. Se a renovao no for bem sucedida, o computador cliente tentativas de contato com o gateway padro configurado. Se o gateway no responde, o cliente assume que ele est em uma nova sub-rede e entra na fase de descoberta, a tent ativa de obter uma configurao de IP de qualquer servidor DHCP.
DHCP permite que um computador de cliente para adquirir a informao de configurao sob re a rede em que iniciado. DHCP comunicao ocorre antes de qualquer autenticao do usurio ou computador, e porque o
DHCP protocolo baseado em transmisses IP, um configurado incorretamente servidor DHCP em uma rede pode fornecer informaes invlidas para os clientes. Para evitar isso, o servidor deve ser autoriza do.
Voc deve autorizar o Windows Server 2008 R2 funo de servidor DHCP no AD DS antes qu e possa comear locao Endereo IP: possvel ter um nico servidor DHCP fornecer endereos IP para sub-redes qu e contm mltiplos domnios AD DS. Portanto, uma conta de administrador da empresa deve autor izar o servidor DHCP.
Observao Um administrador da empresa necessria em todos os domnios, com exceo o domnio raiz da floresta, neste exemplo, os membros do grupo Admins do Domnio tm adequada privilgio para autorizar um servidor DHCP.
Um stand-alone servidor DHCP um computador executando o Windows Server 2008 R2 q ue no faz parte de um DS AD domnio, e que tem a funo de servidor DHCP instalado e configurado. Se o stand-alone servidor DHCP detecta um servidor DHCP autorizado no domnio, ele no vai conceder endereos IP e se r desligado automaticamente.
Muitos dispositivos de rede tm embutido o software de servidor DHCP. Muitos rotea dores podem atuar como um servidor DHCP, mas frequentemente o caso que esses servidores no reconhecem DHCP autorizados servido res e poder conceder endereos IP
aos clientes. Pgina 66 2-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalar e autorizar a funo de servidor DHCP. Pgina 67 Configurando e solucionando problemas de DHCP 2-11
Voc deve configurar os escopos DHCP, aps o papel de DHCP instalado em um servidor. Um escopo DHCP o principal mtodo pelo qual voc pode configurar as opes para um grupo de ende reos IP. Um escopo DHCP baseado em uma sub-rede IP e podem ter configuraes especficas de hardware ou de gr upos personalizados de clientes. Esta lio explica os escopos, supermbitos, escopos de multicast, e como gerenciar escopos.
Objetivos
Explique DHCP dimensionamento e disponibilidade. Pgina 68 2-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Um escopo DHCP um intervalo de endereos IP disponveis para locao. Um escop o tipicamente limita-se ao IP endereos em uma determinada sub-rede.
Por exemplo, um escopo para a rede 192.168.1.0/24 (mscara de sub-rede 2 55.255.255.0), apoia uma srie de 192.168.1.1 atravs de 192.168.1.254. Quando um computador ou dispositiv o na sub-rede 192.168.1.0/24 solicita um Endereo IP, o mbito que definiu o intervalo neste exemplo seria atribuir um endereo entre 192.168.1.1 e 192.168.1.254.
Observao Lembre-se que o servidor DHCP, se desdobrado para mesma sub-rede, consome uma IPv4 endereo. Isto deve ser excluda a partir do intervalo de endereo.
intervalo de endereos IP: o intervalo de endereos que podem ser oferecid os para locao e, geralmente, toda a gama de endereos para uma determinada sub-rede.
Mscara de sub-rede: isto usado pelos computadores clientes para determi nar a sua localizao na organizao do infra-estrutura de rede.
Excluses: endereos individuais ou blocos de endereos que esto dentro do in tervalo de endereos IP, mas que vai no ser oferecido para locao.
Durao da concesso: usar perodos mais curtos para os mbitos limitados com en dereos IP, e perodos mais longos para redes mais estticas.
Opes: voc pode configurar vrias opes de um escopo, mas normalmente voc ir igurar a opo 003 Router (o gateway padro para a sub-rede), 006 - DNS Servers e opo 01 5 - sufixo DNS. Pgina 69 Configurando e solucionando problemas de DHCP 2-13
IPv6 escopos
Voc pode configurar as opes de escopo IPv6, como um mbito separado, no n IPv6 no cons ole DHCP. Existem vrias opes diferentes e um mecanismo avanado de locao.
Prefixo: o prefixo de endereo IPv6 anlogo ao intervalo de endereos IPv4, na sua essn cia, define o endereo de rede.
Excluses: endereos individuais ou blocos de endereos que se enquadram dentro do pre fixo IPv6, mas no ser oferecido para locao.
Os preferidos tempos de vida: define por quanto tempo endereos concedidos so vlidos .
Opes: como acontece com IPv4, voc pode configurar vrias opes. Pgina 70 2-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Um superescopo uma coleo de escopos que so agrupados em um todo administr ativo. Isto permite clientes para receber um endereo IP a partir de mltiplas sub-redes lgicas , mesmo quando eles esto na mesma fsica sub-rede.
Benefcios da Superscopes
Um superescopo til em diversas situaes. Por exemplo, se um escopo foi esg otado de endereos, e voc no pode adicionar mais endereos de sub-rede, voc pode adicionar uma no va sub-rede para o servidor DHCP. Este escopo vai concessionar endereos a clientes na mesma rede fsica, mas os clientes estaro em uma rede separada
logicamente. Isto conhecido como multineting. importante para configur ar roteadores para reconhecer o nova sub-rede para assegurar uma comunicao locais na rede fsica.
Um superescopo tambm til quando no h uma necessidade de mover clientes gra dualmente para um novo IP-numerao esquema. Por ter tanto esquemas de numerao coexistir para a durao do contr ato original, voc pode mover clientes para a nova sub-rede de forma transparente. Quando voc tiver renovado t odas as concesses de cliente na nova sub-rede, voc pode aposentar o antigo.
Multicast escopos
Um escopo multicast uma coleo de endereos de difuso seletiva da classe int ervalo de endereos IP D de 224.0.0.0 a 239.255.255.255 (224.0.0.0 / 3). Esses endereos so usados tivos precisam eficiente quando os aplica
comunicar-se com vrios clientes simultaneamente. Isso realizado com mlti plos hosts que escutam ao trfego para o mesmo endereo IP. Um escopo multicast referido comument e como um cliente de endereo Multicast Alocao de Protocolo de escopo (MADCAP). Aplicaes que aborda o pedido deste s mbitos precisam apoiar a aplicao MADCAP interface de programao (API).
mbitos multicast permitem que aplicativos para reservar um endereo de mu lticast IP para fornecer dados ou contedo. Pgina 71 Con figurando e solucionando problemas de DHCP 2-15
Voc pode criar escopos quer utilizando consoles de gerenciamento Microsoft (MMC) para a funo de servidor DHCP
ou usando o comando de configurao de rede Netsh. Isso permite que voc gerenciar esc opos remotamente, se o Servidor DHCP est sendo executado em uma instalao Server Core do Windows Server 200 8 R2. O comando Netsh tambm til para criao de scripts e automatizar o provisionamento de servidores.
Criar um espao IPv4. Pgina 72 2-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
A reserva DHCP ocorre quando um endereo IP dentro de um escopo reservad o para uso com um servidor DHCP especfico *cliente*
Muitas vezes desejvel para fornecer servidores e impressoras com um end ereo IP predeterminado. Usando uma reserva garante que os endereos IP que pretende atribuir a estes dispositivos a partir de um escopo configurado no so atribuda a outro dispositivo. Isso tambm garante que os dispositivos com reservas est garantido para ter um endereo IP se um escopo empobrecido de endereos. Configurando reserva s permite centralizar gerenciamento de endereos IP fixos.
Para configurar uma reserva, voc deve conhecer o dispositivo Media Acce ss Control (MAC) ou endereo fsico. Este endereo indica para o servidor DHCP que o dispositivo deve ter uma reserva. Voc pode adquirir um
Endereo de interface de rede do MAC usando o comando ipconfig / all. No rmalmente, os endereos MAC para impressoras de rede e outros dispositivos de rede so impressas sobre o dispositivo. A maioria dos computadores portteis tambm notar Essa informao sobre o fundo do seu chassis. Pgina 73 C onfigurando e solucionando problemas de DHCP 2-17
Ao configurar os escopos DHCP e configuraes relacionadas, voc deve considerar como muitos endereos IP para atribuir e como voc vai implementar tolerncia a falhas. uma boa prtica para ter mais de um s ervidor DHCP em A REDE No caso de um servidor falhar, um servidor de backup est no local para con ceder endereos IP.
Dimensionamento de um escopo
O escopo deve incluir como muitos endereos IP, pois h clientes de rede. Tipicament e, o mbito ter Endereos de 20 por cento mais do que h clientes que necessitam de endereos IP.
Regra 80/20
Quando uma rede tem dois servidores DHCP, uma boa prtica para espalhar os endereos IP em toda a sub-rede ambos os servidores. Isto comumente referido como o "80/20" regra. Nessa regra, um mbito no primeiro servidor define 80 por cento dos endereos IP para locao, enquanto o segundo servidor define 20 por cento do Endereos Isto melhora a disponibilidade do servio DHCP se um dos servidores falhar .
Para implementar a regra 80/20, voc deve criar escopos duplicados em cada um dos dois servidores DHCP, cada excluindo um intervalo separado de endereos. Por exemplo, para 192.168.0.0/24 sub -rede:
Criar um intervalo de excluso que compreende de 20 por cento superior da fai xa de endereo, isto , 192.168.0.200 a 192.168.0.254.
Criar um intervalo de excluso compreendendo da parte inferior 80 por cento d o intervalo de endereo, isto , 192.168.0.2 a 192.168.0.199.
Certifique-se de implementar um roteador que suporta retransmisso DHCP para a sub -rede 192.168.1.0/24. Pgina 74 2-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Opes de DHCP permitem que voc configure as configuraes de lado a partir do e ndereo IP e mscara de sub-rede. Por exemplo, voc pode usar DHCP para alocar um sufixo DNS, os endereos de servidor DNS e as configuraes de NetBIOS. importante
Objetivos
Configurar DHCP mbito, servidor e opes de classe. Pgina 75 Configu rando e solucionando problemas de DHCP 2-19
Os servidores DHCP pode configurar mais do que apenas um endereo IP, mas tambm for necem informaes sobre rede recursos, tais como servidores DNS eo gateway padro. Voc pode aplicar opes DHCP no s ervidor, mbito, nveis de usurio e fornecedor.
Um cdigo de opo identifica as opes de DHCP, e a maioria dos cdigos de opo vem do Pedi de Comentrios documentao (RFC) encontrado no site Internet Engineering Task Force (IET F).
A tabela a seguir lista os cdigos de opo comuns que pedido dos clientes baseados em Windows DHCP.
1 mscara de sub-rede
3 Router
6 servidores DNS
44 WINS / NBNS
51 Lease tempo
58 Renovao (T1) valor de tempo Pgina 76 2-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
(continuao)
33 Rota esttica
249 Classless rotas estticas Pgina 77 Configurando e solucionando problemas de DHCP 2-21
Opes de DHCP pode ser aplicado em nveis diversos, como no servidor DHCP e os nveis d e escopo. Voc pode precisar aplicar opes de escopo para tipos personalizados de computadores ou grupos de usurios especficos.
Voc pode especificar a classe de nvel opes quando voc precisa configurar um dispositi vo pertencente a uma classe particular de uma maneira especfica. Uma classe um grupo logicamente definido com base em atrib utos do dispositivo baseado em IP. Isto pode ser com base em dados especficos do fornecedor ou pode ser definido pelo usurio.
Vendedor de classe: o papel da Microsoft servidor DHCP oferece opes especiais com base na classe de fornecedor. Um exemplo de como usar DHCP com uma classe de fornecedor desativar o NetBIOS sobre TCP / IP para clientes com um fornecedor classe correspondente Windows 2000 ou Windows XP. Outro exemplo a configurao de opes especficas para um
classe de usurio: Voc pode especificar o usurio de classe opes quando voc deseja defi ir as opes para uma certa classe de usurios, como os usurios de um determinado local fsico. As classes de usurio so definidas na estao de trabalho do cliente usando o comando ipconfig / setclassid. Pgina 78 2-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Se voc tiver configurado as opes de DHCP em mltiplos nveis (escopo de serv idor, classe e os nveis de reserva), DHCP aplica-se opes para computadores cliente na seguinte ordem:
1.
Nvel de servidor
2.
Nvel de escopo
3.
Nvel de classe
4.
Se voc configurar opes personalizadas para reservas de DHCP, essas confi guraes ir substituir todas as outras opes de DHCP que voc configure em nveis mais elevados. Pgina 79 Con figurando e solucionando problemas de DHCP 2-23
Habilitar e configurar o cliente de escopo de classe de usurio de computador. Pgina 80 2-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O banco de dados DHCP armazena informaes sobre as concesses de endereo IP. importante compreender como fazer o backup do banco de dados e resolver problemas de banco de dados se houver um problema. Esta lio explica como gerenciar o banco de dados e seus dados.
Objetivos
Descrever como gerenciar um banco de dados DHCP. Pgina 81 C onfigurando e solucionando problemas de DHCP 2-25
O banco de dados do servidor DHCP contm dados de configurao sobre o servidor DHCP e informaes sobre IP concesses de cliente. Se esta informao se torna corrupto ou inconsistentes, pode levar configurao de rede erros em computadores clientes. Ele tambm pode levar para o mesmo endereo IP que e st sendo oferecido a vrios clientes.
Gerenciamento de banco de dados DHCP crescimento: O banco de dados DHCP baseado em um banco de dados do Microsoft Jet. Jato bases de dados precisam de ser compactado numa base regular.
Proteger o banco de dados DHCP: Informaes no banco de dados DHCP importante manter . Se o DHCP Server banco de dados corrompido ou se perde, isso poderia levar a con
Garantir a consistncia do banco de dados DHCP: O banco de dados tem de ser precis a. Se os dados de arrendamento no DHCP banco de dados no coincide com as informaes do cliente de locao, questes como end ereos IP duplicados podem ocorrer na rede.
Adio de clientes: Talvez seja necessrio reconfigurar escopos para suportar clientes de rede adicionais.
Adio de servidores de novos servios de rede: Talvez seja necessrio criar reservas ou excluses a suportar servidores configurados estaticamente.
Adio de novas sub-redes: Adicionando sub-redes pode levar a mudanas na forma como o banco de dados DHCP usado. Estes mudanas requerem monitoramento de banco de dados e pode exigir novas aes de ma nuteno. Pgina 82 2-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O servidor DHCP configurao opes de definir comportamentos de todo o servid or. Certas configuraes tambm afetam os escopos que o servidor hospeda.
Opes gerais
Opes gerais permitem que o administrador defina DHCP depurao e estatsticas de resoluo de problemas.
DNS Opes
Configurar as opes de DNS importante que existam dispositivos ou sistema s operacionais que no atualizam suas informaes de DNS automaticamente. Voc pode configurar o servidor DHC P para atualizar o servidor DNS se o cliente incapaz de o fazer.
Normalmente, apenas sistemas legados do cliente operacionais e verses a nteriores do Windows que no pode dinamicamente atualizar DNS. Por exemplo, o Windows 95 computadores cliente no pode a tualizar DNS. Por conseguinte, possvel configurar o DHCP para registrar nomes de clientes Legacy com o DNS.
As opes de rede de proteo de acesso permitem-lhe configurar o NAP para ser executada por um ou mais escopos. NAP permite que voc verifique que as mquinas que requerem um endereo IP a tender computador da sua organizao requisitos de sade. Por exemplo, os computadores cliente solicitando (e ser concedido) uma configurao de IP deve ter as ltimas atualizaes de segurana, executar um firewall, e ter um programa antivrus atualizado instalado e Executando
Opes de Filtros
Voc pode usar os filtros para definir a que endereos MAC so oferecidos co ntratos de arrendamento, ou para as quais os endereos MAC
locaes no so oferecidos. Alm disso, as opes avanadas permitem que voc defi ais os dispositivos fsicos so isentos de filtragem. Pgina ----------------------- 83----------- ------------
Opes avanadas
As opes avanadas permitem que o administrador para forar o servidor DHCP para verifi car se h conflitos de IP, quando um Cliente DHCP solicita um endereo IP particular. Isso beneficia os clientes mais a ntigos que no executam seu prprio cheques. No entanto, este processo tambm faz com que a sobrecarga. Portanto, a co nfigurao recomendada de transformar fora desta configurao.
A ligao IP permite que o administrador especifique o endereo IP no qual o servidor DHCP deve ouvir para as mensagens recebidas de DHCP. Pgina ----------------------- 84----------- -----------2-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O banco de dados DHCP contm dados que se relaciona com escopos, concesse s de endereos, e reservas. O banco de dados contm o arquivo de dados que armazena as informaes de configurao DHCP e os dados de locao para os clientes que tm locado um endereo IP do servidor DHCP. Por padro, os arquivos de banco d e dados DHCP so armazenados no % Systemroot% \ System32 \ Dhcp.
Descrio do Arquivo
Dhcp.tmp Um arquivo temporrio que o banco de dados DHCP usa como um a rquivo de swap durante banco de dados As operaes de ndice de manuteno. Este ficheiro, p or vezes, permanece no Systemroot \ System32 \ Dhcp aps uma falha do sistema.
J50.log e um log de todas as transaes de banco de dados. O banco de da dos DHCP usa esse arquivo para recuperar J50 # # # # #. Registrar dados quando necessrio.
Importante Voc no deve remover ou alterar os seguintes arquivos:. J50.log, J50 # # # # # log, DHCP.mdb, Dhcp.tmp e.
O banco de dados do servidor DHCP dinmico e atualizaes como clientes DHCP so atribudos ou como eles liberam a sua TCP / IP parmetros de configurao. Porque o banco de dados DHCP no um banco de dados distribudo como o Windows Internet Naming Service banco de dados do servidor (WINS), man tendo o banco de dados do servidor DHCP menos Complexo. Pgina ----------------------- 85----------- -----------Configurando e solucionando problemas de DHCP 2-29
O banco de dados DHCP e entradas de registro relacionadas so copiados automaticam ente em intervalos especficos (60
minutos por padro de instalao). Voc pode alterar esse padro de instalao, alterando o v
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCPServer \ Para meters Pgina ----------------------- 86----------- -----------2-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode fazer backup de um banco de dados DHCP manualmente ou configurlo para backup automaticamente. Um automtico backup chamado de backup sncrono. Um backup manual chamado um backup as sncrona.
O caminho de backup padro para o DHCP para trs : systemroot \ System32 \ Dhcp \ Backup. Como uma prtica recomendada, voc pode modificar esse caminho nas propriedades do servidor para apontar para outro volume.
Se voc tem uma necessidade imediata de criar um backup, voc pode executa r a opo de backup manual no DHCP consolar. Esta ao requer permisses de nvel administrativo. A conta de usuri o tambm pode ser um membro de o DHCP grupo de administradores.
Quando um backup sncrona ou assncrona ocorre, o banco de dados DHCP inte iro salvo, incluindo a
seguinte:
Reservas
Aluga
Todas as opes, incluindo opes de servidor, as opes de escopo, opes de res , e as opes de classe
Todas as chaves de registro e outras configuraes (por exemplo, configuraes de log de auditoria e localizao da pasta configuraes) definir nas propriedades do servidor DHCP. Essas config uraes so armazenadas na seguinte chave do Registro:
Para fazer o backup desta chave, o Editor do Registro aberto e sal var a chave especificada em um arquivo de texto. Pgina ----------------------- 87----------- -----------Con figurando e solucionando problemas de DHCP 2-31
Observao: As credenciais de actualizao dinmica de DNS (nome de usurio, domnio e enha) que o Servidor DHCP usa ao registrar computadores clientes DHCP no DNS no so apoia das por qualquer mtodo de backup.
Processo de Restaurao
Se voc precisar restaurar o banco de dados, utilizar a funo Restore no console do s ervidor DHCP. Voc ser solicitado para o local do backup. Uma vez selecionado o local, o servio de DHCP ir parar e o banco de dados ser restaurado. Para restaurar o banco de dados, a conta de usuri o deve ter de nvel administrativo permisses ou deve ser um membro do grupo Administradores DHCP.
Segurana de Backup
Quando o arquivo de banco de dados DHCP feito o backup, ele deve estar em um loc al protegido que somente o DHCP os administradores podem acessar. Isso garante que qualquer informao da rede nos a rquivos de backup permanece protected
Usando o Netsh
Voc tambm pode usar comandos no contexto netsh dhcp fazer o backup do banco de dad os, o que til para fazer backup o banco de dados para um local remoto usando um arquivo script. Um exemplo de um script que voc pode usar para exportar o ficheiro mostrado abaixo.
Este comando ir fazer backup dos dados DHCP para todos os escopos. Desde o DHCP N etsh, digite o seguinte:
Nota Este contexto Netsh no existe em computadores de servidores sem a funo d e servidor DHCP instalado. Pgina ----------------------- 88----------- -----------2-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Conciliar escopos pode corrigir inconsistncias que podem afetar os comp utadores cliente.
Quando voc est conciliando os mbitos, as entradas de detalhes eo resumo so comparadas para encontrar inconsistncias.
Para corrigir e reparar essas inconsistncias, voc deve reconciliar todas as inconsistncias de escopo. Depois de selecionar e reconciliar inconsistncias de escopo, o servio de DHCP ou restaura os endereos IP para o original proprietrio ou cria uma reserva temporria para esses endereos. Estas rese rvas so vlidas para o arrendamento tempo que atribudo ao mbito. Quando o tempo de concesso expira, os endereo s so recuperados para o futuro usar. Pgina ----------------------- 89----------- -----------Configurando e solucionando problemas de DHCP 2-33
No caso em que voc deve mover a funo de servidor DHCP para outro servidor, tambm aco nselhvel para mover o banco de dados para o servidor de novo, o que assegura que concesses de cliente so retidas e reduz a probabilidade de cliente-configurao questes.
Voc mover o banco de dados, inicialmente, fazendo backup no servidor DHCP de idad e. Em seguida, desligue o DHCP servio no servidor DHCP de idade. Voc deve, ento, copiar o banco de dados DHCP para o novo servidor, onde voc pode restaur-lo usando o procedimento de restaurao normal de banco de dados. Pgina ----------------------- 90----------- -----------2-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Reconciliar os dados de escopo. Pgina ----------------------- 91----------- -----------Configurando e solucionando problemas de DHCP 2-35
Lio 5
DHCP um servio essencial em ambientes de muitas organizaes de rede. Se o s ervio DHCP no est funcionando corretamente, ou se houver uma situao que est causando problemas com o ser vidor DHCP, importante que voc pode identificar o problema e determinar as causas potenciais para reso lver o problema.
Objetivos
Monitor DHCP estatsticas e desempenho. Pgina ----------------------- 92----------- -----------2-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
DHCP um protocolo dinmico. Alteraes no ambiente de rede geralmente exigem que voc faa DHCP servidor altera para acomodar o novo ambiente de rede. Essas alteraes po
dem surgir porque no h so mais clientes na rede, que pode causar uma maior carga de trfego no s ervidor DHCP, ou porque o servidor DHCP tenha esgotado o seu pool de endereos. O monitoramento dessas operaes permite abordar novo proativamente as necessidades que possam surgir, o que mantm interrupes d e servio a um mnimo e reduz o tempo de inatividade.
DHCP tem trs fontes de informao que voc pode usar para o monitoramento:
DHCP estatsticas
O desempenho DHCP dados Pgina ----------------------- 93----------- -----------C onfigurando e solucionando problemas de DHCP 2-37
Conflitos de endereos O mesmo endereo IP oferecido a um administrador exclui uma locao. Entretanto, dois clientes diferentes. o cliente que tinha o con trato de arrendamento ainda acredita o contrat o de arrendamento vlido. Se o servidor DHCP faz No possvel verificar o IP, pode arrendar o IP para outra mqui
na, fazendo com que um endereo Conflito. Isto tambm pode ocorrer se duas DHCP servidore s tm sobreposio de escopos.
A no obteno de um cliente a no receber um Se o controlador de um cliente, placa d e rede est configurado Endereo DHCP endereo DHCP e incorretamente, pode causar uma falha para obter recebe um IP privado automtico um endereo DHCP. Alm d isso, o DHCP Addressing (APIPA) auto-atribudo servidor ou agente de retransmisso na sub-rede do cliente. endereo.
Endereo obtido O cliente est obtendo um IP Isso muitas vezes ocorre porque o cli ente a partir do endereo mbito incorrecta do mbito errado, ligado rede errado ou o fazendo-a experimentar agente de retransmisso DHCP e st configurado incorretamente. problemas de comunicao.
DHCP banco de dados O banco de dados DHCP se tornar uma falha de hardware pod e fazer com que o banco de dados sofre os dados ilegveis ou perdido devido a um ser corrompido. corrupo ou falha de hardware perda.
Escopos de IP do servidor DHCP do servidor DHCP tem todos os IPs atribudos a u m escopo so alugadas. esgota seu IP foi esgotado. Qualquer cliente novo pool de endereos solicitando um endereo IP ser recusou. (Pgina 94). 2-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Estatsticas DHCP fornecem informaes sobre o DHCP atividade e utilizao. Voc p ode usar este console para determinar rapidamente se houver um problema com o servio de DHCP ou com os client es da rede DHCP. Um exemplo. em que as estatsticas pode ser til se o administrador nota uma quantidad e excessiva de negativa reconhecimento (NACK) pacotes, que podem indicar que o servidor no est f ornecendo o correto dados aos clientes.
Voc pode configurar a taxa de atualizao para as estatsticas do servidor gu ia Geral propriedades.
Estatsticas de servidor fornecem uma viso geral do uso do servidor DHCP. Voc pode usar esses dados para entender rapidamente o estado do servidor DHCP. Informaes como nmero de ofertas, o nmero de ped idos, total em uso endereos, total e disponveis podem ajudar a fornecer um retrato da sade d o servidor.
Estatsticas escopo fornecer detalhes muito menos, como endereos totais n o mbito, quantos endereos esto em uso, e quantos esto disponveis. Se voc notar um baixo nmero de ende reos disponveis no servidor estatsticas, pode ser apenas um escopo que est perto de seu ponto de esg otamento. Usando estatsticas mbito, um administrador pode rapidamente determinar o estado do mbito nomeadament e no que diz respeito aos endereos disponvel.
O log de auditoria fornece um log rastrevel de atividade do servidor DHCP. Voc pod e usar esse registro para controlar as solicitaes de locao, subvenes, e negaes, e essa informao permite solucionar desempenho do servidor DHCP. O log arquivos so armazenados na pasta% systemroot% \ system32 \ dhcp por padro. Voc pode configurar o arquivo de log em caixa do servidor de dilogo Propriedades. Os arquivos so nomeados com base na sema na em que o arquivo foi criado. DE exemplo, se o log de auditoria est habilitado na segunda-feira, o nome do arquivo Mon.log-DhcpSrvLog.
Descrio do Arquivo
MAC O endereo MAC utilizado pelo hardware do adaptador de rede do cliente. Pgina ----------------------- 96----------- -----------2-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
ID, Data, Hora, Descrio, Endereo IP, Nome do Host, Endereo MAC
55, 06/22/99, 22:45:38, Autorizado (assistncia tcnica), domain1.local (Pgina 97). Con figurando e solucionando problemas de DHCP 2-41
Contadores de desempenho de DHCP ficam disponveis depois que voc instalar a funo de servidor DHCP. Voc pode ento usar Monitor de desempenho para carregar os contadores de desempenho.
Normalmente, um servidor DHCP no deve vir sob uma carga pesada de rede. No entant o, se voc observar a fila comprimentos esto registrando valores consistentemente elevados, verificar o serv
A tabela a seguir lista os contadores de desempenho comuns e fornece recomendaes s obre o que procurar depois de estabelecer uma linha de base.
Monitorar pacotes para aumentos repentinos ou diminui, o que poderia refletir problemas de rede. recebidos / segundo
Monitorar pacotes para aumentos repentinos. Um grande nmero indica que o servi dor ou expirada / segundo demorando muito para processar alguns pacotes, enquanto os outros pacotes so colocados em fila e tornar-se obsoleto, ou o trfego na rede muito alto pa ra o servidor para gerenciar.
Os pedidos / segundo monitor para aumentos repentinos ou diminui, o que poder ia refletir problemas de rede.
Milissegundos por monitor para aumentos repentinos. Um aumento repentino ou i ncomum pode indicar um problema de pacotes, quer com a entrada / sada do subsistema (I / O) se tornar mais lenta ou por causa de uma sobrecarga de processamento intrnsec o no computador servidor.
Monitor de fila ativo para aumentos repentinos e gradual, o que pode refletir aumento de carga ou comprimento diminuiu a capacidade do servidor.
Monitor de duplicatas para qualquer atividade que poderia indicar que mais de uma solicitao est sendo caiu / segundo transmitidas em nome de clientes. (Pgina 98). 2-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Use o Monitor de rede para monitorar o DHCP. Pgina ----------------------- 99----------- -----------Configurando e solucionando problemas de DHCP 2-43
Protocolo DHCP no tem um mtodo incorporado para autenticao de usurios. Isto significa que se voc no tomar precaues, concesses de IP pode ser concedida para dispositivos e usurios ma l-intencionados. Esta lio explica como evitar que usurios no autorizados obtenham um contrato de ar rendamento, como gerenciar desonestos servidores DHCP, e como configurar servidores DHCP para que um grupo especfico pode geren ci-los.
Objetivos
Restringir quem pode administrar a funo de servidor DHCP. ----------------------- Pgina 100----------- -----------2-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
DHCP, por si s pode ser difcil de assegurar. Isso ocorre porque o protoc olo projetado para trabalhar antes da informao necessria est no lugar de um computador cliente para autenticar c om um controlador de domnio.
Precaues bsicas que voc deve tomar para limitar o acesso no autorizado incl uem:
Certifique-se de reduzir o acesso fsico: se os usurios podem acessar uma conexo de rede ativa no rede, os computadores so susceptveis de ser capaz de obter um ende reo IP. Se uma porta de rede no est sendo usado, voc deve deslig-lo fisicamente a infra-estrutura de comutao.
Habilitar o log de auditoria em todos os servidores DHCP: Isto pode fo rnecer uma viso histrica da atividade, alm para o que lhe permite rastrear quando um usurio potencialmente ma licioso obtido um endereo IP da rede. Certifique-se de programar o tempo em intervalos regulares para analisar os logs de auditoria.
Exigir autenticada Camada 2 conexes rede: as chaves de hardware a maior ia das empresas agora suportam Institute of Inc., Eltrica e Electronics Engineers (IEEE) a autenticao 802.1X. Este permite a nvel de porta de autenticao do usurio. Assegurar padres sem fio, como WPA e WPA2 Empresarial Enterprise, tambm use a autenticao 802.1X.
Implementar NAP: NAP permite que os administradores para validar que u m computador cliente compatvel com a Requisitos do sistema de sade, como a execuo de todas as ltimas atual izaes do Windows ou executando um up-to-date cliente de antivrus. Se um usurio que no atende aos requisitos de se gurana tenta acessar a rede, ele ou ela vai receber uma configurao de endereo IP para acessar uma rede d e recuperao quando ele ou ela pode receber as atualizaes necessrias. O administrador pode restringir o acesso rede, permitindo que apenas computadores saudveis acesso rede interna local (LAN).
Muitos dispositivos e sistemas operacionais de rede tm implementaes do servidor DHC P. As redes so quase nunca homognea na natureza, portanto, possvel que em algum momento, um servidor DH CP que no verificar Active Directory autenticados servidores sero habilitados na rede. Nest e caso, os clientes podem obteno de dados de configuraes incorretas.
Se os usurios reclamam que no tem conectividade rede, verificar o endereo IP do seu DHCP servidor. Use o comando ipconfig / all para verificar o endereo IP do campo DHCP Server. Se o endereo IP no o endereo IP de um servidor DHCP autorizado, provavelmente h um servidor no autor izado na rede.
Voc pode usar o DHCP Server Locator utilitrio (Dhcploc.exe) para localizar os serv idores DHCP que esto ativos em um sub-rede. ----------------------- Pgina 102----------- -----------2-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
importante para garantir que apenas pessoas autorizadas podem administ rar a funo de servidor DHCP. Voc pode fazer isso realizando uma das seguintes tarefas:
Atribuio de usurios que requerem acesso somente leitura para DHCP membros do grupo Usurios DHCP
O grupo Administradores DHCP est nos grupos internos em controladores d e domnio ou em servidores locais porque o DHCP grupo Administradores local utilizado para restringir e conceder acesso para administrar o DHCP s=
Autorizao de um servio DHCP est disponvel apenas para administradores de em presas. Se existe a necessidade de um baixo nvel de administrador para autorizar o domnio, que pode ser feito usando a delegao do Active Directory.
Administradores DHCP
Qualquer usurio do Administradores DHCP grupo podem gerenciar o servido r de DHCP servio.
Usurios DHCP
Qualquer usurio do grupo Usurios DHCP pode ter acesso somente leitura ao console. ----------------------- Pgina 103----------- -----------Configurando e solucionando problemas de DHCP 2-47
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas admi nistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5. -NYC-CL2.
----------------------- Pgina 104----------- -----------2-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrio Lab
Contoso est implantando o DHCP para suas filiais. A tolerncia a falhas i mportante, e voc est encarregado de configurar os servios DHCP na sede e filiais para suportar os requisito s.
funcionalidade de cliente de teste com servidor DHCP primrio em linha, e ento simular uma falha de conexo com da sede
Contoso Filial Rede Plan.vsd ----------------------- Pgina 105----------- -----------Confi gurando e solucionando problemas de DHCP 2-49
Remoto
Neste exerccio, voc ir selecionar uma configurao de DHCP adequado para suportar o amb iente filial.
1.
2.
3.
Data de 07 de marco
Requisitos Especifique como voc pretende implementar DHCP para suportar suas necessidades de escritrios filiais.
Informaes Adicionais importante que qualquer roteador, servidor ou falha no link de comunicaes no pre judique os usurios.
Propostas
4. Como os clientes de um ramo obter uma configurao de IP, se seu servidor DHCP est offline?
Analise o diagrama de rede e, em seguida, ler a Filial Plano de Infra-estrutura de rede: DHCP seo de requisitos do documento.
Responda s perguntas no mbito do Poder Plano de Infra-estrutura do Office Network: documento DHCP.
Examine o concludo Filial Plano de Infra-estrutura de rede: DHCP documento no Lab oratrio de Resposta Key e estar preparado para discutir suas solues com a classe.
Resultados: No final deste exerccio, voc ter determinado a configurao DHCP apropriado para Contoso. ----------------------- Pgina 106----------- -----------2-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc ir implementar a filial configurao DHCP que voc selecion ou.
1.
2.
1.
2. Abra o Gerenciador do Servidor e instalar a funo de servidor DHCP. A ceite todos os padres durante o Papel Add assistente, exceto:
1.
No painel de navegao, expanda IPv4, boto direito do mouse Geral e cli que em Novo Protocolo de Encaminhamento.
Na lista de protocolos de roteamento, clique em Agente de retransm isso DHCP e clique em OK.
No painel de navegao, boto direito do mouse Agente de retransmisso DHC P e clique em Nova Interface.
Na nova interface para o DHCP Relay Agent caixa de dilogo, clique e m Conexo Local 2 e clique em OK.
Nas Propriedades DHCP Relay - Conexo de rea Local 2 caixa de dilogo P ropriedades, clique em OK.
Na caixa de rel DHCP Agente de dilogo Propriedades, na caixa de ende reo do servidor, digite 10.10.0.10, clique em Adicionar e, em seguida, clique em OK.
1.
2. Abra DHCP.
3. Autorizar o servidor nyc svr2.contoso.com-no AD DS. ----------------------- Pgina 107----------- -----------Confi gurando e solucionando problemas de DHCP 2-51
1. Em DHCP, no painel de navegao, expanda nyc-svr2.consoto.com, expanda IPv4, bo to direito do mouse IPv4, e clique em Novo Escopo.
2.
Nome: Filial
Configurar as opes:
Router: 172.16.16.1
mbito Activate
Resultados: No final deste exerccio, voc vai ter configurado o filial do servidor DHCP. ----------------------- Pgina 108----------- -----------2-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc vai reconfigurar o servidor DHCP na sede para fornec er um espao para clientes em
a filial.
1.
1.
2.
Abra DHCP.
3. Em DHCP, no painel de navegao, expanda nyc-dc1.consoto.com, expanda IPv4, boto direito do mouse IPv4, e clique em Novo Escopo.
4.
Configurar as opes:
Router: 172.16.16.1
mbito Activate
Resultados: No final deste exerccio, voc ter criado os escopos necessrios em ambos os servidores DHCP. ----------------------- Pgina 109----------- -----------Con figurando e solucionando problemas de DHCP 2-53
Remoto
Neste exerccio, voc vai verificar que os computadores cliente pode obter uma confi gurao de IP da filial local Servidor DHCP.
1.
2.
1.
2.
3.
4.
1.
2.
Pare a captura.
3.
Clique em Filtro de carga, aponte para filtros padro, aponte para Exemplos bs icos, e, em seguida, clique em protocolo Filtro - DNS.
Na caixa de texto Filtro de Exibio, localize o texto que l DNS e alter-lo para DHCP. Clique Aplicar
4. Agora examine os quadros capturados. No Quadro Resumo, clique no quadro com o destino de 255.255.255.255 ea Descrio que contm OFERTA.
5.
Qual o IP do servidor?
Resultados: No final deste exerccio, voc tiver configurado o cliente para obter um endereo IP dinamicamente a partir do servidor da filial local. ----------------------- Pgina 110----------- -----------2-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc vai simular um ramo falha no servidor de escritrio e verificar que os clientes so capazes de obter uma Configurao de IP atravs do roteador a partir da cabea do servidor DHCP do escritrio.
1.
2.
1.
2.
1.
2. Abra um prompt de comando e no prompt de comando, digite Ipconfig .exe / release e prima ENTRE
3.
4.
5.
Pare a captura.
6.
Clique em Filtro de carga, aponte para filtros padro, aponte para Exemplos bsicos, e, em seguida, clique em protocolo Filtro - DNS.
Na caixa de texto Filtro de Exibio, localize o texto que l DNS e alt er-lo para DHCP. Clique Aplicar
7. Agora examine os quadros capturados. No Quadro Resumo, clique no quadro com o destino de 255.255.255.255 ea Descrio que contm OFERTA.
8.
Qual o IP do servidor?
Resultados: No final deste exerccio, voc vai ter verificado que o client e pode obter um endereo IP a partir do cabea escritrio quando o servidor local est disponvel. ----------------------- Pgina 111----------- -----------Configurando e solucionando problemas de DHCP 2-55
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 112----------- -----------2-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Voc tem duas sub-redes em sua empresa e quer usar DHCP para atribui r endereos de cliente computadores em ambas as sub-redes. Voc no deseja implantar dois ser vidores DHCP. Que fatores voc deve aceitar.
2. Sua empresa tem crescido e seu alcance IPv4 quase a esgotar os end ereos. O que voc poderia fazer?
3.
Quais as informaes que voc precisa para configurar uma reserva DHCP?
4. aconselhvel configurar as opes de 003 - Router como uma opo de escopo n el de servidor DHCP?
Ferramentas
Netsh.exe Configurando o cliente e as configuraes do lado do servidor IP, de linha de comando inclusive para funo de servidor DHCP
Edio Regedit.exe e ocasionais de configuraes, incluindo aqueles para int erface do Windows o papel do servidor DHCP
Network Monitor captura e analisar o trfego de DHCP em uma interface de sub-rede do Windows ----------------------- Pgina 113----------- -----------3.1
Mdulo 3
Contedo:
Lab: Configurando e solucionando problemas de DNS 3-50 ----------------------- Pgina 114----------- -----------3-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O Domain Name System (DNS) o servio de nome de fundao em Windows Server 20 08 R2. vital que voc entender como implementar, configurar, gerenciar e solucionar esse s
ervio essencial.
Objetivos
Gerenciar e solucionar problemas de DNS. ----------------------- Pgina 115----------- -----------Configurao e Soluo de problemas DNS 3-3
Para apoiar os servios de rede dentro de sua organizao, voc deve ser capaz de instalar e configurar o Windows Server 2008 R2 funo de servidor DNS.
Objetivos
Descrever pontos a considerar ao implantar um servidor de DNS. ----------------------- Pgina 116----------- -----------Configurando 3-4 e Soluo de problemas do Windows Server Network Infrastructure 200 8
DNS um servio de resoluo de nomes que resolve nomes para endereos IP. O se rvio de DNS uma estrutura hierrquica, distribudos banco de dados. O banco de dados separada logicamente, perm itindo que diversos servidores para hospedar o base de dados mundial de nomes de DNS.
DNS um servio mundial que permite que voc digite um nome de domnio (por e xemplo, Microsoft.com), que o computador resolve um endereo IP. A vantagem que os endereos IPv4 pode ser longa e difcil lembre-se (por exemplo, 131.107.0.32), enquanto que um nome de domnio n ormalmente mais fcil de lembrar. Alm disso, voc pode usar nomes de host que no mudam enquanto os endereos IP subjacen tes pode ser alterado para se adequar
Originalmente, havia um arquivo na Internet que continha uma lista de todos os nomes de domnio e seus endereos IP correspondentes. Esta lista rapidamente tornou-se muito tem po para gerenciar e distribuir. DNS foi desenvolvidas para resolver os problemas associados com o uso de um nic o ficheiro. Com a adopo do IPv6, DNS se tornar ainda mais crtica porque os endereos IPv6 (por exemplo, 2001: db8: 4136: e38c: 384f: 3764: b59c: 3d97) so mais complexos do que os endereos IPv4.
Como DNS Suporta uma Organizao Active Directory Domain Naming Scheme+ Fundamentao
DNS responsvel por resolver os recursos em um Active Directory Domain S ervices (AD DS). Voc deve instalar a funo de DNS para instalar o AD DS. DNS fornece informaes p ara clientes de estaes de trabalho que lhes permitam para fazer logon na rede. DNS resolve recursos no domnio, tais como ser vidores, estaes de trabalho, impressoras e &Pastas compartilhadas... Um servidor DNS que est configurado incorreta mente pode ser a fonte dos problemas de muitos AD DS. ----------------------- Pgina 117----------- -----------Co nfigurao e Soluo de problemas DNS 3-5
O namespace DNS facilita como um resolvedor DNS localiza um computador. O namesp ace organizado hierarquicamente para distribuir informao atravs de vrios servidores.
Domnio Raiz
O domnio raiz representado por um ponto (.) Que voc no digitar em um navegador web normalmente porque o ponto (.) assumida. A prxima vez que voc digitar um endereo em um computador, ten te adicionar o perodo no final (por exemplo, www.microsoft.com.). Existem 13 servidores raiz de domnios em todo o mundo.
Top Level-Domain
O domnio de nvel superior o primeiro nvel do espao de nomes DNS. Exemplos de domnios de alto nvel sobre o Internet incluem. Com,. Net,. Org, biz., E. Ca. Os domnios mais conhecidos so. Com ,. Net,. Org, e para o governo dos EUA. gov. Muitos nomes de domnio so mais a este nvel, e os novos so ad icionados ocasionalmente. H tambm um domnio de nvel superior (TLD) para cada pas. Por exemplo, o Canad . Ca ea
Reino Unido . Co.uk. O rgo que regula estes domnios chamado a Corporao da Internet pa a Atribudo Nomes e Nmeros (ICANN).
O nome de domnio de segundo nvel a parte do nome de domnio que aparece antes do TLD . Um exemplo de um nome de domnio de segundo nvel "Microsoft" no domnio www.microsoft .com. O organizaes que registram nomes de domnio de segundo nvel control-los. Qualquer pessoa pode registrar um segundo nvel nome de domnio atravs de um servio de registro de Internet. Muitos domnios de segund o nvel tm regras especiais sobre quem ou o que pode registrar um nome de domnio. Por exemplo, apenas as organizaes n onprofit pode usar. Org.
----------------------- Pgina 118----------- -----------3-6 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede
Subdomnio
O subdomnio listado antes de os domnios de segundo nvel e de nvel superior. Um exemplo de um subdomnio www no nome de domnio www.microsoft.com. Subdomnios so definidas no servid or de DNS do organizao que detm o segundo nvel do servidor DNS.
Um nome de domnio totalmente qualificado (FQDN) o nome DNS explcito que i nclui o nome do computador eo subdomnios do domnio raiz. Por exemplo, se o computador designado como Se rver1 no sales.south.contoso.com domnio, o FQDN para esse computador server1.sale s.south.contoso.com.
A Z atravs
um z atravs
0 a 9
Hfen (-)
Nota: O sublinhado (_) um caractere reservado. ----------------------- Pgina 119----------- -----------Co nfigurao e Soluo de problemas DNS 3-7
Voc vai perceber algumas das vantagens de usar o Windows Server 2008 com os novos recursos que inclui a funo de servidor DNS. Esses recursos incluem carregamento de fundo da zon a, o suporte para IPv6 e para os controladores de domnio somente leitura e globais nomes individuais.
Os servidores DNS que as zonas de acolhimento grandes DNS que os Servios de Domnio Active Directory (AD DS) lojas so capazes de responder a consultas de clientes mais rapidamente ao reiniciar porque os dados da zona agora carrega em segundo plano.
Suporte IPv6
O servio do servidor DNS agora oferece suporte ao registro de consulta e dinmica d e IP verso 6 (IPv6) de acolhimento e registros ponteiro sobre IPv6. Um registro de host IPv6 conhecido como um "AAAA" record.
A funo de Servidor DNS no Windows Server 2008 fornece primria somente leitura em zo nas de domnio somente leitura controladores (RODCs). Os alunos devem compreender que este um novo papel que pe rmite que os controladores de domnio e servidores de DNS para ser implantado em locais remotos que no possuem segurana fsica. Um RODC no pode escrever
Observao: Quando um controlador de domnio implementado como um RODC, uma cpia somente leitura do Domnio Zona de DNS e da Empresa zona DNS replicado para o RODC. Uma zona DNS em u m RODC no pode ser modificada.
O servio Servidor DNS no Windows Server 2008 fornece um novo tipo de zona, a zona GlobalNames, que voc pode usar para segurar rtulo nico nomes que so nicos em uma floresta inteira. Ist o elimina a necessidade para usar o NetBIOS baseado no Windows Internet Name Service (WINS) para fornecer sup orte para nomes de rtulo nico. ----------------------- Page 120----------------------3-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O recurso de atualizao dinmica de DNS do Windows Server faz o possvel para resolver de DNS para computadores registrar e atualizar dinamicamente seus registros de recursos com o seu servidor DNS configurado sempre necessrios. No entanto, esse comportamento conveniente pode permitir q ue um usurio mal-intencionado assumir um nome especial e desviar certos tipos de trfego de rede para o computador que o usurio ma l-intencionado.
Para ajudar a evitar tal aquisio, a funo de servidor DNS no Windows Server 2008 inclui uma consulta global lista de bloqueio que podem ajudar a impedir que um usurio mal-intenci onado assumir nomes DNS que tm especial
Windows Server 2008 R2 introduz algumas funcionalidades adicionais sobre os recu rsos que so adicionados na Windows Server 2008.
Windows Server 2008 R2 agora suportam zonas DNS Security Extensions (DNSSEC), is so significa que voc pode assinar e receber DNSSEC-assinados zonas para fornecer segurana adicional para a sua infra-estrutura de resoluo de nomes.
DNSSEC so extenses para o protocolo DNS, definido no RFC 4033, 4034 e 4035; essas extenses adicionar autoridade de origem, integridade de dados e negao autenticada de existncia de DNS. Estas alteraes permitem o seu Zonas DNS e os registros contidos nos mesmos para ser assinado digitalmente.
Devoluo DNS
Com o DNS devoluo, um resolvedor DNS, como o Internet Explorer, acrescenta o sufix o pai para um DNS incompletos totalmente qualificado nome de domnio (FQDN). Por exemplo, se o u tilizador entrou em http://server1 a barra de endereos do Internet Explorer, assumindo o sufixo primrio do cliente qu e est executando Internet Explorer sales.contoso.com, este anexado. Se a resoluo for bem sucedida, ento o pai de Contoso.com acrescentada e assim por diante.
Devoluo o comportamento no AD DS que permite aos computadores clientes que so membr os de um domnio filho acessar recursos no domnio principal, sem a necessidade de fornecer explicitament e o FQDN do recurso.
O cliente resolvedor DNS no Windows Server 2008 R2 e Windows 7 introduz nveis de desconcentrao; estes
fornecer controle do rtulo onde devoluo pra. Anteriormente, o nvel de descentralizao e etiva tinha dois anos. Agora voc pode especificar o nvel de descentralizao, permitindo um controle preciso da fronteira organizacional o seu domnio AD DS quando os clientes tentam resolver os recursos dentro do domnio . ----------------------- Pgina 122----------- -----------3-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando voc ativar o bloqueio de cache, o servidor DNS no permitir que os registros armazenados em cache para ser substitudo para o durao do tempo de vida (TTL). Bloqueio Cache fornece segurana melhorada c ontra o envenenamento de cache ataques.
Em vez de usar uma porta de origem pr-determinado (TCP ou UDP 53) ao em itir consultas, o servidor DNS usa um nmero de porta aleatrio seleccionado a partir de uma piscina, conheci do como o pool de encaixe. O pool de soquete faz cache de envenenamento ataca mais difcil, porque um invasor deve adivinhar corre tamente a porta de origem de uma consulta DNS para alm de um ID de transaco aleatria de executar com sucesso um ataque.
Para separar o trfego de Internet de trfego da intranet para o DirectAcc ess, Windows Server 2008 R2 e Windows 7 incluir o nome da Resoluo Poltica Tabela (NRPT), um recurso que permite q ue os servidores DNS a serem definidos para cada DNS namespace, ao invs de para cada interface. O NRPT armazena uma list a de regras. Cada regra define um DNS namespace e configurao que descrevem o comportamento do cliente DNS para esse domnio. Quando um Cliente DirectAccess est na Internet, cada pedido de consulta de nome c omparada com as regras de namespace armazenada no NRPT. Se for encontrada uma correspondncia, o pedido proc essado de acordo com as configuraes no NRPT governar. ----------------------- Pgina 123----------- -----------Configurao e Soluo de problemas DNS 3-11
Esta demonstrao mostra como instalar a funo Servidor DNS. ----------------------- Pgina 124----------- -----------3-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando voc est planejando para implantar DNS, h vrias consideraes que voc de e rever:
Quantas zonas DNS voc vai configurar no servidor e quantos registros de DNS sero cada zona Localizar Normalmente, as zonas de mapear na base de um-para-um c om domnios em seu espao de nome. Quando voc
tem um grande nmero de registros, ele poderia fazer mais sentido p ara quebrar os registros para baixo em vrios zonas.
Quantos clientes DNS estar se comunicando com o servidor no qual voc con figurar a funo de DNS? Os resolvedores mais cliente existem, o mais carga colocada no se rvidor. Quando voc antecipa carga adicional, considerar a implantao de servidores de DNS adicio nais.
Onde voc vai colocar os servidores DNS? Por exemplo, voc vai colocar os servidores de forma centralizada ou faz mais sentido para localizar os servidores DNS nas filiais? Se h po ucos clientes em uma filial, a maioria Solicitaes de DNS poderia ser satisfeita atravs de um servidor centr al do DNS ou pela implementao de um cache apenas servidor. Um grande nmero de usurios em um galho pode se beneficiar de um servidor DNS local com adequada dados da zona.
Como voc responderia s perguntas anteriores ir determinar quantos servido res DNS voc deve implantar e onde voc deve coloc-los.
O Windows Server 2008 DNS papel pode armazenar os dados de DNS duas ma neiras diferentes, como mostrado na a tabela a seguir:
Arquivo de texto A funo de servidor DNS armazena as entradas DNS em um arquivo de texto, que voc pode editar com um
Editor de textos
Active Directory A funo de servidor DNS armazena as entradas DNS no ba nco de dados do Active Directory, o que banco de dados pode ser replicada para outros controladores de domnio, mesmo que no execute o ----------------------- Pgina 125----------- -----------Configurao e Soluo de problemas DNS 3-13
Windows Server 2008 DNS papel. Voc no pode usar um editor de texto para editar os dados de DNS que Ativo Directory armazena.
Zonas integradas ao Active Directory so mais fceis de gerir do que as tradicionais zonas baseadas em texto, e so mais seguro A replicao de dados da zona ocorre como parte da replicao do Active Directory .
Normalmente, voc ir implantar a funo de DNS em todos os controladores de domnio. Se v oc decidir implementar algum outro estratgia, os seguintes pontos em mente:
Como os computadores clientes resolver nomes no caso de seu servidor DNS habitua l tornando-se indisponvel
Qual ser o impacto no trfego da rede seja se os computadores cliente comear a usar um servidor DNS alternativo, talvez localizado remotamente?
Como que vai implementar transferncias de zona? Zonas integradas ao Active Direct ory usa o Active Directory replicao para transferir a zona para todos os outros controladores de domnio. Se voc no implementar Active Directory zonas integradas, voc deve planejar o mecanismo de transferncia de zona mesmo . ----------------------- Pgina 126----------- -----------3-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
A infra-estrutura DNS a base para resoluo de nomes na Internet e no Windo ws Server 2008 Ativo
Directory domnios. Esta lio fornece orientaes e informaes sobre o que neces para configurar o Funo de servidor DNS, e explica as funes bsicas de um servidor DNS.
Objetivos
Configurar as propriedades de funo de servidor DNS. ----------------------- Pgina 127----------- -----------Con figurao e Soluo de problemas DNS 3-15
Os componentes de uma soluo DNS incluem servidores DNS, servidores de DNS na Inter net, e resolvedores DNS, ou clientes.
Servidor DNS
Um servidor DNS responde recursivo e iterativo consultas DNS. Os servidores DNS tambm podem hospedar um ou mais zonas de um domnio particular. Zonas de conter os registros de recursos diferentes. Os ser vidores DNS tambm pode armazenar em cache pesquisas para salvar tempo para perguntas comuns.
Servidores DNS na Internet so acessveis publicamente. Eles hospedar informaes sobre a zona do pblico e do servidor raiz, e outros TLDs comuns, tais como.COM,. NET,..edu
DNS resolvedores
O resolvedor DNS gera e envia iterativo ou consultas recursivas para o servidor DNS. Um resolvedor DNS pode
ser qualquer computador que realiza uma pesquisa DNS que requer interao com o serv idor DNS. Servidores DNS tambm pode emitir pedidos de DNS para outros servidores DNS. ----------------------- Pgina 128----------- -----------3-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O arquivo de zona DNS armazena registros de recursos. Os registros de recursos especificar um tipo de recurso e do endereo IP para localizar o recurso. O registro de recurso mais comum um registro de r ecurso. Este um registro simples que resolve um nome de host para um endereo IP. O host pode ser uma est ao de trabalho, servidor ou outra rede dispositivo, como um roteador.
Os registros de recursos tambm ajudar a encontrar recursos para um dete rminado domnio. Por exemplo, quando um servidor Exchange precisa encontrar o servidor que responsvel pela entrega de correio par a outro domnio, ele ir solicitar o Mail Exchanger (MX) para esse domnio. Isto aponta recorde para o registro "A " do host que est executando o Simple Mail Transfer Protocol (SMTP).
Os registros de recursos tambm pode conter atributos personalizados. Re gistros MX, por exemplo, tem um atributo de preferncia, que til se uma organizao tem vrios servidores de correio. Isto ir informar o servidor de envio que o correio servidor a organizao prefere receber. Registros SRV tambm contm informaes so bre em qual porta o servio est escutando eo protocolo que voc deve usar para se comunicar c om o servio.
SOA incio de autoridade (SOA) registro de recurso. Identifica o serv idor de nomes primrio para uma zona de DNS.
Um endereo de host (A) registro de recurso. O registro principal que resolve um nome de host para um endereo IPv4.
Canonical nome CNAME (CNAME) recurso. Um tipo de registro de alias que mapeia um nome para outro (por exemplo, www .microsoft.com um CNAME do Um registro microsoft.com).
MX Mail Exchanger registro de recurso (MX). Usado para especificar um servidor de e-mail para um domnio particular.
SRV Localizador de servio registro de recurso (SRV). Identifica um servio que est d isponvel em o domnio. O Active Directory usa esses registros extensivamente.
domnio.
AAAA O registro principal que resolve um nome de host para um endereo IPv6.
Ponteiro registro de recurso PTR (PTR). Usado para olhar para cima e mapear um e ndereo IP para um nome de domnio. A zona de pesquisa inversa armaze na os nomes. ----------------------- Pgina 130----------- -----------3-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As dicas de raiz so a lista dos 13 servidores na Internet que o seu se rvidor DNS usa, se no puder resolver um DNS consulta usando um encaminhador DNS ou seu prprio cache. As dicas de raiz so os maiores servidores no DNS hierarquia e pode fornecer as informaes necessrias para um servidor DNS para realizar uma consulta iterativa para o camada mais baixa prxima do namespace DNS.
Servidores raiz so instalados automaticamente quando voc instalar a funo de DNS. Eles so copiados a partir do Cache.dns arquivo que os arquivos de configurao do DNS incluem papel.
Voc tambm pode adicionar as dicas de raiz para um servidor DNS para apoi ar pesquisas para no contguas domnios dentro de uma floresta.
Quando um servidor DNS se comunica com um servidor de dicas de raiz, e le usa apenas uma consulta iterativa. Se voc selecionar a No usar recursividade para este domnio opo, o servidor no ser capaz de real izar consultas sobre a dicas de raiz. Se voc configurar o servidor usando um encaminhador, el e tentar enviar uma consulta recursiva para a sua
encaminhamento de servidor. Se o servidor de encaminhamento no responde r a esta consulta, o servidor ir responder que o host no pde ser encontrado.
importante compreender que a recursividade no servidor DNS e algumas consultas recursivas no so os mesmos fcil. Recurso em um servidor significa que o servidor ir utilizar suas di cas de raiz e tentar resolver uma consulta DNS. Os prximos tpicos iro discutir iterativo e consultas recursivas em mais d etalhes. ----------------------- Pgina 131----------- -----------Configurao e Soluo de problemas DNS 3-19
Uma consulta DNS o mtodo que voc usar para solicitar a resoluo de nomes em que uma c onsulta enviada para um servidor DNS Servidor Existem dois tipos de respostas a consultas DNS: autoritrio e no autoritri o.
importante notar que os servidores DNS tambm pode atuar como resolvedores DNS e e nviar consultas DNS para DNS outros s=
Um servidor DNS pode ser autorizada ou no autoritrio para namespace da consulta. U m servidor DNS autoritativa quando recebe uma cpia primria ou secundria de uma zona DNS. Os dois t ipos de consultas so:
Uma consulta autoritrio aquele para o qual o servidor pode retornar uma resposta que ele sabe correto porque o pedido dirigido para o servidor de autoridade que gere o domnio.
Um servidor de DNS que contm em seu cache do domnio que est sendo solicitado respon
de a uma no-autorizada consulta usando encaminhadores ou dicas de raiz. No entanto, a resposta for necida pode no ser preciso porque s o servidor DNS autoritativo para o domnio pode emitir essa informao.
Se o servidor DNS autoritativo para namespace da consulta, o servidor DNS ir veri ficar a zona e, em seguida, >> Faa um das opes seguintes:
Nota: Uma resposta confivel s pode ser dada pelo servidor com autoridade di reta para o consultado nome.
Se o servidor DNS local no tem autoridade para namespace da consulta, o servidor DNS ir fazer um dos seguinte:
Encaminhar a consulta insolvel para um servidor especfico chamado de um encaminhad or. ----------------------- Pgina 132----------- -----------3-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Use bem conhecidos endereos dos servidores raiz mltiplas para encontrar um servidor DNS com autoridade para resolver o consulta. Este processo utiliza as dicas de raiz.
Consultas recursivas
Por razes de segurana, que s vezes necessrio desativar consultas recursiva s em um servidor DNS. Ao faz-lo, o servidor DNS em questo no tentar encaminhar suas solicitaes de DNS para o utro servidor. Isto pode ser til quando voc no quer que um determinado servidor DNS comunicar fora da sua rede local.
Consultas iterativas
Iterativo consultas fornecem um mecanismo para acessar informaes de nome de domnio que reside em toda a DNS sistema, e permitir que servidores de forma rpida e eficiente resoluo de nomes em vrios servidores.
Quando um servidor DNS recebe uma solicitao que no se pode responder usan do a sua informao local ou o seu cache pesquisas, faz o mesmo pedido para outro servidor DNS usando uma consu lta iterativa.
Quando um servidor DNS recebe uma consulta iterativa, pode responder c om o endereo IP para o domnio nome (se conhecido), ou com um encaminhamento para os servidores DNS q ue so responsveis para o domnio que est sendo consultado. ----------------------- Pgina 133----------- -----------Configurao e Soluo de problemas DNS 3-21
Um encaminhador um servidor de rede que encaminha consultas DNS DNS para nomes D NS externos para servidores DNS fora dessa rede. Voc tambm pode usar encaminhadores condicionais para consultas pa ra a frente de acordo com a especfica nomes de domnio.
A rede de servidores DNS designado um encaminhador quando outros servidores DNS na rede para a frente a consultas que eles no podem resolver localmente. Usando um transitrio, voc pode ger enciar a resoluo de nomes para nomes fora da rede, tais como nomes na Internet, e melhorar a eficincia da resoluo de nom es para computadores da sua rede.
O servidor que est encaminhando pedidos na rede deve ser capaz de comunicar com o servidor DNS que est localizado na Internet. Isto quer dizer que voc configure-o para encaminha r solicitaes de DNS para outro servidor ou ele usa as dicas de raiz para se comunicar.
(Melhor Prtica)
Use uma central de encaminhamento do servidor DNS para resoluo de nomes Internet. Isso pode melhorar o desempenho, simplificar soluo de problemas, e uma prtica recomendada de segurana. Voc pode isolar o encaminha mento do servidor DNS em um permetro rede, o que garante que nenhum servidor dentro da rede est se comunicando diretam ente com a Internet.
Encaminhamento condicional
Um encaminhador condicional um servidor DNS em uma rede que encaminha consultas DNS de acordo com a consulta do Nome de domnio DNS.
Por exemplo, voc pode configurar um servidor DNS para encaminhar todas as consult as que recebe de nomes que terminem com corp.contoso.com para o endereo IP de um servidor DNS especfico ou para os endereos IP de DNS mltiplos s=
Isto pode ser til quando voc tem vrios espaos de nomes DNS em uma floresta. ----------------------- Pgina 134----------- -----------3-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
No Windows Server 2008 R2, a configurao de encaminhadores condicional fo i movido para um n na DNS console de configurao. Voc tambm pode replicar estas informaes para outr os servidores DNS atravs do Active Integrao Directory.
(Melhor Prtica)
Usar encaminhadores condicionais se voc tiver vrios namespaces internos. Isso proporciona uma resoluo mais rpida nome. ----------------------- Pgina 135----------- -----------Configurao e Soluo de problemas DNS 3-23
Cache DNS aumenta o desempenho do sistema da organizao de DNS, diminuindo o tempo que leva para fornecer pesquisas de DNS.
Quando um servidor DNS resolve um nome de DNS com xito, ele adiciona o nome de se u cache. Com o tempo, isso cria um cache de nomes de domnio e seus endereos IP associados para os domnios mais comu ns que o usos organizao ou acessos.
Nota: O tempo padro para o cache DNS dados de uma hora. Voc pode configurar esta mudando o registro SOA para a zona DNS apropriado.
Um servidor caching-only no vai hospedar todos os dados da zona DNS, que s respond e a consultas de clientes DNS. Este o tipo ideal de servidor DNS para usar como um encaminhador.
O cache do cliente DNS um cache de DNS que o DNS lojas de servio de cliente do co mputador local. Para ilustrar o cache do cliente, execute o comando ipconfig / displaydns no prompt de comando . Isto mostra o cache do cliente DNS local. Se voc precisar limpar o cache local, voc pode usar ip config / flushdns. ----------------------- Pgina 136----------- -----------3-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Zonas DNS so um conceito importante em infra-estrutura DNS, porque eles permitem domnios DNS para ser logicamente separados e geridos. Esta lio fornece a base para a compreenso sobre como as zonas referem a domnios de DNS e informao sobre os diferentes tipos de zonas de DNS que esto disponveis no Windows Server 2008 R2 papel DNS.
Objetivos
Explique como DNS delegao de zona usado. ----------------------- Pgina 138----------- ------------
Uma zona de DNS hospeda a totalidade ou uma poro de um domnio e seus subd omnios. O slide ilustra como subdomnios pode pertencer mesma zona como seus pais ou ser delegada a outra zona. O Microsoft.com domnio separado em duas zonas. A primeira zona hospeda www.microsoft.co m e ftp.microsoft.com. Example.microsoft.com delegada a uma nova zona, que hospeda o example. microsoft.com e sua subdomnios ftp.example.microsoft.com e www.example.microsoft.com.
Importante A zona que hospeda uma raiz do domnio (Microsoft.com) deve delegar a subdomnio (example.microsoft.com) para a segunda zona. Se isto no ocorre, example.microsoft.com ser tratado como se fosse parte da primeira zona.
Dados de zona pode ser replicada para mais de um servidor. Isto adicio na redundncia para uma zona de porque o informaes necessrias para encontrar recursos na zona de agora existe em d ois servidores. O nvel de redundncia que necessrio uma razo para criar zonas. Se voc tem uma zona que hospeda os r egistros de recursos crticos do servidor, provvel que esta zona ter um nvel mais elevado de redundncia do que uma zo na em que os dispositivos no crticas so definido.
Muitas empresas criam uma zona de DNS separado para estaes de trabalho e outra para servidores. Administradores ento pode escolher diferentes estratgias na definio de como as zonas sero r eplicadas.
Zona de dados mantida num servidor de DNS e armazenado em uma de duas maneiras:
Um servidor DNS autoritativo para uma zona se hospeda os registros de recursos para os nomes e endereos que os clientes solicitar no arquivo de zona. ----------------------- Pgina 139----------- -----------Confi gurao e Soluo de problemas DNS 3-27
Primrios
Secundrio
Stub
Zona Primria
Quando uma zona que alguns hosts do servidor DNS uma zona primria, o servidor DNS a fonte primria para
informao sobre esta zona e armazena a cpia mestre dos dados de zona em um arquivo l ocal ou no AD DS. Quando o Servidor DNS armazena a zona em um arquivo, o arquivo de zona primria nomeado zon e_name.dns por padro e localizado na pasta% windir% \ System32 \ Dns do servidor. Quando a zona no armaz enado no Active Directory, este o servidor DNS s que tem uma cpia gravvel do banco de dados.
Zona Secundria
Quando uma zona que alguns hosts do servidor DNS uma zona secundria, o servidor D NS uma fonte secundria para a informaes de zona. A zona neste servidor deve ser obtido a partir de outro servido r DNS remoto que tambm hospeda a zona. Este servidor DNS deve ter acesso rede para o servidor DNS remot o para receber atualizao informaes de zona. Porque uma zona secundria uma cpia de uma zona primria que outros hosts do servidor, ele no pode ser armazenada em AD DS. As zonas secundrias pode ser til se voc replicao de ados de no-Windows Zonas DNS.
Zona Stub
Windows Server 2003 introduziu as zonas de stub, que resolver vrios problemas com espaos de nomes grandes DNS e as florestas de rvores mltiplas. A floresta de mltipla uma floresta do Active Dir ectory que contm dois diferentes nomes de domnio. ----------------------- Pgina 140----------- -----------3-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
lo de replicao de vrios mestres para replicar a zona primria. Isso permite que voc edite os dados da zona em mais de um servidor DNS. Janelas Server 2008 introduziu um novo conceito chamado de controlador de domni o somente leitura. Integrado ao Active Directory dados de zona podem ser replicadas para os controladores de domnio, mes mo que o papel de DNS no instalado no domnio Controle Se o servidor for um controlador de domnio somente leitura, um processo local no possvel gravar os dados. ----------------------- Pgina 141----------- -----------C onfigurao e Soluo de problemas DNS 3-29
As zonas podem ser frente ou para trs, s vezes conhecido como zonas inversas.
A zona de pesquisa direta resolve nomes de anfitrio para endereos IP e hospeda os registros de recursos comuns: A, CNAMES, SRV, MX, SOA e NS.
A zona de pesquisa inversa resolve um endereo IP a um nome de domnio e os anfitries SOA, NS e PTR.
A funes zona inversa da mesma maneira como uma zona para a frente, mas o endereo IP a parte da consulta enquanto o nome do host a informao retornada. Zonas reversas no so sempre configurad o, mas voc deve configur-los para reduzir o aviso e mensagens de erro. Muitos protocolos padro da Internet contam com reverso zona de pesquisa de dados para validar as informaes de fuso para a frente. Por exe
mplo, se a pesquisa indica que a frente training.contoso.com resolvido para 192.168.2.45, voc pode usar uma pesquisa inve rsa para confirmar que 192.168.2.45 est associado com training.contoso.com.
Ter uma zona reversa importante se voc tiver aplicativos que dependem de olhar pa ra cima anfitries pelo seu IP Endereos Muitas aplicaes ir registrar esta informao em logs de segurana ou evento. Se oc ver suspeito atividade de um determinado endereo IP, voc pode resolver o host usando as informaes de zona reversa.
Gateways de segurana de e-mail Muitas usar pesquisas inversas para validar que o endereo IP que est enviando mensagens est associada com um domnio. ----------------------- Pgina 142----------- -----------3-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Uma zona de stub uma cpia replicada de uma zona que contm apenas os regi stros de recursos necessrios para identificar que zona da autoridade servidores DNS. Uma zona de stub resolve nomes entre espaos para nome de DNS separados, que pode ser necessria quando uma fuso corporativa exige que os servidor es DNS de dois DNS separados namespaces resolver nomes para clientes em ambos os namespaces.
O endereo IP de um ou mais servidores mestres que voc pode usar para atu alizar a zona de stub.
Os servidores mestres de uma zona de stub so um ou mais servidores DNS que so autoritrios para a zona infantil, Geralmente o servidor DNS que hospeda a zona primria para o nome de domn io delegado.
Quando um resolvedor DNS executa uma operao de consulta recursiva no ser vidor DNS que hospeda uma zona de stub, o servidor DNS usa os registros de recursos na zona de stub para resol ver a consulta. O servidor DNS envia uma consulta iterativa para os servidores de DNS autoritrios que os registr os da zona de stub de recursos NS especificar como se estavam usando registros de recursos NS em seu cache. Se o servidor DN S no pode localizar os servidores DNS autoritativos em sua zona de stub, o servidor DNS que hospeda a zona de stub tenta recu rso padro usando as dicas de raiz.
O servidor DNS ir armazenar os registros de recursos que recebe dos ser vidores de DNS autoritrios que um esboo zona em suas listas de cache, mas no vai armazenar esses registros de r ecursos na prpria zona de stub. Somente o SOA, NS, e cola registros de recursos retornados em resposta consulta so armazen ados na zona de stub. O recurso registros de que as lojas de cache so armazenados de acordo com a Timeto-Live Value (TTL) em cada recurso Registros Registros SOA, NS e cola um recurso, que no so escritos para c ache, expiram de acordo com a intervalo de expirao que o registro da zona de stub SOA especifica. Dura nte a criao da zona de stub, o registro SOA criado. Atualiza o registro SOA ocorrer durante as transferncias para a zona de stub da zona, primrio original.
Se a consulta foi uma consulta iterativa, o servidor DNS retorna uma r eferncia contendo os servidores que o stub zona especifica.
Um servidor DNS que os delegados de um domnio a uma zona de criana em um servidor DNS diferente tomar conhecimento da nova servidores DNS autoritativos para a zona filho registros somente quando recursos para eles so adicionados ao pai zona que os hosts do servidor DNS. Este um processo manual e requer que os admin istradores para as diferentes Servidores DNS comunicar com freqncia. Com zonas de stub, um servidor DNS que hosp eda uma zona de stub para um dos seus domnios delegados pode obter atualizaes dos servidores de DNS autoritrios para a zon a filho quando o stub regio atualizado. A atualizao realizada a partir do servidor DNS que hospeda a zona de stub, eo administrador para o servidor DNS que hospeda a zona filho no precisa de ser cont actado.
Pode haver alguma confuso sobre quando usar encaminhadores condicionais, em vez d e zonas de stub porque ambos os recursos DNS permite que um servidor DNS para responder a uma consulta com um encaminhamento para, ou atravs do envio de uma servidor DNS diferente. No entanto, estas definies tm finalidades diferentes:
A configurao de encaminhador condicional configura o servidor DNS para encaminhar uma consulta que recebe para um servidor DNS servidor, dependendo do nome de DNS que contm a consulta.
Uma zona de stub mantm o servidor DNS que hospeda uma zona pai ciente de todos os servidores DNS que so autoritria para uma zona infantil.
----------------------- Pgina 144----------- -----------3-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Criar uma zona de pesquisa direta. ----------------------- Pgina 145----------- -----------C onfigurao e Soluo de problemas DNS 3-33
DNS um sistema hierrquico, e delegao de zona conecta as camadas DNS juntos. A deleg ao de zona aponta para o prximo nvel hierrquico para baixo e identifica o nome dos servidores que so responsveis pela baixa domnio de nvel.
Ao decidir se a dividir o espao de nomes DNS para criar zonas adicionais, conside re o seguinte razes para usar zonas adicionais:
Voc precisa delegar o gerenciamento de parte do namespace DNS para outro local de organizao ou departamento.
Voc precisa dividir uma zona grande em zonas menores para que voc possa distribuir as cargas de trfego entre as
vrios servidores, o que melhora o desempenho DNS de resoluo de nome e cria uma mais tolerante a falhas Ambiente DNS.
necessrio ampliar o espao, adicionando diversos subdomnios de uma vez para acomodar o abertura de uma nova filial ou site. ----------------------- Pgina 146----------- -----------3-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Transferncias de zona DNS so como a infra-estrutura DNS move informaes de z ona DNS de um servidor para outro. Esta lio abrange os diferentes mtodos que a funo de servidor DNS usa quando a transferncia de zonas.
Objetivos
Criar e configurar zonas DNS. ----------------------- Pgina 147----------- -----------Configurao e Soluo de problemas DNS 3-35
Uma transferncia de zona ocorre quando voc transferir a zona DNS que est em um serv idor para outro servidor DNS.
As transferncias de zona sincronizar zonas do servidor DNS primrio e secundrio. Ist o como DNS constri a sua resilincia na Internet. importante que as zonas DNS permanecer atualizado sobre servidores primrio e secundrio. Discrepncias em zonas primrias e secundrias podem causar falhas no servio e nomes de host que so resolvidos incorretamente.
Uma transferncia de zona plena ocorre quando voc copiar o zona inteira a partir de um servidor DNS para outro. Uma zona cheia de transferncia de conhecido como um Transferncia de Zona Todos (AXFR).
Um transferncia de zona incremental ocorre quando h uma atualizao para o servidor DN S e apenas o recurso registros que foram alterados so replicados para outro servidor. Esta uma transfe rncia de zona incremental (IXFR).
Servidores DNS do Windows tambm realizar "transferncias rpidas", que um tipo de tra nsferncia de zona que usa compresso e envia os registros de recursos mltiplos em cada transmisso.
Nem todas as implementaes de servidor DNS suportar transferncias de zona incrementa is e rpido. Ao integrar um Windows 2008 servidor DNS com um Berkeley Internet Name Domain (BIND) DNS do ser vidor, voc deve garantir que os recursos que voc precisa so suportados pela verso BIND que est instalado.
DNS Server completo Zone (AXFR) Incremental Zone (IXFR) Transferncia Rpido
Windows 2003 (R2) Suportado Suportado Suportado ----------------------- Pgina 148----------- -----------3-36 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Servidor DNS total Zone (AXFR) de zona incremental (IXFR) Transfernci a rpida
Zonas do Active Directory Integrados replicar usando a replicao multimas ter. Isto significa que qualquer padro controlador de domnio que tambm tem a funo de DNS pode atualizar o DNS inf ormaes de zona, que ento replica para todos os servidores DNS que hospedam o zona de DNS.
DNS Notify
DNS de notificao uma atualizao para o original especificao do protocolo DNS que permite a notificao ao secundrio servidores quando as mudanas de fuso ocorrer; Isso til em um ambiente se nsvel ao tempo, onde a preciso dos dados importante.
Informaes de zona fornece dados organizacionais, assim que voc deve tomar precaues pa ra garantir que seguro a partir de acesso malicioso e que no pode ser sobrescrito com dados ruins (conhecido como en venenamento de DNS). Uma maneira em qual voc pode proteger a infra-estrutura DNS o de garantir as transferncias de zon a e usar dinmica segura atualizaes.
Na guia Transferncias de Zona na caixa de dilogo Zona Propriedades, voc pode especi ficar a lista de DNS permitidos s= Voc tambm pode usar essas opes para transferncia de zona disallow. Por padro, trans ferncias de zona esto desligados.
Enquanto a opo que especifica os servidores que podem solicitar os dados da zona f ornece segurana ao limitar o destinatrios de dados,-lo Membro no assegura de que os dados enquanto ele est sendo transmitida. Se a informao de zona altamente confidencial, recomendamos que voc usar um Internet Protocol Security poltica de ( IPsec) para fixar a transmisso ou replicar os dados de fuso ao longo de um privada tnel rede virtual ( VPN). Isso impede que packet sniffing para determinar a informao na transmisso de dados.
Usando Active Directory-zonas integradas replica os dados da zona como parte de repeties AD normais de DS. Portanto, se DNS trfego zona em Active Directory-zonas integradas precisa ser seg uro, ele tambm necessrio para garantir os AD dados de replicao DS. ----------------------- Pgina 150----------- -----------3-38 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008
Network
Atualize o zona primria e verificar a alterao sobre a zona secundria. ----------------------- Pgina 151----------- -----------Configurando e Soluo de problemas DNS 3-39
DNS um servio crucial na a infra-estrutura Active Directory. Quando o se rvio DNS experimenta problemas, -lo importante saber como para solucionar problemas de-las e identifica r as questes comuns que podem ocorrer em um Infra-estrutura DNS. Esta lio abrange os problemas comuns que ocorrem em DNS, as reas comuns para reunindo DNS informaes, e as ferramentas que voc pode usar para solucionar problemas problemas.
Objetivos
Explicar como TTL, envelhecimento, e ajuda scavenging para gerenciar re gistros de DNS.
Monitor DNS usando o Event Log DNS e Logging Debug. ----------------------- Pgina 152----------- -----------3-40 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Time to Live (TTL), envelhecimento, e scavenging ajudar a gerenciar re gistros de recursos DNS em os arquivos de zona. Os arquivos de zona pode mudar ao longo do tempo, assim l precisa de para ser uma maneira p ara gerenciar registros DNS que so atualizados ou que so no vlido porque os anfitries que eles representam no so mais na rede.
A tabela a seguir descreve as ferramentas DNS que ajudam a manter um b anco de dados DNS.
Descrio Ferramenta de
Time to Live Indica como longo um registro DNS permanece vlida. O TT L pode variar dependendo de o tipo (TTL) de DNS registro de recurso. Por exemplo, uma registro MX tem uma TTL muito mais tempo do que uma de acolhimento recorde para um laptop.
Aging Ocorre quando registros inseridos em o servidor DNS atingem o seu de expirao e so
removidos. Isso mantm o de banco de dados zona de precisas. Durante as operaes de normais, o envelhecimento deve tomar cuidado de registos de recursos obsole tos de DNS.
Scavenging Executa DNS registro de recurso servidor grooming para r egistros antigos em DNS. Se o recurso registros no tenham sido envelhecido, um administr ador pode scavenge o banco de dados zona para stale registros para forar uma limpeza de banco de dados .
Se for deixado no gerenciado, o presena de registos de recursos obsoleto s em dados de zona pode causar problemas. DE exemplo:
Se um grande nmero de registos de recursos obsoletos permanecer em zona s de de servidor, eles eventualmente pode usar at servidor espao em disco e causar transferncias de zona desnecessariamente lo ngos.
Um servidor de DNS que est carregando zonas com registos de recursos ob soletos pode usar informaes desatualizadas para responder consultas de cliente, o que poderia causam os computado res cliente para experimentar resoluo de nome ou problemas de conectividade de na rede.
A acumulao de registos de recursos obsoletos sobre o servidor DNS pode d egradar o seu desempenho e responsividade. ----------------------- Pgina 153----------- -----------Configurando e Soluo de problemas DNS 3-41
Em alguns casos, a presena de um registro de recurso de stale em uma zona de pode ria prevenir outro computador ou
Para resolver estes problemas, o servio Servidor DNS tem os seguintes recursos:
stamping Time, com base em a data atual e hora em que fixado em o computador do servidor, para qualquer registros de recursos que so adicionados dinamicamente para primary-tipo zon as. Alm disso, carimbos de tempo so gravado em as zonas primrias padro onde voc activar o envelhecimento e scaveng ing.
Para registros de recursos que voc adicionar manualmente, voc usar um valor de tem po carimbo de-de zero para indicar que o envelhecimento processo no afeta esses registros e que eles pode permanecer sem limitao em dados da zona a menos que voc de outra forma mudar a sua carimbo de tempo ou exclu-los.
Envelhecimento de registros de recursos em dados locais, com base em um perodo es pecificado tempo de atualizao, para qualquer elegveis zonas.
Apenas zonas do tipo primrias que os DNS cargas de servio do Servidor so elegveis pa ra participar neste processo.
Scavenging por quaisquer registros de recursos que persistem para alm do perodo re fresh especificado.
Quando um servidor DNS executa uma operao scavenging, ele pode determinar que regi stros de recursos ter envelhecido para o ponto de de se tornar stale e remov-los a partir de dados de zona. Voc pode conf igurar servidores para executar recorrentes operaes de limpeza automaticamente, ou voc pode iniciar uma operao a limp eza imediata em o servidor.
Caution Por padro, o mecanismo de envelhecimento e scavenging para o servio Servidor DNS (desativado) Voc deve habilitar-lo somente quando todos os parmetros so compr eendidos plenamente. Caso contrrio, voc poderia configurar o servidor para excluir registros acidentalmente que no deve ser excludos. Se um registro excludo acidentalmente, no somente os usurios ir falhar para resolver consultas para que registro, mas qualquer usurio pode criar o registro e tomar posse de-lo, mesmo sobre as z onas que voc configurar para actualizao dinmica segura.
O servidor usa o contedo de cada selo de tempo de recurso de registro especfico, j untamente com o envelhecimento e outras limpeza de propriedades que voc pode ajustar ou configurar, para determinar quand o se elimina registros.
Antes que voc possa usar os recursos de envelhecimento e limpeza de DNS, vrias con dies devem ser atendidas:
Voc deve habilitar limpeza e envelhecimento no servidor DNS e na zona. Por padro, o envelhecimento ea limpeza de registros de recursos est desativado.
Voc deve adicionar registros de recursos para as zonas dinamicamente ou manualmen te modific-los para uso no envelhecimento e eliminao de operaes.
Normalmente, apenas os registros de recursos que voc adicionar dinamicamente usan do o protocolo de atualizao dinmica de DNS esto sujeitos a envelhecimento e limpeza.
Para os registros que voc adiciona s zonas por carregar um arquivo de zona baseada em texto de outro servidor DNS ou por
adicion-las manualmente para uma zona, um carimbo de tempo de zero est definido. I sto faz com que estes registos elegveis para utilizao em envelhecimento e limpeza operaes.
Para alterar esse padro, voc pode administrar esses registros individualmente para redefinir e lhes permite usar um atual (diferente de zero) o valor carimbo de tempo. Isso permite que esses regis tros para tornar-se envelhecida e eliminado. ----------------------- Pgina 154----------- -----------3-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Configurar TTL.
Habilitar e configurar limpeza e envelhecimento. ----------------------- Pgina 155----------- -----------Configurao e Soluo de problemas DNS 3-43
Problemas podem ocorrer quando voc no configurar o servidor DNS, e suas zonas e re gistros de recursos adequadamente. Quando os registros de recursos esto causando problemas, s vezes pode ser mais difc il identificar o problema, porque problemas de configurao nem sempre so bvias.
A tabela a seguir lista os problemas de configurao possveis que podem causar proble mas de DNS.
Resultado Edio
Registros falta de registros para um host no esto no servidor DNS. Eles poderia m ter sido eliminado prematuramente. Isto pode resultar em estaes de trabalho no ser capaz de ligar um com o outro.
Registros incompletos registros que esto faltando informaes necessrias para local izar o recurso de que representar pode causar clientes que solicita m o recurso de usar invlido informaes. Por exemplo, uma folha de servio que no contm uma necessrio endereo da porta um exemplo de um registro inc ompleto.
Registros configurados incorretamente que esto apontando para um endereo invlido ou ter IP invlido registra informaes em sua configurao tambm causar problemas quando o DNS clientes tentar encontrar recursos.
Nslookup: Use este para consultar informaes de DNS. A ferramenta flexvel e pode for necer uma srie de valiosos informaes sobre o status do servidor DNS. Voc tambm pode us-lo para procurar reg istros de recursos e validar
a sua configurao. Alm disso, voc pode testar transferncias de zona, opes de segur na e registro MX resoluo.
Observao: Se voc estiver usando Nslookup em um cliente DirectAccess que tem resoluo de nomes ativa Poltica de tabela (NRPT) entradas, voc pode precisar especificar o endereo d
o servidor DNS. DE mais informaes, consulte http://go.microsoft.com/fwlink/?LinkID=214829&clci d=0x409. ----------------------- Pgina 156----------- -----------3-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Dnscmd: Gerenciar o servio de servidor DNS com esta interface de linha de comando. Esta utilidade til na arquivos batch de script para ajudar a automatizar tarefas rotine iras de gesto de DNS ou para realizar simples configurao automtica e configurao de novos servidores de DNS em sua re de.
Observao: Voc pode descobrir mais sobre a sintaxe de linha de coma ndo para Dnscmd.exe na Microsoft site: http://go.microsoft.com/fwlink/?LinkID=214830&clcid=0x409.
dnslint: Use este para diagnosticar problemas comuns de DNS. Esta linh a de comando utilitrio de configurao de diagnsticos problemas no DNS rapidamente e tambm pode gerar um relatrio em form ato HTML sobre o estado do domnio que voc est testando.
Observao: Voc pode descobrir mais sobre a sintaxe de linha de coma ndo para Dnslint.exe na Microsoft site: http://go.microsoft.com/fwlink/?LinkID=214831&clcid=0x409.
Ipconfig: Utilize este comando para visualizar e modificar os detalhes de configurao de IP que o computador usa. Este utilitrio inclui linha de comando adicionais opes que voc pode usar p ara solucionar problemas e apoiar DNS Clientes Voc pode ver o cliente cache DNS local usando o comando i pconfig / displaydns, e voc pode limpar o cache local usando ipconfig / flushdns.
Monitoramento de Servidor DNS: Na guia monitoramento de servidor DNS, voc pode configurar um teste que permite o servidor DNS para determinar se ele pode resolver simples consu ltas locais e realizar uma recursiva consultar a assegurar que o servidor pode comunicar com servidore s a montante. Voc tambm pode agendar estes testes para intervalos regularmente.
Estes so testes bsicos, mas fornecem um bom lugar para comear a solu cionar o servio DNS. que possvel. causas para um teste para falhar incluem:
O servidor a montante no est disponvel na rede. ----------------------- Pgina 157----------- -----------Co nfigurao e Soluo de problemas DNS 3-45
Use Nslookup.exe para testar DNS. ----------------------- Pgina 158----------- -----------3-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O servidor DNS tem sua prpria categoria no log de eventos. Como acontec e com qualquer log de eventos em Visualizar eventos do Windows, voc deve rever o log de eventos periodicamente.
Descrio ID de evento
2 O servidor DNS foi iniciado. Esta mensagem geralmente aparece na inicializao quando o computador servidor ou o DNS Servio do servidor so iniciados.
3 O servidor DNS foi desligado. Esta mensagem geralmente aparece quando o computador s ervidor est desligado ou a DNS Servio do servidor est parado manualmente.
408 O servidor DNS no pde abrir o soquete para o endereo [Endereo_IP]. Verifique se esse um IP vlido endereo do computador servidor. Para corrigir o problema, voc pode fazer o seguinte: 1. Se o endereo IP especificado no vlido, remova-o da l ista de interfaces restritas para o servidor e reiniciar o servidor. 2. co endereo permitido para o Se o endereo IP especificado no mais vlido e foi o ni
DNS servidor de usar, o servidor pode no ter comead o como um resultado desta configurao erro. Para corrigir esse problema, exclua o segui nte valor do Registro e reinicie
o servidor de DNS:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Serv ices \ DNS \ Parameters \ ListenAddress 3. Se o endereo IP do computador servidor vlido, verif ique se nenhum outro aplicativo que tentaria usar a mesma porta do servidor DNS (como um outro servidor DNS aplicao) est em execuo. Por padro, o DNS usa a porta TC P 53.
Descrio ID de evento
413 O servidor DNS envia solicitaes para outros servidores DNS em uma porta difere nte da porta padro (Porta TCP 53). Este servidor DNS multihomed e foi configurado para restringir o s ervio do servidor DNS para apenas alguns de seus endereos IP configurados. Por esta razo, no h qu alquer garantia de que o DNS consultas que este servidor faz para outros servidores DNS remotos ser enviado com um dos IP endereos que foi habilitado para o servidor DNS. Isso pode evitar que respostas a consultas que esses servidores re tornam de ser recebido em a porta de DNS que o servidor est configurado para usar. Para evita r este problema, o servidor de DNS envia consultas para outros servidores DNS, usando uma arbitrria noDNS porto, ea resposta recebida, independentemente do endereo IP utilizado.
Se voc quiser limitar o servidor DNS a usar apenas sua porta DNS co nfigurada para enviar consultas para outros servidores DNS, use o console DNS para realizar uma da s seguintes alteraes propriedades de configurao do servidor na guia Interfaces: Selecione Todos os endereos IP para permitir que o servidor DNS a e scutar em todos os IP do servidor configurado Endereos Selecione Somente os seguintes endereos IP para limitar a lista de endereos IP para um IP nico servidor endereo.
414 O computador do servidor atualmente no tem nenhum sufixo DNS primrio configura do. Seu nome DNS atualmente um nome de host de rtulo nico. Por exemplo, seu nome configurado "ho st" em vez de "Host.example.microsoft.com" ou outro nome totalmente qualificado. Enquanto o servidor DNS tem apenas um nome de rtulo nico, os registr os de recursos padro criadas para a sua zonas configuradas usam apenas esse nome de rtulo nico ao mapear o n ome do host para o DNS servidor. Isso pode levar a referncias incorretas e falha quando os clientes e outros servidores DNS usam esses registros para localizar este servidor pelo nome. Em geral, voc deve reconfigurar o servidor DNS com um nome completo de computador DNS que apropriado para seu domnio ou uso de grupo de trabalho em sua rede.
708 O servidor DNS no detectou nenhuma zona de tipo primrio ou secundrio. Ele ser ex ecutado como um somente de cache do servidor, mas no ser autorizado para nenhuma zon a.
3150 O servidor DNS escreveu uma nova verso da zona [zonename] no arquivo [arquiv o]. Voc pode ver a novo nmero de verso, clicando na guia Registrar Dados. Este evento deve aparecer somente se voc configurar o servidor de D
6527 Zone [zonename] expirou antes que pudesse obter uma transferncia de zona bem -sucedida ou atualizar a partir de um servidor mestre que est atuando como fonte para a zona. A zona foi encerrado. Essa identificao de evento pode aparecer quando voc configurar o serv idor DNS para hospedar uma cpia secundria a zona de outro servidor DNS que est atuando como sua fonte ou serv idor mestre. Verifique se esse servidor tem conectividade de rede para seu servidor principa l configurado. Se o problema persistir, considere uma ou mais das seguintes opes: 1. e ou um mestre atualizado e corrigido endereo IP para o servidor mestre mesmo . 2. expirao. ----------------------- Pgina 160----------- -----------3-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 Se a expirao da zona continua, considere ajustar o intervalo de Excluir da zona e recri-lo, especificando um servidor diferent
s vezes pode ser necessrio obter mais detalhes sobre um problema de DNS que o visualizador de eventos fornece. Neste caso, voc pode usar o log de depurao para fornecer informaes adicionais.
Direo de pacotes
Enviar: O servidor DNS log pacotes de registros de arquivo que o servidor DNS envia.
Contedo de pacotes
consulta padro: Especifica que os pacotes que contm consultas padro (de acordo com Pedido de Comments (RFC) 1034) so registrados no arquivo de log do serv idor DNS.
Atualizaes: Especifica que os pacotes contm atualizaes dinmicas (de ac rdo com RFC 2136) so registrados no arquivo de log do servidor DNS.
Notifique: Especifica que os pacotes contendo as notificaes (de aco rdo com RFC 1996) so registrados no o arquivo de log do servidor DNS.
Protocolo de transporte
UDP: Especifica que os pacotes enviados e recebidos sobre o User Datagram Protocol (UDP) so registrados em o arquivo de log do servidor DNS.
TCP: Especifica que os pacotes enviados e recebidos atravs de TCP so registrados no arquivo de log do servidor DNS.
Tipo de pacote
Solicitao: Especifica que os pacotes de solicitao so registradas no ar quivo de log do servidor DNS (um pacote de solicitao caracterizada por uma consulta / resposta bit (QR) definido como 0 no cabealho da mensagem DNS).
Observao: Um pouco QR um campo de um bit que especifica se esta mensagem fo r uma consulta (0) ou um Resposta de mudana de passo
Resposta: Especifica que os pacotes de resposta so registradas no arquivo de log do servidor DNS (uma resposta pacote caracterizada por um bit QR definido como 1 no cabealho da mens agem DNS).
Habilitar a filtragem com base no endereo IP: Fornece filtragem de pacotes adicio nais que so registrados no DNS arquivo de log do servidor. Permite o registro de pacotes que so enviado s de endereos IP especficos para um servidor DNS ou de um servidor DNS para endereos IP especficos.
Log de arquivo limite de tamanho mximo: Permite definir o tamanho mximo de arquivo para o arquivo de log do servidor DNS. Quando o arquivo de log do servidor DNS atinge seu tamanho mximo especificad o, o servidor DNS substitui o mais antigo pacote de informaes com novas informaes.
Observao: Se voc no especificar um tamanho mximo de arquivo de log, o arquivo de log do servidor DNS pode consumir uma grande quantidade de espao no disco rgido.
Por padro, todas as opes de log de depurao esto desativadas. Quando voc habilita-los d forma seletiva, o servidor DNS servio pode realizar o registro de rastreamento de nvel adicional de tipos selecio nados de eventos ou mensagens para o geral soluo de problemas e depurao do servidor.
O log de depurao pode ser recurso intensivo, afetando o desempenho geral do servid
or e espao em disco consumindo. Portanto, voc deve us-lo apenas numa base temporria, quando voc precisar mais detalh ada servidor desempenho informaes.
Dns.log Nota contm atividade log de depurao. Por padro, ele est localizado no % Systemroot% \ System32 \ Dns. ----------------------- Pgina 162----------- -----------3-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso est planejando para melhorar a sua infra-estrutura DNS devido a queixas de usurios sobre pobres desempenho. Alm disso, a Contoso uma parceria com uma resoluo Datum e nom e deve ser otimizado entre estas duas organizaes. Sua tarefa planejar e implementar as mudanas necessrias.
Verificar e solucionar problemas de DNS. ----------------------- Pgina 163----------- -----------Con figurao e Soluo de problemas DNS 3-51
Remoto
Neste exerccio, voc vai ler a documentao do seu gestor e, em seguida, responder s per guntas do seo de propostas.
1.
2.
3.
Viso geral Requisitos 1. Seu gerente est em causa que o servidor nico nome que suporta o domnio C ontoso.com
est sob tenso enquanto os pedidos de resoluo de manuteno de nomes. Voc est carregado de determinar uma curso de ao para acalmar suas preocupaes. 2. Contoso est trabalhando com uma organizao parceira, A Datum. importante que a resoluo de nome
para os servidores no domnio Adatum.com realizada sem recurso a servid ores raiz de nomes.
Informaes Adicionais 1. so. 2. No h controladores de domnio adicionais esto previstas para o domnio Conto
Contoso, por outras palavras, alteraes na Adatum.com no deve resultar em esforo administrativo em Contoso.
Propostas 1. Como que vai modificar a configurao do DNS para Contoso para enfrentar o primeiro requisito? 2. Como que vai modificar a configurao do DNS para Contoso para enfrentar o segundo requisito? 3. ? 4. 5. Qual o seu plano de aco proposto para este projeto? Como voc vai distribuir a carga entre os servidores de DNS? Ser um dos pontos da seo de informaes adicionais levantar quaisquer questes
Compare a sua soluo para a soluo proposta no documento Plano de Contoso de resoluo de nome em a tecla de atendimento Lab e estar preparado para discutir a sua soluo com a classe.
Resultados: No final deste exerccio, voc ter selecionado uma configurao de DNS apropr iado para Contoso. ----------------------- Pgina 164----------- -----------3-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
1.
2.
3.
4.
5.
6.
1.
2.
3.
1.
2.
Abrir DNS.
3. es:
1.
2.
3. 10.0.10 e
4. 0.0.10 e
5.
1.
2.
3. No prompt de comando, digite / Dnscmd.exe ZoneResetSecondaries Contoso.com / notificar / Notifylist 10.10.0.24 e pressione ENTER.
4.
Abrir DNS.
5. Verifique se o endereo IPv4 NYC-SVR1 est listado na lista de notificao na guia transferncias de zona no Contoso.com folha de propriedades da zona.
1.
2. Em DNS, atualize a tela e verificar se os dados da zona tenha transferido a partir do mestre para o Contoso.com zona secundria.
3.
1.
2.
Abra DHCP.
3.
4.
Resultados: No final deste exerccio, voc vai ter implementado os requisitos descri tos na Contoso Nome do documento Plano de Resoluo. ----------------------- Pgina 166----------- -----------3-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc usar ferramentas de monitoramento e soluo de problemas para testar e verificar o DNS roteamento.
2. Na guia de Acompanhamento, realizar uma consulta simples no servid or DNS. Isto bem sucedido.
3. Realizar consultas simples e recursiva contra esse e outros servi dores. O teste recursiva falha porque no h forwarders configurados.
4. Pare o servio DNS e repita os testes anteriores. Eles falham porque nenhum servidor DNS est disponvel.
Contoso.com
2. 03 pasta.
2. Abra o Monitor de Desempenho do Server Manager. No painel de lista da janela do Gerenciador do Servidor, Diagnstico expandir, expandir Desempenho, expanda Ferramentas de Mo nitoramento e, em seguida, clique em Desempenho Monitor
3.
4. Na lista de contadores disponveis, clique duas vezes em DNS. ----------------------- Pgina 167----------- ------------
5.
6. Selecione Consulta total recebida / seg, clique em Adicionar e, em seguida, clique em OK.
8.
9.
10. No separador Monitoring, selecione Uma consulta simples contra este servidor DNS e um consulta recursiva para outros servidores de DNS e, em seguida, clique em Testar Agora vrias vezes.
11. Limpar as caixas de seleo simples e recursiva de teste e clique em OK. Feche a gesto DNS Ferramentas
12. Voltar para o console do Server Manager. O grfico reflete as consultas no ser vidor.
13. No console do Server Manager, pressione CTRL + G e, em seguida, pressione CT RL + G novamente. Este relatrio lista o total nmero de consultas que o servidor tenha recebido.
Resultados: No final deste exerccio, voc vai ter verificado a funcionalidade do DN S com problemas ferramentas.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 168----------- -----------3-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Voc est apresentando um potencial cliente sobre as vantagens de usa r o Windows Server 2008 R2. Quais so os novos recursos que voc gostaria de salientar quando se discute o Windows Server 2008 R2 Funo de servidor DNS?
2. Voc est implantando servidores de DNS em um domnio do Active Directo ry, e seu cliente exige que o infra-estrutura resistente para pontos nicos de falha. O que voc de ve considerar ao planejar o DNS
# configuration
3.
4. O que voc deve configurar antes de uma zona de DNS podem ser trans feridos para um servidor DNS secundrio?
5. Voc o administrador de um Windows Server 2008 R2 ambiente DNS. Sua empresa recentemente adquiriu outra empresa. Voc deseja replicar sua zona de DNS primrio . A empresa adquirida usando Bind 4.9.4 para hospedar suas zonas DNS primrios. Voc perceb e uma quantidade significativa de trfego entre o Windows Server 2008 R2 servidor DNS eo servidor Bind. O que uma possvel razo para isso?
6. Voc deve automatizar um processo de configurao do servidor DNS para que voc possa automatizar a implementao de Windows Server 2008 R2. Que ferramenta DNS voc pode usar para faze r isso? ----------------------- Pgina 169----------- -----------C onfigurao e Soluo de problemas DNS 3-57
Ferramentas
Dnslint.exe Teste Download de servidor DNS no site da Microsoft ea u tilizao a partir da linha de comando
Ipconfig.exe Verificar e testar a funcionalidade IP e vista ou de linha de co mando limpar o cache de DNS do resolvedor do cliente ----------------------- Pgina 170----------- -----------3-58 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 171----------- -----------4.1
Mdulo 4
Contedo:
Lab B: Convertendo a rede para IPv6 nativo 4-46 ----------------------- Pgina 172----------- -----------4-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Suporte para Internet Protocol verso 6 (IPv6), um novo conjunto de prot ocolos padro para a rede da Internet camada, incorporado ao Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2.
IPv6 uma tecnologia que ajudar a garantir que a Internet pode apoiar um a base de usurios crescente e da cada vez mais elevado nmero de dispositivos habilitados para IP. A verso atual do Internet Protocol 4 (IPv4) tem servido como o protocolo de Internet bsica para quase trinta anos. A sua robust ez, escalabilidade e funcionalidade limitada conjunto agora contestada pela crescente necessidade de novos endereos IP, em grande parte devido ao rpido crescimento de novos dispositivos de rede-aware.
Objetivos
Solucionar problemas de uma rede baseada em IPv6. ----------------------- Pgina 173----------- -----------C onfigurao e Soluo de problemas IPv6 TCP / IP 4-3
IPv6 est se tornando mais comum, mas enquanto a adoo lenta, importante par a compreender como esse tecnologia afeta as redes atuais e como integrar IPv6 para essas redes. A lio seguinte vai cobrir os benefcios do IPv6 e como ele se compara com o IPv4.
Objetivos
Converso entre binrio e hexadecimal. ----------------------- Pgina 174----------- -----------4-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Benefcios do IPv6
Espao de endereamento Grande: Um espao de endereamento de 32 bits permite 2 ^ 32 ou 4.294.967.296 endereos possveis, uma 128 bits de espao de endereamento permite 2 ^ 128 ou 340,282,366,9 20,938,463,463,374,607,431,768,211,456 (ou 3.4x10 ^ 38 ou 340 undecillion) possveis endereos.
endereamento hierrquica e infra-estrutura de roteamento: O espao de ender eo IPv6 projetado para ser mais eficiente para os roteadores, o que significa que mesmo que haja muitos endereos mais, os roteadores podem dados do processo muito mais eficiente por causa da otimizao de en dereos.
Stateless e Stateful configurao do endereo: IPv6 tem capacidade de auto-c onfigurao sem Dynamic Host Configuration Protocol (DHCP), e pode descobrir inf ormaes roteador para que os hosts pode acessar a Internet, esta uma configurao de endereo stateless. A configurao do endereo Stateful quando voc usa o protocolo DHCPv6. Stateful configurao tem dois nveis adicionais de configurao: aquele em que o DHCP fornece todas as informaes, incluindo o ender eo IP e as definies de configurao, e outra determina que apenas as definies de configurao.
apoio necessrio para IPsec: Os padres IPv6 requer suporte para os cabealh os AH e ESP, que so definida por IPsec. Embora o apoio a determinados mtodos de auten ticao IPsec e criptografia algoritmos no so especificados, o IPsec est definido desde o incio c omo a forma de proteger os pacotes IPv6.
Restaura fim-de-final da comunicao: O modelo global de endereamento para o trfego IPv6 significa que traduo entre diferentes tipos de endereos no necessrio, tais como a tr aduo feito por NAT dispositivos para o trfego IPv4. Isso simplifica a comunicao, porqu e voc no precisa usar dispositivos NAT. Por exemplo, videoconferncia e outro par para perscrutar aplicaes.
entrega priorizada: IPv6 contm um campo no pacote que permite que os di spositivos de rede para determinar que o pacote deve ser processado em uma taxa especificada, o que perm ite a priorizao de trfego. Por exemplo, quando voc est fluindo o trfego de vdeo, fundamental que os pacotes chegam e m tempo hbil. Voc pode definir esta campo para garantir que os dispositivos de rede determinar que a entrega de pacotes sensvel ao tempo. ----------------------- Pgina 175----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-5
Suporte para sub-rede nica ambientes: o IPv6 tem um suporte muito melhor de confi gurao automtica e operao de redes constitudas por uma nica sub-rede. Voc pode usar isso para cri ar temporria ad-hoc redes atravs das quais voc pode se conectar e compartilhar informaes.
Extensibilidade: O IPv6 foi projetado de modo que voc pode estend-lo com restries mu ito menos do que IPv4. ----------------------- Pgina 176----------- -----------4-6 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure
Quando o espao de endereo IPv4 foi projetado, era inimaginvel que poderia ser esgotado. No entanto, devido a mudanas na tecnologia e uma prtica de alocao que no previu a exploso de ho sts da Internet, o espao de endereos IPv4 se tornou to consumido que, em 1992, ficou claro que a substituio seria necessrios. Com o IPv6, difcil conceber que o espao de endereo IPv6 ser con sumido.
A deciso de fazer o endereo IPv6 128 bits de comprimento foi concebido d e modo que pode ser subdividido em hierrquico de roteamento domnios que refletem a topologia da Internet mo derna-dia. A utilizao de 128 bits permite para vrios nveis de hierarquia e flexibilidade na concepo hierrquica de end ereamento e roteamento que actualmente no existe na Internet IPv4-based.
IPv4 IPv6
Endereos de origem e destino so de 32 bits (4 endereos de origem e des tino so de 128 bits (16 bytes) de comprimento. bytes) de comprimento.
Suporte para
No identificao do fluxo de pacotes para a Qualidade de Packet fluxo de identificao para tratamento de QoS por roteadores Servio de tratamento (QoS) por roteadores est presente includa no cabea
A fragmentao feito por ambos os roteadores ea fragmentao no feito pelos roteadores, somente pela envio de host. envio de host. ----------------------- Pgina 177----------- -----------Confi gurao e Soluo de problemas IPv6 TCP / IP 4-7
(continuao)
IPv4 IPv6
Cabealho no inclui um
Address Resolution Protocol (ARP) usa quadros pedido ARP so substitudos por mult icast quadros transmitidos solicitao ARP para resolver uma mensagem de solicitao vizinh o. Endereo IPv4 a um endereo da camada de enlace.
Internet Group Management Protocol (IGMP) IGMP substitudo por Multicast Listen er Discovery usado para gerenciar locais de sub-rede do grupo (DLM) mensagens. adeso.
Internet Control Message Protocol (ICMP) descoberta de roteador ICMP substitud o por exigido Router Discovery, que opcional, usado para ICMPv6 Solicitao Router e Router Adv
Deve ser configurada manualmente ou atravs de No requer configurao manual ou DHCP . DHCP.
Usa endereo de host (A) recurso registros no endereo de host Usos (AAAA) regist ros de recursos no DNS para Domain Name System (DNS) para mapear nomes de host mapear nomes de host para endereos IPv6. para endereos IPv4.
Usa os registros de ponteiro (PTR) no IN-Utiliza registros de recursos PTR no IP6.ARPA DNS de domnio ADDR.ARPA domnio DNS para mapear endereos IPv4 para mapear endereos IPv6 para nom es de host. para nomes de host.
Deve suportar um tamanho de pacote 576 byte (possivelmente Deve suportar um t amanho de pacote 1280-byte (sem fragmentado). fragmentao).
Endereos IP privados (10.0.0.0 / 8, 172.16.0.0/12, Unique endereos locais (fd00 :: / 8) e 192.168.0.0/16) ----------------------- Pgina 178----------- -----------4-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
(continuao)
Representao de texto: Texto representao decimal notao: formato hexadecima l Colon com supresso de zeros esquerda e zero de compresso
Representao Rede bits: Mscara de sub-representao em bits de rede: a notao de comprimento de prefixo
Resoluo de nomes DNS: IPv4 endereo de host (A) a resoluo de nomes DNS: e ndereo do host IPv6 (AAAA) registro de recurso de registro de recurso
Resoluo de DNS reverso: IN-ADDR.ARPA resoluo de DNS reverso: IP6.ARPA d omnio domnio ----------------------- Pgina 179----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-9
A caracterstica mais evidente distino do IPv6 o uso de endereos muito maiores. Os en dereos IPv4 so expressa em quatro grupos de nmeros decimais, como 192.168.1.1. Cada grupo de nmer os representa um octeto binrio. Em binrio, o nmero anterior como se segue:
O tamanho de um endereo em IPv6 quatro vezes maior do que um endereo IPv4. Os ende reos IPv6 so expressos em hexadecimal (hex).
Isso pode parecer complexo para usurios finais, mas o pressuposto que os usurios vo contar com nomes de DNS para resolver hosts e raramente vai digitar endereos IPv6 manualmente. O endereo IPv6 em hexadec imal tambm mais fcil de se converter ao
binrio e vice-versa. Isto simplifica o trabalho com sub-redes, e calculando hosts e redes.
No sistema de numerao hexadecimal, algumas letras representam nmeros porque no sist ema hex (Base16), deve haver 16 smbolos nicos para cada posio. Porque 10 smbolos (0 a 9) j existir, deve ser de seis smbolos de novo para o sistema hex, da, de A a F so utili zados.
Observao Use a calculadora do Windows em Windows 7 e Windows Server 2008 par a trabalhar com hexadecimal e binrio. Abra a calculadora, clique no menu Exibir e, em segui da, clique em Programmer. Tipo 16, e clique em Hex. A calculadora exibe 10. Este aspecto da hexadeci mal pode ser complexa. Depois de alcanar hex 9, o prximo nmero hexadecimal "A" (decima l 10), e, em seguida, "B" (Decimal 11) at "F" ou (decimal 15). Observe que na calculadora no modo hex , o botes de A a F aparecem ao longo do lado esquerdo do teclado numrico. No mod o Hex, clique em F, e clique em dezembro O resultado decimal 15. ----------------------- Pgina 180----------- -----------4-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para converter um endereo IPv6 que binrio de 128 bits de comprimento, di vida-o em oito grupos de 16 bits. Converter cada um destes oito grupos de 16 bits em quatro caracteres hexadecimai s. Para cada um dos 16 bits, avaliar quatro bits em um momento de derivar cada nmero hexadecimal. Deve nmero cada conjunt o de quatro nmeros binrios 1, 2, 4 e 8, a partir da direita e mover para a esquerda. O primeiro bit [0010] atr
ibudo o valor de 1, o segundo bit [0010] atribudo o valor de 2, o terceiro bit [0010] atribudo o valor de 4, e, f inalmente, o quarto [0010] pouco atribudo o valor de 8. Para obter o valor hexadecimal para esta seo de qu atro bits, somar os valores que so atribudos a cada, onde os bits so definidos para 1. No exemplo de 0010, o bit nico que definido como 1 o bit atribudo o valor 2. O resto est definido para zero. O valor hexa decimal destes bits de 2.
A tabela a seguir descreve o 16-bit poro nmero binrio de um endereo de 128bit IP:
O exemplo a seguir um nico endereo IPv6 na forma binria. Note que a repre sentao binria do Endereo IP bastante longo. As duas linhas seguintes de nmeros binrios um endereo IP:
0010000000000001000011011011100000000000000000000010111100111011 0000001010101010000000001111111111111110001010001001110001011010
Cada limite ainda dividido em conjuntos de quatro bits. A aplicao da met odologia como descrito anteriormente, converter o endereo IPv6. A tabela seguinte mostra os valores binrios e correspondente hexadecimais para cada conjunto de quatro bits:
Hexadecimal Binrio
[1001] [1100] [0101] [1010] [9] [C] [5] [A] ----------------------- Pgina 181----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-11
Voc pode simplificar a representao IPv6 ainda mais, removendo os zeros esquerda den tro de cada bloco de 16 bits. No entanto, cada bloco tem de ter pelo menos um dgito nico. Com levando supresso ze ro, o endereo representao torna-se o seguinte:
Zeros Compactando
Quando vrios blocos contguos de zero ocorrer, voc pode comprimir estas e represent-l os no endereo como um dois-pontos duplos (::), o que simplifica a notao IPV6. O computador recon hece "::" e substitui-lo com o nmero de blocos necessrios para tornar o endereo IPv6 apropriado.
Para determinar quantos bits 0 so representados pelo "::", voc pode contar o nmero de blocos na comprimido endereo, subtrair esse nmero de oito, e depois multiplicar o resultado por 16. Usando exemplo anterior, h sete blocos. Subtrair sete de oito, e depois multiplicar o re sultado (um) por 16. Assim, existem 16 bits ou 16 zeros no endereo onde os dois pontos duplo est lo calizado.
Voc pode usar compresso de zero apenas uma vez em um determinado endereo. Caso cont rrio, voc no pode determinar o nmero de 0 bits representados por cada instncia de um dois-pontos duplos (::).
Para converter um endereo em binrio, utilizar o inverso do mtodo descrito anteriorm ente:
1.
2.
3.
----------------------- Pgina 182----------- -----------4-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para habilitar os dispositivos com o IPv6, voc deve saber como configura r e atribuir endereos IPv6 a dispositivos dentro rede da sua organizao.
Objetivos
Configurar definies de IPv6 em um cliente de rede. ----------------------- Pgina 183----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-13
Prefixos IPv6
Como o espao de endereos IPv4, o espao de endereo IPv6 dividido por alocar partes do disponvel
espao de endereo IP para vrias funes. Os bits de ordem alta (bits que esto no incio do 128-bit Endereo IPv6) definir reas estaticamente no espao IP. Os bits de alta ordem e os se us valores fixos so conhecidos como um prefixo de formato.
Internet Assigned Numbers Authority (IANA) gerencia IPv6. Alm disso, tem definido como o IPv6 espao de endereamento ser dividido inicialmente, e especificou os prefixos formato.
A tabela a seguir mostra a alocao do espao de endereo IPv6 por prefixos formato:
O atual conjunto de endereos unicast que voc pode usar com ns IPv6 consiste de ende reos unicast globais, nica de endereos locais e endereos link-local unicast. ----------------------- Pgina 184----------- -----------4-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Prefixos IPv6
O prefixo a parte do endereo que indica os bits que tm valores fixos ou que so sub-rede pedaos de prefixo. Prefixos de sub-redes IPv6, rotas, e intervalos de endereos so expressos na mesma maneira como Classless Inter-Domain Routing notao (CIDR) para IPv4. Um prefixo IPv6 escrito em endereo / prefixo de comprimento notao. Por exemplo, 2001: DB8 :: / 48 e 2001: DB8: 0:2 :: F3B / 64 so os prefixos de endereos IPv6.
Nota implementaes IPv4 geralmente usam uma representao decimal pont uada do prefixo de rede conhecido como mscara de sub-rede. IPv6 no usa um a mscara de sub-rede, que suporta apenas a notao de prefixo de comprimento. ----------------------- Pgina 185----------- ------------
Um endereo unicast identifica uma nica interface dentro do mbito do tipo de endereo unicast. Com o apropriada unicast topologia de roteamento, pacotes endereados para um endereo uni cast so entregues a um nico interface.
Endereos unicast globais so equivalentes aos endereos IPv4 pblicos. Eles so roteveis cessvel globalmente na parte IPv6 da Internet. Os campos do endereo unicast global so:
parcela fixa definida para 001: Os trs bits de ordem superior so definidos para 00 1. O prefixo de endereo para hoje atribudos endereos globais de 2000 :: / 3. Portanto, todos os endereos unicast globais comear com 2 ou 3.
Prefixo de Roteamento Global: Indica o prefixo de roteamento global para site de uma organizao especfica. O combinao dos trs bits fixos e de 45-bit de prefixo global encaminhamento usado para criar um stio de 48-bit prefixo, que atribudo ao site individual de uma organizao. Uma vez que a atrib uio ocorre, os roteadores na a Internet IPv6 trfego IPv6 para a frente que corresponde ao prefixo 48-bit para os roteadores da site da organizao.
ID de sub-rede: A identificao de sub-rede usada no site de uma organizao para identi ficar sub-redes. Tamanho deste campo &16 bits O site da organizao pode usar esses 16 bits em seu site para criar 6 5.536 sub-redes ou vrios
Interface ID: Indica a interface em uma sub-rede especfica dentro do site. Tamanh o deste campo de 64 bits. Este ou gerada aleatoriamente ou atribudo pelo DHCPv6. No passado foi baseada na Media Access Controle de endereo (MAC) da placa de interface de rede que o endereo estava preso. ----------------------- Pgina 186----------- -----------4-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
permite que um computador para solicitar informaes de configurao de roteadores IPv6 ainda IPv6 e DHCP IPv6 s=
Link-local endereos sempre comeam com FE8. Com o identificador de inter face 64-bit, o prefixo para o link-local endereos sempre FE80 :: / 64. Um roteador IPv6 nunca encaminha o trfego link-local para alm da ligao.
Nota: O conceito de auto-retorno seguida atravs de IPv6: um ende reo indeterminado 0:0:0:0:0:0:0:0 ou ::, enquanto o endereo de loopback 0:0:0:0:0: 0:0:1 ou :: 1.
Exclusivos endereos locais fornecer um equivalente ao espao de endereo I Pv4 privado de organizaes sem a sobreposio no espao de endereo quando as organizaes combinam.
Os primeiros sete bits tem o valor binrio fixo de 1.111.110. Todos os e ndereos nicos locais tm o endereo prefixo FC00 :: / 7. A bandeira (L) Local definido 1 para indicar um endereo local. O valor da flag L definido como 0 ainda no foi definido. Portanto, nicos endereos locais com a flag L a 1 tm o pref ixo do endereo de FD :: / 8.
Os prximos 40 bits devem ser distribudos aleatoriamente para dar a resul tante de 48-bit em relao prefixo local exclusivo singularidade entre as organizaes.
Observao: Esses tipos de endereos no so mutuamente exclusivas como c om IPv4. Todos os hosts obter um link-local abordar em cada interface e tambm poderiam ter endereos unicast g lobais, e nico local Endereos IPv6 unicast. ----------------------- Pgina 187----------- -----------Confi gurao e Soluo de problemas IPv6 TCP / IP 4-17
Zona IDs
Ao contrrio dos endereos globais, voc pode reutilizar local usam endereos. Link-loca l endereos so reutilizados em cada link. Link-local endereos so ambguos, pois dessa capacidade endereo reutilizao.
Voc precisa de um identificador adicional para especificar qual a ligao atribudo um endereo ou localizados. Este adicional identificador um identificador de fuso (ID), tambm conhecido como um ID, mbito e i dentifica uma poro ligada de um rede que tenha um escopo especificado. A sintaxe especificado no RFC 4007 para a identificao da zona que associado com um endereo local de utilizao como se segue:
Zone_id endereo%
Endereo um endereo local de uso e zone_id um valor inteiro que representa a zona. Os valores do zona de ID so definidos em relao ao envio de acolhimento. Portanto, hosts diferente s podem determinar a zona diferente Valores de ID para a mesma zona fsica. Por exemplo, o Host A pode usar 3 para rep resentar a identificao da zona de link anexado e Host B pode usar 4 a representar o mesmo link.
Para baseados no Windows hosts IPv6, os IDs de zona para endereos locais de ligao so definidos como segue.
Para endereos link-local, a identificao da zona tipicamente o ndice da interface que atribudo o endereo ou para ser usado como a interface de envio para um destino local de li gao. O ndice de interface um inteiro a partir de 1, que atribudo a interfaces IPv6, que incluem um auto-retorn o e uma ou mltiplas tnel ou rede local (LAN) interfaces. Voc pode ver a lista de ndices de interface us ando o netsh ipv6 show interface de comando interface.
Neste caso, 3 o ndice da interface que est ligado ligao que contm o endereo de destino. ----------------------- Pgina 188----------- -----------4-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
No Windows, a ferramenta Ipconfig.exe exibe a identificao da zona de loc ais de uso endereos IPv6. O seguinte uma trecho da exibio do comando ipconfig.
Connection-specific DNS Suffix: wcoast.example.com Endereo IP. . . . . . . . . . . : 157.60.14.219 Mscara de sub-rede. . . . . . . . . . : 255.255.255.0 Endereo IP. . . . . . . . . . . : 2001: db8: 2A1C: 2:1 cc8: ef1d: 1dd 9: 8066 Endereo IP. . . . . . . . . . . : 2001: db8: 2A1C: 204:5 aff: fe56: f 5b Endereo IP. . . . . . . . . . . : Fe80 :: 204:5 aff: fe56: 4% f5b Default Gateway. . . . . . . . : 157.60.14.1 fe80 :: 20a: 42ff: feb0: 5400, 4%
Para os endereos locais de ligao que esto na exibio do comando ipconfig, a i dentificao da zona indica a ndice da interface que atribudo o endereo (para o endereo IP) ou a interfa ce atravs do qual um endereo pode ser acessado (para Default Gateway). ----------------------- Pgina 189----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-19
O anfitrio pode continuar por vrios estados como ele passa pelo processo de config urao automtica, e no vrias maneiras para atribuir um endereo IPv6 e outras configuraes. Com base em como o roteador est configurado para cima, um cliente pode usar a configurao stateless (sem servio DHCPv6), ou stat eful com um servidor DHCPv6 envolvidos, quer para atribuir um endereo IP e outras configuraes, ou simplesmente atribuir outra configurao configuraes. As outras configuraes podem incluir servidores DNS e nomes de domnio.
Tentativa: Verificao est ocorrendo para determinar se o endereo nico. Duplicar ender deteco executa a verificao. Um n no pode receber o trfego unicast para um endereo de ten tativa.
Validade: O endereo foi verificado como exclusivo, e pode enviar e receber trfego unicast.
Preferencial: O endereo permite que um n para enviar e receber trfego unicast para ea partir dela.
Reprovado: O endereo vlida, mas seu uso no recomendado para nova comunicao.
Stateless: configurao de endereos somente com base no recebimento de mensagens de a nncio de roteador.
Stateful: Configurao baseia-se na utilizao de um protocolo de configurao de endereo estado tais como DHCPv6 para obter endereos e outras opes de configurao:
A mquina usa stateful endereo configurao quando recebe instrues para faz-lo em ter Mensagens de propaganda.
Um host tambm usar um protocolo stateful endereo configurao quando no existem ro eadores apresentar sobre a ligao local. ----------------------- Pgina 190----------- -----------4-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Usando a configurao stateful permite que as organizaes para controlar como os endereos IPv6 so atribudos atravs DHCPv6.
Se houver quaisquer opes de escopo especficas que voc precisa para configu rar, como os endereos IPv6 de DNS servidores, em seguida, um servidor DHCPv6 necessrio.
Quando as tentativas de IPv6 para se comunicar com um servidor DHCP, e le ir usar endereos IPv6 multicast para comunicar com o servidor DHCP. Isso diferente do que com o IPv4, que u sa transmisso endereos IPv4. ----------------------- Pgina 191----------- -----------Configur ao e Soluo de problemas IPv6 TCP / IP 4-21
Configure o computador do cliente. ----------------------- Pgina 192----------- -----------4-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Desde a sua criao, o IPv6 foi projetado para ter a capacidade de convive r, a longo prazo, com o IPv4. Esta lio fornece uma viso geral das tecnologias que suportam a coexistncia dos do is protocolos IP ". Alm disso, o lio descreve os tipos de ns diferentes e implementaes de pilha IP do IPv6, e ento explica como o DNS resolve nomes para endereos IPv6, e os vrios tipos de tecnologias de tra nsio IPv6.
Objetivos
Explique tecnologias de transio IPv6. ----------------------- Pgina 193----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-23
Ao planejar uma rede IPv6, voc deve saber que tipo de ns ou hosts esto na rede. Descrevendo os ns das seguintes maneiras ajuda a definir as suas habilidades na r ede. Isto importante para tunelamento, porque certos tipos de tneis requer tipos de ns especficos, inclu indo o seguinte:
n IPv4-only: Um n que implementa apenas IPv4 (e tem apenas endereos IPv4) e no suportar IPv6. A maioria dos hosts e roteadores instalados hoje so IPv4 some nte ns.
suportar IPv4. Este n capaz de se comunicar apenas com ns IPv6 e aplicaes, e no comum hoje em dia. No entanto, pode tornar-se mais prevalente como disposit ivos menores, como telefones celulares e computadores de mo, use o protocolo IPv6 exclusivamente.
Para a coexistncia de ocorrer, o maior nmero de ns (IPv4 ou IPv6 gnglios) podem se c omunicar usando uma IPv4 infra-estrutura, uma infra-estrutura IPv6, ou uma infra-estrutura que uma c ombinao de IPv4 e IPv6. Voc vai conseguir migrao verdadeiro quando todos os ns IPv4 para o IPv6 so convertidos s omente ns. No entanto, para o futuro previsvel, voc pode conseguir a migrao prtico quando tantos IPv4 somente ns com o possvel so convertido para ns IPv6/IPv4. IPv4 somente ns pode se comunicar com IPv6 somente ns apenas quando estiver usando um proxy IPv4 para IPv6 ou gateway de traduo. ----------------------- Pgina 194----------- -----------4-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para conviver com uma infra-estrutura IPv4 e fornecer uma eventual tra nsio para uma infra-estrutura IPv6-only, voc pode usar os seguintes mecanismos.
Uma arquitetura de dupla camada IP, implementado no Windows Vista, Win dows 7, Windows Server 2008, e Windows Server 2008 R2, contm camadas de Internet IPv4 e IPv6 com uma ni ca implementao de protocolos da camada de transporte, como TCP e UDP.
Uma arquitetura de dupla camada IP contm camadas de Internet IPv4 e IPv 6 com uma nica implementao de
protocolos da camada de transporte, como TCP e UDP. Pilha dupla permit e uma fcil migrao para o IPv6. Existem menos arquivos para manter para fornecer conectividade IPv6. IPv6 tambm est disponvel, sem acrescentar qualquer novo protocolos na configurao da placa de rede.
Os pacotes IPv4
IPv6 pacotes
Arquitetura dual stack contm camadas de Internet IPv4 e IPv6 com pilhas de protocolo separadas que conter implementaes distintas de protocolos da camada de transporte, com o TCP e UDP.
O driver de protocolo IPv6 no Windows Server 2003 e Windows XP, Tcpip6 .sys, contm um separado implementao de TCP e UDP. ----------------------- Pgina 195----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-25
Os pacotes IPv4
IPv6 pacotes
Voc precisa de uma infra-estrutura DNS para a coexistncia bem-sucedida por causa d o uso predominante de nomes, em vez do que endereos para se referir a recursos de rede. Atualizando a infra-estrutura DNS consiste em preencher o Servidores DNS com registros para suportar IPv6 nome para endereo e endereo para n omes de resolues. Depois que voc obter os endereos usando uma consulta de nome DNS, o n de envio deve selecionar qu ais endereos utilizar para comunicao.
Atualizando a infra-estrutura DNS consiste em preencher a servidores DNS com os registros para suportar IPv6 de nome para endereo e endereo para nomes de resolues:
Ao usar o IPv6, DNS pode retornar vrios endereos de tipos diferentes para o mesmo host. O conjunto de fonte e endereos de destino que o host decide usar para comunicaes baseada no endereo padro regras de seleo, que voc pode configurar no host. Para visualizar as polticas de pre fixo que determinam endereo comportamento de seleo, abra um prompt de comando e digite: netsh interface ipv6 s how prefixpolicies. O seguinte representa a sada tpica desse comando:
IPv6 sobre IPv4 tnel o encapsulamento de pacotes IPv6 com um cabealho IPv4 para qu e os pacotes IPv6 podem ser enviado atravs de uma infra-estrutura IPv4, o que discutido em um tpico poster ior e na prxima lio. ----------------------- Pgina 196----------- -----------4-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Verificar a presena de registros AAAA no Contoso.com. ----------------------- Pgina 197----------- -----------Conf igurao e Soluo de problemas IPv6 TCP / IP 4-27
IPv6 sobre IPv4 tnel o encapsulamento de pacotes IPv6 com um cabealho IPv4 para qu e os pacotes IPv6 podem ser enviado atravs de uma infra-estrutura IPv4-only. Dentro do cabealho do IPv4:
O campo protocolo IPv4 definido como 41 para indicar um pacote encapsulado IPv6.
Os campos de Origem e Destino esto definidos para endereos IPv4 das extremidades d o tnel. Voc pode configurar extremidades do tnel manualmente como parte da interface de tnel o u eles so derivados automaticamente.
Nota Ao contrrio de tneis para o Protocolo Point-to-Point Tunneling (PPTP) e Layer Two Tunneling Protocol (L2TP), no h troca de mensagens para a manuteno do tnel de c onfigurao, ou resciso. Alm disso, o IPv6 sobre IPv4 tnel no oferece segurana para o tnel Pacotes IPv6. Isto significa que quando voc usa o tunelamento IPv6, no prec isa estabelecer uma conexo protegida em primeiro lugar. ----------------------- Pgina 198----------- -----------4-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Uma eventual transio bem sucedida para IPv6 requer convivncia provisria de ns IPv6 em hoje predominantemente ambiente IPv4. Para suportar isto, os pacotes IPv6 so encapsulados automaticamente ao longo do IPv4-only encaminhamento infra-estruturas, permitindo que os clientes IPv6 se co muniquem uns com os outros usando Teredo, 6to4, ou Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) endereos de e tunelamento de pacotes IPv6 em
Redes IPv4. Esta lio fornece informaes sobre as tecnologias de transio difer entes que so disponvel no Windows. As tecnologias de transio IPv6 incluem:
ISATAP: intranets locais usam encapsulamento ISATAP, que tira proveito de autoconfigurao e o principal forma na qual ns IPv6 se comunicar atravs de uma intranet somente IPv4.
6to4: Permite que hosts IPv6 com endereos IPv4 pblicos para se comunicar pela Internet IPv4-only.
Teredo: Teredo permite que hosts IPv6 com endereos IPv4 privados e est l ocalizado atrs de NATs para comunicar atravs da Internet IPv4-only.
Objetivos
Explique ISATAP.
Explique 6to4.
Explique Teredo.
Descrever portproxy. ----------------------- Pgina 199----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-29
O que ISATAP?
ISATAP uma tecnologia endereo atribuio que voc pode usar para fornecer conectividade IPv6 unicast entre os hosts IPv6/IPv4 em uma intranet do IPv4. Hosts ISATAP no requer qualquer configurao manual e pode criar endereos ISATAP, utilizando mecanismos de autoconfigurao de endereos pa dro. Voc utilizam principalmente ISATAP no site de uma das organizaes, e, embora o componente ISATAP ativado por pa dro, ele s atribui ISATAP baseados em endereos se ele pode resolver o nome ISATAP na sua red e.
Nota: Um endereo ISATAP baseado em um endereo IPv4 privado formatado como es te: [64-bit unicast prefixo]: 0:5 EFE: wxyz, enquanto um endereo ISATAP baseado em um e ndereo IPv4 pblico formatado como este: [prefixo unicast 64-bit]: 200:5 EFE: wxyz Por exemplo , FE80 :: 5EFE: 192.168.137.133 (privado) e FE80 :: 200:5 EFE: 131.107.137.1 33 (pblico).
ISATAP permite que os clientes IPv6 em uma intranet IPv4-s para se comunicar sem manual adicional roteamento. Um roteador ISATAP publicita um prefixo IPv6 e pode permitir que os clientes se comuniquem com outros clientes IPv6 em outras sub-redes IPv6.
ISATAP pode ser iniciado de vrias maneiras. O roteador ISATAP pode ser localizado por resolver o nome "ISATAP" para um endereo IPv4 usando o netsh interface IPv6 ISATAP comando R outer conjunto, ou, para o Windows 7 e Windows Server 2008 R2, configurar o roteador ISATAP Nome con figurao de Diretiva de Grupo.
Para resolver ISATAP na infra-estrutura de nomes, voc deve definir o nome ISATAP no DNS, o Windows Servio de Internet Nome (WINS), ou nos hosts / arquivos lmhosts dos Exrcitos.
Depois de localizar o roteador, o anfitrio se comunica com ele usando o IPv4. O r oteador fornece o host com informaes sobre o prefixo ISATAP IPv6 e se ele (o router) um roteador padro. ----------------------- Pgina 200----------- -----------4-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Observao: importante para planejar a implementao cuidadosamente IS ATAP; todos os ns sero conectados para a mesma sub-rede IPv6 e conscincia AD DS local configurado com o Active Directory Sites e Servios snap-in ser perdido a menos que tambm configurado para ISATAP equivalentes sub-redes. Por este motivo e outros, a Microsoft recomenda que voc use ape nas para ISATAP limitado testes, ao invs de Intranet implantao de largura, e ao invs implan tar suporte IPv6 nativo para a sua intranet. ----------------------- Pgina 201----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-31
O que 6to4?
O 6to4 uma tecnologia que voc pode usar para fornecer conectividade IPv6 unicast entre sites e hosts IPv6 atravs da Internet IPv4. 6to4 trata a Internet IPv4 inteiro como um nico link.
Em um endereo 6to4 (2002: WWXX: YYZZ: Subnet_ID: Interface_ID), WWXX: YYZZ o clon hexadecimal representao wxyz, um endereo IPv4 pblico.
Quando voc habilita o Internet Connection Sharing (ICS) em um computador rodando Windows, o seguinte ocorre:
A interface privada se conecta a uma intranet de sub-rede nica e usa endereos IPv4 privados da Prefixo 192.168.0.0/24.
O componente 6to4 deriva do prefixo sub-rede intranet de 2002: WWXX: YYZZ: InterfaceIndex :: / 64, em que InterfaceIndex o ndice da i nterface privada.
As mensagens de anncio de roteador anunciar o Internet Connection Sharing computa dor (ICS) como um padro roteador e contm o prefixo sub-rede derivada 6to4. ----------------------- Pgina 202----------- -----------4-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Dentro de um site, locais roteadores IPv6 anunciar 2002: WWXX: YYZZ: S ubnet_ID :: prefixos / 64 sub-rede para que os hosts endereos 6to4 autoconfigure. Roteadores IPv6 dentro do site entregar o
trfego entre os hosts 6to4. Hosts sub-redes individuais so configuradas automaticamente com uma rota de sub-rede de 64 bits para a entrega direta para os vizinhos e uma rota padro com o endereo do prximo salto do roteador publicidade. Trfego IPv6 que no corresponde qualquer dos prefixos de sub-rede que o site utiliza encaminhado para um roteador 6to4 na fronteira com o site. O 6to4 roteador na fronteira com o site tem uma rota 2002 :: / 16 que encami nha o trfego para outros sites 6to4 e uma rota default (:: / 0) que encaminha o trfego para uma retransmisso 6to4 na Internet IPv4.
Exemplo
Na rede de exemplo mostrado no slide, o Host A e Host B podem se comu nicar uns com os outros porque de uma rota default usando o endereo do prximo salto do roteador 6to4 n o Site 1. Quando o host A se comunica com C Anfitrio em outro site, o Host A envia o trfego para o roteador 6t o4 no site 1 como pacotes IPv6. O 6to4 router no Site 1, usando a rota 2002 :: / 16 na sua tabela de roteame nto e da interface tnel 6to4, encapsula o trfego com um cabealho IPv4 e tneis para o roteador 6to4 no site 2. O r oteador 6to4 no site 2 recebe o trfego de tnel, remove o cabealho IPv4 e, atravs da via sub-rede prefixo em sua tabela de roteamento, encaminha o pacote IPv6 ao Host C.
Por exemplo, o Host A reside na sub-rede dentro de um Site 1 que usa o endereo IPv4 pblico de 157.60.91.123. Anfitrio C reside na sub-rede 2 no Site 2 que usa o endereo IPv4 pblico 131.107.210.49. A tabela que aparece no slide, lista os endereos nos cabealhos IPv4 e IPv6 quando o roteador 6to4 no site 1 envia o pacote IPv4-IPv6 encapsulada para o roteador 6to4 no site 2. ----------------------- Pgina 203----------- -----------Config
O que o Teredo?
Teredo tunelamento permite tnel atravs da Internet IPv4-somente quando os clientes esto atrs de um IPv4 NAT. Teredo foi criado porque as conexes de Internet muitos usam endereos IPv4 pri vados por trs de um NAT. Teredo uma tecnologia de transio de ltimo recurso para a conectividade IPv6. Se o I Pv6 nativas, ISATAP, ou 6to4
conectividade est presente entre os ns de comunicao, Teredo no utilizado. medida que mais NATs IPv4 so atualizado para suportar o 6to4, e conectividade IPv6 se torna onipresente, Tere do ser utilizado com menos freqncia, at que finalmente ele no usado em tudo.
Componentes Teredo
O cliente Teredo: Suporta uma interface Teredo tunelamento atravs da qual os paco tes so encapsulados para outro Clientes Teredo ou ns na Internet IPv6 atravs de um rel Teredo.
Teredo servidor: Conecta-se Internet IPv4 e IPv6. O papel do servidor Teredo aux iliar na configurao inicial Teredo cliente e facilitar a comunicao inicial entre o Te redo clientes em locais diferentes ou entre clientes Teredo IPv6 e somente hosts na Internet IPv6.
Teredo rel: encaminha pacotes entre clientes Teredo na Internet IPv4 e IPv6 somen te hosts a Internet IPv6.
especfica do host Teredo rel: tem interfaces, e se conecta, a Internet IPv4 e IPv6 . Alm disso, ele pode se comunicar diretamente com clientes Teredo atravs da In ternet IPv4 sem precisar um rel Teredo intermedirio. A conectividade com a Internet IPv4 pode ser atra vs de um IPv4 pblico endereo ou atravs de um endereo IPv4 privado e NAT vizinho. A conectividade co m o IPv6 Internet pode ser atravs de uma ligao directa Internet IPv6 ou atravs de uma tr ansio para IPv6 tecnologia, como 6to4. ----------------------- Pgina 204----------- -----------4-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O que portproxy?
Voc pode usar o servio portproxy como um gateway de camada de aplicao para ns ou aplicativos que no suportar IPv6. Portproxy facilita a comunicao entre os ns ou aplicativos que no podem se conectar utilizando um tipo de endereo comum, camada de protocolo Internet (IPv4 ou IPv6), ea porta TCP. Este seu primeiro servio objetivo permitir que ns IPv6 se comuniquem com aplicaes IPv4 somente TCP .
Portproxy consegue os dados de proxy apenas TCP, e suporta apenas os p rotocolos da camada de aplicao que no incorporar endereo ou porta informaes dentro dos dados de camada de aplic ao. Portproxy no pode mudar de endereo o tecnologias de encapsulamento para resolver muitos dos problemas que n ormalmente seria de endereos usando portproxy.
Algumas reas onde portproxy podem ser teis e fornecer solues durante uma f ase de transio incluem:
Um n IPv6 pode acessar um servio de IPv4-only que est sendo executado em um computador portproxy. ----------------------- Pgina 205----------- -----------C onfigurao e Soluo de problemas IPv6 TCP / IP 4-35
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso decidiu iniciar o processo de migrao de sua rede para IPv6. Sua t arefa inicial provar o princpio da migrao, configurando um nico computador cliente para o IPv6.
Configurar um Roteador ISATAP para permitir a comunicao entre uma rede IP v4 e um IPv6 rede ----------------------- Pgina 206----------- -----------4-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
1.
2.
3.
4.
5. Configurar um anncio de roteador IPv6 para o endereo global 2001: d b8: 0:1 :: / 64 em rede NYC RTR.
6. Verifique a configurao IP em NYC-CL2 para garantir que ele est confi gurado com um endereo IPv6 global em o 2001: db8: 0:1 :: / 64 rede.
1.
2.
3.
4.
5.
6.
1.
2.
3. es> Tcpip>
4.
5.
6. is:
Senha: Pa $ $ w0rd ----------------------- Pgina 207----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-37
Observao Neste ponto, apenas o trfego IPv4 encaminhado atravs da infra-estrutu ra de roteamento IPv4. Porque ICMPv4 o trfego bloqueado pelo Firewall do Windows por padro, voc no po de testar conectividade com o ping.
1.
2. Desabilitar IPv6 sobre a Conexo de rea Local 2, limpando o Internet Protocol Version 6 (TCP/IPv6) caixa de seleo Conexo de rea Local 2 Propriedades.
1.
2. Desativar IPv4 no dia 3 de Conexo Local, limpando o Internet Protocol Versio n 4 (TCP/IPv4) caixa de seleo Conexo de rea Local 3 Propriedades.
3.
Nota: A sada deve ser um link-local endereo IPv6 que comea com FE80.
Tarefa 5: Configurar um anncio de roteador IPv6 para o endereo global 2001: db8: 0:1 :: / 64 da rede em NYC-RTR
1.
2.
netsh interface ipv6 set interface "Conexo de rea Local 3" forwarding = enab led anunciar = habilitado
netsh interface ipv6 adicionar a rota 2001: db8: 0:1 :: / 64 "Conexo de rea Local 3" publicar = yes
Tarefa 6: Verifique a configurao IP em NYC-CL2 para garantir que ele est configurad o com um Endereo IPv6 global em 2001: db8: 0:1 :: / 64 da rede
1.
2.
Nota: A sada deve ser um link-local endereo IPv6 que comea com FE80. Dois IP global endereos que comeam com 2001: db8: 0:1: tambm deve ser includo na sada.
3.
Resultados: No final deste exerccio, voc ter configurado NYC-CL2 para IPv6 apenas. ----------------------- Pgina 208----------- -----------4-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Exerccio 2: Configurando um Roteador ISATAP para permitir a comunicao Entre uma rede IPv4 e uma rede IPv6
Remoto
Neste exerccio, voc ir configurar ISATAP para permitir a conectividade en tre o cliente eo novo IPv6 IPv4 restantes clientes, incluindo NYC DC1.
1.
2.
3.
4.
Testar conexo
1.
2.
Zona: Contoso.com
Nome: ISATAP
Observao: Quando substituindo o Interface_Index seguinte, certifiq ue-se que voc digite sua
1.
2. Mude para o prompt de comando. Digite cada um dos seguintes comand os e pressione ENTER aps cada comando:
ipconfig
3. Localize o adaptador ISATAP do tnel. {Interface_Index}: que tem um endereo IPv6 link-local que contm 10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.
ndice de Interface:
4. Digite o seguinte comando, substituindo Interface_Index com o nmero (e chaves {}) que voc registrado anteriormente, em seguida, pressione ENTER:
netsh interface ipv6 set interface ISATAP ".Interface_Index enca minhamento "= habilitado anunciar = habilitado ----------------------- Pgina 209----------- -----------Configurao e S oluo de problemas IPv6 TCP / IP 4-39
5. No prompt de comando, digite o seguinte comando, substituindo Interface_Ind ex com o nmero (E entre chaves {}) que voc anotou anteriormente, e ento pressione ENTER:
netsh interface ipv6 adicionar a rota 2001: db8: 00:10 :: / 64 "isatap.Int erface_Index " publicar = yes
6. :
Senha: Pa $ $ w0rd
7.
Observao O adaptador de tnel associado com a rede 10.10.0.0/16 ir exibir uma I Pv6 Endereo em 2001: db8: 0:10 gama.
1.
2.
ipconfig
Observao: O Adaptador de tnel isatap {} Interface_Index (que o adaptador ISAT AP) tem recebidas automaticamente um endereo IPv6 do roteador ISATAP.
1.
2.
Programa: Default
Alcance: padro
Aco: Padro
Perfil: Padro
3.
4.
ipconfig
----------------------- Pgina 210----------- -----------4-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
5.
6.
Programa: Default
Alcance: padro
Aco: Padro
Perfil: Padro
7.
No desligue as mquinas virtuais nesse momento, pois voc vai precisar dele s para completar a prxima LABORATRIO ----------------------- Pgina 211----------- -----------C onfigurao e Soluo de problemas IPv6 TCP / IP 4-41
A transio do IPv4 para o IPv6 deve levar anos. IPv4 continua a ser o pad ro IP para a maioria dos aplicaes e servios de Internet em uso hoje. No entanto, as redes mais e m ais aplicativos podem funcionam bem em um ambiente compatvel com IPv6, como o Windows 7 e Win dows Server 2008 R2 so adotadas mais amplamente. Nesta lio, voc aprender sobre as questes que voc deve consi derar ao fazer a transio para IPv6 e rever as medidas necessrias para a transio para uma infra-estrutur a compatvel com IPv6.
Objetivos
----------------------- Pgina 212----------- -----------4-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Ao migrar de IPv4 para IPv6, voc deve considerar os aplicativos que voc usar, sua rede dispositivos e atualizaes de dispositivos potenciais que podem ocorrer. ----------------------- Pgina 213----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-43
A migrao do IPv4 para o IPv6 dever levar um tempo considervel. Isto foi tomado em co nsiderao aquando da concepo IPv6 e, como resultado, o plano de transio para IPv6 um processo em vrias etapas, que permite convivncia prolongada.
Para atingir a meta de um ambiente puramente IPv6, use as seguintes diretrizes g erais:
Atualize seus aplicativos para ser independente do IPv6 ou IPv4. Por exemplo, as aplicaes podem ser alterados para usar novos sockets do Windows interfaces de programao de aplic ativo (APIs) para que o nome
resoluo, a criao de socket, e outras funes so independentes, independentemente de voc estiver usando IPv4 ou IPv6.
Atualizar a infra-estrutura DNS para suportar IPv6 e PTR. Voc pode ter que atualizar a infra-estrutura DNS para suportar os novos registros AAAA (obri gatrio) e PTR no
IP6.ARPA reversa domnio (opcional). Alm disso, garantir que o DNS servidores suporte o trfego de DNS sobre IPv6 e atualizao dinmica de DNS para registros AAAA para que os hosts IP v6 podem registar os seus nomes e Endereos IPv6 automaticamente.
Atualizar hosts para ns IPv6/IPv4. Voc deve atualizar hosts para usar IPv4 e IPv6. Voc tambm deve adicionar o suporte DNS resolver para processar os resultados da consu lta DNS que contm tanto IPv4 e IPv6 Endereos Voc pode implantar ISATAP em uma capacidade limitada para testar IPv 6 e funcionalidade DNS.
Atualizao de roteamento infra-estrutura para o roteamento IPv6 nativo. Voc deve atu alizar roteadores para apoiar IPv6 nativa de roteamento e protocolos de roteamento IPv6. ----------------------- Pgina 214----------- -----------4-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Ao iniciar no topo da pilha, os mtodos que voc pode usar para solucionar IPv6 incluem:
Voc pode usar as seguintes tarefas para solucionar problemas de conecti vidade IPv6:
Verifique se a configurao
Verifique a acessibilidade
Verificar a configurao
Ipconfig mostra tanto IPv4 e IPv6. Comandos no contexto netsh interfac e IPv6 apenas mostrar dados IPv6. Voc tambm pode usar o Netsh.exe para ver os dados de outro computador de configurao IPv6. Voc pode obter informaes significativas usando Netsh.exe, e us-lo para configurar as def inies mais IPv6. Para acessar o NETSH IPv6 configurao prompt, digite: netsh-c "interface ipv6". ----------------------- Pgina 215----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-45
Verifique acessibilidade
Se o carto de um dispositivo de rede mudou, possvel que o endereo de hardware no foi atualizado no cache do computador que est tentando se conectar.
Ping tambm foi atualizado para o IPv6. Se voc precisar pingar um roteador IPv6 usa ndo o endereo link-local, voc deve tambm fornecer um ID de zona do router (o que listado quando voc executa uma Ipconfig).
Veja a tabela de roteamento IPv6. Este um passo bastante avanado que lhe permite discernir onde sua computador est tentando enviar dados especficos da rede.
Verifique a confiabilidade roteador usando a ferramenta Pathping. Este um mtodo p ara detectar gargalos ou mal configurado o hardware de rede.
Ao verificar a conectividade da rede de servios, voc pode usar muitas das mesmas f
Quando a verificao de resoluo de DNS de configurao e nome, voc pode verificar a config rao do DNS utilizando as seguintes ferramentas:
ipconfig / all: A exibio do comando ipconfig / all inclui endereos IPv6, os roteado res padro e Configuraes de DNS para todas as interfaces. A ferramenta Ipconfig s funciona no computador local.
Ipconfig / displaydns e ipconfig / flushdns: Use estes comandos para exibir e li berar o DNS cliente resolver-cache.
Ping: Use a ferramenta Ping para testar a resoluo de nomes DNS. Certifique-se de p ing no nome do IPv6.
Nslookup: Use a ferramenta Nslookup para visualizar respostas do servidor DNS. D efina a consulta para procurar AAAA registros com o type = AAAA opo.
Verifique se a filtragem de pacotes: Este o mesmo processo que para verificar a conectividade IPv6, mas s vezes a filtragem de pacotes ir bloquear um tipo de conexo de entrada, tais como File Transfer Protocol (FTP), mas permitir que a porta 80 (HTTP). Tambm pode bloquear solicitaes ping .
Verifique se TCP estabelecimento da ligao (Telnet): Para verificar uma conexo TCP e
m certas circunstncias, tais como os mencionados anteriormente, use o Microsoft cliente Telnet para conectar diretamente para o endereo ea porta do servio que est sendo investigada. Por exemplo: telnet 2001: db8 : : 1 80. ----------------------- Pgina 216----------- -----------4-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. As mquinas virtuais deve ser executado aps a concluso do Laboratrio A.
Cenrio Lab
O piloto correu bem. Seu gerente lhe pediu para converter a rede para IPv6. Sua tarefa para desativar ISATAP e ativar o roteamento IPv6 nativo.
Para este projeto, voc deve transio para uma rede IPv6 nativa. ----------------------- Pgina 217----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-47
Remoto
1.
2.
3.
4.
Observao: Quando substituindo o Interface_Index seguinte, certifique-se que voc digite sua Interface_Index com os suportes {} em ambos os lados.
1.
2.
ipconfig
3. Localize o adaptador ISATAP do tnel. {Interface_Index}: que tem um endereo IP v6 link-local que contm 10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.
ndice de Interface:
4. Digite os seguintes comandos, substituindo Interface_Index com o nmero (e ch aves {}) que voc
registrado anteriormente.
netsh interface ipv6 set interface ISATAP ".Interface_Index encaminhament o "= desativado anunciar = desativado
netsh interface ipv6 Delete Route 2001: db8: 00:10 :: / 64 "isatap.Interf ace_Index "
netsh interface ipv6 set interface "Local Area Connection 2" forwarding = enabled anunciar = habilitado
netsh interface ipv6 adicionar a rota 2001: db8: 0:0 :: / 64 "Conexo de rea Local 2" publicar = yes
1. Desativar IPv4 no 2 Local Area Connection, limpando o Internet Protocol Ver sion 4 (TCP/IPv4) caixa de seleo Conexo de rea Local 2 Propriedades.
2.
----------------------- Pgina 218----------- -----------4-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
3.
4. Habilitar IPv6 na Conexo de rea Local 2 selecionando o Internet Pro tocol verso 6 (TCP/IPv6) caixa de seleo na Conexo de rea Local 2 Propriedades.
1.
2.
Programa: Default
Alcance: padro
Aco: Padro
Perfil: Padro
3.
Anote o novo endereo IPv6 (endereo global comea com 2001 :) atribudo Conexo de rea Local
4.
6.
Anote o endereo IPv6 (endereo global comea com 2001 :) atribudo Conexo Local 2. Anote o endereo IPv6 no espao abaixo.
7.
Resultados: No final deste exerccio, voc ter configurado uma rede IPv6 ap enas.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.
3.
4.
Questes de Reviso
1.
2.
3. reo IPv6?
4. Que tipo de endereo IP que cada cliente IPv6 automaticamente atribu ir a si mesma?
5. Como o escopo de um endereo de afectar a sua capacidade para se com unicar em uma sub-rede conectada localmente?
6.
Ferramentas
Netsh Fornece informaes detalhadas sobre a configurao IPv6, e o principa l ferramenta usada para configurar o IPv6 no Wi ndows Server 2008 e Windows Vista. Voc tambm pode usar esta ferramenta de linha de comando para configurar um roteador IPv6. ----------------------- Pgina 220----------- -----------4-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 221----------- -----------5.1%
Mdulo 5
Contedo:
Lab B: Configurando e Gerenciando DirectAccess 5-65 ----------------------- Pgina 222----------- -----------5-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para apoiar a fora de trabalho distribuda de sua organizao, voc deve se fam iliarizar com as tecnologias que permitir que usurios remotos se conectem a infra-estrutura de rede da o rganizao. Essas tecnologias incluem redes privadas virtuais (VPNs) e DirectAccess. importante que voc enten da como configurar e proteger seus clientes de acesso remoto atravs de polticas de rede. Es te mdulo explora estes remoto acesso a tecnologias.
Objetivos
Use o Kit de Administrao do Manager para criar e configurar perfis de co nexo do cliente.
Implementar o DirectAccess. ----------------------- Pgina 223----------- -----------Configurao e Sol uo de Problemas de Roteamento e Acesso Remoto 5-3
importante que voc capaz de instalar e configurar os componentes necessri os que suportam rede acesso em uma rede Windows Server 2008 R2.
Objetivos
----------------------- Pgina 224----------- -----------Infra-estrutura Configurao e Soluo de Problemas no Windows Server 2008 Rede 5-4
A infra-estrutura subjacente em uma rede de infra-estrutura de acesso completo Services no Windows Server 2008 R2 geralmente inclui os seguintes componentes:
VPN Server: Fornece conectividade de acesso remoto baseado em vrios pro tocolos de encapsulamento VPN ao longo de um rede pblica, como a Internet.
Active Directory Domain Services (AD DS): As solicitaes de servios de aut enticao de acesso remoto as tentativas de conexo do cliente.
Dynamic Host Configuration Protocol (DHCP): Fornece aceite acesso remo to de entrada conexes com uma configurao de IP para conectividade de rede para a r ede local corporativa LAN
NAP Servidor Poltica de Sade: Avalia a sade do sistema contra as polt icas de sade configuradas que descrever os requisitos de sade e comportamentos de execuo, com o a exigncia de que a ligao clientes tem de ser compatvel antes de ganhar acesso rede.
Autoridade de Registro: Obtm certificados sanitrios para os cliente s que passam a poltica de sade Verificao
Remediao Servidores: Prestar servios de correo para aqueles clientes q ue no atendem a sade requisitos para a rede corporativa. Servidores de remediao so s ervidores especiais em um nmero limitado rede ----------------------- Pgina 225----------- -----------Configurao e Soluo de Problemas de Roteamento e Acesso Remoto 5-5
A Diretiva de Rede e Acesso aos Servios de papel no Windows Server 2008 R2 fornec e a rede seguinte solues de conectividade:
Aplicar as polticas de sade: Estabelecer e aplicar automaticamente as polticas de s ade, que podem incluir requisitos de software, requisitos de atualizao de segurana, configuraes de comp utador necessrios, e outros
configuraes.
Ajudar a proteger o acesso com e sem fio: Quando voc implanta 802.1X pontos de ac esso sem fio seguro acesso sem fio oferece aos usurios sem fio com um certificado de seguro ou a utenticao baseada em senha mtodo que simples de implantar. Quando voc implantar switches de autenticao 802 .1X, o acesso com fio permite-lhe proteger a sua rede, garantindo que os usurios da intranet so aut enticados antes de poderem conectar rede ou obter um endereo IP usando DHCP.
Fornecer solues de acesso remoto: Com as solues de acesso remoto, voc pode fornecer a os usurios com VPN e acesso dial-up tradicional rede da organizao. Voc tambm pode conectar filiais para sua rede com solues VPN, implantar roteadores full-featured software em sua r ede, e compartilhar Ligaes Internet atravs da intranet.
Centralize o gerenciamento de polticas de rede com o servidor RADIUS e proxy: Em vez de configurar poltica de acesso rede em cada servidor de acesso rede, como pontos de acess o sem fio, 802.1X comutadores de autenticao, servidores VPN e servidores dial-up, voc pode criar polticas em um nico local que especificam todos os aspectos de pedidos de conexo de rede, incluindo qu em tem permisso para se conectar, quando eles podem se conectar, eo nvel de segurana que devem usar para se conectar a sua rede. ----------------------- Pgina 226----------- -----------5-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Multiprotocol LAN-to-LAN, LAN-to-Wide Area Network (WAN), VPN, e traduo de endereos de rede (NAT) servios de roteamento
Voc pode implantar as seguintes tecnologias durante a instalao do Roteame nto e Acesso Remoto Papel de servio:
Servio de acesso remoto: Usando Roteamento e Acesso Remoto, voc pode imp lantar conexes VPN para fornecer aos usurios finais acesso remoto rede da sua organizao. Voc tambm pode criar um site-toconexo do site VPN entre dois servidores em locais diferentes. Con figure cada servidor com Roteamento e acesso remoto para enviar dados privados de forma segura. A lig ao entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem por demanda ).
Acesso Remoto tambm fornece acesso dial-up remoto tradicional para suporte a usurios mveis ou usurios domsticos que estiverem discando para intranets de uma organizao, embora esta seja hoje menos utilizados.
roteamento: fornece um roteador software full-featured e uma plataform a aberta para roteamento e internetworking. Oferece servios de roteamento a empresas em ambie ntes LAN e WAN.
Quando voc escolhe roteamento, voc tambm pode optar por utilizar Net work Address Translation (NAT). Quando voc implantar o NAT, o servidor que esteja executando o Roteamento e Acesso Remoto configurado para compartilhar uma Internet
conexo com computadores na rede privada e de traduzir o trfego entr e seu endereo pblico ea rede privada. Ao usar o NAT, os computadores da rede privada g anhar alguma medida de proteo, pois o roteador em que voc configurar NAT no encaminhar trfego da Internet na rede privada, a menos que um cliente solicita rede privada ou o trfego ser permitido de forma explcita.
Quando voc implanta VPN e NAT, configurar o servidor que esteja ex ecutando o Roteamento e Acesso Remoto para fornecer NAT para a rede privada e para aceitar conexes VPN. Computadores na Internet no ser capaz de determinar os endereos IP dos computadores na rede p rivada. No entanto, VPN ----------------------- Pgina 227----------- -----------Configurao e Soluo d e Problemas de Roteamento e Acesso Remoto 5-7
os clientes podero se conectar a computadores da rede privada como se estivessem fisicamente em anexo mesma rede. ----------------------- Pgina 228----------- -----------5-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
A distino entre autenticao e autorizao importante para entender por conexo tentativas so aceitos ou negados:
Autenticao a verificao de credenciais a tentativa de conexo. Este processo consiste em enviar as credenciais do cliente de acesso remoto ao servidor de acesso remoto em qualquer texto simples
Autorizao a constatao de que a tentativa de conexo permitida. A autoriza rre aps autenticao bem-sucedida.
Para uma tentativa de conexo para ser aceita, a tentativa de conexo deve ser autenticado e autorizado. possvel que a tentativa de conexo para ser autenticado usando credenciai s vlidas, mas no autorizado, neste caso, a tentativa de conexo ser negada.
Se voc configurar um servidor de acesso remoto para autenticao do Windows , os recursos de segurana do Windows Server 2008 R2 verificar as credenciais de autenticao, enquanto discagem da conta do usurio propriedades e localmente armazenados de acesso remoto polticas autorizar a conexo. Se a tentativa de conexo for autenticada e autorizada, a tentativa de conexo aceita.
Se voc configurar o servidor de acesso remoto para autenticao RADIUS, as credenciais da tentativa de conexo
so passados para o servidor RADIUS para autenticao e autorizao. Se a tentati a de conexo ao mesmo tempo autenticado e autorizado, o servidor RADIUS envia uma mensagem de volt a para aceitar o acesso remoto servidor ea tentativa de conexo aceita. Se a tentativa de conexo no for a utenticada ou no autorizado, o servidor RADIUS envia uma mensagem de rejeio de volta pa ra o servidor de acesso remoto eo tentativa de conexo ser rejeitada. ----------------------- Pgina 229----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e Acesso Remoto 5-9
A autenticao de clientes de acesso uma questo de segurana importante. Mtodos de auten ticao normalmente usam um protocolo de autenticao que negociado durante o processo de estabelecimento da conexo.
PAP
Password Authentication Protocol (PAP) usa senhas em texto puro e a autenticao men os seguro protocol Ele normalmente negociado se o cliente de acesso remoto eo servidor de acesso remoto no pode negociar um forma mais segura de validao. PAP est includo no Microsoft Windows Server 2008 R2 pa ra o seguinte razes:
Clientes de acesso remoto que estejam executando o Microsoft Windows de 32 bits sistemas operacionais pode se conectar a mais antigos servidores de acesso remoto que no suportam um protocolo de aut enticao segura.
Os Clientes de acesso remoto que estejam executando sistemas operacionais Micros oft que no suportam um seguro protocolo de acesso remoto pode se conectar a servidores de acesso remoto q ue estejam executando o Windows 32-bit .
CHAP
O Challenge Handshake Authentication Protocol (CHAP) uma autenticao desafio-respos ta protocolo que usa o padro da indstria Message Digest 5 (MD5) esquema de hashing pa ra criptografar o Resposta de mudana de passo Vrios fornecedores de servidores de acesso rede e clie ntes usar o CHAP.
Um servidor que esteja executando o Roteamento e acesso remoto suporta CHAP para que os clientes de acesso remoto que exigir CHAP sejam autenticados. Como o CHAP requer o uso de uma senha criptograf ada reversvel, deve considerar o uso de outro protocolo de autenticao, tais como MS-CHAP verso 2. ----------------------- Pgina 230----------- -----------5-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
MS-CHAP V2
Handshake da Microsoft Desafio Authentication Protocol (MS-CHAP v2) um one-way senha criptografada, mtua-autenticao processo que funciona como se segue:
1. O autenticador (o servidor de acesso remoto ou o computador que e st executando o Servidor de Diretivas de Rede) envia um desafio ao cliente de acesso remoto que consiste em um i dentificador de sesso e uma arbitrria desafiar string.
2. O cliente de acesso remoto envia uma resposta que contm uma cripto grafia unidirecional da mensagem de seqncia de desafio, a seqncia de desafio de mesmo nvel, o identificado r da sesso ea senha do usurio.
3. O autenticador verifica a resposta do cliente e envia de volta um a resposta contendo uma indicao do sucesso ou fracasso da tentativa de conexo e uma resposta autenticada baseada na seqncia de desafio enviada, a seqncia de desafio de mesmo nvel, a r esposta criptografada do cliente, eo usurio <password>
4. O cliente de acesso remoto verifica a resposta de autenticao e, se estiver correta, usa a conexo. Se
a resposta de autenticao no estiver correta, o cliente de acesso rem oto finaliza a conexo.
Com o Extensible Authentication Protocol (EAP), um mecanismo de autent icao arbitrrio autentica um conexo de acesso remoto. O cliente de acesso remoto eo autenticador (o servidor de acesso remoto ou o Remote Authentication Dial-In User Service (RADIUS) servidor) neg ociar a autenticao exata esquema para ser utilizado. Roteamento e acesso remoto inclui suporte para o Nvel de Segurana EAP-Transport (EAPTLS) por padro. Voc pode conectar outros mdulos EAP ao servidor que estej a executando o Roteamento e Remoto Acesso prestao de outros mtodos EAP.
Usando cartes inteligentes para autenticao de usurio a forma mais forte de autenticao do Windows Server 2008 famlia. Para conexes de acesso remoto, voc deve usar o EAP com o car to inteligente ou outro certificado (TLS) Tipo de EAP, tambm conhecido como EAP-TLS.
Para usar cartes inteligentes para autenticao de acesso remoto, voc deve:
Configurar o carto inteligente ou outro certificado (TLS) EAP tipo de p olticas de rede.
Habilitar a autenticao de carto inteligente no dial-up ou VPN no cliente de acesso remoto. ----------------------- Pgina 231----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-11
Voc pode implantar o servio de servidor DHCP com o servio Roteamento e acesso remot o para fornecer remoto acesso a clientes com um endereo IP dinamicamente atribudo durante a conexo. Quando voc usa esses servios juntos no mesmo servidor, as informaes fornecidas durante a configurao dinmica fornec ida de forma que diferente da configurao do DHCP para LAN tpico base de clientes.
Em ambientes de rede local, os clientes DHCP negociar e receber as informaes de co nfigurao a seguir, com base inteiramente de configuraes que voc define no console do DHCP para o servidor DHCP:
Um endereo IP concedido fornecido a partir de um pool de endereos disponveis de um escopo ativo no servidor DHCP. O servidor DHCP gerencia e distribui diretamente o endereo para o cliente DH CP baseado em LAN.
Os parmetros adicionais e outras informaes de configurao que as opes atribudas DHCP concesso de endereo fornecido. Os valores e lista de opes correspondem a tipos de opo que voc configura e atribuir no servidor DHCP.
Quando um servidor de roteamento e acesso remoto fornece configurao dinmica para cl ientes dial-up, ele primeiro executa as seguintes etapas:
Quando o servidor que esteja executando o Roteamento e Acesso Remoto iniciado co m o Uso DHCP para atribuir remoto TCP / IP endereos opo, ele instrui o cliente DHCP para obter 10 endereos IP de um servidor DHCP servidor.
O servidor de acesso remoto usa o primeiro desses 10 endereos IP que so obtidos a partir do DHCP servidor para a interface do servidor de acesso remoto.
Os restantes nove endereos so alocados para TCP / IP baseados em clientes como dis car para estabelecer uma sesso com o servidor de acesso remoto.
Endereos IP que so liberados quando os clientes de acesso remoto desconectar so reu tilizados. Quando todos os 10 endereos IP so usado, o servidor de acesso remoto obtm 10 mais de um servidor DHCP. Quando o Rou ting and Remote Paragens de acesso ao servio, todos os endereos IP que foram obtidos atravs de DHCP so liberados. ----------------------- Pgina 232----------- -----------5-12 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede
Quando o servidor de roteamento e acesso remoto usa esse tipo de cache pr-ativo de concesses de endereo DHCP para clientes dial-up, que registra as seguintes informaes para cada res posta de arrendamento que no obtm a partir da Servidor DHCP:
O cliente alugado endereo IP (para posterior distribuio ao cliente de rot eamento e acesso remoto)
A durao da locao
Toda a informao outra opo DHCP que o servidor DHCP retorna-como servidor, escopo ou reserva opes- descartado. Quando o cliente disca para o servidor e solicita um en dereo IP (isto , quando Servidor endereo IP atribudo selecionado), ele usa uma concesso de DHCP e m cache para fornecer ao cliente dial-up com configurao dinmica do endereo IP.
Quando o endereo IP fornecido ao cliente dial-up, o cliente no sabe que o endereo IP tem sido obtidas atravs deste processo intermedirio entre o servidor DHCP eo Rote amento e Remoto Acesso ao servidor. O servidor de roteamento e acesso remoto mantm a co ncesso em nome do cliente. Portanto, a nica informao que o cliente recebe a partir do servidor DHCP o endereo I P.
No dial-up ambientes, os clientes DHCP negociar e receber configurao dinm ica usando o seguinte comportamento modificado:
Um endereo IP concedido pelo roteamento e cache do servidor de acesso r emoto de endereos de escopo DHCP. O Servidor de roteamento e acesso remoto obtm e renova o seu pool de endereos em cache com o servidor DHCP.
Se o servidor DHCP normalmente fornece os parmetros adicionais e outras informaes de configurao que atualmente fornecida atravs de opes atribudas DHCP na concesso de endereo, esta informao retornou ao cliente de roteamento e acesso remoto com base em pro
Observao Os servidores DHCP que executam o Windows Server 2008 R2 fornecer um usurio predefinido classe, o roteamento padro e classe de acesso remoto, para a atri buio de opes que so fornecidas apenas para clientes Roteamento e Acesso Remoto. ----------------------- Pgina 233----------- -----------Configurao e So luo de Problemas de Roteamento e acesso remoto 5-13
Uma VPN fornece uma conexo ponto-a-ponto entre os componentes de uma red e privada atravs de um pblico rede, tal como a Internet. Protocolos de tunelamento permitir que um c liente VPN para estabelecer e manter um conexo a um servidor VPN est ouvindo porta virtual.
Para implementar e suportar um ambiente de VPN dentro de sua organizao, i mportante que voc compreender como selecionar um protocolo adequado de tunelamento, confi gure a autenticao VPN e configurar o Diretiva de Rede e acesso funo de servidor Servios de apoio sua configurao escolhida.
Objetivos
Descrever como uma conexo VPN usado para conectar clientes de rede remot a.
Descrever as tarefas adicionais que podem ser concludas depois de config urar um servidor VPN. ----------------------- Pgina 234----------- -----------5-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para emular uma ligao ponto a ponto, os dados so encapsulados, ou empacot ados, e prefixado com um cabealho, o que cabealho fornece informaes de roteamento que permite que os dados atraves sem a rede partilhada ou pblica para atingir o seu ponto final.
Para emular uma ligao privada, os dados so criptografados para garantir a confidencialidade. Os pacotes que so interceptados na da rede pblica ou partilhada so indecifrveis O link em que o privado sem as chaves de criptografia.
Acesso remoto
Site-to-site
Conexes de acesso remoto VPN permitir que os usurios que trabalham em ca sa do cliente, ou de um pblico ponto de acesso sem fio para acessar um servidor na rede privada da or ganizao usando a infra-estrutura que proporciona uma rede pblica, tal como a Internet.
Do ponto de vista do usurio, a VPN uma conexo ponto-a-ponto entre o comp utador, o VPN cliente e servidor da sua organizao. A infra-estrutura exata da rede com partilhada ou pblica irrelevante porque aparece logicamente como se os dados so enviados atravs de um lin k privado dedicado.
Site-to-Site VPN
Conexes site-to-site VPN, que tambm so conhecidos como conexes de roteador a roteador VPN, permitir que o seu organizao ter conexes roteadas entre escritrios separados ou com outras or ganizaes ao longo de um rede pblica, ajudando a manter comunicaes seguras.
Uma conexo VPN roteada pela Internet opera logicamente como um dedicado wide area network (WAN) link Quando as redes se conectam atravs da Internet, um roteador encami nha pacotes para outro roteador atravs de uma VPN conexo. Para os roteadores, a conexo VPN funciona como uma ligao de camada de enlace de dados. ----------------------- Pgina 235----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-15
Um site-to-site VPN conecta duas partes de uma rede privada. O servidor VPN forn ece um encaminhado ligao rede qual o servidor VPN est conectado. O roteador de chamada (o cliente VPN) se autentica para o roteador de resposta (o servidor VPN), e para autenticao mtua, a responder router autentica-se para o roteador de chamada.
Em um site to-site VPN conexo, os pacotes enviados a partir de qualquer router at ravs da conexo VPN normalmente no se originam nos roteadores.
Conexes VPN que usam o protocolo Point-to-Point Tunneling (PPTP), Layer 2 Tunneli ng Protocol com Internet Protocol Security (L2TP/IPsec) e Secure Socket Tunneling Protocol (SSTP ) tem o seguinte Propriedades).
Encapsulamento: Com a tecnologia VPN, dados privados so encapsulados com um cabeal ho que contm encaminhamento informao que permite que os dados para atravessar a rede de trn sito.
Para estabelecer a conexo VPN, o servidor VPN autentica o cliente VPN q ue est tentando a conexo usando um mtodo de autenticao PPP em nvel de usurio e verifica se o cliente VPN
tem a devida autorizao. Se voc usar autenticao mtua, o cliente VPN tambm autentica o servidor VPN, que fornece proteo contra computadores que so aparece como servidores VPN.
Para estabelecer uma associao de segurana IPsec, o cliente VPN eo servido r VPN usa o protocolo IKE a troca de certificados de computadores ou uma chave pr-compartilhada. Em ambos os casos, o cliente VPN e servidor autenticar um ao outro no nvel do computador. Recomendamos com putador certificado
autenticao, porque um mtodo de autenticao muito mais forte. Computador-nvel autenticao realizada apenas para conexes L2TP/IPSec.
Para verificar se os dados enviados na conexo VPN originaram na outra e xtremidade da conexo e no foram modificados em trnsito, os dados contm um checksum criptogrfico c om base em uma criptografia chave conhecida apenas pelo emissor e do receptor. Autenticao da origem e integridade dos dados so disponvel apenas para conexes L2TP/IPSec.
Criptografia de dados: Para garantir a confidencialidade dos dados medida que at ravessa o trnsito pblico ou compartilhado rede, o remetente codifica os dados eo receptor decifra-lo. A criptografia e descriptografia processos dependem tanto o remetente quanto o receptor usando uma chave de criptografia comum.
Pacotes interceptados enviados ao longo da conexo VPN na rede de trnsito so in inteligveis para qualquer um que no tem a chave de encriptao comum. Comprimento da chave de criptografia um a segurana importante
parmetro. Voc pode usar tcnicas computacionais para determinar a chave de crip tografia. No entanto, tais tcnicas exigem mais poder de computao e tempo computacional como as chaves de criptografia ficam maiores. Portanto, importante usar o maior tamanho de chave possvel para assegurar a confidencialidade de dados. ----------------------- Pgina 236----------- -----------5-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
PPTP, L2TP e SSTP dependem fortemente dos recursos originalmente previ stos para PPP. O PPP foi concebido para enviar dados atravs de dial-up ou dedicado ponto-a-ponto ligaes. Para IP, PPP encapsula pacotes IP dentro de quadros PPP e, em seguida, transmite os pacotes PPP encapsul ados atravs de um link ponto-a-ponto. PPP foi definido originalmente como o protocolo a ser usado entre um clien te dial-up e um servidor de acesso rede.
PPTP
PPTP permite criptografar e encapsular em um cabealho IP trfego de multi -protocolo que ento enviado atravs de uma rede IP ou uma rede IP pblica, como a Internet. Voc pode us ar PPTP para acesso remoto e site-to-site VPN. Ao usar a Internet como a rede pblica VPN, o servidor PPTP um PPTP habilitado servidor VPN com uma interface na Internet e uma segun da interface na intranet.
Encapsulamento: PPTP encapsula quadros PPP em datagramas IP para trans misso em rede. PPTP usa um Transmission Control Protocol (TCP) para a gesto do tnel e uma verso modificada do Generic Routing Encapsulation (GRE) para encapsular os quadros PP
P para dados de tnel. Cargas da quadros PPP encapsulados podem ser criptografados, compactados ou ambos.
Criptografia: O quadro PPP criptografado com a Microsoft criptografia ponto a ponto (MPPE) usando chaves de criptografia que so gerados a partir do MS-CHAPv2 ou EAP -TLS processo de autenticao. VPN os clientes devem usar o MS-CHAPv2 ou EAP-TLS protocolo de autent icao para que as cargas de PPP quadros so criptografados. PPTP est se aproveitando da criptografia PPP subjacente e encapsular uma previamente criptografada quadro PPP.
L2TP
Layer 2 Tunneling Protocol (L2TP) permite criptografar o trfego multi-p rotocolo para enviar por qualquer meio que apia o ponto-a-ponto de entrega de datagramas, como o IP ou o modo de transferncia assncrona (ATM). L2TP uma combinao de PPTP e Layer 2 Forwarding (L2F). L2TP representa as melh ores caractersticas de PPTP e L2F. ----------------------- Pgina 237----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-17
Ao contrrio do PPTP, a implementao da Microsoft de L2TP no utiliza MPPE para criptog rafar datagramas PPP. L2TP depende de IPsec em modo de transporte para servios de criptografia. A combinao de L2TP e IPsec conhecido como L2TP/IPsec.
Tanto o cliente VPN eo servidor deve apoiar L2TP e IPsec. Suporte ao cliente par a L2TP construdo para o Windows XP, Windows Vista e Windows 7 clientes de acesso remoto, VPN e suporte d e servidor a L2TP
construdo para membros do Windows Server 2008 e Windows Server 2003 da famlia.
Um quadro PPP (um datagrama IP) enrolado com um cabealho L2TP e um User Datagram Protocol (UDP) cabealho.
A mensagem L2TP resultante envolto com uma carga de segurana IPsec enca psulamento (ESP) cabealho e um reboque, um reboque de autenticao IPsec que fornece integridade de mensagem e autenticao, e um cabealho IP final. O cabealho IP contm o endereo IP origem e destino que corresponde ao cliente VPN eo servidor.
Criptografia: A mensagem L2TP criptografada com um Advanced Encryption Standard (AES) ou tripla DES (3DES) usando chaves de criptografia que o processo de negociao IKE gera.
SSTP
Protocolo Secure Socket Tunneling (SSTP) um protocolo de tunelamento que usa o H ypertext Transfer seguro Protocol (HTTPS) na porta TCP 443 para passar o trfego atravs de firewalls e proxi es da Web que podem bloquear o trfego PPTP e L2TP/IPSec. SSTP fornece um mecanismo para encapsular o trfego PPP sobre o Seguro Sockets Layer canal (SSL) do protocolo HTTPS. O uso do PPP permite o suporte par a forte mtodos de autenticao, como EAP-TLS. SSL fornece nvel de transporte de segurana com ch
Quando um cliente tenta estabelecer uma SSTP ligao VPN baseada, em primeiro lugar SSTP estabelece um HTTPS bidirecionais camada com o servidor SSTP. Sobre esta camada HTTPS, o protocolo de fluxo de pac otes como a carga de dados:
Encapsulamento: SSTP encapsula quadros PPP em datagramas IP para transmisso atravs da rede. SSTP usa uma conexo TCP (pela porta 443) para a gesto e tnel como frames PPP d e dados.
IKEv2
Internet Key Exchange verso 2 (IKEv2) usa o protocolo IPsec Modo Tnel sobre a port a UDP 500. Porque do seu apoio para a mobilidade (MOBIKE), IKEv2 muito mais resistente conectivida de de rede mudando, tornando-o uma boa escolha para usurios mveis que se deslocam entre pontos de aces so e at mesmo alternar entre conexes com e sem fio. Uma VPN IKEv2 fornece resistncia para o cliente VPN quando o cliente se move de um hotspot sem fio para outro ou quando se muda de uma rede sem fio para uma conexo com fio, essa capacidade uma exigncia da VPN Reconnect.
O uso de IKEv2 e IPsec permite o suporte para mtodos fortes de autenticao e criptog rafia.
Encapsulamento: IKEv2 datagramas encapsula usando IPsec ESP ou cabealhos AH para transmisso atravs de A REDE
Criptografia: A mensagem criptografada com um dos seguintes protocolos usando ch aves de criptografia que so gerados a partir do processo de negociao IKEv2: Advanced Encryption Sta ndard (AES) 256, AES 192, AES 128, e algoritmos de criptografia 3DES. ----------------------- Pgina 238----------- -----------5-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
IKEv2 suportado somente em computadores que executam o Windows 7 e Windows Server 2008 R2.
Nota IKEv2 o protocolo padro de tunelamento VPN no Windows 7. ----------------------- Pgina 239----------- -----------Configurao e Soluo de P roblemas de Roteamento e acesso remoto 5-19
Em cenrios de negcios dinmicos, os usurios devem ser capazes de acessar de forma seg ura dados a qualquer hora, de qualquer lugar, e acess-lo continuamente, sem interrupo. Por exemplo, usurios podem querer acessar com segurana os dados sobre o servidor da empresa na sede, a partir de uma filial, ou enquanto estiver na estr ada.
Para atender a essa exigncia, voc pode configurar o recurso de VPN Reconnect que e st disponvel no Windows Server 2008 R2 e Windows 7. Com esse recurso, os usurios podem acessar os dados d a empresa usando um VPN conexo, que ir reconectar automaticamente se a conectividade for interrompida. Tam bm permite que o roaming entre redes diferentes.
Reconexo VPN utiliza a Internet Key Exchange verso 2 (IKEv2) para fornecer tecnolo
gia sem costura e conectividade VPN consistente. VPN Reconecte automaticamente re-estabelece uma c onexo VPN quando Internet conectividade est disponvel novamente. Usurios que se conectam com uma banda larga mvel sem fio se beneficiar mais da esta capacidade.
Considere um usurio com um computador porttil que esteja executando o Windows 7. Q uando o usurio viaja para trabalhar em um trem, ele ou ela se conecta Internet com uma placa de banda larga mvel sem fio e estabelece uma VPN conexo com a rede da empresa. Quando o comboio passa atravs de um tnel, a ligao Inter net perdida. Depois que o trem sai do tnel, a placa banda larga mvel sem fio automatic amente reconecta Internet. Com as verses anteriores do Windows sistemas operacionais cli ente e servidor, VPN no reconectar automaticamente. Assim, o utilizador necessrio para manualmente repe tir o processo de mltiplos passos de se conectar VPN. Esta foi demorada para usurios mveis com a conectividade inter mitente.
Com VPN Reconnect, Windows Server 2008 R2 e Windows 7 automaticamente re-estabel ecer VPN ativo conexes quando a conectividade com a Internet restabelecida. Mesmo que a reconexo pode levar vrios segundos, os usurios se manter conectado e ter acesso ininterrupto aos recur sos da rede interna.
Infra-estrutura de Chave Pblica (PKI), porque um certificado de comput ador necessrio para uma conexo remota com VPN Reconnect. Os certificados emitidos por qualquer uma CA interna ou pblica pode ser usada. ----------------------- Pgina 241----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-21
Requisitos de configurao
O servidor de VPN requer duas interfaces de rede; determinar qual interface de r ede conecta-se ao Internet e interface de rede que se conecta rede privada. Durante a configu rao, voc vai ser solicitado a escolher qual a interface de rede se conecta Internet. Se voc especificar o incorreto interface, o acesso remoto VPN servidor no ir funcionar corretamente.
Determinar se os clientes remotos recebero endereos IP de uma Dynamic Host Configu ration Protocol (DHCP) na rede privada ou do servidor remoto de acesso VPN que voc est configurando. Se voc tiver um servidor DHCP na rede privada, o servidor de a cesso remoto VPN pode arrendar dez endereos em um momento a partir do servidor DHCP e atribuir ess es endereos a clientes remotos. Se voc no tem um servidor DHCP na rede privada, o acesso remoto VPN servidor pod e gerar e atribuir endereos IP automaticamente para clientes remotos. Se voc deseja q ue o servidor de acesso remoto VPN atribuir endereos IP a partir de um intervalo que voc especificar, voc deve de terminar o que deve ser ampla.
Determine se voc deseja solicitaes de conexo de clientes VPN a ser autenticados por um raio servidor ou pelo servidor remoto de acesso VPN que voc est configurando. Adic ionando um servidor RADIUS til se voc planeja instalar vrios servidores de acesso remoto VPN, pontos de aces so sem fio ou outro RADIUS clientes para a rede privada.
Determinar se os clientes VPN podem enviar mensagens DHCPINFORM para o servidor DHCP na sua privada rede Se um servidor DHCP na mesma sub-rede como o seu servidor de acesso re moto VPN, DHCPINFORM mensagens de clientes VPN ser capaz de alcanar o servidor DHCP depois que a c onexo VPN e Se um servidor DHCP est em uma sub-rede diferente do seu servidor remoto d e acesso VPN, certifique-se que o roteador entre sub-redes podem retransmitir mensagens DHCP entre clie ntes eo servidor. Se o seu roteador est executando o Windows Server 2008 ou Windows Server 2008 R2, voc pode configurar o DHCP Servio de Relay Agent no router para encaminhar mensagens DHCPINFORM entre s ub-redes. ----------------------- Pgina 242----------- -----------5-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Certifique-se que o indivduo responsvel pela implantao da sua soluo de VPN tem o necessrio membros de grupos administrativos para instalar as funes de servi dor e configurar os servios necessrios; membro do grupo Administradores local necessria para executar es sas tarefas. ----------------------- Pgina 243----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-23
Configurar um cliente VPN. ----------------------- Pgina 244----------- -----------5-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Depois de concluir as etapas no Assistente para Adicionar Funes e conclu ir a configurao de roteamento e Acesso remoto, o servidor est pronto para ser usado como um servidor re moto de acesso VPN.
A seguir esto as tarefas adicionais que voc pode executar em seu acesso remoto / VPN:
Configurar filtros de pacotes estticos. Adicionar filtros de pacotes es tticos para melhor proteger a sua rede.
Configurar servios e portas. Escolha quais os servios na rede privada qu e voc quer fazer disponvel para usurios de acesso remoto.
Ajuste nveis de log. Configure o nvel de detalhes do evento que voc desej a registrar. Voc pode decidir que informao que voc deseja acompanhar em arquivos de log.
Criar um perfil de Gerenciador de conexo para os usurios. Gerenciar a ex perincia de conexo do cliente para os usurios, e simplificar a configurao e soluo de problemas de conexes de cliente.
Adicionar Servios de Certificados do Active Directory (AD CS). Configur ar e gerenciar uma autoridade de certificao (CA) em um servidor para uso em uma PKI.
Aumente a segurana de acesso remoto. Proteger os usurios remotos ea rede privada, impondo o uso de seguros mtodos de autenticao, que exigem nveis mais elevados de cript ografia de dados e muito mais.
Aumentar a segurana da VPN. Proteger os usurios remotos ea rede privada exigindo o uso do seguro protocolos de tunelamento, bloqueio de conta de configurar e muit o mais.
Considere a implementao de VPN Reconnect. VPN Reconnect usa IKEv2 tecnol ogia para proporcionar perfeita e conexo VPN consistente, automaticamente re-estabelecer uma VPN q uando os usurios perdem temporariamente sua Conexo com a Internet ----------------------- Pgina 245----------- -----------Configurao e So luo de Problemas de Roteamento e acesso remoto 5-25
As polticas de rede determinar se uma tentativa de conexo for bem sucedi da, e se tal tentativa
bem sucedida, a poltica de rede define caractersticas de conexo, tais com o restries de dia e horrio, sesso ocioso desconectar vezes, e outras configuraes.
A compreenso de como configurar polticas de rede essencial se voc est a im plementar com sucesso VPNs com base na diretiva de rede e Access Server Servios papel dentro de su a organizao.
Objetivos
Explique como as polticas de rede so processados. ----------------------- Pgina 246----------- -----------5-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As polticas de rede so conjuntos de condies, restries e configuraes que per em designar quem autorizado a se conectar rede e as circunstncias em que eles podem ou no podem se conectar. Alm disso, quando voc implantar o NAP, poltica de sade adicionado configur ao da poltica de rede para que NPS realiza verificaes de integridade do cliente durante o processo de a utorizao.
Voc pode visualizar as polticas de rede como regras, cada regra tem um c onjunto de condies e configuraes. NPS compara o condies da regra para as propriedades de solicitaes de conexo. Se ocorrer u ma correspondncia entre a regra ea
Quando voc configurar polticas de rede mltiplos em NPS, so um conjunto ord enado de regras. NPS verifica cada de solicitao de conexo contra a primeira regra da lista, depois a segunda , e assim por diante, at que seja encontrada uma correspondncia.
Nota Uma vez que uma regra de correspondncia determinado, novas regras so desrespeitadas. importante ordenar polticas de sua rede de forma adequada.
Cada poltica de rede tem uma configurao de Poltica Estadual de que lhe per mite activar ou desactivar a poltica. Quando voc desativar uma poltica de rede, o NPS no avalia a poltica para a autorizao d e pedidos de conexo.
Viso geral: Estas propriedades permitem que voc especifique se a poltica for ativada, se a poltica concede ou nega o acesso, e se um mtodo de conexo de rede especfica ou tipo de acesso rede servidor necessria para solicitaes de conexo. Resumo propriedades tam bm permitem que voc especifique se deseja ignorar o dial-nas propriedades de contas de usurio no AD DS. Se v oc selecionar esta opo, o NPS usa apenas o configuraes de rede de polticas para determinar se a autorizar a con exo.
----------------------- Pgina 247----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-27
Condies: Estas propriedades permitem que voc especifique as condies que o pedido de l igao deve tem que coincidir com a poltica de rede. Se as condies configuradas na poltica corresponder a conexo pedido, o NPS aplica as configuraes de rede de polticas para a conexo. Por exem plo, se voc especificar o acesso rede do servidor de endereos IPv4 (NAS IPv4) como uma condio da poltica de rede, e NPS recebe uma solicitao de conexo de um NAS que tem o endereo IP especificado, a c ondio na poltica corresponde ao pedido de conexo.
a solicitao de conexo. Se a solicitao de conexo no coincidir com uma restrio, o automaticamente rejeita o pedido. Ao contrrio do NPS resposta s condies mpares na poltica de rede , se um restrio no correspondida, o NPS no avalia polticas de rede adicionais. O pedido de conexo negado.
Definies: Estas propriedades permitem que voc especifique as configuraes que o NPS se aplica a conexo solicitar, se todas as condies da poltica em matria de poltica de rede so corresp ondidos eo pedido aceito.
Quando voc adiciona uma poltica nova rede usando o MMC NPS snap-in, voc deve usar a poltica de Nova Rede Feiticeiro Depois de ter criado uma poltica de rede usando o assistente, voc pode personalizar a poltica de duplo clique em NPS para obter as propriedades da poltica.
Observao: As polticas padro no acesso rede bloco NPS. Depois de criar sua prpr ia polticas, voc deve alterar a prioridade, desativar ou remover essas polticas predefinidas. ----------------------- Pgina 248----------- -----------5-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
NPS usa polticas de rede e dial-nas propriedades de contas de usurio par a determinar se a autorizar um pedido de ligao sua rede. Voc pode configurar uma poltica nova rede tanto no MMC NPS snap-in ou o Roteamento e Remote Access Service MMC snap-in.
Quando voc usar o Assistente de nova diretiva de rede para criar uma po ltica de rede:
O valor que voc especificar como o mtodo de conexo de rede usado para con figurar o tipo de poltica condio automaticamente. Se voc mantiver o valor padro no especificado, o NPS avalia a rede poltica de que voc cria para todos os tipos de conexo de rede atravs de qualquer tipo de servidor de acesso rede. Se voc especificar um mtodo de conexo de rede, o NPS avalia a poltica de rede somente se a conexo pedido tem origem no tipo de servidor de acesso rede que voc espec ificar.
Por exemplo, se voc especificar Remote Desktop Gateway, o NPS aval ia a poltica de rede apenas para pedidos de ligao que se originam de servidores Gateway Remote Deskt op.
Na pgina de Permisso especificar o acesso, voc deve selecionar Acesso con cedido se voc quiser da poltica de permitir que usurios se conectem a sua rede. Se voc deseja que a po ltica para impedir que usurios se conectem a sua rede, selecione Acesso negado.
Se voc quer uma conta de usurio dial-nas propriedades do AD DS para determinar permisses de acesso, voc pode selecionar o acesso determinado pelo utilizador Dial-in caixa de verificao pro priedades (que override NPS poltica).
Depois de ter criado sua poltica, voc pode usar a caixa de dilogo Proprie dades da poltica para visualizar ou reconfigurar suas configuraes. ----------------------- Pgina 249----------- -----------Configurao e Soluo de Proble mas de Roteamento e acesso remoto 5-29
Passos de demonstrao
Teste a VPN. ----------------------- Pgina 250----------- -----------5-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando o NPS executa a autorizao de um pedido de conexo, ele compara o pe dido com cada rede poltica na lista ordenada de polticas, comeando com a primeira poltica e s e movendo para baixo na lista.
Se NPS encontra uma poltica em que as condies de corresponder solicitao de conexo, o NPS usa a poltica de correspondncia e propriedades de discagem da conta do usurio para executar a autorizao.
Se voc configurar a conexo dial-nas propriedades da conta de usurio para conceder ou controlar o acesso atravs da rede
poltica, e a solicitao de conexo autorizada, o NPS aplica as configuraes qu voc define no poltica de rede para a conexo:
Se o NPS no encontrar uma poltica de rede que combina com a solicitao de c onexo, o NPS rejeita a a menos que a conexo dial-nas propriedades da conta do usurio so def inidos para conceder acesso.
Se o dial-nas propriedades da conta de usurio so definidas para negar o acesso, o NPS rejeita a solicitao de conexo. ----------------------- Pgina 251----------- -----------Configurao e Sol uo de Problemas de Roteamento e acesso remoto 5-31
O Connection Manager Administration Kit (CMAK) permite que voc personali ze a conexo remota dos usurios opes de criao de conexes pr-definidas para servidores remotos e redes. O assi stente do CMAK cria uma
arquivo executvel, que pode distribuir em muitos aspectos, ou incluir du rante as atividades de implantao, como parte de a imagem do sistema operacional.
Objetivos
Descrever os mtodos para distribuir um perfil de conexo para os usurios. Pgina 252 5-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Connection Manager um cliente de ferramenta de conexo de rede que permi te que um usurio se conectar a um remoto rede, como um Internet Service Provider (ISP) ou uma rede corporativa protegida por um servidor VPN.
O CMAK uma ferramenta que voc pode usar para personalizar a experincia d e conexo remota para os usurios em seu rede, criando conexes predefinidos para servidores remotos e redes. Use o assistente do CMAK para criar e personalizar uma conexo para seus usurios.
CMAK um componente opcional que no instalado por padro. Voc deve instalar
o CMAK para criar perfis de conexo que os usurios possam instalar para acessar redes remot as. ----------------------- Pgina 253----------- -----------Configurao e Soluo de Probl emas de Roteamento e acesso remoto 5-33
Voc pode configurar um novo perfil de conexo existente ou usando o assistente do C MAK. Cada pgina do assistente lhe permite completar outra etapa do processo.
Construir o perfil de ligao e de seu Programa de Instalao ----------------------- Pgina 254----------- -----------5-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O perfil de conexo est completo e pronto para distribuir ----------------------- Pgina 255----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-35
Examine o perfil. ----------------------- Pgina 256----------- -----------5-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O assistente do CMAK compila o perfil de conexo em um nico arquivo execu tvel com um nome de arquivo exe. extenso. Voc pode entregar este arquivo para os usurios atravs de qualquer mtodo que est disponvel para voc. Alguns mtodos para considerar so:
Incluir o perfil de conexo como parte de a imagem que includo com novos computadores.
Voc pode instalar seu perfil de conexo como parte de as imagens de computador cliente que esto instalados no novos computadores da sua organizao.
Entregar o perfil de conexo em uma mdia removvel para o usurio para instal ar manualmente.
squete, CD-ROM, USB flash unidade, ou qualquer outra mdia removvel que voc permite que seus us urios acessem. Alguns meios de comunicao removveis apoiar "autorun" capacidades, que permitem que voc para iniciar a instalao quando os usurio insere o mdia para o computador cliente.
Muitas organizaes utilizam uma rea de trabalho de gerenciamento e im plantao de software-ferramenta como o Microsoft System Center Configuration Manager (anteriormente chamado de Systems Ma nagement Server). Configurao Manager oferece a capacidade de empacotar e implantar software de stinado a computadores cliente. O instalao pode ser invisvel para os usurios, e voc pode configur-lo para informar a gesto consol-se a instalao foi bem sucedida. ----------------------- Pgina 257----------- -----------Configurao e S oluo de Problemas de Roteamento e acesso remoto 5-37
Soluo de problemas de roteamento e acesso remoto pode ser uma tarefa dem orada. As questes podem ser variada e no facilmente identificado. Uma vez que voc pode estar usa ndo dial-up, dedicada, alugada, ou pblicoredes baseadas para satisfazer a sua soluo de conectividade remota, voc d eve solucionar problemas em uma metdica, o processo passo-a-passo.
Em alguns casos, voc pode identificar e resolver o problema rapidamente , enquanto em outros casos, pode testar a sua
compreenso de todas as ferramentas disponveis para ajudar a determinar a fonte de emisso, de modo que voc pode resolv-lo em tempo hbil.
Objetivos
Descrever como autenticao e log Contabilidade pode ser usado para soluci onar problemas de conexo.
Descrever comuns solues de problemas referentes ao acesso remoto. ----------------------- Pgina 258----------- -----------5-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode configurar o NPS para executar a contabilizao RADIUS para os ped idos de autenticao de usurio, Access-Accept mensagens, Access-Reject mensagens, pedidos de contabilidade e respost as, e atualizaes de status peridicos. Voc pode usar este procedimento para configurar os arquivos de log em que voc deseja armazenar os dados contbeis.
Configurando Contabilidade
Para evitar que os arquivos de log usando o espao no disco rgido, recome ndamos que voc mant-los em um partio separada da partio do sistema.
A lista a seguir fornece mais informaes sobre como configurar o NPS de c ontabilidade:
Voc pode enviar os dados de arquivo de log para a coleta por outro proc esso, configurando o IAS para gravar em um pipe. Para usar pipes nomeados, definir a pasta de arquivo de log para \ \. Pipe \ ou \ \ ComputerName pipe \. O programa de servidor do pipe cria um pipe nomeado chamado \ \. \ pipe \ iaslog.log para aceitar os dados. No Local de arquivo caixa de dilogo Propriedades, em Criar um novo ar quivo de log, selecione Nunca (tamanho de arquivo ilimitado) quando voc usar pipes nomeados.
Voc pode criar o diretrio do arquivo de log usando variveis sistema (em vez de variveis do usurio),
de ambiente do
como% systemdrive%,% systemroot% e% windir%. Por exemplo, se voc d igitar o caminho utilizando o varivel de ambiente% windir%, ele localiza o arquivo de log no dir etrio de sistema na subpasta \ System32 \ Logs (isto ,% windir% \ System32 \ Logs \).
Voc pode alternar de arquivo de log formatos sem causar a criao de um nov o log. Se voc alterar o arquivo de logformatos de, o arquivo que activo no momento da a mudana ir conter um mistura de os dois formatos de (Registos no incio do log ter o formato anterior, enquanto que grav a a extremidade do log ter o novo formato).
No possvel navegar na estrutura de diretrios, se voc estiver administrando um servidor NPS remotamente. Se voc precisa fazer logon informaes contabilsticas a um servidor remoto, e specifique o nome log arquivo-by digitando um
Universal Naming Convention nome (UNC), como \ \ Meu_Servidor_de_ Log \ LogShare. ----------------------- Pgina 259----------- -----------Configurando e So luo de problemas Roteamento e Acesso Remoto 5-39
NPS no Windows Server 2008 pra de processar solicitaes de conexo se a contabilidade RADIUS falhar devido a uma unidade de disco rgido inteiro ou outras causas. Isso evita que os usurio s acessem recursos de rede. NPS em Windows Server 2008 R2 pode ser configurado para continuar conexes de proces samento de solicitar ao registro falhar.
NPS pode registrar em um banco de dados SQL Server, alm de, ou em vez de log para um arquivo local.
Observao: Se voc no fornecer uma declarao completa-caminho no diretrio de arqui o de log, o caminho padro usado. Por exemplo, se voc digitar NPSLogFile no diretrio de arquivo de log , o arquivo est localizado em systemroot \ System32 NPSLogFile \.
1.
2.
3. No painel de detalhes, clique com o log de arquivos local e, em seguida, cl ique em Configurar o log de arquivos local. O Arquivo Local caixa de dilogo Log abre.
4. On na guia Arquivo Log, em Directory, digite o local onde voc deseja armazen ar arquivos de log do NPS. A configurao padro localizao o systemroot \ System32 \ pasta LogFiles.
5. Em Formato de, clique em Database-compatvel. Alternativamente, se voc quiser manter seus arquivos de log em formato IAS, clique IAS.
6. Para configurar NPS para iniciar novos arquivos de log em intervalos especi ficados, clique em o intervalo de que voc deseja usar:
Para volumes menores de transao e atividade explorao madeireira, clique em Sema nal ou Mensal.
Para armazenar todas as operaes em um arquivo de log, clique em Nunca (tamanh o de arquivo ilimitado).
Para limitar o tamanho de cada arquivo de log, clique em Quando arquivo de log atinge este tamanho, e em seguida, digite um tamanho de arquivo, aps o qual uma de log de novo criado. O tamanho padro de 10 MB.
7. Para configurar o NPS para apagar arquivos de log automaticamente quando o disco est cheio, clique em Quando o disco est cheio apagar arquivos de log mais antigos. Se o arquivo de log mais antigo o arquivo de log atual, ele no excludo.
Nota Para concluir este procedimento, voc deve ser um membro do grupo Admi nistradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores no computa dor local. ----------------------- Pgina 260----------- ------------
Para configurar o acesso remoto de log, abra o Roteamento e console de servio de acesso remoto, boto direito do mouse servername, e, em seguida, clique em Propriedades. Clique na guia Logg ing para ver as opes disponveis para, e o localizao, o log de rastreamento.
Inicialmente, que poderia ser melhor para especificar mais opes madeirei ras do que voc pde necessariamente precisam, ao invs de especificando opes muito poucos. Depois de determinar o nvel de log que m ais til para solucionar problemas sua infra-estrutura, voc pode alterar as opes e / ou nvel de registrar a s eu critrio.
Quatro nveis de registo esto disponveis na guia Logging nas propriedades do servidor VPN em Encaminhamento e Acesso Remoto snap no-. Selecione Log de todas as eventos, e, em segui da, tente a conexo novamente. Depois que a conexo falhar, verifique o log de eventos do sistema para os eventos que fora m registrados durante o processo de conexo. Depois que voc est terminar de exibir eventos de acesso remoto, selecione os erros de reg istro e de opo avisos na guia Log para conservar recursos do sistema.
A tabela a seguir descreve os quatro nveis de log de eventos que o Wind ows Server 2008 R2 de roteamento e Servio de Acesso Remoto faz disponvel.
Log erros apenas especifica que somente os erros so registrados no l og do sistema no Visualizador de eventos.
Erros de log e avisos Especifica que erros e avisos so registrado no log de sistema de no Evento Visualizador
Registra todos os eventos Especifica que o mximo de informaes registra do no log do sistema no Visualizado r de eventos.
No faz o log quaisquer eventos Especifica que nenhum eventos so regis trados no o log do sistema no Visualizador de eventos.
O Routing Log adicional e Remote Access caixa de seleo Informao permite qu e voc para especificar se os eventos em o processo de PPP conexo estabelecimento-para acesso r emoto e de discagem por demanda----------------------- Pgina 261----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-41
conexes de roteamento so gravados no arquivo PPP.log que armazenado na pasta syste mroot \ Tracing (o Localizao automtica ----------------------- Pgina 262----------- -----------5-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O servio Roteamento e acesso remoto no Windows Server 2008 R2 tem uma e xtensa capacidade de rastreamento que voc pode usar para solucionar problemas de rede complexos. Voc pode habilitar os componentes em Windows Server 2008 R2 para registrar informaes de rastreamento de arqui vos usando o comando Netsh ou atravs do
&Registro
Voc pode usar o comando Netsh para habilitar e desabilitar o rastreamen to para componentes especficos ou para todos Componentes Para ativar e desabilitar o rastreamento para um component e especfico, use a seguinte sintaxe:
Onde componente um componente na lista de componentes de roteamento e acesso remoto de servios encontrados na Registro em HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing. Por e xemplo, para activar o rastreio para o componente RASAUTH, o comando como se segue:
Voc tambm pode configurar a funo de rastreamento, alterando as configuraes n o registro no seguinte caminho:
Voc pode habilitar o rastreamento de cada componente do servio de roteam ento e Remote Access, definindo o
valores apropriados de registro. Voc pode ativar e desativar o rastream ento de componentes enquanto o Roteamento e ----------------------- Pgina 263----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-43
Servio de acesso remoto est em execuo. Cada componente capaz de rastrear e aparece c omo uma subchave a chave do Registro anterior.
Para ativar o rastreamento para cada componente, voc pode configurar as seguintes entradas do Registro para cada protocolo de chave:
Voc pode habilitar o registro de informaes de rastreamento para um arquivo, definin do EnableFileTracing para 1. O valor padro 0.
Voc pode alterar o local padro dos arquivos de rastreamento definindo FileDirector y para o caminho que voc quer. O nome do arquivo de log do arquivo o nome do componente para o rastreamento est habilitado. Por padro, os arquivos de log so colocados na pasta SystemRoot \ Tracing.
FileTracingMask determina quanta informao de rastreamento registrado para o arquiv o. O valor padro 0xFFFF0000.
Voc pode alterar o tamanho do arquivo de log definindo valores diferentes para Ma xFileSize. O valor padro 0x10000 (64K).
Nota rastreamento consome recursos do sistema, e voc deve us-lo com moderao p ara ajudar a identificar Problemas na rede Depois de capturar o rastreamento ou identificar o prob lema, voc deve desabilitar rastreamento imediatamente. No deixe o rastreamento ativado em computadores com mltiplos processadores. {0}-{/0} {1} {/1} {2}Leitura{/2} informaes podem ser complexas e detalhadas, normalmente, apenas profissiona is de suporte da Microsoft ou administradores de rede que esto acostumadas com o servio Roteamento e Aces so Remoto encontrar esta informao til. Voc pode salvar informaes de rastreamento como arqu ivos e envi-lo para O suporte da Microsoft para anlise. ----------------------- Pgina 264----------- -----------5-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para resolver problemas gerais com que estabelece uma conexo VPN de ace sso remoto, faa o seguinte `test:*`
Usando o comando ping, verifique se o nome do host resolvido para seu endereo IP correto. O pingar em si pode no ser bem sucedido devido filtragem de pacotes que est impedindo a entrega de ICMP mensagens de e para o servidor VPN.
Verifique se as credenciais do cliente VPN, que consistem de nome de u surio, senha e domnio nome esto corretos e que o servidor VPN pode valid-los.
Verifique se a conta de usurio do cliente VPN no est bloqueada, expirada, desativada ou que o tempo que a conexo est sendo feita no corresponde ao horrio de logon config urados. Se o senha da conta expirou, verifique se o cliente de acesso remoto V PN est usando o MS-CHAP v2. MS-CHAP v2 o nico protocolo de autenticao que o Windows Server 2008 R2 fornece que permite voc alterar uma senha expirada durante o processo de conexo.
Para uma conta de nvel de administrador com uma senha expirada, redefin ir a senha usando outro nvel de administrador de conta.
Verifique se a conta de usurio no foi bloqueada devido ao bloqueio de co nta de acesso remoto.
Verifique se o servidor VPN est habilitado para o acesso remoto na guia Geral nas propriedades de um VPN servidor de roteamento e Remote Access snap-in.
Verifique se a WAN Miniport (PPTP) e WAN Miniport (L2TP) aparelhos esto habilitados para entrada acesso remoto a partir das propriedades dos Portos objeto no rote amento e acesso remoto snap-in.
Verifique se o cliente VPN, o servidor VPN, e da poltica de rede que co rrespondem a VPN conexes so configurados para usar pelo menos um mtodo de autenticao co mum.
----------------------- Pgina 265----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-45
Verifique se o cliente VPN ea poltica de rede que correspondem a conexes VPN so con figurados para usar pelo menos um nvel de criptografia comum.
Verifique se os parmetros da conexo tem permisso atravs de polticas de rede. ----------------------- Pgina 266----------- -----------5-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Este tpico lista os problemas comuns que voc pode encontrar ao usar o Wi ndows Server 2008 R2 remoto Acesso.
PPTP: Para o trfego PPTP, configure o firewall da rede para abrir a porta TCP 1723 e de transmitir IP protocolo 47 para GRE trfego para o servidor VPN.
L2TP: Para o trfego L2TP, configure o firewall da rede para abrir a porta UDP 1701 e para permitir que IPsec Pacotes ESP formatados (protocolo IP 50).
Causa: Este problema pode ocorrer se o firewall de rede no permite GRE trfego (protocolo IP 47). PPTP usar GRE para dados de tnel.
Soluo: Configure o firewall de rede entre o cliente VPN eo servidor para permitir GRE. Alm disso, certifique-se que o firewall de rede permite trfego TCP na porta 1723. Ambos estes condies devem ser satisfeitas para estabelecer conectividade VPN us ando PPTP.
Nota: O firewall pode estar, ou na frente, o cliente VPN, ou na frente do servidor VPN. ----------------------- Pgina 267----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-47
Causa: Estes erros ocorrem se o cliente VPN requer um nvel de criptografia invlida ou se o servidor VPN no suporta um tipo de criptografia que os os solicitaes do cliente.
Soluo: Verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se Exigir criptografia de dados (desconectar se no houver) estiver marcada, des marque a seleo e tente novamente a conexo. Se voc estiver usando NPS, verifique o nvel de criptografia da poltica de rede no console do NPS ou polticas em outros servidores RADIUS. Certifique-se que o nvel de criptografia que o
A lista a seguir descreve os motivos mais comuns que as conexes L2TP/IPSec falham :
Certido de No: Por padro, conexes L2TP/IPSec exigir que, para autenticao IPsec pares, um troca de certificados de computador, ocorrem entre o servidor de acesso rem oto e cliente de acesso remoto. Verifique as lojas Computadores Locais do certificado de o cliente de acess o remoto e servidor de acesso remoto que est usando os snap-in Certificados para garantir que um certificado apropria do existe.
certificado incorreta: O cliente VPN deve ter um certificado de computador vlido instalado que foi emitido por uma CA que segue uma cadeia de certificados vlida a partir da CA de emis so para uma CA raiz que o servidor VPN trusts. Adicionalmente, o servidor VPN deve ter um certificado de computado r vlido instalado que foi emitido por uma CA que segue uma cadeia de certificados vlida a partir da CA de emisso pa ra uma CA raiz que o cliente confia VPN.
Um dispositivo NAT existe entre o cliente de acesso remoto eo servidor de acesso remoto: Se houver um NAT entre um Windows 2000, Windows Server 2003 ou Windows XP L2TP/IPsec cli ente, e um Windows Server 2008 L2TP/IPsec servidor, voc no pode estabelecer uma conexo L2 TP/IPSec a menos que o cliente e servidor suporte IPsec NAT-T.
Existe um firewall entre o cliente de acesso remoto eo servidor de acesso remoto : Se houver um firewall entre um cliente L2TP/IPsec Windows e Windows Server 2008 R2 servidor L2TP/
IPsec, e voc no possvel estabelecer uma conexo L2TP/IPSec, verifique se o firewall permite o encaminhamento de L2TP/IPsec trfego.
Quando voc usa EAP-TLS para autenticao, o cliente VPN envia um certificado de usurio e autenticao servidor (o servidor VPN ou o servidor RADIUS) apresentar um certificado de comp utador. Para habilitar a autenticao servidor para validar o certificado do cliente VPN, o seguinte deve ser verdadei ro para cada certificado no cadeia de certificados que o cliente VPN envia:
A data atual deve estar dentro das datas de validade do certificado. Quando os c ertificados so emitidos, eles so emitido com uma gama de datas vlidas, antes do qual eles no podem ser usados aps o que eles so considerada expirada. e,
O certificado no foi revogado. Certificados emitidos podem ser revogados a qualqu er momento. Cada CA emisso mantm uma lista de certificados que no so considerados vlidos publicando um cer tificado de up-to-date lista de revogao (CRL). Por padro, o servidor de autenticao verifica todos os ce rtificados nos clientes VPN ' cadeia de certificao (da srie de certificados do certificado de cliente VPN pa ra a CA raiz) para revogao. Se qualquer um dos certificados da cadeia ter sido revogado, a valid ao do certificado falha. ----------------------- Pgina 268----------- -----------5-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O certificado tem uma assinatura digital vlida. CAs assinar digitalmen te os certificados que emitir. O
autenticar servidor verifica a assinatura digital de cada certif icado na cadeia, com a excepo de o certificado raiz CA, mediante a obteno de a chave pblica a par tir de CA os certificados dos de emisso e matematicamente validar a assinatura digital.
Para o cliente VPN para validar o certificado do servidor de aut enticao para a autenticao EAP-TLS, o seguinte deve ser verdadeiro para cada certificado na cadeia d e certificados que o servidor de autenticao envia:
A data atual deve estar dentro das datas de validade do certific ado. Quando os certificados so emitidos, eles no podem ser usados so emitidos com uma gama de datas vlidas, antes do qual eles e, aps o que eles so considerado expirado.
O certificado deve ter uma assinatura digital vlida. CAs assinar digitalmente os certificados que emitir. O cliente VPN verifica a assinatura digital de cada certifi cado na cadeia, com a excepo de o certificado da CA raiz, obtendo a chave pblica do CA dos c ertificados de emisso ea matematicamente validar a assinatura digital. ----------------------- Pgina 269----------- -----------Configurao e So luo de Problemas de Roteamento e acesso remoto 5-49
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso, Ltd. deseja implementar uma soluo de acesso remoto para os seus funcionrios para que eles possam se conectar rede corporativa enquanto estiver fora do escritrio. Contoso requer uma poltica de rede VPN exigindo que conexes so criptografados por razes de segurana.
Voc obrigado a ativar e configurar os servios de servidor necessrias para facilitar esse acesso remoto.
Configurar o Roteamento e Acesso Remoto como uma soluo de acesso remoto V PN.
Criar e distribuir um perfil CMAK. ----------------------- Pgina 270----------- -----------5-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Exerccio 1: Configurando roteamento e acesso remoto como um remoto VPN Soluo de Acesso
Remoto
Neste exerccio, voc ir instalar e configurar a Diretiva de Rede e funo Serv ios de Acesso para apoiar o requisitos da fora de trabalho Contoso, Ltd..
1. C.
2. Configurar 6421B-NYC-edge1 como um servidor VPN com um pool de end ereo esttico para clientes de acesso remoto.
3. Configurar portas disponveis no servidor VPN (RRAS) para permitir q ue 25 PPTP, L2TP 25 e 25 SSTP Conexes.
21B-NYC
1.
2.
3. Adicione a Diretiva de Rede e funo Servios de Acesso com os seguintes servios de funo:
uma.
b.
Tarefa 2: Configurar 6421B-NYC-edge1 como um servidor VPN com um pool de endereo esttico para Clientes de acesso remoto
1.
2. No painel de lista, selecione e clique-direito NYC-edge1 (Local) e clique em Configurar e ativar Roteamento e Acesso Remoto.
3.
uma.
b.
C. "
d.
e. Na pgina Atribuio de endereos Gama, criar um pool de endereos com 75 entradas com um incio endereo 10.10.0.60.
F. os padres.
g.
----------------------- Pgina 271----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-51
Tarefa 3: Configurar as portas de VPN disponveis no servidor (RRAS) para permitir que 25 PPTP e 25 conexes L2TP
1. No encaminhamento e acesso remoto interface da ferramenta de gesto, expandir NYC-edge1, selecionar e, em seguida, direito do mouse em Portas e clique em Propriedades.
2.
uma.
b.
C. "
3.
4.
Resultados: No final deste exerccio, voc ter ativado o roteamento e acesso remoto n o NYC-edge1 servidor. ----------------------- Pgina 272----------- -----------5-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc ir criar e verificar uma poltica de rede personalizada de acordo com as exigncias da Contoso, Ltd.
1. 1.
2.
3.
1.
2.
1. No console do Network Policy Server, crie uma nova poltica com as seguintes configuraes:
uma.
F.
2. polticas.
3.
1.
2.
3.
uma.
4.
5.
uma. Nome de usurio: Administrador ----------------------- Pgina 273----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-53
b.
Senha: Pa $ $ w0rd
C. "
Domnio: Contoso
6.
Resultados: No final deste exerccio, voc ter criado e testado uma conexo VPN. ----------------------- Pgina 274----------- -----------5-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
1.
2.
3.
Distribua o perfil.
1.
2. De Volta recursos do Windows ligado ou desligado no painel de cont role, instalar o Gerenciador de conexo RAS Administration Kit recurso (CMAK).
3.
Open Connection Manager Administration Kit para iniciar o Connection Ma nager Administration Kit assistente. Criar um perfil de ligao com as seguintes propriedades:
Adicionar um Catlogo Telefnico Personalizado: claras automaticamente actualizaes da lista de download de telefone
1.
2.
3.
4.
5. Copie o contedo de C: \ Arquivos de Programas \ CMAK \ Profiles \ W indows 7 e Windows Vista \ Contoso para \ \ NYC-dc1 \ Profile Contoso.
Tornar esta conexo disponvel para = Todos os usurios ----------------------- Pgina 275----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-55
7.
8.
9.
Senha: Pa $ $ w0rd
Domnio: Contoso
Resultados: No final deste exerccio, voc ter criado e distribudo um perfil CMAK.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 276----------- -----------5-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Organizaes muitas vezes dependem de conexes VPN para fornecer aos usurios remotos acesso seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e so a poiados por
clientes diferentes. No entanto, as conexes VPN deve ser iniciado prime iramente pelo usurio e pode exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN no rmalmente permitir o acesso remoto para toda a rede corporativa. Alm disso, as organizaes no podem efetivamente ger enciar computadores remotos a menos que se encontram ligados. Para superar tais limitaes em conexes V PN, as organizaes podem implementar DirectAccess, disponvel no Windows Server 2008 R2 e Windows 7, para proporcionar uma perfeita conexo entre a rede interna eo computador remoto na Internet. Com o Dir ectAccess, as organizaes podem facilmente gerenciar computadores remotos, porque el es esto sempre conectados.
Objetivos
Configurar DirectAccess.
----------------------- Pgina 277----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-57
Quais so alguns dos desafios que voc enfrenta ao implementar VPNs? ----------------------- Pgina 278----------- -----------5-58 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O que o DirectAccess?
Windows Server 2008 R2 e Windows 7 inclui um recurso chamado DirectAcc ess, que permite perfeita acesso remoto a recursos de intranet sem estabelecer a conexo VPN prime iro. O DirectAccess recurso tambm garante conectividade infra-estrutura de aplicativos para usurios internos e usurios remotos.
Ao contrrio das VPNs tradicionais que exigem a interveno do usurio para in iciar uma conexo a uma intranet, DirectAccess permite que qualquer aplicativo compatvel com IPv6 no computador do cli ente para ter acesso completo intranet re DirectAccess tambm permite que voc especifique os recursos e aplicaes c lient-side que so restrita para acesso remoto.
As organizaes beneficiam-DirectAccess porque os computadores remotos pod em ser gerenciados como se fossem locais computadores, utilizando a mesma direco e servidores para atualizao que es tejam sempre up-to-date e em conformidade com as polticas de sade e segurana do sistema. Voc tambm po de definir o controle de acesso mais detalhado polticas de acesso remoto, quando comparado com a definio de polticas de c
Utiliza vrios protocolos, incluindo HTTPS, para estabelecer a conectivi dade IPv6. HTTPS normalmente permitido atravs de firewalls e servidores proxy.
Suporta o acesso ao servidor selecionado e fim-de-final autenticao IPsec com servidores da intranet da rede.
conectividade always-on: Sempre que o usurio conecta o computador do cl iente para a Internet, o cliente computador est ligado intranet tambm. Esta conectividade permite ao s computadores clientes remotos ----------------------- Pgina 279----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-59
acessar e atualizar aplicativos com mais facilidade. Faz tambm recursos da i ntranet sempre disponvel, e
permite que os usurios se conectem intranet corporativa de qualquer lugar ea qualquer momento, melhorando assim sua produtividade e desempenho.
Conectividade perfeita: DirectAccess fornece uma experincia de conectividade cons istente se o cliente computador local ou remoto. Isso permite que os usurios se concentrem mais n a produtividade e menos em conectividade opes e de processo. Essa coerncia poder reduzir custos de treinamento para usuri os, com menos incidentes de suporte.
acesso bidirecional: DirectAccess pode ser configurado para que os clientes Dire ctAccess no s tm acesso a recursos da intranet, mas voc tambm pode ter acesso a partir da intr anet para os DirectAccess Clientes DirectAccess, portanto, pode ser bidirecional para que os usurios D irectAccess ter acesso a intranet recursos, e voc pode ter acesso a clientes DirectAccess quando eles esto se c onectando ao longo de um pblico rede Isso garante que os computadores clientes esto sempre atualizados com p atches de segurana mais recentes, a ivo intranet ou na rede pblica.
Maior segurana
Maior segurana: Ao contrrio das VPNs tradicionais, DirectAccess oferece vrios nveis de controle de acesso para recursos de rede. Este apertado grau de controle permite que os arquitetos de segurana para controlar com preciso remoto usurios que acessam recursos especificados. Criptografia IPsec usado para pr oteger o trfego DirectAccess para que os usurios possam garantir que a sua comunicao segura. Voc pode usar uma po ltica granular para definir quem pode usar o DirectAccess, e de onde.
Soluo integrada: DirectAccess integra totalmente com o isolamento de servidor e de domnio e NAP
solues, resultando na integrao de acesso, segurana e polticas de exigncia de sad entre a intranet e computadores remotos. ----------------------- Pgina 280----------- -----------5-60 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Componentes do DirectAccess
Para implantar e configurar o DirectAccess, sua organizao deve apoiar a seguinte infra-estrutura Componentes
DirectAccess Servidor
No servidor DirectAccess, voc pode instalar o DirectAccess funcionalida de Management Console usando Server Manager. Voc pode usar o Console de Gerenciamento do DirectAccess para configurar as definies para o DirectAccess DirectAccess servidor e os clientes, e monitorar o status do servidor DirectAccess. Voc pode precisar de mais do que um servidor DirectAccess, dependendo dos requisitos de implantao e escalabilidade.
Ter pelo menos dois adaptadores de rede fsica instalada e um ligado Int ernet eo outro para a intranet.
O servidor deve ter pelo menos dois anos consecutivos estticos, os ende reos IPv4 pblicos atribudos rede adaptador que ligado Internet.
Geralmente instalados na rede de permetro, os servidores DirectAccess f ornecer conectividade para intranet Os clientes DirectAccess na Internet.
Clientes DirectAccess
Para implantar o DirectAccess, voc tambm precisa garantir que o cliente atenda certos requisitos:
O cliente deve estar executando o Windows 7 Ultimate Edition, Windows 7 Enterprise Edition ou Windows Server 2008 R2. ----------------------- Pgina 281----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-61
Os recursos da rede interna devem estar disponveis atravs de IPv6. Para os cliente s que esto conectados ao Internet, tecnologias de transio IPv6 tais como 6to4 e Teredo pode ser usado.
Nota Clientes que estejam executando o Windows Vista, Windows Server 2008, ou antes, outro verses dos sistemas operacionais Windows no suportam DirectAccess.
Os clientes DirectAccess usam o servidor de local da rede (NLS) para determinar sua localizao. Se o cliente pode conectar-se com HTTPS, o cliente assume que est na intranet e desativa componente s DirectAccess. Se o NLS no contactvel, o cliente assume que est na Internet. O servidor NLS instalado com o web funo de servidor.
Voc deve implantar pelo menos um domnio do Active Directory com pelo menos um Wind ows Server 2008 R2 ou Windows Server controlador de domnio 2008-based, embora no seja necessrio para elev ar o domnio ou floresta nveis funcionais para o Windows Server 2008 R2.
Diretiva de Grupo
Diretiva de Grupo necessrio para a administrao centralizada e implantao de configura DirectAccess. O DirectAccess Setup Wizard cria um conjunto de objetos de Diretiva de Grupo e con figuraes para clientes DirectAccess, os
PKI
Voc deve implementar uma PKI para emitir certificados de computador para autentic ao, e onde a sade, desejvel certificados quando usam NAP. Voc no precisa implementar certificados pblicos.
Servidor DNS
Ao usar o ISATAP, voc deve usar o Windows Server 2008 R2, Windows Server 2008 com o Q958194 hotfix (http://go.microsoft.com/fwlink/?LinkID=159951), Windows Server 2008 SP2 ou posterior, ou um tero parte do servidor DNS que suporta a troca de mensagens DNS sobre o Tnel Intra-Sit e Automatic Addressing Protocol (ISATAP). ----------------------- Pgina 282----------- -----------5-62 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para separar o trfego de Internet de trfego Intranet para o DirectAccess , Windows Server 2008 R2 e Windows 7 incluir o nome da Resoluo Poltica Tabela (NRPT), um recurso que permite q ue os servidores DNS e as configuraes para ser definido para cada espao de DNS, em vez de para cada interface. O NRPT armazena uma lista de regras. Cada regra define um namespace DNS e configuraes que descrevem o comportamento do c liente DNS para que namespace. Quando um cliente DirectAccess est na Internet, cada pedido de consulta de nome comparado com as regras de namespace que esto armazenados no NRPT. Se for encontrada uma correspondncia, o pedido processado de acordo
Se um pedido de consulta de nome no corresponde a um namespace que est l istado no NRPT, o pedido enviado para os servidores DNS que esto configurados nas configuraes de TCP / IP. Para um cliente remoto, os servidores DNS tipicamente os servidores DNS da Internet que esto configurados atravs d o provedor de servios Internet (ISP). DE um cliente DirectAccess na intranet, os servidores DNS ser tipicamente os servidores DNS da intranet que so configurado atravs de Dynamic Host Configuration Protocol (DHCP).
nico rtulo nomes, por exemplo, http://internal-will tipicamente ter conf igurado sufixos de pesquisa DNS que so anexados ao nome antes de serem checadas contra o NRPT.
Se no houver sufixos de pesquisa DNS so configurados eo nome do nico rtulo no corresponde a qualquer outro rtulo nico entrada nome na NRPT, o pedido ser enviado para os servidores DNS que so especificadas no do cliente Configuraes de TCP / IP.
Namespaces, por exemplo, internal.contoso.com-so inseridos no NRPT, seg uido pelo DNS servidores para que os pedidos correspondentes que namespace deve ser dirigida. Se um endereo IP inserido para o Servidor DNS, todas as solicitaes de DNS sero enviados diretamente para o servidor DNS na conexo DirectAccess. Voc no precisa especificar qualquer segurana adicional para tais configuraes. No entanto, se for especificado um nome para o DNS servidor, como dns.contoso.com no NRPT, o nome deve ser resolvido publicamente quando o cliente consultas aos servidores DNS que esto especificados em suas configuraes T CP / IP.
O NRPT permite que os clientes DirectAccess para usar servidores DNS d a intranet para a resoluo de nomes de recursos internos
Internet e servidores de DNS para resoluo de nomes de outros recursos. S ervidores dedicados de DNS no so necessrios ----------------------- Pgina 283----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-63
para resoluo de nomes. DirectAccess ajuda a evitar a exposio de seu namespace intran et para o Internet.
Alguns nomes devem ser tratados de forma diferente em relao resoluo de nomes, esses nomes no devem ser resolvido usando servidores DNS da intranet. Para garantir que esses nomes so res olvidos com os servidores DNS que so especificados no cliente TCP / IP, voc deve adicion-los como isenes NRPT.
NRPT controlado atravs da Diretiva de Grupo. Quando o computador est configurado p ara usar NRPT, o nome mecanismo de resoluo de primeiro tenta usar o cache de nomes local, que inclui as entradas no arquivo hosts, ento NRPT e, finalmente, envia a consulta para os servidores DNS que so especifica das nas configuraes de TCP / IP. ----------------------- Pgina 284----------- -----------5-64 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O processo de conexo DirectAccess acontece automaticamente, sem interve no do usurio. Os clientes DirectAccess usam o seguinte processo para conectar-se a r ecursos de intranet:
1. O cliente DirectAccess tenta resolver o nome de domnio totalmente qualificado (FQDN) da rede URL do servidor de localizao.
Porque o FQDN da URL do servidor de rede local corresponde a uma regra de iseno no NRPT, o cliente DirectAccess envia a consulta DNS para um servidor DNS localmente configurado (uma intranet baseada em Servidor DNS A intranet do servidor DNS resolve o nome.
2. O cliente acessa o DirectAccess URL baseada em HTTPS do servidor local da rede, durante o qual process-lo obtm o certificado do servidor local da rede.
3. Com base na Lista de Certificados Revogados (CRL) campo Pontos d e Distribuio do servidor local da rede de certificado, o cliente DirectAccess verifica os arquivos de revog ao CRL no ponto de distribuio CRL determinar se o certificado do servidor local da rede foi revogad a.
4. Baseado em um HTTP 200 Sucesso da URL do servidor de rede local (acesso bem-sucedido e certificado autenticao e verificao de revogao), o cliente DirectAccess remove as re gras DirectAccess no NRPT.
5. O computador cliente DirectAccess tenta localizar e fazer logon n o domnio AD DS usando seu conta de computador.
Porque no h mais qualquer regra DirectAccess no NRPT, todas as con sultas DNS so enviados atravs de interface de configurao de servidores DNS (servidores DNS da intran et).
6. Baseado no sucesso de logon do computador para o domnio, o client e DirectAccess atribui o Domnio perfil para a rede conectada.
Como a conexo DirectAccess regras de tnel de segurana so escopo para o Pblico e Privado perfis, eles so removidos da lista de regras de segurana ativos de conexo.
O cliente DirectAccess, com sucesso, determinou que ele est ligado sua intranet e no usar as configuraes de DirectAccess (regras NRPT ou regras de conexo do tnel de Segurana). Ele pode acessar intranet ----------------------- Pgina 285----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-65
recursos normalmente. Ele tambm pode acessar os recursos da Internet atravs de mei os normais, como um proxy servidor (no mostrado). ----------------------- Pgina 286----------- -----------5-66 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando um cliente DirectAccess iniciado, ele assume que no est conectado intranet. O NRPT tem DirectAccess baseados em regras, e regras de segurana para os tneis de c onexo DirectAccess esto ativos. Internet ligados clientes DirectAccess usam o seguinte processo para conectar-s e a recursos de intranet:
1. O cliente tenta resolver o FQDN da URL do servidor de rede local. Porque o FQDN do URL do servidor de rede local corresponde a uma regra de iseno no N
RPT, o cliente DirectAccess envia a consulta DNS para um local-configurado um servidor DNS (u ma Internet baseada em servidor DNS). Internet DNS servidor no pode resolver o nome.
2.
3. Como o servidor local da rede no foi encontrado, o cliente DirectA ccess aplica o pblico ou Perfil privado para a rede associada.
4. A conexo de segurana regras de tnel para o DirectAccess, escopo para os perfis pblicos e privados e r
O cliente DirectAccess tem as regras NRPT e regras de segurana de conexo para acessar recursos de intranet pela Internet atravs do servidor DirectAccess.
Depois de iniciar e determinar a sua localizao na rede, o cliente Direct Access tenta localizar e efetuar login em um controlador de domnio. Este processo cria o tnel de infraestrutura para o servidor DirectAccess.
1. O nome DNS para o controlador de domnio corresponde a regra namesp ace intranet na NRPT, que especifica o endereo IPv6 do servidor DNS da intranet. O servio Cli ente DNS constri o nome DNS consulta que dirigida para o endereo IPv6 do servidor DNS da intra net e entrega-lo para o TCP / IP empilhar para o envio. ----------------------- Pgina 287----------- ------------
2. ws
Antes de enviar o pacote, a pilha TCP / IP verifica se h o Firewall do Windo regras de sada ou de regras de segurana de conexo para o pacote.
3. Como o endereo de destino IPv6 na consulta de nome DNS corresponde a uma reg ra de segurana de conexo que corresponde com o tnel de infraestrutura, o cliente DirectAccess usa AuthIP e IPsec para negociar e autenticar um tnel IPsec criptografado para o servidor DirectAccess. O cli ente DirectAccess se autentica com o seu certificado de computador instalado e suas credencia is NTLM.
4. O cliente DirectAccess envia a consulta de nome DNS atravs do tnel de infra-e strutura para o Servidor DirectAccess.
5. O servidor DirectAccess encaminha a consulta de nome DNS para o DNS servido r de intranet, que responde. A resposta consulta DNS nome enviado de volta para o servidor DirectAccess e volta atravs da tnel de infra-estrutura para o cliente DirectAccess.
Trfego de logon subseqente domnio passa pelo tnel de infraestrutura. Quando o usurio no Cliente DirectAccess faz logon, o trfego de logon de domnio passa pelo tnel de infr aestrutura.
A primeira vez que o cliente DirectAccess envia o trfego para um local intranet q ue no est na lista de destinos para o tnel de infraestrutura (como um servidor de e-mail), ocorre o seg uinte:
1. A aplicao ou processo que tenta se comunicar constri uma mensagem ou da carga e as mos -lo para a pilha TCP / IP para o envio.
2. ws
Antes de enviar o pacote, a pilha TCP / IP verifica se h o Firewall do Windo regras de sada ou de regras de segurana de conexo para o pacote.
3. Como o endereo de destino IPv6 corresponde regra de segurana de conexo que cor responde ao intranet do tnel (que especifica o espao de endereo IPv6 da intranet inteira), o cliente DirectAccess usa AuthIP e IPsec para negociar e autenticar um tnel IPsec adicional para o DirectAccess servidor. O cliente DirectAccess se autentica com o seu certificado de comp utador instalado eo usurio credenciais de conta do Kerberos.
4. O cliente DirectAccess envia o pacote atravs do tnel da intranet para o servi dor DirectAccess.
5. Os atacantes do servidor DirectAccess o pacote para os recursos da intranet , que responde. NO entanto, o tempo de enviado de volta para o servidor DirectAccess e volta atravs do tnel de intra net para o DirectAccess *cliente*
Trfego de acesso intranet subseqente, o que no corresponde a um destino intranet na infra-estrutura tnel regra de segurana de conexo, atravessa o tnel intranet.
1. O servio Cliente DNS passa o nome de DNS para o recurso atravs da Internet NR PT. Existem (Nada encontrado) O servio Cliente DNS constri a consulta de nome DNS que dir igida ao IP endereo de uma interface configurada servidores DNS da Internet e entrega-lo para a pilha TCP / IP para Enviando...
2. ws
Antes de enviar o pacote, a pilha TCP / IP verifica se h o Firewall do Windo regras de sada ou de regras de segurana de conexo para o pacote.
----------------------- Pgina 288----------- -----------5-68 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
3. Como o endereo IP de destino na consulta de nome DNS no coincide c om a segurana da ligao regras para os tneis para o servidor DirectAccess, o cliente Dire ctAccess envia a consulta de nome DNS normalmente.
4. nternet.
5. A aplicao do usurio ou processo constri o primeiro pacote para envia r para o recurso da Internet. Antes enviar o pacote, a pilha TCP / IP verifica para determinar se h o Firewall do Windows regras de sada ou de regras de segurana de conexo para o pacote.
6. Como o endereo IP de destino na consulta de nome DNS no coincide c om a segurana da ligao regras para os tneis para o servidor DirectAccess, o cliente Dire
Trfego recurso subseqente Internet, o que no corresponde a um destino em qualquer infra-estrutura tnel intranet regras de segurana de conexo, so enviados e recebidos norma lmente. ----------------------- Pgina 289----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-69
Configurando DirectAccess
Criar um grupo de segurana para manter os computadores que sero clientes DirectAcc ess.
Criar um registro de host DNS para o servidor local da rede para clientes da int ranet DirectAccess.
Criar um registro de host DNS para o servidor que hospeda a lista de revogao de ce rtificado na intranet.
No seu servidor DNS pblico, criar um registro de host DNS para o host que ir propo rcionar o acesso ao Lista de Certificados Revogados para clientes baseados na Internet DirectAc cess.
Criar o modelo de certificado e configurar as definies de segurana no modelo de for ma que Autenticado Os usurios podem inscrever o certificado.
Distribuir os certificados de computador. Voc pode usar a Diretiva de Grupo para fazer isso, permitindo autoinscrio.
Para preparar os clientes DirectAccess e testar o ambiente DirectAccess, conclua as seguintes tarefas: ----------------------- Pgina 290----------- -----------5-70 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Verifique se os clientes DirectAccess ter o certificado de computador que necessrio para o DirectAccess autenticao, o que deveria ter sido distribudo com a Diretiva de Grup o.
Para verificar a funcionalidade DirectAccess, mover clientes DirectAcc ess Internet e verificar a conectividade aos recursos da intranet. ----------------------- Pgina 291----------- -----------Configurao e Soluo de Probl emas de Roteamento e acesso remoto 5-71
Observao: Para observar como executar essas tarefas, baixar e extrair o supl ementar arquivo de contedo 6421B-ENU-Companion.zip do http://www.microsoft.com/lear ning / En / us / local de treinamento / companionmoc.aspx e visualizar os arqui vos de mdia a seguir: 6421B_DirectAccessDemo_Task1.WMV 6421B_DirectAccessDemo_Task2.WMV 6421B_DirectAccessDemo_Task3.WMV 6421B_DirectAccessDemo_Task4.WMV 6421B_DirectAccessDemo_Task5.WMV
Para ver a transcrio para a demonstrao, ver 6421B_DirectAccessDemo_Transcript_and_Steps.PDF. ----------------------- Pgina 292----------- -----------5-72 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
Cenrio Lab
Est administrador do servidor da Contoso, Ltd. Sua organizao consiste em u ma grande fora de trabalho mvel que carrega laptops para ficar conectado. Sua empresa quer oferecer uma sol uo segura para proteger dados // transfer; Para fazer isso, voc vai usar DirectAccess para permitir a conectividade persistente, a administrao central, e gerenciamento de computadores remotos.
Configure os clientes DirectAccess e teste de Intranet e acesso Interne t. ----------------------- Pgina 293----------- -----------Configurao e Soluo de Prob lemas de Roteamento e acesso remoto 5-73
Instrues de laboratrio
Devido complexidade dos passos envolvidos na habilitao e configurao DirectAccess, re ferem-se aos passos disponveis na chave de resposta Lab.
Resultados: No final deste exerccio, voc est preparado AD DS e DNS para apoiar a im plantao de DirectAccess.
Resultados: No final deste exerccio, voc ter configurado a infra-estrutura de chave pblica em Contoso apoiar a implantao de DirectAccess.
Resultados: No final deste exerccio, voc ter configurado com sucesso NYC edge1 como um DirectAccess servidor.
Resultados: No final deste exerccio, voc vai ter implementado com sucesso, verific ado e testado DirectAccess.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4. Repita essas etapas para SVR1-6421B-NYC, 6421B-NYC-edge1, 6421B-Inet1 e 642 1B-NYC-CL1. ----------------------- Pgina 294----------- -----------5-74 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Sua organizao quer implementar uma soluo de custo eficaz que interliga duas filiais com seus escritrios na cabea. De que forma poderia VPNs desempenhar um papel nesse cenrio?
2. O gerente de TI da sua organizao est preocupada com a abertura de po rtas de firewall demais para facilitar acesso remoto de usurios que esto trabalhando a partir de casa atra vs de uma VPN. Como voc pode atender a expectativas de seus usurios remotos enquanto dissipar as preocupaes do seu gerente?
3. Voc tem um servidor VPN com duas polticas de rede configuradas. O pr imeiro tem uma condio que concede acesso aos membros do grupo Contoso, para que todos em sua organi zao pertence, mas tem um restrio de dia e hora restries para o horrio de expediente somente. A segunda poltica tinha uma condio de membros do grupo Administradores de Domnio e sem restries. Por que o s administradores de ser recusado ligaes fora do horrio de expediente e que voc pode fazer sobre isso?
DirectAccess DirectAccess um recurso no Windows 7 e Windows Server 2 008 R2 sistemas operacionais que fornece aos usuri
os uma conexo perfeita com o seu rede privada da organizao a partir de um com putador com ligao Internet.
VPN Reconnect Embora DirectAccess pode substituir conexes VPN como um controle remoto preferido acesso a soluo para muitas organizaes, as orga nizaes menores pode no atender s os requisitos de infra-estrutura para o Di rectAccess. Consequentemente, a Microsoft melhorar a usabilidade VPN no Windows 7 c om VPN Reconnect. VPN Reconnect usa IKEv2 tecnologia para fo rnecer VPN contnua e consistente conectividade, automaticamente re-estabele cer uma VPN quando os usurios perdem temporariamente suas conexes com a Internet. Isto particula rmente benfico para os utilizadores que implementar solues de banda larga sem fio. ----------------------- Pgina 295----------- -----------Configurao e Soluo de Probl emas de Roteamento e acesso remoto 5-75
Ferramentas
gesto
Napclcfg.msc cliente Manage Lanamento NAP computador Run configuraes de execuo ----------------------- Pgina 296----------- -----------5-76 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 297----------- -----------6.1
Mdulo 6
Contedo:
Lab: Configurando e Gerenciando Network Policy Server 6-37 ----------------------- Pgina 298----------- ------------
O Network Policy Server (NPS) em funo do Windows Server 2008 substitui o Servio de Autenticao da Internet (IAS) de verses anteriores do Windows Server. NPS fornece suporte para o Remote Authentication Dial-In Usurio do Servio de protocolo (RADIUS), e pode ser configurado como um s ervidor RADIUS ou proxy. Alm disso, o NPS fornece funcionalidade que essencial para a implementao da Rede de Proteo de Acesso (NAP). Para apoiar os clientes remotos e implementar NAP, importante que voc saiba como instalar, configurar e solucionar NPS.
Objetivos
Monitorar e solucionar problemas de NPS. ----------------------- Pgina 299----------- -----------Instalao, Configurao e Soluo de Pro blemas da Rede Poltica servio de funo Servidor 6-3
Lio 1
NPS implementado como uma funo de servidor no Windows Server 2008 e Windo ws Server 2008 R2. Voc deve se tornar uma criana inocente entender como instalar e configurar a funo de NPS para apoiar a sua infra -estrutura RADIUS.
Objetivos
Configurar as definies gerais do NPS. ----------------------- Pgina 300----------- -----------6-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
NPS permite-lhe criar e aplicar em toda a organizao das polticas de acess o rede para a sade do cliente,
autenticao de solicitao de conexo, e autorizao de pedido de ligao. Voc ta usar o NPS como um Dial-In User Service Remote Authentication (RADIUS) proxy para encamin har solicitaes de conexo para o NPS ou outros servidores RADIUS que voc configura em grupos de servidores remo tos RADIUS.
NPS permite configurar e gerenciar centralmente a autenticao de rede de acesso, autorizao e polticas de sade do cliente com qualquer combinao dos trs seguintes funes:
O servidor RADIUS: NPS executa autenticao de conexo centralizada, autoriz ao e contabilidade para redes sem fio, autenticando switch, e dial-up e de rede virt ual privada (VPN). Quando usando o NPS como um servidor RADIUS, voc pode configurar servidor es de acesso rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Voc tambm pode confi gurar polticas de rede que o NPS usa para autorizar solicitaes de conexo, e voc pode configurar contas RADIUS p ara que os logs do NPS informaes contbeis em arquivos de log no disco rgido local ou em um M icrosoft SQL Server banco de dados.
O NPS a implementao da Microsoft de um servidor RADIUS. Como um ser vidor RADIUS, o NPS executa autenticao de conexo centralizada, autorizao e contabilidade para muit os tipos de rede acesso, incluindo autenticao wireless, switch, dial-up e VPN de ace sso remoto e roteador para roteador Conexes.
NPS permite o uso de um conjunto heterogneo de wireless, switch, a cesso remoto, ou equipamento de VPN. Voc pode usar o NPS com o servio Roteamento e acesso remoto, que es t disponvel no Microsoft Windows 2000 e verses mais recentes do Windows Server.
Quando um servidor NPS membro de um Active Directory Domain Servi ces (AD DS), o NPS usa AD DS como sua base de dados conta de usurio e oferece single sign -on, os usurios usam o mesmo conjunto de credenciais para controle de acesso de rede (autenticao e autorizao de acesso a u ma rede), como eles fazem para acessar recursos dentro do domnio AD DS.
----------------------- Pgina 301----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-5
Internet Service Providers (ISPs) e organizaes que mantm o acesso rede tm a mai or desafio de gerenciar todos os tipos de acesso rede a partir de um ponto nico da administrao, independentemente de o tipo de rede de acesso-equipamento que utilizam. O padro RADIUS suporta es ta funcionalidade em ambientes homogneos e heterogneos. RADIUS um protocolo cliente-servidor que p ermite rede de acesso-equipamento, utilizado como clientes RADIUS, para apresentar as solicitaes de autenticao e contabilidade para um servidor RADIUS.
Um servidor RADIUS tem acesso a informaes da conta do usurio e pode verificar a autenticao de acesso rede credenciais. Se as credenciais do usurio so autnticos, e RADIUS autoriza a ten tativa de conexo, o Servidor RADIUS, em seguida, autoriza o acesso do usurio com base em condies e specficas e registros da rede de acesso a conexo em um log de contabilidade. Usando o RADIUS permite a autent icao do usurio de acesso rede, autorizao e contabilizao de dados a serem coletados e mantidos em um local cent ral, em vez de em cada servidor de acesso.
proxy RADIUS: Ao utilizar o NPS como um proxy RADIUS, voc pode configurar diretiv as de solicitao de conexo que indicam que as solicitaes de conexo que o servidor NPS encaminhar para outros s ervidores RADIUS e quais servidores RADIUS voc deseja encaminhar solicitaes de conexo. Voc tambm pod e configurar o NPS para frente representando dados para registro por um ou mais computadores em um grupo de servidores remotos RADIUS.
Como um proxy RADIUS, autenticao de NPS para a frente e mensagens de contabil idade para outros servidores RADIUS. NPS suporta o Internet Engineering Task Force (IETF) normas para RADIUS que so descritos em Request for Comments (RFC) 2865 e 2866.
Com NPS, a sua organizao tambm pode terceirizar infra-estrutura de acesso remo to a um prestador de servios mantendo o controle sobre a autenticao do usurio, autorizao e contabilidade.
Acesso Internet
servidor de polticas NAP: Quando voc configura o NPS como um servidor de polticas N AP, o NPS avalia as declaraes de sade (SoHs) enviadas por computadores cliente NAP que tentam se conectar red e. NPS tambm atua como um servidor RADIUS quando ele configurado com NAP, realizand o autenticao e autorizao para pedidos de ligao. Voc pode configurar diretivas NAP no NPS e conf iguraes, incluindo validadores do sistema de sade (SHVs), polticas de sade e grupos de Remediao de servidor que permitir que o cliente computadores para atualizar sua configurao para se tornar compatvel com a rede da sua organizao
poltica.
Windows 7 e Windows Server 2008 incluem NAP, que ajuda a proteger o acesso a redes privadas por assegurar que os computadores clientes esto configurados de acordo com a org anizao da rede de sade polticas antes que eles podem se conectar aos recursos da rede. Alm disso, a NAP monitora computador de cliente cumprimento definido pelo administrador da poltica de sade enquanto o computa dor est conectado rede. Os computadores no compatveis podem ser atualizados automaticamente utilizand o o NAP auto-remediao, que traz cumprimento poltica de sade para que eles possam se conectar com xito rede. ----------------------- Pgina 302----------- -----------6-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Os administradores de sistema definir polticas de sade de rede e c riar essas polticas usando NAP componentes que, ou NPS fornece, dependendo a sua implantao NAP, o u que terceiros empresas fornecem.
As polticas de sade podem incluir requisitos de software, a atuali zao de segurana-requisitos e necessria de definies de configurao. A NAP impe diretivas de integridade inspecion ando e avaliando a sade do cliente computadores, restringindo o acesso rede quando os computadores clientes so considerados insalubres, e remediar insalubres computadores cliente para acesso total rede. ----------------------- Pgina 303----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica de Funo de Servidor Servio de 6-7
Registrar NPS no AD DS. ----------------------- Pgina 304----------- -----------6-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Depois de instalar a Rede papel Policy Server, voc pode abrir a ferrame nta NPS Administrativo da Menu Ferramentas Administrativas, ou voc pode adicionar o snap-in para criar um personalizado Microsoft Management Console ferramenta (MMC). Voc tambm pode usar comandos netsh para gerenc iar e configurar o papel do NPS.
As seguintes ferramentas permitem que voc gerencie e Diretiva de Rede d e Acesso funo de servidor Servios:
NPS MMC snap-in: Use o MMC NPS para configurar um servidor RADIUS, pro xy RADIUS, ou NAP tecnologia
Os comandos Netsh para NPS: Os comandos Netsh para NPS fornecem um con junto de comandos que totalmente equivalente a todas as configuraes que esto disponveis atravs do MMC N PS snap-in. Voc pode executar comandos netsh manualmente no prompt Netsh ou em scripts de admin istrador.
Um exemplo de uso netsh que depois de instalar e configurar o NPS, voc pode salvar a configurao usando o netsh nps show config> caminho \ arquivo.txt comando; salvar
a configurao NPS com este comandar cada vez que voc fazer uma mudana. ----------------------- Pgina 305----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-9
Salvar a configurao. ----------------------- Pgina 306----------- -----------6-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
RADIUS um protocolo de autenticao padro da indstria usado por muitos fabri cantes para apoiar o intercmbio
de informaes de autenticao entre elementos de uma soluo de acesso remoto. im ortante que voc entender como configurar o NPS como um servidor RADIUS ou proxy ou para apoiar o controle remoto autenticao necessidades de sua organizao.
Objetivos
Descrever e configurar o processamento de solicitao de conexo para um ambi ente de proxy RADIUS.
Criar uma poltica de pedido de ligao nova. ----------------------- Pgina 307----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-11
Um servidor de acesso rede (NAS) um dispositivo que fornece algum nvel de acesso a uma rede maior. A NAS utilizando uma infra-estrutura RADIUS tambm um cliente RADIUS, originando pedidos de ligao e de contabilidade mensagens para um servidor RADIUS para autenticao, autorizao e contabilidade.
Os computadores clientes importantes, tais como computadores portteis sem fio e outros computadores que esto rodando o cliente de sistemas operacionais, no so clientes RADIUS. O s clientes RADIUS so servidores de rede de acesso, incluindo pontos de acesso sem fio, chaves d e autenticao 802.1X e Servidores VPN, e servidores dial-up, porque eles usam o protocolo RADIUS para se comunicar com servidores RADIUS como NPS servidores.
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS, ou um servidor de polticas NAP, voc deve configurar RADIUS clientes no NPS.
Os servidores de acesso de rede que fornecem conectividade de acesso remoto a um a rede ou a organizao Internet, como um computador que est executando o Windows Server 2008 R2 sis tema operacional e do Servio de roteamento e acesso remoto, que fornece tanto tradicional dial-up ou VPN de acesso remoto servios a intranet de uma organizao.
pontos de acesso sem fio que fornecem acesso de camada fsica rede de uma organizao usando uma rede sem fio transmisso baseada em tecnologias e recepo.
Interruptores que do suporte fsico-camada de acesso rede de uma organizao, usando a ea tradicional local rede (LAN) tecnologias, como a Ethernet.
Os NPS baseados proxies RADIUS que as solicitaes de conexo para a frente para servi dores RADIUS que so membros da um grupo de servidores remotos RADIUS que voc configurar no proxy RADIUS, ou proxies RADIUS outros. ----------------------- Pgina 308----------- -----------6-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode usar o NPS como um proxy RADIUS para encaminhar mensagens RADI US entre clientes RADIUS (servidores de acesso) e servidores RADIUS que executam autenticao, autorizao e contabilidade par a a conexo Tentativa
Quando voc usa o NPS como um proxy RADIUS, o NPS uma central de comutao o u roteamento de ponto atravs do qual RADIUS acesso e fluxo de mensagens contabilidade. NPS registra informaes em um log de contabilidade sobre encaminhado mensagem
Voc um prestador de servios que oferece discagem terceirizada, VPN, ou s ervios de acesso de rede sem fio para vrios clientes.
Seus servidores de acesso rede enviar solicitaes de conexo para o pr oxy RADIUS NPS. Com base no utilizador parte do nome do domnio na solicitao de conexo, o proxy RADIUS NPS en caminha a ligao solicitar a um servidor RADIUS que o cliente mantm e pode autentic ar e autorizar a Tentativas de conexo
Voc deseja fornecer autenticao e autorizao para contas de usurios que no s mbros da domnio no qual o servidor NPS um membro, ou de um domnio que tem um a confiana bidirecional com o NPS domnio do servidor membro.
Isto inclui contas em domnios no confiveis, de um modo domnios confive is, e de outras florestas. Ao inves de configurar servidores de acesso para enviar seus pedidos de conexo a um servidor RADIUS NPS, voc pode
configur-los para enviar seus pedidos de conexo a um proxy RADIUS N PS. O proxy RADIUS NPS usa a poro reino nome do nome de usurio e encaminha a solicitao para u m servidor NPS no domnio correto ou floresta. As tentativas de conexo para contas de usurio em um domnio ou floresta pode ser autenticados para servidores de rede de acesso em outro domnio ou floresta. ----------------------- Pgina 309----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-13
NPS suporta autenticao entre florestas, sem um proxy RADIUS, quando as duas flores tas contm apenas domnios que consistem em controladores de domnio que estejam executand o o Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition e Windows Server 2003 Datac enter Edition.
O nvel funcional da floresta deve ser Windows Server 2003, e deve haver uma relao de confiana bidirecional relao entre as florestas. No entanto, se voc usar Extensible Authentication Pr otocol (EAP)-Transporte Nvel de Segurana (TLS) com certificados como o seu mtodo de autenticao, voc deve usar um proxy RADIUS para autenticao entre florestas que consistem em domnios do Windows Server 2003.
Voc quer realizar a autenticao e autorizao por meio de um banco de dados que no um dows banco de dados conta.
Neste caso, os pedidos de conexo NPS encaminha que correspondem a um nome de domnio especificado para um servidor RADIUS, que tem acesso a um banco de dados diferente de contas de usurio e dados de autorizao. Exemplos de outros bases de dados de usurio incluem Novell Directory Services (NDS) e Structure d Query Language (SQL)
Voc quer processar um grande nmero de solicitaes de conexo. Neste caso, em vez de con figurar o seu Clientes RADIUS para tentar equilibrar a sua conexo e solicitaes de contabilid ade atravs de mltiplos Servidores RADIUS, voc pode configur-los para enviar os seus pedidos de ligao e de contabilidade para um NPS Proxy RADIUS.
O proxy RADIUS NPS dinamicamente equilibra a carga de solicitaes de conexo e c ontabilidade em vrios servidores RADIUS, e aumenta o processamento de grandes nmeros de clien tes RADIUS e autenticaes por segundo.
Voc deseja fornecer autenticao RADIUS e autorizao para os prestadores de servios terc irizados e minimizar intranet configurao do firewall.
Um firewall de intranet entre a sua rede de permetro (a rede entre a intrane t ea Internet) e intranet. Ao colocar um servidor NPS na rede de permetro, o fire wall entre a sua permetro da rede e intranet deve permitir que o trfego flua entre o servidor NPS e mltiplas controladores de domnio.
Ao substituir o servidor NPS com um proxy NPS, o firewall deve permitir som ente o trfego RADIUS a fluir entre o proxy NPS e um ou vrios servidores NPS dentro de sua intranet. ----------------------- Pgina 310----------- -----------6-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Configurar um cliente RADIUS. ----------------------- Pgina 311----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-15
Polticas de solicitao de conexo so conjuntos de condies e configuraes que permitem a ministradores de rede designar os servidores RADIUS realizar a autenticao e autorizao de pedidos de conexo que o NPS servidor recebe de clientes RADIUS. Voc pode configurar diretivas de solicitao de conexo para designar quais servidores RADIUS a serem usados para contabilidade RADIUS.
Importante Quando voc implanta NAP usando o VPN ou 802.1X com mtodos de exec uo Protegido autenticao Extensible Authentication Protocol (PEAP), voc deve conf igurar PEAP de autenticao na diretiva de solicitao de conexo, mesmo quando os pedidos de ligao so Processo local
Voc pode criar uma srie de polticas de solicitao de conexo para que algumas mensagens de solicitao RADIUS enviado Os clientes RADIUS so processadas localmente (NPS um servidor RADIUS) e outros ti pos de mensagens so enviadas para outro servidor RADIUS (NPS um proxy RADIUS).
Com polticas de solicitao de conexo, voc pode usar o NPS como um servidor RADIUS ou c omo um proxy RADIUS, baseada em uma
Condies
Condies de conexo de diretiva de solicitao so um ou mais atributos RADIUS que so compa adas com o atributos da entrada RADIUS mensagem Access-Request. Se vrias condies existem, ento todo o
condies na mensagem de pedido de ligao e na poltica de pedido de ligao devem correspon er para NPS para impor a poltica. ----------------------- Pgina 312----------- -----------6-16 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede
Configuraes
Definies de ligao de poltica de solicitao so um conjunto de propriedades qu aplicados a um raio de entrada mensagem. Definies constitudo pelos seguintes grupos de propriedades:
Autenticao
Contabilidade
Manipulao de Atributos
Avanado
Quando voc instala o NPS, um padro de poltica de pedido de conexo criada c om as seguintes condies:
Contabilidade no est configurado para transmitir informaes de contabilidad e para um grupo de servidores remotos RADIUS.
Manipulao de atributo no for configurado com regras que mudam atributos e m relao encaminhado Pedidos
Solicitao de encaminhamento configurado para que o servidor NPS local, a utentica e autoriza solicitaes de conexo.
A poltica padro de solicitao de conexo usa o NPS como um servidor RADIUS. P ara configurar um servidor NPS para atuar como um Proxy RADIUS, voc tambm deve configurar um grupo de servidores remotos R ADIUS. Voc pode criar um novo controle remoto Grupo do servidor RADIUS, enquanto voc est criando uma poltica de pedido de nova ligao com a nova conexo Assistente de diretiva de solicitao. Voc pode excluir a poltica padro de so licitao de conexo ou verificar se o poltica padro de solicitao de conexo a ltima diretiva processada.
Observao: Se o NPS eo servio Roteamento e Acesso Remoto esto instala dos no mesmo computador, eo servio de Roteamento e Acesso Remoto configurado p ara o Windows autenticao e contabilidade, possvel que o servio Roteamento e Acesso Remoto solicitaes de autenticao e contabilidade para ser encaminhado para u m servidor RADIUS. Isto pode ocorrer quando o roteamento e servio de autenticao de acesso remoto e solic itaes de estatsticas correspondem a uma poltica de solicitao de conexo que est configurado para encaminh-los p ara um servidor RADIUS remoto grup ----------------------- Pgina 313----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-17
A poltica padro de solicitao de conexo usa o NPS como um servidor RADIUS e processa t oda a autenticao pedidos localmente.
Para configurar um servidor NPS para atuar como um proxy RADIUS e encaminhar as solicitaes de conexo para outros NPS ou servidores RADIUS, voc deve configurar um grupo de servidores remotos RAD IUS e adicionar uma nova conexo
solicitar poltica que especifica as condies e configuraes que as solicitaes de co exo devem coincidir.
Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de c
riao de uma nova conexo solicitar poltica com o Assistente de nova poltica de solicitao de conexo.
Se voc no deseja que o servidor NPS para atuar como um servidor RADIUS e solicitaes de conexo de processos localmente, voc pode excluir a poltica padro de solicitao de conexo.
Se voc deseja que o servidor NPS para atuar tanto como um servidor RADIUS (os pro cessos de pedidos de ligao local) e como um proxy RADIUS (para a frente algumas solicitaes de conexo para um grupo de servidores remotos RADIUS), ento voc deve adicionar uma nova poltica e, em seguida, verificar se a poltica padro de solicitao de conexo a ltima poltica processado.
Por padro, o NPS escuta o trfego RADIUS nas portas 1812, 1813, 1645, e 1646 para P rotocolo de Internet verso 6 (IPv6) e IPv4 para todos os adaptadores de rede instalados.
Observao Se voc desabilitar o IPv4 ou IPv6 em um adaptador de rede, o NPS no m onitora Trfego RADIUS para o protocolo desinstalado. ----------------------- Pgina 314----------- -----------6-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Os valores de 1812 para autenticao e 1813 para contabilidade so portas RA DIUS padres definidos em RFCs 2865 e 2866. No entanto, por padro, muitos servidores de acesso usar as portas 1645 para solicitaes de autenticao e 1646 para pedidos de contabilidade. Quando voc est decidindo sobre o que os nmeros de portas a utilizar, certifique-se que o NPS eo servidor de acesso so configurados para usar os mesmos nmeros de port a.
Importante Se voc no usar o raio nmeros de porta padro, voc deve conf igurar excees no firewall para o computador local para permitir o trfego R ADIUS nas portas novas.
Voc pode usar o seguinte procedimento para configurar as portas que o N PS usa para autenticao RADIUS e trfego de contabilidade.
Nota Para concluir este procedimento, voc deve ser um membro do g rupo Administradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores n o computador local.
Para configurar o NPS User Datagram Protocol (UDP) as informaes da porta usando a interface do Windows:
1.
2. es.
3. Clique na guia Portas e, em seguida, examinar as configuraes de por tas. Se a sua autenticao RADIUS e Portas UDP RADIUS contabilidade variam entre os valores padro forn ecidos (1812 e 1645 para autenticao, e 1813 e 1646 para contabilidade), digite as configuraes de porta em Autenticao e Contabilidade
Observao Para usar as configuraes de porta para vrias solicitaes de au enticao ou de contabilidade, separar o
nmeros de porta com vrgulas. ----------------------- Pgina 315----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-19
Criar uma poltica de pedido de conexo VPN. ----------------------- Pgina 316----------- -----------6-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando os usurios tentam se conectar rede atravs de servidores de acesso rede, tambm chamado RADIUS clientes, tais como pontos de acesso sem fio, chaves de autenticao 802.1 X e servidores dial-up e servidores VPN, NPS autentica e autoriza a solicitao de conexo antes de permitir ou negar o acesso.
Como a autenticao o processo de verificao da identidade do usurio ou do com putador que est tentando para se conectar rede, o NPS deve receber uma prova de identidade do u surio ou computador sob a forma de credenciais.
Alguns mtodos de autenticao implementar o uso de credenciais baseadas em senha. Por exemplo, Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) exige que os usur ios digitem um nome de usurio e
<password> O servidor de acesso rede, em seguida, passa essas credenci ais para o servidor NPS, que verifica a credenciais contra as contas de usurio de banco de dados.
Outros mtodos de autenticao implementar o uso de credenciais baseadas em certificado para o usurio, o cliente computador, o servidor de NPS, ou alguma combinao. Mtodos de autenticao bas eada em certificados fornecem forte segurana e so recomendados em relao aos mtodos baseados em senha de autenti cao.
Quando voc implantar o NPS, voc pode especificar o tipo necessrio de mtodo de autenticao para acesso sua rede
Objetivos
Descrever como implantar certificados para PEAP e EAP. ----------------------- Pgina 317----------- -----------Instalao, Configurao e Soluo de Problemas d a Rede Poltica servio de funo Servidor 6-21
Cada mtodo de autenticao tem vantagens e desvantagens em termos de segurana, largura , usabilidade e de apoio. No entanto, os mtodos de autenticao baseados em senha no fornecem uma fort e segurana e no so (recomendado) Recomendamos que voc use um mtodo de autenticao baseada em certificado para toda a rede mtodos de acesso que suportam o uso de certificados. Isto especialmente verdadeir o para as ligaes sem fios, do qual Recomendamos o uso de PEAP-MS-CHAP v2 ou PEAP-TLS.
O mtodo de autenticao de que necessita determinada pela configurao do servidor de ace sso rede, No computador cliente, e da poltica de rede no servidor NPS. Consulte a documentao do servidor de acesso para determinar quais mtodos de autenticao so suportados.
Voc pode configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode conf gurar sua rede servidores de acesso, tambm chamados de clientes RADIUS, para tentar negociar uma conexo com computadores cliente requererem a utilizao do protocolo mais seguro primeiro, em seguida, o prximo mais seguro, e assim por diante, at o menos seguro. Por exemplo, o servio Roteamento e Acesso Remoto tenta negociar uma conexo usando EAP primeiro, depois o MS-CHAP v2, depois o MS-CHAP, ento Challenge Handshake Aut hentication Protocol (CHAP), ento Shiva Password Authentication Protocol (SPAP), e, em seguida, Password Authe ntication Protocol (PAP). Quando o EAP escolhido como o mtodo de autenticao, a negociao do tipo de EAP ocorre e ntre o o acesso do cliente eo servidor NPS.
MS-CHAP verso 2
MS-CHAP v2 fornece maior segurana para conexes de acesso rede que o MS-CHAP, seu a ntecessor.
MS-CHAP
MS-CHAP, tambm conhecido como MS-CHAP verso 1, um irreversvel, senha criptografada autenticao protocol
MS-CHAP v2 fornece maior segurana para conexes de acesso rede que o MS-CHAP. Voc de veria considerar o uso de MS-CHAP v2, em vez de MS-CHAP. ----------------------- Pgina 318----------- -----------6-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
CHAP
O CHAP um protocolo de autenticao desafio-resposta que usa a mensagem pad ro da indstria Digest 5 esquema de hashing (MD5) para criptografar a resposta.
PAP
PAP usa senhas em texto puro e o protocolo de autenticao menos seguro. E le normalmente negociado se o cliente de acesso e servidor de acesso rede no podem negociar um mtodo de autenticao mais segura.
Acesso no autenticado
Com o acesso no autenticado, as credenciais do usurio (um nome de usurio e senha) no so necessrios. Apesar de existem algumas situaes em que o acesso no autenticado til, na maioria dos casos, no recomendamos que voc implantar o acesso no autenticado rede da organizao.
----------------------- Pgina 319----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-23
Os certificados so documentos digitais que as autoridades de certificao (CAs) de em isso, como o Active Directory Servios de Certificados (AD CS) ou a VeriSign pblico da CA. Voc pode usar certifica dos para vrias finalidades, tais como assinatura de cdigo e garantir a comunicao de e-mail. No entanto, com NPS, voc usar certificados para rede acesso de autenticao, pois fornecem uma forte segurana para autenticao de usurios e co mputadores, e eliminar a necessidade de menos seguras, mtodos de autenticao baseados em senha.
NPS servidores usam EAP-TLS e PEAP para realizar autenticao baseada em certificado para muitos tipos de rede acesso, incluindo VPN e conexes sem fio.
Modo de autenticao
Dois mtodos de autenticao, quando voc configur-los com os tipos de autenticao baseada m certificado, use certificados: EAP e PEAP. Com o EAP, voc pode configurar o tipo de autenticao TLS ( EAP-TLS), e com PEAP, voc pode configurar a autenticao tipos TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-C HAP v2). Esses mtodos de autenticao sempre usar certificados para autenticao do servidor. Depe ndendo do tipo de autenticao que voc configurar com o mtodo de autenticao, voc tambm pode usar tificados para autenticao de usurio e autenticao de computador cliente.
Nota: a utilizao de certificados para autenticao VPN conexo a forma mais forte de
autenticao disponveis no Windows Server 2008 R2. Voc deve usar certificados pa ra IPsec autenticao em conexes VPN que so baseados em camada de protocolo Two Tunneling mais (Internet Protocol Security L2TP/IPsec). Conexes PPTP no necessitam de certi ficados, Embora voc possa configurar conexes PPTP para usar certificados para computa dor autenticao quando voc usa EAP-TLS como mtodo de autenticao. Para clientes sem fi os (Dispositivos de computao com adaptadores de rede sem fio, como o computador porttil ou assistente digital pessoal), usar o PEAP com EAP-TLS e os cartes inteligent es ou certificados para autenticao. ----------------------- Pgina 320----------- -----------6-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode implantar certificados para uso com NPS, instalando e configur ando a funo de servidor AD CS.
Autenticao mtua
Quando voc usa o EAP com um tipo forte EAP (como TLS com cartes intelige ntes ou certificados), o cliente eo servidores utilizam certificados para verificar suas identidades um do outro. Este processo chamado de autenticao mtua. Os certificados devem cumprir os requisitos especficos para permitir qu e o servidor eo cliente para us-los para mtua autenticao.
Um dos requisitos que o certificado est configurado com um ou mais efei tos em Estender Uso da chave (EKU) extenses que se correlacionam com o uso de certificados. Por exem
plo, voc deve configurar um certificado que voc usa para autenticao de um cliente com a finalidade de autenticao de cli ente. Da mesma forma, voc deve configurar um certificado que voc usa para autenticao de um servidor com o objectivo de Autenticao de Servidor. Quando voc usar certificados para autenticao, o autenticador examina o certificado do cliente, buscando a correta identificador propsito objeto em extenses EKU. Por exemplo, o identifica dor do objeto para a autenticao de cliente objetivo 1.3.6.1.5.5.7.3.2. Quando voc usa um certificado para a autent icao de computador cliente, este objeto identificador deve estar presente nas extenses EKU do certificado ou a autenticao ir falhar.
Modelos de Certificado
Modelos de Certificado um snap-in que permite a personalizao dos certifi cados de que as questes AD CS. Possibilidades de personalizao incluem como os certificados so emitidos e que os certificados contm, incluindo seus propsitos. Em modelos de certificado, voc pode usar um modelo padro, como o modelo do computador, para definir o modelo que o CA utiliza para atribuir certificados para computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a ela em extenses EKU. Por padro, o modelo de computador inclui a finalidade Autenticao do Cliente e da finalidade de Autenticao de Servidor nas extenses EKU.
O modelo de certificado que voc criar pode incluir qualquer finalidade para a qual voc ir utilizar o certificado. DE exemplo, se voc usar cartes inteligentes para autenticao, voc pode incluir a finalidade de logon no Smart Card Alm da finalidade de autenticao de cliente. Ao utilizar o NPS, voc pode co nfigurar o NPS para verificar certificado de fins antes de conceder autorizao de rede. NPS pode verifi car EKUs adicionais e emisso Fins de poltica (tambm conhecido como Polticas de Certificados).
Nota: Alguns no-Microsoft software CA pode conter um propsito cha mado All, que representa todos os fins possveis. Isto indicado por uma extenso EKU em branco (ou nulo). Apesar de tudo, pretende significar "todos os efeitos possveis," voc no pode substituir o Todofinalidade para a finalidade de autenticao do cliente, o propsito de autenticao do servidor, ou qualquer outra finalidade que est relacionado autenticao de acesso rede. ----------------------- Pgina 321----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-25
Tabela a seguir detalha os certificados que so necessrias para implantar cada um d os listados com base em certificado mtodos de autenticao com sucesso:
Necessrio para EAP-TLS e Necessrio para PEAP-MSCertificado PEAP-TLS? Detalhes CHAP v2?
Certificado da CA em Sim. O certificado CA sim. Este certificado Para PEAP-MS -CHAP v2, Raiz Confivel inscrito automaticamente para matriculados automaticamente este certificado Membros de certificao computadores do domnio. para membro do domnio necessrio para mtua Autoridades Para computadores no-membros do domnio. Para os no-autenticao entre computadores armazenamento de certificados, voc deve importar cliente membro d o domnio eo servidor. para o local o certificado manualmente em computadores, voc deve Computador eo armazenamento de certificados. importar o certificado
Sim computador cliente. A autenticao do usurio do computador cliente No. Se voc im plantar usurio certificado nos certificados so necessrias realizada com certificados em inteli gente armazenamento de certificados, a menos que os certificados de utilizador so ba seados em senha cartes, computadores clientes do cliente distribudos em cartes inteligentes. credenciais no, no precisa de clie nte Os certificados de cliente esto matriculados certificad os. certificados. automaticamente para o domnio computadores membros. Para os nomembros computadores do domnio, voc deve importar o certificado manualmente ou obter com o Web-inscrio Ferramentas ----------------------- Pgina 322----------- -----------6-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
(continuao)
Necessrio para EAP-TLS e Necessrio para PEAP-M SCertificado PEAP-TLS? Detalhes CHAP v2?
O certificado do servidor sim. Voc pode configurar sim. Alm disso par a o servidor NPS envia no certificado de AD CS para registrar automaticamente servidor usa ndo o AD CS para o servidor do certificado de servidor para
armazenar os certificados de NPS para os membros dos certificados, possvel que o computador cliente. servidor RAS e IAS grupo de servidores no servidor de comprar o com putador cliente Active Directory. certificados de outro usa o certificado para CAs que o cliente autenticar os NPS comp utadores j confia. servidor.
Usurio certificado No. Este certificado exigido autenticao do usurio No. Para EAP-TLS e em um carto inteligente apenas se voc optar por implementar realizada com PEAP-TLS, se voc fizer cartes inteligentes em vez de no auto-senha b aseada em auto-inscrever-se cliente inscrever as credenciais do cliente de comp utador, certificados de computador, no certificados. certificados. certificados de usurio em inteligente cartes so necessrios.
Importante Instituto de Engenheiros Eltricos e Eletrnicos, Inc. ( IEEE) 802.1X autenticao fornece acesso autenticado a redes sem fio 802.11 e co m fio Redes Ethernet. 802.1X fornece suporte para tipos de EAP seguro s, como TLS com inteligente cartes ou certificados. Voc pode configurar 802.1X com EAP-TLS em uma variedade de maneiras. Se voc configurar a opo Validar certificado do servidor no cliente, o cl iente autentica o servidor utilizando o respectivo certificado. Computador client e e autenticao de usurio realizado o uso de certificados do armazenamento de certificados de clien te ou um carto inteligente, proporcionando mtuo autenticao. Com clientes sem fio, voc pode usar o PEAP-MS-CHAP v2
como a autenticao Mtodos PEAP-MS-CHAP v2 uma senha baseada em mtodo de autenticao de usurio que usa TLS com certificados de servidor. Durante PEAP-MS-CHAP v2, o servid or NPS fornece uma certificado para validar sua identidade para o cliente (se a opo Validar certificado do servidor configurado no cliente Windows 7). Computador cliente e autenti cao de usurio conseguido com senhas, o que elimina algumas das dificuldades d a implantao certificados para computadores cliente sem fio. ----------------------- Pgina 323----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-27
Todos os certificados que voc usa para autenticao de acesso rede com EAP-TLS e PEAP deve atender a requisitos para certificados X.509 e de trabalho para conexes que utilizam Secure Sockets Layer-Transportes Layer Security (SSL / TLS). Aps este requisito mnimo cumprida, os certificados de cliente e servidor tm requisitos adicionais.
Voc pode configurar clientes para validar certificados de servidor usando a opo Val idar certificado do servidor. Com PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como mtodo de autenticao, o cliente aceita o s ervidor autenticao tentativa quando o certificado cumpre os seguintes requisitos:
O nome do assunto contm um valor. Se voc emitir um certificado para seu servidor N PS que tem um espao em branco
O certificado do computador nas cadeias do servidor para uma CA raiz confivel e no deixar nenhum dos cheques CryptoAPI que realiza e que o acesso remoto ou polticas de rede especificar.
O NPS ou VPN certificado de computador servidor est configurado com a finalidade de autenticao do servidor em Extenses EKU (o identificador de objeto para Autenticao do Servidor 1.3.6.1.5. 5.7.3.1).
A extenso Subject Alternative Name (SubjectAltName), se voc us-lo, deve conter a do servidor FQDN.
Com PEAP e EAP-TLS, servidores NPS exibir uma lista de todos os certificados ins talados no certificado de computador loja, exceto o seguinte:
Registro e baseados em smart card logon certificados de ----------------------- Pgina 324----------- -----------6-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Com o EAP-TLS ou PEAP-TLS, o servidor aceita a tentativa de autenticao d o cliente quando o certificado cumpre os seguintes requisitos:
Uma AC empresarial emitiu o certificado de cliente ou ele mapeado para um usurio do Active Directory ou computador Contas
O usurio ou certificado de computador sobre as cadeias de cliente para uma CA confivel-root; inclui o Cliente Finalidade de autenticao em extenses EKU (o identificador de objeto para autenticao do cliente 1.3.6.1.5.5.7.3.2); e no nem as verificaes que executa CryptoAPI, q ue o acesso remoto ou polticas de rede especificar, nem o identificador do objeto Certi ficado verifica que as polticas de rede NPS [ESPECIFICAR]
O cliente 802.1X no utiliza certificados baseados no Registro que so ou smart card logon ou protegidos por senha certificados.
Para certificados de usurio, a extenso Subject Alternative Name (Subject AltName) no certificado contm o nome de usurio principal (UPN).
Para certificados de computador, a extenso Subject Alternative Name (Su bjectAltName) no certificado deve conter FQDN do cliente, tambm conhecido como o nome de DNS.
Com PEAP-TLS e EAP-TLS, os clientes exibir uma lista de todos os certi ficados instalados no snap-in Certificados, com as seguintes excees:
Os clientes sem fio no exibir com base no Registro e smart card logon-c ertificados.
Os clientes sem fio e clientes VPN no apresentam certificados protegido s por senha.
Os certificados que no contenham a finalidade de Autenticao de Cliente na s extenses EKU. ----------------------- Pgina 325----------- -----------Instalao, Configurao e Soluo de Pro blemas da Rede Poltica servio de funo Servidor 6-29
Voc pode monitorar NPS por configurar e usar o log de eventos e de auten ticao de usurio e solicitaes de contabilidade. O registro de eventos permite gravar eventos do NPS no sistema e eventos de segurana Acessos Voc pode usar o log pedido de anlise de conexo e efeitos de factur ao. A informao de que o coletar arquivos de log til para soluo de problemas e tentativas de conexo para a investigao de segurana.
Objetivos
izador de eventos. ----------------------- Pgina 326----------- -----------6-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Mtodos usados
Os dois tipos de contabilidade, ou registro, que voc pode usar para mon itorar NPS so:
O registo de eventos para NPS: Voc pode usar o log de eventos para regi strar eventos do NPS no sistema e de segurana logs de eventos. Voc pode usar isso principalmente para auditoria e as tentativas de conexo de resoluo de problemas.
o registro de pedidos de autenticao de usurio e contabilidade: Voc pode fa zer logon autenticao de usurio e solicitaes de contabilidade em arquivos de log em formato texto ou formato de banco de dados, ou voc pode registrar em um armazenados procedimento em um banco de dados SQL Server. Use pedido de regis tro principalmente para anlise de ligao e de faturamento propsitos, e como uma ferramenta de investigao de segurana, pois perm ite identificar a atividade de um invasor.
Desligue o log (inicialmente) para autenticao e registros contbeis. Modif ique essas selees aps a determinar o que apropriado para seu ambiente.
Certifique-se que voc configure o log de eventos com capacidade suficie nte para manter seus registros.
Faa o backup de todos os arquivos de log em uma base regular, porque el es no podem ser recriados quando danificado ou apagado.
Use o atributo Classe RADIUS para controlar o uso e simplificar a iden tificao de qual departamento ou usurio para cobrar pelo uso. Embora o atributo de classe, que gerado aut omaticamente, exclusivo para cada pedido, registros duplicados podem existir nos casos em que a res posta para o servidor de acesso perdido e os pedido re-enviado. Voc pode precisar excluir as solicitaes duplicada s dos logs para rastrear o uso com preciso.
Para fornecer failover e redundncia com o log do SQL Server, coloque do is computadores que esto executando SQL Server em sub-redes diferentes. Use o SQL Server Create Publi cation Wizard para configurar banco de dados replicao entre os dois servidores. Para mais informaes, consulte a do cumentao do SQL Server.
Observao: Para interpretar os dados registrados, ver as informaes n o site TechNet da Microsoft: http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409. ----------------------- Pgina 327----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-31
Voc pode configurar o NPS para executar a contabilizao RADIUS para os pedidos de au tenticao de usurio, Access-Accept mensagens, Access-Reject mensagens, pedidos de contabilidade e respostas, e atua lizaes de status peridicos. Voc pode usar este procedimento para configurar os arquivos de log, onde voc deseja a rmazenar os dados contbeis.
A lista a seguir fornece mais informaes sobre como configurar o NPS de contabilida de:
Para enviar os dados do arquivo de log para a coleta por outro processo, voc pode configurar o NPS para gravar um pipe. Para usar pipes nomeados, defina a pasta de arquivo de log \ \. Pipe \ ou \ \ ComputerName pipe \. O programa de servidor do pipe cria um pipe nomeado chamado \ \. \ pipe \ ias log.log para aceitar os dados. No Arquivo Local caixa de dilogo Propriedades, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo ilimitado) quando voc usar pipes nomeados.
Para criar o diretrio do arquivo de log, use as variveis vez de variveis do usurio), como
% Systemdrive%,% systemroot% e% windir%. Por exemplo, o seguinte caminho, u sando o % varivel de ambiente windir%, localiza o arquivo de log no diretrio de siste ma na subpasta \ System32 \ Logs (isto ,% windir% \ System32 \ Logs \).
Mudar formatos de arquivo de log no causar um novo log a ser criado. Se voc altera r os formatos de arquivo de log, o arquivo que est ativa quando a mudana ocorre ir conter uma mistura dos dois fo rmatos (registros no incio do registo ter o formato anterior, e os registros no final do log ter o novo formato).
Se voc estiver administrando um servidor NPS remotamente, voc no pode navegar na es trutura de diretrios. Se voc necessidade de registrar as informaes de contabilidade para um servidor remot o, especifique o nome do arquivo de log digitando um Universal Naming Convention nome (UNC), como \ \ Meu_Servidor_de_Log \ LogShare.
Se a contabilidade RADIUS falha devido a uma unidade de disco rgido inteiro ou ou tras causas, o NPS no Windows Server 2008, e, por padro no Windows Server 2008 R2, pra de processar as solicitaes de conexo , o que impede
usurios de acessar recursos de rede. ----------------------- Pgina 328----------- -----------6-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
NPS permite registrar em um banco de dados SQL Server, alm de, ou em ve z de log para um arquivo local.
Observao: Se voc no fornecer uma declarao caminho completo no diretri de arquivo de log, o caminho padro usado. Por exemplo, se voc digitar NPSLogFile no diretrio de arqu ivo de log, o arquivo est localizado em % Systemroot% \ System32 NPSLogFile \.
Para configurar as propriedades do arquivo de log usando a interface d o Windows, execute as seguintes tarefas:
1.
2.
3. No painel de detalhes, em propriedades do arquivo de log, clique em Alterar propriedades do arquivo de log. O arquivo local Caixa de dilogo Propriedades abre.
4. Na guia arquivo de log, no diretrio, digite o local onde voc desej a armazenar os arquivos de log do NPS. A configurao padro localizao o systemroot \ System32 \ LogFiles.
5. (Legacy).
6. Para configurar o NPS para iniciar novos arquivos de log em inter valos especficos, clique no intervalo que voc deseja usar:
Para volumes menores de transao e atividade madeireira, clique sem anal ou mensal.
Para armazenar todas as operaes em um arquivo de log, clique em Nu nca (tamanho de arquivo ilimitado).
Para limitar o tamanho de cada arquivo de log, clique em arquivo de log Quando atinge esse tamanho, e digite um tamanho de arquivo, aps o que um novo log criado. O tamanho padro 10 megabytes (M B).
7. Para configurar o NPS para apagar arquivos de log automaticamente quando o disco est cheio, clique em Quando o disco est cheio apagar arquivos de log mais antigos. Se o arquivo de log mais antigo o a rquivo de log atual, ele no excludo.
Nota Para concluir este procedimento, voc deve ser um membro do grupo Administradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores no computador local. ----------------------- Pgina 329----------- -----------Instalao, Configurao e Soluo de Problemas d a Rede Poltica servio de funo Servidor 6-33
Voc pode configurar o NPS para executar a contabilizao RADIUS para os pedidos de au tenticao de usurio, Access-Accept mensagens, Access-Reject mensagens, pedidos de contabilidade e respostas, e atua lizaes de status peridicos. Voc
pode usar este procedimento para configurar as propriedades de log ea conexo com o SQL Server em execuo Servidor que armazena os seus dados contbeis. O banco de dados SQL Server pode es tar no computador local ou em um Servidor remot
Observe os dados do NPS formatos de contabilidade como um documento XML qu e envia para o report_event procedimento armazenado no banco de dados SQL Server que voc designar no NP S. Para o SQL Server de registro para funcionar corretamente, voc deve ter um procedimento armaz enado chamado report_event no Banco de dados SQL Server que pode receber e analisar os documentos XML a partir de NPS.
Para configurar o SQL Server login NPS usando a interface do Windows, execute as seguintes tarefas:
1.
2.
3. No painel de detalhes, em Propriedades log do SQL Server, clique em Alterar Propriedades log do SQL Server. O log do SQL Server caixa de dilogo aberta.
4. Na registrar as seguintes informaes, selecionar as informaes que voc deseja regi strar:
Para registrar o status peridica, tais como solicitaes de estatsticas provisrias , selecione status de contabilizao peridica.
Para registrar o status peridica, tais como solicitaes de autenticao provisrias, selecione autenticao peridica STATUS ----------------------- Pgina 330----------- -----------6-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
5. Para configurar o nmero de sesses simultneas que voc deseja permitir que entre o servidor NPS e o banco de dados SQL Server, digite um nmero em nmero mximo de sesses simultneas.
6. Para configurar o SQL Server fonte de dados, clique em Configurar . O vnculo de dados caixa de dilogo Propriedades abre. Na guia Conexo, especifique o seguinte:
Para especificar o nome do servidor no qual o banco de dados arma zenado, digite ou selecione um nome na Select ou digite um nome de servidor.
Para especificar o mtodo de autenticao com o qual fazer logon no ser vidor, clique em Usar o Windows NT segurana integrada. Ou, clique em Usar um nome de usurio e sen ha especficos e, em seguida, digite credenciais em nome de Usurio e Senha.
Para especificar para qual banco de dados para conectar no comput ador que executa o SQL Server, clique em Selecionar o banco de dados no servidor e, em seguida, selecione um nome de banco de dados da lista.
7. Para testar a conexo entre o servidor NPS eo computador que est exe cutando o SQL Server, clique em Teste a conexo
Nota Para concluir este procedimento, voc deve ser um membro do g rupo Administradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores n o computador local. ----------------------- Pgina 331----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-35
Voc pode configurar o NPS para gravar o log de eventos de solicitao de conexo, falha e eventos de sucesso no evento Visualizador de log do sistema.
Para configurar o NPS log de eventos usando a interface do Windows, execute as s eguintes tarefas:
1.
2.
3. Na guia Geral, selecione cada uma das seguintes opes, conforme necessrio, e cl ique em OK.
Nota Para concluir este procedimento, voc deve ser um membro do grupo Admin istradores de domnio ou o grupo Administradores de empresa.
Utilizando os logs de eventos no Visualizador de eventos, voc pode monitorar erro s do NPS e outros eventos que voc configurar NPS para gravar.
NPS registros de solicitao de conexo de eventos falha no sistema e logs de eventos de segurana por padro. Eventos de solicitao de conexo, falha consiste em pedidos que o NPS rejeita ou desc arta. NPS Outros eventos de autenticao so registradas no log do sistema do Visualizador de eventos c om base em configuraes que voc especificar no NPS encaixe em-. Portanto, o evento Visualizador de log de segurana pode regis trar alguns eventos que contm dados sensveis. ----------------------- Pgina 332----------- -----------6-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Embora NPS registra eventos de solicitao de conexo, falha, por padro, voc p ode alterar a configurao de acordo com suas necessidades madeireiras. NPS rejeita ou ignora os pedidos de ligao para uma variedade de razes, incluindo o seguinte:
O cliente RADIUS tem vrios endereos IP e enviou o pedido em um endereo di ferente do definido no NPS.
autenticador A mensagem (tambm conhecido como uma assinatura digital) q ue o cliente enviado invlido porque o segredo compartilhado invlido.
Quando o NPS rejeita um pedido de conexo, a informao no texto do evento i nclui o nome de usurio de acesso, identificadores do servidor, o tipo de autenticao, o nome da poltica de r ede correspondente, a razo para o rejeio, e outras informaes.
Embora NPS registros de conexo eventos de solicitao de sucesso, por padro, voc pode alterar a configurao de acordo com suas necessidades madeireiras.
Quando o NPS aceita uma solicitao de conexo, a informao no texto do evento inclui o nome de usurio de acesso, identificadores do servidor, o tipo de autenticao, eo nome da primeira p oltica correspondente da rede.
Canal seguro (Schannel) um provedor de suporte de segurana (SSP) que su porta um conjunto de segurana da Internet protocolos, como SSL e TLS. Esses protocolos fornecem autenticao de iden tidade e seguro, privado comunicao por meio de criptografia.
Registro de falhas cliente certificado de validao um evento de canal seg uro e no est habilitado no NPS servidor por padro. Voc pode ativar eventos adicionais de canal seguro, alterando a seguinte chave do Registro valor de 1 (tipo REG_DWORD, dados 0x00000001) a 3 (tipo REG_DWORD, dad os 0x00000003).
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Security Providers \ SCHANNEL \ EventLogg S ----------------------- Pgina 333----------- -----------Instalao, Configurao e Soluo de Pro blemas da Rede Poltica servio de funo Servidor 6-37
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso Ltd. est expandindo sua soluo de acesso remoto a todos os empregad os de escritrios filiais. Isto ir requerer Roteamento mltipla e servidores de acesso remoto que esto localizados em pontos diferentes para fornecer conectividade para seus funcionrios. Voc deve usar RADIUS para centralizar a autenticao e contabilidade para o remoto acesso soluo. Voc foi encarregado de instalar e configurar o Network Polic y Server em um infra-estrutura existente para serem utilizados para Wireless PAN, e ac esso sem fio, RADIUS e proxy RADIUS.
Configurar Certificado auto-inscrio ----------------------- Pgina 334----------- -----------6-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc ir instalar a Rede papel Policy Server para habilitar RADIUS no NYC-DC1 Cobertos
3. No feche o console.
1. Configure NYC DC1 como um servidor RADIUS usando o Network Policy Server Management Tool. No Rede de Polticas ferramenta de gerenciamento do servidor, no painel de detalhes Obter Iniciado, abra a lista drop-down em Configurao Padro, e clique em servidor RADIUS para conexes dial-up ou VPN. Use os seguintes detalhes para concluir o processo:
servidor RADIUS para conexes dial-up ou VPN = Configurar VPN ou dia l-up
Nome: padro
2. Feche o console.
Resultados: No final deste exerccio, voc ter configurado NYC DC1 como um servidor RADIUS atravs da instalao de e configurar a funo de servidor NPS. ----------------------- Pgina 335----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-39
Remoto
Neste exerccio, voc ir configurar NYC edge1 como um cliente RADIUS e servidor VPN.
1.
2.
1.
3.
1.
2. No painel de lista, selecione e clique-direito NYC-edge1 (Local) e clique e m Configurar e ativar Roteamento e Acesso Remoto.
3.
uma. b.
Na pgina de configurao, aceitar os padres. Na pgina de Acesso Remoto, selecione a caixa de seleo VPN.
C. " Na pgina Conexo VPN, selecione a interface de rede com o endereo IP de 131.107.0.2, 131.107.0.3. d. Na pgina Atribuio de Endereo IP, selecione a partir de um intervalo especi ficado de endereos opo. e. Na pgina Atribuio de endereos Gama, criar um pool de endereos com 75 entrad as com um incio endereo 10.10.0.60. F. No Gerenciamento Remoto pgina Multiple Access Servers, escolha Sim, con figurar este servidor para trabalhar com um servidor RADIUS.
G:
Resultados: No final deste exerccio, voc ter configurado NYC edge1 como um servidor VPN. ----------------------- Pgina 336----------- -----------6-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc vai permitir certificado auto-inscrio e verificar que o certificado tenha sido implantado em NYC-CL1.
1.
1.
2. Gesto de Polticas Open Group, e abrir a Diretiva de Domnio Padro para a edio. Navegue at Configurao do computador> Polticas> Windows> Configuraes de segurana> D iretivas de Chave Pblica> Configuraes de solicitao automtica de certificados.
3. Criar uma solicitao de novo certificado automtico para o modelo de c ertificado de computador.
4.
5.
6.
Senha: Pa $ $ w0rd
Domnio: Contoso
Resultados: No final deste exerccio, voc tiver configurado as configuraes apropriadas para o seu certificado Soluo de VPN. ----------------------- Pgina 337----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-41
Remoto
Neste exerccio, voc vai passar NYC CL1-se rede pblica e, em seguida, criar e testar uma conexo VPN.
1.
2.
1.
2.
lnios)
3.
Senha: Pa $ $ w0rd
Domnio: Contoso
4.
Resultados: No final deste exerccio, voc vai ter verificado a soluo VPN.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
Questes de Reviso
1.
2.
Como voc pode fazer o uso mais eficaz dos recursos NPS madeireiras?
3. Que consideraes so l, se voc optar por usar uma atribuio de porta no-pa para o trfego RADIUS?
Ferramentas
Poltica de Gesto da Rede Rural ea criao de Rede Network Policy Server no Policy Server menu Ferramentas Administrativas
Comando netsh-Criando scripts administrativos para partir uma janela de comando, digite ferramenta de linha de configurar e gerenciar os nps netsh-c para ad ministrar a partir de um Rede Policy Server papel prompt de comando
Visualizador de eventos Exibir informaes registradas do Visualizador d e eventos na Administrao aplicao, sistema e menu Ferramentas de segurana Eventos ----------------------- Pgina 339----------- ------------
7-1
Mdulo 7
Contedo:
Lab: Implementando NAP em uma soluo de acesso remoto VPN 7-33 ----------------------- Pgina 340----------- -----------Configurando 7-2 e soluo de problemas do Windows Server Network Infrastructure 200 8
Sua rede to segura quanto o computador menos seguro ligado a ele. Muito s programas e ferramentas existem para ajud-lo a proteger seus computadores conectados em rede, tais como antivrus ou software de deteco de malware; no entanto, se o software em alguns de seus computadores no up-to-date, ou pior, no habilitado ou configurado corretamente, ento esses computadores ainda representam um risco de segurana.
Computadores que permanecem no ambiente de trabalho e esto sempre conec tados mesma rede so relativamente fcil de manter configurado e atualizado. Computadores que se conectam a redes diferentes, especialmente redes no gerenciadas, so menos fceis de controlar, por exemplo, computado res portteis que esto ligados a redes de clientes, ou para pblicos Wi-Fi hotspots. Alm disso, os computa dores no gerenciados pretende ligar remotamente sua rede, tais como a casa dos usurios de computadores-um d esafio.
Rede Access Protection (NAP) permite que voc crie personalizadas sade-re quisito para polticas validar o computador antes de permitir o acesso ou a comunicao. NAP tambm atualiza automaticamente computadores compatveis para garantir a conformidade contnua e pode limi tar o acesso de computadores no compatveis a uma rede restrita at que eles se tornem compatveis.
Objetivos
Configurar NAP.
Monitorar e solucionar problemas de NAP. ----------------------- Pgina 341----------- -----------Implementao da Rede de Proteo de Acesso 7-3
NAP uma plataforma poltica de aplicao, que est embutido no Windows 7, Windo ws Vista, Windows XP sistema operacional com o Service Pack 3 (SP3), Windows Server 2008 e W indows Server 2008 R2 . NAP permite-lhe mais fortemente proteger os ativos de rede, promover o cumprimento com o sistema de sade-requisitos. NAP fornece os componentes de software necessrios para ajudar a garantir que computadores conectados ou se conectar rede permanecer administrvel para que eles no se tornem um risco de segurana para a rede e outros computadores conectados.
Compreender a funcionalidade e as limitaes do NAP vai ajud-lo a proteger s ua rede contra o riscos de segurana representada pelo no-conformes computadores.
Objetivos
Explique como Network Access Protection pode ser usado para impor requi sitos de integridade do computador.
Descrever a arquitetura de um NAP habilitado para infra-estrutura de re de. ----------------------- Pgina 342----------- ------------
Network Access Protection (NAP) para Windows Server 2008, Windows Serv er 2008 R2, Windows 7, e Windows Vista fornece componentes e uma interface de programao de aplica tivo (API) que o ajudam a garantir o cumprimento da sua organizao de sade exigncia de polticas de ace sso rede ou comunicao.
NAP permite que voc crie solues para validao de computadores que se conecta m s suas redes, alm a fornecer atualizaes necessrias ou o acesso aos recursos de atualizao nece ssrios sade, e limitar o acesso ou comunicao de computadores no compatveis.
Voc pode integrar os recursos de execuo do NAP com software de outros for necedores ou com os costumes
programas. Voc pode personalizar a soluo de proteo sade que os desenvolvedo es dentro da sua organizao pode desenvolver e implantar, seja para monitorar os computadores que acessam a rede para a poltica de sade cumprimento, atualizando automaticamente os computadores com atualizaes de software para atender s exigncias da poltica de sade, ou limitando o acesso a uma rede restrita de computadores que no atende m aos requisitos da poltica de sade.
importante lembrar que NAP no protege uma rede contra usurios mal-intenc ionados. Em vez disso, ele ajuda voc manter a sade dos computadores da rede da sua organizao automaticament e, o que por sua vez ajuda manter a integridade geral da sua rede. Por exemplo, se um computador tem todo o software e
definies de configurao que a poltica de sade requer, o computador compatve vai ter ilimitado
rede de acesso. No entanto, o NAP no impede que um usurio autorizado com um computador compatvel de upload de um programa malicioso na rede ou se engajar em comportamento s imprprios.
Aspectos da NAP
validao do estado de sade: Quando um computador tenta se conectar rede, o do computador estado de sade validado contra as polticas de sade-requisito que o a dministrador define. Voc tambm pode definir o que fazer se um computador no compatvel. Num am biente de monitorizao-somente, todos computadores tm seu estado de sade avaliado e o estado de conformid ade de cada computador registrada para Anlise Em um ambiente de acesso restrito, os computadores que este jam em conformidade com as polticas de sade-requisito ----------------------- Pgina 343----------- -----------Proteo de Acesso implementao de rede 7-5
tm acesso ilimitado rede. Os computadores que no estejam em conformidade com as polticas de sade exigncia poderia encontrar o seu acesso limitado a uma rede restrita.
cumprimento da poltica de Sade: Voc pode ajudar a assegurar o cumprimento de exignci a de polticas de sade por escolhendo para atualizar automaticamente os computadores no compatveis com a s atualizaes de software em falta ou r O Gerenciamento de Configurao Em um ambiente de monitoramento somente, os com putadores tero acesso rede antes que eles sejam atualizados com as atualizaes necessrias ou alteraes de con figurao. Em um acesso limitado
ambiente, os computadores no compatveis tm acesso limitado at que as atualizaes e configurao alteraes forem concludas. Em ambos os ambientes, os computadores que so compatve is com NAP pode tornar-se compatvel automaticamente e voc pode definir excees para computadores que no so c ompatveis NAP.
Acesso limitado: Voc pode proteger suas redes, limitando o acesso de computadores no compatveis. Voc pode basear acesso limitado rede em um determinado perodo de tempo, ou so bre o que os recursos que o computador no aderentes podem aceder. Neste ltimo caso, voc define uma rede re strita que contm recursos de sade de atualizao, eo acesso limitado ir durar at que o computador no aderentes entra em cumprimento. Voc tambm pode configurar excees para que os computadores que no so compatveis com NAP no tm acesso limitado rede. ----------------------- Pgina 344----------- -----------7-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrios NAP
NAP fornece uma soluo para os cenrios comuns descritos nesta seo. Dependend o de suas necessidades, voc pode configurar uma soluo para resolver qualquer ou todos esses cenrio s para a sua rede.
Laptops de roaming
Portabilidade e flexibilidade so duas vantagens principais de laptop, m as esses recursos tambm apresentam um sistema ameaa sade. Os usurios freqentemente conectar seus laptops para outras red es. Enquanto os usurios esto longe de seu organizao, seus laptops no podem receber as atualizaes de software mais rec entes ou alteraes de configurao.
Alm disso, a exposio a redes desprotegidas, tal como a Internet, poderia introduzir relacionados com a segurana ameaas para os laptops. NAP permite que voc verifique o estado de qualqu er laptop de sade quando ele se reconecta rede da organizao, quer atravs de uma rede privada virtual (VPN), conexo D irectAccess, ou o conexo de rede local de trabalho.
Computadores Desktop
Embora os computadores de secretria normalmente no so tomadas para fora d o edifcio empresa, eles ainda podem apresentar um ameaa sua rede. Para minimizar essa ameaa, voc deve manter esses computad ores com o mais recente atualizaes e softwares necessrios. Caso contrrio, esses computadores so em risco de infeco de sites, e-mail arquivos de pastas compartilhadas e outros recursos acessveis ao pblico. NAP permite automatizar estado de sade para verificar o cumprimento de cada computador de mesa com a sade-requ isito polticas. Voc pode verificar log arquivos para determinar quais computadores no cumprir. Alm disso, usand o software de gerenciamento permite que voc para gerar relatrios automticos e atualizar automaticamente os computado res no compatveis. Quando voc muda sade-requisito polticas, os computadores podem ser configurados automati camente com as atualizaes mais recentes.
Laptops Visitar
Organizaes freqentemente precisam permitir que consultores, parceiros com erciais e convidados para se conectar a sua redes privadas. Os laptops que esses visitantes trazem para a sua orga nizao pode no atender s sistema requisitos de sade e pode apresentar riscos sade. NAP permite que voc det ermine que os laptops visitantes so incompatveis e limitar o seu acesso a redes restritas. Normalmente, v oc no iria exigir ou fornecer
quaisquer atualizaes ou alteraes de configurao para laptops visitantes. Voc pode confi urar o acesso Internet para visitar laptops, mas no para outros computadores organizacionais que tm acesso limitado.
Computadores domsticos no gerenciados que no so um membro do Active Directory da emp resa de domnio pode conectar a rede de uma empresa gerida atravs de VPN. Computadores domsticos no gere nciados fornecem um desafio adicional, porque voc no pode acessar fisicamente os computadores. A falta de acesso fsico faz exigir o cumprimento de tais requisitos de sade como o uso de software antivrus ma is difcil. No entanto, o NAP permite que voc verifique o estado de sade de um computador em c asa cada vez que faz uma VPN conexo rede da empresa, e para limitar o seu acesso a uma rede restrita at que ele atenda sistema requisitos de sade. ----------------------- Pgina 346----------- -----------7-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Componentes do NAP infra-estrutura conhecidos como clientes de fiscali zao e de aplicao servidores, requerem estadual de sade, validao e aplicao acesso limitado rede para os computador es no compatveis. Windows 7 Windows Vista, Windows XP com SP3, Windows Server 2008 e Windows Serve r 2008 R2 incluem NAP apoio ao acesso rede seguinte ou mtodos de comunicao:
O trfego IPsec protegido: imposio de IPsec confina a comunicao a computador es em conformidade depois eles conectar com sucesso, tendo obtido uma configurao vlida de ende reo IP. A imposio de IPsec a mais forte forma de acesso limitado rede ou a comunicao em NAP.
Institute of Electrical and Electronics Engineers (IEEE) 802.1X autent icada rede conexes: Com IEEE 802.1X aplicao, um computador deve ser compatvel pa ra obter ilimitado acesso rede atravs de uma conexo de rede IEEE 802.1X com autenticao, como a um autenticar Ethernet switch, ou um IEEE 802.11 ponto de acesso sem fios (AP).
As ligaes de acesso remoto VPN: Com a aplicao VPN, o computador deve ser c ompatvel com a obteno de acesso ilimitado rede atravs de uma conexo remota de acesso VPN. Pa ra os computadores no compatveis, acesso rede limitado por um conjunto de filtros de pacotes IP que o servidor VPN aplica-se VPN conexo.
As conexes DirectAccess: Para conexes DirectAccess, um computador deve s er compatvel com a obteno de acesso ilimitado rede atravs de um servidor DirectAccess. Para os computadores no compatveis, acesso rede est limitado ao conjunto de computadores que so definidos como serv idores de infra-estrutura utilizando a infra-estrutura tnel. Computadores compatveis pode criar o tnel intranet separado qu e fornece acesso ilimitado aos recursos da intranet. Conexes DirectAccess usam IPsec execuo.
Dynamic Host Configuration Protocol (DHCP configuraes) Endereo: Com a apl icao DHCP, um computador deve ser compatvel com a obteno de um acesso ilimitado
Internet Protocol verso 4 (IPv4) abordar a configurao de um servidor DHCP. Para os computadores no co mpatveis, o acesso rede restrito com uma configurao de endereo IPv4 que limita o acesso rede restrita . ----------------------- Pgina 347----------- -----------Proteo de Acesso implementao de rede 7-9
mtodos de rede stas de acesso ou de comunicao so conhecidos como mtodos de imposio de AP. Voc pode usar -los separadamente ou em conjunto para limitar o acesso ao computador no conforme ou de comunicao. Um servidor que execuo Network Policy Server (NPS) no Windows Server 2008-a substituio para Internet Servidor de Autenticao (IAS) no Windows Server 2003 age como um servidor de poltica de sade para todos estes NAP mtodos de execuo. ----------------------- Pgina 348----------- -----------7-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Descrio componentes
Clientes NAP computadores que suportam a plataforma NAP para o sist ema de sade validado acesso rede ou comunicao.
NAP Computadores de execuo ou de acesso rede dispositivos que usam NA P ou que voc pode usar com NAP pontos para exigir avaliao do estado de um cliente NAP de sade, e
em seguida, fornecer restringiu o acesso de rede ou de com unicao. Pontos de imposio de NAP usar um Network Policy Server (NPS) que est at uando como um servidor de poltica de sade para NAP avaliar: o estado de sade dos clientes NAP, se o acesso rede ou a comunicao permitida, e do conjunto de aces de reparao que um cliente NAP incompatvel deve executar. Pontos de imposio de NAP incluem o segu inte: HRA: um computador que executa o W indows Server 2008 e Internet Information Services (IIS), e q ue obtm certificados de sade de uma autoridade de certificao (CA) par a computadores compatveis. VPN servidor: um computador que ex ecuta o Windows Server 2008 e Roteamento e acesso remoto, e que permite acesso remoto VPN intranet conexes atravs de acesso remoto. DHCP servidor: um computador que e xecuta o Windows Server 2008 eo DHCP Servio do servidor, e que fornec e automtico Internet Protocol verso 4 (IPv4) configurao de endereo para clientes da intranet DHCP. Os dispositivos de acesso de rede: switches Ethernet ou pontos de acesso sem fio que o apoio IEEE autenticao 802.1 X.
Descrio componentes
Poltica de sade NAP Estes so os computadores que executam o Windows Server 2008 eo servio NPS, e servidores que armazenam sade exigncia de polticas de sade do estado e proporcionarvalidao para NAP. NPS o substituto para o Internet Authentica tion Service (IAS), e o Dial-In User Service Remote Authentication (RA DIUS) e proxy que o Windows Server 2003 fornece. O NPS tambm atua como uma autenticao, autorizao e con tabilizao (AAA) servidor para acesso rede. Ao atuar como um serv idor AAA ou poltica de sade NAP servidor, o NPS normalmente executado em um serv idor separado para a configurao centralizada de polticas de acesso de rede e de sade-requisito. O servio tambm executado em NPS Windows Server 2008-com base NAP pontos de aplic ao que no tm um built-in do cliente RADIUS, tal como um HRA ou s ervidor DHCP. No entanto, nestes configuraes, o servio NPS est agindo como um proxy R ADIUS para troca Mensagens RADIUS com um servidor de polticas NAP sade.
Exigncia de Sade Estes so os computadores que fornecem o estado de sade atual sistem a para NAP servidores de poltica servidores de sade. Um exemplo destes seria um profissional de sade-requisito servidor para um programa antivrus que acompanha a verso mais recente do antivrus arquivo de assinatura.
AD DS Este servio de diretrio do Windows armazena as credenciais da conta e propri edades, e configuraes de Diretiva de lojas do Grupo. Embora no seja necessrio para a sade do Estadovalidao, o Active Directory necessrio para comunicaes protegidas por IPsec, 802.1X autenticadas ligaes e conexes de acesso remo to VPN.
Rede restrita Esta uma rede separada fsico ou lgico que contm: Servidores de Remediao: computadores que contm r ecursos de sade de atualizao que os clientes NAP pode acessar a remedia r seu estado incompatvel. Exemplos incluem servidores de assinatura de antivrus e software de distribuio atualizar servidores. Os clientes NAP com acesso limitado: computad ores que so colocados no rede restrita quando eles no cumprem com a sade-requisito . ----------------------- Pgina 350----------- -----------7-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando um cliente tenta acessar ou comunicar na rede, ele deve apresent ar o seu sistema de sade estado ou prova de sade o cumprimento. Se um cliente no pode provar que e le compatvel com o sistema de sade requisitos, por exemplo, que tem o mais recente sistema operacional e atualizaes de antivrus instalado, a sua o acesso a, ou em comunicao, a rede pode ser limitada a uma rede restrita que contm servidor
recursos at que as questes de sade condicionalidade forem sanadas. Depois que as atualizaes so instaladas, o cliente pedidos de acesso rede ou a comunicao tenta novamente. Se compatvel, o cl iente concedida acesso ilimitado rede ou a comunicao permitida.
Objetivos
Discutir a aplicao do DHCP. ----------------------- Pgina 351----------- -----------Proteo de Acesso implementao de rede 7-13
Independentemente da forma de imposio de NAP voc selecionar, muitas das comunicaes cl iente-servidor so comuns. Os pontos a seguir resumem estas comunicaes.
Entre um servidor de polticas NAP sade e um servidor de sade-requisito ----------------------- Pgina 352----------- -----------7-14 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede
O Reforo do IPsec
Com a imposio IPsec, um computador deve ser compatvel para iniciar a comun icao com outro compatvel computadores. Porque a imposio de IPsec est alavancando IPsec, voc pode de finir os requisitos para proteo comunicao com os computadores compatveis usando um dos seguintes parmetros :
Endereo IP Per-
com sucesso e obteve uma configurao vlida de endereo IP. A imposio de IPsec a forma mais forte de acesso limitado rede ou a comunicao no NAP.
Os componentes de imposio de IPsec consiste de um HRA que est executando o Windows Server 2008 R2 e uma A imposio de IPsec de cliente (CE) em um dos seguintes sistemas operacio nais:
Windows 7
Windows Vista
O HRA obtenha certificados X.509 para clientes NAP quando os clientes tm provado que eles so compatveis. Estes certificados de sade, em seguida, so usados NAP quando eles iniciam IPsec protegido comunicaes com outros clientes NAP em uma intranet. ----------------------- Pgina 353----------- -----------para autenticar clientes
A imposio de IPsec limita a comunicao para os clientes protegidos por IPsec NAP, lar gando de entrada comunicao enviada tentativas de computadores que no podem negociar IPsec proteo usand o sade Certificados: Ao contrrio 802.1X e imposio de VPN, em que a execuo ocorre no ponto de entrada de rede, cada computador executa imposio de IPsec. Porque voc pode tirar proveito da diretiv a IPsec configuraes, a aplicao de certificados sanitrios pode ser feito para todos os computa dores em um domnio especfico, computadores em uma sub-rede, um computador especfico, um conjunto especfico de Tr ansmission Control Protocol (TCP) ou Usurio Datagram Protocol (UDP) portas, ou para um conjunto de TCP ou UDP em um computad or especfico.
A imposio de IPsec divide uma rede fsica em trs redes lgicas. Um computador pode ser um membro de apenas uma rede lgica em qualquer momento. As redes lgicas so definidas em termos d e que os computadores tm certificados de sade, que exigem autenticao IPsec com certificados sanitrios para en trada tentativas de comunicao. As redes lgicas para permitir acesso limitado rede e remed iao, e fornecer os computadores compatveis com um nvel de proteco dos computadores no compatv eis.
Rede Segura: O conjunto de computadores que tm certificados de sade e que requerem a entrada tentativas de comunicao usam certificados sanitrios para autenticao IPsec. Em um a rede gerenciada, mais computadores servidores e clientes que so membros do domnio do Active Di rectory seria no proteger a rede.
Rede de Fronteira: o conjunto de computadores que tm certificados de sade, mas que no exigem que tentativas de comunicao de entrada usar certificados sanitrios para autenticao I Psec. Computadores na rede de limite deve ser acessvel a toda a rede de computadores.
A rede restrita: O conjunto de computadores que no possuem certificados de sade qu e incluem computadores cliente no compatveis NAP, os hspedes da rede, ou computadores qu e no so NAP, tais como computadores que executam verses do Windows que no suportam NAP, ou Apple Macintosh ou UNIX computadores baseados. ----------------------- Pgina 354----------- -----------7-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Reforo 802.1X
Com a aplicao 802.1X, um computador deve ser compatvel com a obteno de aces so ilimitado rede atravs de um 802.1X autenticada conexo de rede, como a um switch Ethernet de autenti cao ou um IEEE 802.11 ponto de acesso sem fios (AP).
Para os computadores no compatveis, o acesso rede limitada atravs de um p erfil de acesso restrito que o Switch Ethernet ou lugares de AP sem fios na conexo. O perfil de acesso restrito pode especificar um IP filtros de pacotes, ou um identificador de LAN virtual (VLAN) (ID) que corresponde rede restrita. 802.1X:: aplicao impe exigncias polticas de sade cada vez que um computador tenta uma 802.1X autenticado conexo de rede. Aplicao 802.1X que tambm monitora ativamente o estado de sade da ligado cliente NAP e aplica o perfil de acesso restrito para a conexo s
Os componentes de execuo consistem em NPS 802.1X no Windows Server 2008 R2 e um CE EAPHost em Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 20 08 e Windows Server 2008 R2. Reforo 802.1X fornece acesso rede forte limitado para todos os comp utadores que acessam a rede atravs de uma conexo 802.1X autenticada. ----------------------- Pgina 355----------- -----------Proteo de Acesso implementao de rede 7-17
O Reforo da VPN
VPN aplicao impe exigncias polticas de sade cada vez que um computador tenta obter um controle remoto acesso VPN conexo rede. Imposio de VPN tambm monitora ativamente o estado de sade da Cliente NAP e aplica filtros da rede restrita de pacotes IP para a conexo VPN se o cliente torna-se incompatvel.
Os componentes de imposio de VPN consistem em NPS no Windows Server 2008 e CE VPN que faz parte da o cliente de acesso remoto em:
Windows 7
Windows Vista
VPN aplicao fornece acesso rede forte limitado para todos os computadores que aces sam a rede atravs de uma conexo remota de acesso VPN. ----------------------- Pgina 356----------- -----------7-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
DHCP Enforcement
DHCP impe requisitos de poltica de sade cada vez que um cliente DHCP tent a alugar ou renovar um IP endereo de configurao. DHCP aplicao tambm monitora ativamente o status do cl iente NAP de sade e, se o cliente torna-se incompatvel, renova a configurao do endereo IPv4 para o a cesso apenas ao restrito Rede de Socializao
Os componentes de execuo consistem em um DHCP ES DHCP que faz parte do s ervio do servidor DHCP em Windows Server 2008 R2 e um CE DHCP que faz parte do servio de cliente DHCP em:
Windows 7
Windows Vista
Porque DHCP aplicao depende de uma configurao de endereo IPv4 limitado que um usurio que tem administrador de nvel de acesso pode substituir, a forma mais fraca de acesso limitado rede no NAP.
Endereo DHCP a configurao de acesso de rede limites para o cliente DHCP a travs da sua tabela de roteamento IPv4. DHCP aplicao define o valor da opo DHCP do roteador para 0.0.0.0, para que o computador no aderentes no ter um gateway padro configurado. DHCP aplicao tambm define a mscara de sub -rede para o IPv4 alocados tratar a 255.255.255.255 de modo que no existe uma rota para a sub-rede em anexo.
Para permitir que o computador no compatvel para acessar os servidores d a rede restrita de remediao, o DHCP servidor atribui o Classless esttica rotas opo DHCP. Esta opo contm rotas de host para o restrito computadores da rede, tais como o DNS e servidores de remediao. O result ado final do DHCP limitado rede acesso uma tabela de configurao e roteamento que permite a conectividade apenas para endereos de destino especficos que corresponde rede restrita. Portanto, quando um aplicativo tenta en viar a um unicast ----------------------- Pgina 357----------- -----------Proteo de Acesso Implementando Rede 7-19
Endereo IPv4 que no os fornecidos pela opo de rotas Classless esttica, o protocolo TC P / IP retorna um encaminhamento de erro. ----------------------- Pgina 358----------- -----------7-20 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Para obter o melhor do NAP, voc deve entender como configurar os vrios el ementos de uma soluo de NAP.
Objetivos
Habilitar e configurar NAP. ----------------------- Pgina 359----------- -----------P roteo de Acesso implementao de rede 7-21
Agentes do Sistema de Sade (SHAs) e validadores sistema de sade (SHVs), que so infr a-estrutura NAP componentes, proporcionar sade do estado-estado e de validao. Windows 7 inclui um W indows de Segurana da Sade Validator SHA que monitora as configuraes do Windows Security Center. Windows Serv er 2008 R2 inclui um
correspondente de Segurana do Windows Sade Validator SHV. NAP projetado para ser f lexvel e extensvel, e interopera com software de qualquer fornecedor que fornece SHAs e SHVs que usam o API NAP.
Um SHV recebe um SoH e compara o sistema de informaes sobre o estado de sade no SoH com a necessria estado de sade do sistema. Por exemplo, se a SoH a partir de um SHA antivrus e con tm o ltima de assinatura de vrusnmero da verso do arquivo, o correspondente antivrus SHV pode verificar com a exignc ia de sade antivrus servidor para o nmero da verso para validar SoH o cliente NAP.
O SHV retorna um SoHR para o Servidor de Administration NAP. O SoHR pode conter remediao informaes sobre como o SHA correspondente no o cliente NAP pode atender atual sist ema de sadeexigncias. Por exemplo, o SoHR que o SHV antivrus envia poderia instruir antivrus o cliente NAP SHA para solicitar a verso mais recente, por nome ou endereo IP, do arquivo de ass inatura antivrus a partir de um especfico antivrus servidor assinatura. ----------------------- Pgina 360----------- -----------7-22 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
As polticas de sade consistem de um ou mais SHVs e outras configuraes que permitem que voc defina cliente computador requisitos de configurao para os computadores NAP que tentam se conectar sua rede.
Quando NAP-capazes os clientes tentam para se conectar rede, o computa dor cliente envia um SoH para o NPS. O SoH um relatrio de o estado de configurao cliente, e NPS compara o
SoH para os requisitos que a poltica de sade define. Se o estado de configurao do cliente no corre sponder s exigncias que o poltica de sade define, o NPS assume um dos as seguintes aes, dependendo d a configurao do NAP:
Colocar o cliente NAP em uma rede restrita onde ele pode receber atual izaes a partir de servidores de remediao que trazer o cliente em a conformidade com poltica de sade. Depois que o cliente NAP atinge conformidade e reenvia o seu estado de sade novo, o NPS permite que ele se conect e.
Permitir que o cliente NAP para se conectar a a rede apesar de sua des cumprimento com poltica de sade.
Voc pode definir do NPS cliente de sade-polticas por adicionando um ou ma is SHVs para o poltica de sade.
Depois de configurar uma poltica de sade com um ou mais SHVs, voc pode ad icion-lo condio de Polticas da Sade de uma poltica de rede que deseja usar para impor NAP quando os computa dores cliente tenta conexo com sua rede. ----------------------- Pgina 361----------- -----------P roteo de Acesso Implementando Rede 7-23
Um grupo servidor de remediao uma lista de servidores de rede restritas que fornec em recursos que trazem fora de conformidade NAP-capazes clientes em a conformidade com o seu poltica def inida cliente sade.
Um servidor de remediao hospeda as atualizaes que um agente NAP pode usar para coloc ar os computadores cliente no compatveis em a conformidade com poltica de sade, como NPS define. Por exemplo, um servidor d e remediao pode hospedar antivrus Assinaturas: Se poltica de sade requer que os computadores cliente tm as ltimas defi nies de de antivrus, em seguida, os na sequncia dos trabalhos juntos para atualizar computadores no compatveis: um SHA antivrus, um SHV antivrus, an antivrus servidor de poltica, e o servidor de remediao. ----------------------- Pgina 362----------- -----------7-24 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Algumas implantaes NAP que usam de Segurana do Windows Sade Validator exig em que voc habilitar a Segurana Centro Security Center no est includo com o Windows Server 2008 ou W indows Server 2008 R2.
Voc deve habilitar o de Acesso Rede servio Protection Client quando voc i mplantar de NAP para NAP-capaz computadores cliente.
Voc deve configurar os clientes de execuo apropriadas NAP sobre os comput adores NAP-capazes.
Voc pode usar o Centro de Segurana Ativar no Grupo procedimento Poltica d e para habilitar Central de Segurana em NAP-
clientes capazes usando a Diretiva de Grupo. Algumas implantaes NAP que usam de Segurana do Windows Sade Validator requerem Central de Segurana.
Nota Para concluir este procedimento, voc deve ser um membro de o Admins do Domnio, o Grupo Administradores de empresa ou do grupo Administradores no computador local.
1.
2. Em do Grupo caixa de Poltica de Select de dilogo Object, clique em Concluir e em seguida, clique OK.
3. Na rvore de console, clique duas vezes em Diretiva de Computador L ocal, clique duas vezes em Configurao do computador, double-clique em Modelos Administrativos, Componentes faa duplo cl ique em de Windows, e, em seguida, faa duplo clique em Security Center.
4. Faa duplo clique em Ligue Security Center (PCs de Domnio apenas), c lique em Ativado, e em seguida, clique OK. ----------------------- Pgina 363----------- -----------Proteo de Acesso Implementando Rede 7-25
Voc pode usar o procedimento Habilite o Network Service Proteo de Acesso em Cliente s para habilitar e configurar o servio NAP em computadores NAP cliente. Quando voc implantar NAP, per mitindo que este servio exigido.
Nota Para concluir este procedimento, voc deve ser um membro de o grupo Adm ins do Domnio, a Enterprise grupo Admins, ou o grupo Administradores no computador local.
1. Clique em Iniciar, clique em Painel de Controle, clique em Sistema e Segura na, clique em Ferramentas Administrativas e, em, em seguida, duplo clique em Servios.
2. Na lista de servios, role para baixo para e seguida, faa duplo-clique em Rede Protection Agent Access.
3. Em o Proteo de Acesso caixa de Network Agent de dilogo Propriedades, altere Ti po de Inicializao para Automatic e em seguida, clique OK.
Voc pode usar o procedimento Habilitar e Desabilitar Clients imposio de NAP para ha bilitar ou desabilitar um ou mais NAP clientes execuo sobre NAP computadores. Esses clientes podem incluir:
1. Abra o NAP console de configurao cliente, clique em Iniciar, clique em Todos os Programas, clique em Acessrios, clique em Executar, digite NAPCLCFG.MSC, e em seguida, clique OK.
2. Clique em Clientes Enforcement. No painel de detalhes, right-clique no clie nte de imposio de que voc deseja habilitar ou desabilitar e em seguida, clique Ativar ou Desativar.
Observao Para executar este procedimento, voc deve ser um membro do grupo Adm inistradores no o computador local, ou voc deve ter sido delegada a autoridade apropriada. Se o computador est juntou-se a um domnio, membros do grupo de Admins do Domnio po dero ser capaz de executar este procedimento. Como uma prtica recomendada de segurana, conside re executar este procedimento usando o comando Executar como. ----------------------- Pgina 364----------- -----------7-26 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
NAP teste. ----------------------- Pgina 365----------- -----------P roteo de Acesso Implementando Rede 7-27
Soluo de problemas e monitorando NAP uma tarefa importante administrativa por causa da tecnologia diferente os nveis, incluindo percia variada e pr-requisitos, para cada mtodo de impo sio de NAP. Logs de rastreamento so disponvel para NAP, mas esto desabilitadas por padro. Estes logs servir a dois propsitos: soluo de problemas e a avaliao de sade uma rede do e segurana.
Objetivos
Descrever como NAP Tracing pode ajudar a monitor de e solucionar proble mas de NAP.
Utilize o log de eventos do NAP para solucionar problemas de NAP. ----------------------- Pgina 366----------- -----------7-28 Infra-estrutura Configurando e Solucionando problemas de um Windows Server 2008 Rede
Com exceo a partir de as diretrizes anteriores gerais, voc pode usar o Co nfigurao de Cliente NAP snap-in para configurar NAP de rastreamento. Registros Tracing eventos NAP em um ar quivo de log, e til para soluo de problemas e Manuteno. Alm disso, voc pode usar logs de rastreamento para avaliar a sade da sua rede e segurana. Voc pode configurar trs nveis de tracing: Bsico, Avanado, e de depurao.
Alm disso para rastrear o log, voc podem visualizar os logs de contabili dade do NPS. Estes logs poderia conter NAP til informaes. Por padro, logs de contabilidade do NPS esto localizados em% sy stemroot% \ system32 \ logfiles.
IASNAP.LOG: contm dados detalhados sobre os processos de NAP, autenticao NPS e NPS autorizao.
Observao Para obter informaes sobre o formato de arquivos de log do NPS contbeis, referem-se Microsoft TechNet site: http://go.microsoft.com/fwlink/?LinkId=136631). ----------------------- Pgina 367----------- -----------Proteo de Acesso implementao de rede 7-29
Duas ferramentas esto disponveis para configurar o NAP rastreamento. O NAP console de configurao do cliente faz parte da Usurio interface do Windows, e netsh uma ferramenta de linha de comando.
Voc pode usar a interface de usurio do Windows para ativar ou desativar NAP rastre amento e para especificar o nvel de gravado detalhe, executando as seguintes etapas:
1.
2. Na rvore de console, clique em Configurao do Cliente NAP (Computador Local) e clique em Propriedades
3. Na caixa de Configurao do Cliente NAP (Computador Local) de dilogo Propriedade s, selecione Ativado ou
Desativado.
Observao Para executar este procedimento, voc deve ser um membro do grupo Adm inistradores no o computador local, ou deve ter sido delegada a autoridade apropriada. Tal como uma prtica recomendada de segurana, considere executar esta operao usando o comand o Executar como.
4. Se ativado escolhido, em Especificar o nvel de detalhe em que os logs de ras treamento so escritas, seleccione Bsico, Avanado, ou Debug.
Para usar uma ferramenta de linha de comando para ativar ou desativar NAP rastre amento e especifique o nvel de detalhes registrados, execute os seguintes passos:
1.
2.
----------------------- Pgina 368----------- -----------7-30 Configurando e solucionando problemas do Windows Server Network Infrastruct ure 2008
Para ativar e configurar o NAP rastreamento para o log bsico ou av anado, tipo: set cliente netsh nap rastreamento estado = nvel enable = [avanada ou bsica]
Para ativar o NAP rastreamento para informaes de depurao, digite: net sh nap client definir traado estado = enable level = verbose
Para desativar o rastreamento NAP, digite: netsh nap client defin ir estado de rastreio = desativar
Observao Para executar este procedimento, voc deve ser um membro do grupo Administradores no o computador local, ou deve ter sido delegada a autoridade aprop riada. Tal como uma prtica recomendada de segurana, considere executar esta operao usand o o comando Executar como.
Para visualizar os arquivos de log, navegue para a pasta% systemroot% \ tracing \ diretrio cochilo e abrir o trao particular log que voc deseja visualizar.
Manifestao
Configurar o rastreamento da linha de comando. ----------------------- Pgina 369----------- -----------Proteo de Acesso implementao de rede 7-31
Comandos Netsh
Use o comando netsh NAP para ajudar a solucionar problemas de NAP. Os seguintes comandos so particularmente til.
Restrio estado
As configuraes de criptografia
Este comando exibe as configuraes da Diretiva de configurao em um cliente NAP, inclu indo: ----------------------- Pgina 370----------- -----------7-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As configuraes de criptografia
Observao Voc pode descobrir mais sobre os comandos Netsh relevante s da Microsoft TechNet site: http://go.microsoft.com/fwlink/?LinkID=128797. ----------------------- Pgina 371----------- -----------Pro teo de Acesso implementao de rede 7-33
Servios NAP NAP recorde de eventos relacionados para os logs de eventos do Window s. Os eventos a seguir fornecem informaes sobre os servios do NAP que esto sendo executados em um servidor NPS. Para visualizar esses eventos, evento aberto Viewer e selecionar modos de exibio personalizados, selecione Roles Server, em seg uida, selecione Diretiva de Rede e Servios de Acesso.
Ocorre quando um cliente NAP autenticado com xito e, dependendo do seu estad o de sade, obtm completa ou restringido o acesso rede.
Ocorre quando ocorre um problema com a autenticao ou autorizao e est associada c om uma razo Cdigo:
Ocorre se houver um problema de configurao. Isso pode ocorrer, se as configur aes do cliente RADIUS esto incorretas ou se NPS no pode criar logs de contabilidade.
Ocorre quando o pedido de acesso do cliente coincide com uma poltica de rede que est configurado com um NAP configurao de execuo de Permitir acesso limitado.
Identificao do evento 6277: Servidor de Diretivas de Rede acesso a um usurio, mas c oloc-lo em liberdade condicional porque o host no atendeu a poltica de sade definida.
Ocorre quando o pedido de acesso do cliente coincide com uma poltica de rede que est configurado com um NAP configurao de execuo de permitir acesso total rede por um tempo limitado, quand o a data especificada no poltica j passou.
Identificao do evento 6278: Network Policy Server concedido acesso total a um usuri o porque o host atendidas a definida
poltica de sade. ----------------------- Pgina 372----------- -----------7-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Ocorre quando o pedido de acesso do cliente coincide com uma po ltica de rede que est configurado com um NAP configurao de execuo de permitir acesso total rede. ----------------------- Pgina 373----------- -----------Proteo de Acesso implementao de rede 7-35
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso, Ltd. necessria para estender a sua soluo de rede privada virtual para incluir acesso rede Protection (NAP).
Como um especialista em tecnologia da Contoso, Ltd., voc precisa estabel ecer uma maneira de trazer os computadores cliente automaticamente em conformidade. Voc vai fazer isso usando o Network Pol icy Server, criando o cumprimento cliente polticas, e configurar um servidor NAP para verificar a sade atual de com putadores.
NAP Configurar componentes do servidor ----------------------- Pgina 374----------- -----------7-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrio
Neste exerccio, voc ir configurar os necessrios componentes server-side pa ra apoiar a Contoso, Ltd. Exigncia
1.
2. ca de sade.
3. Configurar NYC-edge1 com o Servio de Roteamento e Acesso Remoto (R RAS) que configurado como um Servidor VPN.
4.
1.
2.
5.
poltica de sade
1.
2.
3.
5. Na pgina Selecionar Poltica de Certificado de Inscrio, clique em dire tiva de registro Active Directory e clique em Avanar.
6.
7.
8. Usando o Server Manager, instale o servidor NPS com os seguintes servios de funo: Network Policy Server e acesso remoto.
9.
10. Sob Network Access Protection, abra a configurao padro para o Window s Security Sade Validator.
11. Na guia Windows Vista 7/Windows, desmarque todas as caixas de sel eo, exceto Um firewall est ativado para todos de rede.
12.
Nome: Compatvel ----------------------- Pgina 375----------- -----------Proteo d e Acesso implementao de rede 7-37
Nota: A configurao Acesso concedido no significa que os clientes no compatveis so concedidos acesso total rede. Ele especifica que a poltica deve continuar a avaliar os clientes que corresponder a estas condies.
Definies:
i. Imposio de NAP = Permitir acesso limitado selecionado e ativar auto-re mediao de computadores cliente no est selecionada.
ii. Filtros IP = IPv4 filtro de entrada, rede Destino = 10.10.0.10/255. 255.255.255 e IPv4 filtro de sada, rede Source = 10.10.0.10/255.255.255.255.
18. Criar uma Poltica Pedir uma nova conexo com as seguintes configuraes:
Mtodos de autenticao:
iii. Adicionar Microsoft: Senha segura (EAP-MSCHAP v2) ----------------------- Pgina 376----------- -----------7-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Editar Microsoft: Protected EAP (PEAP) para assegurar que Enforce Network Access Protection ativado
Tarefa 3: Configurar NYC-edge1 com o Servio de Roteamento e Acesso Remo to (RRAS) que configurado como um servidor VPN
1.
2.
3.
uma.
uma.
b. Escolha a interface chamada pblica e limpar o Ativar segurana n a interface selecionada por a criao de filtros de pacotes estticos caixa de seleo.
C. " de endereos:
10.10.0.100> 10.10.0.110
d. Completar o processo, aceitar padres, quando solicitado e conf irmar quaisquer mensagens Clique em OK.
4. No Servidor de Diretivas de Rede, clique no n Polticas de solicitao de conexo e desativar o Microsoft Roteamento e Poltica de servio de acesso remoto. Este foi criado aut omaticamente quando o roteamento e Acesso Remoto foi habilitado.
5. Fechar Network Policy Server Management Console eo Roteamento e ac esso remoto consola.
1.
2.
Tipo: Custom
Todos os programas
Escopo padro
Perfil padro
3.
Resultados: No final deste exerccio, voc ter configurado e ativado um sis tema de VPN NAP-imposta. ----------------------- Pgina 377----------- -----------Proteo d e Acesso implementao de rede 7-39
Remoto
Neste exerccio, voc ir implementar uma VPN em NYC-CL1 e testar a sade do computador contra o NAP configurao que voc criou anteriormente.
1.
2.
3.
4.
1.
2. Abra o Editor de Poltica Local (gpedit.msc) e permitir a Diretiva de Computa dor Local / Computador Configurao / Modelos Administrativos / Componentes do Windows / Centro de Seg urana / Ligar A Central de Segurana (PCs em domnios somente) definio.
3.
1.
2.
3.
4. Executar services.msc e configurar o Network Access Protection Agent servio para inicializao automtica.
5.
Iniciar o servio.
6.
1. Reconfigurar as configuraes de rede de NYC-CL1 mudando a Conexo de rea seguinte local Internet Protocol Version 4 (TCP/IPv4) definies:
2.
1.
Permitir que outras pessoas usem esta conexo: true ----------------------- Pgina 378----------- -----------7-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Senha: Pa $ $ w0rd
Domnio: CONTOSO
2. Depois de ter criado o VPN, modificar suas configuraes, exibindo as propriedades da conexo e em seguida, selecionando a aba Segurana. Utilize as seguintes defi nies para reconfigurar o VPN:
iv)
v.
3.
uma. clique em .
b.
C. " Ver os detalhes do alerta de segurana do Windows. Verifique se as informaes do certificado correto exibida e clique em Conectar.
4. NAP:
uma. Use ipconfig / all para verificar se o estado do sistema d e quarentena no est restrito.
b.
Ping 10.10.0.10.
5.
6. Configure o Windows Security Health Validator para exigir um apli cativo antivrus:
uma.
7.
8.
poltica NAP:
uma. Verifique se uma mensagem exibida no Centro de Ao afirmando que o computador no atender normas de segurana.
9.
Desligue o VPN.
Resultados: No final deste exerccio, voc ter habilitado e configurado uma VPN poltica de imposio de NAP para Contoso. ----------------------- Pgina 379----------- -----------P roteo de Acesso implementao de rede 7-41
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:
1.
3.
4.
----------------------- Pgina 380----------- -----------7-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Quais so as trs principais configuraes do cliente que voc precisa conf igurar para a maioria das implantaes NAP?
2. Voc quer avaliar a sade geral e da segurana da rede NAP aplicadas. O que voc precisa fazer para comear a eventos NAP de gravao?
3. Em um computador cliente, quais os passos que voc deve realizar pa ra garantir que ele pode ser avaliado para a sade?
Ferramentas
Servios Habilitar e configurar o NAP Clique em Iniciar, clique em Pai nel de Controle, clique em Sistema e servio em computadores cliente. clique em Ferramentas administrativas e, em seguida, plo clique em Servios. Manuteno, clique du
Sesta Netsh Usando netsh, voc pode criar scripts Abra uma janela de c omando com direitos administrativos para configurar automaticamente um conjunto de e coch ilo tipo netsh-c. Voc pode digitar help para obter uma NAP e exibir a lista de configurao completa dos comando s disponveis. e status do servio de cliente NAP.
Grupo Algumas implantaes NAP que usam Habilitar o Turn Central de Segu rana (PCs em domnios poltica de segurana do Windows Health Validator s) que define na config urao do computador, exigir que a Central de Segurana Modelos Administrativ os, Windows habilitado. entes e sees da Central de Segurana do de Grupo. Compon Diretiva
Configurar Usado para criar as polticas de sade, Abra o NPS console (L ocal). Em Introduo Rede um assistente Proteo de Acesso Network (NAP) Proteo de Acesso (NAP) serv idor de poltica. O texto com o Servidor Diretiva de Rede. e links abaixo a mud ana de texto para refletir a sua seleco. ----------------------- Pgina 381----------- -----------Proteo de Acesso Implementando Rede 7-43
Clique em Con figurar NAP com um assistente. ----------------------- Pgina 382----------- -----------7-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 383----------- -----------8-1
Mdulo 8
Contedo:
Laboratrio: Aumentar a segurana para Windows Servers 8-23 ----------------------- Pgina 384----------- -----------8-2 de infra-estrutura Configurao e Soluo de problemas do Windows Server 2008 Rede
A segurana uma considerao essencial para a rede com o Windows Server 2008 . Nenhum sistema sempre completamente seguro, mas voc pode implementar vrios mtodos para aumentar a segurana. Firewall do Windows com Advanced Security uma das funcionalidades do Windows Server 2008 que u sado para aumentar a segurana. Voc pode tambm usar Windows Server Update Services para garantir que as atualizaes de segurana aprovadas so aplicadas a servidores de uma maneira oportuna.
Objetivos
Descrever Windows Server Update Services e como us-lo. ----------------------- Pgina 385----------- -----------Aumentar a segurana para Windows Servers 8-3
Protegendo sistemas de computador um processo contnuo. preciso avaliar os riscos de segurana e os custos associado com os riscos para tomar decises informadas sobre a implement ao de medidas para mitigar os risco Uma coisa a considerar durante o processo de planejamento a defe sa em profundidade, que determina que mltiplas camadas de segurana deve ser usado para defender seus sistemas.
Objetivos
Descrever os riscos de segurana para Windows Server 2008 e os custos a eles associados.
----------------------- Pgina 386----------- -----------8-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O primeiro passo na defesa de seus sistemas identificar os riscos pote nciais e seus custos. Depois, voc pode tomar decises inteligentes sobre como alocar recursos para mitigar ess es riscos.
Pergunta: Quais so alguns dos riscos e custos associados a redes baseadas no Windows? ----------------------- Pgina 387----------- -----------Aumentar a segurana para Windows Servers 8-5
Depois de descobrir e documentar os riscos que sua organizao enfrenta, o prximo pas so examinar e organizar as defesas que voc vai usar para fornecer uma soluo de segurana. A segurana de defesa em profundidade modelo um excelente ponto de partida. Esse modelo identifica sete nveis de defesa s de segurana que devem ser abordados.
As camadas de defesa fornecer uma viso do seu ambiente, rea por rea, que voc deve co nsiderar quando projetar as defesas da sua rede de segurana. As camadas do modelo de segurana de d efesa em profundidade so:
Dados: Esta camada est preocupado com o acesso aos dados organizacionais, tais co mo documentos de banco de dados, contedo ou informao do cliente. Defesas potenciais incluem as permisses NTFS, a s permisses de banco de dados,
Aplicao: Esta camada est preocupado com os riscos para um aplicativo em execuo. Tipic amente, esta seria algum tipo de malware que se aproveita de uma vulnerabilidade em um aplicativo. D efesas potenciais incluem
assegurando que as ltimas actualizaes so aplicados s aplicaes e reduzindo o nmer e aplicaes se possvel.
Host: Esta camada est preocupado com os riscos para o sistema operacional e servio s do sistema operacional. Normalmente, isso seria algum tipo de malware que se aproveita de uma vulne rabilidade no operacional sistema. As melhores defesas esto limitando os servios somente para aqueles q ue so necessrios e aplicao de segurana atualizaes rapidamente. Windows Firewall tambm pode ser usado para prevenir o acesso rede para executar servios que no so autorizados.
Rede interna: Esta camada est preocupado com os riscos aos dados na rede interna. O primrio preocupao o acesso no autorizado aos dados enquanto ele est ligado rede. Vrios odos podem ser utilizados para garantir que os clientes sejam devidamente autenticados antes de ser conced ido o acesso rede. Rede de Socializao dados tambm podem ser criptografados usando o IPsec.
Permetro de rede: Esta camada est preocupado com os riscos que surgem de acessar r ecursos no rede de permetro da Internet. Configurao do Firewall o principal mtodo de defes a deste camada, mas outros mtodos, tais como sistemas de deteco de intruso tambm podem s er usados. ----------------------- Pgina 388----------- -----------8-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Segurana fsica: Esta camada est preocupado com o acesso fsico aos disposi tivos e os riscos associados com que. Alguns riscos fsicos incluem dispositivos USB com malware e os sistemas de inicializao em um suplente sistema operacional para acessar dados.
Polticas, procedimentos e conscientizao: Esta camada envolve todas as ou tras camadas porque impacta os tudo. As polticas e procedimentos que implementa sua organizao so fu ndamentais para prevenir os riscos de segurana em cada camada. Alm disso, a conscincia dessas polticas e procedime ntos necessria para garantir que eles forem seguidos. ----------------------- Pgina 389----------- -----------Aumentar a segurana para servidores Windows 8-7
Aplicar todas as atualizaes de segurana disponveis rapidamente depois que eles so lib erados. Voc deve se esforar para implementar atualizaes de segurana o mais rapidamente possvel para garantir que seus sistem as esto protegidos conhecido vulnerabilidades. Microsoft libera publicamente os detalhes de vulnerabilid ades conhecidas depois de uma atualizao tem sido libertados que pode levar a um aumento do volume de malwares tentativa para explorar o vulnerabilidade. No entanto, voc deve ainda garantir que voc adequadamente te star as atualizaes antes de serem amplamente aplicada dentro de sua organizao.
Siga o princpio do menor privilgio. Fornea aos usurios e contas de servio com o menor
permisso nveis necessrios para completar suas tarefas necessrias. Isso garante que qual quer malware usando os credenciais limitada em seu impacto. Ele tambm limita a capacidade de exclui r acidentalmente dados ou modificar configuraes importantes do sistema operacional.
Restringir o logon no console. Logon localmente em um console um risco maior par a um servidor de acesso dados remotamente. Isto porque algum malware s pode infectar um computador u sando uma sesso de usurio em ambiente de trabalho. Se voc permitir que os administradores usar o Remote D esktop para administrao de servidores, garantir que os recursos avanados de segurana como controle de conta de usurio esto habi litados.
Restringir o acesso fsico. Se algum tem acesso fsico aos seus servidores, essa pess oa no tem praticamente acesso ilimitado aos dados no servidor. Um grande nmero de ferramentas pode ser usado para voltar rapidamente a senha em contas de administrador local e permitir o acesso local. Alm diss o, um no autorizado pessoa poderia usar um drive USB para introduzir malware. ----------------------- Pgina 390----------- -----------8-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O Security Configuration Wizard (SCW) uma ferramenta includa no Windows Server 2008 para ajudar a aumentar de segurana. ACS analisa a configurao do seu servidor e fornece recomendaes . Voc tem o oportunidade de rever e modificar as recomendaes antes de salv-los como u ma poltica de segurana que pode ser aplicado para o servidor de corrente ou outros servidores. Se voc t iver problemas depois de aplicar um segurana
poltica, voc pode usar o ACS para reverter a poltica de segurana aplicada mais recentemente.
O primeiro passo que o ACS realiza identificar as funes de servidor e re cursos que esto instalados. Voc tem a opo de revisar e verificar que as funes e recursos instalados esto corret os. Voc tambm pode adicionar ou remover funes de servidor e recursos.
Poltica Fiscal ----------------------- Pgina 391----------- -----------Aumentar a segurana para Windows Servers 8-9
Windows Firewall com Segurana Avanada uma ferramenta importante para mel horar a segurana do Windows Server 2008. Ela ajuda a prevenir vrios problemas de segurana diferentes , como varredura de portas ou malware. Windows Firewall com segurana avanada tem perfis de firewall, cada um do s quais se aplica nica configuraes para diferentes tipos de rede. As regras de firewall pode se r configurado manualmente em cada servidor ou centralmente usando a Diretiva de Grupo.
Objetivos
Descrever como implementar regras de firewall do Windows. ----------------------- Pgina 392----------- -----------8-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Firewall do Windows com Segurana Avanada um firewall baseado em host que est includo como um recurso do Windows Server 2008. um firewall que executado no computador local e restringe o acesso rede e de que Cobertos Ao contrrio de um firewall de permetro, que oferece proteo apenas contra ameaas na Internet, um host firewall baseado fornece proteo contra ameaas na rede interna.
A comunicao de controle de entrada regras com o computador que iniciado por outro dispositivo ou computador
na rede. Por padro, todas as comunicaes de entrada bloqueado, exceto o trf ego que explicitamente permitido por uma regra de entrada.
Comunicao de controlo de sada regras que iniciada pelo computador, e dest inados a um dispositivo ou computador na rede. Por padro, toda a comunicao de sada permitida, com exc eo do trfego que explicitamente bloqueada por uma regra de sada. Se voc optar por bloquea r toda a comunicao de sada, exceto a trfego que explicitamente permitido, voc deve ter cuidado catalogado o s oftware que pode ser executado em computador e da rede de comunicao que ele necessita.
As regras de entrada e sada podem ser criadas com base em portas UDP e TCP. Eles tambm podem ser criados para permitir um acesso rede especfica executvel, independentemente do nmero d e porta a ser utilizado.
configurado, voc pode autenticar a comunicao entre computadores e usar es sa informao para criar regras de firewall com base no usurio especfico e contas de computador. ----------------------- Pgina 393----------- -----------A umentar a segurana para Windows Servers 8-11
Windows Firewall com Segurana Avanada ativado por padro em todas as verses recentes do Windows Server 2008.
Pergunta: Por que importante usar um firewall baseado em host como o Window s Firewall com Segurana Avanada? ----------------------- Pgina 394----------- -----------8-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Perfis do Firewall
Windows Firewall com Segurana Avanada usa perfis de firewall para fornec er uma configurao consistente para redes de um tipo especfico. Windows Server 2008 permite que uma rede a ser definida como uma rede de domnio, rede pblica ou rede privada. Windows Firewall com Segurana Avanada permi te que voc defina um configurao definida para cada tipo de rede, cada conjunto de configuraes um perfil de firewall. As regras de firewall so ativado apenas para perfis de firewall especficas.
Uma rede automaticamente configurado como um domnio de rede se ele forn ece conectividade para o domnio controladores. Na maioria dos casos, o Windows Server 2008 usa o perf il de firewall de domnio.
Se um servidor em um local onde ele no tem acesso a um domnio, tal como uma rede de permetro, em seguida, uma servidor ir utilizar o perfil de firewall pblica ou perfil firewall pri vado. Isto determinado por um administrador que definiu a rede como pblica ou privada.
Windows Server 2008 R2 permite que vrios perfis de firewall estar ativo em um servidor ao mesmo tempo. Este significa que um servidor multi-homed que est conectado rede interna e do permetro rede pode aplicar o perfil de firewall de domnio para a rede interna e o firewall pblica ou privada
perfil para a rede de permetro. ----------------------- Pgina 395----------- -----------Aumentar a segurana para Windows Servers 8-13
Configurar perfis de firewall. ----------------------- Pgina 396----------- -----------8-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Como voc implantar regras do Firewall do Windows uma considerao important e. Escolhendo o mtodo apropriado garante que as regras so implantadas de forma precisa e com o mnimo esfo ro. Voc pode implantar o Firewall do Windows regras das seguintes maneiras:
Manualmente: Voc pode configurar individualmente regras de firewall par a cada servidor. No entanto, em um ambiente com mais de alguns servidores, isso trabalhoso e propenso a erros . Este mtodo normalmente usado apenas durante os testes e resoluo de problemas.
Usando a Diretiva de Grupo: A maneira preferida para distribuir as reg ras de firewall usando a Diretiva de Grupo. depois criar e testar um objeto de Diretiva de Grupo com as regras de fi rewall necessrias, voc pode rapidamente e precisa implantar as regras de firewall para um grande nmero de co mputadores.
Exportao e importao de regras de firewall: o Windows Firewall com segurana avanada tambm lhe d a opo de importar e exportar as regras de firewall. Exportar regras de firewall til para criar um backup antes de configurar manualmente as regras de firewall durante a resoluo de problemas. Quando voc importa regras de firewall, eles so tratados como um conjunto completo e substituir todas as r egras de firewall atualmente configurados. ----------------------- Pgina 397----------- -----------Aumentar a segurana para Windows Servers 8-15
Windows Server Update Services (WSUS) melhora a segurana, a aplicao de atu alizaes de segurana para servidores de um maneira oportuna. Ele fornece a infra-estrutura para fazer o download, testar e aprovar atualizaes de segurana. Aplicando atualizaes de segurana rapidamente ajuda a prevenir incidentes de segurana que so um resultado de vulnerabilidades conhecidas.
Objetivos
Descrever as opes para a aprovao de atualizaes do WSUS. ----------------------- Pgina 398----------- -----------8-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
WSUS uma funo de servidor includo no Windows Server 2008 que faz o downlo ad e distribui as atualizaes para Clientes e servidores Windows. Pode obter atualizaes que se aplicam ao s istema operacional e comuns aplicaes da Microsoft, como Microsoft Office e SQL Server.
Na configurao mais simples, uma pequena organizao pode ter um servidor WSU S nico atualizaes que os downloads a partir do Microsoft Update. O servidor WSUS em seguida, distribui as atualizaes para computadores que esto configurados para obter atualizaes automticas a partir do servidor WSUS. Atualizaes devem ser aprovadas antes de os clientes podem baixar eles.
As organizaes maiores podem criar uma hierarquia de servidores WSUS onde um servidor WSUS nico e centralizado obtm atualizaes do Microsoft Update e outros servidores WSUS obter atuali zaes a partir do centralizada Servidor WSUS.
Os computadores podem ser organizados em grupos para simplificar a apr ovao de atualizaes. Por exemplo, um grupo piloto
ados
pode ser configurado como o primeiro conjunto de computadores que so us para testar actualizaes.
WSUS pode gerar relatrios para ajudar com o monitoramento de instalao da atualizao. Estes relatrios podem identificar que os computadores no tm aplicado as atualizaes recm-aprovadas. Depois, vo c pode investigar por que as atualizaes no esto a ser aplicado. ----------------------- Pgina 399----------- -----------Aum entar a segurana para Windows Servers 8-17
O processo de gerenciamento de atualizaes usado para gerenciar e manter o WSUS e a s atualizaes recuperadas WSUS. um ciclo contnuo que permite a voc reavaliar e ajustar a implementao do WSUS p ara atender evoluo das necessidades.
Avaliar Fase
A meta da fase Avaliao de criar um ambiente de produo que suporta o gerenciamento de atualizaes
para cenrios de rotina e de emergncia. A fase Avaliao um processo contnuo que voc usa para determinar a topologia mais eficiente para o dimensionamento dos componentes do WSUS. Como as alteraes de organizao, voc pode identificar a necessidade de adicionar mais servidores WSUS em locais diferentes .
Identificar Fase
A fase de identificar se preocupa com a identificao de novas atualizaes que esto disp onveis e determinar se
que sejam relevantes para a organizao. Voc tem a opo de configurar o WSUS para automa ticamente recuperar todas as atualizaes ou apenas tipos especficos de atualizaes. WSUS tambm identifica quais atual izaes so relevantes para registo computadores.
Aps as atualizaes relevantes foram identificados, preciso avaliar se eles funcionam corretamente em seu produo. sempre possvel que a combinao especfica de software em seu ambiente pode problemas com uma atualizao.
Para avaliar as atualizaes, voc deve ter um ambiente de teste que voc pode aplicar a s atualizaes para verificar adequada funcionalidade. Neste momento, voc pode identificar dependncias que permitem uma a tualizao para funcionar corretamente e voc pode planejar quais mudanas precisam ser feitas. ----------------------- Pgina 400----------- -----------8-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Implantar Fase
Depois de ter testado completamente uma atualizao e determinada qualquer das dependncias, voc pode aprov-lo para
implantao na rede de produo. O ideal que voc deve aprovar a atualizao para grupo piloto de computadores antes de aprovar a atualizao para toda a organizao. ----------------------- Pgina 401----------- -----------Aum entar a segurana para Windows Servers 8-19
Para instalar e configurar o WSUS para o Windows Server 2008, use o Gerenciador do Servidor para instalar o Windows Server Update funo de servios. O servidor deve atender alguns requisitos mnimos de h ardware e software para que voc seja capaz de implementar SWUS.
Windows Server 2008 R2, Windows Server 2008 SP1 ou posterior, Windows Server 200 3 SP1 ou posterior, Windows Small Business Server 2008 ou Windows Small Business Server 2003
SQL Server 2008, SQL Server 2005 SP2, ou Windows Internal Database
Os requisitos mnimos de hardware para WSUS so aproximadamente o mesmo que o hardwa re mnimo requisitos para o Windows. No entanto, voc deve considerar o espao em disco, como parte de sua implantao. A WSUS servidor requer espao em disco suficiente para armazenar todas as atualizaes que es to sendo baixados. Pelo menos 30 GB de espao em disco devem ser alocados para as atualizaes baixadas.
Um servidor WSUS nica pode suportar milhares de clientes. Por exemplo, um nico ser vidor WSUS com 4GB de
RAM e dual quad-core CPUs pode suportar at 100.000 clientes. No entanto, na maior ia dos casos, uma organizao com que muitos clientes provavelmente ter vrios servidores WSUS para reduzir a car ga sobre links WAN. ----------------------- Pgina 402----------- -----------8-20 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede
Quando as Atualizaes automticas estiver ativado em um servidor, a configu rao padro transfere automaticamente atualizaes do Microsoft Update e os instala. Depois de ter implementado o WSUS, os servidores devem obter atualizaes do servidor WSUS em seu lugar.
O local que as Atualizaes Automticas obtm atualizaes controlado por uma cha e de registro. Embora seja possvel configurar manualmente a chave de registro usando o RegEdit, is so no recomendado, exceto quando o computador no est em um domnio. Se um computador est em um domnio, que mu ito mais eficiente para criar um grupo Objeto de diretiva que configura a chave de registro.
Alm de configurar a fonte de atualizaes, voc tambm pode usar uma GPO para c onfigurar o seguinte configuraes:
Um grupo de computador que o computador ser registrado no durante o reg isto inicial com WSUS ----------------------- Pgina 403----------- -----------Aum entar a segurana para Windows Servers 8-21
WSUS Administration
A atualizao ferramenta Servios administrativa um MMC 3.0 plug-in que usado para adm inistrar o WSUS. Voc pode usar esta ferramenta para:
Gerar relatrios
O monitoramento uma parte essencial da manuteno de um servio. WSUS registra informaes detalhadas para a sade log de eventos. Alm disso, voc pode baixar um pacote de gerenciamento para facilit ar a fiscalizao no System Center Gerente de Operaes
Observao: Para economizar espao em disco no servidor WSUS, voc deve usar o Ass istente de Limpeza do Servidor
que est disponvel em Opes. Este assistente remove as atualizaes que esto expirad s ou substitudas. ----------------------- Pgina 404----------- -----------8-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Os grupos de computadores so a maneira de organizar os computadores que um servidor WSUS implanta atualidades. Os dois grupos de computadores que existem por padro so todos os computadores e Computadores No Atribudos. Novos computadores que contato com o servidor WSUS so automaticamente atribudos a ambos os grup os.
Voc pode criar grupos de computadores personalizados para controlar com o as atualizaes so aplicadas. Normalmente, personalizado grupos de computadores contm computadores com caractersticas semelhantes . Por exemplo, voc pode criar um costume grupo de computadores para cada departamento na sua organizao. Voc tambm p ode criar um grupo de computador personalizado para um laboratrio de teste onde voc primeiro implantar atualizaes para o teste. Voc tambm servidores normalmente separados computadores clientes.
Quando voc atribuir manualmente novos computadores para um grupo de com putador personalizado, ele chamado de servidor segmentao. Voc tambm pode usar do lado do cliente visando a atribuir computadores a um grupo de computador personalizado. Para usar do lado do cliente segmentao, voc precisa configurar uma chave de registro ou objeto de Dire tiva de Grupo para o computador que especificou o grupo de computador personalizado para ser juntado durante o registo i nicial com o servidor WSUS. ----------------------- Pgina 405----------- -----------Aumentar a segurana para Windows Servers 8-23
Aprovao de atualizaes
A configurao padro do WSUS para aprovar automaticamente no atualizaes para o aplicativ o para computadores. Embora seja possvel para aprovar automaticamente actualizaes, isto no recomendado. O recomendado
processo de aprovao de atualizaes a atualizaes primeiro teste em um ambiente de labor trio, em seguida, um grupo piloto, e s em seguida, finalmente, para o ambiente de produo. Este processo reduz o risco de uma actualizao de causando uma problema inesperado em seu ambiente de produo. Voc poderia executar esse processo c om a aprovao atualizaes para grupos especficos de computadores antes de aprovar a atualizao para o grupo Todos os Computadores.
Algumas atualizaes no so consideradas crticas e no tem quaisquer implicaes de seguran oc pode decidir no para implementar algumas dessas atualizaes. Para todas as atualizaes que voc decidir no aplicar, voc pode diminuir a atualizao. Depois de uma actualizao for recusado, ele removido da lista de atualiz aes no servidor WSUS na visualizao padro.
Se voc aplicar uma atualizao e achar que ela est causando problemas, voc pode usar o WSUS para remover essa atualizao. No entanto, a atualizao pode ser removido somente se essa atualizao especfica suporta a remoo. A maioria das atualizaes apoiar remoo.
Quando voc olhar para os detalhes de uma atualizao, ele ir indicar se a atualizao sub tituda por outra atualizao.
Atualizaes so normalmente substitudos j no necessrio porque uma nova atualizao inc alteraes nesta atualizar e muito mais. Atualizaes substitudos no so declinados por padro, pois em alg uns casos, eles ainda so exigido. Por exemplo, a atualizao mais antiga pode ser necessrio se alguns servidor es no estiverem rodando o mais recente
Service pack: ----------------------- Pgina 406----------- -----------8-24 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Voc um administrador do servidor para a Contoso e foram atribudas duas ta refas relacionadas com a segurana. Primeiro, voc deve implantar uma regra de firewall do Windows para suportar o softwa re de monitoramento novo que usado para seus servidores. Segundo, voc deve configurar os servidores para comear a usar as atualizaes que so distribudos por um servidor WSUS. ----------------------- Pgina 407----------- -----------Aumen tar a segurana para Windows Servers 8-25
Cenrio
Sua organizao tem implementado um novo software para monitorar computadores client es e servidores. Este software j est instalado nos computadores, mas o seu console de monitoramento cent ral incapaz de iniciar comunicao com o software. A rotina de instalao do software no abrir o necessrio porta no Firewall do Windows.
Voc precisa implantar uma regra de firewall do Windows que permite que todos os c omputadores da organizao para responder a comunicao tenta a partir do console de monitoramento centralizado que executado na porta 10005. Documentao do fornecedor do produto indica que voc pode testar esta porta usando um navegador web para visualizar um arquivo XML.
1.
2.
3.
1. Em NYC DC1, Gesto de Polticas de Grupo aberto a partir do menu Ferramentas Ad ministrativas.
2.
3. Edite o GPO Firewall e navegue at Configurao do Computador \ Diretivas \ Confi guraes do Windows \ Security Settings \ Windows Firewall com Advanced Security \ Windows Fire wall com Advanced Security \ Regras de Entrada.
4.
Protocolo: TCP
Perfil: Domnio
Nome: Monitoramento
1.
2.
3.
----------------------- Pgina 408----------- -----------8-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
1.
2.
Conecte-se http://nyc-svr1.contoso.com:10005/status.xml.
Resultados: Aps este exerccio, voc deve ter criado uma regra de firewall do Windows que permite a comunicao a porta 10005. ----------------------- Pgina 409----------- -----------Aument ar a segurana para Windows Servers 8-27
Remoto
servidores no tiveram atualizaes aplicadas, enquanto outros so a aplicao de atualizae mediatamente. Isto resultou em um ambiente inseguro. Voc est implementando o WSUS para comear a implementar um pro cesso controlado para aplicao de atualizaes para clientes e servidores.
1.
2.
3.
4.
5.
1. Em NYC DC1, Gesto de Polticas de Grupo aberto a partir do menu Ferramentas Ad ministrativas.
2.
3. No Grupo janela do Editor de Poltica de Gesto, navegue at Configurao do computad or \ Polticas \ Modelos Administrativos \ Componentes do Windows \ Windows Update.
4.
Habilitado
Habilitado
6.
Habilitado
8.
9.
11. Feche a janela de comando em NYC DC1. ----------------------- Pgina 410----------- ------------
2. m Opes.
3. Usando o painel de detalhes, ver as configuraes disponveis no WSUS e clique em Cancelar para cada item quando concluir.
1.
2.
3. Alterar a associao do objeto de computador nyc-dc1.contoso.com de m odo que uma parte do HO grupo de servidores.
1. Ver a composio do grupo de computadores HO Servers. Use o status de qualquer ao ver o da sociedade.
2. de status.
3.
4. Alterar o relatrio para incluir atualizaes apenas com um status de n ecessria e, em seguida, executar o relatrio novamente.
5. ecessrias.
6.
1. No Relatrio de Computadores para NYC-SVR1, para a primeira atualiz ao na lista, clique no status No aprovado.
2. ervers.
3. s janelas.
Nota: Observe que aparece uma mensagem informando que a atualizao aprovada, mas deve ser baixado para ser concludo. Isto devido configurao do ambiente de la boratrio.
Resultados: Aps este exerccio, voc deveria ter aprovado uma atualizao para NYC DC1.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.
3.
4.
Questes de Reviso
1. O modelo de defesa em profundidade prescrever tecnologias especfica s que devem ser usados para proteger Servidores Windows?
2. Sua empresa est preocupado com a segurana e implementou o Firewall d o Windows para bloquear comunicao de sada por padro em computadores cliente. Voc est implementan do um novo programa que seleciona aleatoriamente um nmero de porta para a comunicao na rede. Como voc pode permitir que este programa funcionar sem a abertura das portas que so desnecessrios?
3. Voc est criando um GPO com regras de firewall padronizados para os s ervidores em sua organizao. Voc testadas as regras de um servidor autnomo em seu laboratrio de teste . As regras aparecem nos servidores aps a GPO aplicada, mas eles no esto tendo efeito. Qual a causa mais provvel de
sse problema?
4. Um colega argumentou que todas as atualizaes do Windows devem ser ap licados automaticamente quando eles so libertados. Voc tem um processo alternativo que voc recomendaria?
Ferramentas
Firewall do Windows com Configurando Perfis do Firewall do Windows, regras e Ferramentas Administrativas Avanados de segurana de segurana regras de conexo
Wuauclt.exe manualmente provocando o cliente do Windows Update promp t de comando ----------------------- Pgina 412----------- -----------8-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 413----------- -----------9-1
Mdulo 9
contedo
Laboratrio: Aumentar a segurana para comunicao de rede 9-33 ----------------------- Pgina 414----------- -----------9-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Internet Protocol Security (IPSec) uma estrutura de padres abertos para proteger as comunicaes sobre Redes IP atravs de servios de segurana criptogrficos. IPsec suporta autent icao em nvel de rede peer, dados origem autenticao, integridade de dados, confidencialidade (cripto grafia) e proteo de replay. O Microsoft implementao IPsec baseado em padres que a Internet Engineering Task Force (IETF) IPsec grupo de trabalho desenvolvido.
Os seguintes sistemas operacionais suportam IPsec: Windows 2000, Micro soft Windows XP, Windows Vista , Windows 7, Windows Server 2003, Windows Server 2008 e Windows Server 2 008 R2. Alm disso, o IPsec integra com o Active Directory Domain Service (AD DS). Voc pode atribui r diretivas IPsec atravs Diretiva de Grupo, que permite configurar as definies de IPsec no, unida de local, domnio organizacional (UO), ou segurana em nvel de grupo.
Para ajudar a aumentar a segurana para comunicaes de rede dentro de sua o rganizao, importante que voc compreender como implementar, configurar e solucionar problemas de IPs ec.
Objetivos
Descrever como monitorar e solucionar problemas de IPsec. ----------------------- Pgina 415----------- -----------Aumentar a segurana para comunicao de rede 9-3
IPsec um conjunto de protocolos que podem ajudar a proteger os dados e m trnsito atravs de uma rede usando a segurana servios e, opcionalmente, certificados digitais com chaves pblicas e pri vadas. Devido ao seu design, o IPsec ajuda fornecer uma segurana muito melhor do que os mtodos de proteo anteriores. Os administradores de rede que o usam no no tem que configurar a segurana para programas individuais.
Objetivos
Configurar definies de IPsec. ----------------------- Pgina 416----------- -----------9-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Benefcios do IPsec
Voc pode usar o IPsec para atingir a confidencialidade, integridade, au tenticao e no transporte de dados em canais inseguros. Apesar de seu propsito original era para proteger o t rfego atravs de redes pblicas, muitos organizaes tm optado por implementar o IPsec para resolver as deficincias percebidas em sua prpria privada redes que podem ser suscetveis explorao.
Se voc implement-lo corretamente, o IPsec fornece um canal privado para o envio e troca de potencialmente dados sensveis ou vulnerveis, seja e-mail, File Transfer Protocol trfego (FTP), feeds de notcias parceiro, e da cadeia de fornecimento de dados, registros mdicos, ou qualquer outro tipo de TCP / IP baseados em dados.
confidencialidade habilitao por meio de criptografia do trfego IP e auten ticao pacote digital
Modos de IPsec
encapsular Security Payload (ESP): Criptografa os dados atravs de um do s vrios algoritmos disponveis.
ESP e AH verificar a integridade de todo o trfego IP. Se um pacote tive r sido modificada, a assinatura digital no ir coincidirem, eo pacote sero descartados. ESP em modo tnel criptografa a origem eo destino endereos como parte da carga. No modo de tnel, um novo cabealho IP adicio nado ao pacote, especificando o fonte extremidades do tnel e dos endereos de destino. ESP pode fazer uso de Data Encryption Standard (DES), Triple Data Encryption Standard DES (3DES), Advanced Encryption Standa rd (AES), e criptografia DES ----------------------- Pgina 417----------- -----------Aum entar a segurana para comunicao de rede 9-5
algoritmos no Windows Server 2008 R2. Voc no deve usar DES, a menos que os cliente s no podem apoiar o criptografia mais forte que a oferta de AES ou 3DES.
ESP e AH usar nmeros de seqncia, ento todos os pacotes que so capturados para reproduo posterior estiver usando nmeros fora de seqncia. Utilizando nmeros seqenciados garante que um atacante no pode reutil izar ou reproduzir dados capturados para estabelecer uma sesso ou obter informaes ilegalmente. Utilizando nmeros seqencia dos tambm protege contra tentativas para interceptar uma mensagem e us-lo para acessar os recursos de form a ilegal, possivelmente, meses mais tarde. ----------------------- Pgina 418----------- -----------9-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Alguns ambientes de rede esto bem adaptados ao IPsec como uma soluo de se gurana, enquanto outros no so. Ns Recomendamos IPsec para os seguintes usos:
A filtragem de pacotes: O IPsec fornece capacidades de firewall limita dos para sistemas finais. Voc pode permitir ou bloquear o trfego de entrada ou de sada usando IPsec com o Network Address T ranslation (NAT) / Firewall Bsico componente do servio de roteamento e acesso remoto.
Garantir host-to-host trfego em caminhos especficos: Voc pode usar o IPse c para fornecer proteo para o trfego entre os servidores ou outros endereos IP estticos ou sub-redes. Po r exemplo, o IPsec pode proteger o trfego entre controladores de domnio em locais diferentes, ou entre servidores web e servidores de banco de dados.
Proteger o trfego para os servidores: Voc pode exigir a proteo IPSec para todos os computadores cliente que acessar um
servidor. Alm disso, voc pode definir restries sobre quais computador es podem se conectar a um servidor que executando o Windows Server 2008 R2.
Layer 2 Tunneling Protocol (L2TP) / IPsec para conexes VPN: Voc pode usa r a combinao de o L2TP e IPsec (L2TP/IPSec) para todos os cenrios de VPN. Isto no r equer que voc configure e implantar polticas IPsec.
Site-to-site (gateways) de tunelamento: Voc pode usar IPsec em modo tnel para o site-to-site (Gateways) tneis em que voc precisa interoperabilidade com roteador es de terceiros, gateways ou sistemas finais que no suportam L2TP/IPsec ou Point-to-Point Tunne ling Protocol (PPTP) conexes.
Aplicar redes lgicas (servidor / isolamento de domnio): Em uma rede Micr osoft Windows, voc pode isolar recursos de servidor e domnio logicamente para limi tar o acesso autenticado e autorizado Computadores Por exemplo, voc pode criar uma rede lgica dentro da r ede fsica existente, onde computadores compartilhem requisitos comuns para comunicaes seguras . Para estabelecer a conectividade, cada computador nesta rede logicamente isolada deve fornecer credencia is de autenticao para outro Computadores ----------------------- Pgina 419----------- -----------Aumen tar a segurana para comunicao de rede 9-7
Este isolamento impede que computadores e programas no autorizados tenham ac esso inadequado re Os pedidos de computadores que no fazem parte da rede isolada so ignoradas . Servidor e
isolamento de domnio pode ajudar a proteger especficos de alto valor servidor es e dados, e proteger conseguiu computadores a partir de computadores no gerenciados ou no autorizados e usuri os.
Isolamento do servidor: Para isolar um servidor, voc pode configurar servido res especficos para exigir a diretiva IPsec para aceitar comunicaes autenticadas de outros computadores. Por exemplo, voc pode configurar o servidor de banco de dados para aceitar conexes do servidor de aplicao web apenas.
O isolamento do domnio: Para isolar um domnio, voc usa a associao do domnio do A tive Directory para garantir que os computadores que so membros do domnio aceitar apenas aut enticado e seguro comunicaes de outros membros do domnio computadores. A rede isolada compo sta apenas de computadores que domnio de membros e isolamento do domnio usa a diretiva IPsec para proteger o trfego que enviado entre membros do domnio, incluindo todos os computadores client e e servidor.
Observao: Devido IPsec depende endereos IP para o estabelecimento de conexes seguras, voc
no possvel especificar endereos IP dinmicos. Muitas vezes necessrio para que u servidor tem um IP esttico endereo em filtros de diretiva IPsec. Em implementaes da rede de grandes dime nses, e em alguns casos utilizador mvel, o uso de endereos IP dinmicos em ambas as extremidades da ligao pode aumentar a complexidade do IPsec elaborao de polticas.
IPsec pode reduzir o desempenho de processamento e aumentar o consumo de largura de banda de rede. Alm disso, o Diretivas IPsec pode ser complexo para configurar e gerenciar. Finalmente, o uso de IPsec pode introduzir aplicao problemas de compatibilidade. Por estas razes, no recomendamos IPsec para os segui ntes usos:
Assegurar a comunicao entre os membros do domnio e seus controladores de domnio. Ist o reduz desempenho da rede. Alm disso, no recomendamos o uso do IPsec para esse cenrio porque a configurao da diretiva IPsec e gesto complexa.
Protegendo o trfego de rede. Isso reduz o desempenho da rede, e ns no recomendamos o uso IPsec para esse cenrio por causa das seguintes razes:
O trfego de comunicaes em tempo real, aplicaes que requerem Internet Control Mes sage Protocol (ICMP), e peer-to-peer aplicaes pode ser incompatvel com IPsec.
Funes de gerenciamento de rede que deve inspecionar o TCP, UDP, e protocolo c abealhos so menos eficaz ou no pode funcionar em tudo devido ao encapsulamento IPsec ou c riptografia payload IP.
Alm disso, o protocolo IPsec e implementao tm caractersticas que requerem considerao e pecial quando voc executar as seguintes tarefas:
Proteger trfego sobre redes sem fios 802.11: Voc pode usar o modo de transporte IP sec para proteger o trfego que enviada atravs de redes 802.11. No entanto, no recomendamos IPsec para as segurar a segurana
corporativos 802.11 redes locais sem fios (LANs). Em vez disso, recomendamo s que voc use 802,11 Criptografia WPA ou WPA2 e do Instituto de Engenheiros Eltricos e Eletrnicos, Inc. (IEEE) 802.1X
autenticao. Suporte para IPsec, configurao, gerenciamento e confiana so necessrio no cliente computadores e servidores.
Porque muitos computadores em uma rede no suportar IPsec ou eles no so geridos , no apropriado usar IPsec sozinho para proteger toda a 802,11 corporativa sem f io trfego LAN. Alm disso, o IPsec ----------------------- Pgina 420----------- -----------9-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
polticas modo de tnel no so otimizados para clientes mveis com endereo s IP dinmicos, nem IPsec
modo tnel apoio atribuio dinmica de endereos ou a autenticao do usuri o que necessrio para de acesso remoto de rede virtual privada (VPN) cenrios.
Use conexes VPN L2TP/IPSec para proteger o trfego de acesso remoto a redes organizacionais que quando trfego enviado por redes pblicas sem fio que esto conectados Intern et.
Use o IPsec em modo tnel para conexes VPN de acesso remoto: No recomenda mos que voc usar o IPsec em modo tnel para cenrios de acesso remoto VPN para c lientes VPN baseados em Windows e servidores. Em vez disso, use L2TP/IPsec ou PPTP. ----------------------- Pgina 421----------- -----------Aument ar a segurana para comunicao de rede 9-9
Existem vrias maneiras de configurar o Firewall do Windows e configuraes de IPsec e opes, incluindo a seguinte:
Usando o Firewall do Windows com Segurana Avanada Microsoft Management Console (MM C) snap-in.
O Firewall do Windows com Segurana Avanada snap-in permite que voc configure a s configuraes de firewall e
de segurana (IPsec) configuraes em uma nica interface. Voc tambm pode ver a polti a actualmente aplicadas, regras e outras informaes no n Monitor.
Este snap-in permite que voc configure diretivas IPsec que se aplicam a comp utadores que esto executando verses anteriores do Windows e para computadores que esto executando a verso a tual do Windows. Este MMC snap-in til para ambientes onde os computadores que esto executando essas verses do Windows coexistir. Voc no pode usar esse snap-in para configurar o Windows Firewall c om configuraes avanadas de segurana.
Netsh uma ferramenta de linha de comando que voc pode usar para configurar a rede de componentes de configuraes. Windows Firewall com Segurana Avanada fornece o contexto netsh advfirewa ll, que voc pode usar para configurar o Windows Firewall com configuraes avanadas de segur ana.
Voc tambm pode usar os comandos netsh ipsec para configurar regras de segurana
de conexo. ----------------------- Pgina 422----------- -----------9-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Conclua o Assistente de Regra de Segurana IP. ----------------------- Pgina 423----------- -----------A umentar a segurana para comunicao de rede 9-11
Voc pode usar regras de segurana de conexo para configurar as definies de IP sec para conexes especficas entre este computador e outros. Windows Firewall com Segurana Avanada usa a reg ra para avaliar rede trfego e, em seguida, blocos ou permite que as mensagens com base nos cr
itrios que voc estabelece no Estado. Em alguns circunstncias, o Windows Firewall com Segurana Avanada bloqueia a comunic ao. Se voc configurar configuraes que necessitam de segurana para uma ligao (em qualquer direco), os dois computadores no pode autenticar um ao outro, a conexo est bloqueada.
Objetivos
Descrever e selecione um mtodo de autenticao que pode ser usado para IPse c.
Explique o processo de comunicao utilizado pelo isolamento de domnio. ----------------------- Pgina 424----------- -----------9-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Uma regra de segurana de conexo fora a autenticao entre dois computadores d e mesmo nvel antes que eles possam estabelecer uma conexo e transmitir informaes seguras. Windows Firewall com Segurana Avanad a usa o IPsec
As regras configurveis
so:
Isolamento: Uma regra de isolamento isola computadores restringindo as conexes que so baseados em credenciais, como associao de domnio ou estado de sade. Regras de iso lamento permitem implementar um estratgia de isolamento para os servidores ou domnios.
Iseno de autenticao: Voc pode usar uma iseno de autenticao para designar exes que no necessitam de autenticao. Voc pode designar computadores por um en dereo IP especfico, um endereo IP intervalo, uma sub-rede, ou um grupo pr-definido como um gateway.
Servidor para Servidor: A regra de servidor para servidor protege as c onexes entre computadores especficos. Este tipo de regra geralmente protege as conexes entre os servidores. Ao cri ar a regra, voc especificar a rede parmetros entre os quais as comunicaes so protegidas. Voc, ento, design ar os requisitos ea autenticao que deseja usar.
Tnel: A regra de encapsulamento permite proteger conexes entre computado res de gateway, e, normalmente, voc us-lo ao conectar atravs da Internet entre dois gateways de segu rana.
Personalizada: Use uma regra personalizada para autenticar conexes entr e dois pontos quando voc no pode definir as regras de autenticao que voc precisa usando as regras de outros d isponveis na nova conexo Regra de Segurana de assistente.
As regras de firewall permitir o trfego atravs do firewall, mas no garant ir que o trfego. Para proteger o trfego com IPsec, voc pode criar regras de segurana de conexo. No entanto, quando voc cria u ma regra de segurana de conexo, isso faz no permitir que o trfego atravs do firewall. Voc deve criar uma regra de f irewall para fazer isso, se o trfego no ----------------------- Pgina 425----------- -----------Aumentar a segurana para comunicao de rede 9-13
permitido pelo comportamento do firewall padro. Regras de segurana de conexo no so ap licadas a programas e servios. Eles so aplicados entre os computadores que compem os dois pontos finais. ----------------------- Pgina 426----------- -----------9-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Terminais de computador so os computadores ou o grupo de computadores q ue formam pares para a conexo. Voc pode especificar um nico computador, um grupo de computadores (como uma sub-rede ou computadores em um endereo IP intervalo), ou um dos computadores predefinidos: Gateway padro, o Windo ws Internet Name Service (WINS) servidores, servidores DHCP, Domain Name System (DNS), ou a sub-rede l ocal. A sub-rede local o coleo de todos os computadores que esto disponveis para este computador, e xceto para os endereos IP pblicos (Interfaces). Isso inclui tanto a LAN sem fio e endereos.
Modo de tnel IPsec protege um pacote IP inteiro tratando-o como um cabea lho de autenticao (AH) ou Encapsulating Security Protocol (ESP) de carga til. Com o modo de tnel, um pacote IP inteiro encapsulado com
um cabealho AH ou ESP e um cabealho IP adicional. Os endereos IP do cabeal ho IP externo so o tnel parmetros, e os endereos IP do cabealho IP encapsulado so a melhor fonte e destino Endereos
ESP criptografa os pacotes e aplica um novo cabealho no criptografados p ara facilitar o roteamento. Alm de fornecer criptografia, ESP no garante a autenticidade dos dados de cabealho.
ESP funes em dois modos, conforme determinado pela funcionalidade necessr ia e da capacidade do IPsec Exrcitos conscientes ou roteadores:
O modo de transporte, em que carga de dados criptografado, mas os dado s do cabealho inalterado. O modo de transporte criptografa os dados entre dois hosts que so IPsec-consciente e ca paz de descriptografar os dados de carga diretamente.
O modo de tnel, no qual todo o pacote original codificado e torna-se a carga de um novo pacote, que depois transmitida entre IPSec roteadores. O modo de tnel IPsec permite-aware roteadores de encapsular e criptografar o trfego de rede no-IPSec h osts, transmiti-lo atravs de uma rede desprotegida e depois decifr-lo para uso na rede de destino p or outras mquinas que no so IPsec-aware. ----------------------- Pgina 427----------- -----------Aumentar a segurana para comunicao de rede 9-15
Enquanto estiver usando o assistente de conexo de regra de segurana para criar uma nova regra, voc pode usar a autenticao Requisitos pgina do assistente para especificar como a autenticao aplicado a entrad a e sada
Conexes. Se voc solicitar autenticao, este permite a comunicao quando a autenticao fa . Se voc exigir autenticao, isso faz com que a conexo cair se a autenticao falhar.
Use a solicitao de autenticao para entrada e sada conexes opo para especificar que to os o trfego de entrada e sada autenticado, mas para permitir a conexo se a autenticao fa lhar. Se
autenticao for bem sucedida, que o trfego protegido. Voc geralmente usa esta opo em q alquer segurana de baixa ambientes ou em um ambiente onde os computadores devem ser capazes de se conecta r, mas no pode executar a tipos de autenticao que est disponvel com o Windows Firewall com segurana avanada.
Exigir autenticao para conexes de entrada e solicitao de autenticao para Conexes de sada
Use a autenticao Exigir para conexes de entrada, e solicitao de autenticao para sada conexes opo se voc quiser exigir que todo o trfego de entrada ou est autenticado ou en to bloqueado. O trfego de sada pode ser autenticada, mas permitido se a autenticao falhar. Se a au tenticao for bem-sucedido
para trfego de sada, que o trfego est autenticado. Voc geralmente usa esta opo na maio ia dos ambientes de TI em que os computadores que precisam de se conectar pode realizar os tipos de autent icao que esto disponveis com Windows Firewall com segurana avanada.
Use a autenticao Exigir para entrada e sada conexes opo se voc quiser exigir que todo o trfego de entrada e sada, quer seja autenticado ou ento bloqueado. Voc ge ralmente usa esta opo em maior segurana, ambientes de TI, onde voc deve proteger e controlar o fluxo de trfego, e na qual o computadores que devem ser capazes de se conectar pode executar os tipos de aute nticao que esto disponveis com Windows Firewall com segurana avanada. ----------------------- Pgina 428----------- -----------9-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O assistente de conexo de regra de segurana tem uma pgina onde voc pode con figurar o mtodo de autenticao para configurar as credenciais de autenticao utilizados. Se a regra j existe, voc pode usar a autenticao guia da Conexo caixa de dilogo Propriedades de Segurana da regra que voc de seja editar.
Padro
Selecione a opo padro para usar o mtodo de autenticao como configurado na gu ia Configuraes de IPsec de o Firewall do Windows com o Advanced caixa de dilogo Propriedades de Seg urana.
O computador eo usurio mtodo (Kerberos V5) usa o computador e autenticao do usurio, o que significa que voc pode solicitar ou exigir que o usurio e do comput ador para autenticar antes comunicaes continuar. Voc pode usar o protocolo Kerberos verso 5 autenticao
O Computador (Kerberos V5) mtodo pedidos ou exige que o computador para autenticar usando o Kerberos verso do protocolo de autenticao 5. Voc pode usar o protocolo Ker beros verso 5 autenticao somente se ambos os computadores so membros de um domnio.
As solicitaes do usurio (Kerberos V5) ou mtodo exige que o usurio autenticar usando o Kerberos verso 5 protocolo de autenticao. Voc pode usar o protocolo de autenticao Kerberos v erso 5 apenas se o usurio um membro do domnio.
Certificado de Computador
Os pedidos de certificados de computador ou mtodo requer um certificado de computador vlido para autenticar, e voc deve ter pelo menos um CA para fazer isso. Utilize este mtodo se o s computadores no so parte do mesmo AD domnio DS. ----------------------- Pgina 429----------- -----------Aumentar a segurana para comunicao de rede 9-17
O Apenas aceitar pedidos de certificados de sade ou mtodo requer um certificado de sade vlido para
autenticar. Os certificados sanitrios declarar que um computador tenha cumprido o s requisitos do sistema de sade, como determinado por um servidor de polticas NAP sade, como todo o software e outras at ualizaes que o acesso rede requer. Estes certificados so distribudos durante o processo de avaliao NAP sade. Uti lize este mtodo apenas para apoiar NAP.
Avanado
Voc pode configurar qualquer mtodo disponvel, e voc pode especificar mtodos para a pr imeira autenticao e Segunda autenticao. Mtodos de autenticao primeiros incluem Computer Kerberos, certifi cado de computador, e uma chave pr-compartilhada (no recomendado). Mtodos de autenticao segundo incluir U surio Kerberos, o Usurio NTLM (Windows NT protocolo de desafio / resposta), os certificados de usurio e ce rtificados de integridade do computador. Mtodos de autenticao segundo so suportados apenas por computadores que esto executand o o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2. ----------------------- Pgina 430----------- -----------9-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Testar a regra. ----------------------- Pgina 431----------- -----------Aumentar a segurana para comunicao de rede 9-19
Ao configurar regras de segurana adequadas de conexo, voc pode usar o IPsec para co nfigurar Isolamento de Domnio. O isolamento do domnio impe uma situao onde os computadores membros do domnio so isola dos a partir de no-domnio computadores membros. O isolamento do domnio usa um domnio AD DS, associao de domnio e Diretiva de Grupo configuraes para criar e aplicar uma poltica de rede que requer computadores membro s do domnio para aceitar recebidas as solicitaes de comunicao somente de computadores que podem autenticar-se com domnio credenciais. Usando o isolamento de domnio, voc fornece uma camada adicional de pr oteo para sua rede trfego.
O isolamento do domnio:
Suplementos de outros mecanismos de segurana que so projetados para evitar que as comunicaes no desejadas
ara exigir que todas as conexes de entrada pedidos e dados subsequentes ser autenticado e protegido usando o Internet Proto col Security (IPSec); isto fcil de alcanar por meio de regras de segurana de conexo.
Um domnio do AD DS
Os computadores membros
Segurana regras de conexo ----------------------- Pgina 432----------- -----------9-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Em uma implantao simplificada isolamento de domnio, voc pode configurar e ativar uma regra de segurana de conexo que utiliza uma poltica de isolamento. Em seguida, ative a poltica para os recipientes apropriados AD DS, como sites, domnios, e OUs. Os computadores membros nos recipientes do Active Dire ctory para que a Diretiva de Grupo definies se aplicam automaticamente o download das configuraes de Diretiv a de Grupo. Voc tambm pode usar as diretivas IPsec para este propsito, enquanto esta fornece um controle mais granular sobre tipos especficos de trfego a serem isolados, mais complexo para configurar. ----------------------- Pgina 433----------- -----------A umentar a segurana para comunicao de rede 9-21
Lio 3
Imposio de NAP para as polticas IPsec para o Firewall do Windows implanta da com um NAP CA, um Registo de Sade Autoridade servidor (HRA), um computador que executa o Network Policy S erver (NPS), e um cliente de imposio de IPsec. O NAP CA emite certificados X.509 com o Sistema nico de Sade OID para cli entes NAP quando eles so determinados para ser compatvel. Estes certificados so ento usados es NAP quando eles iniciam IPsec comunicaes com outros clientes IPsec em uma intranet. para autenticar client
Reforo do IPsec confina comunicao da sua rede de clientes compatveis e for nece a implementao mais forte NAP disponvel. Como este mtodo de imposio de IPsec usa , voc pode definir requisitos para comunicaes seguras por um endereo IP ou por nmero per-TCP/ UDP porta.
Objetivos
Descrever como o NAP com a imposio de IPsec para funes lgicas redes.
Descrever os requisitos para a implantao do NAP com imposio de IPsec. ----------------------- Pgina 434----------- -----------9-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
A imposio de IPsec divide uma rede fsica em trs redes lgicas. Um computador um membro de apenas uma rede lgica em qualquer momento. As redes lgicas so definidas p or que os computadores tm sade certificados e os computadores que exigem autenticao IPsec com certifica dos sanitrios para entrada tentativas de comunicao. As redes lgicas para permitir acesso limitado re de e remediao, e fornecer os computadores compatveis com a proteo de computadores no compatv eis.
Rede Segura: O conjunto de computadores que tm certificados de sade e ex igir que entrada tentativas de comunicao usam certificados sanitrios para autenticao IP sec. Em uma rede gerenciada, mais computadores servidores e clientes que so membros do domnio do Active Directory seria no proteger a rede.
Rede de Fronteira: o conjunto de computadores que tm certificados de sad e, mas que no exigem que tentativas de comunicao de entrada usar certificados sanitrios para autenticao IPsec. Computadores na rede de limite deve ser acessvel a computadores na rede inteira.
A rede restrita: O conjunto de computadores que no tm certificados de sad e. Isto inclui computadores cliente NAP incompatveis, convidados da rede, ou comp utadores que no so NAP tais como computadores que esto executando verses do Windows que no suportam NAP, Apple Macintosh, ou computadores baseados em UNIX.
Com base nos trs redes lgicas, os seguintes tipos de comunicaes iniciadas so possveis.
Rede Segura
Computadores na rede segura pode iniciar comunicaes com computadores em todos os trs lgica redes. Comunicaes iniciadas a computadores na rede segura ou rede de lim ite so autenticados com IPsec e certificados de sade. Comunicaes iniciou a compu tadores no restrito rede no so autenticados com IPsec. ----------------------- Pgina 435----------- -----------Aumen tar a segurana para comunicao de rede 9-23
Computadores da rede segura aceitar comunicaes iniciadas a partir de computadores n o seguro e redes de fronteira que IPsec autentica, mas no aceitar comunicaes iniciadas a partir de computadores na rede restrita.
Por exemplo, um computador cliente da rede segura pode solicitar uma pgina a part ir de um servidor da Web no proteger a rede. No entanto, um computador cliente na rede restrita no pode. Voc p ode configurar o requisitos de comunicao iniciado em uma base porta TCP ou UDP para limitar o trfego especfico. Por exemplo, possvel exigir a autenticao IPsec com certificados sanitrios para Remote Procedure C all (RPC) trfego, mas o trfego no web. Neste caso, um computador de cliente na rede restrita poderia requerer uma pgina de um servidor web na rede segura, mas no ser capaz de usar RPC para se cone ctar ao mesmo Servidor
Rede de Fronteira
Computadores da rede de limite pode iniciar comunicaes com computadores no seguro ou redes de fronteira que so autenticados com IPsec e certificados sanitrios ou com c omputadores no rede que IPsec no autentica restrito.
Computadores da rede de limite vai aceitar comunicaes iniciadas em computadores na segurana e redes de fronteira que so autenticados com IPsec e certificados de sade, e de co mputadores em a rede restrita que o IPsec no autentica.
Membros da rede de contorno tipicamente consistem apenas no HRA e servidores de remediao NAP. Servidores em a rede de limite deve ser acessvel a partir de clientes NAP incompatveis na rede r estrita a desempenhar funes de remediao iniciais e obter certificados de sade. Alm disso, eles d evem ser acessveis a partir de computadores compatveis na rede segura para executar funes de remediao em curso, renovar sade certificados, e gerenciar os computadores na rede de limite).
Um computador um membro da rede segura ou limite para o tempo especificado na sad e perodo de validade do certificado. Antes do certificado sanitrio expirar, o client e protegidas por IPsec NAP contatos o HRA para obter um novo certificado sanitrio. Voc pode configurar o tempo de vali dade dos certificados de sade em o HRA. Ele normalmente se estende por horas ao invs de anos, no caso de certifica dos de computador ou usurio.
Rede restrita
Computadores na rede restrita pode iniciar comunicaes com computadores no restrito e redes de contorno. Computadores na rede restrita no pode iniciar comunicaes de comp
utadores em a rede segura, a menos que eles esto autorizados especificamente por meio das con figuraes de diretiva IPsec do seguro computadores rede.
Computadores na rede restrita pode aceitar comunicaes iniciadas a partir de comput adores em todas as trs redes lgicas. ----------------------- Pgina 436----------- -----------9-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para obter um certificado de sade e se tornar um membro de rede segura, um cliente NAP utilizando IPsec execuo inicia-se na rede e usa o seguinte processo:
1. Quando o computador iniciado, o firewall baseado em host est habil itado, mas no permite qualquer exceo, de modo que nenhum outro computador pode iniciar comunicaes com ele. Neste ponto, o computador est no restringido rede porque ele no tem um certificado de sade. O comput ador pode se comunicar com outros computadores nas redes restritas e de fronteira, e pode ac essar a Internet. No entanto, ele no pode iniciar comunicaes com computadores da rede do seguro.
2.
3. O cliente de imposio de IPsec NAP (CE) envia suas credenciais e Dec larao de sistema de sade (SSoH) para o HRA usando Hypertext Transfer Protocol (HTTP) ou HTTP prot egido Secure Sockets Layer (SSL) sesso.
4. O HRA passa a SSoH para o servidor de polticas NAP sade em um Remot e Authentication Dial-In Usurio Service (RADIUS) mensagem Access-Request.
5. O servio NPS no servidor NAP poltica de sade recebe o RADIUS mensage m Access-Request, extrai o SSoH, e passa para o componente de servidor NAP Administ ration.
6. O servidor de administrao NAP recebe o SSoH e encaminha as Demonstr aes de Sade (SoHs) para Os validadores do sistema de sade adequados (SHVs).
7. Os SHVs analisar seus SoHs e voltar Declarao de respostas de sade (S oHRs) para o PAN Servidor da Administrao.
8.
9. O servio NPS compara os SoHRs para as polticas de sade configurados e cria o Sistema Declarao de Resposta de Sade (SSoHR). ----------------------- Pgina 437----------- -----------Aument ar a segurana para comunicao de rede 9-25
10. O servio NPS constri e envia uma mensagem Access-Accept RADIUS com o SSoHR co mo um RADIUS atributo especfico do fornecedor (VSA) para o HRA.
11. O HRA envia a volta SSoHR ao NAP IPsec CE. Caso o cliente NAP compatvel, o H RA tambm emite um certificado de sade.
O cliente NAP remove todos os certificados sanitrios existentes, se necessrio, e a diciona a sade recm-emitido certificado para o seu armazenamento de certificados do computador. Os NAP IPsec CE configura configuraes de IPsec para autenticar usando o certificado de sade para comunicaes protegidas por IPsec e configura o fir ewall baseado em host para permitir que as comunicaes recebidas a partir de qualquer ponto que usa um certifi cado de sade para autenticao IPsec. O Cliente NAP agora pertence rede segura.
O NAP IPsec CE executa os passos de 3 a 11, sempre que novas informaes SoH chega a o agente NAP ou quando o certificado de sade est prestes a expirar.
Se o cliente NAP incompatvel, o cliente NAP no tem um certificado de sade e no pode iniciar comunicao com computadores na rede segura. O cliente NAP realiza a remediao seguinte processo para se tornar um membro de rede segura:
1.
2.
3. Cada SHA analisa a sua SoHR e, com base no contedo, realiza a recuperao confor me necessrio para corrigir o estado do cliente NAP do sistema de sade.
4.
Cada SHA que a correo necessria passa um SoH atualizado para o agente NAP.
5. O agente NAP recolhe os SoHs atualizados de todos os SHAs remediao que necessr io, cria uma
6. O NAP IPsec CE usa HTTP ou HTTP protegido por sesso SSL para enviar seu SSoH novo para o HRA.
7. O HRA recebe o SSoH e envia para o servidor de polticas NAP sade em um RADIUS Access-Request mensagem.
8. O servio NPS no servidor NAP poltica de sade recebe o RADIUS mensagem Access-R equest, extrai o SSoH, e passa para o servidor de administrao NAP.
9. O servidor de administrao NAP recebe o SSoH e encaminha os SoHs aos SHVs apr opriadas.
10. Os SHVs analisar o contedo de seus SoHs e SoHRs retorno ao servidor de admin istrao NAP.
12. O servio NPS compara os SoHRs para o conjunto configurado de polticas de sade e cria a SSoHR.
13. O servio NPS constri e envia uma mensagem Access-Accept RADIUS contendo o SSo HR ao HRA.
14. O HRA recebe a mensagem Access-Accept RADIUS, extrai o SSoHR, e envia para o PAN cliente usando HTTP ou o HTTP sobre SSL sesso. Como o cliente NAP agora comp atvel, o HRA questes do cliente NAP um certificado sanitrio. ----------------------- Pgina 438----------- ------------
Para implantar a NAP com IPsec e HRA, voc deve configurar o seguinte:
1. Instalar e configurar os Servios de Certificados do Active Directo ry (AD CS) e modelos de certificados.
2. No NPS, configure a diretiva de solicitao de conexo, a poltica de red e, ea poltica de sade NAP. Voc pode configurar estas polticas individualmente usando o console do NPS, ou voc pode usar o Network Access novo Proteo assistente.
3. Habilite o cliente de imposio NAP IPsec eo servio NAP em computadore s cliente NAP.
6. Configure o Windows Security Health Validator (WSHV), ou instalar e configurar outro sistema agentes de sade (SHAs) e validadores do sistema de sade (SHVs), dep endendo a sua implantao NAP.
Configurar o NPS no servidor HRA como um proxy RADIUS para encaminhar solicitaes de conexo para o NPS
Servidor ----------------------- Pgina 439----------- -----------Aum entar a segurana para comunicao de rede 9-27
Depois de ter habilitado e configurado IPsec, importante que voc saiba c omo monitorar, e se necessrio, solucionar problemas de IPsec.
Objetivos
Descrever como monitorar IPsec usando o Windows Firewall com segurana av anada.
Discutir como solucionar problemas de conexes IPsec. ----------------------- Pgina 440----------- -----------9-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Firewall do Windows com Segurana Avanada um stateful, firewall baseado e m host que bloqueia a entrada e as conexes de sada com base em sua configurao. Enquanto um tpico usurio fina l configurao do Windows Firewall
ainda ocorre atravs da ferramenta do Painel de Controle do Firewall do Windows, configurao avanada agora tem lugar em um snap-in chamado Windows Firewall com segurana avanada.
A incluso deste snap-in no s fornece uma interface para configurar o Fire wall do Windows localmente, mas tambm para a configurao do Firewall do Windows em computadores remotos e por meio da Diretiva de Grupo. Funes de firewall agora se integrar com configuraes de IPsec de proteo, reduzindo a possibil idade de conflito entre os dois mecanismos de proteo.
Voc pode usar o Firewall do Windows com Segurana Avanada do console para monitorar as polticas de segurana que voc criar no n de conexo regras de segurana. No entanto, voc no pode ver as polt icas que voc cria usando o IP Security Policy snap-in. Estas opes de segurana so para uso com o Windo ws Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2. Para os sistemas operacionais ma is antigos (como o Windows XP e Windows 2000), voc deve usar o Monitor de segurana IP para ver SAs e con exes.
A pasta de segurana de conexo lista todas as regras de segurana habilitad os para conexo com informaes detalhadas sobre suas configuraes. Regras de segurana de conexo definem qual a troca de autenticao, chave, integridade de dados ou criptografia, voc pode usar para formar uma SA. O SA define a segura na que usado para proteger o comunicao do emissor para o receptor.
A pasta de Segurana Associaes lista todos o modo principal e modo rpido co m informaes detalhadas sobre as suas configuraes e pontos de extremidade. ----------------------- Pgina 441----------- -----------Aumentar a segurana para comunicao de rede 9-29
Modo principal
Estatsticas de modo principal fornecem dados sobre o nmero total de SAs criado, pa ra alm invlido pacote informaes.
Modo Rpido
Modo rpido fornece informaes mais detalhadas sobre as ligaes. Se voc est tendo problem s com um IPsec conexo, as estatsticas de modo rpido pode fornecer informaes sobre o problema. ----------------------- Pgina 442----------- -----------9-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode implementar o Monitor de segurana IP, como um snap-in, e isso i nclui aprimoramentos que permitem visualizar detalhes sobre uma diretiva IPsec ativa que aplicado pelo d omnio ou localmente. Alm disso, voc pode visualizar de modo rpido e as estatsticas de modo principal, e ativ o IPsec SAs. Monitor de segurana IP tambm permite que voc para pesquisar o principal modo especfico ou filtros de modo rpido. Para solucionar problemas de projetos de polticas complexas IPsec, voc pode usar o Monitor de segurana IP para pesquisar todos os jogos para f iltros de um tipo de trfego especfico.
Voc pode mudar o IP de segurana configuraes de monitor padro, tais como a a tualizao automtica eo nome de domnio Sistema de resoluo de nomes (DNS). Por exemplo, voc pode especificar o te mpo que decorre entre IPsec dados refresca.
Alm disso, voc pode ativar a resoluo de DNS para os endereos IP que voc est onitorando. Note-se que existem algumas questes a considerar quando ativar DNS. Por exemplo, el e funciona apenas em uma viso especfica do filtro de modo rpido e em vista de SAs de modo rpido e monitoramento de modo pr incipal. H tambm a possibilidade que pode afetar o desempenho do servidor se vrios itens na exibio requere m resoluo de nomes. Finalmente, a resoluo de DNS nome de registro requer um registro de ponteiro apropri ado (PTR) no DNS.
Voc pode monitorar computadores remotamente a partir de um nico console, mas voc deve modificar um valor do Registro para que o sistema remoto aceita uma conexo de console.
Definir o HKLM \ system \ currentcontrolset \ services \ policyagent \ valor do Registro EnableRemoteMgmt a 1 impede que o "servio IPsec no est em execuo" erro quando voc gerenciar um co mputador remotamente.
Voc pode obter informaes bsicas sobre a atual poltica de segurana IP no n de poltica activa de o IP
Segurana Monitoramento MMC. Isso til durante a soluo de problemas para ide ntificar qual a poltica est sendo aplicada para o servidor. Informaes como a localizao poltica e quando ele foi modifi cado pela ltima fornecer detalhes importantes ----------------------- Pgina 443----------- -----------Aumen tar a segurana para comunicao de rede 9-31
quando voc est determinando a poltica atual no lugar. Alm disso, use o seguinte coma ndo para identificar polticas instalados: netsh ipsec gpoassignedpolicy mostra esttica.
O modo principal o SA inicial que estabelecida entre dois computadores. Este neg ocia um conjunto de criptogrficas suites de proteco entre os dois hosts. Este SA inicial permite troca de chaves de modo rpido para ocorrer em um ambiente protegido. A SA de modo principal tambm conhecido como o I nternet Security Association e Key Management Protocol (ISAKMP) ou Fase 1 SA. Modo principal estabelece o amb iente seguro a troca chaves de outros como exigido pela poltica de IPsec.
A SA de modo rpido depende do sucesso do estabelecimento de uma SA de modo princi pal. A SA de modo rpido tambm conhecido como um IPsec ou 2 Fase SA. Este processo estabelece teclas com base n a informao de que a poltica especifica. SAs de modo rpido estabelecer canais de transmisso protegidos para os dados reais da aplicao IP como especificado na aplice. ----------------------- Pgina 444----------- -----------9-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
1. Pare o Agente de Diretiva IPsec e use o comando ping para verific ar as comunicaes.
2.
3. Inicie o Agente de Diretiva IPsec e usar o Monitor de segurana IP para determinar se existe uma associao de segurana.
4.
5.
6. as.
Consideraes adicionais para soluo de problemas IPsec incluem a verificao da configurao de firewall e habilitando o log IKE.
Problemas surgem freqentemente com IPsec porque um de seus servios depen dentes afetado. Alguns servios bsicos necessrios incluem conectividade de rede com controladores de domnio, servidores D NS e cliente-servidor conectividade caminho para IPsec protocolos relacionados. Pare o Agente de Diretiva IPsec, e, em seguida, teste a conectividade ea disponibilidade do servio. Voc pode usar o Ping, Net View, e telnet para testar a conectividade co m esses servidores.
Verificar as regras de firewall no Windows Firewall com Segurana Avanada do MMC revela regras que esto em usar, e identifica protocolos de bloqueio e erros de configurao possveis para as regras de segurana de conexo. Lembre-se que as regras especificadas no console Diretiva de Segurana I P no aparecer no Windows Firewall com Snap-in Segurana Avanada.
Para verificar a correcta aplicao da Diretiva de Grupo e poltica IPsec no cliente e no servidor, voc pode usar Conjunto de polticas resultante (RSoP) snap-in para visualizar a poltica aplicada. Verifique se o computador est dentro do ----------------------- Pgina 445----------- -----------Aumentar a segurana para comunicao de rede 9-33
mbito da Diretiva de Grupo que foi aplicado ao objeto de Diretiva de Grupo (GPO), e garantir que o computador est no GPO correto para receber a diretiva IPsec.
Rever as polticas e garantir que eles so compatveis. O cliente eo servidor deve ter complementando polticas de segurana no lugar, e importante assegurar que as polticas trabalhar jun tos corretamente.
Consideraes adicionais
Assegurar que User Datagram Protocol (UDP) 500 e 4500 no est bloqueada.
Certifique-se que o IPsec trfego protegido (protocolo IP 50 e 51) no est bloqu eada, e garantir que o dispositivos de rede de suporte IPsec.
Quando a informao mais detalhada necessria, habilitar (defina o HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ Oakley \ configurao do registr o EnableLogging a 1) e analisar a Oakley.log:
Quando voc solucionar eventos IKE, certifique-se que ambos os computadores tm as d efinies de tempo mesmo. ----------------------- Pgina 446----------- -----------9-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1.
2. m Iniciar.
3. mea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso Ltd. implementou uma aplicao de nova pesquisa baseada na web que contm confidencial
informao, tais como a informao de produto. A aplicao protegida por utilizad res de autenticao usando um nome de usurio e senha. Para aumentar a segurana, o diretor de Pesquisa quer que o aplicativo seja acessvel apenas a partir de computadores no Departamento de Pesquisa.
Para atender aos requisitos especificados pelo diretor de Pesquisa, vo c vai criar uma regra de segurana de conexo que autentica os computadores do departamento de Research. Ento, voc vai criar uma regra de firewall que garante que somente computadores autenticados do Departamento de Inves tigao pode acessar o aplicativo.
Configure o IPsec para autenticar a comunicao de rede para um aplicativo . ----------------------- Pgina 447----------- -----------Aumentar a segurana para comunicao de rede 9-35
Remoto
Neste exerccio, voc vai ler a documentao de apoio e depois responda s perguntas no seo de propostas.
1.
2.
3.
Viso geral Requisitos Contoso Ltd. implementou uma aplicao de nova pesquisa baseada na web que con tm confidencial informao, tais como a informao de produto. Para melhorar a segurana, voc deve: 1. Crie uma regra de segurana de conexo que autentica os computadores d o departamento de Research. 2. Crie uma regra de firewall que garante apenas computadores autenti cados do Departamento de Investigao pode acessar o aplicativo.
Informaes Adicionais 1. 2. O aplicativo existe em NYC SVR1. O aplicativo no est configurado para usar SSL.
3. NYC NYC-SVR1 e-CL1, ambos os computadores no Departamento de Pesqu isa, so armazenados no AD DS Computadores recipiente.
Propostas 1. 2. 3. Como voc vai realizar uma exigncia? Como voc vai realizar requisito 2? Existem quaisquer tarefas adicionais que voc deve executar?
Compare a sua soluo para a soluo proposta no documento de segurana Research aplicao Lab Key Resposta. Esteja preparado para discutir a sua soluo com a classe.
Resultados: No final deste exerccio, voc ter selecionado uma configurao IPsec adequad o para apoiar o necessidades do Departamento de Pesquisa. ----------------------- Pgina 448----------- -----------9-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc ir implantar e configurar um firewall e regra de segu rana de conexo para atender a exigncias do Departamento de Pesquisa.
1.
2.
3.
4.
5.
1.
2.
3. Research.
1.
2. Criar e vincular um GPO novo chamado Departamento de Pesquisa Polti ca de Segurana de Aplicaes para o OU Research.
1.
Configuraes> Configuraes de Segurana> Windows Firewall com segurana avan da> Firewall do Windows com Segurana Avanada - LDAP :/ / CN = {GUID}> Regras de segurana de c onexo.
3. des:
Requisitos: exigir autenticao para conexes de entrada e de autenticao p edido para conexes de sada
Perfil: Domnio
Nome: Departamento de Pesquisa Aplicao regra de Segurana ----------------------- Pgina 449----------- -----------Aumentar a segurana para comunicao de rede 9-37
Programa: Default
Alcance: padro
Aco: Permitir a conexo se for segura: Permitir a conexo se for autenticado e integridade protegida
Usurios: Padro
Perfil: Domnio
1.
2.
3.
Reinicie o computador.
4.
5.
6.
Reinicie o computador.
Resultados: No final deste exerccio, voc configurou com sucesso a regra de segurana e conexo regra de firewall que so necessrios para garantir a aplicao departamento de Investig ao. ----------------------- Pgina 450----------- ------------
Remoto
Neste exerccio, voc vai verificar que somente usurios autorizados podero s e conectar Pesquisa aplicao e conexes de monitor IPsec usando o Windows Firewall com segurana avanada e Segurana IP Monitor
1.
2.
3.
1.
2.
Senha: Pa $ $ w0rd
Domnio: Contoso
3. Abra o Internet Explorer e tentar abrir a pgina em http://nyc-svr1 . Isto bem sucedido.
1.
2.
3.
4.
5.
2. gurana.
3.
Resultados: No final deste exerccio, voc vai ter verificado as definies de IPsec.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:
1.
----------------------- Pgina 451----------- -----------A umentar a segurana para comunicao de rede 9-39
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em segui da, clique em Reverter.
3.
4.
----------------------- Pgina 452----------- -----------9-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Voc precisa garantir que a passagem de trfego entre um computador na rede de permetro e uma implantado na rede interna criptografado e autenticado. O computad or do permetro
no um membro da sua floresta do AD DS. Que mtodos de autenticao voc pod eria usar se voc tentasse estabelecer uma regra de segurana de conexo entre esses dois computa dores?
2. Para habilitar o NAP com a imposio de IPsec, que polticas devem confi gurar no seu servidor NPS?
3. Voc responsvel por monitorar computadores que esto participando de um a rede IPsec protegido. Voc quero fazer isso remotamente, mas esto tendo dificuldade em se cone ctar a computadores remotos a partir do IP Console de Segurana Monitor. O que voc precisa que eu faa?
Ferramentas
Netsh.exe Configurando configuraes de rede de linha de comando ----------------------- Pgina 453----------- -----------10-1
Mdulo 10
Contedo:
----------------------- Pgina 454----------- -----------10-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Servios de arquivos e de impresso so alguns dos servios de rede mais comum ente implementada para usurios finais. Ao contrrio dos servios de infra-estrutura, como DNS, arquivo e servios d e impresso so altamente visveis para os usurios finais. Voc precisa para entender como configurar e solucionar problemas de servios de arqu ivo e impresso para fornecer servios de alta qualidade para Usurios finais Alm ficheiro de base e os servios de impresso, ambas as EFS e BitLocker pode ser usado para aumentar o segurana dos arquivos que esto localizados em compartilhamentos de arqui vos.
Objetivos
Discutir como configurar e solucionar problemas de impresso em rede. ----------------------- Pgina 455----------- -----------Configurando e solucionando problemas de arquivos de rede e servios de impresso 10-3
Configurando compartilhamentos de arquivo consiste basicamente em conf igurao de compartilhamento e permisses NTFS para garantir que apenas usurios autorizados tenham acesso aos arquivos. Voc pode otimizar o aces so a arquivos de rede atravs da implementao de Acesso Enumerao baseada em garantir que os usurios so capazes de ver apenas as pa stas que eles tm acesso a dentro de um arquivo partes. Finalmente, o Windows Server 2008 introduz SMB 2.0 como o prot ocolo que usado para compartilhar arquivos. Este protocolo muito mais eficiente do que as verses anteriores do SMB.
Objetivos
Descrever os aprimoramentos de acesso a arquivos no Windows Server 200 8. ----------------------- Pgina 456----------- -----------10-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Um dos servios bsicos que os usurios esperam de um arquivo de rede um loc al centralizado para armazenamento de arquivos que todos os usurios autorizados podem acessar. Voc pode criar um armazename nto centralizado de arquivos em uma rede, criando um compartilhamento de arquivos. Um compartilhamento de arquivo uma pasta em um servidor que foi configurado para acesso na rede. Para configurar um compartilhamento de arquivos em um computador que est exe cutando o Windows Server 2008, instalar o servidor do Servio de Arquivo Funo Quando voc instala o arquivo de funo de servidor de servio, o Firewall do Windows est configurado para permitir o compartilhamento de arquivos.
Gerenciamento de Compartilhamento e Armazenamento uma nova ferramenta no Windows Server 2008 que usado para criar e configurar compartilhamentos de arquivos. Voc tambm pode usar a ferramen ta de gesto mesmo computador que estava disponvel no verses anteriores do Windows Server. Finalmente, voc pode criar arquivos de partes em um prompt de comando com
Controlar o acesso a arquivos em um compartilhamento de arquivo, confi gurando permisses de compartilhamento de arquivos. As permisses que so disponvel para ser atribudo variar dependendo de como voc atribuir-lhes.
As propriedades avanadas de compartilhamento de arquivos permite que vo c configure as permisses de compartilhamento sem afetar NTFS Permisses Voc pode permitir ou negar a permisso de compartilhamento segui nte para os usurios ou grupos de usurios:
Controle total
Mudana
Leia
O simplificado arquivo caixa de dilogo partilha introduzido no Windows Server 2008 controles compartilhamento de arquivos e NTFS permisses por meio de uma nica interface. No Windows Server 2008 R2, a p ermisso de compartilhamento Controle total aplicada e permisses NTFS somente so modificadas por este assistente. No Windows Server 2008, o assistente tentou sincronizar as permisses para as permisses de compartilhamento e permisses NTFS. ----------------------- Pgina 457----------- -----------Configurando e soluci onando problemas de arquivos de rede e servios de impresso 10-5
Depois de permisses para um compartilhamento de arquivos foram configuradas, os u surios podem comear a armazenar e acessar arquivos. Usurios pode acessar os arquivos a partir dos seguintes locais:
Um caminho UNC
Uma letra de unidade mapeada ----------------------- Pgina 458----------- -----------10-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando voc cria um compartilhamento de arquivos, opes adicionais esto disp onveis alm de configurar a segurana. Voc tambm pode especificar nomes de compartilhamento e configurar vrias opes de cache. E sta demonstrao mostra como:
Configurar o compartilhamento avanado para um compartilhamento de arqui vo. ----------------------- Pgina 459----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-7
NTFS formatado parties. Essas permisses so muito mais flexveis do que as permisses de compartilhamento, porque eles
podem ser atribudas individualmente para cada ficheiro ou pasta, conforme necessri o.
Para modificar as permisses NTFS, voc deve ser dado o controle total permisso NTFS para uma pasta ou arquivo. O uma exceo para o arquivo e os proprietrios da pasta. O proprietrio de um arquivo ou pasta pode modificar as permisses NTFS mesmo se eles no tm as permisses NTFS atuais. Administradores so capazes de se aprop riar dos arquivos e pastas para fazer modificaes em permisses NTFS.
Os dois tipos de permisses NTFS so bsicos e avanados. Permisses bsicas so mais comumen e usados. Permisses avanadas NTFS permitem que voc tenha detalhado controle sobre o acesso a arquivos e pastas, mas so complexo de gerir.
Controle total: permite que todas as permisses, incluindo a capacidade de modific ar as permisses NTFS e tomar PROPRIEDADE
Modificar: permite que todos os arquivos e atividades de modificao da pasta exceto a modificao de permisses NTFS e tomar posse.
Ler e Executar: permite a execuo de um arquivo. Quando aplicado a pastas, tambm per mite a listagem de pasta contedo
O contedo da lista de pastas: permite que o contedo de uma pasta para a lista. Iss o se aplica somente a pastas.
Escrever: permite a modificao do contedo do arquivo e atributos, mas no as permisses NTFS ou de propriedade. Excluso do arquivo tambm no permitido. Para uma pasta, o que permite a criao de novos arquivos na pasta. ----------------------- Pgina 460----------- -----------10-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Ver as permisses herdadas. ----------------------- Pgina 461----------- -----------Configurando e solu cionando problemas de arquivos de rede e servios de impresso 10-9
Se um computador cliente est conectado corretamente rede, ento a maioria dos probl emas na rede de acesso de arquivos so relacionado com as permisses configuradas incorretamente. Isto mais provvel de oco rrer para novos utilizadores ou durante o criao de compartilhamentos de arquivos novos.
O primeiro passo de soluo de problemas voc deve realizar a verificao do efetivo permi sses NTFS para o usurio. Se as permisses efetivas no forem os esperados, voc precisa identificar como o usuri
o deve ser atribudo essas permisses. Na maioria dos casos, um grupo atribudo as permisses NTFS adequada s. Verifique se o usurio um membro dos grupos corretos.
Quando voc est avaliando as permisses NTFS, estar ciente de que a permisso negar sub stitui a permitir permisso. Por exemplo, se seu grupo dada a permisso Modificar e um usurio no grupo negado o Modificar a permisso, o usurio ter seu acesso negado.
Se as permisses efetivas NTFS esto corretas, ento voc deve verificar se as permisses de compartilhamento so configurados corretamente. As permisses de compartilhamento podem limitar a capacidade dos usur ios para acessar e modificar arquivos, mesmo se o NTFS apropriado permisses so atribudas. Por exemplo, se um grupo atribudo a permisso de compartilhame nto Leitura e Modify NTFS permisso, os membros do grupo ser limitado a permisso de leitura.
Para simplificar a interao de compartilhamento e permisses NTFS, muitas organizaes at ribuir o grupo Todos Permisso de compartilhamento Controle total. O acesso aos arquivos controlada ape nas por permisses NTFS.
Alguns administradores preferem usar o grupo Usurios autenticados ao invs do grupo Todos para atribuir permisses. Estes so funcionalmente os mesmos, a menos que a conta de conv idado est habilitada. O Visitante conta est includo no grupo Todos, mas no o grupo usurios autenticados.
Pergunta: Se um usurio atribudo permisso de compartilhamento Controle Total e Leitura permisso NTFS, o que permisso ser o usurio tem de acessar os dados no compartilhamento? ----------------------- Pgina 462----------- -----------10-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Enumerao baseada em acesso (ABE) um recurso de compartilhamento de arqui vos no Windows Server 2008 que impede que os usurios de ver arquivos e pastas que eles no tm permisso para acessar. Quando ABE no usado, os usurios ver uma lista de todos os arquivos e pastas no diretrio atual, independ entemente de suas permisses para os arquivos e Pastas
ABE simplifica a navegao de arquivos para os usurios. Tambm evita frustrao c ausada quando os usurios recebem erros quando ao tentar acessar arquivos e pastas que no tm acesso.
Quando voc cria um compartilhamento de arquivos usando a interface simp lificada, ABE automaticamente ativado para um compartilhamento de arquivo. Se voc usar Compartilhamento Avanado, ento ABE no est habilitado. Voc pode ativar e desativar ABE uma parte por utilizando a ferramenta de compartilhamento e armazenamento de gesto a dministrativa. ----------------------- Pgina 463----------- -----------Configurando e solucio nando problemas de arquivos de rede e servios de impresso 10-11
Windows Server 2008 introduziu o Server Message Block (SMB) protocolo 2.0 para c ompartilhamento de arquivos. Este protocolo tambm usado por clientes do Windows Vista.
SMB 2,0 desempenho significativamente melhor em redes lentas devido a um nmero re duzido de pacotes que so necessria para realizar a mesma tarefa, quando comparado com SMB 1. Os pacotes so reduzidos pela seguinte:
Tambm til em SMB 2.0 o suporte para alas durveis. Isso permite que um cliente que es t usando SMB 2.0 silenciosamente reconectar-se a um servidor de arquivos aps uma interrupo de rede menor. Isto parti cularmente til para sem fios conexes e usurios de acesso remoto.
SMB 2,1
Windows Server 2008 R2 e Windows 7 introduziram o SMB 2,1 protocolo. As verses an teriores do Windows no suportam SMB 2.1. Esta verso do SMB melhora o desempenho com o seguinte:
Cliente bloqueio leasing: Este recurso permite que computadores cliente para exe cutar o bloqueio mais oportunista ao acessar arquivos compartilhados. Isto permite ao cliente armazenar em ca che informaes mais arquivo relacionado e reduzir trfego de rede. Tambm aumenta a escalabilidade de servidores de arquivos.
Suporte a MTU Grande: A Maximum Transmission Unit tamanho (MTU) para SMB 2.1 foi aumentado a partir de 64 KB para 1 MB. Isto permite que at 1 MB a serem transmitidos n um nico pacote. Este significativamente melhora a transferncia de arquivos grandes em alta velocidade redes de baixa latncia, como Ethernet de 10Gbps.
Melhor suporte para os modos de suspenso: Windows 7 computadores agora so capazes de dormir em uma ampla gama de cenrios quando a integridade dos dados no afetado. Por exemplo, quando um arq uivo aberta, mas no h alteraes no salvas.
----------------------- Pgina 464----------- -----------10-12 Infra-estrutura Configurao e Soluo de problemas do Windows Server 2008 Rede
Encrypting File System (EFS) pode ser usada para criptografar os arqui vos, incluindo arquivos armazenados em um compartilhamento de rede. importante que voc entenda como funciona a EFS eo processo de recuperao d o EFS se os usurios em sua rede comear a criptografia de arquivos. Se voc no entender como recuperar arquivos criptografados EFS, seu organizao poderia perder o acesso aos dados criptografados.
Objetivos
Criptografar um arquivo usando o EFS. ----------------------- Pgina 465----------- -----------Configurando e solu cionando problemas de arquivos de rede e servios de impresso 10-13
Encrypting File System (EFS) um recurso que pode criptografar arquivos que so arm azenados em uma partio NTFS formatado
partio. Por padro, esta opo est disponvel para todos os usurios. Arquivos em um compa lhamento de arquivos tambm podem ser criptografados por usando EFS.
Depois que um arquivo criptografado usando o EFS, ele s pode ser acessada por usur ios autorizados. Se um usurio est autorizado, em seguida, acessar o arquivo transparente e pode ser aberto como um arquivo no c riptografado. Se um usurio no autorizado, tenta abrir o arquivo ir resultar em uma mensagem de acesso negado.
Criptografia EFS atua como uma camada adicional de segurana, alm de permisses NTFS. Se os usurios so dadas NTFS permisso para ler um arquivo, eles ainda devem ser autorizadas pela EFS para descriptografar o arquivo.
A configurao padro do EFS no requer nenhum esforo administrativo. Os usurios podem com ear a criptografia de arquivos imediatamente e EFS gera automaticamente um certificado de usurio com um par de c haves para um usurio se no e Usando uma autoridade de certificao (CA) para emitir certificado de usurio aument a a capacidade de gerenciamento da certificados.
Voc pode desativar o EFS em computadores clientes usando a Diretiva de Grupo. Nas propriedades da poltica
Configurao do computador \ Policies \ Windows \ Configuraes de Segurana \ Polticas Pbl cas chave \ Sistema de Criptografia de Arquivos, selecione No permitir.
Observao: Se voc no estiver usando certificados de uma autoridade de certific ao e voc quiser permitir que EFS para serem usados em um compartilhamento de arquivo, ento voc deve config urar o arquivo de conta de computador servidor para ser confivel para delegao. Os controladores de domnio so confiveis padro.
para delega
----------------------- Pgina 466----------- -----------10-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
EFS usa uma combinao de criptografia de chave pblica e chave simtrica para garantir que os arquivos so protegidos de todos, mas os mtodos mais computacionalmente impraticvel de ataque. U ma chave simtrica usado para criptografar o arquivo. Criptografia de chave pblica usada para protege r a chave simtrica.
A criptografia simtrica usa a mesma chave para criptografar e descripto grafar um arquivo de um arquivo. Este tipo de criptografia mais rpido e mais forte do que a criptografia de chave pblica. No entant o, a dificuldade de garantir a tecla durante uma cruzada transferncia da rede requer segurana adicional para a chave simtrica. A c riptografia simtrica o tpico mtodo de criptografar grandes quantidades de dados.
EFS usa criptografia de chave pblica para proteger a chave simtrica que necessria para descriptografar o contedo do arquivo. Cada certificado de usurio contm uma chave pblica usada para criptografar a chave simtrica e uma chave privada. Somente o usurio com o certificado e sua chave privada pode descriptogr afar a chave simtrica.
1. Quando um usurio criptografa um arquivo, o EFS gera uma chave de c riptografia de arquivo (FEK) para criptografar os dados. A FEK criptografada com a chave pblica do usurio e da FEK criptografado e nto armazenado no arquivo. Isto assegura que somente o usurio que detm a chave de criptografia correspondent e EFS privada pode descriptografar o arquivo. Depois de uma usurio criptografa um ficheiro, o ficheiro encriptado permanece d
2. Para descriptografar arquivos, o usurio pode abrir o arquivo, remo ver o atributo de criptografia, ou descriptografar o arquivo usando o comando cipher. Quando isso ocorre, o EFS descriptograf a a FEK com a chave privada do usurio, e ento descriptografa os dados usando o FEK.
Nota Alm para o utilizador de que os codificados de arquivo, cpia s adicionais do simtrica chave so criptografadas com a chave pblica do agente de recuperao e outros usurios autorizados. ----------------------- Pgina 467----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-15
Se a chave privada de um usurio que um arquivo criptografado usando o EFS perdido por qualquer motivo, ento voc precisa de um mtodo de recuperao do arquivo EFS encriptados.
A chave privada parte de um certificado de usurio que usada para criptografia. Fa zer o backup de um certificado de usurio fornece um mtodo para a recuperao de arquivos criptografados EFS. O certificado de usurio pode ser importado para outro perfil e ser usado para descriptografar o arquivo. No entanto, este mtodo de difci l aplicao quando h muitos usurios. O melhor mtodo a implementao de um agente de recuperao.
Um agente de recuperao um indivduo que est autorizado a descriptografar todos os arq uivos criptografados EFS. A recuperao padro agente o administrador de domnio. No entanto, esta pode ser delegada a qualquer u surio.
Quando um novo agente de recuperao adicionado atravs da Diretiva de Grupo, ele auto maticamente adicionado a todos os recmarquivos criptografados. No entanto, no automaticamente adicionado ao existentes arquivos criptografados. O agente de recuperao de uma arquivo definido no momento em que o arquivo criptografado. Portanto, um arquivo criptografado deve ser acessado e guardado atualizar o agente de recuperao. Voc tambm pode usar o comando cipher para forar o ag ente de recuperao a ser atualizado.
O certificado para um agente de recuperao deve sempre ser exportado com a chave pr ivada e mantida em um seguro local para apoi-la. As duas razes para fazer backup da chave de recuperao so:
Para proteger contra falhas do sistema. A chave de administrador de domnio que us ado por padro para o EFS recuperao armazenado apenas no primeiro controlador de domnio no domnio. Se alg uma coisa acontecesse com este controlador de domnio, ento a recuperao EFS seria impossvel.
Para fazer a chave de recuperao porttil. A chave de recuperao no est automaticamente sponvel para a recuperao agente em todos os computadores. A chave de recuperao deve ser instalado no p erfil do agente de recuperao. Se o roaming perfis no so usados, em seguida, exportar e importar a chave de recuperao um mto do para atualizar o perfil de agente de recuperao em um computador particular. ----------------------- Pgina 468----------- -----------10-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
o de rede.
Testar o acesso a um arquivo criptografado. ----------------------- Pgina 469----------- -----------Configurando e s olucionando problemas de arquivos de rede e servios de impresso 10-17
BitLocker um novo recurso introduzido no Windows Server 2008 para cript ografar os dados armazenados em um determinado partio. BitLocker transparente para os usurios que acessam um compartilham ento de arquivo. Se voc usar o BitLocker para proteger os dados em servidores de rede, importante que voc entenda como recuperar dados de u m BitLocker criptografado Drive O planejamento adequado garante que voc capaz de recuperar os dado s sem a restaurao do backup.
Objetivos
Descrever o BitLocker.
Criptografar uma partio usando o BitLocker. ----------------------- Pgina 470----------- -----------10-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
O que o BitLocker?
O BitLocker uma funcionalidade do Windows Server 2008 que permite cri ptografar parties inteiras. O primrio finalidade de BitLocker proteger os dados de um disco rgido que tenha sido removida a partir de um servidor, mas tambm protege a integridade dos arquivos de inicializao.
O BitLocker pode ser til para qualquer servidor, mas principalmente pa ra escritrios remotos com a segurana fsica limitada para servidores. Alguns dos benefcios da BitLocker so como se segue:
proteo de dados para unidades roubadas: servidores de arquivos Mesmo s ve zes so roubadas de um local fsico. Quando o BitLocker usado, a senha da conta Administrador local no pode ser redefinida por meio de boot utilitrios
o transporte seguro dos servidores pr-configurados: o BitLocker protege os dados armazenados em servidores que esto sendo enviado da mesma maneira que protege os dados em servidores roub ados.
Mais fcil desmantelamento de unidades: Os dados em um disco BitLocker c riptografado no pode ser acessado por mont-lo em outro computador. Isto reduz significativamente o risc o associado com a eliminao de uma falha disco rgido ou unidades de reaproveitamento.
Manter a integridade do sistema: Quando o BitLocker est ativado, os arq uivos de inicializao do Windows Server 2008 so monitorizados. Se os arquivos de inicializao so modificados, ento o sistema no ser iniciado. Isso impede que um rootkit de ser instalado na partio criptografada que usado durante a inici alizao.
Windows Server 2008 R2 tambm inclui o BitLocker to Go, que capaz de cri ptografar discos USB externos. A unidade criptografada est protegido por uma senha ou carto inteligente . Isto pode ser til para o transporte de dados para uma escritrio remoto. ----------------------- Pgina 471----------- -----------Configurando e soluc ionando problemas de arquivos de rede e impresso Servios 10-19
Para habilitar o BitLocker, um servidor deve ter pelo menos duas parties. O volume do sistema contm os arquivos de inicializao para o Windows Server 2008 eo volume de inicializao contm os arquivos do sistema op eracional. Windows Server 2008 R2 cria automaticamente este tipo de estrutura de partio durante a instalao, a menos que uma autnoma arquivo de instalao fornece instrues alternativas.
BitLocker usa chaves de criptografia para proteger vrias as parties que o BitLocker foi ativas. O chave que usada para criptografar a partio a chave de criptografia de volume compl eto (FVEK). Aps a FVEK para um partio criada, ela no muda, porque levaria muito tempo para re-criptografar a partio.
Cada FVEK criptografada e armazenada nos metadados do volume encriptado. Os FVEK s so criptografados com a chave mestra de volume (VMK). A VMK necessria durante a inicializao para desc riptografar os volumes e permitir
Uma cpia criptografada da VMK armazenado na partio do sistema. A VMK criptografada por uma chave que normalmente armazenados em um Trusted Platform Module (TPM). A TPM um chip em um a placa de sistema de computador para armazenamento de chaves de criptografia e certificados. Durante a inicializao, a c have recuperada da TPM e usado para desencriptar o VMK que ento utilizado para aceder aos volumes encriptados. Se o s ervidor no tiver um TPM, a chave para criptografar a VMK tambm podem ser armazenados em uma mdia removvel. ----------------------- Pgina 472----------- -----------10-20 Infra-estrutura Configurao e Soluo de problemas do Windows Server 2008 Rede
Unidades BitLocker criptografados ficam inacessveis se o FVEK para um s istema de computador no pode mais ser acessado. Isso pode ocorrer se a TPM em um computador falhar, as unida des so movidas para um computador diferente, ou mdia removvel que contm o FVEK est perdido.
Quando voc ativar o BitLocker, uma chave de recuperao de 256 bits e 48 de recuperao de senha dgitos so gerados. Voc so fornecidas a opo de imprimir a chave de recuperao de senha, salvar a sen ha de recuperao para um arquivo, ou salvar tanto para uma unidade flash USB. Ou a chave de recuperao ou a senha de recuperao pode ser usada para descriptografar a conduzir quando a chave FVEK j no est disponvel.
A senha de recuperao tambm pode ser armazenado no Active Directory. Para fazer isso, voc precisa habilitar a opo usando a Diretiva de Grupo. Esta uma soluo escalvel, e muito melhor do qu e administradores que necessitam para armazenar a senha de recuperao durante o processo de criptografia. Senhas de recup erao do BitLocker so armazenadas no
propriedades da conta do computador. Para recuperar a senha de recuper ao do Active Directory, voc precisa usar o BitLocker Recovery Password Viewer. Esta ferramenta pode ser ba ixado do site da Microsoft e integra em Active Directory Users and Computers.
Para recuperar uma unidade do sistema operacional criptografado, voc de ve usar o console de recuperao. Na recuperao console, voc pode fornecer o USB flash drive com a chave de recuperao ou digite a senha de recuperao. Se voc est digitando a senha de recuperao, normalmente voc precisa usar as teclas de funo. Por exemplo, F1 equivalente a 1. Unidades no-operacionais do sistema ir solicitar as inf ormaes de recuperao quando voc tentar us-los a partir de dentro do sistema operativo.
Uma opo final para a recuperao de unidades BitLocker codificados usando um agente de recuperao de dados. Semelhante a um agente de recuperao de EFS, um agente de recuperao de dados para o BitLock er tem um certificado que usado para acessar criptografado Drives: Voc pode configurar um agente de recuperao de dados atravs da impo rtao do certificado do agente de recuperao de dados em um objeto de Diretiva de Grupo. ----------------------- Pgina 473----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-21
Acesso a senha de recuperao. ----------------------- Pgina 474----------- -----------10-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Junto com compartilhamentos de arquivos, impresso em rede um dos servios de rede mais comumente utilizados. Voc precisa entender como configurar e proteger a impresso de rede, para alm de impla ntao de impressoras para o cliente Computadores
Objetivos
Explicar as opes que esto disponveis para a implantao de impressoras para co putadores clientes.
Discutir problemas comuns com impresso em rede e sua resoluo. ----------------------- Pgina 475----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-23
Windows Server 2008 pode ser configurado como um servidor de impresso para os usur ios. Neste computadores clientes, configurao enviar trabalhos de impresso para o servidor de impresso para entrega a uma impres sora que est conectada rede.
A maior vantagem de usar o Windows Server 2008 como servidor de impresso o gerenc iamento centralizado de impresso. Em vez de gerenciar as conexes do cliente para muitos dispositivos individuais, v oc est gerenciando sua conexo com o servidor. Os drivers de impressora so instalados centralmente no servidor e dis tribuda para estaes de trabalho.
Ao imprimir a centralizao em uma impressora, voc tambm simplificar a soluo de problema s. relativamente fcil para determinar se so problemas de impresso da impressora, servidor ou computador cliente com base em onde os trabalhos de impresso so na fila.
Uma impressora de rede mais caro que os normalmente usados as tem significativamente menor
consumveis custos e impresso de melhor qualidade. O custo de impresso ainda minimiz ada porque o inicial custo da impressora est espalhada por todos os computadores que se conectam a ess a impressora. Por exemplo, um nico impressora de rede pode atender 100 usurios ou mais.
As impressoras de rede tambm pode ser listado no Active Directory. Isso permite a os usurios procurar por impressoras.
----------------------- Pgina 476----------- -----------10-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando uma impressora compartilhada pela rede, em muitos casos, nenhum a segurana necessria. A impressora considerado ser de acesso aberto e todos podem imprimir. Esta a configurao padro para uma impressora que compartilhada em um servidor Windows.
Imprimir: Esta permisso permite aos usurios imprimir documentos na impre ssora. Por padro, o grupo Todos atribuda essa permisso.
Gerenciar esta impressora: Esta permisso permite aos usurios modificar a s configuraes da impressora, incluindo a actualizao drivers. Por padro, essa permisso dada para Administradores, Operad ores de Servidor e Operadores de impresso.
Gerenciar documentos: Esta permisso permite aos usurios modificar e excl uir trabalhos de impresso na fila. Este permisso atribudo ao PROPRIETRIO CRIADOR. Isso permite que qualquer pessoa que cria um trabalho de impresso para gerenciar esse trabalho. Administradores, Operadores de Servidor e Operador es de impresso tm essa permisso para todos os trabalhos de impresso. ----------------------- Pgina 477----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-25
Quando existe apenas uma impressora fsica nica, voc pode definir vrias configuraes atr avs da criao de mltiplas impressoras em servidores de impresso. Isto permite-lhe configurar diferentes pri oridades e opes de impresso para diferentes grupos de usurios. Usando vrias configuraes, voc pode ter uma impressora q ue o padro preto e impresso branca e outra que o padro de impresso a cores. Voc tambm pode ter configu raes que incluem bandejas padro de papel, duplex e horrios diferentes para impresso em lote de grandes trabalhos.
Aumentar a prioridade da segunda impressora. ----------------------- Pgina 478----------- -----------10-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Pool de impresso uma maneira de combinar vrias impressoras fsicas em uma nica unidade lgica. Para cliente computadores, o pool da impressora parece ser uma nica impressora. Quan do os trabalhos so submetidos ao pool de impresso, eles podem ser processadas por qualquer impressora disponvel no pool da impressora.
A escalabilidade e disponibilidade de impresso em rede aumentada pela u tilizao de um pool de impresso. Se uma impressora no piscina no estiver disponvel, todos os trabalhos so enviados para as imp ressoras restantes. E, se um pool de impresso no tem capacidade suficiente, voc pode adicionar uma outra impressora para o p
Um pool de impresso configurado em um servidor, especificando vrias port as para uma impressora. Cada porta a localizao de uma impressora fsica. Na maioria dos casos, as portas so um endereo IP na rede, em vez de Impressora de Linha Terminal porturio (LPT).
Impressoras deve usar o mesmo driver: Os clientes usam um driver de im pressora nico para a gerao de trabalhos de impresso. Todas as impressoras devem aceitar trabalhos de impresso no mesmo formato. Em muitos casos, isto significa que impressora um nico modelo usado.
As impressoras deve estar no mesmo local: As impressoras em um pool de impresso deve ser localizado fisicamente juntos. Quando os usurios recuperar seus trabalhos de impresso, el es deve verificar todos os impressoras no pool impressora para encontrar o seu documento. No h maneira de os usurios para saber qu al impressora imprimiu o documento. ----------------------- Pgina 479----------- -----------Configurando e soluci onando problemas de arquivos de rede e servios de impresso 10-27
Implantando impressoras uma parte crtica do gerenciamento de servios de impresso na rede. Um sistema bem projetado para impressoras a implantao escalvel e pode ser usado para gerenciar centenas ou m ilhares de computadores.
Grupo preferncias polticas: Voc pode usar as preferncias de Diretiva de Grupo para i mplantar impressoras compartilhadas para Windows XP, Windows Vista e Windows 7 clientes. A impressora pode ser assoc iada com o utilizador conta ou de computador e tambm pode ser alvo de grupo. Para computadores do Windows XP, voc deve instalar o Group Policy Client Extension Preferncia.
objeto de Diretiva de Grupo criado por Gesto de Impresso: A ferramenta de Gerencia mento de Impresso administrativa pode adicionar impressoras para uma Diretiva de Grupo para distribuio aos computad ores clientes com base na conta de usurio ou conta de computador. Computadores com Windows XP deve ser configurado para executar pushprinterconnections.exe.
Manual de instalao: Cada usurio pode adicionar manualmente impressoras ou navegar n a rede ou usando Assistente para adicionar impressora, no entanto, isso no eficiente. Impress oras de rede que so instalados manualmente so somente disponvel para o usurio que instalou. Se vrios usurios compartilham um computador, eles devem cada instalar a impressora manualmente. ----------------------- Pgina 480----------- -----------10-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Impresso em rede um servio de rede bsica que todos os usurios esperam que esteja disponvel. importante que voc entender os problemas comuns de rede de impresso e suas resolues.
Pergunta: Quais so alguns dos problemas comuns de rede de impresso e suas resolues?
----------------------- Pgina 481----------- -----------Configurando e so lucionando problemas de arquivos de rede e servios de impresso 10-29
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Como administrador do servidor para Contoso, voc responsvel por configura r o arquivo e servios de impresso que esto disponveis para os usurios. Voc foi designado para desempenhar vrias ta refas:
2.
3. so.
----------------------- Pgina 482----------- -----------10-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Voc est configurando um servidor novo arquivo que conter os arquivos que so compartilhados por vrios departamentos. na primeira dois departamentos programados para mover seus arquivos para este loca l so a comercializao e produo Chefia de departamentos Voc precisar configurar o compartilhamento de ar quivos para que cada departamento tem acesso para visualizar e modificar apenas seus prprios arquivos. Alm disso, os usurios no devem ver os arquiv os e pastas que no tm acesso.
1.
2.
3.
Crie o compartilhamento.
4.
5.
1.
2.
3.
1. On NYC-DC1, use o Windows Explorer para abrir as propriedades do C: \ pasta Compartilhar e verificar que Os usurios tm permisso de leitura na guia Security.
2. NTFS.
3. Altere as permisses para remover as permisses herdveis jeto e adicionar o permisses existentes.
do pai deste ob
4.
5.
6.
7. Altere as permisses para remover as permisses herdveis deste objeto e adicione o permisses existentes.
a partir de pai
8.
9.
1. re.
2.
3.
----------------------- Pgina 483----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-31
2. o.
1.
2.
3.
4.
Resultados: Aps Neste exerccio, voc deveria ter criado e configurado um compartilha mento de arquivo. ----------------------- Pgina 484----------- -----------10-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrio
Sua organizao quer permitir que os usurios comecem a criptografia de arqu ivos com EFS. No entanto, h preocupaes cerca de recuperao. Para melhorar a gesto dos certificados usados voc est indo para pelo EFS,
configurar uma autoridade de certificao interna para emitir certificados para usurios. Voc tambm vai configurar uma recuperao agente para o EFS e verificar que o agente de recuperao pode recuperar a rquivos.
1.
2.
3.
4.
Criptografar um arquivo.
5.
2.
3. No Editor de Group Policy Management, navegue at Configurao do compu tador \ Polticas \ Windows \ Configuraes de Segurana \ Diretivas de Chave Pblica \ Enc rypting File System.
4.
5.
6. Leia as informaes sobre o novo certificado e verificar se ele foi e mitido pelo ContosoCA.
1.
2.
1. w0rd.
2.
3.
4.
5.
6.
7.
----------------------- Pgina 485----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-33
1.
2.
3.
4.
1.
2.
Resultados: Aps este exerccio, voc deveria ter criptografado e recuperou um arquivo . ----------------------- Pgina 486----------- -----------10-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrio
O departamento de Marketing tem uma sala nica cpia central que armazena a impressora para o andar inteiro. Sobre o no ano passado, a capacidade da sua impressora se tornou uma preocup ao. Em particular, quando um utilizador imprime uma grande trabalho, ele impede que outros usurios a obteno de seus trabalhos de impr esso para 10 ou 15 minutos. Para resolver esse problema, voc adquiriu duas novas impressoras idnticas configurar como um pool de impresso para o Marketing Departamento de Gastos
1.
2.
3.
4.
5.
1. tiva.
2. Adicionar a impresso e papel Document Services com o servio de funo do servidor de impresso.
1.
2.
3.
Porta TCP / IP
4.
Porta TCP / IP
Na Gesto de Impresso, em NYC-DC1 (local), criar uma nova impressora com as seguintes propriedades:
Nome do compartilhamento: PrinterPool ----------------------- Pgina 487----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-35
1.
2.
3.
1.
2. Navegue at o OU Marketing, right-click, e criar um novo GPO no domnio que est ligada aqui.
Nome: MarketingGPO
3.
5.
1.
On NYC-CL1, faa logon como Contoso \ Adam com uma senha de Pa $ $ w0rd.
2.
3. No menu Iniciar, dispositivos abertos e Impressoras para verificar se Print erPool em NYC-DC1 aparece e configurado como a impressora padro.
Resultados: Aps este exerccio, voc deveria ter criado um pool de impresso e distribu io aos usurios de Marketing.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:
1.
3.
4.
----------------------- Pgina 488----------- -----------10-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Voc est planejando a configurao de permisses NTFS e de compartilhament o em um servidor novo arquivo. Um dos o seu colegas sugere que as permisses de compartilhamento deve ser limit ado ao mnimo possvel, em vez de atribuindo ao grupo controle total a todos. Por isso no uma preocu pao quando as permisses NTFS so usado?
2. Sua empresa tem um mix de usurios mveis com o Windows XP e Windows 7 laptops. Roaming usurios arquivos de acesso remotamente ao longo de um VPN. Um usuri o que foi atualizado recentemente para o Windows 7 observou
que o acesso arquivo sobre o VPN muito mais rpido agora. Por que i sso est ocorrendo?
3. Voc est planejando para habilitar o BitLocker em servidores que esto localizados em escritrios remotos para aumentar de segurana. Um de seus colegas est preocupada que isso vai aumenta r a complexidade para os usurios que so acessando compartilhamentos de arquivos em esses servidores. Por que no este uma preocupao vlida?
4. Alguns usurios foram comeando a criptografar arquivos que so armazen ados em compartilhamentos de rede para proteg-los de outros usurios departamentais com as permisses NTFS para esses a rquivos. este o uma maneira eficaz para prevenir usurios de visualizar e modificar esses arquivos?
5. One departamento de em sua organizao tem sido manualmente adicionan do de impressoras em computadores que executam impresso IP direta com a impressora fsica. Eles esto fazendo este de modo que todos os usurios automaticamente tenha acesso para a impressora depois de instalada. Voc pode configurar um serv idor de impresso e ainda fazer impressoras disponveis para [Todos os usurios] ----------------------- Pgina 489----------- -----------Configurando e solucionan do problemas de arquivos de rede e servios de impresso 10-37
Ferramentas
Gesto
A Diretiva de Grupo Criar e configurar Ferramentas de diretiva de grupo Admini strativas Objetos de gerenciamento
Gerenciamento de Impresso Gerenciar servidores de impresso e impressoras Ferram entas Administrativas ----------------------- Pgina 490----------- -----------10-38 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2 008 Network ----------------------- Pgina 491----------- -----------11-1
Mdulo 11
contedo
Lab B: Implementando BranchCache 11-49 ----------------------- Pgina 492----------- -----------11-2 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Muitas organizaes mantm um grande nmero de recursos de arquivos que precis am ser organizados e altamente disponvel para os usurios. Estes recursos de arquivo so muitas vezes arma zenados em servidores e desde para usurios que so distribudas geograficamente em vrios locais.
Nesta situao, voc precisa encontrar uma soluo eficiente para ajudar os usuri os a localizar os arquivos mais recentes rapidamente. Gerenciamento de mltiplos sites de dados muitas vezes apresenta desafio s adicionais, como limitar o trfego de rede mais retardar Wide Area Network (WAN) conexes, garantindo a disponibilidade dos arquivos durante a WAN ou servidor falhas, e backup de servidores de arquivos que esto localizados em pequ enos escritrios filiais.
Objetivos
Discuta como para configurar BranchCache. ----------------------- Pgina 493----------- -----------Otimizando Acesso de dados para Escritrios de Filial 11-3
Escritrios de ramo tm desafios de gerenciamento de nicas. Um escritrio de r amo tipicamente tem conectividade com a lenta para o empresa em rede e infra-estrutura limitada para servidores de fixao. , Po r conseguinte,, o desafio ser capaz de fornecer acesso eficiente a recursos de rede para os usurios em escritrio s de filiais.
Objetivos
Descrever como escritrios de filiais so conectados a um rede da empresa. ----------------------- Pgina 494----------- ------------
Normalmente, um escritrio de cabea um hub de comunicao central para escritr ios de filiais. Cada escritrio ramo tem menos usurios do que o escritrio cabea. Alm disso, cada escritrio ramo tem conect ividade mais lenta para o escritrio cabea.
Por exemplo, uma cadeia de lojas de varejo tem um escritrio cabea com mu itos funcionrios e de rede interno rpido conectividade. Os escritrios de filiais so localizado remotamente com po ucos funcionrios em cada localizao e lento conectividade para os dados no escritrio cabea.
Pergunta: Por que so conexes de rede entre escritrios de filiais e o de escritrio cabea lento e no confivel?
Pergunta: Como que conectividade de rede lenta e no confivel afetar os usurios em ramo escritrios?
Pergunta: Como que gesto de sistemas de de computador em escritrios de filiais comparar com o gesto de sistemas de de computador no escritrio cabea?
Pergunta: Como que segurana do sistema no escritrios de filiais com parar com segurana do sistema no o escritrio cabea? ----------------------- Pgina 495----------- -----------Otimi zando Acesso de dados para Escritrios de Filial 11-5
Os seguintes recursos do Windows Server 2008 R2 pode ajudar a escritrios de filia is melhorar a sua lento e menos conectividade confivel:
BranchCache
DFS
Distributed File System (DFS) um Servidor de Windows 2008 servio de funo R2 que est includo com o File Server papel. O servio de funo DFS pode ser usado para logicamente combinar pastas compart ilhadas que esto localizados em diferente servidores em um namespace virtuais. Os usurios s precisa saber o nome do namespac e virtual para acessar a estrutura pasta compartilhada.
DFS tambm implementa uma tecnologia de replicao para garantir a disponibilidade-ele vado de elementos configurados em o namespace.
BranchCache
Acessando os arquivos armazenados no escritrio cabea pode ser lento para os usurios em escritrios de filiais. BranchCache ajuda a velocidade up o acesso a arquivos por cache-los em um computador local ou em um servidor lo cal no escritrio ramo. Se um arquivo tem no sido modificado no escritrio cabea e acessado a partir o escritrio ramo, cpia em c ache do arquivo no o escritrio ramo aberta em vez do que a cpia a partir do escritrio cabea.
Em Alm de fornecer acesso mais rpido arquivo, BranchCache diminui a utilizao global WAN porque somente novo e arquivos modificados so copiada sobre a WAN. Isso mantm o livre WAN para outras atividades. ----------------------- Pgina 496----------- -----------11-6 Configurao das e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Esta lio introduz o Distributed File System (DFS) soluo que voc pode usar pa ra enfrentar os desafios de gerenciamento de dados para escritrios de filiais por fornecendo faul t-tolerant acesso e WAN-friendly replicao de arquivos que esto localizados em toda uma empresa.
Objetivos
Descrever DFS.
Instale a funo de DFS. ----------------------- Pgina 497----------- -----------O timizando Acesso de dados para Escritrios de Filial 11-7
O Que DFS?
Para acessar um compartilhamento de arquivo tpico, os usurios tipicamente exigem a Universal Naming Convention nome (UNC) para acessar o contedo pasta compartilhada. Muitas organizaes grandes pode ter centenas de servidores de arquivos que so dispersos geograficamente em toda uma organizao. Isto introduz um nmero de desafios para os usurios a encontrar e acessar arquivos de forma eficiente.
Atravs do uso de um namespace, DFS pode simplificar a estrutura da pasta UNC. Alm disso, benefcio um outro de DFS a capacidade de replicar o espao virtual e as pastas compartilhadas para vr ios servidores dentro da organizao. Isto pode assegurar que as partes esto localizados to prximo quanto pos svel para os utilizadores, assim proporcionar um benefcio adicional de tolerncia a falhas para os compartilhamentos de rede.
DFS inclui duas tecnologias que so implementados como servios de funo. Essas tecnolo gias so:
DFS Namespaces (DFS-N): Permite que os administradores pastas de grupo comuns qu e esto localizados em diferentes servidores em um ou mais namespaces logicamente estruturadas. Cada namespace apa rece para os usurios como um nico pasta compartilhada com uma srie de subpastas. As subpastas geralmente apontam pa ra pastas compartilhadas que esto localizados em vrios servidores em vrios locais geogrficos de toda a organizao.
Replicao DFS (DFS-R): um mecanismo de replicao multi-mestre, que usado para sincroni zar arquivos entre servidores para conexes de rede local e WAN. DFS-R suporta agendamento de replicao, largura de banda otimizao, e usa compactao diferencial remota (RDC) para atualizar apenas as partes d e arquivos que tenham mudou desde a ltima replicao. DFS-R pode ser usado em conjunto com Namespaces DFS o u como um substituto sozinho mecanismo de replicao de arquivos. ----------------------- Pgina 498----------- -----------11-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode criar um namespace um domnio baseado ou stand-alone. Cada tipo tem caractersticas diferentes.
Disponibilidade Namespace alta necessria, que realizado por meio da rep licao do namespace para vrios servidores de namespace.
Voc precisa ocultar o nome dos servidores de espao de usurios. Isto tambm torna mais fcil para substituir um servidor de namespace ou migrar o namespace para um servidor dife rente. Os usurios vo acessar o \ \ Domainname \ formato namespace ao contrrio do \ servername \ fo rmato \ namespace.
Se optar por implantar um namespace baseado em domnio, voc tambm precisa escolher se deseja usar o
Microsoft Windows 2000 modo de Server ou o modo Windows Server 2008. W indows Server 2008 modo fornece benefcios adicionais, tais como suporte para enumerao baseada em acesso, e-lo aumenta o nmero de destinos de pasta de 5.000 para 50.000. Com enumerao baseada em acesso, voc pode ocultar pastas que os usurios fazem no tm permisso para exibir.
Para usar o modo Windows Server 2008, os seguintes requisitos devem se r atendidos:
O floresta do Active Directory deve estar no Microsoft Windows Server floresta 2003 ou superior funcional nvel.
O domnio do Active Directory deve estar no Microsoft Windows Server nvel de domnio 2008 funcional.
Observao: Voc pode migrar um namespace baseado em domnio do modo Win dows Server 2000 para Modo Windows Server 2008 usando a ferramenta de linha de comando Dfsutil. Voc tambm pode ativar ou desativar Enumerao baseada em acesso usando o compartilhamento e gerenciamento de armazenamento MMC. ----------------------- Pgina 499----------- -----------Otimi zando Acesso de dados para filiais 11-9
Stand-Alone Namespace
Uma organizao no atender os requisitos para um modo Windows Server 2008, baseada em domnio namespace, e h so requisitos para mais de 5.000 pastas DFS. Stand-sozinho DFS namespaces suportar at 50.000 pastas com destinos. ----------------------- Pgina 500----------- -----------11-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
DFS Replication (DFS-R) fornece uma maneira para manter pastas sincro nizadas entre os servidores transversalmente bemconectado e limitado conexes de largura de banda. Tome nota dos seguint es pontos-chave relacionados com o DFS-R:
DFS-R usa Compactao Diferencial Remota (RDC). O RDC uma protocolo client e-servidor que pode ser usado de forma eficiente atualizar arquivos em uma rede de banda limit ada.
O RDC detecta inseres de dados, remoes e re-arranjos em arquivos, pe rmitindo que o DFS-R replicar apenas os alteradas blocos de arquivo quando os arquivos so atualizados. RDC usada apenas para arquivos que so 64 kilobytes (KB) ou maior por padro. DFS-R tambm suporta de arquivo cruzado RDC, que p ermite que replicao DFS para usar RDC, mesmo quando um arquivo com o mesmo nome no existe em o cliente.
De arquivo cruzado RDC pode determinar os arquivos que so semelha ntes para o arquivo que precisa ser replicado, e usa blocos de arquivos semelhantes que so idnticos para o arquivo de r eplicante para minimizar o quantidade de dados que precisa ser replicado.
DFS-R usa um pasta de teste escondida para encenar uma arquivo antes d e enviando ou recebendo-lo. Pastas de teste agir como caches para arquivos novos e alterados para ser replicado de env iar membros para membros de recebimento. O o envio de membro comea encenar uma arquivo quando ele recebe uma solicitao de a partir do membro de recebimento.
O processo envolve a leitura do arquivo da pasta replicada e con struo de um comprimido representao do arquivo de na pasta de teste. Depois de-lo tem sido construdo, o arquivo de encenado enviada para o membro receptora; se a compresso diferencial remoto usado, apen as uma frao de o arquivo de teste poderia ser replicado. O receber downloads membros os dados e co nstri o arquivo em sua encenao Pasta
Depois que o download do arquivo estiver concluda no membro de re cebimento, DFS-R descomprime o arquivo e instala-lo em o pasta replicada. Cada pasta replicada tem a sua pasta de teste prpria, que por padro est localizado sob o caminho local da pasta replicada em o DfsrPr ivate \ pasta Staging.
DFS-R detecta ocorreram alteraes em o volume atravs do monitoramento o nme ro de seqncia de atualizao (USN) revista e replica as alteraes somente aps o arquivo fechados. ----------------------- Pgina 501----------- -----------O timizando Acesso de dados para Escritrios de Filial 11-11
DFS-R usa uma verso vector protocolo de troca de para determinar quais arquivos p recisam ser sincronizadas. O protocolo envia menos de 1 KB por arquivo em toda a rede para sincronizar o s metadados associados com os arquivos alterados sobre o envio e recebimento membros.
DFS-R usa uma heurstica resoluo de conflitos de "escritor ltima vence" para arquivos de que esto em conflito (que , um arquivo que atualizados em vrios servidores simultaneamente) e "a mais antiga criado r vence" para conflitos de nome. Arquivos de e pastas que perdem a resoluo de conflito so movidos para uma pasta conhecido como o Conflito e Deleted p
Voc tambm pode configurar o servio para mover arquivos excludos para a Conflito e pasta Deleted para de recuperao, deve o arquivo ou pasta ser excludo. Cada pasta replicada tem a sua Conflict prpria oculto e Pasta Excludos, que est localizado sob o caminho local da pasta replicada em o DfsrPrivate \ ConflictandDeleted.
DFS-R auto-cura e pode se recuperar automaticamente a partir de USN journal embr ulha, perda de USN jornal, ou DFS Perda banco de dados de Replicao.
DFS-R usa um Instrumentao de Gerenciamento do Windows (WMI) provedor que fornece i nterfaces para
obter a configurao e informaes de monitoramento a partir de o servio Replicao DFS ----------------------- Pgina 502----------- -----------11-12 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Mesmo embora DFS Namespaces e Replicao DFS so servios de funo separados, ele s podem ser usados juntos para oferecer alta disponibilidade e redundncia de dados. O processo de a seguir descreve Namespaces como DFS e Replicao DFS trabalhar juntos:
1. Usurio acessa pasta na o namespace virtual. Quando um usurio tenta para acessar uma pasta em um namespace, os contatos computador cliente o de servidor que est h ospedando o raiz namespace. O anfitrio servidor pode ser um servidor stand-alone que est hospedando um na mespace stand-sozinho, ou um domnio-baseada em de configurao que armazenado em Microsoft do Active Directory Servio s de Domnio (AD DS) e, em seguida replicado para vrios locais para fornecer alta disponibilidade. O servidor namespace envia de volta para o computador cliente um referral contendo uma lista de servidores q ue hospedam as pastas compartilhadas (chamado de pasta do alvos) que so associado com a pasta que est sendo acessado.
2. Computador cliente acessa o primeiro servidor na referncia. O comp utador cliente armazena em cache o referral contatos de informao e, em seguida, servidor o primeiro em o referr al. Este referral tipicamente um servidor de em o prprio site cliente, a menos que haja nenhum servidor localizado d entro de site do cliente. Neste caso, o administrador do pode configurar o prioridade de destino.
Por exemplo, em o slide, a pasta de Marketing que publicado no prazo o namespace na verdade, contm dois destinos de pasta. One compartilhamento esteja localizado em um s ervidor de arquivos em Nova York, e a quota de outro est localizado em um servidor de arquivos em Londres. Os pastas compartilhadas so mantidos s incronizado por DFS-R. Mesmo embora mltiplos servidores hospedar os pastas de origem, este fato transparente para os usurios, q ue s acessam um nica pasta no namespace. Se uma das pastas-alvo torna-se indisponvel, os usurios pode ser redirec ionado para os alvos restantes dentro de o namespace. ----------------------- Pgina 503----------- -----------Oti mizando Acesso de dados para Escritrios de Filial 11-13
Cenrios de DFS
Vrios cenrios-chave podem se beneficiar a partir de DFS Namespaces e Replicao DFS. E stes cenrios incluem:
A coleta de dados
distribuio Dados
Grandes organizaes que possuem escritrios de filiais muitos tm, frequentemente, para compartilhar arquivos ou colaborar entre estes localizaes. DFS-R pode ajudar a arquivos replicar entre escritrios de filiais ou a partir de um escritrio da filial para um site de hub. Tendo arquivos em vrios escritrios de filiais tambm beneficia os usurios que viajam a partir de um escritrio ramo para outro. As mudanas que os usurios fazem a seus arquivos em um escritrio ramificao so replicada s de volta para o seu escritrio ramo.
Observao Esse cenrio recomendado somente se os usurios pode tolerar algumas i nconsistncias de arquivo como mudanas so replicadas em toda os servidores de filiais. Alm disso, observe qu e DFS-R s replica um arquivo de depois que ele fechado. Portanto, DFS-R no recomendada para a rquivos de banco de dados replicantes ou quaisquer arquivos que so mantidos aberto para longos perodos de tempo.
Recolha de Dados
DFS tecnologias podem coletar arquivos a partir de um escritrio ramo e replic-las para um site de hub, permitindo assim que o
arquivos a ser utilizados para a um nmero de fins especficos. Os dados crticos pode m ser replicadas para um site de hub por usando DFS-R e, em seguida, apoiada no site do hub usando procedimentos de backup padro. Isto aumenta o ramo recuperao de dados do Office, se um servidor falhar, pois os arquivos estaro disponv eis em dois locais separados e backup. Alm disso, as empresas podem reduzir os custos de filiais, eliminando har dware de backup e tecnologia no local de informao (TI) experincia pessoal. Os dados replicados tambm p ode ser usado para fazer ramo escritrio arquivo culpa partes tolerante. Se o servidor de filial falhar, os clie ntes da filial pode acessar o replicados de dados no local do cubo. ----------------------- Pgina 504----------- -----------11-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Distribuio de Dados
Voc pode usar o DFS-N e DFS-R para publicar e reproduzir documentos, s oftware e outras linhas de negcios dados em toda a sua organizao. DFS-N e destinos de pasta pode aumentar a disponibilidade de dados e distribuir carga do cliente atravs de servidores de arquivos diversos. ----------------------- Pgina 505----------- -----------Otimizan do Acesso de dados para filiais 11-15
Microsoft Windows Server 2008 R2 fornece uma srie de melhorias e novos recursos p ara tanto DFS-N e DFS-R. As sees seguintes abordam esses novos recursos.
Melhorias de desempenho: O servio DFS Namespaces leva menos tempo para comear, o q ue aumenta desempenho, especialmente com grandes namespaces baseados em domnio com 5.00 0 ou mais destinos de pasta. Windows Server 2008 R2 tambm inclui trs novos contadores de desempenho que po dem ser utilizados para monitorizar Namespaces DFS:
DFS Namespace Queue Service API: Exibe o nmero de pedidos na fila, que so espera de ser processado pelo servio Namespace DFS.
Os DFS Namespace solicitaes de API de servio: fornece um nmero de objetos que m ostram a informao DFS de pedidos como tempo mdio de resposta, os pedidos processados, os pedidos no, e os pedidos processado por segundo.
As referncias DFS Namespace servio: fornece um nmero de objetos que mostram a informao de pedidos de remessa que so processados aes incluem mdia pelo servio namespace DFS. As inform
tempo de resposta, os pedidos processados, os pedidos no, e os pedidos processados por segundo. ----------------------- Pgina 506----------- -----------11-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
New DFS suporte da ferramenta de Gesto: Uma srie de melhorias para a fer ramenta de Gerenciamento DFS incluem o seguinte:
em acesso ativado em uma pasta compartilhada ou pasta DFS, os usurios s podero ver pastas e arquivos para os quais tm Leia (ou equivalente) permisses. Anteriormente, a enumerao base ada em acesso s pode ser ativado uma pasta compartilhada usando Gerenciamento de Compartilham ento e Armazenamento ou usando o comando Dfsutil para DFS Pastas Windows Server 2008 R2 fornece um reforo adicional, pe rmitindo que voc permitir e configurar enumerao baseada em acesso para um namespace usan do a ferramenta de Gerenciamento DFS.
Suporte para seletivamente habilitar ou desabilitar referncias de raiz namespace: O DFS Ferramenta de gesto fornece a capacidade de ativar ou desativ ar os servidores de namespace. Isso permite que voc controlar se um servidor est disponvel para encaminhamentos.
Melhorias para a ferramenta de linha de comando Dfsdiag.exe: Wind ows Server 2008 R2 inclui alteraes no texto do Dfsdiag.exe ferramenta de linha de comand o de ajuda. Quando voc digita Dfsdiag /?, Ajuda a eo texto da mensagem de erro foi reescrito para fornecer inf ormaes mais claras e descritivo.
Suporte de cluster de failover: O servio de Replicao DFS no Windows Serve r 2008 R2 est projetado para coordenar-se com um cluster de failover do Windows 2008 R2-based. Voc pode adicionar um cluster de failover como um membro de um grupo de replicao.
As pastas replicadas somente leitura: Antes de o Windows Server 2008 R 2, a nica maneira de configurar uma leitura de
pasta replicada somente era para definir manualmente as permisses de compartilhamento e listas de controle de acesso nas pastas, que exigiu um esforo administrativo adicional. Windows Server 2008 R2 oferece a capacidade de configurar uma pasta replicada como somente leitura ou um membro de leitura e escrita. Voc pode usar o DFS Ferramenta de gesto ou o Dfsradmin ferramenta de linha de comando para configurar somente leitura pastas replicadas.
Observao Controladores de domnio somente leitura com base em Window s utilizam Server 2008 R2 somente leitura replicados pastas para garantir a pasta SYSVOL.
Melhoria do Dfsrdiag.exe ferramenta de linha de comando: Windows Serve r 2008 R2 inclui alteraes para a ferramenta de linha de comando Dfsrdiag.exe. Os seguintes parmetros fornecidos reforada diagnstico Caractersticas
Replstate: Exibe um resumo do status de replicao em todas as conexes no local especificado, membro do grupo de replicao.
IdRecord: Exibe o ID do registro DFS Replicao e verso de um arquivo ou pasta especificada. Voc pode usar essas informaes para determinar se um arquivo foi replica do corretamente a outro membro.
FileHash: Calcula e exibe um valor de hash para um arquivo especfi co. Isto pode ser usado para comparar dois arquivos para garantir que eles so idnticos. ----------------------- Pgina 507----------- -----------Ot imizando Acesso de dados para filiais 11-17
Esta demonstrao mostra como instalar a funo de DFS. ----------------------- Pgina 508----------- -----------11-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Configurando um espao para nome DFS consiste de vrias tarefas, incluindo a criao da estrutura de namespace, a criao de pastas dentro do namespace, e adicionando destinos de pasta. V oc tambm pode optar por realizar tarefas de gerenciamento adicionais, como configurar a ordem de refernci a, permitindo que os cliente no volta, e implementar a replicao DFS. Esta lio fornece informaes sobre como preencher e sses configurao e tarefas de gesto para implantar uma soluo DFS eficaz.
Objetivos
Descrever as opes para otimizar um espao de nomes. ----------------------- Pgina 509----------- ------------
A maioria das implementaes do DFS consistem principalmente de contedo que publicado dentro do namespace DFS. Para configurar um espao para publicao de contedo para os usurios, execute os seguintes pr ocedimentos:
1. Criar um namespace. Use o Assistente de Novo Namespace para criar o namespa ce de dentro da DFS Console de gerenciamento. Quando um novo namespace criado, voc deve fornecer o nome do servidor que voc deseja usar como o servidor de namespace e nome do namespace e tipo (ou baseado em domnio ou stand-alone). Voc tambm pode especificar se o namespace est habilitado para o Windows Server 2008 de modo.
2. Crie uma pasta no namespace. Aps o namespace criado, adicionar uma pasta no namespace que ser usado para conter o contedo que deseja publicar. Durante a criao da pas ta, voc tem a opo de adicionar destinos de pasta, ou voc pode executar uma tarefa sepa rada para adicionar, editar ou remover pasta metas mais tarde.
3. Adicionar destinos de pasta. Depois de uma pasta criada dentro do namespace , a prxima tarefa criar pasta metas. A meta da pasta o caminho de uma pasta compartilhada da UNC em um se rvidor especfico. Voc pode procurar compartilhada pastas em servidores remotos e criar pastas compartilhadas, conforme necessr io. Alm disso, voc pode adicionar vrios pasta metas para aumentar a disponibilidade da pasta no namespace. Se voc ad icionar destinos de pasta mltiplos, considerar o uso de DFS-R para garantir que o contedo o mesmo entre os alvos .
4. Defina o mtodo de ordenao para destinos em referncias. Uma referncia uma lista o rdenada de alvos que um cliente computador recebe a partir do servidor de namespace quando um usurio acessa uma raiz namespace ou pasta. Quando um cliente recebe o envio para o cliente tenta acessar o primeiro de stino na lista. Se o alvo no estiver disponvel, o prximo alvo tentada. Por padro, os alvos no site do cli ente so sempre listados primeiro na referncia. Voc pode configurar o mtodo de ordenao destinos fora do s ite do cliente no Referncias guia da caixa de dilogo Propriedades Namespace. Voc tem a opo de conf igurar o menor custo, ordem aleatria, ou configurar o mtodo de ordenao para excluir alvo s fora o do cliente Site ----------------------- Pgina 510----------- -----------11-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Pastas Nota herdam as configuraes de referncia da raiz do namespac e. Voc pode substituir o configuraes de namespace na guia Referncias das propriedades da pa sta caixa de dilogo, excluindo destinos fora do site do cliente.
Uma srie de tarefas de gerenciamento de opcionais que voc pode considera r incluem:
Definir a prioridade do destino para substituir referncia ordenao: Voc pod e ter um destino de pasta especfica que voc deseja que todos usem de todos os locais do site, ou um alvo pas ta especfica que deve ser usado na ltima posio entre todos os alvos. Voc pode configurar esses cenrios, substituindo o encaminhamento de ordem sobre o Advanced
failback de cliente Enable: Se um cliente no pode acessar um alvo previ sto, o prximo alvo selecionado. Cliente failback ir garantir que os clientes "no voltar" para o alvo origi nal depois de ser restaurado. Voc pode configurar failback do cliente na guia Referncias da caixa de dilogo Namespac e Propriedades, selecionando o cheque caixa ao lado de clientes no volta para alvos preferenciais. Toda s as pastas e destinos de pasta herdam essa opo. No entanto, voc tambm pode substituir uma pasta especfica para ativ ar ou desativar recursos de failback do cliente se exigido.
Replicar destinos de pasta usando DFS-R: Voc pode usar o DFS-R para man ter o contedo de destinos de pasta em sincronizar. As "permisses necessrias para criar e gerenciar um na mespace" lio discute DFS-R em detalhe. ----------------------- Pgina 511----------- -----------Otimizan do Acesso de dados para filiais 11-21
Para executar DFS tarefas de gerenciamento de nomes, um usurio quer tem que ser u m membro de uma estrutura administrativa grupo ou tem que ser delegada uma permisso especfica para executar a tarefa. Voc po de clique com o namespace e, em seguida, clique em Permisses de delegado de gesto a delegar as permisses nece ssrias.
A tabela a seguir descreve os grupos que podem executar administrao DFS por padro e o mtodo para delegar a capacidade de executar tarefas de gerenciamento de DFS:
Grupos que podem executar o Tarefa tarefa pelo mtodo de delegao padro
Criar um administradores de domnio baseados em domnio delegar permisses de gerenc iamento. namespace. usurios ao grupo de administradores locais de namespace. Adicionar o servidor
Adicionar um namespace do servidor Domain Admins permisses de gerenciamento de representante. a um domnio baseado no grupo de administradores Adicionar usurios ao local em namespace. o servidor de namespace.
Gerenciar a administradores de domnio local em cada permisses de gerenciamento de representante. namespace baseado. servidor de namespace
Criar um administradores independentes locais em cada Adicionar usurios ao grup o de administradores locais namespace. servidor de namespace do servidor de namespace.
Gerenciar a administradores autnomos locais em cada permisses de gerenciamento de representante. namespace. servidor de namespace
Criar um administradores de replicao de domnio delegar permisses de gerenciamento. grupo ou enable DFS replicao em uma pasta. ----------------------- Pgina 512----------- -----------11-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Crie uma nova pasta e pasta de destino. ----------------------- Pgina 513----------- -----------Otimi zando Acesso de dados para filiais 11-23
Namespaces ter um nmero de opes de configurao com a qual voc pode otimizar sua usabili dade e desempenho.
Voc pode renomear ou mover uma pasta em um namespace. Isto permite-lhe reorganiza r a hierarquia das pastas melhor para atender os usurios da sua organizao. Por exemplo, quando sua empresa se reorganiza, voc pode reorganizar o espao de nomes para coincidir com a nova estrutura.
Uma referncia uma lista de alvos que um computador cliente recebe de um controlad or de domnio ou servidor de namespace quando o usurio acessa uma raiz ou pasta com metas de namespace. Ao desabilitar r eferncia um destino de pasta, voc impedir que computadores clientes acessem essa meta pasta no namespace. Isso til
Os clientes no contactar um servidor de namespace para uma referncia cada vez que acessar uma pasta em um namespace; referncias de raiz namespace so armazenados em cache. Clientes que usam uma refernc ia armazenada em cache renovaro o valor de durao de cache da consulta cada vez que um arquivo ou pasta acessada usando o encaminhamento. I sto significa que os clientes usaro a referncia indefinidamente at que o cache de referncia do cliente seja limpo ou o cliente for reiniciado. Voc pode personalizar a durao do cache de referncia. O padro 300 segundos. ----------------------- Pgina 514----------- -----------11-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para manter um namespace baseado em domnio consistente em servidores de nomes, servidores de namespace deve Diretrio enquete ativa periodicamente para obter os dados mais atuais n amespace. Os dois modos para polling namespace so:
Otimizar a consistncia: poll servidores Namespace o emulador PDC cada v ez que uma mudana namespace ocorre. Este o padro.
Otimizar para Escalabilidade: Cada urnas servidor de namespace seu con trolador de domnio mais prximo em peridicos intervalos. ----------------------- Pgina 515----------- ------------
Para configurar DFS-R com eficcia, importante compreender a terminologia e requisitos que so associado com o recurso. Esta lio fornece informao sobre os elementos especf icos, requisitos e consideraes de escalabilidade como se relacionam com DFS-R e proporciona um processo para a configurao de uma eficaz topologia de replicao.
Objetivos
Soluo de DFS. ----------------------- Pgina 516----------- -----------11-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Um grupo de replicao compreende um conjunto de servidores membros que pa rticipam de um replicante ou mais
grupo de replicao multiuso: Ajuda para configurar a replicao entre dois ou mais servidores para publicao, compartilhamento de contedo, ou outros cenrios.
O grupo de replicao para coleta de dados: Configura uma replicao de duas v ias entre dois servidores, tais como um servidor de filial e um servidor de hub. Este tipo de gru po usada para coletar dados a partir do ramo servidor do escritrio para o servidor de hub. Voc pode ento usar sof tware de backup padro para fazer backup do servidor de hub DATA
Criando vrias pastas replicadas dentro de um grupo de replicao nico ajuda a simplificar o seguinte para todo o grupo:
Topologia
Cronograma de Replicao
Controle de Banda
As pastas replicadas armazenadas em cada membro pode ser localizado em volumes diferentes no membro. Pastas replicadas no precisam ser pastas compartilhadas ou parte de um
namespace, embora o Gerenciamento DFS presso em f-lo fcil de compartilhar pastas replicadas, e, opcionalmente, public-los em um namespace existente. ----------------------- Pgina 517----------- -----------Ot imizando Acesso de dados para filiais 11-27
Topologias de replicao
Ao configurar um grupo de replicao, voc deve definir a sua topologia. Voc pode selec ionar entre o seguinte:
Hub e falou: Para selecionar esta opo, voc precisa de pelo menos trs servidores memb ros da replicao grupo. Esta topologia funciona bem em cenrios de publicao em que os dados se o rigina no centro e replicado para os membros nos raios.
Malha Completa: Se dez ou menos membros esto no grupo de replicao, essa topologia f unciona bem, com cada membro replicar para todos os outros, conforme necessrio.
No topologia: Escolha esta opo se voc quiser configurar manualmente uma topologia de costume depois de criar o grupo de replicao. ----------------------- Pgina 518----------- -----------11-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando voc configurar a replicao, escolha um membro primrio que tem os arq uivos mais atualizados para ser
replicado, este servidor considerado autoridade para qualquer resoluo de conflitos que ocorre quando o receber membros possuem arquivos que so mais velhos ou mais novos quando compar ados com os mesmos arquivos no membro primrio.
1. Replicao inicial no comear imediatamente. As configuraes de replicao ologia e DFS deve ser replicada para todos os controladores de domnio, e cada membro do grupo de replicao deve sondar seu mais prximo controlador de domnio para obter essas configuraes. Latncia de repli cao do Active Directory eo voto longo intervalo (60 minutos) em cada membro determinar a quantidade de tempo do processo.
2. Replicao inicial sempre ocorre entre o membro primrio e seus parcei ros de replicao de recepo. Depois que um membro recebeu todos os arquivos do membro primrio, esse membro replicar os arquivos para o seu recebendo parceiros. Desta forma, a replicao de uma nova pasta rep licada comea a partir do membro primrio e depois avana para fora para os outros membros do grupo de repli cao.
3. Ao receber arquivos do membro primrio durante a replicao inicial, o s membros de recebimento que conter arquivos que no esto presentes no membro primrio movem esses arquivos para seus respectivos DfsrPrivate \ PreExisting. Se um arquivo fisicamente idntico a um arquivo no membro primrio, o arquivo no replicados. Se a verso de um arquivo no membro de recepo diferent e do primrio membro verso, a verso do membro que est recebendo movido para a pasta Conf litos e Eliminados, e remoto compresso diferencial (RDC) pode ser usado para baixar apenas os blocos alterados.
4. Para determinar se os arquivos so idnticos no membro primrio e memb ro receptor, DFS replicao compara os arquivos usando um algoritmo de hash. Se os ar quivos so idnticos, apenas os metadados mnimo transferida. ----------------------- Pgina 519----------- -----------Otimizando Acesso de dados para filiais 11-29
5.
(Inicializao ocorre depois de todos os arquivos que existem antes da replicao D FS pega a configurao so adicionado ao banco de dados de replicao DFS.) Esse membro ento tratado como q ualquer outro membro e seu arquivos no so mais considerados autoridade sobre os outros membros que j tenh am concludo inicial replicao. Qualquer membro que tenha concludo a replicao inicial considerado auto ridade sobre membros que no tenham concludo a replicao inicial. ----------------------- Pgina 520----------- -----------11-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para usar o DFS-R, voc deve estar ciente dos seguintes requisitos de re plicao especficos.
Verifique se o esquema do Active Directory foi atualizado para incluir os novos objetos de replicao DFS. Se voc planeja usar a Replicao DFS, o esquema do Active Directory de ve ser atualizado para, pelo menos, o equivalente verso para Microsoft Windows Server 2003 R2 para que e le inclui o Active Directory classes e atributos que a Replicao DFS usa. Para usar somente leitu ra pastas replicadas, o esquema deve
incluem o Windows Server 2008 ou mais recentes adies de esquema. Pa ra atualizar o esquema, no esquema mestre de operaes, executar adprep.exe / forestprep. Esta ferrament a est disponvel na pasta Windows \ sources \ adprep pasta do Windows Server 2008 mdia de instalao.
Todos os servidores em um grupo de replicao deve estar na mesma floresta . Voc no pode ativar a replicao atravs servidores em florestas diferentes.
Os servidores que iro participar na replicao DFS deve ser executado no Wi ndows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 sistema operacional. Voc dev e instalar o Replicao DFS papel de servio em cada servidor que ir participar na replicao, e voc deve instalar o Gerenciamento DFS snap-in em um servidor para gerenciar a replicao. Replicao DFS suport ada em todas as edies do Windows Server 2008 R2 e apenas edies x64 do Windows Server 2008.
Apoiar o cluster de failover, o servidor de cluster de failover deve e star executando o Windows Server 2008 R2.
O software antivrus deve ser compatvel com a Replicao DFS em que o softwar e antivrus pode causar replicao excessiva se as suas actividades de digitalizao alterar a da ta e hora em arquivos em uma pasta replicada. Contacte o seu fornecedor de software antivrus para verificar a co mpatibilidade.
----------------------- Pgina 521----------- -----------Oti mizando Acesso de dados para filiais 11-31
Windows Server 2008 fornece uma srie de ferramentas que podem ser usados orar e solucionar problemas DFS-R. As ferramentas incluem:
para monit
Relatrio sobre a Sade: Mostra estatsticas de replicao e relatrios extensivos sob e a sade da replicao e eficincia.
Teste de propagao: Gera um arquivo de teste em uma pasta replicado para ser u sada para verificar a replicao e fornecer dados estatsticos para o relatrio de propagao.
Propagao Relatrio: Fornece informaes sobre o progresso para um arquivo de teste que gerado onal.
Topologia Verifique: Use para verificar e informar sobre a situao da topologia gru po de replicao. Esta vontade informar os membros que esto desconectados.
Dfsrdiag.exe: Este utilitrio de linha de comando pode ser usado para monitorar o estado de replicao do DFS servio de replicao.
No possvel acessar o namespace DFS: Certifique-se que ambos os servios Netlogon e D FS est executando em todos os servidores que esto hospedando o namespace.
Incapacidade para encontrar as pastas compartilhadas: Se os clientes no podem se conectar a uma pasta compartilhada, use padro soluo de problemas tcnicas para garantir que a pasta acessvel e que os clientes tm permisses. Lembre-se que os clientes se conectar pasta compartilhada diretamente. ----------------------- Pgina 522----------- -----------11-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
No possvel acessar DFS links e pastas compartilhadas: Verifique se a pas ta subjacente est disponvel e que o cliente tem permisses sobre ele. Se existe uma rplica, verifi car se o problema est relacionado com
problema relacionado com segurana: Lembre-se que o cliente acessa a pas ta compartilhada diretamente, portanto, voc deve verificar a pasta compartilhada e permisses de ACL na pasta.
A latncia de replicao: Lembre-se que a topologia de replicao DFS armazenad no DS do domnio AD; conseqentemente, h alguma latncia antes de qualquer modificao no names pace DFS replicado para todos controladores de domnio.
Informaes Adicionais
Para obter informaes adicionais, visite o site TechNet da Microso ft: http://technet.microsoft.com/en-us/library/cc962144.aspx. ----------------------- Pgina 523----------- -----------Otimizando Acesso de dados para filiais 11-33
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso implantou uma nova filial. Este escritrio tem um nico servidor. P ara apoiar a equipe filial requisitos, voc deve configurar o DFS. Para evitar a necessidade de real izar backups remotamente, um departamento compartilhamento de arquivos na filial sero replicadas de volta para a s ede de backup centralizado. DATA replicado para a sede deve ser somente leitura.
Configurar a replicao DFS ----------------------- Pgina 524----------- -----------11-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
Neste exerccio, voc ir instalar o servio de funo DFS em NYC-NYC SVR1 e-DC1.
1.
2.
1.
2. Abra o Server Manager e adicionar o servio de funo Distributed File System. Certifique-se que voc selecione DFS Namespaces e Replicao DFS.
3.
1.
2. Abra o Server Manager e adicionar o servio de funo Distributed File System. Certifique-se que voc selecione DFS Namespaces e Replicao DFS.
3.
Resultados: No final deste exerccio, voc ter instalado os servios de funo ne cessrios em ambos os servidores. ----------------------- Pgina 525----------- -----------Otimizando A cesso de dados para filiais 11-35
Cenrio
Neste exerccio, voc ir configurar um espao para apoiar a filial distribudos exigncia d e dados. Os escritrios de filiais necessitam de duas pastas: uma para os modelos de pesqui sa e outro para arquivos de dados.
1.
2.
3.
4.
5.
1.
2.
3.
Servidor: NYC-SVR1
Nome: BranchDocs
Tipo de Domnio: Domnio baseado em namespace, e selecione Ativar modo Windows Server 2008
4.
Em DFS Management, na \ Contoso.com \ \ BranchDocs caixa de dilogo Propriedades, na avanada guia, selecione a enumerao baseada em acesso Enable para esta caixa de seleo na mespace.
Compartilhar Criar
Criar pasta ----------------------- Pgina 526----------- -----------11-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Criar partes
Criar pasta
1. Em NYC-SVR1, clique em Iniciar e depois em Pesquisar programas e a rquivos de tipo caixa, \ \ Contoso.com \ BranchDocs e pressione ENTER.
Resultados: No final deste exerccio, voc ter criado e verificado o namespa ce DFS. ----------------------- Pgina 527----------- -----------Otimizand o Acesso de dados para filiais 11-37
Remoto
Neste exerccio, voc vai configurar o DFS replicao entre NYC-NYC SVR1 e-DC1. Voc tambm far a cpia dos arquivos de dados em NYC-DC1 somente leitura.
1.
2.
1. Em DFS Management, expanda Contoso.com \ BranchDocs e clique em arquivos de dados. Nos detalhes painel, observe que existe apenas um destino de pasta.
2.
Compartilhar Criar
Criar pasta
3. Na caixa de dilogo de replicao, clique em Sim. O Assistente Replicar Pasta com ea.
1.
No topologia
2.
3. No painel de detalhes, na guia Associaes, verifique se a pasta replicada most rado em NYC-DC1 e NYC-SVR1. Boto direito do mouse NYC-DC1 e clique em Criar somente leitura.
Resultados: No final deste exerccio, voc configurou com xito a replicao DFS. ----------------------- Pgina 528----------- -----------11-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e , em seguida, clique em Reverter.
3.
4.
BranchCache um novo recurso no Windows Server 2008 R2, que reduz a uti lizao do link WAN para o ramo escritrios. Em alguns casos, tambm pode melhorar o desempenho do aplicati vo para usurios de filiais que acessam dados na sede. Computadores da filial do escritrio do cliente usar um ca che de dados na filial para reduzir trfego atravs de um link WAN. Se voc configurar computadores clientes para usar o modo de cache distribudo, o cache contedo distribudo por computadores clientes. Se voc configurar computador es clientes para usar o cache hospedado modo, o contedo em cache mantida em um computador servidor na rede da f ilial. Voc pode personalizar as configuraes do BranchCache e executar tarefas de configur ao adicionais depois de configurar BranchCache. Voc tambm pode monitorar eventos BranchCache, trabalho e de
sempenho e BranchCache consulta infra-estrutura para verificar a configurao de servidores e uso de cache .
Objetivos
Monitor BranchCache. ----------------------- Pgina 530----------- -----------11-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Um dos desafios que enfrentam filiais melhorar o desempenho dos recurs os da intranet que so acessado a partir de sedes ou centros de dados regionais. Normalmente, as filiais so conectados por WANs, que normalmente tm taxas mais lentas de dados do que a intranet. Reduzi r a utilizao da rede na WAN conexo fornece mais largura de banda para outras aplicaes e servios.
O recurso BranchCache no Windows Server 2008 R2 e Windows 7 reduz a ut ilizao da rede no Conexes WAN entre filiais e matrizes de cache localmente arquivos frequ entemente utilizados em computadores na filial. BranchCache melhora o desempenho de aplicativo s que usam um dos os seguintes protocolos:
SMB, incluindo o trfego SMB assinado: protocolo usado para acessar past as compartilhadas.
Background Intelligent Transfer Service (BITS): Um componente do Windo ws que distribui contedo a partir de um servidor para clientes usando apenas largura de ba nda de rede ociosa.
BranchCache recupera dados de um servidor quando o cliente solicita os dados. Devido BranchCache um cache passivo, ele no vai aumentar o uso WAN. BranchCache armazena apen as as solicitaes de leitura e no ser interferir quando um usurio salva um arquivo.
BranchCache melhora a capacidade de resposta de aplicaes comuns de rede que o acesso intranet servidores atravs de links WAN lentos. Porque BranchCache no requer infra-estrutura adicional, voc pode melhorar o desempenho de redes remotas com a implantao do Windows 7 para computad ores cliente e Windows Server 2008 R2 para servidores, e permitindo o recurso BranchCache.
BranchCache funciona perfeitamente com tecnologias de segurana de rede, incluindo Secure Sockets Layer (SSL), A assinatura SMB, e no fim-de-final Segurana IP (IPsec). Pode usar Bran chCache para reduzir a rede
utilizao de banda e melhorar o desempenho do aplicativo, mesmo se o cont edo criptografado. ----------------------- Pgina 531----------- -----------Oti mizando Acesso de dados para filiais 11-41
Voc pode configurar BranchCache usar o modo de cache hospedado ou o modo de cache distribudo.
Cache Hosted: Este modo opera pela implantao de um computador que est executando o Windows Server 2008 R2 como um host na filial. Os computadores clientes esto configurados com o domnio totalmente qualificado nome (FQDN) do computador host para que eles possam recuperar o contedo do c ache hospedado quando
disponvel. Se o contedo no est disponvel no cache hospedado, o contedo recuperad a partir do contedo servidor por meio de um link WAN e ento fornecida ao cache hospedado para qu e o cliente subseqente os pedidos podem obt-lo de l.
Cache Distribudo: Voc pode configurar BranchCache no modo de cache distribudo para remoto pequeno escritrios sem a necessidade de um servidor Windows Server 2008 R2-based. Ne ste modo, local Windows 7 clientes manter uma cpia do contedo e disponibiliz-lo para outros clientes aut orizados que solicitam o mesmos dados. Isso elimina a necessidade de ter um servidor na filial. No e ntanto, ao contrrio do Hospedado Modo de cache, essa configurao funciona atravs de uma sub-rede nica. Alm disso, os clientes que hibernam ou se desconectar da rede no ser capaz de fornecer contedo para outros cliente s solicitantes.
Quando o BranchCache est habilitado no computador cliente eo computador servidor, o computador cliente realiza o seguinte processo para recuperar dados quando usando o HTTP, HTTPS, ou
protocolo SMB:
1. O computador cliente que est executando o Windows 7 se conecta a um computad or servidor de contedo que est sendo executado Windows Server 2008 R2 na sede e pedidos de contedo semelhante maneira como ele iria recuperar contedo sem usar BranchCache.
2. O computador servidor de contedo na sede autentica o usurio e verifica se o u surio autorizado a acessar os dados.
3. O computador servidor de contedo na sede retorna identificadores ou hashes d o contedo solicitado para o computador cliente em vez de enviar o contedo em si. O computador do servidor de contedo envia que dados sobre a conexo mesmo que o contedo teria sido enviado normalmente.
4.
Se estiver configurado para usar o cache distribudo, os multicasts computado r cliente na sub-rede local para encontrar outros computadores clientes que j baixaram o contedo.
Se estiver configurado para usar o cache hospedado, as buscas do computador cliente para o contedo da configurado cache hospedado.
5. Se o contedo est disponvel na filial, seja por um ou mais clientes ou no cache hospedado, o computador cliente recupera os dados de dentro da filial e garante que os dados so atualizados e no foi adulterado ou danificado.
6.
o contedo diretamente do computador do servidor atravs do link WAN. O computador cliente em seguid a, torna-o disponvel em da rede local para outros computadores clientes que requisitem o (modo de c ache distribudo) ou envia para o Hospedado Cache, onde disponibilizada para outros computadores clientes. ----------------------- Pgina 532----------- -----------11-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Requisitos BranchCache
BranchCache otimiza o fluxo de trfego entre a sede e filiais, e apenas o Windows Server Server 2008 R2 e Windows 7 clientes podem se beneficiar dele. As verses anteriores do operacional Windows sistemas no vai beneficiar desta funcionalidade. Voc pode armazenar em c ache apenas o contedo que est armazenado no Windows Server 2008 R2 servidores de arquivos ou servidores web usando BranchC ache.
Instale o recurso BranchCache ou o BranchCache para a rede de servios p apel arquivos no Windows Servidor Server 2008 R2 que est hospedando os dados.
Configure os clientes, quer usando a Diretiva de Grupo ou a netsh bran chcache comando service set.
Se voc quiser usar o BranchCache para cache de contedo do servidor web, voc deve instalar o BranchCache recurso no servidor web. Configuraes adicionais no so necessrio s. Se voc quiser
usar o BranchCache para o contedo do cache do servidor de arquivos, voc deve instalar o BranchCache para a Rede Arquivos servio de funo do servidor de arquivos, configurar publicao de has h para BranchCache, e criar BranchCachehabilitados os compartilhamentos de arquivos.
BranchCache compatvel com a instalao completa do Windows Server 2008 R2 e no Server Core.
No modo de cache distribudo, BranchCache funciona atravs de uma sub-rede nica. Se os computadores clientes so configurado para usar o modo de cache distribudo, de qualquer computado r cliente pode pesquisar localmente para o computador que j tenha baixado e armazenado em cache o contedo usando um protocolo de multicast chamado WS-Discovery. No modo de cache distribudo, servidores de contedo atravs do link WAN dev e executar o Windows Server 2008 R2, e os clientes no ramo devem executar o Windows 7 ou Windows Server 200 8 R2. Voc deve configurar o cliente de firewall para permitir trfego de entrada, HTTP, e WS-Discove ry. ----------------------- Pgina 533----------- -----------Ot imizando Acesso de dados para filiais 11-43
No modo de cache hospedado, os computadores clientes esto configurados com o FQDN do servidor host para recuperar o contedo do cache hospedado. Portanto, o servidor de acolhimento Branc hCache deve ter um conversor digital certificado, que utilizada para encriptar a comunicao com computadores cliente. No modo de cache hospedado, servidores de contedo atravs do link WAN deve executar o Windows Server 2008 R2. C ache Hospedado no ramo deve executar o Windows Server 2008 R2 eo cliente no ramo devem executar o Windows 7. Voc deve configurar uma
firewall para permitir o trfego HTTP de entrada do servidor de cache hospedado. E m ambos os modos de cache, BranchCache usa o protocolo HTTP para transferncia de dados entre computadores cliente eo com putador que est hospedando o dados em cache. ----------------------- Pgina 534----------- -----------11-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode usar BranchCache para cache de contedo web, que entregue por HT TP ou HTTPS, e armazenar em cache o contedo da pasta compartilhada, que entregue pelo protocolo SMB. Por padro, o BranchCache no estiver instalado no Windows Server 2008 R2.
A tabela a seguir lista os servidores que voc pode configurar para Bran chCache:
Descrio do Servidor
Servidor Web ou bits para configurar um servidor Windows 2008 R2 se rvidor web ou um servidor de aplicativos servidor que usa o protocolo BITS, instale o recurso BranchCache. C ertifique-se que o BranchCache servio foi iniciado. Em segu ida, configure os clientes que iro utilizar o Recurso BranchCache; nenhuma configurao a dicional do servidor web necessrio.
O servidor de arquivos BranchCache para o servio de funo de rede de ar quivos do servidor de Servios de Arquivo papel precisa ser instalado antes que v oc possa habilitar o BranchCache para qualquer arquivo aes. Depois de instalar o BranchCache par
a o servio de funo de rede de arquivos, use Diretiva de Grupo para habilitar o Bran chCache no servidor. Finalmente, voc precisa configurar cada ao de cada arquivo para h abilitar o BranchCache. Voc tambm precisa configurar os clientes que iro utilizar o recurso BranchCache.
Hospedado servidor de cache Para o modo de cache hospedado, voc deve adicionar o recurso BranchCache ao Servidor Windows Server 2008 R2 que voc est configurando como um cache hospedado servidor. Para proteger a comunicao, os computadore s cliente usam Transport Layer Security (TLS) ao se comunicar com o servidor de cache hospedado. Para suportar a autenticao, servidor de cache hospedado deve ser co nfigurado com um certificado que confivel por clientes e adequado para autenticao d o servidor. Por padro, BranchCache aloca cinco por c ento de espao em disco no ativo partio para hospedagem de dados em cache. No entanto, voc pode alterar esse valor usando Diretiva de Grupo ou a ferramenta netsh . ----------------------- Pgina 535----------- -----------Otimizan do Acesso de dados para filiais 11-45
Voc no precisa instalar o recurso BranchCache no Windows 7 porque BranchCache j est includo no Windows 7. No entanto, BranchCache est desativado por padro em computado res cliente. Para ativar e configurar BranchCache, voc precisa executar os seguintes passos:
1.
Habilitar BranchCache.
2.
3.
Habilitar BranchCache
Se voc ativar o cache distribudo ou o modo de cache hospedado sem habilitar o Bran chCache geral recurso, o recurso BranchCache ainda ser desativado nos computadores cliente. No entanto, voc pode ativar o recurso BranchCache em um computador cliente sem habilitar o modo de cache dis tribudo ou o Hospedado modo de cache. Nesta configurao, o computador cliente usa apenas o cache local e no tentar fazer o download de outros clientes BranchCache na mesma sub-rede ou de u m servidor de cache hospedado. Portanto, vrios usurios de um nico computador pode se beneficiar de um cache compar tilhado local nesta cache local de modo.
Voc pode ativar o recurso BranchCache em computadores cliente usando poltica de gr upo ou o netsh branchcache definir comando de servio.
Para configurar as definies do BranchCache usando poltica de grupo, execute os segu intes passos para um domnio baseado em Objeto de Diretiva de Grupo:
1.
2. Navegue at Computer Network Configuration-> Polticas-> Modelos Administrativo s-> e clique em BranchCache. ----------------------- Pgina 536----------- -----------11-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para configurar as definies do BranchCache usando o netsh branchcache co mando de servio conjunto, realizar a seguintes etapas:
1.
2.
netsh branchcache conjunto modo de servio = localizao hostedclient = server> Cache <Hosted
No modo de cache distribudo, os clientes BranchCache usar o protocolo H TTP para transferncia de dados entre computadores cliente e do protocolo WS-Discovery para a descoberta de contedo em cache. Voc deve configurar o firewall do cliente para permitir que as seguintes regras de entrada:
No modo de cache hospedado, os clientes BranchCache usar o protocolo H TTP para transferncia de dados entre o cliente computadores, mas ele no usa o protocolo WS-Discovery. No modo de cache hospedado, voc deve configurar o firewall do cliente para permitir que a regra de entrada, BranchCache-Content Retrieval (Usa HTTP).
Depois de configurar BranchCache, os clientes podem acessar os dados a rmazenados em cache em BranchCache habilitado contedo servidores, disponvel localmente na filial, e no atravs de um link WAN le nto. Voc pode modificar Configuraes BranchCache e executar tarefas de configurao adicionais, tais como:
Limpar o cache
Criar e reproduzir uma chave compartilhada para uso em um cluster de s ervidor ----------------------- Pgina 537----------- -----------Otimi zando Acesso de dados para filiais 11-47
Habilitar BranchCache em um servidor de arquivos. ----------------------- Pgina 538----------- -----------11-48 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Monitoramento BranchCache
Aps a configurao inicial, voc pode querer verificar se BranchCache est conf igurado corretamente e funcionando corretamente. Voc pode usar o show status netsh branchcache todos os comandos para exibir a BranchCache status do servio. No cliente e servidores de cache hospedad o, informaes adicionais, tais como o localizao do cache local, o tamanho do cache local, eo status das regras de firewall para HTTP e WS-Discovery protocolos que usa BranchCache mostrado.
Contadores de desempenho: acompanhamento dos trabalhos BranchCache e d esempenho usando o BranchCache monitorar contadores de desempenho. Contadores BranchCache do mon itor de desempenho so a depurao til ferramentas para controlar a eficcia da BranchCache e sade. Voc tambm pode usar BranchCache monitor de desempenho para determinar a economia de largura de ba nda no modo de cache distribudo ou no modo de cache hospedado. Se voc tiver System Center Operations Manager 2007 SP2 implementado no ambiente, voc pode usar BranchCache Management Pack para o Syst em Center Operations
Manager 2007. ----------------------- Pgina 539----------- -----------Otimizando Acesso de dados para filiais 11-49
Instalao de laboratrio
Importante Voc deve reconfigurar o 6421B-NYC-CL2 computador para o privado rede So fornecidas instrues para isso.
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
6. Em Configuraes para 6421B-NYC-CL2 caixa de dilogo, no painel de naveg ao, clique em adaptador de rede.
7. No painel Resultados da, na lista drop Rede down list, clique em R ede Privado e em seguida, clique OK. ----------------------- Pgina 540----------- -----------11-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrio Lab
Contoso implantou uma nova filial. Este escritrio tem um nico servidor. Para apoiar a equipe filial requisitos, voc deve configurar BranchCache. Os dados so centralizados n a sede. Para reduzir WAN utilizao fora para a filial, BranchCache ser configurado para estes dados .
Cenrio
1.
2.
3.
4.
1.
2. Server Manager aberto e instalar o BranchCache para a rede de servio de pape l arquivos.
3.
4.
Lanman publicao Server> Hash para BranchCache. Habilite esta configurao e, em s eguida, selecione Permitir publicao de hash apenas para as pastas compartilhadas no qual BranchCache est
habilitado.
1.
2.
3.
1.
2.
Sharename: Share
Permisses: padro
3.
4.
1.
2. Navegue at a Floresta: Contoso.com> Domnios> Contoso.com> Diretiva de Domnio P adro. Abra o poltica para edio.
3. om
Navegue at Polticas> Windows Definies> Segurana Configuraes> Firewall do Windows Advanced Security> Windows Firewall com Segurana Avanada> Regras de Entrada.
----------------------- Pgina 542----------- -----------11-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
4. Criar uma nova regra de firewall de entrada com as seguintes propr iedades:
Aco: Permitir
5. Criar uma nova regra de firewall de entrada com as seguintes propr iedades:
Aco: Permitir
Resultados: No final deste exerccio, voc vai ter preparado o ambiente de rede para BranchCache. ----------------------- Pgina 543----------- -----------Otimizan do Acesso de dados para filiais 11-53
Cenrio
Neste exerccio, voc ir configurar NYC-CL1 e CL2-NYC com as configuraes necessrias para permitir BranchCache.
1.
Tarefa 1: Configurar os clientes para usar o BranchCache no modo de cache hosped ado
1.
No Editor de Gesto de Polticas, navegue at Configurao do computador> Poltica Modelos Administrativos> Rede> BranchCache.
2.
3. Ativar o conjunto BranchCache Hosted valor modo de cache e, em seguida, con figurar o Digite o local de hospedado valor Cache: NYC-SVR1.contoso.com.
valor de ida e volta em milissegundos latncia de rede, acima do qual os arqu ivos de rede devem ser armazenados em cache o valor da filial: 0.
5.
6. Inicie a mquina 6421B-NYC-CL1 virtual e faa logon como Contoso \ Administrado r com a senha de Pa $ $ w0rd. Abra um prompt de comando e atualizar as configuraes de Diret iva de Grupo (gpupdate / force).
7. Na janela do prompt de comando, digite netsh show status branchcache tudo e pressione ENTER.
8. Inicie a mquina 6421B-NYC-CL2 virtual e faa logon como Contoso \ Administrado r com a senha de Pa $ $ w0rd.
9.
10. Reinicie o computador. Faa logon como Contoso \ administrador com a senha do Pa $ $ w0rd.
11. Abra um prompt de comando e atualizar as configuraes de Diretiva de Grupo (gp update / force).
12. Na janela do prompt de comando, digite netsh show status branchcache tudo e pressione ENTER.
Resultados: No final deste exerccio, voc ter configurado nos computadores cliente p ara BranchCache. ----------------------- Pgina 544----------- -----------11-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Remoto
1.
2.
3.
1. Iniciar 6421B-NYC-SVR1. Depois que o computador iniciado, faa logo n como Contoso \ Administrator com o senha do Pa $ $ w0rd.
2.
3.
1. tador novo.
2.
3. Na guia Detalhes, visualizar o campo de impresso digital. Copie o texto da seo de detalhes para a pasta tampo.
4.
5. Execute o seguinte comando, substituindo certifcatehashvalue com o contedo do buffer de paste deixando de fora os espaos.
netsh http add sslcert ipport = 0.0.0.0:443 certhash = certifica tehashvalue appid = {d673f5ee-A714-454d-8de2-492e4c1bd8f8}
6. Na janela do prompt de comando, digite netsh show status branchcac he tudo e pressione ENTER.
1.
2. Abra o Active Directory Users and Computers. Criar uma nova UO ch amado BranchCacheHost e mover NYC-SVR1 nesta OU.
3. CacheHost.
4.
5.
6.
7. Na janela do prompt de comando, digite netsh branchcache definir h ostedserver servio e, em seguida, pressione ENTER.
Resultados: No final deste exerccio, voc vai ter habilitado o servidor B ranchCache na filial. ----------------------- Pgina 545----------- -----------Otimiza ndo Acesso de dados para filiais 11-55
Remoto
1.
2.
3.
4.
1.
2. No painel de navegao do console Monitor de Desempenho, em Ferramentas de Moni toramento, clique em Acompanhamento de desempenho Remova os contadores existentes, mudar para um a vista de relatrio e, em seguida adicionar o BranchCache objeto para o relatrio.
1.
2.
3. No painel de navegao do console Monitor de Desempenho, em Ferramentas de Moni toramento, clique em Monitor de desempenho. Remova os contadores existentes, mudar para uma vist a de relatrio e, em seguida adicionar o BranchCache objeto para o relatrio.
1.
2.
3. No painel de navegao do console Monitor de Desempenho, em Ferramentas de Moni toramento, clique em Acompanhamento de desempenho Remova os contadores existentes, mudar para um a vista de relatrio e, em seguida adicionar o BranchCache objeto para o relatrio.
1.
2. Abrir \ \ NYC-DC1.contoso.com share \ e copie o arquivo executvel para o amb iente de trabalho local. Isso poderia demorar alguns minutos devido ao link simulado lento.
3. Leia as estatsticas de desempenho em NYC-CL1. Este arquivo foi retirado do N YC DC1-(Recuperao: Bytes do servidor). Depois que o arquivo estava armazenado em cache localme nte, ele foi passado para o cache hospedado. (Recuperao: Servido Bytes).
4.
5. Abrir \ \ NYC-DC1.contoso.com share \ e copie o arquivo executvel para o amb iente de trabalho local. Este deve No demorou muito, pois o arquivo armazenado em cache. ----------------------- Pgina 546----------- -----------11-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
6. Leia as estatsticas de desempenho em NYC-CL2. Este arquivo foi obt ido a partir do cache hospedado (Recuperao: Bytes de Cache).
7. Leia as estatsticas de desempenho em NYC-SVR1. Este servidor tem o ferecido dados em cache para os clientes (Hosted Cache: segmento de arquivo Client oferece feita).
Resultados: No final deste exerccio, voc vai ter verificado a funo de Bran chCache.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o
seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.
3.
4. C-CL2.
----------------------- Pgina 547----------- -----------O timizando Acesso de dados para filiais 11-57
Questes de Reviso
1.
2. replicao?
3. DFS?
4.
5. Por que voc deseja implementar BranchCache no modo hospedado cache em vez de cache distribudo modo?
Somente leitura pastas replicadas Capacidade de configurar somente le itura pastas replicadas da DFS Console de gerenciamento
BranchCache ajuda a acelerar o acesso a arquivos cache-los em um loca l computador ou em um servidor na filial ----------------------- Pgina 548----------- -----------11-58 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Ferramentas
Dfsutil Executar operaes avanadas em Em um servidor de namespace, Dfsut il tipo de Namespaces DFS no prompt de comando.
Dfsdiag Configurar e monitorar DFS Em um servidor de namespace, Dfsd iag tipo de o prompt de comando.
o prompt de comando.
Dfscmd.exe Scripting tarefas bsicas DFS como em um servidor de namesp ace, tipo dfscmd em configurar DFS razes e metas prompt de comando .
DFS Gesto Executar tarefas relacionadas com a DFS Clique em Iniciar, aponte para Administrao namespaces e ferramentas de replicao e, em segu ida, clique em Gerenciamento DFS.
Netsh Configurando configuraes de rede, de linha de comando incluindo os que so relevantes para BranchCache, e exibir Estado BranchCache ----------------------- Pgina 549----------- -----------12.1.
Mdulo 12
Contedo:
Laboratrio: Controle e Monitoramento de armazenamento de rede 12-28 ----------------------- Pgina 550----------- -----------12-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Armazenamento de rede para os usurios um recurso finito que deve ser ge renciado de forma adequada para garantir que ele permanece disponvel para todos os usurios. Se o armazenamento de rede no monitorado e gerenciado, ele pode tornar-se cheio de dados irrelevantes, como o pessoal da msica ou filmes. Aumentos irrelev antes de dados de rede de armazenamento e os custos em alguns casos pode evitar que dados teis a partir da colocao no armazename nto em rede. Resource File Server Manager (FSRM) pode ser usado para monitorar e gerenciar o armazenamen to em rede.
Objetivos
Descrever como implementar o bloqueio de arquivos, gerenciamento de cl assificao, e as tarefas de gerenciamento de arquivos por usando FSRM. ----------------------- Pgina 551----------- -----------Co ntrole e Monitoramento de armazenamento de rede 12-3
FSRM uma funo de servidor para Windows Server 2008 que ajuda a monitorar e controlar o armazenamento em rede. Para monitor de armazenamento de rede, FSRM inclui uma srie de relatrios que v oc pode usar para identificar o crescimento do armazenamento e outras questes que esto relacionadas com armazenamento em rede. Os rela trios podem ser agendadas ou criadas on-demand.
Objetivos
Instalar e configurar o File Server Resource Manager. ----------------------- Pgina 552----------- -----------12-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Gerenciamento de armazenamento o processo de planejamento, implementao, anlise e otimizao dos mtodos, ferramentas e componentes que so usados amento. medida que o tamanho e no ambiente da organizao de armazen
complexidade dos dados aumenta, a necessidade de gerenciamento de capa cidade tambm aumenta. Para atender com eficcia necessidades de armazenamento de sua organizao, voc precisa controlar a f orma como muita capacidade de armazenamento est disponvel, como muito espao de armazenamento que voc precisa para uma futura expanso, e c omo voc est usando o armazenamento do meio ambiente.
Pergunta: Quais so alguns dos desafios de gerenciamento de armazen amento em sua organizao? ----------------------- Pgina 553----------- -----------Con trole e Monitoramento de armazenamento de rede 12-5
File Server Resource Manager (FSRM) um servio de funo da funo Servios de Arquivos no indows Server 2008 que atua como uma soluo de gerenciamento de armazenamento para servidores de arquivos. Ele fornece um conjunto robusto de ferramentas e capacidades que permitem que voc efetivamente gerenciar e monitorar a capacidade do seu servi dor de armazenamento.
FSRM contm cinco componentes que trabalham juntos para fornecer uma soluo de gerenc iamento de capacidade:
Cotas: A funcionalidade de quota em FSRM permite que voc defina limites de armaze namento em volumes ou pastas. Voc pode usar isso para controlar o armazenamento que usado por indivduos ou departam entos.
triagem de arquivo: A capacidade de triagem de arquivo no FSRM permite controlar quais tipos de arquivos podem ser armazenado em um compartilhamento de arquivo. Tipos de arquivos so identific ados pela extenso do arquivo.
Relatrio de armazenamento: Os relatrios de armazenamento em FSRM pode ser usado pa ra identificar quota de utilizao de triagem de arquivo,
atividade, e muito mais. Estes relatrios podem ajudar a identificar reas de i nteresse que precisam ser abordadas.
Classificao: As capacidades de classificao em FSRM permitir que arquivos sejam ident ificados como um tipo particular ou Classificao O arquivo pode ser gerido com base na classificao. Essa funcionalid ade est disponvel apenas no Windows Server 2008 R2.
Gerenciamento de Arquivos: A funcionalidade de gerenciamento de arquivo no FSRM permite que voc para expirar automaticamente arquivos ou executar tarefas de arquivo personalizado de gesto que so definid as por um script. Esta funcionalidade disponvel apenas no Windows Server 2008 R2. ----------------------- Pgina 554----------- -----------12-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
FSRM pode gerar relatrios que ajudam a entender o uso do armazenamento de arquivo em um servidor de arquivos. Voc pode usar o armazenamento de relatrios para monitorar os padres de uso de disco (po r tipo de arquivo ou usurio), identificar arquivos duplicados e dormentes arquivos, uso da cota da faixa, e de triagem de arquivo de auditoria.
A maioria dos relatrios de armazenamento tm configurvel parmetros que det erminam o contedo do relatrio. Por exemplo, alguns relatrios permitem que voc selecione volumes ou pastas especficas em que a relatar.
Relatrio Descrio
Arquivos duplicados lista arquivos que parecem ser duplicatas (arqu ivos com o mesmo tamanho e ltima modificado tempo). Utilize este rela trio para identificar e recuperar espao em disco que desperdiado devido duplicidade de arq uivos.
Arquivo lista de Triagem de Auditoria de arquivos de rastreamento e ventos que ocorreram no servidor para um determinado Nmero de dias Utilize este relatrio pa ra identificar os usurios ou aplicativos que violam polticas de triagem.
Arquivos por Grupo de Arquivos Lista arquivos que pertencem a grupo s de arquivos especficos. Utilize este relatrio para identificar arquivos grupo de padres de uso e grupos de ar quivos que ocupam grandes quantidades de espao em disco. Isto pode ajud-lo a determinar que as telas de arquivo para configurar no servidor.
Arquivos por arquivos Proprietrio listas que so agrupados por proprie trios de arquivos. Utilize este relatrio para analisar o uso padres no servidor e os usurios que co nsomem grandes quantidades de espao em disco.
Arquivos por arquivos de Propriedade listas, os valores de uma prop riedade de classificao especial. Utilize este relatrio para observar os padres de arquivos de uso de classificao. ----------------------- Pgina 555----------- -----------C ontrole e Monitoramento de armazenamento de rede 12-7
(continuao)
Relatrio Descrio
Arquivos de grandes Lista ficheiros que so de um tamanho especfico ou maior. Ut ilize este relatrio para identificar arquivos que esto consumindo mais espao em disco no servid or. Isso pode ajudar voc recuperar rapidamente grandes quantidades de e spao em disco.
Menos Recentemente Lista arquivos que no tenham sido acessados ico de dias. Este lata Arquivos acessados quivados e retirados
Mais recentemente Lista arquivos que foram acessados cado de dias. Utilize este
Uso da cota Lista quotas para as quais o uso da cota maior do que uma porcent agem especificada. Utilize este relatrio para identificar cotas co m nveis altos de uso de modo que voc possa tomar ao apropriada. ----------------------- Pgina 556----------- -----------12-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode criar programada ou relatrios sob demanda. Os relatrios podem ta mbm ser gerado automaticamente para notificar quando um usurio exceder um limite de cota ou salva um arquivo no autori zado.
de relatrio um conjunto de relatrios de gerenciamento de armazenamento que funcionam com base em um cronograma. A tarefa de relatrio especific a que relata para gerar e quais parmetros para usar, que volumes e pastas para relatar, quantas vezes para gerar os r elatrios, e quais os formatos de arquivo para guard-las dentro
On-demand relatrios so gerados por um administrador que est selecionando a opo de gerar relatrios Agora. Normalmente, esse tipo de relatrio usado para solucionar problem as ou para verificar rapidamente em armazenamento informao que no est includo em um relatrio agendado.
Relatrios gerados automaticamente so configurados como parte de triagem de arquivo ou de gesto de quotas. Como parte do a triagem de arquivos e configurao de gerenciamento de cota, voc pode opt ar por ter relatrios automaticamente gerada quando os usurios salvam arquivos imprprios ou exceder sua cota.
Independentemente de como voc gerar um relatrio, ou se voc optar por exib ir o relatrio imediatamente, o relatrio salvo no disco. Relatrios de incidentes so salvos na dinmica form ato HTML (DHTML). Voc pode salvar relatrios programados e sob demanda em DHTML, HTML, XML, CSV e f ormatos de texto.
Relatrios agendados, sob demanda relatrios e relatrios de incidentes so gu ardadas em subdiretrios separados do % Systemdrive% \ StorageReports \ pasta. ----------------------- Pgina 557----------- -----------Controle e Monitoramento de armazenamento de rede 12-9
Instale FSRM.
Veja as opes de configurao FSRM. ----------------------- Pgina 558----------- -----------12-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Uma das maneiras que voc pode garantir que a armazenagem adequada est dis ponvel para os usurios por definio e quotas de monitoramento. O gerenciamento de cota fornecida pela FSRM pe rmite monitorar e limitar o tamanho das pastas individuais. Isso diferente de quotas NTFS que so baseados apenas em que o usurio possui arquivos. Para simplificar o aplicao das quotas, voc pode usar modelos de cota.
Objetivos
Explique como monitorar o uso da cota. ----------------------- Pgina 559----------- -----------Contr ole e Monitoramento de armazenamento de rede 12-11
Voc pode usar o gerenciamento de cotas para limitar o espao em disco alocado para volumes ou pastas no arquivo servidores. Usando quotas, voc pode gerenciar as restries de capacidade em uma vari edade de maneiras. Por exemplo, voc pode usar uma cota para garantir que os usurios individuais no consumir quantidades excessiv as de armazenamento com a sua casa unidades, ou limitar a quantidade de espao consumido a pasta compartilhada que us ado por um determinado departamento.
Uma cota rgida impede que os usurios salvem arquivos depois que o limite de espao a tingido, e gera notificaes quando o volume de dados atinge cada limite configurado.
Uma cota flexvel no impe o limite de cota, mas gera todas as notificaes configuradas.
Para determinar o que acontece quando as abordagens limite da cota, voc pode conf igurar limites de notificao. Para cada limite que voc definir, voc pode enviar notificaes por email, registrar um evento, executar um comando ou script ou gerar relatrios de armazenamento. Por exemplo, voc pode querer para noti ficar o administrador eo usurio que salvou o arquivo quando uma pasta atinge 85 por cento do seu limite de cota e, em seguida, enviar uma outra notificao quando o limite de cota seja alcanada. Em alguns casos, voc pode querer executar u m script que aumenta o limite de cota automaticamente quando um limite atingido.
----------------------- Pgina 560----------- -----------12-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quotas NTFS permitem que um administrador declarar um limite de armaze namento em geral em uma base de usurio individual para uma NTFS formatado volume em um servidor de arquivos. Este mtodo controla o consumo de um usurio de armazenamento em todo o volume, independentemente da pasta que est dentro quotas NTFS no conta p ara a compresso NTFS, que significa que mesmo que um arquivo compactado pode ocupar menos espao fs ico do que se fosse sem compresso, a quota ser aplicada com base no tamanho descompactado do arquivo.
Quotas NTFS disco so baseadas na propriedade do arquivo, contas do sist ema de modo de funcionamento no so imunes disco quotas. Contas do sistema, tais como o sistema local, tambm so suscetveis a ficar sem espao em disco devido cotas de disco para ter sido definida.
FSRM gerenciamento de cota apresenta algumas vantagens sobre quotas NT FS. A tabela a seguir estabelece a diferena fundamental entre FSRM gesto baseada em quotas e u sando cotas de disco NTFS:
Disk uso clculo do tamanho do arquivo lgico relatado por NTFS espao em disco real
Evento mecanismos de notificao registra apenas e-mail, relatrios perso nalizados, execuo
comandos ou scripts, logs de eventos ----------------------- Pgina 561----------- -----------Contr ole e Monitoramento de armazenamento de rede 12-13
Um modelo de cota define um limite de espao, o tipo de cota (rgida ou flexvel), e u m conjunto de notificaes a ser gerado quando o limite de cota abordado ou ultrapassado. Modelos de cota simplif icar a criao e manuteno de quotas. Usando um modelo de cota, voc pode aplicar um limite de armazen amento padro e um conjunto padro de limiares de notificao para muitos volumes e pastas nos servidores em toda a sua organizao.
Se baseando suas cotas em um modelo, voc pode atualizar todos os contingentes que so baseados no modelo editando esse modelo. Este recurso simplifica atualizao das propriedades das quotas, fornec endo um ponto central onde Os administradores de TI podem fazer todas as alteraes.
Por exemplo, voc pode criar um modelo de cota de usurio que voc usar para colocar u m limite de 200 MB no pessoal pasta de cada usurio. Para cada usurio, voc deve ento criar uma cota com base no mod elo de cota do usurio e atribu-lo para a pasta do usurio. Se voc decidir mais tarde para permitir que cada utilizador de espao adicional no servidor, voc s alterar o limite de espao no modelo de cota do usurio e escolher para atualizar ca da quota que se baseia em que modelo de cota.
FSRM tambm pode gerar cotas automaticamente. Quando voc configura uma quota auto-a plicar, voc aplica um modelo de cota para um volume ou pasta pai. Em seguida, uma quota que baseado no
modelo criado para cada uma das subpastas existentes, e uma cota gerado automaticamente para cada n ova subpasta que criado. ----------------------- Pgina 562----------- -----------12-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Gerar uma quota de notificao. ----------------------- Pgina 563----------- -----------Controle e Monitoramento de armazenamento de rede 12-15
Alm da informao nas notificaes que so enviados por quotas, voc pode encontrar uso da c ta por visualizar as quotas no console FSRM, gerando um relatrio Uso de Cota, ou pela cr iao de cotas flexveis para monitorar o uso geral do disco. Use o relatrio de uso da cota para identific ar cotas que poder em breve ser excedido para que voc possa tomar a ao apropriada.
Para monitorar o uso geral do disco, voc pode criar cotas flexveis para volumes ou compartilhamentos. FSRM fornece o
seguindo modelos predefinidos que voc pode usar (ou adaptar) para essa finalidade :
Monitor de 500 Compartilhar MB ----------------------- Pgina 564----------- -----------12-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Alm de controlar o volume de armazenamento utilizado em um servidor de a rquivos que o uso de cotas, voc pode querer para controlar o tipo de arquivos que so armazenados no servidor. FSRM i nclui triagem de arquivo, classificao e gerenciamento de arquivo para ajudar a controlar o contedo que permitido em um servidor e gerenciar esse contedo.
Objetivos
Descrever o gerenciamento de arquivo. ----------------------- Pgina 565----------- -----------Cont role e Monitoramento Armazenamento de Rede 12-17
Triagem de arquivo permite que voc crie telas de arquivos para bloquear os arquiv os sejam salvos em um volume ou em uma pasta rvore. Uma tela de arquivo afeta todas as pastas no caminho designado. Voc pode us ar grupos de arquivos para controlar os tipos de arquivos que as telas de arquivo gerenciar. Por exemplo, voc pode criar uma tela de arquiv o para evitar que usurios armazenem udio e arquivos de vdeo em suas pastas pessoais no servidor.
Como todos os componentes do FSRM, voc pode optar por gerar notificaes por correio electrnico ou outro, quando um arquivo evento de triagem ocorre.
triagem ativa impede que os usurios salvem os tipos de arquivos no autorizados no servidor e gera configurado notificaes quando tentam faz-lo.
O rastreio passivo envia notificaes configuradas para usurios que esto salvando os t ipos de arquivos especficos, mas faz
Nota: Uma tela de arquivo no impede que usurios e aplicaes de acessar arquivo s que foram salvo no caminho antes que a tela arquivo foi criado, independentemente d e os arquivos so membros de grupos de arquivos bloqueados. ----------------------- Pgina 566----------- -----------12-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Para configurar o bloqueio de arquivos, voc precisa entender os diferen tes componentes que podem ser configurados. Arquivo triagem baseia-se nos grupos de arquivos de configurao, modelos de triag em de arquivos e excees de triagem de arquivo.
Grupos de arquivos
Um grupo de arquivos consiste em um conjunto de padres de nomes de arqu ivos, que so agrupados em arquivos a serem includos e arquivos excluir. Normalmente, os padres de nomes de arquivos so baseados em exte nses de arquivo, como *. Mp3 ou *. Doc. Uma tela de arquivo inclui uma lista de grupos de arquivos que se aplica.
FSRM fornece grupos padro vrios arquivos, que voc pode exibir em Gerencia mento de Triagem de Arquivo, clicando em o arquivo n Grupos. Voc pode definir grupos de arquivos adicionais ou al terar os arquivos para incluir e excluir. Qualquer mudana que voc faz para um grupo de arquivos afeta todas as tel as de arquivos existentes, modelos e relatrios a que o grupo do arquivo foi adicionado.
Para simplificar o gerenciamento tela de arquivo, voc pode criar suas t elas de arquivo com base em modelos de triagem de arquivos. POR criao de telas de arquivo exclusivamente a partir de modelos, voc pode ge renciar suas telas de arquivo central atravs da actualizao os modelos em vez de telas de arquivo individual.
Notificaes de ser gerados ----------------------- Pgina 567----------- -----------C ontrole e Monitoramento de armazenamento de rede 12-19
Ocasionalmente, voc precisa permitir excees para o arquivo de rastreio. Por exemplo , voc pode querer bloquear o vdeo arquivos de um servidor de arquivos, mas voc precisa permitir que o seu grupo de treinamento para salvar arquivos de vdeo para o seu computador base de treinamento. Para permitir que os arquivos que as telas de arquivo outro s esto bloqueando, criar uma exceo de triagem de arquivo.
Uma exceo tela arquivo um tipo especial de tela do arquivo que voc pode criar para substituir qualquer triagem de arquivo que seria aplicvel a uma pasta e todas as suas subpastas em um caminho de exceo des ignado. Isto , ele cria uma exceo a todas as regras que so derivados de uma pasta pai. Para determinar quais tipos de arquivos que a exceo permitir, grupos de arquivos so atribudos.
----------------------- Pgina 568----------- -----------12-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Teste a tela de arquivo. ----------------------- Pgina 569----------- -----------Con trole e Monitoramento de armazenamento de rede 12-21
Classificao arquivo define propriedades e valores para os arquivos. Voc pode ento ge renciar arquivos com base naquelas propriedades e valores. Voc pode usar essa funcionalidade em servidores de arquiv os para classificar o documento em categorias e, em seguida, gerenciar os documentos com base nessas categorias.
A maioria dos aplicativos gerenciar arquivos com base em sua localizao ou a pasta na qual elas esto contidas. Este conduz a estrutura de pastas complicado que muitas vezes afeta negativamente a u sabilidade dos arquivos e pastas e aumenta as exigncias administrativas.
Para reduzir o custo eo risco associado a este tipo de gerenciamento de dados, a classificao do arquivo infra-estrutura utiliza uma plataforma que permite aos administradores classific ar arquivos e aplicar polticas com base no que Classificao O layout de armazenamento no afetada por requisitos de gesto de dados e da organizao pode se adaptar mais facilmente a um negcio em mudana e ambiente regulatrio.
Os ficheiros podem ser classificados em uma variedade de maneiras. Na maioria do s cenrios, a classificao feita manualmente. O arquivo classificao no Windows Server 2008 R2 permite que as organizaes para converter esses processos manuais em polticas automatizadas. Por exemplo, os arquivos de um tipo especfico pode ser exp irado aps um perodo de tempo especificado. Os administradores podem especificar as polticas de gerenciamento de arquivo com base na classificao de um arquivo e aplicar corporativa requisitos para o gerenciamento de dados com base no valor do negcio. Alm disso, o s administradores podem modificar o polticas e instrumentos de uso que suportam a classificao para gerenciar seus arqui vos.
propriedade e os valores vlidos para essa propriedade. Existem vrios tipos de prop riedade muitos que voc pode escolher, incluindo: nmero, string, e uma lista de mltipla escolha. Propriedades de classifi cao so atribudos usando regras de classificao. ----------------------- Pgina 570----------- -----------12-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Propriedades de classificao de arquivos so armazenados em fluxos de dado s NTFS alternados. Como conseqncia, se voc mover um arquivo classificado em uma unidade no-formatado NTFS, o arqui
Propriedades de arquivo de classificao para documentos do Microsoft Off ice so armazenadas no documento como costume propriedades do documento. As propriedades de classificao armazena dos em um documento do Microsoft Office so mantidas, independentemente de onde o arquivo movido.
contedo dentro de arquivos de container, tais como. Zip ou. Vhd, no pod em ser classificadas.
Classificao de arquivo Observao s est disponvel em servidores de arqu vos que esto executando o Windows Server 2008 R2. ----------------------- Pgina 571----------- -----------Con trole e Monitoramento de armazenamento de rede 12-23
Regras de classificao atribuir propriedades de classificao de arquivos. Cada regra d e classificao inclui informaes que define quais os ficheiros a regra se aplica ea propriedade de classificao a ser at ribuda. Est incluem o propriedade de classificao especfica e valor da propriedade na regra.
Voc usa o alcance de uma regra de classificao para especificar uma ou mais pastas q ue a regra de classificao ser Aplica-se a Em um servidor de arquivos, voc pode ter regras de classificao diferent es para cada departamento e aplicar regras departamentais apenas para as pastas que contm os dados para esse departam ento.
Cada regra contm um mecanismo de classificao que determina como os arquivos corresp ondentes para o Estado so selecionados. O classificador pasta seleciona arquivos com base no caminho que o arquivo est ar mazenado dentro As pesquisas classificador de contedo para strings ou expresses regulares no contedo do arquivo.
O classificador de contedo usa parmetros de classificao para definir o padro procurad o no contedo do arquivo. Voc pode definir um destes parmetros de classificao:
RegularExpression: Combinar uma expresso regular, usando a sintaxe. NET. Por exem plo, "\ d \ d \ d" vontade corresponder a qualquer nmero de trs dgitos.
StringCaseSensitive: Combinar uma string case-sensitive. Por exemplo, Confidenci al s combinar Confidenciais e no confidenciais ou confidenciais.
String: Combinar uma string, independentemente do caso. Por exemplo, confidencia l ir corresponder tanto Confidencial e CONFIDENCIAL.
Agendamento de Classificao
Voc pode executar regras de classificao de duas maneiras: sob demanda ou com base e m um cronograma. Qualquer caminho que escolher, cada vez que voc executar a classificao, ele usa todas as regras que voc deixou no e stado ativado.
Configurando uma programao de classificao permite que voc especifique um intervalo re gular em que a classificao de arquivos regras ser executado, garantindo que os arquivos do seu servidor so regularmente c lassificados e atualizados com as ltimas propriedades de classificao.
----------------------- Pgina 572----------- -----------12-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Quando as regras de classificao mltiplas aplica a um nico arquivo, na maio ria dos casos as propriedades so combinadas. No entanto, em casos de conflito para uma propriedade nica classificao, os seguintes comportamentos sero aplicadas:
Para propriedades cordas mltiplas, um valor multistring est definido qu e contm todas as cordas originais do valores individuais de propriedade.
Para outros tipos de propriedade, ocorre um erro. ----------------------- Pgina 573----------- -----------Contro le e Monitoramento de armazenamento de rede 12-25
Modificar o cronograma de classificao. ----------------------- Pgina 574----------- -----------12-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Tarefas de gerenciamento de arquivos so processos automatizados que esto programados para aplicar a grupo especfico de arquivos. Para exemplo, uma tarefa de gerenciamento de arquivos pode apagar arquivos que no foram acessados por trs anos.
Voc pode definir arquivos que sero processados icheiros atravs das seguintes propriedades:
Localizao
Propriedades de Classificao
Tempo de Criao
Tempo de Modificao
O nome do arquivo
Voc tambm pode configurar tarefas de gerenciamento de arquivos para noti ficar os proprietrios de arquivos de qualquer poltica iminente que ser aplicado aos seus arquivos.
Tarefas de expirao de arquivo so usados para mover automaticamente todos os arquivos que correspondem a determinados critrios para uma determinada diretrio de validade, onde um administrador pode fazer backup desses ar quivos e exclu-los.
Quando uma tarefa de expirao de arquivo executado, um novo diretrio criad o dentro do diretrio de validade. O novo diretrio agrupados pelo nome do servidor em que a tarefa foi executada, e nomeado de acordo com a nome da tarefa de gerenciamento de arquivos eo tempo que ele foi execu tado. Quando um arquivo expirado encontrado, ele movido para o novo diretrio, preservando sua estrutura de diretrio original. ----------------------- Pgina 575----------- -----------Cont role e Monitoramento de armazenamento de rede 12-27
Expirao nem sempre uma ao desejada a ser executada em arquivos. Tarefas de gerenciam ento de arquivos tambm permitem que voc executar comandos personalizados. Um comando personalizado executado um arquivo executvel ou script para executar uma operao em os arquivos dentro do escopo da tarefa de gerenciamento de arquivos. Por exemplo , voc poderia criar um arquivo personalizado tarefa de gerenciamento que roda cipher.exe com opes para atualizar o agente de re cuperao em todos os arquivos criptografados. ----------------------- Pgina 576----------- -----------12-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. m Iniciar.
3. mea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Contoso decidiu recentemente implementar pastas home privadas para cad a usurio. Essas pastas ser um local de armazenamento alternativa para centralizadas compartilhamento s de arquivo do departamento. Os usurios podem salvar documentos em sua
pastas casa quando no h necessidade de outros usurios para acessar os arq uivos. Por exemplo, alguns usurios preferem no para mostrar os relatrios algum at que sejam concludos.
Configurar classificao de arquivos e gerenciamento de arquivos para remo ver documentos oficiais. ----------------------- Pgina 577----------- -----------Controle e Monitoramento de armazenamento de rede 12-29
Remoto
Para controlar o tamanho das pastas de origem, voc est implementando cotas FSRM. C ada pasta base limitado a 500MB. Para garantir que os usurios no esto surpresos com suas pastas funcionando f ora do espao, uma mensagem enviado por e-mail, notificando-os quando a sua quota superior a 75 por cento. U m evento tambm escrito para o evento registro, para que ele possa ser rastreado pelos administradores.
1.
2.
Instale FSRM.
3.
4.
5.
6.
7.
1.
2. Compartilhar C: \ Home como em casa com as permisses de compartilhamento Con trole Total para o grupo Todos.
On NYC-SVR1, use o Gerenciador Server para adicionar o File Server Resource serv io de funo Manager.
1.
Limite: 500 MB
Limite de notificao:
Em NYC-SVR1, em File Server Resource Manager, configure as seguintes opes de e-mai l notificaes:
Os destinatrios padro de administrador: Administrator@contoso.com~~HEAD=NNS ----------------------- Pgina 578----------- -----------12-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Em NYC-SVR1, em File Server Resource Manager, no n de Cotas, criar uma nova cota com o seguintes configuraes:
3. Use a guia Perfil de Adam Carter para configurar uma pasta home:
A letra da unidade: H:
2. Use o Windows Explorer para exibir as propriedades de H: e verifiq ue se o tamanho limitado a 500 MB.
Resultados: Aps este exerccio, voc ter criado e aplicado quotas para as pa stas base. ----------------------- Pgina 579----------- -----------Controle e Monitoramento de armazenamento de rede 12-31
Cenrio
Os gerentes de Contoso esto preocupados que os usurios vo comear a armazenar grandes arquivos de mdia no recm-criado pastas de origem. Mesmo que o tamanho de cada pasta home est limitado a 500 MB po r quotas, os gerentes quer impedir que o espao seja desperdiado por arquivos de udio, vdeo e grficos, inclu indo um novo udio formato com o AUDX extenso de arquivo. Voc est implementando triagem de arquivo par a impedir que arquivos de mdia de ser armazenados em pastas de origem.
1.
2.
3.
4.
1.
2. No n Gerenciamento de Arquivos de Triagem, editar o udio e Vdeo grupo de arqui vos Arquivos e adicionar *. AUDX.
Em NYC-SVR1, utilize o File Server Resource Manager para criar um modelo de tela de arquivo com o seguinte configuraes:
Em NYC-SVR1, utilize o File Server Resource Manager para criar uma tela de arqui vo com as seguintes configuraes:
1.
2. Use o Windows Explorer para copiar o vdeo dos animais selvagens de bibliotec as \ \ Vdeos Vdeos de exemplo para H: \.
3.
Resultados: Aps este exerccio, voc ter configurado triagem de arquivo para impedir q ue arquivos de mdia de ser colocados em pastas de origem. ----------------------- Pgina 580----------- -----------12-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Cenrio
Depois de implementar as pastas base para todos os usurios, voc descobri u que uma grande quantidade de espao em disco est sendo utilizado por documentos oficiais que so armazenados na Intranet Contos o. No h necessidade para os utilizadores para copiar esses arquivos em suas pastas e ele est desperdiando espao de armazenamen to no servidor de arquivos.
Todos os documentos oficiais conter um cabealho com um nmero de document o oficial. Voc est configurando arquivo classificao para identificar os documentos oficiais sobre a quota inicia l e em seguida, usando o gerenciamento de arquivos para remov-los. Para assegurar que os documentos legtimos no so apagados aciden talmente, os arquivos esto sendo expirado e colocados em C: \ documentos expirados onde eles podem ser recuperad os, se necessrio.
1.
2.
3. Criar uma tarefa de gerenciamento de arquivos para expirar docume ntos oficiais.
4.
1.
2. No n Gerenciamento de classificao, crie uma propriedade nova classif icao com a seguinte configuraes:
Em NYC-SVR1, utilize o File Server Resource Manager para criar uma reg ra de classificao com a seguinte configuraes:
mbito C: Home \
Nome: RegularExpression
Valor: Documento # \ \ d d \ d \ d-\ d \ d \ d ----------------------- Pgina 581----------- -----------Controle e Monitoramento de armazenamento de rede 12-33
Tarefa 3: Criar uma tarefa de gerenciamento de arquivos para expirar documentos oficiais
Em NYC-SVR1, utilize o File Server Resource Manager para criar uma tarefa de ger enciamento de arquivo com o seguinte configuraes:
Escopo: C: \ Home
1.
2. Use o Windows Explorer para criar um documento do Microsoft Word Document t este chamado de H: \.
3.
Documento # 2011-001
4.
5. Em NYC-SVR1, em File Server Resource Manager, no n de regras de classificao, e xecutar o regras de classificao agora.
6. Revise o relatrio de classificao automtica que gerado para verificar se um docu mento oficial encontrado.
7. s.
9. Use o Windows Explorer para navegar pelo contedo de C: \ Documents expirado s e verificar que o Teste Documento est l.
Resultados: Aps este exerccio, voc ter configurado uma regra de classificao para docum entos oficiais e um arquivo tarefa de gerenciamento que expira documentos oficiais.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 582----------- -----------12-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Questes de Reviso
1. Voc quer usar a classificao de arquivos e gerenciamento de arquivos para expirar certos documentos em todo o arquivo servidores em sua organizao. H alguma limitao sobre onde voc pode regis trar classificaes e arquivos gesto?
2. Voc quer usar o gerenciamento de arquivos para expirar antigos doc umentos em compartilhamentos de arquivos departamentais. Um colega preocupado que apagar arquivos sem autorizao vai gerar reclamaes dos departamentos. seu colega corrigir para se preocupar?
3. Voc implementou a triagem de arquivos para evitar que usurios armaz enem arquivos de vdeo nos dados compartilhados
volume que contm pastas departamentais. No entanto, o departamento de Marketing precisa para armazenar vdeo arquivos em sua pasta departamentais. Como voc pode permitir isso?
4. Voc props que cotas FSRM ser usado para controlar o tamanho de comp artilhamentos de arquivos departamentais. A colega tem experincia com quotas NTFS e no acho que as cotas so prtic os de usar porque se baseiam na propriedade do arquivo. O que voc pode dizer ao seu colega sobre as cotas FSRM para superar essa objeo?
5. Os dados em um compartilhamento de arquivos departamental cresceu 10 GB em um nico dia. Tipicamente, o crescimento menor do que 1 GB. Voc est preocupado que um usurio colocou vrios arquivos grandes no compartilhamento de arquivos do departamento. Como voc pode confirmar isso? ----------------------- Pgina 583----------- -----------Control e e Monitoramento de armazenamento de rede 12-35
FSRM Arquivo classificao no Windows Server 2008 adicionou classificao de arquivos para classificar automaticamente os arqu ivos baseados em localizao ou contedo.
FSRM Gerenciamento de arquivos no Windows Server 2008 foi adicionado o gerenc iamento de arquivos para automatizar tarefas de gerenciament o de arquivos, tais como validade.
Ferramentas
File Server Resource Manager Configure triagem de arquivo, cotas de arquivo F erramentas Administrativas gesto de classificao, arquivo e ----------------------- Pgina 584----------- -----------12-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 200 8 ----------------------- Pgina 585----------- -----------13-1
Mdulo 13
Contedo:
Lio 2: Recuperar dados de rede e servidores com o Windows Backup Server 13-9
----------------------- Pgina 586----------- -----------13-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
H uma variedade de cenrios, onde um conjunto de dados de rede ou um serv idor que fornece servios de redes pode ser de nossos barcos Cpias de sombra de volume pode ser usado para restaura r verses anteriores de arquivos quando um arquivo acidentalmente apagados ou modificados em um computador que est executando o Windows S erver 2008. Backup do Windows Server pode ser usado para fazer backup e restaurar arquivos de dados ou um servidor i nteiro.
Objetivos
Descrever como configurar e usar o Backup do Windows Server. ----------------------- Pgina 587----------- -----------Recuperao de Dados de Rede e Servidores 13-3
As cpias de sombra so utilizados para restaurar verses anteriores de arqui vos e pastas. muito mais rpido para restaurar uma verso anterior de um arquivo de uma cpia de sombra do que de um backup tr adicional. Um backup tradicional deveria trabalhar ser armazenado externamente. Instantneos de volumes so tomadas em um horri o que voc pode configurar. Os arquivos e pastas podem ser recuperados por administradores de ou diretamente pelos usurio s finais.
Objetivos
Recuperar dados de uma cpia de sombra. ----------------------- Pgina 588----------- -----------13-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As cpias de sombra um recurso do Windows Server 2008 que tirar fotos de um volume. Depois de um instantneo tomadas, voc e os usurios podem acessar verses anteriores de arquivos e p astas que existiam no momento em que o instantneo foi tirado.
Uma cpia de sombra no tem uma cpia completa de todos os arquivos para cad a foto. Em vez disso, depois de um instantneo tomadas, o Windows Server 2008 rastreia as alteraes de disco para o volu me. A quantidade especfica de espao em disco alocados para acompanhar os blocos de disco alterados. Quando voc acess ar uma verso anterior de um arquivo, alguns dos contedo pode ser na verso atual do arquivo e alguns podem estar no insta
ntneo.
Por padro, os blocos de disco alteradas so armazenadas no mesmo volume q ue o ficheiro original, mas este pode ser modificado. Voc pode definir quanto espao em disco alocado para cpias de sombra. Snapshots mltiplas so retida at que o espao de disco atribuda completa, aps o que, instantneos ma is velhos so removidos para dar espao para novos instantneos. A quantidade de espao de disco usado por um instantneo baseada no tamanho das mudanas de disco entre instantneos.
Porque um instantneo no uma cpia completa de arquivos, ele no pode ser usa do como um a substituio completa para backups tradicionais. Se o disco que contm um volume perdido, em seguid a, os instantneos de que o volume tambm so perdidos.
As cpias de sombra so adequados para a recuperao de arquivos de dados, mas os dados no mais complexos, como bancos de dados que precisam ser logicamente consistente antes de um backup realizado. Um banco de dados que restaurado a partir de verses anteriores provvel que seja corrupto e requerem reparos de banco de dados.
Nota O a Restaurao do Sistema recurso no Windows Server 2008 depe ndente de cpias de sombra que est sendo habilitado. ----------------------- Pgina 589----------- -----------Recuperao de Dados de Rede e Servidores 13-5
As cpias de sombra so habilitadas por padro para todas as unidades. A programao padro para a criao de cpias de sombra De segunda a sexta s 07:00 da manh e meio-dia. Voc pode modificar a programao padro, c omo desejado para o seu
organizao.
Considere-se que o aumento da frequncia de cpias de sombra aumenta a carga sobre o servidor. Voc deveria no agendar cpias de sombra de volume mais de uma vez a cada hora.
Aumente a freqncia de cpias de sombra para mudar frequentemente de dados. Isto aume nta a probabilidade que as mudanas de arquivos recentes so capturados.
Aumente a freqncia de cpias de sombra para os dados importantes. Isto aumenta a pro babilidade de que recente alteraes de arquivos so capturados.
Considere que se voc aumentar a freqncia de cpias de sombra, voc pode precisar aument ar o disco espao alocado para cpias de sombra de volume. Por padro, 10 por cento de espao em disco alocado para cpias de sombra de volume. ----------------------- Pgina 590----------- -----------13-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
As verses anteriores do arquivos podem ser restaurados por usurios ou administrado res. Na maioria dos casos, os usurios no esto cientes de que essa capacidade existe e eles tero de ser fornecidos com instrues sobre como re staurar um anterior verso de um arquivo.
Os administradores podem acessar verses anteriores de arquivos diretamente no ser vidor que armazena os arquivos. Os usurios podem acessar verses anteriores de arquivos pela rede a partir de um compartilhamento d e arquivo. Em ambos os casos, as verses anteriores so acessada nas propriedades do arquivo ou pasta.
Quando estiver a visualizar verses anteriores de um pasta, voc pode ver alguns dos arquivos disponveis e selecione somente o arquivo que
Voc precisa: Alm disso, se mltiplas verses de arquivos esto disponveis, voc pode revis r cada verso antes de decidir qual deve ser restaurado. Finalmente, voc pode copiar uma verso anterior para uma localizao alternativa em vez de restaurar para evitar sobrescrever a verso atual do arquivo.
Windows Vista e Windows 7 clientes so capazes de acessar as verses anteriores de a rquivos sem instalar qualquer software adicional. Para clientes Windows XP, voc deve instalar o client e Verses anteriores. ----------------------- Pgina 592----------- -----------13-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Modifique o arquivo.
Restaurar uma verso anterior. ----------------------- Pgina 593----------- -----------Recuperao de Dados de Rede e Servidores 13-9
Windows Server 2008 inclui o Backup do Windows Server para executar bac kups para discos locais ou de rede aes. Voc pode usar Backup do Windows Server para proteger dados do servido r e restaur-lo quando um arquivo perdida ou uma servidor falhar.
Objetivos
Identificar as diferenas entre o Windows Server Backup em Windows Server 2008 e Windows R2 Server 2008.
Explicar as opes de recuperao disponveis. ----------------------- Pgina 594----------- -----------13-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Backup do Windows Server um recurso que est includo no Windows Server 20 08 para fazer backup e recuperar arquivos e pastas ou um servidor inteiro. O recurso inclui uma interfa ce grfica de usurio e uma linha de comando interface (Wbadmin.exe).
Maioria das grandes organizaes tm comprado software adicional para backup e recuperao, tais como Sistema de Center Gerenciador de Proteco de Dados. Estes pacotes de software tipica mente tm caractersticas mais avanados do que Backup do Windows Server para gerenciar centralmente os backups em vrio s servidores. O Backup do Windows Server tipicamente usado por organizaes menores ou para cenrios de quando um bac kup necessrio rapidamente e outros O software no est disponvel.
Voc pode usar o Backup do Windows Server para fazer backup, quer um dis co ou compartilhamento de rede. Backups de fita no so suportada pelo Windows Server Backup.
As tarefas de backup pode ser agendado no backup do Windows Server. im portante agendar tarefas de backup em um regularmente para garantir que voc tenha backups de alteraes de arquivos recentes. ----------------------- Pgina 595----------- -----------Recuperao de Dados de Rede e Servidores 13-11
Tipos de de Backup
Um backup diferencial copia todos os arquivos que foram alterados desde o ltimo b ackup completo.
Um backup incremental copia todos os arquivos que foram alterados desde o ltimo b ackup completo ou incremental.
Os backups em Backup do Windows Server so diferentes porque usam cpias de sombra, como parte do processo de backup e para armazenar backups. Backup do Windows Server usa os ter mos backup completo e backup incremental de uma maneira diferente:
O primeiro backup completa copia todos os arquivos especificados a partir da fon te e armazena-los em o destino.
O segundo backup completo, e quaisquer outros backups completos, copia todos os arquivos especificados da fonte, mas armazena apenas blocos de disco que mudaram no destino.
Um backup incremental usa uma cpia de sombra volume na fonte de para fazer backup de somente o disco mudou blocos e copi-los para o destino.
Os backups incrementais so mais rpidos porque menos dados movido durante o process o de backup. No entanto servidor, o desempenho reduzido por causa de o processamento que exigido para criar a cpia de sombra sobre a fonte.
Observao A opo para backup completo ou incremental s aplicvel se volumes compl tos esto sendo backup. ----------------------- Pgina 596----------- -----------13-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Independentemente das se backups completos ou incrementais so selecion ados, somente as alteraes do anterior de backup so armazenados em o destino. Entanto, quando voc rever as con tedo de um de backup, todos os backups aparecem como backups completos com os dados que apareceram na fonte em que ponto no tempo.
Backups Note que so armazenados no armazenamento de rede so sempr e um backup completo e apenas um nica cpia dos arquivos mantida.
Backup do Windows Server tambm permite que voc selecione entre backup c ompleto VSS e cpia VSS. O Backup completo VSS limpa os arquivos de log do aplicativo para o qua l existe um provedor de VSS instalado e apaga o arquivo atributo em arquivos. Um atributo de arquivo apagado indica que o arq uivo foi feito backup e usado para indicar que um arquivo no precisa ser feito de novo na prxima vez que u m backup realizado. O VSS cpia de segurana no arquivos de log claras de aplicao ou desmarque o atrib
uto de arquivo em arquivos. ----------------------- Pgina 597----------- -----------R ecuperando Dados de Rede e Servidores de 13-13
Backup do Windows Server est includo no Windows Server 2008 e Windows Server 2008 R2. No entanto, h diferenas significativas entre as duas verses. A tabela a seguir as diferenas entre Backup do Windows Server verses:
Faa o backup de apenas volumes completos. backup de volumes completos ou arquivos e pastas especficos.
Faa o
Volumes de backup dedicados so obrigatrios. ser armazenados em volumes compartilhados com outros
Volumes Crticos de que contenham sistema de estado de dados backup de estado d o Sistema de pode ser especificado. so apoiados.
Backups agendados devem ser criados em locais backups agendados podem ser arm azenados em uma rede armazenamento. partes. ----------------------- Pgina 598----------- -----------13-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Voc pode controlar a capacidade de fazer backup de arquivos e pastas em um servidor usando o backup de arquivos e diretrios de usurio atribuio de direitos na poltica de segurana local de um servidor. Isso tambm pode ser definida usando Diretiva de Grupo.
Os grupos padro com permisso para executar backups em estaes de trabalho e servidores membros so Os administradores e operadores de servidor. Em controladores de domnio , Operadores de backup tambm recebem permisso para executar backups.
Para delegar a capacidade de executar backups, voc pode atribuir o Volt ar backup de arquivos e direitas diretrios usurio para usurios ou grupos adicionais. A atribuio deste direito aproximadamente eq uivalente a atribuir o arquivo a seguir permisses de sistema para o sistema de arquivo inteiro:
Ler Atributos
Permisses de Leitura
Voc pode controlar a capacidade de restaurar arquivos e pastas em um se rvidor usando os arquivos de restaurao e
Nota: Apenas os administradores de confiana deve ser dada a capa cidade de fazer backup ou restaurar arquivos. ----------------------- Pgina 599----------- -----------Re cuperao de Dados de Rede e Servidores 13-15
Backup do Windows Server pode fazer backup e restaurar os dados do estado do sis tema para o Windows Server 2008. Isto essencial quando voc estiver executando uma restaurao completa de um sistema de com putador. Ele tambm pode ser til para se recuperar de erros de configurao e corrupo de dados do estado do sistema.
Os componentes do sistema que compem os dados do estado do sistema para o Windows Server 2008 dependem do servidor papis que esto instalados no computador. Dados do estado do sistema inclui, pelo m enos, os seguintes dados, alm de dados adicionais, dependendo das funes de servidor que esto instalados:
Registro
Os arquivos de inicializao, que consiste em o arquivo Bootmgr e os dados de config urao de inicializao (BCD)
diretrio SYSVOL
Para o Windows Server 2008, todos os volumes que contm os dados do estado do sist ema so chamados de volumes crticos e deve ser feito o backup para executar uma restaurao estado do sistema. Para o Windows S erver 2008 R2, voc pode selecionar para fazer backup apenas o sistema de dados do estado ao invs de volumes crticos. Os dados de estado do sistema GB 7-10 dependendo do a configurao do servidor. ----------------------- Pgina 600----------- -----------13-16 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Opes de Recuperao
Quando voc usar o Backup do Windows Server para tirar um backup do seu servidor, voc pode restaurar todo o servidor ou apenas alguns dados sobre o servidor. As seguintes opes de restaurao es to disponveis:
Arquivos e pastas: Esta opo permite que voc selecione os arquivos e pasta s especficos para se recuperar. Os arquivos podem ser restauradas para seu local original ou um local alternativo.
Volumes: Esta opo permite que voc restaurar volumes inteiros de seu estad o quando o backup foi feito.
Aplicaes: Esta opo permite que voc recupere arquivos de dados a partir do b
ackup se um escritor VSS para a aplicao foi instalado no momento da cpia de segurana. Por exem plo, voc pode restaurar um Banco de dados Exchange Server.
Estado do sistema: Esta opo permite que voc restaure apenas o estado do s istema para um computador. Isto pode ser til se voc acredita que os arquivos do sistema ter sido corrompido e no deseja restaurar os dados arquivos. Se voc selecionar a executar uma restaurao autoritativa de atividade opo arquivos Directory em um controlador de domnio, ento os arquivos restaurados SYSVOL ser autor itria e replicar para outro domnio controladores. Objetos no Active Directory no so selecionadas como autoritrio.
Se voc tiver um backup completo do seu servidor, voc pode executar uma r ecuperao bare-metal por de partida up a partir do Windows Server 2008 R2 DVD de instalao. Selecione a opo de recuperao de imag em do sistema. Um processo semelhante disponvel para Windows Server 2008. ----------------------- Pgina 601----------- -----------Recuperao de Dados de Rede e Servidores 13-17
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Recentemente, um novo servidor de arquivos foi implementado para o depa rtamento de marketing. De alguma forma, no planejamento processo, ningum considerados como os dados sobre o servidor seria prote gida. Voc precisa configurar o volume cpias de sombra no servidor para simplificar a recuperao de arquivos. Voc t ambm precisa para configurar um backup agendado para recuperao de desastres. ----------------------- Pgina 602----------- -----------13-18 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Cenrio
O servidor novo arquivo para o departamento de marketing tem sido imple mentado sem cpias de sombra. O tcnico de que configurado o servidor estava sob a idia incorreta de que cp ias de sombra criar um grande carga de processamento no servidor. Voc precisar configurar cpias de somb ra no servidor e verificar se esto funcionando corretamente.
Os dados para o departamento de marketing muda com freqncia. Nos ltimos do is meses, o perfil de vrios alta incidentes ocorreram, onde os documentos foram alterados de forma inco rrecta e uma cpia recente s poderia ser obtido de backup. O departamento de marketing quer ser capaz de recuperar a ve rso de um arquivo para cada hora.
1.
2.
3.
4.
1. Em NYC-SVR1, abra o Windows Explorer e Configurar Cpias de Sombra e m Disco Local (C :).
2.
3.
4.
5. Use as opes avanadas de agendamento para criar uma agenda nova Dose D iria com a seguinte configurao:
Durao de 24 horas
1. rketing.
2. Compartilhe a pasta C: \ no mercado com o grupo de Marketing e dar -lhes permisso leitura / escrita.
1.
2. Navegue at \ \ NYC-SVR1 Marketing \ e crie um novo documento do Mic rosoft Office Word chamado Planejamento, Oramento.
2011 - $ 1.000
2012 - $ 1.100
2013 - $ 1.200
4.
5.
6.
2014 - $ 1.500
2015 - $ 2.000
7.
8.
9.
1. Em NYC CL1, navegue para a guia Verses anteriores nas Propriedades do compar tilhamento de Marketing.
2. Abra o segunda verso mais recente do a pasta e Planejamento, Oramento, em seg uida, aberto.
3. Verifique se esta no a verso mais recente do arquivo (porque h apenas trs balas ) e fech-lo.
4. Abra a verso mais recente da pasta e Planejamento Oramentrio, em seguida, aber to.
5. Verifique que este a verso mais recente do arquivo (porque existem cinco bal as) e em seguida, feche-lo.
6.
7. .
Resultados: Aps este exerccio, voc ter permitido cpias de sombra para o servidor de a rquivo de Marketing. ----------------------- Pgina 604----------- -----------13-20 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Cenrio
O servidor novo arquivo para o departamento de marketing tem sido impl ementado sem uma soluo de backup. A soluo de backup importante no caso de uma falha de hardware ou corrupo vol ume.
No longo prazo, uma nova licena ser comprado para o Data Protection Mana ger para permitir que este servidor seja centralmente o backup como outros servidores da Contoso. No entanto, a t que a licena comprada, voc est usando O Backup do Windows Server e um drive USB rgido externo (D :) para exec utar a backup, que ser dirio com horas marcadas s 23:00 h. Voc tambm precisa para verificar de qu e a unidade pode segurar, pelo menos, dois backups completos e
1.
2.
4.
On NYC-SVR1, use o Gerenciador do Servidor para instalar o recurso Win dows Server Backup, incluindo o Command de linha-Tools.
1. va.
2.
completa de servidor
1. On NYC-SVR1, no Backup do Windows Server, verificar que o rea de u so Destino indica que aproximadamente 32 GB esto disponveis para backups e que 0 GB so usa dos.
2.
3. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de espao total em disco e aproximadamente 7,4 GB usado.
4. os.
5. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de espao total em disco e ainda aproximadamente 7,4 GB usado. ----------------------- Pgina 605----------- -----------Rec uperando Dados de Rede e Servidores de 13-21
1. On NYC-SVR1, no Backup do Windows Server, usar a opo Recuperar para restaurar C: \ Marketing \ Oramento Planning.docx.
2. Abra Windows Explorer e navegue at C: \ Marketing para verificar que o arqui vo restaurado.
Resultados: Aps este exerccio, voc vai ter configurado um de backup agendado e func ionalidade de backup testado.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:
1.
3.
4.
----------------------- Pgina 606----------- -----------13-22 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Questes de Reviso
1. All de os servidores de arquivos em sua organizao estiver usando a configurao padro para cpias de sombra. A usurio acidentalmente excludo contedo a partir de um arquivo e em se guida, guardado-lo em s 11:00 h. Pode voc restaurar o correta verso a partir uma cpia de sombra?
2. All de os servidores de arquivos em sua organizao estiver usando a configurao padro para cpias de sombra. A usurio acidentalmente excluiu um arquivo vrias semanas atrs, mas no p ercebeu que-lo at que hoje. que possvel para recuperar este arquivo a partir uma cpia de sombra?
ados
3. A sua organizao deixou determinou que quatro horas cada semana so us restaurando arquivos de usurio a partir de
de backup ou cpia de sombra. Um colega tem sugerido treinamento de usurios para executar sua prpria restaura a partir de sombra copia para reduzir a carga de trabalho de o help desk. Ser esta uma boa idia?
4. A sua organizao deixou abriu um escritrio de novo ramo com um nico se rvidor. O servidor tem um banco de dados SQL que usado pelo um de aplicativo local. Pode Backup do Windows Ser ver ser usado para fazer backup e restaurar o banco de dados?
5. Voc tiver configurado um novo servidor para executar um backup dia riamente para um compartilhamento de rede em outro servidor.
Esta uma soluo temporria at que seu software de backup padro no lugar Depois de vrios dias, voc precisar restaurar um arquivo, mas l apenas o de backup mais recen te para selecionar a partir de no, dias mltiplos como voc o esperado. Por que isso ocorrer?
Windows Server Backup Backup do Windows Server foi atualizado em Windows Serve r 2008 R2 para permitir que backups de arquivos de e pastas especficos. Ele tambm permite que agendada backups para uma pasta de re de.
Ferramentas
Verses Anteriores Recuperando arquivos e pastas a partir de um Propriedades de o arquivo ou pasta sombra cpia
Backup do Windows Server Gerenciando Ferramentas Backup do Windows Server Admi nistrativas
WBadmin.exe Managing Backup do Windows Server Command linha de----------------------- Pgina 608----------- -----------13-24 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2 008 Network ----------------------- Pgina 609----------- -----------14-1
Mdulo 14
contedo
Lab: Monitoramento Windows Server 2008 Servidores de Rede Infra-estrutura 14-26 ----------------------- Pgina 610----------- -----------14-2 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Quando uma falha do sistema ou um evento que afeta o desempenho do sis tema ocorre, que voc precisa para ser capaz de reparar o problema ou resolver o problema rapidamente e eficientemente. Com ta ntas variveis e possibilidades em o ambiente de rede moderna, a capacidade de determinar a causa raiz rapi damente muitas vezes depende de se ter uma metodologia de monitoramento eficaz desempenho e conjunto de ferrament as.
Desempenho de monitoramento de ferramentas so usadas para identificar o s componentes que requerem um ajuste adicional e
Soluo de Problemas Ao identificar os componentes que requerem um ajuste adicional, voc pode melhorar a eficincia de seus servidores.
Objetivos
Descrever como para monitorar logs de eventos. ----------------------- Pgina 611----------- -----------Monitoring Window s Server 2008 Servidores de Rede Infra-estrutura 14-3
Windows Server 2008 R2 fornece uma gama de ferramentas para monitorar o sistema operacional e aplicativos. Voc pode usar essas ferramentas para sintonizar o seu sistema para eficincia de e solucionar problemas de problemas. Voc deve usar estes ferramentas e complement-los onde necessrio com suas prprias ferramentas.
Objetivos
Descrever Visualizador de Eventos. ----------------------- Pgina 612----------- -----------14-4 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
Monitor de Desempenho permite que voc para visualizar as estatsticas de desempenho atuais, ou para visualizar dados histricos que recolhidas atravs de o uso de Conjuntos de Coletores de de Dados.
Com o Windows R2 Server 2008, voc pode monitorar desempenho operacional sistema atravs de desempenho objetos e contadores em os objetos. Windows Server 2008 R2 recolhe dad os a partir de contadores de vrias maneiras, incluindo:
valor Maximum
Valor mnimo
Monitor de Desempenho funciona atravs da proporcionando-lhe com uma col eo de objetos e contadores que dados de registro sobre o uso de recursos computador.
Existem muitos contadores que voc pode pesquisar e considerar a monitor izao para atender s suas especfico exigncias. ----------------------- Pgina 613----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-5
Contadores de CPU so um recurso do CPU do computador que armazena a contagem de h ardware-eventos relacionados com.
Processador Tempo de Processador>% exibe a porcentagem de tempo decorrido que um determinado segmento usou o
processador para executar instrues. Uma instruo a unidade bsica de execuo em um ocessador de, e um thread o objeto que executa as instrues. Includo no esta contagem cdigo que manipula a lgum hardware interrupes e condies de trap.
Os processador consistentemente> Interrupts / sec exibe o taxa de, em incidentes por segundo, na qual o processador recebeu e interrupes de hardware servidos.
Sistema de> Processor Queue Length exibe um nmero aproximado de threads que cada processador
a manuteno. O fila do processador comprimento-s vezes fila do processador cham ada de profundidade-relatado por este contador uma valor instantneo de que representante nico de uma instantneo atua l de o processador de, de modo voc deve observar este contador ao longo de um longo perodo de tempo a notar tendncias em dados. Tambm, o System \ Processor contador Comprimento Queue est relatando um comprimento t otal da fila para todos os processadores no, um comprimento para cada processador.
O objeto de desempenho Memria consiste de contadores de que descrevem o comportam ento de fsica e virtual de memria sobre o computador. Memria fsica a quantidade de RAM no computador. Memria virtual consiste de espao de na memria fsica e no disco. Muitos dos contadores de memria mon itorar de paginao, o que o movimento de pginas de cdigo e dados entre disco e memria fsica.
Memria> Pages / sec. exibe o nmero de falhas de pgina rgidos por segundo. Uma falha de pgina duro ocorre quando a pgina de memria solicitada no pode ser localizado em RAM porque-lo ex iste atualmente na de paginao configurao. Um aumento na este contador indica que mais de paginao est ocorrendo , que por sua vez sugere uma falta de memria fsica.
O objeto de desempenho Physical Disk consiste de contadores de que monitoram uni dades de disco rgido ou fixo. Disks so usado para armazenar de dados de arquivo, programa, de paginao e; eles so lidos par a recuperar esses itens, e so escritos para mudanas recordes para-los. Os valores de totais de contadores de disco fsicas so a total de todos os os valores de o
Disk O Physical tempo Disk>% contador indica o quo ocupado um disco particular . U m contador de se aproximando 100 por cento indica que o disco est ocupado quase todos parte do tempo, e u ma gargalo de desempenho possivelmente iminente.
O Disk Physical> Average Disk contador Comprimento Queue indica quantas solicitaes de disco esto esperando para ser reparado pelo o gerente de I / O em Windows 7 em um dado momento. Quanto mais tempo a fila est, o menos o throughput o satisfatria disco.
Taxa de transferncia Nota a quantidade total de trfego que passa um dado pon to em uma rede de conexo para cada unidade de tempo. Workload a quantidade de de processam ento de de que o computador faz em um determinado momento. ----------------------- Pgina 614----------- -----------14-6 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
A maioria dos cargas de trabalho requerem acesso a redes de produo para garantir uma comunicao com outras aplicaes e servios, e para se comunicar com usurios. Requisitos de rede incluem e lementos tais como o throughput e a presena de conexes de rede mltiplas.
Cargas de Trabalho podem requerer acesso a vrias redes diferentes que d evem permanecer seguro. Exemplos incluem conexes de para:
Ao monitorar os contadores de desempenho de rede, voc pode avaliar o de sempenho da sua rede.
Interface A Rede> contador de Bandwidth atual indica a largura de band a atual que est sendo consumido sobre a de interface de rede em bits por segundo (bps). A maioria topologias de rede tm potencial mximo larguras de banda citado em megabits por segundo (Mbps). Por exem plo, Ethernet pode operar em larguras de banda de 10 Mbps, 100 Mbps, 1 Gigabit por segundo (Gbps), e mais elevad os. Para interpretar este contador, divida o valor dado por 1.048.576 para Mbps. Se o valor aproxima-se do lar gura de banda mxima potencial do rede, considere a implementao uma rede comutada ou atualizando para o uma rede que suporta mais elevado larguras de banda.
Interface A Rede> Sada contador Comprimento Queue indica o comprimento atual de a sada fila de pacotes na interface de rede selecionado. Um valor cresce nte, ou um que consistentemente maior do que dois, poderia indicar um gargalo de rede e deve ser invest igada.
----------------------- Pgina 615----------- -----------Monitoring Windows Server 2008 Servidores de Rede Infra-estrutura 14-7
O Resource Monitor de interface de Windows Server R2 2008 fornece um olhar in-pr ofundidade na o tempo real desempenho do seu servidor.
Voc pode usar o Monitor de Resource para monitorar o uso e desempenho de CPU, dis co, de rede, e memria recursos em em tempo real. Isto permite que para conflitos de recursos e os estr angulamentos do para ser identificados e resolvido.
Ao expandir os elementos monitorados, os administradores de sistema podem identi ficar quais processos esto usando qual os recursos. Alm disso, Resource Monitor de permite que voc para selecionar u m processo ou processos para rastrear por selecionando suas caixas de seleo. Quando um processo selecionado, ele permanece s elecionado em todos os painel de de Resource O Monitor de, fornecendo a informao que voc a solicitar relativamente de que proces so de na parte superior da a tela de, no importa o onde voc est no o interface. ----------------------- Pgina 616----------- -----------14-8 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network
O o Monitor de Confiabilidade revisa confiabilidade do computador e hi stria problema. O o Monitor de Confiabilidade pode ser usado para obter vrios tipos de relatrios e grficos que podem ajudar voc identificar a fonte de confiabilidade
problemas: Acessar o o Monitor de Confiabilidade, clicando em Histria S istema de View on na guia de Manuteno, no Centro de Ao.
O Chart de Estabilidade do Sistema resume estabilidade do sistema, par a o ano passado, em incrementos dirias. Este grfico indica qualquer informao, de erro, ou mensagens de aviso, e simplifica a tarefa de questes identificando e o data em que eles ocorreram.
O Relatrio de de Estabilidade do Sistema tambm fornece informaes sobre cad a evento no grfico. Estes relatrios incluem os seguintes eventos:
Os Instala de Software
Software Desinstala
Os Falhas de Hardware
Falhas do Windows
Falhas Miscellaneous
----------------------- Pgina 617----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-9
O o Monitor de Confiabilidade rastreia eventos do-chave sobre o configurao do sist ema, tais como a instalao de novo aplicaes, do sistema operacional-patches e drivers. Ele tambm rastreia os seguintes eventos para ajudar a-lo a identificar as razes para questes de fiabilidade;
problemas de Memria
problemas de driver
As falhas do Aplicao
O o Monitor de Confiabilidade uma ferramenta til que fornece uma linha de tempo d as alteraes do sistema e relata o do sistema do Confiabilidade Voc pode usar este linha de tempo para determinar se uma mudana sis tema em particular correlaciona-se com o comear a de instabilidade do sistema.
Os Relatrios de Problemas e Solutions de ferramenta em o Monitor de Confiabilidad e ajuda os usurios a relatrios da trilha problema e qualquer soluo de informao que eles tm recebido.
Os Relatrios de Problemas e ferramenta de Solutions s ajuda o usurio para armazenar informaes. All Internet comunicao relacionado a relatrios de problemas e solues tratada pelo Windows Error Re porting.
O Relatrio de Problema e ferramenta de Solution fornece uma lista de as tentativa s feitas para diagnosticar seus computadores ' problemas.
Se um erro ocorre enquanto um aplicativo estiver em execuo, Servios de erro do Wind ows de Relato solicita que o usurio para selecionar se deseja enviar informaes de erro para Microsoft sobre o Internet. Se a informao est disponvel que pode ajudar o usurio a resolver esse problema, O Windows exibe uma mensagem para o usur io com um link para o resolver informaes.
Voc pode usar os Relatrios de Problemas e ferramenta de Solutions para rastrear as informaes resolver e recheck para encontrar novas solues.
Voc pode iniciar os Relatrios de Problemas e ferramentas Solues a partir da o Monito r de Confiabilidade. As seguintes ferramentas esto disponveis:
Windows Server 2008 Visualizador de Eventos R2 uma aplicao que permite q ue voc para exibir e gerenciar logs de eventos. Windows registra recordes eventos significativos em seu computador. Vi sualizador de Eventos frequentemente o ponto de partida para qualquer soluo de problemas atividades.
Visualizador de Eventos contm muitos recursos que no esto disponveis em si stemas de operacionais anteriores, tais como:
A incluso de vrios novos logs. Acessar os logs de para componentes indiv iduais muitos e subsistemas.
A capacidade de exibir logs de mltiplas. Filtrar para eventos especficos em toda a vrios logs, simplificando o seu capacidade de investigar questes e solucionar problemas de problem as que possam aparecem em logs de vrios.
A incluso de pontos de vista personalizadas. Use de filtragem para sear ches estreitas para nicos eventos na qual voc so interessada. Estes modos de exibio filtrados pode ser salvo.
A capacidade de configurar tarefas agendadas para executar em resposta a eventos. Voc pode automatizar respostas aos eventos. Visualizador de Eventos integrado com Task Scheduler.
A capacidade para criar e gerenciar inscries de evento. Coletar eventos partir de computadores remotos e , em seguida, armazen-los localmente.
Nota Para coletar eventos partir de computadores remotos, voc dev e criar uma regra de entrada em O Firewall do Windows para permitir Windows Management Log de Ev entos.
Visualizador de Eventos rastreia informaes em vrios logs diferentes. Este s logs fornecer informaes detalhadas que inclui:
Um nmero ID evento
componente O ou subsistema que gerou o evento ----------------------- Pgina 619----------- -----------Monitoring Windows Ser ver 2008 Servidores de Rede Infra-estrutura 14-11
O tempo de de a ocorrncia
Um link para Microsoft TechNet para obter mais informaes sobre o evento
O Visualizador de Eventos tem logs de muitos built-in, incluindo aqueles na tabe la a seguir.
Log do aplicativo Esse log contm erros, avisos, e eventos informativas que so re lacionadas para a operao de aplicaes, tais como Microsoft Excha nge Server, o SMTP aplicaes de servio, e outros.
Log de segurana Este log relata os resultados de auditoria, se a auditoria est habilitado. Os eventos de auditoria so descrito como bem-sucedida ou falhou,, dependend o do evento, por exemplo, se um usurio tentando para acessar um arquivo foi bem-sucedida ou no.
Os eventos do sistema de log gerais so registrados pelo componentes do Windows e servios, e so classificados como de erro, informao de aviso, ou. Eventos registrados pelo sistema de componentes so predeterminado por Windows.
Forwarded eventos lojas de Isto de log eventos que so coletados de computadore s remotos. Para coletar eventos a partir de computadores remotos, voc dev e criar uma inscrio de evento.
Logs Aplicativos e Servios uma nova categoria de logs de eventos. Estes logs arma zenam eventos partir de uma nica aplicativo ou componente ao invs de eventos que possam ter system-wide impacto. E sta categoria de logs de inclui quatro subtipos:
Admin
Operacional
Analytic
Debug
Logs Admin so de interesse para profissionais de TI que usam o Visualizador de Ev entos para solucionar problemas problemas. Estes registros fornecem orientao sobre como responder a questes, e principalmente voltado para usurios finais, administradores e pessoal de apoio. Os eventos encontrados nos canais de adminis trao indicar um problema e uma bem-defined soluo que um administrador pode agir em.
Os eventos no log Operacional tambm so teis para profissionais de TI, mas que so sus ceptveis de exigir mais interpretao. Eventos operacionais so usados ou ocorrncia. Voc para analisar e diagnosticar um problema
pode us-los para acionar ferramentas ou tarefas com base no problema ou na ocorrnc ia.
Registros analticos e de depurao no so to amigveis. Analtico registra eventos de loja e traam um problema, e eles muitas vezes registrar um grande volume de eventos. Logs de depurao so usados envolvedores quando estiver depurando aplicaes. por des
Observao Por padro, os dois registros analticos e de depurao so ocultos e desab litados. ----------------------- Pgina 620----------- -----------14-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Lio 2
Ser capaz de coletar, analisar e interpretar dados relacionados ao dese mpenho sobre servidores da sua organizao permite-lhe tomar decises informadas de planejamento de capacidade.
Objetivos
Configurar um alerta.
Identificar os parmetros-chave para rastrear para servios de monitorament o de de infra-estrutura de rede. ----------------------- Pgina 621----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-13
Clculo base de desempenho para o seu ambiente de servidor permite que voc mais pre cisa interpretar real-informaes em tempo de monitoramento. Uma linha de base para o des empenho do seu servidor lhe diz o que
as estatsticas de monitoramento de desempenho olhar como sob condies de uso normal. Uma linha de base estabelecida atravs da monitorizao estatsticas de desempenho mais de uma perodo de de tempo. Quando um problema ou si ntoma ocorre em tempo real, voc pode usar suas estatsticas de base para comparar as suas estatsticas em tempo real e identif icar eventuais anomalias.
Tendncias
Voc deve dar ateno para o valor dos dados de desempenho para garantir que ele refli ta o real ambiente de servidor.
Alm disso, voc deve considerar a anlise de desempenho ao lado de negcio ou o crescim ento da tecnologia e atualizar os planos. possvel reduzir o nmero de servidores em funcionamento depois de ter medido desempenho e avaliado o ambiente requerido.
Ao analisar as tendncias de desempenho, voc pode prever quando a capacidade existe nte susceptvel de ser esgotado. Revisores anlise histrica com considerao ao seu negcio e usar isso para determinar quando a cap acidade adicional necessrio. Alguns picos so associados com um tempo de atividades, tais como ordens extremamente grandes. Outro picos ocorrem numa base regular, tal como uma folha de pagamento mensal, e estes picos poderia exigir um aumento capacidade para atender um nmero crescente de empregados.
Planejamento para a capacidade do servidor futuro uma exigncia para todas as orga nizaes. Planejamento de negcios, muitas vezes requer capacidade de servidor adicional para cumprir as metas. Ao alinhar sua estratgia de TI com a estratgia de de o negcio, voc pode apoiar os objetivos do negcio.
Voc deve planejar a capacidade do servidor para maximizar o uso do espao disponvel,
energia e refrigerao. Alm disso, voc deve considerar a virtualizao do ambiente para reduzir o nmero de serv idores fsicos
que so necessrios. Voc pode consolidar servidores atravs da implementao de computao d 4 bits e utilizando o Hyper-V no ambiente do Windows Server 2008 R2. ----------------------- Pgina 622----------- -----------14-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Planejamento de capacidade
Planejamento de capacidade centra-se em avaliar carga de trabalho serv idor, o nmero de usurios que um servidor pode suportam, e de como escal sistemas de para apoiar carga de trabalho adicional e o s usurios no futuro.
Aplicativos de servidor e novos servios afetam o desempenho de sua infr a-estrutura de TI. Estes servios podem receber hardware dedicado, embora muitas vezes usar a mesma rede de rea local (LAN) e rea de wireless rede de infra-estrutura (WAN). Planejamento para capacidade futura dev e incluir todos os componentes de hardware e como os novos servidores, servios e aplicaes afetam a infra-estrutura exi stente. Fatores como alimentao, refrigerao e espao em rack so muitas vezes esquecidos durante os exerccios iniciais para planejar a expanso da capacidade. Voc deve considerar como seus servidores pode escalar cima e para fora par a suportar uma carga de trabalho aumentada.
Tarefas, tais como atualizando para o Windows R2 Server 2008 e atualiz ar os sistemas operacionais pde afetar sua servidores e rede. No desconhecido para uma atualizao para causar um prob lema com um aplicativo. Cuidadoso monitoramento de desempenho antes e depois as atualizaes so aplicadas pod em identificar problemas.
Um negcio em expanso exige que voc fornea suporte para mais usurios. Voc dev e considerar o negcio requisitos na compra de hardware. Esta considerao ir assegurar que voc pod e encontrar negcios futuros requisitos atravs do aumento do nmero de servidores ou pela adio de capaci dade de hardware existentes.
Servidores Mais
hardware Adicionais
Reduzir os usurios
Gargalos compreenso
Um gargalo de desempenho ocorre quando um computador incapaz de atende r as solicitaes atuais para uma especfica recurso. O recurso pode ser um componente essencial, tal como um disco , a memria, o processador, ou na rede. Alternativamente, o gargalo pode ser causada pela falta de um componen te dentro de uma aplicao pacote.
Usando ferramentas de monitoramento de desempenho em uma base regular, e comparando os resultados com sua linha de base e aos dados histricos, possvel identificar gargalos de desempenho antes qu e os usurios que eles afetem.
Uma vez que voc identificar um gargalo, voc deve decidir como para removlo. Suas opes para a remoo de um afunilamento de incluem:
Um computador que sofre de uma escassez de recursos grave poderia para r o processamento de solicitaes de usurios, o que requer ateno imediata. No entanto, se seu computador apresentar um gargalo, mas ainda opera dentro
limites aceitveis, voc pode decidir adiar as alteraes at que a situao seja r solvida, ou at que voc tenha uma oportunidade para tomar uma ao corretiva. ----------------------- Pgina 623----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-15
Um Conjunto de Coletores de Dados a base do Windows monitoramento de desempenho do servidor e relatrios em Monitor de Desempenho.
Conjuntos de Coletores de de Dados permitir que voc para reunir estatsticas do sis tema desempenho-conexas e outras para anlise juntos com outras ferramentas dentro de Monitor de Desempenho, ou com ferramenta s de terceiros.
Embora seja til para analisar a atividade desempenho atual em um computador servi dor, voc pode encontr-lo mais til para recolher os dados de desempenho ao longo de um perodo de tempo e ento anal isar e compar-lo com anteriormente recolheu dados. Esta comparao de dados permite que voc faa determinaes sobre o uso de recursos para planejar para o crescimento e para identificar possveis problemas de desempenho.
Os Os dados de eventos de rastreamento: fornece informaes sobre atividades do sist ema e eventos-muitas vezes til para Soluo de Problemas
informaes de configurao do sistema: permite que voc grave o estado atual de chaves de registro e alteraes de registro para essas chaves.
Voc pode criar um Coletor de Dados a partir de um modelo, de um conjunto existent e de coletores de dados em um Desempenho vista Monitor, ou por selecionando de coleccionadores individuais de dados e definindo cada opo individual em o Coletor de Dados Definir propriedades. ----------------------- Pgina 624----------- -----------14-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Demonstrao: Como capturar os dados do contador com um Conjunto de Coleto res de Dados
----------------------- Pgina 625----------- -----------Monitoramento Windows Server 2008 servidores de rede de infra-estrutura 14-17
Examine log de eventos para resultando evento. ----------------------- Pgina 626----------- -----------14-18 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Ver um relatrio de desempenho. ----------------------- Pgina 627----------- -----------Monitoramento Windows Server 2008 servidores de rede de infra-estrutura 14-19
Porque os servios de infra-estrutura de rede so uma fundao essencial de muitas outro s servidor-servios baseados em,-lo importante que no s eles esto configurados corretamente, mas que eles esto executand o de forma otimizada.
Reunindo desempenho-dados relacionados com em seus servios de infra-estrutura de rede ir beneficiar a sua organizao em das seguintes maneiras:
Ajudar a otimizar rede o desempenho do servidor infra-estrutura. Ao fornecer de linha de base desempenho e dados de tendncia, voc pode ajudar sua empresa a otimizar o desempenho da r ede do servidor de infra-estrutura.
Soluo de servidores. Quando o desempenho do servidor tem degradadas, quer ao longo do tempo ou durante perodos do pico de atividade, voc pode ajudar para identificar as causas possveis e t omar uma ao corretiva para garantir que voc pode trazer o servio de volta dentro de os limites de seu Contrato de Nvel de Servio (SLA).
Voc pode usar Monitor de desempenho para reunir e analisar os dados relevantes.
DNS Monitoramento
DNS fornece servios de resoluo de nomes na sua rede. Voc pode monitorar o do Windows Server 2008 R2 Funo de servidor DNS para determinar os seguintes aspectos de sua infra-estrutura de DNS:
General DNS estatsticas do servidor, incluindo o nmero de consultas globais e resp ostas que so processada pelo servidor DNS.
User Datagram Protocol (UDP) ou Transmission Control Protocol (TCP) contadores, para medir o DNS perguntas e respostas que so processados, respectivamente, utilizando qualqu er um destes protocolos de transporte.
atualizao dinmica e segura contadores de actualizao dinmica, para registro de medio ividade de atualizao que gerado pelos clientes dinmicas.
Memria contadores de uso, para uso de sistema de medio de memria e padres de alocao memria que so criados por operar o computador servidor como um servidor DNS. ----------------------- Pgina 628----------- -----------14-20 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Os recursivas contadores de pesquisa, para medir as consultas e respos tas quando o servio Servidor DNS usa recurso para olhar para cima e resolver totalmente nomes DNS em no me de clientes solicitantes.
Zona contadores de transferncia, incluindo contadores especficos para me dir o seguinte: todos transferncia de zona (AXFR), incremental zona transferncia (IXFR), e zona de DNS ativid ade notificao de atualizao.
Monitoramento DHCP
O servio DHCP fornece dinmicos servios de configurao de IP em sua rede. Voc pode monitorar o Windows Server 2008 R2 funo de servidor DHCP para determinar os seguinte s aspectos do seu servidor DHCP:
O comprimento mdio da fila indica o comprimento atual da fila de mensag ens interno do DHCP servidor; este nmero representa o nmero de mensagens no transformado s que so recebidos pelo servidor. A grande quantidade pode indicar o trfego do servidor pesado.
Os milissegundos por pacote (mdia) de contador o tempo mdio em milissegu ndos que usado pelo
DHCP servidor para processar cada pacote que recebe; este nmero va ria dependendo do hardware do servidor eo seu subsistema I / O. Um aumento pode indicar um problema, com o subsistema de I / O se tornar mais lento ou por causa de uma sobrecarga de processamento intrnse ca no servidor. ----------------------- Pgina 629----------- -----------Monitoramento Win dows Server 2008 servidores de rede de infra-estrutura 14-21
Visualizador de eventos fornece um local conveniente e acessvel para voc ver os eventos que ocorrem e so registrado pelo Windows Server. Os eventos so gravados em um dos vrios ar quivos de log com base no tipo de evento que ocorreu. Para suportar os seus usurios, voc deve saber como acessar i nformaes sobre o evento de forma rpida e convenientemente, e saber interpretar os dados no log de eventos.
Objetivos
----------------------- Pgina 630----------- -----------14-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Os logs de eventos contm grandes quantidades de dados, e poderia desafilo para reduzir o conjunto de eventos a apenas aqueles que lhe interessam. Nas verses anteriores do Windows, voc pode a plicar filtros para logs, mas voc no podia salvar esses filtros. As vistas personalizadas permitem que voc busque e classificar apenas os eventos que voc deseja analisar. Voc tambm pode salvar, exportar, importar e compartilhar essas vises persona lizadas.
Event Viewer permite que voc filtre para eventos especficos atravs de vrio s logs, e exibir todos os eventos que so potencialmente relacionada a um problema que voc est investigando. Para especificar um filtro que se estende por vrios logs, voc preciso criar uma exibio personalizada.
Criar exibies personalizadas do painel de ao no Visualizador de eventos. V oc pode filtrar as exibies personalizadas com base em mltiplos critrios, incluindo:
Computador no qual o evento ocorreu ----------------------- Pgina 631----------- -----------Monitoring Windows Serv er 2008 Servidores de Rede Infra-estrutura 14-23
Criar uma exibio personalizada. ----------------------- Pgina 632----------- -----------14-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Event Viewer permite visualizar eventos em um nico computador remoto. N o entanto, solucionar um problema pode exigir que voc examinar um conjunto de eventos que so armazenados e m vrios logs em vrios computadores. Evento Visualizador oferece a capacidade de coletar cpias de eventos a partir de vrios computadores remotos e, em seguida, armazenar -los localmente. Para especificar quais eventos para coletar, criar um a assinatura de evento. Depois de uma assinatura est ativa e eventos esto sendo coletados, voc pode exibir e manipular esses evento s encaminhados como faria com qualquer outro armazenado localmente eventos.
Usando o recurso de evento coleta-requer que voc configure o reencaminh amento da e o coleccionismo computadores. A funcionalidade depende do Windows Remote Management (W inRM) e do Windows
Servios do evento de coleco (Wecsvc). Ambos os servios devem ser executado s em computadores que so participar na transmisso e processo de coleta.
Assinaturas Habilitao
Em cada computador de origem, execute o seguinte comando em um prompt de comando elevado para permitir WinRM:
winrm quickconfig
No computador coletor, digite o seguinte comando em um prompt de coman do elevado para permitir o Wecsvc:
qc wecutil
Adicione a conta de computador do coletor ao grupo Administradores loc al em cada um os computadores de origem. ----------------------- Pgina 633----------- -----------Monitoramento Windows S erver 2008 servidores de rede de infra-estrutura 14-25
Criar e exibir o log subscrito. ----------------------- Pgina 634----------- -----------14-26 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Instalao de laboratrio
Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:
1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e clique em Hyper-V Manager.
2. Iniciar.
3. ea.
4.
Senha: Pa $ $ w0rd
Domnio: Contoso
5.
Cenrio Lab
Tendo recentemente implantado alguns novos servidores, importante estab elecer um parmetro de desempenho com um carga tpica para estes novos servidores. Voc est encarregado de realizar e ste projeto. Alm disso, para fazer o processo de monitoramento de desempenho mais fcil, voc decide implementar um log subscrito para os novos servidores de modo que voc pode facilmente determinar a sade do servidor.
Estabelecer um parmetro de desempenho para NYC SVR1-sob condies de carga tp icas. ----------------------- Pgina 635----------- -----------Monitoramento Windows Se rver 2008 servidores de rede de infra-estrutura 14-27
Use o Monitor de desempenho para identificar os recursos que so afectados por um novo aplicativo que est sendo executado em NYC-SVR1.
Remoto
Neste exerccio, voc vai usar o Monitor de desempenho no servidor e criar uma linha de base usando tpico contadores de desempenho.
1.
2.
3.
4.
1.
2.
3. Criar um novo utilizador de dados definidos pelo conjunto de coletores com as informaes a seguir para concluir o processo:
4.
No Monitor de desempenho, no painel Resultados, clique-direito NYC-SVR1 Desempen ho e, em seguida, clique em Iniciar. ----------------------- Pgina 636----------- -----------14-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
1. Abra um prompt de comando e execute os seguintes comandos, pressio nando ENTER aps cada comando:
Arquivo Fsutil createnew bigfile 104857600 Copiar bigfile \ \ NYC-dc1 \ c $ Copiar \ \ NYC-dc1 \ c $ \ bigfile bigfile2 Del bigfile *.* Del \ \ nyc-dc1 \ c $ \ bigfile *.*
2.
1.
2.
4.
5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique em arquivos de log e, em seguida, Clique em "Add".
6.
7. Clique duas vezes em NYC-SVR1 Desempenho, clique duas vezes no NYC -SVR1_date-000001 pasta e, em seguida, faa duplo clique em DataCollector01.blg.
8.
9.
10. Na barra de ferramentas, clique em na seta para baixo e, em seguid a, clique em Relatrio de.
11. Registre os valores que esto listados no relatrio para posterior anli se.
Valores registrados:
Resultados: Aps este exerccio, voc deveria ter criado uma linha de base. ----------------------- Pgina 637----------- -----------Monitoramento Windows S erver 2008 servidores de rede de infra-estrutura 14-29
Remoto
Neste exerccio, voc agora vai simular uma carga para representar o sistema em uso ao vivo, recolher desempenho dados usando o conjunto de coletores de dados, e determinar a possvel causa do pr oblema de desempenho.
1.
2.
3.
4.
5.
6.
1.
2.
1.
2. No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resul tados, boto direito do mouse NYC-SVR1 Performance, e clique em Iniciar.
3.
1.
2.
4.
5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique e m arquivos de log e clique em &Excluir
6.
Clique em "Add".
7.
----------------------- Pgina 638----------- -----------14-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008
Observao Se voc receber um erro neste ponto, ou os valores em seu r elatrio so de repetio, zero passos 4-9.
Valores gravados:
Resultados: Aps este exerccio, voc deve ter identificado um gargalo em po tencial. ----------------------- Pgina 639----------- -----------Monitoramento Windows Ser ver 2008 servidores de rede de infra-estrutura 14-31
Cenrio
Neste exerccio, voc ir usar NYC DC1-para coletar logs de eventos a partir de NYC-SV R1; especificamente, voc ir usar este processo de para reunir relacionados ao desempenho alertas a partir de seus serv idores de rede.
1.
2.
3.
4.
5.
1.
2. Ao um prompt de comando, execute quickconfig winrm para ativar as alteraes ad ministrativos, que sejam necessrias sobre um computador de origem.
3.
1.
2. Ao um prompt de comando, execute qc wecutil para ativar as alteraes administr ativos, que sejam necessrio em um computador coletor.
1.
2.
Computadores: NYC-SVR1
Collector Iniciada
1.
2.
3. Crie um novo usurio dados definido pelo conjunto de coletores de usando as s eguintes informaes para concluir o processo:
Criar: Criar manualmente (Advanced) ----------------------- Pgina 640----------- -----------14-32 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
de Aco Alert: Efetue login uma entrada no log de eventos do aplicat ivo
4.
5.
6.
7. Aguarde um minuto para dados para ser capturado, e, em seguida, n o prompt do de comando, imprensa CTRL + C e, em seguida, fechar a prompt de de comando.
8.
1.
2. Em monitor de desempenho, esto l quaisquer alertas desempenho-relac ionados em o log de aplicativo subscrito?
dos.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:
1.
3.
4.
----------------------- Pgina 641----------- -----------Monitoring Window s Server 2008 Servidores de Rede Infra-estrutura 14-33
Questes de Reviso
1. O que os contadores significativas deve voc monitorar no Windows Mo nitor de Desempenho Server?
2. ente?
3.
Ferramentas
Monitor de Desempenho Monitoramento e anlise de Menu Iniciar real-temp o e logado dados de desempenho
Logman.exe Gerenciando e agendando desempenho linha de Command contad or de e de log de eventos coletas de rastreame nto ----------------------- Pgina 642----------- -----------14-34 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network
Avaliao do Curso
O seu avaliao de este curso ir ajudar a Microsoft a compreender a qualida de do seu experincia de aprendizagem.
Por favor, trabalhar com seu fornecedor do treinamento para acessar o formulrio avaliao do curso.
Microsoft ir mant-suas respostas para este levantamento privada e confid encial e ir usar os seus respostas para melhorar o seu experincia de aprendizagem futuro. O seu feedback aberto e honesto valioso e apreciado. ----------------------- Pgina 643----------- -----------L1-1
Leia a documentao de apoio localizado debaixo do cenrio Exerccio no mdulo principal documento.
Responda s perguntas em a Atualizao de o Branch Office Plano de Infra-estrutura Net work: IPv4 Endereamento documento.
Viso geral Requisitos Projete um esquema de IPv4 de endereamento para os de vendas de filiais da Contoso escritrios, mostrados na a exposio. O endereo 172.16.16.0/20 bloco foi reservado para esta regio. Voc deve conceber um esquema de que suporta o nmero necessrio de sub-redes, o nmero exigido de hosts, e fornecer para o crescimento de 25 por cento dos Exrcitos em cada r
amo. Para cada ramificao, fornecer os endereos de sub-rede que voc planeja usar, ju ntamente com o incio eo fim IP endereos para cada sub-rede.
Informaes Adicionais Voc no precisa de a preocupar--se yourself com o IP de endereamento para o la do corporativo das o roteador na cada ramo.
Propostas
Resposta: Existem 300 computadores na regio. Os estados de especificao q ue cerca de 50 computadores devem ser implantado em cada sub-rede. Voc tambm precisa p ara planejar para o crescimento de cerca de 25 por cento. Seis sub-redes so necessria na regio para hospedar computador es, mas uma sub-rede adicional para cada local deve ser planejada para para hospedar o crescimento em com putadores. Esta a um total de nove sub-redes.
Resposta: Os estados de especificao que voc deve implantam um mximo de 50 computadores de host para cada sub-rede.
Resposta: O endereo de rede atual para a regio 172.16.16.0/20. Isto dei xa 12 bits para
alocar a sub-redes e hosts. Para expressar 9 sub-redes, voc iria reque rer 4 bits, uma vez que 3 bits apenas fornece-durante 8 sub-redes. Quatro bits realmente prev 16 sub-redes, o que abundncia. Esta uma mscara de decimal de 255.255.255.0. ----------------------- Pgina 644----------- -----------L1-2 Mdulo 1: Planejando e Configurando IPv4
Continuao...
4.
Resposta: Branch 1: 172.16.16.0/24 172.16.17.0/24 172.16.18.0/24 Filial 2: 172.16.19.0/24 172.16.20.0/24 172.16.21.0/24 Filial 3: 172.16.22.0/24 172.16.23.0/24 172.16.24.0/24
172.16.17.1> 172.16.17.254 172.16.18.1> 172.16.18.254 Filial 2: 172.16.19.1> 172.16.19.254 172.16.20.1> 172.16.20.254 172.16.21.1> 172.16.21.254 Filial 3: 172.16.22.1> 172.16.22.254 172.16.23.1> 172.16.23.254 172.16.24.1> 172.16.24.254
Examine o concluda Branch Office plano de Infra-estrutura Rede no a Cha ve de Resposta Lab e ser preparado para discutir suas solues com a classe.
Resultados: No final de este exerccio, voc deve ter um concluda plano de uma IP endereamento para o Contoso filiais. ----------------------- Pgina 645----------- -----------Lab: Planejando e Configurando IPv4 L1-3
1.
2.
R.
Ipconfig / all
4.
Resposta: 172.16.16.1/255.255.255.0
5.
O sub-rede essa?
Resposta: 172.16.16.0/24
6.
Resposta: 172.16.16.254
7.
1.
2.
3.
Ipconfig / all
4.
Resposta: 172.16.16.2/255.255.255.0
5.
O sub-rede essa?
Resposta: 172.16.16.0/24
6.
Resposta: 172.16.16.1
7.
Resposta: 10.10.0.10
8.
1.
2. Clique em Iniciar, clique em Computador, e, em seguida, faa duplo clique em AllFiles (E :).
3. No Windows Explorer, clique duas vezes em Labfiles e, em seguida, clique du as vezes em Mod01. ----------------------- Pgina 646----------- -----------L1-4 Mdulo 1: Planejamento e configurao de IPv4
4.
5.
Feche Explorer.
6. ENTER.
Ipconfig / all
9.
Resposta: O cliente est tentando obter um endereo IP de forma dinmica e no conseguiu se conectar a um Servidor DHCP.
2.
5.
6. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propried ades, clique em Usar o seguinte IP endereo.
7.
8. har.
9. Se solicitado com a Set caixa de dilogo Rede de Localizao de, clique em rede Trabalho, e, em seguida, clique em Fechar.
1.
Ipconfig / all
Ping nyc-dc1 ----------------------- Pgina 647----------- -----------Laboratrio: Planejamento e configurao de IPv4 L1-5
5.
Ipconfig / displaydns
6.
1.
2.
3. No Microsoft Network Monitor 3.4, no painel de Captura recente, clique na g uia captura Nova.
4.
5.
6.
Ipconfig / flushdns
7.
Ping nyc-dc1
8.
Ipconfig / displaydns
9.
Resposta: Poder variar, mas podem incluir BROWSER, ARP, TCP, e quadros ICMP.
11. No Microsoft Network Monitor, no painel Filtro de Exibio, clique em Carregar f iltro.
12. Aponte para Filtros de padro, clique em Endereos e clique em endereos IPv4.
13. Percorra o texto e localize o IPv4.Endereo == 192.168.0.100 linha. Edite o en dereo IPv4 para ler 10.10.0.10.
1 No Microsoft Network Monitor, no painel Filtro de Exibio, clique em Carregar fil tro.
19. Percorra o texto e localize a DNS.Qrecord.QuestionName.contains == ("servido r") linha. Edite o nome do servidor para ler ("contoso")
21. Examinar os registros filtrados. ----------------------- Pgina 648----------- -----------L1-6 Mdulo 1: Planejamento e configurao de IPv4
Resposta: Uma consulta para um nome de site. (As respostas podem variar)
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.
3.
4. C-CL2.
Analise o diagrama de rede e, em seguida, ler a Filial Plano de Infra-estrutura de rede: DHCP exigncias de documentos seo do documento mdulo sob o cenrio do exerccio 1.
Responda s perguntas no mbito do Poder Plano de Infra-estrutura do Office Network: documento DHCP.
Requisitos Especifique como voc pretende implementar DHCP para suportar suas necessida des de escritrios filiais.
Informaes Adicionais importante que qualquer roteador, servidor ou comunicao falha de ligao no afect e usurios.
Propostas
Resposta: Supondo que os roteadores so todos RFC-compliant, no h necessidad e de implantar DHCP servidores em cada sub-rede. No entanto, para tolerncia a falhas, cada su cursal deve ter um servidor de DHCP com duplicar escopos configurados na sede do servidor DHCP, com excluses adeq uadas para apoiar a regra de 80/20; isso daria para abordar a tolerncia a falhas.
4. Como os clientes de um ramo obter uma configurao de IP, se seu servidor DH CP est offline?
Resposta: Eles vo obter uma configurao de IP do servidor sede. Isto requer um servidor DHCP rel no roteador que conecta a sede para o ramo.
Examine o concludo Filial Plano de Infra-estrutura de rede: documento DHCP no Lab oratrio de Resposta Key e estar preparado para discutir suas solues com a classe.
Resultados: No final deste exerccio, voc ter determinado a configurao DHCP apropriado para Contoso. ----------------------- Pgina 650----------- -----------L2-2 Mdulo 2: Configurando e solucionando problemas de DHCP
1.
2.
3. No Server Manager, no painel de navegao, clique em Funes e, no painel direita, clique em Adicionar Funes.
4.
5. Na pgina Selecionar Funes do Servidor, selecione o DHCP caixa de sel eo Servidor e clique em Avanar.
6.
7.
8.
9. anar.
11. Na pgina Configurar Modo DHCPv6 Stateless, clique em Desativar DHC Pv6 modo stateless para este servidor e clique em Avanar.
12. Na pgina Servidor de Autorizar DHCP, clique em Ir autorizao de este servidor DHCP no AD DS e clique em Avanar.
14. Na pgina Resultados da Instalao, clique em Fechar e feche o Gerencia dor do Servidor.
1.
2. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e Acesso Remoto.
3. No painel de navegao, expanda NYC-RTR (local), expanda IPv4, boto di reito do mouse Geral, e clique em Novo Protocolo de Roteamento.
5. No painel de navegao, boto direito do mouse Agente de retransmisso DH CP e clique em Nova Interface.
6. Na nova interface para DHCP caixa de dilogo Relay Agent, clique em Conexo Local 2 e em seguida clique em OK.
7. Nas Propriedades DHCP Relay - Conexo de rea Local 2 caixa de dilogo Propriedades, clique em OK.
8. No painel de navegao, boto direito do mouse Agente de retransmisso DH CP e clique em Nova Interface.
9. Na nova interface para DHCP caixa de dilogo Relay Agent, clique em Conexo Local 3 e, em seguida, clique em OK.
10. Em os Propriedades de DHCP Relay - de conexo rea Local 3 caixa de d ilogo Propriedades, clique em OK.
11. O boto direito do, clique em DHCP Relay Agent e, em seguida, cliqu e em Propriedades.
12.
ixa de endereo do servidor, digite 10.10.0.10, clique em Adicionar e, em em seguida, clique OK.
13. Feche o roteamento e acesso remoto. ----------------------- Pgina 651----------- -----------Lab: Configurando e solucionando problemas da funo de servidor DHCP L2-3
1.
3.
4.
1. Em DHCP, no painel de navegao, clique em nyc-svr2.consoto.com, expanda IPv4, boto direito do mouse IPv4, e clique em Novo Escopo.
2.
3. r.
Na pgina Nome do Escopo, na caixa Nome, Branch Office, tipo e clique em Avana
4. On a pgina IP Endereo Faixa de, preencha o pgina usando o as seguintes informaes e em seguida, clique
Em seguida:
Comprimento: 24
5. Nas Excluses Adicionar e pgina Delay, preencha a pgina usando as seguintes inf ormaes, clique Adicionar, em seguida, clique em Avanar:
6.
7.
8. No Router pgina (Default Gateway), na caixa de endereo IP, tipo 172.16.16.1, clique em Adicionar e, em clique em Avanar.
9.
12.
Resultados: No final deste exerccio, voc vai ter configurado o filial do servidor DHCP. ----------------------- Pgina 652----------- -----------L2-4 Mdulo 2: Configurando e Soluo de problemas DHCP
1.
3.
4. Em DHCP, no painel de navegao, expanda IPv4, boto direito do mouse IP v4, e clique em Novo Escopo.
5.
6. Na pgina Nome do Escopo, na caixa Nome, tipo Filial mbito Office Bac kup e clique em Proximo.
7. Na pgina IP Address Range, complete a pgina usando as seguintes info rmaes e clique em Avanar >
Comprimento: 24
8. Nas Excluses Adicionar e pgina Delay, preencha a pgina usando as segu intes informaes, clique Adicionar e, em, em seguida, clique em Avanar:
9.
11. On o Router pgina (Gateway Default), na caixa de endereo IP, tipo 17 2.16.16.1, clique em Adicionar, e clique em Avanar.
Resultados: No final deste exerccio, voc ter criado os escopos necessrios em ambos os servidores DHCP. ----------------------- Pgina 653----------- -----------Lab: Configurando e solucionando problemas da funo de servidor DHCP L2-5
1.
2.
3.
4. No Microsoft Network Monitor 3.4, no painel de Captura recente, clique na g uia captura Nova.
5.
6. Clique em Iniciar e na caixa Pesquisar, digite Rede e Compartilhamento e, e m seguida, pressione ENTER.
8. Em Conexes de Rede, boto direito do mouse em Conexo Local 3 e clique em Propri edades.
9. Na rea de Conexo Local 3 caixa de dilogo Propriedades, clique duas vezes em I nternet Protocol Version 4
(TCP/IPv4).
10. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propriedades, cliq ue em Obter um endereo IP automaticamente.
11. Clique em Obter endereo dos servidores DNS automaticamente e clique em OK.
12.
1.
2.
3. Clique em Carregar ponto, filtro para filtros padro, aponte para Exemplos bsi cos, e clique em Filtro de Protocolo - DNS.
4. Na caixa de texto Filter Exibir, localize o texto que l DNS e alter-lo para D HCP. Clique em Aplicar.
5. Agora examine os quadros capturados. No Resumo do quadro, clique no quadro com destino de 255.255.255.255 ea Descrio que contm OFERTA.
6.
7.
Qual o IP do servidor?
Resposta: 172.16.16.2
8.
Resposta: NYC-SVR2
Resultados: No final de este exerccio, voc vai tiver configurado o cliente para ob ter um endereo IP dinamicamente a partir de o servidor da filial local. ----------------------- Pgina 654----------- -----------L2-6 Mdulo 2: Configurando e Soluo de problemas DHCP
1.
2. Em DHCP, right-click nyc svr2.contoso.com-, clique em Todos os Ta refas, e, em seguida, clique em Parar.
1.
2. ENTER.
3. :
Ipconfig / release
4.
5. .
6. :
Ipconfig / renew
7. No Microsoft Network Monitor 3.4, no menu, clique em Carregar pon to, filtro para filtros padro, aponte para Exemplos bsicos, e, em seguida, clique em Protocolo Filter - DNS.
8. Na caixa de texto Filtro de Exibio, localize o texto que l DNS e alt er-lo para DHCP. Clique em Aplicar.
9. Agora examine os quadros capturados. No Resumo do quadro, clique no quadro com destino de 255.255.255.255 e o Descrio que contm OFERTA.
Resposta: 10.10.0.10
12.
Resultados: No final de este exerccio, voc vai ter verificado que o clie
nte pode obter um endereo IP a partir do cabea escritrio quando o servidor local est disponvel.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.
3.
4. YC-CL2.
Leia o Contoso Nome documento Plano de Resoluo de na Tarefa 2 de o documento mdulo principal.
1. O seu gerente de est em causa que o servidor nico nome que suporta o de domnio Contoso.com
est sob estirpe enquanto solicitaes de resoluo de de manuteno de nomes. Voc tasked com determinao de um curso de ao para allay suas preocupaes.
2. Contoso est trabalhando com uma organizao parceira, Um Datum. importante que a resoluo de nome para servidores no domnio Adatum.com realizada sem recorrer para enraiz ar servidores de nomes.
Informaes Adicionais
1. so.
2. NS em
Contoso.
Propostas
1. Como voc vai modificar a configurao DNS para Contoso para abordar o prim eiro requisito?
2. Como voc vai modificar a configurao DNS para Contoso para abordar o segu ndo requisito?
Resposta: Criar, quer uma zona de stub para Adatum.com ou configurar o encaminhamento condicional para Adatum.com.
3. Ser que qualquer um dos pontos em o seo de informaes adicionais levantar q uaisquer questes de?
Resp.:
Os AD-zonas integradas so imprprias para este cenrio; se nenhum controla dores de domnio adicionais so planejada, zonas secundrias deve ser configurado.
Zonas de stub O Os requerem menos esforo administrativo em o evento de mudanas em o DNS de configurao de o domnio de DNS-alvo. ----------------------- Pgina 656----------- -----------L3-2 Mdulo 3: Configurando e Soluo de problemas DNS
(Continuao)
4.
Resp.:
5.
Resposta: Configurar DHCP para alocar ambos os endereos de s ervidor de DNS para clientes
Examine o concluda Contoso Nome documento Plano de Resoluo de em a Chave de Resposta Lab e ser preparado para discutir suas solues com a classe.
Resultados: No final de Neste exerccio, voc ter selecionado uma configurao de DNS adequado para Contoso. ----------------------- Pgina 657----------- -----------Lab: Configurando e Soluo de problemas DNS L3-3
2. No Gerenciador de Server, no painel de navegao, clique em Funes, e no painel da direita, clique em Adicionar Roles.
3. Em o Assistente de para Adicionar Funes, sobre a Antes de Voc Comear pgina, cliq ue em Avanar.
4. Na pgina Selecionar Funes do Servidor, na lista Roles, selecione o DNS caixa d e seleo Server e em seguida, clique PRXIMA
5.
6.
7.
1.
3. Em DNS Manager, expanda NYC DC1-, expanda e depois direita-clique em Forwar d Lookup Zones, e, em seguida, clique em Zona New.
4.
5.
6. .
7. Na pgina Nome da Zone, na caixa Nome do Zone, tipo Adatum.com e, em seguida, clique em Avanar.
8. On a pgina Mestre Servers DNS, na lista Servidores Mestre, tipo 131.107.1.2 e pressione ENTER.
1.
2.
3.
4.
6. No Gerenciador DNS, no painel de navegao, expanda NYC-SVR1 e clique em Zonas de pesquisa direta.
Observe as duas zonas. ----------------------- Pgina 658----------- -----------L3-4 Mdulo 3: Configurando e Soluo de problemas DNS
1.
2. ENTER.
3. :
4. No Gerenciador DNS, no painel de navegao, expanda Zonas de pesquisa direta, expanda Contoso.com.
5.
7.
a.
8.
Clique em Cancelar.
1.
2. No Gerenciador DNS, pressione F5. Os dados da zona devem aparecer . Se no, ento expanda Forward Lookup Zones, e em seguida, expanda Contoso.com.
3. pal.
4.
Observao Voc no receber os dados para Adatum.com, mas Contoso.com dev e ser preenchido com DNS registros.
1.
2.
3.
4.
5.
6. Na caixa de endereo IP, tipo 10.10.0.24, clique em Adicionar e, em seguida, clique em OK.
7.
Resultados: No final deste exerccio, voc vai ter implementado os requisi tos descritos na Contoso Nome do documento Plano de Resoluo. ----------------------- Pgina 659----------- -----------Lab: Configurando e Soluo de problemas DNS L3-5
2.
3.
4. Na guia Monitoramento, selecione Uma consulta simples contra este servidor DNS e em seguida, clique Test Now.
5. Na guia Monitoring, garantir que Uma consulta recursiva para outro DNS serv idores selecionada e, em seguida, clique em Testar Agora. Observe que o teste recursivo falhar por NYC-DC1, o que normal dado que existem no forwarders configurado para este servidor DNS de usar.
7. No Gerenciador DNS, na caixa de NYC-DC1 de dilogo Propriedades, na guia Moni toring, clique em Testar Agora. Agora, ambos os testes Simples e Recursive falham porque nenhum servidor DN S est disponvel.
1. On NYC-DC1, clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em segu ida, pressione ENTER
Nslookup.exe
3.
4.
Contoso.com
5.
1.
2.
3. R:
D:
4.
Cd \ Labfiles \ Mod03 ----------------------- Pgina 660----------- -----------L3-6 Mdulo 3: Configurando e solucionando problemas de DNS
5. sione ENTER:
6.
latrio.
7.
1.
2. Gerenciar.
3. No painel de lista de a janela do Gerenciador Server, expandir Di agnostics, expanda Desempenho, expanda Monitoramento Ferramentas e, em em seguida, clique Monitor de Des empenho.
4.
5.
6. nar.
7. Selecione Consulta total Recebido / sec, clique em Adicionar, e e m seguida, clique OK.
11. No separador Monitoring, selecione Uma consulta simples contra es te servidor DNS e um consulta recursiva para outros servidores DNS e, em seguida clique em Testar Agora vrias v ezes.
12. Desmarque as caixas de seleo Simples e Recursive de teste e em segu ida, clique OK. Feche a de gerenciamento do DNS ferramenta.
13. Voltar para o console do Server Manager. O grfico reflete as consu ltas sobre o servidor.
14. Em o console do Gerenciador Server, imprensa CTRL + G e em seguid a, pressione CTRL + G novamente. Este relatrio lista o total nmero de consultas que que o servidor tiver recebidos.
Resultados: No final de Neste exerccio, voc tenha verificado o funcional idade do DNS com soluo de problemas ferramentas.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:
1.
3.
4.
1.
2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em segui da, pressione ENTER.
5.
7.
8.
9.
10. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em segui da, pressione ENTER.
12. Em Conexes de Rede, boto direito do mouse em Conexo Local 2 e clique em Propri edades.
14. Em o Verso Internet Protocol 4 (TCP/IPv4) Propriedades caixa de dilogo, verif icar que o Default gateway 10.10.0.1. Clique em OK.
15. Em o Area Connection Local 2 caixa de Properties, clique em OK e em seguida , feche todas as janelas abertas sobre NYC DC1-.
1.
4. Faa duplo clique em IPEnableRouter, e, em seguida, na caixa dados do Value, tipo 1. Clique em OK.
5.
----------------------- Pgina 662----------- -----------L4-2 Mdulo 4: Configurando e Soluo de problemas IPv6 TCP / IP
6. ais:
Senha: Pa $ $ w0rd
Observao Neste ponto, apenas IPv4 trfego roteado atravs de a infra-e strutura de roteamento IPv4. Porque ICMPv4 o trfego bloqueado por o Firewall do Windows por pa dro, voc no pode testar conectividade com o ping.
1.
2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em seguida, pressione ENTER.
4. Em Conexes de Rede, right-clique em Conexo de rea Local 2 e, em segu ida, clique em Propriedades.
5. Na rea Connections Local 2 caixa de dilogo Propriedades, desmarque a Protocol Version Internet 6 (TCP/IPv6) caixa de verificao e em seguida, clique OK.
1.
2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em seguida, pressione ENTER.
5. Em o Area Connection Local 3 caixa de dilogo Propriedades, desmarq ue a Protocol Version Internet 4 (TCP/IPv4) caixa de verificao e em seguida, clique OK.
6. one ENTER.
ipconfig
Observe A sada deve ser um link-local endereo IPv6 que comea com fe 80. ----------------------- Pgina 663----------- -----------La b A: Configurando um Router ISATAP L4-3
Tarefa 5: Configurar um anncio de roteador IPv6 para o endereo global 2001: db8: 0:1 :: / 64 de rede em NYC-RTR
1.
netsh interface ipv6 set interface "Conexo de rea Local 3" forwarding = habi litado anunciar = habilitado
netsh interface ipv6 adicionar a rota 2001: db8: 0:1 :: / 64 "Conexo de rea Local 3" publicar = yes
Tarefa 6: Verifique a configurao IP em NYC-CL2 para garantir que ele est configurad
1.
2.
ipconfig
Nota: A sada deve ser um link-local endereo IPv6 que comea com FE80. Dois IP global endereos que comeam com 2001: db8: 0:1: tambm deve ser includo na sada.
3.
Resultados: No final deste exerccio, voc ter configurado NYC-CL2 para IPv6 apenas. ----------------------- Pgina 664----------- -----------L4-4 Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP
Exerccio 2: Configurando um Roteador ISATAP para permitir a comunicao entre uma rede IPv4 e uma rede IPv6
1.
3.
4. Expanda Zonas de pesquisa direta, selecione e depois boto direito d o mouse Contoso.com, e clique em Novo Host (A ou AAAA).
5. Na caixa New Host dilogo, ISATAP tipo na caixa de texto Nome, e dig ite o endereo IP 10.10.0.1 (por NYC-RTR).
6.
7.
Observao: Quando substituindo o Interface_Index seguinte, certifiq ue-se que voc digite sua Interface_Index com os suportes {} em ambos os lados.
1.
2.
3.
4.
ipconfig
5. Localize o isatap adaptador de tnel. {Interface_Index}: que tem um endereo IPv6 link-local que contm
10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.
Interface_Index: ___________________________
6. Digite o seguinte comando, substituindo Interface_Index com o nmero (e chaves {}) que voc registrado anteriormente, em seguida, pressione ENTER:
netsh interface set interface ipv6 isatap ".Interface_Index forw arding "= habilitado anunciar = habilitado
7. No prompt de comando, digite o seguinte comando, substituindo Inte rface_Index com o nmero (E entre chaves {}) que voc anotou anteriormente, e ento pressione E NTER:
netsh interface ipv6 adicionar a rota 2001: db8: 00:10 :: / 64 " isatap.Interface_Index " publicar = yes
8.
9.
Senha: Pa $ $ w0rd
10. Clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em seguida, pressio ne ENTER.
ipconfig
Observao O adaptador de tnel associado com a rede 10.10.0.0/16 ir exibir uma I Pv6 Endereo em 2001: db8: 0:10 gama.
1.
2.
3.
4.
ipconfig
Observao: O Adaptador de tnel isatap {Interface_Index} (que o adaptador ISATA P) tem automaticamente recebeu um endereo IPv6 a partir do roteador ISATAP.
2. No Windows Firewall com Segurana Avanada, clique em Regras de Entrada, clique -direito regras de entrada e em seguida, clique em Nova Regra.
3. Em o Assistente de Nova Regra de Entrada, na pgina de Tipo de Regra, clique em Personalizado e, em seguida, clique em Avanar.
4.
5. Na pgina Protocolos e Portas, na lista tipo de protocolo, clique ICMPv4 e cl ique em Avanar.
6.
7.
8.
9.
11. Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressione ENTER. ----------------------- Pgina 666----------- -----------L4-6 Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP
ipconfig
15. Clique em Iniciar e na caixa de pesquisa, digite o Firewall do Wi ndows e pressione ENTER.
16. No Windows Firewall com Segurana Avanada, clique em Regras de Entra da, clique com regras de entrada e em seguida, clique em Nova Regra.
17. No Assistente de Nova Regra de Entrada, na pgina Tipo de Regra, cl ique em Personalizar e clique em Avanar.
19. Na pgina Protocolos e Portas, na lista tipo de protocolo, clique I CMPv6 e clique em Avanar.
23. Na pgina Nome, na caixa Nome, digite Permitir PING e clique em Con
cluir.
Ping IPv6_address
No desligue as mquinas virtuais, neste momento, porque voc vai precisar d eles para completar o prximo laboratrio. ----------------------- Pgina 667----------- -----------L4-7
Observao: Quando substituindo o Interface_Index seguinte, garantir que voc di gite seu Interface_Index com os suportes {} em ambos os lados.
1.
3.
ipconfig
4. Localize o isatap adaptador de tnel. {Interface_Index}: que tem um endereo IP v6 link-local que contm 10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.
Interface_Index: ______________________________
5. Digite o comando a a seguir, substituindo Interface_Index com o nmero (e col chetes {}) que voc gravado anteriormente:
netsh interface set interface ipv6 isatap ".Interface_Index forwarding "= desativado anunciar = desativado
6. Digite o comando a a seguir, substituindo Interface_Index com o nmero (e col chetes {}) que voc gravado mais cedo:
netsh interface ipv6 Delete Route 2001: db8: 00:10 :: / 64 "isatap.Interfa ce_Index "
1.
netsh interface set ipv6 interface "Local Area Connection 2" forwarding = enabled anunciar = habilitado
2.
netsh interface ipv6 adicionar a rota 2001: db8: 0:0 :: / 64 "Conexo de rea Local 2" publicar = yes
1. Clique em Iniciar e na caixa de pesquisa, digite rede e compartilhamento e, em seguida pressione ENTER.
3. Na caixa de Conexes de Rede, boto direito do mouse em Conexo Local 2 e clique em Propriedades. ----------------------- Pgina 668----------- -----------L4-8 Mdulo 4: Configurando e Soluo de problemas IPv6 TCP / IP
4. Na rea caixa de Conexo de Rede Local de dilogo Propriedades, desmarq ue a Protocol Version Internet 4 (TCP/IPv4) caixa de seleo, e clique em OK. Feche todas as janelas a bertas.
5.
6.
8. Na caixa de Conexes de Rede, direito-clique em Conexo de rea Local 2 e, em seguida, clique em Propriedades.
9. Em o Area Connection Local 2 caixa de dilogo Propriedades, desmar que a Protocol Version Internet 4 (TCP/IPv4) caixa de seleo.
10. Selecione o Internet Protocol Version 6 caixa de seleo (TCP/IPv6) e clique em OK. Feche todas as aberto Windows:
2. No Firewall do Windows com o Advanced janela Segurana, clique em R egras de Entrada, clique-direito de entrada Regras e, em seguida, clique em Nova Regra.
3. Em o Assistente de Nova Regra de Entrada, na pgina de Tipo de Regr a, clique em Personalizado e, em seguida, clique em Avanar.
4.
5. On os pgina Protocolos e Portas, na lista Tipo de protocolo, cliqu e em ICMPv6 e, em seguida, clique em Avanar.
6.
7.
8.
9. Na pgina Nome, na caixa Nome, digite Permitir PING para IPv6 e cl ique em Concluir.
10. Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressi one ENTER.
ipconfig
Anote o novo endereo IPv6 (endereo global comea com 2001 :) atribudo ligao de rea local. Escrever para baixo o endereo IPv6 em o espao abaixo.
13. Clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em seguid a, pressione ENTER.
14. No prompt de comando, digite o seguinte comando e em seguida, pre ssione ENTER:
Ping global_IP_address
te. ----------------------- Pgina 669----------- -----------Lab B: Convertendo o de Rede para IPv6 nativos L4-9
Ipconfig / all
Observe o endereo IPv6 (endereo global comea com 2001 :) atribudo conexo rea loc l. Escrever para baixo o endereo IPv6 em o espao abaixo.
16.
Ping global_IP_address
Resultados: No final deste exerccio, voc ter configurado uma rede IPv6 apenas.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:
1.
3.
4.
----------------------- Pgina 670----------- -----------L4-10 Mdulo 4: Configurando e solucionando problemas de IPv6 TCP / IP ----------------------- Pgina 671----------- -----------L5-1
Exerccio 1: Configurando roteamento e acesso remoto como um remoto VPN Soluo de Acesso
1. Em NYC-edge1, se o Server Manager no abrir automaticamente, a partir das Fer ramentas Administrativas menu, clique em Server Manager. O Server Manager aberto.
2. No Server Manager (NYC-edge1) painel de lista, o direito-clique em Funes e cl ique em Adicionar Funes da
3. Na pgina Selecionar Funes do Servidor, selecione Diretiva de Rede e Servios de Acesso e clique em Avanar.
4.
5. Na pgina Selecionar Servios de Funo, selecione o Servidor de Diretivas de Rede e Roteamento e Remoto Servios de Acesso caixas de seleo e clique em Avanar.
6.
7. Na pgina Resultados da Instalao, verifique se a instalao teve xito aparece no pai nel de detalhes e em seguida, clique em Fechar.
8. Feche o Gerenciador do Servidor. A Diretiva de Rede e Roteamento e Servios f unes de acesso remoto so instalado no 6421B-NYC-edge1.
Task 2: Configurar 6421B-NYC-edge1 como um servidor VPN com um pool de endereos e sttico para Remotos clientes de acesso
2. No menu Ferramentas Administrativas, clique em Encaminhamento e Acesso Remo to. O Routing and Remote Ferramenta Acesse administrativa aparece.
4.
5. Na pgina Configurao, deixe o Access padro remoto (dial-up-ou VPN) selecionada e clique em Avanar.
6.
7. Na pgina Conexo VPN, selecione a interface pblica e, em seguida, clique em Ava nar.
8. Na pgina Atribuio de Endereo IP, selecione De um intervalo especificado de ende reos e clique em PRXIMA
9. Na pgina Atribuio de endereos Gama, clique em Novo e na caixa de endereo IP inic ial, digite o valor de 10.10.0.60. Na caixa Nmero de endereos, digite o valor de 75 e clique em O K. Clique em Avanar. ----------------------- Pgina 672----------- -----------L5-2 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto
10. No Gerenciamento Remoto pgina Multiple Access Servers, deixar o Ne nhuma seleo padro, use Roteamento e acesso remoto para autenticar pedidos de ligao e cliqu e em Avanar. Clique em Concluir.
12. No roteamento e caixa de dilogo Remote Access sobre o agente de re transmisso DHCP, clique em OK. O
Tarefa 3: Configurar as portas de VPN disponveis no o servidor (RRAS) p ara permitem 25 PPTP e 25 conexes L2TP
1. No encaminhamento e acesso remoto interface da ferramenta de gesto , expandir NYC-edge1 (local), selecione e depois direita-clique em Portas, e, em seguida, clique em Propr iedades.
2. Na caixa de dilogo Propriedades de Portas, clique duas vezes WAN M iniport (SSTP).
3. Na Configurar dispositivo - WAN Miniport (SSTP) caixa de dilogo, a tribua um valor de 25 no mximo portos caixa de e em seguida, clique OK.
4. continuar.
5. Na caixa de dilogo Propriedades de Portas, clique duas vezes em WA N Miniport (PPTP), e em Configurar Dispositivo - WAN Miniport caixa de dilogo (PPTP), atribua um valo r de 25 na caixa mximo de portas e clique em OK.
6. a continuar.
7. rt (L2TP).
Repita este procedimento, com o mesmo valor (25), para WAN Minipo
8.
9.
Resultados: No final deste exerccio, voc ter ativado o roteamento e acess o remoto no NYC-edge1 servidor. ----------------------- Pgina 673----------- -----------Lab A: Con figurando e gerenciando de Acesso Rede L5-3
2. No menu Ferramentas Administrativas, clique em Network Policy Server. O Ser vidor de Diretivas de Rede ferramenta administrativa aparece.
1. No painel de lista, expanda Polticas, Polticas direito-clique em Rede e, em s eguida, clique em Novo.
2. Sobre a Poltica Nova Rede - Especifique o nome do Policy Network e na pgina T ipo de conexo, tipo VPN Segura na caixa de texto Poltica de nome, e em o Tipo de rede de lista d e acesso servidor drop-down, clique em Servidor de acesso remoto (VPN-Dial-up) e clique em Avanar.
3. Na pgina Condies Specify, clique em Adicionar. Na caixa de selecionar a condio d e dilogo, role para baixo e
4. Na caixa de dilogo Tunnel-Type, selecione L2TP, PPTP e SSTP, clique em OK e, em seguida, clique em Avanar.
5. On a pgina Permission Specify Access, deixe o padro de Acesso concedido e cli que em Avanar.
6. Na pgina Configurar Mtodos de autenticao, autenticao Microsoft clara criptografad os (MSCHAP) e clique em Avanar.
7.
painel de detalhes, selecione Permitir acesso apenas nestes dias e nestas h oras, e clique em Editar.
8. Na caixa de dilogo Dia e hora restries, clique no primeiro retngulo azul no can to esquerdo que representa a meia-noite de domingo a 1:00. Segure o boto do mouse e arra ste o seu mouse para destacar tudo do domingo. Clique negado. Repita este procedimento para todos os sbado . Clique em OK, e clique em Avanar.
9. Na pgina Configuraes de Configurar, sob Configuraes, clique em Encryption, e no painel de detalhes, desmarque todas configuraes, exceto o mais forte criptografia (MPPE 128-bit). Clique em Avanar e, em seguida, clique em Concluir.
10. No painel de lista de a ferramenta Network Policy Server, clique em a Rede n Policies.
11. Se necessrio, direito-clique na poltica de VPN Seguro e, em seguida, clique e m Mover para Up. Repetir este passo de fazer a poltica o primeiro lugar na lista.
12.
1.
2.
3. Na janela Painel de Controle, em Rede e Internet, clique em Exibir o status da rede e tarefas.
5. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propri edades.
7. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propriedades, cliq ue em Usar o seguinte IP endereo. ----------------------- Pgina 674----------- -----------L5-4 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto
9. Clique em Fechar e em seguida, clique o boto Voltar para retornar o Centro de Rede e Compartilhamento.
10. Na janela Centro de de Rede e Compartilhamento, sob Altere suas c onfiguraes de de networking, clique em Configurar uma nova conexo ou rede. No uma caixa de conexo dilogo Escolher opo, cliqu e em Conectar a uma local de trabalho e clique em Avanar.
11. No Conectar-se a uma caixa de dilogo local de trabalho, marque a m inha ligao Internet opo (VPN). Quando solicitado, selecione vou configurar uma conexo Internet mai s tarde.
12. Na caixa Digite o endereo de Internet para ligar a caixa de dilogo , especificar um endereo de Internet de 131.107.0.2 e um Nome de Destino de Contoso VPN, e, em seguida, c lique em Avanar.
13. Na Digite seu nome de usurio e pgina de senha, deixe o nome de usurio e senha em branco e , em seguida, clique em Criar.
16. Na pgina Conexes de Rede, boto direito do mouse Contoso VPN e clique em Conectar.
17. Use o as seguintes informaes nos da Contoso do Connect caixas de te xto VPN e, em seguida, clique em Conectar:
Senha: Pa $ $ w0rd
Domnio: Contoso
Resultados: No final de este exerccio, voc ter criado e testado uma conexo VPN. ----------------------- Pgina 675----------- -----------Lab A: Conf igurando e gerenciando de Acesso Rede L5-5
1.
2.
3.
4. Na lista Recursos do Windows, selecione a conexo RAS Manager Administration Kit (CMAK)
5.
1. Clique em Iniciar e na caixa de pesquisa, tipo de conexo Manager Administrat ion Kit, e em seguida, clique em os Programas de (1) lista, clique em Conexo Kit Administration Manager.
2. r.
3. On o Selecione o Alvo pgina Sistema Operacional, clique em Windows 7 ou Wind ows Vista e, em seguida, clique em Avanar.
4. On o uma pgina Connection Criar ou Modificar perfil do Gerenciador de, cliqu e em Perfil New e em seguida, clique Avanar.
5. On o Especifique o Nome do Servio e a pgina Nome do arquivo, na caixa de nome do Servio, tipo Contoso HQ, no Arquivo de Contoso tipo nome da caixa de e, em seguida, clique em Av anar.
6. On pgina Especifique o Nome uma Realm, clique em No adicione um nome de realm para o nome de usurio e, em seguida, clique em Avanar.
7. .
8. On o Suporte Add para VPN pgina Conexes, selecione o livro Phone a partir do esta verificao perfil
BOX:
9. Em o nome do servidor VPN ou IP caixa de endereo, tipo 131.107.0.2 e, em seg uida, clique em Avanar.
11. Na pgina Adicionar um Book a de telefone personalizada, desmarque as de atual izaes do catlogo Automaticamente de download de telefone caixa de verificao e, em seguida, clique em Avanar.
14. Nas Configuraes de configurar o proxy para pginas da internet Explorer, clique em Avanar.
20. Na pgina de Informaes personalizadas suporte, clique em Avanar. ----------------------- Pgina 676----------- -----------L5-6 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto
22. Sobre os Arquivos de Instalao adicionais com a pgina de perfil Conne ction Manager, clique em Avanar.
23. Na construir o perfil Connection Manager e sua pgina do Programa d e Instalao, clique em Avanar.
24. No seu perfil Connection Manager completo e pronto para distribui r pgina, clique em Concluir.
1.
3. No Windows Explorer, no menu, clique em Nova pasta, perfil tipo C ontoso, e ento pressione ENTER.
4. s.
5.
6. Na caixa avanada Compartilhamento de dilogo, selecione Compartilhar esta caixa de seleo de pasta e clique em Permisses.
7. ar.
8. Em Selecionar Usurios, Computadores, Contas de Servio ou Grupos cai xa de dilogo, no Digite o objeto nomes a serem selecionados (exemplos) caixa, os administradores d o tipo e clique em OK.
9. Em os Permisses para Contoso caixa de dilogo Perfil, em os lista Pe rmisses para Administradores, Selecione o controle completo caixa de seleo Permitir e clique em O K.
13. Clique em Iniciar, e na caixa Pesquisar, Network tipo e Compartil hamento e em seguida, pressione ENTER.
15. Na pgina Conexes de Rede, boto direito do mouse Contoso VPN e clique em Conectar.
16. Use as seguintes informaes nos Contoso Conectar caixas de texto VP N e clique em Conectar:
Senha: Pa $ $ w0rd
Domnio: Contoso
17. Clique em Iniciar e na caixa de pesquisa, digite \ \ NYC-dc1 \ Pr ofile Contoso e pressione ENTER.
18. Clique em Iniciar, e no tipo de caixa Pesquisar, C: \ Arquivos de Programas \ CMAK \ Profiles \ Windows 7 e Windows Vista \ Contoso.
19. Destaque todos os arquivos na janela do Explorer aberta e, em seg uida, pressione CTRL + C.
20. Alterne para a pasta \ NYC-DC1 \ \ pasta perfil Contoso e pressio ne CTRL + V.
22. Clique em Iniciar, e na caixa Pesquisar, digite \ \ nyc-dc1 \ Pro file Contoso e pressione ENTER. ----------------------- Pgina 677----------- -----------Lab A: Con figurando e Gerenciando Network Access L5-7
25. No fazer esta conexo disponvel para a pgina, clique em Todos os usurios, selecio ne a opo Adicionar um atalho na desktop, e clique em OK.
27. Em Conexes de Rede, boto direito do mouse Contoso e VPN, clique em Desconectar .
29. Use o as seguintes informaes nos da Contoso do Connect caixas de texto HQ e, e m seguida, clique em Conectar:
Senha: Pa $ $ w0rd
Domnio: Contoso
30. Boto direito do mouse Contoso HQ - Atalho e clique em Desconectar. O VPN desc onecta.
Resultados: No final deste exerccio, voc ter criado e distribudo um perfil CMAK.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:
1.
2.
a, clique em Reverter.
3.
4.
2. Clique em Iniciar, aponte para Ferramentas administrativas e, em se guida, clique em Active Directory Users and Computers.
3. Em Active Directory Usurios e rvores Computadores do console, expanda contoso.com, boto direito do mouse em Usurios, apontar para Novo e, em seguida, clique em Grupo.
4. No Novo objeto - caixa de dilogo Group, sob o nome de Grupo, DA_Clie nts tipo.
5. Sob escopo Grupo, selecione Global, sob tipo Group, escolher de Seg urana, e em seguida, clique OK.
8. Em os Selecionar Usurios, Contactos, Computadores, Contas de Servio, ou grupos caixa de dilogo, clique em Objeto Tipos de, clique em os Computadores caixa de verificao, e em seguida, clique OK.
9. Em Digite os nomes de objeto a serem selecionados (exemplos), tipo NYC-CL1 e clique em OK.
Resposta: Para permitir a aplicao de configuraes DirectAccess de segura na para DirectAccess computadores que so um membro deste grupo de segurana.
Nota: Esta tarefa realizada para permitir o teste subseqente de Di rectAccess no laboratrio produo.
1. Clique em Iniciar, clique em Ferramentas Administrativas e, em, em seguida, clique em Gerenciamento de Diretiva de Grupo.
3. Na consola Poltica de rvore, Domnio boto direito do mouse padro e, em se guida, clique em Editar.
4. Na rvore de console do Editor de Gerenciamento de Diretiva de Grupo, abra Configurao do Computador \ Policies \ Windows \ Configuraes de Segurana \ Windows Firewall com Segurana Avanada \ Windows Firewall com Segurana Avanada.
5. Na rvore de console, clique em Regras de Entrada, clique Regras de E ntrada e clique em Nova Regra.
8. Na pgina Protocolos e Portas, por Tipo de protocolo, clique em ICMPv 6, e, em seguida, clique em Personalizar.
9. Na caixa de dilogo Personalizar ICMP Configuraes, clique em Tipos espe cficos de ICMP, selecione Echo Request, e clique em OK. ----------------------- Pgina 679----------- -----------Laboratrio B: Implementando DirectAccess L5-9
14. Na pgina Nome, para Nome, ICMPv6 tipo de entrada solicitaes de eco e clique em Concluir.
15. Na rvore de console, clique em regras de sada, boto direito do mouse regras de sada, e, em seguida, clique em Nova Regra.
18. Na pgina Protocolos e Portas, por tipo de protocolo, clique ICMPv6 e, em segu ida, clique em Personalizar.
19. Na caixa de dilogo Personalizar ICMP Configuraes, clique em Tipos especficos de ICMP, selecione Echo Request, e clique em OK.
24. Na pgina Nome, em Nome, digite ICMPv6 de sada solicitaes de eco e clique em Conc luir.
25. Feche a Grupo Editor de Gerenciamento de Poltica de e consoles Group Policy M anagement.
2. Na rvore de console do Gerenciador de DNS, expanda NYC-DC1 \ Forward Lookup Zones \ contoso.com.
3.
4. Na caixa Nome, digite nls. Na caixa de endereo IP, digite 10.10.0.24. Clique em Adicionar host e, em seguida, clique em OK.
5. Na caixa de New Host de dilogo, CRL tipo em Nome de (usa o nome domnio pai se em branco). No IP caixa de endereo, digite 10.10.0.15 e clique em Adicionar Host.
6.
Na caixa de dilogo DNS informando que o registro foi criado, clique em OK.
7.
8.
Pergunta: Qual a finalidade do registro de host nls.contoso.com DNS que voc associado com um endereo IP interno?
Resposta: Para permitir que clientes intranet-baseados em DirectAccess para localizar o Localizao do Servidor Rede enquanto na intranet. ----------------------- Pgina 680----------- -----------L5-10 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o
1. Clique em Iniciar, clique em Todos os Programas, clique em Acessri os e, em seguida, clique em Prompt de Comando.
2. ione ENTER:
3.
Resultados: No final deste exerccio, voc est preparado AD DS e DNS para a poiar a implantao de DirectAccess. ----------------------- Pgina 681----------- -----------Lab B: Implementando DirectAccess L5-11
1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas administrativas e, e m seguida, clique em Autoridade de Certificao.
2.
3.
5.
6.
7.
8.
9. Selecione Incluir em CRLs. Os clientes usam este para encontrar Delta loca lizaes CRL e Incluir em o CDP extenso de certificados emitidos e, em seguida clique em Aplicar. Clique em No na caixa de dilogo pedindo para voc reiniciar os Servios de de Certificados do Active Directory.
16. Selecione Publicar CRLs para esta localizao e Publicar CRLs Delta para este lo cal, e em seguida, clique OK.
Resposta: Para permitir que clientes DirectAccess e servidores para determi nar se os certificados emitidos (Usado para autenticao) foram revogados.
1.
2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e Centro de Compartil hamento e em seguida, pressione ENTER.
3.
4.
5.
6.
7. Na guia DNS, no sufixo DNS para esta caixa de ligao, tipo Contoso.com e cliqu e em OK.
8.
----------------------- Pgina 682----------- -----------L5-12 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto
9. har.
1.
2. Na rvore de console do Server Manager, clique em Roles. No painel de detalhes, clique em Adicionar funes e, em seguida, clique em Avanar.
3. Na pgina Selecionar Funes do Servidor, clique em Web Server (IIS) e em seguida, clique Avanar trs vezes.
4.
Clique em Instalar.
5. Verifique que todas as instalaes foram bem sucedidos e, em seguida, clique em Fechar.
6.
1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Internet Information Services (IIS) Manager.
2. Na rvore de console, navegue at NYC-edge1 \ Sites \ Default Web Sit e, Web Site boto direito do mouse padro, e, em seguida, clique em Adicionar Diretrio Virtual.
3. Na caixa de dilogo Virtual Directory Adicionar, na caixa Alias, di gite CRLD. Junto ao caminho fsico, clique em
4. Na caixa de dilogo Procurar pasta, clique em Disco Local (C :) e c lique em Criar nova pasta.
5. CRLDist Tipo e pressione ENTER. Clique em OK na Browse for caixa de dilogo Pasta.
6.
7. No painel central do console de navegao do diretrio, d um duplo cliqu e e no painel de detalhes, clique Ativar.
8.
10. Clique na seta para baixo para a Seo lista drop-down, e depois proc urar a system.webServer \ security \ requestFiltering.
11. No painel central do console, clique duas vezes na entrada allowD oubleEscaping para alterar o valor de falso para verdadeiro.
12.
Pergunta: Por que voc faz a CRL disponvel no servidor DirectAccess no permetro
rede?
Resposta: Assim que os clientes de Internet DirectAccess pode ace ssar a CRL. ----------------------- Pgina 683----------- -----------Laboratrio B: Implementando DirectAccess L5-13
Nota: Esta etapa executada para atribuir permisses para o ponto de distribu io da CRL.
1.
2.
3. No painel de detalhes do Windows Explorer, boto direito do mouse na pasta CR LDist e clique em Propriedades.
4. Na caixa de CRLDist de dilogo Propriedades, clique na guia Compartilhamento e clique em Compartilhamento Avanado.
6. Em Nome do compartilhamento, adicione um sinal de cifro ($) at o fim para que o nome do compartilhamento CRLDist $.
7.
8.
9. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grup os, clique em Tipos de objeto.
11. Em os Selecionar Usurios, Computadores, Contas de Servio, ou caixa de dilogo Gr upos, em caixa Digite o objeto nomes para selecionar o tipo de caixa, NYC-DC1 e depois clique em Verificar nomes. Clique em OK.
12. Na caixa Permisses para $ CRLDist de dilogo, selecione NYC-DC1 (CONTOSO \ NYCDC1 $) do Grupo ou lista de nomes de usurio. Em os Permisses para NYC DC1-seo, selecione Permitir para controle completa. Clique em OK.
17. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos , clique em Tipos de Objeto.
19. Em Selecionar Usurios, Computadores, Contas de Servio ou Grupos caixa de dilogo , no Digite o objeto nomes para selecionar caixa de, tipo NYC-DC1, clique em Verificar Nomes, e em seguida, clique OK.
20. Em os Permisses para caixa de dilogo CRLDist, selecione NYC-DC1 (CONTOSO \ NYC -DC1 $) a partir do Grupo ou lista nomes usurio. Em os Permisses para NYC DC1-seo, selecione Permit ir para Pleno controle e em seguida, clique OK.
Observao Esta etapa faz com que o CRL disponvel no servidor de borda para o Internet-baseada em Clientes DirectAccess.
1.
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e em seguida, clique Autoridade de Certificao. ----------------------- Pgina 684----------- -----------L5-14 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto
3. Na rvore de console, aberto ContosoCA, boto direito do mouse em Cer tificados Revogados, aponte para All Tasks e, em seguida clique em Publicar.
4. .
5. NTER.
6. + arquivos.
7.
8.
1.
2. No painel de contedo, clique com o modelo de servidor Web e, em se guida, clique em Propriedades.
3.
4. Em os Permisses para janela Usurios Authenticated, clique em Enroll em Permitir e em seguida, clique OK.
5.
1. Clique em Iniciar, clique em Ferramentas administrativas e, em se guida, clique em Group Policy Management.
4. Na rvore de console do Editor de Gerenciamento Grupo de Poltica, ab ra Configurao do Computador \ Policies \ Configuraes do Windows \ Security Settings \ Diretivas de Chave Pblica.
5. No painel de detalhes, clique Configuraes de solicitao automtica de ce rtificado, aponte para Novo e, em seguida, clique em Solicitao de Certificado Automtica.
6. Avanar.
7. Na pgina Modelo de Certificado, clique em Computador, clique em Av anar e, em seguida, clique em Concluir.
8. ent Console.
Pergunta: Por que voc usar GPO para configurar a implantao de certif icados?
Resposta: Para mais rapidamente e effortlessly implantar os certi ficados necessrios para DirectAccess computadores clientes.
Resultados: No final deste exerccio, voc ter configurado a infra-estrutur a de chave pblica em Contoso apoiar a implantao de DirectAccess. ----------------------- Pgina 685----------- -----------Lab B: Implementando DirectAccess L5-15
Observao: Esta etapa necessria para fornecer alguns dados que intranet e clie ntes da Internet pode acessar.
1.
2.
3.
4. Clique em Nova pasta, Arquivos de de tipo, e em seguida, pressione ENTER. D eixe a janela Disco Local aberto.
5. Clique em Iniciar, clique em Todos os Programas, Acessrios, clique com do di reito-clique notepad, e, em seguida, clique em Executar como administrador.
6. .
7. Clique em Arquivo, clique em Salvar, faa duplo clique em Computer, faa duplo clique em Disk Local (C :), e seguida, faa duplo-clique no Pasta de arquivos.
8. Em Nome do arquivo, example.txt tipo, e, em seguida, clique em Salvar. Fech e a janela do Bloco de Notas.
9. Na janela Disk Local, direito-clique na pasta Files, aponte para Compartil har com, e em seguida, clique Especfico pessoas.
1.
2.
3.
4.
5.
6. Clique em Certificados, clique em Adicionar, selecione Conta de Computer, c lique em Avanar, selecione computador Local, clique em Concluir e, em seguida, clique em OK.
7. Na rvore de console dos Certificados snap-em, Certificados abertos (computad or local) \ Pessoal \ Certificados.
8. O boto direito do clique em Certificados, aponte para Todas as Tarefas e, em seguida clique em Certificado de Request New.
9.
10. Na pgina Certificados Request, clique em Servidor de Web e, em seguida, cliq ue em Mais informao necessria para se inscrever para este certificado.
11. Na guia Assunto da caixa de de dilogo Certificado Properties, em nome de Ass unto, para Tipo, selecione Nome comum.
12.
----------------------- Pgina 686----------- -----------L5-16 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o
14. No painel de detalhes dos Certificados snap-em, verifique que um novo certificado com o nome nls.contoso.com foi inscrito com fins pretendidos de autenticao do servidor.
15. Feche a janela console. Quando voc for solicitado para salvar as c onfiguraes, clique em No.
1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Internet Information Services (IIS) Manager.
2. Na rvore de console de Servios de Informao da Internet (IIS) Manager, NYC-SVR1/Sites abertos e, em seguida, clique Web site da Default.
3.
4.
icado SSL, clique em o certificado com o nls.contoso.com nome, clique em OK e, em seguida, clique em Fecha r.
5. IIS).
1.
2.
3.
4.
5.
6.
7. Clique em Certificados, clique em Adicionar, selecione Conta de c omputador, clique em Avanar, selecione Computador local, clique em Concluir e, em seguida, clique em OK.
9. O boto direito do mouse em Certificados, aponte para Todas as Tare fas e clique em Solicitar Novo Certificado.
12. No painel de detalhes, verificar se um certificado pelo nome NYC CL1.contoso.com-est presente com Destinado fins de autenticao do cliente e autenticao do servidor.
13. Feche a janela de console. Quando voc for solicitado para salvar a s configuraes, clique em No.
Resposta: Sem um certificado, o cliente no pode identificar e aute nticar-se para o Servidor DirectAccess. ----------------------- Pgina 687----------- -----------Laboratrio B: Implementando DirectAccess L5-17
1.
2. Na barra de endereos, http://nyc-svr1.contoso.com/ tipo e em seguida pressio ne ENTER. Voc dever ver o padro do IIS pgina 7 para NYC-SVR1.
3. Na barra de Endereo, https://nls.contoso.com/ tipo e em seguida, pressione E NTER. Voc dever ver o padro do IIS pgina 7 para NYC-SVR1.
4.
5.
6. Voc dever ver uma janela de pasta com o contedo dos arquivos compartilhados pa sta.
7. Nos arquivos compartilhados janela da pasta, d um duplo clique no arquivo ex ample.txt. Voc dever ver o contedo de o arquivo example.txt.
8.
Resultados: No final deste exerccio, voc testou o acesso Intranet. ----------------------- Pgina 688----------- -----------L5-18 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o
1.
2.
3. ap-ins-.
4. Clique em Certificados, clique em Adicionar, clique em computador conta, clique em Avanar, selecione Computador local, clique em Concluir e, em seguida, clique em OK.
5.
6. O boto direito do mouse em Certificados, aponte para Todas as Tare fas e clique em Solicitar Novo Certificado.
7.
8. Na pgina Certificados de solicitao, clique em Servidor Web e, em seg uida, clique em Mais informao necessria para se inscrever para este certificado.
9. Na guia Assunto da caixa de de dilogo Certificado Properties, em nome de Assunto, para Tipo, selecione Nome comum.
12. No painel de detalhes dos snap-in Certificados, verifique se um novo certificado com o nome nyc-edge1.contoso.com foi inscrito com fins pretendidos de autent icao do servidor.
15. Feche a janela de console. Se voc for solicitado para salvar as co nfiguraes, clique em No.
1.
2. recursos.
3. le.
4. srios.
5.
6.
7.
1.
GPUpdate / force
2.
3. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em Gerenciamento do DirectAccess.
4. Na rvore de console, clique em Configurar. No painel de detalhes, clique em Configurar para o passo 1.
5.
6. Na caixa de dilogo Selecionar grupo, DA_Clients tipo, clique em OK e, em seg uida, clique em Concluir.
7.
8. On a pgina Conectividade, para a Interface conectado Internet, selecione a i nterface nomeado Pblica. Para Interface de conectado para a rede interna, selecione o Conexo d e rea Local 2, e clique em Avanar.
Observao Se voc receber um aviso que o de rea local adaptador de rede de cone xo deve ser conectado a uma rede de domnio, feche o console de Gerenciamento de Acesso Direto. Open Server Manager e clique em Configurar Conexes de Rede. Desabilite a Conexo de rea Lo cal e reativ-lo. Reinicie o console de Gerenciamento do Direct Access.
9. Na pgina Componentes do Certificado, para Selecione o certificado raiz ao q ual o cliente remoto certificados devem cadeia, clique em Procurar. Na lista de certificados, cl ique no certificado raiz ContosoCA e clique em OK.
10. Para Selecione o certificado que ser ser usado para proteger a conectividade do cliente remoto atravs de HTTPS, clique em Procurar. Na lista de certificados, clique no certificado chamado
12. Na pgina Local, clique em servidor de localizao de rede executado em um altam ente disponvel tipo de servidor, https://nls.contoso.com, clique em Validar, e, em seguida, clique em Avanar.
13. Na pgina Controlador DNS e Domnio, observe a entrada para o contoso.com nome com o IPv6 endereo 2002:836 b: 2:1:0:5 EFE: 10.10.0.10. Este endereo IPv6 atribudo a NYC DC1 e composta por um prefixo de rede 6to4 (2002:836 b: 2:1 :: / 64) e um identif icador de interface ISATAP baseado (:: 00:05 EFE: 10.10.0.10). Clique em Avanar.
15. Clique em Configurar para a etapa 4. Na pgina Instalao do DirectAccess Applica tion Server, clique em Concluir.
16.
1 Na caixa de dilogo comentrio DirectAccess, clique em Aplicar. Na configurao polti ca DirectAccess caixa de mensagem, clique em OK.
Resultados: No final deste exerccio, voc ter configurado com sucesso NYC edge1 como um DirectAccess servidor. ----------------------- Pgina 690----------- -----------L5-20 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o
Observao Normalmente, voc poderia configurar este registro em seus pblicas servidores que enfrentam de DNS.
1.
3. Na rvore de console, expanda Zonas de pesquisa direta, boto direito do mouse contoso.com, e clique em Novo Host (A ou AAAA).
4.
5. ncludo.
6.
Nota Estes passos habilitar as configuraes necessrias IPv6 para apo iar DirectAccess.
1.
2. Clique em Iniciar, clique em Todos os Programas, clique em Acessrio s e, em seguida, clique em Prompt de Comando.
3.
4.
5. No prompt de comando, digite o seguinte comando e pressione ENTER. Verifique se que o servidor de tenha sido emitido um endereo ISATAP que termina com 10.10.0.24.
ipconfig
6.
7.
8. Clique em Iniciar, clique em Todos os Programas, clique em Acessrio s e, em seguida, clique em Prompt de Comando.
11. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER. Verificar que o servidor tenha sido emitido um endereo ISATAP que termina com 10.10.0.10.
ipconfig
1.
2. Reinicie NYC-CL1 e, em seguida, logon novamente como Contoso \ Administrado r com a senha do Pa $ $ w0rd. Isto para assegurar que o computador NYC CL1-liga-se ao domnio como um membr o dos DA_Clients grupo de segurana.
3. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em s eguida, clique em Prompt de Comando.
gpupdate / force
5.
6.
7. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER. Verifique se o cliente tenha sido emitido um endereo ISATAP que termina com 10.10.10.1.
ipconfig
8.
Gpresult-R
9. Verifique que um Direct Access objeto de Diretiva de Grupo est sendo aplica da para o computador cliente. Se a poltica no sendo aplicada, execute o comando gpupdate / force novamente. Se a poltica ainda no est sendo aplicada, reiniciar NYC-CL1. Depois que os o computador for reiniciado, faa logon como Administrator e execute o Gpresult-R comandar novamente.
1.
Ipconfig / flushdns
3.
de ping 2002:836 b: 2:1 :: 5efe: 10.10.0.24 ----------------------- Pgina 692----------- -----------L5-22 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto
de ping NYC-DC1.contoso.com
pingue NYC-SVR1.contoso.com
Observao: Para verificar a funcionalidade, voc deve mover o computa dor cliente para a Internet.
1. Em NYC-CL1, clique em Iniciar, clique em Painel de Controle e cli que em Rede e Internet.
2.
3.
5. Na rea caixa de Conexo de Rede Local de dilogo Propriedades, faa dupl o clique em Internet Protocol Version 4 (TCP/IPv4).
6. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propried ades, clique em Usar o seguinte IP endereo. Preencha o as seguintes informaes, e em seguida, clique OK.
7. har.
10. Em o Set caixa de dilogo Rede de Localizao de, clique em rede Public e, em seguida, clique em Fechar.
pingue inet1.isp.example.com
2.
3. Na barra de endereos, http://inet1.isp.example.com/ tipo e em segu ida pressione ENTER. Voc dever ver o padro pgina Web do IIS 7 para Inet1. ----------------------- Pgina 693----------- -----------Laboratrio B: Implementando DirectAccess L5-23
1.
de ping NYC-SVR1
2. No Internet Explorer, em o Endereo http://NYC-SVR1.contoso.com/ tipo bar,, p ressione ENTER e, em em seguida, pressione F5. Voc dever ver o padro IIS 7 pgina web para NYC-SVR1.
3.
4. Clique em Iniciar, digite \ \ NYC-SVR1 \ arquivos, e em seguida pressione E NTER. Voc dever ver uma janela pasta com o contedo dos arquivos pasta compartilhada.
ipconfig
2. A partir da tela da ferramenta Ipconfig.exe, observe que uma interface cham ada Adaptador de tnel 6to4 Adaptador possui um endereo IPv6 que comea com 2002:836 b:. Este um endereo 6t o4 com base em um IPv4 endereo de que comea com 131,107. Note que esta interface tnel tem um gateway padro 2002:836 b: 2 :: 836b: 2, que corresponde ao endereo 6to4 de edge1 (131.107. 0.2 no clonnotao hexadecimal 836b: 2). NYC-CL1 utiliza 6to4 e este gateway padro para o t rfego de tnel IPv6 para Edge1.
Resultados: No final deste exerccio, voc vai ter implementado com sucesso, verific ado e testado DirectAccess.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
----------------------- Pgina 694----------- -----------L5-24 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto
Mdulo 6: Instalando, Configurando, e Soluo de problemas do Network Policy Servio de Funo de Servidor
1.
2.
3.
4.
5.
6. Na pgina Selecionar Funes do Servidor, selecione o e Diretiva de Rede de Acess o caixa de seleo Servios e clique em Avanar.
7.
8. Na pgina Selecionar Servios de Funo, selecione o Network Policy caixa de seleo Se rver e, em seguida, clique em Avanar.
9.
1. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Servidor de Diretiva de Rede.
2. No painel de navegao, right-click NPS (Local) e, em seguida, clique em Regist er servidor no Active Directory.
3.
4.
1. Em a Rede ferramenta de gerenciamento de Poltica de do Servidor, na Obtendo painel de detalhes Iniciado, abra o drop-down lista em Configurao do Standard and em seguida, clique servidor RAD IUS para Dial Up-ou VPN Connections.
2. Sob servidor RADIUS para conexes dial-up ou VPN, clique em Configurar VPN ou dial-up.
3. No Assistente para VPN Configurar ou dial-up, clique em Virtual Private Net work (VPN), aceite o nome padro, e, em seguida, clique em Avanar.
4.
5. Em o New caixa de dilogo RADIUS Client, na caixa Nome do Friendly, tipo NYC edge1-e em seguida, clique Verificar. ----------------------- Pgina 696----------- ------------
6. Na caixa de Verify de dilogo Endereo, na caixa de de endereo, digite NYC edge1-, clique em Resolver, e, em seguida, clique em OK.
7. Em o New caixa de dilogo RADIUS Client, em o segredo Shared e Conf irmar compartilhados caixas de secretos tipo, Pa $ $ w0rd e em seguida, clique OK.
8.
9. Na pgina Configurar Mtodos de Autenticao, selecione o Protocolo de Au tenticao Extensible e Microsoft Encrypted Authentication verso 2 (MS-CHAPv2) marcar ca ixas e, em seguida, clique em Avanar.
12. Na pgina Especifique o Configuraes de Encryption, desmarque a cripto grafia Bsica e de verificao de criptografia Strong caixas e, em seguida, clique em Avanar.
14. On o New Completando Dial Up-ou Virtuais Conexes de Rede Privadas e RADIUS clientes pgina, clique em Concluir.
Resultados: No final de este exerccio, voc vai tiver configurado NYC DC1 -como um servidor RADIUS atravs da instalao de e configurando a funo Servidor de NPS. ----------------------- Pgina 697----------- -----------Lab: Configura ndo e gerenciando Network Policy Server L6-3
1.
2.
3. No painel de navegao Manager Server, clique em Funes, e, em seguida, no painel da direita, clique em Adicionar Roles.
4.
5. Na pgina Selecionar Funes do Servidor, selecione o e Diretiva de Rede de Acess o caixa de seleo Servios e , em seguida, clique em Avanar.
6.
7. Na pgina Selecionar Servios de Funo, selecione o Roteamento e Servios de Acesso Remoto caixa de verificao e , em seguida, clique em Avanar.
8.
9.
1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em em seguida , clique Roteamento e Acesso Remoto.
2.
3. Right-click NYC-edge1 (local) e, em seguida, clique em Configurar e Ativar Roteamento e Acesso Remoto.
4. Em o Roteamento e Remote Access Assistente de Setup Server, sobre a pgina Be m-vindo, clique em Avanar.
6.
7. Na pgina Conexo VPN, selecione o interface de rede com o endereo IP de 131.107 .0.2, 131.107.0.3 e, em seguida, clique em Avanar.
8. On a pgina IP Address Assignment, selecione De um intervalo especificada de endereos e, em seguida, clique em Avanar.
9. Na pgina Atribuio de endereos Gama, clique em Novo e na caixa de endereo IP inic ial, digite o valor de 10.10.0.60. Na caixa Nmero de caixa de endereos, digite o valor de 75 e cl
10. No Gerenciamento Remoto pgina Multiple Access Servers, selecione Sim, config urar este servidor para trabalhar com um servidor de RADIUS e, em seguida, clique em Avanar.
11. Na pgina Seleo de RADIUS Server, na caixa de Primrio RADIUS servidor, tipo NYCDC1
12. Na caixa de segredo Shared, digite Pa $ $ w0rd e, em seguida, clique em Ava nar.
14. Em o Roteamento e caixa de dilogo Remote Access, clique em OK. O servio Rotea mento e Acesso Remoto comea.
Resultados: No final de este exerccio, voc vai tiver configurado NYC edge1-como um servidor VPN. ----------------------- Pgina 698----------- -----------L6-4 Lab: Configurando e Gerenciando Network Policy Server
1.
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciamento de Diretiva de Grupo.
3.
4. Em o painel de lista, sob Contoso.com, Diretiva de Domnio direitomouse em Default e, em seguida, clique em Editar.
5. No Grupo Editor de Gerenciamento de Poltica de, sob Configurao do Co mputador, expanda Diretivas, expanda Configuraes do Windows, expanda Configuraes de Segurana, e em seguida, expanda Diretivas de Chave Pblica.
6. No painel de navegao, right-clique em Configuraes solicitao automtica d Certificado, aponte para Novo e, em, em seguida, clique em Solicitao de Certificado Automatic.
8. On a pgina Modelo de Certificado, aceitar a configurao padro de Comput er e, em seguida, clique em Avanar.
9. On Concluindo o Automatic Certificate a Solicitao de pgina do Assist ente de Setup, clique em Concluir.
13. Reinicie o computador e, em seguida, fazer logon usando as seguin tes credenciais:
Senha: Pa $ $ w0rd
Domnio: Contoso
14. Clique em Iniciar, tipo MMC na caixa Pesquisar, e em seguida, pres sione ENTER.
15. Na janela Console1, clique em Arquivo e, em seguida, clique em Ad icionar / Remover Snap-in.
16. Em o Adicionar ou remover caixa de Snap-ins, selecione Certificad os e, em seguida, clique em Adicionar.
1 Em os Certificados snap-in caixa de, selecione Conta de Computer e , em seguida, clique em Avanar.
18. Na caixa de Computer Select, selecione computador Local e, em seg uida, clique em Concluir.
1 Expanda pessoal e, em seguida, clique em Certificados. Repare que N YC-CL1.Contoso.com exibido. Voc agora pode usar este certificado como um mecanismo de autenticao.
Resultados: At the final deste exerccio, voc ir ter configurado as definies do certificado apropriados para a sua Soluo VPN. ----------------------- Pgina 699----------- -----------Lab: Configurand
1.
4. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propri edades.
6.
7. Clique em Fechar e em seguida, clique o boto Voltar para retornar o Centro d e Rede e Compartilhamento.
1. Na janela Centro de de Rede e Compartilhamento, sob Altere suas configuraes d e de networking, clique em Configurar uma nova conexo ou rede. Em o uma caixa de conexo Escolha de dilogo opo, clique em C onectar a um local de trabalho e, em seguida, clique em Avanar.
2. Em o Conectar-se a uma caixa de dilogo local de trabalho, selecione o Uso mi nha Internet conexo opo (VPN). Quando solicitado, selecione eu vou configurar uma conexo Internet mais tard e.
3. Em o Tipo de o endereo Internet para se conectar a caixa de dilogo, especifiq ue um endereo Internet de 131.107.0.2 e um Nome de Destino de Contoso VPN, e, em seguida, clique em A vanar.
4. On o Tipo de seu nome de usurio e pgina senha, deixe o nome de usurio e senha em branco e , em seguida, clique em Criar.
5.
7. On a pgina Conexes de Rede, boto direito do mouse Contoso VPN e, em seguida, c lique em Propriedades.
8.
9. Em o Tipo de de lista VPN, clique em Protocolo Layer 2 Tunneling com IPsec (L2TP/IPsec).
10. Na lista Criptografia de Dados, clique em criptografia fora mxima (desconecta r declnios se o servidor)
11. On a pgina Conexes de Rede, right-click Contoso VPN e, em seguida, clique em Conectar.
12. Use o as seguintes informaes nos da Contoso do Connect caixas de texto VPN e , em seguida, clique em Conectar:
Senha: Pa $ $ w0rd
Domnio: Contoso
O VPN se conecta com xito. ----------------------- Pgina 700----------- -----------L6-6 Lab: Configurando e gerenciando Network Policy Server
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:
1.
3.
4.
1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e, e m em seguida, clique Autoridade de Certificao.
2. Em o console de gerenciamento certsrv, expanda ContosoCA, Templates direito -clique em Certificado de, e, em seguida, selecione Gerenciar a partir de o menu de contexto.
3. Em o Templates Console Certificado detalhes Computer painel de, right-click e seguida, escolha Propriedades a partir de o menu de contexto.
4.
5. Em os Permisses para Usurios Autenticados, selecione o caixa de verificao Permi tir para o Enroll permisso e em seguida, clique OK.
6. Feche a Certificado Console Modelos e em seguida, feche o console de gerenc iamento certsrv.
Task 2: Configurar NYC-edge1 com NPS funcionando como um servidor poltica de sade
1.
2. Obter o certificado de computador e instalar em NYC edge1-para do lado do s ervidor-de autenticao PEAP:
uma. Clique em Iniciar, clique em Executar, tipo mmc, e em seguida, pressi one ENTER.
C. " Na caixa de dilogo Adicionar ou Remover Snap ins-, clique em Certifica dos, clique em Adicionar, selecione Computador conta, clique em Avanar, e, em seguida, clique em Concluir.
e. Na rvore de console, expanda Certificados, right-click ponto, Personal p ara Todas as Tarefas, e em seguida, clique Solicite Novo Certificado.
g. On o Select pgina de Poltica de Certificate Enrollment, clique em Diretiv a de Enrollment Active Directory e, em seguida, clique em Avanar.
h.
i. Verificar o status dos instalao do certificado como Sucedido e, em seguid a, clique em Concluir.
j.
k. Clique em No quando solicitado a salvar configuraes do console. ----------------------- Pgina 702----------- -----------L7-2 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto
3.
uma.
b. Clique em Roles, e em seguida, sob Resumo de Funes, clique em Adicionar Funes e, em seguida, clique em Avanar.
C. " Selecione o Diretiva de Rede Servios de Acesso e caixa de v erificao e, em seguida, clique em Avanar duas vezes.
d. Selecione o Servidor de e Diretiva de Rede de Acesso Remoto caixas de seleo de Servio, clique em Avanar, e , em seguida, clique em Instalar.
e. em Fechar.
f.
4.
uma. Clique em Iniciar, apontar para Ferramentas Administrativa s, e, em seguida, clique em Servidor de Diretiva de Rede.
b. Expandir Proteo de Acesso Rede, expanda Validators de Integrid ade do Sistema, expanda Windows De Segurana da Sade Validator, e, em seguida, clique em Config uraes.
c. que em.
d. On a seleo Windows Vista 7/Windows, desmarque todas as caixas de de seleo, exceto o firewall A habilitado para tudo caixa de seleo rede conexes.
5.
uma.
Expanda Diretivas.
b. que em Novo.
c. Em o New caixa de Sade de dilogo Criar Poltica de, sob o nome d e Poltica de, Compliant tipo.
d. Sob verificaes de Cliente SHV, verifique se Cliente passa toda s as verificaes de SHV est selecionado.
e. Sob SHVs utilizados neste poltica de sade, selecione o de Segu rana do Windows Sade Validator verificar caixa.
F.
Clique em OK.
g. que em Novo.
h. Em o New caixa de Sade de dilogo Criar Poltica de, sob Nome da Poltica, digite no aderentes.
i. Sob verificaes de Cliente SHV, Client select falhar uma ou mai s verificaes SHV.
j. Sob SHVs utilizados neste poltica de sade, selecione o de Segu rana do Windows Sade Validator verificar BOX:
k.
Clique em OK.
6.
uma.
b.
c. Desativar as polticas padro dois encontrados sob Nome da Poltic a por direito-estalando as polticas e, em seguida, clicando em Desativar.
d.
e em Novo. ----------------------- Pgina 703----------- -----------Lab: Implementand o NAP em um Soluo de Acesso VPN Remoto L7-3
e. Em o Nome da Poltica Specify Rede E janela Tipo de Conexo, sob o nome de Poltica de tipo, Compliant-Full Access-e, em seguida, clique em Avanar.
f.
g.
h. Na caixa de dilogo Sade Polticas, em As polticas de sade, selecione Complia nt, e em seguida, clique OK.
i. Na janela Condies Specify, verifique que Poltica de Sade especificado sob Condies com um valor de Compliant e, em seguida, clique em Avanar.
j. Na janela Permission Specify Access, verificar que o Access concedido est selecionado.
k.
l. Na janela Configuraes de Configurar, clique em Enforcement NAP. Verifiqu e se Permitir de rede completo de acesso est selecionado e, em seguida, clique em Avanar.
m.
7.
uma. o.
b. Em o Nome da Poltica Specify Rede E janela Tipo de Conexo, sob o nome de Poltica de tipo, No-complacente-Restricted e, em seguida, clique em Avanar.
c.
d.
e. Na caixa de dilogo Sade Polticas, em As polticas de sade, selecione no adere nte e em seguida, clique OK.
F. Na janela Condies Specify, verifique que Poltica de Sade especificado sob Condies com um valor de no aderente e, em seguida, clique em Avanar.
g. Na janela Permission Specify Access, verificar que o Access concedido est selecionado.
Observe Uma configurao de Acesso concedido no significa que os clientes fora de conformidade so concedidos acesso total rede. Ele especifica que a poltica deve continuar a avaliar os clientes que os coincidir com estas condies.
h.
i. Na janela Configuraes de Configurar, clique em Enforcement NAP. Selecion e Permitir que acesso limitado e remover a caixa de seleo ao lado de Ativar auto remediao-de computadores c lientes.
j.
k.
2. Na caixa de dilogo Add IP de Filtro, selecione rede de Destino. Digite 10.10.0.10 prximo ao endereo IP e em seguida, digite 255.255.255.255 ao lado de mscara de de sub-rede. Esta etapa garante que o trfego a partir de clientes fora de conformidade pode alcangar somente NYC DC1-.
m. Clique em OK para fechar a caixa de de dilogo Adicionar IP Filtro de e em seguida, selecione Permitir apenas os pacotes listados abaixo na a caixa de Inbound de dilogo Filtros de.
n.
----------------------- Pgina 704----------- -----------L7-4 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto
o. Novo.
p. Na caixa de dilogo Add IP de Filtro, selecione rede Source. D igite 10.10.0.10 prximo ao endereo IP e em seguida, digite 255.255.255.255 ao lado de mscara de de su b-rede.
q. Clique em OK para fechar a caixa de de dilogo Adicionar IP Fi ltro de e em seguida, selecione Permitir apenas os pacotes listados abaixo na caixa de Outbound de dilogo Filtros de. Esta etapa garante que o trfego apenas a partir de NYC-DC1 pode ser enviado aos clientes no compatveis.
r.
s.
s.
T luir.
8.
uma.
b. Desativar a diretiva padro de de solicitao de conexo que encontr ado sob Nome da Poltica por direito-clicking a poltica e em seguida, clicando Desativar.
C. " em Novo.
d. Em o Specify Nome da Poltica Connection Request E janela Tipo de Conexo, ao abrigo da Poltica tipo de nome, as conexes VPN.
e. Em Tipo de de servidor de acesso de rede, selecione Remote A ccess Server (VPN-Dial up) e, em seguida, clique em Avanar.
f.
g. Na janela Condio Select, faa duplo clique em Tipo Tunnel, selec ione PPTP, SSTP, e L2TP. Clique OK e, em seguida, clique em Avanar.
h. Em o Specify janela Forwarding Connection Request, verificar que Authenticate solicitaes sobre
i. Na caixa Especifique janela Mtodos de Autenticao, selecione Sub stituir de autenticao poltica de rede configuraes.
j. Em Tipos de de EAP, clique em Adicionar. Na caixa de dilogo A dd EAP, sob Os mtodos de autenticao, clique em Microsoft: Protected EAP (PEAP) e em seguida, clique OK.
k. Em Tipos de de EAP, clique em Adicionar. Na caixa de dilogo A dd EAP, sob Os mtodos de autenticao, clique em Microsoft: senha Secured (EAP-MSCHAP v2) e em seguida, cliqu e OK.
2. Em Tipos de EAP, clique em Microsoft: Protected EAP (PEAP) e , em seguida, clique em Editar.
m. Verifique se Proteo de Acesso Enforce Network est selecionado e em seguida, clique OK.
n. .
9.
----------------------- Pgina 705----------- -----------Lab: Implementando NAP em um Soluo de Acesso VPN Remoto L7-5
Task 3: Configurar NYC-edge1 com o Routing e Remote Access Service (RRAS) que est configurado como um servidor VPN
1. On NYC-edge1, clique em Iniciar, aponte para Ferramentas Administrativas e, em em seguida, clique Routing and Remote
Acesse.
2. Em o servio Roteamento e console de Acesso Remoto, right-click NYC-edge1 (lo cal) e, em seguida, clique em Configurar e Ativar Roteamento e Acesso Remoto. Isso inicia o Roteamento e Server Setu p Remote Access Feiticeiro
3. Clique em Avanar, o acesso select remoto (dial-up-ou VPN), e, em seguida, cl ique em Avanar.
4.
5. Clique em a interface de rede chamado Pblica. Desmarque a Ativar segurana na interface selecionada por definindo up filtros de pacotes estticos caixa de verificao e, em seguida, cli que em Avanar. Isso garante que de NYC edge1-ir ser capaz de executar ping NYC DC1-quando ele anexado sub-rede Internet sem exi gir que voc configurar adicionais filtros de pacotes para Internet Message Control Protocol trfego (ICMP).
6. On a pgina IP Address Assignment, selecione De um intervalo especificada de endereos e em seguida, clique PRXIMA
7. On a pgina Atribuio de Endereo Faixa de, clique em Novo. Digite 10.10.0.100 prxi ma para Iniciar endereo IP e 10.10.0.110 prxima para Acabar com a endereo IP, e em seguida, clique OK. V erifique que 11 endereos IP foram atribudo para clientes remotos e, em seguida, clique em Avanar.
8. On o Gerenciando Remoto pgina Multiple Access Servers, garantir que No, usar o Roteamento e Remote Access para autenticar solicitaes de conexo j est selecionado e, em segui da, clique em Avanar.
9.
Clique em Concluir.
10. Clique em OK duas vezes e esperar para o Routing e Remote Access Service pa ra comear.
11. Em o Servidor de Diretiva de Rede, clique no Connection Request n Diretivas de e desativar o Microsoft De Roteamento e da Poltica do Remote Service Access. Este foi criado automat icamente quando Roteamento e Acesso Remoto foi habilitado.
12. Clique em Diretivas solicitao de conexo, e no painel de resultados, right-cliq ue no Routing Microsoft e Poltica de Servio de Remote Access e, em seguida, clique em Desativar.
1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em em seguida , clique o Firewall do Windows com Advanced De Segurana.
2. Clique em Regras de Entrada, clique-direito Regras de Entrada e, em seguida , clique em Nova Regra.
3.
4.
6. Selecione Tipos especficos de ICMP, selecione o Echo caixa de seleo Request, c lique em OK, e, em seguida, clique em Avanar.
7.
----------------------- Pgina 706----------- -----------L7-6 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto
8. Na janela Ao, verificar que Permitir a conexo est selecionado e, em seguida, clique em Avanar.
9.
10. Na janela Nome, sob Nome, tipo solicitao de eco ICMPv4 e, em segui da, clique em Concluir.
Resultados: No final de este exerccio, voc vai ter configurado e habili tado um esquema de NAP VPN-enforced. ----------------------- Pgina 707----------- -----------Lab: Implementando NAP em um Soluo de Acesso VPN Remoto L7-7
1.
2.
uma. Clique em Iniciar, apontar para Todos os Programas, clique em Acessri os e, em, em seguida, clique em Executar.
b.
C. " Na rvore de console, clique em Local Configurao do Computador Poltica de / Computer / Administrativo Templates / Windows Components / de Segurana Center.
d. Faa duplo clique em Ligue Security Center (PCs de Domnio apenas), clique em Ativado, e em seguida, clique OK.
e.
1.
uma. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em, em seguida, clique em Executar.
b.
c.
d. No painel de detalhes, right-clique em Cliente Enforcement EAP Quarant ine e, em seguida, clique em Ativar.
e.
2.
uma. Clique em Iniciar, clique em Painel de de Controle, clique em Sistem a e de Segurana, e em seguida, clique Ferramentas Administrativas.
b.
Double-clique em Servios.
C. "
d. Em o Proteo de Acesso caixa de Network Agent de dilogo Propriedades, alte rar o tipo de de inicializao para Automatic e, em seguida, clique em Iniciar.
e. ue OK.
f. Feche o console Servios e em seguida, feche os Ferramentas Administrati vas e de Sistema de e Segurana janelas.
1.
uma. Clique em Iniciar, clique em Painel de de Controle, e, em seguida, c lique em Rede e Internet.
b.
c.
e. Clique em Verso Internet Protocol 4 (TCP/IPv4) e, em seguida, clique em Propriedades. ----------------------- Pgina 708----------- -----------L7-8 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto
F. Clique em Usar o seguinte endereo IP. Prximo endereo para IP, t ipo 131.107.0.20. Em Avanar para de sub-rede tipo de mscara, 255.255.0.0. No configure o gateway Default.
g.
h. Clique em OK e, em seguida, clique em Fechar para fechar a Conexo de rea Local 3 caixa de dilogo Propriedades.
i.
2.
uma. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em, em seguida, clique em Executar.
b.
c. ressione ENTER.
d. ".
e.
1.
uma. Clique em Iniciar, clique em Painel de de Controle, e, em seguida, clique em Rede e Internet.
b.
c.
d. Na pgina Escolher uma uma opo de conexo, clique em Conectar a um local de trabalho e, em seguida, clique em Avanar.
e. On o Como voc quer que para se conectar pgina, clique em Usar minha conexo Internet (VPN).
f.
g. On o Tipo de o endereo Internet para se conectar a pgina, prxim o a Tipo de Internet endereo, 131.107.0.2. Em Avanar para nome Destino, digite Contoso VPN. Selecione as as pessoas permitem que outros para usar esta caixa de verificao de conexo e, em seguida, clique em Avanar.
h. On o Tipo de seu nome de usurio e pgina de senha, administrado r prximo tipo para Nome de usurio e tipo Pa $ $ w0rd prxima para Senha de. Selecione o Lembre-se de esta caixa de seleo senha tipo, Contoso ao lado de de Domnio (opcional), e, em seguida, cliqu e em Criar.
i.
k. O boto direito do clique no Contoso conexo VPN, clique em Prop riedades, e em seguida, clique na guia Segurana.
2. (EAP).
m. Em o Microsoft: senha Secured (EAP-MSCHAP v2) (enabled cript ografia) lista, clique em Microsoft: Protected EAP (PEAP) (criptografia ativada) e, em seguida, clique em Propriedades.
n. Certifique-se de que o Validar servidor caixa de seleo certifi cado j est selecionado. Desmarque a Conectar-se a esses servidores caixa de verificao, e, em seguida, garantir q ue a senha Secured (EAP-MSCHAP v2) j selecionado sob Mtodo de Autenticao Select. Desmarque a caixa d e de seleo Ativar Fast Reconnect e seguida, selecione o Enforce de Acesso Rede caixa de seleo Pro teo.
o.
----------------------- Pgina 709----------- -----------Lab: Implementand o NAP em um Soluo de Acesso VPN Remoto L7-9
2.
uma. Na janela Conexes de Rede, direito-clique no Contoso conexo VPN e em se guida, clique Conectado
b.
C. " Voc so apresentados com uma janela Alert de Segurana do Windows a prime ira vez que esta conexo VPN usado. Clique em Detalhes e verificar que os estados de Certificado de Informao que o certificado foi emitidos para NYC edge1-.Contoso.com por ContosoCA. Clique em Conectar.
d. Aguarde at que o conexo VPN para ser feita. Porque NYC-CL1 compliant, el e deve ter acesso ilimitado a a sub-rede intranet.
e. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em em seguida, clique Command Prompt.
F. Ipconfig Tipo / all e visualizar a configurao IP. Estado do Sistema Quar antine deve No ser Restrito.
g. Na janela de comando, digite ping 10.10.0.10 e em seguida, pressione E NTER. Este deve ser bem sucedido. O cliente agora atende ao requisito para VPN conectividade total.
h.
uma.
b. Expandir Proteo de Acesso Rede, expanda Validators de Integridade do Sis tema, expanda Windows De Segurana da Sade Validator, e, em seguida, clique em Configuraes.
C. "
No painel direito sob Nome da Configurao Default, faa duplo clique em.
d. check
On a seleo Windows Vista 7/Windows, selecione o aplicativo Um antivrus no caixa de e em seguida, clique OK.
4.
uma. On NYC-CL1, na janela Conexes de Rede, direito-clique no VPN Contoso e em seguida, clique Conectar.
b.
Clique em Conectar.
c. Aguarde at que o conexo VPN para ser feita. Verifique que uma mensagem a parece em o Centro de Aco informando que o computador no atender normas de segurana.
d. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em em seguida, clique Command Prompt.
e. Ipconfig Tipo / all e visualizar a configurao IP. Estado do Sistema Quar antine deve ser Restrito.
O cliente no atender os requisitos para o de rede, e, por conseguinte, colocada sobre a rede restrita.
f.
Resultados: No final de este exerccio, voc vai ter habilitado e configurado uma VP N poltica de aplicao NAP para Contoso.
----------------------- Pgina 710----------- -----------L7-10 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes etapas:
1.
3.
4.
1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e, e m clique em Gerenciamento de Diretiva de Grupo.
2. Na janela Gerenciamento do Grupo de Poltica, expanda Forest: Contoso.com, ex panda Domains, e clique em Contoso.com.
3. O Direito-clique Contoso.com e clique em Criar um GPO neste de domnio, e Vin cular-lo aqui.
4.
6. Em do Grupo janela do Editor de Poltica de Gesto de, expanda Configurao do Comp utador, expanda Diretivas, expanda Configuraes do Windows, expanda Configuraes do de segurana, expanda o Fi rewall do Windows com Advanced De Segurana, expanda o Firewall do Windows com Segurana Avanada, e clique em R egras de Entrada.
7.
8. Na janela do Assistente Inbound de Nova Regra de, clique em Porta e clique em Avanar.
9. On a pgina Protocolo e Portas, clique em TCP e clique em Portas locais especf icas.
10. Na caixa de portos Especfico local, digite 10005 e, em seguida, clique em Av anar.
11. Na pgina Ao de, confirmar que Permitir a conexo est selecionado e clique em Avana r.
a, clique em Avanar.
13. Na pgina Nome da, na caixa Nome do, Monitoramento tipo e, em seguida, clique em Concluir.
1.
3.
1. On NYC-DC1, clique em Iniciar, aponte para Todos os Programas, e clique em Explorador de Internet.
Resultados: Aps Neste exerccio, voc deveria ter criado um regra Firewall do Windows que permite a comunicao para portar 10005. ----------------------- Pgina 712----------- -----------L8-2 Mdulo 8: de Segurana Aumentando para Windows Servers
1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrat ivas e, em clique em Gerenciamento de Diretiva de Grupo.
2. Na janela Gerenciamento do Grupo de Poltica, boto direito do mouse Contoso.com e clique em Criar um GPO neste de domnio, e Vincular-lo aqui.
3.
5. Em do Grupo janela do Editor de Poltica de Gesto de, expanda Config urao do Computador, expanda Diretivas, expanda Modelos Administrativos, expanda Componentes do Windows, e , em seguida, clique em Windows Atualizar.
6. omticas.
7. .
8. Em o Configure lista atualizando drop-down automtico, clique em 4 - download Auto e agendar a instalar e em seguida, clique Setting em Avanar.
9. On o Microsoft intranet pgina Specify local de atualizao servio, selec ione Ativado.
10. Sob Defina o intranet servio de atualizao para a deteco de atualizaes e sob Defina o intranet estatsticas servidor, tipo http://NYC-SVR1 nas caixas de texto e em seguida, clique Setting em Avanar.
11. On o Automatic pgina freqncia Updates deteco, clique em Ativado e em se guida, clique OK.
12. Feche a Grupo Editor de Gerenciamento de Poltica de e do Grupo de C onsole de Gerenciamento de Diretiva.
15. Na linha de comandos tipo, prompt de wuauclt / detectnow e pressi one ENTER.
1. On NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administra tivas e, em clique em Windows Server Update Servios.
2.
3.
1. On NYC-SVR1, na janela Servios Update, no painel esquerdo, expanda Computadores, expanda All Computadores, e clique em Todos os Computadores.
2.
3. Na janela Add Computer Group, na caixa de Nome, Servers tipo HO e clique Adicionar.
5. No painel de centro, na caixa de Status, selecione Qualquer e em seguida, clique Refresh. ----------------------- Pgina 713----------- -----------Lab : Segurana Aumentando para Windows Servers L8-3
6.
7. Em o Set caixa de Membership Computer Group, selecione os Servers HO caixa de verificao e clique em OK.
3.
4. Leia o Resumo Status for nyc-dc1.contoso.com. Repare que quatro atualizaes de no tenham sido instalados.
5. No topo da o relatrio, ao lado Incluir as atualizaes que tm um status de, cliqu e em Qualquer.
6. Na janela Status de Atualizao Choose, desmarque todas as caixas de de seleo, ex ceto Needed e em seguida, clique OK.
7.
8. Clique no seta para a direita para visualizar a pgina segundo ponto do relatr io.
9.
1. On NYC-SVR1, no Relatrio de Computadores para NYC-SVR1, para a primeira atua lizao listado, clique em No aprovado.
2. Na janela Updates Aprovar, clique em na seta para baixo para a esquerda de Servers HO e clique em Aprovado for Install.
3. Leia a mensagem de aviso na parte inferior da o Window. Este arquivo no baix ado devido de configurao de o ambiente de laboratrio.
4.
Clique em OK.
5. Em a janela Progresso de Aprovao, leia as aes que foram cantadas e, em seguida, clique em Fechar.
6.
, mas deve ser baixado para completar. Isto devido ao a configurao do o ambiente de laboratr io.
Resultados: Aps Neste exerccio, voc deveria ter aprovado uma atualizao para NYC DC1-.
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 714----------- -----------L8-4 Mdulo 8: de Segurana Aumentando para Windows Servers
Leia o Research documento de segurana aplicativo localizado em tarefa 2 em o docu mento mdulo principal.
Viso geral Requisitos Contoso Ltd. tem implementou uma aplicao de Research novo web-based que contm confidencial informao, tais como informaes sobre o produto. Para melhorar a segurana, voc dev e:
1. Crie uma regra de segurana de conexo que autentica os computadores em o Research Departamento de Gastos
2. Criar um regra de firewall que assegura computadores apenas autenticad os a partir do Research departamento de TI pode acessar o aplicativo.
Informaes Adicionais
3. NYC-SVR1 e NYC-CL1, ambos os computadores em o departamento de Resear ch, so armazenados em o AD Computadores DS de contineres.
Propostas
1.
Resp.:
Configurar um Regra de Segurana Connection que requer autenticao Kerberos para conexes para TCP porta 80 (servidor Web).
2.
Resposta: Crie uma regra de firewall que permite a comunicao sobre a por ta 80 se autenticado. ----------------------- Pgina 716----------- -----------L9-2 Mdulo 9: de Segurana Aumentando para a Comunicao Rede
Resposta:
Configure a regra de de Segurana Connection e Regra Firewal l como parte de esta poltica.
Compare seu soluo para o soluo proposta em o documento de segurana Research aplicao em o Lab Key Resposta. Esteja preparado para discutir sua soluo com a cl asse.
Resultados: No final de Neste exerccio, voc ter selecionado uma configurao de IPsec adequado para apoiar o necessidades do departamento de pesquisa. ----------------------- Pgina 717----------- -----------Lab: Segurana A umentando para Rede de Comunicao L9-3
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e em seguida, c lique Directory Usurios e Computadores do Active.
3. Em Usurios do Active Directory e Computadores do, expanda Contoso.com e, em s eguida, clique em Computadores.
1. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciamento de Diretiva de Grupo.
2. Em Gerenciamento do a Diretiva de Grupo, expanda Forest: Contoso.com, expand a Domnios, expanda Contoso.com, e em seguida, clique Research.
3. Right-click Research e, em seguida, clique em Criar um GPO neste de domnio, e vincul-lo aqui.
4. Na caixa de New de dilogo GPO, na caixa de Nome, de Segurana tipo Departamento de Pesquisa Aplicao Poltica de e em seguida, clique OK.
3. No Grupo Editor de Gerenciamento de Poltica de, sob Configurao do Computador, e xpanda Diretivas, expanda Configuraes do Windows, expanda Configuraes de segurana, expanda Firewall Window s com Segurana Avanada, expanda Firewall do Windows com Segurana Avanada - LDAP :/ / CN = {GUID}, e e m seguida, clique De Segurana Regras de Conexo.
4. O boto direito do mouse em Regras de Segurana de Conexo e, em seguida clique em Nova Regra.
5. Em o New Assistente de Regra de de Segurana de Conexo, na pgina de Tipo de Regr a, clique em Personalizado e em seguida, clique Proximo.
7. Na pgina Requisitos de, clique em Exigir de autenticao para conexes de entrada e de solicitao de autenticao para conexes de sada e, em seguida, clique em Avanar.
8. On o pgina Mtodo de Autenticao, clique em Computador e usurio (Kerberos V5) e, em seguida, clique em Avanar.
10. Na lista porta Endpoint 1, clique em Portas Especficas e na caixa de texto, d igite 80 e, em seguida, clique em Avanar.
11. On a pgina Perfil, desmarque as caixas de seleo Privadas e Public e, em seguida , clique em Avanar.
12. Na pgina Nome da, no Nome, tipo caixa de regra Research Departamento de Segur ana Aplicao e , em seguida, clique em Concluir. ----------------------- Pgina 718----------- -----------L9-4 Mdulo 9: de Segurana Aumentando para a Comunicao Rede
3. Em o Assistente de Nova Regra de Entrada, na pgina de Tipo de Regr a, clique em Personalizado e, em seguida, clique em Avanar.
6. Na lista Porta local, clique em Portas Especficas e na caixa de te xto, digite 80 e, em seguida, clique em Avanar.
8. Na pgina Ao de, clique em Permitir a conexo se-lo seguro e, em seguid a, clique em Personalizar. Garantir que Permitir a conexo se ele autenticado e integridade-protegida e st selecionado e clique OK.
9. Clique em Avanar.
11. On a pgina Computadores, selecione Somente permitem conexes a parti r de esses computadores e, em seguida, clique em Adicionar.
12. Em os Selecionar computadores, ou grupos caixa de de dilogo, em ca ixa Digite os nomes de objeto para selecionar (Exemplos) caixa de, tipo NYC-CL1; NYC-SVR1, clique em Verificar Nomes, clique em OK, e, em seguida, clique em Avanar.
13. On a pgina Perfil, desmarque as caixas de seleo Privadas e Public e, em seguida, clique em Avanar.
14. Na pgina Nome da, no Nome, tipo caixa de regra Research Firewall D epartamento Aplicao e , em seguida, clique em Concluir.
sione ENTER:
Gpupdate / force
4. ssione ENTER:
Shutdown / r
Gpupdate / force
Shutdown / r
Resultados: No final de este exerccio, voc vai ter com sucesso configura dos o regra de segurana de conexo e regra de firewall que so necessria para garantir a aplicao departamento de Research. ----------------------- Pgina 719----------- -----------Lab: Segurana A umentando para Rede de Comunicao L9-5
Senha: Pa $ $ w0rd
Domnio: Contoso
1. Clique em Iniciar, e na caixa de Pesquisar, digite o Firewall do Windows com Segurana Avanada e imprensa ENTRE
2. No Windows Firewall com Segurana Avanada, no painel de navegao, expanda Monitora mento, expanda Associaes de Segurana, e, em seguida, clique em Modo de Main.
5. Clique em OK.
Resposta: TCP 80
9.
Clique em OK.
2. Em Console1 - [Root Console] janela, clique em Arquivo e, em seguida, clique em Adicionar / Remover Snap-in.
3. Na caixa de dilogo Adicionar ou Remover Snap-ins, na o Snap-in lista, clique em Monitor de Segurana IP, clique em Adicionar, e em seguida, clique OK.
4. Expandir Monitor de Segurana IP, expanda NYC CL1-, expanda Modo de Main, e, e m seguida, clique em Segurana Associaes
Resposta: None. Nenhuma criptografia foi exigido, meramente de autenticao. ----------------------- Pgina 720----------- -----------L9-6 Mdulo 9: de Segurana Aumentando para a Comunicao Rede
Resultados: No final de este exerccio, voc vai ter verificado configuraes IPsec.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inicial. Para fazer isso, completar o seguintes etapas:
3.
4.
L10-1
1.
2. No Windows Explorer, faa duplo clique em Disk Local (C :) e clique em Nova p asta na barra de menu superior.
4.
6.
1.
2.
3. Na janela Propriedades Compartilhar, clique em na guia Segurana. Observe que os Usurios ter acesso de leitura ao Pasta Share.
4.
Clique em Cancelar.
5.
6.
7.
11. Use Ctrl + clique para selecionar ambas as entradas para Usurios e, em segui da, clique em Remover.
12. Clique em OK duas vezes para fechar ambos os Configuraes de segurana avanadas Para janelas de Marketing.
14. Em os Permisses Para janela Marketing, clique em Adicionar, Marketing tipo, e clique em OK.
15. Com de marketing selecionados, clique em a opo Permitir que a permisso Modific ar e clique em OK.
16.
----------------------- Pgina 722----------- -----------L10-2 Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso
19. Em os Configuraes de segurana avanadas Para janela Produo, clique em Pe rmisses de Mudana.
provenientes do deste
22. Use Ctrl + clique para selecionar ambas as entradas para Usurios e , em seguida, clique em Remover.
23.11 Clique em OK duas vezes para fechar ambos os Configuraes de segur ana avanadas Para janelas de Produo.
25. Em os Permisses Para janela Produo, clique em Adicionar, digite Prod uo e em seguida, clique OK.
26. Com de Produo selecionado, clique em a opo Permitir que a permisso Mo dificar e clique em OK.
1.
2.
4. Na janela de Compartilhamento Avanado, marque a caixa Compartilhar esta seleo pasta e clique em Permisses.
5. Em os Permisses Para janela Share, com Todo mundo selecionado, sel ecione o Full Control Permitir permisso e clique em OK.
6.
7.
8.
1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e, em clique em Compartilhar e Armazenamento Gesto.
2.
3.
4. Na janela Avanado, na guia Limites do Usurio, selecione a enumerao Ac cess-baseada em Ativar caixa de verificao e clique em OK.
5.
6.
----------------------- Pgina 723----------- -----------Lab: Configurando e Soluo d e problemas Network File e servios de impresso L10-3
1. Em NYC-CL1, faa logon como Contoso \ Ado com a senha Pa $ $ w0rd. Adam um mem bro da Marketing.
2.
3.
4. Direito do mouse em uma rea aberta, aponte para Novo e clique em Documento d e texto.
5.
6.
Resultados: Aps este exerccio, voc deve criar e configurar um compartilhamento de a rquivo. ----------------------- Pgina 724----------- -----------L10-4 Mdulo 10: Configurando e solucionando problemas de arquivos de rede e servio s de impresso
1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e em Gerenciamento de Diretiva de Grupo.
2. Em Gerenciamento do a Diretiva de Grupo, expanda Forest: Contoso. com, expanda Domnios, expanda Contoso.com, e clique em Diretiva de Domnio Padro.
3. Em o Poltica de caixa de Management Group de dilogo Console, clique em OK para limpar a mensagem.
4. itar.
5. Em do Grupo janela do Editor de Poltica de Gesto de, sob Configurao d o Computador, expanda Diretivas, expanda Configuraes do Windows, expanda Configuraes de Segurana, expan da Diretivas de chave pblica, e clique em Encrypting File System.
6. xcluir.
7.
8. O Direito-clique Encrypting File System e clique em Criar Dados A gente de Recuperao de.
9. Leia as informaes para o novo certificado que foi criado. Observe q ue este certificado foi obtido de ContosoCA.
1.
3.
4.
6.
1. w0rd.
2.
3. ap-in.
4. m Adicionar.
5.
6. No painel esquerdo, clique em Certificados - Usurio Atual, depois direita-clique no ponto, Personal para Todas as Tarefas, e clique em Solicitar Novo Certificado.
7.
----------------------- Pgina 725----------- -----------Lab: Configurando e Soluo d e problemas Network File e servios de impresso L10-5
8. On o Select pgina de Poltica de Certificate Enrollment, clique em Avanar para usar o Enrollment do Active Directory Poltica de.
9. Na pgina Certificados Request, selecione os EFS Bsicos caixa de verificao e cli que em Enroll.
11. Na janela Console1, no painel esquerdo, expanda Certificados - Usurio Atual, expanda Pessoal, e clique em Certificados.
12. Leia a lista de certificados e observe o um que foi emitido por ContosoCA.
1. On NYC-CL1, clique em Iniciar, digite \ \ NYC-DC1 \ Share Marketing \, impr ensa e ENTER.
2.
3.
4. Na janela Atributos Avanados, selecione Criptografar o contedo para proteger dados caixa de seleo e clique em OK.
5.
6. Em o janela de Aviso de Encryption, clique em Criptografar o arquivo soment e e em seguida, clique OK. Aguarde alguns segundos para o arquivo a ser encriptada.
7.
8.
1.
2.
3.
Double-clique AdamFile.txt.
4. Adicione algum texto para o arquivo, clique em Arquivo, e, em seguida, cliq ue em Salvar.
5.
Resultados: Aps Neste exerccio, voc deveria ter criptografadas e recuperado um arqu ivo. ----------------------- Pgina 726----------- -----------L10-6 Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso
1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e, em clique em Gerenciador de Server.
2. No painel esquerdo, clique em Funes e em seguida, clique para Adici onar Funes.
3.
4. Na pgina Selecionar Funes do Servidor, selecione os Servios de Impres so e Document caixa de verificao e clique em Avanar.
5.
6. On o pgina Selecionar Servios de de Funo, verifique que Servidor de I mpresso est selecionado e clique em Avanar.
7.
8.
9.
2. Em Gerenciamento de Impresso, expanda Servidores de Impresso, expan da NYC-DC1 (local), e clique em Portas.
3.
4. Na janela Portas da impressora, clique em Padro TCP / Port IP e cl ique em Porta New.
5. Clique em Avanar para iniciar o Padro Add TCP / Assistente para por ta IP Printer.
6. Em o Nome da impressora ou caixa de IP Endereo, digite 10.10.0.98 e clique em Avanar. Vai levar um minuto ou dois enquanto do Windows Server 2008 R2 tenta detectar o tipo de dispo sitivo naquele endereo IP.
7. On a pgina Adicionais porta informao requerida, clique em Avanar para aceitar as configuraes default de um Placa de Rede Genrica.
8.
9.
10. Clique em Avanar para iniciar o Padro Add TCP / Assistente para por ta IP Printer.
11. Em o Nome da impressora ou caixa de IP Endereo, digite 10.10.0.99 e clique em Avanar. Vai levar um minuto ou dois enquanto do Windows Server 2008 R2 tenta detectar o tipo de dispo sitivo naquele endereo IP.
12. On a pgina Adicionais porta informao requerida, clique em Avanar para aceitar as configuraes default de um Placa de Rede Genrica.
1. ssoras.
2. essora.
----------------------- Pgina 727----------- -----------Lab: Configurando e Soluo de problemas Network File e servios de impresso L10-7
3. On a pgina de Instalao de Impressora, clique em Adicionar uma nova impressora utilizando uma porta existente, clique em 10.10.0.98, e clique em Avanar.
4.
em Avanar.
6. On o Nome da impressora e pgina Configuraes Sharing, em o Nome da impressora e caixas de Nome de aes, tipo PrinterPool e clique em Avanar.
7.
8.
2. Na janela Propriedades PrinterPool, na guia Portas, selecione a Ativar de i mpressora caixa de seleo pooling.
3. Na lista de portas, selecione a caixa de seleo 10.10.0.99 e clique em OK. Rep are que duas portas so selecionado.
4.
1. Clique em Iniciar, apontar para Ferramentas Administrativas, e clique em Ge renciamento de Diretiva de Grupo.
2. O boto direito do clique no OU Marketing e clique em Criar um GPO neste de d omnio, e Vincular-lo aqui.
3.
4.
5. Sob User Configuration, expanda Preferncias, expanda Configuraes de do Painel de Controle, e clique em Impressoras.
6. O boto direito do clique em Impressoras, aponte para Novo e clique em impres sora compartilhada.
7. Em o New Shared Propriedades da impressora janelas, em o caminho tipo caixa de Share, \ \ NYC-DC1 \ PrinterPool.
8. Selecione o Set esta impressora como a caixa de seleo padro impressora, e cliq ue em OK.
9.
1.
On NYC-CL1, faa logon como Contoso \ Adam com uma senha de Pa $ $ w0rd.
2.
3.
4.
5.
6. Confirme que PrinterPool sobre NYC-DC1 aparece e configurado como a impress ora padro.
Resultados: Aps Neste exerccio, voc deveria ter criado um piscina impressora e dist ribudo-lo aos usurios de Marketing. ----------------------- Pgina 728----------- -----------L10-8 Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes etapas:
1.
3.
4.
1.
2.
3.
4. No painel de detalhes, sob a seo Servios de Arquivo, clique em Adicionar Servio s de Funo. Os Adicionar Servios de Funo assistente se abre.
5. Na pgina Selecionar Servios de Funo, selecione a caixa de seleo ao lado de System Distributed File. Assegure-se que o Servidor de File, DFS Namespaces e opes Replicao DFS tambm sero selecionados. C lique em Avanar.
6. On a pgina Criar Espao nominal um DFS, clique em Criar um namespace mais tard e usando o DFS Snap-em Gesto de no Gerenciador de Server e, em seguida, clique em Avanar.
7.
8.
9.
1.
2.
3.
4.
5.
6. Na pgina Selecionar Funes do Servidor, selecione o Arquivo caixa de seleo Servios e, em seguida, clique em Avanar.
7.
8. Na pgina Selecionar Servios de Funo, selecione a caixa de seleo ao lado de System Distributed File. Assegure-se que o File Server, Namespaces DFS, e as opes de Replicao DFS tambm sero selecionados. Clique em Avanar.
9. On a pgina Criar Espao nominal um DFS, clique em Criar um namespace mais tard e usando o DFS Snap-em Gesto de no Gerenciador de Server e, em seguida, clique em Avanar.
12.
Resultados: No final de este exerccio, voc vai ter instalado os servios de funo reque ridas com base nas ambos os servidores. ----------------------- Pgina 730----------- -----------L11-2 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciamento de DFS.
3.
4. O boto direito do clique em Namespaces e seguida, clique em Novo N amespace. O Assistente de Novo Namespace comea.
5. Na pgina Servidor de Namespace, sob Server, tipo NYC-SVR1 e, em seg uida, clique em Avanar.
6. On o Nome Espao de nome e pgina Configuraes, em Nome, BranchDocs de ti po e, em seguida, clique em Avanar.
7. Na pgina Tipo de Namespace, garantir que namespace Domain-baseada e m est selecionado. Tome nota de que o namespace ser acessado por \ \ contoso.com \ BranchDocs.
8. Assegure-se que a caixa de seleo ao lado de Ativar modo Windows Serv er 2008 est selecionado e em seguida, clique PRXIMA
9. Criar.
10. Na pgina Confirmao de, garantir que a tarefa namespace Create bem suc edido e em seguida, clique
[FECHAR]
12. No painel de detalhes, clique em o Namespace guia Servidores e gar antir que no uma entrada que habilitado para \ \ NYC-SVR1 \ BranchDocs.
1. No painel de navegao, sob Namespaces, right-clique em \ \ Contoso.c om \ BranchDocs e em seguida, clique Propriedades
3. Na guia Avanado, selecione a caixa de seleo ao lado de Ativar enumerao baseada em acesso para este namespace e em seguida, clique OK.
1. Em Gerenciamento do DFS, right-click Contoso.com \ BranchDocs e, em seguida, clique em Nova Pasta. The New Caixa de dilogo pasta abre-se.
2. po.
3. Na caixa de de dilogo Nova pasta, clique em Adicionar. O Add Pasta caixa de dilogo Destino abre.
4. Em o da Pasta de Destino Add tipo de dilogo caixa de, \ \ NYC-DC1 \ ResearchTemplates e seguida, clique em OK.
5.
6. Na caixa de de dilogo Compartilhar Criar, no o caminho Local de co mpartilhada tipo de pasta caixa de, C: \ BranchDocs \ ResearchTemplates.
9.
1. Em Gerenciamento do DFS, right-click Contoso.com \ BranchDocs e, em seguida , clique em Nova Pasta. The New Caixa de dilogo pasta abre-se.
2.
3. Na caixa de de dilogo Nova pasta, clique em Adicionar. O Add Pasta caixa de dilogo Destino abre.
4. Em o da Pasta de Destino Add tipo de dilogo caixa de, \ \ NYC-SVR1 \ DataFil es e seguida, clique em OK.
5.
6. Na caixa de de dilogo Compartilhar Criar, no o caminho Local de compartilhad a tipo de pasta caixa de, C: \ BranchDocs \ DataFiles.
7. Clique em Todos os usurios li e permisses de gravao e em seguida, clique OK. As permisses ser configurado mais tarde.
8.
9.
1. On NYC-SVR1, clique em Iniciar, e, em seguida, em os Pesquisar programas e arquivos tipo caixa de, \ \ Contoso.com \ BranchDocs. Pressione ENTER.
3.
Resultados: No final de este exerccio, voc ter criado e verificou a namespace DFS. ----------------------- Pgina 732----------- -----------L11-4 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial
1. Em DFS Management, expanda Contoso.com \ BranchDocs e em seguida, clique DataFiles. Em os detalhes painel de, notar que h atualmente apenas um alvo pasta.
2. older.
3. Em o New caixa de dilogo da Pasta de Destino, sob Path to alvo pas ta, digite \ \ NYC-DC1 \ DataFiles e clique em OK.
4. Na caixa de de dilogo Aviso, clique em Sim para criar o pasta comp artilhada em NYC-DC1.
5. Em os Criar caixa de dilogo Share, sob Caminho local de pasta comp artilhada tipo, C: \ BranchDocs \ DataFiles.
6. Na caixa de dilogo Compartilhar Criar, sob permisses de pasta Compa rtilhadas, selecione Todos os usurios li e permisses de gravao e em seguida, clique OK.
7. e NYC DC1-.
8. Na caixa de dilogo Replication, clique em Sim. O Assistente de Rep licar Pasta comea.
1. Em DFS de Administrao, em o Assistente de Replicar Pasta, sobre o G rupo Replicao e Replicated Pgina Nome da Pasta, aceitar as configuraes padro e, em seguida, cliq
ue em Avanar.
2.
3. em Avanar.
5.
6. ue em Criar.
7.
8.
9. ique
11. Em o Assistente de Topology New, na pgina Seleo de Topology, clique em mesh completo e, em seguida, clique em Avanar.
12. nar.
14. Na pgina Confirmao de, clique em Fechar, e na caixa de dilogo Replica tion Delay, clique em OK.
15. No painel de detalhes, na guia Memberships, verifique se o pasta replicada mostrado em ambos NYC-DC1 e NYC-SVR1.
16. Na guia Memberships, right-click NYC-DC1 e, em seguida, clique em Make ler-only. Esta configurao vontade configurar automaticamente o cpia replicado para ser read-only.
Resultados: No final de este exerccio, voc vai ter configurado com xito r eplicao DFS. ----------------------- Pgina 733----------- -----------Lab A: DFS Implementando L11-5
Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
L11-6
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciador de Server.
3.
5. Em o Assistente de para Adicionar Funes, na pgina Selecionar Funes do S ervidor, selecione os File Services caixa de verificao e , em seguida, clique em Avanar.
7. Na pgina Selecionar Servios de Funo, na lista de servios Funo, marque a B anchCache para a rede arquivos caixa de verificao e, em seguida, clique em Avanar.
9.
11. Clique em Iniciar, e na caixa de Pesquisar, digite gpedit.msc e em seguida, pressione ENTER.
12. No painel de navegao do Local console do Editor Grupo de Poltica, so b Configurao do Computador, expanda Modelos Administrativos, expanda Network, e, em seguida, cl ique em Servidor de Lanman.
13. Na lista Definindo do Servidor de resultado Lanman Publicao painel d e, right-click Hash para BranchCache e, em seguida, clique em Editar.
14. Em o Publicao Hash para BranchCache caixa de dilogo, clique em Ativad o, na publicao Hash lista de aes, selecione Permitir que publicao de hash apenas para pasta s compartilhadas sobre a qual BranchCache habilitado, e em seguida, clique OK.
1. No painel de navegao do Local console do Editor Grupo de Poltica, sob Configurao do Computador, expanda Configuraes do Windows, right-click Policy-based QoS, e, em s eguida, clique em Criar nova poltica.
2. On o Criar um pgina de poltica QoS de o Policy-based QoS Wizard, na c aixa Nome do Poltica de tipo, Limitar a 100 KBps, selecione o Especifique Throttle Rate Outbound: caixa de seleo, digite 100, e em seguida, clique Proximo.
2.
3.
4.
8. Na caixa de de dilogo Configuraes Offline, selecione o caixa de seleo Habilitar BranchCache e em seguida, clique OK.
9.
11. Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios e, em em seguida, clique Command Prompt.
12. Na janela prompt de comando, digite o seguinte comando e em seguida, press ione ENTER:
1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em Group Policy Management.
2. Em Gerenciamento do a Diretiva de Grupo, expanda Forest: Contoso.com, expan da Domnios, expanda Contoso.com, right-click Diretiva de Domnio Padro, e, em seguida, clique em E ditar.
3. No painel de navegao do Grupo console do Editor Poltica de Gesto de, sob Poltica s, expanda Configuraes do Windows, expanda Configuraes de segurana, e em seguida, expanda o Firewall do Windows com Advanced De Segurana.
4. No painel de navegao, sob o Windows Firewall com Segurana Avanada, expanda Wind ows
5. .
No menu Ao do Grupo console do Editor Poltica de Gesto de, clique em Nova Regra
6. Na pgina Tipo de Regra do Assistente de Nova Regra de Entrada, clique em Pre definido, clique BranchCache Contedo de Recuperao (Usa HTTP), e clique em Avanar.
7.
8.
9. Clique em Regras de Entrada, e em seguida, no menu Ao do Grupo console do Ed itor Poltica de Gesto de, selecione Nova Regra.
10. Na pgina Tipo de Regra do Assistente de Nova Regra de Entrada, clique em Pre definido, clique BranchCache Par Discovery (Usa WSD), e clique em Avanar.
12.
Resultados: No final de este exerccio, voc vai ter preparado o ambiente de rede pa ra BranchCache. ----------------------- Pgina 736----------- -----------L11-8 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial
1. sob Computer
Configuration, expanda Diretivas, expanda Modelos Administrativos , expanda Network, e, em seguida, clique BranchCache.
2. Na lista Definindo de o resultado painel de BranchCache, Turn do direito-clique sobre BranchCache e, em seguida, clique em Editar.
3. Em o Turn sobre BranchCache caixa de dilogo, clique em Ativado e e m seguida, clique OK.
4. Na lista Definindo do painel de resultado BranchCache do direitoclique Set, BranchCache modo de Cache Hosted e, em seguida, clique em Editar.
5. Em o Hosted BranchCache caixa de Set Cache de dilogo modo de, cliq ue em Ativado, na caixa Digite a localizao de caixa de Cache hospedado, tipo NYC-SVR1.contoso.com, e em seguida , clique OK.
6. Na lista Setting do painel de resultado BranchCache, right-clique em Configurar BranchCache para a rede arquivos e, em seguida, clique em Editar.
7. Em o BranchCache Configurar para rede caixa de dilogo arquivos, cl ique em Ativado, na caixa Digite a rodada viagem valor de latncia de rede em milsimos de segundo acima do qua l os arquivos de rede deve ser armazenado em cache no caixa de ramo escritrio, tipo 0, e em seguida, clique OK. Essa con figurao necessria para simular acesso a partir de um escritrio ramo e no normalmente necessria.
8.
9.
10. Iniciar 6421B-NYC-CL1. Depois que o computador comea, faa logon com o Contoso \ Administrator com o senha de Pa $ $ w0rd.
11. Clique em Iniciar, aponte para Todos os Programas, clique em Aces srios e, em em seguida, clique Command Prompt.
12. Na janela prompt de comando, digite o seguinte comando e em segu ida, pressione ENTER:
gpupdate / force
13. Na janela prompt de comando, digite o seguinte comando e em segui da, pressione ENTER:
14. Iniciar 6421B-NYC-CL2. Depois que o computador comea, faa logon com o Contoso \ Administrator com o senha de Pa $ $ w0rd.
15. Clique em Iniciar, e na caixa Pesquisar, Network tipo e Compartil hamento e em seguida, pressione ENTER.
16.
17. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propriedades.
18. Em o Area Connection Local 3 caixa de dilogo Properties, faa duplo clique em Internet Protocol Version 4 (TCP/IPv4).
19. Em o Verso Internet Protocol 4 (TCP/IPv4) Propriedades caixa de dil ogo, clique em Obter um endereo IP automaticamente. ----------------------- Pgina 737----------- -----------Lab B: Implementando BranchCache L11-9
20. Clique em Obter DNS endereo do servidor automaticamente e em seguida, clique OK.
22. Reinicie o computador. Depois que o computador comea, faa logon como Contoso \ Administrator com o senha de Pa $ $ w0rd.
23. Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios e, em seguida, clique em prompt de comando.
24. Na janela prompt de comando, digite o seguinte comando e em seguida, pressi one ENTER:
gpupdate / force
25. Na janela prompt de comando, digite o seguinte comando e em seguida, pressi one ENTER:
Resultados: No final de este exerccio, voc vai tiver configurado os computadores c liente para BranchCache. ----------------------- Pgina 738----------- -----------L11-10 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial
1. Iniciar 6421B-NYC-SVR1. Depois que o computador comea, faa logon co mo Contoso \ Administrator com o senha de Pa $ $ w0rd.
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, e m seguida, clique em Gerenciador de Server.
3. No painel de navegao de o console do Gerenciador Server, boto direit o do mouse Caractersticas e, em seguida, clique em Adicionar Caractersticas.
4. On o pgina Selecionar Recursos de o Assistente de para Adicionar R ecursos, selecione a caixa de seleo BranchCache e , em seguida, clique em Avanar.
5.
6.
7.
1.
2. Na caixa de Abrir da caixa de de dilogo Executar, mmc tipo e em se guida, clique OK.
3. On do menu Arquivo do o Console1 - [Root Console] console, clique em Adicionar / Remover Snap-ins-.
4. Na rea snap-ins-Disponvel da caixa de dilogo Adicionar ou Remover Sn ap ins-, clique em Certificados e , em seguida, clique em Adicionar.
5. Em o Este snap-in ir sempre gerenciar certificados para pgina dos C ertificados Snap-em Wizard, clique em conta de Computer e, em seguida, clique em Avanar.
6. On o Select o computador voc deseja que esta snap-in para gerencia r pgina, clique em Concluir.
7.
8. No painel de navegao de o Console1 - [Root Console] console, expand a Certificados (Local Computer), boto direito do mouse ponto, Personal para Todas as Tar efas, e, em seguida, clique em Certificado de Request New.
9. On o Antes de Voc Comear pgina do Assistente de Certificate Enrollme nt, clique em Avanar.
11. Na pgina Certificados de Solicitao, selecione a caixa de seleo Compute r e em seguida, clique Enroll.
13. No painel de navegao de o Console1 - [Root Console] console, em Pes soal, clique em Certificados.
14. Em o Emitido Para resultar painel de, right-click NYC-SVR1.Contos o.com e, em seguida, clique em Abrir.
15. On na guia Detalhes da caixa de de dilogo Certificado, na lista Ca mpo de, clique em Thumbprint, selecione valores do thumbprint de na seo de detalhes, pressione Ctrl + C par a copiar os valores para o rea de Transferncia, e, em seguida, clique em OK.
16. On o menu Iniciar, clique em Todos os Programas, clique em Acessri os e, em em seguida, clique Command Prompt. ----------------------- Pgina 739----------- -----------La b B: Implementando BranchCache L11-11
17. Na janela prompt de comando, digite o seguinte comando e em seguida, pressi one Enter. Voc pode cole o certificatehashvalue a partir de o certificado, mas voc deve remover os es paos.
netsh http add sslcert ipport = 0.0.0.0:443 certhash = certificatehashval ue appid = {d673f5ee-A714-454d-8de2-492e4c1bd8f8}
18. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:
1.
2. Clique em Iniciar, apontar para Ferramentas Administrativas, e clique em Di rectory Usurios e Computadores do Active.
3. l.
4. Em o Novo Objeto - janela Unidade de Organizao, BranchCacheHost tipo e em seg uida, clique OK.
5.
6.
7.
8.
9. Clique em Iniciar, apontar para Ferramentas Administrativas, e clique em Ge renciamento de Diretiva de Grupo.
10. Sob Domnios, expanda Contoso.com, BranchCacheHost direito-click, e clique em Bloquear Herana.
12. Reinicie NYC-SVR1 e faa logon como Contoso Administrator \ com a senha de Pa $ $ w0rd.
13. On NYC-SVR1, abra um prompt de comando, digite o seguinte comando, e em seg uida, pressione ENTER:
Resultados: No final de este exerccio, voc vai tiver habilitado o servidor BranchC ache no escritrio ramo. ----------------------- Pgina 740----------- -----------L11-12 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial
1. Clique em Iniciar, e na caixa Pesquisar, Performance tipo e em seg uida, pressione ENTER.
2. No painel de navegao de o console Monitor de Desempenho, sob Ferram entas de Monitoramento, clique em Acompanhamento de desempenho
4. l + N) Add.
5. Na caixa de de dilogo Adicionar Contadores, sob Selecionar contado res do computador, clique em BranchCache, clique em Adicionar e, em em seguida, clique OK.
1.
2. No menu Iniciar, em Pesquisar programas e arquivos de caixa, tipo de Desempenho e, em seguida pressione ENTER.
3. No painel de navegao do console Monitor de Desempenho, em Ferrament as de Monitoramento, clique em Monitor de Desempenho.
5. l + N) Add.
6. Na caixa de de dilogo Adicionar Contadores, sob Selecionar contado res do computador, clique em BranchCache, clique em Adicionar e, em em seguida, clique OK.
7. Alterar tipo de grfico to Report. Note-se que o valor de todas as e statsticas de desempenho zero.
1.
2. No menu Iniciar, em Pesquisar programas e arquivos de caixa, tipo de Desempenho e, em seguida pressione ENTER.
3. No painel de navegao do console Monitor de Desempenho, em Ferrament as de Monitoramento, clique em Monitor de Desempenho.
5. l + N) Add.
6. Na caixa de de dilogo Adicionar Contadores, sob Selecionar contado res do computador, clique em BranchCache, clique em Adicionar e, em em seguida, clique OK.
7. Alterar tipo de grfico to Report. Observe que o valor para todas as estatsticas de desempenho zero.
1.
2. Clique em Iniciar e na caixa de pesquisa, digite \ \ NYC-DC1.conto so.com Share \ e pressione ENTER.
4.
7. Leia as estatsticas de desempenho em NYC-CL1. Este arquivo foi recuperado de NYC-DC1 (Recuperao: Bytes do servidor). Depois que o arquivo estava armazenado em cache localmente, e le foi passado para o cache hospedado. (Recuperao: Bytes Servido)
8. No menu Iniciar de NYC-CL2, nos programas de pesquisa e arquivos de tipo ca ixa, \ \ NYC-DC1.contoso.com Share \ e pressione ENTER.
12. No desktop, boto direito do mouse em qualquer lugar e em seguida clique em C olar.
13. Leia as estatsticas de desempenho em NYC-CL2. Este arquivo foi obtido a part ir do cache hospedado (Recuperao: Bytes de Cache).
14. Leia as estatsticas de desempenho em NYC-SVR1. Este servidor tem oferecido d ados em cache para os clientes (Hosted Cache: segmento de arquivo Client oferece feita).
Resultados: No final deste exerccio, voc vai ter verificado a funo de BranchCache.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 742----------- -----------L11-14 Mdulo 11: Otimizando o acesso a dados para filiais ----------------------- Pgina 743----------- -----------L12-1
1.
3. No Incio prompt de comando partes, tipo net = C: \ Home / grant: todos, cheio e pressione ENTER.
4.
1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e c lique em Gerenciador do Servidor.
2. No Server Manager, no painel esquerdo, expanda Funes, clique em Servios de Arq uivo e clique em Adicionar Papel Servios.
3. Na janela Adicionar Servios de Funo, selecione o File Server Resource caixa de seleo Manager e clique em Avanar.
4.
5.
6.
1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e c lique em File Server Resource Manager.
2. Em File Server Resource Manager, expanda Gerenciamento de Cota e clique em Modelos de Cota.
3.
4. Na janela Criar Modelo de Cota, na caixa Nome do modelo, as Pastas de Incio do tipo.
5.
6.
8.
9. Na janela Adicionar Threshold, nas notificaes gerar quando o uso alcanar (%) t ipo caixa, 75.
10. Na guia Mensagem de e-mail, selecione a Enviar e-mail para o usurio que exce deu o limite de verificar BOX:
12. Na guia Log de Eventos, marque a Enviar aviso para log de eventos caixa de seleo.
13. Clique em OK e clique em Sim para fechar a janela de aviso. ----------------------- Pgina 744----------- -----------L12-2 Lab: Controle e Monitoramento de armazenamento de rede
1. Em File Server Resource Manager, boto direito do mouse File Server Resource Manager (Local) e clique em Configurar opes.
2. Na janela Server Resource File Manager Options, na guia Notificaes e-mail, no SMTP nome do servidor ou caixa de endereo IP, digite mail.contoso.com.
1.
2.
3. e.
4. es e novos.
5. Na rea de propriedades Cota, clique em derivar as propriedades for mar este modelo de cota (recomendado) e selecione Pastas Home.
6.
Clique em Criar.
7.
1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e clique em Active Directory Users e Computadores.
3.
4. Na janela Propriedades Adam Carter, na guia perfil, na rea de past a Home, clique em Conectar select H:, e digite \ \ NYC-SVR1 \ Home \ Ado.
5.
6.
1.
2.
5. No Adam (\ \ NYC-SVR1 \ Home) (H :) janela Propriedades, leia o t amanho do H: e notar que ele corresponde ao tamanho da quota que foi atribudo.
6.
Resultados: Aps este exerccio, voc ter criado e aplicado quotas para as pa stas base. ----------------------- Pgina 745----------- -----------Laboratrio: Controle e Monitoramento de armazenamento de rede L12-3
1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e c lique em File Server Resource Manager.
2. Em File Server Resource Manager, expanda Gerenciamento de Triagem de Arquiv o e clique em grupos de arquivos.
4. Nas propriedades do arquivo do Grupo de udio e vdeo janela Arquivos, nos arqu ivos para incluir tipo de caixa, *. AUDX e clique em Adicionar.
5. Clique em OK para fechar as Propriedades do Grupo de Arquivos de udio e Vdeo janela Arquivos.
2.
3. Na janela Criar modelo de arquivo da tela, na guia Configuraes, na caixa Nome do modelo tipo, Pasta Home Media.
4. Se necessrio, clique Triagem atividade: No permitir que os usurios salvem arqu ivos no autorizados.
5. Na rea de grupos de arquivos, selecione os arquivos de udio e vdeo marque a ca ixa e os arquivos de imagem caixa de seleo.
6. Na guia log de eventos, selecione o evento Enviar aviso para log caixa de s eleo e clique em OK.
1. s.
2.
3. Na janela de tela Arquivo Criar, no caminho de tela tipo de arquivo caixa, C: \ Home.
4. Se necessrio, clique Derivar propriedades deste modelo de tela de arquivo (r ecomendado) e selecione Pasta Home Media.
5.
Clique em Criar.
6.
1.
2.
3. No painel esquerdo, em Bibliotecas, clique em Vdeo e, em seguida, clique dua s vezes em vdeos de exemplo.
4.
5.
6.
7.
Resultados: Aps este exerccio, voc ter configurado triagem de arquivo para impedir q ue arquivos de mdia de ser colocados em pastas de origem. ----------------------- Pgina 746----------- -----------L12-4 Laboratrio: Controle e Monitoramento de armazenamento de rede
1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administr ativas e clique em File Server Resource Manager.
2.
3.
4. Na janela Criar definio de classificao, propriedades, na caixa Nome d o Oficial de Propriedade, tipo Documentos Officiais.
5. da web.
6. K.
1.
2.
3. Na Classificao janela Definies de regra, na guia Configuraes da Regra, na caixa Nome da regra tipo, Documentos oficiais.
4.
5. Na janela Procurar Pasta, expanda Disco local (C :), clique em Inc io e clique em OK.
6. ficao
Na Classificao janela Definies de regra, na guia Classificao, na Classi rea mecanismo, selecione classificador de contedo.
7.
8.
9. Na janela Parmetros adicionais da Regra, na guia Parmetros adicion ais Classificao, na Caixa Nome, RegularExpression tipo.
Tarefa 3: Criar uma tarefa de gerenciamento de arquivos para expirar d ocumentos oficiais
2.
3. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Gera l, na caixa Nome da tarefa, digite Remover Documentos Oficiais.
4.
5. Na janela Procurar Pasta, expanda Disco local (C :), clique em Inc io e clique em OK.
6. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Ao, na caixa Tipo, selecione Arquivo expirao.
7.
8. Na janela Procurar pasta, clique em Disco Local (C :), clique em Criar Nova Pasta, digite Expired Documentos, pressione ENTER e clique em OK.
9. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Condio, na rea a s condies da propriedade, Clique em "Add".
13. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Schedule, cliqu e em Criar.
17. Na rea Agendar Tarefa Semanalmente, selecione apenas a caixa de seleo Sol e cli que em OK.
1.
2.
3. No Windows Explorer, boto direito do mouse em uma rea vazia, aponte para Novo e clique em Microsoft Office Word documentation
4.
5. Clique duas vezes em Documento de teste, clique em OK para fechar a janela do Microsoft Office Word, e clique em OK para definir o nome do usurio.
6.
7. Clique no boto Salvar e fechar o Microsoft Word. Se o documento for aberto n o Word, ento no FSRM capaz de expirar o documento.
9.
10. Na janela Executar classificao, clique Aguarde classificao para concluir a execuo e clique em OK.
11. Revise o relatrio de classificao automtica no Internet Explorer e verificar se u m documento oficial foi encontrado.
13. Em File Server Resource Manager, clique em Tarefas de gerenciamento de arqui vos, clique Remover Oficial Documentos, e clique em Executar tarefas Gesto de Ficheiros agora.
14. Na janela Executar tarefas Gesto de Ficheiros, clique Aguarde a tarefa para c oncluir a execuo e clique em OK.
15. Reveja o arquivo de relatrio de tarefas de gesto e verificar se um arquivo foi expirado.
16. Clique em Iniciar, clique em Computador e navegue para C: \ Documents Vencid o \ NYC-SVR1.Contoso.com \ Remover Documents_datetime Oficial \ c $ \ Home \ Ado. ----------------------- Pgina 748----------- -----------L12-6 Lab: Controle e Monitoramento de armazenamento de rede
Resultados: Aps este exerccio, voc ter configurado uma regra de classificao para documentos oficiais e um arquivo tarefa de gerenciamento que expira documentos oficiais.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e , em seguida, clique em Reverter.
3.
4.
1.
3.
4.
5.
6.
7.
8.
9. fa.
12.
1.
3. Boto direito do mouse Marketing, para compartilhar com ponto e clique em pes soas especficas.
6.
Clique em Compartilhar.
7. Tome nota do caminho de compartilhamento e clique em Concludo. ----------------------- Pgina 750----------- -----------L13-2 Mdulo 13: Recuperando dados de rede e servidores
3. No Windows Explorer, em uma rea aberta, o Office Word boto direito do mouse, aponte para Novo e clique em Microsoft Documento.
5. Clique duas vezes em Planejamento, Oramento e clique em OK para fe char a mensagem de erro.
6.
7. cadores:
2011 - $ 1.000
2012 - $ 1.100
2013 - $ 1.200
9. Em NYC-SVR1, no Windows Explorer, clique com boto direito em Disco Local (C :) e clique em Configurar Cpias de Sombra.
2014 - $ 1.500
2015 - $ 2.000
14. Clique em OK para fechar a janela de Cpias de Sombra e feche o Wind ows Explorer.
16.
1. Em NYC-CL1, no Windows Explorer, boto direito do mouse em uma rea ab erta e clique em Propriedades.
2. Na janela Propriedades de Marketing (\ \ NYC-SVR1), na guia Verses Anteriores, clique duas vezes no Verso segunda pasta mais recente de Marketing.
3.
4. Verifique se essa no a verso correta do Planejamento, Oramento feche o Word, e feche a janela contendo Planejamento, Oramento.
5. Na janela Propriedades de Marketing (\ \ NYC-SVR1), na guia Verses Anteriores, clique duas vezes no verso pasta mais recente de Marketing.
6.
----------------------- Pgina 751----------- -----------L aboratrio: Recuperando Dados de Rede e Servidores L13-3
7. Verifique se essa a verso correta do Planejamento, Oramento feche o Word, e f eche a janela contendo Planejamento, Oramento.
8. Na janela Propriedades de Marketing (\ \ NYC-SVR1), na guia Verses Anteriore s, com a mais verso recente de Marketing pasta selecionada, clique em Restaurar.
9.
12. No Windows Explorer, clique duas vezes em Planejamento para ver o arquivo re staurado.
Resultados: No final deste exerccio, voc ter permitido cpias de sombra para o servid or de arquivo de Marketing. ----------------------- Pgina 752----------- -----------L13-4 Mdulo 13: Recuperando dados de rede e servidores
1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administr ativas e clique em Gerenciador do Servidor.
2. sos.
4. Em Recursos do Backup do Windows Server, selecione o Backup do Wi ndows Server e de linha de comando Ferramentas caixas de seleo.
5.
6.
7.
1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administr ativas e clique em Backup do Windows Server.
2.
3.
5. Na pgina Especificar Backup Time, clique uma vez por dia, selecion e 11:00 PM, e clique em Avanar.
6. Na pgina Especificar Tipo de Destino, clique em Backup para um dis co rgido que est dedicado para backups (Recomendado) e clique em Avanar.
7. Na pgina Select Destination Disk, clique em Mostrar todos os disco s disponveis, selecione a caixa de verificao de disco 1, e clique em OK.
8.
9.
10. Clique em Sim para confirmar que os dados sobre D: ser removido.
12.
1. Em NYC-SVR1, em Backup do Windows Server, leia as informaes na rea d e uso de Destino. L de aproximadamente 32 GB de espao total em disco e 0 GB usados.
2.
3. Avanar.
4.
5. os.
6.
7. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de espao total em disco e aproximadamente 7,4 GB usado.
----------------------- Pgina 753----------- -----------Labor atrio: Recuperando Dados de Rede e Servidores L13-5
8.
9.
13. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de esp ao total em disco e aproximadamente 7,4 GB usado.
1.
2.
3. Na pgina Select Backup Data, selecione a data de hoje eo tempo mais recente, e clique em Avanar.
5. Em Seleccionar Itens de Recuperao pgina, navegue at C: \ Marketing, clique Orame nto Planning.docx, e
clique em Avanar.
6.
7.
8.
9.
12.
Resultados: backup No final deste exerccio, voc ter configurado um backup programad o e testado funcionalidade.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes passos:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.
3.
4.
----------------------- Pgina 754----------- -----------L13-6 Mdulo 13: Recuperando dados de rede e servidores ----------------------- Pgina 755----------- -----------L14-1
1.
2. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em Monitor de desempenho.
3. No Monitor de desempenho, no painel de navegao, expanda Conjuntos de Coletore s de Dados e clique em Usurio Definido.
4. Boto direito do mouse Definido pelo Usurio, aponte para Novo e, em seguida, c lique em Conjunto de Coletores de Dados.
5. Na nova Dados Assistente de Criao de Conjunto de Coletores, na caixa Nome, NY C-SVR1 tipo de desempenho.
6.
7. Na Que tipo de dados que voc deseja incluir? pgina, selecione o contador de d esempenho verificar caixa e clique em Avanar.
9. Na lista de contadores disponveis, expanda Processor, clique em% tempo de p rocessador, e clique em Adicionar. >>
10. Na lista de contadores disponveis, expandir a memria, clique em Pginas / s, e, em seguida, clique em Adicionar. >>
11. Na lista de contadores disponveis, expanda PhysicalDisk, clique em Hora Disk %, e, em seguida, clique em Adicionar. >>
12.
13. Na lista de contadores disponveis, expanda sistema, clique em Comprimento da fila do processador, e clique em Adicionar...
14. Na lista de contadores disponveis, expanda Interface de Rede, clique em Byte s Total / seg, clique em Adicionar >>, e clique em OK.
15. Sobre os contadores de desempenho que gostaria de registrar? pgina, na caixa Intervalo de amostragem, digite 1 e clique em Avanar.
16.
Na Onde voc gostaria que os dados sejam salvos? pgina, clique em Avanar.
17. No Criar o conjunto de coletores de dados? pgina, clique em Salvar e fechar e, em seguida, clique em Concluir.
No Monitor de desempenho, no painel Resultados, clique-direito NYC-SVR1 Desempen ho e clique em Iniciar. ----------------------- Pgina 756----------- -----------L14-2 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red e
1. ione ENTER.
2.
3.
4.
5.
6.
7.
1.
2. No painel de navegao, boto direito do mouse NYC-SVR1 Desempenho e cli que em Stop.
4.
5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique em arquivos de log e clique em Ad
6.
7. Clique duas vezes em NYC-SVR1 Desempenho, clique duas vezes no NYC -SVR1_date-000001 pasta, e depois faa duplo clique em DataCollector01.blg.
8.
9. Na caixa de dilogo Adicionar contadores, na lista de contadores di sponveis, expandir a memria, clique em Pginas / s, e, em seguida, clique em Adicionar. >>
10. Expandir Interface de Rede, clique em Bytes Total / seg, e clique em Adicionar. >>
11. Expandir PhysicalDisk, clique em Hora Disk%, e, em seguida, clique em Adicionar. >>
13. Expandir Processor, clique em% tempo de processador, e clique em A dicionar. >> ----------------------- Pgina 757----------- -----------Lab: Monitoramento W indows Server 2008 Network Infrastructure Servers L14-3
14. Expanda Sistema, clique em Processor Queue Length, clique em Adicionar >>, e clique em OK.
16. Na barra de ferramentas, clique em na seta para baixo e, em seguida, clique em Relatrio de.
Resultados: Aps este exerccio, voc deveria ter criado uma linha de base. ----------------------- Pgina 758----------- -----------L14-4 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red
1.
2.
C:
3.
CD \ Labfiles
StressTool 95
1.
2. No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resultados, boto direito do mouse NYC-SVR1 Performance, e, em seguida, clique em Iniciar.
3.
1.
2.
Pressione Ctrl + C.
3.
1.
2. No painel de navegao, boto direito do mouse NYC-SVR1 Desempenho e cli que em Stop.
4.
5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique em arquivos de log e clique em Remover.
6.
Clique em "Add".
7.
9.
Observao Se voc receber um erro neste ponto, ou os valores em seu r elatrio so de repetio, zero passos 4-9. ----------------------- Pgina 759----------- -----------Lab: Monitoramento Wind ows Server 2008 Network Infrastructure Servers L14-5
Resposta: Memria e atividade do disco so reduzidas, no entanto, a atividade d o processador aumentou de forma significativa.
Resposta: Continue a monitorar o servidor para garantir que a carga do proc essador no atingir a capacidade.
Resultados: Aps este exerccio, voc deve ter identificado um gargalo em potencial. ----------------------- Pgina 760----------- -----------L14-6 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red e
winrm quickconfig
5. No Server Manager, no painel de navegao, expanda Configuration, exp anda Usurios e Grupos Locais, e, em seguida, clique em Grupos.
6.
7. Clique em Adicionar e em Selecionar Usurios, Computadores, contas d e servio ou grupos caixa de dilogo, clique em Tipos de objetos.
8. Na caixa de dilogo Tipos de objeto, selecione a caixa de seleo Compu tadores e clique em OK.
9. Em Selecionar Usurios, Computadores, contas de servio ou Grupos cai xa de dilogo, no Digite o objeto nomes a serem selecionados, digite nyc-dc1 e clique em OK.
1.
Qc wecutil
1. Clique em Iniciar, aponte para Ferramentas administrativas e, em s eguida, clique em Visualizador de eventos.
2. uras.
3. sinatura.
4. Na caixa de dilogo Propriedades da Assinatura, na caixa Nome de In scrio, NYC-SVR1 tipo de eventos.
6. do Domnio.
7. Na caixa de dilogo Selecionar Computador, na caixa Digite o nome d o objeto para selecionar o tipo de caixa, NYC-SVR1 e em seguida, clique OK.
8.
9. Nas Propriedades de Assinatura - NYC-SVR1 caixa de dilogo Eventos, clique em Selecionar Eventos. ----------------------- Pgina 761----------- -----------Lab: Monitoramento Window s Server 2008 Network Infrastructure Servers L14-7
10. Na caixa de dilogo de filtro de consulta, selecione a crtica, Aviso, Informao, V erbose, e verificar de erro caixas.
12. Na lista de logs de eventos, selecionar Logs do Windows. Clique com o mouse de volta na caixa de dilogo de filtro de consulta e clique em OK.
13. Nas Propriedades de Assinatura - NYC-SVR1 caixa de dilogo Eventos, clique em OK.
1.
2. No Monitor de desempenho, no painel de navegao, expanda Conjuntos de Coletore s de Dados e clique em Usurio Definido.
3. Boto direito do mouse Definido pelo Usurio, aponte para Novo e, em seguida, c lique em Conjunto de Coletores de Dados.
4. Na nova Dados Assistente de Criao de Conjunto de Coletores, na caixa Nome, NY C-SVR1 Tipo de alerta.
5.
6. Na Que tipo de dados que voc deseja incluir? pgina, clique em Alerta de conta dor de desempenho e , em seguida, clique em Avanar.
8. Na lista de contadores disponveis, expanda Processor, clique em% tempo de pr ocessador, clique em Adicionar >>, e depois clique em OK.
9. Sobre os contadores de desempenho que gostaria de acompanhar? pgina, na list a de alerta quando, clique acima.
12. No painel de navegao, expanda o n definido pelo usurio, e clique em NYC-SVR1 Ale rta.
14. Na caixa de dilogo Propriedades DataCollector01, na caixa Intervalo de amostr agem, tipo 1 e, em seguida, clique no Alertar guia de aco.
15. Selecione o registro de uma entrada no aplicativo caixa de seleo log de evento
s e clique em OK.
16. No painel de navegao, boto direito do mouse NYC-SVR1 alerta e, em seguida, cliq ue em Iniciar.
C. "
CD \ Labfiles
StressTool 95 ----------------------- Pgina 762----------- -----------L14-8 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red e
1.
2. indows.
3.
Resposta: As respostas podem variar, mas deve haver alguns evento s que se relacionam com o imposto carga de trabalho em NYC-SVR1.
Resultados: No final de este exerccio, voc ter logs de eventos centraliza dos.
Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes etapas:
1.
2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.
3.
4.