You are on page 1of 979

DE MICRO FICI AL SO AR FTLE NI NGPROD UC T

6421B Configurao e Soluo de problemas de Windows Server 2008 Rede Infra-estrutura Pgina 2 ii Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

As informaes contidas neste documento, incluindo URL e outras referncias a sites, esto sujeitas a alteraes sem aviso prvio. Salvo disposio em contrrio, os exemplos de empresas, orga nizaes, produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares e eventos aqui descritos so fictcios e nenhuma associao com qualquer empresa, organizao, produto, nome de domnio, endereo de correio e lectrnico, logtipo, pessoa, lugar ou evento aplicveis intencional ou deve ser inferida. Obedecer s leis de direitos autorais responsabilidade do

usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada em ou introduzida em um sistema de recuperao ou transmitida por qualquer fo rma ou por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou outro), ou para qualquer finalidade, sem a permisso e xpressa por escrito da Microsoft Corporation.

A Microsoft pode ter patentes, aplicaes patentes, marcas comerciais, di reitos autorais ou outra propriedade intelectual direitos relativos ao assunto tratado neste documento. Exceto conform e expressamente previsto em qualquer contrato de licena acordo da Microsoft, o fornecimento deste documento no confere a voc qua lquer licena para estas patentes, marcas comerciais, direitos autorais ou outra propriedade i ntelectual.

Os nomes dos fabricantes, produtos ou URLs so fornecidas apenas para fi ns informativos e Microsoft no faz representaes e garantias, quer expressas, implcitas ou l egais, em relao esses fabricantes ou ao uso dos produtos com qualquer tecnologia Micro soft. A incluso de um fabricante ou produto no implica o endosso da Microsoft do fabricante ou do produto. Links podem ser fornecidas a sites de terceiros. Esses sites no esto sob o co ntrole da Microsoft ea Microsoft no responsvel pelo contedo de qualquer site vinculado ou qualquer link con tido em um site vinculado, ou quaisquer alteraes ou atualizaes desses sites. A Microsoft no responsvel por webcasting ou qualq uer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft est fornecendo esses links para voc apenas como uma convenincia e incluso de qualquer link no implica o endosso da Microsoft do site ou os produtos contidos A

2011 Microsoft Corporation. Todos os Direitos Reservados.

Microsoft e as marcas listadas no http://www.microsoft.com/about/lega l/en/us/IntellectualProperty / Marcas / PT-US.aspx so marcas registradas do grupo de empresas Micros oft. Todas as outras marcas so propriedade de seus respectivos proprietrios.

Nmero de produtos: 6421B

Nmero da pea: X17-66521

Lanamentos: 05/2011 ----------------------- Page 3-----------------------

Programao em Visual Basic com o Microsoft Visual Studio 2010 iii Pgina 4 iv Programao em Visual Basic com o Microsoft Visual Studio 2010 Pgina 5 Programao em Visual Basic com o Microsoft Visual Studio 2010 v Pgina 6 vi Programao em Visual Basic com o Microsoft Visual Studio 2010 Pgina 7 Programao em Visual Basic com o Microsoft Visual Studio 2010 vii Pgina 8 viii Programao em Visual Basic com o Microsoft Visual Studio 2010 Pgina 9 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure ix Pgina 10 x Configurao e Soluo de Problemas do Windows Server Network Infrastructure 2008

Agradecimentos

Microsoft Learning gostaria de reconhecer e agradecer o seguinte para seu contributo para desenvolvimento deste ttulo. Seu esforo em vrias fases do desenvolvimento tem assegurado que voc tem uma boa experincia em sala de aula.

Andrew J. Warren - Subject Matter Expert

Andrew Warren (MCSE, MCITP e MCT) tem mais de 22 anos de experincia na indstria de TI, muitos dos

que foram gastos em escrever e ensinar. Ele esteve envolvido como o es pecialista no assunto (SME) para o curso 6430B para o Windows Server 2008 e do responsvel tcnico de uma srie de outros cursos. Ele tambm esteve envolvido em sesses TechNet no Microsoft Exchange Server 20 07. Com base no Reino Unido Reino, ele dirige sua prpria consultoria em TI treinamento e educao.

Byron Wright - Subject Matter Expert

Byron Wright scio de uma empresa de consultoria, onde realiza consultor ia de rede, sistemas de computadores , implementao e treinamento tcnico. Byron tambm instrutor de sesses para a Escola de Asper Empresas na Universidade de Manitoba, sistemas de ensino de gesto de in formao e redes. Byron autor e co-autor de vrios livros em servidores Windows, Windows Vista e Exchange Server, incluindo o Kit de Recursos do Servidor Windows 2008 Active Di rectory.

Joseph Davies - Revisor Tcnico

Joe Davies um escritor principal da Informao Experincia do Windows Server (WS iX) grupo da Microsoft. Ele foi ensinar ou escrever sobre temas de rede do Windows desde 1992. Ele tem escrito montes de contedo para cursos de formao internas, documentao de produtos, white paper s, The Cable Guy coluna para TechNet e da TechNet Magazine, e oito livros da Microsoft Press, inclu indo o Windows Server 2008 Networking e Network Access Protection (NAP) Melhor do IPv6 Show-winni ng compreenso. Pgina 11 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure xi

Contedo

Mdulo 1: Planejamento e configurao de IPv4

Lio 1: Planejando uma infra-estrutura de rede IPv4 1-3

Lio 2: Viso Geral dos Servios de resoluo de nomes em IPv4

Infra-estrutura de rede 1-8

Lio 3: Configurando e solucionando problemas IPv4 1-14

Laboratrio: Planejamento e configurao de IPv4 1-26

Mdulo 2: Configurando e solucionando problemas de DHCP

Lio 1: Viso geral do servidor DHCP 2-3 Papel

Lio 2: Configurando DHCP Scopes 2-11

Lio 3: Configurando as opes DHCP 2-18

Lio 4: Gerenciando um banco de dados DHCP 2-24

Lio 5: Monitori ng e Resoluo de Problemas DHCP 2-35

Lio 6: Configurando DHCP Segurana 2-43

Lab: Configurando e solucionando problemas da funo de servidor DHCP 2-47

Mdulo 3: Configurando e solucionando problemas de DNS

Lio 1: Instalando a funo de servidor DNS 3-3

Lio 2: Configurando a funo de servidor DNS 3-14

Lio 3: Configurando zonas DNS 3-25

Lio 4: Configurando o DNS Zona Transfere 3-34

Lio 5: Gerenciando e Resolvendo Problemas de DNS 3-39

Lab: Configurando e solucionando problemas de DNS 3-50

Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP

Lio 1: Viso Geral de IPv6 4-3

Lio 2: IPv6 Endereamento 4-12

Lio 3: Coexistncia com IPv6 4-22

Lio 4: Tecnologias de transio IPv6 4-28

Lab A: Configurando um Roteador ISATAP 4-35

Lio 5: Transio do IPv4 para o IPv6 4-41

Lab B: Convertendo a rede para IPv6 nativo 4-46

Pgina 12 xii Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto

Lio 1: Configurando acesso rede 5-3

Lio 2: Configurando VPN Acesso 5-12

Lio 3: Viso geral de polticas de rede 5-22

Lio 4: Viso geral do Connection Manager Administration Kit 5-28

Lio 5: Solucionando problemas de roteamento e acesso remoto 5-33

Lab A: Configurando e Gerenciando o acesso de rede 5-43

Lio 6: Configurando DirectAccess 5-50

Lab B: Configurando e Gerenciando DirectAccess 5-65

Mdulo 6: Instalao, Configurao e Soluo de Problemas da Rede Poltica de servio de funo Servidor

Lio 1: Instalando e Configurando um Network Policy Server 6-3

Lio 2: Configurando Clientes RADIUS e Servidores 6-10

Lio 3: Mtodos de autenticao NPS 6-20

Lio 4: Monitoramento e Resoluo de problemas de Network Policy Server 6-29

Lab: Configurando e Gerenciando Network Policy Server 6-37

Mdulo 7: Proteo de Acesso Implementao da Rede

Lio 1: Viso Geral de Acesso Rede de Proteo 7-3

Lio 2: Como Funciona NAP 7-12

Lio 3: Configurando NAP 7-19

Lio 4: Monitoramento e Resoluo de Problemas NAP 7-26

Lab: Implementando NAP em uma soluo de acesso remoto VPN 7-33

Mdulo 8: Aumentar a segurana para Windows Servers

Lio 1: Viso Geral de Segurana do Windows 8-3

Lio 2: Configurando o Windows Firewall com segurana avanada 8-9

Lio 3: Implementando atualizaes com o Windows Server Update Services 8-15

Laboratrio: Aumentar a segurana para Windows Servers 8-23

Mdulo 9: Aumentar a segurana para comunicao em rede

Lio 1: Viso Geral de IPsec 9-3

Lio 2: Configurando Regras de Segurana de Conexo 9-11

Lio 3: Configurando IPsec NAP Enforcement 9-20

Lio 4: Monitoramento e Resoluo de Problemas de IPsec 9-26

Laboratrio: Aumentar a segurana para comunicao de rede 9-33 Pgina 13 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure xiii

Mdulo 10: Configurando e solucionando problemas de arquivos de rede e Servios de Impresso

Lio 1: Configurando e solucionando problemas de compartilhamentos de arqu ivos 10-3

Lio 2: Como criptografar arquivos de rede com o EFS 10-12

Lio 3: Criptografando parties com o BitLocker 10-17

Lio 4: Configurando e solucionando problemas de impresso em rede 10-22

Lab: Configurando e solucionando problemas de arquivos de rede e servios de impresso 10-29

Mdulo 11: Otimizando o acesso a dados para filiais

Lio 1: Filial de Acesso a Dados 11-3

Lio 2: Viso Geral DFS 11-6

Lio 3: Viso geral do DFS Namespaces 11-18

Lio 4: Configurando e Resolvendo Problemas de Replicao DFS 11-25

Laboratrio A: Implementando DFS 11-33

Lio 5: Configurando BranchCache 11-39

Laboratrio B: Implementando BranchCache 11-49

Mdulo 12: Controle e Monitoramento de armazenamento de rede

Lio 1: Armazenamento Rede de Monitoramento 12-3

Lio 2: Utilizao de armazenamento de Controle de Rede 12-10

Lio 3: Gerenciando Tipos de arquivos na rede de armazenamento 12-16

Laboratrio: Controle e Monitoramento de armazenamento de rede 12-28

Mdulo 13: Recuperao de Dados de Rede e Servidores

Lio 1: Recuperao de Dados de Rede com cpias de sombra 13-3

Lio 2: Recuperar dados de rede e servidores com

Windows Server backup 13-9

Laboratrio: Recuperando Dados de Rede e Servidores 13-17

Mdulo 14: Monitorando o Windows Server Network Infrastructure 2008 Servidores

Lio 1: Ferramentas de Monitoramento 14-3

Lio 2: Usando o Performance Monitor 14-12

Lio 3: Logs de monitoramento de eventos 14-21

Lab: Monitorando o Windows Server 2008 servidores de rede de infra-estr utura 14-26 Pgina 14 xiv Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Resposta Chaves Lab

Lab Mdulo 1: Planejamento e configurao de IPv4 L1-1

Laboratrio Mdulo 2: Configurando e solucionando problemas da funo de servid or DHCP L2-7

Lab Mdulo 3: Configurando e solucionando problemas de DNS L3-13

Mdulo 4 Lab A: Configurando um Roteador ISATAP L4-19

Mdulo 4 Lab B: Convertendo a rede para IPv6 nativo L4-25

Mdulo 5 Lab A: Configurando e Gerenciando Network Access L5-29

Mdulo 6 Laboratrio B: Implementando DirectAccess L5-36

Lab Mdulo 6: Policy Server Configurando e Gerenciando Rede L6-53

Lab Mdulo 7: Implementando NAP em uma soluo de acesso remoto VPN L7-59

Lab Mdulo 8: Aumento de Segurana para Windows Servers L8-69

Lab Mdulo 9: Aumentar a segurana para a Rede de Comunicao L9-73

Lab Mdulo 10: Configurando e solucionando problemas de rede

Servios de arquivo e impresso L10-79

Mdulo 11 Laboratrio A: Implementando DFS L11-87

Mdulo 11 Laboratrio B: Implementando BranchCache L11-92

Lab Mdulo 12: Controle e Monitoramento de armazenamento de rede L12-101

Lab Mdulo 13: Recuperao de Dados de Rede e Servidores L13-107

Lab Mdulo 14: Monitoramento de Rede Windows Server 2008

Servidores de infra-estrutura L14-113 Pgina 15 Sobre este Curso xv

Sobre este curso

Esta seo fornece uma breve descrio do curso, pblico-alvo, pr-requisitos suge ridos e Claro objetivos.

Descrio do Curso

O objetivo deste curso de cinco dias para as habilidades e conheciment os necessrios para configurar e solucionar problemas um Windows Server 2008 e Windows Server 2008 R2 SP1 Network Infrastruc ture. Ele cobrir tecnologias de rede mais comumente usado com o Windows Server 2008 e W indows Server 2008 R2 Sp1 tais como DNS, DHCP, IPv4 e IPv6 endereamento de rede, servidor e D iretiva de Rede de Acesso Rede Proteo, configurar o acesso de rede seguro. Abrange tambm as tecnologias de tolerncia a falhas de armazenamento, rede Armazenamento e acesso remoto e roteamento, bem como muitas outras tec nologias relevantes.

Depois de concluir este curso, os alunos sero capazes de configurar e s olucionar problemas do Windows Server 2008 e Windows Server 2008 R2 infra-estruturas de rede Sp1.

Pblico-Alvo

Este curso ser de interesse e benefcio para os participantes com fundame ntos diferentes costas e aspiraes de carreira. Vai ser de interesse para os administradores de rede que atualmente so, ou sero, trabalhando com o Windows Server 2008 servidores. Tambm ser de interesse e benefcio para os especialistas do Active Directory tecnologia que aspiram a ser administradores de empresas (Tier 4 operaes do dia-a-dia da rede) ou administradores de servidor experientes que aspiram a ser administradores de empresas.

Armazenamento Administradores Area Network, que precisam entender esta informao para implantar ou ampliar sua Os gerentes de armazenamento atuais de infra-estrutura e Operaes que nec essitam desta informao para apoiar esforos de resoluo de problemas e decises de negcios tambm seriam beneficiad os com este curso.

Pr-requisitos Estudante

Este curso exige que voc atenda aos seguintes requisitos:

compreenso Intermedirio de sistemas operacionais Windows. Dever ter um in termedirio compreenso dos sistemas operacionais Windows Server, como o Window s Server 2003, Windows Server 2008 ou Windows Server 2008 R2 e sistemas de clientes do W indows operacionais, como Windows Vista ou Windows 7. Cliente conhecimento do sistema operacional e quivalentes s certificaes abaixo faria ser um benefcio.

Exame 70-680: TS: Windows 7, Configurao

ou

Exame 70-620: TS: Windows Vista, Configuring

Conhecimento bsico de redes. Voc deve entender como funciona o TCP / IP e tambm ter um conhecimento bsico de endereamento, resoluo de nomes (Domain Name Sys tem [DNS] / Windows Internet Name Service [WINS]), mtodos de conexo (com fio, sem fio, rede virtual privada [VPN]), NET e + ou conhecimento equivalente. Pgina 16

xvi sobre este curso

A conscincia das melhores prticas de segurana. Voc deve compreender as per misses de sistema de arquivos, mtodos de autenticao, estao de trabalho, e mtodos de servidor endurecim ento, e assim por diante.

O nvel mnimo de conhecimento exigido nas acima de trs pontos, exclui ndo o cliente experincia, pode ser coberto por ter conhecimento equivalente aos 6420B curso MOC: Fundamentos do Windows Server 2008 ou com a obteno do Microsoft Technology Asso ciate (MTA) certificaes listados abaixo.

98-365: Fundamentos do Windows Server

98-366: Fundamentos de Rede

98-367: Fundamentos de Segurana

Conhecimento bsico de Active Directory tambm seria de benefcio.

Objetivos do Curso

Aps a concluso deste curso, os alunos sero capazes de:

Planejar e configurar uma infra-estrutura de rede IPv4.

Implementar DHCP dentro de sua organizao.

Configurar e solucionar problemas de DNS.

Configurar, a transio para e solucionar problemas de IPv6.

Configurar e solucionar problemas de roteamento e acesso remoto rede.

Instalar, configurar e solucionar problemas da rede Poltica servio de fu no do servidor.

Implementar Network Access Protection.

Implementar recursos de segurana para ajudar a melhorar a segurana do Wi ndows Server 2008 e Windows Sp1 Server 2008 R2.

Implementar recursos de segurana no Windows Server que ajudam a protege r as comunicaes de rede.

Configurar e solucionou arquivo e servios de impresso.

Habilitar e configurar servios para otimizar a filial acesso a dados.

Controle e monitor de armazenamento de rede.

Recuperar dados no Windows Server 2008 e Windows Server 2008 R2 SP1 se rvidores.

Monitor do Windows Server 2008 e Windows Server 2008 R2 SP1 servios de infra-estrutura de rede. Pgina 17 Sobre este Curso xvii

Esboo do Curso

Esta seo apresenta um esboo do curso:

Mdulo 1: Planejamento e configurao de IPv4. Para implantar e configurar servios de r ede na sua organizao, importante que voc entenda os fundamentos que sustentam muitos desses se rvios. Este mdulo explica como implementar um esquema de endereamento IPv4, determinar os servios que de nome para implantar e solucionar problemas relacionados rede.

Mdulo 2: Configurando e solucionando problemas de DHCP. Dynamic Host Configuratio n Protocol (DHCP) desempenha um papel importante na infra-estrutura Windows Server 2008 R2. o principal meio de distribuio informaes de configurao importante rede para clientes de rede, e fornece configurao informaes para outras redes servios habilitados, incluindo o Windows Deployment Ser vices (WDS) e Rede Access Protection (NAP). Para dar suporte e solucionar problemas de uma red e baseado no Windows Server infra-estrutura, importante que voc entenda como implantar, configurar e solucion ar problemas do DHCP Funo do Servidor.

Mdulo 3: Configurando e solucionando problemas de DNS. O Domain Name System (DNS) o fundamento nome do servio no Windows Server 2008 R2. vital que voc compreende como implementa r, configurar, gerenciar e solucionar esse servio essencial.

Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP. IPv6 uma tecnologia que ajudar a garantir que a Internet pode apoiar uma base de usurios crescente eo nmero cada vez maior de di spositivos habilitados para IP. A verso atual do Internet Protocol 4 (IPv4) tem servido como o protocolo de Inter net bsica para quase

trinta anos. A sua robustez, escalabilidade e conjunto limitado de funcionalidad es agora contestada pela crescente necessidade de novos endereos IP, em grande parte devido ao rpido crescimento de novos dispositiv os de rede-aware.

Mdulo 5: Configurando e Resolvendo Problemas de Roteamento e Acesso Remoto. Para apoiar a sua organizao distribudos fora de trabalho, voc deve se familiarizar com as tecnologias que permi tem aos usurios remotos se conectem infra-estrutura de rede da organizao. Essas tecnologias incluem redes privadas vir tuais (VPNs) e DirectAccess. importante que voc entenda como configurar e proteger o acesso re moto clientes utilizando as polticas de rede. Este mdulo explora estas tecnologias de a cesso remoto.

Mdulo 6: Instalao, Configurao e Soluo de Problemas da Rede Poltica de Servio de Fun vidor. NPS fornece suporte para o Remote Authentication Dial-In User Service (RADIUS) proto colo, e pode ser configurado como um servidor RADIUS ou proxy. Alm disso, o NPS fornece funcionali dade que essencial para o implementao da Rede de Proteo de Acesso (NAP). Para apoiar os clientes remotos e imp lementar NAP, que importante que voc saiba como instalar, configurar e solucionar problemas de NPS.

Mdulo 7: Proteo de Acesso Implementao da Rede. Rede Access Protection (NAP) permite q ue voc criar personalizadas sade exigncia de polticas para validar a integridade do comput ador antes de permitir acesso ou comunicao. NAP tambm atualiza automaticamente os computadores compatveis para garant ir a conformidade contnua e pode limitar o acesso de computadores no compatveis a uma rede restrita at que eles se tornem compatveis.

Mdulo 8: aumentar a segurana para servidores Windows. A segurana uma considerao essen cial para redes com o Windows Server 2008. Nenhum sistema completamente segura, mas voc pode impl ementar vrios mtodos

para aumentar a segurana. Windows Firewall com Segurana Avanada uma das caracterstic as do Windows Server 2008, que utilizado para aumentar a segurana. Voc tambm pode usar Windows Server Up date Services para garantir que atualizaes de segurana aprovadas so aplicadas a servidores de uma forma atempada. Pgina 18 xviii sobre este curso

Mdulo 9: Aumentar a segurana para comunicao de rede. Internet Protocol Se curity (IPSec) um estrutura de padres abertos para proteger as comunicaes atravs de redes IP atravs de criptografia Servio de Segurana do Estado; IPsec suporta autenticao de nvel de rede de pares, de origem de dados de autenticao, dados integridade, confidencialidade de dados (criptografia) e proteo de repl ay. A implementao do Microsoft IPsec com base nas normas que o Internet Engineering Task Force (IETF) IPse c grupo de trabalho desenvolvidos. Para ajudar a aumentar a segurana para comunicaes de rede dentro de sua organ izao, importante que voc compreender como implementar, configurar e solucionar problemas de IP sec.

Mdulo 10: Configurando e solucionando problemas de arquivos de rede e servios de impresso. Servios de arquivos e de impresso so alguns dos servios de rede mais comumente implementada para usurios fin ais. Ao contrrio dos servios de infra-estrutura como DNS, arquivo e servios de impresso so altamente visveis para os usuri os finais. Voc precisa entender como configurar e solucionar problemas de arquivos e servios de impresso par a fornecer servios de alta qualidade para usurios finais. Alm disso de arquivo bsica e servios de impresso, ambas as EFS e BitLocker pode ser usado para aumentar a segurana dos arquivos que esto localizados em compartilhamentos de arquivos.

Mdulo 11: Otimizando o Acesso de dados para filiais. Muitas empresas m anter um grande nmero de

recursos de arquivos que precisam ser organizados e altamente disponvel para os usurios. Estes recursos de arquivos so muitas vezes armazenadas em servidores de e fornecidas aos usurios que esto distribud os geograficamente em vrios locais.

Nesta situao, voc precisa encontrar uma soluo eficiente para ajudar os usur ios a localizar os arquivos mais recentes rapidamente. Gerenciamento de mltiplos sites de dados muitas vezes apresenta desafi os adicionais, como limitar o trfego de rede mais retardar Wide Area Network (WAN) conexes, garantindo a disponibilidade dos arquivos durante a WAN ou servidor falhas, e backup de servidores de arquivos que esto localizados em pequ enos escritrios filiais.

Mdulo 12: Controle e Monitoramento de armazenamento de rede. Armazenam ento de rede para os usurios um recurso finito que deve ser gerenciado de forma adequada para garantir que ele fica d isponvel para todos os usurios. Se o armazenamento de rede no monitorados e gerenciados, pode tornar-se preenchido com dados irre levantes, como a msica pessoal ou filmes. Dados irrelevantes aumenta os custos de armazenamento em rede e em al guns casos pode evitar que dados teis de colocao sobre o armazenamento em rede. File Server Resource Manager (FSRM) po de ser usado para monitorar e gerenciar rede de armazenamento.

Mdulo 13: Recuperando Dados de Rede e Servidores. H uma variedade de ce nrios onde uma rede de dados ou um servidor que fornece servios de redes pode ser perdida. Cpias de sombra de volume pode ser usado para restaurar verses anteriores de arquivos quando um arquivo acidentalmente apagado s ou modificados em um computador que est executando Windows Server 2008. Backup do Windows Server pode ser usado para faze r backup e restaurar arquivos de dados ou um todo servidor.

Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura d e rede. Quando a falha de um sistema ou um

evento que afeta o desempenho do sistema ocorre, voc precisa ser capaz de reparar o problema ou resolver o emitir rapidamente e eficientemente. Com tantas variveis s no ambiente de rede moderna, e possibilidade

a capacidade de determinar a causa raiz rapidamente, muitas vezes depe nde de um desempenho eficaz metodologia de monitoramento e ferramentas.

Desempenho de monitoramento de ferramentas so usadas para identificar os componentes que requerem um ajuste adicional e Soluo de Problemas Ao identificar os componentes que requerem um ajuste adicional, voc pode melhorar a eficincia de seus servidores. Page:19 Sobre este Curso xix

Exame / Curso de Mapeamento

Este curso, 6421B: Configurao e Soluo de problemas do Windows Server Network Infrast ructure 2008, tem um mapeamento direto de seu contedo para o domnio objetivo para o exame Microsoft 70-642: TS: Windows Servidor Network Infrastructure 2008, Configuring.

A tabela abaixo fornecido como um auxiliar de estudo que ir auxili-lo na preparao pa ra este exame e tomar a mostrar-lhe como o exame de objectivos e do contedo do curso se encaixam. O curso no se destina exclusivamente para apoiar o exame, mas fornece um maior conhecimento e habilida des para permitir que um mundo real

implementao da tecnologia em particular. O curso tambm ir conter contedo que no diret mente abordados no exame e ir utilizar a experincia nica e as habilidades do seu Microsof t qualificado Certified Trainer.

Observao: Os objetivos do exame esto disponveis on-line no seguinte URL: http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us~~ V # tab2.

Labs cont edo

Exame Objetivo Domnio Exerccio Lio Mdulo

Configurando Endereamento e Servios Configurar IPv4 e IPv6 Mdulo 1 Lies Ex 1/2 1/2/3

Mdulo 4 L ab Lies Ex A 1/2/3 1/2

Configurar Dynamic Host Configuration Protocol Module (DHCP) 2 Lies Ex 1-5 1-6

Configurar o roteamento Mdulo 1 Lies 3 Ex. 2

Mdulo Lab Lio 4 Ex A 1/2/3/4 1/2

Mdulo Lab Lio 5 A 1 Ex 1/2/5

Configure o Windows Firewall com Advanced Security Module Lio 8 2 1 Ex

Mdulo Ex Lio 9 2/3 1/2/4

Configurando a resoluo de nomes Configurar um Domain Name System (DNS) Mdulo servidor 3 Ex Lio 1/2 1/2

Configurar DNS Mdulo 3 zonas de Ex Lio 1/2 1/3/4

Configurar os registros DNS Mdulo Ex Lio 3 3 1/2

Configurar DNS Mdulo 3 Lio de replicao 1/3/4

Configurar a resoluo de nome para computadores cliente Ex Lio Mdulo 3 3 1/2/5 / Pgina 20 xx sobre este curso

(continuao)

Labs contedo

Exame Objetivo Domnio Exerccio Lio Mdulo

Configurando acesso rede Configurar acesso remoto Mdulo Ex Lio 5 1/2 1/2/3/5

Mdulo Ex Lio 6 2 1/2/3

Configurar Network Access Protection (NAP) Mdulo 7 Lies Ex 1/2 1/2/3/4

Lio Mdulo 9 1/2/3/4

Configurar DirectAccess Mdulo 5 Lio 6 Lab B Ex 1/2/3/4/5

Configurar Network Policy Server (NPS) Mdulo 6 Lies 1/2/3/4 Ex 1/2/3/4

Configurando arquivo e servios de impresso Configurar um servidor de arquivos Mdulo 10 Lies Ex 1/2

1/2/3

Mdulo 11 Lies 1/2/4

Configurar o Sistema de Arquivos Distribudos (DFS) Mdulo Lab Lio 11 A Ex 2/3/4 1/2/3

Configurar backup e restaurao Mdulo 13 Lies Ex 1/2 1/2

Gerenciar arquivos do servidor Mdulo 12 recursos Ex Lies 1/2/3 1/2/3

Configurar e monitorar servios de impresso Mdulo 10 Lio 4 Ex 3

Monitorando e Gerenciando uma Infra-estrutura de Rede Configure o Windows Server Update Services (WSUS) Mdulo servidor de 8 Lio 3 Ex. 2 configuraes

Configurar monitoramento de desempenho Mdulo Ex Lio 14 1/2/3 1/2

Configurar logs de eventos Mdulo 14 Lies Ex 3 1-3.

Rena rede de dados Mdulo 1 Lio 3 Ex. 2

Mdulo 9 Lio 4

Importante participar deste curso sozinho no vai conseguir preparlo para passar qualquer associado exames de certificao. Pgina 21 Sobre este Curso xxi

A obteno deste curso no garante que voc vai passar automaticamente qualquer exame de certificao. Em Alm de participao em curso, voc tambm deve ter o seguinte:

Mnimo de 1-2 anos mundo real, hands-on experincia configurao e implementao do Windows Servidor de infra-estrutura de Rede 2008

estudo adicional fora do contedo deste manual

H recursos adicionais de estudo e preparao, tais como testes prticos, disponveis para voc se preparar para este exame. Os detalhes destes esto disponveis na seguinte URL: http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us # Tab3

Voc deve se familiarizar com o perfil da audincia e pr-requisitos do exame para gar antir que est suficientemente preparado antes de fazer o exame de certificao. O perfil da audinci a completa para este exame disponvel na seguinte URL: http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-642&locale=en-us # tab1

A tabela de mapeamento exame / curso descrito acima precisa, no momento da impre sso, no entanto, sujeito a mudar a qualquer momento e Microsoft no se responsabiliza por eventuais discrepnci as entre a verso publicadas aqui e verso online disponvel e proporcionar nenhuma notificao de tais alt eraes. Pgina 22 xxii sobre este curso

Materiais do Curso

Os seguintes materiais esto includos com o kit:

Curso Manual Um sucinto guia de aprendizagem em sala de aula que forne ce toda a tcnica crtica informaes em um formato ntido e bem focada, o que certo para um efet ivo em sala de aula-learning experincia.

Aulas: Guia-lo atravs dos objetivos de aprendizagem e fornecer os principais pontos que so fundamentais para o sucesso da experincia de aprendizagem em sala de aula.

Laboratrios: fornecer um mundo real, a plataforma de hands-on para voc aplicar o conhecimento e as habilidades aprendidas no mdulo.

Comentrios Mdulo e Takeaways: Oferecer maior on-the-job material de referncia para impulsionar conhecimento e reteno de habilidades.

Laboratrio Chaves Resposta: Fornecer passo-a-passo orientao da soluo d e laboratrio em suas pontas do dedo quando necessrio.

Contedo do Curso Companion no Site http://www.microsoft.com/learning/co mpanionmoc/: Pesquisvel, fcil de navegar de contedo digital com o prmio integrado on-li ne recursos destinados a complementar o Manual do Curso.

Mdulos: Incluir contedo companheiro, como perguntas e respostas, passos demonstrao detalhada e Outros links leitura, para cada lio. Alm disso, elas incluem pergunt as e respostas de reviso Lab Comentrios e Mdulo e sees Takeaways, que contm as perguntas de reviso e respostas, melhor prticas, problemas comuns e dicas para soluo de problemas com respos tas e questes do mundo real e cenrios com as respostas.

Recursos: Incluir bem-categorizados recursos adicionais que lhe do aces so imediato a mais up-to-date contedo premium no TechNet, MSDN e Microsoft Press .

Arquivos de alunos curso no site http://www.microsoft.com/learning/com panionmoc/: Inclui o Allfiles.exe, um arquivo executvel auto-extravel que contm todos os arqui vos necessrios para os laboratrios e manifestaes.

Avaliao do curso No final do curso, voc ter a oportunidade de completar um a linha avaliao para fornecer feedback sobre o curso, instalao, treinamento e instrutor.

Para fornecer comentrios ou feedback sobre o curso, envie um e-mai l para support@mscourseware.com. Para saber mais sobre o Programa d e Certificao Microsoft, envie um e-mail

para mcphelp@microsoft.com~~V. Pgina 23 Sobre este Curso xxiii

Ambiente Virtual Machine

Esta seo fornece as informaes para configurar o ambiente de sala de aula p ara suportar o negcio cenrio do curso.

Configurao da Mquina Virtual

Neste curso, voc vai usar o Microsoft Virtual Server 2005 R2 com SP1 pa ra executar os laboratrios. Neste curso, voc vai usar o Microsoft Hyper-V implantado em Windows Server 2008 para executar os laboratrios.

Importante: Antes de comear as mquinas virtuais pela primeira vez, voc deve criar um "StartingImage" snapshot para cada mquina virtual. No final de cada laboratrio, voc dev e fechar a mquina virtual e reverter para a "StartingImage" instantneo. Para reverter uma mquina v irtual para o "StartingImage" instantneo, execute os seguintes passos: 1. No Gerenciador de Hyper-V, no painel de Snapshots, clique com o boto "StartingImage" instantneo, e Clique em Apply. 2. Na caixa de dilogo Snapshot Apply, clique em Aplicar.

No final de cada laboratrio, voc deve fechar a mquina virtual e no deve salvar todas as alteraes, uma vez que vai ser utilizado novamente em mdulos subsequentes. Etapas para fazer isso esto includas nas medidas de laboratrio em cada module/

A tabela seguinte mostra a funo de cada mquina virtual utilizado neste cu rso:

Papel mquina virtual

6421B-LON-DC1 controlador de domnio no domnio Contoso.com

6421B-LON-CL1 Windows 7 computador no domnio Contoso.com

6421B-LON-CL2 Windows 7 computador no domnio Contoso.com

6421B-LON-SVR1 Windows Server 2008 R2 servidor, membro do domnio Cont oso.com

6421B-LON-SVR2 Windows Server 2008 R2 servidor, membro do domnio Cont oso.com

6421B-LON-RTR Windows Server 2008 R2 servidor, membro do grupo de tr abalho com roteamento habilitado

6421B-LON-edge1 Windows Server 2008 R2 servidor, membro do domnio Con toso.com

6421B-Inet1 servidor Windows Server 2008 R2, membro do grupo de trab alho

Configuraco de Software

O seguinte software instalado dentro das mquinas virtuais:

Windows Server 2008 R2 Enterprise

Windows 7

Arquivos do curso

H arquivos associados com os laboratrios deste curso. Os ficheiros de la boratrio esto localizados na pasta <install_folder> \ Labfiles \ LabXX nos computadores dos alunos.

Instalao de sala de aula

Cada computador da sala de aula ter a mesma mquina virtual configurado d a mesma maneira. Pgina 24 xxiv sobre este curso

Nvel de Hardware Curso

Para garantir uma experincia satisfatria estudante, Microsoft Learning r equer um equipamento mnimo configurao para instrutor e aluno em todos os computadores Microsoft Cer tified Partner para Learning Solutions (CPLS) salas de aula em que Official Microsoft Learning Produto cursos so ensinados. A Aprendizagem MS Hardware Nvel 6 definio necessria para os laboratrios deste curso, com RAM adicional especificado; especfica detalhes esto includos aqui abaixo:

Intel Virtualization Technology (Intel VT) ou AMD Virtualization (AMDV) processador

Dual 120 GB de discos rgidos SATA RM 7200 ou melhor *

4 GB de RAM

Unidade de DVD

Placa de rede

Super VGA (SVGA) monitor de 17 polegadas

Microsoft Mouse ou dispositivo apontador compatvel

Placa de som com alto-falantes

* Listrado Pgina 25 1-1

Mdulo 1

Planejamento e configurao de IPv4

Contedo:

Lio 1: Planejando uma infra-estrutura de rede IPv4 1-3

Lio 2: Viso Geral dos Servios de resoluo de nomes em IPv4 Infra-estrutura de rede 1-8

Lio 3: Configurando e solucionando problemas IPv4 1-14

Laboratrio: Planejamento e configurao de IPv4 1-25

Pgina 26 1-2 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure

Viso geral do mdulo

Para implantar e configurar servios de rede em sua organizao, importante q ue voc entenda o fundamentos que sustentam muitos desses servios. Neste mdulo, voc vai ver como implementar um IPv4 esquema de endereamento, determinar quais servios de nome para implantar e solucionar problemas relacionados rede dos problemas.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Planeje um esquema de endereamento IPv4.

Determinar quais servios de nome que voc deve implantar.

Configurar e solucionar problemas em uma rede IPv4. Pgina 27 Planejamento e configurao de IPv4 1-3

Lio 1 Planejando uma infra-estrutura de rede IPv4

Para implementar corretamente os servios de rede, voc deve ter uma compre enso completa de endereamento IPv4. A

bom entendimento de endereamento IPv4 permite que voc faa decises adequadas sobre o configurao e colocao de servidores de rede dentro de sua infra-estrutura IP v4.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever uma sub-rede IPv4.

Planeje um esquema de endereamento IPv4.

Escolha um esquema de endereamento IPv4 apropriado. Pgina 28 1-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que uma sub-rede IPv4?

Uma sub-rede o segmento fsico de uma rede que um roteador ou roteadores separados do resto da rede. Quando o provedor de servios Internet (ISP) atribui sua rede um interva lo de endereo, muitas vezes voc deve subdividir o intervalo para coincidir com disposio fsica de sua rede, em outras palavras, voc subdividir um grande rede em sub-redes lgicas.

Nota: A maioria das organizaes usam endereos IP privados dentro de suas redes, usando pblico aborda apenas para computadores voltados para a Internet.

Quando voc subdividir uma rede em sub-redes, voc cria uma identificao nica para cada sub-rede, que derivam

ID da rede principal. Para criar sub-redes, voc deve alocar alguns dos bits da identificao do host para o ID de rede, que permite criar redes mais.

Ao utilizar sub-redes, voc pode realizar as seguintes tarefas:

Use uma nica classe A, B, C ou rede em vrios locais fsicos.

Nme ro de Nmero de hosts por Primeira Classe octeto padro mscara de sub-rede de redes

A 1-127 255.0.0.0 126 16.777.214

B 128-191 255.255.0.0 16.384 65.534

C 192-223 255.255.255.0 2.097.152 254

Reduzir o congestionamento da rede, segmentando o trfego e reduzir as e misses em cada segmento.

Uma mscara de sub-rede especifica que parte de um endereo IPv4 o ID de r ede e qual o ID do host. Uma sub-rede mscara tem quatro octetos, semelhante a um endereo IPv4. Pgina 29 Planejamento e configurao de IPv4 1-5

Em simples redes IPv4, a mscara de sub-rede define octetos completos como parte d o ID de rede e host ID. A 255 representa um octeto que faz parte do ID de rede, e um 0 representa um octeto qu e parte do ID de acolhimento.

Em redes complexas, voc pode subdividir um octeto com alguns pedaos que so para a i dentificao de rede e alguns para a identificao do host. Classes de endereamento, ou Classless Inter-Domain Rout ing (CIDR), quando voc usa mais ou menos de um octeto todo para sub-redes. Este tipo de sub-redes utiliza uma notao d iferente, como mostrado na seguindo o exemplo.

172.16.16.1/255.255.240.0

O exemplo a seguir mostra a representao mais comum de IPv4 sem classes de endereame nto.

172.16.16.1/20

O / 20 representa quantos bits de sub-rede so na mscara, e esta notao sub-rede de co mprimento varivel Masking (VLSM), o que tambm conhecido como rede de notao de comprimento de prefixo.

Os endereos IP privados so comumente usados e endereos IP privados

para redes locais (LANs). Essas faixas d

so no-roteados para a Internet global. Uma organizao a necessidade de um espao de end ereo privado pode us-los endereos sem a aprovao de um ISP.

Intervalos de endereos particulares so mostrados na tabela a seguir.

Faixa de Mscara de Classe

A 10.0.0.0-10.255.255.255 10.0.0.0 / 8

B 172.16.0.0/12 172.16.0.0-172.31.255.255

C 192.168.0.0/16 192.168.0.0-192.168.255.255

Leitura adicional

Para mais informaes, consulte a atribuio de endereos internet Privada: http://go.microsoft.com/fwlink/?LinkID=163880&clcid=0x409 Pgina 30 1-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Planeje um esquema de endereamento IPv4

Seleo de um regime adequado de endereamento para a sua organizao inclui as seguintes tarefas:

A escolha se deseja usar pblicas ou privadas endereos IPv4.

Calculando o nmero de sub-redes necessrias. Voc pode calcular o nmero de b its de sub-rede determinar quantos voc precisa na sua rede. Use a frmula 2 ^ n, ond e n o nmero de bits O resultado deve ser pelo menos o nmero de sub-redes que a re de exige.

Calcular o nmero de hosts em cada sub-rede. Voc pode calcular o nmero de bits de host que so exigido por meio da frmula 2 ^ n-2, onde n o nmero de bits.

Seleo de uma mscara de sub-rede adequada (s).

Quando voc determinar esses fatores, voc deve ento executar o seguinte:

Calcule as identificaes de rede de sub-rede. Para determinar IDs de rede rapidamente, voc pode usar o bit de menor valor

na mscara de sub-rede. Por exemplo, se voc escolher a sub-rede da r ede 172.16.0.0 com a sub-rede mscara 255.255.0.0 usando 3 bits, isso significaria usar 255.255.2 24.0 como a mscara de sub-rede. O decimal 224 11.100.000 em binrio, eo conjunto de bits mais baixa p ara 1 tem um valor de 32, de modo que ser o incremento entre cada endereo de sub-rede.

Determine o intervalo de endereos de hosts em cada sub-rede. Voc pode ca lcular a distncia de cada sub-rede de hospedeiro aborda usando o seguinte processo: o primeiro hospedei ro um dgito binrio superior corrente ID de sub-rede eo ltimo host de dois dgitos binrios menor do que o I D de sub-rede que vem.

Implementar o regime previsto endereamento.

Pergunta: Qual o endereo de sub-rede para a mquina seguinte: 192.16 8.16.17/28? Pgina 31 Planejamento e configurao de IPv4 1-7

Discusso: Seleo de um regime adequado de endereamento

Pergunta: Contoso.com implementou IPv4 toda a organizao. actualmente implementao de uma nova sede. O escritrio vai acolher 5.000 computadores que so distribudos de forma bastante equilibrada por 10 andares desses escritrios. O endereo de classe serviria para este Remoto

Pergunta: Anlise do trfego de rede na sede existente mostra que o mximo nmero de hosts para cada sub-rede deve ser em torno de 100. Quantas sub-rede s so necessrias, e assumindo um endereo de rede para todo o site da 172.16.0.0/16, o que voc dev

e usar mscara para garantir um apoio suficiente para as sub-redes necessrias?

Pergunta: Supondo que o endereo de rede para a sede 172.16.0.0/19, que masca ram que voc atribui a cada sub-rede?

Pergunta: Quantos hosts voc pode ter em cada sub-rede com base na sua mscara selecionada?

Pergunta: Supondo que voc implementar a mscara que voc determinou para cada su b-rede, o que seria o endereo de sub-rede primeiro ser?

Pergunta: Quais so os endereos de host primeira e ltima para a primeira sub-re de? Pgina 32 1-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2 Viso geral dos Servios de resoluo de nomes em uma rede IPv4 Infra-estrutura

A resoluo de nomes fornece a base para muitos servios de rede. Servios de r ede da Microsoft ter invocado dois servios de resoluo de nomes no passado. O Windows Intern et Name Service (WINS) fornece nomes de NetBIOS para mapeamentos de endereos IP e usado para su portar aplicaes legadas NetBIOS. O Domain Name System (DNS) tem sido amplamente adotado como padro para res oluo de nomes em redes IP.

Nesta lio, voc vai considerar que os servios de nome provvel que voc precisa para implantar em seu rede da organizao para apoiar os servios de rede que voc implementou.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever a resoluo de nomes.

Descrever DNS.

Determinar a necessidade de WINS. Pgina 33 Planejamento e configurao de IPv4 1-9

Qual a resoluo de nomes?

A resoluo de nomes o processo de determinar os endereos IP que est associado a nomes de computador. A resoluo de nomes uma parte essencial das redes de computadores porque mais fcil p ara os usurios a se lembrar nomes do que nmeros abstratos, como um endereo IPv4.

Hosts do Windows suportam dois tipos de nomes: um nome de host e um nome NetBIOS .

Em sistemas operacionais Windows, os aplicativos podem solicitar servios de rede atravs do Windows Sockets, Winsock Kernel, ou NetBIOS. Se um dos pedidos de aplicao de rede de servios atravs d e sockets do Windows ou Winsock Kernel, ele usa nomes de host. Se um aplicativo solicitar servios atravs d e NetBIOS, ele usa um NetBIOS name.

Nota NetBIOS um protocolo de gerenciamento de sesso utilizado em verses ante riores do Microsoft sistemas operacionais de rede. Windows 7 e Windows Server 2008 R2 fornece suporte para NetBIOS.

Muitas aplicaes atuais, incluindo os aplicativos de Internet, usar Sockets do Wind ows para acessar a rede servios. Novas aplicaes projetadas para Windows 7 e Windows Server 2008 R2 uso Wins ock Kernel. Aplicaes anteriores usam NetBIOS.

Processo de Resoluo de Nomes

O Domain Name System (DNS) o padro da Microsoft para a resoluo de nomes de host par a endereos IP. Os aplicativos tambm usam o DNS para fazer o seguinte:

localizar controladores de domnio e servidores de catlogo global. Isto usado quand o voc est conectado ao Active Directory Domain Services (AD DS).

Resolver os endereos IP para nomes de host. Isso til quando um arquivo de log contm apenas o endereo de um host IP.

Coloque um servidor de correio para entrega de e-mail. Isto usado para a entrega da totalidade de e-mail da Internet. Pgina 34 1-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes de uma rede NetBIOS. Apoio mantida para o WINS para fornecer compatibilidade com verses ante riores.

Alm de usar WINS, voc pode resolver nomes NetBIOS usando o seguinte:

As mensagens de difuso. Mensagens de difuso no funcionam bem em redes gra ndes porque os roteadores fazer no propagar broadcasts.

Arquivo Lmhosts em todos os computadores. Usando um arquivo LMHOSTS pa ra a resoluo de nomes NetBIOS uma alta soluo de manuteno, porque voc deve manter o arquivo manualmente em tod os os computadores.

Processo de host resoluo de nomes

Quando um aplicativo especifica um nome de host e usa o Windows Socket s, TCP / IP usa o resolvedor DNS cache, DNS, e Link-Local Multicast Nome Resoluo (LLMNR) ao tentar resolv er o host name. O arquivo hosts carregado no cache de resoluo DNS. Se o NetBIOS so bre TCP / IP est ativado, o TCP / IP tambm

utiliza mtodos de resoluo de nomes NetBIOS quando a resoluo de rtulo nico, n mes de host no qualificados.

Windows resolve nomes de host, realizando as seguintes aes:

1.

Verificar se o nome do host o mesmo que o nome do host local.

2.

Pesquisando o cache de resoluo DNS.

3.

Pesquisando o arquivo Hosts.

4.

Enviar um pedido de DNS para os seus servidores DNS configurados.

Windows resolve hospeda nomes que so rtulo nico, nomes no qualificados, fa zendo o seguinte

aes:

1.

Usando LLMNR na sub-rede local.

Nota LLMNR permite que os hosts em uma rede para resolver os nom es um do outro computador sem usar um servidor de nome e sem depender de radiodifuso.

2. Convertendo o nome do host para um nome NetBIOS e verificar o cac he de nomes NetBIOS local.

3. .

Enviar um pedido de DNS para os seus servidores WINS configurados

4. Radiodifuso at trs nomes NetBIOS mensagens de solicitao de consulta na sub-rede que est diretamente anexado.

5.

Pesquisando o arquivo LMHOSTS.

Observao Voc pode exercer controle sobre a ordem exacta utilizada p ara resolver nomes. Por exemplo, se voc desativar o NetBIOS sobre TCP / IP, nenhum dos mtodos de resol uo de nomes NetBIOS so tentada. Alternativamente, voc pode modificar o tipo de n NetBIOS que resulta em uma mudana a ordem exata em que os mtodos de resoluo de nomes NetBIOS so tentad os. Pgina 35 Planejamento e configurao de IPv4 1-11

Resoluo de nomes com DNS

DNS o padro da Microsoft para a resoluo de nomes de host para endereos IP. DNS um se rvio que gerencia o resoluo de nomes FQDN baseados em host para endereos IP. TCP / IP identifica os com putadores de origem e destino por seus endereos IPv4 ou IPv6. No entanto, uma vez que fcil para os usurios se lem brar de nomes do que nmeros, nomes comuns ou amigveis e so atribudos ao endereo IP do computador. O tipo mais comum d

nome usado um nome de host.

Quando os nomes DNS so resolvidas na internet, todo um sistema de computadores us ada em vez de apenas um nico servidor. Existem 13 servidores raiz na Internet que so responsveis obal pela gesto gl

estrutura de resoluo de DNS. Ao registrar um nome de domnio na Internet, voc est paga ndo para o privilgio de fazer parte deste sistema.

O processo de resoluo de nomes para o nome www.microsoft.com como se segue:

1. Uma estao de trabalho na internet consulta seu servidor DNS configurado para o endereo IP do www.microsoft.com.

2. Se o servidor DNS configurado no tem a informao, em seguida, ele consulta um s ervidor DNS raiz para a localizao dos servidores COM. DNS.

3. O servidor DNS local consulta um. Com servidor de DNS para a localizao dos se rvidores DNS do Microsoft.com.

4. O servidor DNS local consulta o Microsoft.com servidor DNS para o endereo IP de www.microsoft.com.

5.

O endereo IP do www.microsoft.com retornado para a estao de trabalho.

Voc pode modificar o processo de resoluo de nome, configurando o seguinte:

Cache: Depois de um servidor DNS local resolve um nome de DNS, ele ir armazenar e m cache os resultados de cerca de 24

horas Solicitaes de resoluo subseqentes para o nome DNS so dadas as informaes ar enadas em cache.

Desvio: Um servidor DNS pode ser configurado para encaminhar solicitaes de DNS par a outro servidor DNS em vez de consultar servidores raiz. Por exemplo, os pedidos de todos os nomes da Internet podem ser enviadas para um servidor DNS servidor em um ISP. Pgina 36 1-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Resoluo de nomes com WINS

WINS fornece um banco de dados centralizado para registrar mapeamentos dinmicos de nomes de uma rede NetBIOS. Apoio mantida para o WINS para fornecer compatibilidade com verses ante riores.

WINS pode permanecer necessria na rede da sua organizao por vrias razes. A principal razo porque alguns aplicativos ainda usam NetBIOS para fornecer funcionalid ade para os usurios.

WINS exigido pelas seguintes razes:

As verses mais antigas dos sistemas operacionais da Microsoft dependem de WINS para resoluo de nomes.

Algumas aplicaes, normalmente aqueles mais velhos, contam com nomes de N etBIOS.

Talvez seja necessrio o registro dinmico de um nico rtulo nomes.

Os usurios podem contar com o Ambiente de Rede ou Meus Locais de Rede r ecursos do navegador de rede.

Voc pode no estar usando o Windows Server 2008 para fornecer a infra-est rutura DNS.

Voc deve configurar um servidor WINS com um endereo IP esttico porque os computadores cliente entre em contato com as WINS servidor utilizando um endereo IP.

Nota WINS um servio de IPv4-only, e no vai trabalhar em um ambien te somente-IPv6.

Alm de WINS, os nomes de NetBIOS podem ser resolvidos por mensagens de difuso ou atravs da implementao de LMHOSTS arquivos em todos os computadores. Mensagens de difuso no funcio nam bem em redes grandes porque os roteadores no passam transmisses. Usando um arquivo LMHOSTS para resoluo de nomes Net BIOS uma manuteno de alta soluo, porque o arquivo deve ser constantemente atualizado sobre os comp utadores. Pgina 37 Planejamento e configurao de IPv4 1-13

GlobalNames Zona

A Zona GlobalNames (GNZ) um novo recurso do Windows Server 2008. O GNZ fornece rt ulo nico resoluo de nomes para redes de grandes empresas que no implantam WINS. Algumas rede s podem exigir a capacidade de resolver estticos, registros globais com rtulo nico nomes WINS que

fornece atualmente. Estes rtulo nico nomes se referem a servidores bem conhecidos e amplamente utilizados co m endereos IP atribudos estaticamente. A GNZ criado manualmente e no est disponvel para registro dinmico de registros. GNZ de stina-se a ajudar clientes a migrar para o DNS para a resoluo de nome, a funo de servidor DNS no Windo ws Server 2008 suporta o recurso GNZ.

GNZ destina-se a auxiliar na migrao de WINS, no entanto, no um substituto para WINS . GNZ no se destina a apoiar a resoluo de nomes de rtulo nico de registros que so registrado s no WINS dinamicamente e aqueles que no so geridos por administradores de TI em geral. Supo rte para estes dinamicamente registros registrados no escalvel, especialmente para grandes clientes com mltiplos domnios e / ou florestas.

A implantao GNZ recomendada usando um AD DS zona integrada, com o nome GlobalNames , que distribudos globalmente.

Em vez de usar o GNZ, voc pode optar por configurar a integrao do DNS e WINS. Faa is so por meio da configurao as propriedades da zona DNS para executar WINS-lookups para NetBIOS compatveis co m nomes. A vantagem deste abordagem que voc pode configurar os computadores clientes para usar somente um s ervio nico nome, DNS, e ainda ser capaz de resolver NetBIOS compatveis com nomes.

(Melhor Prtica)

Se a sua organizao depende fortemente de aplicaes NetBIOS, continuar a usar o WINS. Se voc planeja migrar do WINS para DNS, WINS implementar a integrao em suas zonas DNS. Quando desativada a maioria das aplicaes de NetBIOS, ou s tem alguns aplicativos NetBIOS, use o GNZ p ara gerenciar

estticos, nomes de rtulo nico. Pgina 38 1-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 3 Configurao e Soluo de problemas IPv4

Muitas vezes, os problemas com os servios de rede originou com a configu rao de rede subjacente. Por conseqncia, voc deve ser capaz de configurar e solucionar problemas fundamentais IPv 4 IPv4 problemas relacionados rede.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Configurar IPv4 manualmente para proporcionar uma configurao esttico para um servidor.

Configurar um servidor para que ele obtm uma configurao IPv4 automaticamen te.

Utilizar ferramentas de resoluo de problemas IPv4.

Desenvolver metodologia de resoluo de problemas para ajudar a resolver pr oblemas fundamentais IPv4.

Descrever a funo de Monitor de rede.

Utilize o Network Monitor para capturar e analisar trfego de rede. Pgina 39

Planejamento e configurao de IPv4 1-15

Configurando o IPv4 manualmente

Voc pode configurar configurao IPv4 esttico manualmente para cada um dos computadore s da sua rede. IPv4 configurao inclui o seguinte:

endereo IPv4

Mscara de sub-

Gateway padro

Servidor DNS

Configurao esttica requer que voc visitar cada computador e entrada a configurao IPv4. Este mtodo de gerenciamento do computador demorado se sua rede tem mais de 20 usurios. Alm di sso, o fazendo um grande nmero de configuraes manuais aumenta o risco de erros.

H momentos em que a atribuio de uma configurao IPv4 esttico recomendado, por exemplo, um nome de servidor DNS ou o WINS deve ter uma configurao IPv4 esttico para permitir resolvedores clien te para localiz-lo.

Alm disso, os servidores voltados para a Internet poderia ter atribudo estaticamen te endereos IPv4, desde a sua organizao de um ISP ou fornecedor de telecomunicaes. Por exemplo, para implementar o DirectAccess, o Internet enfrentando servidor DirectAccess deve ter dois consecutivos endereos IPv4 pblicos .

Use o seguinte procedimento para configurar o Windows com uma configurao IPv4 atri budo manualmente:

1. Abra o Centro de Rede e Compartilhamento e, em seguida, selecione as config uraes do adaptador de Mudana.

2.

Boto direito do mouse a conexo de rede apropriada e clique em Propriedades.

3. Clique duas vezes em Internet Protocol Version 4 (TCP/IPv4) e depois entrar com a configurao apropriada.

Alternativamente, voc pode usar a ferramenta de linha de comando netsh.exe. Por e xemplo, o comando seguinte configura a interface chamada Conexo de Rede Local com o endereo IP esttico 172.16. 16.3, a sub-rede mscara de rede 255.255.255.0 e um gateway padro de 172.16.16.1. Pgina 40 1-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Netsh interface ipv4 nome, endereo set = "Conexo Local" source = stati c addr = 172.16.16.3 mscara = 255.255.255.0 Gateway = 172.16.16.1 Pgina 41 Planejamento e configurao de IPv4 1-17

Configurar IPv4 automaticamente

DHCP para IPv4 permite que voc atribua automticas IPv4 configuraes para um grande nme ro de computadores sem ter que atribuir a cada um individualmente. O servio DHCP recebe pedidos de c onfigurao IPv4 a partir de computadores que voc configura para obter um endereo IPv4 automaticame nte. Ele tambm atribui IPv4 adicionais

definies de escopos que voc definir para cada uma das sub-redes da sua rede. O serv io DHCP identifica o sub-rede a partir do qual se originou a solicitao e atribui a configurao IP do mbito relevante.

DHCP ajuda a simplificar o processo de configurao de IP, mas voc deve estar ciente que se voc usar o DHCP para atribuir IPv4 informaes eo servio crtico de negcios, voc deve fazer o seguinte:

Incluir a resilincia em seu projeto de servio de DHCP para que a falha de um nico s ervidor no impede o servio de funcionamento.

Configurar os escopos no servidor DHCP com cuidado. Se voc cometer um erro, ele p ode afetar todo o rede e impedir a comunicao.

Se voc usar um laptop para se conectar a vrias redes, como no trabalho e em casa, cada rede pode requerem uma configurao IP diferente. O Windows suporta o uso de APIPA e um endereo IP esttico alternativo para esta situao.

Quando voc configurar computadores com Windows para obter um endereo IPv4 de DHCP, use o alternativo Guia de configurao para controlar o comportamento se um servidor DHCP no est disponve l. Por padro, o Windows usa APIPA para atribuir-se um endereo IP automaticamente a partir da faixa de endereos 169.254.0.0 a 169.254.255.255, mas com nenhum gateway padro ou servidor de DNS, o que permite uma funcionalidade limitada.

APIPA til para soluo de problemas de DHCP, se o computador tem um endereo da faixa A PIPA, uma indicao de que o computador no pode se comunicar com um servidor DHCP.

Pgina 42 1-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

IPv4 Ferramentas de soluo de problemas

Windows Server 2008 inclui uma srie de utilitrios que ajudam a diagnosti car problemas de rede.

IPConfig

IPConfig exibe a configurao atual da rede TCP / IP. Alm disso, voc pode us ar para atualizar IPConfig Configuraes de DHCP e DNS. A tabela a seguir descreve as opes de linha de comando para Ipconfig.exe.

Finalidade comando

Ipconfig / all Ver informaes detalhadas de configurao

Ipconfig / release Liberar a configurao alugado de volta para o servid or DHCP

Ipconfig / renew Renovar a configurao alugado

Ipconfig / flushdns limpar o cache de resolvedor DNS

Ipconfig / displaydns Ver as entradas de DNS cache do resolvedor

Ping

Ping pode verificar IP de nvel de conectividade com outro computador TC P / IP. Ping envia mensagens de controle da Internet Protocol (ICMP) echo mensagens de solicitao e exibe o recebimento de men

sagens de resposta de eco correspondente. Ping o comando TCP / IP primrio usado para solucionar problemas de cone ctividade, no entanto, firewalls podem bloquear as mensagens ICMP.

Tracert

Tracert determina o caminho levado a um computador de destino atravs do envio de uma srie de solicitaes de eco ICMP. O caminho exibido a lista de interfaces do roteador entre uma origem e um destino. Esta ferramenta tambm determina que roteador falhou e que a latncia, ou velocidade, . Estes re sultados podem no ser preciso se o roteador est ocupado desde os pacotes ICMP so atribudos a uma baixa prioridade pelo roteador. Pgina 43 Planejamento e configurao de IPv4 1-19

Pathping

Pathping traa uma rota atravs da rede de uma maneira semelhante Tracert. No entant o, Pathping fornece estatsticas mais detalhadas sobre as etapas individuais ou lpulo, atravs da rede. P athping pode fornecer maior detalhe porque ele envia 100 pacotes para cada roteador, o que lhe permite estabelecer tendncias.

NSlookup

NSlookup exibe informaes que voc pode usar para diagnosticar a infra-estrutura de D NS. Voc pode usar NSlookup para confirmar a conexo para o servidor de DNS e que os registros necessr ios existem.

NBTSTAT

Nbstat uma linha de comando de resoluo de nome NetBIOS e uma ferramenta de soluo de problemas. Esta ferramenta permite que voc determinar os nomes de NetBIOS no cache de nomes NetBIOS, e limpar o cache de no mes NetBIOS.

Telnet

Voc pode instalar o recurso o cliente Telnet e us-lo para verificar se a porta do servidor est escutando. Por exemplo, Telnet.exe tentativas 10.10.0.10:25~~HEAD=NNS para abrir um dilogo com o servidor de destino, 10.10.0.10, na porta 25, SMTP. Se a porta est ativa e ouvir, ele deve retornar uma mensagem para o cliente Telnet.

Netstat

Netstat uma ferramenta de linha de comando que permite visualizar as conexes de r ede e estatsticas.

Windows Network Diagnostics

Use Diagnstico de Rede do Windows para diagnosticar e corrigir problemas de rede. No caso de uma letra Janelas problema de rede do servidor, a Diagnose Connection opo ajuda a diagnostic ar problemas e reparar o problema. Uma descrio possvel do problema e um remdio potencial so apresent ados. O soluo pode precisar de interveno manual do usurio.

Visualizador de Eventos

Os logs de eventos so arquivos que registram eventos significativos em um computa dor, tais como quando um processo encontra um

erro. Conflitos de IP ser refletido no registro do sistema e pode impedir que os servios sejam iniciados. Quando estes eventos ocorrem, o Windows registra o evento em um log de eventos apropriado. Vo c pode usar o Visualizador de Eventos para ler o log. Quando voc solucionar erros no servidor Windows, visualizar os eventos nos logs de eventos para determinar a causa do problema. Pgina 44 1-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Processo de Resoluo de Problemas

Se voc tiver problemas de conectividade de rede enquanto estiver usando o Windows Server, use Rede Janela Diagnstico para iniciar o processo de soluo de problemas. Se o Diagnstico de Rede do Windows no pode resolver o problema, siga um processo de soluo de problemas que utiliza as ferramen tas Servidor de Windows disponveis e consiste em os seguintes passos:

1.

Consulte Diagnstico de Rede do Windows.

2.

Use ipconfig para verificar a configurao IP local.

3. ma remoto.

Use Ping para diagnosticar uma comunicao bidireccional com um siste

4. stemas.

Use Tracert para identificar cada hop, ou roteador, entre dois si

5.

Use nslookup para verificar DNS configurao e operao.

6.

Verifique os logs de eventos.

Geral Diagnstico de Rede

Quando o Windows Server encontra um problema de conexo de rede, use o D iagnstico de Rede do Windows para realizar procedimentos de diagnstico. Windows Network Diagnostics anali sa o problema e, se possvel, apresenta uma soluo ou uma lista de possveis causas.

Windows Network Diagnostics seja concluda a soluo automaticamente ou exig e que o usurio executar as etapas para resolver o problema. Estas etapas podem exigir que o usurio completar vrias alteraes de configurao para o computador. Em muitos casos, essa capacidade pode resolver problemas de rede sem que o usurio necessita de suporte adicional.

Se o Diagnstico de Rede do Windows no pode corrigir o problema, voc pode precisar usar diagnstico adicional ferramentas. Pgina 45 Planejamento e configurao de IPv4 1-21

Verificao da configurao IP local

Voc pode usar IPConfig com a opo / all para exibir a configurao IP do computador. Est ude o configurao com cuidado e lembre-se o seguinte:

Se o endereo IP invlido, a transmisso pode falhar.

Se a mscara de sub-rede estiver incorreta, o computador possui um ID de rede inco rreta, portanto, da transmisso, falhar, especialmente a sub-redes remotas.

Se o gateway padro est incorreto ou faltando, o computador no pode transmitir dados com controle remoto sub-redes.

Se o servidor DNS est incorreto ou faltando, o computador pode no ser capaz de res olver nomes e comunicao pode falhar.

Diagnstico de Comunicao de duas vias com sistemas remotos

O utilitrio Ping (ou Pathping) confirma uma comunicao bidireccional entre dois comp utadores. Isto significa que Se o utilitrio Ping falhar, a configurao do computador local no pode ser a causa do problema. Use Ping para assegurar a transmisso atravs de um processo lgico, tais como os seguintes:

1.

Ping do computador remoto.

2.

Ping o gateway local.

3.

Ping o endereo IP local.

4.

Ping o endereo de loopback 127.0.0.1.

Ao usar o utilitrio Ping, lembre-se o seguinte:

Voc pode Ping o nome eo endereo IP do computador.

Se voc com sucesso Ping o endereo IP, mas no o nome, a resoluo de nomes est falhando.

Se voc com sucesso ping o nome do computador, mas a resposta no resolve o nome FQD

N, resoluo no foi utilizado DNS. Isto significa um processo tal como transmisses o u WINS tem sido utilizado para resolver o nome e as aplicaes que necessitam de DNS pode falhar.

"A solicitao expirou" indica que as mensagens ICMP foram enviados, mas um ou mais computadores ou roteadores ao longo do caminho, incluindo a origem eo desti no, no esto configurados para encaminhar as mensagens corretamente.

"Host inacessvel Destino" indica que o sistema no pode encontrar uma rota em sua t abela de roteamento local para o sistema de destino, e, portanto, no sabe quando a transmitir o pacote para o prximo hop.

O trfego ICMP usado pelo ping pode ser bloqueada por um firewall na rede ou em um computador Windows.

Identificar cada salto entre dois sistemas

Pode usar Tracert para identificar cada salto entre a fonte e sistemas de destin o. Se a comunicao falhar, usar Tracert para identificar quantos saltos so bem sucedidos e em que si stema de comunicao hop falhar. Pgina 46 1-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Verificando configurao DNS

As principais ferramentas para resoluo de problemas o nome do host so Ipc onfig.exe e NSlookup.exe. Quando solucionar problemas de resoluo de nomes, voc deve entender quais os mtodo s de resoluo de nomes do computador

usando, e em que ordem o computador utiliza-los. Certifique-se de limp ar o cache do resolvedor DNS entre tentativas de resoluo. Se voc no pode se conectar a um host remoto e suspe itar de um problema de resoluo de nomes, solucionar problemas de resoluo de nomes como segue:

1. Abra um prompt de comando elevado, e, em seguida, limpar o cache do resolvedor DNS, digitando o seguinte .

Ipconfig / flushdns

2. Tente fazer o ping do host remoto, o seu endereo IP. Isso ajuda a identificar se o problema est relacionado resoluo de nomes. Se o ping tiver xito com o endereo IP, mas no pelo n ome do host, ento o problema est relacionado resoluo de nome.

3. Tentativa de ping no host remoto ao seu nome. Para maior preciso, use o FQDN com um ponto direita. Por exemplo, digite o seguinte comando no prompt de comando:

Ping nyc-dc1.contoso.com.

4. Se o ping tiver xito, ento o problema no provavelmente relacionada r esoluo de nome. Se o ping vencida, editar o C: \ windows \ system32 \ drivers \ etc \ hosts de arquivo de texto usando uma instncia elevada de Notepad.exe, e adicionar a entrada apropriada para o fim do arqui vo. Por exemplo, adicione esta linha e salvar O arquivo

10.10.0.10nyc-dc1.contoso.com

5.

Agora, execute o Ping-a-host-name teste mais uma vez. A resoluo de

nomes deve agora ser bem sucedido. Verifique se o nome resolvido corretamente, examinando o cache de resoluo DNS, use o seguinte comando em um prompt de comando:

Ipconfig / displaydns

6. Remova a entrada que voc adicionou o arquivo hosts, e depois limpa r o cache do resolvedor DNS mais uma vez.

7. No prompt de comando, digite o seguinte comando e, em seguida, ex aminar o contedo do arquivo filename.txt para identificar o estgio falhou na resoluo de nomes:

Nslookup.exe d2-nyc-dc1.contoso.com. > Filename.txt

Voc deve entender como interpretar a sada para que voc possa identificar se a resoluo de nomes problema est com a configurao do computador cliente, o servidor de nome, ou a configurao de registros dentro do banco de dados zona nome do servidor. Pgina 47 Planejamento e configurao de IPv4 1-23

O que o Monitor de rede?

Network Monitor um analisador de pacotes que permite capturar e analisar pacotes de rede na rede qual o computador est conectado.

Captura de pacotes uma tcnica de soluo de problemas avanada, e ajuda voc a identifica r mais incomum

problemas de rede e trabalhar para uma resoluo.

Voc pode baixar o Monitor de rede a partir do site de download da Microsoft e ins tal-lo em qualquer um Estao de trabalho Windows que est executando o Windows 7, ou Windows Server.

Uma vez instalado, o Monitor de rede liga-se os adaptadores de rede locais. Quan do voc iniciar o Monitor de rede, voc pode ver capturas existentes ou ento comear uma nova captura.

Usando o Monitor de Rede

Depois de ter capturado os pacotes de rede, voc deve ser capaz de interpretar o q ue est acontecendo, e se o comportamento o esperado ou no. Para ajud-lo, o Monitor de rede mostra os pacote s em uma resumida lista no painel Resumo Frame.

O resumo do quadro exibe todos os pacotes capturados, fornecendo as seguintes in formaes:

Horrio e data: isto permite-lhe determinar a ordem em que os pacotes foram transm itidos.

Origem e destino: esta fornece a fonte eo destino endereos IP de modo que voc pode determinar quais computadores esto envolvidos no dilogo.

Nome do Protocolo: o protocolo de nvel mais alto que o Monitor de rede pode ident ificar est listado. Por exemplo, Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP) , Transmission Control Protocol (TCP), Server Message Block (SMB), e outros. Conhecendo o protocol o de alto nvel permite que voc para identificar quais servios pode estar experimentando ou causando o probl ema que voc est

Soluo de Problemas Pgina 48 1-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quando voc seleciona uma moldura do painel de resumo, o quadro Detalhes atualizaes painel com o contedo do que quadro especfico. Voc pode percorrer os detalhes do quadro, de examinar o contedo de cada elemento como voc Prosseguir

Observao Lembre-se que cada camada na arquitetura de rede, a parti r da aplicao de para baixo, encapsula os seus dados no recipiente da camada infe rior. Em outras palavras, o ICMP: Mensagem de solicitao de eco encapsulado em um pacote IPv4, que po r sua vez, encapsulado em um quadro Ethernet.

Quando voc recolheu uma grande quantidade de dados, pode ser difcil dete rminar quais quadros so relevantes para o seu problema especfico. Voc pode usar a filtragem para mostrar apenas as molduras de interesse. Utilizar a Mostrar painel de filtro para carregar padro ou para criar filtros pers onalizados.

Por exemplo, se voc quiser exibir os quadros que se originam de um ende reo IP especfico, use o seguinte procedimento de triturao.

1. No Microsoft Network Monitor, no painel Filtro de Exibio, clique em Carregar filtro.

2. Aponte para Filtros de padro, clique em Endereos e clique em endereo s IPv4. As cargas normais de filtro na caixa de texto.

3. Percorra o texto e localize o IPv4.Endereo == 192.168.0.100 linha. Edite o endereo IPv4 para coincidir com o endereo que voc est interessado polegadas

4.

No menu no painel Filtro de Exibio, clique em Aplicar.

5.

No painel Resumo Frame, os resultados filtrados so exibidos.

Voc pode usar filtros padro para filtrar em uma variedade de propriedade s, incluindo o seguinte:

Endereos

DNS

NetBIOS

SMB

TCP

O trfego de autenticao

A resoluo de nomes

Observao Quando voc aplica um filtro depois de ter aplicado outra, os dois so cumulativos. Para aplicar um filtro novo no lugar de um filtro existente, cli que em Limpar texto antes de carregar e aplicar o novo filtro. Pgina 49

Planejamento e configurao de IPv4 1-25

Demonstrao: Como capturar e analisar trfego de rede usando Network Monitor

Esta demonstrao mostra como:

Capturar o trfego com o Monitor de rede.

Analisar o trfego capturado.

Filtrar o trfego.

Guarde os dados capturados. Pgina 50 1-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Laboratrio: Planejamento e configurao de IPv4

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5. -NYC-CL2.

Repita os passos 2 a 4 para 6421B-NYC-RTR, 6421B-NYC-SVR2, e 6421B

Cenrio Lab

Voc um engenheiro de rede da Contoso Ltd. Voc deve selecionar um esquema de endereamento IPv4 adequado para uma implantao de filial e, em seguida, aplicar os elementos do esquema. O ra mo usar inicialmente atribudo manualmente endereos IPv4, embora esteja previsto que eles vo im plementar DHCP no futuro.

Depois de ter determinado a configurao adequada, necessrio configurar o c liente estaes de trabalho de acordo com seu plano.

Para este projeto, voc deve completar as seguintes tarefas:

Planeje um esquema de sub-rede IPv4 adequado para filiais.

Implementar e verificar o esquema de sub-rede IPv4.

Pgina 51 Planejamento e configurao de IPv4 1-27

Exerccio 1: Seleo de um esquema de endereamento IPv4 para Escritrios

Remoto

Contoso criou uma nova fora de vendas regional. Como resultado, as filiais esto se ndo alugado e equipado-out com equipamentos de escritrio e computadores. Voc foi encarregado de conceber um e squema de endereamento IPv4 para apoiar as filiais ocidentais regio. H 10 novos escritrios, trs na regio, e cada um com cerca de 100 computadores.

As principais funes para este exerccio so como se segue:

1.

Leia a documentao de apoio.

2.

Atualizar o documento de proposta com seu curso de ao planejada.

3.

Examine as propostas sugeridas na chave Resposta Lab.

_ Documentos de apoio

Charlotte Weiss

De: Ed Meadows [Ed@contoso.com] Enviado: 04 de fevereiro de 2011 09:05 Para: Charlotte@contoso.com Assunto: Re: implantaes de escritrios remotos da Contoso

Anexos: Poder Contoso Rede Plan.vsd

Charlotte,

Cada ramo ser conectado atravs de um router para a sede; Anexei um esquema bsico da escritrios regionais.

Ns atribudo o 172.16.16.0/20 endereo de rede para todos os ramos nesta regio.

Em termos de trfego, a sincronizao de dados ocorre durante a noite por isso no deve impactar o trfego excedente. Eu acho que o trfego nas vendas de escritrios sub-redes de cabea agora deve ser bastan te indicativo. Em vez de enviar lhe a sada, eu vou apenas dizer que ns figuramos em cerca de 50 computadores por s ub-rede.

Atenciosamente,

Ed.

-------- Mensagem Original -------De: Charlotte Weiss [Charlotte@contoso.com] Enviado: 03 de fevereiro de 2011 08:45 Para: Ed@contoso.com Assunto: implantaes de escritrios remotos da Contoso

Ed.

Voc tem alguma informao sobre o trfego de rede nas novas agncias? Eu entendo o que h p ara ser um banco de dados com rplicas regionais. Voc tem alguma informao sobre isso? Eu estou t entando descobrir o nmero

de sub-redes que eu vou precisar por ramo.

Qualquer outra informao recebidas com gratido!

Charlotte Pgina 52 1-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Contoso Filial Rede Plan.vsd

Tarefa 1: Leia a documentao de apoio

Leia a documentao de apoio.

Tarefa 2: Atualize o documento de proposta com seu curso planejado de ao

Responda s perguntas no mbito do Poder Plano de Infra-estrutura do Offic e Rede: IPv4 Endereamento de documentos, demonstrado como se segue.

Filial Plano de Infra-estrutura de rede: IPv4 Endereamento

Nmero de Documento de Referncia: GW00602 / 1

Documento Autor Charlotte Weiss Data 06 de fevereiro

Viso geral Requisitos Projete um esquema de endereamento IPv4 para as filiais de vendas da Contoso escritrios, mostrados na exposio.

O endereo 172.16.16.0/20 bloco foi reservado para esta regio. Voc deve elaborar um sistema que suporta o nmero de sub-redes, o nm ero necessrio de Exrcitos, e prev crescimento de 25 por cento dos exrcitos em cada r amo. Para cada ramo, fornecer os endereos de sub-rede que voc pretende usar, junto com o incio eo fim IP endereos para cada sub-rede.

(continuao) Pgina 53 Planejamento e configurao de IPv4 1-29

Filial Plano de Infra-estrutura de rede: IPv4 Endereamento

Informaes Adicionais Voc no precisa se preocupar com o endereamento IP para o lado corporativo do roteador em cada ramo.

Propostas 1. Quantas sub-redes encara exigindo para essa regio? 2. Quantos hosts vai implantar em cada sub-rede? 3. Qual a mscara de sub-rede que voc vai usar para cada ramo? 4. Quais so os endereos de sub-rede para cada filial? 5. Qual a faixa de endereos de host esto em cada filial?

Tarefa 3: Examine as propostas sugeridas na chave Resposta Lab

Examine o plano concludo Filial de Infraestrutura de Rede na Chave Resposta Lab e ser preparado para discutir suas solues com a classe.

Resultados: No final deste exerccio, voc deve ter um plano de IP preenchido de end ereamento para a Contoso filiais. Pgina 54 1-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: Implementao e Verificao IPv4 na filial

Remoto

Neste exerccio, voc ir implementar o esquema de endereamento IPv4 que voc s elecionou no exerccio anterior.

As principais funes para este exerccio so como se segue:

1.

Determinar a configurao atual IPv4 do roteador.

2.

Determinar a configurao de IPv4 NYC-SVR2.

3.

Determinar a configurao do computador NYC CL2-.

4.

Reconfigure o computador NYC CL2.

5.

Verifique a configurao.

6.

Capturar e analisar trfego de rede usando o Monitor de rede.

Tarefa 1: Determine a configurao atual IPv4 do roteador

1.

Mude para o computador NYC RTR.

2. Usando Ipconfig.exe, determinar qual o endereo IPv4 e mscara de sub -NYC-RTR que comea com 172,16 e anot-la.

O sub-rede essa?

Qual seria o endereo de host passado nesta sub-rede ser?

Tarefa 2: Determinar a configurao IPv4 de NYC-SVR2

1. No NYC-SVR2 computador, determinar qual o endereo IPv4 e mscara de sub-NYC-SVR2 que inicia com 172,16 e anot-la.

2.

Localizar e identificar o seguinte:

Qual o endereo IPv4 ea mscara de sub-rede?

O sub-rede essa?

O que o gateway padro?

Qual a entrada DNS Servers?

3.

Deixar o comando open prompt.

Tarefa 3: Determinar a configurao da NYC-CL2 computador

1. No NYC-CL2 computador, execute o arquivo de lote Reconfigure.cmd que est localizado em E: \ Labfiles \ Mod01.

2.

Determinar a configurao de IPv4 NYC-CL2 e anot-la.

3.

Localizar e identificar o seguinte:

Qual o endereo IPv4 ea mscara de sub-rede?

O que a resposta anterior te disse? Pgina 55 Planejamento e configurao de IPv4 1-31

Tarefa 4: Reconfigure a NYC-CL2 computador

1. Reconfigurar as configuraes IPv4 fosse adequada para a sub-rede que o cliente reside dentro. A resposta sugerida aparece na tecla de atendimento de laboratrio.

2.

Anote a configurao que voc usou:

Endereo IP:

Mscara de sub-rede:

Gateway padro:

Servidor DNS preferencial:

Tarefa 5: Verifique a configurao

1.

Usando Ipconfig.exe, verifique a configurao do endereo.

Qual o endereo IPv4 ea mscara de sub-rede?

2. Ping NYC-DC1, e em seguida, usando Ipconfig.exe, examine o cache de resoluo D NS.

Tarefa 6: Capturar e analisar o trfego de rede usando o Network Monitor

1.

Abra o Microsoft Network Monitor 3.4.

2.

Inicie uma nova captura e, em seguida, mudar para o prompt de comando.

3. No prompt de comando, usando Ipconfig.exe, limpar o cache de resolvedor DNS e ento o ping nyc dc1.

4.

Ver o cache de resoluo DNS e verificar a presena do registro NYC DC1.

5.

No Monitor de rede, parar a captura.

Que tipo de quadros pode ver?

6.

Criar um filtro para mostrar quadros com um endereo IPv4 10.10.0.10.

7.

Examine os quadros filtrados e, em seguida, limpar o filtro.

8. Criar um novo filtro para DNSQueryName, onde o servidor = Contoso. Aplicar o filtro e, em seguida, examinar os quadros filtrados.

O que mostram os registros?

9.

Feche o Monitor de rede.

Resultados: No final deste exerccio, voc vai ter configurado o sub-filial.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-RTR, 6421B-NYC-SVR2, e 6421B-NYC-CL2.

Pgina 56 1-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Sua organizao pretende usar IPv4 para suas filiais. H um grande nmero de hospedeiros e sub-redes necessrio. Qual o endereo de rede privada que voc recomenda ria?

2. Sua organizao tem uma linha de aplicativos de negcios que usa nomes d e NetBIOS. Relativamente poucas pessoas utilizar esta aplicao e so relutantes em implementar WINS. Que altern ativa faz do Windows Server 2008 oferecem?

3. O Windows 7 cliente incapaz de se conectar a um servidor Windows. Voc suspeita que um nome resoluo de problemas. Quais os dois utilitrios permitem solucionar a resoluo de nome de um cliente Cobertos

Ferramentas

Usar a ferramenta para Onde encontr-lo

Ping.exe Verificando a conectividade IP bsica de linha de comando

Ipconfig.exe perfil e soluo de problemas com a configurao IP de linha de comando

Verificando Tracert.exe rede de roteamento de linha de comando

PathPing combina a funcionalidade de Tracer e Ping linha de comando

Soluo de problemas Nslookup.exe funcionalidade de resoluo de DNS de linh a de comando

Soluo de problemas Nbtstat.exe NetBIOS de linha de comando

Netsh.exe Ver e configurar definies de rede de linha de comando

Netstat Exibir conexes de rede e estatsticas de linha de comando

Pgina 57 2-1

Mdulo 2

Configurando e solucionando problemas de DHCP

Contedo:

Lio 1: Viso geral do servidor DHCP 2-3 Papel

Lio 2: Configurando DHCP Scopes 2-11

Lio 3: Configurando as opes DHCP 2-18

Lio 4: Gerenciando um banco de dados DHCP 2-24

Lio 5: Monitoramento e Resoluo de Problemas DHCP 2-35

Lio 6: Configurando DHCP Segurana 2-43

Lab: Configurando e solucionando problemas da funo de servidor DHCP 2-47 Pgina 58 2-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

Dynamic Host Configuration Protocol (DHCP) desempenha um papel importa nte no Windows Server 2008 R2

atravs de infra-estrutura. o principal meio de distribuio de informao de con figurao importante rede para clientes da rede e fornece informaes de configurao de rede para outros serv ios habilitados, incluindo Windows Deployment Services (WDS) e Rede de Proteo de Acesso (NAP). Para dar suporte e solucionar problemas um servidor baseado no Windows infra-estrutura de rede, importante que voc entenda como implantar, configurar e solucionar problemas a funo de servidor DHCP.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever a funo da funo de servidor DHCP.

Configurar DHCP escopos.

Configurar as opes de DHCP.

Gerenciar um banco de dados DHCP.

Monitorar e solucionar a funo de servidor DHCP.

Configurar a segurana a funo de servidor DHCP. Pgina 59 Configurando e solucionando problemas de DHCP 2-3

Lio 1 Viso geral da funo de servidor DHCP

Usando DHCP pode ajudar a simplificar a configurao do computador cliente. Esta lio descreve os benefcios de DHCP, explica como funciona o protocolo DHCP, e discute como control ar DHCP em um Windows Directory Server 2008 R2 Active Directory servios de domnio (AD DS) de re de.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o propsito e os benefcios de DHCP.

Explique como DHCP aloca endereos para os clientes da rede.

Descrever como aloca gerao de concesso de DHCP endereos para os clientes.

Ilustrar a forma como o processo de renovao da concesso DHCP funciona.

Explique como uma funo de servidor DHCP est autorizado.

Adicionar e autorizar a funo de servidor DHCP. Pgina 60 2-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Benefcios do Uso de DHCP

O protocolo DHCP simplifica a configurao do Internet Protocol (IP) clien tes em um ambiente de rede. Antes de DHCP foi amplamente utilizado, cada vez que voc adicionou um c liente a uma rede, voc tinha que configur-lo com informaes sobre a rede na qual ele foi instalado, incluindo o endereo IP, subnet da rede

mscara eo gateway padro para acesso a outras redes.

Quando voc precisa gerenciar vrios computadores em uma rede, torna-se de morado para gerenci-los Manualmente Muitas empresas gerenciar milhares de dispositivos do comp utador, incluindo handhelds, computadores desktop computadores e laptops. No vivel para gerir manualmente a configurao de IP das redes desse porte.

Com a funo de servidor DHCP, voc pode ajudar a garantir que todos os clie ntes tm configurao adequada informao, o que ajuda a eliminar o erro humano durante a configurao. Quand o a configurao chave

alteraes de informaes na rede, voc pode atualiz-lo usando a funo de servido HCP sem ter que alterar as informaes diretamente em cada computador.

DHCP tambm um servio fundamental para os usurios mveis que mudam de redes muitas vezes. DHCP permite rede administradores para oferecer informaes de configurao de rede complexa par a usurios no tcnicos, sem que os usurios ter que lidar com seus detalhes de configurao de rede.

O papel DHCP no Microsoft Windows Server 2008 suporta vrios novos recur sos:

DHCPv6 stateful e stateless configurao suportada para a configurao de clie ntes em uma IPv6 produo. Stateful configurao ocorre quando o servidor DHCPv6 atribui o endereo IPv6 para o cliente, juntamente com os dados DHCP adicionais. Stateless confi gurao ocorre quando o IPv6 atribudo automaticamente pelo roteador de sub-rede, eo servidor DHCPv6 ape nas atribui configurao IPv6 outro configuraes. Pgina 61

Configurando e solucionando problemas de DHCP 2-5

NAP com DHCP ajuda a isolar computadores potencialmente infectados com malware a partir da rede corporativa. NAP parte de um novo conjunto de ferramentas que podem impedir o acesso complet o intranet para computadores que no cumprem com os requisitos do sistema de sade. NAP DHCP permite que os administradore s para garantir que os clientes DHCP so conformidade com as polticas de segurana interna. Por exemplo, todos os clien tes da rede devem estar up-to-date e ter um vlido, up-to-date programa antivrus instalado antes de serem atribudos uma configurao de IP que permite o acesso total intranet.

Voc pode instalar o DHCP como um papel em uma instalao Server Core do Windows 2008 Server. Um Ncleo do Servidor instalao permite que voc crie um servidor com uma superfcie de ataque reduzida. Para gerenciar o DHCP do Server Core, voc deve instalar e configurar o papel a partir da interface de linha de comando. Voc tambm pode gerenciar o Core papel DHCP a partir de uma interface grfica de usurio (GUI) baseada em console onde o DHCP papel j est instalado. Pgina 62 2-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como DHCP aloca endereos IP

DHCP aloca endereos IP de forma dinmica, isto conhecido como uma locao. Em bora voc possa definir o contrato de arrendamento durao para ilimitado, tipicamente, o valor no mais do que algumas horas o u dias. O tempo de concesso padro para clientes com fio de oito dias e trs dias para clientes sem fio.

DHCP usa transmisses de IP para iniciar comunicaes. Portanto, os servidor es DHCP so limitados para comunicao dentro de sua sub-rede IP. Isto significa que, em muitas redes , existe um servidor DHCP para cada Sub-rede IP. Se houver um grande nmero de sub-redes, pode ser caro para implantar servidores para cada sub-rede. Um nico servidor DHCP pode servir colees de sub-redes menores. Para o ser vidor DHCP para responder a uma DHCP solicitao do cliente, ele deve ser capaz de receber solicitaes de DHC P. Voc pode ativar esta configurando uma Agente de retransmisso DHCP em cada sub-rede.

O agente de retransmisso DHCP permite que os pacotes de broadcast DHCP para ser retransmitida em outra sub-rede IP atravs de uma roteador. Depois, voc pode configurar o agente na sub-rede que requer e ndereos IP. Alm disso, voc pode configurar o agente com o endereo IP do servidor DHCP. Isto permite que o agente para capturar o cliente transmisses e transmiti-los para o servidor DHCP em outra sub-rede. Voc tambm pode retransmitir pacotes DHCP em outras sub-redes utilizando um router que seja compatvel com RFC 1542. Pgina 63 Configurando e solucionando problemas de DHCP 2-7

Como DHCP Lease Generation funciona

O protocolo DHCP processo de concesso de gerao inclui quatro etapas que permitem qu e um cliente para obter um IP endereo. Compreender como funciona cada passo vai ajudar voc a solucionar problema s quando os clientes no podem obter um endereo IP:

1. O cliente DHCP transmite um pacote DHCPDISCOVER. Esta uma mensagem que tran smitida para todos os computador na sub-rede. O nico computador que ir responder o computador que t em o DHCP

funo de servidor ou um computador ou roteador est em execuo um agente de retrans misso DHCP. Neste ltimo caso, o rel DHCP agente vai encaminhar a mensagem para o servidor DHCP com o qual est configu rado.

2. Um servidor DHCP responde com um pacote DHCPOFFER. Este pacote ir fornecer a o cliente um Endereo potencial.

3. O cliente recebe o pacote DHCPOFFER. Pode receber pacotes a partir de vrios servidores. Se o cliente recebe ofertas de mais de um servidor, que normalmente vai escolher o servi dor que fez o mais rpido resposta ao seu DHCPDISCOVER. Este normalmente o servidor DHCP mais prxima p ara o cliente. Em seguida, o cliente ir transmitir um DHCPREQUEST. O DHCPREQUEST contm um identificador de servido r. Isto informa o Os servidores DHCP que recebem a transmisso em que servidor o cliente optou por aceitar a DHCPOFFER.

4. Os servidores DHCP receber o DHCPREQUEST. Esses servidores que a mensagem f az DHCPREQUEST no aceitar usar a mensagem como uma notificao de que o cliente recusou a ofert a desse servidor. O escolhido servidor armazena as informaes do cliente IP endereo no banco de dados DHCP e responde com um DHCPACK mensagem. Se por algum motivo, o servidor DHCP no pode fornecer o endereo que foi oferecido no DHCPOFFER inicial, o servidor DHCP poder enviar uma mensagem DHCPNAK. Pgina 64 2-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como funciona o DHCP renovao de concesso

Quando o arrendamento DHCP chegou a 50 por cento do tempo de concesso, o cliente ir tentar renovar a concesso. Este um processo automtico, que ocorre no fundo. Computadores podem te r o mesmo endereo IP durante um longo perodo de tempo, se eles operam continuamente sobre u ma rede, sem ser desligado.

Para renovar o endereo IP, o cliente transmite uma mensagem DHCPREQUES T. O servidor que alugou o Endereo IP originalmente envia uma mensagem DHCPACK volta para o clien te que contm os novos parmetros que mudaram desde a locao original foi criado.

Os computadores cliente tambm tentar a renovao durante o processo de ini cializao. Isto porque os computadores cliente pode ter sido movido enquanto estavam desligada, por exemplo, um computado r porttil pode ser ligado a um novo sub-rede. Se a renovao for bem sucedida, o perodo de arrendamento repost o. Se a renovao no for bem sucedida, o computador cliente tentativas de contato com o gateway padro configurado. Se o gateway no responde, o cliente assume que ele est em uma nova sub-rede e entra na fase de descoberta, a tent ativa de obter uma configurao de IP de qualquer servidor DHCP.

Pgina 65 C onfigurando e solucionando problemas de DHCP 2-9

Autorizao do servidor DHCP

DHCP permite que um computador de cliente para adquirir a informao de configurao sob re a rede em que iniciado. DHCP comunicao ocorre antes de qualquer autenticao do usurio ou computador, e porque o

DHCP protocolo baseado em transmisses IP, um configurado incorretamente servidor DHCP em uma rede pode fornecer informaes invlidas para os clientes. Para evitar isso, o servidor deve ser autoriza do.

Ativo Requisitos Diretrio

Voc deve autorizar o Windows Server 2008 R2 funo de servidor DHCP no AD DS antes qu e possa comear locao Endereo IP: possvel ter um nico servidor DHCP fornecer endereos IP para sub-redes qu e contm mltiplos domnios AD DS. Portanto, uma conta de administrador da empresa deve autor izar o servidor DHCP.

Observao Um administrador da empresa necessria em todos os domnios, com exceo o domnio raiz da floresta, neste exemplo, os membros do grupo Admins do Domnio tm adequada privilgio para autorizar um servidor DHCP.

Servidor autnomo Consideraes DHCP

Um stand-alone servidor DHCP um computador executando o Windows Server 2008 R2 q ue no faz parte de um DS AD domnio, e que tem a funo de servidor DHCP instalado e configurado. Se o stand-alone servidor DHCP detecta um servidor DHCP autorizado no domnio, ele no vai conceder endereos IP e se r desligado automaticamente.

Desonestos servidores DHCP

Muitos dispositivos de rede tm embutido o software de servidor DHCP. Muitos rotea dores podem atuar como um servidor DHCP, mas frequentemente o caso que esses servidores no reconhecem DHCP autorizados servido res e poder conceder endereos IP

aos clientes. Pgina 66 2-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como adicionar a funo de servidor DHCP

Esta demonstrao mostra como:

Instalar e autorizar a funo de servidor DHCP. Pgina 67 Configurando e solucionando problemas de DHCP 2-11

Lio 2 Configurando DHCP Scopes

Voc deve configurar os escopos DHCP, aps o papel de DHCP instalado em um servidor. Um escopo DHCP o principal mtodo pelo qual voc pode configurar as opes para um grupo de ende reos IP. Um escopo DHCP baseado em uma sub-rede IP e podem ter configuraes especficas de hardware ou de gr upos personalizados de clientes. Esta lio explica os escopos, supermbitos, escopos de multicast, e como gerenciar escopos.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever a finalidade de um escopo DHCP.

Descrever superescopos e escopos de multicast.

Configurar os escopos DHCP para atribuir endereos IP aos clientes da red e.

Explique o que uma reserva DHCP.

Explique DHCP dimensionamento e disponibilidade. Pgina 68 2-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quais so os escopos DHCP?

Um escopo DHCP um intervalo de endereos IP disponveis para locao. Um escop o tipicamente limita-se ao IP endereos em uma determinada sub-rede.

Por exemplo, um escopo para a rede 192.168.1.0/24 (mscara de sub-rede 2 55.255.255.0), apoia uma srie de 192.168.1.1 atravs de 192.168.1.254. Quando um computador ou dispositiv o na sub-rede 192.168.1.0/24 solicita um Endereo IP, o mbito que definiu o intervalo neste exemplo seria atribuir um endereo entre 192.168.1.1 e 192.168.1.254.

Observao Lembre-se que o servidor DHCP, se desdobrado para mesma sub-rede, consome uma IPv4 endereo. Isto deve ser excluda a partir do intervalo de endereo.

Para configurar um escopo, voc deve definir as seguintes propriedades:

Nome e descrio: esta identifica o escopo.

intervalo de endereos IP: o intervalo de endereos que podem ser oferecid os para locao e, geralmente, toda a gama de endereos para uma determinada sub-rede.

Mscara de sub-rede: isto usado pelos computadores clientes para determi nar a sua localizao na organizao do infra-estrutura de rede.

Excluses: endereos individuais ou blocos de endereos que esto dentro do in tervalo de endereos IP, mas que vai no ser oferecido para locao.

Atraso: a quantidade de tempo de atraso antes de fazer DHCPOFFER.

Durao da concesso: usar perodos mais curtos para os mbitos limitados com en dereos IP, e perodos mais longos para redes mais estticas.

Opes: voc pode configurar vrias opes de um escopo, mas normalmente voc ir igurar a opo 003 Router (o gateway padro para a sub-rede), 006 - DNS Servers e opo 01 5 - sufixo DNS. Pgina 69 Configurando e solucionando problemas de DHCP 2-13

IPv6 escopos

Voc pode configurar as opes de escopo IPv6, como um mbito separado, no n IPv6 no cons ole DHCP. Existem vrias opes diferentes e um mecanismo avanado de locao.

Ao configurar um escopo DHCPv6, voc deve definir as seguintes propriedades:

Nome e descrio: esta identifica o escopo.

Prefixo: o prefixo de endereo IPv6 anlogo ao intervalo de endereos IPv4, na sua essn cia, define o endereo de rede.

Excluses: endereos individuais ou blocos de endereos que se enquadram dentro do pre fixo IPv6, mas no ser oferecido para locao.

Os preferidos tempos de vida: define por quanto tempo endereos concedidos so vlidos .

Opes: como acontece com IPv4, voc pode configurar vrias opes. Pgina 70 2-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quais so superescopos e escopos de difuso seletiva?

Um superescopo uma coleo de escopos que so agrupados em um todo administr ativo. Isto permite clientes para receber um endereo IP a partir de mltiplas sub-redes lgicas , mesmo quando eles esto na mesma fsica sub-rede.

Benefcios da Superscopes

Um superescopo til em diversas situaes. Por exemplo, se um escopo foi esg otado de endereos, e voc no pode adicionar mais endereos de sub-rede, voc pode adicionar uma no va sub-rede para o servidor DHCP. Este escopo vai concessionar endereos a clientes na mesma rede fsica, mas os clientes estaro em uma rede separada

logicamente. Isto conhecido como multineting. importante para configur ar roteadores para reconhecer o nova sub-rede para assegurar uma comunicao locais na rede fsica.

Um superescopo tambm til quando no h uma necessidade de mover clientes gra dualmente para um novo IP-numerao esquema. Por ter tanto esquemas de numerao coexistir para a durao do contr ato original, voc pode mover clientes para a nova sub-rede de forma transparente. Quando voc tiver renovado t odas as concesses de cliente na nova sub-rede, voc pode aposentar o antigo.

Multicast escopos

Um escopo multicast uma coleo de endereos de difuso seletiva da classe int ervalo de endereos IP D de 224.0.0.0 a 239.255.255.255 (224.0.0.0 / 3). Esses endereos so usados tivos precisam eficiente quando os aplica

comunicar-se com vrios clientes simultaneamente. Isso realizado com mlti plos hosts que escutam ao trfego para o mesmo endereo IP. Um escopo multicast referido comument e como um cliente de endereo Multicast Alocao de Protocolo de escopo (MADCAP). Aplicaes que aborda o pedido deste s mbitos precisam apoiar a aplicao MADCAP interface de programao (API).

mbitos multicast permitem que aplicativos para reservar um endereo de mu lticast IP para fornecer dados ou contedo. Pgina 71 Con figurando e solucionando problemas de DHCP 2-15

Demonstrao: Como configurar o DHCP Scopes

Voc pode criar escopos quer utilizando consoles de gerenciamento Microsoft (MMC) para a funo de servidor DHCP

ou usando o comando de configurao de rede Netsh. Isso permite que voc gerenciar esc opos remotamente, se o Servidor DHCP est sendo executado em uma instalao Server Core do Windows Server 200 8 R2. O comando Netsh tambm til para criao de scripts e automatizar o provisionamento de servidores.

Esta demonstrao mostra como:

Criar um espao IPv4. Pgina 72 2-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que uma reserva DHCP?

A reserva DHCP ocorre quando um endereo IP dentro de um escopo reservad o para uso com um servidor DHCP especfico *cliente*

Muitas vezes desejvel para fornecer servidores e impressoras com um end ereo IP predeterminado. Usando uma reserva garante que os endereos IP que pretende atribuir a estes dispositivos a partir de um escopo configurado no so atribuda a outro dispositivo. Isso tambm garante que os dispositivos com reservas est garantido para ter um endereo IP se um escopo empobrecido de endereos. Configurando reserva s permite centralizar gerenciamento de endereos IP fixos.

Configurando reservas de DHCP

Para configurar uma reserva, voc deve conhecer o dispositivo Media Acce ss Control (MAC) ou endereo fsico. Este endereo indica para o servidor DHCP que o dispositivo deve ter uma reserva. Voc pode adquirir um

Endereo de interface de rede do MAC usando o comando ipconfig / all. No rmalmente, os endereos MAC para impressoras de rede e outros dispositivos de rede so impressas sobre o dispositivo. A maioria dos computadores portteis tambm notar Essa informao sobre o fundo do seu chassis. Pgina 73 C onfigurando e solucionando problemas de DHCP 2-17

DHCP Dimensionamento e disponibilidade

Ao configurar os escopos DHCP e configuraes relacionadas, voc deve considerar como muitos endereos IP para atribuir e como voc vai implementar tolerncia a falhas. uma boa prtica para ter mais de um s ervidor DHCP em A REDE No caso de um servidor falhar, um servidor de backup est no local para con ceder endereos IP.

Dimensionamento de um escopo

O escopo deve incluir como muitos endereos IP, pois h clientes de rede. Tipicament e, o mbito ter Endereos de 20 por cento mais do que h clientes que necessitam de endereos IP.

Regra 80/20

Quando uma rede tem dois servidores DHCP, uma boa prtica para espalhar os endereos IP em toda a sub-rede ambos os servidores. Isto comumente referido como o "80/20" regra. Nessa regra, um mbito no primeiro servidor define 80 por cento dos endereos IP para locao, enquanto o segundo servidor define 20 por cento do Endereos Isto melhora a disponibilidade do servio DHCP se um dos servidores falhar .

Para implementar a regra 80/20, voc deve criar escopos duplicados em cada um dos dois servidores DHCP, cada excluindo um intervalo separado de endereos. Por exemplo, para 192.168.0.0/24 sub -rede:

No servidor DHCP 1, colocados em 192.168.0.0/24:

Criar um escopo com um intervalo de endereos de 192.168.0.2 at 192.168.0.254.

Criar um intervalo de excluso que compreende de 20 por cento superior da fai xa de endereo, isto , 192.168.0.200 a 192.168.0.254.

No servidor DHCP 2, colocado em 192.168.1.0/24:

Criar um escopo com um intervalo de endereos de 192.168.0.2 at 192.168.0.254.

Criar um intervalo de excluso compreendendo da parte inferior 80 por cento d o intervalo de endereo, isto , 192.168.0.2 a 192.168.0.199.

Certifique-se de implementar um roteador que suporta retransmisso DHCP para a sub -rede 192.168.1.0/24. Pgina 74 2-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 3 Configurando as opes DHCP

Opes de DHCP permitem que voc configure as configuraes de lado a partir do e ndereo IP e mscara de sub-rede. Por exemplo, voc pode usar DHCP para alocar um sufixo DNS, os endereos de servidor DNS e as configuraes de NetBIOS. importante

que voc esteja familiarizado com o processo de configurao de opes.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explique o que so as opes de DHCP.

Descrever o uso de DHCP no nvel de classe de opes.

Explique como as opes so aplicadas aos computadores clientes.

Configurar DHCP mbito, servidor e opes de classe. Pgina 75 Configu rando e solucionando problemas de DHCP 2-19

Quais so as opes de DHCP?

Os servidores DHCP pode configurar mais do que apenas um endereo IP, mas tambm for necem informaes sobre rede recursos, tais como servidores DNS eo gateway padro. Voc pode aplicar opes DHCP no s ervidor, mbito, nveis de usurio e fornecedor.

Um cdigo de opo identifica as opes de DHCP, e a maioria dos cdigos de opo vem do Pedi de Comentrios documentao (RFC) encontrado no site Internet Engineering Task Force (IET F).

Opes comuns de DHCP

A tabela a seguir lista os cdigos de opo comuns que pedido dos clientes baseados em Windows DHCP.

Nome cdigo de opo

1 mscara de sub-rede

3 Router

6 servidores DNS

15 nome de domnio DNS

44 WINS / NBNS

46 tipo de n WINS / NetBT

47 identificao de escopo NetBIOS

51 Lease tempo

58 Renovao (T1) valor de tempo Pgina 76 2-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

(continuao)

Nome cdigo de opo

59 valor de tempo de religao (T2)

31 Executar descoberta de roteador

33 Rota esttica

43 Vendedor de informaes especficas

249 Classless rotas estticas Pgina 77 Configurando e solucionando problemas de DHCP 2-21

Quais so DHCP classe em nvel de opes?

Opes de DHCP pode ser aplicado em nveis diversos, como no servidor DHCP e os nveis d e escopo. Voc pode precisar aplicar opes de escopo para tipos personalizados de computadores ou grupos de usurios especficos.

Voc pode especificar a classe de nvel opes quando voc precisa configurar um dispositi vo pertencente a uma classe particular de uma maneira especfica. Uma classe um grupo logicamente definido com base em atrib utos do dispositivo baseado em IP. Isto pode ser com base em dados especficos do fornecedor ou pode ser definido pelo usurio.

Nvel de classe opes incluem:

Vendedor de classe: o papel da Microsoft servidor DHCP oferece opes especiais com base na classe de fornecedor. Um exemplo de como usar DHCP com uma classe de fornecedor desativar o NetBIOS sobre TCP / IP para clientes com um fornecedor classe correspondente Windows 2000 ou Windows XP. Outro exemplo a configurao de opes especficas para um

marca de um determinado computador.

classe de usurio: Voc pode especificar o usurio de classe opes quando voc deseja defi ir as opes para uma certa classe de usurios, como os usurios de um determinado local fsico. As classes de usurio so definidas na estao de trabalho do cliente usando o comando ipconfig / setclassid. Pgina 78 2-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como opes de DHCP so aplicadas

Se voc tiver configurado as opes de DHCP em mltiplos nveis (escopo de serv idor, classe e os nveis de reserva), DHCP aplica-se opes para computadores cliente na seguinte ordem:

1.

Nvel de servidor

2.

Nvel de escopo

3.

Nvel de classe

4.

Reservados cliente de nvel

importante compreender estas opes quando voc est solucionando DHCP.

Se voc configurar opes personalizadas para reservas de DHCP, essas confi guraes ir substituir todas as outras opes de DHCP que voc configure em nveis mais elevados. Pgina 79 Con figurando e solucionando problemas de DHCP 2-23

Demonstrao: Como configurar as opes DHCP

Esta demonstrao mostra como:

Configurar as opes de escopo.

Configurar as opes do servidor.

Criar uma classe de usurio para as opes.

Habilitar e configurar o cliente de escopo de classe de usurio de computador. Pgina 80 2-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 4 Gerenciando um banco de dados DHCP

O banco de dados DHCP armazena informaes sobre as concesses de endereo IP. importante compreender como fazer o backup do banco de dados e resolver problemas de banco de dados se houver um problema. Esta lio explica como gerenciar o banco de dados e seus dados.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever as tarefas de gesto relacionadas com DHCP.

Explicar as opes de configurao do servidor DHCP.

Descrever o banco de dados DHCP.

Descrever como o banco de dados DHCP feito o backup e restaurado.

Explique como um banco de dados DHCP reconciliado.

Explicar como mover a funo de servidor DHCP para outro servidor.

Descrever como gerenciar um banco de dados DHCP. Pgina 81 C onfigurando e solucionando problemas de DHCP 2-25

Viso geral dos Cenrios de gerenciamento DHCP

O banco de dados do servidor DHCP contm dados de configurao sobre o servidor DHCP e informaes sobre IP concesses de cliente. Se esta informao se torna corrupto ou inconsistentes, pode levar configurao de rede erros em computadores clientes. Ele tambm pode levar para o mesmo endereo IP que e st sendo oferecido a vrios clientes.

Cenrios de gesto podem incluir:

Gerenciamento de banco de dados DHCP crescimento: O banco de dados DHCP baseado em um banco de dados do Microsoft Jet. Jato bases de dados precisam de ser compactado numa base regular.

Proteger o banco de dados DHCP: Informaes no banco de dados DHCP importante manter . Se o DHCP Server banco de dados corrompido ou se perde, isso poderia levar a con

figurao de IP significativa problemas:

Garantir a consistncia do banco de dados DHCP: O banco de dados tem de ser precis a. Se os dados de arrendamento no DHCP banco de dados no coincide com as informaes do cliente de locao, questes como end ereos IP duplicados podem ocorrer na rede.

Adio de clientes: Talvez seja necessrio reconfigurar escopos para suportar clientes de rede adicionais.

Adio de servidores de novos servios de rede: Talvez seja necessrio criar reservas ou excluses a suportar servidores configurados estaticamente.

Adio de novas sub-redes: Adicionando sub-redes pode levar a mudanas na forma como o banco de dados DHCP usado. Estes mudanas requerem monitoramento de banco de dados e pode exigir novas aes de ma nuteno. Pgina 82 2-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Configurao DHCP Opes do Servidor

O servidor DHCP configurao opes de definir comportamentos de todo o servid or. Certas configuraes tambm afetam os escopos que o servidor hospeda.

Opes gerais

Opes gerais permitem que o administrador defina DHCP depurao e estatsticas de resoluo de problemas.

DNS Opes

Configurar as opes de DNS importante que existam dispositivos ou sistema s operacionais que no atualizam suas informaes de DNS automaticamente. Voc pode configurar o servidor DHC P para atualizar o servidor DNS se o cliente incapaz de o fazer.

Normalmente, apenas sistemas legados do cliente operacionais e verses a nteriores do Windows que no pode dinamicamente atualizar DNS. Por exemplo, o Windows 95 computadores cliente no pode a tualizar DNS. Por conseguinte, possvel configurar o DHCP para registrar nomes de clientes Legacy com o DNS.

Opes de rede de proteo de acesso

As opes de rede de proteo de acesso permitem-lhe configurar o NAP para ser executada por um ou mais escopos. NAP permite que voc verifique que as mquinas que requerem um endereo IP a tender computador da sua organizao requisitos de sade. Por exemplo, os computadores cliente solicitando (e ser concedido) uma configurao de IP deve ter as ltimas atualizaes de segurana, executar um firewall, e ter um programa antivrus atualizado instalado e Executando

Opes de Filtros

Voc pode usar os filtros para definir a que endereos MAC so oferecidos co ntratos de arrendamento, ou para as quais os endereos MAC

locaes no so oferecidos. Alm disso, as opes avanadas permitem que voc defi ais os dispositivos fsicos so isentos de filtragem. Pgina ----------------------- 83----------- ------------

Configurando e solucionando problemas de DHCP 2-27

Opes avanadas

As opes avanadas permitem que o administrador para forar o servidor DHCP para verifi car se h conflitos de IP, quando um Cliente DHCP solicita um endereo IP particular. Isso beneficia os clientes mais a ntigos que no executam seu prprio cheques. No entanto, este processo tambm faz com que a sobrecarga. Portanto, a co nfigurao recomendada de transformar fora desta configurao.

A ligao IP permite que o administrador especifique o endereo IP no qual o servidor DHCP deve ouvir para as mensagens recebidas de DHCP. Pgina ----------------------- 84----------- -----------2-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que um banco de dados DHCP?

O banco de dados DHCP contm dados que se relaciona com escopos, concesse s de endereos, e reservas. O banco de dados contm o arquivo de dados que armazena as informaes de configurao DHCP e os dados de locao para os clientes que tm locado um endereo IP do servidor DHCP. Por padro, os arquivos de banco d e dados DHCP so armazenados no % Systemroot% \ System32 \ Dhcp.

Banco de dados DHCP Arquivos de Servio

A tabela a seguir descreve os arquivos de banco de dados DHCP de servio .

Descrio do Arquivo

DHCP.mdb O DHCP arquivo de banco de dados do servidor.

Dhcp.tmp Um arquivo temporrio que o banco de dados DHCP usa como um a rquivo de swap durante banco de dados As operaes de ndice de manuteno. Este ficheiro, p or vezes, permanece no Systemroot \ System32 \ Dhcp aps uma falha do sistema.

J50.log e um log de todas as transaes de banco de dados. O banco de da dos DHCP usa esse arquivo para recuperar J50 # # # # #. Registrar dados quando necessrio.

J50.chk um arquivo de verificao.

Importante Voc no deve remover ou alterar os seguintes arquivos:. J50.log, J50 # # # # # log, DHCP.mdb, Dhcp.tmp e.

O banco de dados do servidor DHCP dinmico e atualizaes como clientes DHCP so atribudos ou como eles liberam a sua TCP / IP parmetros de configurao. Porque o banco de dados DHCP no um banco de dados distribudo como o Windows Internet Naming Service banco de dados do servidor (WINS), man tendo o banco de dados do servidor DHCP menos Complexo. Pgina ----------------------- 85----------- -----------Configurando e solucionando problemas de DHCP 2-29

O banco de dados DHCP e entradas de registro relacionadas so copiados automaticam ente em intervalos especficos (60

minutos por padro de instalao). Voc pode alterar esse padro de instalao, alterando o v

lor de BackupInterval na seguinte chave do Registro:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCPServer \ Para meters Pgina ----------------------- 86----------- -----------2-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como um banco de dados DHCP feito o backup e restaurado

Voc pode fazer backup de um banco de dados DHCP manualmente ou configurlo para backup automaticamente. Um automtico backup chamado de backup sncrono. Um backup manual chamado um backup as sncrona.

Automatic Backup (Synchronous)

O caminho de backup padro para o DHCP para trs : systemroot \ System32 \ Dhcp \ Backup. Como uma prtica recomendada, voc pode modificar esse caminho nas propriedades do servidor para apontar para outro volume.

Manual de Backup (Asynchronous)

Se voc tem uma necessidade imediata de criar um backup, voc pode executa r a opo de backup manual no DHCP consolar. Esta ao requer permisses de nvel administrativo. A conta de usuri o tambm pode ser um membro de o DHCP grupo de administradores.

O que feito o backup?

Quando um backup sncrona ou assncrona ocorre, o banco de dados DHCP inte iro salvo, incluindo a

seguinte:

Todos os escopos, incluindo superescopos e escopos de multicast

Reservas

Aluga

Todas as opes, incluindo opes de servidor, as opes de escopo, opes de res , e as opes de classe

Todas as chaves de registro e outras configuraes (por exemplo, configuraes de log de auditoria e localizao da pasta configuraes) definir nas propriedades do servidor DHCP. Essas config uraes so armazenadas na seguinte chave do Registro:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DHCP Server \ Parameters

Para fazer o backup desta chave, o Editor do Registro aberto e sal var a chave especificada em um arquivo de texto. Pgina ----------------------- 87----------- -----------Con figurando e solucionando problemas de DHCP 2-31

Observao: As credenciais de actualizao dinmica de DNS (nome de usurio, domnio e enha) que o Servidor DHCP usa ao registrar computadores clientes DHCP no DNS no so apoia das por qualquer mtodo de backup.

Processo de Restaurao

Se voc precisar restaurar o banco de dados, utilizar a funo Restore no console do s ervidor DHCP. Voc ser solicitado para o local do backup. Uma vez selecionado o local, o servio de DHCP ir parar e o banco de dados ser restaurado. Para restaurar o banco de dados, a conta de usuri o deve ter de nvel administrativo permisses ou deve ser um membro do grupo Administradores DHCP.

Segurana de Backup

Quando o arquivo de banco de dados DHCP feito o backup, ele deve estar em um loc al protegido que somente o DHCP os administradores podem acessar. Isso garante que qualquer informao da rede nos a rquivos de backup permanece protected

Usando o Netsh

Voc tambm pode usar comandos no contexto netsh dhcp fazer o backup do banco de dad os, o que til para fazer backup o banco de dados para um local remoto usando um arquivo script. Um exemplo de um script que voc pode usar para exportar o ficheiro mostrado abaixo.

Este comando ir fazer backup dos dados DHCP para todos os escopos. Desde o DHCP N etsh, digite o seguinte:

exportar "c: \ Minha Pasta \ Dhcp de configurao" tudo

Para restaurar o banco de dados DHCP, use o seguinte comando:

importar "c: \ Minha Pasta \ Dhcp de configurao" tudo

Nota Este contexto Netsh no existe em computadores de servidores sem a funo d e servidor DHCP instalado. Pgina ----------------------- 88----------- -----------2-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como um banco de dados DHCP reconciliado

Conciliar escopos pode corrigir inconsistncias que podem afetar os comp utadores cliente.

O servidor DHCP servio lojas mbito IP informaes de concesso de endereo em du as formas:

detalhada IP informaes de concesso de endereo, que as lojas de banco de da dos DHCP

Resumo IP informaes concesso de endereo, que o servidor de lojas de Regist ro

Quando voc est conciliando os mbitos, as entradas de detalhes eo resumo so comparadas para encontrar inconsistncias.

Para corrigir e reparar essas inconsistncias, voc deve reconciliar todas as inconsistncias de escopo. Depois de selecionar e reconciliar inconsistncias de escopo, o servio de DHCP ou restaura os endereos IP para o original proprietrio ou cria uma reserva temporria para esses endereos. Estas rese rvas so vlidas para o arrendamento tempo que atribudo ao mbito. Quando o tempo de concesso expira, os endereo s so recuperados para o futuro usar. Pgina ----------------------- 89----------- -----------Configurando e solucionando problemas de DHCP 2-33

Movendo um banco de dados DHCP

No caso em que voc deve mover a funo de servidor DHCP para outro servidor, tambm aco nselhvel para mover o banco de dados para o servidor de novo, o que assegura que concesses de cliente so retidas e reduz a probabilidade de cliente-configurao questes.

Voc mover o banco de dados, inicialmente, fazendo backup no servidor DHCP de idad e. Em seguida, desligue o DHCP servio no servidor DHCP de idade. Voc deve, ento, copiar o banco de dados DHCP para o novo servidor, onde voc pode restaur-lo usando o procedimento de restaurao normal de banco de dados. Pgina ----------------------- 90----------- -----------2-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como gerenciar um banco de dados DHCP

Esta demonstrao mostra como:

Examine o intervalo de backup.

Faa backup do banco de dados DHCP.

Reconciliar os dados de escopo. Pgina ----------------------- 91----------- -----------Configurando e solucionando problemas de DHCP 2-35

Lio 5

Monitoramento e Resoluo de Problemas DHCP

DHCP um servio essencial em ambientes de muitas organizaes de rede. Se o s ervio DHCP no est funcionando corretamente, ou se houver uma situao que est causando problemas com o ser vidor DHCP, importante que voc pode identificar o problema e determinar as causas potenciais para reso lver o problema.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os mtodos para a monitorizao DHCP.

Discutir problemas comuns de soluo de problemas que so possveis com DHCP.

Explique como para monitorar as estatsticas de DHCP.

Descrever como monitorar o log de auditoria.

Explique como monitorar o desempenho do servidor DHCP.

Monitor DHCP estatsticas e desempenho. Pgina ----------------------- 92----------- -----------2-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral de Monitoramento DHCP

DHCP um protocolo dinmico. Alteraes no ambiente de rede geralmente exigem que voc faa DHCP servidor altera para acomodar o novo ambiente de rede. Essas alteraes po

dem surgir porque no h so mais clientes na rede, que pode causar uma maior carga de trfego no s ervidor DHCP, ou porque o servidor DHCP tenha esgotado o seu pool de endereos. O monitoramento dessas operaes permite abordar novo proativamente as necessidades que possam surgir, o que mantm interrupes d e servio a um mnimo e reduz o tempo de inatividade.

DHCP tem trs fontes de informao que voc pode usar para o monitoramento:

DHCP estatsticas

Eventos DHCP no Visualizador de Eventos

O desempenho DHCP dados Pgina ----------------------- 93----------- -----------C onfigurando e solucionando problemas de DHCP 2-37

Discusso: Problemas comuns de DHCP

A tabela a seguir descreve, e d exemplos de, problemas comuns de DHCP.

Exemplo Descrio do problema

Conflitos de endereos O mesmo endereo IP oferecido a um administrador exclui uma locao. Entretanto, dois clientes diferentes. o cliente que tinha o con trato de arrendamento ainda acredita o contrat o de arrendamento vlido. Se o servidor DHCP faz No possvel verificar o IP, pode arrendar o IP para outra mqui

na, fazendo com que um endereo Conflito. Isto tambm pode ocorrer se duas DHCP servidore s tm sobreposio de escopos.

A no obteno de um cliente a no receber um Se o controlador de um cliente, placa d e rede est configurado Endereo DHCP endereo DHCP e incorretamente, pode causar uma falha para obter recebe um IP privado automtico um endereo DHCP. Alm d isso, o DHCP Addressing (APIPA) auto-atribudo servidor ou agente de retransmisso na sub-rede do cliente. endereo.

Endereo obtido O cliente est obtendo um IP Isso muitas vezes ocorre porque o cli ente a partir do endereo mbito incorrecta do mbito errado, ligado rede errado ou o fazendo-a experimentar agente de retransmisso DHCP e st configurado incorretamente. problemas de comunicao.

DHCP banco de dados O banco de dados DHCP se tornar uma falha de hardware pod e fazer com que o banco de dados sofre os dados ilegveis ou perdido devido a um ser corrompido. corrupo ou falha de hardware perda.

Escopos de IP do servidor DHCP do servidor DHCP tem todos os IPs atribudos a u m escopo so alugadas. esgota seu IP foi esgotado. Qualquer cliente novo pool de endereos solicitando um endereo IP ser recusou. (Pgina 94). 2-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que so estatsticas DHCP?

Estatsticas DHCP fornecem informaes sobre o DHCP atividade e utilizao. Voc p ode usar este console para determinar rapidamente se houver um problema com o servio de DHCP ou com os client es da rede DHCP. Um exemplo. em que as estatsticas pode ser til se o administrador nota uma quantidad e excessiva de negativa reconhecimento (NACK) pacotes, que podem indicar que o servidor no est f ornecendo o correto dados aos clientes.

Voc pode configurar a taxa de atualizao para as estatsticas do servidor gu ia Geral propriedades.

DHCP Server Estatsticas

Estatsticas de servidor fornecem uma viso geral do uso do servidor DHCP. Voc pode usar esses dados para entender rapidamente o estado do servidor DHCP. Informaes como nmero de ofertas, o nmero de ped idos, total em uso endereos, total e disponveis podem ajudar a fornecer um retrato da sade d o servidor.

mbito Estatsticas DHCP

Estatsticas escopo fornecer detalhes muito menos, como endereos totais n o mbito, quantos endereos esto em uso, e quantos esto disponveis. Se voc notar um baixo nmero de ende reos disponveis no servidor estatsticas, pode ser apenas um escopo que est perto de seu ponto de esg otamento. Usando estatsticas mbito, um administrador pode rapidamente determinar o estado do mbito nomeadament e no que diz respeito aos endereos disponvel.

Pgina ----------------------- 95----------- -----------Co nfigurando e solucionando problemas de DHCP 2-39

O que um arquivo de log de auditoria DHCP?

O log de auditoria fornece um log rastrevel de atividade do servidor DHCP. Voc pod e usar esse registro para controlar as solicitaes de locao, subvenes, e negaes, e essa informao permite solucionar desempenho do servidor DHCP. O log arquivos so armazenados na pasta% systemroot% \ system32 \ dhcp por padro. Voc pode configurar o arquivo de log em caixa do servidor de dilogo Propriedades. Os arquivos so nomeados com base na sema na em que o arquivo foi criado. DE exemplo, se o log de auditoria est habilitado na segunda-feira, o nome do arquivo Mon.log-DhcpSrvLog.

Os campos que compem um registo de auditoria DHCP

A tabela a seguir descreve os campos em um log de auditoria DHCP.

Descrio do Arquivo

ID Um servidor DHCP cdigo de identificao do evento.

Data A data em que esta entrada foi registrada no servidor DHCP.

Hora A hora em que esta entrada foi registrada no servidor DHCP.

Descrio A descrio deste evento de servidor DHCP.

Endereo IP O endereo IP do cliente DHCP.

Nome do host O nome do host do cliente DHCP.

MAC O endereo MAC utilizado pelo hardware do adaptador de rede do cliente. Pgina ----------------------- 96----------- -----------2-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Cdigos de identificao comuns eventos

Cdigos de identificao de eventos comuns incluem:

ID, Data, Hora, Descrio, Endereo IP, Nome do Host, Endereo MAC

00,06 / 22/99, 22:35:10, Iniciado,,,,

56, 06/22/99, 22:35:10, insuficincia de Autorizao, parou manuteno, domain1. local,

55, 06/22/99, 22:45:38, Autorizado (assistncia tcnica), domain1.local (Pgina 97). Con figurando e solucionando problemas de DHCP 2-41

Monitorar o desempenho do servidor DHCP

Contadores de desempenho de DHCP ficam disponveis depois que voc instalar a funo de servidor DHCP. Voc pode ento usar Monitor de desempenho para carregar os contadores de desempenho.

Normalmente, um servidor DHCP no deve vir sob uma carga pesada de rede. No entant o, se voc observar a fila comprimentos esto registrando valores consistentemente elevados, verificar o serv

idor de gargalos que poderiam ser retardando DHCP desempenho.

A tabela a seguir lista os contadores de desempenho comuns e fornece recomendaes s obre o que procurar depois de estabelecer uma linha de base.

Execuo Recomendao contadores

Monitorar pacotes para aumentos repentinos ou diminui, o que poderia refletir problemas de rede. recebidos / segundo

Monitorar pacotes para aumentos repentinos. Um grande nmero indica que o servi dor ou expirada / segundo demorando muito para processar alguns pacotes, enquanto os outros pacotes so colocados em fila e tornar-se obsoleto, ou o trfego na rede muito alto pa ra o servidor para gerenciar.

Os pedidos / segundo monitor para aumentos repentinos ou diminui, o que poder ia refletir problemas de rede.

Milissegundos por monitor para aumentos repentinos. Um aumento repentino ou i ncomum pode indicar um problema de pacotes, quer com a entrada / sada do subsistema (I / O) se tornar mais lenta ou por causa de uma sobrecarga de processamento intrnsec o no computador servidor.

Monitor de fila ativo para aumentos repentinos e gradual, o que pode refletir aumento de carga ou comprimento diminuiu a capacidade do servidor.

Monitor de duplicatas para qualquer atividade que poderia indicar que mais de uma solicitao est sendo caiu / segundo transmitidas em nome de clientes. (Pgina 98). 2-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como monitorar o DHCP

Esta demonstrao mostra como:

Veja as estatsticas do servidor.

Veja os arquivos de log.

Use o Monitor de rede para monitorar o DHCP. Pgina ----------------------- 99----------- -----------Configurando e solucionando problemas de DHCP 2-43

Lio 6 Configurando DHCP Segurana

Protocolo DHCP no tem um mtodo incorporado para autenticao de usurios. Isto significa que se voc no tomar precaues, concesses de IP pode ser concedida para dispositivos e usurios ma l-intencionados. Esta lio explica como evitar que usurios no autorizados obtenham um contrato de ar rendamento, como gerenciar desonestos servidores DHCP, e como configurar servidores DHCP para que um grupo especfico pode geren ci-los.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Restringir um usurio no autorizado de obter uma concesso.

Restringir servidores DHCP no autorizados a partir de conceder endereos I P a clientes DHCP.

Restringir quem pode administrar a funo de servidor DHCP. ----------------------- Pgina 100----------- -----------2-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Impedindo um computador no autorizado de obter uma concesso

DHCP, por si s pode ser difcil de assegurar. Isso ocorre porque o protoc olo projetado para trabalhar antes da informao necessria est no lugar de um computador cliente para autenticar c om um controlador de domnio.

Precaues bsicas que voc deve tomar para limitar o acesso no autorizado incl uem:

Certifique-se de reduzir o acesso fsico: se os usurios podem acessar uma conexo de rede ativa no rede, os computadores so susceptveis de ser capaz de obter um ende reo IP. Se uma porta de rede no est sendo usado, voc deve deslig-lo fisicamente a infra-estrutura de comutao.

Habilitar o log de auditoria em todos os servidores DHCP: Isto pode fo rnecer uma viso histrica da atividade, alm para o que lhe permite rastrear quando um usurio potencialmente ma licioso obtido um endereo IP da rede. Certifique-se de programar o tempo em intervalos regulares para analisar os logs de auditoria.

Exigir autenticada Camada 2 conexes rede: as chaves de hardware a maior ia das empresas agora suportam Institute of Inc., Eltrica e Electronics Engineers (IEEE) a autenticao 802.1X. Este permite a nvel de porta de autenticao do usurio. Assegurar padres sem fio, como WPA e WPA2 Empresarial Enterprise, tambm use a autenticao 802.1X.

Implementar NAP: NAP permite que os administradores para validar que u m computador cliente compatvel com a Requisitos do sistema de sade, como a execuo de todas as ltimas atual izaes do Windows ou executando um up-to-date cliente de antivrus. Se um usurio que no atende aos requisitos de se gurana tenta acessar a rede, ele ou ela vai receber uma configurao de endereo IP para acessar uma rede d e recuperao quando ele ou ela pode receber as atualizaes necessrias. O administrador pode restringir o acesso rede, permitindo que apenas computadores saudveis acesso rede interna local (LAN).

----------------------- Pgina 101----------- -----------Co nfigurando e solucionando problemas de DHCP 2-45

Restringindo no autorizado, no-Microsoft DHCP Servers de Leasing Endereo IP:

Muitos dispositivos e sistemas operacionais de rede tm implementaes do servidor DHC P. As redes so quase nunca homognea na natureza, portanto, possvel que em algum momento, um servidor DH CP que no verificar Active Directory autenticados servidores sero habilitados na rede. Nest e caso, os clientes podem obteno de dados de configuraes incorretas.

Para eliminar um servidor DHCP no autorizado, voc deve localizar e desativ-lo de se

comunicar no rede fsica ou desativando o servio DHCP.

Se os usurios reclamam que no tem conectividade rede, verificar o endereo IP do seu DHCP servidor. Use o comando ipconfig / all para verificar o endereo IP do campo DHCP Server. Se o endereo IP no o endereo IP de um servidor DHCP autorizado, provavelmente h um servidor no autor izado na rede.

Voc pode usar o DHCP Server Locator utilitrio (Dhcploc.exe) para localizar os serv idores DHCP que esto ativos em um sub-rede. ----------------------- Pgina 102----------- -----------2-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Restringindo o DHCP Administrao

importante para garantir que apenas pessoas autorizadas podem administ rar a funo de servidor DHCP. Voc pode fazer isso realizando uma das seguintes tarefas:

Limitar os membros do grupo Administradores DHCP

Atribuio de usurios que requerem acesso somente leitura para DHCP membros do grupo Usurios DHCP

O grupo Administradores DHCP est nos grupos internos em controladores d e domnio ou em servidores locais porque o DHCP grupo Administradores local utilizado para restringir e conceder acesso para administrar o DHCP s=

Permisses necessrias para autorizar e administrar DHCP

Autorizao de um servio DHCP est disponvel apenas para administradores de em presas. Se existe a necessidade de um baixo nvel de administrador para autorizar o domnio, que pode ser feito usando a delegao do Active Directory.

Administradores DHCP

Qualquer usurio do Administradores DHCP grupo podem gerenciar o servido r de DHCP servio.

Usurios DHCP

Qualquer usurio do grupo Usurios DHCP pode ter acesso somente leitura ao console. ----------------------- Pgina 103----------- -----------Configurando e solucionando problemas de DHCP 2-47

Lab: Configurando e solucionando problemas de DHCP Funo de Servidor

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas admi nistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5. -NYC-CL2.

Repita os passos 2 a 4 para 6421B-NYC-RTR, 6421B-NYC-SVR2, e 6421B

----------------------- Pgina 104----------- -----------2-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Cenrio Lab

Contoso est implantando o DHCP para suas filiais. A tolerncia a falhas i mportante, e voc est encarregado de configurar os servios DHCP na sede e filiais para suportar os requisito s.

Para este projeto, voc deve completar as seguintes tarefas:

Plano adequado configurao DHCP

Instale a funo de servidor DHCP em NYC-SVR2

Configurar mbitos de sede e filial servidores DHCP

funcionalidade de cliente de teste com servidor DHCP primrio em linha, e ento simular uma falha de conexo com da sede

Soluo de problemas comuns de DHCP

Contoso Filial Rede Plan.vsd ----------------------- Pgina 105----------- -----------Confi gurando e solucionando problemas de DHCP 2-49

Exerccio 1: Selecionando uma configurao de DHCP Adequado

Remoto

Neste exerccio, voc ir selecionar uma configurao de DHCP adequado para suportar o amb iente filial.

As principais funes para este exerccio so como se segue:

1.

Leia o seguinte Filial Plano de Infra-estrutura de rede: DHCP documento.

2.

Atualizar o documento de proposta com seu curso de ao planejada.

3.

Examine as propostas sugeridas na chave Resposta Lab.

Filial Plano de Infra-estrutura de rede: DHCP

Nmero de Documento de Referncia: CW0703 / 1

Documento Autor Charlotte Weiss

Data de 07 de marco

Requisitos Especifique como voc pretende implementar DHCP para suportar suas necessidades de escritrios filiais.

Informaes Adicionais importante que qualquer roteador, servidor ou falha no link de comunicaes no pre judique os usurios.

Propostas

1. Quantos servidores DHCP que voc prope para implantar na regio?

2. Onde que voc se prope a implantar esses servidores?

3. Como voc se prope a fornecer tolerncia a falhas de alocao de endereos IP?

4. Como os clientes de um ramo obter uma configurao de IP, se seu servidor DHCP est offline?

Tarefa 1: Leia a Filial Plano de Infra-estrutura de rede: requisitos de DHCP

Analise o diagrama de rede e, em seguida, ler a Filial Plano de Infra-estrutura de rede: DHCP seo de requisitos do documento.

Tarefa 2: Atualize o documento de proposta com seu curso planejado de ao

Responda s perguntas no mbito do Poder Plano de Infra-estrutura do Office Network: documento DHCP.

Tarefa 3: Examine as propostas sugeridas na chave Resposta Lab

Examine o concludo Filial Plano de Infra-estrutura de rede: DHCP documento no Lab oratrio de Resposta Key e estar preparado para discutir suas solues com a classe.

Resultados: No final deste exerccio, voc ter determinado a configurao DHCP apropriado para Contoso. ----------------------- Pgina 106----------- -----------2-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: Implementando DHCP

Remoto

Neste exerccio, voc ir implementar a filial configurao DHCP que voc selecion ou.

As principais funes para este exerccio so como se segue:

1.

Instale a funo de DHCP em NYC-SVR2.

2.

Ativar DHCP Relay.

3. Autorizar o papel do servidor DHCP em NYC-SVR2.

4. Criar o escopo necessrio para o ramo.

Tarefa 1: Instale a funo de DHCP em NYC-SVR2

1.

Mudar para NYC-SVR2.

2. Abra o Gerenciador do Servidor e instalar a funo de servidor DHCP. A ceite todos os padres durante o Papel Add assistente, exceto:

Desativar DHCPv6 modo stateless para este servidor

Ir autorizao deste servidor DHCP no AD DS

3. Feche o Gerenciador do Servidor.

Tarefa 2: Ativar DHCP Relay

1.

Mudar para NYC RTR.

2. Abra o Roteamento e Acesso Remoto.

3. Use as seguintes etapas para adicionar o agente de retransmisso DH CP para o roteador:

No painel de navegao, expanda IPv4, boto direito do mouse Geral e cli que em Novo Protocolo de Encaminhamento.

Na lista de protocolos de roteamento, clique em Agente de retransm isso DHCP e clique em OK.

No painel de navegao, boto direito do mouse Agente de retransmisso DHC P e clique em Nova Interface.

Na nova interface para o DHCP Relay Agent caixa de dilogo, clique e m Conexo Local 2 e clique em OK.

Nas Propriedades DHCP Relay - Conexo de rea Local 2 caixa de dilogo P ropriedades, clique em OK.

Repita essas etapas para 3 Conexo de rea Local.

Boto direito do mouse Agente de retransmisso DHCP e clique em Propri edades.

Na caixa de rel DHCP Agente de dilogo Propriedades, na caixa de ende reo do servidor, digite 10.10.0.10, clique em Adicionar e, em seguida, clique em OK.

4. Feche o roteamento e acesso remoto.

Tarefa 3: Autorizar o papel do servidor DHCP em NYC-SVR2

1.

Mudar para NYC-SVR2.

2. Abra DHCP.

3. Autorizar o servidor nyc svr2.contoso.com-no AD DS. ----------------------- Pgina 107----------- -----------Confi gurando e solucionando problemas de DHCP 2-51

Tarefa 4: Criar o escopo necessrio para o ramo

1. Em DHCP, no painel de navegao, expanda nyc-svr2.consoto.com, expanda IPv4, bo to direito do mouse IPv4, e clique em Novo Escopo.

2.

Criar um novo escopo com as seguintes propriedades:

Nome: Filial

Faixa de endereos IP: 172.16.16.4> 172.16.16.254

Mscara de sub-rede: 255.255.255.0

Excluses: 172.16.16.200> 172.16.16.254

Outras configuraes usar os valores padro

Configurar as opes:

Router: 172.16.16.1

Outras configuraes usar os valores padro

mbito Activate

Resultados: No final deste exerccio, voc vai ter configurado o filial do servidor DHCP. ----------------------- Pgina 108----------- -----------2-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: A reconfigurao DHCP na Sede

Remoto

Neste exerccio, voc vai reconfigurar o servidor DHCP na sede para fornec er um espao para clientes em

a filial.

As principais funes para este exerccio so como se segue:

1.

Adicione o escopo filial em NYC DC1.

Tarefa 1: Adicione o escopo filial em NYC-DC1

1.

Mudar para NYC DC1.

2.

Abra DHCP.

3. Em DHCP, no painel de navegao, expanda nyc-dc1.consoto.com, expanda IPv4, boto direito do mouse IPv4, e clique em Novo Escopo.

4.

Criar um novo escopo com as seguintes propriedades:

Nome: Filial mbito Office Backup

Faixa de endereos IP: 172.16.16.4> 172.16.16.254

Mscara de sub-rede: 255.255.255.0

Excluses: 172.16.16.4 172.16.16.199>

Outras configuraes usar os valores padro

Configurar as opes:

Router: 172.16.16.1

Outras configuraes usar os valores padro

mbito Activate

Resultados: No final deste exerccio, voc ter criado os escopos necessrios em ambos os servidores DHCP. ----------------------- Pgina 109----------- -----------Con figurando e solucionando problemas de DHCP 2-53

Exerccio 4: Testar a configurao

Remoto

Neste exerccio, voc vai verificar que os computadores cliente pode obter uma confi gurao de IP da filial local Servidor DHCP.

As principais funes para este exerccio so como se segue:

1.

Configurar NYC-CL2 para DHCP.

2.

Examine pacotes DHCP.

Tarefa 1: Configurar NYC-CL2 para DHCP

1.

Mudar para NYC-CL2.

2.

Abra o Monitor de rede 3.4.

3.

Inicie uma nova captura.

4.

Reconfigure o Conexo de rea Local 3:

Configurar o Internet Protocol Version 4 (TCP/IPv4):

Obter um endereo IP automaticamente

Obter endereo dos servidores DNS automaticamente

Tarefa 2: Examine pacotes DHCP

1.

Mude para o Monitor de rede.

2.

Pare a captura.

3.

Aplicar um filtro como se segue:

Clique em Filtro de carga, aponte para filtros padro, aponte para Exemplos bs icos, e, em seguida, clique em protocolo Filtro - DNS.

Na caixa de texto Filtro de Exibio, localize o texto que l DNS e alter-lo para DHCP. Clique Aplicar

4. Agora examine os quadros capturados. No Quadro Resumo, clique no quadro com o destino de 255.255.255.255 ea Descrio que contm OFERTA.

5.

No painel de detalhes Frame, expandir Dhcp.

Qual o IP do servidor?

Qual servidor isso?

Resultados: No final deste exerccio, voc tiver configurado o cliente para obter um endereo IP dinamicamente a partir do servidor da filial local. ----------------------- Pgina 110----------- -----------2-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 5: Resoluo de problemas Problemas de DHCP

Remoto

Neste exerccio, voc vai simular um ramo falha no servidor de escritrio e verificar que os clientes so capazes de obter uma Configurao de IP atravs do roteador a partir da cabea do servidor DHCP do escritrio.

As principais funes para este exerccio so como se segue:

1.

Desligue o servidor DHCP em NYC-SVR2.

2.

Renovar o endereo IP em NYC-CL2.

Tarefa 1: Encerre o servidor DHCP em NYC-SVR2

1.

Mudar para NYC-SVR2.

2.

Em DHCP, boto direito do mouse nyc svr2.contoso.com, clique em All

Tasks e clique em Stop.

Tarefa 2: Renovar o endereo IP em NYC-CL2

1.

Mudar para NYC-CL2.

2. Abra um prompt de comando e no prompt de comando, digite Ipconfig .exe / release e prima ENTRE

3.

Mude para o Monitor de rede e iniciar uma nova captura.

4.

No comando prompt, digite ipconfig / renew e pressione ENTER.

5.

Pare a captura.

6.

Aplicar um filtro como se segue:

Clique em Filtro de carga, aponte para filtros padro, aponte para Exemplos bsicos, e, em seguida, clique em protocolo Filtro - DNS.

Na caixa de texto Filtro de Exibio, localize o texto que l DNS e alt er-lo para DHCP. Clique Aplicar

7. Agora examine os quadros capturados. No Quadro Resumo, clique no quadro com o destino de 255.255.255.255 ea Descrio que contm OFERTA.

8.

No painel de detalhes Frame, expandir Dhcp.

Qual o IP do servidor?

Qual servidor isso?

Resultados: No final deste exerccio, voc vai ter verificado que o client e pode obter um endereo IP a partir do cabea escritrio quando o servidor local est disponvel. ----------------------- Pgina 111----------- -----------Configurando e solucionando problemas de DHCP 2-55

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR2, 6421B-NYC-RTR, e 6421B-NYC-CL2.

----------------------- Pgina 112----------- -----------2-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Voc tem duas sub-redes em sua empresa e quer usar DHCP para atribui r endereos de cliente computadores em ambas as sub-redes. Voc no deseja implantar dois ser vidores DHCP. Que fatores voc deve aceitar.

2. Sua empresa tem crescido e seu alcance IPv4 quase a esgotar os end ereos. O que voc poderia fazer?

3.

Quais as informaes que voc precisa para configurar uma reserva DHCP?

4. aconselhvel configurar as opes de 003 - Router como uma opo de escopo n el de servidor DHCP?

Ferramentas

Usar a ferramenta para Onde encontr-lo

Ipconfig.exe gerenciar e solucionar problemas configuraes do cliente I P de linha de comando

Netsh.exe Configurando o cliente e as configuraes do lado do servidor IP, de linha de comando inclusive para funo de servidor DHCP

Edio Regedit.exe e ocasionais de configuraes, incluindo aqueles para int erface do Windows o papel do servidor DHCP

DHCPLoc.exe Localizar servidores DHCP na sub-rede local de linha de comando

Network Monitor captura e analisar o trfego de DHCP em uma interface de sub-rede do Windows ----------------------- Pgina 113----------- -----------3.1

Mdulo 3

Configurando e solucionando problemas de DNS

Contedo:

Lio 1: Instalando a funo de servidor DNS 3-3

Lio 2: Configurando a funo de servidor DNS 3-14

Lio 3: Configurando zonas DNS 3-25

Lio 4: Configurando o DNS Zona Transfere 3-34

Lio 5: Gerenciando e Resolvendo Problemas de DNS 3-39

Lab: Configurando e solucionando problemas de DNS 3-50 ----------------------- Pgina 114----------- -----------3-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

O Domain Name System (DNS) o servio de nome de fundao em Windows Server 20 08 R2. vital que voc entender como implementar, configurar, gerenciar e solucionar esse s

ervio essencial.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Instale a funo de servidor DNS.

Configurar a funo de servidor DNS.

Criar e configurar zonas DNS.

Configurar as transferncias de zona.

Gerenciar e solucionar problemas de DNS. ----------------------- Pgina 115----------- -----------Configurao e Soluo de problemas DNS 3-3

Lio 1 Instalando a funo de servidor DNS

Para apoiar os servios de rede dentro de sua organizao, voc deve ser capaz de instalar e configurar o Windows Server 2008 R2 funo de servidor DNS.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explique o papel e os benefcios do DNS na infra-estrutura de rede.

Explique o que um namespace DNS.

Descrever novas habilidades previstas na verso Windows Server 2008 de DN S.

Descrever novas habilidades previstas na verso Windows Server 2008 R2 de DNS.

Instale a funo de servidor DNS.

Descrever pontos a considerar ao implantar um servidor de DNS. ----------------------- Pgina 116----------- -----------Configurando 3-4 e Soluo de problemas do Windows Server Network Infrastructure 200 8

Viso geral do papel do Sistema de Nomes de Domnio

DNS um servio de resoluo de nomes que resolve nomes para endereos IP. O se rvio de DNS uma estrutura hierrquica, distribudos banco de dados. O banco de dados separada logicamente, perm itindo que diversos servidores para hospedar o base de dados mundial de nomes de DNS.

Como DNS Suporta o Internet Naming Fundao Sistema

DNS um servio mundial que permite que voc digite um nome de domnio (por e xemplo, Microsoft.com), que o computador resolve um endereo IP. A vantagem que os endereos IPv4 pode ser longa e difcil lembre-se (por exemplo, 131.107.0.32), enquanto que um nome de domnio n ormalmente mais fcil de lembrar. Alm disso, voc pode usar nomes de host que no mudam enquanto os endereos IP subjacen tes pode ser alterado para se adequar

suas necessidades organizacionais.

Originalmente, havia um arquivo na Internet que continha uma lista de todos os nomes de domnio e seus endereos IP correspondentes. Esta lista rapidamente tornou-se muito tem po para gerenciar e distribuir. DNS foi desenvolvidas para resolver os problemas associados com o uso de um nic o ficheiro. Com a adopo do IPv6, DNS se tornar ainda mais crtica porque os endereos IPv6 (por exemplo, 2001: db8: 4136: e38c: 384f: 3764: b59c: 3d97) so mais complexos do que os endereos IPv4.

Como DNS Suporta uma Organizao Active Directory Domain Naming Scheme+ Fundamentao

DNS responsvel por resolver os recursos em um Active Directory Domain S ervices (AD DS). Voc deve instalar a funo de DNS para instalar o AD DS. DNS fornece informaes p ara clientes de estaes de trabalho que lhes permitam para fazer logon na rede. DNS resolve recursos no domnio, tais como ser vidores, estaes de trabalho, impressoras e &Pastas compartilhadas... Um servidor DNS que est configurado incorreta mente pode ser a fonte dos problemas de muitos AD DS. ----------------------- Pgina 117----------- -----------Co nfigurao e Soluo de problemas DNS 3-5

Viso geral do namespace DNS

O namespace DNS facilita como um resolvedor DNS localiza um computador. O namesp ace organizado hierarquicamente para distribuir informao atravs de vrios servidores.

Domnio Raiz

O domnio raiz representado por um ponto (.) Que voc no digitar em um navegador web normalmente porque o ponto (.) assumida. A prxima vez que voc digitar um endereo em um computador, ten te adicionar o perodo no final (por exemplo, www.microsoft.com.). Existem 13 servidores raiz de domnios em todo o mundo.

Nota: Ao solucionar problemas de DNS, usual para especificar o ponto final .

Top Level-Domain

O domnio de nvel superior o primeiro nvel do espao de nomes DNS. Exemplos de domnios de alto nvel sobre o Internet incluem. Com,. Net,. Org, biz., E. Ca. Os domnios mais conhecidos so. Com ,. Net,. Org, e para o governo dos EUA. gov. Muitos nomes de domnio so mais a este nvel, e os novos so ad icionados ocasionalmente. H tambm um domnio de nvel superior (TLD) para cada pas. Por exemplo, o Canad . Ca ea

Reino Unido . Co.uk. O rgo que regula estes domnios chamado a Corporao da Internet pa a Atribudo Nomes e Nmeros (ICANN).

Domnio de segundo nvel

O nome de domnio de segundo nvel a parte do nome de domnio que aparece antes do TLD . Um exemplo de um nome de domnio de segundo nvel "Microsoft" no domnio www.microsoft .com. O organizaes que registram nomes de domnio de segundo nvel control-los. Qualquer pessoa pode registrar um segundo nvel nome de domnio atravs de um servio de registro de Internet. Muitos domnios de segund o nvel tm regras especiais sobre quem ou o que pode registrar um nome de domnio. Por exemplo, apenas as organizaes n onprofit pode usar. Org.

----------------------- Pgina 118----------- -----------3-6 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede

Subdomnio

O subdomnio listado antes de os domnios de segundo nvel e de nvel superior. Um exemplo de um subdomnio www no nome de domnio www.microsoft.com. Subdomnios so definidas no servid or de DNS do organizao que detm o segundo nvel do servidor DNS.

Nome de domnio totalmente qualificado

Um nome de domnio totalmente qualificado (FQDN) o nome DNS explcito que i nclui o nome do computador eo subdomnios do domnio raiz. Por exemplo, se o computador designado como Se rver1 no sales.south.contoso.com domnio, o FQDN para esse computador server1.sale s.south.contoso.com.

DNS Naming Standards

Os seguintes caracteres so vlidos para nomes DNS:

A Z atravs

um z atravs

0 a 9

Hfen (-)

Nota: O sublinhado (_) um caractere reservado. ----------------------- Pgina 119----------- -----------Co nfigurao e Soluo de problemas DNS 3-7

Melhorias de DNS para Windows Server 2008

Voc vai perceber algumas das vantagens de usar o Windows Server 2008 com os novos recursos que inclui a funo de servidor DNS. Esses recursos incluem carregamento de fundo da zon a, o suporte para IPv6 e para os controladores de domnio somente leitura e globais nomes individuais.

Carregando Zona fundo

Os servidores DNS que as zonas de acolhimento grandes DNS que os Servios de Domnio Active Directory (AD DS) lojas so capazes de responder a consultas de clientes mais rapidamente ao reiniciar porque os dados da zona agora carrega em segundo plano.

Suporte IPv6

O servio do servidor DNS agora oferece suporte ao registro de consulta e dinmica d e IP verso 6 (IPv6) de acolhimento e registros ponteiro sobre IPv6. Um registro de host IPv6 conhecido como um "AAAA" record.

Suporte para RODCs

A funo de Servidor DNS no Windows Server 2008 fornece primria somente leitura em zo nas de domnio somente leitura controladores (RODCs). Os alunos devem compreender que este um novo papel que pe rmite que os controladores de domnio e servidores de DNS para ser implantado em locais remotos que no possuem segurana fsica. Um RODC no pode escrever

informaes de volta para o total de servidores do Active Directory e servidores DNS .

Observao: Quando um controlador de domnio implementado como um RODC, uma cpia somente leitura do Domnio Zona de DNS e da Empresa zona DNS replicado para o RODC. Uma zona DNS em u m RODC no pode ser modificada.

Nomes globais individuais

O servio Servidor DNS no Windows Server 2008 fornece um novo tipo de zona, a zona GlobalNames, que voc pode usar para segurar rtulo nico nomes que so nicos em uma floresta inteira. Ist o elimina a necessidade para usar o NetBIOS baseado no Windows Internet Name Service (WINS) para fornecer sup orte para nomes de rtulo nico. ----------------------- Page 120----------------------3-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lista de Bloqueios de consulta global

O recurso de atualizao dinmica de DNS do Windows Server faz o possvel para resolver de DNS para computadores registrar e atualizar dinamicamente seus registros de recursos com o seu servidor DNS configurado sempre necessrios. No entanto, esse comportamento conveniente pode permitir q ue um usurio mal-intencionado assumir um nome especial e desviar certos tipos de trfego de rede para o computador que o usurio ma l-intencionado.

Para ajudar a evitar tal aquisio, a funo de servidor DNS no Windows Server 2008 inclui uma consulta global lista de bloqueio que podem ajudar a impedir que um usurio mal-intenci onado assumir nomes DNS que tm especial

significncia. ----------------------- Pgina 121----------- -----------Configurao e Soluo de problemas DNS 3-9

Melhorias de DNS para Windows Server 2008 R2

Windows Server 2008 R2 introduz algumas funcionalidades adicionais sobre os recu rsos que so adicionados na Windows Server 2008.

DNS Security Extensions

Windows Server 2008 R2 agora suportam zonas DNS Security Extensions (DNSSEC), is so significa que voc pode assinar e receber DNSSEC-assinados zonas para fornecer segurana adicional para a sua infra-estrutura de resoluo de nomes.

DNSSEC so extenses para o protocolo DNS, definido no RFC 4033, 4034 e 4035; essas extenses adicionar autoridade de origem, integridade de dados e negao autenticada de existncia de DNS. Estas alteraes permitem o seu Zonas DNS e os registros contidos nos mesmos para ser assinado digitalmente.

Devoluo DNS

Com o DNS devoluo, um resolvedor DNS, como o Internet Explorer, acrescenta o sufix o pai para um DNS incompletos totalmente qualificado nome de domnio (FQDN). Por exemplo, se o u tilizador entrou em http://server1 a barra de endereos do Internet Explorer, assumindo o sufixo primrio do cliente qu e est executando Internet Explorer sales.contoso.com, este anexado. Se a resoluo for bem sucedida, ento o pai de Contoso.com acrescentada e assim por diante.

Devoluo o comportamento no AD DS que permite aos computadores clientes que so membr os de um domnio filho acessar recursos no domnio principal, sem a necessidade de fornecer explicitament e o FQDN do recurso.

O cliente resolvedor DNS no Windows Server 2008 R2 e Windows 7 introduz nveis de desconcentrao; estes

fornecer controle do rtulo onde devoluo pra. Anteriormente, o nvel de descentralizao e etiva tinha dois anos. Agora voc pode especificar o nvel de descentralizao, permitindo um controle preciso da fronteira organizacional o seu domnio AD DS quando os clientes tentam resolver os recursos dentro do domnio . ----------------------- Pgina 122----------- -----------3-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

DNS Cache de bloqueio

Quando voc ativar o bloqueio de cache, o servidor DNS no permitir que os registros armazenados em cache para ser substitudo para o durao do tempo de vida (TTL). Bloqueio Cache fornece segurana melhorada c ontra o envenenamento de cache ataques.

DNS pool de soquete

Em vez de usar uma porta de origem pr-determinado (TCP ou UDP 53) ao em itir consultas, o servidor DNS usa um nmero de porta aleatrio seleccionado a partir de uma piscina, conheci do como o pool de encaixe. O pool de soquete faz cache de envenenamento ataca mais difcil, porque um invasor deve adivinhar corre tamente a porta de origem de uma consulta DNS para alm de um ID de transaco aleatria de executar com sucesso um ataque.

Nome da tabela Poltica de Resoluo

Para separar o trfego de Internet de trfego da intranet para o DirectAcc ess, Windows Server 2008 R2 e Windows 7 incluir o nome da Resoluo Poltica Tabela (NRPT), um recurso que permite q ue os servidores DNS a serem definidos para cada DNS namespace, ao invs de para cada interface. O NRPT armazena uma list a de regras. Cada regra define um DNS namespace e configurao que descrevem o comportamento do cliente DNS para esse domnio. Quando um Cliente DirectAccess est na Internet, cada pedido de consulta de nome c omparada com as regras de namespace armazenada no NRPT. Se for encontrada uma correspondncia, o pedido proc essado de acordo com as configuraes no NRPT governar. ----------------------- Pgina 123----------- -----------Configurao e Soluo de problemas DNS 3-11

Demonstrao: Como instalar a funo de servidor DNS

Esta demonstrao mostra como instalar a funo Servidor DNS. ----------------------- Pgina 124----------- -----------3-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Consideraes sobre a implantao da funo de servidor DNS

Quando voc est planejando para implantar DNS, h vrias consideraes que voc de e rever:

Quantas zonas DNS voc vai configurar no servidor e quantos registros de DNS sero cada zona Localizar Normalmente, as zonas de mapear na base de um-para-um c om domnios em seu espao de nome. Quando voc

tem um grande nmero de registros, ele poderia fazer mais sentido p ara quebrar os registros para baixo em vrios zonas.

Quantos clientes DNS estar se comunicando com o servidor no qual voc con figurar a funo de DNS? Os resolvedores mais cliente existem, o mais carga colocada no se rvidor. Quando voc antecipa carga adicional, considerar a implantao de servidores de DNS adicio nais.

Onde voc vai colocar os servidores DNS? Por exemplo, voc vai colocar os servidores de forma centralizada ou faz mais sentido para localizar os servidores DNS nas filiais? Se h po ucos clientes em uma filial, a maioria Solicitaes de DNS poderia ser satisfeita atravs de um servidor centr al do DNS ou pela implementao de um cache apenas servidor. Um grande nmero de usurios em um galho pode se beneficiar de um servidor DNS local com adequada dados da zona.

Como voc responderia s perguntas anteriores ir determinar quantos servido res DNS voc deve implantar e onde voc deve coloc-los.

Integrao do Directrio Ativo

O Windows Server 2008 DNS papel pode armazenar os dados de DNS duas ma neiras diferentes, como mostrado na a tabela a seguir:

Descrio mtodo de armazenamento de

Arquivo de texto A funo de servidor DNS armazena as entradas DNS em um arquivo de texto, que voc pode editar com um

Editor de textos

Active Directory A funo de servidor DNS armazena as entradas DNS no ba nco de dados do Active Directory, o que banco de dados pode ser replicada para outros controladores de domnio, mesmo que no execute o ----------------------- Pgina 125----------- -----------Configurao e Soluo de problemas DNS 3-13

Descrio mtodo de armazenamento de

Windows Server 2008 DNS papel. Voc no pode usar um editor de texto para editar os dados de DNS que Ativo Directory armazena.

Zonas integradas ao Active Directory so mais fceis de gerir do que as tradicionais zonas baseadas em texto, e so mais seguro A replicao de dados da zona ocorre como parte da replicao do Active Directory .

Posicionamento do servidor DNS

Normalmente, voc ir implantar a funo de DNS em todos os controladores de domnio. Se v oc decidir implementar algum outro estratgia, os seguintes pontos em mente:

Como os computadores clientes resolver nomes no caso de seu servidor DNS habitua l tornando-se indisponvel

Qual ser o impacto no trfego da rede seja se os computadores cliente comear a usar um servidor DNS alternativo, talvez localizado remotamente?

Como que vai implementar transferncias de zona? Zonas integradas ao Active Direct ory usa o Active Directory replicao para transferir a zona para todos os outros controladores de domnio. Se voc no implementar Active Directory zonas integradas, voc deve planejar o mecanismo de transferncia de zona mesmo . ----------------------- Pgina 126----------- -----------3-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2 Configurando a funo de servidor DNS

A infra-estrutura DNS a base para resoluo de nomes na Internet e no Windo ws Server 2008 Ativo

Directory domnios. Esta lio fornece orientaes e informaes sobre o que neces para configurar o Funo de servidor DNS, e explica as funes bsicas de um servidor DNS.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Listar os componentes de uma soluo de DNS.

Descrever registros de recursos DNS.

Explique como as dicas de raiz trabalhar.

Descrever como vrios tipos de trabalho de consulta DNS.

Explique como funciona o encaminhamento de encaminhamento e condicional .

Explicar o funcionamento do DNS de cache do servidor.

Configurar as propriedades de funo de servidor DNS. ----------------------- Pgina 127----------- -----------Con figurao e Soluo de problemas DNS 3-15

Quais so os componentes de uma soluo DNS?

Os componentes de uma soluo DNS incluem servidores DNS, servidores de DNS na Inter net, e resolvedores DNS, ou clientes.

Servidor DNS

Um servidor DNS responde recursivo e iterativo consultas DNS. Os servidores DNS tambm podem hospedar um ou mais zonas de um domnio particular. Zonas de conter os registros de recursos diferentes. Os ser vidores DNS tambm pode armazenar em cache pesquisas para salvar tempo para perguntas comuns.

Servidores DNS na Internet

Servidores DNS na Internet so acessveis publicamente. Eles hospedar informaes sobre a zona do pblico e do servidor raiz, e outros TLDs comuns, tais como.COM,. NET,..edu

DNS resolvedores

O resolvedor DNS gera e envia iterativo ou consultas recursivas para o servidor DNS. Um resolvedor DNS pode

ser qualquer computador que realiza uma pesquisa DNS que requer interao com o serv idor DNS. Servidores DNS tambm pode emitir pedidos de DNS para outros servidores DNS. ----------------------- Pgina 128----------- -----------3-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Registros de recursos DNS

O arquivo de zona DNS armazena registros de recursos. Os registros de recursos especificar um tipo de recurso e do endereo IP para localizar o recurso. O registro de recurso mais comum um registro de r ecurso. Este um registro simples que resolve um nome de host para um endereo IP. O host pode ser uma est ao de trabalho, servidor ou outra rede dispositivo, como um roteador.

Os registros de recursos tambm ajudar a encontrar recursos para um dete rminado domnio. Por exemplo, quando um servidor Exchange precisa encontrar o servidor que responsvel pela entrega de correio par a outro domnio, ele ir solicitar o Mail Exchanger (MX) para esse domnio. Isto aponta recorde para o registro "A " do host que est executando o Simple Mail Transfer Protocol (SMTP).

Os registros de recursos tambm pode conter atributos personalizados. Re gistros MX, por exemplo, tem um atributo de preferncia, que til se uma organizao tem vrios servidores de correio. Isto ir informar o servidor de envio que o correio servidor a organizao prefere receber. Registros SRV tambm contm informaes so bre em qual porta o servio est escutando eo protocolo que voc deve usar para se comunicar c om o servio.

A tabela a seguir descreve os registros de recursos mais comuns.

Registros de recursos DNS Descrio

SOA incio de autoridade (SOA) registro de recurso. Identifica o serv idor de nomes primrio para uma zona de DNS.

Um endereo de host (A) registro de recurso. O registro principal que resolve um nome de host para um endereo IPv4.

Canonical nome CNAME (CNAME) recurso. Um tipo de registro de alias que mapeia um nome para outro (por exemplo, www .microsoft.com um CNAME do Um registro microsoft.com).

MX Mail Exchanger registro de recurso (MX). Usado para especificar um servidor de e-mail para um domnio particular.

(continuao) ----------------------- Pgina 129----------- -----------Configurao e Soluo de problemas DNS 3-17

Registros de recursos DNS Descrio

SRV Localizador de servio registro de recurso (SRV). Identifica um servio que est d isponvel em o domnio. O Active Directory usa esses registros extensivamente.

NS Nome do Servidor registro de recurso (NS). Identifica todos os servidores de nomes em um

domnio.

AAAA O registro principal que resolve um nome de host para um endereo IPv6.

Ponteiro registro de recurso PTR (PTR). Usado para olhar para cima e mapear um e ndereo IP para um nome de domnio. A zona de pesquisa inversa armaze na os nomes. ----------------------- Pgina 130----------- -----------3-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quais so as dicas de raiz?

As dicas de raiz so a lista dos 13 servidores na Internet que o seu se rvidor DNS usa, se no puder resolver um DNS consulta usando um encaminhador DNS ou seu prprio cache. As dicas de raiz so os maiores servidores no DNS hierarquia e pode fornecer as informaes necessrias para um servidor DNS para realizar uma consulta iterativa para o camada mais baixa prxima do namespace DNS.

Servidores raiz so instalados automaticamente quando voc instalar a funo de DNS. Eles so copiados a partir do Cache.dns arquivo que os arquivos de configurao do DNS incluem papel.

Voc tambm pode adicionar as dicas de raiz para um servidor DNS para apoi ar pesquisas para no contguas domnios dentro de uma floresta.

Quando um servidor DNS se comunica com um servidor de dicas de raiz, e le usa apenas uma consulta iterativa. Se voc selecionar a No usar recursividade para este domnio opo, o servidor no ser capaz de real izar consultas sobre a dicas de raiz. Se voc configurar o servidor usando um encaminhador, el e tentar enviar uma consulta recursiva para a sua

encaminhamento de servidor. Se o servidor de encaminhamento no responde r a esta consulta, o servidor ir responder que o host no pde ser encontrado.

importante compreender que a recursividade no servidor DNS e algumas consultas recursivas no so os mesmos fcil. Recurso em um servidor significa que o servidor ir utilizar suas di cas de raiz e tentar resolver uma consulta DNS. Os prximos tpicos iro discutir iterativo e consultas recursivas em mais d etalhes. ----------------------- Pgina 131----------- -----------Configurao e Soluo de problemas DNS 3-19

Quais so as consultas de DNS?

Uma consulta DNS o mtodo que voc usar para solicitar a resoluo de nomes em que uma c onsulta enviada para um servidor DNS Servidor Existem dois tipos de respostas a consultas DNS: autoritrio e no autoritri o.

importante notar que os servidores DNS tambm pode atuar como resolvedores DNS e e nviar consultas DNS para DNS outros s=

Um servidor DNS pode ser autorizada ou no autoritrio para namespace da consulta. U m servidor DNS autoritativa quando recebe uma cpia primria ou secundria de uma zona DNS. Os dois t ipos de consultas so:

Uma consulta autoritrio aquele para o qual o servidor pode retornar uma resposta que ele sabe correto porque o pedido dirigido para o servidor de autoridade que gere o domnio.

Um servidor de DNS que contm em seu cache do domnio que est sendo solicitado respon

de a uma no-autorizada consulta usando encaminhadores ou dicas de raiz. No entanto, a resposta for necida pode no ser preciso porque s o servidor DNS autoritativo para o domnio pode emitir essa informao.

Se o servidor DNS autoritativo para namespace da consulta, o servidor DNS ir veri ficar a zona e, em seguida, >> Faa um das opes seguintes:

Devolver o endereo solicitado.

Retorno de autoridade "No, esse nome no existe."

Nota: Uma resposta confivel s pode ser dada pelo servidor com autoridade di reta para o consultado nome.

Se o servidor DNS local no tem autoridade para namespace da consulta, o servidor DNS ir fazer um dos seguinte:

Verifique se o seu cache e retornar uma resposta em cache.

Encaminhar a consulta insolvel para um servidor especfico chamado de um encaminhad or. ----------------------- Pgina 132----------- -----------3-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Use bem conhecidos endereos dos servidores raiz mltiplas para encontrar um servidor DNS com autoridade para resolver o consulta. Este processo utiliza as dicas de raiz.

Consultas recursivas

Uma consulta recursiva pode ter dois resultados possveis:

Ele retorna o endereo IP do host solicitado.

O servidor DNS no pode resolver um endereo IP.

Por razes de segurana, que s vezes necessrio desativar consultas recursiva s em um servidor DNS. Ao faz-lo, o servidor DNS em questo no tentar encaminhar suas solicitaes de DNS para o utro servidor. Isto pode ser til quando voc no quer que um determinado servidor DNS comunicar fora da sua rede local.

Consultas iterativas

Iterativo consultas fornecem um mecanismo para acessar informaes de nome de domnio que reside em toda a DNS sistema, e permitir que servidores de forma rpida e eficiente resoluo de nomes em vrios servidores.

Quando um servidor DNS recebe uma solicitao que no se pode responder usan do a sua informao local ou o seu cache pesquisas, faz o mesmo pedido para outro servidor DNS usando uma consu lta iterativa.

Quando um servidor DNS recebe uma consulta iterativa, pode responder c om o endereo IP para o domnio nome (se conhecido), ou com um encaminhamento para os servidores DNS q ue so responsveis para o domnio que est sendo consultado. ----------------------- Pgina 133----------- -----------Configurao e Soluo de problemas DNS 3-21

O que est encaminhando?

Um encaminhador um servidor de rede que encaminha consultas DNS DNS para nomes D NS externos para servidores DNS fora dessa rede. Voc tambm pode usar encaminhadores condicionais para consultas pa ra a frente de acordo com a especfica nomes de domnio.

A rede de servidores DNS designado um encaminhador quando outros servidores DNS na rede para a frente a consultas que eles no podem resolver localmente. Usando um transitrio, voc pode ger enciar a resoluo de nomes para nomes fora da rede, tais como nomes na Internet, e melhorar a eficincia da resoluo de nom es para computadores da sua rede.

O servidor que est encaminhando pedidos na rede deve ser capaz de comunicar com o servidor DNS que est localizado na Internet. Isto quer dizer que voc configure-o para encaminha r solicitaes de DNS para outro servidor ou ele usa as dicas de raiz para se comunicar.

(Melhor Prtica)

Use uma central de encaminhamento do servidor DNS para resoluo de nomes Internet. Isso pode melhorar o desempenho, simplificar soluo de problemas, e uma prtica recomendada de segurana. Voc pode isolar o encaminha mento do servidor DNS em um permetro rede, o que garante que nenhum servidor dentro da rede est se comunicando diretam ente com a Internet.

Encaminhamento condicional

Um encaminhador condicional um servidor DNS em uma rede que encaminha consultas DNS de acordo com a consulta do Nome de domnio DNS.

Por exemplo, voc pode configurar um servidor DNS para encaminhar todas as consult as que recebe de nomes que terminem com corp.contoso.com para o endereo IP de um servidor DNS especfico ou para os endereos IP de DNS mltiplos s=

Isto pode ser til quando voc tem vrios espaos de nomes DNS em uma floresta. ----------------------- Pgina 134----------- -----------3-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Encaminhamento condicional no Windows Server 2008 R2

No Windows Server 2008 R2, a configurao de encaminhadores condicional fo i movido para um n na DNS console de configurao. Voc tambm pode replicar estas informaes para outr os servidores DNS atravs do Active Integrao Directory.

(Melhor Prtica)

Usar encaminhadores condicionais se voc tiver vrios namespaces internos. Isso proporciona uma resoluo mais rpida nome. ----------------------- Pgina 135----------- -----------Configurao e Soluo de problemas DNS 3-23

Como DNS Server Caching funciona

Cache DNS aumenta o desempenho do sistema da organizao de DNS, diminuindo o tempo que leva para fornecer pesquisas de DNS.

Quando um servidor DNS resolve um nome de DNS com xito, ele adiciona o nome de se u cache. Com o tempo, isso cria um cache de nomes de domnio e seus endereos IP associados para os domnios mais comu ns que o usos organizao ou acessos.

Nota: O tempo padro para o cache DNS dados de uma hora. Voc pode configurar esta mudando o registro SOA para a zona DNS apropriado.

Um servidor caching-only no vai hospedar todos os dados da zona DNS, que s respond e a consultas de clientes DNS. Este o tipo ideal de servidor DNS para usar como um encaminhador.

O cache do cliente DNS um cache de DNS que o DNS lojas de servio de cliente do co mputador local. Para ilustrar o cache do cliente, execute o comando ipconfig / displaydns no prompt de comando . Isto mostra o cache do cliente DNS local. Se voc precisar limpar o cache local, voc pode usar ip config / flushdns. ----------------------- Pgina 136----------- -----------3-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar a funo de servidor DNS

Esta demonstrao mostra como:

Configurar as propriedades do servidor DNS.

Configurar o encaminhamento condicional.

Limpe o cache de DNS.

----------------------- Pgina 137----------- -----------Configurao e Soluo de problemas DNS 3-25

Lio 3 Configurando zonas DNS

Zonas DNS so um conceito importante em infra-estrutura DNS, porque eles permitem domnios DNS para ser logicamente separados e geridos. Esta lio fornece a base para a compreenso sobre como as zonas referem a domnios de DNS e informao sobre os diferentes tipos de zonas de DNS que esto disponveis no Windows Server 2008 R2 papel DNS.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explique o que uma zona DNS.

Explicar os vrios tipos de zonas DNS disponveis no Windows Server 2008.

Explique o propsito de avanar e zonas de pesquisa inversa.

Explicar o objetivo de zonas de stub.

Criar e configurar zonas DNS.

Explique como DNS delegao de zona usado. ----------------------- Pgina 138----------- ------------

3-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que uma zona de DNS?

Uma zona de DNS hospeda a totalidade ou uma poro de um domnio e seus subd omnios. O slide ilustra como subdomnios pode pertencer mesma zona como seus pais ou ser delegada a outra zona. O Microsoft.com domnio separado em duas zonas. A primeira zona hospeda www.microsoft.co m e ftp.microsoft.com. Example.microsoft.com delegada a uma nova zona, que hospeda o example. microsoft.com e sua subdomnios ftp.example.microsoft.com e www.example.microsoft.com.

Importante A zona que hospeda uma raiz do domnio (Microsoft.com) deve delegar a subdomnio (example.microsoft.com) para a segunda zona. Se isto no ocorre, example.microsoft.com ser tratado como se fosse parte da primeira zona.

Dados de zona pode ser replicada para mais de um servidor. Isto adicio na redundncia para uma zona de porque o informaes necessrias para encontrar recursos na zona de agora existe em d ois servidores. O nvel de redundncia que necessrio uma razo para criar zonas. Se voc tem uma zona que hospeda os r egistros de recursos crticos do servidor, provvel que esta zona ter um nvel mais elevado de redundncia do que uma zo na em que os dispositivos no crticas so definido.

Muitas empresas criam uma zona de DNS separado para estaes de trabalho e outra para servidores. Administradores ento pode escolher diferentes estratgias na definio de como as zonas sero r eplicadas.

Caractersticas de uma Zona DNS

Zona de dados mantida num servidor de DNS e armazenado em uma de duas maneiras:

Em um arquivo de zona plana que contm listas de mapeamento

Integrado ao Active Directory

Um servidor DNS autoritativo para uma zona se hospeda os registros de recursos para os nomes e endereos que os clientes solicitar no arquivo de zona. ----------------------- Pgina 139----------- -----------Confi gurao e Soluo de problemas DNS 3-27

Quais so os tipos de zona de DNS?

Os quatro tipos de zona de DNS so:

Primrios

Secundrio

Stub

Active Directory integrado

Zona Primria

Quando uma zona que alguns hosts do servidor DNS uma zona primria, o servidor DNS a fonte primria para

informao sobre esta zona e armazena a cpia mestre dos dados de zona em um arquivo l ocal ou no AD DS. Quando o Servidor DNS armazena a zona em um arquivo, o arquivo de zona primria nomeado zon e_name.dns por padro e localizado na pasta% windir% \ System32 \ Dns do servidor. Quando a zona no armaz enado no Active Directory, este o servidor DNS s que tem uma cpia gravvel do banco de dados.

Zona Secundria

Quando uma zona que alguns hosts do servidor DNS uma zona secundria, o servidor D NS uma fonte secundria para a informaes de zona. A zona neste servidor deve ser obtido a partir de outro servido r DNS remoto que tambm hospeda a zona. Este servidor DNS deve ter acesso rede para o servidor DNS remot o para receber atualizao informaes de zona. Porque uma zona secundria uma cpia de uma zona primria que outros hosts do servidor, ele no pode ser armazenada em AD DS. As zonas secundrias pode ser til se voc replicao de ados de no-Windows Zonas DNS.

Zona Stub

Windows Server 2003 introduziu as zonas de stub, que resolver vrios problemas com espaos de nomes grandes DNS e as florestas de rvores mltiplas. A floresta de mltipla uma floresta do Active Dir ectory que contm dois diferentes nomes de domnio. ----------------------- Pgina 140----------- -----------3-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Zona integrada ao Active Directory

Se o Active Directory armazena a zona DNS pode tirar vantagem do mode

lo de replicao de vrios mestres para replicar a zona primria. Isso permite que voc edite os dados da zona em mais de um servidor DNS. Janelas Server 2008 introduziu um novo conceito chamado de controlador de domni o somente leitura. Integrado ao Active Directory dados de zona podem ser replicadas para os controladores de domnio, mes mo que o papel de DNS no instalado no domnio Controle Se o servidor for um controlador de domnio somente leitura, um processo local no possvel gravar os dados. ----------------------- Pgina 141----------- -----------C onfigurao e Soluo de problemas DNS 3-29

Quais so frente e Zonas de pesquisa inversa?

As zonas podem ser frente ou para trs, s vezes conhecido como zonas inversas.

Zona de pesquisa direta

A zona de pesquisa direta resolve nomes de anfitrio para endereos IP e hospeda os registros de recursos comuns: A, CNAMES, SRV, MX, SOA e NS.

Zona de pesquisa inversa

A zona de pesquisa inversa resolve um endereo IP a um nome de domnio e os anfitries SOA, NS e PTR.

A funes zona inversa da mesma maneira como uma zona para a frente, mas o endereo IP a parte da consulta enquanto o nome do host a informao retornada. Zonas reversas no so sempre configurad o, mas voc deve configur-los para reduzir o aviso e mensagens de erro. Muitos protocolos padro da Internet contam com reverso zona de pesquisa de dados para validar as informaes de fuso para a frente. Por exe

mplo, se a pesquisa indica que a frente training.contoso.com resolvido para 192.168.2.45, voc pode usar uma pesquisa inve rsa para confirmar que 192.168.2.45 est associado com training.contoso.com.

Ter uma zona reversa importante se voc tiver aplicativos que dependem de olhar pa ra cima anfitries pelo seu IP Endereos Muitas aplicaes ir registrar esta informao em logs de segurana ou evento. Se oc ver suspeito atividade de um determinado endereo IP, voc pode resolver o host usando as informaes de zona reversa.

Gateways de segurana de e-mail Muitas usar pesquisas inversas para validar que o endereo IP que est enviando mensagens est associada com um domnio. ----------------------- Pgina 142----------- -----------3-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que so zonas de stub?

Uma zona de stub uma cpia replicada de uma zona que contm apenas os regi stros de recursos necessrios para identificar que zona da autoridade servidores DNS. Uma zona de stub resolve nomes entre espaos para nome de DNS separados, que pode ser necessria quando uma fuso corporativa exige que os servidor es DNS de dois DNS separados namespaces resolver nomes para clientes em ambos os namespaces.

Uma zona de topo consiste no seguinte:

A zona delegada do registro de recurso SOA, registros de recursos NS e registros de recursos.

O endereo IP de um ou mais servidores mestres que voc pode usar para atu alizar a zona de stub.

Os servidores mestres de uma zona de stub so um ou mais servidores DNS que so autoritrios para a zona infantil, Geralmente o servidor DNS que hospeda a zona primria para o nome de domn io delegado.

Resoluo Zona Stub

Quando um resolvedor DNS executa uma operao de consulta recursiva no ser vidor DNS que hospeda uma zona de stub, o servidor DNS usa os registros de recursos na zona de stub para resol ver a consulta. O servidor DNS envia uma consulta iterativa para os servidores de DNS autoritrios que os registr os da zona de stub de recursos NS especificar como se estavam usando registros de recursos NS em seu cache. Se o servidor DN S no pode localizar os servidores DNS autoritativos em sua zona de stub, o servidor DNS que hospeda a zona de stub tenta recu rso padro usando as dicas de raiz.

O servidor DNS ir armazenar os registros de recursos que recebe dos ser vidores de DNS autoritrios que um esboo zona em suas listas de cache, mas no vai armazenar esses registros de r ecursos na prpria zona de stub. Somente o SOA, NS, e cola registros de recursos retornados em resposta consulta so armazen ados na zona de stub. O recurso registros de que as lojas de cache so armazenados de acordo com a Timeto-Live Value (TTL) em cada recurso Registros Registros SOA, NS e cola um recurso, que no so escritos para c ache, expiram de acordo com a intervalo de expirao que o registro da zona de stub SOA especifica. Dura nte a criao da zona de stub, o registro SOA criado. Atualiza o registro SOA ocorrer durante as transferncias para a zona de stub da zona, primrio original.

Se a consulta foi uma consulta iterativa, o servidor DNS retorna uma r eferncia contendo os servidores que o stub zona especifica.

----------------------- Pgina 143----------- -----------Configurao e Soluo de problemas DNS 3-31

A comunicao entre servidores de hospedagem DNS pai e zonas para crianas

Um servidor DNS que os delegados de um domnio a uma zona de criana em um servidor DNS diferente tomar conhecimento da nova servidores DNS autoritativos para a zona filho registros somente quando recursos para eles so adicionados ao pai zona que os hosts do servidor DNS. Este um processo manual e requer que os admin istradores para as diferentes Servidores DNS comunicar com freqncia. Com zonas de stub, um servidor DNS que hosp eda uma zona de stub para um dos seus domnios delegados pode obter atualizaes dos servidores de DNS autoritrios para a zon a filho quando o stub regio atualizado. A atualizao realizada a partir do servidor DNS que hospeda a zona de stub, eo administrador para o servidor DNS que hospeda a zona filho no precisa de ser cont actado.

Contrastantes zonas de Stub e encaminhadores condicionais

Pode haver alguma confuso sobre quando usar encaminhadores condicionais, em vez d e zonas de stub porque ambos os recursos DNS permite que um servidor DNS para responder a uma consulta com um encaminhamento para, ou atravs do envio de uma servidor DNS diferente. No entanto, estas definies tm finalidades diferentes:

A configurao de encaminhador condicional configura o servidor DNS para encaminhar uma consulta que recebe para um servidor DNS servidor, dependendo do nome de DNS que contm a consulta.

Uma zona de stub mantm o servidor DNS que hospeda uma zona pai ciente de todos os servidores DNS que so autoritria para uma zona infantil.

----------------------- Pgina 144----------- -----------3-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como criar Zonas

Esta demonstrao mostra como:

Criar uma zona de pesquisa inversa.

Criar uma zona de pesquisa direta. ----------------------- Pgina 145----------- -----------C onfigurao e Soluo de problemas DNS 3-33

Delegao Zona DNS

DNS um sistema hierrquico, e delegao de zona conecta as camadas DNS juntos. A deleg ao de zona aponta para o prximo nvel hierrquico para baixo e identifica o nome dos servidores que so responsveis pela baixa domnio de nvel.

Ao decidir se a dividir o espao de nomes DNS para criar zonas adicionais, conside re o seguinte razes para usar zonas adicionais:

Voc precisa delegar o gerenciamento de parte do namespace DNS para outro local de organizao ou departamento.

Voc precisa dividir uma zona grande em zonas menores para que voc possa distribuir as cargas de trfego entre as

vrios servidores, o que melhora o desempenho DNS de resoluo de nome e cria uma mais tolerante a falhas Ambiente DNS.

necessrio ampliar o espao, adicionando diversos subdomnios de uma vez para acomodar o abertura de uma nova filial ou site. ----------------------- Pgina 146----------- -----------3-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 4 Configurando transferncias de zona DNS

Transferncias de zona DNS so como a infra-estrutura DNS move informaes de z ona DNS de um servidor para outro. Esta lio abrange os diferentes mtodos que a funo de servidor DNS usa quando a transferncia de zonas.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como transferncias de zona DNS funciona.

Configurar a segurana de transferncia de zona.

Criar e configurar zonas DNS. ----------------------- Pgina 147----------- -----------Configurao e Soluo de problemas DNS 3-35

O que uma transferncia de zona DNS?

Uma transferncia de zona ocorre quando voc transferir a zona DNS que est em um serv idor para outro servidor DNS.

As transferncias de zona sincronizar zonas do servidor DNS primrio e secundrio. Ist o como DNS constri a sua resilincia na Internet. importante que as zonas DNS permanecer atualizado sobre servidores primrio e secundrio. Discrepncias em zonas primrias e secundrias podem causar falhas no servio e nomes de host que so resolvidos incorretamente.

Uma transferncia de zona plena ocorre quando voc copiar o zona inteira a partir de um servidor DNS para outro. Uma zona cheia de transferncia de conhecido como um Transferncia de Zona Todos (AXFR).

Um transferncia de zona incremental ocorre quando h uma atualizao para o servidor DN S e apenas o recurso registros que foram alterados so replicados para outro servidor. Esta uma transfe rncia de zona incremental (IXFR).

Servidores DNS do Windows tambm realizar "transferncias rpidas", que um tipo de tra nsferncia de zona que usa compresso e envia os registros de recursos mltiplos em cada transmisso.

Nem todas as implementaes de servidor DNS suportar transferncias de zona incrementa is e rpido. Ao integrar um Windows 2008 servidor DNS com um Berkeley Internet Name Domain (BIND) DNS do ser vidor, voc deve garantir que os recursos que voc precisa so suportados pela verso BIND que est instalado.

A tabela a seguir lista os recursos que vrios servidores DNS suportam.

DNS Server completo Zone (AXFR) Incremental Zone (IXFR) Transferncia Rpido

BIND Com mais de 4.9.4 Suportado No suportado No suportado

BIND 4.9.4 - 8,1 Suportado No Suportado Suportado

BIND 8.2 Suportado Suportado Suportado

Windows 2000 SP3 Apoiado Suportado

Windows 2003 (R2) Suportado Suportado Suportado ----------------------- Pgina 148----------- -----------3-36 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Servidor DNS total Zone (AXFR) de zona incremental (IXFR) Transfernci a rpida

Windows 2008 e R2 Suportado Suportado Suportado

Zonas do Active Directory Integrados replicar usando a replicao multimas ter. Isto significa que qualquer padro controlador de domnio que tambm tem a funo de DNS pode atualizar o DNS inf ormaes de zona, que ento replica para todos os servidores DNS que hospedam o zona de DNS.

DNS Notify

DNS de notificao uma atualizao para o original especificao do protocolo DNS que permite a notificao ao secundrio servidores quando as mudanas de fuso ocorrer; Isso til em um ambiente se nsvel ao tempo, onde a preciso dos dados importante.

----------------------- Pgina 149----------- -----------Configurando e Soluo de problemas DNS 3-37

Segurana Transferncia Configurando Zona

Informaes de zona fornece dados organizacionais, assim que voc deve tomar precaues pa ra garantir que seguro a partir de acesso malicioso e que no pode ser sobrescrito com dados ruins (conhecido como en venenamento de DNS). Uma maneira em qual voc pode proteger a infra-estrutura DNS o de garantir as transferncias de zon a e usar dinmica segura atualizaes.

Na guia Transferncias de Zona na caixa de dilogo Zona Propriedades, voc pode especi ficar a lista de DNS permitidos s= Voc tambm pode usar essas opes para transferncia de zona disallow. Por padro, trans ferncias de zona esto desligados.

Enquanto a opo que especifica os servidores que podem solicitar os dados da zona f ornece segurana ao limitar o destinatrios de dados,-lo Membro no assegura de que os dados enquanto ele est sendo transmitida. Se a informao de zona altamente confidencial, recomendamos que voc usar um Internet Protocol Security poltica de ( IPsec) para fixar a transmisso ou replicar os dados de fuso ao longo de um privada tnel rede virtual ( VPN). Isso impede que packet sniffing para determinar a informao na transmisso de dados.

Usando Active Directory-zonas integradas replica os dados da zona como parte de repeties AD normais de DS. Portanto, se DNS trfego zona em Active Directory-zonas integradas precisa ser seg uro, ele tambm necessrio para garantir os AD dados de replicao DS. ----------------------- Pgina 150----------- -----------3-38 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008

Network

Demonstrao: How to Configurar Transfers DNS Zona

Esta demonstrao mostra como:

Habilitar transferncias de zona DNS.

Atualizar a zona secundria do servidor mestre.

Atualize o zona primria e verificar a alterao sobre a zona secundria. ----------------------- Pgina 151----------- -----------Configurando e Soluo de problemas DNS 3-39

Lio 5 Gerenciar e solucionar problemas de DNS

DNS um servio crucial na a infra-estrutura Active Directory. Quando o se rvio DNS experimenta problemas, -lo importante saber como para solucionar problemas de-las e identifica r as questes comuns que podem ocorrer em um Infra-estrutura DNS. Esta lio abrange os problemas comuns que ocorrem em DNS, as reas comuns para reunindo DNS informaes, e as ferramentas que voc pode usar para solucionar problemas problemas.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explicar como TTL, envelhecimento, e ajuda scavenging para gerenciar re gistros de DNS.

Manage TTL, envelhecimento, e scavenging para DNS registros.

Identificar problemas com DNS usando ferramentas de DNS.

Solucionar problemas DNS usando ferramentas de DNS.

Monitor DNS usando o Event Log DNS e Logging Debug. ----------------------- Pgina 152----------- -----------3-40 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

O Que Time to Live, Envelhecimento, e Scavenging?

Time to Live (TTL), envelhecimento, e scavenging ajudar a gerenciar re gistros de recursos DNS em os arquivos de zona. Os arquivos de zona pode mudar ao longo do tempo, assim l precisa de para ser uma maneira p ara gerenciar registros DNS que so atualizados ou que so no vlido porque os anfitries que eles representam no so mais na rede.

A tabela a seguir descreve as ferramentas DNS que ajudam a manter um b anco de dados DNS.

Descrio Ferramenta de

Time to Live Indica como longo um registro DNS permanece vlida. O TT L pode variar dependendo de o tipo (TTL) de DNS registro de recurso. Por exemplo, uma registro MX tem uma TTL muito mais tempo do que uma de acolhimento recorde para um laptop.

Aging Ocorre quando registros inseridos em o servidor DNS atingem o seu de expirao e so

removidos. Isso mantm o de banco de dados zona de precisas. Durante as operaes de normais, o envelhecimento deve tomar cuidado de registos de recursos obsole tos de DNS.

Scavenging Executa DNS registro de recurso servidor grooming para r egistros antigos em DNS. Se o recurso registros no tenham sido envelhecido, um administr ador pode scavenge o banco de dados zona para stale registros para forar uma limpeza de banco de dados .

Se for deixado no gerenciado, o presena de registos de recursos obsoleto s em dados de zona pode causar problemas. DE exemplo:

Se um grande nmero de registos de recursos obsoletos permanecer em zona s de de servidor, eles eventualmente pode usar at servidor espao em disco e causar transferncias de zona desnecessariamente lo ngos.

Um servidor de DNS que est carregando zonas com registos de recursos ob soletos pode usar informaes desatualizadas para responder consultas de cliente, o que poderia causam os computado res cliente para experimentar resoluo de nome ou problemas de conectividade de na rede.

A acumulao de registos de recursos obsoletos sobre o servidor DNS pode d egradar o seu desempenho e responsividade. ----------------------- Pgina 153----------- -----------Configurando e Soluo de problemas DNS 3-41

Em alguns casos, a presena de um registro de recurso de stale em uma zona de pode ria prevenir outro computador ou

dispositivo host de usando um nome de de domnio DNS.

Para resolver estes problemas, o servio Servidor DNS tem os seguintes recursos:

stamping Time, com base em a data atual e hora em que fixado em o computador do servidor, para qualquer registros de recursos que so adicionados dinamicamente para primary-tipo zon as. Alm disso, carimbos de tempo so gravado em as zonas primrias padro onde voc activar o envelhecimento e scaveng ing.

Para registros de recursos que voc adicionar manualmente, voc usar um valor de tem po carimbo de-de zero para indicar que o envelhecimento processo no afeta esses registros e que eles pode permanecer sem limitao em dados da zona a menos que voc de outra forma mudar a sua carimbo de tempo ou exclu-los.

Envelhecimento de registros de recursos em dados locais, com base em um perodo es pecificado tempo de atualizao, para qualquer elegveis zonas.

Apenas zonas do tipo primrias que os DNS cargas de servio do Servidor so elegveis pa ra participar neste processo.

Scavenging por quaisquer registros de recursos que persistem para alm do perodo re fresh especificado.

Quando um servidor DNS executa uma operao scavenging, ele pode determinar que regi stros de recursos ter envelhecido para o ponto de de se tornar stale e remov-los a partir de dados de zona. Voc pode conf igurar servidores para executar recorrentes operaes de limpeza automaticamente, ou voc pode iniciar uma operao a limp eza imediata em o servidor.

Caution Por padro, o mecanismo de envelhecimento e scavenging para o servio Servidor DNS (desativado) Voc deve habilitar-lo somente quando todos os parmetros so compr eendidos plenamente. Caso contrrio, voc poderia configurar o servidor para excluir registros acidentalmente que no deve ser excludos. Se um registro excludo acidentalmente, no somente os usurios ir falhar para resolver consultas para que registro, mas qualquer usurio pode criar o registro e tomar posse de-lo, mesmo sobre as z onas que voc configurar para actualizao dinmica segura.

O servidor usa o contedo de cada selo de tempo de recurso de registro especfico, j untamente com o envelhecimento e outras limpeza de propriedades que voc pode ajustar ou configurar, para determinar quand o se elimina registros.

Pr-requisitos para durao e eliminao

Antes que voc possa usar os recursos de envelhecimento e limpeza de DNS, vrias con dies devem ser atendidas:

Voc deve habilitar limpeza e envelhecimento no servidor DNS e na zona. Por padro, o envelhecimento ea limpeza de registros de recursos est desativado.

Voc deve adicionar registros de recursos para as zonas dinamicamente ou manualmen te modific-los para uso no envelhecimento e eliminao de operaes.

Normalmente, apenas os registros de recursos que voc adicionar dinamicamente usan do o protocolo de atualizao dinmica de DNS esto sujeitos a envelhecimento e limpeza.

Para os registros que voc adiciona s zonas por carregar um arquivo de zona baseada em texto de outro servidor DNS ou por

adicion-las manualmente para uma zona, um carimbo de tempo de zero est definido. I sto faz com que estes registos elegveis para utilizao em envelhecimento e limpeza operaes.

Para alterar esse padro, voc pode administrar esses registros individualmente para redefinir e lhes permite usar um atual (diferente de zero) o valor carimbo de tempo. Isso permite que esses regis tros para tornar-se envelhecida e eliminado. ----------------------- Pgina 154----------- -----------3-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como Gerenciar Registros DNS

Esta demonstrao mostra como:

Configurar TTL.

Habilitar e configurar limpeza e envelhecimento. ----------------------- Pgina 155----------- -----------Configurao e Soluo de problemas DNS 3-43

Ferramentas que identificam Problemas com DNS

Problemas podem ocorrer quando voc no configurar o servidor DNS, e suas zonas e re gistros de recursos adequadamente. Quando os registros de recursos esto causando problemas, s vezes pode ser mais difc il identificar o problema, porque problemas de configurao nem sempre so bvias.

A tabela a seguir lista os problemas de configurao possveis que podem causar proble mas de DNS.

Resultado Edio

Registros falta de registros para um host no esto no servidor DNS. Eles poderia m ter sido eliminado prematuramente. Isto pode resultar em estaes de trabalho no ser capaz de ligar um com o outro.

Registros incompletos registros que esto faltando informaes necessrias para local izar o recurso de que representar pode causar clientes que solicita m o recurso de usar invlido informaes. Por exemplo, uma folha de servio que no contm uma necessrio endereo da porta um exemplo de um registro inc ompleto.

Registros configurados incorretamente que esto apontando para um endereo invlido ou ter IP invlido registra informaes em sua configurao tambm causar problemas quando o DNS clientes tentar encontrar recursos.

As ferramentas utilizadas para solucionar problemas de configurao destes e de outr os so:

Nslookup: Use este para consultar informaes de DNS. A ferramenta flexvel e pode for necer uma srie de valiosos informaes sobre o status do servidor DNS. Voc tambm pode us-lo para procurar reg istros de recursos e validar

a sua configurao. Alm disso, voc pode testar transferncias de zona, opes de segur na e registro MX resoluo.

Observao: Se voc estiver usando Nslookup em um cliente DirectAccess que tem resoluo de nomes ativa Poltica de tabela (NRPT) entradas, voc pode precisar especificar o endereo d

o servidor DNS. DE mais informaes, consulte http://go.microsoft.com/fwlink/?LinkID=214829&clci d=0x409. ----------------------- Pgina 156----------- -----------3-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Dnscmd: Gerenciar o servio de servidor DNS com esta interface de linha de comando. Esta utilidade til na arquivos batch de script para ajudar a automatizar tarefas rotine iras de gesto de DNS ou para realizar simples configurao automtica e configurao de novos servidores de DNS em sua re de.

Observao: Voc pode descobrir mais sobre a sintaxe de linha de coma ndo para Dnscmd.exe na Microsoft site: http://go.microsoft.com/fwlink/?LinkID=214830&clcid=0x409.

dnslint: Use este para diagnosticar problemas comuns de DNS. Esta linh a de comando utilitrio de configurao de diagnsticos problemas no DNS rapidamente e tambm pode gerar um relatrio em form ato HTML sobre o estado do domnio que voc est testando.

Observao: Voc pode descobrir mais sobre a sintaxe de linha de coma ndo para Dnslint.exe na Microsoft site: http://go.microsoft.com/fwlink/?LinkID=214831&clcid=0x409.

Ipconfig: Utilize este comando para visualizar e modificar os detalhes de configurao de IP que o computador usa. Este utilitrio inclui linha de comando adicionais opes que voc pode usar p ara solucionar problemas e apoiar DNS Clientes Voc pode ver o cliente cache DNS local usando o comando i pconfig / displaydns, e voc pode limpar o cache local usando ipconfig / flushdns.

Monitoramento de Servidor DNS: Na guia monitoramento de servidor DNS, voc pode configurar um teste que permite o servidor DNS para determinar se ele pode resolver simples consu ltas locais e realizar uma recursiva consultar a assegurar que o servidor pode comunicar com servidore s a montante. Voc tambm pode agendar estes testes para intervalos regularmente.

Estes so testes bsicos, mas fornecem um bom lugar para comear a solu cionar o servio DNS. que possvel. causas para um teste para falhar incluem:

O servio do servidor DNS falhou.

O servidor a montante no est disponvel na rede. ----------------------- Pgina 157----------- -----------Co nfigurao e Soluo de problemas DNS 3-45

Demonstrao: Como testar a configurao do servidor DNS

Esta demonstrao mostra como:

Captura de DNS trfego de rede.

Filtrar e analisar o trfego capturado.

Use Nslookup.exe para testar DNS. ----------------------- Pgina 158----------- -----------3-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

DNS Monitoramento Usando o log de eventos DNS

O servidor DNS tem sua prpria categoria no log de eventos. Como acontec e com qualquer log de eventos em Visualizar eventos do Windows, voc deve rever o log de eventos periodicamente.

Eventos comuns DNS

A tabela a seguir descreve eventos DNS comuns.

Descrio ID de evento

2 O servidor DNS foi iniciado. Esta mensagem geralmente aparece na inicializao quando o computador servidor ou o DNS Servio do servidor so iniciados.

3 O servidor DNS foi desligado. Esta mensagem geralmente aparece quando o computador s ervidor est desligado ou a DNS Servio do servidor est parado manualmente.

408 O servidor DNS no pde abrir o soquete para o endereo [Endereo_IP]. Verifique se esse um IP vlido endereo do computador servidor. Para corrigir o problema, voc pode fazer o seguinte: 1. Se o endereo IP especificado no vlido, remova-o da l ista de interfaces restritas para o servidor e reiniciar o servidor. 2. co endereo permitido para o Se o endereo IP especificado no mais vlido e foi o ni

DNS servidor de usar, o servidor pode no ter comead o como um resultado desta configurao erro. Para corrigir esse problema, exclua o segui nte valor do Registro e reinicie

o servidor de DNS:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Serv ices \ DNS \ Parameters \ ListenAddress 3. Se o endereo IP do computador servidor vlido, verif ique se nenhum outro aplicativo que tentaria usar a mesma porta do servidor DNS (como um outro servidor DNS aplicao) est em execuo. Por padro, o DNS usa a porta TC P 53.

(continuao) ----------------------- Pgina 159----------- -----------Configurao e Soluo de problemas DNS 3-47

Descrio ID de evento

413 O servidor DNS envia solicitaes para outros servidores DNS em uma porta difere nte da porta padro (Porta TCP 53). Este servidor DNS multihomed e foi configurado para restringir o s ervio do servidor DNS para apenas alguns de seus endereos IP configurados. Por esta razo, no h qu alquer garantia de que o DNS consultas que este servidor faz para outros servidores DNS remotos ser enviado com um dos IP endereos que foi habilitado para o servidor DNS. Isso pode evitar que respostas a consultas que esses servidores re tornam de ser recebido em a porta de DNS que o servidor est configurado para usar. Para evita r este problema, o servidor de DNS envia consultas para outros servidores DNS, usando uma arbitrria noDNS porto, ea resposta recebida, independentemente do endereo IP utilizado.

Se voc quiser limitar o servidor DNS a usar apenas sua porta DNS co nfigurada para enviar consultas para outros servidores DNS, use o console DNS para realizar uma da s seguintes alteraes propriedades de configurao do servidor na guia Interfaces: Selecione Todos os endereos IP para permitir que o servidor DNS a e scutar em todos os IP do servidor configurado Endereos Selecione Somente os seguintes endereos IP para limitar a lista de endereos IP para um IP nico servidor endereo.

414 O computador do servidor atualmente no tem nenhum sufixo DNS primrio configura do. Seu nome DNS atualmente um nome de host de rtulo nico. Por exemplo, seu nome configurado "ho st" em vez de "Host.example.microsoft.com" ou outro nome totalmente qualificado. Enquanto o servidor DNS tem apenas um nome de rtulo nico, os registr os de recursos padro criadas para a sua zonas configuradas usam apenas esse nome de rtulo nico ao mapear o n ome do host para o DNS servidor. Isso pode levar a referncias incorretas e falha quando os clientes e outros servidores DNS usam esses registros para localizar este servidor pelo nome. Em geral, voc deve reconfigurar o servidor DNS com um nome completo de computador DNS que apropriado para seu domnio ou uso de grupo de trabalho em sua rede.

708 O servidor DNS no detectou nenhuma zona de tipo primrio ou secundrio. Ele ser ex ecutado como um somente de cache do servidor, mas no ser autorizado para nenhuma zon a.

3150 O servidor DNS escreveu uma nova verso da zona [zonename] no arquivo [arquiv o]. Voc pode ver a novo nmero de verso, clicando na guia Registrar Dados. Este evento deve aparecer somente se voc configurar o servidor de D

NS para funcionar como um servidor raiz.

6527 Zone [zonename] expirou antes que pudesse obter uma transferncia de zona bem -sucedida ou atualizar a partir de um servidor mestre que est atuando como fonte para a zona. A zona foi encerrado. Essa identificao de evento pode aparecer quando voc configurar o serv idor DNS para hospedar uma cpia secundria a zona de outro servidor DNS que est atuando como sua fonte ou serv idor mestre. Verifique se esse servidor tem conectividade de rede para seu servidor principa l configurado. Se o problema persistir, considere uma ou mais das seguintes opes: 1. e ou um mestre atualizado e corrigido endereo IP para o servidor mestre mesmo . 2. expirao. ----------------------- Pgina 160----------- -----------3-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 Se a expirao da zona continua, considere ajustar o intervalo de Excluir da zona e recri-lo, especificando um servidor diferent

DNS Monitoramento Usando o log de depurao

s vezes pode ser necessrio obter mais detalhes sobre um problema de DNS que o visualizador de eventos fornece. Neste caso, voc pode usar o log de depurao para fornecer informaes adicionais.

As seguintes opes de depurao do DNS de registro esto disponveis:

Direo de pacotes

Enviar: O servidor DNS log pacotes de registros de arquivo que o servidor DNS envia.

Receber: Os registros de log pacotes de arquivo que o servidor DN S recebe.

Contedo de pacotes

consulta padro: Especifica que os pacotes que contm consultas padro (de acordo com Pedido de Comments (RFC) 1034) so registrados no arquivo de log do serv idor DNS.

Atualizaes: Especifica que os pacotes contm atualizaes dinmicas (de ac rdo com RFC 2136) so registrados no arquivo de log do servidor DNS.

Notifique: Especifica que os pacotes contendo as notificaes (de aco rdo com RFC 1996) so registrados no o arquivo de log do servidor DNS.

Protocolo de transporte

UDP: Especifica que os pacotes enviados e recebidos sobre o User Datagram Protocol (UDP) so registrados em o arquivo de log do servidor DNS.

TCP: Especifica que os pacotes enviados e recebidos atravs de TCP so registrados no arquivo de log do servidor DNS.

Tipo de pacote

Solicitao: Especifica que os pacotes de solicitao so registradas no ar quivo de log do servidor DNS (um pacote de solicitao caracterizada por uma consulta / resposta bit (QR) definido como 0 no cabealho da mensagem DNS).

----------------------- Pgina 161----------- -----------Configurao e Soluo de problemas DNS 3-49

Observao: Um pouco QR um campo de um bit que especifica se esta mensagem fo r uma consulta (0) ou um Resposta de mudana de passo

Resposta: Especifica que os pacotes de resposta so registradas no arquivo de log do servidor DNS (uma resposta pacote caracterizada por um bit QR definido como 1 no cabealho da mens agem DNS).

Habilitar a filtragem com base no endereo IP: Fornece filtragem de pacotes adicio nais que so registrados no DNS arquivo de log do servidor. Permite o registro de pacotes que so enviado s de endereos IP especficos para um servidor DNS ou de um servidor DNS para endereos IP especficos.

Log de arquivo limite de tamanho mximo: Permite definir o tamanho mximo de arquivo para o arquivo de log do servidor DNS. Quando o arquivo de log do servidor DNS atinge seu tamanho mximo especificad o, o servidor DNS substitui o mais antigo pacote de informaes com novas informaes.

Observao: Se voc no especificar um tamanho mximo de arquivo de log, o arquivo de log do servidor DNS pode consumir uma grande quantidade de espao no disco rgido.

Por padro, todas as opes de log de depurao esto desativadas. Quando voc habilita-los d forma seletiva, o servidor DNS servio pode realizar o registro de rastreamento de nvel adicional de tipos selecio nados de eventos ou mensagens para o geral soluo de problemas e depurao do servidor.

O log de depurao pode ser recurso intensivo, afetando o desempenho geral do servid

or e espao em disco consumindo. Portanto, voc deve us-lo apenas numa base temporria, quando voc precisar mais detalh ada servidor desempenho informaes.

Dns.log Nota contm atividade log de depurao. Por padro, ele est localizado no % Systemroot% \ System32 \ Dns. ----------------------- Pgina 162----------- -----------3-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lab: Configurando e solucionando problemas de DNS

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

Cenrio Lab

Contoso est planejando para melhorar a sua infra-estrutura DNS devido a queixas de usurios sobre pobres desempenho. Alm disso, a Contoso uma parceria com uma resoluo Datum e nom e deve ser otimizado entre estas duas organizaes. Sua tarefa planejar e implementar as mudanas necessrias.

Para este projeto, voc deve completar as seguintes tarefas:

Planejar uma configurao de DNS apropriado.

Configurar uma configurao de DNS adequado.

Verificar e solucionar problemas de DNS. ----------------------- Pgina 163----------- -----------Con figurao e Soluo de problemas DNS 3-51

Exerccio 1: Selecionando uma configurao de DNS

Remoto

Neste exerccio, voc vai ler a documentao do seu gestor e, em seguida, responder s per guntas do seo de propostas.

As principais funes para este exerccio so como se segue:

1.

Leia o seguinte nome Contoso documento Plano de Resoluo.

2.

Atualizar o documento de proposta com seu curso de ao planejada.

3.

Examine as propostas sugeridas na chave Resposta Lab.

Tarefa 1: ler o nome da Contoso documento Plano de Resoluo

Leia o seguinte nome Contoso documento Plano de Resoluo.

Tarefa 2: Atualize o documento de proposta com seu curso planejado de ao

Responda s perguntas do documento Plano de Contoso de resoluo de nome.

Contoso Plano de Resoluo de Nomes

Nmero de Documento de Referncia: GW1203 / 1

Documento Autor Charlotte Weiss Data 12 de maro

Viso geral Requisitos 1. Seu gerente est em causa que o servidor nico nome que suporta o domnio C ontoso.com

est sob tenso enquanto os pedidos de resoluo de manuteno de nomes. Voc est carregado de determinar uma curso de ao para acalmar suas preocupaes. 2. Contoso est trabalhando com uma organizao parceira, A Datum. importante que a resoluo de nome

para os servidores no domnio Adatum.com realizada sem recurso a servid ores raiz de nomes.

Informaes Adicionais 1. so. 2. No h controladores de domnio adicionais esto previstas para o domnio Conto

Alteraes na configurao do DNS Adatum.com no deve afetar a configurao DNS em

Contoso, por outras palavras, alteraes na Adatum.com no deve resultar em esforo administrativo em Contoso.

Propostas 1. Como que vai modificar a configurao do DNS para Contoso para enfrentar o primeiro requisito? 2. Como que vai modificar a configurao do DNS para Contoso para enfrentar o segundo requisito? 3. ? 4. 5. Qual o seu plano de aco proposto para este projeto? Como voc vai distribuir a carga entre os servidores de DNS? Ser um dos pontos da seo de informaes adicionais levantar quaisquer questes

Tarefa 3: Examine as propostas sugeridas na chave Resposta Lab

Compare a sua soluo para a soluo proposta no documento Plano de Contoso de resoluo de nome em a tecla de atendimento Lab e estar preparado para discutir a sua soluo com a classe.

Resultados: No final deste exerccio, voc ter selecionado uma configurao de DNS apropr iado para Contoso. ----------------------- Pgina 164----------- -----------3-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: implantao e configurao DNS

Remoto

Neste exerccio, voc ir implantar e configurar a funo de DNS em NYC-SVR1.

As principais funes para este exerccio so como se segue:

1.

Instale o papel de DNS em NYC-SVR1.

2.

Criar e configurar uma zona de stub em NYC DC1.

3.

Criar e configurar zonas secundrias em NYC-SVR1.

4.

Habilitar e configurar transferncias de zona para Contoso.com.

5.

Atualizar dados da zona secundria do servidor mestre.

6.

Configure os clientes para usar o servidor novo nome.

Tarefa 1: Instale o papel de DNS em NYC-SVR1

1.

Mude para o computador NYC SVR1.

2.

Abra o Gerenciador do Servidor.

3.

Adicione a funo de servidor DNS.

Tarefa 2: Criar e configurar uma zona de stub em NYC-DC1

1.

Mude para o computador NYC DC1.

2.

Abrir DNS.

3. es:

Criar uma nova zona de pesquisa direta com as seguintes propriedad

Tipo de Zona: Stub

Nome da Zona: Adatum.com

Master servidor: 131.107.1.2

Validao Nota ir falhar. O servidor no est online.

Tarefa 3: Criar e configurar zonas secundrias em NYC-SVR1

1.

Mudar para NYC-SVR1.

2.

Abra um prompt de comando.

3. 10.0.10 e

No comando, digite Dnscmd.exe / ZoneAdd Contoso.com / secundrio 10. pressione ENTER.

4. 0.0.10 e

No comando, digite Dnscmd.exe / ZoneAdd Adatum.com / secundrio 10.1 pressione ENTER.

5.

DNS abertos e verificar que as duas zonas so criadas.

----------------------- Pgina 165----------- -----------Conf

igurao e Soluo de problemas DNS 3-53

Tarefa 4: Habilitar e configurar transferncias de zona para Contoso.com

1.

Mudar para NYC DC1.

2.

Abra um prompt de comando.

3. No prompt de comando, digite / Dnscmd.exe ZoneResetSecondaries Contoso.com / notificar / Notifylist 10.10.0.24 e pressione ENTER.

4.

Abrir DNS.

5. Verifique se o endereo IPv4 NYC-SVR1 est listado na lista de notificao na guia transferncias de zona no Contoso.com folha de propriedades da zona.

Nota: Pode levar alguns minutos para aparecer.

Tarefa 5: Os dados de atualizao de fuso secundrios de servidor mestre

1.

Mudar para NYC-SVR1.

2. Em DNS, atualize a tela e verificar se os dados da zona tenha transferido a partir do mestre para o Contoso.com zona secundria.

3.

Feche todas as janelas abertas.

Observao Voc no receber os dados para Adatum.com.

Tarefa 6: Configurar os clientes para usar o servidor novo nome

1.

Mudar para NYC DC1.

2.

Abra DHCP.

3.

Modificar as opes do servidor DHCP da seguinte forma:

Os 006 servidores DNS: 10.10.0.24

4.

Feche todas as janelas abertas.

Resultados: No final deste exerccio, voc vai ter implementado os requisitos descri tos na Contoso Nome do documento Plano de Resoluo. ----------------------- Pgina 166----------- -----------3-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Soluo de problemas de DNS

Remoto

Neste exerccio, voc usar ferramentas de monitoramento e soluo de problemas para testar e verificar o DNS roteamento.

As principais funes para este exerccio so como se segue:

1. Teste consultas simples e recursiva.

2. Verifique os registros SOA com Nslookup.

3. Use dnslint para verificar os registros do servidor de nomes.

4. Ver estatsticas de desempenho com o Monitor de Desempenho.

Tarefa 1: consultas de teste simples e recursiva

1. Em NYC-DC1, no DNS, abra as propriedades NYC-DC1.

2. Na guia de Acompanhamento, realizar uma consulta simples no servid or DNS. Isto bem sucedido.

3. Realizar consultas simples e recursiva contra esse e outros servi dores. O teste recursiva falha porque no h forwarders configurados.

4. Pare o servio DNS e repita os testes anteriores. Eles falham porque nenhum servidor DNS est disponvel.

5. Reinicie o servio de DNS e repita os testes. O teste simples bem su cedido.

6. Feche a NYC-DC1 caixa de dilogo Propriedades.

Tarefa 2: Verificar registros SOA com Nslookup

1. Abra um prompt de comando.

2. Digite Nslookup.exe e digite os seguintes comandos:

Definir querytype = SOA

Contoso.com

3. Veja os resultados e fechar o prompt de comando.

Tarefa 3: Use dnslint para verificar os registros do servidor de nomes

1. Mudar para NYC-CL1.

2. 03 pasta.

A partir de um prompt de comando, mude para o D: \ Labfiles \ Mod

3. No prompt de comando, digite dnslint / s 10.10.0.10 / d Contoso.co m e pressione ENTER.

4. Ver a sada e feche o prompt de comando.

Tarefa 4: Ver estatsticas de desempenho com o Monitor de desempenho

1. Mudar para NYC DC1.

2. Abra o Monitor de Desempenho do Server Manager. No painel de lista da janela do Gerenciador do Servidor, Diagnstico expandir, expandir Desempenho, expanda Ferramentas de Mo nitoramento e, em seguida, clique em Desempenho Monitor

3.

No painel central, clique no cone verde mais.

4. Na lista de contadores disponveis, clique duas vezes em DNS. ----------------------- Pgina 167----------- ------------

Configurao e Soluo de problemas DNS 3-55

5.

Selecione Consulta total recebida e clique em Adicionar.

6. Selecione Consulta total recebida / seg, clique em Adicionar e, em seguida, clique em OK.

7. Clique em Iniciar, clique em Ferramentas administrativas e, em seguida, cli que em DNS.

8.

No painel esquerdo, direito do mouse em NYC DC1 e clique em Propriedades.

9.

Clique na guia Monitoring.

10. No separador Monitoring, selecione Uma consulta simples contra este servidor DNS e um consulta recursiva para outros servidores de DNS e, em seguida, clique em Testar Agora vrias vezes.

11. Limpar as caixas de seleo simples e recursiva de teste e clique em OK. Feche a gesto DNS Ferramentas

12. Voltar para o console do Server Manager. O grfico reflete as consultas no ser vidor.

13. No console do Server Manager, pressione CTRL + G e, em seguida, pressione CT RL + G novamente. Este relatrio lista o total nmero de consultas que o servidor tenha recebido.

14. Feche o Gerenciador do Servidor.

Resultados: No final deste exerccio, voc vai ter verificado a funcionalidade do DN S com problemas ferramentas.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 168----------- -----------3-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Voc est apresentando um potencial cliente sobre as vantagens de usa r o Windows Server 2008 R2. Quais so os novos recursos que voc gostaria de salientar quando se discute o Windows Server 2008 R2 Funo de servidor DNS?

2. Voc est implantando servidores de DNS em um domnio do Active Directo ry, e seu cliente exige que o infra-estrutura resistente para pontos nicos de falha. O que voc de ve considerar ao planejar o DNS

# configuration

3.

Qual a diferena entre as consultas recursivas e interativas?

4. O que voc deve configurar antes de uma zona de DNS podem ser trans feridos para um servidor DNS secundrio?

5. Voc o administrador de um Windows Server 2008 R2 ambiente DNS. Sua empresa recentemente adquiriu outra empresa. Voc deseja replicar sua zona de DNS primrio . A empresa adquirida usando Bind 4.9.4 para hospedar suas zonas DNS primrios. Voc perceb e uma quantidade significativa de trfego entre o Windows Server 2008 R2 servidor DNS eo servidor Bind. O que uma possvel razo para isso?

6. Voc deve automatizar um processo de configurao do servidor DNS para que voc possa automatizar a implementao de Windows Server 2008 R2. Que ferramenta DNS voc pode usar para faze r isso? ----------------------- Pgina 169----------- -----------C onfigurao e Soluo de problemas DNS 3-57

Ferramentas

Usar a ferramenta para Onde encontr-lo

Dnscmd.exe Configurar funo de servidor DNS de linha de comando

Dnslint.exe Teste Download de servidor DNS no site da Microsoft ea u tilizao a partir da linha de comando

Nslookup.exe Teste de resoluo de nomes DNS de linha de comando

Teste simples Ping.exe de resoluo de nomes DNS de linha de comando

Ipconfig.exe Verificar e testar a funcionalidade IP e vista ou de linha de co mando limpar o cache de DNS do resolvedor do cliente ----------------------- Pgina 170----------- -----------3-58 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 171----------- -----------4.1

Mdulo 4

Configurao e Soluo de problemas IPv6 TCP / IP

Contedo:

Lio 1: Viso Geral de IPv6 4-3

Lio 2: IPv6 Endereamento 4-12

Lio 3: Coexistncia com IPv6 4-22

Lio 4: Tecnologias de transio IPv6 4-28

Lab A: Configurando um Roteador ISATAP 4-35

Lio 5: Transio do IPv4 para o IPv6 4-41

Lab B: Convertendo a rede para IPv6 nativo 4-46 ----------------------- Pgina 172----------- -----------4-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

Suporte para Internet Protocol verso 6 (IPv6), um novo conjunto de prot ocolos padro para a rede da Internet camada, incorporado ao Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2.

IPv6 uma tecnologia que ajudar a garantir que a Internet pode apoiar um a base de usurios crescente e da cada vez mais elevado nmero de dispositivos habilitados para IP. A verso atual do Internet Protocol 4 (IPv4) tem servido como o protocolo de Internet bsica para quase trinta anos. A sua robust ez, escalabilidade e funcionalidade limitada conjunto agora contestada pela crescente necessidade de novos endereos IP, em grande parte devido ao rpido crescimento de novos dispositivos de rede-aware.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever as caractersticas e benefcios do IPv6.

Implementar endereamento IPv6.

Implementar uma estratgia de convivncia IPv6.

Descrever e selecionar uma soluo de transio adequado IPv6.

Transio do IPv4 para o IPv6.

Solucionar problemas de uma rede baseada em IPv6. ----------------------- Pgina 173----------- -----------C onfigurao e Soluo de problemas IPv6 TCP / IP 4-3

Lio 1 Viso Geral de IPv6

IPv6 est se tornando mais comum, mas enquanto a adoo lenta, importante par a compreender como esse tecnologia afeta as redes atuais e como integrar IPv6 para essas redes. A lio seguinte vai cobrir os benefcios do IPv6 e como ele se compara com o IPv4.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os benefcios do IPv6.

Descrever as diferenas entre IPv4 e IPv6.

Descrever o espao de endereo IPv6.

Converso entre binrio e hexadecimal. ----------------------- Pgina 174----------- -----------4-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Benefcios do IPv6

O protocolo IPv6 oferece os seguintes benefcios:

Espao de endereamento Grande: Um espao de endereamento de 32 bits permite 2 ^ 32 ou 4.294.967.296 endereos possveis, uma 128 bits de espao de endereamento permite 2 ^ 128 ou 340,282,366,9 20,938,463,463,374,607,431,768,211,456 (ou 3.4x10 ^ 38 ou 340 undecillion) possveis endereos.

endereamento hierrquica e infra-estrutura de roteamento: O espao de ender eo IPv6 projetado para ser mais eficiente para os roteadores, o que significa que mesmo que haja muitos endereos mais, os roteadores podem dados do processo muito mais eficiente por causa da otimizao de en dereos.

Stateless e Stateful configurao do endereo: IPv6 tem capacidade de auto-c onfigurao sem Dynamic Host Configuration Protocol (DHCP), e pode descobrir inf ormaes roteador para que os hosts pode acessar a Internet, esta uma configurao de endereo stateless. A configurao do endereo Stateful quando voc usa o protocolo DHCPv6. Stateful configurao tem dois nveis adicionais de configurao: aquele em que o DHCP fornece todas as informaes, incluindo o ender eo IP e as definies de configurao, e outra determina que apenas as definies de configurao.

apoio necessrio para IPsec: Os padres IPv6 requer suporte para os cabealh os AH e ESP, que so definida por IPsec. Embora o apoio a determinados mtodos de auten ticao IPsec e criptografia algoritmos no so especificados, o IPsec est definido desde o incio c omo a forma de proteger os pacotes IPv6.

Restaura fim-de-final da comunicao: O modelo global de endereamento para o trfego IPv6 significa que traduo entre diferentes tipos de endereos no necessrio, tais como a tr aduo feito por NAT dispositivos para o trfego IPv4. Isso simplifica a comunicao, porqu e voc no precisa usar dispositivos NAT. Por exemplo, videoconferncia e outro par para perscrutar aplicaes.

entrega priorizada: IPv6 contm um campo no pacote que permite que os di spositivos de rede para determinar que o pacote deve ser processado em uma taxa especificada, o que perm ite a priorizao de trfego. Por exemplo, quando voc est fluindo o trfego de vdeo, fundamental que os pacotes chegam e m tempo hbil. Voc pode definir esta campo para garantir que os dispositivos de rede determinar que a entrega de pacotes sensvel ao tempo. ----------------------- Pgina 175----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-5

Suporte para sub-rede nica ambientes: o IPv6 tem um suporte muito melhor de confi gurao automtica e operao de redes constitudas por uma nica sub-rede. Voc pode usar isso para cri ar temporria ad-hoc redes atravs das quais voc pode se conectar e compartilhar informaes.

Extensibilidade: O IPv6 foi projetado de modo que voc pode estend-lo com restries mu ito menos do que IPv4. ----------------------- Pgina 176----------- -----------4-6 Configurao e Soluo de problemas do Windows Server 2008 Network Infrastructure

Diferenas entre IPv4 e IPv6

Quando o espao de endereo IPv4 foi projetado, era inimaginvel que poderia ser esgotado. No entanto, devido a mudanas na tecnologia e uma prtica de alocao que no previu a exploso de ho sts da Internet, o espao de endereos IPv4 se tornou to consumido que, em 1992, ficou claro que a substituio seria necessrios. Com o IPv6, difcil conceber que o espao de endereo IPv6 ser con sumido.

A deciso de fazer o endereo IPv6 128 bits de comprimento foi concebido d e modo que pode ser subdividido em hierrquico de roteamento domnios que refletem a topologia da Internet mo derna-dia. A utilizao de 128 bits permite para vrios nveis de hierarquia e flexibilidade na concepo hierrquica de end ereamento e roteamento que actualmente no existe na Internet IPv4-based.

Observao A arquitetura de endereamento IPv6 descrito em Request fo r Comments (RFC) 4291.

Comparao IPv4 e IPv6

A tabela a seguir destaca as diferenas entre IPv4 e IPv6:

IPv4 IPv6

Endereos de origem e destino so de 32 bits (4 endereos de origem e des tino so de 128 bits (16 bytes) de comprimento. bytes) de comprimento.

Suporte IPsec opcional. cabealhos e trailers IPsec necessrio.

Suporte para

No identificao do fluxo de pacotes para a Qualidade de Packet fluxo de identificao para tratamento de QoS por roteadores Servio de tratamento (QoS) por roteadores est presente includa no cabea

lho IPv6 usando o Flow Label no cabealho IPv4. campo.

A fragmentao feito por ambos os roteadores ea fragmentao no feito pelos roteadores, somente pela envio de host. envio de host. ----------------------- Pgina 177----------- -----------Confi gurao e Soluo de problemas IPv6 TCP / IP 4-7

(continuao)

IPv4 IPv6

Cabealho inclui um checksum. checksum.

Cabealho no inclui um

Cabealho inclui opes. al movido para cabealhos de extenso IPv6.

Todos os seus dados opcion

Address Resolution Protocol (ARP) usa quadros pedido ARP so substitudos por mult icast quadros transmitidos solicitao ARP para resolver uma mensagem de solicitao vizinh o. Endereo IPv4 a um endereo da camada de enlace.

Internet Group Management Protocol (IGMP) IGMP substitudo por Multicast Listen er Discovery usado para gerenciar locais de sub-rede do grupo (DLM) mensagens. adeso.

Internet Control Message Protocol (ICMP) descoberta de roteador ICMP substitud o por exigido Router Discovery, que opcional, usado para ICMPv6 Solicitao Router e Router Adv

ertisement determinar o endereo IPv4 das mensagens melhores padro. gateway.

Endereo de broadcast so usados dcast IPv6. Em vez disso, um link-

para enviar o trfego para No existem endereos de bro

todos os ns em uma subrede. mbito local endereo de multicast todos-ns usado.

Deve ser configurada manualmente ou atravs de No requer configurao manual ou DHCP . DHCP.

Usa endereo de host (A) recurso registros no endereo de host Usos (AAAA) regist ros de recursos no DNS para Domain Name System (DNS) para mapear nomes de host mapear nomes de host para endereos IPv6. para endereos IPv4.

Usa os registros de ponteiro (PTR) no IN-Utiliza registros de recursos PTR no IP6.ARPA DNS de domnio ADDR.ARPA domnio DNS para mapear endereos IPv4 para mapear endereos IPv6 para nom es de host. para nomes de host.

Deve suportar um tamanho de pacote 576 byte (possivelmente Deve suportar um t amanho de pacote 1280-byte (sem fragmentado). fragmentao).

Equivalentes de IPv6 para IPv4

A tabela a seguir destaca os equivalentes IPv6 para IPv4:

Endereo IPv4 Endereo IPv6

Classes de endereos da Internet no se aplica a IPv6

Endereos multicast (224.0.0.0 / 4) endereos IPv6 multicast (FF00 :: / 8)

Transmisso No aborda aplicvel em IPv6

Endereo no especificado for 0.0.0.0 Endereo no especificado ::

Endereo de loopback 127.0.0.1 endereo de loopback :: 1

Endereos IP pblicos endereos unicast globais

Endereos IP privados (10.0.0.0 / 8, 172.16.0.0/12, Unique endereos locais (fd00 :: / 8) e 192.168.0.0/16) ----------------------- Pgina 178----------- -----------4-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

(continuao)

Endereo IPv4 Endereo IPv6

Endereos automaticamente (169.254.0.0/16)-Link endereos locais (FE80 :: / 64)

Representao de texto: Texto representao decimal notao: formato hexadecima l Colon com supresso de zeros esquerda e zero de compresso

Representao Rede bits: Mscara de sub-representao em bits de rede: a notao de comprimento de prefixo

notao decimal ou comprimento de prefixo somente

Resoluo de nomes DNS: IPv4 endereo de host (A) a resoluo de nomes DNS: e ndereo do host IPv6 (AAAA) registro de recurso de registro de recurso

Resoluo de DNS reverso: IN-ADDR.ARPA resoluo de DNS reverso: IP6.ARPA d omnio domnio ----------------------- Pgina 179----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-9

Espao de endereos IPv6

A caracterstica mais evidente distino do IPv6 o uso de endereos muito maiores. Os en dereos IPv4 so expressa em quatro grupos de nmeros decimais, como 192.168.1.1. Cada grupo de nmer os representa um octeto binrio. Em binrio, o nmero anterior como se segue:

11000000.10101000.00000001.00000001 (4 octetos = 32 Bits)

O tamanho de um endereo em IPv6 quatro vezes maior do que um endereo IPv4. Os ende reos IPv6 so expressos em hexadecimal (hex).

2001: DB8: 0:2 F3B: 2AA: FF: FE28: 9C5A

Isso pode parecer complexo para usurios finais, mas o pressuposto que os usurios vo contar com nomes de DNS para resolver hosts e raramente vai digitar endereos IPv6 manualmente. O endereo IPv6 em hexadec imal tambm mais fcil de se converter ao

binrio e vice-versa. Isto simplifica o trabalho com sub-redes, e calculando hosts e redes.

Sistema de Numerao Hexadecimal (Base 16)

Ao lidar com nmeros hexadecimais, hex 10 igual a decimal 16.

No sistema de numerao hexadecimal, algumas letras representam nmeros porque no sist ema hex (Base16), deve haver 16 smbolos nicos para cada posio. Porque 10 smbolos (0 a 9) j existir, deve ser de seis smbolos de novo para o sistema hex, da, de A a F so utili zados.

Observao Use a calculadora do Windows em Windows 7 e Windows Server 2008 par a trabalhar com hexadecimal e binrio. Abra a calculadora, clique no menu Exibir e, em segui da, clique em Programmer. Tipo 16, e clique em Hex. A calculadora exibe 10. Este aspecto da hexadeci mal pode ser complexa. Depois de alcanar hex 9, o prximo nmero hexadecimal "A" (decima l 10), e, em seguida, "B" (Decimal 11) at "F" ou (decimal 15). Observe que na calculadora no modo hex , o botes de A a F aparecem ao longo do lado esquerdo do teclado numrico. No mod o Hex, clique em F, e clique em dezembro O resultado decimal 15. ----------------------- Pgina 180----------- -----------4-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Para converter um endereo IPv6 que binrio de 128 bits de comprimento, di vida-o em oito grupos de 16 bits. Converter cada um destes oito grupos de 16 bits em quatro caracteres hexadecimai s. Para cada um dos 16 bits, avaliar quatro bits em um momento de derivar cada nmero hexadecimal. Deve nmero cada conjunt o de quatro nmeros binrios 1, 2, 4 e 8, a partir da direita e mover para a esquerda. O primeiro bit [0010] atr

ibudo o valor de 1, o segundo bit [0010] atribudo o valor de 2, o terceiro bit [0010] atribudo o valor de 4, e, f inalmente, o quarto [0010] pouco atribudo o valor de 8. Para obter o valor hexadecimal para esta seo de qu atro bits, somar os valores que so atribudos a cada, onde os bits so definidos para 1. No exemplo de 0010, o bit nico que definido como 1 o bit atribudo o valor 2. O resto est definido para zero. O valor hexa decimal destes bits de 2.

Converso de Binrio para Hexadecimal

A tabela a seguir descreve o 16-bit poro nmero binrio de um endereo de 128bit IP:

[0010] [1111] [0011] [1011]

Binrio 0010 1111

Os valores de cada posio binrio 8421 8421

Adicionando valores, onde o bit = 1 0 +0 +2 +0 = 2 8 + 4 + 2 + 1 = 15 ou F hex

O exemplo a seguir um nico endereo IPv6 na forma binria. Note que a repre sentao binria do Endereo IP bastante longo. As duas linhas seguintes de nmeros binrios um endereo IP:

0010000000000001000011011011100000000000000000000010111100111011 0000001010101010000000001111111111111110001010001001110001011010

O endereo de 128-bits dividido ao longo de 16 bits limites (oito blocos de 16 bits).

0010000000000001 0000110110111000 0000000000000000 0010111100111011 0000001010101010 0000000011111111 1111111000101000 1001110001011010

Cada limite ainda dividido em conjuntos de quatro bits. A aplicao da met odologia como descrito anteriormente, converter o endereo IPv6. A tabela seguinte mostra os valores binrios e correspondente hexadecimais para cada conjunto de quatro bits:

Hexadecimal Binrio

[0010] [0000] [0000] [0001] [2] [0] [0] [1]

[0000] [1101] [1011] [1000] [0] [D] [B] [8]

[0000] [0000] [0000] [0000] [0] [0] [0] [0]

[0010] [1111] [0011] [1011] [2] [F] [3] [B]

[0000] [0010] [1010] [1010] [0] [2] [A] [A]

[0000] [0000] [1111] [1111] [0] [0] [F] [F]

[1111] [1110] [0010] [1000] [F] [E] [2] [8]

[1001] [1100] [0101] [1010] [9] [C] [5] [A] ----------------------- Pgina 181----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-11

Cada bloco de 16 bits expressa em quatro caracteres hexadecimais, e , ento, delimi

tada por dois pontos. O resultado como segue:

2001:0 DB8: 0000:2 F3B: 02AA: 00FF: FE28: 9C5A

Voc pode simplificar a representao IPv6 ainda mais, removendo os zeros esquerda den tro de cada bloco de 16 bits. No entanto, cada bloco tem de ter pelo menos um dgito nico. Com levando supresso ze ro, o endereo representao torna-se o seguinte:

2001: DB8: 0:2 F3B: 2AA: FF: FE28: 9C5A

Zeros Compactando

Quando vrios blocos contguos de zero ocorrer, voc pode comprimir estas e represent-l os no endereo como um dois-pontos duplos (::), o que simplifica a notao IPV6. O computador recon hece "::" e substitui-lo com o nmero de blocos necessrios para tornar o endereo IPv6 apropriado.

No exemplo seguinte, o endereo expresso usando zero compresso:

2001: DB8 :: 2F3B: 2AA: FF: FE28: 9C5A

Para determinar quantos bits 0 so representados pelo "::", voc pode contar o nmero de blocos na comprimido endereo, subtrair esse nmero de oito, e depois multiplicar o resultado por 16. Usando exemplo anterior, h sete blocos. Subtrair sete de oito, e depois multiplicar o re sultado (um) por 16. Assim, existem 16 bits ou 16 zeros no endereo onde os dois pontos duplo est lo calizado.

Voc pode usar compresso de zero apenas uma vez em um determinado endereo. Caso cont rrio, voc no pode determinar o nmero de 0 bits representados por cada instncia de um dois-pontos duplos (::).

Para converter um endereo em binrio, utilizar o inverso do mtodo descrito anteriorm ente:

1.

Adicionar em zeros usando zero compresso.

2.

Adicionar zeros esquerda.

3.

Converta cada nmero hexadecimal em seu equivalente binrio.

----------------------- Pgina 182----------- -----------4-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2 IPv6 Endereamento

Para habilitar os dispositivos com o IPv6, voc deve saber como configura r e atribuir endereos IPv6 a dispositivos dentro rede da sua organizao.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever prefixos IPv6.

Descrever o IPv6 Unicast.

Descrever IDs de zona.

Descrever a configurao automtica de endereo IPv6.

Configurar definies de IPv6 em um cliente de rede. ----------------------- Pgina 183----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-13

Prefixos IPv6

Como o espao de endereos IPv4, o espao de endereo IPv6 dividido por alocar partes do disponvel

espao de endereo IP para vrias funes. Os bits de ordem alta (bits que esto no incio do 128-bit Endereo IPv6) definir reas estaticamente no espao IP. Os bits de alta ordem e os se us valores fixos so conhecidos como um prefixo de formato.

Internet Assigned Numbers Authority (IANA) gerencia IPv6. Alm disso, tem definido como o IPv6 espao de endereamento ser dividido inicialmente, e especificou os prefixos formato.

IPv6 Prefixos Formato

A tabela a seguir mostra a alocao do espao de endereo IPv6 por prefixos formato:

Frao do Alocao Valor binrio prefixo comea com espao de endereo

Reservado 0000 0000 - 1/256

Unicast global aborda 001 2 ou 3 1/8

Link-local endereos unicast 1111 1110 1000 FE8 1/1024

Unicast locais nicos endereos 1111 1100 FD 1/256

Multicast endereos 1111 1111 FF 1/256

O espao de endereo IPv6 restante atribudo.

O atual conjunto de endereos unicast que voc pode usar com ns IPv6 consiste de ende reos unicast globais, nica de endereos locais e endereos link-local unicast. ----------------------- Pgina 184----------- -----------4-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Prefixos IPv6

O prefixo a parte do endereo que indica os bits que tm valores fixos ou que so sub-rede pedaos de prefixo. Prefixos de sub-redes IPv6, rotas, e intervalos de endereos so expressos na mesma maneira como Classless Inter-Domain Routing notao (CIDR) para IPv4. Um prefixo IPv6 escrito em endereo / prefixo de comprimento notao. Por exemplo, 2001: DB8 :: / 48 e 2001: DB8: 0:2 :: F3B / 64 so os prefixos de endereos IPv6.

Nota implementaes IPv4 geralmente usam uma representao decimal pont uada do prefixo de rede conhecido como mscara de sub-rede. IPv6 no usa um a mscara de sub-rede, que suporta apenas a notao de prefixo de comprimento. ----------------------- Pgina 185----------- ------------

Conf igurao e Soluo de problemas IPv6 TCP / IP 4-15

Unicast IPv6 Tipos de Endereos

Um endereo unicast identifica uma nica interface dentro do mbito do tipo de endereo unicast. Com o apropriada unicast topologia de roteamento, pacotes endereados para um endereo uni cast so entregues a um nico interface.

Endereos unicast globais

Endereos unicast globais so equivalentes aos endereos IPv4 pblicos. Eles so roteveis cessvel globalmente na parte IPv6 da Internet. Os campos do endereo unicast global so:

parcela fixa definida para 001: Os trs bits de ordem superior so definidos para 00 1. O prefixo de endereo para hoje atribudos endereos globais de 2000 :: / 3. Portanto, todos os endereos unicast globais comear com 2 ou 3.

Prefixo de Roteamento Global: Indica o prefixo de roteamento global para site de uma organizao especfica. O combinao dos trs bits fixos e de 45-bit de prefixo global encaminhamento usado para criar um stio de 48-bit prefixo, que atribudo ao site individual de uma organizao. Uma vez que a atrib uio ocorre, os roteadores na a Internet IPv6 trfego IPv6 para a frente que corresponde ao prefixo 48-bit para os roteadores da site da organizao.

ID de sub-rede: A identificao de sub-rede usada no site de uma organizao para identi ficar sub-redes. Tamanho deste campo &16 bits O site da organizao pode usar esses 16 bits em seu site para criar 6 5.536 sub-redes ou vrios

nveis de hierarquia de endereamento e uma infra-estrutura roteamento eficient e.

Interface ID: Indica a interface em uma sub-rede especfica dentro do site. Tamanh o deste campo de 64 bits. Este ou gerada aleatoriamente ou atribudo pelo DHCPv6. No passado foi baseada na Media Access Controle de endereo (MAC) da placa de interface de rede que o endereo estava preso. ----------------------- Pgina 186----------- -----------4-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Link-Local endereos unicast

Link-local endereos so locais de uso endereos unicast com as seguintes p ropriedades:

Link-local endereos so usados os de identificao de vizinhana. Este

entre no link de vizinhos e para os process

permite que um computador para solicitar informaes de configurao de roteadores IPv6 ainda IPv6 e DHCP IPv6 s=

Link-local o equivalente ao endereamento IP particular automtico (APIPA ) aborda em IPv4.

Link-local endereos sempre comeam com FE8. Com o identificador de inter face 64-bit, o prefixo para o link-local endereos sempre FE80 :: / 64. Um roteador IPv6 nunca encaminha o trfego link-local para alm da ligao.

Nota: O conceito de auto-retorno seguida atravs de IPv6: um ende reo indeterminado 0:0:0:0:0:0:0:0 ou ::, enquanto o endereo de loopback 0:0:0:0:0: 0:0:1 ou :: 1.

Local exclusivo endereos IPv6 unicast

Exclusivos endereos locais fornecer um equivalente ao espao de endereo I Pv4 privado de organizaes sem a sobreposio no espao de endereo quando as organizaes combinam.

Os primeiros sete bits tem o valor binrio fixo de 1.111.110. Todos os e ndereos nicos locais tm o endereo prefixo FC00 :: / 7. A bandeira (L) Local definido 1 para indicar um endereo local. O valor da flag L definido como 0 ainda no foi definido. Portanto, nicos endereos locais com a flag L a 1 tm o pref ixo do endereo de FD :: / 8.

Os prximos 40 bits devem ser distribudos aleatoriamente para dar a resul tante de 48-bit em relao prefixo local exclusivo singularidade entre as organizaes.

Observao: Esses tipos de endereos no so mutuamente exclusivas como c om IPv4. Todos os hosts obter um link-local abordar em cada interface e tambm poderiam ter endereos unicast g lobais, e nico local Endereos IPv6 unicast. ----------------------- Pgina 187----------- -----------Confi gurao e Soluo de problemas IPv6 TCP / IP 4-17

Zona IDs

Ao contrrio dos endereos globais, voc pode reutilizar local usam endereos. Link-loca l endereos so reutilizados em cada link. Link-local endereos so ambguos, pois dessa capacidade endereo reutilizao.

Zona IDs para local de Uso Endereos

Voc precisa de um identificador adicional para especificar qual a ligao atribudo um endereo ou localizados. Este adicional identificador um identificador de fuso (ID), tambm conhecido como um ID, mbito e i dentifica uma poro ligada de um rede que tenha um escopo especificado. A sintaxe especificado no RFC 4007 para a identificao da zona que associado com um endereo local de utilizao como se segue:

Zone_id endereo%

Endereo um endereo local de uso e zone_id um valor inteiro que representa a zona. Os valores do zona de ID so definidos em relao ao envio de acolhimento. Portanto, hosts diferente s podem determinar a zona diferente Valores de ID para a mesma zona fsica. Por exemplo, o Host A pode usar 3 para rep resentar a identificao da zona de link anexado e Host B pode usar 4 a representar o mesmo link.

Para baseados no Windows hosts IPv6, os IDs de zona para endereos locais de ligao so definidos como segue.

Para endereos link-local, a identificao da zona tipicamente o ndice da interface que atribudo o endereo ou para ser usado como a interface de envio para um destino local de li gao. O ndice de interface um inteiro a partir de 1, que atribudo a interfaces IPv6, que incluem um auto-retorn o e uma ou mltiplas tnel ou rede local (LAN) interfaces. Voc pode ver a lista de ndices de interface us ando o netsh ipv6 show interface de comando interface.

O seguinte um exemplo de como usar as ferramentas do Windows ea identificao da zon a:

ping FE80 :: 2b0: d0ff: fee9: 4143 3%

Neste caso, 3 o ndice da interface que est ligado ligao que contm o endereo de destino. ----------------------- Pgina 188----------- -----------4-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

No Windows, a ferramenta Ipconfig.exe exibe a identificao da zona de loc ais de uso endereos IPv6. O seguinte uma trecho da exibio do comando ipconfig.

Adaptador Ethernet Conexo Local:

Connection-specific DNS Suffix: wcoast.example.com Endereo IP. . . . . . . . . . . : 157.60.14.219 Mscara de sub-rede. . . . . . . . . . : 255.255.255.0 Endereo IP. . . . . . . . . . . : 2001: db8: 2A1C: 2:1 cc8: ef1d: 1dd 9: 8066 Endereo IP. . . . . . . . . . . : 2001: db8: 2A1C: 204:5 aff: fe56: f 5b Endereo IP. . . . . . . . . . . : Fe80 :: 204:5 aff: fe56: 4% f5b Default Gateway. . . . . . . . : 157.60.14.1 fe80 :: 20a: 42ff: feb0: 5400, 4%

Para os endereos locais de ligao que esto na exibio do comando ipconfig, a i dentificao da zona indica a ndice da interface que atribudo o endereo (para o endereo IP) ou a interfa ce atravs do qual um endereo pode ser acessado (para Default Gateway). ----------------------- Pgina 189----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-19

Autoconfigurao de endereos para IPv6

O anfitrio pode continuar por vrios estados como ele passa pelo processo de config urao automtica, e no vrias maneiras para atribuir um endereo IPv6 e outras configuraes. Com base em como o roteador est configurado para cima, um cliente pode usar a configurao stateless (sem servio DHCPv6), ou stat eful com um servidor DHCPv6 envolvidos, quer para atribuir um endereo IP e outras configuraes, ou simplesmente atribuir outra configurao configuraes. As outras configuraes podem incluir servidores DNS e nomes de domnio.

Autoconfigured Estados endereo

Endereos autoconfigured esto em um ou mais dos seguintes estados:

Tentativa: Verificao est ocorrendo para determinar se o endereo nico. Duplicar ender deteco executa a verificao. Um n no pode receber o trfego unicast para um endereo de ten tativa.

Validade: O endereo foi verificado como exclusivo, e pode enviar e receber trfego unicast.

Preferencial: O endereo permite que um n para enviar e receber trfego unicast para ea partir dela.

Reprovado: O endereo vlida, mas seu uso no recomendado para nova comunicao.

invlido: O endereo no permite que um n para enviar ou receber trfego unicast.

Tipos de configurao automtica

Tipos de autoconfigurao incluem:

Stateless: configurao de endereos somente com base no recebimento de mensagens de a nncio de roteador.

Stateful: Configurao baseia-se na utilizao de um protocolo de configurao de endereo estado tais como DHCPv6 para obter endereos e outras opes de configurao:

A mquina usa stateful endereo configurao quando recebe instrues para faz-lo em ter Mensagens de propaganda.

Um host tambm usar um protocolo stateful endereo configurao quando no existem ro eadores apresentar sobre a ligao local. ----------------------- Pgina 190----------- -----------4-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Ambos: A configurao baseada no recebimento de mensagens de anncio de rote ador e DHCPv6.

Por que usar Stateful configurao?

Usando a configurao stateful permite que as organizaes para controlar como os endereos IPv6 so atribudos atravs DHCPv6.

Se houver quaisquer opes de escopo especficas que voc precisa para configu rar, como os endereos IPv6 de DNS servidores, em seguida, um servidor DHCPv6 necessrio.

A comunicao com o servidor DHCP

Quando as tentativas de IPv6 para se comunicar com um servidor DHCP, e le ir usar endereos IPv6 multicast para comunicar com o servidor DHCP. Isso diferente do que com o IPv4, que u sa transmisso endereos IPv4. ----------------------- Pgina 191----------- -----------Configur ao e Soluo de problemas IPv6 TCP / IP 4-21

Demonstrao: Como configurar as definies do cliente IPv6

Esta demonstrao mostra como:

Configurar um escopo DHCP para clientes IPv6.

Configure o computador do cliente. ----------------------- Pgina 192----------- -----------4-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 3 Coexistncia com IPv6

Desde a sua criao, o IPv6 foi projetado para ter a capacidade de convive r, a longo prazo, com o IPv4. Esta lio fornece uma viso geral das tecnologias que suportam a coexistncia dos do is protocolos IP ". Alm disso, o lio descreve os tipos de ns diferentes e implementaes de pilha IP do IPv6, e ento explica como o DNS resolve nomes para endereos IPv6, e os vrios tipos de tecnologias de tra nsio IPv6.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os tipos de n IP.

Descrever os mtodos para proporcionar a coexistncia do IPv4 e IPv6.

Configurar o DNS para suportar IPv6.

Explique tecnologias de transio IPv6. ----------------------- Pgina 193----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-23

Quais so os tipos de ns?

Ao planejar uma rede IPv6, voc deve saber que tipo de ns ou hosts esto na rede. Descrevendo os ns das seguintes maneiras ajuda a definir as suas habilidades na r ede. Isto importante para tunelamento, porque certos tipos de tneis requer tipos de ns especficos, inclu indo o seguinte:

n IPv4-only: Um n que implementa apenas IPv4 (e tem apenas endereos IPv4) e no suportar IPv6. A maioria dos hosts e roteadores instalados hoje so IPv4 some nte ns.

n IPv6-only: Um n que implementa apenas IPv6 (e tem apenas endereos IPv6) e no

suportar IPv4. Este n capaz de se comunicar apenas com ns IPv6 e aplicaes, e no comum hoje em dia. No entanto, pode tornar-se mais prevalente como disposit ivos menores, como telefones celulares e computadores de mo, use o protocolo IPv6 exclusivamente.

n IPv6/IPv4: Um n que implementa tanto IPv4 e IPv6.

n IPv4: Um n que implementa IPv4. Pode ser um n IPv4-only ou um n IPv6/IPv4.

IPv6 n: Um n que implementa IPv6. Pode ser um n IPv6-only ou um n IPv6/IPv4.

Para a coexistncia de ocorrer, o maior nmero de ns (IPv4 ou IPv6 gnglios) podem se c omunicar usando uma IPv4 infra-estrutura, uma infra-estrutura IPv6, ou uma infra-estrutura que uma c ombinao de IPv4 e IPv6. Voc vai conseguir migrao verdadeiro quando todos os ns IPv4 para o IPv6 so convertidos s omente ns. No entanto, para o futuro previsvel, voc pode conseguir a migrao prtico quando tantos IPv4 somente ns com o possvel so convertido para ns IPv6/IPv4. IPv4 somente ns pode se comunicar com IPv6 somente ns apenas quando estiver usando um proxy IPv4 para IPv6 ou gateway de traduo. ----------------------- Pgina 194----------- -----------4-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

IPv4 e IPv6 Coexistncia

Para conviver com uma infra-estrutura IPv4 e fornecer uma eventual tra nsio para uma infra-estrutura IPv6-only, voc pode usar os seguintes mecanismos.

Arquitetura Dual Layer IP

Uma arquitetura de dupla camada IP, implementado no Windows Vista, Win dows 7, Windows Server 2008, e Windows Server 2008 R2, contm camadas de Internet IPv4 e IPv6 com uma ni ca implementao de protocolos da camada de transporte, como TCP e UDP.

Uma arquitetura de dupla camada IP contm camadas de Internet IPv4 e IPv 6 com uma nica implementao de

protocolos da camada de transporte, como TCP e UDP. Pilha dupla permit e uma fcil migrao para o IPv6. Existem menos arquivos para manter para fornecer conectividade IPv6. IPv6 tambm est disponvel, sem acrescentar qualquer novo protocolos na configurao da placa de rede.

Tipos de pacotes incluem:

Os pacotes IPv4

IPv6 pacotes

IPv6 em pacotes IPv4 (pacotes IPv6 encapsulado com um cabealho IPv4)

Arquitetura Dual Stack

Arquitetura dual stack contm camadas de Internet IPv4 e IPv6 com pilhas de protocolo separadas que conter implementaes distintas de protocolos da camada de transporte, com o TCP e UDP.

O driver de protocolo IPv6 no Windows Server 2003 e Windows XP, Tcpip6 .sys, contm um separado implementao de TCP e UDP. ----------------------- Pgina 195----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-25

Tipos de pacotes incluem:

Os pacotes IPv4

IPv6 pacotes

Os pacotes IPv6 sobre IPv4

Infra-estrutura Requisitos de DNS

Voc precisa de uma infra-estrutura DNS para a coexistncia bem-sucedida por causa d o uso predominante de nomes, em vez do que endereos para se referir a recursos de rede. Atualizando a infra-estrutura DNS consiste em preencher o Servidores DNS com registros para suportar IPv6 nome para endereo e endereo para n omes de resolues. Depois que voc obter os endereos usando uma consulta de nome DNS, o n de envio deve selecionar qu ais endereos utilizar para comunicao.

Atualizando a infra-estrutura DNS consiste em preencher a servidores DNS com os registros para suportar IPv6 de nome para endereo e endereo para nomes de resolues:

Os registros para ns IPv4

Os registos AAAA para ns IPv6

PTR para endereos IPv4 e IPv6

Ao usar o IPv6, DNS pode retornar vrios endereos de tipos diferentes para o mesmo host. O conjunto de fonte e endereos de destino que o host decide usar para comunicaes baseada no endereo padro regras de seleo, que voc pode configurar no host. Para visualizar as polticas de pre fixo que determinam endereo comportamento de seleo, abra um prompt de comando e digite: netsh interface ipv6 s how prefixpolicies. O seguinte representa a sada tpica desse comando:

Precedncia Prefixo Etiqueta ----------------------------------------------50 0 :: 1/128 40 1 :: / 0 30 2 2002 :: / 16 20 3 :: / 96 10 4 :: ffff: 0:0 / 96 5 5 2001 :: / 32

Mais de IPv4 IPv6 Tunneling

IPv6 sobre IPv4 tnel o encapsulamento de pacotes IPv6 com um cabealho IPv4 para qu e os pacotes IPv6 podem ser enviado atravs de uma infra-estrutura IPv4, o que discutido em um tpico poster ior e na prxima lio. ----------------------- Pgina 196----------- -----------4-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar DNS para suportar IPv6

Esta demonstrao mostra como:

Configurar as ligaes para o servio de DNS.

Verificar a presena de registros AAAA no Contoso.com. ----------------------- Pgina 197----------- -----------Conf igurao e Soluo de problemas IPv6 TCP / IP 4-27

O que IPv6 sobre IPv4 tnel?

IPv6 sobre IPv4 tnel o encapsulamento de pacotes IPv6 com um cabealho IPv4 para qu e os pacotes IPv6 podem ser enviado atravs de uma infra-estrutura IPv4-only. Dentro do cabealho do IPv4:

O campo protocolo IPv4 definido como 41 para indicar um pacote encapsulado IPv6.

Os campos de Origem e Destino esto definidos para endereos IPv4 das extremidades d o tnel. Voc pode configurar extremidades do tnel manualmente como parte da interface de tnel o u eles so derivados automaticamente.

Nota Ao contrrio de tneis para o Protocolo Point-to-Point Tunneling (PPTP) e Layer Two Tunneling Protocol (L2TP), no h troca de mensagens para a manuteno do tnel de c onfigurao, ou resciso. Alm disso, o IPv6 sobre IPv4 tnel no oferece segurana para o tnel Pacotes IPv6. Isto significa que quando voc usa o tunelamento IPv6, no prec isa estabelecer uma conexo protegida em primeiro lugar. ----------------------- Pgina 198----------- -----------4-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 4 IPv6 Transition Technologies

Uma eventual transio bem sucedida para IPv6 requer convivncia provisria de ns IPv6 em hoje predominantemente ambiente IPv4. Para suportar isto, os pacotes IPv6 so encapsulados automaticamente ao longo do IPv4-only encaminhamento infra-estruturas, permitindo que os clientes IPv6 se co muniquem uns com os outros usando Teredo, 6to4, ou Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) endereos de e tunelamento de pacotes IPv6 em

Redes IPv4. Esta lio fornece informaes sobre as tecnologias de transio difer entes que so disponvel no Windows. As tecnologias de transio IPv6 incluem:

ISATAP: intranets locais usam encapsulamento ISATAP, que tira proveito de autoconfigurao e o principal forma na qual ns IPv6 se comunicar atravs de uma intranet somente IPv4.

6to4: Permite que hosts IPv6 com endereos IPv4 pblicos para se comunicar pela Internet IPv4-only.

Teredo: Teredo permite que hosts IPv6 com endereos IPv4 privados e est l ocalizado atrs de NATs para comunicar atravs da Internet IPv4-only.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explique ISATAP.

Explique 6to4.

Explique Teredo.

Descrever portproxy. ----------------------- Pgina 199----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-29

O que ISATAP?

ISATAP uma tecnologia endereo atribuio que voc pode usar para fornecer conectividade IPv6 unicast entre os hosts IPv6/IPv4 em uma intranet do IPv4. Hosts ISATAP no requer qualquer configurao manual e pode criar endereos ISATAP, utilizando mecanismos de autoconfigurao de endereos pa dro. Voc utilizam principalmente ISATAP no site de uma das organizaes, e, embora o componente ISATAP ativado por pa dro, ele s atribui ISATAP baseados em endereos se ele pode resolver o nome ISATAP na sua red e.

Nota: Um endereo ISATAP baseado em um endereo IPv4 privado formatado como es te: [64-bit unicast prefixo]: 0:5 EFE: wxyz, enquanto um endereo ISATAP baseado em um e ndereo IPv4 pblico formatado como este: [prefixo unicast 64-bit]: 200:5 EFE: wxyz Por exemplo , FE80 :: 5EFE: 192.168.137.133 (privado) e FE80 :: 200:5 EFE: 131.107.137.1 33 (pblico).

O que um roteador ISATAP?

ISATAP permite que os clientes IPv6 em uma intranet IPv4-s para se comunicar sem manual adicional roteamento. Um roteador ISATAP publicita um prefixo IPv6 e pode permitir que os clientes se comuniquem com outros clientes IPv6 em outras sub-redes IPv6.

Como ISATAP Obras de tnel

ISATAP pode ser iniciado de vrias maneiras. O roteador ISATAP pode ser localizado por resolver o nome "ISATAP" para um endereo IPv4 usando o netsh interface IPv6 ISATAP comando R outer conjunto, ou, para o Windows 7 e Windows Server 2008 R2, configurar o roteador ISATAP Nome con figurao de Diretiva de Grupo.

Para resolver ISATAP na infra-estrutura de nomes, voc deve definir o nome ISATAP no DNS, o Windows Servio de Internet Nome (WINS), ou nos hosts / arquivos lmhosts dos Exrcitos.

Depois de localizar o roteador, o anfitrio se comunica com ele usando o IPv4. O r oteador fornece o host com informaes sobre o prefixo ISATAP IPv6 e se ele (o router) um roteador padro. ----------------------- Pgina 200----------- -----------4-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Observao: importante para planejar a implementao cuidadosamente IS ATAP; todos os ns sero conectados para a mesma sub-rede IPv6 e conscincia AD DS local configurado com o Active Directory Sites e Servios snap-in ser perdido a menos que tambm configurado para ISATAP equivalentes sub-redes. Por este motivo e outros, a Microsoft recomenda que voc use ape nas para ISATAP limitado testes, ao invs de Intranet implantao de largura, e ao invs implan tar suporte IPv6 nativo para a sua intranet. ----------------------- Pgina 201----------- -----------Configu rao e Soluo de problemas IPv6 TCP / IP 4-31

O que 6to4?

O 6to4 uma tecnologia que voc pode usar para fornecer conectividade IPv6 unicast entre sites e hosts IPv6 atravs da Internet IPv4. 6to4 trata a Internet IPv4 inteiro como um nico link.

Em um endereo 6to4 (2002: WWXX: YYZZ: Subnet_ID: Interface_ID), WWXX: YYZZ o clon hexadecimal representao wxyz, um endereo IPv4 pblico.

Funcionalidade do roteador 6to4 no Windows

Quando voc habilita o Internet Connection Sharing (ICS) em um computador rodando Windows, o seguinte ocorre:

Permite o encaminhamento IPv6 nas interfaces de encapsulamento 6to4 e privado.

A interface privada se conecta a uma intranet de sub-rede nica e usa endereos IPv4 privados da Prefixo 192.168.0.0/24.

Determina a 64-bit sub-rede prefixo IPv6 para anunciar na intranet privada.

O componente 6to4 deriva do prefixo sub-rede intranet de 2002: WWXX: YYZZ: InterfaceIndex :: / 64, em que InterfaceIndex o ndice da i nterface privada.

Envia mensagens de anncio de roteador na interface privada.

As mensagens de anncio de roteador anunciar o Internet Connection Sharing computa dor (ICS) como um padro roteador e contm o prefixo sub-rede derivada 6to4. ----------------------- Pgina 202----------- -----------4-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como 6to4 Tunneling Obras

Dentro de um site, locais roteadores IPv6 anunciar 2002: WWXX: YYZZ: S ubnet_ID :: prefixos / 64 sub-rede para que os hosts endereos 6to4 autoconfigure. Roteadores IPv6 dentro do site entregar o

trfego entre os hosts 6to4. Hosts sub-redes individuais so configuradas automaticamente com uma rota de sub-rede de 64 bits para a entrega direta para os vizinhos e uma rota padro com o endereo do prximo salto do roteador publicidade. Trfego IPv6 que no corresponde qualquer dos prefixos de sub-rede que o site utiliza encaminhado para um roteador 6to4 na fronteira com o site. O 6to4 roteador na fronteira com o site tem uma rota 2002 :: / 16 que encami nha o trfego para outros sites 6to4 e uma rota default (:: / 0) que encaminha o trfego para uma retransmisso 6to4 na Internet IPv4.

Exemplo

Na rede de exemplo mostrado no slide, o Host A e Host B podem se comu nicar uns com os outros porque de uma rota default usando o endereo do prximo salto do roteador 6to4 n o Site 1. Quando o host A se comunica com C Anfitrio em outro site, o Host A envia o trfego para o roteador 6t o4 no site 1 como pacotes IPv6. O 6to4 router no Site 1, usando a rota 2002 :: / 16 na sua tabela de roteame nto e da interface tnel 6to4, encapsula o trfego com um cabealho IPv4 e tneis para o roteador 6to4 no site 2. O r oteador 6to4 no site 2 recebe o trfego de tnel, remove o cabealho IPv4 e, atravs da via sub-rede prefixo em sua tabela de roteamento, encaminha o pacote IPv6 ao Host C.

Por exemplo, o Host A reside na sub-rede dentro de um Site 1 que usa o endereo IPv4 pblico de 157.60.91.123. Anfitrio C reside na sub-rede 2 no Site 2 que usa o endereo IPv4 pblico 131.107.210.49. A tabela que aparece no slide, lista os endereos nos cabealhos IPv4 e IPv6 quando o roteador 6to4 no site 1 envia o pacote IPv4-IPv6 encapsulada para o roteador 6to4 no site 2. ----------------------- Pgina 203----------- -----------Config

urao e Soluo de problemas IPv6 TCP / IP 4-33

O que o Teredo?

Teredo tunelamento permite tnel atravs da Internet IPv4-somente quando os clientes esto atrs de um IPv4 NAT. Teredo foi criado porque as conexes de Internet muitos usam endereos IPv4 pri vados por trs de um NAT. Teredo uma tecnologia de transio de ltimo recurso para a conectividade IPv6. Se o I Pv6 nativas, ISATAP, ou 6to4

conectividade est presente entre os ns de comunicao, Teredo no utilizado. medida que mais NATs IPv4 so atualizado para suportar o 6to4, e conectividade IPv6 se torna onipresente, Tere do ser utilizado com menos freqncia, at que finalmente ele no usado em tudo.

Componentes Teredo

Os componentes Teredo so como se segue:

O cliente Teredo: Suporta uma interface Teredo tunelamento atravs da qual os paco tes so encapsulados para outro Clientes Teredo ou ns na Internet IPv6 atravs de um rel Teredo.

Teredo servidor: Conecta-se Internet IPv4 e IPv6. O papel do servidor Teredo aux iliar na configurao inicial Teredo cliente e facilitar a comunicao inicial entre o Te redo clientes em locais diferentes ou entre clientes Teredo IPv6 e somente hosts na Internet IPv6.

Teredo rel: encaminha pacotes entre clientes Teredo na Internet IPv4 e IPv6 somen te hosts a Internet IPv6.

especfica do host Teredo rel: tem interfaces, e se conecta, a Internet IPv4 e IPv6 . Alm disso, ele pode se comunicar diretamente com clientes Teredo atravs da In ternet IPv4 sem precisar um rel Teredo intermedirio. A conectividade com a Internet IPv4 pode ser atra vs de um IPv4 pblico endereo ou atravs de um endereo IPv4 privado e NAT vizinho. A conectividade co m o IPv6 Internet pode ser atravs de uma ligao directa Internet IPv6 ou atravs de uma tr ansio para IPv6 tecnologia, como 6to4. ----------------------- Pgina 204----------- -----------4-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que portproxy?

Voc pode usar o servio portproxy como um gateway de camada de aplicao para ns ou aplicativos que no suportar IPv6. Portproxy facilita a comunicao entre os ns ou aplicativos que no podem se conectar utilizando um tipo de endereo comum, camada de protocolo Internet (IPv4 ou IPv6), ea porta TCP. Este seu primeiro servio objetivo permitir que ns IPv6 se comuniquem com aplicaes IPv4 somente TCP .

Portproxy consegue os dados de proxy apenas TCP, e suporta apenas os p rotocolos da camada de aplicao que no incorporar endereo ou porta informaes dentro dos dados de camada de aplic ao. Portproxy no pode mudar de endereo o tecnologias de encapsulamento para resolver muitos dos problemas que n ormalmente seria de endereos usando portproxy.

informao ao nvel da aplicao e no flexvel. Alm disso, voc se sair melhor

Algumas reas onde portproxy podem ser teis e fornecer solues durante uma f ase de transio incluem:

Um n IPv4-s pode acessar um n IPv6-only.

Um n IPv6 s pode acessar um n IPv4-only.

Um n IPv6 pode acessar um servio de IPv4-only que est sendo executado em um computador portproxy. ----------------------- Pgina 205----------- -----------C onfigurao e Soluo de problemas IPv6 TCP / IP 4-35

Lab A: Configurando um Roteador ISATAP

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-RTR e 6421B-NYC-CL2.

Cenrio Lab

Contoso decidiu iniciar o processo de migrao de sua rede para IPv6. Sua t arefa inicial provar o princpio da migrao, configurando um nico computador cliente para o IPv6.

Para este projeto, voc deve completar as seguintes tarefas:

Configurar uma nova rede IPv6 e cliente.

Configurar um Roteador ISATAP para permitir a comunicao entre uma rede IP v4 e um IPv6 rede ----------------------- Pgina 206----------- -----------4-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 1: Configurar uma nova rede IPv6 e Cliente

Remoto

Neste exerccio, voc ir configurar NYC CL2, como um cliente IPv6-only.

As principais funes para este exerccio so como se segue:

1.

Configurar IPv4 Routing.

2.

Ativar roteamento IP em NYC-RTR e confirme IPv4 conectividade.

3.

Desativar o IPv6 em NYC DC1.

4.

Desativar IPv4 em NYC-CL2.

5. Configurar um anncio de roteador IPv6 para o endereo global 2001: d b8: 0:1 :: / 64 em rede NYC RTR.

6. Verifique a configurao IP em NYC-CL2 para garantir que ele est confi gurado com um endereo IPv6 global em o 2001: db8: 0:1 :: / 64 rede.

Tarefa 1: Configurar IPv4 Routing

1.

Mudar para NYC-CL2.

2.

Verifique Conexo de rea Local 3 propriedades:

Endereo IP: 172.16.16.3

Mscara de sub-rede: 255.255.255.0

Gateway padro: 172.16.16.1

Servidor DNS preferencial: 10.10.0.10

3.

Feche todas as janelas abertas.

4.

Mudar para NYC DC1.

5.

Verifique Conexo de rea Local 2 propriedades:

Gateway padro: 10.10.0.1

6.

Feche todas as janelas abertas.

Tarefa 2: Ativar roteamento IP em NYC-RTR e Confirmar IPv4 Conectivida de

1.

Mudar para NYC RTR.

2.

Abra o Editor do Registro.

3. es> Tcpip>

Configure o HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Servic Parmetros> IPEnableRouter valor como 1.

4.

Feche o editor do Registro.

5.

Reinicie NYC RTR.

6. is:

Depois de NYC RTR-reiniciado, faa logon com as seguintes credencia

Nome de usurio: Administrador

Senha: Pa $ $ w0rd ----------------------- Pgina 207----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-37

Observao Neste ponto, apenas o trfego IPv4 encaminhado atravs da infra-estrutu ra de roteamento IPv4. Porque ICMPv4 o trfego bloqueado pelo Firewall do Windows por padro, voc no po de testar conectividade com o ping.

Tarefa 3: Desativar o IPv6 em NYC-DC1

1.

Mudar para NYC DC1.

2. Desabilitar IPv6 sobre a Conexo de rea Local 2, limpando o Internet Protocol Version 6 (TCP/IPv6) caixa de seleo Conexo de rea Local 2 Propriedades.

Tarefa 4: Desativar IPv4 em NYC-CL2

1.

Mudar para NYC-CL2.

2. Desativar IPv4 no dia 3 de Conexo Local, limpando o Internet Protocol Versio n 4 (TCP/IPv4) caixa de seleo Conexo de rea Local 3 Propriedades.

3.

Abra um comando prompt, digite ipconfig e pressione ENTER.

Nota: A sada deve ser um link-local endereo IPv6 que comea com FE80.

Tarefa 5: Configurar um anncio de roteador IPv6 para o endereo global 2001: db8: 0:1 :: / 64 da rede em NYC-RTR

1.

Mudar para NYC RTR.

2.

Abra um prompt de comando e digite os seguintes comandos.

netsh interface ipv6 set interface "Conexo de rea Local 3" forwarding = enab led anunciar = habilitado

netsh interface ipv6 adicionar a rota 2001: db8: 0:1 :: / 64 "Conexo de rea Local 3" publicar = yes

Tarefa 6: Verifique a configurao IP em NYC-CL2 para garantir que ele est configurad o com um Endereo IPv6 global em 2001: db8: 0:1 :: / 64 da rede

1.

Mudar para NYC-CL2.

2.

No comando prompt, digite ipconfig e pressione ENTER.

Nota: A sada deve ser um link-local endereo IPv6 que comea com FE80. Dois IP global endereos que comeam com 2001: db8: 0:1: tambm deve ser includo na sada.

3.

Feche o prompt de comando.

Resultados: No final deste exerccio, voc ter configurado NYC-CL2 para IPv6 apenas. ----------------------- Pgina 208----------- -----------4-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: Configurando um Roteador ISATAP para permitir a comunicao Entre uma rede IPv4 e uma rede IPv6

Remoto

Neste exerccio, voc ir configurar ISATAP para permitir a conectividade en tre o cliente eo novo IPv6 IPv4 restantes clientes, incluindo NYC DC1.

As principais funes para este exerccio so como se segue:

1.

Adicione a entrada ISATAP na zona DNS em NYC-DC1.

2.

Configure o roteador ISATAP em NYC-RTR.

3.

Ative a interface ISATAP em NYC-DC1.

4.

Testar conexo

Tarefa 1: Adicione a entrada ISATAP na zona DNS em NYC-DC1

1.

Mudar para NYC DC1.

2.

Adicionar um novo registro host no DNS:

Zona: Contoso.com

Nome: ISATAP

Endereo IP: 10.10.0.1

Tarefa 2: Configurar o roteador ISATAP em NYC-RTR

Observao: Quando substituindo o Interface_Index seguinte, certifiq ue-se que voc digite sua

Interface_Index com os suportes {} em ambos os lados.

1.

Mudar para NYC RTR.

2. Mude para o prompt de comando. Digite cada um dos seguintes comand os e pressione ENTER aps cada comando:

Netsh interface ipv6 isatap definir roteador 10.10.0.1

ipconfig

3. Localize o adaptador ISATAP do tnel. {Interface_Index}: que tem um endereo IPv6 link-local que contm 10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.

ndice de Interface:

4. Digite o seguinte comando, substituindo Interface_Index com o nmero (e chaves {}) que voc registrado anteriormente, em seguida, pressione ENTER:

netsh interface ipv6 set interface ISATAP ".Interface_Index enca minhamento "= habilitado anunciar = habilitado ----------------------- Pgina 209----------- -----------Configurao e S oluo de problemas IPv6 TCP / IP 4-39

5. No prompt de comando, digite o seguinte comando, substituindo Interface_Ind ex com o nmero (E entre chaves {}) que voc anotou anteriormente, e ento pressione ENTER:

netsh interface ipv6 adicionar a rota 2001: db8: 00:10 :: / 64 "isatap.Int erface_Index " publicar = yes

6. :

Reinicie NYC RTR e, em seguida, fazer logon usando as seguintes credenciais

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

7.

Abra um prompt de comando ipconfig e digite e pressione ENTER.

Observao O adaptador de tnel associado com a rede 10.10.0.0/16 ir exibir uma I Pv6 Endereo em 2001: db8: 0:10 gama.

Tarefa 3: Ative a interface ISATAP em NYC-DC1

1.

Mudar para NYC DC1.

2.

Abra um prompt de comando e digite os seguintes comandos:

Netsh interface isatap definir roteador 10.10.0.1

ipconfig

Observao: O Adaptador de tnel isatap {} Interface_Index (que o adaptador ISAT AP) tem recebidas automaticamente um endereo IPv6 do roteador ISATAP.

Tarefa 4: Teste a conectividade

1.

Em NYC-DC1, abra o Firewall do Windows com Segurana Avanada.

2.

Criar uma nova regra de entrada com as seguintes propriedades:

Tipo de Regra: Custom

Programa: Default

Protocolos e portas: Protocolo> ICMPv4

Alcance: padro

Aco: Padro

Perfil: Padro

Nome: Permitir PING

3.

Mudar para NYC-CL2.

4.

Abra um prompt de comando e digite os seguintes comandos:

Ping 2001: db8: 0:10:0:5 EFE: 10.10.0.10

ipconfig

Qual o endereo IPv6? Escrev-lo aqui.

----------------------- Pgina 210----------- -----------4-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

5.

Firewall do Windows aberta com Segurana Avanada.

6.

Criar uma nova regra de entrada com as seguintes propriedades:

Tipo de Regra: Custom

Programa: Default

Os protocolos e as portas: Protocolo> ICMPv6

Alcance: padro

Aco: Padro

Perfil: Padro

Nome: Permitir PING

7.

Mudar para NYC DC1.

8. Abra um prompt de comando, IPv6_address Ping tipo e em seguida pr essione ENTER.

Onde IPv6_address o endereo IPv6 em NYC-CL2 voc anotou anteriorment e.

Resultados: No final deste exerccio, voc ter configurado ISATAP.

Preparao para o prximo laboratrio

No desligue as mquinas virtuais nesse momento, pois voc vai precisar dele s para completar a prxima LABORATRIO ----------------------- Pgina 211----------- -----------C onfigurao e Soluo de problemas IPv6 TCP / IP 4-41

Lio 5 A transio do IPv4 para o IPv6

A transio do IPv4 para o IPv6 deve levar anos. IPv4 continua a ser o pad ro IP para a maioria dos aplicaes e servios de Internet em uso hoje. No entanto, as redes mais e m ais aplicativos podem funcionam bem em um ambiente compatvel com IPv6, como o Windows 7 e Win dows Server 2008 R2 so adotadas mais amplamente. Nesta lio, voc aprender sobre as questes que voc deve consi derar ao fazer a transio para IPv6 e rever as medidas necessrias para a transio para uma infra-estrutur a compatvel com IPv6.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever as consideraes para a migrao do IPv4 para o IPv6.

Descrever um processo para efetivamente fazer a transio para IPv6 nativo .

Solucionar problemas de uma rede baseada em IPv6.

----------------------- Pgina 212----------- -----------4-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Discusso: Consideraes sobre a migrao do IPv4 para o IPv6

Ao migrar de IPv4 para IPv6, voc deve considerar os aplicativos que voc usar, sua rede dispositivos e atualizaes de dispositivos potenciais que podem ocorrer. ----------------------- Pgina 213----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-43

Processo de Transio para IPv6-only

A migrao do IPv4 para o IPv6 dever levar um tempo considervel. Isto foi tomado em co nsiderao aquando da concepo IPv6 e, como resultado, o plano de transio para IPv6 um processo em vrias etapas, que permite convivncia prolongada.

Para atingir a meta de um ambiente puramente IPv6, use as seguintes diretrizes g erais:

Atualize seus aplicativos para ser independente do IPv6 ou IPv4. Por exemplo, as aplicaes podem ser alterados para usar novos sockets do Windows interfaces de programao de aplic ativo (APIs) para que o nome

resoluo, a criao de socket, e outras funes so independentes, independentemente de voc estiver usando IPv4 ou IPv6.

Atualizar a infra-estrutura DNS para suportar IPv6 e PTR. Voc pode ter que atualizar a infra-estrutura DNS para suportar os novos registros AAAA (obri gatrio) e PTR no

IP6.ARPA reversa domnio (opcional). Alm disso, garantir que o DNS servidores suporte o trfego de DNS sobre IPv6 e atualizao dinmica de DNS para registros AAAA para que os hosts IP v6 podem registar os seus nomes e Endereos IPv6 automaticamente.

Atualizar hosts para ns IPv6/IPv4. Voc deve atualizar hosts para usar IPv4 e IPv6. Voc tambm deve adicionar o suporte DNS resolver para processar os resultados da consu lta DNS que contm tanto IPv4 e IPv6 Endereos Voc pode implantar ISATAP em uma capacidade limitada para testar IPv 6 e funcionalidade DNS.

Atualizao de roteamento infra-estrutura para o roteamento IPv6 nativo. Voc deve atu alizar roteadores para apoiar IPv6 nativa de roteamento e protocolos de roteamento IPv6. ----------------------- Pgina 214----------- -----------4-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Soluo de problemas IPv6

Para solucionar o IPv6, dependendo do problema, voc pode:

Comece na parte inferior da pilha e se mover para cima.

Comece no topo da pilha e mover para baixo.

Ao iniciar no topo da pilha, os mtodos que voc pode usar para solucionar IPv6 incluem:

Verificar a conectividade IPv6.

Verifique se a resoluo de DNS para endereos IPv6.

Verifique sesses IPv6 baseados em TCP.

Verificando a conectividade IPv6

Voc pode usar as seguintes tarefas para solucionar problemas de conecti vidade IPv6:

Verifique se a configurao

Verifique a acessibilidade

Verifique se a filtragem de pacotes

Ver e gerenciar a tabela de roteamento IPv6

Verifique a confiabilidade do roteador

Verificar a configurao

Ipconfig mostra tanto IPv4 e IPv6. Comandos no contexto netsh interfac e IPv6 apenas mostrar dados IPv6. Voc tambm pode usar o Netsh.exe para ver os dados de outro computador de configurao IPv6. Voc pode obter informaes significativas usando Netsh.exe, e us-lo para configurar as def inies mais IPv6. Para acessar o NETSH IPv6 configurao prompt, digite: netsh-c "interface ipv6". ----------------------- Pgina 215----------- -----------Config urao e Soluo de problemas IPv6 TCP / IP 4-45

Verifique acessibilidade

Se o carto de um dispositivo de rede mudou, possvel que o endereo de hardware no foi atualizado no cache do computador que est tentando se conectar.

Ping tambm foi atualizado para o IPv6. Se voc precisar pingar um roteador IPv6 usa ndo o endereo link-local, voc deve tambm fornecer um ID de zona do router (o que listado quando voc executa uma Ipconfig).

Alm de verificar a acessibilidade, voc pode:

Verifique se a filtragem de pacotes:

Verifique se h polticas IPsec

Verifique a configurao de firewalls

Verifique roteadores e firewalls intermedirios para filtros de porta

Veja a tabela de roteamento IPv6. Este um passo bastante avanado que lhe permite discernir onde sua computador est tentando enviar dados especficos da rede.

Verifique se o caminho de roteamento tomadas usando a ferramenta Tracert.

Verifique a confiabilidade roteador usando a ferramenta Pathping. Este um mtodo p ara detectar gargalos ou mal configurado o hardware de rede.

Verificando a resoluo de nomes DNS para endereos IPv6

Ao verificar a conectividade da rede de servios, voc pode usar muitas das mesmas f

erramentas e softwares como com IPv4.

Quando a verificao de resoluo de DNS de configurao e nome, voc pode verificar a config rao do DNS utilizando as seguintes ferramentas:

ipconfig / all: A exibio do comando ipconfig / all inclui endereos IPv6, os roteado res padro e Configuraes de DNS para todas as interfaces. A ferramenta Ipconfig s funciona no computador local.

Ipconfig / displaydns e ipconfig / flushdns: Use estes comandos para exibir e li berar o DNS cliente resolver-cache.

Observao: Este o mesmo para IPv4.

Ping: Use a ferramenta Ping para testar a resoluo de nomes DNS. Certifique-se de p ing no nome do IPv6.

Nslookup: Use a ferramenta Nslookup para visualizar respostas do servidor DNS. D efina a consulta para procurar AAAA registros com o type = AAAA opo.

Verificando conexes IPv6 baseados em TCP

Para verificar as conexes IPv6 baseados em TCP:

Verifique se a filtragem de pacotes: Este o mesmo processo que para verificar a conectividade IPv6, mas s vezes a filtragem de pacotes ir bloquear um tipo de conexo de entrada, tais como File Transfer Protocol (FTP), mas permitir que a porta 80 (HTTP). Tambm pode bloquear solicitaes ping .

Verifique se TCP estabelecimento da ligao (Telnet): Para verificar uma conexo TCP e

m certas circunstncias, tais como os mencionados anteriormente, use o Microsoft cliente Telnet para conectar diretamente para o endereo ea porta do servio que est sendo investigada. Por exemplo: telnet 2001: db8 : : 1 80. ----------------------- Pgina 216----------- -----------4-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lab B: Convertendo a rede para IPv6 nativo

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. As mquinas virtuais deve ser executado aps a concluso do Laboratrio A.

Cenrio Lab

O piloto correu bem. Seu gerente lhe pediu para converter a rede para IPv6. Sua tarefa para desativar ISATAP e ativar o roteamento IPv6 nativo.

Para este projeto, voc deve transio para uma rede IPv6 nativa. ----------------------- Pgina 217----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-47

Exerccio 1: Transio para uma rede IPv6 nativa

Remoto

Neste exerccio, voc ir desativar ISATAP e IPv4, e depois ativar o IPv6.

As principais funes para este exerccio so como se segue:

1.

Desativar o roteador ISATAP em NYC-RTR.

2.

Configure o roteador IPv6 nativo em NYC-RTR.

3.

Desativar IPv4 conectividade.

4.

Teste a conectividade entre cada sub-rede IPv6.

Tarefa 1: Desativar o roteador ISATAP em NYC-RTR

Observao: Quando substituindo o Interface_Index seguinte, certifique-se que voc digite sua Interface_Index com os suportes {} em ambos os lados.

1.

Mudar para NYC RTR.

2.

Abra um prompt de comando e digite os seguintes comandos.

ipconfig

3. Localize o adaptador ISATAP do tnel. {Interface_Index}: que tem um endereo IP v6 link-local que contm 10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.

ndice de Interface:

4. Digite os seguintes comandos, substituindo Interface_Index com o nmero (e ch aves {}) que voc

registrado anteriormente.

netsh interface ipv6 set interface ISATAP ".Interface_Index encaminhament o "= desativado anunciar = desativado

netsh interface ipv6 Delete Route 2001: db8: 00:10 :: / 64 "isatap.Interf ace_Index "

Tarefa 2: Configurar o roteador IPv6 nativo em NYC-RTR

Abra um prompt de comando e digite os seguintes comandos.

netsh interface ipv6 set interface "Local Area Connection 2" forwarding = enabled anunciar = habilitado

netsh interface ipv6 adicionar a rota 2001: db8: 0:0 :: / 64 "Conexo de rea Local 2" publicar = yes

Tarefa 3: Desativar IPv4 conectividade

1. Desativar IPv4 no 2 Local Area Connection, limpando o Internet Protocol Ver sion 4 (TCP/IPv4) caixa de seleo Conexo de rea Local 2 Propriedades.

2.

Mudar para NYC DC1.

----------------------- Pgina 218----------- -----------4-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

3.

Desativar IPv4 no 2 Local Area Connection, limpando o Internet Pr

otocol Version 4 (TCP/IPv4) caixa de seleo Conexo de rea Local 2 Propriedades.

4. Habilitar IPv6 na Conexo de rea Local 2 selecionando o Internet Pro tocol verso 6 (TCP/IPv6) caixa de seleo na Conexo de rea Local 2 Propriedades.

Tarefa 4: Teste a conectividade entre cada sub-rede IPv6

1.

Firewall do Windows aberta com Segurana Avanada.

2.

Criar uma nova regra de entrada com as seguintes propriedades:

Tipo de Regra: Custom

Programa: Default

Os protocolos e as portas: Protocolo> ICMPv6

Alcance: padro

Aco: Padro

Perfil: Padro

Nome: Permitir PING para IPv6

3.

No comando prompt, digite ipconfig e pressione ENTER.

Anote o novo endereo IPv6 (endereo global comea com 2001 :) atribudo Conexo de rea Local

2. Anote o endereo IPv6 no espao abaixo.

NYC-DC1 endereo IPv6: ____________________________________________ _

4.

Mudar para NYC-CL2.

5. Abra um prompt de comando, global_IP_address Ping tipo e em segui da pressione ENTER.

Onde global_IP_address a NYC-DC1 endereo que voc anotou anteriormen te.

6.

No comando prompt, digite ipconfig / all e pressione ENTER:

Anote o endereo IPv6 (endereo global comea com 2001 :) atribudo Conexo Local 2. Anote o endereo IPv6 no espao abaixo.

NYC-CL2 endereo IPv6: ____________________________________________ _

7.

Mudar para NYC DC1 e mudar para o Prompt de Comando.

8. Abra um prompt de comando, global_IP_address Ping tipo e em segui da pressione ENTER

Onde global_IP_address a NYC-CL2 endereo que voc anotou anteriormen te.

Resultados: No final deste exerccio, voc ter configurado uma rede IPv6 ap enas.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-RTR e 6421B-NYC-CL2.

----------------------- Pgina 219----------- -----------Configurao e Soluo de problemas IPv6 TCP / IP 4-49

Reviso do mdulo e Takeaways

Questes de Reviso

1.

Quais so os diferentes tipos de endereos IPv6 unicast?

2.

Quais so as principais razes pelas quais IPv6 necessrio?

3. reo IPv6?

Qual o processo chamado quando um cliente se configura com um ende

4. Que tipo de endereo IP que cada cliente IPv6 automaticamente atribu ir a si mesma?

5. Como o escopo de um endereo de afectar a sua capacidade para se com unicar em uma sub-rede conectada localmente?

6.

Qual o propsito principal de Teredo?

Ferramentas

Usar a ferramenta para

IPconfig fornece dados para IPv4 e IPv6.

Route Fornece informaes bsicas sobre IPv4 e IPv6 tabelas de roteamento.

Netsh Fornece informaes detalhadas sobre a configurao IPv6, e o principa l ferramenta usada para configurar o IPv6 no Wi ndows Server 2008 e Windows Vista. Voc tambm pode usar esta ferramenta de linha de comando para configurar um roteador IPv6. ----------------------- Pgina 220----------- -----------4-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 221----------- -----------5.1%

Mdulo 5

Configurando e solucionando problemas de roteamento e remoto Acesso

Contedo:

Lio 1: Configurando acesso rede 5-3

Lio 2: Configurando VPN Acesso 5-12

Lio 3: Viso geral de polticas de rede 5-22

Lio 4: Viso geral do Connection Manager Administration Kit 5-28

Lio 5: Solucionando problemas de roteamento e acesso remoto 5-33

Lab A: Configurando e Gerenciando o acesso de rede 5-43

Lio 6: Configurando DirectAccess 5-50

Lab B: Configurando e Gerenciando DirectAccess 5-65 ----------------------- Pgina 222----------- -----------5-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

Para apoiar a fora de trabalho distribuda de sua organizao, voc deve se fam iliarizar com as tecnologias que permitir que usurios remotos se conectem a infra-estrutura de rede da o rganizao. Essas tecnologias incluem redes privadas virtuais (VPNs) e DirectAccess. importante que voc enten da como configurar e proteger seus clientes de acesso remoto atravs de polticas de rede. Es te mdulo explora estes remoto acesso a tecnologias.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Configurar o acesso rede.

Criar e configurar uma soluo de VPN.

Descrever o papel das polticas de rede.

Use o Kit de Administrao do Manager para criar e configurar perfis de co nexo do cliente.

Solucionar problemas de roteamento e acesso remoto.

Implementar o DirectAccess. ----------------------- Pgina 223----------- -----------Configurao e Sol uo de Problemas de Roteamento e Acesso Remoto 5-3

Lio 1 Configurando acesso rede

importante que voc capaz de instalar e configurar os componentes necessri os que suportam rede acesso em uma rede Windows Server 2008 R2.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os componentes de uma Rede de Servios de Infraestrutura Access .

Descrever a poltica de rede e Funo de Servios de Acesso.

Descrever o roteamento e acesso remoto.

Explique a autenticao de rede de acesso e autorizao.

Explicar os tipos de mtodos de autenticao que so usados

para acesso rede.

Explique como servidores DHCP so usados emoto.

com servio de roteamento e acesso r

----------------------- Pgina 224----------- -----------Infra-estrutura Configurao e Soluo de Problemas no Windows Server 2008 Rede 5-4

Componentes de uma Rede de Servios de Infraestrutura de Acesso

A infra-estrutura subjacente em uma rede de infra-estrutura de acesso completo Services no Windows Server 2008 R2 geralmente inclui os seguintes componentes:

VPN Server: Fornece conectividade de acesso remoto baseado em vrios pro tocolos de encapsulamento VPN ao longo de um rede pblica, como a Internet.

Active Directory Domain Services (AD DS): As solicitaes de servios de aut enticao de acesso remoto as tentativas de conexo do cliente.

Dynamic Host Configuration Protocol (DHCP): Fornece aceite acesso remo to de entrada conexes com uma configurao de IP para conectividade de rede para a r ede local corporativa LAN

Servidor de Diretivas de Rede: Fornece servios de autenticao de component es de acesso de rede.

Network Access Protection (NAP) componentes:

NAP Servidor Poltica de Sade: Avalia a sade do sistema contra as polt icas de sade configuradas que descrever os requisitos de sade e comportamentos de execuo, com o a exigncia de que a ligao clientes tem de ser compatvel antes de ganhar acesso rede.

Autoridade de Registro: Obtm certificados sanitrios para os cliente s que passam a poltica de sade Verificao

Remediao Servidores: Prestar servios de correo para aqueles clientes q ue no atendem a sade requisitos para a rede corporativa. Servidores de remediao so s ervidores especiais em um nmero limitado rede ----------------------- Pgina 225----------- -----------Configurao e Soluo de Problemas de Roteamento e Acesso Remoto 5-5

Qual a poltica de rede e Funo de Servios de Acesso?

A Diretiva de Rede e Acesso aos Servios de papel no Windows Server 2008 R2 fornec e a rede seguinte solues de conectividade:

Aplicar as polticas de sade: Estabelecer e aplicar automaticamente as polticas de s ade, que podem incluir requisitos de software, requisitos de atualizao de segurana, configuraes de comp utador necessrios, e outros

configuraes.

Ajudar a proteger o acesso com e sem fio: Quando voc implanta 802.1X pontos de ac esso sem fio seguro acesso sem fio oferece aos usurios sem fio com um certificado de seguro ou a utenticao baseada em senha mtodo que simples de implantar. Quando voc implantar switches de autenticao 802 .1X, o acesso com fio permite-lhe proteger a sua rede, garantindo que os usurios da intranet so aut enticados antes de poderem conectar rede ou obter um endereo IP usando DHCP.

Fornecer solues de acesso remoto: Com as solues de acesso remoto, voc pode fornecer a os usurios com VPN e acesso dial-up tradicional rede da organizao. Voc tambm pode conectar filiais para sua rede com solues VPN, implantar roteadores full-featured software em sua r ede, e compartilhar Ligaes Internet atravs da intranet.

Centralize o gerenciamento de polticas de rede com o servidor RADIUS e proxy: Em vez de configurar poltica de acesso rede em cada servidor de acesso rede, como pontos de acess o sem fio, 802.1X comutadores de autenticao, servidores VPN e servidores dial-up, voc pode criar polticas em um nico local que especificam todos os aspectos de pedidos de conexo de rede, incluindo qu em tem permisso para se conectar, quando eles podem se conectar, eo nvel de segurana que devem usar para se conectar a sua rede. ----------------------- Pgina 226----------- -----------5-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que Roteamento e Acesso Remoto?

Com o Roteamento e Acesso Remoto, voc pode implantar:

VPN e dial-up servios de acesso remoto

Multiprotocol LAN-to-LAN, LAN-to-Wide Area Network (WAN), VPN, e traduo de endereos de rede (NAT) servios de roteamento

Voc pode implantar as seguintes tecnologias durante a instalao do Roteame nto e Acesso Remoto Papel de servio:

Servio de acesso remoto: Usando Roteamento e Acesso Remoto, voc pode imp lantar conexes VPN para fornecer aos usurios finais acesso remoto rede da sua organizao. Voc tambm pode criar um site-toconexo do site VPN entre dois servidores em locais diferentes. Con figure cada servidor com Roteamento e acesso remoto para enviar dados privados de forma segura. A lig ao entre os dois servidores pode ser persistente (sempre ativada) ou sob demanda (discagem por demanda ).

Acesso Remoto tambm fornece acesso dial-up remoto tradicional para suporte a usurios mveis ou usurios domsticos que estiverem discando para intranets de uma organizao, embora esta seja hoje menos utilizados.

roteamento: fornece um roteador software full-featured e uma plataform a aberta para roteamento e internetworking. Oferece servios de roteamento a empresas em ambie ntes LAN e WAN.

Quando voc escolhe roteamento, voc tambm pode optar por utilizar Net work Address Translation (NAT). Quando voc implantar o NAT, o servidor que esteja executando o Roteamento e Acesso Remoto configurado para compartilhar uma Internet

conexo com computadores na rede privada e de traduzir o trfego entr e seu endereo pblico ea rede privada. Ao usar o NAT, os computadores da rede privada g anhar alguma medida de proteo, pois o roteador em que voc configurar NAT no encaminhar trfego da Internet na rede privada, a menos que um cliente solicita rede privada ou o trfego ser permitido de forma explcita.

Quando voc implanta VPN e NAT, configurar o servidor que esteja ex ecutando o Roteamento e Acesso Remoto para fornecer NAT para a rede privada e para aceitar conexes VPN. Computadores na Internet no ser capaz de determinar os endereos IP dos computadores na rede p rivada. No entanto, VPN ----------------------- Pgina 227----------- -----------Configurao e Soluo d e Problemas de Roteamento e Acesso Remoto 5-7

os clientes podero se conectar a computadores da rede privada como se estivessem fisicamente em anexo mesma rede. ----------------------- Pgina 228----------- -----------5-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Autenticao de Rede e Autorizao

A distino entre autenticao e autorizao importante para entender por conexo tentativas so aceitos ou negados:

Autenticao a verificao de credenciais a tentativa de conexo. Este processo consiste em enviar as credenciais do cliente de acesso remoto ao servidor de acesso remoto em qualquer texto simples

ou de forma criptografada usando um protocolo de autenticao.

Autorizao a constatao de que a tentativa de conexo permitida. A autoriza rre aps autenticao bem-sucedida.

Para uma tentativa de conexo para ser aceita, a tentativa de conexo deve ser autenticado e autorizado. possvel que a tentativa de conexo para ser autenticado usando credenciai s vlidas, mas no autorizado, neste caso, a tentativa de conexo ser negada.

Se voc configurar um servidor de acesso remoto para autenticao do Windows , os recursos de segurana do Windows Server 2008 R2 verificar as credenciais de autenticao, enquanto discagem da conta do usurio propriedades e localmente armazenados de acesso remoto polticas autorizar a conexo. Se a tentativa de conexo for autenticada e autorizada, a tentativa de conexo aceita.

Se voc configurar o servidor de acesso remoto para autenticao RADIUS, as credenciais da tentativa de conexo

so passados para o servidor RADIUS para autenticao e autorizao. Se a tentati a de conexo ao mesmo tempo autenticado e autorizado, o servidor RADIUS envia uma mensagem de volt a para aceitar o acesso remoto servidor ea tentativa de conexo aceita. Se a tentativa de conexo no for a utenticada ou no autorizado, o servidor RADIUS envia uma mensagem de rejeio de volta pa ra o servidor de acesso remoto eo tentativa de conexo ser rejeitada. ----------------------- Pgina 229----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e Acesso Remoto 5-9

Tipos de mtodos de autenticao

A autenticao de clientes de acesso uma questo de segurana importante. Mtodos de auten ticao normalmente usam um protocolo de autenticao que negociado durante o processo de estabelecimento da conexo.

PAP

Password Authentication Protocol (PAP) usa senhas em texto puro e a autenticao men os seguro protocol Ele normalmente negociado se o cliente de acesso remoto eo servidor de acesso remoto no pode negociar um forma mais segura de validao. PAP est includo no Microsoft Windows Server 2008 R2 pa ra o seguinte razes:

Clientes de acesso remoto que estejam executando o Microsoft Windows de 32 bits sistemas operacionais pode se conectar a mais antigos servidores de acesso remoto que no suportam um protocolo de aut enticao segura.

Os Clientes de acesso remoto que estejam executando sistemas operacionais Micros oft que no suportam um seguro protocolo de acesso remoto pode se conectar a servidores de acesso remoto q ue estejam executando o Windows 32-bit .

CHAP

O Challenge Handshake Authentication Protocol (CHAP) uma autenticao desafio-respos ta protocolo que usa o padro da indstria Message Digest 5 (MD5) esquema de hashing pa ra criptografar o Resposta de mudana de passo Vrios fornecedores de servidores de acesso rede e clie ntes usar o CHAP.

Um servidor que esteja executando o Roteamento e acesso remoto suporta CHAP para que os clientes de acesso remoto que exigir CHAP sejam autenticados. Como o CHAP requer o uso de uma senha criptograf ada reversvel, deve considerar o uso de outro protocolo de autenticao, tais como MS-CHAP verso 2. ----------------------- Pgina 230----------- -----------5-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

MS-CHAP V2

Handshake da Microsoft Desafio Authentication Protocol (MS-CHAP v2) um one-way senha criptografada, mtua-autenticao processo que funciona como se segue:

1. O autenticador (o servidor de acesso remoto ou o computador que e st executando o Servidor de Diretivas de Rede) envia um desafio ao cliente de acesso remoto que consiste em um i dentificador de sesso e uma arbitrria desafiar string.

2. O cliente de acesso remoto envia uma resposta que contm uma cripto grafia unidirecional da mensagem de seqncia de desafio, a seqncia de desafio de mesmo nvel, o identificado r da sesso ea senha do usurio.

3. O autenticador verifica a resposta do cliente e envia de volta um a resposta contendo uma indicao do sucesso ou fracasso da tentativa de conexo e uma resposta autenticada baseada na seqncia de desafio enviada, a seqncia de desafio de mesmo nvel, a r esposta criptografada do cliente, eo usurio <password>

4. O cliente de acesso remoto verifica a resposta de autenticao e, se estiver correta, usa a conexo. Se

a resposta de autenticao no estiver correta, o cliente de acesso rem oto finaliza a conexo.

Extensible Authentication Protocol

Com o Extensible Authentication Protocol (EAP), um mecanismo de autent icao arbitrrio autentica um conexo de acesso remoto. O cliente de acesso remoto eo autenticador (o servidor de acesso remoto ou o Remote Authentication Dial-In User Service (RADIUS) servidor) neg ociar a autenticao exata esquema para ser utilizado. Roteamento e acesso remoto inclui suporte para o Nvel de Segurana EAP-Transport (EAPTLS) por padro. Voc pode conectar outros mdulos EAP ao servidor que estej a executando o Roteamento e Remoto Acesso prestao de outros mtodos EAP.

Usando cartes inteligentes para acesso remoto

Usando cartes inteligentes para autenticao de usurio a forma mais forte de autenticao do Windows Server 2008 famlia. Para conexes de acesso remoto, voc deve usar o EAP com o car to inteligente ou outro certificado (TLS) Tipo de EAP, tambm conhecido como EAP-TLS.

Para usar cartes inteligentes para autenticao de acesso remoto, voc deve:

Configurar o acesso remoto no servidor de acesso remoto.

Instalar um certificado de computador no computador servidor de acesso remoto.

Configurar o carto inteligente ou outro certificado (TLS) EAP tipo de p olticas de rede.

Habilitar a autenticao de carto inteligente no dial-up ou VPN no cliente de acesso remoto. ----------------------- Pgina 231----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-11

Integrando servidores DHCP com o roteamento e acesso remoto

Voc pode implantar o servio de servidor DHCP com o servio Roteamento e acesso remot o para fornecer remoto acesso a clientes com um endereo IP dinamicamente atribudo durante a conexo. Quando voc usa esses servios juntos no mesmo servidor, as informaes fornecidas durante a configurao dinmica fornec ida de forma que diferente da configurao do DHCP para LAN tpico base de clientes.

Em ambientes de rede local, os clientes DHCP negociar e receber as informaes de co nfigurao a seguir, com base inteiramente de configuraes que voc define no console do DHCP para o servidor DHCP:

Um endereo IP concedido fornecido a partir de um pool de endereos disponveis de um escopo ativo no servidor DHCP. O servidor DHCP gerencia e distribui diretamente o endereo para o cliente DH CP baseado em LAN.

Os parmetros adicionais e outras informaes de configurao que as opes atribudas DHCP concesso de endereo fornecido. Os valores e lista de opes correspondem a tipos de opo que voc configura e atribuir no servidor DHCP.

Quando um servidor de roteamento e acesso remoto fornece configurao dinmica para cl ientes dial-up, ele primeiro executa as seguintes etapas:

Quando o servidor que esteja executando o Roteamento e Acesso Remoto iniciado co m o Uso DHCP para atribuir remoto TCP / IP endereos opo, ele instrui o cliente DHCP para obter 10 endereos IP de um servidor DHCP servidor.

O servidor de acesso remoto usa o primeiro desses 10 endereos IP que so obtidos a partir do DHCP servidor para a interface do servidor de acesso remoto.

Os restantes nove endereos so alocados para TCP / IP baseados em clientes como dis car para estabelecer uma sesso com o servidor de acesso remoto.

Endereos IP que so liberados quando os clientes de acesso remoto desconectar so reu tilizados. Quando todos os 10 endereos IP so usado, o servidor de acesso remoto obtm 10 mais de um servidor DHCP. Quando o Rou ting and Remote Paragens de acesso ao servio, todos os endereos IP que foram obtidos atravs de DHCP so liberados. ----------------------- Pgina 232----------- -----------5-12 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede

Quando o servidor de roteamento e acesso remoto usa esse tipo de cache pr-ativo de concesses de endereo DHCP para clientes dial-up, que registra as seguintes informaes para cada res posta de arrendamento que no obtm a partir da Servidor DHCP:

O endereo IP do servidor DHCP

O cliente alugado endereo IP (para posterior distribuio ao cliente de rot eamento e acesso remoto)

O tempo em que a concesso foi obtida

O tempo em que a concesso expira

A durao da locao

Toda a informao outra opo DHCP que o servidor DHCP retorna-como servidor, escopo ou reserva opes- descartado. Quando o cliente disca para o servidor e solicita um en dereo IP (isto , quando Servidor endereo IP atribudo selecionado), ele usa uma concesso de DHCP e m cache para fornecer ao cliente dial-up com configurao dinmica do endereo IP.

Quando o endereo IP fornecido ao cliente dial-up, o cliente no sabe que o endereo IP tem sido obtidas atravs deste processo intermedirio entre o servidor DHCP eo Rote amento e Remoto Acesso ao servidor. O servidor de roteamento e acesso remoto mantm a co ncesso em nome do cliente. Portanto, a nica informao que o cliente recebe a partir do servidor DHCP o endereo I P.

No dial-up ambientes, os clientes DHCP negociar e receber configurao dinm ica usando o seguinte comportamento modificado:

Um endereo IP concedido pelo roteamento e cache do servidor de acesso r emoto de endereos de escopo DHCP. O Servidor de roteamento e acesso remoto obtm e renova o seu pool de endereos em cache com o servidor DHCP.

Se o servidor DHCP normalmente fornece os parmetros adicionais e outras informaes de configurao que atualmente fornecida atravs de opes atribudas DHCP na concesso de endereo, esta informao retornou ao cliente de roteamento e acesso remoto com base em pro

priedades TCP / IP que so configurados em o servidor de roteamento e acesso remoto.

Observao Os servidores DHCP que executam o Windows Server 2008 R2 fornecer um usurio predefinido classe, o roteamento padro e classe de acesso remoto, para a atri buio de opes que so fornecidas apenas para clientes Roteamento e Acesso Remoto. ----------------------- Pgina 233----------- -----------Configurao e So luo de Problemas de Roteamento e acesso remoto 5-13

Lio 2 Configurando o acesso VPN

Uma VPN fornece uma conexo ponto-a-ponto entre os componentes de uma red e privada atravs de um pblico rede, tal como a Internet. Protocolos de tunelamento permitir que um c liente VPN para estabelecer e manter um conexo a um servidor VPN est ouvindo porta virtual.

Para implementar e suportar um ambiente de VPN dentro de sua organizao, i mportante que voc compreender como selecionar um protocolo adequado de tunelamento, confi gure a autenticao VPN e configurar o Diretiva de Rede e acesso funo de servidor Servios de apoio sua configurao escolhida.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como uma conexo VPN usado para conectar clientes de rede remot a.

Descrever os protocolos de tunelamento utilizados para uma conexo VPN.

Descrever VPN Reconnect.

Descrever os requisitos de configurao para uma conexo VPN.

Criar uma poltica de pedido de ligao nova.

Descrever as tarefas adicionais que podem ser concludas depois de config urar um servidor VPN. ----------------------- Pgina 234----------- -----------5-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que uma conexo VPN?

Para emular uma ligao ponto a ponto, os dados so encapsulados, ou empacot ados, e prefixado com um cabealho, o que cabealho fornece informaes de roteamento que permite que os dados atraves sem a rede partilhada ou pblica para atingir o seu ponto final.

Para emular uma ligao privada, os dados so criptografados para garantir a confidencialidade. Os pacotes que so interceptados na da rede pblica ou partilhada so indecifrveis O link em que o privado sem as chaves de criptografia.

os dados so encapsulados e criptografados conhecida como uma conexo VPN.

Existem dois tipos de conexes VPN:

Acesso remoto

Site-to-site

Acesso remoto VPN

Conexes de acesso remoto VPN permitir que os usurios que trabalham em ca sa do cliente, ou de um pblico ponto de acesso sem fio para acessar um servidor na rede privada da or ganizao usando a infra-estrutura que proporciona uma rede pblica, tal como a Internet.

Do ponto de vista do usurio, a VPN uma conexo ponto-a-ponto entre o comp utador, o VPN cliente e servidor da sua organizao. A infra-estrutura exata da rede com partilhada ou pblica irrelevante porque aparece logicamente como se os dados so enviados atravs de um lin k privado dedicado.

Site-to-Site VPN

Conexes site-to-site VPN, que tambm so conhecidos como conexes de roteador a roteador VPN, permitir que o seu organizao ter conexes roteadas entre escritrios separados ou com outras or ganizaes ao longo de um rede pblica, ajudando a manter comunicaes seguras.

Uma conexo VPN roteada pela Internet opera logicamente como um dedicado wide area network (WAN) link Quando as redes se conectam atravs da Internet, um roteador encami nha pacotes para outro roteador atravs de uma VPN conexo. Para os roteadores, a conexo VPN funciona como uma ligao de camada de enlace de dados. ----------------------- Pgina 235----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-15

Um site-to-site VPN conecta duas partes de uma rede privada. O servidor VPN forn ece um encaminhado ligao rede qual o servidor VPN est conectado. O roteador de chamada (o cliente VPN) se autentica para o roteador de resposta (o servidor VPN), e para autenticao mtua, a responder router autentica-se para o roteador de chamada.

Em um site to-site VPN conexo, os pacotes enviados a partir de qualquer router at ravs da conexo VPN normalmente no se originam nos roteadores.

Propriedades de ligaes VPN

Conexes VPN que usam o protocolo Point-to-Point Tunneling (PPTP), Layer 2 Tunneli ng Protocol com Internet Protocol Security (L2TP/IPsec) e Secure Socket Tunneling Protocol (SSTP ) tem o seguinte Propriedades).

Observao: Esses protocolos de tunelamento so discutidos nos tpicos seguintes.

Encapsulamento: Com a tecnologia VPN, dados privados so encapsulados com um cabeal ho que contm encaminhamento informao que permite que os dados para atravessar a rede de trn sito.

Autenticao: autenticao de conexes VPN tem as seguintes trs formas diferentes:

Autenticao em nvel de usurio usando Point-to-Point Protocol autenticao (PPP).

Para estabelecer a conexo VPN, o servidor VPN autentica o cliente VPN q ue est tentando a conexo usando um mtodo de autenticao PPP em nvel de usurio e verifica se o cliente VPN

tem a devida autorizao. Se voc usar autenticao mtua, o cliente VPN tambm autentica o servidor VPN, que fornece proteo contra computadores que so aparece como servidores VPN.

Autenticao de computador nvel usando o Internet Key Exchange (IKE).

Para estabelecer uma associao de segurana IPsec, o cliente VPN eo servido r VPN usa o protocolo IKE a troca de certificados de computadores ou uma chave pr-compartilhada. Em ambos os casos, o cliente VPN e servidor autenticar um ao outro no nvel do computador. Recomendamos com putador certificado

autenticao, porque um mtodo de autenticao muito mais forte. Computador-nvel autenticao realizada apenas para conexes L2TP/IPSec.

autenticao da origem de dados e integridade dos dados.

Para verificar se os dados enviados na conexo VPN originaram na outra e xtremidade da conexo e no foram modificados em trnsito, os dados contm um checksum criptogrfico c om base em uma criptografia chave conhecida apenas pelo emissor e do receptor. Autenticao da origem e integridade dos dados so disponvel apenas para conexes L2TP/IPSec.

Criptografia de dados: Para garantir a confidencialidade dos dados medida que at ravessa o trnsito pblico ou compartilhado rede, o remetente codifica os dados eo receptor decifra-lo. A criptografia e descriptografia processos dependem tanto o remetente quanto o receptor usando uma chave de criptografia comum.

Pacotes interceptados enviados ao longo da conexo VPN na rede de trnsito so in inteligveis para qualquer um que no tem a chave de encriptao comum. Comprimento da chave de criptografia um a segurana importante

parmetro. Voc pode usar tcnicas computacionais para determinar a chave de crip tografia. No entanto, tais tcnicas exigem mais poder de computao e tempo computacional como as chaves de criptografia ficam maiores. Portanto, importante usar o maior tamanho de chave possvel para assegurar a confidencialidade de dados. ----------------------- Pgina 236----------- -----------5-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Protocolos de tunelamento para uma conexo VPN

PPTP, L2TP e SSTP dependem fortemente dos recursos originalmente previ stos para PPP. O PPP foi concebido para enviar dados atravs de dial-up ou dedicado ponto-a-ponto ligaes. Para IP, PPP encapsula pacotes IP dentro de quadros PPP e, em seguida, transmite os pacotes PPP encapsul ados atravs de um link ponto-a-ponto. PPP foi definido originalmente como o protocolo a ser usado entre um clien te dial-up e um servidor de acesso rede.

PPTP

PPTP permite criptografar e encapsular em um cabealho IP trfego de multi -protocolo que ento enviado atravs de uma rede IP ou uma rede IP pblica, como a Internet. Voc pode us ar PPTP para acesso remoto e site-to-site VPN. Ao usar a Internet como a rede pblica VPN, o servidor PPTP um PPTP habilitado servidor VPN com uma interface na Internet e uma segun da interface na intranet.

Encapsulamento: PPTP encapsula quadros PPP em datagramas IP para trans misso em rede. PPTP usa um Transmission Control Protocol (TCP) para a gesto do tnel e uma verso modificada do Generic Routing Encapsulation (GRE) para encapsular os quadros PP

P para dados de tnel. Cargas da quadros PPP encapsulados podem ser criptografados, compactados ou ambos.

Criptografia: O quadro PPP criptografado com a Microsoft criptografia ponto a ponto (MPPE) usando chaves de criptografia que so gerados a partir do MS-CHAPv2 ou EAP -TLS processo de autenticao. VPN os clientes devem usar o MS-CHAPv2 ou EAP-TLS protocolo de autent icao para que as cargas de PPP quadros so criptografados. PPTP est se aproveitando da criptografia PPP subjacente e encapsular uma previamente criptografada quadro PPP.

L2TP

Layer 2 Tunneling Protocol (L2TP) permite criptografar o trfego multi-p rotocolo para enviar por qualquer meio que apia o ponto-a-ponto de entrega de datagramas, como o IP ou o modo de transferncia assncrona (ATM). L2TP uma combinao de PPTP e Layer 2 Forwarding (L2F). L2TP representa as melh ores caractersticas de PPTP e L2F. ----------------------- Pgina 237----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-17

Ao contrrio do PPTP, a implementao da Microsoft de L2TP no utiliza MPPE para criptog rafar datagramas PPP. L2TP depende de IPsec em modo de transporte para servios de criptografia. A combinao de L2TP e IPsec conhecido como L2TP/IPsec.

Tanto o cliente VPN eo servidor deve apoiar L2TP e IPsec. Suporte ao cliente par a L2TP construdo para o Windows XP, Windows Vista e Windows 7 clientes de acesso remoto, VPN e suporte d e servidor a L2TP

construdo para membros do Windows Server 2008 e Windows Server 2003 da famlia.

Encapsulamento: Encapsulamento para L2TP/IPsec pacotes consiste em duas camadas:

Primeira camada: encapsulamento L2TP

Um quadro PPP (um datagrama IP) enrolado com um cabealho L2TP e um User Datagram Protocol (UDP) cabealho.

Segunda camada: encapsulamento IPsec

A mensagem L2TP resultante envolto com uma carga de segurana IPsec enca psulamento (ESP) cabealho e um reboque, um reboque de autenticao IPsec que fornece integridade de mensagem e autenticao, e um cabealho IP final. O cabealho IP contm o endereo IP origem e destino que corresponde ao cliente VPN eo servidor.

Criptografia: A mensagem L2TP criptografada com um Advanced Encryption Standard (AES) ou tripla DES (3DES) usando chaves de criptografia que o processo de negociao IKE gera.

SSTP

Protocolo Secure Socket Tunneling (SSTP) um protocolo de tunelamento que usa o H ypertext Transfer seguro Protocol (HTTPS) na porta TCP 443 para passar o trfego atravs de firewalls e proxi es da Web que podem bloquear o trfego PPTP e L2TP/IPSec. SSTP fornece um mecanismo para encapsular o trfego PPP sobre o Seguro Sockets Layer canal (SSL) do protocolo HTTPS. O uso do PPP permite o suporte par a forte mtodos de autenticao, como EAP-TLS. SSL fornece nvel de transporte de segurana com ch

ave avanada negociao, criptografia e verificao de integridade.

Quando um cliente tenta estabelecer uma SSTP ligao VPN baseada, em primeiro lugar SSTP estabelece um HTTPS bidirecionais camada com o servidor SSTP. Sobre esta camada HTTPS, o protocolo de fluxo de pac otes como a carga de dados:

Encapsulamento: SSTP encapsula quadros PPP em datagramas IP para transmisso atravs da rede. SSTP usa uma conexo TCP (pela porta 443) para a gesto e tnel como frames PPP d e dados.

Criptografia: A mensagem SSTP criptografada com o canal SSL do protocolo HTTPS.

IKEv2

Internet Key Exchange verso 2 (IKEv2) usa o protocolo IPsec Modo Tnel sobre a port a UDP 500. Porque do seu apoio para a mobilidade (MOBIKE), IKEv2 muito mais resistente conectivida de de rede mudando, tornando-o uma boa escolha para usurios mveis que se deslocam entre pontos de aces so e at mesmo alternar entre conexes com e sem fio. Uma VPN IKEv2 fornece resistncia para o cliente VPN quando o cliente se move de um hotspot sem fio para outro ou quando se muda de uma rede sem fio para uma conexo com fio, essa capacidade uma exigncia da VPN Reconnect.

O uso de IKEv2 e IPsec permite o suporte para mtodos fortes de autenticao e criptog rafia.

Encapsulamento: IKEv2 datagramas encapsula usando IPsec ESP ou cabealhos AH para transmisso atravs de A REDE

Criptografia: A mensagem criptografada com um dos seguintes protocolos usando ch aves de criptografia que so gerados a partir do processo de negociao IKEv2: Advanced Encryption Sta ndard (AES) 256, AES 192, AES 128, e algoritmos de criptografia 3DES. ----------------------- Pgina 238----------- -----------5-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

IKEv2 suportado somente em computadores que executam o Windows 7 e Windows Server 2008 R2.

Nota IKEv2 o protocolo padro de tunelamento VPN no Windows 7. ----------------------- Pgina 239----------- -----------Configurao e Soluo de P roblemas de Roteamento e acesso remoto 5-19

O que VPN Reconnect?

Em cenrios de negcios dinmicos, os usurios devem ser capazes de acessar de forma seg ura dados a qualquer hora, de qualquer lugar, e acess-lo continuamente, sem interrupo. Por exemplo, usurios podem querer acessar com segurana os dados sobre o servidor da empresa na sede, a partir de uma filial, ou enquanto estiver na estr ada.

Para atender a essa exigncia, voc pode configurar o recurso de VPN Reconnect que e st disponvel no Windows Server 2008 R2 e Windows 7. Com esse recurso, os usurios podem acessar os dados d a empresa usando um VPN conexo, que ir reconectar automaticamente se a conectividade for interrompida. Tam bm permite que o roaming entre redes diferentes.

Reconexo VPN utiliza a Internet Key Exchange verso 2 (IKEv2) para fornecer tecnolo

gia sem costura e conectividade VPN consistente. VPN Reconecte automaticamente re-estabelece uma c onexo VPN quando Internet conectividade est disponvel novamente. Usurios que se conectam com uma banda larga mvel sem fio se beneficiar mais da esta capacidade.

Considere um usurio com um computador porttil que esteja executando o Windows 7. Q uando o usurio viaja para trabalhar em um trem, ele ou ela se conecta Internet com uma placa de banda larga mvel sem fio e estabelece uma VPN conexo com a rede da empresa. Quando o comboio passa atravs de um tnel, a ligao Inter net perdida. Depois que o trem sai do tnel, a placa banda larga mvel sem fio automatic amente reconecta Internet. Com as verses anteriores do Windows sistemas operacionais cli ente e servidor, VPN no reconectar automaticamente. Assim, o utilizador necessrio para manualmente repe tir o processo de mltiplos passos de se conectar VPN. Esta foi demorada para usurios mveis com a conectividade inter mitente.

Com VPN Reconnect, Windows Server 2008 R2 e Windows 7 automaticamente re-estabel ecer VPN ativo conexes quando a conectividade com a Internet restabelecida. Mesmo que a reconexo pode levar vrios segundos, os usurios se manter conectado e ter acesso ininterrupto aos recur sos da rede interna.

Os requisitos do sistema para a utilizao da VPN caracterstica Reconecte so como se s egue:

Windows Server 2008 R2 como um servidor VPN

Windows 7 ou Windows Server 2008 R2 cliente ----------------------- Pgina 240----------- ------------

5-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Infra-estrutura de Chave Pblica (PKI), porque um certificado de comput ador necessrio para uma conexo remota com VPN Reconnect. Os certificados emitidos por qualquer uma CA interna ou pblica pode ser usada. ----------------------- Pgina 241----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-21

Requisitos de configurao

Antes de implantar soluo de sua organizao VPN, considere os seguintes fatores:

O servidor de VPN requer duas interfaces de rede; determinar qual interface de r ede conecta-se ao Internet e interface de rede que se conecta rede privada. Durante a configu rao, voc vai ser solicitado a escolher qual a interface de rede se conecta Internet. Se voc especificar o incorreto interface, o acesso remoto VPN servidor no ir funcionar corretamente.

Determinar se os clientes remotos recebero endereos IP de uma Dynamic Host Configu ration Protocol (DHCP) na rede privada ou do servidor remoto de acesso VPN que voc est configurando. Se voc tiver um servidor DHCP na rede privada, o servidor de a cesso remoto VPN pode arrendar dez endereos em um momento a partir do servidor DHCP e atribuir ess es endereos a clientes remotos. Se voc no tem um servidor DHCP na rede privada, o acesso remoto VPN servidor pod e gerar e atribuir endereos IP automaticamente para clientes remotos. Se voc deseja q ue o servidor de acesso remoto VPN atribuir endereos IP a partir de um intervalo que voc especificar, voc deve de terminar o que deve ser ampla.

Determine se voc deseja solicitaes de conexo de clientes VPN a ser autenticados por um raio servidor ou pelo servidor remoto de acesso VPN que voc est configurando. Adic ionando um servidor RADIUS til se voc planeja instalar vrios servidores de acesso remoto VPN, pontos de aces so sem fio ou outro RADIUS clientes para a rede privada.

Determinar se os clientes VPN podem enviar mensagens DHCPINFORM para o servidor DHCP na sua privada rede Se um servidor DHCP na mesma sub-rede como o seu servidor de acesso re moto VPN, DHCPINFORM mensagens de clientes VPN ser capaz de alcanar o servidor DHCP depois que a c onexo VPN e Se um servidor DHCP est em uma sub-rede diferente do seu servidor remoto d e acesso VPN, certifique-se que o roteador entre sub-redes podem retransmitir mensagens DHCP entre clie ntes eo servidor. Se o seu roteador est executando o Windows Server 2008 ou Windows Server 2008 R2, voc pode configurar o DHCP Servio de Relay Agent no router para encaminhar mensagens DHCPINFORM entre s ub-redes. ----------------------- Pgina 242----------- -----------5-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Certifique-se que o indivduo responsvel pela implantao da sua soluo de VPN tem o necessrio membros de grupos administrativos para instalar as funes de servi dor e configurar os servios necessrios; membro do grupo Administradores local necessria para executar es sas tarefas. ----------------------- Pgina 243----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-23

Demonstrao: Como configurar o acesso VPN

Esta demonstrao mostra como:

usurio de discagem Configurar definies.

Configurar o Roteamento e acesso remoto como um servidor VPN.

Configurar um cliente VPN. ----------------------- Pgina 244----------- -----------5-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Concluindo tarefas adicionais

Depois de concluir as etapas no Assistente para Adicionar Funes e conclu ir a configurao de roteamento e Acesso remoto, o servidor est pronto para ser usado como um servidor re moto de acesso VPN.

A seguir esto as tarefas adicionais que voc pode executar em seu acesso remoto / VPN:

Configurar filtros de pacotes estticos. Adicionar filtros de pacotes es tticos para melhor proteger a sua rede.

Configurar servios e portas. Escolha quais os servios na rede privada qu e voc quer fazer disponvel para usurios de acesso remoto.

Ajuste nveis de log. Configure o nvel de detalhes do evento que voc desej a registrar. Voc pode decidir que informao que voc deseja acompanhar em arquivos de log.

Configurar o nmero de portas VPN. Adicionar ou remover portas VPN.

Criar um perfil de Gerenciador de conexo para os usurios. Gerenciar a ex perincia de conexo do cliente para os usurios, e simplificar a configurao e soluo de problemas de conexes de cliente.

Adicionar Servios de Certificados do Active Directory (AD CS). Configur ar e gerenciar uma autoridade de certificao (CA) em um servidor para uso em uma PKI.

Aumente a segurana de acesso remoto. Proteger os usurios remotos ea rede privada, impondo o uso de seguros mtodos de autenticao, que exigem nveis mais elevados de cript ografia de dados e muito mais.

Aumentar a segurana da VPN. Proteger os usurios remotos ea rede privada exigindo o uso do seguro protocolos de tunelamento, bloqueio de conta de configurar e muit o mais.

Considere a implementao de VPN Reconnect. VPN Reconnect usa IKEv2 tecnol ogia para proporcionar perfeita e conexo VPN consistente, automaticamente re-estabelecer uma VPN q uando os usurios perdem temporariamente sua Conexo com a Internet ----------------------- Pgina 245----------- -----------Configurao e So luo de Problemas de Roteamento e acesso remoto 5-25

Lio 3 Viso geral de Polticas de Rede

As polticas de rede determinar se uma tentativa de conexo for bem sucedi da, e se tal tentativa

bem sucedida, a poltica de rede define caractersticas de conexo, tais com o restries de dia e horrio, sesso ocioso desconectar vezes, e outras configuraes.

A compreenso de como configurar polticas de rede essencial se voc est a im plementar com sucesso VPNs com base na diretiva de rede e Access Server Servios papel dentro de su a organizao.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explique o que uma diretiva de rede.

Descrever o processo de criao de uma poltica nova rede.

Criar uma poltica de rede para conexes VPN.

Explique como as polticas de rede so processados. ----------------------- Pgina 246----------- -----------5-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que uma diretiva de rede?

As polticas de rede so conjuntos de condies, restries e configuraes que per em designar quem autorizado a se conectar rede e as circunstncias em que eles podem ou no podem se conectar. Alm disso, quando voc implantar o NAP, poltica de sade adicionado configur ao da poltica de rede para que NPS realiza verificaes de integridade do cliente durante o processo de a utorizao.

Voc pode visualizar as polticas de rede como regras, cada regra tem um c onjunto de condies e configuraes. NPS compara o condies da regra para as propriedades de solicitaes de conexo. Se ocorrer u ma correspondncia entre a regra ea

solicitao de conexo, as configuraes que voc definir na regra so aplicadas pa a a conexo.

Quando voc configurar polticas de rede mltiplos em NPS, so um conjunto ord enado de regras. NPS verifica cada de solicitao de conexo contra a primeira regra da lista, depois a segunda , e assim por diante, at que seja encontrada uma correspondncia.

Nota Uma vez que uma regra de correspondncia determinado, novas regras so desrespeitadas. importante ordenar polticas de sua rede de forma adequada.

Cada poltica de rede tem uma configurao de Poltica Estadual de que lhe per mite activar ou desactivar a poltica. Quando voc desativar uma poltica de rede, o NPS no avalia a poltica para a autorizao d e pedidos de conexo.

Poltica de Propriedades de Rede

Cada poltica de rede tem quatro categorias de propriedades:

Viso geral: Estas propriedades permitem que voc especifique se a poltica for ativada, se a poltica concede ou nega o acesso, e se um mtodo de conexo de rede especfica ou tipo de acesso rede servidor necessria para solicitaes de conexo. Resumo propriedades tam bm permitem que voc especifique se deseja ignorar o dial-nas propriedades de contas de usurio no AD DS. Se v oc selecionar esta opo, o NPS usa apenas o configuraes de rede de polticas para determinar se a autorizar a con exo.

----------------------- Pgina 247----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-27

Condies: Estas propriedades permitem que voc especifique as condies que o pedido de l igao deve tem que coincidir com a poltica de rede. Se as condies configuradas na poltica corresponder a conexo pedido, o NPS aplica as configuraes de rede de polticas para a conexo. Por exem plo, se voc especificar o acesso rede do servidor de endereos IPv4 (NAS IPv4) como uma condio da poltica de rede, e NPS recebe uma solicitao de conexo de um NAS que tem o endereo IP especificado, a c ondio na poltica corresponde ao pedido de conexo.

Restries: As restries so parmetros adicionais da poltica de rede que so necessrias ombinar

a solicitao de conexo. Se a solicitao de conexo no coincidir com uma restrio, o automaticamente rejeita o pedido. Ao contrrio do NPS resposta s condies mpares na poltica de rede , se um restrio no correspondida, o NPS no avalia polticas de rede adicionais. O pedido de conexo negado.

Definies: Estas propriedades permitem que voc especifique as configuraes que o NPS se aplica a conexo solicitar, se todas as condies da poltica em matria de poltica de rede so corresp ondidos eo pedido aceito.

Quando voc adiciona uma poltica nova rede usando o MMC NPS snap-in, voc deve usar a poltica de Nova Rede Feiticeiro Depois de ter criado uma poltica de rede usando o assistente, voc pode personalizar a poltica de duplo clique em NPS para obter as propriedades da poltica.

Observao: As polticas padro no acesso rede bloco NPS. Depois de criar sua prpr ia polticas, voc deve alterar a prioridade, desativar ou remover essas polticas predefinidas. ----------------------- Pgina 248----------- -----------5-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Processo para criar e configurar uma diretiva de rede

NPS usa polticas de rede e dial-nas propriedades de contas de usurio par a determinar se a autorizar um pedido de ligao sua rede. Voc pode configurar uma poltica nova rede tanto no MMC NPS snap-in ou o Roteamento e Remote Access Service MMC snap-in.

Criando sua Poltica

Quando voc usar o Assistente de nova diretiva de rede para criar uma po ltica de rede:

O valor que voc especificar como o mtodo de conexo de rede usado para con figurar o tipo de poltica condio automaticamente. Se voc mantiver o valor padro no especificado, o NPS avalia a rede poltica de que voc cria para todos os tipos de conexo de rede atravs de qualquer tipo de servidor de acesso rede. Se voc especificar um mtodo de conexo de rede, o NPS avalia a poltica de rede somente se a conexo pedido tem origem no tipo de servidor de acesso rede que voc espec ificar.

Por exemplo, se voc especificar Remote Desktop Gateway, o NPS aval ia a poltica de rede apenas para pedidos de ligao que se originam de servidores Gateway Remote Deskt op.

Na pgina de Permisso especificar o acesso, voc deve selecionar Acesso con cedido se voc quiser da poltica de permitir que usurios se conectem a sua rede. Se voc deseja que a po ltica para impedir que usurios se conectem a sua rede, selecione Acesso negado.

Se voc quer uma conta de usurio dial-nas propriedades do AD DS para determinar permisses de acesso, voc pode selecionar o acesso determinado pelo utilizador Dial-in caixa de verificao pro priedades (que override NPS poltica).

Configurando sua Poltica

Depois de ter criado sua poltica, voc pode usar a caixa de dilogo Proprie dades da poltica para visualizar ou reconfigurar suas configuraes. ----------------------- Pgina 249----------- -----------Configurao e Soluo de Proble mas de Roteamento e acesso remoto 5-29

Demonstrao: Como criar uma diretiva de rede

Esta demonstrao mostra como criar uma poltica VPN e test-lo.

Passos de demonstrao

Criar uma poltica de VPN baseado no Windows condio grupos.

Teste a VPN. ----------------------- Pgina 250----------- -----------5-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como as polticas so de rede processados?

Quando o NPS executa a autorizao de um pedido de conexo, ele compara o pe dido com cada rede poltica na lista ordenada de polticas, comeando com a primeira poltica e s e movendo para baixo na lista.

Se NPS encontra uma poltica em que as condies de corresponder solicitao de conexo, o NPS usa a poltica de correspondncia e propriedades de discagem da conta do usurio para executar a autorizao.

Se voc configurar a conexo dial-nas propriedades da conta de usurio para conceder ou controlar o acesso atravs da rede

poltica, e a solicitao de conexo autorizada, o NPS aplica as configuraes qu voc define no poltica de rede para a conexo:

Se o NPS no encontrar uma poltica de rede que combina com a solicitao de c onexo, o NPS rejeita a a menos que a conexo dial-nas propriedades da conta do usurio so def inidos para conceder acesso.

Se o dial-nas propriedades da conta de usurio so definidas para negar o acesso, o NPS rejeita a solicitao de conexo. ----------------------- Pgina 251----------- -----------Configurao e Sol uo de Problemas de Roteamento e acesso remoto 5-31

Lio 4 Viso geral do Kit de Administrao do Gerenciador de Conexes

O Connection Manager Administration Kit (CMAK) permite que voc personali ze a conexo remota dos usurios opes de criao de conexes pr-definidas para servidores remotos e redes. O assi stente do CMAK cria uma

arquivo executvel, que pode distribuir em muitos aspectos, ou incluir du rante as atividades de implantao, como parte de a imagem do sistema operacional.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever as caractersticas e benefcios do CMAK.

Descrever o processo para configurar um perfil de conexo.

Criar um perfil de conexo usando CMAK.

Descrever os mtodos para distribuir um perfil de conexo para os usurios. Pgina 252 5-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que o Kit de Administrao do Gerenciador?

Connection Manager um cliente de ferramenta de conexo de rede que permi te que um usurio se conectar a um remoto rede, como um Internet Service Provider (ISP) ou uma rede corporativa protegida por um servidor VPN.

O CMAK uma ferramenta que voc pode usar para personalizar a experincia d e conexo remota para os usurios em seu rede, criando conexes predefinidos para servidores remotos e redes. Use o assistente do CMAK para criar e personalizar uma conexo para seus usurios.

CMAK um componente opcional que no instalado por padro. Voc deve instalar

o CMAK para criar perfis de conexo que os usurios possam instalar para acessar redes remot as. ----------------------- Pgina 253----------- -----------Configurao e Soluo de Probl emas de Roteamento e acesso remoto 5-33

Processo de Configurao de um perfil de conexo

Voc pode configurar um novo perfil de conexo existente ou usando o assistente do C MAK. Cada pgina do assistente lhe permite completar outra etapa do processo.

As opes apresentadas no assistente do CMAK so:

Selecione o sistema operacional de destino

Criar ou modificar um perfil de conexo

Especifique o nome do servio eo nome do arquivo

Especificar um nome de domnio

Mesclar informaes de perfis de conexo de Outros

Adicionar suporte para conexes VPN

Adicionar um Catlogo Telefnico Personalizado

Configurar Dial-up Entradas de rede

Especifique roteamento atualiza a tabela

configuraes de proxy para Internet Explorer

adicionar aes personalizadas

Mostrar Bitmaps e cones personalizados

Personalize o menu de atalho rea de Notificao

Incluir um arquivo de Ajuda personalizado

Exibio de Informaes de suporte personalizado

Inclua Software Gerenciador de Conexes com o perfil de ligao

Apresentar um Contrato de Licena Personalizado

instalar arquivos adicionais com o perfil de ligao

Construir o perfil de ligao e de seu Programa de Instalao ----------------------- Pgina 254----------- -----------5-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Faa personalizaes avanada

O perfil de conexo est completo e pronto para distribuir ----------------------- Pgina 255----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-35

Demonstrao: Como criar um perfil de conexo

Esta demonstrao mostra como:

Instale o recurso de CMAK.

Criar um perfil de conexo.

Examine o perfil. ----------------------- Pgina 256----------- -----------5-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Distribuindo o Perfil Connection aos Usurios

O assistente do CMAK compila o perfil de conexo em um nico arquivo execu tvel com um nome de arquivo exe. extenso. Voc pode entregar este arquivo para os usurios atravs de qualquer mtodo que est disponvel para voc. Alguns mtodos para considerar so:

Incluir o perfil de conexo como parte de a imagem que includo com novos computadores.

Voc pode instalar seu perfil de conexo como parte de as imagens de computador cliente que esto instalados no novos computadores da sua organizao.

Entregar o perfil de conexo em uma mdia removvel para o usurio para instal ar manualmente.

Voc pode entregar a conexo do programa de instalao do perfil em um di

squete, CD-ROM, USB flash unidade, ou qualquer outra mdia removvel que voc permite que seus us urios acessem. Alguns meios de comunicao removveis apoiar "autorun" capacidades, que permitem que voc para iniciar a instalao quando os usurio insere o mdia para o computador cliente.

Entregar o perfil de conexo com as ferramentas de distribuio automtica de software.

Muitas organizaes utilizam uma rea de trabalho de gerenciamento e im plantao de software-ferramenta como o Microsoft System Center Configuration Manager (anteriormente chamado de Systems Ma nagement Server). Configurao Manager oferece a capacidade de empacotar e implantar software de stinado a computadores cliente. O instalao pode ser invisvel para os usurios, e voc pode configur-lo para informar a gesto consol-se a instalao foi bem sucedida. ----------------------- Pgina 257----------- -----------Configurao e S oluo de Problemas de Roteamento e acesso remoto 5-37

Lio 5 Solucionando problemas de roteamento e acesso remoto

Soluo de problemas de roteamento e acesso remoto pode ser uma tarefa dem orada. As questes podem ser variada e no facilmente identificado. Uma vez que voc pode estar usa ndo dial-up, dedicada, alugada, ou pblicoredes baseadas para satisfazer a sua soluo de conectividade remota, voc d eve solucionar problemas em uma metdica, o processo passo-a-passo.

Em alguns casos, voc pode identificar e resolver o problema rapidamente , enquanto em outros casos, pode testar a sua

compreenso de todas as ferramentas disponveis para ajudar a determinar a fonte de emisso, de modo que voc pode resolv-lo em tempo hbil.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como autenticao e log Contabilidade pode ser usado para soluci onar problemas de conexo.

Descrever como configurar o log de acesso remoto.

Descrever como para configurar o acesso remoto de rastreamento.

Resolver problemas gerais de conectividade VPN.

Descrever comuns solues de problemas referentes ao acesso remoto. ----------------------- Pgina 258----------- -----------5-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Autenticao e Logging Accounting

Voc pode configurar o NPS para executar a contabilizao RADIUS para os ped idos de autenticao de usurio, Access-Accept mensagens, Access-Reject mensagens, pedidos de contabilidade e respost as, e atualizaes de status peridicos. Voc pode usar este procedimento para configurar os arquivos de log em que voc deseja armazenar os dados contbeis.

Configurando Contabilidade

Para evitar que os arquivos de log usando o espao no disco rgido, recome ndamos que voc mant-los em um partio separada da partio do sistema.

A lista a seguir fornece mais informaes sobre como configurar o NPS de c ontabilidade:

Voc pode enviar os dados de arquivo de log para a coleta por outro proc esso, configurando o IAS para gravar em um pipe. Para usar pipes nomeados, definir a pasta de arquivo de log para \ \. Pipe \ ou \ \ ComputerName pipe \. O programa de servidor do pipe cria um pipe nomeado chamado \ \. \ pipe \ iaslog.log para aceitar os dados. No Local de arquivo caixa de dilogo Propriedades, em Criar um novo ar quivo de log, selecione Nunca (tamanho de arquivo ilimitado) quando voc usar pipes nomeados.

Voc pode criar o diretrio do arquivo de log usando variveis sistema (em vez de variveis do usurio),

de ambiente do

como% systemdrive%,% systemroot% e% windir%. Por exemplo, se voc d igitar o caminho utilizando o varivel de ambiente% windir%, ele localiza o arquivo de log no dir etrio de sistema na subpasta \ System32 \ Logs (isto ,% windir% \ System32 \ Logs \).

Voc pode alternar de arquivo de log formatos sem causar a criao de um nov o log. Se voc alterar o arquivo de logformatos de, o arquivo que activo no momento da a mudana ir conter um mistura de os dois formatos de (Registos no incio do log ter o formato anterior, enquanto que grav a a extremidade do log ter o novo formato).

No possvel navegar na estrutura de diretrios, se voc estiver administrando um servidor NPS remotamente. Se voc precisa fazer logon informaes contabilsticas a um servidor remoto, e specifique o nome log arquivo-by digitando um

Universal Naming Convention nome (UNC), como \ \ Meu_Servidor_de_ Log \ LogShare. ----------------------- Pgina 259----------- -----------Configurando e So luo de problemas Roteamento e Acesso Remoto 5-39

NPS no Windows Server 2008 pra de processar solicitaes de conexo se a contabilidade RADIUS falhar devido a uma unidade de disco rgido inteiro ou outras causas. Isso evita que os usurio s acessem recursos de rede. NPS em Windows Server 2008 R2 pode ser configurado para continuar conexes de proces samento de solicitar ao registro falhar.

NPS pode registrar em um banco de dados SQL Server, alm de, ou em vez de log para um arquivo local.

Observao: Se voc no fornecer uma declarao completa-caminho no diretrio de arqui o de log, o caminho padro usado. Por exemplo, se voc digitar NPSLogFile no diretrio de arquivo de log , o arquivo est localizado em systemroot \ System32 NPSLogFile \.

Logs Configurando com a interface do Windows

Para configurar o log-file propriedades usando a interface do Windows:

1.

Abra a Rede Policy Server snap-in.

2.

Na rvore de console, clique em Contabilidade.

3. No painel de detalhes, clique com o log de arquivos local e, em seguida, cl ique em Configurar o log de arquivos local. O Arquivo Local caixa de dilogo Log abre.

4. On na guia Arquivo Log, em Directory, digite o local onde voc deseja armazen ar arquivos de log do NPS. A configurao padro localizao o systemroot \ System32 \ pasta LogFiles.

5. Em Formato de, clique em Database-compatvel. Alternativamente, se voc quiser manter seus arquivos de log em formato IAS, clique IAS.

6. Para configurar NPS para iniciar novos arquivos de log em intervalos especi ficados, clique em o intervalo de que voc deseja usar:

Para identificar o volume transao pesado e atividade madeireira, clique em Di ariamente.

Para volumes menores de transao e atividade explorao madeireira, clique em Sema nal ou Mensal.

Para armazenar todas as operaes em um arquivo de log, clique em Nunca (tamanh o de arquivo ilimitado).

Para limitar o tamanho de cada arquivo de log, clique em Quando arquivo de log atinge este tamanho, e em seguida, digite um tamanho de arquivo, aps o qual uma de log de novo criado. O tamanho padro de 10 MB.

7. Para configurar o NPS para apagar arquivos de log automaticamente quando o disco est cheio, clique em Quando o disco est cheio apagar arquivos de log mais antigos. Se o arquivo de log mais antigo o arquivo de log atual, ele no excludo.

Nota Para concluir este procedimento, voc deve ser um membro do grupo Admi nistradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores no computa dor local. ----------------------- Pgina 260----------- ------------

5-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Configurando o Log de acesso remoto

Para configurar o acesso remoto de log, abra o Roteamento e console de servio de acesso remoto, boto direito do mouse servername, e, em seguida, clique em Propriedades. Clique na guia Logg ing para ver as opes disponveis para, e o localizao, o log de rastreamento.

Inicialmente, que poderia ser melhor para especificar mais opes madeirei ras do que voc pde necessariamente precisam, ao invs de especificando opes muito poucos. Depois de determinar o nvel de log que m ais til para solucionar problemas sua infra-estrutura, voc pode alterar as opes e / ou nvel de registrar a s eu critrio.

Quatro nveis de registo esto disponveis na guia Logging nas propriedades do servidor VPN em Encaminhamento e Acesso Remoto snap no-. Selecione Log de todas as eventos, e, em segui da, tente a conexo novamente. Depois que a conexo falhar, verifique o log de eventos do sistema para os eventos que fora m registrados durante o processo de conexo. Depois que voc est terminar de exibir eventos de acesso remoto, selecione os erros de reg istro e de opo avisos na guia Log para conservar recursos do sistema.

A tabela a seguir descreve os quatro nveis de log de eventos que o Wind ows Server 2008 R2 de roteamento e Servio de Acesso Remoto faz disponvel.

Dilogo Descrio elemento de caixa

Log erros apenas especifica que somente os erros so registrados no l og do sistema no Visualizador de eventos.

Erros de log e avisos Especifica que erros e avisos so registrado no log de sistema de no Evento Visualizador

Registra todos os eventos Especifica que o mximo de informaes registra do no log do sistema no Visualizado r de eventos.

No faz o log quaisquer eventos Especifica que nenhum eventos so regis trados no o log do sistema no Visualizador de eventos.

O Routing Log adicional e Remote Access caixa de seleo Informao permite qu e voc para especificar se os eventos em o processo de PPP conexo estabelecimento-para acesso r emoto e de discagem por demanda----------------------- Pgina 261----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-41

conexes de roteamento so gravados no arquivo PPP.log que armazenado na pasta syste mroot \ Tracing (o Localizao automtica ----------------------- Pgina 262----------- -----------5-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Configurando o acesso remoto de rastreamento

O servio Roteamento e acesso remoto no Windows Server 2008 R2 tem uma e xtensa capacidade de rastreamento que voc pode usar para solucionar problemas de rede complexos. Voc pode habilitar os componentes em Windows Server 2008 R2 para registrar informaes de rastreamento de arqui vos usando o comando Netsh ou atravs do

&Registro

Ativando o rastreamento com o Comando Netsh

Voc pode usar o comando Netsh para habilitar e desabilitar o rastreamen to para componentes especficos ou para todos Componentes Para ativar e desabilitar o rastreamento para um component e especfico, use a seguinte sintaxe:

netsh ras set componente rastreamento ativado | desativado

Onde componente um componente na lista de componentes de roteamento e acesso remoto de servios encontrados na Registro em HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing. Por e xemplo, para activar o rastreio para o componente RASAUTH, o comando como se segue:

netsh ras set tracing rasauth habilitado

Para ativar o rastreamento para todos os componentes, use o seguinte c omando:

netsh ras set tracing * habilitado

Ativando o rastreamento atravs do Registro

Voc tambm pode configurar a funo de rastreamento, alterando as configuraes n o registro no seguinte caminho:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing

Voc pode habilitar o rastreamento de cada componente do servio de roteam ento e Remote Access, definindo o

valores apropriados de registro. Voc pode ativar e desativar o rastream ento de componentes enquanto o Roteamento e ----------------------- Pgina 263----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-43

Servio de acesso remoto est em execuo. Cada componente capaz de rastrear e aparece c omo uma subchave a chave do Registro anterior.

Para ativar o rastreamento para cada componente, voc pode configurar as seguintes entradas do Registro para cada protocolo de chave:

EnableFileTracing REG_DWORD Bandeira

Voc pode habilitar o registro de informaes de rastreamento para um arquivo, definin do EnableFileTracing para 1. O valor padro 0.

Voc pode alterar o local padro dos arquivos de rastreamento definindo FileDirector y para o caminho que voc quer. O nome do arquivo de log do arquivo o nome do componente para o rastreamento est habilitado. Por padro, os arquivos de log so colocados na pasta SystemRoot \ Tracing.

FileDirectory Caminho REG_EXPAND_SZ

FileTracingMask determina quanta informao de rastreamento registrado para o arquiv o. O valor padro 0xFFFF0000.

FileTracingMask REG_DWORD LevelOfTracingInformationLogged

Voc pode alterar o tamanho do arquivo de log definindo valores diferentes para Ma xFileSize. O valor padro 0x10000 (64K).

SizeOfLogFile REG_DWORD MaxFileSize

Nota rastreamento consome recursos do sistema, e voc deve us-lo com moderao p ara ajudar a identificar Problemas na rede Depois de capturar o rastreamento ou identificar o prob lema, voc deve desabilitar rastreamento imediatamente. No deixe o rastreamento ativado em computadores com mltiplos processadores. {0}-{/0} {1} {/1} {2}Leitura{/2} informaes podem ser complexas e detalhadas, normalmente, apenas profissiona is de suporte da Microsoft ou administradores de rede que esto acostumadas com o servio Roteamento e Aces so Remoto encontrar esta informao til. Voc pode salvar informaes de rastreamento como arqu ivos e envi-lo para O suporte da Microsoft para anlise. ----------------------- Pgina 264----------- -----------5-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Resolver problemas gerais VPN

Para resolver problemas gerais com que estabelece uma conexo VPN de ace sso remoto, faa o seguinte `test:*`

Usando o comando ping, verifique se o nome do host resolvido para seu endereo IP correto. O pingar em si pode no ser bem sucedido devido filtragem de pacotes que est impedindo a entrega de ICMP mensagens de e para o servidor VPN.

Verifique se as credenciais do cliente VPN, que consistem de nome de u surio, senha e domnio nome esto corretos e que o servidor VPN pode valid-los.

Verifique se a conta de usurio do cliente VPN no est bloqueada, expirada, desativada ou que o tempo que a conexo est sendo feita no corresponde ao horrio de logon config urados. Se o senha da conta expirou, verifique se o cliente de acesso remoto V PN est usando o MS-CHAP v2. MS-CHAP v2 o nico protocolo de autenticao que o Windows Server 2008 R2 fornece que permite voc alterar uma senha expirada durante o processo de conexo.

Para uma conta de nvel de administrador com uma senha expirada, redefin ir a senha usando outro nvel de administrador de conta.

Verifique se a conta de usurio no foi bloqueada devido ao bloqueio de co nta de acesso remoto.

Verifique se o servio Roteamento e Acesso Remoto est em execuo no servidor VPN.

Verifique se o servidor VPN est habilitado para o acesso remoto na guia Geral nas propriedades de um VPN servidor de roteamento e Remote Access snap-in.

Verifique se a WAN Miniport (PPTP) e WAN Miniport (L2TP) aparelhos esto habilitados para entrada acesso remoto a partir das propriedades dos Portos objeto no rote amento e acesso remoto snap-in.

Verifique se o cliente VPN, o servidor VPN, e da poltica de rede que co rrespondem a VPN conexes so configurados para usar pelo menos um mtodo de autenticao co mum.

----------------------- Pgina 265----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-45

Verifique se o cliente VPN ea poltica de rede que correspondem a conexes VPN so con figurados para usar pelo menos um nvel de criptografia comum.

Verifique se os parmetros da conexo tem permisso atravs de polticas de rede. ----------------------- Pgina 266----------- -----------5-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Soluo de problemas Outros

Este tpico lista os problemas comuns que voc pode encontrar ao usar o Wi ndows Server 2008 R2 remoto Acesso.

Erro 800: O servidor VPN inacessvel

Causa: pacotes PPTP/L2TP/SSTP do cliente VPN no pode alcanar o servidor VPN.

Soluo: Certifique-se que as portas apropriadas esto abertas no firewall.

PPTP: Para o trfego PPTP, configure o firewall da rede para abrir a porta TCP 1723 e de transmitir IP protocolo 47 para GRE trfego para o servidor VPN.

L2TP: Para o trfego L2TP, configure o firewall da rede para abrir a porta UDP 1701 e para permitir que IPsec Pacotes ESP formatados (protocolo IP 50).

SSTP: Para SSTP, ative TCP 443.

Erro 721: computador remoto no est respondendo

Causa: Este problema pode ocorrer se o firewall de rede no permite GRE trfego (protocolo IP 47). PPTP usar GRE para dados de tnel.

Soluo: Configure o firewall de rede entre o cliente VPN eo servidor para permitir GRE. Alm disso, certifique-se que o firewall de rede permite trfego TCP na porta 1723. Ambos estes condies devem ser satisfeitas para estabelecer conectividade VPN us ando PPTP.

Nota: O firewall pode estar, ou na frente, o cliente VPN, ou na frente do servidor VPN. ----------------------- Pgina 267----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-47

Erro 741/742: erro de incompatibilidade de criptografia

Causa: Estes erros ocorrem se o cliente VPN requer um nvel de criptografia invlida ou se o servidor VPN no suporta um tipo de criptografia que os os solicitaes do cliente.

Soluo: Verifique as propriedades na guia Segurana da conexo VPN no cliente VPN. Se Exigir criptografia de dados (desconectar se no houver) estiver marcada, des marque a seleo e tente novamente a conexo. Se voc estiver usando NPS, verifique o nvel de criptografia da poltica de rede no console do NPS ou polticas em outros servidores RADIUS. Certifique-se que o nvel de criptografia que o

cliente VPN solicitado selecionada em o servidor VPN.

Problemas de autenticao L2TP/IPsec

A lista a seguir descreve os motivos mais comuns que as conexes L2TP/IPSec falham :

Certido de No: Por padro, conexes L2TP/IPSec exigir que, para autenticao IPsec pares, um troca de certificados de computador, ocorrem entre o servidor de acesso rem oto e cliente de acesso remoto. Verifique as lojas Computadores Locais do certificado de o cliente de acess o remoto e servidor de acesso remoto que est usando os snap-in Certificados para garantir que um certificado apropria do existe.

certificado incorreta: O cliente VPN deve ter um certificado de computador vlido instalado que foi emitido por uma CA que segue uma cadeia de certificados vlida a partir da CA de emis so para uma CA raiz que o servidor VPN trusts. Adicionalmente, o servidor VPN deve ter um certificado de computado r vlido instalado que foi emitido por uma CA que segue uma cadeia de certificados vlida a partir da CA de emisso pa ra uma CA raiz que o cliente confia VPN.

Um dispositivo NAT existe entre o cliente de acesso remoto eo servidor de acesso remoto: Se houver um NAT entre um Windows 2000, Windows Server 2003 ou Windows XP L2TP/IPsec cli ente, e um Windows Server 2008 L2TP/IPsec servidor, voc no pode estabelecer uma conexo L2 TP/IPSec a menos que o cliente e servidor suporte IPsec NAT-T.

Existe um firewall entre o cliente de acesso remoto eo servidor de acesso remoto : Se houver um firewall entre um cliente L2TP/IPsec Windows e Windows Server 2008 R2 servidor L2TP/

IPsec, e voc no possvel estabelecer uma conexo L2TP/IPSec, verifique se o firewall permite o encaminhamento de L2TP/IPsec trfego.

EAP-TLS Problemas de autenticao

Quando voc usa EAP-TLS para autenticao, o cliente VPN envia um certificado de usurio e autenticao servidor (o servidor VPN ou o servidor RADIUS) apresentar um certificado de comp utador. Para habilitar a autenticao servidor para validar o certificado do cliente VPN, o seguinte deve ser verdadei ro para cada certificado no cadeia de certificados que o cliente VPN envia:

A data atual deve estar dentro das datas de validade do certificado. Quando os c ertificados so emitidos, eles so emitido com uma gama de datas vlidas, antes do qual eles no podem ser usados aps o que eles so considerada expirada. e,

O certificado no foi revogado. Certificados emitidos podem ser revogados a qualqu er momento. Cada CA emisso mantm uma lista de certificados que no so considerados vlidos publicando um cer tificado de up-to-date lista de revogao (CRL). Por padro, o servidor de autenticao verifica todos os ce rtificados nos clientes VPN ' cadeia de certificao (da srie de certificados do certificado de cliente VPN pa ra a CA raiz) para revogao. Se qualquer um dos certificados da cadeia ter sido revogado, a valid ao do certificado falha. ----------------------- Pgina 268----------- -----------5-48 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O certificado tem uma assinatura digital vlida. CAs assinar digitalmen te os certificados que emitir. O

autenticar servidor verifica a assinatura digital de cada certif icado na cadeia, com a excepo de o certificado raiz CA, mediante a obteno de a chave pblica a par tir de CA os certificados dos de emisso e matematicamente validar a assinatura digital.

Para o cliente VPN para validar o certificado do servidor de aut enticao para a autenticao EAP-TLS, o seguinte deve ser verdadeiro para cada certificado na cadeia d e certificados que o servidor de autenticao envia:

A data atual deve estar dentro das datas de validade do certific ado. Quando os certificados so emitidos, eles no podem ser usados so emitidos com uma gama de datas vlidas, antes do qual eles e, aps o que eles so considerado expirado.

O certificado deve ter uma assinatura digital vlida. CAs assinar digitalmente os certificados que emitir. O cliente VPN verifica a assinatura digital de cada certifi cado na cadeia, com a excepo de o certificado da CA raiz, obtendo a chave pblica do CA dos c ertificados de emisso ea matematicamente validar a assinatura digital. ----------------------- Pgina 269----------- -----------Configurao e So luo de Problemas de Roteamento e acesso remoto 5-49

Lab A: Configurando e Gerenciando Acesso Rede

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve

conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-edge1 e 6421B-NYC-CL1.

Cenrio Lab

Contoso, Ltd. deseja implementar uma soluo de acesso remoto para os seus funcionrios para que eles possam se conectar rede corporativa enquanto estiver fora do escritrio. Contoso requer uma poltica de rede VPN exigindo que conexes so criptografados por razes de segurana.

Voc obrigado a ativar e configurar os servios de servidor necessrias para facilitar esse acesso remoto.

Para este projeto, voc deve completar as seguintes tarefas:

Configurar o Roteamento e Acesso Remoto como uma soluo de acesso remoto V PN.

Configurar uma diretiva de rede personalizado.

Criar e distribuir um perfil CMAK. ----------------------- Pgina 270----------- -----------5-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 1: Configurando roteamento e acesso remoto como um remoto VPN Soluo de Acesso

Remoto

Neste exerccio, voc ir instalar e configurar a Diretiva de Rede e funo Serv ios de Acesso para apoiar o requisitos da fora de trabalho Contoso, Ltd..

As principais funes para este exerccio so como se segue:

1. C.

Instale a Diretiva de Rede e funo Servios de Acesso em edge1-6421B-NY

2. Configurar 6421B-NYC-edge1 como um servidor VPN com um pool de end ereo esttico para clientes de acesso remoto.

3. Configurar portas disponveis no servidor VPN (RRAS) para permitir q ue 25 PPTP, L2TP 25 e 25 SSTP Conexes.

Tarefa 1: Instale a Diretiva de Rede e funo Servios de Acesso em edge1-64

21B-NYC

1.

Mude para o servidor NYC-edge1 virtual.

2.

Abra o Gerenciador do Servidor.

3. Adicione a Diretiva de Rede e funo Servios de Acesso com os seguintes servios de funo:

uma.

Network Policy Server

b.

Roteamento e Acesso Remoto

Tarefa 2: Configurar 6421B-NYC-edge1 como um servidor VPN com um pool de endereo esttico para Clientes de acesso remoto

1.

Em NYC-edge1, roteamento aberto e acesso remoto.

2. No painel de lista, selecione e clique-direito NYC-edge1 (Local) e clique em Configurar e ativar Roteamento e Acesso Remoto.

3.

Utilize as seguintes definies para configurar o servio:

uma.

Na pgina de configurao, aceitar os padres.

b.

Na pgina de Acesso Remoto, selecione a caixa de seleo VPN.

C. "

Na pgina Conexo VPN, selecione a interface pblica.

d.

Na pgina Atribuio de Endereo IP, selecione a partir de um interva

lo especificado de endereos opo.

e. Na pgina Atribuio de endereos Gama, criar um pool de endereos com 75 entradas com um incio endereo 10.10.0.60.

F. os padres.

No Gerenciamento Remoto pgina Multiple Access Servers, aceitar

g.

Aceitar todas as mensagens clicando em OK.

----------------------- Pgina 271----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-51

Tarefa 3: Configurar as portas de VPN disponveis no servidor (RRAS) para permitir que 25 PPTP e 25 conexes L2TP

1. No encaminhamento e acesso remoto interface da ferramenta de gesto, expandir NYC-edge1, selecionar e, em seguida, direito do mouse em Portas e clique em Propriedades.

2.

Use as informaes a seguir para concluir o processo de configurao:

uma.

Nmero de WAN Miniport (SSTP) portas: 25

b.

Nmero de WAN Miniport (PPTP) portas: 25

C. "

Nmero de WAN Miniport (L2TP) portas: 25

3.

Clique em OK para confirmar quaisquer avisos.

4.

Feche a ferramenta de roteamento e acesso remoto.

Resultados: No final deste exerccio, voc ter ativado o roteamento e acesso remoto n o NYC-edge1 servidor. ----------------------- Pgina 272----------- -----------5-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: Configurando uma diretiva de rede personalizado

Remoto

Neste exerccio, voc ir criar e verificar uma poltica de rede personalizada de acordo com as exigncias da Contoso, Ltd.

As principais funes para este exerccio so como se segue:

1. 1.

Abra o Network Policy Server em ferramenta de gesto 6421B-NYC-edge

2.

Criar uma poltica nova rede para clientes RRAS.

3.

Criar e testar uma conexo VPN.

Tarefa 1: Abra o Network Policy Server em ferramenta de gesto 6421B-NYC -edge1

1.

Alterne para a NYC-edge1 computador virtual.

2.

Abra a ferramenta Network Policy Server.

Tarefa 2: Criar uma poltica nova rede para clientes RRAS

1. No console do Network Policy Server, crie uma nova poltica com as seguintes configuraes:

uma.

Nome: VPN segura

b. Tipo de servidor de acesso de rede: servidor de acesso remoto (VPN-Dial-up)

C. " Condies: Tunnel Type = L2TP, PPTP, SSTP

d. Permisso de acesso: Acesso concedido

e. Mtodos de autenticao: Microsoft Encrypted Authentication verso 2 (MS-CHAP-v2)

F.

Restries: restries de dia e tempo = fins de semana negado

g. Configuraes: criptografia criptografia mais forte = (MPPE 128-b it)

2. polticas.

Assegurar que a poltica VPN Secure o primeiro na lista de todas as

3.

Feche a ferramenta Network Policy Server.

Tarefa 3: Criar e testar uma conexo VPN

1.

Mude para o computador NYC CL1.

2.

Rede Aberta e Centro de compartilhamento.

3.

Altere as configuraes do adaptador de rede, como segue:

uma.

Endereo IP: 131.107.0.20

b. Mscara de sub-rede: 255.255.255.0

C. " Gateway padro: 131.107.0.1

4.

Criar uma VPN com as seguintes configuraes:

uma. Endereo da Internet para conectar-se: 131.107.0.2

b. Nome: Contoso VPN

5.

Ligar-se com as novas propriedades VPN como se segue:

uma. Nome de usurio: Administrador ----------------------- Pgina 273----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-53

b.

Senha: Pa $ $ w0rd

C. "

Domnio: Contoso

Nota A VPN conecta com xito.

6.

Desligue o VPN e fechar todas as janelas abertas.

Resultados: No final deste exerccio, voc ter criado e testado uma conexo VPN. ----------------------- Pgina 274----------- -----------5-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Criar e distribuir um perfil CMAK

Remoto

Neste exerccio, voc criar um 32-bit Windows 7 perfil CMAK.

As principais funes para este exerccio so como se segue:

1.

Instale o recurso CMAK em NYC-CL1.

2.

Criar o perfil de conexo.

3.

Distribua o perfil.

Tarefa 1: instalar o recurso CMAK em NYC-CL1

1.

Em NYC-CL1, abra Painel de controle.

2. De Volta recursos do Windows ligado ou desligado no painel de cont role, instalar o Gerenciador de conexo RAS Administration Kit recurso (CMAK).

3.

Feche os Programas e Painel de Controle.

Tarefa 2: Criar o perfil de conexo

Open Connection Manager Administration Kit para iniciar o Connection Ma nager Administration Kit assistente. Criar um perfil de ligao com as seguintes propriedades:

sistema operacional de destino: Windows 7

Com base no perfil de Nova

Nome do servio: Contoso HQ

Nome do arquivo: Contoso

No adicionar um nome de domnio para o nome de usurio

Adicionar suporte para ligaes VPN: Catlogo telefnico deste perfil

Nome do servidor VPN ou o endereo IP: 131.107.0.2

Adicionar um Catlogo Telefnico Personalizado: claras automaticamente actualizaes da lista de download de telefone

Outras configuraes: os valores padro

Tarefa 3: Distribua o perfil

1.

Mudar para NYC DC1.

2.

Crie uma pasta chamada D: \ Profile Contoso.

3.

Compartilhar a pasta usando o Compartilhamento Avanado:

Use o nome padro

Grant Administradores a permisso Controle total e todos a permisso d e leitura

4.

Mudar para NYC CL1 e conectar o VPN Contoso.

5. Copie o contedo de C: \ Arquivos de Programas \ CMAK \ Profiles \ W indows 7 e Windows Vista \ Contoso para \ \ NYC-dc1 \ Profile Contoso.

6. Executar \ \ NYC-dc1 \ Contoso Profile \ Contoso.exe e conclua o a ssistente da seguinte forma:

Tornar esta conexo disponvel para = Todos os usurios ----------------------- Pgina 275----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-55

Adicionar um atalho na rea de trabalho = verdadeiro

7.

Desligue o VPN Contoso.

8.

Na rea de trabalho, clique duas vezes em Contoso HQ - Atalho.

9.

Conecte-se com as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

A VPN conecta com xito.

10. Desligue e fechar todas as janelas abertas.

Resultados: No final deste exerccio, voc ter criado e distribudo um perfil CMAK.

Preparao para o prximo laboratrio

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-edge1 e 6421B-NYC-CL1.

----------------------- Pgina 276----------- -----------5-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 6 Configurando DirectAccess

Organizaes muitas vezes dependem de conexes VPN para fornecer aos usurios remotos acesso seguro aos dados e recursos na rede corporativa. As conexes VPN so fceis de configurar e so a poiados por

clientes diferentes. No entanto, as conexes VPN deve ser iniciado prime iramente pelo usurio e pode exigir configurao adicional no firewall corporativo. Alm disso, as conexes VPN no rmalmente permitir o acesso remoto para toda a rede corporativa. Alm disso, as organizaes no podem efetivamente ger enciar computadores remotos a menos que se encontram ligados. Para superar tais limitaes em conexes V PN, as organizaes podem implementar DirectAccess, disponvel no Windows Server 2008 R2 e Windows 7, para proporcionar uma perfeita conexo entre a rede interna eo computador remoto na Internet. Com o Dir ectAccess, as organizaes podem facilmente gerenciar computadores remotos, porque el es esto sempre conectados.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Discutir os desafios de conexes tpicas VPN.

Descrever as caractersticas e benefcios do DirectAccess.

Descrever os componentes necessrios para implementar o DirectAccess.

Descrever o uso da Tabela Poltica de resoluo de nome.

Descrever como DirectAccess funciona.

Descrever o uso da Tabela Poltica de resoluo de nome.

Configurar DirectAccess.

Instalar e configurar o DirectAccess.

----------------------- Pgina 277----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-57

Discusso: Complexidades de VPNs Gerenciando

Quais so alguns dos desafios que voc enfrenta ao implementar VPNs? ----------------------- Pgina 278----------- -----------5-58 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que o DirectAccess?

Windows Server 2008 R2 e Windows 7 inclui um recurso chamado DirectAcc ess, que permite perfeita acesso remoto a recursos de intranet sem estabelecer a conexo VPN prime iro. O DirectAccess recurso tambm garante conectividade infra-estrutura de aplicativos para usurios internos e usurios remotos.

Ao contrrio das VPNs tradicionais que exigem a interveno do usurio para in iciar uma conexo a uma intranet, DirectAccess permite que qualquer aplicativo compatvel com IPv6 no computador do cli ente para ter acesso completo intranet re DirectAccess tambm permite que voc especifique os recursos e aplicaes c lient-side que so restrita para acesso remoto.

As organizaes beneficiam-DirectAccess porque os computadores remotos pod em ser gerenciados como se fossem locais computadores, utilizando a mesma direco e servidores para atualizao que es tejam sempre up-to-date e em conformidade com as polticas de sade e segurana do sistema. Voc tambm po de definir o controle de acesso mais detalhado polticas de acesso remoto, quando comparado com a definio de polticas de c

ontrole de acesso em solues de VPN.

DirectAccess tem as seguintes caractersticas:

Conecta-se automaticamente a intranet corporativa quando conectado Int ernet.

Utiliza vrios protocolos, incluindo HTTPS, para estabelecer a conectivi dade IPv6. HTTPS normalmente permitido atravs de firewalls e servidores proxy.

Suporta o acesso ao servidor selecionado e fim-de-final autenticao IPsec com servidores da intranet da rede.

Suporte de ponta a ponta-de autenticao e criptografia com servidores da intranet da rede.

Suporte a gerenciamento de computadores remotos.

Permite que os usurios remotos se conectem diretamente aos servidores d a intranet.

DirectAccess projetado com os seguintes benefcios:

conectividade always-on: Sempre que o usurio conecta o computador do cl iente para a Internet, o cliente computador est ligado intranet tambm. Esta conectividade permite ao s computadores clientes remotos ----------------------- Pgina 279----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-59

acessar e atualizar aplicativos com mais facilidade. Faz tambm recursos da i ntranet sempre disponvel, e

permite que os usurios se conectem intranet corporativa de qualquer lugar ea qualquer momento, melhorando assim sua produtividade e desempenho.

Conectividade perfeita: DirectAccess fornece uma experincia de conectividade cons istente se o cliente computador local ou remoto. Isso permite que os usurios se concentrem mais n a produtividade e menos em conectividade opes e de processo. Essa coerncia poder reduzir custos de treinamento para usuri os, com menos incidentes de suporte.

acesso bidirecional: DirectAccess pode ser configurado para que os clientes Dire ctAccess no s tm acesso a recursos da intranet, mas voc tambm pode ter acesso a partir da intr anet para os DirectAccess Clientes DirectAccess, portanto, pode ser bidirecional para que os usurios D irectAccess ter acesso a intranet recursos, e voc pode ter acesso a clientes DirectAccess quando eles esto se c onectando ao longo de um pblico rede Isso garante que os computadores clientes esto sempre atualizados com p atches de segurana mais recentes, a ivo intranet ou na rede pblica.

Poltica de grupo de domnio imposta, e no h diferena se os usurios esto no corpo

Este acesso bidirecional tambm resulta em:

Diminuio do tempo de atualizao

Maior segurana

Diminuio da taxa de falta de atualizao

verificao do cumprimento melhorada

Maior segurana: Ao contrrio das VPNs tradicionais, DirectAccess oferece vrios nveis de controle de acesso para recursos de rede. Este apertado grau de controle permite que os arquitetos de segurana para controlar com preciso remoto usurios que acessam recursos especificados. Criptografia IPsec usado para pr oteger o trfego DirectAccess para que os usurios possam garantir que a sua comunicao segura. Voc pode usar uma po ltica granular para definir quem pode usar o DirectAccess, e de onde.

Soluo integrada: DirectAccess integra totalmente com o isolamento de servidor e de domnio e NAP

solues, resultando na integrao de acesso, segurana e polticas de exigncia de sad entre a intranet e computadores remotos. ----------------------- Pgina 280----------- -----------5-60 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Componentes do DirectAccess

Para implantar e configurar o DirectAccess, sua organizao deve apoiar a seguinte infra-estrutura Componentes

DirectAccess Servidor

No servidor DirectAccess, voc pode instalar o DirectAccess funcionalida de Management Console usando Server Manager. Voc pode usar o Console de Gerenciamento do DirectAccess para configurar as definies para o DirectAccess DirectAccess servidor e os clientes, e monitorar o status do servidor DirectAccess. Voc pode precisar de mais do que um servidor DirectAccess, dependendo dos requisitos de implantao e escalabilidade.

Para implantar componentes DirectAccess no servidor, o servidor deve:

Ser associado a um domnio do Active Directory.

ter o Windows Server 2008 R2 em execuo.

Ter pelo menos dois adaptadores de rede fsica instalada e um ligado Int ernet eo outro para a intranet.

O servidor deve ter pelo menos dois anos consecutivos estticos, os ende reos IPv4 pblicos atribudos rede adaptador que ligado Internet.

O servidor no deve ser colocado atrs de um NAT.

Geralmente instalados na rede de permetro, os servidores DirectAccess f ornecer conectividade para intranet Os clientes DirectAccess na Internet.

Clientes DirectAccess

Para implantar o DirectAccess, voc tambm precisa garantir que o cliente atenda certos requisitos:

O cliente deve estar associado a um domnio do Active Directory.

O cliente deve estar executando o Windows 7 Ultimate Edition, Windows 7 Enterprise Edition ou Windows Server 2008 R2. ----------------------- Pgina 281----------- -----------Configurao e Soluo de Pro blemas de Roteamento e acesso remoto 5-61

Os recursos da rede interna devem estar disponveis atravs de IPv6. Para os cliente s que esto conectados ao Internet, tecnologias de transio IPv6 tais como 6to4 e Teredo pode ser usado.

Nota Clientes que estejam executando o Windows Vista, Windows Server 2008, ou antes, outro verses dos sistemas operacionais Windows no suportam DirectAccess.

Localizao do Servidor de Rede

Os clientes DirectAccess usam o servidor de local da rede (NLS) para determinar sua localizao. Se o cliente pode conectar-se com HTTPS, o cliente assume que est na intranet e desativa componente s DirectAccess. Se o NLS no contactvel, o cliente assume que est na Internet. O servidor NLS instalado com o web funo de servidor.

Observao: O URL para o NLS distribudo usando GPO.

Domnio do Active Directory

Voc deve implantar pelo menos um domnio do Active Directory com pelo menos um Wind ows Server 2008 R2 ou Windows Server controlador de domnio 2008-based, embora no seja necessrio para elev ar o domnio ou floresta nveis funcionais para o Windows Server 2008 R2.

Diretiva de Grupo

Diretiva de Grupo necessrio para a administrao centralizada e implantao de configura DirectAccess. O DirectAccess Setup Wizard cria um conjunto de objetos de Diretiva de Grupo e con figuraes para clientes DirectAccess, os

DirectAccess servidor e servidores selecionados.

PKI

Voc deve implementar uma PKI para emitir certificados de computador para autentic ao, e onde a sade, desejvel certificados quando usam NAP. Voc no precisa implementar certificados pblicos.

Servidor DNS

Ao usar o ISATAP, voc deve usar o Windows Server 2008 R2, Windows Server 2008 com o Q958194 hotfix (http://go.microsoft.com/fwlink/?LinkID=159951), Windows Server 2008 SP2 ou posterior, ou um tero parte do servidor DNS que suporta a troca de mensagens DNS sobre o Tnel Intra-Sit e Automatic Addressing Protocol (ISATAP). ----------------------- Pgina 282----------- -----------5-62 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Qual o nome da tabela Poltica de resoluo?

Para separar o trfego de Internet de trfego Intranet para o DirectAccess , Windows Server 2008 R2 e Windows 7 incluir o nome da Resoluo Poltica Tabela (NRPT), um recurso que permite q ue os servidores DNS e as configuraes para ser definido para cada espao de DNS, em vez de para cada interface. O NRPT armazena uma lista de regras. Cada regra define um namespace DNS e configuraes que descrevem o comportamento do c liente DNS para que namespace. Quando um cliente DirectAccess est na Internet, cada pedido de consulta de nome comparado com as regras de namespace que esto armazenados no NRPT. Se for encontrada uma correspondncia, o pedido processado de acordo

para as definies da regra NRPT.

Se um pedido de consulta de nome no corresponde a um namespace que est l istado no NRPT, o pedido enviado para os servidores DNS que esto configurados nas configuraes de TCP / IP. Para um cliente remoto, os servidores DNS tipicamente os servidores DNS da Internet que esto configurados atravs d o provedor de servios Internet (ISP). DE um cliente DirectAccess na intranet, os servidores DNS ser tipicamente os servidores DNS da intranet que so configurado atravs de Dynamic Host Configuration Protocol (DHCP).

nico rtulo nomes, por exemplo, http://internal-will tipicamente ter conf igurado sufixos de pesquisa DNS que so anexados ao nome antes de serem checadas contra o NRPT.

Se no houver sufixos de pesquisa DNS so configurados eo nome do nico rtulo no corresponde a qualquer outro rtulo nico entrada nome na NRPT, o pedido ser enviado para os servidores DNS que so especificadas no do cliente Configuraes de TCP / IP.

Namespaces, por exemplo, internal.contoso.com-so inseridos no NRPT, seg uido pelo DNS servidores para que os pedidos correspondentes que namespace deve ser dirigida. Se um endereo IP inserido para o Servidor DNS, todas as solicitaes de DNS sero enviados diretamente para o servidor DNS na conexo DirectAccess. Voc no precisa especificar qualquer segurana adicional para tais configuraes. No entanto, se for especificado um nome para o DNS servidor, como dns.contoso.com no NRPT, o nome deve ser resolvido publicamente quando o cliente consultas aos servidores DNS que esto especificados em suas configuraes T CP / IP.

O NRPT permite que os clientes DirectAccess para usar servidores DNS d a intranet para a resoluo de nomes de recursos internos

Internet e servidores de DNS para resoluo de nomes de outros recursos. S ervidores dedicados de DNS no so necessrios ----------------------- Pgina 283----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-63

para resoluo de nomes. DirectAccess ajuda a evitar a exposio de seu namespace intran et para o Internet.

Alguns nomes devem ser tratados de forma diferente em relao resoluo de nomes, esses nomes no devem ser resolvido usando servidores DNS da intranet. Para garantir que esses nomes so res olvidos com os servidores DNS que so especificados no cliente TCP / IP, voc deve adicion-los como isenes NRPT.

NRPT controlado atravs da Diretiva de Grupo. Quando o computador est configurado p ara usar NRPT, o nome mecanismo de resoluo de primeiro tenta usar o cache de nomes local, que inclui as entradas no arquivo hosts, ento NRPT e, finalmente, envia a consulta para os servidores DNS que so especifica das nas configuraes de TCP / IP. ----------------------- Pgina 284----------- -----------5-64 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como funciona o DirectAccess para clientes internos

O processo de conexo DirectAccess acontece automaticamente, sem interve no do usurio. Os clientes DirectAccess usam o seguinte processo para conectar-se a r ecursos de intranet:

1. O cliente DirectAccess tenta resolver o nome de domnio totalmente qualificado (FQDN) da rede URL do servidor de localizao.

Porque o FQDN da URL do servidor de rede local corresponde a uma regra de iseno no NRPT, o cliente DirectAccess envia a consulta DNS para um servidor DNS localmente configurado (uma intranet baseada em Servidor DNS A intranet do servidor DNS resolve o nome.

2. O cliente acessa o DirectAccess URL baseada em HTTPS do servidor local da rede, durante o qual process-lo obtm o certificado do servidor local da rede.

3. Com base na Lista de Certificados Revogados (CRL) campo Pontos d e Distribuio do servidor local da rede de certificado, o cliente DirectAccess verifica os arquivos de revog ao CRL no ponto de distribuio CRL determinar se o certificado do servidor local da rede foi revogad a.

4. Baseado em um HTTP 200 Sucesso da URL do servidor de rede local (acesso bem-sucedido e certificado autenticao e verificao de revogao), o cliente DirectAccess remove as re gras DirectAccess no NRPT.

5. O computador cliente DirectAccess tenta localizar e fazer logon n o domnio AD DS usando seu conta de computador.

Porque no h mais qualquer regra DirectAccess no NRPT, todas as con sultas DNS so enviados atravs de interface de configurao de servidores DNS (servidores DNS da intran et).

6. Baseado no sucesso de logon do computador para o domnio, o client e DirectAccess atribui o Domnio perfil para a rede conectada.

Como a conexo DirectAccess regras de tnel de segurana so escopo para o Pblico e Privado perfis, eles so removidos da lista de regras de segurana ativos de conexo.

O cliente DirectAccess, com sucesso, determinou que ele est ligado sua intranet e no usar as configuraes de DirectAccess (regras NRPT ou regras de conexo do tnel de Segurana). Ele pode acessar intranet ----------------------- Pgina 285----------- -----------Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-65

recursos normalmente. Ele tambm pode acessar os recursos da Internet atravs de mei os normais, como um proxy servidor (no mostrado). ----------------------- Pgina 286----------- -----------5-66 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como funciona o DirectAccess para clientes externos

Quando um cliente DirectAccess iniciado, ele assume que no est conectado intranet. O NRPT tem DirectAccess baseados em regras, e regras de segurana para os tneis de c onexo DirectAccess esto ativos. Internet ligados clientes DirectAccess usam o seguinte processo para conectar-s e a recursos de intranet:

Cliente DirectAccess tentativas de acessar o servidor local da rede

1. O cliente tenta resolver o FQDN da URL do servidor de rede local. Porque o FQDN do URL do servidor de rede local corresponde a uma regra de iseno no N

RPT, o cliente DirectAccess envia a consulta DNS para um local-configurado um servidor DNS (u ma Internet baseada em servidor DNS). Internet DNS servidor no pode resolver o nome.

2.

O cliente DirectAccess mantm as regras DirectAccess no NRPT.

3. Como o servidor local da rede no foi encontrado, o cliente DirectA ccess aplica o pblico ou Perfil privado para a rede associada.

4. A conexo de segurana regras de tnel para o DirectAccess, escopo para os perfis pblicos e privados e r

O cliente DirectAccess tem as regras NRPT e regras de segurana de conexo para acessar recursos de intranet pela Internet atravs do servidor DirectAccess.

DirectAccess Cliente tenta localizar um controlador de domnio

Depois de iniciar e determinar a sua localizao na rede, o cliente Direct Access tenta localizar e efetuar login em um controlador de domnio. Este processo cria o tnel de infraestrutura para o servidor DirectAccess.

1. O nome DNS para o controlador de domnio corresponde a regra namesp ace intranet na NRPT, que especifica o endereo IPv6 do servidor DNS da intranet. O servio Cli ente DNS constri o nome DNS consulta que dirigida para o endereo IPv6 do servidor DNS da intra net e entrega-lo para o TCP / IP empilhar para o envio. ----------------------- Pgina 287----------- ------------

Configurao e Soluo de Problemas de Roteamento e acesso remoto 5-67

2. ws

Antes de enviar o pacote, a pilha TCP / IP verifica se h o Firewall do Windo regras de sada ou de regras de segurana de conexo para o pacote.

3. Como o endereo de destino IPv6 na consulta de nome DNS corresponde a uma reg ra de segurana de conexo que corresponde com o tnel de infraestrutura, o cliente DirectAccess usa AuthIP e IPsec para negociar e autenticar um tnel IPsec criptografado para o servidor DirectAccess. O cli ente DirectAccess se autentica com o seu certificado de computador instalado e suas credencia is NTLM.

4. O cliente DirectAccess envia a consulta de nome DNS atravs do tnel de infra-e strutura para o Servidor DirectAccess.

5. O servidor DirectAccess encaminha a consulta de nome DNS para o DNS servido r de intranet, que responde. A resposta consulta DNS nome enviado de volta para o servidor DirectAccess e volta atravs da tnel de infra-estrutura para o cliente DirectAccess.

Trfego de logon subseqente domnio passa pelo tnel de infraestrutura. Quando o usurio no Cliente DirectAccess faz logon, o trfego de logon de domnio passa pelo tnel de infr aestrutura.

Cliente DirectAccess tentativas de acessar recursos de intranet

A primeira vez que o cliente DirectAccess envia o trfego para um local intranet q ue no est na lista de destinos para o tnel de infraestrutura (como um servidor de e-mail), ocorre o seg uinte:

1. A aplicao ou processo que tenta se comunicar constri uma mensagem ou da carga e as mos -lo para a pilha TCP / IP para o envio.

2. ws

Antes de enviar o pacote, a pilha TCP / IP verifica se h o Firewall do Windo regras de sada ou de regras de segurana de conexo para o pacote.

3. Como o endereo de destino IPv6 corresponde regra de segurana de conexo que cor responde ao intranet do tnel (que especifica o espao de endereo IPv6 da intranet inteira), o cliente DirectAccess usa AuthIP e IPsec para negociar e autenticar um tnel IPsec adicional para o DirectAccess servidor. O cliente DirectAccess se autentica com o seu certificado de comp utador instalado eo usurio credenciais de conta do Kerberos.

4. O cliente DirectAccess envia o pacote atravs do tnel da intranet para o servi dor DirectAccess.

5. Os atacantes do servidor DirectAccess o pacote para os recursos da intranet , que responde. NO entanto, o tempo de enviado de volta para o servidor DirectAccess e volta atravs do tnel de intra net para o DirectAccess *cliente*

Trfego de acesso intranet subseqente, o que no corresponde a um destino intranet na infra-estrutura tnel regra de segurana de conexo, atravessa o tnel intranet.

Cliente DirectAccess tentativas de acessar recursos da Internet

Quando o usurio ou um processo em que o cliente DirectAccess tenta acessar um rec

urso da Internet (como um Internet servidor web), ocorre o seguinte:

1. O servio Cliente DNS passa o nome de DNS para o recurso atravs da Internet NR PT. Existem (Nada encontrado) O servio Cliente DNS constri a consulta de nome DNS que dir igida ao IP endereo de uma interface configurada servidores DNS da Internet e entrega-lo para a pilha TCP / IP para Enviando...

2. ws

Antes de enviar o pacote, a pilha TCP / IP verifica se h o Firewall do Windo regras de sada ou de regras de segurana de conexo para o pacote.

----------------------- Pgina 288----------- -----------5-68 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

3. Como o endereo IP de destino na consulta de nome DNS no coincide c om a segurana da ligao regras para os tneis para o servidor DirectAccess, o cliente Dire ctAccess envia a consulta de nome DNS normalmente.

4. nternet.

A Internet servidor DNS responde com o endereo IP do recurso da I

5. A aplicao do usurio ou processo constri o primeiro pacote para envia r para o recurso da Internet. Antes enviar o pacote, a pilha TCP / IP verifica para determinar se h o Firewall do Windows regras de sada ou de regras de segurana de conexo para o pacote.

6. Como o endereo IP de destino na consulta de nome DNS no coincide c om a segurana da ligao regras para os tneis para o servidor DirectAccess, o cliente Dire

ctAccess envia o pacote normalmente.

Trfego recurso subseqente Internet, o que no corresponde a um destino em qualquer infra-estrutura tnel intranet regras de segurana de conexo, so enviados e recebidos norma lmente. ----------------------- Pgina 289----------- -----------Configurao e Soluo de Pr oblemas de Roteamento e acesso remoto 5-69

Configurando DirectAccess

Para configurar o DirectAccess, voc precisa completar as seguintes tarefas.

Tarefa 1: Configurar o AD DS do controlador de domnio e DNS

Para preparar o AD DS e DNS ambiente, conclua as seguintes tarefas:

Criar um grupo de segurana para manter os computadores que sero clientes DirectAcc ess.

Criar um registro de host DNS para o servidor local da rede para clientes da int ranet DirectAccess.

Criar um registro de host DNS para o servidor que hospeda a lista de revogao de ce rtificado na intranet.

No seu servidor DNS pblico, criar um registro de host DNS para o host que ir propo rcionar o acesso ao Lista de Certificados Revogados para clientes baseados na Internet DirectAc cess.

Tarefa 2: Configurar o ambiente PKI

Para preparar o ambiente PKI, conclua as seguintes tarefas:

Adicionar e configurar o Certificado de funo de servidor Autoridade.

Configure o certificado de revogao configuraes de distribuio da lista.

Publicar a CRL para o local designado intranet.

Criar o modelo de certificado e configurar as definies de segurana no modelo de for ma que Autenticado Os usurios podem inscrever o certificado.

Distribuir os certificados de computador. Voc pode usar a Diretiva de Grupo para fazer isso, permitindo autoinscrio.

Tarefa 3: Configurar os clientes DirectAccess e acesso Intranet teste

Para preparar os clientes DirectAccess e testar o ambiente DirectAccess, conclua as seguintes tarefas: ----------------------- Pgina 290----------- -----------5-70 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Verifique se os clientes DirectAccess ter o certificado de computador que necessrio para o DirectAccess autenticao, o que deveria ter sido distribudo com a Diretiva de Grup o.

Verifique se o cliente pode se conectar a recursos da intranet.

Tarefa 4: Configurar o servidor DirectAccess

Para configurar o servidor DirectAccess, conclua as seguintes tarefas:

Instale duas placas de rede no servidor DirectAccess.

Instale a funo de servidor web no servidor DirectAccess.

Crie um diretrio virtual para hospedar a CRL.

Publicar a CRL ao diretrio virtual.

Instale o DirectAccess funcionalidade Management Console.

Execute o assistente de Gesto DirectAccess para configurar DirectAccess .

Tarefa 5: Verifique a funcionalidade do DirectAccess

Para verificar a funcionalidade DirectAccess, mover clientes DirectAcc ess Internet e verificar a conectividade aos recursos da intranet. ----------------------- Pgina 291----------- -----------Configurao e Soluo de Probl emas de Roteamento e acesso remoto 5-71

Demonstrao: Como instalar e configurar o DirectAccess

Esta demonstrao mostra como:

Configurar o AD DS do controlador de domnio e DNS

Configurar o ambiente PKI

Configure os clientes DirectAccess eo acesso teste de Intranet e Internet

Configure o servidor DirectAccess

verificar a funcionalidade DirectAccess

Observao: Para observar como executar essas tarefas, baixar e extrair o supl ementar arquivo de contedo 6421B-ENU-Companion.zip do http://www.microsoft.com/lear ning / En / us / local de treinamento / companionmoc.aspx e visualizar os arqui vos de mdia a seguir: 6421B_DirectAccessDemo_Task1.WMV 6421B_DirectAccessDemo_Task2.WMV 6421B_DirectAccessDemo_Task3.WMV 6421B_DirectAccessDemo_Task4.WMV 6421B_DirectAccessDemo_Task5.WMV

Para ver a transcrio para a demonstrao, ver 6421B_DirectAccessDemo_Transcript_and_Steps.PDF. ----------------------- Pgina 292----------- -----------5-72 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lab B: Configurando e Gerenciando DirectAccess

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5. Repita os passos 2 a 4 para 6421B-NYC-SVR1, 6421B-NYC-edge1, 6421B -Inet1 e 6421B-NYC-CL1.

Cenrio Lab

Est administrador do servidor da Contoso, Ltd. Sua organizao consiste em u ma grande fora de trabalho mvel que carrega laptops para ficar conectado. Sua empresa quer oferecer uma sol uo segura para proteger dados // transfer; Para fazer isso, voc vai usar DirectAccess para permitir a conectividade persistente, a administrao central, e gerenciamento de computadores remotos.

Para este projeto, voc deve completar as seguintes tarefas:

Configurar o AD DS e DNS para apoiar DirectAccess.

Configurar o ambiente PKI.

Configure os clientes DirectAccess e teste de Intranet e acesso Interne t. ----------------------- Pgina 293----------- -----------Configurao e Soluo de Prob lemas de Roteamento e acesso remoto 5-73

Configure o servidor DirectAccess.

Verifique a funcionalidade do DirectAccess.

Instrues de laboratrio

Devido complexidade dos passos envolvidos na habilitao e configurao DirectAccess, re ferem-se aos passos disponveis na chave de resposta Lab.

Exerccio 1: Configurar o AD DS e DNS Domain Controller

Resultados: No final deste exerccio, voc est preparado AD DS e DNS para apoiar a im plantao de DirectAccess.

Exerccio 2: Configurar o ambiente PKI

Resultados: No final deste exerccio, voc ter configurado a infra-estrutura de chave pblica em Contoso apoiar a implantao de DirectAccess.

Exerccio 3: Configure os clientes DirectAccess e Acesso Intranet Teste

Resultados: No final deste exerccio, voc testou o acesso Intranet.

Exerccio 4: Configurar o servidor DirectAccess

Resultados: No final deste exerccio, voc ter configurado com sucesso NYC edge1 como um DirectAccess servidor.

Exerccio 5: verificar a funcionalidade DirectAccess

Resultados: No final deste exerccio, voc vai ter implementado com sucesso, verific ado e testado DirectAccess.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4. Repita essas etapas para SVR1-6421B-NYC, 6421B-NYC-edge1, 6421B-Inet1 e 642 1B-NYC-CL1. ----------------------- Pgina 294----------- -----------5-74 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Sua organizao quer implementar uma soluo de custo eficaz que interliga duas filiais com seus escritrios na cabea. De que forma poderia VPNs desempenhar um papel nesse cenrio?

2. O gerente de TI da sua organizao est preocupada com a abertura de po rtas de firewall demais para facilitar acesso remoto de usurios que esto trabalhando a partir de casa atra vs de uma VPN. Como voc pode atender a expectativas de seus usurios remotos enquanto dissipar as preocupaes do seu gerente?

3. Voc tem um servidor VPN com duas polticas de rede configuradas. O pr imeiro tem uma condio que concede acesso aos membros do grupo Contoso, para que todos em sua organi zao pertence, mas tem um restrio de dia e hora restries para o horrio de expediente somente. A segunda poltica tinha uma condio de membros do grupo Administradores de Domnio e sem restries. Por que o s administradores de ser recusado ligaes fora do horrio de expediente e que voc pode fazer sobre isso?

Windows Server 2008 R2 Caractersticas introduzidas neste mdulo

Servidor Windows 2008 Descrio recurso R2

DirectAccess DirectAccess um recurso no Windows 7 e Windows Server 2 008 R2 sistemas operacionais que fornece aos usuri

os uma conexo perfeita com o seu rede privada da organizao a partir de um com putador com ligao Internet.

VPN Reconnect Embora DirectAccess pode substituir conexes VPN como um controle remoto preferido acesso a soluo para muitas organizaes, as orga nizaes menores pode no atender s os requisitos de infra-estrutura para o Di rectAccess. Consequentemente, a Microsoft melhorar a usabilidade VPN no Windows 7 c om VPN Reconnect. VPN Reconnect usa IKEv2 tecnologia para fo rnecer VPN contnua e consistente conectividade, automaticamente re-estabele cer uma VPN quando os usurios perdem temporariamente suas conexes com a Internet. Isto particula rmente benfico para os utilizadores que implementar solues de banda larga sem fio. ----------------------- Pgina 295----------- -----------Configurao e Soluo de Probl emas de Roteamento e acesso remoto 5-75

Ferramentas

Usar a ferramenta para Onde encontr-lo

Services.msc Gerenciando os servios do Windows Ferramentas Administrativas, ou ento lanar de R un

Gpedit.msc Editando o lanamento da Poltica de Grupo Local de Execuo

Mmc.exe Gesto criao Console e Lanamento de Run

gesto

Gpupdate.exe Managing aplicao de poltica de grupo Executar a partir de linha de c omando

Napclcfg.msc cliente Manage Lanamento NAP computador Run configuraes de execuo ----------------------- Pgina 296----------- -----------5-76 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 297----------- -----------6.1

Mdulo 6

Instalao, Configurao e Soluo de Problemas da Rede Poltica de servio de funo Servidor

Contedo:

Lio 1: Instalando e Configurando um Network Policy Server 6-3

Lio 2: Configurando Clientes RADIUS e Servidores 6-10

Lio 3: Mtodos de autenticao NPS 6-20

Lio 4: Monitoramento e Resoluo de problemas de Network Policy Server 6-29

Lab: Configurando e Gerenciando Network Policy Server 6-37 ----------------------- Pgina 298----------- ------------

6-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

O Network Policy Server (NPS) em funo do Windows Server 2008 substitui o Servio de Autenticao da Internet (IAS) de verses anteriores do Windows Server. NPS fornece suporte para o Remote Authentication Dial-In Usurio do Servio de protocolo (RADIUS), e pode ser configurado como um s ervidor RADIUS ou proxy. Alm disso, o NPS fornece funcionalidade que essencial para a implementao da Rede de Proteo de Acesso (NAP). Para apoiar os clientes remotos e implementar NAP, importante que voc saiba como instalar, configurar e solucionar NPS.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Instalar e configurar o NPS.

Configurar clientes RADIUS e servidores.

Descrever os mtodos de autenticao do NPS.

Monitorar e solucionar problemas de NPS. ----------------------- Pgina 299----------- -----------Instalao, Configurao e Soluo de Pro blemas da Rede Poltica servio de funo Servidor 6-3

Lio 1

Instalando e Configurando um Servidor de Diretivas de Rede

NPS implementado como uma funo de servidor no Windows Server 2008 e Windo ws Server 2008 R2. Voc deve se tornar uma criana inocente entender como instalar e configurar a funo de NPS para apoiar a sua infra -estrutura RADIUS.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever a Rede de Polticas servio de funo do servidor.

Instale o Network Policy Server.

Descrever as ferramentas usadas para gerenciar um servidor de diretiva de rede.

Configurar as definies gerais do NPS. ----------------------- Pgina 300----------- -----------6-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que um Network Policy Server?

NPS permite-lhe criar e aplicar em toda a organizao das polticas de acess o rede para a sade do cliente,

autenticao de solicitao de conexo, e autorizao de pedido de ligao. Voc ta usar o NPS como um Dial-In User Service Remote Authentication (RADIUS) proxy para encamin har solicitaes de conexo para o NPS ou outros servidores RADIUS que voc configura em grupos de servidores remo tos RADIUS.

NPS permite configurar e gerenciar centralmente a autenticao de rede de acesso, autorizao e polticas de sade do cliente com qualquer combinao dos trs seguintes funes:

O servidor RADIUS: NPS executa autenticao de conexo centralizada, autoriz ao e contabilidade para redes sem fio, autenticando switch, e dial-up e de rede virt ual privada (VPN). Quando usando o NPS como um servidor RADIUS, voc pode configurar servidor es de acesso rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Voc tambm pode confi gurar polticas de rede que o NPS usa para autorizar solicitaes de conexo, e voc pode configurar contas RADIUS p ara que os logs do NPS informaes contbeis em arquivos de log no disco rgido local ou em um M icrosoft SQL Server banco de dados.

O NPS a implementao da Microsoft de um servidor RADIUS. Como um ser vidor RADIUS, o NPS executa autenticao de conexo centralizada, autorizao e contabilidade para muit os tipos de rede acesso, incluindo autenticao wireless, switch, dial-up e VPN de ace sso remoto e roteador para roteador Conexes.

NPS permite o uso de um conjunto heterogneo de wireless, switch, a cesso remoto, ou equipamento de VPN. Voc pode usar o NPS com o servio Roteamento e acesso remoto, que es t disponvel no Microsoft Windows 2000 e verses mais recentes do Windows Server.

Quando um servidor NPS membro de um Active Directory Domain Servi ces (AD DS), o NPS usa AD DS como sua base de dados conta de usurio e oferece single sign -on, os usurios usam o mesmo conjunto de credenciais para controle de acesso de rede (autenticao e autorizao de acesso a u ma rede), como eles fazem para acessar recursos dentro do domnio AD DS.

----------------------- Pgina 301----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-5

Internet Service Providers (ISPs) e organizaes que mantm o acesso rede tm a mai or desafio de gerenciar todos os tipos de acesso rede a partir de um ponto nico da administrao, independentemente de o tipo de rede de acesso-equipamento que utilizam. O padro RADIUS suporta es ta funcionalidade em ambientes homogneos e heterogneos. RADIUS um protocolo cliente-servidor que p ermite rede de acesso-equipamento, utilizado como clientes RADIUS, para apresentar as solicitaes de autenticao e contabilidade para um servidor RADIUS.

Um servidor RADIUS tem acesso a informaes da conta do usurio e pode verificar a autenticao de acesso rede credenciais. Se as credenciais do usurio so autnticos, e RADIUS autoriza a ten tativa de conexo, o Servidor RADIUS, em seguida, autoriza o acesso do usurio com base em condies e specficas e registros da rede de acesso a conexo em um log de contabilidade. Usando o RADIUS permite a autent icao do usurio de acesso rede, autorizao e contabilizao de dados a serem coletados e mantidos em um local cent ral, em vez de em cada servidor de acesso.

proxy RADIUS: Ao utilizar o NPS como um proxy RADIUS, voc pode configurar diretiv as de solicitao de conexo que indicam que as solicitaes de conexo que o servidor NPS encaminhar para outros s ervidores RADIUS e quais servidores RADIUS voc deseja encaminhar solicitaes de conexo. Voc tambm pod e configurar o NPS para frente representando dados para registro por um ou mais computadores em um grupo de servidores remotos RADIUS.

Como um proxy RADIUS, autenticao de NPS para a frente e mensagens de contabil idade para outros servidores RADIUS. NPS suporta o Internet Engineering Task Force (IETF) normas para RADIUS que so descritos em Request for Comments (RFC) 2865 e 2866.

Com NPS, a sua organizao tambm pode terceirizar infra-estrutura de acesso remo to a um prestador de servios mantendo o controle sobre a autenticao do usurio, autorizao e contabilidade.

Voc pode criar diferentes configuraes do NPS para as seguintes solues:

Acesso sem fio

Organizao dial-up ou VPN de acesso remoto

Acesso terceirizado dial-up ou wireless

Acesso Internet

autenticado o acesso a recursos de extranet para parceiros de negcios

servidor de polticas NAP: Quando voc configura o NPS como um servidor de polticas N AP, o NPS avalia as declaraes de sade (SoHs) enviadas por computadores cliente NAP que tentam se conectar red e. NPS tambm atua como um servidor RADIUS quando ele configurado com NAP, realizand o autenticao e autorizao para pedidos de ligao. Voc pode configurar diretivas NAP no NPS e conf iguraes, incluindo validadores do sistema de sade (SHVs), polticas de sade e grupos de Remediao de servidor que permitir que o cliente computadores para atualizar sua configurao para se tornar compatvel com a rede da sua organizao

poltica.

Windows 7 e Windows Server 2008 incluem NAP, que ajuda a proteger o acesso a redes privadas por assegurar que os computadores clientes esto configurados de acordo com a org anizao da rede de sade polticas antes que eles podem se conectar aos recursos da rede. Alm disso, a NAP monitora computador de cliente cumprimento definido pelo administrador da poltica de sade enquanto o computa dor est conectado rede. Os computadores no compatveis podem ser atualizados automaticamente utilizand o o NAP auto-remediao, que traz cumprimento poltica de sade para que eles possam se conectar com xito rede. ----------------------- Pgina 302----------- -----------6-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Os administradores de sistema definir polticas de sade de rede e c riar essas polticas usando NAP componentes que, ou NPS fornece, dependendo a sua implantao NAP, o u que terceiros empresas fornecem.

As polticas de sade podem incluir requisitos de software, a atuali zao de segurana-requisitos e necessria de definies de configurao. A NAP impe diretivas de integridade inspecion ando e avaliando a sade do cliente computadores, restringindo o acesso rede quando os computadores clientes so considerados insalubres, e remediar insalubres computadores cliente para acesso total rede. ----------------------- Pgina 303----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica de Funo de Servidor Servio de 6-7

Demonstrao: Como instalar o Servidor de Diretivas de Rede

Esta demonstrao mostra como:

Instale a funo de NPS.

Registrar NPS no AD DS. ----------------------- Pgina 304----------- -----------6-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Ferramentas usadas para gerenciar um servidor de diretiva de rede

Depois de instalar a Rede papel Policy Server, voc pode abrir a ferrame nta NPS Administrativo da Menu Ferramentas Administrativas, ou voc pode adicionar o snap-in para criar um personalizado Microsoft Management Console ferramenta (MMC). Voc tambm pode usar comandos netsh para gerenc iar e configurar o papel do NPS.

As seguintes ferramentas permitem que voc gerencie e Diretiva de Rede d e Acesso funo de servidor Servios:

NPS MMC snap-in: Use o MMC NPS para configurar um servidor RADIUS, pro xy RADIUS, ou NAP tecnologia

Os comandos Netsh para NPS: Os comandos Netsh para NPS fornecem um con junto de comandos que totalmente equivalente a todas as configuraes que esto disponveis atravs do MMC N PS snap-in. Voc pode executar comandos netsh manualmente no prompt Netsh ou em scripts de admin istrador.

Um exemplo de uso netsh que depois de instalar e configurar o NPS, voc pode salvar a configurao usando o netsh nps show config> caminho \ arquivo.txt comando; salvar

a configurao NPS com este comandar cada vez que voc fazer uma mudana. ----------------------- Pgina 305----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-9

Demonstrao: Como configurar as definies gerais do NPS

Esta demonstrao mostra como:

Configurar um servidor RADIUS para conexes VPN.

Salvar a configurao. ----------------------- Pgina 306----------- -----------6-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2 Configurando Clientes RADIUS e servidores

RADIUS um protocolo de autenticao padro da indstria usado por muitos fabri cantes para apoiar o intercmbio

de informaes de autenticao entre elementos de uma soluo de acesso remoto. im ortante que voc entender como configurar o NPS como um servidor RADIUS ou proxy ou para apoiar o controle remoto autenticao necessidades de sua organizao.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o que um cliente RADIUS.

Descrever o que um Proxy RADIUS .

Configurar um cliente RADIUS.

Descrever o uso de uma Poltica de solicitao de conexo.

Descrever e configurar o processamento de solicitao de conexo para um ambi ente de proxy RADIUS.

Criar uma poltica de pedido de ligao nova. ----------------------- Pgina 307----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-11

O que um cliente RADIUS?

Um servidor de acesso rede (NAS) um dispositivo que fornece algum nvel de acesso a uma rede maior. A NAS utilizando uma infra-estrutura RADIUS tambm um cliente RADIUS, originando pedidos de ligao e de contabilidade mensagens para um servidor RADIUS para autenticao, autorizao e contabilidade.

Os computadores clientes importantes, tais como computadores portteis sem fio e outros computadores que esto rodando o cliente de sistemas operacionais, no so clientes RADIUS. O s clientes RADIUS so servidores de rede de acesso, incluindo pontos de acesso sem fio, chaves d e autenticao 802.1X e Servidores VPN, e servidores dial-up, porque eles usam o protocolo RADIUS para se comunicar com servidores RADIUS como NPS servidores.

Para implantar o NPS como um servidor RADIUS, um proxy RADIUS, ou um servidor de polticas NAP, voc deve configurar RADIUS clientes no NPS.

Exemplos de cliente RADIUS

Exemplos de servidores de acesso de rede incluem o seguinte:

Os servidores de acesso de rede que fornecem conectividade de acesso remoto a um a rede ou a organizao Internet, como um computador que est executando o Windows Server 2008 R2 sis tema operacional e do Servio de roteamento e acesso remoto, que fornece tanto tradicional dial-up ou VPN de acesso remoto servios a intranet de uma organizao.

pontos de acesso sem fio que fornecem acesso de camada fsica rede de uma organizao usando uma rede sem fio transmisso baseada em tecnologias e recepo.

Interruptores que do suporte fsico-camada de acesso rede de uma organizao, usando a ea tradicional local rede (LAN) tecnologias, como a Ethernet.

Os NPS baseados proxies RADIUS que as solicitaes de conexo para a frente para servi dores RADIUS que so membros da um grupo de servidores remotos RADIUS que voc configurar no proxy RADIUS, ou proxies RADIUS outros. ----------------------- Pgina 308----------- -----------6-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que um Proxy RADIUS?

Voc pode usar o NPS como um proxy RADIUS para encaminhar mensagens RADI US entre clientes RADIUS (servidores de acesso) e servidores RADIUS que executam autenticao, autorizao e contabilidade par a a conexo Tentativa

Quando voc usa o NPS como um proxy RADIUS, o NPS uma central de comutao o u roteamento de ponto atravs do qual RADIUS acesso e fluxo de mensagens contabilidade. NPS registra informaes em um log de contabilidade sobre encaminhado mensagem

Voc pode usar o NPS como um proxy RADIUS quando:

Voc um prestador de servios que oferece discagem terceirizada, VPN, ou s ervios de acesso de rede sem fio para vrios clientes.

Seus servidores de acesso rede enviar solicitaes de conexo para o pr oxy RADIUS NPS. Com base no utilizador parte do nome do domnio na solicitao de conexo, o proxy RADIUS NPS en caminha a ligao solicitar a um servidor RADIUS que o cliente mantm e pode autentic ar e autorizar a Tentativas de conexo

Voc deseja fornecer autenticao e autorizao para contas de usurios que no s mbros da domnio no qual o servidor NPS um membro, ou de um domnio que tem um a confiana bidirecional com o NPS domnio do servidor membro.

Isto inclui contas em domnios no confiveis, de um modo domnios confive is, e de outras florestas. Ao inves de configurar servidores de acesso para enviar seus pedidos de conexo a um servidor RADIUS NPS, voc pode

configur-los para enviar seus pedidos de conexo a um proxy RADIUS N PS. O proxy RADIUS NPS usa a poro reino nome do nome de usurio e encaminha a solicitao para u m servidor NPS no domnio correto ou floresta. As tentativas de conexo para contas de usurio em um domnio ou floresta pode ser autenticados para servidores de rede de acesso em outro domnio ou floresta. ----------------------- Pgina 309----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-13

NPS suporta autenticao entre florestas, sem um proxy RADIUS, quando as duas flores tas contm apenas domnios que consistem em controladores de domnio que estejam executand o o Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition e Windows Server 2003 Datac enter Edition.

O nvel funcional da floresta deve ser Windows Server 2003, e deve haver uma relao de confiana bidirecional relao entre as florestas. No entanto, se voc usar Extensible Authentication Pr otocol (EAP)-Transporte Nvel de Segurana (TLS) com certificados como o seu mtodo de autenticao, voc deve usar um proxy RADIUS para autenticao entre florestas que consistem em domnios do Windows Server 2003.

Voc quer realizar a autenticao e autorizao por meio de um banco de dados que no um dows banco de dados conta.

Neste caso, os pedidos de conexo NPS encaminha que correspondem a um nome de domnio especificado para um servidor RADIUS, que tem acesso a um banco de dados diferente de contas de usurio e dados de autorizao. Exemplos de outros bases de dados de usurio incluem Novell Directory Services (NDS) e Structure d Query Language (SQL)

### Bancos de Dados (*Databases*)

Voc quer processar um grande nmero de solicitaes de conexo. Neste caso, em vez de con figurar o seu Clientes RADIUS para tentar equilibrar a sua conexo e solicitaes de contabilid ade atravs de mltiplos Servidores RADIUS, voc pode configur-los para enviar os seus pedidos de ligao e de contabilidade para um NPS Proxy RADIUS.

O proxy RADIUS NPS dinamicamente equilibra a carga de solicitaes de conexo e c ontabilidade em vrios servidores RADIUS, e aumenta o processamento de grandes nmeros de clien tes RADIUS e autenticaes por segundo.

Voc deseja fornecer autenticao RADIUS e autorizao para os prestadores de servios terc irizados e minimizar intranet configurao do firewall.

Um firewall de intranet entre a sua rede de permetro (a rede entre a intrane t ea Internet) e intranet. Ao colocar um servidor NPS na rede de permetro, o fire wall entre a sua permetro da rede e intranet deve permitir que o trfego flua entre o servidor NPS e mltiplas controladores de domnio.

Ao substituir o servidor NPS com um proxy NPS, o firewall deve permitir som ente o trfego RADIUS a fluir entre o proxy NPS e um ou vrios servidores NPS dentro de sua intranet. ----------------------- Pgina 310----------- -----------6-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar um cliente RADIUS

Esta demonstrao mostra como:

Configurar um cliente RADIUS. ----------------------- Pgina 311----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-15

O que uma poltica de pedido de conexo?

Polticas de solicitao de conexo so conjuntos de condies e configuraes que permitem a ministradores de rede designar os servidores RADIUS realizar a autenticao e autorizao de pedidos de conexo que o NPS servidor recebe de clientes RADIUS. Voc pode configurar diretivas de solicitao de conexo para designar quais servidores RADIUS a serem usados para contabilidade RADIUS.

Importante Quando voc implanta NAP usando o VPN ou 802.1X com mtodos de exec uo Protegido autenticao Extensible Authentication Protocol (PEAP), voc deve conf igurar PEAP de autenticao na diretiva de solicitao de conexo, mesmo quando os pedidos de ligao so Processo local

Voc pode criar uma srie de polticas de solicitao de conexo para que algumas mensagens de solicitao RADIUS enviado Os clientes RADIUS so processadas localmente (NPS um servidor RADIUS) e outros ti pos de mensagens so enviadas para outro servidor RADIUS (NPS um proxy RADIUS).

Com polticas de solicitao de conexo, voc pode usar o NPS como um servidor RADIUS ou c omo um proxy RADIUS, baseada em uma

variedade de fatores, incluindo:

O tempo do dia e dia da semana

O nome do domnio na solicitao de conexo

O tipo de conexo voc est solicitando

O endereo IP do cliente RADIUS

Condies

Condies de conexo de diretiva de solicitao so um ou mais atributos RADIUS que so compa adas com o atributos da entrada RADIUS mensagem Access-Request. Se vrias condies existem, ento todo o

condies na mensagem de pedido de ligao e na poltica de pedido de ligao devem correspon er para NPS para impor a poltica. ----------------------- Pgina 312----------- -----------6-16 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede

Configuraes

Definies de ligao de poltica de solicitao so um conjunto de propriedades qu aplicados a um raio de entrada mensagem. Definies constitudo pelos seguintes grupos de propriedades:

Autenticao

Contabilidade

Manipulao de Atributos

Avanado

Padro Poltica de solicitao de conexo

Quando voc instala o NPS, um padro de poltica de pedido de conexo criada c om as seguintes condies:

Autenticao no est configurado.

Contabilidade no est configurado para transmitir informaes de contabilidad e para um grupo de servidores remotos RADIUS.

Manipulao de atributo no for configurado com regras que mudam atributos e m relao encaminhado Pedidos

Solicitao de encaminhamento configurado para que o servidor NPS local, a utentica e autoriza solicitaes de conexo.

Atributos avanados no esto configurados.

A poltica padro de solicitao de conexo usa o NPS como um servidor RADIUS. P ara configurar um servidor NPS para atuar como um Proxy RADIUS, voc tambm deve configurar um grupo de servidores remotos R ADIUS. Voc pode criar um novo controle remoto Grupo do servidor RADIUS, enquanto voc est criando uma poltica de pedido de nova ligao com a nova conexo Assistente de diretiva de solicitao. Voc pode excluir a poltica padro de so licitao de conexo ou verificar se o poltica padro de solicitao de conexo a ltima diretiva processada.

Observao: Se o NPS eo servio Roteamento e Acesso Remoto esto instala dos no mesmo computador, eo servio de Roteamento e Acesso Remoto configurado p ara o Windows autenticao e contabilidade, possvel que o servio Roteamento e Acesso Remoto solicitaes de autenticao e contabilidade para ser encaminhado para u m servidor RADIUS. Isto pode ocorrer quando o roteamento e servio de autenticao de acesso remoto e solic itaes de estatsticas correspondem a uma poltica de solicitao de conexo que est configurado para encaminh-los p ara um servidor RADIUS remoto grup ----------------------- Pgina 313----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-17

Processamento de Pedido de Configurao de Conexo

A poltica padro de solicitao de conexo usa o NPS como um servidor RADIUS e processa t oda a autenticao pedidos localmente.

Consideraes sobre a Configurao de Processamento de solicitao de conexo

Ao configurar o processamento de pedido de ligao, considere o seguinte:

Para configurar um servidor NPS para atuar como um proxy RADIUS e encaminhar as solicitaes de conexo para outros NPS ou servidores RADIUS, voc deve configurar um grupo de servidores remotos RAD IUS e adicionar uma nova conexo

solicitar poltica que especifica as condies e configuraes que as solicitaes de co exo devem coincidir.

Voc pode criar um novo grupo de servidores remotos RADIUS durante o processo de c

riao de uma nova conexo solicitar poltica com o Assistente de nova poltica de solicitao de conexo.

Se voc no deseja que o servidor NPS para atuar como um servidor RADIUS e solicitaes de conexo de processos localmente, voc pode excluir a poltica padro de solicitao de conexo.

Se voc deseja que o servidor NPS para atuar tanto como um servidor RADIUS (os pro cessos de pedidos de ligao local) e como um proxy RADIUS (para a frente algumas solicitaes de conexo para um grupo de servidores remotos RADIUS), ento voc deve adicionar uma nova poltica e, em seguida, verificar se a poltica padro de solicitao de conexo a ltima poltica processado.

Portas para RADIUS e Logging

Por padro, o NPS escuta o trfego RADIUS nas portas 1812, 1813, 1645, e 1646 para P rotocolo de Internet verso 6 (IPv6) e IPv4 para todos os adaptadores de rede instalados.

Observao Se voc desabilitar o IPv4 ou IPv6 em um adaptador de rede, o NPS no m onitora Trfego RADIUS para o protocolo desinstalado. ----------------------- Pgina 314----------- -----------6-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Os valores de 1812 para autenticao e 1813 para contabilidade so portas RA DIUS padres definidos em RFCs 2865 e 2866. No entanto, por padro, muitos servidores de acesso usar as portas 1645 para solicitaes de autenticao e 1646 para pedidos de contabilidade. Quando voc est decidindo sobre o que os nmeros de portas a utilizar, certifique-se que o NPS eo servidor de acesso so configurados para usar os mesmos nmeros de port a.

Importante Se voc no usar o raio nmeros de porta padro, voc deve conf igurar excees no firewall para o computador local para permitir o trfego R ADIUS nas portas novas.

Configurar NPS User Datagram Protocol Informaes porto

Voc pode usar o seguinte procedimento para configurar as portas que o N PS usa para autenticao RADIUS e trfego de contabilidade.

Nota Para concluir este procedimento, voc deve ser um membro do g rupo Administradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores n o computador local.

Para configurar o NPS User Datagram Protocol (UDP) as informaes da porta usando a interface do Windows:

1.

Abra o console do NPS.

2. es.

Boto direito do mouse Network Policy Server e clique em Propriedad

3. Clique na guia Portas e, em seguida, examinar as configuraes de por tas. Se a sua autenticao RADIUS e Portas UDP RADIUS contabilidade variam entre os valores padro forn ecidos (1812 e 1645 para autenticao, e 1813 e 1646 para contabilidade), digite as configuraes de porta em Autenticao e Contabilidade

Observao Para usar as configuraes de porta para vrias solicitaes de au enticao ou de contabilidade, separar o

nmeros de porta com vrgulas. ----------------------- Pgina 315----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-19

Demonstrao: Como criar uma diretiva de solicitao New Connection

Esta demonstrao mostra como:

Criar uma poltica de pedido de conexo VPN. ----------------------- Pgina 316----------- -----------6-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 3 Mtodos de autenticao do NPS

Quando os usurios tentam se conectar rede atravs de servidores de acesso rede, tambm chamado RADIUS clientes, tais como pontos de acesso sem fio, chaves de autenticao 802.1 X e servidores dial-up e servidores VPN, NPS autentica e autoriza a solicitao de conexo antes de permitir ou negar o acesso.

Como a autenticao o processo de verificao da identidade do usurio ou do com putador que est tentando para se conectar rede, o NPS deve receber uma prova de identidade do u surio ou computador sob a forma de credenciais.

Alguns mtodos de autenticao implementar o uso de credenciais baseadas em senha. Por exemplo, Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) exige que os usur ios digitem um nome de usurio e

<password> O servidor de acesso rede, em seguida, passa essas credenci ais para o servidor NPS, que verifica a credenciais contra as contas de usurio de banco de dados.

Outros mtodos de autenticao implementar o uso de credenciais baseadas em certificado para o usurio, o cliente computador, o servidor de NPS, ou alguma combinao. Mtodos de autenticao bas eada em certificados fornecem forte segurana e so recomendados em relao aos mtodos baseados em senha de autenti cao.

Quando voc implantar o NPS, voc pode especificar o tipo necessrio de mtodo de autenticao para acesso sua rede

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os mtodos de autenticao baseados em senha para um servidor NPS.

Descrever como os certificados so usados lientes da rede.

para fornecer autenticao para os c

Descrever os tipos de certificados que so necessrios para vrios mtodos de autenticao.

Descrever como implantar certificados para PEAP e EAP. ----------------------- Pgina 317----------- -----------Instalao, Configurao e Soluo de Problemas d a Rede Poltica servio de funo Servidor 6-21

Baseados em senha Mtodos de autenticao

Cada mtodo de autenticao tem vantagens e desvantagens em termos de segurana, largura , usabilidade e de apoio. No entanto, os mtodos de autenticao baseados em senha no fornecem uma fort e segurana e no so (recomendado) Recomendamos que voc use um mtodo de autenticao baseada em certificado para toda a rede mtodos de acesso que suportam o uso de certificados. Isto especialmente verdadeir o para as ligaes sem fios, do qual Recomendamos o uso de PEAP-MS-CHAP v2 ou PEAP-TLS.

O mtodo de autenticao de que necessita determinada pela configurao do servidor de ace sso rede, No computador cliente, e da poltica de rede no servidor NPS. Consulte a documentao do servidor de acesso para determinar quais mtodos de autenticao so suportados.

Voc pode configurar o NPS para aceitar vrios mtodos de autenticao. Voc tambm pode conf gurar sua rede servidores de acesso, tambm chamados de clientes RADIUS, para tentar negociar uma conexo com computadores cliente requererem a utilizao do protocolo mais seguro primeiro, em seguida, o prximo mais seguro, e assim por diante, at o menos seguro. Por exemplo, o servio Roteamento e Acesso Remoto tenta negociar uma conexo usando EAP primeiro, depois o MS-CHAP v2, depois o MS-CHAP, ento Challenge Handshake Aut hentication Protocol (CHAP), ento Shiva Password Authentication Protocol (SPAP), e, em seguida, Password Authe ntication Protocol (PAP). Quando o EAP escolhido como o mtodo de autenticao, a negociao do tipo de EAP ocorre e ntre o o acesso do cliente eo servidor NPS.

MS-CHAP verso 2

MS-CHAP v2 fornece maior segurana para conexes de acesso rede que o MS-CHAP, seu a ntecessor.

MS-CHAP

MS-CHAP, tambm conhecido como MS-CHAP verso 1, um irreversvel, senha criptografada autenticao protocol

MS-CHAP v2 fornece maior segurana para conexes de acesso rede que o MS-CHAP. Voc de veria considerar o uso de MS-CHAP v2, em vez de MS-CHAP. ----------------------- Pgina 318----------- -----------6-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

CHAP

O CHAP um protocolo de autenticao desafio-resposta que usa a mensagem pad ro da indstria Digest 5 esquema de hashing (MD5) para criptografar a resposta.

PAP

PAP usa senhas em texto puro e o protocolo de autenticao menos seguro. E le normalmente negociado se o cliente de acesso e servidor de acesso rede no podem negociar um mtodo de autenticao mais segura.

Acesso no autenticado

Com o acesso no autenticado, as credenciais do usurio (um nome de usurio e senha) no so necessrios. Apesar de existem algumas situaes em que o acesso no autenticado til, na maioria dos casos, no recomendamos que voc implantar o acesso no autenticado rede da organizao.

----------------------- Pgina 319----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-23

Usando certificados para autenticao

Os certificados so documentos digitais que as autoridades de certificao (CAs) de em isso, como o Active Directory Servios de Certificados (AD CS) ou a VeriSign pblico da CA. Voc pode usar certifica dos para vrias finalidades, tais como assinatura de cdigo e garantir a comunicao de e-mail. No entanto, com NPS, voc usar certificados para rede acesso de autenticao, pois fornecem uma forte segurana para autenticao de usurios e co mputadores, e eliminar a necessidade de menos seguras, mtodos de autenticao baseados em senha.

NPS servidores usam EAP-TLS e PEAP para realizar autenticao baseada em certificado para muitos tipos de rede acesso, incluindo VPN e conexes sem fio.

Modo de autenticao

Dois mtodos de autenticao, quando voc configur-los com os tipos de autenticao baseada m certificado, use certificados: EAP e PEAP. Com o EAP, voc pode configurar o tipo de autenticao TLS ( EAP-TLS), e com PEAP, voc pode configurar a autenticao tipos TLS (PEAP-TLS) e MS-CHAP v2 (PEAP-MS-C HAP v2). Esses mtodos de autenticao sempre usar certificados para autenticao do servidor. Depe ndendo do tipo de autenticao que voc configurar com o mtodo de autenticao, voc tambm pode usar tificados para autenticao de usurio e autenticao de computador cliente.

Nota: a utilizao de certificados para autenticao VPN conexo a forma mais forte de

autenticao disponveis no Windows Server 2008 R2. Voc deve usar certificados pa ra IPsec autenticao em conexes VPN que so baseados em camada de protocolo Two Tunneling mais (Internet Protocol Security L2TP/IPsec). Conexes PPTP no necessitam de certi ficados, Embora voc possa configurar conexes PPTP para usar certificados para computa dor autenticao quando voc usa EAP-TLS como mtodo de autenticao. Para clientes sem fi os (Dispositivos de computao com adaptadores de rede sem fio, como o computador porttil ou assistente digital pessoal), usar o PEAP com EAP-TLS e os cartes inteligent es ou certificados para autenticao. ----------------------- Pgina 320----------- -----------6-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Implantando certificados para uso com NPS

Voc pode implantar certificados para uso com NPS, instalando e configur ando a funo de servidor AD CS.

Autenticao mtua

Quando voc usa o EAP com um tipo forte EAP (como TLS com cartes intelige ntes ou certificados), o cliente eo servidores utilizam certificados para verificar suas identidades um do outro. Este processo chamado de autenticao mtua. Os certificados devem cumprir os requisitos especficos para permitir qu e o servidor eo cliente para us-los para mtua autenticao.

Um dos requisitos que o certificado est configurado com um ou mais efei tos em Estender Uso da chave (EKU) extenses que se correlacionam com o uso de certificados. Por exem

plo, voc deve configurar um certificado que voc usa para autenticao de um cliente com a finalidade de autenticao de cli ente. Da mesma forma, voc deve configurar um certificado que voc usa para autenticao de um servidor com o objectivo de Autenticao de Servidor. Quando voc usar certificados para autenticao, o autenticador examina o certificado do cliente, buscando a correta identificador propsito objeto em extenses EKU. Por exemplo, o identifica dor do objeto para a autenticao de cliente objetivo 1.3.6.1.5.5.7.3.2. Quando voc usa um certificado para a autent icao de computador cliente, este objeto identificador deve estar presente nas extenses EKU do certificado ou a autenticao ir falhar.

Modelos de Certificado

Modelos de Certificado um snap-in que permite a personalizao dos certifi cados de que as questes AD CS. Possibilidades de personalizao incluem como os certificados so emitidos e que os certificados contm, incluindo seus propsitos. Em modelos de certificado, voc pode usar um modelo padro, como o modelo do computador, para definir o modelo que o CA utiliza para atribuir certificados para computadores. Voc tambm pode criar um modelo de certificado e atribuir finalidades a ela em extenses EKU. Por padro, o modelo de computador inclui a finalidade Autenticao do Cliente e da finalidade de Autenticao de Servidor nas extenses EKU.

O modelo de certificado que voc criar pode incluir qualquer finalidade para a qual voc ir utilizar o certificado. DE exemplo, se voc usar cartes inteligentes para autenticao, voc pode incluir a finalidade de logon no Smart Card Alm da finalidade de autenticao de cliente. Ao utilizar o NPS, voc pode co nfigurar o NPS para verificar certificado de fins antes de conceder autorizao de rede. NPS pode verifi car EKUs adicionais e emisso Fins de poltica (tambm conhecido como Polticas de Certificados).

Nota: Alguns no-Microsoft software CA pode conter um propsito cha mado All, que representa todos os fins possveis. Isto indicado por uma extenso EKU em branco (ou nulo). Apesar de tudo, pretende significar "todos os efeitos possveis," voc no pode substituir o Todofinalidade para a finalidade de autenticao do cliente, o propsito de autenticao do servidor, ou qualquer outra finalidade que est relacionado autenticao de acesso rede. ----------------------- Pgina 321----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-25

Certificados exigidos para mtodos de autenticao do NPS

Tabela a seguir detalha os certificados que so necessrias para implantar cada um d os listados com base em certificado mtodos de autenticao com sucesso:

Necessrio para EAP-TLS e Necessrio para PEAP-MSCertificado PEAP-TLS? Detalhes CHAP v2?

Certificado da CA em Sim. O certificado CA sim. Este certificado Para PEAP-MS -CHAP v2, Raiz Confivel inscrito automaticamente para matriculados automaticamente este certificado Membros de certificao computadores do domnio. para membro do domnio necessrio para mtua Autoridades Para computadores no-membros do domnio. Para os no-autenticao entre computadores armazenamento de certificados, voc deve importar cliente membro d o domnio eo servidor. para o local o certificado manualmente em computadores, voc deve Computador eo armazenamento de certificados. importar o certificado

Usurio atual manualmente no armazenamento de certificados.

Sim computador cliente. A autenticao do usurio do computador cliente No. Se voc im plantar usurio certificado nos certificados so necessrias realizada com certificados em inteli gente armazenamento de certificados, a menos que os certificados de utilizador so ba seados em senha cartes, computadores clientes do cliente distribudos em cartes inteligentes. credenciais no, no precisa de clie nte Os certificados de cliente esto matriculados certificad os. certificados. automaticamente para o domnio computadores membros. Para os nomembros computadores do domnio, voc deve importar o certificado manualmente ou obter com o Web-inscrio Ferramentas ----------------------- Pgina 322----------- -----------6-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

(continuao)

Necessrio para EAP-TLS e Necessrio para PEAP-M SCertificado PEAP-TLS? Detalhes CHAP v2?

O certificado do servidor sim. Voc pode configurar sim. Alm disso par a o servidor NPS envia no certificado de AD CS para registrar automaticamente servidor usa ndo o AD CS para o servidor do certificado de servidor para

armazenar os certificados de NPS para os membros dos certificados, possvel que o computador cliente. servidor RAS e IAS grupo de servidores no servidor de comprar o com putador cliente Active Directory. certificados de outro usa o certificado para CAs que o cliente autenticar os NPS comp utadores j confia. servidor.

Usurio certificado No. Este certificado exigido autenticao do usurio No. Para EAP-TLS e em um carto inteligente apenas se voc optar por implementar realizada com PEAP-TLS, se voc fizer cartes inteligentes em vez de no auto-senha b aseada em auto-inscrever-se cliente inscrever as credenciais do cliente de comp utador, certificados de computador, no certificados. certificados. certificados de usurio em inteligente cartes so necessrios.

Importante Instituto de Engenheiros Eltricos e Eletrnicos, Inc. ( IEEE) 802.1X autenticao fornece acesso autenticado a redes sem fio 802.11 e co m fio Redes Ethernet. 802.1X fornece suporte para tipos de EAP seguro s, como TLS com inteligente cartes ou certificados. Voc pode configurar 802.1X com EAP-TLS em uma variedade de maneiras. Se voc configurar a opo Validar certificado do servidor no cliente, o cl iente autentica o servidor utilizando o respectivo certificado. Computador client e e autenticao de usurio realizado o uso de certificados do armazenamento de certificados de clien te ou um carto inteligente, proporcionando mtuo autenticao. Com clientes sem fio, voc pode usar o PEAP-MS-CHAP v2

como a autenticao Mtodos PEAP-MS-CHAP v2 uma senha baseada em mtodo de autenticao de usurio que usa TLS com certificados de servidor. Durante PEAP-MS-CHAP v2, o servid or NPS fornece uma certificado para validar sua identidade para o cliente (se a opo Validar certificado do servidor configurado no cliente Windows 7). Computador cliente e autenti cao de usurio conseguido com senhas, o que elimina algumas das dificuldades d a implantao certificados para computadores cliente sem fio. ----------------------- Pgina 323----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-27

Implantando Certificados para PEAP e EAP

Todos os certificados que voc usa para autenticao de acesso rede com EAP-TLS e PEAP deve atender a requisitos para certificados X.509 e de trabalho para conexes que utilizam Secure Sockets Layer-Transportes Layer Security (SSL / TLS). Aps este requisito mnimo cumprida, os certificados de cliente e servidor tm requisitos adicionais.

Requisitos mnimos de certificado do servidor

Voc pode configurar clientes para validar certificados de servidor usando a opo Val idar certificado do servidor. Com PEAP-MS-CHAP v2, PEAP-TLS ou EAP-TLS como mtodo de autenticao, o cliente aceita o s ervidor autenticao tentativa quando o certificado cumpre os seguintes requisitos:

O nome do assunto contm um valor. Se voc emitir um certificado para seu servidor N PS que tem um espao em branco

Assunto, o certificado no est disponvel para autenticar o servidor NPS.

O certificado do computador nas cadeias do servidor para uma CA raiz confivel e no deixar nenhum dos cheques CryptoAPI que realiza e que o acesso remoto ou polticas de rede especificar.

O NPS ou VPN certificado de computador servidor est configurado com a finalidade de autenticao do servidor em Extenses EKU (o identificador de objeto para Autenticao do Servidor 1.3.6.1.5. 5.7.3.1).

O certificado do servidor est configurado com um valor necessrio de algoritmo RSA.

A extenso Subject Alternative Name (SubjectAltName), se voc us-lo, deve conter a do servidor FQDN.

Com PEAP e EAP-TLS, servidores NPS exibir uma lista de todos os certificados ins talados no certificado de computador loja, exceto o seguinte:

Certificados que no contenham a finalidade de Autenticao de Servidor nas extenses EK U

Certificados que no contenham um nome de assunto

Registro e baseados em smart card logon certificados de ----------------------- Pgina 324----------- -----------6-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Requisitos mnimos de certificado de cliente

Com o EAP-TLS ou PEAP-TLS, o servidor aceita a tentativa de autenticao d o cliente quando o certificado cumpre os seguintes requisitos:

Uma AC empresarial emitiu o certificado de cliente ou ele mapeado para um usurio do Active Directory ou computador Contas

O usurio ou certificado de computador sobre as cadeias de cliente para uma CA confivel-root; inclui o Cliente Finalidade de autenticao em extenses EKU (o identificador de objeto para autenticao do cliente 1.3.6.1.5.5.7.3.2); e no nem as verificaes que executa CryptoAPI, q ue o acesso remoto ou polticas de rede especificar, nem o identificador do objeto Certi ficado verifica que as polticas de rede NPS [ESPECIFICAR]

O cliente 802.1X no utiliza certificados baseados no Registro que so ou smart card logon ou protegidos por senha certificados.

Para certificados de usurio, a extenso Subject Alternative Name (Subject AltName) no certificado contm o nome de usurio principal (UPN).

Para certificados de computador, a extenso Subject Alternative Name (Su bjectAltName) no certificado deve conter FQDN do cliente, tambm conhecido como o nome de DNS.

Com PEAP-TLS e EAP-TLS, os clientes exibir uma lista de todos os certi ficados instalados no snap-in Certificados, com as seguintes excees:

Os clientes sem fio no exibir com base no Registro e smart card logon-c ertificados.

Os clientes sem fio e clientes VPN no apresentam certificados protegido s por senha.

Os certificados que no contenham a finalidade de Autenticao de Cliente na s extenses EKU. ----------------------- Pgina 325----------- -----------Instalao, Configurao e Soluo de Pro blemas da Rede Poltica servio de funo Servidor 6-29

Lio 4 Monitoramento e Resoluo de problemas de Network Policy Server

Voc pode monitorar NPS por configurar e usar o log de eventos e de auten ticao de usurio e solicitaes de contabilidade. O registro de eventos permite gravar eventos do NPS no sistema e eventos de segurana Acessos Voc pode usar o log pedido de anlise de conexo e efeitos de factur ao. A informao de que o coletar arquivos de log til para soluo de problemas e tentativas de conexo para a investigao de segurana.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os mtodos para monitoramento NPS.

Descrever como configurar as propriedades do arquivo de log.

Descrever como configurar o SQL Server registro no NPS.

Descrever como configurar os eventos do NPS a ser registrados no Visual

izador de eventos. ----------------------- Pgina 326----------- -----------6-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Mtodos usados

para monitorar NPS

Os dois tipos de contabilidade, ou registro, que voc pode usar para mon itorar NPS so:

O registo de eventos para NPS: Voc pode usar o log de eventos para regi strar eventos do NPS no sistema e de segurana logs de eventos. Voc pode usar isso principalmente para auditoria e as tentativas de conexo de resoluo de problemas.

o registro de pedidos de autenticao de usurio e contabilidade: Voc pode fa zer logon autenticao de usurio e solicitaes de contabilidade em arquivos de log em formato texto ou formato de banco de dados, ou voc pode registrar em um armazenados procedimento em um banco de dados SQL Server. Use pedido de regis tro principalmente para anlise de ligao e de faturamento propsitos, e como uma ferramenta de investigao de segurana, pois perm ite identificar a atividade de um invasor.

Para tornar o uso mais eficaz de NPS log:

Desligue o log (inicialmente) para autenticao e registros contbeis. Modif ique essas selees aps a determinar o que apropriado para seu ambiente.

Certifique-se que voc configure o log de eventos com capacidade suficie nte para manter seus registros.

Faa o backup de todos os arquivos de log em uma base regular, porque el es no podem ser recriados quando danificado ou apagado.

Use o atributo Classe RADIUS para controlar o uso e simplificar a iden tificao de qual departamento ou usurio para cobrar pelo uso. Embora o atributo de classe, que gerado aut omaticamente, exclusivo para cada pedido, registros duplicados podem existir nos casos em que a res posta para o servidor de acesso perdido e os pedido re-enviado. Voc pode precisar excluir as solicitaes duplicada s dos logs para rastrear o uso com preciso.

Para fornecer failover e redundncia com o log do SQL Server, coloque do is computadores que esto executando SQL Server em sub-redes diferentes. Use o SQL Server Create Publi cation Wizard para configurar banco de dados replicao entre os dois servidores. Para mais informaes, consulte a do cumentao do SQL Server.

Observao: Para interpretar os dados registrados, ver as informaes n o site TechNet da Microsoft: http://go.microsoft.com/fwlink/?LinkID=214832&clcid=0x409. ----------------------- Pgina 327----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-31

Logging NPS Contabilidade

Voc pode configurar o NPS para executar a contabilizao RADIUS para os pedidos de au tenticao de usurio, Access-Accept mensagens, Access-Reject mensagens, pedidos de contabilidade e respostas, e atua lizaes de status peridicos. Voc pode usar este procedimento para configurar os arquivos de log, onde voc deseja a rmazenar os dados contbeis.

Consideraes sobre a Configurao de Contabilidade para o NPS

A lista a seguir fornece mais informaes sobre como configurar o NPS de contabilida de:

Para enviar os dados do arquivo de log para a coleta por outro processo, voc pode configurar o NPS para gravar um pipe. Para usar pipes nomeados, defina a pasta de arquivo de log \ \. Pipe \ ou \ \ ComputerName pipe \. O programa de servidor do pipe cria um pipe nomeado chamado \ \. \ pipe \ ias log.log para aceitar os dados. No Arquivo Local caixa de dilogo Propriedades, em Criar um novo arquivo de log, selecione Nunca (tamanho de arquivo ilimitado) quando voc usar pipes nomeados.

Para criar o diretrio do arquivo de log, use as variveis vez de variveis do usurio), como

de ambiente do sistema (em

% Systemdrive%,% systemroot% e% windir%. Por exemplo, o seguinte caminho, u sando o % varivel de ambiente windir%, localiza o arquivo de log no diretrio de siste ma na subpasta \ System32 \ Logs (isto ,% windir% \ System32 \ Logs \).

Mudar formatos de arquivo de log no causar um novo log a ser criado. Se voc altera r os formatos de arquivo de log, o arquivo que est ativa quando a mudana ocorre ir conter uma mistura dos dois fo rmatos (registros no incio do registo ter o formato anterior, e os registros no final do log ter o novo formato).

Se voc estiver administrando um servidor NPS remotamente, voc no pode navegar na es trutura de diretrios. Se voc necessidade de registrar as informaes de contabilidade para um servidor remot o, especifique o nome do arquivo de log digitando um Universal Naming Convention nome (UNC), como \ \ Meu_Servidor_de_Log \ LogShare.

Se a contabilidade RADIUS falha devido a uma unidade de disco rgido inteiro ou ou tras causas, o NPS no Windows Server 2008, e, por padro no Windows Server 2008 R2, pra de processar as solicitaes de conexo , o que impede

usurios de acessar recursos de rede. ----------------------- Pgina 328----------- -----------6-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

NPS permite registrar em um banco de dados SQL Server, alm de, ou em ve z de log para um arquivo local.

Observao: Se voc no fornecer uma declarao caminho completo no diretri de arquivo de log, o caminho padro usado. Por exemplo, se voc digitar NPSLogFile no diretrio de arqu ivo de log, o arquivo est localizado em % Systemroot% \ System32 NPSLogFile \.

Configurando propriedades do arquivo de log

Para configurar as propriedades do arquivo de log usando a interface d o Windows, execute as seguintes tarefas:

1.

Abra a Rede Policy Server snap-in.

2.

Na rvore de console, clique em Contabilidade.

3. No painel de detalhes, em propriedades do arquivo de log, clique em Alterar propriedades do arquivo de log. O arquivo local Caixa de dilogo Propriedades abre.

4. Na guia arquivo de log, no diretrio, digite o local onde voc desej a armazenar os arquivos de log do NPS. A configurao padro localizao o systemroot \ System32 \ LogFiles.

5. (Legacy).

Em Format, selecione uma das DTS Compliant, ODBC (Legacy) e IAS

6. Para configurar o NPS para iniciar novos arquivos de log em inter valos especficos, clique no intervalo que voc deseja usar:

Para o volume de transaes pesado e atividade madeireira, clique em Dirio.

Para volumes menores de transao e atividade madeireira, clique sem anal ou mensal.

Para armazenar todas as operaes em um arquivo de log, clique em Nu nca (tamanho de arquivo ilimitado).

Para limitar o tamanho de cada arquivo de log, clique em arquivo de log Quando atinge esse tamanho, e digite um tamanho de arquivo, aps o que um novo log criado. O tamanho padro 10 megabytes (M B).

7. Para configurar o NPS para apagar arquivos de log automaticamente quando o disco est cheio, clique em Quando o disco est cheio apagar arquivos de log mais antigos. Se o arquivo de log mais antigo o a rquivo de log atual, ele no excludo.

Nota Para concluir este procedimento, voc deve ser um membro do grupo Administradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores no computador local. ----------------------- Pgina 329----------- -----------Instalao, Configurao e Soluo de Problemas d a Rede Poltica servio de funo Servidor 6-33

Configurando o log do servidor SQL

Voc pode configurar o NPS para executar a contabilizao RADIUS para os pedidos de au tenticao de usurio, Access-Accept mensagens, Access-Reject mensagens, pedidos de contabilidade e respostas, e atua lizaes de status peridicos. Voc

pode usar este procedimento para configurar as propriedades de log ea conexo com o SQL Server em execuo Servidor que armazena os seus dados contbeis. O banco de dados SQL Server pode es tar no computador local ou em um Servidor remot

Observe os dados do NPS formatos de contabilidade como um documento XML qu e envia para o report_event procedimento armazenado no banco de dados SQL Server que voc designar no NP S. Para o SQL Server de registro para funcionar corretamente, voc deve ter um procedimento armaz enado chamado report_event no Banco de dados SQL Server que pode receber e analisar os documentos XML a partir de NPS.

Configurando o SQL Server em Logging NPS

Para configurar o SQL Server login NPS usando a interface do Windows, execute as seguintes tarefas:

1.

Abra a Rede Policy Server snap-in.

2.

Na rvore de console, clique em Contabilidade.

3. No painel de detalhes, em Propriedades log do SQL Server, clique em Alterar Propriedades log do SQL Server. O log do SQL Server caixa de dilogo aberta.

4. Na registrar as seguintes informaes, selecionar as informaes que voc deseja regi strar:

Para registrar todas as solicitaes de contabilidade, selecione pedidos de Con tabilidade.

Para fazer solicitaes de autenticao, selecione os pedidos de autenticao.

Para registrar o status peridica, tais como solicitaes de estatsticas provisrias , selecione status de contabilizao peridica.

Para registrar o status peridica, tais como solicitaes de autenticao provisrias, selecione autenticao peridica STATUS ----------------------- Pgina 330----------- -----------6-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

5. Para configurar o nmero de sesses simultneas que voc deseja permitir que entre o servidor NPS e o banco de dados SQL Server, digite um nmero em nmero mximo de sesses simultneas.

6. Para configurar o SQL Server fonte de dados, clique em Configurar . O vnculo de dados caixa de dilogo Propriedades abre. Na guia Conexo, especifique o seguinte:

Para especificar o nome do servidor no qual o banco de dados arma zenado, digite ou selecione um nome na Select ou digite um nome de servidor.

Para especificar o mtodo de autenticao com o qual fazer logon no ser vidor, clique em Usar o Windows NT segurana integrada. Ou, clique em Usar um nome de usurio e sen ha especficos e, em seguida, digite credenciais em nome de Usurio e Senha.

Para permitir uma senha em branco, selecione a senha em branco.

Para armazenar a senha, selecione Permitir salvar senha.

Para especificar para qual banco de dados para conectar no comput ador que executa o SQL Server, clique em Selecionar o banco de dados no servidor e, em seguida, selecione um nome de banco de dados da lista.

7. Para testar a conexo entre o servidor NPS eo computador que est exe cutando o SQL Server, clique em Teste a conexo

Nota Para concluir este procedimento, voc deve ser um membro do g rupo Administradores de Domnio, o grupo Administradores de empresa ou do grupo Administradores n o computador local. ----------------------- Pgina 331----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-35

Configurando Eventos NPS para gravar no Visualizador de eventos

Voc pode configurar o NPS para gravar o log de eventos de solicitao de conexo, falha e eventos de sucesso no evento Visualizador de log do sistema.

Configurar NPS Registro de Eventos

Para configurar o NPS log de eventos usando a interface do Windows, execute as s eguintes tarefas:

1.

Abra o Network Policy Server (NPS) snap-in.

2.

Boto direito do mouse NPS (Local) e clique em Propriedades.

3. Na guia Geral, selecione cada uma das seguintes opes, conforme necessrio, e cl ique em OK.

Os rejeitados os pedidos de autenticao

Sucesso de solicitaes de autenticao

Nota Para concluir este procedimento, voc deve ser um membro do grupo Admin istradores de domnio ou o grupo Administradores de empresa.

Utilizando os logs de eventos no Visualizador de eventos, voc pode monitorar erro s do NPS e outros eventos que voc configurar NPS para gravar.

NPS registros de solicitao de conexo de eventos falha no sistema e logs de eventos de segurana por padro. Eventos de solicitao de conexo, falha consiste em pedidos que o NPS rejeita ou desc arta. NPS Outros eventos de autenticao so registradas no log do sistema do Visualizador de eventos c om base em configuraes que voc especificar no NPS encaixe em-. Portanto, o evento Visualizador de log de segurana pode regis trar alguns eventos que contm dados sensveis. ----------------------- Pgina 332----------- -----------6-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Connection-Request eventos de falha

Embora NPS registra eventos de solicitao de conexo, falha, por padro, voc p ode alterar a configurao de acordo com suas necessidades madeireiras. NPS rejeita ou ignora os pedidos de ligao para uma variedade de razes, incluindo o seguinte:

A mensagem RADIUS no est formatado de acordo com RFCs 2865 ou 2866.

O cliente RADIUS desconhecida.

O cliente RADIUS tem vrios endereos IP e enviou o pedido em um endereo di ferente do definido no NPS.

autenticador A mensagem (tambm conhecido como uma assinatura digital) q ue o cliente enviado invlido porque o segredo compartilhado invlido.

NPS no conseguiu localizar o domnio do nome do usurio.

NPS no pde se conectar ao domnio do nome do usurio.

NPS no conseguiu acessar a conta de usurio no domnio.

Quando o NPS rejeita um pedido de conexo, a informao no texto do evento i nclui o nome de usurio de acesso, identificadores do servidor, o tipo de autenticao, o nome da poltica de r ede correspondente, a razo para o rejeio, e outras informaes.

Conexo Eventos de Sucesso Pedido

Embora NPS registros de conexo eventos de solicitao de sucesso, por padro, voc pode alterar a configurao de acordo com suas necessidades madeireiras.

Quando o NPS aceita uma solicitao de conexo, a informao no texto do evento inclui o nome de usurio de acesso, identificadores do servidor, o tipo de autenticao, eo nome da primeira p oltica correspondente da rede.

Registro de eventos Schannel

Canal seguro (Schannel) um provedor de suporte de segurana (SSP) que su porta um conjunto de segurana da Internet protocolos, como SSL e TLS. Esses protocolos fornecem autenticao de iden tidade e seguro, privado comunicao por meio de criptografia.

Registro de falhas cliente certificado de validao um evento de canal seg uro e no est habilitado no NPS servidor por padro. Voc pode ativar eventos adicionais de canal seguro, alterando a seguinte chave do Registro valor de 1 (tipo REG_DWORD, dados 0x00000001) a 3 (tipo REG_DWORD, dad os 0x00000003).

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Security Providers \ SCHANNEL \ EventLogg S ----------------------- Pgina 333----------- -----------Instalao, Configurao e Soluo de Pro blemas da Rede Poltica servio de funo Servidor 6-37

Lab: Configurando e Gerenciando Network Policy Server

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-edge1 e 6421B-NYC-CL1.

Cenrio Lab

Contoso Ltd. est expandindo sua soluo de acesso remoto a todos os empregad os de escritrios filiais. Isto ir requerer Roteamento mltipla e servidores de acesso remoto que esto localizados em pontos diferentes para fornecer conectividade para seus funcionrios. Voc deve usar RADIUS para centralizar a autenticao e contabilidade para o remoto acesso soluo. Voc foi encarregado de instalar e configurar o Network Polic y Server em um infra-estrutura existente para serem utilizados para Wireless PAN, e ac esso sem fio, RADIUS e proxy RADIUS.

Para este projeto, voc deve completar as seguintes tarefas:

Instalar e configurar o Network Policy servio de funo Servidor

Configurar um cliente RADIUS

Configurar Certificado auto-inscrio ----------------------- Pgina 334----------- -----------6-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Configurar e testar uma VPN

Exerccio 1: Instalando e Configurando o Servidor de Diretivas de Rede Servio de Funo

Remoto

Neste exerccio, voc ir instalar a Rede papel Policy Server para habilitar RADIUS no NYC-DC1 Cobertos

As principais funes para este exerccio so como se segue:

1. Instale a Diretiva de Rede e funo Servios de Acesso.

2. Registre-se NPS no AD DS.

3. Configurar NYC-DC1as um servidor RADIUS para conexes VPN.

Tarefa 1: Instale a Diretiva de Rede e funo Servios de Acesso

1. Mudar para NYC DC1 e Server Manager aberto.

2. Adicione a Diretiva de Rede e funo Servios de Acesso:

Selecione apenas a Rede de Polticas servio de funo do servidor.

3. Feche o Gerenciador do Servidor.

Tarefa 2: Registrar NPS no AD DS

1. Abra a Consola de rede Policy Server.

2. Registre o servidor local no AD DS.

3. No feche o console.

Tarefa 3: Configurar NYC-DC1 como um servidor RADIUS para conexes VPN

1. Configure NYC DC1 como um servidor RADIUS usando o Network Policy Server Management Tool. No Rede de Polticas ferramenta de gerenciamento do servidor, no painel de detalhes Obter Iniciado, abra a lista drop-down em Configurao Padro, e clique em servidor RADIUS para conexes dial-up ou VPN. Use os seguintes detalhes para concluir o processo:

servidor RADIUS para conexes dial-up ou VPN = Configurar VPN ou dia l-up

Tipo: Virtual Private Network (VPN)

Nome: padro

Adicione um cliente RADIUS:

Nome amigvel: NYC-edge1

Shared segredo: Pa $ $ w0rd

Mtodos de autenticao: MS-CHAPv2 e EAP

As configuraes de criptografia: Strongest apenas

2. Feche o console.

Resultados: No final deste exerccio, voc ter configurado NYC DC1 como um servidor RADIUS atravs da instalao de e configurar a funo de servidor NPS. ----------------------- Pgina 335----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-39

Exerccio 2: Configurao de um cliente RADIUS

Remoto

Neste exerccio, voc ir configurar NYC edge1 como um cliente RADIUS e servidor VPN.

As principais funes para este exerccio so como se segue:

1.

Instale Roteamento e Acesso Remoto em NYC edge1.

2.

Configurar NYC-EDGE1as um servidor VPN.

Tarefa 1: Instalar o Roteamento e Acesso Remoto em NYC-edge1

1.

Mude para o servidor NYC edge1.

2. Abra o Gerenciador do Servidor e instalar a Diretiva de Rede e funo Servios de Acesso:

Servios de Funes: Servios de Roteamento e Acesso Remoto

3.

Feche o Gerenciador do Servidor.

Tarefa 2: Configurar NYC-edge1 como um servidor VPN

1.

Em NYC-edge1, roteamento aberto e acesso remoto.

2. No painel de lista, selecione e clique-direito NYC-edge1 (Local) e clique e m Configurar e ativar Roteamento e Acesso Remoto.

3.

Utilize as seguintes definies para configurar o servio:

uma. b.

Na pgina de configurao, aceitar os padres. Na pgina de Acesso Remoto, selecione a caixa de seleo VPN.

C. " Na pgina Conexo VPN, selecione a interface de rede com o endereo IP de 131.107.0.2, 131.107.0.3. d. Na pgina Atribuio de Endereo IP, selecione a partir de um intervalo especi ficado de endereos opo. e. Na pgina Atribuio de endereos Gama, criar um pool de endereos com 75 entrad as com um incio endereo 10.10.0.60. F. No Gerenciamento Remoto pgina Multiple Access Servers, escolha Sim, con figurar este servidor para trabalhar com um servidor RADIUS.

O servidor RADIUS primrio: NYC-DC1

Shared segredo: Pa $ $ w0rd

G:

Aceitar todas as mensagens clicando em OK.

Resultados: No final deste exerccio, voc ter configurado NYC edge1 como um servidor VPN. ----------------------- Pgina 336----------- -----------6-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Configurando o registro automtico de certificados

Remoto

Neste exerccio, voc vai permitir certificado auto-inscrio e verificar que o certificado tenha sido implantado em NYC-CL1.

As principais funes para este exerccio so como se segue:

1.

Configurar o registro automtico com a poltica de grupo.

Tarefa 1: Configurar a inscrio automtica com a poltica de grupo

1.

Mudar para NYC DC1.

2. Gesto de Polticas Open Group, e abrir a Diretiva de Domnio Padro para a edio. Navegue at Configurao do computador> Polticas> Windows> Configuraes de segurana> D iretivas de Chave Pblica> Configuraes de solicitao automtica de certificados.

3. Criar uma solicitao de novo certificado automtico para o modelo de c ertificado de computador.

4.

Feche todas as janelas abertas.

5.

Mudar para NYC CL1 e reinicie o computador.

6.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

7. Verifique a presena de um certificado apropriado no computador \ a rmazenamento Pessoal em NYC-CL1.

Resultados: No final deste exerccio, voc tiver configurado as configuraes apropriadas para o seu certificado Soluo de VPN. ----------------------- Pgina 337----------- -----------Instalao, Configurao e Soluo de Problemas da Rede Poltica servio de funo Servidor 6-41

Exerccio 4: Configurando e Testando o VPN

Remoto

Neste exerccio, voc vai passar NYC CL1-se rede pblica e, em seguida, criar e testar uma conexo VPN.

As principais funes para este exerccio so como se segue:

1.

Reconfigure o computador NYC CL1-para a rede pblica.

2.

Criar e testar uma conexo VPN.

Tarefa 1: Reconfigure o computador NYC CL1-para a rede pblica

Em NYC-CL1, configure as seguintes configuraes de endereo IP e clique em OK:

Endereo IP: 131.107.0.20

Mscara de sub-rede: 255.255.255.0

Gateway padro: 131.107.0.1

Tarefa 2: Criar e testar uma conexo VPN

1.

Criar uma VPN com as seguintes configuraes:

endereo da Internet para conectar-se: 131.107.0.2

Nome: Contoso VPN

2.

Modificar as configuraes padro da nova conexo VPN:

Tipo de VPN: Layer 2 Tunneling Protocol com IPSec (L2TP/IPSec)

Criptografia de dados: criptografia mxima fora (desconectar se o servidor dec

lnios)

3.

Ligar-se com as novas propriedades VPN como se segue:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

Nota A VPN conecta com xito.

4.

Desligue o VPN e fechar todas as janelas abertas.

Resultados: No final deste exerccio, voc vai ter verificado a soluo VPN.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-edge1 e 6421B-NYC-CL1.

----------------------- Pgina 338----------- ------------

6-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1.

Por que voc deve registrar o servidor NPS no Active Directory?

2.

Como voc pode fazer o uso mais eficaz dos recursos NPS madeireiras?

3. Que consideraes so l, se voc optar por usar uma atribuio de porta no-pa para o trfego RADIUS?

Ferramentas

Usar a ferramenta para Onde encontr-lo

Poltica de Gesto da Rede Rural ea criao de Rede Network Policy Server no Policy Server menu Ferramentas Administrativas

Comando netsh-Criando scripts administrativos para partir uma janela de comando, digite ferramenta de linha de configurar e gerenciar os nps netsh-c para ad ministrar a partir de um Rede Policy Server papel prompt de comando

Visualizador de eventos Exibir informaes registradas do Visualizador d e eventos na Administrao aplicao, sistema e menu Ferramentas de segurana Eventos ----------------------- Pgina 339----------- ------------

7-1

Mdulo 7

Proteo de Acesso Implementao da Rede

Contedo:

Lio 1: Viso geral de Acesso Rede de Proteo 7-3

Lio 2: Como Funciona NAP 7-12

Lio 3: Configurando NAP 7-19

Lio 4: Monitoramento e Resoluo de Problemas NAP 7-26

Lab: Implementando NAP em uma soluo de acesso remoto VPN 7-33 ----------------------- Pgina 340----------- -----------Configurando 7-2 e soluo de problemas do Windows Server Network Infrastructure 200 8

Viso geral do mdulo

Sua rede to segura quanto o computador menos seguro ligado a ele. Muito s programas e ferramentas existem para ajud-lo a proteger seus computadores conectados em rede, tais como antivrus ou software de deteco de malware; no entanto, se o software em alguns de seus computadores no up-to-date, ou pior, no habilitado ou configurado corretamente, ento esses computadores ainda representam um risco de segurana.

Computadores que permanecem no ambiente de trabalho e esto sempre conec tados mesma rede so relativamente fcil de manter configurado e atualizado. Computadores que se conectam a redes diferentes, especialmente redes no gerenciadas, so menos fceis de controlar, por exemplo, computado res portteis que esto ligados a redes de clientes, ou para pblicos Wi-Fi hotspots. Alm disso, os computa dores no gerenciados pretende ligar remotamente sua rede, tais como a casa dos usurios de computadores-um d esafio.

Rede Access Protection (NAP) permite que voc crie personalizadas sade-re quisito para polticas validar o computador antes de permitir o acesso ou a comunicao. NAP tambm atualiza automaticamente computadores compatveis para garantir a conformidade contnua e pode limi tar o acesso de computadores no compatveis a uma rede restrita at que eles se tornem compatveis.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como o NAP pode ajudar a proteger sua rede.

Descrever os processos de execuo vrios NAP.

Configurar NAP.

Monitorar e solucionar problemas de NAP. ----------------------- Pgina 341----------- -----------Implementao da Rede de Proteo de Acesso 7-3

Lio 1 Viso geral de Network Access Protection

NAP uma plataforma poltica de aplicao, que est embutido no Windows 7, Windo ws Vista, Windows XP sistema operacional com o Service Pack 3 (SP3), Windows Server 2008 e W indows Server 2008 R2 . NAP permite-lhe mais fortemente proteger os ativos de rede, promover o cumprimento com o sistema de sade-requisitos. NAP fornece os componentes de software necessrios para ajudar a garantir que computadores conectados ou se conectar rede permanecer administrvel para que eles no se tornem um risco de segurana para a rede e outros computadores conectados.

Compreender a funcionalidade e as limitaes do NAP vai ajud-lo a proteger s ua rede contra o riscos de segurana representada pelo no-conformes computadores.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explique como Network Access Protection pode ser usado para impor requi sitos de integridade do computador.

Descrever onde voc iria usar a Proteo de Acesso Rede.

Descrever os mtodos de imposio de NAP.

Descrever a arquitetura de um NAP habilitado para infra-estrutura de re de. ----------------------- Pgina 342----------- ------------

7-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que Rede de Proteo de Acesso?

Network Access Protection (NAP) para Windows Server 2008, Windows Serv er 2008 R2, Windows 7, e Windows Vista fornece componentes e uma interface de programao de aplica tivo (API) que o ajudam a garantir o cumprimento da sua organizao de sade exigncia de polticas de ace sso rede ou comunicao.

NAP permite que voc crie solues para validao de computadores que se conecta m s suas redes, alm a fornecer atualizaes necessrias ou o acesso aos recursos de atualizao nece ssrios sade, e limitar o acesso ou comunicao de computadores no compatveis.

Voc pode integrar os recursos de execuo do NAP com software de outros for necedores ou com os costumes

programas. Voc pode personalizar a soluo de proteo sade que os desenvolvedo es dentro da sua organizao pode desenvolver e implantar, seja para monitorar os computadores que acessam a rede para a poltica de sade cumprimento, atualizando automaticamente os computadores com atualizaes de software para atender s exigncias da poltica de sade, ou limitando o acesso a uma rede restrita de computadores que no atende m aos requisitos da poltica de sade.

importante lembrar que NAP no protege uma rede contra usurios mal-intenc ionados. Em vez disso, ele ajuda voc manter a sade dos computadores da rede da sua organizao automaticament e, o que por sua vez ajuda manter a integridade geral da sua rede. Por exemplo, se um computador tem todo o software e

definies de configurao que a poltica de sade requer, o computador compatve vai ter ilimitado

rede de acesso. No entanto, o NAP no impede que um usurio autorizado com um computador compatvel de upload de um programa malicioso na rede ou se engajar em comportamento s imprprios.

Aspectos da NAP

NAP tem trs aspectos importantes e distintas:

validao do estado de sade: Quando um computador tenta se conectar rede, o do computador estado de sade validado contra as polticas de sade-requisito que o a dministrador define. Voc tambm pode definir o que fazer se um computador no compatvel. Num am biente de monitorizao-somente, todos computadores tm seu estado de sade avaliado e o estado de conformid ade de cada computador registrada para Anlise Em um ambiente de acesso restrito, os computadores que este jam em conformidade com as polticas de sade-requisito ----------------------- Pgina 343----------- -----------Proteo de Acesso implementao de rede 7-5

tm acesso ilimitado rede. Os computadores que no estejam em conformidade com as polticas de sade exigncia poderia encontrar o seu acesso limitado a uma rede restrita.

cumprimento da poltica de Sade: Voc pode ajudar a assegurar o cumprimento de exignci a de polticas de sade por escolhendo para atualizar automaticamente os computadores no compatveis com a s atualizaes de software em falta ou r O Gerenciamento de Configurao Em um ambiente de monitoramento somente, os com putadores tero acesso rede antes que eles sejam atualizados com as atualizaes necessrias ou alteraes de con figurao. Em um acesso limitado

alteraes de configurao atravs de software de gesto, como o Microsoft System Cent

ambiente, os computadores no compatveis tm acesso limitado at que as atualizaes e configurao alteraes forem concludas. Em ambos os ambientes, os computadores que so compatve is com NAP pode tornar-se compatvel automaticamente e voc pode definir excees para computadores que no so c ompatveis NAP.

Acesso limitado: Voc pode proteger suas redes, limitando o acesso de computadores no compatveis. Voc pode basear acesso limitado rede em um determinado perodo de tempo, ou so bre o que os recursos que o computador no aderentes podem aceder. Neste ltimo caso, voc define uma rede re strita que contm recursos de sade de atualizao, eo acesso limitado ir durar at que o computador no aderentes entra em cumprimento. Voc tambm pode configurar excees para que os computadores que no so compatveis com NAP no tm acesso limitado rede. ----------------------- Pgina 344----------- -----------7-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Cenrios NAP

NAP fornece uma soluo para os cenrios comuns descritos nesta seo. Dependend o de suas necessidades, voc pode configurar uma soluo para resolver qualquer ou todos esses cenrio s para a sua rede.

Laptops de roaming

Portabilidade e flexibilidade so duas vantagens principais de laptop, m as esses recursos tambm apresentam um sistema ameaa sade. Os usurios freqentemente conectar seus laptops para outras red es. Enquanto os usurios esto longe de seu organizao, seus laptops no podem receber as atualizaes de software mais rec entes ou alteraes de configurao.

Alm disso, a exposio a redes desprotegidas, tal como a Internet, poderia introduzir relacionados com a segurana ameaas para os laptops. NAP permite que voc verifique o estado de qualqu er laptop de sade quando ele se reconecta rede da organizao, quer atravs de uma rede privada virtual (VPN), conexo D irectAccess, ou o conexo de rede local de trabalho.

Computadores Desktop

Embora os computadores de secretria normalmente no so tomadas para fora d o edifcio empresa, eles ainda podem apresentar um ameaa sua rede. Para minimizar essa ameaa, voc deve manter esses computad ores com o mais recente atualizaes e softwares necessrios. Caso contrrio, esses computadores so em risco de infeco de sites, e-mail arquivos de pastas compartilhadas e outros recursos acessveis ao pblico. NAP permite automatizar estado de sade para verificar o cumprimento de cada computador de mesa com a sade-requ isito polticas. Voc pode verificar log arquivos para determinar quais computadores no cumprir. Alm disso, usand o software de gerenciamento permite que voc para gerar relatrios automticos e atualizar automaticamente os computado res no compatveis. Quando voc muda sade-requisito polticas, os computadores podem ser configurados automati camente com as atualizaes mais recentes.

Laptops Visitar

Organizaes freqentemente precisam permitir que consultores, parceiros com erciais e convidados para se conectar a sua redes privadas. Os laptops que esses visitantes trazem para a sua orga nizao pode no atender s sistema requisitos de sade e pode apresentar riscos sade. NAP permite que voc det ermine que os laptops visitantes so incompatveis e limitar o seu acesso a redes restritas. Normalmente, v oc no iria exigir ou fornecer

----------------------- Pgina 345----------- -----------Pro teo de Acesso implementao de rede 7-7

quaisquer atualizaes ou alteraes de configurao para laptops visitantes. Voc pode confi urar o acesso Internet para visitar laptops, mas no para outros computadores organizacionais que tm acesso limitado.

Computadores no gerenciados Incio

Computadores domsticos no gerenciados que no so um membro do Active Directory da emp resa de domnio pode conectar a rede de uma empresa gerida atravs de VPN. Computadores domsticos no gere nciados fornecem um desafio adicional, porque voc no pode acessar fisicamente os computadores. A falta de acesso fsico faz exigir o cumprimento de tais requisitos de sade como o uso de software antivrus ma is difcil. No entanto, o NAP permite que voc verifique o estado de sade de um computador em c asa cada vez que faz uma VPN conexo rede da empresa, e para limitar o seu acesso a uma rede restrita at que ele atenda sistema requisitos de sade. ----------------------- Pgina 346----------- -----------7-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Aplicao Mtodos NAP

Componentes do NAP infra-estrutura conhecidos como clientes de fiscali zao e de aplicao servidores, requerem estadual de sade, validao e aplicao acesso limitado rede para os computador es no compatveis. Windows 7 Windows Vista, Windows XP com SP3, Windows Server 2008 e Windows Serve r 2008 R2 incluem NAP apoio ao acesso rede seguinte ou mtodos de comunicao:

O trfego IPsec protegido: imposio de IPsec confina a comunicao a computador es em conformidade depois eles conectar com sucesso, tendo obtido uma configurao vlida de ende reo IP. A imposio de IPsec a mais forte forma de acesso limitado rede ou a comunicao em NAP.

Institute of Electrical and Electronics Engineers (IEEE) 802.1X autent icada rede conexes: Com IEEE 802.1X aplicao, um computador deve ser compatvel pa ra obter ilimitado acesso rede atravs de uma conexo de rede IEEE 802.1X com autenticao, como a um autenticar Ethernet switch, ou um IEEE 802.11 ponto de acesso sem fios (AP).

As ligaes de acesso remoto VPN: Com a aplicao VPN, o computador deve ser c ompatvel com a obteno de acesso ilimitado rede atravs de uma conexo remota de acesso VPN. Pa ra os computadores no compatveis, acesso rede limitado por um conjunto de filtros de pacotes IP que o servidor VPN aplica-se VPN conexo.

As conexes DirectAccess: Para conexes DirectAccess, um computador deve s er compatvel com a obteno de acesso ilimitado rede atravs de um servidor DirectAccess. Para os computadores no compatveis, acesso rede est limitado ao conjunto de computadores que so definidos como serv idores de infra-estrutura utilizando a infra-estrutura tnel. Computadores compatveis pode criar o tnel intranet separado qu e fornece acesso ilimitado aos recursos da intranet. Conexes DirectAccess usam IPsec execuo.

Dynamic Host Configuration Protocol (DHCP configuraes) Endereo: Com a apl icao DHCP, um computador deve ser compatvel com a obteno de um acesso ilimitado

Internet Protocol verso 4 (IPv4) abordar a configurao de um servidor DHCP. Para os computadores no co mpatveis, o acesso rede restrito com uma configurao de endereo IPv4 que limita o acesso rede restrita . ----------------------- Pgina 347----------- -----------Proteo de Acesso implementao de rede 7-9

mtodos de rede stas de acesso ou de comunicao so conhecidos como mtodos de imposio de AP. Voc pode usar -los separadamente ou em conjunto para limitar o acesso ao computador no conforme ou de comunicao. Um servidor que execuo Network Policy Server (NPS) no Windows Server 2008-a substituio para Internet Servidor de Autenticao (IAS) no Windows Server 2003 age como um servidor de poltica de sade para todos estes NAP mtodos de execuo. ----------------------- Pgina 348----------- -----------7-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Arquitetura da Plataforma PAN

Os componentes de um NAP-habilitado estrutura de rede so descritos na t abela a seguir.

Descrio componentes

Clientes NAP computadores que suportam a plataforma NAP para o sist ema de sade validado acesso rede ou comunicao.

NAP Computadores de execuo ou de acesso rede dispositivos que usam NA P ou que voc pode usar com NAP pontos para exigir avaliao do estado de um cliente NAP de sade, e

em seguida, fornecer restringiu o acesso de rede ou de com unicao. Pontos de imposio de NAP usar um Network Policy Server (NPS) que est at uando como um servidor de poltica de sade para NAP avaliar: o estado de sade dos clientes NAP, se o acesso rede ou a comunicao permitida, e do conjunto de aces de reparao que um cliente NAP incompatvel deve executar. Pontos de imposio de NAP incluem o segu inte: HRA: um computador que executa o W indows Server 2008 e Internet Information Services (IIS), e q ue obtm certificados de sade de uma autoridade de certificao (CA) par a computadores compatveis. VPN servidor: um computador que ex ecuta o Windows Server 2008 e Roteamento e acesso remoto, e que permite acesso remoto VPN intranet conexes atravs de acesso remoto. DHCP servidor: um computador que e xecuta o Windows Server 2008 eo DHCP Servio do servidor, e que fornec e automtico Internet Protocol verso 4 (IPv4) configurao de endereo para clientes da intranet DHCP. Os dispositivos de acesso de rede: switches Ethernet ou pontos de acesso sem fio que o apoio IEEE autenticao 802.1 X.

(continuao) ----------------------- Pgina 349----------- -----------Prot eo de Acesso implementao de rede 7-11

Descrio componentes

Poltica de sade NAP Estes so os computadores que executam o Windows Server 2008 eo servio NPS, e servidores que armazenam sade exigncia de polticas de sade do estado e proporcionarvalidao para NAP. NPS o substituto para o Internet Authentica tion Service (IAS), e o Dial-In User Service Remote Authentication (RA DIUS) e proxy que o Windows Server 2003 fornece. O NPS tambm atua como uma autenticao, autorizao e con tabilizao (AAA) servidor para acesso rede. Ao atuar como um serv idor AAA ou poltica de sade NAP servidor, o NPS normalmente executado em um serv idor separado para a configurao centralizada de polticas de acesso de rede e de sade-requisito. O servio tambm executado em NPS Windows Server 2008-com base NAP pontos de aplic ao que no tm um built-in do cliente RADIUS, tal como um HRA ou s ervidor DHCP. No entanto, nestes configuraes, o servio NPS est agindo como um proxy R ADIUS para troca Mensagens RADIUS com um servidor de polticas NAP sade.

Exigncia de Sade Estes so os computadores que fornecem o estado de sade atual sistem a para NAP servidores de poltica servidores de sade. Um exemplo destes seria um profissional de sade-requisito servidor para um programa antivrus que acompanha a verso mais recente do antivrus arquivo de assinatura.

AD DS Este servio de diretrio do Windows armazena as credenciais da conta e propri edades, e configuraes de Diretiva de lojas do Grupo. Embora no seja necessrio para a sade do Estadovalidao, o Active Directory necessrio para comunicaes protegidas por IPsec, 802.1X autenticadas ligaes e conexes de acesso remo to VPN.

Rede restrita Esta uma rede separada fsico ou lgico que contm: Servidores de Remediao: computadores que contm r ecursos de sade de atualizao que os clientes NAP pode acessar a remedia r seu estado incompatvel. Exemplos incluem servidores de assinatura de antivrus e software de distribuio atualizar servidores. Os clientes NAP com acesso limitado: computad ores que so colocados no rede restrita quando eles no cumprem com a sade-requisito . ----------------------- Pgina 350----------- -----------7-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2 Como Funciona NAP

Quando um cliente tenta acessar ou comunicar na rede, ele deve apresent ar o seu sistema de sade estado ou prova de sade o cumprimento. Se um cliente no pode provar que e le compatvel com o sistema de sade requisitos, por exemplo, que tem o mais recente sistema operacional e atualizaes de antivrus instalado, a sua o acesso a, ou em comunicao, a rede pode ser limitada a uma rede restrita que contm servidor

recursos at que as questes de sade condicionalidade forem sanadas. Depois que as atualizaes so instaladas, o cliente pedidos de acesso rede ou a comunicao tenta novamente. Se compatvel, o cl iente concedida acesso ilimitado rede ou a comunicao permitida.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o processo de execuo geral do PAN.

Discutir a aplicao IPsec.

Descrever 802.1x execuo.

Explique imposio de VPN.

Discutir a aplicao do DHCP. ----------------------- Pgina 351----------- -----------Proteo de Acesso implementao de rede 7-13

Aplicao de Processos NAP

Independentemente da forma de imposio de NAP voc selecionar, muitas das comunicaes cl iente-servidor so comuns. Os pontos a seguir resumem estas comunicaes.

Entre um cliente NAP e Sade Autoridade de Registro (HRA)

Dependendo do tipo de aplicao selecionado, a seguinte comunicao ocorre:

Entre um cliente NAP e um dispositivo de acesso redes 802.1X

Entre um cliente NAP e um servidor VPN

Entre um cliente NAP e um servidor DHCP

Entre um cliente NAP e um servidor de remediao

Entre um HRA e um servidor NAP poltica de sade

Entre um dispositivo de rede de acesso 802.1X e um servidor NAP poltica de sade

Entre um servidor VPN e um servidor NAP poltica de sade

Entre um servidor DHCP e um servidor NAP poltica de sade

Entre um servidor de polticas NAP sade e um servidor de sade-requisito ----------------------- Pgina 352----------- -----------7-14 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede

O Reforo do IPsec

Com a imposio IPsec, um computador deve ser compatvel para iniciar a comun icao com outro compatvel computadores. Porque a imposio de IPsec est alavancando IPsec, voc pode de finir os requisitos para proteo comunicao com os computadores compatveis usando um dos seguintes parmetros :

Endereo IP Per-

Por Transmission Control Protocol (TCP)

User Datagram Protocol (UDP) nmero da porta

Imposio de IPsec confina a comunicao a computadores compatveis depois de te rem ligado

com sucesso e obteve uma configurao vlida de endereo IP. A imposio de IPsec a forma mais forte de acesso limitado rede ou a comunicao no NAP.

Os componentes de imposio de IPsec consiste de um HRA que est executando o Windows Server 2008 R2 e uma A imposio de IPsec de cliente (CE) em um dos seguintes sistemas operacio nais:

Windows 7

Windows Vista

Windows XP Service Pack 3

Windows Server 2008

Windows Server 2008 R2

O HRA obtenha certificados X.509 para clientes NAP quando os clientes tm provado que eles so compatveis. Estes certificados de sade, em seguida, so usados NAP quando eles iniciam IPsec protegido comunicaes com outros clientes NAP em uma intranet. ----------------------- Pgina 353----------- -----------para autenticar clientes

Pro teo de Acesso implementao de rede 7-15

A imposio de IPsec limita a comunicao para os clientes protegidos por IPsec NAP, lar gando de entrada comunicao enviada tentativas de computadores que no podem negociar IPsec proteo usand o sade Certificados: Ao contrrio 802.1X e imposio de VPN, em que a execuo ocorre no ponto de entrada de rede, cada computador executa imposio de IPsec. Porque voc pode tirar proveito da diretiv a IPsec configuraes, a aplicao de certificados sanitrios pode ser feito para todos os computa dores em um domnio especfico, computadores em uma sub-rede, um computador especfico, um conjunto especfico de Tr ansmission Control Protocol (TCP) ou Usurio Datagram Protocol (UDP) portas, ou para um conjunto de TCP ou UDP em um computad or especfico.

A imposio de IPsec divide uma rede fsica em trs redes lgicas. Um computador pode ser um membro de apenas uma rede lgica em qualquer momento. As redes lgicas so definidas em termos d e que os computadores tm certificados de sade, que exigem autenticao IPsec com certificados sanitrios para en trada tentativas de comunicao. As redes lgicas para permitir acesso limitado rede e remed iao, e fornecer os computadores compatveis com um nvel de proteco dos computadores no compatv eis.

A imposio de IPsec define as seguintes redes lgicas:

Rede Segura: O conjunto de computadores que tm certificados de sade e que requerem a entrada tentativas de comunicao usam certificados sanitrios para autenticao IPsec. Em um a rede gerenciada, mais computadores servidores e clientes que so membros do domnio do Active Di rectory seria no proteger a rede.

Rede de Fronteira: o conjunto de computadores que tm certificados de sade, mas que no exigem que tentativas de comunicao de entrada usar certificados sanitrios para autenticao I Psec. Computadores na rede de limite deve ser acessvel a toda a rede de computadores.

A rede restrita: O conjunto de computadores que no possuem certificados de sade qu e incluem computadores cliente no compatveis NAP, os hspedes da rede, ou computadores qu e no so NAP, tais como computadores que executam verses do Windows que no suportam NAP, ou Apple Macintosh ou UNIX computadores baseados. ----------------------- Pgina 354----------- -----------7-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reforo 802.1X

Com a aplicao 802.1X, um computador deve ser compatvel com a obteno de aces so ilimitado rede atravs de um 802.1X autenticada conexo de rede, como a um switch Ethernet de autenti cao ou um IEEE 802.11 ponto de acesso sem fios (AP).

Para os computadores no compatveis, o acesso rede limitada atravs de um p erfil de acesso restrito que o Switch Ethernet ou lugares de AP sem fios na conexo. O perfil de acesso restrito pode especificar um IP filtros de pacotes, ou um identificador de LAN virtual (VLAN) (ID) que corresponde rede restrita. 802.1X:: aplicao impe exigncias polticas de sade cada vez que um computador tenta uma 802.1X autenticado conexo de rede. Aplicao 802.1X que tambm monitora ativamente o estado de sade da ligado cliente NAP e aplica o perfil de acesso restrito para a conexo s

e o cliente torna-se no aderentes.

Os componentes de execuo consistem em NPS 802.1X no Windows Server 2008 R2 e um CE EAPHost em Windows 7, Windows Vista, Windows XP Service Pack 3, Windows Server 20 08 e Windows Server 2008 R2. Reforo 802.1X fornece acesso rede forte limitado para todos os comp utadores que acessam a rede atravs de uma conexo 802.1X autenticada. ----------------------- Pgina 355----------- -----------Proteo de Acesso implementao de rede 7-17

O Reforo da VPN

VPN aplicao impe exigncias polticas de sade cada vez que um computador tenta obter um controle remoto acesso VPN conexo rede. Imposio de VPN tambm monitora ativamente o estado de sade da Cliente NAP e aplica filtros da rede restrita de pacotes IP para a conexo VPN se o cliente torna-se incompatvel.

Os componentes de imposio de VPN consistem em NPS no Windows Server 2008 e CE VPN que faz parte da o cliente de acesso remoto em:

Windows 7

Windows Vista

Windows XP Service Pack 3

Windows Server 2008

Windows Server 2008 R2

VPN aplicao fornece acesso rede forte limitado para todos os computadores que aces sam a rede atravs de uma conexo remota de acesso VPN. ----------------------- Pgina 356----------- -----------7-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

DHCP Enforcement

DHCP impe requisitos de poltica de sade cada vez que um cliente DHCP tent a alugar ou renovar um IP endereo de configurao. DHCP aplicao tambm monitora ativamente o status do cl iente NAP de sade e, se o cliente torna-se incompatvel, renova a configurao do endereo IPv4 para o a cesso apenas ao restrito Rede de Socializao

Os componentes de execuo consistem em um DHCP ES DHCP que faz parte do s ervio do servidor DHCP em Windows Server 2008 R2 e um CE DHCP que faz parte do servio de cliente DHCP em:

Windows 7

Windows Vista

Windows XP Service Pack 3

Windows Server 2008

Windows Server 2008 R2

Porque DHCP aplicao depende de uma configurao de endereo IPv4 limitado que um usurio que tem administrador de nvel de acesso pode substituir, a forma mais fraca de acesso limitado rede no NAP.

Endereo DHCP a configurao de acesso de rede limites para o cliente DHCP a travs da sua tabela de roteamento IPv4. DHCP aplicao define o valor da opo DHCP do roteador para 0.0.0.0, para que o computador no aderentes no ter um gateway padro configurado. DHCP aplicao tambm define a mscara de sub -rede para o IPv4 alocados tratar a 255.255.255.255 de modo que no existe uma rota para a sub-rede em anexo.

Para permitir que o computador no compatvel para acessar os servidores d a rede restrita de remediao, o DHCP servidor atribui o Classless esttica rotas opo DHCP. Esta opo contm rotas de host para o restrito computadores da rede, tais como o DNS e servidores de remediao. O result ado final do DHCP limitado rede acesso uma tabela de configurao e roteamento que permite a conectividade apenas para endereos de destino especficos que corresponde rede restrita. Portanto, quando um aplicativo tenta en viar a um unicast ----------------------- Pgina 357----------- -----------Proteo de Acesso Implementando Rede 7-19

Endereo IPv4 que no os fornecidos pela opo de rotas Classless esttica, o protocolo TC P / IP retorna um encaminhamento de erro. ----------------------- Pgina 358----------- -----------7-20 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Lio 3 Configurando NAP

Para obter o melhor do NAP, voc deve entender como configurar os vrios el ementos de uma soluo de NAP.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o que validadores de sade do sistema so.

Explique o que uma poltica de sade .

Discutir o uso de grupos de servidores de remediao.

Descrever os requisitos de NAP de configurao do cliente.

Habilitar e configurar NAP. ----------------------- Pgina 359----------- -----------P roteo de Acesso implementao de rede 7-21

Quais so os validadores de Sade do Sistema?

Agentes do Sistema de Sade (SHAs) e validadores sistema de sade (SHVs), que so infr a-estrutura NAP componentes, proporcionar sade do estado-estado e de validao. Windows 7 inclui um W indows de Segurana da Sade Validator SHA que monitora as configuraes do Windows Security Center. Windows Serv er 2008 R2 inclui um

correspondente de Segurana do Windows Sade Validator SHV. NAP projetado para ser f lexvel e extensvel, e interopera com software de qualquer fornecedor que fornece SHAs e SHVs que usam o API NAP.

Um SHV recebe um SoH e compara o sistema de informaes sobre o estado de sade no SoH com a necessria estado de sade do sistema. Por exemplo, se a SoH a partir de um SHA antivrus e con tm o ltima de assinatura de vrusnmero da verso do arquivo, o correspondente antivrus SHV pode verificar com a exignc ia de sade antivrus servidor para o nmero da verso para validar SoH o cliente NAP.

O SHV retorna um SoHR para o Servidor de Administration NAP. O SoHR pode conter remediao informaes sobre como o SHA correspondente no o cliente NAP pode atender atual sist ema de sadeexigncias. Por exemplo, o SoHR que o SHV antivrus envia poderia instruir antivrus o cliente NAP SHA para solicitar a verso mais recente, por nome ou endereo IP, do arquivo de ass inatura antivrus a partir de um especfico antivrus servidor assinatura. ----------------------- Pgina 360----------- -----------7-22 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

O Que um Poltica de Sade?

As polticas de sade consistem de um ou mais SHVs e outras configuraes que permitem que voc defina cliente computador requisitos de configurao para os computadores NAP que tentam se conectar sua rede.

Quando NAP-capazes os clientes tentam para se conectar rede, o computa dor cliente envia um SoH para o NPS. O SoH um relatrio de o estado de configurao cliente, e NPS compara o

SoH para os requisitos que a poltica de sade define. Se o estado de configurao do cliente no corre sponder s exigncias que o poltica de sade define, o NPS assume um dos as seguintes aes, dependendo d a configurao do NAP:

Rejeitando a solicitao de conexo.

Colocar o cliente NAP em uma rede restrita onde ele pode receber atual izaes a partir de servidores de remediao que trazer o cliente em a conformidade com poltica de sade. Depois que o cliente NAP atinge conformidade e reenvia o seu estado de sade novo, o NPS permite que ele se conect e.

Permitir que o cliente NAP para se conectar a a rede apesar de sua des cumprimento com poltica de sade.

Voc pode definir do NPS cliente de sade-polticas por adicionando um ou ma is SHVs para o poltica de sade.

Depois de configurar uma poltica de sade com um ou mais SHVs, voc pode ad icion-lo condio de Polticas da Sade de uma poltica de rede que deseja usar para impor NAP quando os computa dores cliente tenta conexo com sua rede. ----------------------- Pgina 361----------- -----------P roteo de Acesso Implementando Rede 7-23

Quais so Grupos de Servidores de Remediao?

Um grupo servidor de remediao uma lista de servidores de rede restritas que fornec em recursos que trazem fora de conformidade NAP-capazes clientes em a conformidade com o seu poltica def inida cliente sade.

Um servidor de remediao hospeda as atualizaes que um agente NAP pode usar para coloc ar os computadores cliente no compatveis em a conformidade com poltica de sade, como NPS define. Por exemplo, um servidor d e remediao pode hospedar antivrus Assinaturas: Se poltica de sade requer que os computadores cliente tm as ltimas defi nies de de antivrus, em seguida, os na sequncia dos trabalhos juntos para atualizar computadores no compatveis: um SHA antivrus, um SHV antivrus, an antivrus servidor de poltica, e o servidor de remediao. ----------------------- Pgina 362----------- -----------7-24 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Configurao de Cliente NAP

Lembre-se de estas orientaes bsicas quando voc configurar clientes NAP:

Algumas implantaes NAP que usam de Segurana do Windows Sade Validator exig em que voc habilitar a Segurana Centro Security Center no est includo com o Windows Server 2008 ou W indows Server 2008 R2.

Voc deve habilitar o de Acesso Rede servio Protection Client quando voc i mplantar de NAP para NAP-capaz computadores cliente.

Voc deve configurar os clientes de execuo apropriadas NAP sobre os comput adores NAP-capazes.

Ativar Segurana Center, em a Diretiva de Grupo

Voc pode usar o Centro de Segurana Ativar no Grupo procedimento Poltica d e para habilitar Central de Segurana em NAP-

clientes capazes usando a Diretiva de Grupo. Algumas implantaes NAP que usam de Segurana do Windows Sade Validator requerem Central de Segurana.

Nota Para concluir este procedimento, voc deve ser um membro de o Admins do Domnio, o Grupo Administradores de empresa ou do grupo Administradores no computador local.

Para habilitar o Centro de Segurana na Diretiva de Grupo:

1.

Abra o Group Policy Management Console e clique em Adicionar.

2. Em do Grupo caixa de Poltica de Select de dilogo Object, clique em Concluir e em seguida, clique OK.

3. Na rvore de console, clique duas vezes em Diretiva de Computador L ocal, clique duas vezes em Configurao do computador, double-clique em Modelos Administrativos, Componentes faa duplo cl ique em de Windows, e, em seguida, faa duplo clique em Security Center.

4. Faa duplo clique em Ligue Security Center (PCs de Domnio apenas), c lique em Ativado, e em seguida, clique OK. ----------------------- Pgina 363----------- -----------Proteo de Acesso Implementando Rede 7-25

Habilite o Network Service Proteo de Acesso em Clientes

Voc pode usar o procedimento Habilite o Network Service Proteo de Acesso em Cliente s para habilitar e configurar o servio NAP em computadores NAP cliente. Quando voc implantar NAP, per mitindo que este servio exigido.

Nota Para concluir este procedimento, voc deve ser um membro de o grupo Adm ins do Domnio, a Enterprise grupo Admins, ou o grupo Administradores no computador local.

Para habilitar a Rede servio Proteo de Acesso em computadores cliente:

1. Clique em Iniciar, clique em Painel de Controle, clique em Sistema e Segura na, clique em Ferramentas Administrativas e, em, em seguida, duplo clique em Servios.

2. Na lista de servios, role para baixo para e seguida, faa duplo-clique em Rede Protection Agent Access.

3. Em o Proteo de Acesso caixa de Network Agent de dilogo Propriedades, altere Ti po de Inicializao para Automatic e em seguida, clique OK.

Habilitar e Desabilitar Clients imposio de NAP

Voc pode usar o procedimento Habilitar e Desabilitar Clients imposio de NAP para ha bilitar ou desabilitar um ou mais NAP clientes execuo sobre NAP computadores. Esses clientes podem incluir:

Cliente Enforcement DHCP

Cliente Enforcement Remote Access

Cliente Enforcement EAP

IPsec Cliente de Reforo (tambm usado para conexes DirectAccess)

TS Cliente Enforcement Gateway de

Para ativar e desativar clientes de imposio de NAP:

1. Abra o NAP console de configurao cliente, clique em Iniciar, clique em Todos os Programas, clique em Acessrios, clique em Executar, digite NAPCLCFG.MSC, e em seguida, clique OK.

2. Clique em Clientes Enforcement. No painel de detalhes, right-clique no clie nte de imposio de que voc deseja habilitar ou desabilitar e em seguida, clique Ativar ou Desativar.

Observao Para executar este procedimento, voc deve ser um membro do grupo Adm inistradores no o computador local, ou voc deve ter sido delegada a autoridade apropriada. Se o computador est juntou-se a um domnio, membros do grupo de Admins do Domnio po dero ser capaz de executar este procedimento. Como uma prtica recomendada de segurana, conside re executar este procedimento usando o comando Executar como. ----------------------- Pgina 364----------- -----------7-26 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Demonstrao: How to Configurar a Proteo de de Acesso Rede

Esta demonstrao mostra como:

Instale o funo de servidor NPS.

Configurar NPS como um servidor poltica de NAP sade.

Configurar polticas de sade.

Configurar polticas de rede para os computadores compatveis.

Configurar polticas de rede para computadores no compatveis.

Configurar a funo de servidor DHCP para NAP.

Configurar definies de cliente NAP.

NAP teste. ----------------------- Pgina 365----------- -----------P roteo de Acesso Implementando Rede 7-27

Lio 4 Monitorando e Soluo de problemas NAP

Soluo de problemas e monitorando NAP uma tarefa importante administrativa por causa da tecnologia diferente os nveis, incluindo percia variada e pr-requisitos, para cada mtodo de impo sio de NAP. Logs de rastreamento so disponvel para NAP, mas esto desabilitadas por padro. Estes logs servir a dois propsitos: soluo de problemas e a avaliao de sade uma rede do e segurana.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como NAP Tracing pode ajudar a monitor de e solucionar proble mas de NAP.

Configurar NAP Tracing.

Solucionar problemas NAP com Netsh.

Utilize o log de eventos do NAP para solucionar problemas de NAP. ----------------------- Pgina 366----------- -----------7-28 Infra-estrutura Configurando e Solucionando problemas de um Windows Server 2008 Rede

What Is NAP Tracing?

Com exceo a partir de as diretrizes anteriores gerais, voc pode usar o Co nfigurao de Cliente NAP snap-in para configurar NAP de rastreamento. Registros Tracing eventos NAP em um ar quivo de log, e til para soluo de problemas e Manuteno. Alm disso, voc pode usar logs de rastreamento para avaliar a sade da sua rede e segurana. Voc pode configurar trs nveis de tracing: Bsico, Avanado, e de depurao.

Habilitar NAP rastreamento quando:

Os Soluo de problemas problemas NAP.

Avaliando a sade geral e segurana dos computadores da sua organizao.

Alm disso para rastrear o log, voc podem visualizar os logs de contabili dade do NPS. Estes logs poderia conter NAP til informaes. Por padro, logs de contabilidade do NPS esto localizados em% sy stemroot% \ system32 \ logfiles.

Os seguintes relatrios podem conter informaes NAP-relacionadas:

IASNAP.LOG: contm dados detalhados sobre os processos de NAP, autenticao NPS e NPS autorizao.

Iassam.log: contm dados detalhados sobre autenticao e autorizao.

Observao Para obter informaes sobre o formato de arquivos de log do NPS contbeis, referem-se Microsoft TechNet site: http://go.microsoft.com/fwlink/?LinkId=136631). ----------------------- Pgina 367----------- -----------Proteo de Acesso implementao de rede 7-29

Demonstrao: Como configurar o NAP Tracing

Duas ferramentas esto disponveis para configurar o NAP rastreamento. O NAP console de configurao do cliente faz parte da Usurio interface do Windows, e netsh uma ferramenta de linha de comando.

Usando a interface de usurio do Windows

Voc pode usar a interface de usurio do Windows para ativar ou desativar NAP rastre amento e para especificar o nvel de gravado detalhe, executando as seguintes etapas:

1.

Abra o console de configurao do cliente NAP executando napclcfg.msc.

2. Na rvore de console, clique em Configurao do Cliente NAP (Computador Local) e clique em Propriedades

3. Na caixa de Configurao do Cliente NAP (Computador Local) de dilogo Propriedade s, selecione Ativado ou

Desativado.

Observao Para executar este procedimento, voc deve ser um membro do grupo Adm inistradores no o computador local, ou deve ter sido delegada a autoridade apropriada. Tal como uma prtica recomendada de segurana, considere executar esta operao usando o comand o Executar como.

4. Se ativado escolhido, em Especificar o nvel de detalhe em que os logs de ras treamento so escritas, seleccione Bsico, Avanado, ou Debug.

Usando uma ferramenta de linha de comando

Para usar uma ferramenta de linha de comando para ativar ou desativar NAP rastre amento e especifique o nvel de detalhes registrados, execute os seguintes passos:

1.

Abra um prompt de comando elevado.

2.

Para habilitar ou desabilitar o rastreamento NAP, faa o seguinte:

----------------------- Pgina 368----------- -----------7-30 Configurando e solucionando problemas do Windows Server Network Infrastruct ure 2008

Para ativar e configurar o NAP rastreamento para o log bsico ou av anado, tipo: set cliente netsh nap rastreamento estado = nvel enable = [avanada ou bsica]

Para ativar o NAP rastreamento para informaes de depurao, digite: net sh nap client definir traado estado = enable level = verbose

Para desativar o rastreamento NAP, digite: netsh nap client defin ir estado de rastreio = desativar

Observao Para executar este procedimento, voc deve ser um membro do grupo Administradores no o computador local, ou deve ter sido delegada a autoridade aprop riada. Tal como uma prtica recomendada de segurana, considere executar esta operao usand o o comando Executar como.

Vendo arquivos de log

Para visualizar os arquivos de log, navegue para a pasta% systemroot% \ tracing \ diretrio cochilo e abrir o trao particular log que voc deseja visualizar.

Manifestao

Esta demonstrao mostra como:

Configurar o rastreamento a partir da GUI.

Configurar o rastreamento da linha de comando. ----------------------- Pgina 369----------- -----------Proteo de Acesso implementao de rede 7-31

NAP Troubleshooting com Netsh

Voc pode usar as seguintes ferramentas para ajudar a solucionar NAP.

Comandos Netsh

Use o comando netsh NAP para ajudar a solucionar problemas de NAP. Os seguintes comandos so particularmente til.

netsh NAP estado de apresentao cliente

Este comando exibe o status de um cliente NAP, incluindo o seguinte:

Restrio estado

Status dos clientes de execuo

Status de instalado SHAs

Confivel grupos de servidores que foram configurados

cliente NAP netsh show config

Este comando exibe as configuraes locais em um cliente NAP, incluindo:

As configuraes de criptografia

Imposio de configuraes do cliente

Os grupos de configuraes de servidor confiveis

Cliente configuraes de rastreamento que foram configurados

netsh NAP grupo mostram cliente

Este comando exibe as configuraes da Diretiva de configurao em um cliente NAP, inclu indo: ----------------------- Pgina 370----------- -----------7-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

As configuraes de criptografia

Imposio de configuraes do cliente

Os grupos de configuraes de servidor confiveis

Cliente configuraes de rastreamento que foram configurados

Observao Voc pode descobrir mais sobre os comandos Netsh relevante s da Microsoft TechNet site: http://go.microsoft.com/fwlink/?LinkID=128797. ----------------------- Pgina 371----------- -----------Pro teo de Acesso implementao de rede 7-33

NAP Soluo de Problemas com logs de eventos

Servios NAP NAP recorde de eventos relacionados para os logs de eventos do Window s. Os eventos a seguir fornecem informaes sobre os servios do NAP que esto sendo executados em um servidor NPS. Para visualizar esses eventos, evento aberto Viewer e selecionar modos de exibio personalizados, selecione Roles Server, em seg uida, selecione Diretiva de Rede e Servios de Acesso.

Identificao do evento 6272: Network Policy Server concedido acesso a um usurio.

Ocorre quando um cliente NAP autenticado com xito e, dependendo do seu estad o de sade, obtm completa ou restringido o acesso rede.

Identificao do evento 6273: Servidor de Diretivas de Rede acesso negado a um usurio .

Ocorre quando ocorre um problema com a autenticao ou autorizao e est associada c om uma razo Cdigo:

Identificao do evento 6274: Network Policy Server descartado o pedido de um usurio.

Ocorre se houver um problema de configurao. Isso pode ocorrer, se as configur aes do cliente RADIUS esto incorretas ou se NPS no pode criar logs de contabilidade.

Identificao do evento 6276: Network Policy Server em quarentena um usurio.

Ocorre quando o pedido de acesso do cliente coincide com uma poltica de rede que est configurado com um NAP configurao de execuo de Permitir acesso limitado.

Identificao do evento 6277: Servidor de Diretivas de Rede acesso a um usurio, mas c oloc-lo em liberdade condicional porque o host no atendeu a poltica de sade definida.

Ocorre quando o pedido de acesso do cliente coincide com uma poltica de rede que est configurado com um NAP configurao de execuo de permitir acesso total rede por um tempo limitado, quand o a data especificada no poltica j passou.

Identificao do evento 6278: Network Policy Server concedido acesso total a um usuri o porque o host atendidas a definida

poltica de sade. ----------------------- Pgina 372----------- -----------7-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Ocorre quando o pedido de acesso do cliente coincide com uma po ltica de rede que est configurado com um NAP configurao de execuo de permitir acesso total rede. ----------------------- Pgina 373----------- -----------Proteo de Acesso implementao de rede 7-35

Lab: Implementando NAP em um acesso remoto VPN Soluo

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-edge1 e 6421B-NYC-CL1.

Cenrio Lab

Contoso, Ltd. necessria para estender a sua soluo de rede privada virtual para incluir acesso rede Protection (NAP).

Como um especialista em tecnologia da Contoso, Ltd., voc precisa estabel ecer uma maneira de trazer os computadores cliente automaticamente em conformidade. Voc vai fazer isso usando o Network Pol icy Server, criando o cumprimento cliente polticas, e configurar um servidor NAP para verificar a sade atual de com putadores.

Para este projeto, voc deve completar as seguintes tarefas:

NAP Configurar componentes do servidor ----------------------- Pgina 374----------- -----------7-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

NAP Configurar para clientes VPN

Exerccio 1: Configurando Componentes NAP

Cenrio

Neste exerccio, voc ir configurar os necessrios componentes server-side pa ra apoiar a Contoso, Ltd. Exigncia

As principais funes para este exerccio so como se segue:

1.

Configurar um certificado de computador.

2. ca de sade.

Configurar NYC-edge1 com NPS funcionando como um servidor de polti

3. Configurar NYC-edge1 com o Servio de Roteamento e Acesso Remoto (R RAS) que configurado como um Servidor VPN.

4.

Permitir ping em NYC-edge1.

Tarefa 1: Configurar um certificado de computador

1.

Mude para o servidor NYC DC1-virtual.

2.

Abra a ferramenta Autoridade de Certificao.

3. No Console Modelos de Certificado, abra as propriedades do modelo de certificado de computador.

4. Na guia Segurana, conceda ao grupo Usurios autenticados Permitir In screver permisso.

5.

Feche a ferramenta Autoridade de Certificao.

Tarefa 2: Configurar NYC-edge1 com NPS funcionando como um servidor de

poltica de sade

1.

Mude para o computador NYC edge1.

2.

Criar um console de gerenciamento executando mmc.exe.

3.

Adicionar o snap-in com o foco na conta do computador local.

4. Navegue para o armazenamento de certificados pessoais e solicitar um novo certificado.

5. Na pgina Selecionar Poltica de Certificado de Inscrio, clique em dire tiva de registro Active Directory e clique em Avanar.

6.

Inscrever o certificado de computador que est listado.

7.

Feche o console e no salvar as configuraes do console.

8. Usando o Server Manager, instale o servidor NPS com os seguintes servios de funo: Network Policy Server e acesso remoto.

9.

Abra a ferramenta Network Policy Server.

10. Sob Network Access Protection, abra a configurao padro para o Window s Security Sade Validator.

11. Na guia Windows Vista 7/Windows, desmarque todas as caixas de sel eo, exceto Um firewall est ativado para todos de rede.

12.

Criar uma poltica de sade com as seguintes configuraes:

Nome: Compatvel ----------------------- Pgina 375----------- -----------Proteo d e Acesso implementao de rede 7-37

O cliente verifica SHV: cliente passa todas as verificaes SHV

Os SHVs utilizados nesta poltica de sade: Windows Security Health Validator

13. Criar uma poltica de sade com as seguintes configuraes:

Nome: fora de conformidade

O cliente verifica SHV: Cliente no uma ou mais verificaes SHV

Os SHVs utilizados nesta poltica de sade: Windows Security Health Validator

14. Desativar todas as polticas de rede existentes.

15. Configurar uma diretiva de rede nova com as seguintes configuraes:

Nome: Conforme a Full-Access-

Condies: Polticas de Sade Compliant =

As permisses de acesso: acesso garantido

Definies: = imposio de NAP Permitir acesso total rede

16. Configurar uma diretiva de rede nova com as seguintes configuraes:

Nome: fora de conformidade com Restrio

Condies: Polticas de Sade = fora de conformidade

As permisses de acesso: acesso garantido

Nota: A configurao Acesso concedido no significa que os clientes no compatveis so concedidos acesso total rede. Ele especifica que a poltica deve continuar a avaliar os clientes que corresponder a estas condies.

Definies:

i. Imposio de NAP = Permitir acesso limitado selecionado e ativar auto-re mediao de computadores cliente no est selecionada.

ii. Filtros IP = IPv4 filtro de entrada, rede Destino = 10.10.0.10/255. 255.255.255 e IPv4 filtro de sada, rede Source = 10.10.0.10/255.255.255.255.

17. Desativar diretivas de solicitao de conexo existentes.

18. Criar uma Poltica Pedir uma nova conexo com as seguintes configuraes:

Nome da diretiva: Conexes VPN

Tipo de servidor de acesso de rede: servidor de acesso remoto (VPN-Dial-up)

Condies: tipo = Tnel L2TP, PPTP e SSTP

Autenticar pedidos neste servidor = true

Mtodos de autenticao:

i. Selecione Substituir configuraes de autenticao de rede de polticas

ii. Adicionar Microsoft: Protected EAP (PEAP)

iii. Adicionar Microsoft: Senha segura (EAP-MSCHAP v2) ----------------------- Pgina 376----------- -----------7-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Editar Microsoft: Protected EAP (PEAP) para assegurar que Enforce Network Access Protection ativado

19. Feche o console do Servidor de Diretivas de Rede.

Tarefa 3: Configurar NYC-edge1 com o Servio de Roteamento e Acesso Remo to (RRAS) que configurado como um servidor VPN

1.

Em NYC-edge1, roteamento aberto e acesso remoto.

2.

Selecione Configurar e ativar roteamento e acesso remoto.

3.

Use as configuraes a seguir para concluir a configurao:

uma.

Selecione o acesso remoto (dial-up ou VPN).

uma.

Selecione a caixa de seleo VPN.

b. Escolha a interface chamada pblica e limpar o Ativar segurana n a interface selecionada por a criao de filtros de pacotes estticos caixa de seleo.

C. " de endereos:

Atribuio de endereos IP: A partir de um intervalo especificado

10.10.0.100> 10.10.0.110

d. Completar o processo, aceitar padres, quando solicitado e conf irmar quaisquer mensagens Clique em OK.

4. No Servidor de Diretivas de Rede, clique no n Polticas de solicitao de conexo e desativar o Microsoft Roteamento e Poltica de servio de acesso remoto. Este foi criado aut omaticamente quando o roteamento e Acesso Remoto foi habilitado.

5. Fechar Network Policy Server Management Console eo Roteamento e ac esso remoto consola.

Tarefa 4: Permitir ping em NYC-edge1

1.

Firewall do Windows aberta com Segurana Avanada.

2.

Criar uma regra de entrada com as seguintes propriedades:

Tipo: Custom

Todos os programas

Tipo de protocolo: Escolha ICMPv4 e clique em Personalizar

Os tipos especficos de ICMP Echo Request:

Escopo padro

Aco: Permitir a conexo

Perfil padro

Nome: ICMPv4 solicitao de eco

3.

Feche o Windows Firewall com Advanced consola de Segurana.

Resultados: No final deste exerccio, voc ter configurado e ativado um sis tema de VPN NAP-imposta. ----------------------- Pgina 377----------- -----------Proteo d e Acesso implementao de rede 7-39

Exerccio 2: Definindo as configuraes de cliente para suportar NAP

Remoto

Neste exerccio, voc ir implementar uma VPN em NYC-CL1 e testar a sade do computador contra o NAP configurao que voc criou anteriormente.

As principais funes para este exerccio so como se segue:

1.

Configurar Central de Segurana.

2.

Permitir a aplicao do cliente NAP.

3.

Mova o cliente Internet.

4.

Criar uma VPN em NYC-CL1.

Tarefa 1: Configurar o Centro de Segurana

1.

Mude para o computador NYC CL1.

2. Abra o Editor de Poltica Local (gpedit.msc) e permitir a Diretiva de Computa dor Local / Computador Configurao / Modelos Administrativos / Componentes do Windows / Centro de Seg urana / Ligar A Central de Segurana (PCs em domnios somente) definio.

3.

Feche o Editor de Diretiva de Grupo Local.

Tarefa 2: Ativar a aplicao do cliente NAP

1.

Execute o NAP ferramenta de configurao do cliente (napclcfg.msc).

2.

Sob Clientes execuo, permitir que o cliente Enforcement EAP Quarentena.

3.

Feche a ferramenta de configurao do cliente NAP.

4. Executar services.msc e configurar o Network Access Protection Agent servio para inicializao automtica.

5.

Iniciar o servio.

6.

Feche o console de servios.

Tarefa 3: Mova o cliente Internet

1. Reconfigurar as configuraes de rede de NYC-CL1 mudando a Conexo de rea seguinte local Internet Protocol Version 4 (TCP/IPv4) definies:

Endereo IP: 131.107.0.20

Mscara de sub-rede: 255.255.255.0

Gateway Padro: em branco

Servidor DNS preferencial: em branco

2.

Verifique se voc pode executar ping 131.107.0.2.

Tarefa 4: Criar uma VPN em NYC-CL1

1.

Criar uma nova conexo VPN com as seguintes propriedades:

endereo da Internet para conectar-se: 131.107.0.2

Nome do Destino: Contoso VPN

Permitir que outras pessoas usem esta conexo: true ----------------------- Pgina 378----------- -----------7-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Nome do Usurio: administrador

Senha: Pa $ $ w0rd

Domnio: CONTOSO

2. Depois de ter criado o VPN, modificar suas configuraes, exibindo as propriedades da conexo e em seguida, selecionando a aba Segurana. Utilize as seguintes defi nies para reconfigurar o VPN:

Tipo de autenticao: Microsoft: Protected EAP (PEAP) (criptografia a tivada).

Propriedades de esse tipo de autenticao:

i. Validar certificado do servidor: true

ii. Ligar a estes servidores: false

iii. Mtodo de autenticao: Senha segura (EAP-MSCHAP v2)

iv)

Ativar Reconexo Rpida: false

v.

Aplicar Network Access Protection: true

3.

Teste a conexo VPN:

uma. clique em .

Na janela Conexes de Rede, clique com o Contoso conexo VPN e

b.

Na janela Conexo VPN Contoso, clique em Conectar.

C. " Ver os detalhes do alerta de segurana do Windows. Verifique se as informaes do certificado correto exibida e clique em Conectar.

4. NAP:

Verifique se o computador atende aos requisitos de sade da poltica

uma. Use ipconfig / all para verificar se o estado do sistema d e quarentena no est restrito.

b.

Ping 10.10.0.10.

5.

Desligue o VPN Contoso.

6. Configure o Windows Security Health Validator para exigir um apli cativo antivrus:

uma.

Mudar para NYC-edge1 e Policy Server rede aberta.

b. or para que um Windows seleo.

Modificar a configurao padro do Windows Security Health Validat

antivrus aplicao na caixa de seleo est ativado no Windows Vista 7

7.

Volte para NYC-CL1 e volte a ligar o VPN.

8.

Verifique se o seu computador no atender os requisitos sanitrios da

poltica NAP:

uma. Verifique se uma mensagem exibida no Centro de Ao afirmando que o computador no atender normas de segurana.

b. Use ipconfig / all para verificar se o estado do sistema de quarentena restrito.

9.

Desligue o VPN.

Resultados: No final deste exerccio, voc ter habilitado e configurado uma VPN poltica de imposio de NAP para Contoso. ----------------------- Pgina 379----------- -----------P roteo de Acesso implementao de rede 7-41

Preparao para o prximo laboratrio

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Direito do mouse em NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida , clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-edge1 e 6421B-NYC-CL1.

----------------------- Pgina 380----------- -----------7-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Quais so as trs principais configuraes do cliente que voc precisa conf igurar para a maioria das implantaes NAP?

2. Voc quer avaliar a sade geral e da segurana da rede NAP aplicadas. O que voc precisa fazer para comear a eventos NAP de gravao?

3. Em um computador cliente, quais os passos que voc deve realizar pa ra garantir que ele pode ser avaliado para a sade?

Ferramentas

Onde usar a ferramenta para encontr-lo

Servios Habilitar e configurar o NAP Clique em Iniciar, clique em Pai nel de Controle, clique em Sistema e servio em computadores cliente. clique em Ferramentas administrativas e, em seguida, plo clique em Servios. Manuteno, clique du

Sesta Netsh Usando netsh, voc pode criar scripts Abra uma janela de c omando com direitos administrativos para configurar automaticamente um conjunto de e coch ilo tipo netsh-c. Voc pode digitar help para obter uma NAP e exibir a lista de configurao completa dos comando s disponveis. e status do servio de cliente NAP.

Grupo Algumas implantaes NAP que usam Habilitar o Turn Central de Segu rana (PCs em domnios poltica de segurana do Windows Health Validator s) que define na config urao do computador, exigir que a Central de Segurana Modelos Administrativ os, Windows habilitado. entes e sees da Central de Segurana do de Grupo. Compon Diretiva

Configurar Usado para criar as polticas de sade, Abra o NPS console (L ocal). Em Introduo Rede um assistente Proteo de Acesso Network (NAP) Proteo de Acesso (NAP) serv idor de poltica. O texto com o Servidor Diretiva de Rede. e links abaixo a mud ana de texto para refletir a sua seleco. ----------------------- Pgina 381----------- -----------Proteo de Acesso Implementando Rede 7-43

NAP com as polticas de solicitao de conexo e e configurao padro, selecione

Usar a ferramenta para Onde encontr-lo

Clique em Con figurar NAP com um assistente. ----------------------- Pgina 382----------- -----------7-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 383----------- -----------8-1

Mdulo 8

Aumentar a segurana para Windows Servers

Contedo:

Lio 1: Segurana do Windows Viso geral 8-3

Lio 2: Configurando o Windows Firewall com segurana avanada 8-9

Lio 3: Implementando atualizaes com o Windows Server Update Services 8-15

Laboratrio: Aumentar a segurana para Windows Servers 8-23 ----------------------- Pgina 384----------- -----------8-2 de infra-estrutura Configurao e Soluo de problemas do Windows Server 2008 Rede

Viso geral do mdulo

A segurana uma considerao essencial para a rede com o Windows Server 2008 . Nenhum sistema sempre completamente seguro, mas voc pode implementar vrios mtodos para aumentar a segurana. Firewall do Windows com Advanced Security uma das funcionalidades do Windows Server 2008 que u sado para aumentar a segurana. Voc pode tambm usar Windows Server Update Services para garantir que as atualizaes de segurana aprovadas so aplicadas a servidores de uma maneira oportuna.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever um processo para aumentar a segurana do Windows Server 2008.

Configure o Windows Firewall com segurana avanada.

Descrever Windows Server Update Services e como us-lo. ----------------------- Pgina 385----------- -----------Aumentar a segurana para Windows Servers 8-3

Lio 1 Viso geral de Segurana do Windows

Protegendo sistemas de computador um processo contnuo. preciso avaliar os riscos de segurana e os custos associado com os riscos para tomar decises informadas sobre a implement ao de medidas para mitigar os risco Uma coisa a considerar durante o processo de planejamento a defe sa em profundidade, que determina que mltiplas camadas de segurana deve ser usado para defender seus sistemas.

Objetivos

Aps esta lio, voc ser capaz de:

Descrever os riscos de segurana para Windows Server 2008 e os custos a eles associados.

Descreva como a modelo de defesa em profundidade aborda segurana.

Descrever as prticas recomendadas para aumentar a segurana do Windows Se rver 2008.

----------------------- Pgina 386----------- -----------8-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Discusso: Riscos de Segurana Identificao e Custos

O primeiro passo na defesa de seus sistemas identificar os riscos pote nciais e seus custos. Depois, voc pode tomar decises inteligentes sobre como alocar recursos para mitigar ess es riscos.

Pergunta: Quais so alguns dos riscos e custos associados a redes baseadas no Windows? ----------------------- Pgina 387----------- -----------Aumentar a segurana para Windows Servers 8-5

Aplicando de defesa em profundidade para aumentar a Segurana

Depois de descobrir e documentar os riscos que sua organizao enfrenta, o prximo pas so examinar e organizar as defesas que voc vai usar para fornecer uma soluo de segurana. A segurana de defesa em profundidade modelo um excelente ponto de partida. Esse modelo identifica sete nveis de defesa s de segurana que devem ser abordados.

As camadas de defesa fornecer uma viso do seu ambiente, rea por rea, que voc deve co nsiderar quando projetar as defesas da sua rede de segurana. As camadas do modelo de segurana de d efesa em profundidade so:

Dados: Esta camada est preocupado com o acesso aos dados organizacionais, tais co mo documentos de banco de dados, contedo ou informao do cliente. Defesas potenciais incluem as permisses NTFS, a s permisses de banco de dados,

e permisses nos aplicativos.

Aplicao: Esta camada est preocupado com os riscos para um aplicativo em execuo. Tipic amente, esta seria algum tipo de malware que se aproveita de uma vulnerabilidade em um aplicativo. D efesas potenciais incluem

assegurando que as ltimas actualizaes so aplicados s aplicaes e reduzindo o nmer e aplicaes se possvel.

Host: Esta camada est preocupado com os riscos para o sistema operacional e servio s do sistema operacional. Normalmente, isso seria algum tipo de malware que se aproveita de uma vulne rabilidade no operacional sistema. As melhores defesas esto limitando os servios somente para aqueles q ue so necessrios e aplicao de segurana atualizaes rapidamente. Windows Firewall tambm pode ser usado para prevenir o acesso rede para executar servios que no so autorizados.

Rede interna: Esta camada est preocupado com os riscos aos dados na rede interna. O primrio preocupao o acesso no autorizado aos dados enquanto ele est ligado rede. Vrios odos podem ser utilizados para garantir que os clientes sejam devidamente autenticados antes de ser conced ido o acesso rede. Rede de Socializao dados tambm podem ser criptografados usando o IPsec.

Permetro de rede: Esta camada est preocupado com os riscos que surgem de acessar r ecursos no rede de permetro da Internet. Configurao do Firewall o principal mtodo de defes a deste camada, mas outros mtodos, tais como sistemas de deteco de intruso tambm podem s er usados. ----------------------- Pgina 388----------- -----------8-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Segurana fsica: Esta camada est preocupado com o acesso fsico aos disposi tivos e os riscos associados com que. Alguns riscos fsicos incluem dispositivos USB com malware e os sistemas de inicializao em um suplente sistema operacional para acessar dados.

Polticas, procedimentos e conscientizao: Esta camada envolve todas as ou tras camadas porque impacta os tudo. As polticas e procedimentos que implementa sua organizao so fu ndamentais para prevenir os riscos de segurana em cada camada. Alm disso, a conscincia dessas polticas e procedime ntos necessria para garantir que eles forem seguidos. ----------------------- Pgina 389----------- -----------Aumentar a segurana para servidores Windows 8-7

Melhores Prticas para Aumentar a segurana

Considere as seguintes prticas recomendadas para aumentar a segurana:

Aplicar todas as atualizaes de segurana disponveis rapidamente depois que eles so lib erados. Voc deve se esforar para implementar atualizaes de segurana o mais rapidamente possvel para garantir que seus sistem as esto protegidos conhecido vulnerabilidades. Microsoft libera publicamente os detalhes de vulnerabilid ades conhecidas depois de uma atualizao tem sido libertados que pode levar a um aumento do volume de malwares tentativa para explorar o vulnerabilidade. No entanto, voc deve ainda garantir que voc adequadamente te star as atualizaes antes de serem amplamente aplicada dentro de sua organizao.

Siga o princpio do menor privilgio. Fornea aos usurios e contas de servio com o menor

permisso nveis necessrios para completar suas tarefas necessrias. Isso garante que qual quer malware usando os credenciais limitada em seu impacto. Ele tambm limita a capacidade de exclui r acidentalmente dados ou modificar configuraes importantes do sistema operacional.

Restringir o logon no console. Logon localmente em um console um risco maior par a um servidor de acesso dados remotamente. Isto porque algum malware s pode infectar um computador u sando uma sesso de usurio em ambiente de trabalho. Se voc permitir que os administradores usar o Remote D esktop para administrao de servidores, garantir que os recursos avanados de segurana como controle de conta de usurio esto habi litados.

Restringir o acesso fsico. Se algum tem acesso fsico aos seus servidores, essa pess oa no tem praticamente acesso ilimitado aos dados no servidor. Um grande nmero de ferramentas pode ser usado para voltar rapidamente a senha em contas de administrador local e permitir o acesso local. Alm diss o, um no autorizado pessoa poderia usar um drive USB para introduzir malware. ----------------------- Pgina 390----------- -----------8-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Security Configuration Wizard

O Security Configuration Wizard (SCW) uma ferramenta includa no Windows Server 2008 para ajudar a aumentar de segurana. ACS analisa a configurao do seu servidor e fornece recomendaes . Voc tem o oportunidade de rever e modificar as recomendaes antes de salv-los como u ma poltica de segurana que pode ser aplicado para o servidor de corrente ou outros servidores. Se voc t iver problemas depois de aplicar um segurana

poltica, voc pode usar o ACS para reverter a poltica de segurana aplicada mais recentemente.

O primeiro passo que o ACS realiza identificar as funes de servidor e re cursos que esto instalados. Voc tem a opo de revisar e verificar que as funes e recursos instalados esto corret os. Voc tambm pode adicionar ou remover funes de servidor e recursos.

As recomendaes fornecidas pelo ACS incluem:

Servio para ativar ou desativar

Windows As regras de firewall para habilitar ou desabilitar

As configuraes do Registro, como compatibilidade com o Windows NT 4.0

Poltica Fiscal ----------------------- Pgina 391----------- -----------Aumentar a segurana para Windows Servers 8-9

Lio 2 Configurando o Windows Firewall com Segurana Avanada

Windows Firewall com Segurana Avanada uma ferramenta importante para mel horar a segurana do Windows Server 2008. Ela ajuda a prevenir vrios problemas de segurana diferentes , como varredura de portas ou malware. Windows Firewall com segurana avanada tem perfis de firewall, cada um do s quais se aplica nica configuraes para diferentes tipos de rede. As regras de firewall pode se r configurado manualmente em cada servidor ou centralmente usando a Diretiva de Grupo.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os recursos do Windows Firewall com segurana avanada.

Descreva por um firewall baseado em host importante.

descrever os perfis de firewall.

Configurar perfis de firewall.

Descrever como implementar regras de firewall do Windows. ----------------------- Pgina 392----------- -----------8-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Qual o Windows Firewall com segurana avanada?

Firewall do Windows com Segurana Avanada um firewall baseado em host que est includo como um recurso do Windows Server 2008. um firewall que executado no computador local e restringe o acesso rede e de que Cobertos Ao contrrio de um firewall de permetro, que oferece proteo apenas contra ameaas na Internet, um host firewall baseado fornece proteo contra ameaas na rede interna.

Regras de Entrada e Sada

A comunicao de controle de entrada regras com o computador que iniciado por outro dispositivo ou computador

na rede. Por padro, todas as comunicaes de entrada bloqueado, exceto o trf ego que explicitamente permitido por uma regra de entrada.

Comunicao de controlo de sada regras que iniciada pelo computador, e dest inados a um dispositivo ou computador na rede. Por padro, toda a comunicao de sada permitida, com exc eo do trfego que explicitamente bloqueada por uma regra de sada. Se voc optar por bloquea r toda a comunicao de sada, exceto a trfego que explicitamente permitido, voc deve ter cuidado catalogado o s oftware que pode ser executado em computador e da rede de comunicao que ele necessita.

As regras de entrada e sada podem ser criadas com base em portas UDP e TCP. Eles tambm podem ser criados para permitir um acesso rede especfica executvel, independentemente do nmero d e porta a ser utilizado.

Regras de segurana de conexo

Regras de segurana de conexo so usados ws Server 2008. Quando estas regras so

para configurar o IPsec para o Windo

configurado, voc pode autenticar a comunicao entre computadores e usar es sa informao para criar regras de firewall com base no usurio especfico e contas de computador. ----------------------- Pgina 393----------- -----------A umentar a segurana para Windows Servers 8-11

Discusso: Por que um firewall baseado em host importante?

Windows Firewall com Segurana Avanada ativado por padro em todas as verses recentes do Windows Server 2008.

Pergunta: Por que importante usar um firewall baseado em host como o Window s Firewall com Segurana Avanada? ----------------------- Pgina 394----------- -----------8-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Perfis do Firewall

Windows Firewall com Segurana Avanada usa perfis de firewall para fornec er uma configurao consistente para redes de um tipo especfico. Windows Server 2008 permite que uma rede a ser definida como uma rede de domnio, rede pblica ou rede privada. Windows Firewall com Segurana Avanada permi te que voc defina um configurao definida para cada tipo de rede, cada conjunto de configuraes um perfil de firewall. As regras de firewall so ativado apenas para perfis de firewall especficas.

Uma rede automaticamente configurado como um domnio de rede se ele forn ece conectividade para o domnio controladores. Na maioria dos casos, o Windows Server 2008 usa o perf il de firewall de domnio.

Se um servidor em um local onde ele no tem acesso a um domnio, tal como uma rede de permetro, em seguida, uma servidor ir utilizar o perfil de firewall pblica ou perfil firewall pri vado. Isto determinado por um administrador que definiu a rede como pblica ou privada.

Windows Server 2008 R2 permite que vrios perfis de firewall estar ativo em um servidor ao mesmo tempo. Este significa que um servidor multi-homed que est conectado rede interna e do permetro rede pode aplicar o perfil de firewall de domnio para a rede interna e o firewall pblica ou privada

perfil para a rede de permetro. ----------------------- Pgina 395----------- -----------Aumentar a segurana para Windows Servers 8-13

Demonstrao: Como configurar perfis de firewall

Esta demonstrao mostra como:

Configurar perfis de firewall. ----------------------- Pgina 396----------- -----------8-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Implantando o Windows Firewall Regras

Como voc implantar regras do Firewall do Windows uma considerao important e. Escolhendo o mtodo apropriado garante que as regras so implantadas de forma precisa e com o mnimo esfo ro. Voc pode implantar o Firewall do Windows regras das seguintes maneiras:

Manualmente: Voc pode configurar individualmente regras de firewall par a cada servidor. No entanto, em um ambiente com mais de alguns servidores, isso trabalhoso e propenso a erros . Este mtodo normalmente usado apenas durante os testes e resoluo de problemas.

Usando a Diretiva de Grupo: A maneira preferida para distribuir as reg ras de firewall usando a Diretiva de Grupo. depois criar e testar um objeto de Diretiva de Grupo com as regras de fi rewall necessrias, voc pode rapidamente e precisa implantar as regras de firewall para um grande nmero de co mputadores.

Exportao e importao de regras de firewall: o Windows Firewall com segurana avanada tambm lhe d a opo de importar e exportar as regras de firewall. Exportar regras de firewall til para criar um backup antes de configurar manualmente as regras de firewall durante a resoluo de problemas. Quando voc importa regras de firewall, eles so tratados como um conjunto completo e substituir todas as r egras de firewall atualmente configurados. ----------------------- Pgina 397----------- -----------Aumentar a segurana para Windows Servers 8-15

Lio 3 Implantando atualizaes com o Windows Server Update Services

Windows Server Update Services (WSUS) melhora a segurana, a aplicao de atu alizaes de segurana para servidores de um maneira oportuna. Ele fornece a infra-estrutura para fazer o download, testar e aprovar atualizaes de segurana. Aplicando atualizaes de segurana rapidamente ajuda a prevenir incidentes de segurana que so um resultado de vulnerabilidades conhecidas.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever Windows Server Update Services.

Explique o processo de WSUS.

Identificar os requisitos do servidor para o WSUS.

Descrever como configurar as atualizaes automticas para usar o WSUS.

Explique como o WSUS administrada.

Identificar os grupos de computadores no WSUS.

Descrever as opes para a aprovao de atualizaes do WSUS. ----------------------- Pgina 398----------- -----------8-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que o Windows Server Update Services?

WSUS uma funo de servidor includo no Windows Server 2008 que faz o downlo ad e distribui as atualizaes para Clientes e servidores Windows. Pode obter atualizaes que se aplicam ao s istema operacional e comuns aplicaes da Microsoft, como Microsoft Office e SQL Server.

Na configurao mais simples, uma pequena organizao pode ter um servidor WSU S nico atualizaes que os downloads a partir do Microsoft Update. O servidor WSUS em seguida, distribui as atualizaes para computadores que esto configurados para obter atualizaes automticas a partir do servidor WSUS. Atualizaes devem ser aprovadas antes de os clientes podem baixar eles.

As organizaes maiores podem criar uma hierarquia de servidores WSUS onde um servidor WSUS nico e centralizado obtm atualizaes do Microsoft Update e outros servidores WSUS obter atuali zaes a partir do centralizada Servidor WSUS.

Os computadores podem ser organizados em grupos para simplificar a apr ovao de atualizaes. Por exemplo, um grupo piloto

ados

pode ser configurado como o primeiro conjunto de computadores que so us para testar actualizaes.

WSUS pode gerar relatrios para ajudar com o monitoramento de instalao da atualizao. Estes relatrios podem identificar que os computadores no tm aplicado as atualizaes recm-aprovadas. Depois, vo c pode investigar por que as atualizaes no esto a ser aplicado. ----------------------- Pgina 399----------- -----------Aum entar a segurana para Windows Servers 8-17

Windows Server Update Processo Servios

O processo de gerenciamento de atualizaes usado para gerenciar e manter o WSUS e a s atualizaes recuperadas WSUS. um ciclo contnuo que permite a voc reavaliar e ajustar a implementao do WSUS p ara atender evoluo das necessidades.

Avaliar Fase

A meta da fase Avaliao de criar um ambiente de produo que suporta o gerenciamento de atualizaes

para cenrios de rotina e de emergncia. A fase Avaliao um processo contnuo que voc usa para determinar a topologia mais eficiente para o dimensionamento dos componentes do WSUS. Como as alteraes de organizao, voc pode identificar a necessidade de adicionar mais servidores WSUS em locais diferentes .

Identificar Fase

A fase de identificar se preocupa com a identificao de novas atualizaes que esto disp onveis e determinar se

que sejam relevantes para a organizao. Voc tem a opo de configurar o WSUS para automa ticamente recuperar todas as atualizaes ou apenas tipos especficos de atualizaes. WSUS tambm identifica quais atual izaes so relevantes para registo computadores.

Avaliar e Planejar Fase

Aps as atualizaes relevantes foram identificados, preciso avaliar se eles funcionam corretamente em seu produo. sempre possvel que a combinao especfica de software em seu ambiente pode problemas com uma atualizao.

Para avaliar as atualizaes, voc deve ter um ambiente de teste que voc pode aplicar a s atualizaes para verificar adequada funcionalidade. Neste momento, voc pode identificar dependncias que permitem uma a tualizao para funcionar corretamente e voc pode planejar quais mudanas precisam ser feitas. ----------------------- Pgina 400----------- -----------8-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Implantar Fase

Depois de ter testado completamente uma atualizao e determinada qualquer das dependncias, voc pode aprov-lo para

implantao na rede de produo. O ideal que voc deve aprovar a atualizao para grupo piloto de computadores antes de aprovar a atualizao para toda a organizao. ----------------------- Pgina 401----------- -----------Aum entar a segurana para Windows Servers 8-19

Requisitos do servidor para o WSUS

Para instalar e configurar o WSUS para o Windows Server 2008, use o Gerenciador do Servidor para instalar o Windows Server Update funo de servios. O servidor deve atender alguns requisitos mnimos de h ardware e software para que voc seja capaz de implementar SWUS.

O software necessrio para o WSUS 3.0 SP2 inclui:

Windows Server 2008 R2, Windows Server 2008 SP1 ou posterior, Windows Server 200 3 SP1 ou posterior, Windows Small Business Server 2008 ou Windows Small Business Server 2003

Internet Information Services (IIS) 6.0 ou posterior

Microsoft. NET Framework 2.0 ou posterior.

Microsoft Management Console 3.0

Microsoft Report Viewer Redistributable 2008

SQL Server 2008, SQL Server 2005 SP2, ou Windows Internal Database

Os requisitos mnimos de hardware para WSUS so aproximadamente o mesmo que o hardwa re mnimo requisitos para o Windows. No entanto, voc deve considerar o espao em disco, como parte de sua implantao. A WSUS servidor requer espao em disco suficiente para armazenar todas as atualizaes que es to sendo baixados. Pelo menos 30 GB de espao em disco devem ser alocados para as atualizaes baixadas.

Um servidor WSUS nica pode suportar milhares de clientes. Por exemplo, um nico ser vidor WSUS com 4GB de

RAM e dual quad-core CPUs pode suportar at 100.000 clientes. No entanto, na maior ia dos casos, uma organizao com que muitos clientes provavelmente ter vrios servidores WSUS para reduzir a car ga sobre links WAN. ----------------------- Pgina 402----------- -----------8-20 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede

Configurar as atualizaes automticas

Quando as Atualizaes automticas estiver ativado em um servidor, a configu rao padro transfere automaticamente atualizaes do Microsoft Update e os instala. Depois de ter implementado o WSUS, os servidores devem obter atualizaes do servidor WSUS em seu lugar.

O local que as Atualizaes Automticas obtm atualizaes controlado por uma cha e de registro. Embora seja possvel configurar manualmente a chave de registro usando o RegEdit, is so no recomendado, exceto quando o computador no est em um domnio. Se um computador est em um domnio, que mu ito mais eficiente para criar um grupo Objeto de diretiva que configura a chave de registro.

Alm de configurar a fonte de atualizaes, voc tambm pode usar uma GPO para c onfigurar o seguinte configuraes:

Com que freqncia as atualizaes so detectados

Quando as atualizaes so instaladas

Quando as atualizaes so reagendadas se as atualizaes no pde ser instalado horrio agendado

Se o computador ir reiniciar automaticamente, se necessrio por uma atual izao

Um grupo de computador que o computador ser registrado no durante o reg isto inicial com WSUS ----------------------- Pgina 403----------- -----------Aum entar a segurana para Windows Servers 8-21

WSUS Administration

A atualizao ferramenta Servios administrativa um MMC 3.0 plug-in que usado para adm inistrar o WSUS. Voc pode usar esta ferramenta para:

Identificar e fazer download de atualizaes

Aprovar atualizaes para implantao

Organizar computadores em grupos

Revisar o status da atualizao dos computadores

Gerar relatrios

O monitoramento uma parte essencial da manuteno de um servio. WSUS registra informaes detalhadas para a sade log de eventos. Alm disso, voc pode baixar um pacote de gerenciamento para facilit ar a fiscalizao no System Center Gerente de Operaes

Observao: Para economizar espao em disco no servidor WSUS, voc deve usar o Ass istente de Limpeza do Servidor

que est disponvel em Opes. Este assistente remove as atualizaes que esto expirad s ou substitudas. ----------------------- Pgina 404----------- -----------8-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que so grupos de computadores?

Os grupos de computadores so a maneira de organizar os computadores que um servidor WSUS implanta atualidades. Os dois grupos de computadores que existem por padro so todos os computadores e Computadores No Atribudos. Novos computadores que contato com o servidor WSUS so automaticamente atribudos a ambos os grup os.

Voc pode criar grupos de computadores personalizados para controlar com o as atualizaes so aplicadas. Normalmente, personalizado grupos de computadores contm computadores com caractersticas semelhantes . Por exemplo, voc pode criar um costume grupo de computadores para cada departamento na sua organizao. Voc tambm p ode criar um grupo de computador personalizado para um laboratrio de teste onde voc primeiro implantar atualizaes para o teste. Voc tambm servidores normalmente separados computadores clientes.

Quando voc atribuir manualmente novos computadores para um grupo de com putador personalizado, ele chamado de servidor segmentao. Voc tambm pode usar do lado do cliente visando a atribuir computadores a um grupo de computador personalizado. Para usar do lado do cliente segmentao, voc precisa configurar uma chave de registro ou objeto de Dire tiva de Grupo para o computador que especificou o grupo de computador personalizado para ser juntado durante o registo i nicial com o servidor WSUS. ----------------------- Pgina 405----------- -----------Aumentar a segurana para Windows Servers 8-23

Aprovao de atualizaes

A configurao padro do WSUS para aprovar automaticamente no atualizaes para o aplicativ o para computadores. Embora seja possvel para aprovar automaticamente actualizaes, isto no recomendado. O recomendado

processo de aprovao de atualizaes a atualizaes primeiro teste em um ambiente de labor trio, em seguida, um grupo piloto, e s em seguida, finalmente, para o ambiente de produo. Este processo reduz o risco de uma actualizao de causando uma problema inesperado em seu ambiente de produo. Voc poderia executar esse processo c om a aprovao atualizaes para grupos especficos de computadores antes de aprovar a atualizao para o grupo Todos os Computadores.

Algumas atualizaes no so consideradas crticas e no tem quaisquer implicaes de seguran oc pode decidir no para implementar algumas dessas atualizaes. Para todas as atualizaes que voc decidir no aplicar, voc pode diminuir a atualizao. Depois de uma actualizao for recusado, ele removido da lista de atualiz aes no servidor WSUS na visualizao padro.

Se voc aplicar uma atualizao e achar que ela est causando problemas, voc pode usar o WSUS para remover essa atualizao. No entanto, a atualizao pode ser removido somente se essa atualizao especfica suporta a remoo. A maioria das atualizaes apoiar remoo.

Quando voc olhar para os detalhes de uma atualizao, ele ir indicar se a atualizao sub tituda por outra atualizao.

Atualizaes so normalmente substitudos j no necessrio porque uma nova atualizao inc alteraes nesta atualizar e muito mais. Atualizaes substitudos no so declinados por padro, pois em alg uns casos, eles ainda so exigido. Por exemplo, a atualizao mais antiga pode ser necessrio se alguns servidor es no estiverem rodando o mais recente

Service pack: ----------------------- Pgina 406----------- -----------8-24 Configurao e Soluo de problemas de infra-estrutura do Windows Server 2008 Rede

Laboratrio: Aumentar a segurana para Windows Servers

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para SVR1-6421B-NYC.

Cenrio Lab

Voc um administrador do servidor para a Contoso e foram atribudas duas ta refas relacionadas com a segurana. Primeiro, voc deve implantar uma regra de firewall do Windows para suportar o softwa re de monitoramento novo que usado para seus servidores. Segundo, voc deve configurar os servidores para comear a usar as atualizaes que so distribudos por um servidor WSUS. ----------------------- Pgina 407----------- -----------Aumen tar a segurana para Windows Servers 8-25

Exerccio 1: Implantao de uma regra de firewall do Windows

Cenrio

Sua organizao tem implementado um novo software para monitorar computadores client es e servidores. Este software j est instalado nos computadores, mas o seu console de monitoramento cent ral incapaz de iniciar comunicao com o software. A rotina de instalao do software no abrir o necessrio porta no Firewall do Windows.

Voc precisa implantar uma regra de firewall do Windows que permite que todos os c omputadores da organizao para responder a comunicao tenta a partir do console de monitoramento centralizado que executado na porta 10005. Documentao do fornecedor do produto indica que voc pode testar esta porta usando um navegador web para visualizar um arquivo XML.

As principais funes para este exerccio so como se segue:

1.

Criar um objeto de Diretiva de Grupo com uma regra de firewall.

2.

Aplicar configuraes de Diretiva de Grupo para NYC-SVR1.

3.

Testar o acesso para o cliente de monitorizao.

Tarefa 1: Criar um objeto de Diretiva de Grupo com uma regra de firewall

1. Em NYC DC1, Gesto de Polticas de Grupo aberto a partir do menu Ferramentas Ad ministrativas.

2.

Criar um novo GPO chamado Firewall que est ligado a contoso.com.

3. Edite o GPO Firewall e navegue at Configurao do Computador \ Diretivas \ Confi guraes do Windows \ Security Settings \ Windows Firewall com Advanced Security \ Windows Fire wall com Advanced Security \ Regras de Entrada.

4.

Criar uma regra de entrada de novo com as seguintes caractersticas:

Tipo de Estado: Porto

Protocolo: TCP

porta local especfica: 10005

Aco: Permitir a conexo

Perfil: Domnio

Nome: Monitoramento

5. Feche o Editor de Gesto de Polticas e feche a ferramenta de Gerenciamento de Diretiva de Grupo.

Tarefa 2: Aplicar configuraes Group Policy para NYC-SVR1

1.

Em NYC-SVR1, abra um prompt de comando.

2.

No comando, digite gpupdate / force e pressione ENTER.

3.

Feche a janela de comando em NYC-SVR1.

----------------------- Pgina 408----------- -----------8-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Tarefa 3: Teste de acesso para o cliente de monitoramento

1.

Em NYC-DC1, abra o Internet Explorer.

2.

Conecte-se http://nyc-svr1.contoso.com:10005/status.xml.

Resultados: Aps este exerccio, voc deve ter criado uma regra de firewall do Windows que permite a comunicao a porta 10005. ----------------------- Pgina 409----------- -----------Aument ar a segurana para Windows Servers 8-27

Exerccio 2: Implementando WSUS

Remoto

No passado, o gerenciamento de atualizaes para clientes e servidores em sua organi

zao tem sido ad hoc. Algumas

servidores no tiveram atualizaes aplicadas, enquanto outros so a aplicao de atualizae mediatamente. Isto resultou em um ambiente inseguro. Voc est implementando o WSUS para comear a implementar um pro cesso controlado para aplicao de atualizaes para clientes e servidores.

As principais funes para este exerccio so como se segue:

1.

Crie um GPO para configurar os clientes WSUS.

2.

Reveja as definies de configurao de um servidor WSUS.

3.

Criar um grupo de computadores para os servidores.

4.

Ver o relatrio de atualizao para NYC DC1.

5.

Aprovar uma atualizao para o grupo de computadores HO Servers.

Tarefa 1: Criar um GPO para configurar os clientes WSUS

1. Em NYC DC1, Gesto de Polticas de Grupo aberto a partir do menu Ferramentas Ad ministrativas.

2.

Criar um novo GPO chamado WSUS que est ligado a Contoso.com.

3. No Grupo janela do Editor de Poltica de Gesto, navegue at Configurao do computad or \ Polticas \ Modelos Administrativos \ Componentes do Windows \ Windows Update.

4.

Configurar as Atualizaes Automticas Configurar posio como segue:

Habilitado

Configurar atualizao automtica: 4 - Fazer o download automtico e agendar a inst alao

5. Configure o Specify intranet Microsoft update configurao do local de servio co mo segue:

Habilitado

Defina o servio de atualizao da intranet para detectar atualizaes: http://NYC-SV R1

Defina a intranet estatsticas do servidor: http://NYC-SVR1

6.

Configurar o Automatic Updates definio da frequncia de deteco da seguinte forma:

Habilitado

Verifique se h atualizaes no intervalo seguinte (horas): 22

7. Feche o Editor de Gesto de Polticas e feche a ferramenta de Gerenciamento de Diretiva de Grupo.

8.

Em NYC DC1, abra um prompt de comando.

9.

No comando, digite gpupdate / force e pressione ENTER.

10. No comando, digite wuauclt / detectnow e pressione ENTER.

11. Feche a janela de comando em NYC DC1. ----------------------- Pgina 410----------- ------------

8-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Tarefa 2: Verifique as configuraes de configurao de um servidor WSUS

1. Em NYC-SVR1, abertas do Windows Server Update Services no menu Fe rramentas Administrativas.

2. m Opes.

Na janela Servios Update, no painel de lista em NYC-SVR1, clique e

3. Usando o painel de detalhes, ver as configuraes disponveis no WSUS e clique em Cancelar para cada item quando concluir.

Tarefa 3: Criar um grupo de computadores para servidores

1.

Navegue para Computadores \ todos os computadores.

2.

Criar um grupo novo computador chamado Servidores HO.

3. Alterar a associao do objeto de computador nyc-dc1.contoso.com de m odo que uma parte do HO grupo de servidores.

Tarefa 4: Veja o relatrio de atualizao para NYC-DC1

1. Ver a composio do grupo de computadores HO Servers. Use o status de qualquer ao ver o da sociedade.

2. de status.

Boto direito do mouse nyc dc1.contoso.com e visualizar um relatrio

3.

Leia o nmero de atualizaes que no foram instalados.

4. Alterar o relatrio para incluir atualizaes apenas com um status de n ecessria e, em seguida, executar o relatrio novamente.

5. ecessrias.

Ver a segunda pgina do relatrio para determinar as atualizaes que so n

6.

Deixe este relatrio aberto para a prxima tarefa.

Tarefa 5: Aprovar uma atualizao para o grupo HO computador Servidores

1. No Relatrio de Computadores para NYC-SVR1, para a primeira atualiz ao na lista, clique no status No aprovado.

2. ervers.

Aprovar a atualizao para instalar para o grupo de computadores HO S

3. s janelas.

Leia as informaes na janela Progresso aprovao antes de fechar todas a

Nota: Observe que aparece uma mensagem informando que a atualizao aprovada, mas deve ser baixado para ser concludo. Isto devido configurao do ambiente de la boratrio.

Resultados: Aps este exerccio, voc deveria ter aprovado uma atualizao para NYC DC1.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para SVR1-6421B-NYC.

----------------------- Pgina 411----------- -----------Aumentar a segurana para Windows Servers 8-29

Reviso do mdulo e Takeaways

Questes de Reviso

1. O modelo de defesa em profundidade prescrever tecnologias especfica s que devem ser usados para proteger Servidores Windows?

2. Sua empresa est preocupado com a segurana e implementou o Firewall d o Windows para bloquear comunicao de sada por padro em computadores cliente. Voc est implementan do um novo programa que seleciona aleatoriamente um nmero de porta para a comunicao na rede. Como voc pode permitir que este programa funcionar sem a abertura das portas que so desnecessrios?

3. Voc est criando um GPO com regras de firewall padronizados para os s ervidores em sua organizao. Voc testadas as regras de um servidor autnomo em seu laboratrio de teste . As regras aparecem nos servidores aps a GPO aplicada, mas eles no esto tendo efeito. Qual a causa mais provvel de

sse problema?

4. Um colega argumentou que todas as atualizaes do Windows devem ser ap licados automaticamente quando eles so libertados. Voc tem um processo alternativo que voc recomendaria?

Ferramentas

Usar a ferramenta para Onde encontr-lo

Firewall do Windows com Configurando Perfis do Firewall do Windows, regras e Ferramentas Administrativas Avanados de segurana de segurana regras de conexo

Update Services ferramenta administrativa para gerir WSUS Ferramenta s Administrativas

Wuauclt.exe manualmente provocando o cliente do Windows Update promp t de comando ----------------------- Pgina 412----------- -----------8-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008 ----------------------- Pgina 413----------- -----------9-1

Mdulo 9

Aumentar a segurana para comunicao em rede

contedo

Lio 1: Viso Geral de IPsec 9-3

Lio 2: Configurando Regras de Segurana de Conexo 9-11

Lio 3: Configurando IPsec NAP Enforcement 9-20

Lio 4: Monitoramento e Resoluo de Problemas de IPsec 9-26

Laboratrio: Aumentar a segurana para comunicao de rede 9-33 ----------------------- Pgina 414----------- -----------9-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

Internet Protocol Security (IPSec) uma estrutura de padres abertos para proteger as comunicaes sobre Redes IP atravs de servios de segurana criptogrficos. IPsec suporta autent icao em nvel de rede peer, dados origem autenticao, integridade de dados, confidencialidade (cripto grafia) e proteo de replay. O Microsoft implementao IPsec baseado em padres que a Internet Engineering Task Force (IETF) IPsec grupo de trabalho desenvolvido.

Os seguintes sistemas operacionais suportam IPsec: Windows 2000, Micro soft Windows XP, Windows Vista , Windows 7, Windows Server 2003, Windows Server 2008 e Windows Server 2 008 R2. Alm disso, o IPsec integra com o Active Directory Domain Service (AD DS). Voc pode atribui r diretivas IPsec atravs Diretiva de Grupo, que permite configurar as definies de IPsec no, unida de local, domnio organizacional (UO), ou segurana em nvel de grupo.

Para ajudar a aumentar a segurana para comunicaes de rede dentro de sua o rganizao, importante que voc compreender como implementar, configurar e solucionar problemas de IPs ec.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever quando e como utilizar IPsec.

Configure as regras de segurana de conexo.

Configure o IPsec com imposio de NAP.

Descrever como monitorar e solucionar problemas de IPsec. ----------------------- Pgina 415----------- -----------Aumentar a segurana para comunicao de rede 9-3

Lio 1 Viso Geral de IPsec

IPsec um conjunto de protocolos que podem ajudar a proteger os dados e m trnsito atravs de uma rede usando a segurana servios e, opcionalmente, certificados digitais com chaves pblicas e pri vadas. Devido ao seu design, o IPsec ajuda fornecer uma segurana muito melhor do que os mtodos de proteo anteriores. Os administradores de rede que o usam no no tem que configurar a segurana para programas individuais.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os benefcios do IPsec.

Discutir formas que o IPsec podem ser usados.

Descrever as ferramentas utilizadas para configurar o IPsec.

Configurar definies de IPsec. ----------------------- Pgina 416----------- -----------9-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Benefcios do IPsec

Voc pode usar o IPsec para atingir a confidencialidade, integridade, au tenticao e no transporte de dados em canais inseguros. Apesar de seu propsito original era para proteger o t rfego atravs de redes pblicas, muitos organizaes tm optado por implementar o IPsec para resolver as deficincias percebidas em sua prpria privada redes que podem ser suscetveis explorao.

Se voc implement-lo corretamente, o IPsec fornece um canal privado para o envio e troca de potencialmente dados sensveis ou vulnerveis, seja e-mail, File Transfer Protocol trfego (FTP), feeds de notcias parceiro, e da cadeia de fornecimento de dados, registros mdicos, ou qualquer outro tipo de TCP / IP baseados em dados.

IPsec tem os seguintes benefcios:

Oferecendo autenticao mtua antes e durante as comunicaes

Forar ambas as partes a identificar-se durante o processo de comunicao

confidencialidade habilitao por meio de criptografia do trfego IP e auten ticao pacote digital

Modos de IPsec

IPsec tem dois modos:

encapsular Security Payload (ESP): Criptografa os dados atravs de um do s vrios algoritmos disponveis.

Authentication Header (AH): Sinais de trnsito, mas no criptograf-lo.

Fornecimento de Integridade de trfego IP, rejeitando pacotes modificado s

ESP e AH verificar a integridade de todo o trfego IP. Se um pacote tive r sido modificada, a assinatura digital no ir coincidirem, eo pacote sero descartados. ESP em modo tnel criptografa a origem eo destino endereos como parte da carga. No modo de tnel, um novo cabealho IP adicio nado ao pacote, especificando o fonte extremidades do tnel e dos endereos de destino. ESP pode fazer uso de Data Encryption Standard (DES), Triple Data Encryption Standard DES (3DES), Advanced Encryption Standa rd (AES), e criptografia DES ----------------------- Pgina 417----------- -----------Aum entar a segurana para comunicao de rede 9-5

algoritmos no Windows Server 2008 R2. Voc no deve usar DES, a menos que os cliente s no podem apoiar o criptografia mais forte que a oferta de AES ou 3DES.

Fornecimento de Proteo contra Ataques de replay

ESP e AH usar nmeros de seqncia, ento todos os pacotes que so capturados para reproduo posterior estiver usando nmeros fora de seqncia. Utilizando nmeros seqenciados garante que um atacante no pode reutil izar ou reproduzir dados capturados para estabelecer uma sesso ou obter informaes ilegalmente. Utilizando nmeros seqencia dos tambm protege contra tentativas para interceptar uma mensagem e us-lo para acessar os recursos de form a ilegal, possivelmente, meses mais tarde. ----------------------- Pgina 418----------- -----------9-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Maneiras de usar IPsec

Alguns ambientes de rede esto bem adaptados ao IPsec como uma soluo de se gurana, enquanto outros no so. Ns Recomendamos IPsec para os seguintes usos:

A filtragem de pacotes: O IPsec fornece capacidades de firewall limita dos para sistemas finais. Voc pode permitir ou bloquear o trfego de entrada ou de sada usando IPsec com o Network Address T ranslation (NAT) / Firewall Bsico componente do servio de roteamento e acesso remoto.

Garantir host-to-host trfego em caminhos especficos: Voc pode usar o IPse c para fornecer proteo para o trfego entre os servidores ou outros endereos IP estticos ou sub-redes. Po r exemplo, o IPsec pode proteger o trfego entre controladores de domnio em locais diferentes, ou entre servidores web e servidores de banco de dados.

Proteger o trfego para os servidores: Voc pode exigir a proteo IPSec para todos os computadores cliente que acessar um

servidor. Alm disso, voc pode definir restries sobre quais computador es podem se conectar a um servidor que executando o Windows Server 2008 R2.

Layer 2 Tunneling Protocol (L2TP) / IPsec para conexes VPN: Voc pode usa r a combinao de o L2TP e IPsec (L2TP/IPSec) para todos os cenrios de VPN. Isto no r equer que voc configure e implantar polticas IPsec.

Site-to-site (gateways) de tunelamento: Voc pode usar IPsec em modo tnel para o site-to-site (Gateways) tneis em que voc precisa interoperabilidade com roteador es de terceiros, gateways ou sistemas finais que no suportam L2TP/IPsec ou Point-to-Point Tunne ling Protocol (PPTP) conexes.

Aplicar redes lgicas (servidor / isolamento de domnio): Em uma rede Micr osoft Windows, voc pode isolar recursos de servidor e domnio logicamente para limi tar o acesso autenticado e autorizado Computadores Por exemplo, voc pode criar uma rede lgica dentro da r ede fsica existente, onde computadores compartilhem requisitos comuns para comunicaes seguras . Para estabelecer a conectividade, cada computador nesta rede logicamente isolada deve fornecer credencia is de autenticao para outro Computadores ----------------------- Pgina 419----------- -----------Aumen tar a segurana para comunicao de rede 9-7

Este isolamento impede que computadores e programas no autorizados tenham ac esso inadequado re Os pedidos de computadores que no fazem parte da rede isolada so ignoradas . Servidor e

isolamento de domnio pode ajudar a proteger especficos de alto valor servidor es e dados, e proteger conseguiu computadores a partir de computadores no gerenciados ou no autorizados e usuri os.

Voc pode proteger uma rede com dois tipos de isolamento:

Isolamento do servidor: Para isolar um servidor, voc pode configurar servido res especficos para exigir a diretiva IPsec para aceitar comunicaes autenticadas de outros computadores. Por exemplo, voc pode configurar o servidor de banco de dados para aceitar conexes do servidor de aplicao web apenas.

O isolamento do domnio: Para isolar um domnio, voc usa a associao do domnio do A tive Directory para garantir que os computadores que so membros do domnio aceitar apenas aut enticado e seguro comunicaes de outros membros do domnio computadores. A rede isolada compo sta apenas de computadores que domnio de membros e isolamento do domnio usa a diretiva IPsec para proteger o trfego que enviado entre membros do domnio, incluindo todos os computadores client e e servidor.

Observao: Devido IPsec depende endereos IP para o estabelecimento de conexes seguras, voc

no possvel especificar endereos IP dinmicos. Muitas vezes necessrio para que u servidor tem um IP esttico endereo em filtros de diretiva IPsec. Em implementaes da rede de grandes dime nses, e em alguns casos utilizador mvel, o uso de endereos IP dinmicos em ambas as extremidades da ligao pode aumentar a complexidade do IPsec elaborao de polticas.

Usa IPSec que no so recomendados

IPsec pode reduzir o desempenho de processamento e aumentar o consumo de largura de banda de rede. Alm disso, o Diretivas IPsec pode ser complexo para configurar e gerenciar. Finalmente, o uso de IPsec pode introduzir aplicao problemas de compatibilidade. Por estas razes, no recomendamos IPsec para os segui ntes usos:

Assegurar a comunicao entre os membros do domnio e seus controladores de domnio. Ist o reduz desempenho da rede. Alm disso, no recomendamos o uso do IPsec para esse cenrio porque a configurao da diretiva IPsec e gesto complexa.

Protegendo o trfego de rede. Isso reduz o desempenho da rede, e ns no recomendamos o uso IPsec para esse cenrio por causa das seguintes razes:

O IPsec no pode negociar a segurana para o trfego multicast e broadcast.

O trfego de comunicaes em tempo real, aplicaes que requerem Internet Control Mes sage Protocol (ICMP), e peer-to-peer aplicaes pode ser incompatvel com IPsec.

Funes de gerenciamento de rede que deve inspecionar o TCP, UDP, e protocolo c abealhos so menos eficaz ou no pode funcionar em tudo devido ao encapsulamento IPsec ou c riptografia payload IP.

Alm disso, o protocolo IPsec e implementao tm caractersticas que requerem considerao e pecial quando voc executar as seguintes tarefas:

Proteger trfego sobre redes sem fios 802.11: Voc pode usar o modo de transporte IP sec para proteger o trfego que enviada atravs de redes 802.11. No entanto, no recomendamos IPsec para as segurar a segurana

corporativos 802.11 redes locais sem fios (LANs). Em vez disso, recomendamo s que voc use 802,11 Criptografia WPA ou WPA2 e do Instituto de Engenheiros Eltricos e Eletrnicos, Inc. (IEEE) 802.1X

autenticao. Suporte para IPsec, configurao, gerenciamento e confiana so necessrio no cliente computadores e servidores.

Porque muitos computadores em uma rede no suportar IPsec ou eles no so geridos , no apropriado usar IPsec sozinho para proteger toda a 802,11 corporativa sem f io trfego LAN. Alm disso, o IPsec ----------------------- Pgina 420----------- -----------9-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

polticas modo de tnel no so otimizados para clientes mveis com endereo s IP dinmicos, nem IPsec

modo tnel apoio atribuio dinmica de endereos ou a autenticao do usuri o que necessrio para de acesso remoto de rede virtual privada (VPN) cenrios.

Use conexes VPN L2TP/IPSec para proteger o trfego de acesso remoto a redes organizacionais que quando trfego enviado por redes pblicas sem fio que esto conectados Intern et.

Use o IPsec em modo tnel para conexes VPN de acesso remoto: No recomenda mos que voc usar o IPsec em modo tnel para cenrios de acesso remoto VPN para c lientes VPN baseados em Windows e servidores. Em vez disso, use L2TP/IPsec ou PPTP. ----------------------- Pgina 421----------- -----------Aument ar a segurana para comunicao de rede 9-9

Ferramentas usadas para configurar IPsec

Existem vrias maneiras de configurar o Firewall do Windows e configuraes de IPsec e opes, incluindo a seguinte:

Usando o Firewall do Windows com Segurana Avanada Microsoft Management Console (MM C) snap-in.

O Firewall do Windows com Segurana Avanada snap-in permite que voc configure a s configuraes de firewall e

de segurana (IPsec) configuraes em uma nica interface. Voc tambm pode ver a polti a actualmente aplicadas, regras e outras informaes no n Monitor.

Utilizar o IP Security Policy snap-in.

Este snap-in permite que voc configure diretivas IPsec que se aplicam a comp utadores que esto executando verses anteriores do Windows e para computadores que esto executando a verso a tual do Windows. Este MMC snap-in til para ambientes onde os computadores que esto executando essas verses do Windows coexistir. Voc no pode usar esse snap-in para configurar o Windows Firewall c om configuraes avanadas de segurana.

Usando comandos Netsh:

Netsh uma ferramenta de linha de comando que voc pode usar para configurar a rede de componentes de configuraes. Windows Firewall com Segurana Avanada fornece o contexto netsh advfirewa ll, que voc pode usar para configurar o Windows Firewall com configuraes avanadas de segur ana.

Voc tambm pode usar os comandos netsh ipsec para configurar regras de segurana

de conexo. ----------------------- Pgina 422----------- -----------9-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar o IPsec Settings (opcional)

Esta demonstrao mostra como:

Ver polticas IPSec existentes na Diretiva de Grupo.

Criar uma poltica IPsec personalizado.

Criar uma regra de segurana.

Criar um novo filtro de IP.

Conclua o Assistente de regra de segurana.

Conclua o Assistente de Regra de Segurana IP. ----------------------- Pgina 423----------- -----------A umentar a segurana para comunicao de rede 9-11

Lio 2 Configurando regras de segurana de conexo

Voc pode usar regras de segurana de conexo para configurar as definies de IP sec para conexes especficas entre este computador e outros. Windows Firewall com Segurana Avanada usa a reg ra para avaliar rede trfego e, em seguida, blocos ou permite que as mensagens com base nos cr

itrios que voc estabelece no Estado. Em alguns circunstncias, o Windows Firewall com Segurana Avanada bloqueia a comunic ao. Se voc configurar configuraes que necessitam de segurana para uma ligao (em qualquer direco), os dois computadores no pode autenticar um ao outro, a conexo est bloqueada.

Objetivos

Depois de concluir este programa, voc ser capaz de:

descrever as regras de segurana de conexo.

Descrever tnel e modos de transporte para IPsec.

Descrever como selecionar os requisitos de autenticao.

Descrever e selecione um mtodo de autenticao que pode ser usado para IPse c.

Configurar uma regra de segurana de conexo.

Explique o processo de comunicao utilizado pelo isolamento de domnio. ----------------------- Pgina 424----------- -----------9-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quais so as regras de segurana de conexo?

Uma regra de segurana de conexo fora a autenticao entre dois computadores d e mesmo nvel antes que eles possam estabelecer uma conexo e transmitir informaes seguras. Windows Firewall com Segurana Avanad a usa o IPsec

fazer cumprir essas regras.

As regras configurveis

so:

Isolamento: Uma regra de isolamento isola computadores restringindo as conexes que so baseados em credenciais, como associao de domnio ou estado de sade. Regras de iso lamento permitem implementar um estratgia de isolamento para os servidores ou domnios.

Iseno de autenticao: Voc pode usar uma iseno de autenticao para designar exes que no necessitam de autenticao. Voc pode designar computadores por um en dereo IP especfico, um endereo IP intervalo, uma sub-rede, ou um grupo pr-definido como um gateway.

Servidor para Servidor: A regra de servidor para servidor protege as c onexes entre computadores especficos. Este tipo de regra geralmente protege as conexes entre os servidores. Ao cri ar a regra, voc especificar a rede parmetros entre os quais as comunicaes so protegidas. Voc, ento, design ar os requisitos ea autenticao que deseja usar.

Tnel: A regra de encapsulamento permite proteger conexes entre computado res de gateway, e, normalmente, voc us-lo ao conectar atravs da Internet entre dois gateways de segu rana.

Personalizada: Use uma regra personalizada para autenticar conexes entr e dois pontos quando voc no pode definir as regras de autenticao que voc precisa usando as regras de outros d isponveis na nova conexo Regra de Segurana de assistente.

Como as regras de firewall e regras de segurana de conexo so relacionados

As regras de firewall permitir o trfego atravs do firewall, mas no garant ir que o trfego. Para proteger o trfego com IPsec, voc pode criar regras de segurana de conexo. No entanto, quando voc cria u ma regra de segurana de conexo, isso faz no permitir que o trfego atravs do firewall. Voc deve criar uma regra de f irewall para fazer isso, se o trfego no ----------------------- Pgina 425----------- -----------Aumentar a segurana para comunicao de rede 9-13

permitido pelo comportamento do firewall padro. Regras de segurana de conexo no so ap licadas a programas e servios. Eles so aplicados entre os computadores que compem os dois pontos finais. ----------------------- Pgina 426----------- -----------9-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que so modos tnel e dos Transportes?

Terminais de computador so os computadores ou o grupo de computadores q ue formam pares para a conexo. Voc pode especificar um nico computador, um grupo de computadores (como uma sub-rede ou computadores em um endereo IP intervalo), ou um dos computadores predefinidos: Gateway padro, o Windo ws Internet Name Service (WINS) servidores, servidores DHCP, Domain Name System (DNS), ou a sub-rede l ocal. A sub-rede local o coleo de todos os computadores que esto disponveis para este computador, e xceto para os endereos IP pblicos (Interfaces). Isso inclui tanto a LAN sem fio e endereos.

Modo de tnel IPsec protege um pacote IP inteiro tratando-o como um cabea lho de autenticao (AH) ou Encapsulating Security Protocol (ESP) de carga til. Com o modo de tnel, um pacote IP inteiro encapsulado com

um cabealho AH ou ESP e um cabealho IP adicional. Os endereos IP do cabeal ho IP externo so o tnel parmetros, e os endereos IP do cabealho IP encapsulado so a melhor fonte e destino Endereos

ESP criptografa os pacotes e aplica um novo cabealho no criptografados p ara facilitar o roteamento. Alm de fornecer criptografia, ESP no garante a autenticidade dos dados de cabealho.

ESP funes em dois modos, conforme determinado pela funcionalidade necessr ia e da capacidade do IPsec Exrcitos conscientes ou roteadores:

O modo de transporte, em que carga de dados criptografado, mas os dado s do cabealho inalterado. O modo de transporte criptografa os dados entre dois hosts que so IPsec-consciente e ca paz de descriptografar os dados de carga diretamente.

O modo de tnel, no qual todo o pacote original codificado e torna-se a carga de um novo pacote, que depois transmitida entre IPSec roteadores. O modo de tnel IPsec permite-aware roteadores de encapsular e criptografar o trfego de rede no-IPSec h osts, transmiti-lo atravs de uma rede desprotegida e depois decifr-lo para uso na rede de destino p or outras mquinas que no so IPsec-aware. ----------------------- Pgina 427----------- -----------Aumentar a segurana para comunicao de rede 9-15

Escolhendo Requisitos de autenticao

Enquanto estiver usando o assistente de conexo de regra de segurana para criar uma nova regra, voc pode usar a autenticao Requisitos pgina do assistente para especificar como a autenticao aplicado a entrad a e sada

Conexes. Se voc solicitar autenticao, este permite a comunicao quando a autenticao fa . Se voc exigir autenticao, isso faz com que a conexo cair se a autenticao falhar.

Solicitao de autenticao para conexes de entrada e sada

Use a solicitao de autenticao para entrada e sada conexes opo para especificar que to os o trfego de entrada e sada autenticado, mas para permitir a conexo se a autenticao fa lhar. Se

autenticao for bem sucedida, que o trfego protegido. Voc geralmente usa esta opo em q alquer segurana de baixa ambientes ou em um ambiente onde os computadores devem ser capazes de se conecta r, mas no pode executar a tipos de autenticao que est disponvel com o Windows Firewall com segurana avanada.

Exigir autenticao para conexes de entrada e solicitao de autenticao para Conexes de sada

Use a autenticao Exigir para conexes de entrada, e solicitao de autenticao para sada conexes opo se voc quiser exigir que todo o trfego de entrada ou est autenticado ou en to bloqueado. O trfego de sada pode ser autenticada, mas permitido se a autenticao falhar. Se a au tenticao for bem-sucedido

para trfego de sada, que o trfego est autenticado. Voc geralmente usa esta opo na maio ia dos ambientes de TI em que os computadores que precisam de se conectar pode realizar os tipos de autent icao que esto disponveis com Windows Firewall com segurana avanada.

Exigir autenticao para conexes de entrada e sada

Use a autenticao Exigir para entrada e sada conexes opo se voc quiser exigir que todo o trfego de entrada e sada, quer seja autenticado ou ento bloqueado. Voc ge ralmente usa esta opo em maior segurana, ambientes de TI, onde voc deve proteger e controlar o fluxo de trfego, e na qual o computadores que devem ser capazes de se conectar pode executar os tipos de aute nticao que esto disponveis com Windows Firewall com segurana avanada. ----------------------- Pgina 428----------- -----------9-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Escolhendo um mtodo de autenticao

O assistente de conexo de regra de segurana tem uma pgina onde voc pode con figurar o mtodo de autenticao para configurar as credenciais de autenticao utilizados. Se a regra j existe, voc pode usar a autenticao guia da Conexo caixa de dilogo Propriedades de Segurana da regra que voc de seja editar.

Padro

Selecione a opo padro para usar o mtodo de autenticao como configurado na gu ia Configuraes de IPsec de o Firewall do Windows com o Advanced caixa de dilogo Propriedades de Seg urana.

Computador e de Usurio (Kerberos V5)

O computador eo usurio mtodo (Kerberos V5) usa o computador e autenticao do usurio, o que significa que voc pode solicitar ou exigir que o usurio e do comput ador para autenticar antes comunicaes continuar. Voc pode usar o protocolo Kerberos verso 5 autenticao

somente se ambos computadores e usurios so membros de um domnio.

Computador (Kerberos V5)

O Computador (Kerberos V5) mtodo pedidos ou exige que o computador para autenticar usando o Kerberos verso do protocolo de autenticao 5. Voc pode usar o protocolo Ker beros verso 5 autenticao somente se ambos os computadores so membros de um domnio.

Usurio (Kerberos V5)

As solicitaes do usurio (Kerberos V5) ou mtodo exige que o usurio autenticar usando o Kerberos verso 5 protocolo de autenticao. Voc pode usar o protocolo de autenticao Kerberos v erso 5 apenas se o usurio um membro do domnio.

Certificado de Computador

Os pedidos de certificados de computador ou mtodo requer um certificado de computador vlido para autenticar, e voc deve ter pelo menos um CA para fazer isso. Utilize este mtodo se o s computadores no so parte do mesmo AD domnio DS. ----------------------- Pgina 429----------- -----------Aumentar a segurana para comunicao de rede 9-17

Apenas Aceitar certificados de Sade

O Apenas aceitar pedidos de certificados de sade ou mtodo requer um certificado de sade vlido para

autenticar. Os certificados sanitrios declarar que um computador tenha cumprido o s requisitos do sistema de sade, como determinado por um servidor de polticas NAP sade, como todo o software e outras at ualizaes que o acesso rede requer. Estes certificados so distribudos durante o processo de avaliao NAP sade. Uti lize este mtodo apenas para apoiar NAP.

Avanado

Voc pode configurar qualquer mtodo disponvel, e voc pode especificar mtodos para a pr imeira autenticao e Segunda autenticao. Mtodos de autenticao primeiros incluem Computer Kerberos, certifi cado de computador, e uma chave pr-compartilhada (no recomendado). Mtodos de autenticao segundo incluir U surio Kerberos, o Usurio NTLM (Windows NT protocolo de desafio / resposta), os certificados de usurio e ce rtificados de integridade do computador. Mtodos de autenticao segundo so suportados apenas por computadores que esto executand o o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2. ----------------------- Pgina 430----------- -----------9-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar uma regra de segurana de conexo

Esta demonstrao mostra como:

Permitir o trfego ICMP em NYC-SVR1.

Criar um servidor para servidor regra em NYC-SVR1.

Criar um servidor para servidor regra em NYC-CL1.

Testar a regra. ----------------------- Pgina 431----------- -----------Aumentar a segurana para comunicao de rede 9-19

Como funciona o Isolamento de Domnio

Ao configurar regras de segurana adequadas de conexo, voc pode usar o IPsec para co nfigurar Isolamento de Domnio. O isolamento do domnio impe uma situao onde os computadores membros do domnio so isola dos a partir de no-domnio computadores membros. O isolamento do domnio usa um domnio AD DS, associao de domnio e Diretiva de Grupo configuraes para criar e aplicar uma poltica de rede que requer computadores membro s do domnio para aceitar recebidas as solicitaes de comunicao somente de computadores que podem autenticar-se com domnio credenciais. Usando o isolamento de domnio, voc fornece uma camada adicional de pr oteo para sua rede trfego.

O isolamento do domnio:

Restringe ligaes recebidas para computadores membros do domnio

Suplementos de outros mecanismos de segurana que so projetados para evitar que as comunicaes no desejadas

Incentiva a participao no domnio

Protege o trfego entre computadores membros do domnio

Para implantar o isolamento de domnio, defina as configuraes de Diretiva de Grupo p

ara exigir que todas as conexes de entrada pedidos e dados subsequentes ser autenticado e protegido usando o Internet Proto col Security (IPSec); isto fcil de alcanar por meio de regras de segurana de conexo.

Para isolar um domnio, configurar os seguintes componentes:

Um domnio do AD DS

Os computadores membros

Grupo Poltica configuraes

Segurana regras de conexo ----------------------- Pgina 432----------- -----------9-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Em uma implantao simplificada isolamento de domnio, voc pode configurar e ativar uma regra de segurana de conexo que utiliza uma poltica de isolamento. Em seguida, ative a poltica para os recipientes apropriados AD DS, como sites, domnios, e OUs. Os computadores membros nos recipientes do Active Dire ctory para que a Diretiva de Grupo definies se aplicam automaticamente o download das configuraes de Diretiv a de Grupo. Voc tambm pode usar as diretivas IPsec para este propsito, enquanto esta fornece um controle mais granular sobre tipos especficos de trfego a serem isolados, mais complexo para configurar. ----------------------- Pgina 433----------- -----------A umentar a segurana para comunicao de rede 9-21

Lio 3

Configurando IPsec NAP Enforcement

Imposio de NAP para as polticas IPsec para o Firewall do Windows implanta da com um NAP CA, um Registo de Sade Autoridade servidor (HRA), um computador que executa o Network Policy S erver (NPS), e um cliente de imposio de IPsec. O NAP CA emite certificados X.509 com o Sistema nico de Sade OID para cli entes NAP quando eles so determinados para ser compatvel. Estes certificados so ento usados es NAP quando eles iniciam IPsec comunicaes com outros clientes IPsec em uma intranet. para autenticar client

Reforo do IPsec confina comunicao da sua rede de clientes compatveis e for nece a implementao mais forte NAP disponvel. Como este mtodo de imposio de IPsec usa , voc pode definir requisitos para comunicaes seguras por um endereo IP ou por nmero per-TCP/ UDP porta.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como o NAP com a imposio de IPsec para funes lgicas redes.

Explique como o IPSec funciona de imposio de NAP.

Descrever os requisitos para a implantao do NAP com imposio de IPsec. ----------------------- Pgina 434----------- -----------9-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O Reforo do IPsec para redes lgicas

A imposio de IPsec divide uma rede fsica em trs redes lgicas. Um computador um membro de apenas uma rede lgica em qualquer momento. As redes lgicas so definidas p or que os computadores tm sade certificados e os computadores que exigem autenticao IPsec com certifica dos sanitrios para entrada tentativas de comunicao. As redes lgicas para permitir acesso limitado re de e remediao, e fornecer os computadores compatveis com a proteo de computadores no compatv eis.

A imposio de IPsec define as seguintes redes lgicas:

Rede Segura: O conjunto de computadores que tm certificados de sade e ex igir que entrada tentativas de comunicao usam certificados sanitrios para autenticao IP sec. Em uma rede gerenciada, mais computadores servidores e clientes que so membros do domnio do Active Directory seria no proteger a rede.

Rede de Fronteira: o conjunto de computadores que tm certificados de sad e, mas que no exigem que tentativas de comunicao de entrada usar certificados sanitrios para autenticao IPsec. Computadores na rede de limite deve ser acessvel a computadores na rede inteira.

A rede restrita: O conjunto de computadores que no tm certificados de sad e. Isto inclui computadores cliente NAP incompatveis, convidados da rede, ou comp utadores que no so NAP tais como computadores que esto executando verses do Windows que no suportam NAP, Apple Macintosh, ou computadores baseados em UNIX.

Com base nos trs redes lgicas, os seguintes tipos de comunicaes iniciadas so possveis.

Rede Segura

Computadores na rede segura pode iniciar comunicaes com computadores em todos os trs lgica redes. Comunicaes iniciadas a computadores na rede segura ou rede de lim ite so autenticados com IPsec e certificados de sade. Comunicaes iniciou a compu tadores no restrito rede no so autenticados com IPsec. ----------------------- Pgina 435----------- -----------Aumen tar a segurana para comunicao de rede 9-23

Computadores da rede segura aceitar comunicaes iniciadas a partir de computadores n o seguro e redes de fronteira que IPsec autentica, mas no aceitar comunicaes iniciadas a partir de computadores na rede restrita.

Por exemplo, um computador cliente da rede segura pode solicitar uma pgina a part ir de um servidor da Web no proteger a rede. No entanto, um computador cliente na rede restrita no pode. Voc p ode configurar o requisitos de comunicao iniciado em uma base porta TCP ou UDP para limitar o trfego especfico. Por exemplo, possvel exigir a autenticao IPsec com certificados sanitrios para Remote Procedure C all (RPC) trfego, mas o trfego no web. Neste caso, um computador de cliente na rede restrita poderia requerer uma pgina de um servidor web na rede segura, mas no ser capaz de usar RPC para se cone ctar ao mesmo Servidor

Rede de Fronteira

Computadores da rede de limite pode iniciar comunicaes com computadores no seguro ou redes de fronteira que so autenticados com IPsec e certificados sanitrios ou com c omputadores no rede que IPsec no autentica restrito.

Computadores da rede de limite vai aceitar comunicaes iniciadas em computadores na segurana e redes de fronteira que so autenticados com IPsec e certificados de sade, e de co mputadores em a rede restrita que o IPsec no autentica.

Membros da rede de contorno tipicamente consistem apenas no HRA e servidores de remediao NAP. Servidores em a rede de limite deve ser acessvel a partir de clientes NAP incompatveis na rede r estrita a desempenhar funes de remediao iniciais e obter certificados de sade. Alm disso, eles d evem ser acessveis a partir de computadores compatveis na rede segura para executar funes de remediao em curso, renovar sade certificados, e gerenciar os computadores na rede de limite).

Um computador um membro da rede segura ou limite para o tempo especificado na sad e perodo de validade do certificado. Antes do certificado sanitrio expirar, o client e protegidas por IPsec NAP contatos o HRA para obter um novo certificado sanitrio. Voc pode configurar o tempo de vali dade dos certificados de sade em o HRA. Ele normalmente se estende por horas ao invs de anos, no caso de certifica dos de computador ou usurio.

Rede restrita

Computadores na rede restrita pode iniciar comunicaes com computadores no restrito e redes de contorno. Computadores na rede restrita no pode iniciar comunicaes de comp

utadores em a rede segura, a menos que eles esto autorizados especificamente por meio das con figuraes de diretiva IPsec do seguro computadores rede.

Computadores na rede restrita pode aceitar comunicaes iniciadas a partir de comput adores em todas as trs redes lgicas. ----------------------- Pgina 436----------- -----------9-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como IPsec NAP Enforcement funciona

Para obter um certificado de sade e se tornar um membro de rede segura, um cliente NAP utilizando IPsec execuo inicia-se na rede e usa o seguinte processo:

1. Quando o computador iniciado, o firewall baseado em host est habil itado, mas no permite qualquer exceo, de modo que nenhum outro computador pode iniciar comunicaes com ele. Neste ponto, o computador est no restringido rede porque ele no tem um certificado de sade. O comput ador pode se comunicar com outros computadores nas redes restritas e de fronteira, e pode ac essar a Internet. No entanto, ele no pode iniciar comunicaes com computadores da rede do seguro.

2.

O cliente NAP obtm acesso rede e uma configurao de endereo IP.

3. O cliente de imposio de IPsec NAP (CE) envia suas credenciais e Dec larao de sistema de sade (SSoH) para o HRA usando Hypertext Transfer Protocol (HTTP) ou HTTP prot egido Secure Sockets Layer (SSL) sesso.

4. O HRA passa a SSoH para o servidor de polticas NAP sade em um Remot e Authentication Dial-In Usurio Service (RADIUS) mensagem Access-Request.

5. O servio NPS no servidor NAP poltica de sade recebe o RADIUS mensage m Access-Request, extrai o SSoH, e passa para o componente de servidor NAP Administ ration.

6. O servidor de administrao NAP recebe o SSoH e encaminha as Demonstr aes de Sade (SoHs) para Os validadores do sistema de sade adequados (SHVs).

7. Os SHVs analisar seus SoHs e voltar Declarao de respostas de sade (S oHRs) para o PAN Servidor da Administrao.

8.

O servidor de administrao NAP passa os SoHRs ao servio NPS.

9. O servio NPS compara os SoHRs para as polticas de sade configurados e cria o Sistema Declarao de Resposta de Sade (SSoHR). ----------------------- Pgina 437----------- -----------Aument ar a segurana para comunicao de rede 9-25

10. O servio NPS constri e envia uma mensagem Access-Accept RADIUS com o SSoHR co mo um RADIUS atributo especfico do fornecedor (VSA) para o HRA.

11. O HRA envia a volta SSoHR ao NAP IPsec CE. Caso o cliente NAP compatvel, o H RA tambm emite um certificado de sade.

O cliente NAP remove todos os certificados sanitrios existentes, se necessrio, e a diciona a sade recm-emitido certificado para o seu armazenamento de certificados do computador. Os NAP IPsec CE configura configuraes de IPsec para autenticar usando o certificado de sade para comunicaes protegidas por IPsec e configura o fir ewall baseado em host para permitir que as comunicaes recebidas a partir de qualquer ponto que usa um certifi cado de sade para autenticao IPsec. O Cliente NAP agora pertence rede segura.

O NAP IPsec CE executa os passos de 3 a 11, sempre que novas informaes SoH chega a o agente NAP ou quando o certificado de sade est prestes a expirar.

Cliente NAP incompatveis

Se o cliente NAP incompatvel, o cliente NAP no tem um certificado de sade e no pode iniciar comunicao com computadores na rede segura. O cliente NAP realiza a remediao seguinte processo para se tornar um membro de rede segura:

1.

O NAP IPsec CE passa a SSoHR ao agente NAP.

2.

O agente de NAP passa os SoHRs na SSoHR ao SHAs apropriado.

3. Cada SHA analisa a sua SoHR e, com base no contedo, realiza a recuperao confor me necessrio para corrigir o estado do cliente NAP do sistema de sade.

4.

Cada SHA que a correo necessria passa um SoH atualizado para o agente NAP.

5. O agente NAP recolhe os SoHs atualizados de todos os SHAs remediao que necessr io, cria uma

SSoH novo, e passa para o NAP IPsec CE.

6. O NAP IPsec CE usa HTTP ou HTTP protegido por sesso SSL para enviar seu SSoH novo para o HRA.

7. O HRA recebe o SSoH e envia para o servidor de polticas NAP sade em um RADIUS Access-Request mensagem.

8. O servio NPS no servidor NAP poltica de sade recebe o RADIUS mensagem Access-R equest, extrai o SSoH, e passa para o servidor de administrao NAP.

9. O servidor de administrao NAP recebe o SSoH e encaminha os SoHs aos SHVs apr opriadas.

10. Os SHVs analisar o contedo de seus SoHs e SoHRs retorno ao servidor de admin istrao NAP.

11. O servidor de administrao NAP passa os SoHRs ao servio NPS.

12. O servio NPS compara os SoHRs para o conjunto configurado de polticas de sade e cria a SSoHR.

13. O servio NPS constri e envia uma mensagem Access-Accept RADIUS contendo o SSo HR ao HRA.

14. O HRA recebe a mensagem Access-Accept RADIUS, extrai o SSoHR, e envia para o PAN cliente usando HTTP ou o HTTP sobre SSL sesso. Como o cliente NAP agora comp atvel, o HRA questes do cliente NAP um certificado sanitrio. ----------------------- Pgina 438----------- ------------

9-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Implantando NAP com IPsec Enforcement

Para implantar a NAP com IPsec e HRA, voc deve configurar o seguinte:

1. Instalar e configurar os Servios de Certificados do Active Directo ry (AD CS) e modelos de certificados.

2. No NPS, configure a diretiva de solicitao de conexo, a poltica de red e, ea poltica de sade NAP. Voc pode configurar estas polticas individualmente usando o console do NPS, ou voc pode usar o Network Access novo Proteo assistente.

3. Habilite o cliente de imposio NAP IPsec eo servio NAP em computadore s cliente NAP.

4. Instalar e configurar o HRA no computador local ou em um servidor computador remoto.

5. Configurar a Diretiva de Grupo e quaisquer outras configuraes que s ua implantao requer.

6. Configure o Windows Security Health Validator (WSHV), ou instalar e configurar outro sistema agentes de sade (SHAs) e validadores do sistema de sade (SHVs), dep endendo a sua implantao NAP.

Para o servidor HRA, voc precisa configurar o seguinte:

Instale o NPS no computador que est executando o HRA.

Configurar o NPS no servidor HRA como um proxy RADIUS para encaminhar solicitaes de conexo para o NPS

Servidor ----------------------- Pgina 439----------- -----------Aum entar a segurana para comunicao de rede 9-27

Lio 4 Monitoramento e Resoluo de Problemas de IPsec

Depois de ter habilitado e configurado IPsec, importante que voc saiba c omo monitorar, e se necessrio, solucionar problemas de IPsec.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como monitorar IPsec usando o Windows Firewall com segurana av anada.

Explique como monitorar IPsec usando o Monitor de segurana IP.

Discutir como solucionar problemas de conexes IPsec. ----------------------- Pgina 440----------- -----------9-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Monitoramento IPsec usando o Windows Firewall com Segurana Avanada

Firewall do Windows com Segurana Avanada um stateful, firewall baseado e m host que bloqueia a entrada e as conexes de sada com base em sua configurao. Enquanto um tpico usurio fina l configurao do Windows Firewall

ainda ocorre atravs da ferramenta do Painel de Controle do Firewall do Windows, configurao avanada agora tem lugar em um snap-in chamado Windows Firewall com segurana avanada.

A incluso deste snap-in no s fornece uma interface para configurar o Fire wall do Windows localmente, mas tambm para a configurao do Firewall do Windows em computadores remotos e por meio da Diretiva de Grupo. Funes de firewall agora se integrar com configuraes de IPsec de proteo, reduzindo a possibil idade de conflito entre os dois mecanismos de proteo.

Firewall do Windows com opes avanadas de monitoramento de segurana

Voc pode usar o Firewall do Windows com Segurana Avanada do console para monitorar as polticas de segurana que voc criar no n de conexo regras de segurana. No entanto, voc no pode ver as polt icas que voc cria usando o IP Security Policy snap-in. Estas opes de segurana so para uso com o Windo ws Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2. Para os sistemas operacionais ma is antigos (como o Windows XP e Windows 2000), voc deve usar o Monitor de segurana IP para ver SAs e con exes.

Regras de monitoramento de segurana de conexo

A pasta de segurana de conexo lista todas as regras de segurana habilitad os para conexo com informaes detalhadas sobre suas configuraes. Regras de segurana de conexo definem qual a troca de autenticao, chave, integridade de dados ou criptografia, voc pode usar para formar uma SA. O SA define a segura na que usado para proteger o comunicao do emissor para o receptor.

Monitoramento Associaes de Segurana

A pasta de Segurana Associaes lista todos o modo principal e modo rpido co m informaes detalhadas sobre as suas configuraes e pontos de extremidade. ----------------------- Pgina 441----------- -----------Aumentar a segurana para comunicao de rede 9-29

Modo principal

Estatsticas de modo principal fornecem dados sobre o nmero total de SAs criado, pa ra alm invlido pacote informaes.

Modo Rpido

Modo rpido fornece informaes mais detalhadas sobre as ligaes. Se voc est tendo problem s com um IPsec conexo, as estatsticas de modo rpido pode fornecer informaes sobre o problema. ----------------------- Pgina 442----------- -----------9-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Monitoramento IPsec usando o IP Security Monitor

Voc pode implementar o Monitor de segurana IP, como um snap-in, e isso i nclui aprimoramentos que permitem visualizar detalhes sobre uma diretiva IPsec ativa que aplicado pelo d omnio ou localmente. Alm disso, voc pode visualizar de modo rpido e as estatsticas de modo principal, e ativ o IPsec SAs. Monitor de segurana IP tambm permite que voc para pesquisar o principal modo especfico ou filtros de modo rpido. Para solucionar problemas de projetos de polticas complexas IPsec, voc pode usar o Monitor de segurana IP para pesquisar todos os jogos para f iltros de um tipo de trfego especfico.

Alterar configuraes padro

Voc pode mudar o IP de segurana configuraes de monitor padro, tais como a a tualizao automtica eo nome de domnio Sistema de resoluo de nomes (DNS). Por exemplo, voc pode especificar o te mpo que decorre entre IPsec dados refresca.

Alm disso, voc pode ativar a resoluo de DNS para os endereos IP que voc est onitorando. Note-se que existem algumas questes a considerar quando ativar DNS. Por exemplo, el e funciona apenas em uma viso especfica do filtro de modo rpido e em vista de SAs de modo rpido e monitoramento de modo pr incipal. H tambm a possibilidade que pode afetar o desempenho do servidor se vrios itens na exibio requere m resoluo de nomes. Finalmente, a resoluo de DNS nome de registro requer um registro de ponteiro apropri ado (PTR) no DNS.

Adicionando um computador para monitorar

Voc pode monitorar computadores remotamente a partir de um nico console, mas voc deve modificar um valor do Registro para que o sistema remoto aceita uma conexo de console.

Definir o HKLM \ system \ currentcontrolset \ services \ policyagent \ valor do Registro EnableRemoteMgmt a 1 impede que o "servio IPsec no est em execuo" erro quando voc gerenciar um co mputador remotamente.

Obteno de informaes sobre a Poltica Ativa

Voc pode obter informaes bsicas sobre a atual poltica de segurana IP no n de poltica activa de o IP

Segurana Monitoramento MMC. Isso til durante a soluo de problemas para ide ntificar qual a poltica est sendo aplicada para o servidor. Informaes como a localizao poltica e quando ele foi modifi cado pela ltima fornecer detalhes importantes ----------------------- Pgina 443----------- -----------Aumen tar a segurana para comunicao de rede 9-31

quando voc est determinando a poltica atual no lugar. Alm disso, use o seguinte coma ndo para identificar polticas instalados: netsh ipsec gpoassignedpolicy mostra esttica.

SA de modo principal e modo rpido SA

O modo principal o SA inicial que estabelecida entre dois computadores. Este neg ocia um conjunto de criptogrficas suites de proteco entre os dois hosts. Este SA inicial permite troca de chaves de modo rpido para ocorrer em um ambiente protegido. A SA de modo principal tambm conhecido como o I nternet Security Association e Key Management Protocol (ISAKMP) ou Fase 1 SA. Modo principal estabelece o amb iente seguro a troca chaves de outros como exigido pela poltica de IPsec.

A SA de modo rpido depende do sucesso do estabelecimento de uma SA de modo princi pal. A SA de modo rpido tambm conhecido como um IPsec ou 2 Fase SA. Este processo estabelece teclas com base n a informao de que a poltica especifica. SAs de modo rpido estabelecer canais de transmisso protegidos para os dados reais da aplicao IP como especificado na aplice. ----------------------- Pgina 444----------- -----------9-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Soluo de problemas IPsec

Use o seguinte processo para solucionar IPsec:

1. Pare o Agente de Diretiva IPsec e use o comando ping para verific ar as comunicaes.

2.

Verifique as configuraes do firewall.

3. Inicie o Agente de Diretiva IPsec e usar o Monitor de segurana IP para determinar se existe uma associao de segurana.

4.

Verifique se as polticas so atribudos.

5.

Rever as polticas e assegurar que eles so compatveis.

6. as.

Use o Monitor de segurana IP para garantir que as alteraes so aplicad

Consideraes adicionais para soluo de problemas IPsec incluem a verificao da configurao de firewall e habilitando o log IKE.

Verificando a configurao de rede IP

Problemas surgem freqentemente com IPsec porque um de seus servios depen dentes afetado. Alguns servios bsicos necessrios incluem conectividade de rede com controladores de domnio, servidores D NS e cliente-servidor conectividade caminho para IPsec protocolos relacionados. Pare o Agente de Diretiva IPsec, e, em seguida, teste a conectividade ea disponibilidade do servio. Voc pode usar o Ping, Net View, e telnet para testar a conectividade co m esses servidores.

Verificando apropriadas Configuraes do Firewall do local e externo

Verificar as regras de firewall no Windows Firewall com Segurana Avanada do MMC revela regras que esto em usar, e identifica protocolos de bloqueio e erros de configurao possveis para as regras de segurana de conexo. Lembre-se que as regras especificadas no console Diretiva de Segurana I P no aparecer no Windows Firewall com Snap-in Segurana Avanada.

Verificando Diretiva de Grupo e IPsec Poltica

Para verificar a correcta aplicao da Diretiva de Grupo e poltica IPsec no cliente e no servidor, voc pode usar Conjunto de polticas resultante (RSoP) snap-in para visualizar a poltica aplicada. Verifique se o computador est dentro do ----------------------- Pgina 445----------- -----------Aumentar a segurana para comunicao de rede 9-33

mbito da Diretiva de Grupo que foi aplicado ao objeto de Diretiva de Grupo (GPO), e garantir que o computador est no GPO correto para receber a diretiva IPsec.

Assegurar a compatibilidade Poltica

Rever as polticas e garantir que eles so compatveis. O cliente eo servidor deve ter complementando polticas de segurana no lugar, e importante assegurar que as polticas trabalhar jun tos corretamente.

Consideraes adicionais

Consideraes adicionais para soluo de problemas IPsec incluem:

Verifique a configurao do firewall:

Assegurar que User Datagram Protocol (UDP) 500 e 4500 no est bloqueada.

Certifique-se que o IPsec trfego protegido (protocolo IP 50 e 51) no est bloqu eada, e garantir que o dispositivos de rede de suporte IPsec.

Quando a informao mais detalhada necessria, habilitar (defina o HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ Oakley \ configurao do registr o EnableLogging a 1) e analisar a Oakley.log:

armazenado na pasta% systemroot% \ Debug \ pasta

Mximo de 50.000 linhas

Quando voc solucionar eventos IKE, certifique-se que ambos os computadores tm as d efinies de tempo mesmo. ----------------------- Pgina 446----------- -----------9-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Laboratrio: Aumentar a segurana para comunicao em rede

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1.

No computador host, clique em Iniciar, aponte para Ferramentas ad

ministrativas e, em seguida, clique em Hyper-V Manager.

2. m Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique e

3. mea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual co

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

Cenrio Lab

Contoso Ltd. implementou uma aplicao de nova pesquisa baseada na web que contm confidencial

informao, tais como a informao de produto. A aplicao protegida por utilizad res de autenticao usando um nome de usurio e senha. Para aumentar a segurana, o diretor de Pesquisa quer que o aplicativo seja acessvel apenas a partir de computadores no Departamento de Pesquisa.

Para atender aos requisitos especificados pelo diretor de Pesquisa, vo c vai criar uma regra de segurana de conexo que autentica os computadores do departamento de Research. Ento, voc vai criar uma regra de firewall que garante que somente computadores autenticados do Departamento de Inves tigao pode acessar o aplicativo.

Para este projeto, voc deve completar as seguintes tarefas:

Configure o IPsec para autenticar a comunicao de rede para um aplicativo . ----------------------- Pgina 447----------- -----------Aumentar a segurana para comunicao de rede 9-35

Teste de implementao de IPsec para autenticar a comunicao de rede para um aplicativo .

Exerccio 1: Seleo de uma configurao de segurana de rede

Remoto

Neste exerccio, voc vai ler a documentao de apoio e depois responda s perguntas no seo de propostas.

As principais funes para este exerccio so como se segue:

1.

Leia o documento de Pesquisa segurana do aplicativo.

2.

Atualizar o documento de proposta com seu curso de ao planejada.

3.

Examine as propostas sugeridas na chave Resposta Lab.

Tarefa 1: Leia o documento de Pesquisa segurana do aplicativo

Leia a pesquisa documental segurana do aplicativo.

Tarefa 2: Atualize o documento de proposta com seu curso planejado de ao

Responda s perguntas do documento de segurana Pesquisa aplicao.

Pesquisa de segurana do aplicativo

Nmero de Documento de Referncia: GW1605 / 1

Documento Autor Charlotte Weiss Data 16 de Maio

Viso geral Requisitos Contoso Ltd. implementou uma aplicao de nova pesquisa baseada na web que con tm confidencial informao, tais como a informao de produto. Para melhorar a segurana, voc deve: 1. Crie uma regra de segurana de conexo que autentica os computadores d o departamento de Research. 2. Crie uma regra de firewall que garante apenas computadores autenti cados do Departamento de Investigao pode acessar o aplicativo.

Informaes Adicionais 1. 2. O aplicativo existe em NYC SVR1. O aplicativo no est configurado para usar SSL.

3. NYC NYC-SVR1 e-CL1, ambos os computadores no Departamento de Pesqu isa, so armazenados no AD DS Computadores recipiente.

Propostas 1. 2. 3. Como voc vai realizar uma exigncia? Como voc vai realizar requisito 2? Existem quaisquer tarefas adicionais que voc deve executar?

Tarefa 3: Examine as propostas sugeridas na chave Resposta Lab

Compare a sua soluo para a soluo proposta no documento de segurana Research aplicao Lab Key Resposta. Esteja preparado para discutir a sua soluo com a classe.

Resultados: No final deste exerccio, voc ter selecionado uma configurao IPsec adequad o para apoiar o necessidades do Departamento de Pesquisa. ----------------------- Pgina 448----------- -----------9-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: Configurando IPsec para autenticar computadores

Remoto

Neste exerccio, voc ir implantar e configurar um firewall e regra de segu rana de conexo para atender a exigncias do Departamento de Pesquisa.

As principais funes para este exerccio so como se segue:

1.

Mova o NYC NYC-SVR1 e-CL1 computadores para a UO Research.

2.

Crie uma GPO e link para a UO Research.

3.

Criar a regra de segurana exigida conexo.

4.

Criar a regra de firewall.

5.

Atualizar a Diretiva de Grupo nos computadores clientes.

Tarefa 1: Mova o NYC NYC-SVR1 e-CL1 computadores para a UO Pesquisa

1.

Mudar para NYC DC1.

2.

Abra o Active Directory Users and Computers.

3. Research.

Mova-CL1 e NYC NYC-SVR1 dos computadores embutido no recipiente UO

Tarefa 2: Criar uma GPO e link para a UO Pesquisa

1.

Abra o Gerenciamento de Diretiva de Grupo.

2. Criar e vincular um GPO novo chamado Departamento de Pesquisa Polti ca de Segurana de Aplicaes para o OU Research.

Tarefa 3: Criar a regra de segurana exigida conexo

1.

Abrir Departamento de Investigao de Segurana de aplicativos para edio.

2. No Editor de Gesto de Polticas, navegue at Configurao do computador> Po lticas> Windows

Configuraes> Configuraes de Segurana> Windows Firewall com segurana avan da> Firewall do Windows com Segurana Avanada - LDAP :/ / CN = {GUID}> Regras de segurana de c onexo.

3. des:

Crie uma regra de segurana de nova conexo com as seguintes proprieda

Tipo de Regra: Custom

Os pontos de extremidade: Padro

Requisitos: exigir autenticao para conexes de entrada e de autenticao p edido para conexes de sada

Mtodo de autenticao: Computador e usurio (Kerberos V5)

Protocolo e Portas: Endpoint 1: a porta TCP 80, Endpoint 2: padro

Perfil: Domnio

Nome: Departamento de Pesquisa Aplicao regra de Segurana ----------------------- Pgina 449----------- -----------Aumentar a segurana para comunicao de rede 9-37

Tarefa 4: Criar a regra de firewall

Criar uma nova regra de firewall de entrada com as seguintes propriedades:

Tipo de Regra: Custom

Programa: Default

Protocolo e Portas: porta Local: TCP 80

Alcance: padro

Aco: Permitir a conexo se for segura: Permitir a conexo se for autenticado e integridade protegida

Usurios: Padro

Computadores: s permite conexes a partir desses computadores: NYC-NYC-CL1; SV R1

Perfil: Domnio

Nome: Departamento de Pesquisa regra Application Firewall

Tarefa 5: Atualizar a Diretiva de Grupo em computadores cliente

1.

Mudar para NYC-CL1.

2.

Abra um comando, digite gpupdate / force e pressione ENTER.

3.

Reinicie o computador.

4.

Mudar para NYC-SVR1.

5.

Abra um comando, digite gpupdate / force e pressione ENTER.

6.

Reinicie o computador.

Resultados: No final deste exerccio, voc configurou com sucesso a regra de segurana e conexo regra de firewall que so necessrios para garantir a aplicao departamento de Investig ao. ----------------------- Pgina 450----------- ------------

9-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Teste de IPsec Autenticao

Remoto

Neste exerccio, voc vai verificar que somente usurios autorizados podero s e conectar Pesquisa aplicao e conexes de monitor IPsec usando o Windows Firewall com segurana avanada e Segurana IP Monitor

As principais funes para este exerccio so como se segue:

1.

Tentar se conectar ao servidor web em NYC-SVR1.

2.

Verifique as configuraes do Windows Firewall com segurana avanada.

3.

Verifique as configuraes com o Monitor de segurana IP.

Tarefa 1: Tentativa de conexo com o servidor web em NYC-SVR1

1.

Mudar para NYC-CL1.

2.

Faa logon usando a seguinte informao:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

3. Abra o Internet Explorer e tentar abrir a pgina em http://nyc-svr1 . Isto bem sucedido.

Tarefa 2: Verifique as configuraes do Windows Firewall com Segurana Avanad a

1.

Firewall do Windows aberta com Segurana Avanada.

2.

Monitoramento Aberto> Associaes de Segurana> Modo Principal.

3.

Clique duas vezes em todas as associaes listadas.

Qual o primeiro mtodo de autenticao?

4.

Expandir Modo Rpido.

5.

No painel direito, d um duplo clique no item listado.

Qual a porta remota?

Tarefa 3: Verifique as configuraes com o Monitor de segurana IP

1. Abra um novo console de gerenciamento e adicionar o Monitor de se gurana IP snap-in.

2. gurana.

Segurana IP aberto Monitor> NYC-CL1> Modo Principal> Associaes de Se

3.

No painel direito, d um duplo clique no item listado.

Qual o mtodo de criptografia?

Resultados: No final deste exerccio, voc vai ter verificado as definies de IPsec.

Preparando-se para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

----------------------- Pgina 451----------- -----------A umentar a segurana para comunicao de rede 9-39

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em segui da, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 452----------- -----------9-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Voc precisa garantir que a passagem de trfego entre um computador na rede de permetro e uma implantado na rede interna criptografado e autenticado. O computad or do permetro

no um membro da sua floresta do AD DS. Que mtodos de autenticao voc pod eria usar se voc tentasse estabelecer uma regra de segurana de conexo entre esses dois computa dores?

2. Para habilitar o NAP com a imposio de IPsec, que polticas devem confi gurar no seu servidor NPS?

3. Voc responsvel por monitorar computadores que esto participando de um a rede IPsec protegido. Voc quero fazer isso remotamente, mas esto tendo dificuldade em se cone ctar a computadores remotos a partir do IP Console de Segurana Monitor. O que voc precisa que eu faa?

Ferramentas

Usar a ferramenta para Onde encontr-lo

Vendo Monitor de Segurana IP e verificar IPsec console de gerenciamen to de polticas

Gpupdate.exe Uso para GPO refrescante de linha de comando

Netsh.exe Configurando configuraes de rede de linha de comando ----------------------- Pgina 453----------- -----------10-1

Mdulo 10

Configurando e solucionando problemas de arquivos de rede e Servios de Impresso

Contedo:

Lio 1: Configurando e solucionando problemas de compartilhamentos de arqu ivos 10-3

Lio 2: Como criptografar arquivos de rede com o EFS 10-12

Lio 3: Criptografando parties com o BitLocker 10-17

Lio 4: Configurando e solucionando problemas de impresso em rede 10-22

Lab: Configurando e solucionando problemas de arquivos de rede e servios de impresso 10-29

----------------------- Pgina 454----------- -----------10-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

Servios de arquivos e de impresso so alguns dos servios de rede mais comum ente implementada para usurios finais. Ao contrrio dos servios de infra-estrutura, como DNS, arquivo e servios d e impresso so altamente visveis para os usurios finais. Voc precisa para entender como configurar e solucionar problemas de servios de arqu ivo e impresso para fornecer servios de alta qualidade para Usurios finais Alm ficheiro de base e os servios de impresso, ambas as EFS e BitLocker pode ser usado para aumentar o segurana dos arquivos que esto localizados em compartilhamentos de arqui vos.

Objetivos

Depois de conclurem este mdulo, voc ser capaz de:

Descrever como gerenciar a segurana de compartilhamento de arquivo.

Explique como criptografar arquivos de rede com EFS.

Descrever como criptografar parties com o BitLocker.

Discutir como configurar e solucionar problemas de impresso em rede. ----------------------- Pgina 455----------- -----------Configurando e solucionando problemas de arquivos de rede e servios de impresso 10-3

Lio 1 Configurando e solucionando problemas compartilhamentos de arquivos

Configurando compartilhamentos de arquivo consiste basicamente em conf igurao de compartilhamento e permisses NTFS para garantir que apenas usurios autorizados tenham acesso aos arquivos. Voc pode otimizar o aces so a arquivos de rede atravs da implementao de Acesso Enumerao baseada em garantir que os usurios so capazes de ver apenas as pa stas que eles tm acesso a dentro de um arquivo partes. Finalmente, o Windows Server 2008 introduz SMB 2.0 como o prot ocolo que usado para compartilhar arquivos. Este protocolo muito mais eficiente do que as verses anteriores do SMB.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os compartilhamentos de arquivos.

Criar um compartilhamento de arquivo.

Descrever as permisses NTFS.

Configurar permisses NTFS.

Explique como solucionar problemas de permisses de acesso rede de arqui vos.

Discutir Access-Based Enumeration.

Descrever os aprimoramentos de acesso a arquivos no Windows Server 200 8. ----------------------- Pgina 456----------- -----------10-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que um compartilhamento de arquivos?

Um dos servios bsicos que os usurios esperam de um arquivo de rede um loc al centralizado para armazenamento de arquivos que todos os usurios autorizados podem acessar. Voc pode criar um armazename nto centralizado de arquivos em uma rede, criando um compartilhamento de arquivos. Um compartilhamento de arquivo uma pasta em um servidor que foi configurado para acesso na rede. Para configurar um compartilhamento de arquivos em um computador que est exe cutando o Windows Server 2008, instalar o servidor do Servio de Arquivo Funo Quando voc instala o arquivo de funo de servidor de servio, o Firewall do Windows est configurado para permitir o compartilhamento de arquivos.

Gerenciamento de Compartilhamento e Armazenamento uma nova ferramenta no Windows Server 2008 que usado para criar e configurar compartilhamentos de arquivos. Voc tambm pode usar a ferramen ta de gesto mesmo computador que estava disponvel no verses anteriores do Windows Server. Finalmente, voc pode criar arquivos de partes em um prompt de comando com

o comando net use.

Compartilhar Permisses de Arquivos

Controlar o acesso a arquivos em um compartilhamento de arquivo, confi gurando permisses de compartilhamento de arquivos. As permisses que so disponvel para ser atribudo variar dependendo de como voc atribuir-lhes.

As propriedades avanadas de compartilhamento de arquivos permite que vo c configure as permisses de compartilhamento sem afetar NTFS Permisses Voc pode permitir ou negar a permisso de compartilhamento segui nte para os usurios ou grupos de usurios:

Controle total

Mudana

Leia

O simplificado arquivo caixa de dilogo partilha introduzido no Windows Server 2008 controles compartilhamento de arquivos e NTFS permisses por meio de uma nica interface. No Windows Server 2008 R2, a p ermisso de compartilhamento Controle total aplicada e permisses NTFS somente so modificadas por este assistente. No Windows Server 2008, o assistente tentou sincronizar as permisses para as permisses de compartilhamento e permisses NTFS. ----------------------- Pgina 457----------- -----------Configurando e soluci onando problemas de arquivos de rede e servios de impresso 10-5

Acessando compartilhamentos de arquivos

Depois de permisses para um compartilhamento de arquivos foram configuradas, os u surios podem comear a armazenar e acessar arquivos. Usurios pode acessar os arquivos a partir dos seguintes locais:

Um caminho UNC

Uma letra de unidade mapeada ----------------------- Pgina 458----------- -----------10-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como criar um compartilhamento de arquivos

Quando voc cria um compartilhamento de arquivos, opes adicionais esto disp onveis alm de configurar a segurana. Voc tambm pode especificar nomes de compartilhamento e configurar vrias opes de cache. E sta demonstrao mostra como:

Crie um compartilhamento de arquivo usando interface simplificada.

Crie um compartilhamento de arquivo usando o compartilhamento avanado.

Configurar o compartilhamento avanado para um compartilhamento de arqui vo. ----------------------- Pgina 459----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-7

O que so permisses NTFS?

As permisses NTFS so usados odificar arquivos e pastas em

para controlar quais usurios ou grupos podem acessar ou m

NTFS formatado parties. Essas permisses so muito mais flexveis do que as permisses de compartilhamento, porque eles

podem ser atribudas individualmente para cada ficheiro ou pasta, conforme necessri o.

Para modificar as permisses NTFS, voc deve ser dado o controle total permisso NTFS para uma pasta ou arquivo. O uma exceo para o arquivo e os proprietrios da pasta. O proprietrio de um arquivo ou pasta pode modificar as permisses NTFS mesmo se eles no tm as permisses NTFS atuais. Administradores so capazes de se aprop riar dos arquivos e pastas para fazer modificaes em permisses NTFS.

Os dois tipos de permisses NTFS so bsicos e avanados. Permisses bsicas so mais comumen e usados. Permisses avanadas NTFS permitem que voc tenha detalhado controle sobre o acesso a arquivos e pastas, mas so complexo de gerir.

As permisses NTFS so bsicas:

Controle total: permite que todas as permisses, incluindo a capacidade de modific ar as permisses NTFS e tomar PROPRIEDADE

Modificar: permite que todos os arquivos e atividades de modificao da pasta exceto a modificao de permisses NTFS e tomar posse.

Ler e Executar: permite a execuo de um arquivo. Quando aplicado a pastas, tambm per mite a listagem de pasta contedo

O contedo da lista de pastas: permite que o contedo de uma pasta para a lista. Iss o se aplica somente a pastas.

Ler: permite a leitura do contedo do arquivo e atributos.

Escrever: permite a modificao do contedo do arquivo e atributos, mas no as permisses NTFS ou de propriedade. Excluso do arquivo tambm no permitido. Para uma pasta, o que permite a criao de novos arquivos na pasta. ----------------------- Pgina 460----------- -----------10-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar permisses NTFS

Esta demonstrao mostra como:

Configurar permisses NTFS.

View avanada permisses NTFS.

Ver as permisses herdadas. ----------------------- Pgina 461----------- -----------Configurando e solu cionando problemas de arquivos de rede e servios de impresso 10-9

Soluo de problemas de acesso rede Permisses de Arquivos

Se um computador cliente est conectado corretamente rede, ento a maioria dos probl emas na rede de acesso de arquivos so relacionado com as permisses configuradas incorretamente. Isto mais provvel de oco rrer para novos utilizadores ou durante o criao de compartilhamentos de arquivos novos.

O primeiro passo de soluo de problemas voc deve realizar a verificao do efetivo permi sses NTFS para o usurio. Se as permisses efetivas no forem os esperados, voc precisa identificar como o usuri

o deve ser atribudo essas permisses. Na maioria dos casos, um grupo atribudo as permisses NTFS adequada s. Verifique se o usurio um membro dos grupos corretos.

Quando voc est avaliando as permisses NTFS, estar ciente de que a permisso negar sub stitui a permitir permisso. Por exemplo, se seu grupo dada a permisso Modificar e um usurio no grupo negado o Modificar a permisso, o usurio ter seu acesso negado.

Se as permisses efetivas NTFS esto corretas, ento voc deve verificar se as permisses de compartilhamento so configurados corretamente. As permisses de compartilhamento podem limitar a capacidade dos usur ios para acessar e modificar arquivos, mesmo se o NTFS apropriado permisses so atribudas. Por exemplo, se um grupo atribudo a permisso de compartilhame nto Leitura e Modify NTFS permisso, os membros do grupo ser limitado a permisso de leitura.

Para simplificar a interao de compartilhamento e permisses NTFS, muitas organizaes at ribuir o grupo Todos Permisso de compartilhamento Controle total. O acesso aos arquivos controlada ape nas por permisses NTFS.

Alguns administradores preferem usar o grupo Usurios autenticados ao invs do grupo Todos para atribuir permisses. Estes so funcionalmente os mesmos, a menos que a conta de conv idado est habilitada. O Visitante conta est includo no grupo Todos, mas no o grupo usurios autenticados.

Pergunta: Se um usurio atribudo permisso de compartilhamento Controle Total e Leitura permisso NTFS, o que permisso ser o usurio tem de acessar os dados no compartilhamento? ----------------------- Pgina 462----------- -----------10-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que Enumerao baseada em acesso?

Enumerao baseada em acesso (ABE) um recurso de compartilhamento de arqui vos no Windows Server 2008 que impede que os usurios de ver arquivos e pastas que eles no tm permisso para acessar. Quando ABE no usado, os usurios ver uma lista de todos os arquivos e pastas no diretrio atual, independ entemente de suas permisses para os arquivos e Pastas

ABE simplifica a navegao de arquivos para os usurios. Tambm evita frustrao c ausada quando os usurios recebem erros quando ao tentar acessar arquivos e pastas que no tm acesso.

Quando voc cria um compartilhamento de arquivos usando a interface simp lificada, ABE automaticamente ativado para um compartilhamento de arquivo. Se voc usar Compartilhamento Avanado, ento ABE no est habilitado. Voc pode ativar e desativar ABE uma parte por utilizando a ferramenta de compartilhamento e armazenamento de gesto a dministrativa. ----------------------- Pgina 463----------- -----------Configurando e solucio nando problemas de arquivos de rede e servios de impresso 10-11

Arquivo Melhorias de acesso no Windows Server 2008

Windows Server 2008 introduziu o Server Message Block (SMB) protocolo 2.0 para c ompartilhamento de arquivos. Este protocolo tambm usado por clientes do Windows Vista.

SMB 2,0 desempenho significativamente melhor em redes lentas devido a um nmero re duzido de pacotes que so necessria para realizar a mesma tarefa, quando comparado com SMB 1. Os pacotes so reduzidos pela seguinte:

A combinao de vrios comandos em um nico pedido

Permitir maior l e escreve

Tambm til em SMB 2.0 o suporte para alas durveis. Isso permite que um cliente que es t usando SMB 2.0 silenciosamente reconectar-se a um servidor de arquivos aps uma interrupo de rede menor. Isto parti cularmente til para sem fios conexes e usurios de acesso remoto.

SMB 2,1

Windows Server 2008 R2 e Windows 7 introduziram o SMB 2,1 protocolo. As verses an teriores do Windows no suportam SMB 2.1. Esta verso do SMB melhora o desempenho com o seguinte:

Cliente bloqueio leasing: Este recurso permite que computadores cliente para exe cutar o bloqueio mais oportunista ao acessar arquivos compartilhados. Isto permite ao cliente armazenar em ca che informaes mais arquivo relacionado e reduzir trfego de rede. Tambm aumenta a escalabilidade de servidores de arquivos.

Suporte a MTU Grande: A Maximum Transmission Unit tamanho (MTU) para SMB 2.1 foi aumentado a partir de 64 KB para 1 MB. Isto permite que at 1 MB a serem transmitidos n um nico pacote. Este significativamente melhora a transferncia de arquivos grandes em alta velocidade redes de baixa latncia, como Ethernet de 10Gbps.

Melhor suporte para os modos de suspenso: Windows 7 computadores agora so capazes de dormir em uma ampla gama de cenrios quando a integridade dos dados no afetado. Por exemplo, quando um arq uivo aberta, mas no h alteraes no salvas.

----------------------- Pgina 464----------- -----------10-12 Infra-estrutura Configurao e Soluo de problemas do Windows Server 2008 Rede

Lio 2 Criptografando arquivos de rede com EFS

Encrypting File System (EFS) pode ser usada para criptografar os arqui vos, incluindo arquivos armazenados em um compartilhamento de rede. importante que voc entenda como funciona a EFS eo processo de recuperao d o EFS se os usurios em sua rede comear a criptografia de arquivos. Se voc no entender como recuperar arquivos criptografados EFS, seu organizao poderia perder o acesso aos dados criptografados.

Objetivos

Aps concluir esta lio, voc ser capaz de:

Descrever Encrypting File System.

Explique como funciona o EFS.

Descrever como recuperar arquivos criptografados EFS.

Criptografar um arquivo usando o EFS. ----------------------- Pgina 465----------- -----------Configurando e solu cionando problemas de arquivos de rede e servios de impresso 10-13

O que o Encrypting File System?

Encrypting File System (EFS) um recurso que pode criptografar arquivos que so arm azenados em uma partio NTFS formatado

partio. Por padro, esta opo est disponvel para todos os usurios. Arquivos em um compa lhamento de arquivos tambm podem ser criptografados por usando EFS.

Depois que um arquivo criptografado usando o EFS, ele s pode ser acessada por usur ios autorizados. Se um usurio est autorizado, em seguida, acessar o arquivo transparente e pode ser aberto como um arquivo no c riptografado. Se um usurio no autorizado, tenta abrir o arquivo ir resultar em uma mensagem de acesso negado.

Criptografia EFS atua como uma camada adicional de segurana, alm de permisses NTFS. Se os usurios so dadas NTFS permisso para ler um arquivo, eles ainda devem ser autorizadas pela EFS para descriptografar o arquivo.

A configurao padro do EFS no requer nenhum esforo administrativo. Os usurios podem com ear a criptografia de arquivos imediatamente e EFS gera automaticamente um certificado de usurio com um par de c haves para um usurio se no e Usando uma autoridade de certificao (CA) para emitir certificado de usurio aument a a capacidade de gerenciamento da certificados.

Voc pode desativar o EFS em computadores clientes usando a Diretiva de Grupo. Nas propriedades da poltica

Configurao do computador \ Policies \ Windows \ Configuraes de Segurana \ Polticas Pbl cas chave \ Sistema de Criptografia de Arquivos, selecione No permitir.

Observao: Se voc no estiver usando certificados de uma autoridade de certific ao e voc quiser permitir que EFS para serem usados em um compartilhamento de arquivo, ento voc deve config urar o arquivo de conta de computador servidor para ser confivel para delegao. Os controladores de domnio so confiveis padro.

para delega

----------------------- Pgina 466----------- -----------10-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como funciona o EFS

EFS usa uma combinao de criptografia de chave pblica e chave simtrica para garantir que os arquivos so protegidos de todos, mas os mtodos mais computacionalmente impraticvel de ataque. U ma chave simtrica usado para criptografar o arquivo. Criptografia de chave pblica usada para protege r a chave simtrica.

A criptografia simtrica usa a mesma chave para criptografar e descripto grafar um arquivo de um arquivo. Este tipo de criptografia mais rpido e mais forte do que a criptografia de chave pblica. No entant o, a dificuldade de garantir a tecla durante uma cruzada transferncia da rede requer segurana adicional para a chave simtrica. A c riptografia simtrica o tpico mtodo de criptografar grandes quantidades de dados.

EFS usa criptografia de chave pblica para proteger a chave simtrica que necessria para descriptografar o contedo do arquivo. Cada certificado de usurio contm uma chave pblica usada para criptografar a chave simtrica e uma chave privada. Somente o usurio com o certificado e sua chave privada pode descriptogr afar a chave simtrica.

O processo de criptografia de arquivos descrito da seguinte forma:

1. Quando um usurio criptografa um arquivo, o EFS gera uma chave de c riptografia de arquivo (FEK) para criptografar os dados. A FEK criptografada com a chave pblica do usurio e da FEK criptografado e nto armazenado no arquivo. Isto assegura que somente o usurio que detm a chave de criptografia correspondent e EFS privada pode descriptografar o arquivo. Depois de uma usurio criptografa um ficheiro, o ficheiro encriptado permanece d

urante o tempo que ele armazenado no disco.

2. Para descriptografar arquivos, o usurio pode abrir o arquivo, remo ver o atributo de criptografia, ou descriptografar o arquivo usando o comando cipher. Quando isso ocorre, o EFS descriptograf a a FEK com a chave privada do usurio, e ento descriptografa os dados usando o FEK.

Nota Alm para o utilizador de que os codificados de arquivo, cpia s adicionais do simtrica chave so criptografadas com a chave pblica do agente de recuperao e outros usurios autorizados. ----------------------- Pgina 467----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-15

EFS recuperao de arquivos criptografados

Se a chave privada de um usurio que um arquivo criptografado usando o EFS perdido por qualquer motivo, ento voc precisa de um mtodo de recuperao do arquivo EFS encriptados.

A chave privada parte de um certificado de usurio que usada para criptografia. Fa zer o backup de um certificado de usurio fornece um mtodo para a recuperao de arquivos criptografados EFS. O certificado de usurio pode ser importado para outro perfil e ser usado para descriptografar o arquivo. No entanto, este mtodo de difci l aplicao quando h muitos usurios. O melhor mtodo a implementao de um agente de recuperao.

Um agente de recuperao um indivduo que est autorizado a descriptografar todos os arq uivos criptografados EFS. A recuperao padro agente o administrador de domnio. No entanto, esta pode ser delegada a qualquer u surio.

Quando um novo agente de recuperao adicionado atravs da Diretiva de Grupo, ele auto maticamente adicionado a todos os recmarquivos criptografados. No entanto, no automaticamente adicionado ao existentes arquivos criptografados. O agente de recuperao de uma arquivo definido no momento em que o arquivo criptografado. Portanto, um arquivo criptografado deve ser acessado e guardado atualizar o agente de recuperao. Voc tambm pode usar o comando cipher para forar o ag ente de recuperao a ser atualizado.

O certificado para um agente de recuperao deve sempre ser exportado com a chave pr ivada e mantida em um seguro local para apoi-la. As duas razes para fazer backup da chave de recuperao so:

Para proteger contra falhas do sistema. A chave de administrador de domnio que us ado por padro para o EFS recuperao armazenado apenas no primeiro controlador de domnio no domnio. Se alg uma coisa acontecesse com este controlador de domnio, ento a recuperao EFS seria impossvel.

Para fazer a chave de recuperao porttil. A chave de recuperao no est automaticamente sponvel para a recuperao agente em todos os computadores. A chave de recuperao deve ser instalado no p erfil do agente de recuperao. Se o roaming perfis no so usados, em seguida, exportar e importar a chave de recuperao um mto do para atualizar o perfil de agente de recuperao em um computador particular. ----------------------- Pgina 468----------- -----------10-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como criptografar um arquivo usando o EFS

Esta demonstrao mostra como:

Verifique se uma conta de computador suporta EFS em um compartilhament

o de rede.

Use o EFS para criptografar um arquivo em um compartilhamento de rede.

Ver o certificado que usado para criptografia.

Testar o acesso a um arquivo criptografado. ----------------------- Pgina 469----------- -----------Configurando e s olucionando problemas de arquivos de rede e servios de impresso 10-17

Lio 3 Criptografando parties com o BitLocker

BitLocker um novo recurso introduzido no Windows Server 2008 para cript ografar os dados armazenados em um determinado partio. BitLocker transparente para os usurios que acessam um compartilham ento de arquivo. Se voc usar o BitLocker para proteger os dados em servidores de rede, importante que voc entenda como recuperar dados de u m BitLocker criptografado Drive O planejamento adequado garante que voc capaz de recuperar os dado s sem a restaurao do backup.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o BitLocker.

Explique como funciona o BitLocker.

Descrever como recuperar uma unidade BitLocker criptografada.

Criptografar uma partio usando o BitLocker. ----------------------- Pgina 470----------- -----------10-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que o BitLocker?

O BitLocker uma funcionalidade do Windows Server 2008 que permite cri ptografar parties inteiras. O primrio finalidade de BitLocker proteger os dados de um disco rgido que tenha sido removida a partir de um servidor, mas tambm protege a integridade dos arquivos de inicializao.

O BitLocker pode ser til para qualquer servidor, mas principalmente pa ra escritrios remotos com a segurana fsica limitada para servidores. Alguns dos benefcios da BitLocker so como se segue:

proteo de dados para unidades roubadas: servidores de arquivos Mesmo s ve zes so roubadas de um local fsico. Quando o BitLocker usado, a senha da conta Administrador local no pode ser redefinida por meio de boot utilitrios

o transporte seguro dos servidores pr-configurados: o BitLocker protege os dados armazenados em servidores que esto sendo enviado da mesma maneira que protege os dados em servidores roub ados.

Mais fcil desmantelamento de unidades: Os dados em um disco BitLocker c riptografado no pode ser acessado por mont-lo em outro computador. Isto reduz significativamente o risc o associado com a eliminao de uma falha disco rgido ou unidades de reaproveitamento.

Manter a integridade do sistema: Quando o BitLocker est ativado, os arq uivos de inicializao do Windows Server 2008 so monitorizados. Se os arquivos de inicializao so modificados, ento o sistema no ser iniciado. Isso impede que um rootkit de ser instalado na partio criptografada que usado durante a inici alizao.

Windows Server 2008 R2 tambm inclui o BitLocker to Go, que capaz de cri ptografar discos USB externos. A unidade criptografada est protegido por uma senha ou carto inteligente . Isto pode ser til para o transporte de dados para uma escritrio remoto. ----------------------- Pgina 471----------- -----------Configurando e soluc ionando problemas de arquivos de rede e impresso Servios 10-19

Como funciona o BitLocker

Para habilitar o BitLocker, um servidor deve ter pelo menos duas parties. O volume do sistema contm os arquivos de inicializao para o Windows Server 2008 eo volume de inicializao contm os arquivos do sistema op eracional. Windows Server 2008 R2 cria automaticamente este tipo de estrutura de partio durante a instalao, a menos que uma autnoma arquivo de instalao fornece instrues alternativas.

BitLocker usa chaves de criptografia para proteger vrias as parties que o BitLocker foi ativas. O chave que usada para criptografar a partio a chave de criptografia de volume compl eto (FVEK). Aps a FVEK para um partio criada, ela no muda, porque levaria muito tempo para re-criptografar a partio.

Cada FVEK criptografada e armazenada nos metadados do volume encriptado. Os FVEK s so criptografados com a chave mestra de volume (VMK). A VMK necessria durante a inicializao para desc riptografar os volumes e permitir

Windows para iniciar.

Uma cpia criptografada da VMK armazenado na partio do sistema. A VMK criptografada por uma chave que normalmente armazenados em um Trusted Platform Module (TPM). A TPM um chip em um a placa de sistema de computador para armazenamento de chaves de criptografia e certificados. Durante a inicializao, a c have recuperada da TPM e usado para desencriptar o VMK que ento utilizado para aceder aos volumes encriptados. Se o s ervidor no tiver um TPM, a chave para criptografar a VMK tambm podem ser armazenados em uma mdia removvel. ----------------------- Pgina 472----------- -----------10-20 Infra-estrutura Configurao e Soluo de problemas do Windows Server 2008 Rede

Recuperando Discos criptografados do BitLocker

Unidades BitLocker criptografados ficam inacessveis se o FVEK para um s istema de computador no pode mais ser acessado. Isso pode ocorrer se a TPM em um computador falhar, as unida des so movidas para um computador diferente, ou mdia removvel que contm o FVEK est perdido.

Quando voc ativar o BitLocker, uma chave de recuperao de 256 bits e 48 de recuperao de senha dgitos so gerados. Voc so fornecidas a opo de imprimir a chave de recuperao de senha, salvar a sen ha de recuperao para um arquivo, ou salvar tanto para uma unidade flash USB. Ou a chave de recuperao ou a senha de recuperao pode ser usada para descriptografar a conduzir quando a chave FVEK j no est disponvel.

A senha de recuperao tambm pode ser armazenado no Active Directory. Para fazer isso, voc precisa habilitar a opo usando a Diretiva de Grupo. Esta uma soluo escalvel, e muito melhor do qu e administradores que necessitam para armazenar a senha de recuperao durante o processo de criptografia. Senhas de recup erao do BitLocker so armazenadas no

propriedades da conta do computador. Para recuperar a senha de recuper ao do Active Directory, voc precisa usar o BitLocker Recovery Password Viewer. Esta ferramenta pode ser ba ixado do site da Microsoft e integra em Active Directory Users and Computers.

Para recuperar uma unidade do sistema operacional criptografado, voc de ve usar o console de recuperao. Na recuperao console, voc pode fornecer o USB flash drive com a chave de recuperao ou digite a senha de recuperao. Se voc est digitando a senha de recuperao, normalmente voc precisa usar as teclas de funo. Por exemplo, F1 equivalente a 1. Unidades no-operacionais do sistema ir solicitar as inf ormaes de recuperao quando voc tentar us-los a partir de dentro do sistema operativo.

Uma opo final para a recuperao de unidades BitLocker codificados usando um agente de recuperao de dados. Semelhante a um agente de recuperao de EFS, um agente de recuperao de dados para o BitLock er tem um certificado que usado para acessar criptografado Drives: Voc pode configurar um agente de recuperao de dados atravs da impo rtao do certificado do agente de recuperao de dados em um objeto de Diretiva de Grupo. ----------------------- Pgina 473----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-21

Demonstrao: Como criptografar uma partio usando o BitLocker

Esta demonstrao mostra como:

Instale o recurso BitLocker.

Configurar o BitLocker no requer um TPM.

Permitir BitLocker quando um TPM no est disponvel.

Acesso a senha de recuperao. ----------------------- Pgina 474----------- -----------10-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 4 Configurao e Soluo de Problemas de Impresso em Rede

Junto com compartilhamentos de arquivos, impresso em rede um dos servios de rede mais comumente utilizados. Voc precisa entender como configurar e proteger a impresso de rede, para alm de impla ntao de impressoras para o cliente Computadores

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever os benefcios da impresso em rede.

Discutir as opes de segurana para impresso em rede.

Criar mltiplas configuraes para um dispositivo de impresso nica.

Descrever o pool de impresso.

Explicar as opes que esto disponveis para a implantao de impressoras para co putadores clientes.

Discutir problemas comuns com impresso em rede e sua resoluo. ----------------------- Pgina 475----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-23

Benefcios da impresso em rede

Windows Server 2008 pode ser configurado como um servidor de impresso para os usur ios. Neste computadores clientes, configurao enviar trabalhos de impresso para o servidor de impresso para entrega a uma impres sora que est conectada rede.

A maior vantagem de usar o Windows Server 2008 como servidor de impresso o gerenc iamento centralizado de impresso. Em vez de gerenciar as conexes do cliente para muitos dispositivos individuais, v oc est gerenciando sua conexo com o servidor. Os drivers de impressora so instalados centralmente no servidor e dis tribuda para estaes de trabalho.

Ao imprimir a centralizao em uma impressora, voc tambm simplificar a soluo de problema s. relativamente fcil para determinar se so problemas de impresso da impressora, servidor ou computador cliente com base em onde os trabalhos de impresso so na fila.

Uma impressora de rede mais caro que os normalmente usados as tem significativamente menor

para a impresso local, m

consumveis custos e impresso de melhor qualidade. O custo de impresso ainda minimiz ada porque o inicial custo da impressora est espalhada por todos os computadores que se conectam a ess a impressora. Por exemplo, um nico impressora de rede pode atender 100 usurios ou mais.

As impressoras de rede tambm pode ser listado no Active Directory. Isso permite a os usurios procurar por impressoras.

----------------------- Pgina 476----------- -----------10-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Opes de segurana para impresso em rede

Quando uma impressora compartilhada pela rede, em muitos casos, nenhum a segurana necessria. A impressora considerado ser de acesso aberto e todos podem imprimir. Esta a configurao padro para uma impressora que compartilhada em um servidor Windows.

As permisses que esto disponveis para impresso compartilhada incluem:

Imprimir: Esta permisso permite aos usurios imprimir documentos na impre ssora. Por padro, o grupo Todos atribuda essa permisso.

Gerenciar esta impressora: Esta permisso permite aos usurios modificar a s configuraes da impressora, incluindo a actualizao drivers. Por padro, essa permisso dada para Administradores, Operad ores de Servidor e Operadores de impresso.

Gerenciar documentos: Esta permisso permite aos usurios modificar e excl uir trabalhos de impresso na fila. Este permisso atribudo ao PROPRIETRIO CRIADOR. Isso permite que qualquer pessoa que cria um trabalho de impresso para gerenciar esse trabalho. Administradores, Operadores de Servidor e Operador es de impresso tm essa permisso para todos os trabalhos de impresso. ----------------------- Pgina 477----------- -----------Configurando e soluc ionando problemas de arquivos de rede e servios de impresso 10-25

Demonstrao: Como criar vrias configuraes para um dispositivo de impresso

Quando existe apenas uma impressora fsica nica, voc pode definir vrias configuraes atr avs da criao de mltiplas impressoras em servidores de impresso. Isto permite-lhe configurar diferentes pri oridades e opes de impresso para diferentes grupos de usurios. Usando vrias configuraes, voc pode ter uma impressora q ue o padro preto e impresso branca e outra que o padro de impresso a cores. Voc tambm pode ter configu raes que incluem bandejas padro de papel, duplex e horrios diferentes para impresso em lote de grandes trabalhos.

Esta demonstrao mostra como:

Criar uma impressora compartilhada.

Criar uma segunda impressora usando a mesma porta.

Aumentar a prioridade da segunda impressora. ----------------------- Pgina 478----------- -----------10-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que o pool de impresso?

Pool de impresso uma maneira de combinar vrias impressoras fsicas em uma nica unidade lgica. Para cliente computadores, o pool da impressora parece ser uma nica impressora. Quan do os trabalhos so submetidos ao pool de impresso, eles podem ser processadas por qualquer impressora disponvel no pool da impressora.

A escalabilidade e disponibilidade de impresso em rede aumentada pela u tilizao de um pool de impresso. Se uma impressora no piscina no estiver disponvel, todos os trabalhos so enviados para as imp ressoras restantes. E, se um pool de impresso no tem capacidade suficiente, voc pode adicionar uma outra impressora para o p

ool de impresso sem a realizao de qualquer cliente roteamento.

Um pool de impresso configurado em um servidor, especificando vrias port as para uma impressora. Cada porta a localizao de uma impressora fsica. Na maioria dos casos, as portas so um endereo IP na rede, em vez de Impressora de Linha Terminal porturio (LPT).

Os requisitos para um pool de impresso so como se segue:

Impressoras deve usar o mesmo driver: Os clientes usam um driver de im pressora nico para a gerao de trabalhos de impresso. Todas as impressoras devem aceitar trabalhos de impresso no mesmo formato. Em muitos casos, isto significa que impressora um nico modelo usado.

As impressoras deve estar no mesmo local: As impressoras em um pool de impresso deve ser localizado fisicamente juntos. Quando os usurios recuperar seus trabalhos de impresso, el es deve verificar todos os impressoras no pool impressora para encontrar o seu documento. No h maneira de os usurios para saber qu al impressora imprimiu o documento. ----------------------- Pgina 479----------- -----------Configurando e soluci onando problemas de arquivos de rede e servios de impresso 10-27

Implantao de impressoras para clientes

Implantando impressoras uma parte crtica do gerenciamento de servios de impresso na rede. Um sistema bem projetado para impressoras a implantao escalvel e pode ser usado para gerenciar centenas ou m ilhares de computadores.

As opes para implantar as impressoras so:

Grupo preferncias polticas: Voc pode usar as preferncias de Diretiva de Grupo para i mplantar impressoras compartilhadas para Windows XP, Windows Vista e Windows 7 clientes. A impressora pode ser assoc iada com o utilizador conta ou de computador e tambm pode ser alvo de grupo. Para computadores do Windows XP, voc deve instalar o Group Policy Client Extension Preferncia.

objeto de Diretiva de Grupo criado por Gesto de Impresso: A ferramenta de Gerencia mento de Impresso administrativa pode adicionar impressoras para uma Diretiva de Grupo para distribuio aos computad ores clientes com base na conta de usurio ou conta de computador. Computadores com Windows XP deve ser configurado para executar pushprinterconnections.exe.

Manual de instalao: Cada usurio pode adicionar manualmente impressoras ou navegar n a rede ou usando Assistente para adicionar impressora, no entanto, isso no eficiente. Impress oras de rede que so instalados manualmente so somente disponvel para o usurio que instalou. Se vrios usurios compartilham um computador, eles devem cada instalar a impressora manualmente. ----------------------- Pgina 480----------- -----------10-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Discusso: Soluo de problemas de impresso em rede

Impresso em rede um servio de rede bsica que todos os usurios esperam que esteja disponvel. importante que voc entender os problemas comuns de rede de impresso e suas resolues.

Pergunta: Quais so alguns dos problemas comuns de rede de impresso e suas resolues?

----------------------- Pgina 481----------- -----------Configurando e so lucionando problemas de arquivos de rede e servios de impresso 10-29

Lab: Configurando e solucionando problemas de arquivos de rede e Servios de Impresso

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para CL1-6421B-NYC.

Cenrio Lab

Como administrador do servidor para Contoso, voc responsvel por configura r o arquivo e servios de impresso que esto disponveis para os usurios. Voc foi designado para desempenhar vrias ta refas:

1. Criar e configurar um compartilhamento de arquivo novo para vrios d epartamentos.

2.

Configurar um agente de recuperao para arquivos criptografados EFS.

3. so.

Configurar um pool de impresso para aumentar a capacidade de impres

----------------------- Pgina 482----------- -----------10-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 1: Criando e configurando um compartilhamento de arquivos

Remoto

Voc est configurando um servidor novo arquivo que conter os arquivos que so compartilhados por vrios departamentos. na primeira dois departamentos programados para mover seus arquivos para este loca l so a comercializao e produo Chefia de departamentos Voc precisar configurar o compartilhamento de ar quivos para que cada departamento tem acesso para visualizar e modificar apenas seus prprios arquivos. Alm disso, os usurios no devem ver os arquiv os e pastas que no tm acesso.

As principais funes para este exerccio so como se segue:

1.

Criar a estrutura de pastas para o compartilhamento.

2.

Configurar permisses NTFS na estrutura da pasta.

3.

Crie o compartilhamento.

4.

Habilitar o acesso-a enumerao baseada em.

5.

Verifique se as permisses esto configurados corretamente.

Tarefa 1: Criar a estrutura de pastas para o compartilhamento

1.

Em NYC DC1, criar a pasta C: \ Share.

2.

Crie a pasta C: \ Share \ Marketing.

3.

Crie a pasta C: \ Share Produo \.

Tarefa 2: Configurar permisses NTFS na estrutura de pastas

1. On NYC-DC1, use o Windows Explorer para abrir as propriedades do C: \ pasta Compartilhar e verificar que Os usurios tm permisso de leitura na guia Security.

2. NTFS.

Nas propriedades da pasta de Marketing, abra as permisses avanadas

3. Altere as permisses para remover as permisses herdveis jeto e adicionar o permisses existentes.

do pai deste ob

4.

Remover permisses para o grupo Usurios.

5.

Adicione o grupo de marketing com permisso Modificar.

6.

Nas propriedades da pasta de Produo, abra as permisses avanadas NTFS.

7. Altere as permisses para remover as permisses herdveis deste objeto e adicione o permisses existentes.

a partir de pai

8.

Remover permisses de para o grupo Usurios.

9.

Adicione o grupo de produo com permisso Modificar.

Tarefa 3: Criar o compartilhamento

1. re.

Em NYC-DC1, no Windows Explorer, abra as propriedades do C: \ Sha

2.

Utilize a partilha avanada para compartilhar a pasta.

3.

D o grupo Todos permisso Controle total para o compartilhamento.

----------------------- Pgina 483----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-31

Tarefa 4: Habilitar enumerao baseada em acesso

1. Em NYC DC1, abra o compartilhamento e ferramenta de gerenciamento de armaze namento administrativa.

2. o.

Abra as propriedades de compartilhamento e permitir enumerao baseada em acess

Tarefa 5: Verifique que as permisses esto configurados corretamente

1.

Em NYC-CL1, faa logon como Contoso \ Ado com a senha Pa $ $ w0rd.

2.

Abrir \ \ NYC-DC1 \ Share.

3.

Leia as pastas que esto listados.

4.

Criar um arquivo de texto novo nomeado AdamFile na pasta Marketing.

Resultados: Aps Neste exerccio, voc deveria ter criado e configurado um compartilha mento de arquivo. ----------------------- Pgina 484----------- -----------10-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 2: Criptografia e Recuperao de Arquivos

Cenrio

Sua organizao quer permitir que os usurios comecem a criptografia de arqu ivos com EFS. No entanto, h preocupaes cerca de recuperao. Para melhorar a gesto dos certificados usados voc est indo para pelo EFS,

configurar uma autoridade de certificao interna para emitir certificados para usurios. Voc tambm vai configurar uma recuperao agente para o EFS e verificar que o agente de recuperao pode recuperar a rquivos.

As principais funes para este exerccio so como se segue:

1.

Atualize o certificado de agente de recuperao para o EFS.

2.

Atualizar a Diretiva de Grupo nos computadores.

3.

Obter um certificado para o EFS.

4.

Criptografar um arquivo.

5.

Utilize o agente de recuperao para abrir o arquivo.

Tarefa 1: Atualizar o certificado de agente de recuperao de EFS

1. Em NYC DC1, abra o grupo de ferramentas de gerenciamento de diret iva administrativa.

2.

Edite a diretiva de domnio padro que est ligado a contoso.com.

3. No Editor de Group Policy Management, navegue at Configurao do compu tador \ Polticas \ Windows \ Configuraes de Segurana \ Diretivas de Chave Pblica \ Enc rypting File System.

4.

Excluir o certificado de administrador existente.

5.

Criar um novo agente de recuperao de dados.

6. Leia as informaes sobre o novo certificado e verificar se ele foi e mitido pelo ContosoCA.

Tarefa 2: Atualizao de Diretiva de Grupo nos computadores

1.

Em NYC-DC1, execute gpupdate / force em um prompt de comando.

2.

Em NYC-CL1, execute gpupdate / force em um prompt de comando.

Tarefa 3: Obter um certificado para o EFS

1. w0rd.

On NYC-CL1, faa logon como Contoso \ Adam com uma senha de Pa $ $

2.

Executar mmc.exe para abrir um console do MMC vazio.

3.

Adicionar o snap-in para o console MMC.

4.

No console, clique com Pessoal e solicitar um novo certificado.

5.

Selecione um certificado EFS bsico.

6.

Verifique que o novo certificado foi emitido por ContosoCA.

7.

Feche o console e no salve as alteraes.

----------------------- Pgina 485----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-33

Tarefa 4: Criptografar um arquivo

1.

Em NYC-CL1, navegue para \ \ NYC-DC1 Share \ Marketing \.

2.

Abra as propriedades do AdamFile.

3.

Habilite a criptografia nos atributos avanados de AdamFile.

4.

Feche o Windows Explorer.

Tarefa 5: Use o agente de recuperao para abrir o arquivo

1.

Em NYC DC1, navegue para C: \ Share \ Marketing.

2.

Abra AdamFile.txt, modificar o contedo e salve o arquivo.

Resultados: Aps este exerccio, voc deveria ter criptografado e recuperou um arquivo . ----------------------- Pgina 486----------- -----------10-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Criando e Configurando um pool de Printer

Cenrio

O departamento de Marketing tem uma sala nica cpia central que armazena a impressora para o andar inteiro. Sobre o no ano passado, a capacidade da sua impressora se tornou uma preocup ao. Em particular, quando um utilizador imprime uma grande trabalho, ele impede que outros usurios a obteno de seus trabalhos de impr esso para 10 ou 15 minutos. Para resolver esse problema, voc adquiriu duas novas impressoras idnticas configurar como um pool de impresso para o Marketing Departamento de Gastos

As principais funes para este exerccio so como se segue:

1.

Instale a funo de Gerenciamento de Impresso.

2.

Criar duas portas de impressora IP.

3.

Criar uma impressora.

4.

Faa a nova impressora em um pool de impresso.

5.

Distribua o pool de impresso para os usurios.

6. Verifique distribuio impressora para um usurio marketing.

Tarefa 1: Instale a funo de Gesto de Impresso

1. tiva.

On NYC DC1-, abra a ferramenta Gerenciador do Servidor administra

2. Adicionar a impresso e papel Document Services com o servio de funo do servidor de impresso.

Tarefa 2: Criar duas portas de impressora IP

1.

Abra a ferramenta Gesto de Impresso administrativa.

2.

No servidor de impresso NYC DC1, visualizar as portas.

3.

Criar uma nova porta com as seguintes propriedades:

Porta TCP / IP

Endereo IP: 10.10.0.98

Placa de Rede Genrica

4.

Criar uma segunda porta com as seguintes propriedades:

Porta TCP / IP

Endereo IP: 10.10.0.99

Placa de Rede Genrica

Tarefa 3: Criar uma impressora

Na Gesto de Impresso, em NYC-DC1 (local), criar uma nova impressora com as seguintes propriedades:

Usar uma porta existente: 10.10.0.98

Driver de Printer: default

Nome da impressora: PrinterPool

Nome do compartilhamento: PrinterPool ----------------------- Pgina 487----------- -----------Configurando e solucion ando problemas de arquivos de rede e servios de impresso 10-35

Tarefa 4: Faa a a nova impressora em uma piscina de impressora

1.

Em Gerenciamento de Impresso, abra as propriedades do PrinterPool.

2.

Na guia Portas, habilitar o pool de impresso.

3.

Selecione a porta 10.10.0.99 como segunda porta.

Tarefa 5: Distribua o pool de impresso para usurios

1.

Abra o Grupo ferramenta de Gerenciamento de Diretiva administrativa.

2. Navegue at o OU Marketing, right-click, e criar um novo GPO no domnio que est ligada aqui.

Nome: MarketingGPO

3.

Boto direito do mouse MarketingGPO e edio.

4. Navegue at \ Configurao do Usurio \ Preferncias \ Control Painel de Settings \ I mpressoras.

5.

Criar uma nova impressora partilhada com as seguintes propriedades:

caminho Share: \ \ NYC-DC1 \ PrinterPool

Defina essa impressora como a impressora padro

Tarefa 6: distribuio de impressora Verificar para um usurio de marketing

1.

On NYC-CL1, faa logon como Contoso \ Adam com uma senha de Pa $ $ w0rd.

2.

Abra um prompt de comando e execute gpupdate / force.

3. No menu Iniciar, dispositivos abertos e Impressoras para verificar se Print erPool em NYC-DC1 aparece e configurado como a impressora padro.

Resultados: Aps este exerccio, voc deveria ter criado um pool de impresso e distribu io aos usurios de Marketing.

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguida, clique e m Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para CL1-6421B-NYC.

----------------------- Pgina 488----------- -----------10-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Voc est planejando a configurao de permisses NTFS e de compartilhament o em um servidor novo arquivo. Um dos o seu colegas sugere que as permisses de compartilhamento deve ser limit ado ao mnimo possvel, em vez de atribuindo ao grupo controle total a todos. Por isso no uma preocu pao quando as permisses NTFS so usado?

2. Sua empresa tem um mix de usurios mveis com o Windows XP e Windows 7 laptops. Roaming usurios arquivos de acesso remotamente ao longo de um VPN. Um usuri o que foi atualizado recentemente para o Windows 7 observou

que o acesso arquivo sobre o VPN muito mais rpido agora. Por que i sso est ocorrendo?

3. Voc est planejando para habilitar o BitLocker em servidores que esto localizados em escritrios remotos para aumentar de segurana. Um de seus colegas est preocupada que isso vai aumenta r a complexidade para os usurios que so acessando compartilhamentos de arquivos em esses servidores. Por que no este uma preocupao vlida?

4. Alguns usurios foram comeando a criptografar arquivos que so armazen ados em compartilhamentos de rede para proteg-los de outros usurios departamentais com as permisses NTFS para esses a rquivos. este o uma maneira eficaz para prevenir usurios de visualizar e modificar esses arquivos?

5. One departamento de em sua organizao tem sido manualmente adicionan do de impressoras em computadores que executam impresso IP direta com a impressora fsica. Eles esto fazendo este de modo que todos os usurios automaticamente tenha acesso para a impressora depois de instalada. Voc pode configurar um serv idor de impresso e ainda fazer impressoras disponveis para [Todos os usurios] ----------------------- Pgina 489----------- -----------Configurando e solucionan do problemas de arquivos de rede e servios de impresso 10-37

Ferramentas

Usar a ferramenta para Onde encontr-lo

Gerenciador do Servidor Adicionando funes de servidor Ferramentas Administrativa s

Compartilhar e de Armazenamento partes Configurar Ferramentas Administrativas

Gesto

A Diretiva de Grupo Criar e configurar Ferramentas de diretiva de grupo Admini strativas Objetos de gerenciamento

Snap-in Certificados Request e vista certificados Microsoft Management Console

Cipher Gerenciar do EFS arquivos criptografados Command de linha-

Gerenciamento de Impresso Gerenciar servidores de impresso e impressoras Ferram entas Administrativas ----------------------- Pgina 490----------- -----------10-38 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2 008 Network ----------------------- Pgina 491----------- -----------11-1

Mdulo 11

Otimizando Acesso de dados para Escritrios de Filial

contedo

Lio 1: Branch Office Acesso a Dados 11-3

Lio 2: Viso geral DFS 11-6

Lio 3: Configurando DFS Namespaces 11-18

Lio 4: Configurando e Soluo de problemas DFS Replication 11-25

Lab Um: Implementando DFS 11-33

Lio 5: Configurando BranchCache 11-39

Lab B: Implementando BranchCache 11-49 ----------------------- Pgina 492----------- -----------11-2 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Viso geral do mdulo

Muitas organizaes mantm um grande nmero de recursos de arquivos que precis am ser organizados e altamente disponvel para os usurios. Estes recursos de arquivo so muitas vezes arma zenados em servidores e desde para usurios que so distribudas geograficamente em vrios locais.

Nesta situao, voc precisa encontrar uma soluo eficiente para ajudar os usuri os a localizar os arquivos mais recentes rapidamente. Gerenciamento de mltiplos sites de dados muitas vezes apresenta desafio s adicionais, como limitar o trfego de rede mais retardar Wide Area Network (WAN) conexes, garantindo a disponibilidade dos arquivos durante a WAN ou servidor falhas, e backup de servidores de arquivos que esto localizados em pequ enos escritrios filiais.

Objetivos

Depois de conclurem este mdulo, voc ser capaz de:

Descrever os desafios experimentados quando fornecendo acesso a dados

para escritrios de filiais.

Identificar os componentes bsicos de DFS.

Descrever namespaces DFS.

Explicar como para configurar a replicao DFS.

Discuta como para configurar BranchCache. ----------------------- Pgina 493----------- -----------Otimizando Acesso de dados para Escritrios de Filial 11-3

Lio 1 Branch Office Acesso a Dados

Escritrios de ramo tm desafios de gerenciamento de nicas. Um escritrio de r amo tipicamente tem conectividade com a lenta para o empresa em rede e infra-estrutura limitada para servidores de fixao. , Po r conseguinte,, o desafio ser capaz de fornecer acesso eficiente a recursos de rede para os usurios em escritrio s de filiais.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Discuta desafios da ramo acesso a dados escritrio.

Descrever como escritrios de filiais so conectados a um rede da empresa. ----------------------- Pgina 494----------- ------------

11-4 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Discusso: Desafios de Branch de Acesso de Dados do Office

Normalmente, um escritrio de cabea um hub de comunicao central para escritr ios de filiais. Cada escritrio ramo tem menos usurios do que o escritrio cabea. Alm disso, cada escritrio ramo tem conect ividade mais lenta para o escritrio cabea.

Por exemplo, uma cadeia de lojas de varejo tem um escritrio cabea com mu itos funcionrios e de rede interno rpido conectividade. Os escritrios de filiais so localizado remotamente com po ucos funcionrios em cada localizao e lento conectividade para os dados no escritrio cabea.

Pergunta: Por que so conexes de rede entre escritrios de filiais e o de escritrio cabea lento e no confivel?

Pergunta: Como que conectividade de rede lenta e no confivel afetar os usurios em ramo escritrios?

Pergunta: Como que gesto de sistemas de de computador em escritrios de filiais comparar com o gesto de sistemas de de computador no escritrio cabea?

Pergunta: Como que segurana do sistema no escritrios de filiais com parar com segurana do sistema no o escritrio cabea? ----------------------- Pgina 495----------- -----------Otimi zando Acesso de dados para Escritrios de Filial 11-5

Conectividade Branch Office

Os seguintes recursos do Windows Server 2008 R2 pode ajudar a escritrios de filia is melhorar a sua lento e menos conectividade confivel:

Distributed File System (DFS)

BranchCache

DFS

Distributed File System (DFS) um Servidor de Windows 2008 servio de funo R2 que est includo com o File Server papel. O servio de funo DFS pode ser usado para logicamente combinar pastas compart ilhadas que esto localizados em diferente servidores em um namespace virtuais. Os usurios s precisa saber o nome do namespac e virtual para acessar a estrutura pasta compartilhada.

DFS tambm implementa uma tecnologia de replicao para garantir a disponibilidade-ele vado de elementos configurados em o namespace.

BranchCache

Acessando os arquivos armazenados no escritrio cabea pode ser lento para os usurios em escritrios de filiais. BranchCache ajuda a velocidade up o acesso a arquivos por cache-los em um computador local ou em um servidor lo cal no escritrio ramo. Se um arquivo tem no sido modificado no escritrio cabea e acessado a partir o escritrio ramo, cpia em c ache do arquivo no o escritrio ramo aberta em vez do que a cpia a partir do escritrio cabea.

Em Alm de fornecer acesso mais rpido arquivo, BranchCache diminui a utilizao global WAN porque somente novo e arquivos modificados so copiada sobre a WAN. Isso mantm o livre WAN para outras atividades. ----------------------- Pgina 496----------- -----------11-6 Configurao das e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Lio 2 DFS Viso geral

Esta lio introduz o Distributed File System (DFS) soluo que voc pode usar pa ra enfrentar os desafios de gerenciamento de dados para escritrios de filiais por fornecendo faul t-tolerant acesso e WAN-friendly replicao de arquivos que esto localizados em toda uma empresa.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever DFS.

Descreva um namespace DFS.

Discuta Replication DFS.

Explique Namespaces como DFS e DFS de trabalho de replicao.

Descrever cenrios onde DFS podem ser usados.

Identificar aprimoramentos para DFS no Windows R2 Server 2008.

Instale a funo de DFS. ----------------------- Pgina 497----------- -----------O timizando Acesso de dados para Escritrios de Filial 11-7

O Que DFS?

Para acessar um compartilhamento de arquivo tpico, os usurios tipicamente exigem a Universal Naming Convention nome (UNC) para acessar o contedo pasta compartilhada. Muitas organizaes grandes pode ter centenas de servidores de arquivos que so dispersos geograficamente em toda uma organizao. Isto introduz um nmero de desafios para os usurios a encontrar e acessar arquivos de forma eficiente.

Atravs do uso de um namespace, DFS pode simplificar a estrutura da pasta UNC. Alm disso, benefcio um outro de DFS a capacidade de replicar o espao virtual e as pastas compartilhadas para vr ios servidores dentro da organizao. Isto pode assegurar que as partes esto localizados to prximo quanto pos svel para os utilizadores, assim proporcionar um benefcio adicional de tolerncia a falhas para os compartilhamentos de rede.

DFS inclui duas tecnologias que so implementados como servios de funo. Essas tecnolo gias so:

DFS Namespaces (DFS-N): Permite que os administradores pastas de grupo comuns qu e esto localizados em diferentes servidores em um ou mais namespaces logicamente estruturadas. Cada namespace apa rece para os usurios como um nico pasta compartilhada com uma srie de subpastas. As subpastas geralmente apontam pa ra pastas compartilhadas que esto localizados em vrios servidores em vrios locais geogrficos de toda a organizao.

Replicao DFS (DFS-R): um mecanismo de replicao multi-mestre, que usado para sincroni zar arquivos entre servidores para conexes de rede local e WAN. DFS-R suporta agendamento de replicao, largura de banda otimizao, e usa compactao diferencial remota (RDC) para atualizar apenas as partes d e arquivos que tenham mudou desde a ltima replicao. DFS-R pode ser usado em conjunto com Namespaces DFS o u como um substituto sozinho mecanismo de replicao de arquivos. ----------------------- Pgina 498----------- -----------11-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que um namespace DFS?

Voc pode criar um namespace um domnio baseado ou stand-alone. Cada tipo tem caractersticas diferentes.

Baseado em domnio Namespace

Um namespace baseado em domnio pode ser usado quando:

Disponibilidade Namespace alta necessria, que realizado por meio da rep licao do namespace para vrios servidores de namespace.

Voc precisa ocultar o nome dos servidores de espao de usurios. Isto tambm torna mais fcil para substituir um servidor de namespace ou migrar o namespace para um servidor dife rente. Os usurios vo acessar o \ \ Domainname \ formato namespace ao contrrio do \ servername \ fo rmato \ namespace.

Se optar por implantar um namespace baseado em domnio, voc tambm precisa escolher se deseja usar o

Microsoft Windows 2000 modo de Server ou o modo Windows Server 2008. W indows Server 2008 modo fornece benefcios adicionais, tais como suporte para enumerao baseada em acesso, e-lo aumenta o nmero de destinos de pasta de 5.000 para 50.000. Com enumerao baseada em acesso, voc pode ocultar pastas que os usurios fazem no tm permisso para exibir.

Para usar o modo Windows Server 2008, os seguintes requisitos devem se r atendidos:

O floresta do Active Directory deve estar no Microsoft Windows Server floresta 2003 ou superior funcional nvel.

O domnio do Active Directory deve estar no Microsoft Windows Server nvel de domnio 2008 funcional.

Todos os servidores de namespace devem ser o Windows Server 2008.

Observao: Voc pode migrar um namespace baseado em domnio do modo Win dows Server 2000 para Modo Windows Server 2008 usando a ferramenta de linha de comando Dfsutil. Voc tambm pode ativar ou desativar Enumerao baseada em acesso usando o compartilhamento e gerenciamento de armazenamento MMC. ----------------------- Pgina 499----------- -----------Otimi zando Acesso de dados para filiais 11-9

Stand-Alone Namespace

Um espao para nome autnomo utilizado quando:

Uma organizao no tem implementado o AD DS.

Uma organizao no atender os requisitos para um modo Windows Server 2008, baseada em domnio namespace, e h so requisitos para mais de 5.000 pastas DFS. Stand-sozinho DFS namespaces suportar at 50.000 pastas com destinos. ----------------------- Pgina 500----------- -----------11-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que Replicao DFS?

DFS Replication (DFS-R) fornece uma maneira para manter pastas sincro nizadas entre os servidores transversalmente bemconectado e limitado conexes de largura de banda. Tome nota dos seguint es pontos-chave relacionados com o DFS-R:

DFS-R usa Compactao Diferencial Remota (RDC). O RDC uma protocolo client e-servidor que pode ser usado de forma eficiente atualizar arquivos em uma rede de banda limit ada.

O RDC detecta inseres de dados, remoes e re-arranjos em arquivos, pe rmitindo que o DFS-R replicar apenas os alteradas blocos de arquivo quando os arquivos so atualizados. RDC usada apenas para arquivos que so 64 kilobytes (KB) ou maior por padro. DFS-R tambm suporta de arquivo cruzado RDC, que p ermite que replicao DFS para usar RDC, mesmo quando um arquivo com o mesmo nome no existe em o cliente.

De arquivo cruzado RDC pode determinar os arquivos que so semelha ntes para o arquivo que precisa ser replicado, e usa blocos de arquivos semelhantes que so idnticos para o arquivo de r eplicante para minimizar o quantidade de dados que precisa ser replicado.

DFS-R usa um pasta de teste escondida para encenar uma arquivo antes d e enviando ou recebendo-lo. Pastas de teste agir como caches para arquivos novos e alterados para ser replicado de env iar membros para membros de recebimento. O o envio de membro comea encenar uma arquivo quando ele recebe uma solicitao de a partir do membro de recebimento.

O processo envolve a leitura do arquivo da pasta replicada e con struo de um comprimido representao do arquivo de na pasta de teste. Depois de-lo tem sido construdo, o arquivo de encenado enviada para o membro receptora; se a compresso diferencial remoto usado, apen as uma frao de o arquivo de teste poderia ser replicado. O receber downloads membros os dados e co nstri o arquivo em sua encenao Pasta

Depois que o download do arquivo estiver concluda no membro de re cebimento, DFS-R descomprime o arquivo e instala-lo em o pasta replicada. Cada pasta replicada tem a sua pasta de teste prpria, que por padro est localizado sob o caminho local da pasta replicada em o DfsrPr ivate \ pasta Staging.

DFS-R detecta ocorreram alteraes em o volume atravs do monitoramento o nme ro de seqncia de atualizao (USN) revista e replica as alteraes somente aps o arquivo fechados. ----------------------- Pgina 501----------- -----------O timizando Acesso de dados para Escritrios de Filial 11-11

DFS-R usa uma verso vector protocolo de troca de para determinar quais arquivos p recisam ser sincronizadas. O protocolo envia menos de 1 KB por arquivo em toda a rede para sincronizar o s metadados associados com os arquivos alterados sobre o envio e recebimento membros.

DFS-R usa uma heurstica resoluo de conflitos de "escritor ltima vence" para arquivos de que esto em conflito (que , um arquivo que atualizados em vrios servidores simultaneamente) e "a mais antiga criado r vence" para conflitos de nome. Arquivos de e pastas que perdem a resoluo de conflito so movidos para uma pasta conhecido como o Conflito e Deleted p

Voc tambm pode configurar o servio para mover arquivos excludos para a Conflito e pasta Deleted para de recuperao, deve o arquivo ou pasta ser excludo. Cada pasta replicada tem a sua Conflict prpria oculto e Pasta Excludos, que est localizado sob o caminho local da pasta replicada em o DfsrPrivate \ ConflictandDeleted.

DFS-R auto-cura e pode se recuperar automaticamente a partir de USN journal embr ulha, perda de USN jornal, ou DFS Perda banco de dados de Replicao.

DFS-R usa um Instrumentao de Gerenciamento do Windows (WMI) provedor que fornece i nterfaces para

obter a configurao e informaes de monitoramento a partir de o servio Replicao DFS ----------------------- Pgina 502----------- -----------11-12 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Como Namespaces DFS e DFS de Trabalho Replication

Mesmo embora DFS Namespaces e Replicao DFS so servios de funo separados, ele s podem ser usados juntos para oferecer alta disponibilidade e redundncia de dados. O processo de a seguir descreve Namespaces como DFS e Replicao DFS trabalhar juntos:

1. Usurio acessa pasta na o namespace virtual. Quando um usurio tenta para acessar uma pasta em um namespace, os contatos computador cliente o de servidor que est h ospedando o raiz namespace. O anfitrio servidor pode ser um servidor stand-alone que est hospedando um na mespace stand-sozinho, ou um domnio-baseada em de configurao que armazenado em Microsoft do Active Directory Servio s de Domnio (AD DS) e, em seguida replicado para vrios locais para fornecer alta disponibilidade. O servidor namespace envia de volta para o computador cliente um referral contendo uma lista de servidores q ue hospedam as pastas compartilhadas (chamado de pasta do alvos) que so associado com a pasta que est sendo acessado.

2. Computador cliente acessa o primeiro servidor na referncia. O comp utador cliente armazena em cache o referral contatos de informao e, em seguida, servidor o primeiro em o referr al. Este referral tipicamente um servidor de em o prprio site cliente, a menos que haja nenhum servidor localizado d entro de site do cliente. Neste caso, o administrador do pode configurar o prioridade de destino.

Por exemplo, em o slide, a pasta de Marketing que publicado no prazo o namespace na verdade, contm dois destinos de pasta. One compartilhamento esteja localizado em um s ervidor de arquivos em Nova York, e a quota de outro est localizado em um servidor de arquivos em Londres. Os pastas compartilhadas so mantidos s incronizado por DFS-R. Mesmo embora mltiplos servidores hospedar os pastas de origem, este fato transparente para os usurios, q ue s acessam um nica pasta no namespace. Se uma das pastas-alvo torna-se indisponvel, os usurios pode ser redirec ionado para os alvos restantes dentro de o namespace. ----------------------- Pgina 503----------- -----------Oti mizando Acesso de dados para Escritrios de Filial 11-13

Cenrios de DFS

Vrios cenrios-chave podem se beneficiar a partir de DFS Namespaces e Replicao DFS. E stes cenrios incluem:

Os arquivos de Compartilhando em toda a escritrios de filiais

A coleta de dados

distribuio Dados

Compartilhamento de Arquivos entre Escritrios de Filial

Grandes organizaes que possuem escritrios de filiais muitos tm, frequentemente, para compartilhar arquivos ou colaborar entre estes localizaes. DFS-R pode ajudar a arquivos replicar entre escritrios de filiais ou a partir de um escritrio da filial para um site de hub. Tendo arquivos em vrios escritrios de filiais tambm beneficia os usurios que viajam a partir de um escritrio ramo para outro. As mudanas que os usurios fazem a seus arquivos em um escritrio ramificao so replicada s de volta para o seu escritrio ramo.

Observao Esse cenrio recomendado somente se os usurios pode tolerar algumas i nconsistncias de arquivo como mudanas so replicadas em toda os servidores de filiais. Alm disso, observe qu e DFS-R s replica um arquivo de depois que ele fechado. Portanto, DFS-R no recomendada para a rquivos de banco de dados replicantes ou quaisquer arquivos que so mantidos aberto para longos perodos de tempo.

Recolha de Dados

DFS tecnologias podem coletar arquivos a partir de um escritrio ramo e replic-las para um site de hub, permitindo assim que o

arquivos a ser utilizados para a um nmero de fins especficos. Os dados crticos pode m ser replicadas para um site de hub por usando DFS-R e, em seguida, apoiada no site do hub usando procedimentos de backup padro. Isto aumenta o ramo recuperao de dados do Office, se um servidor falhar, pois os arquivos estaro disponv eis em dois locais separados e backup. Alm disso, as empresas podem reduzir os custos de filiais, eliminando har dware de backup e tecnologia no local de informao (TI) experincia pessoal. Os dados replicados tambm p ode ser usado para fazer ramo escritrio arquivo culpa partes tolerante. Se o servidor de filial falhar, os clie ntes da filial pode acessar o replicados de dados no local do cubo. ----------------------- Pgina 504----------- -----------11-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Distribuio de Dados

Voc pode usar o DFS-N e DFS-R para publicar e reproduzir documentos, s oftware e outras linhas de negcios dados em toda a sua organizao. DFS-N e destinos de pasta pode aumentar a disponibilidade de dados e distribuir carga do cliente atravs de servidores de arquivos diversos. ----------------------- Pgina 505----------- -----------Otimizan do Acesso de dados para filiais 11-15

Melhorias DFS no Windows Server 2008 R2

Microsoft Windows Server 2008 R2 fornece uma srie de melhorias e novos recursos p ara tanto DFS-N e DFS-R. As sees seguintes abordam esses novos recursos.

Atualizaes para Namespaces DFS

Os seguintes aperfeioamentos foram feitos maneira namespaces DFS trabalhar:

Melhorias de desempenho: O servio DFS Namespaces leva menos tempo para comear, o q ue aumenta desempenho, especialmente com grandes namespaces baseados em domnio com 5.00 0 ou mais destinos de pasta. Windows Server 2008 R2 tambm inclui trs novos contadores de desempenho que po dem ser utilizados para monitorizar Namespaces DFS:

DFS Namespace Queue Service API: Exibe o nmero de pedidos na fila, que so espera de ser processado pelo servio Namespace DFS.

Os DFS Namespace solicitaes de API de servio: fornece um nmero de objetos que m ostram a informao DFS de pedidos como tempo mdio de resposta, os pedidos processados, os pedidos no, e os pedidos processado por segundo.

As referncias DFS Namespace servio: fornece um nmero de objetos que mostram a informao de pedidos de remessa que so processados aes incluem mdia pelo servio namespace DFS. As inform

tempo de resposta, os pedidos processados, os pedidos no, e os pedidos processados por segundo. ----------------------- Pgina 506----------- -----------11-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

New DFS suporte da ferramenta de Gesto: Uma srie de melhorias para a fer ramenta de Gerenciamento DFS incluem o seguinte:

Acesso base de enumerao de melhorias de gesto: Quando enumerao basead

em acesso ativado em uma pasta compartilhada ou pasta DFS, os usurios s podero ver pastas e arquivos para os quais tm Leia (ou equivalente) permisses. Anteriormente, a enumerao base ada em acesso s pode ser ativado uma pasta compartilhada usando Gerenciamento de Compartilham ento e Armazenamento ou usando o comando Dfsutil para DFS Pastas Windows Server 2008 R2 fornece um reforo adicional, pe rmitindo que voc permitir e configurar enumerao baseada em acesso para um namespace usan do a ferramenta de Gerenciamento DFS.

Suporte para seletivamente habilitar ou desabilitar referncias de raiz namespace: O DFS Ferramenta de gesto fornece a capacidade de ativar ou desativ ar os servidores de namespace. Isso permite que voc controlar se um servidor est disponvel para encaminhamentos.

Melhorias para a ferramenta de linha de comando Dfsdiag.exe: Wind ows Server 2008 R2 inclui alteraes no texto do Dfsdiag.exe ferramenta de linha de comand o de ajuda. Quando voc digita Dfsdiag /?, Ajuda a eo texto da mensagem de erro foi reescrito para fornecer inf ormaes mais claras e descritivo.

Atualizaes para a Replicao DFS

As seguintes melhorias foram feitas para a Replicao DFS:

Suporte de cluster de failover: O servio de Replicao DFS no Windows Serve r 2008 R2 est projetado para coordenar-se com um cluster de failover do Windows 2008 R2-based. Voc pode adicionar um cluster de failover como um membro de um grupo de replicao.

As pastas replicadas somente leitura: Antes de o Windows Server 2008 R 2, a nica maneira de configurar uma leitura de

pasta replicada somente era para definir manualmente as permisses de compartilhamento e listas de controle de acesso nas pastas, que exigiu um esforo administrativo adicional. Windows Server 2008 R2 oferece a capacidade de configurar uma pasta replicada como somente leitura ou um membro de leitura e escrita. Voc pode usar o DFS Ferramenta de gesto ou o Dfsradmin ferramenta de linha de comando para configurar somente leitura pastas replicadas.

Observao Controladores de domnio somente leitura com base em Window s utilizam Server 2008 R2 somente leitura replicados pastas para garantir a pasta SYSVOL.

Melhoria do Dfsrdiag.exe ferramenta de linha de comando: Windows Serve r 2008 R2 inclui alteraes para a ferramenta de linha de comando Dfsrdiag.exe. Os seguintes parmetros fornecidos reforada diagnstico Caractersticas

Replstate: Exibe um resumo do status de replicao em todas as conexes no local especificado, membro do grupo de replicao.

IdRecord: Exibe o ID do registro DFS Replicao e verso de um arquivo ou pasta especificada. Voc pode usar essas informaes para determinar se um arquivo foi replica do corretamente a outro membro.

FileHash: Calcula e exibe um valor de hash para um arquivo especfi co. Isto pode ser usado para comparar dois arquivos para garantir que eles so idnticos. ----------------------- Pgina 507----------- -----------Ot imizando Acesso de dados para filiais 11-17

Demonstrao: Como instalar a funo de DFS

Esta demonstrao mostra como instalar a funo de DFS. ----------------------- Pgina 508----------- -----------11-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 3 Configurando Namespaces DFS

Configurando um espao para nome DFS consiste de vrias tarefas, incluindo a criao da estrutura de namespace, a criao de pastas dentro do namespace, e adicionando destinos de pasta. V oc tambm pode optar por realizar tarefas de gerenciamento adicionais, como configurar a ordem de refernci a, permitindo que os cliente no volta, e implementar a replicao DFS. Esta lio fornece informaes sobre como preencher e sses configurao e tarefas de gesto para implantar uma soluo DFS eficaz.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o processo de implantao de espaos para publicar contedo.

Descrever as permisses necessrias para criar e gerenciar um namespace.

Criar e configurar DFS namespaces e metas da pasta.

Descrever as opes para otimizar um espao de nomes. ----------------------- Pgina 509----------- ------------

Ot imizando Acesso de dados para filiais 11-19

Namespaces Implantando para publicao de contedo

A maioria das implementaes do DFS consistem principalmente de contedo que publicado dentro do namespace DFS. Para configurar um espao para publicao de contedo para os usurios, execute os seguintes pr ocedimentos:

1. Criar um namespace. Use o Assistente de Novo Namespace para criar o namespa ce de dentro da DFS Console de gerenciamento. Quando um novo namespace criado, voc deve fornecer o nome do servidor que voc deseja usar como o servidor de namespace e nome do namespace e tipo (ou baseado em domnio ou stand-alone). Voc tambm pode especificar se o namespace est habilitado para o Windows Server 2008 de modo.

2. Crie uma pasta no namespace. Aps o namespace criado, adicionar uma pasta no namespace que ser usado para conter o contedo que deseja publicar. Durante a criao da pas ta, voc tem a opo de adicionar destinos de pasta, ou voc pode executar uma tarefa sepa rada para adicionar, editar ou remover pasta metas mais tarde.

3. Adicionar destinos de pasta. Depois de uma pasta criada dentro do namespace , a prxima tarefa criar pasta metas. A meta da pasta o caminho de uma pasta compartilhada da UNC em um se rvidor especfico. Voc pode procurar compartilhada pastas em servidores remotos e criar pastas compartilhadas, conforme necessr io. Alm disso, voc pode adicionar vrios pasta metas para aumentar a disponibilidade da pasta no namespace. Se voc ad icionar destinos de pasta mltiplos, considerar o uso de DFS-R para garantir que o contedo o mesmo entre os alvos .

4. Defina o mtodo de ordenao para destinos em referncias. Uma referncia uma lista o rdenada de alvos que um cliente computador recebe a partir do servidor de namespace quando um usurio acessa uma raiz namespace ou pasta. Quando um cliente recebe o envio para o cliente tenta acessar o primeiro de stino na lista. Se o alvo no estiver disponvel, o prximo alvo tentada. Por padro, os alvos no site do cli ente so sempre listados primeiro na referncia. Voc pode configurar o mtodo de ordenao destinos fora do s ite do cliente no Referncias guia da caixa de dilogo Propriedades Namespace. Voc tem a opo de conf igurar o menor custo, ordem aleatria, ou configurar o mtodo de ordenao para excluir alvo s fora o do cliente Site ----------------------- Pgina 510----------- -----------11-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Pastas Nota herdam as configuraes de referncia da raiz do namespac e. Voc pode substituir o configuraes de namespace na guia Referncias das propriedades da pa sta caixa de dilogo, excluindo destinos fora do site do cliente.

Opcionais tarefas de gerenciamento

Uma srie de tarefas de gerenciamento de opcionais que voc pode considera r incluem:

Definir a prioridade do destino para substituir referncia ordenao: Voc pod e ter um destino de pasta especfica que voc deseja que todos usem de todos os locais do site, ou um alvo pas ta especfica que deve ser usado na ltima posio entre todos os alvos. Voc pode configurar esses cenrios, substituindo o encaminhamento de ordem sobre o Advanced

guia da pasta caixa de dilogo Target Properties.

failback de cliente Enable: Se um cliente no pode acessar um alvo previ sto, o prximo alvo selecionado. Cliente failback ir garantir que os clientes "no voltar" para o alvo origi nal depois de ser restaurado. Voc pode configurar failback do cliente na guia Referncias da caixa de dilogo Namespac e Propriedades, selecionando o cheque caixa ao lado de clientes no volta para alvos preferenciais. Toda s as pastas e destinos de pasta herdam essa opo. No entanto, voc tambm pode substituir uma pasta especfica para ativ ar ou desativar recursos de failback do cliente se exigido.

Replicar destinos de pasta usando DFS-R: Voc pode usar o DFS-R para man ter o contedo de destinos de pasta em sincronizar. As "permisses necessrias para criar e gerenciar um na mespace" lio discute DFS-R em detalhe. ----------------------- Pgina 511----------- -----------Otimizan do Acesso de dados para filiais 11-21

Permisses necessrias para criar e gerenciar um namespace

Para executar DFS tarefas de gerenciamento de nomes, um usurio quer tem que ser u m membro de uma estrutura administrativa grupo ou tem que ser delegada uma permisso especfica para executar a tarefa. Voc po de clique com o namespace e, em seguida, clique em Permisses de delegado de gesto a delegar as permisses nece ssrias.

A tabela a seguir descreve os grupos que podem executar administrao DFS por padro e o mtodo para delegar a capacidade de executar tarefas de gerenciamento de DFS:

Grupos que podem executar o Tarefa tarefa pelo mtodo de delegao padro

Criar um administradores de domnio baseados em domnio delegar permisses de gerenc iamento. namespace. usurios ao grupo de administradores locais de namespace. Adicionar o servidor

Adicionar um namespace do servidor Domain Admins permisses de gerenciamento de representante. a um domnio baseado no grupo de administradores Adicionar usurios ao local em namespace. o servidor de namespace.

Gerenciar a administradores de domnio local em cada permisses de gerenciamento de representante. namespace baseado. servidor de namespace

Criar um administradores independentes locais em cada Adicionar usurios ao grup o de administradores locais namespace. servidor de namespace do servidor de namespace.

Gerenciar a administradores autnomos locais em cada permisses de gerenciamento de representante. namespace. servidor de namespace

Criar um administradores de replicao de domnio delegar permisses de gerenciamento. grupo ou enable DFS replicao em uma pasta. ----------------------- Pgina 512----------- -----------11-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como criar Namespaces

Esta demonstrao mostra como:

Criar um espao de nomes.

Crie uma nova pasta e pasta de destino. ----------------------- Pgina 513----------- -----------Otimi zando Acesso de dados para filiais 11-23

Otimizando um espao para nome

Namespaces ter um nmero de opes de configurao com a qual voc pode otimizar sua usabili dade e desempenho.

Renomear ou mover uma pasta

Voc pode renomear ou mover uma pasta em um namespace. Isto permite-lhe reorganiza r a hierarquia das pastas melhor para atender os usurios da sua organizao. Por exemplo, quando sua empresa se reorganiza, voc pode reorganizar o espao de nomes para coincidir com a nova estrutura.

Desativar Referncias para uma pasta

Uma referncia uma lista de alvos que um computador cliente recebe de um controlad or de domnio ou servidor de namespace quando o usurio acessa uma raiz ou pasta com metas de namespace. Ao desabilitar r eferncia um destino de pasta, voc impedir que computadores clientes acessem essa meta pasta no namespace. Isso til

quando voc est mover dados entre os servidores.

Especifique Durao Cache Referral

Os clientes no contactar um servidor de namespace para uma referncia cada vez que acessar uma pasta em um namespace; referncias de raiz namespace so armazenados em cache. Clientes que usam uma refernc ia armazenada em cache renovaro o valor de durao de cache da consulta cada vez que um arquivo ou pasta acessada usando o encaminhamento. I sto significa que os clientes usaro a referncia indefinidamente at que o cache de referncia do cliente seja limpo ou o cliente for reiniciado. Voc pode personalizar a durao do cache de referncia. O padro 300 segundos. ----------------------- Pgina 514----------- -----------11-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Configurar Polling Namespace

Para manter um namespace baseado em domnio consistente em servidores de nomes, servidores de namespace deve Diretrio enquete ativa periodicamente para obter os dados mais atuais n amespace. Os dois modos para polling namespace so:

Otimizar a consistncia: poll servidores Namespace o emulador PDC cada v ez que uma mudana namespace ocorre. Este o padro.

Otimizar para Escalabilidade: Cada urnas servidor de namespace seu con trolador de domnio mais prximo em peridicos intervalos. ----------------------- Pgina 515----------- ------------

Otimizando Acesso de dados para filiais 11-25

Lio 4 Configurao e Soluo de Problemas de Replicao DFS

Para configurar DFS-R com eficcia, importante compreender a terminologia e requisitos que so associado com o recurso. Esta lio fornece informao sobre os elementos especf icos, requisitos e consideraes de escalabilidade como se relacionam com DFS-R e proporciona um processo para a configurao de uma eficaz topologia de replicao.

Objetivos

Aps concluir esta lio, voc ser capaz de:

Descrever os grupos de replicao e pastas replicadas.

Descrever o processo de replicao inicial.

Configurar DFS namespaces e replicao.

Soluo de DFS. ----------------------- Pgina 516----------- -----------11-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Grupos de replicao e pastas replicadas

Um grupo de replicao compreende um conjunto de servidores membros que pa rticipam de um replicante ou mais

pastas replicadas. Existem dois tipos principais de grupos de replicao so as seguintes:

grupo de replicao multiuso: Ajuda para configurar a replicao entre dois ou mais servidores para publicao, compartilhamento de contedo, ou outros cenrios.

O grupo de replicao para coleta de dados: Configura uma replicao de duas v ias entre dois servidores, tais como um servidor de filial e um servidor de hub. Este tipo de gru po usada para coletar dados a partir do ramo servidor do escritrio para o servidor de hub. Voc pode ento usar sof tware de backup padro para fazer backup do servidor de hub DATA

Uma pasta replicada sincronizado entre cada servidor membro.

Criando vrias pastas replicadas dentro de um grupo de replicao nico ajuda a simplificar o seguinte para todo o grupo:

Tipo de Grupo de Replicao

Topologia

Hub e falou configurao

Cronograma de Replicao

Controle de Banda

As pastas replicadas armazenadas em cada membro pode ser localizado em volumes diferentes no membro. Pastas replicadas no precisam ser pastas compartilhadas ou parte de um

namespace, embora o Gerenciamento DFS presso em f-lo fcil de compartilhar pastas replicadas, e, opcionalmente, public-los em um namespace existente. ----------------------- Pgina 517----------- -----------Ot imizando Acesso de dados para filiais 11-27

Topologias de replicao

Ao configurar um grupo de replicao, voc deve definir a sua topologia. Voc pode selec ionar entre o seguinte:

Hub e falou: Para selecionar esta opo, voc precisa de pelo menos trs servidores memb ros da replicao grupo. Esta topologia funciona bem em cenrios de publicao em que os dados se o rigina no centro e replicado para os membros nos raios.

Malha Completa: Se dez ou menos membros esto no grupo de replicao, essa topologia f unciona bem, com cada membro replicar para todos os outros, conforme necessrio.

No topologia: Escolha esta opo se voc quiser configurar manualmente uma topologia de costume depois de criar o grupo de replicao. ----------------------- Pgina 518----------- -----------11-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Processo de replicao inicial

Quando voc configurar a replicao, escolha um membro primrio que tem os arq uivos mais atualizados para ser

replicado, este servidor considerado autoridade para qualquer resoluo de conflitos que ocorre quando o receber membros possuem arquivos que so mais velhos ou mais novos quando compar ados com os mesmos arquivos no membro primrio.

Considere os seguintes conceitos sobre o processo de replicao inicial:

1. Replicao inicial no comear imediatamente. As configuraes de replicao ologia e DFS deve ser replicada para todos os controladores de domnio, e cada membro do grupo de replicao deve sondar seu mais prximo controlador de domnio para obter essas configuraes. Latncia de repli cao do Active Directory eo voto longo intervalo (60 minutos) em cada membro determinar a quantidade de tempo do processo.

2. Replicao inicial sempre ocorre entre o membro primrio e seus parcei ros de replicao de recepo. Depois que um membro recebeu todos os arquivos do membro primrio, esse membro replicar os arquivos para o seu recebendo parceiros. Desta forma, a replicao de uma nova pasta rep licada comea a partir do membro primrio e depois avana para fora para os outros membros do grupo de repli cao.

3. Ao receber arquivos do membro primrio durante a replicao inicial, o s membros de recebimento que conter arquivos que no esto presentes no membro primrio movem esses arquivos para seus respectivos DfsrPrivate \ PreExisting. Se um arquivo fisicamente idntico a um arquivo no membro primrio, o arquivo no replicados. Se a verso de um arquivo no membro de recepo diferent e do primrio membro verso, a verso do membro que est recebendo movido para a pasta Conf litos e Eliminados, e remoto compresso diferencial (RDC) pode ser usado para baixar apenas os blocos alterados.

4. Para determinar se os arquivos so idnticos no membro primrio e memb ro receptor, DFS replicao compara os arquivos usando um algoritmo de hash. Se os ar quivos so idnticos, apenas os metadados mnimo transferida. ----------------------- Pgina 519----------- -----------Otimizando Acesso de dados para filiais 11-29

5.

Aps a inicializao da pasta replicada, o "principal member" designao removido.

(Inicializao ocorre depois de todos os arquivos que existem antes da replicao D FS pega a configurao so adicionado ao banco de dados de replicao DFS.) Esse membro ento tratado como q ualquer outro membro e seu arquivos no so mais considerados autoridade sobre os outros membros que j tenh am concludo inicial replicao. Qualquer membro que tenha concludo a replicao inicial considerado auto ridade sobre membros que no tenham concludo a replicao inicial. ----------------------- Pgina 520----------- -----------11-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como configurar a Replicao DFS

Para usar o DFS-R, voc deve estar ciente dos seguintes requisitos de re plicao especficos.

Verifique se o esquema do Active Directory foi atualizado para incluir os novos objetos de replicao DFS. Se voc planeja usar a Replicao DFS, o esquema do Active Directory de ve ser atualizado para, pelo menos, o equivalente verso para Microsoft Windows Server 2003 R2 para que e le inclui o Active Directory classes e atributos que a Replicao DFS usa. Para usar somente leitu ra pastas replicadas, o esquema deve

incluem o Windows Server 2008 ou mais recentes adies de esquema. Pa ra atualizar o esquema, no esquema mestre de operaes, executar adprep.exe / forestprep. Esta ferrament a est disponvel na pasta Windows \ sources \ adprep pasta do Windows Server 2008 mdia de instalao.

Todos os servidores em um grupo de replicao deve estar na mesma floresta . Voc no pode ativar a replicao atravs servidores em florestas diferentes.

Os servidores que iro participar na replicao DFS deve ser executado no Wi ndows Server 2003 R2, Windows Server 2008 ou Windows Server 2008 R2 sistema operacional. Voc dev e instalar o Replicao DFS papel de servio em cada servidor que ir participar na replicao, e voc deve instalar o Gerenciamento DFS snap-in em um servidor para gerenciar a replicao. Replicao DFS suport ada em todas as edies do Windows Server 2008 R2 e apenas edies x64 do Windows Server 2008.

Apoiar o cluster de failover, o servidor de cluster de failover deve e star executando o Windows Server 2008 R2.

O software antivrus deve ser compatvel com a Replicao DFS em que o softwar e antivrus pode causar replicao excessiva se as suas actividades de digitalizao alterar a da ta e hora em arquivos em uma pasta replicada. Contacte o seu fornecedor de software antivrus para verificar a co mpatibilidade.

Esta demonstrao mostra como:

Crie uma nova pasta de destino para a replicao.

Criar um novo grupo de replicao.

----------------------- Pgina 521----------- -----------Oti mizando Acesso de dados para filiais 11-31

Soluo de problemas DFS

Windows Server 2008 fornece uma srie de ferramentas que podem ser usados orar e solucionar problemas DFS-R. As ferramentas incluem:

para monit

Relatrios de Diagnstico: usar para executar um relatrio de diagnstico para o seguint e:

Relatrio sobre a Sade: Mostra estatsticas de replicao e relatrios extensivos sob e a sade da replicao e eficincia.

Teste de propagao: Gera um arquivo de teste em uma pasta replicado para ser u sada para verificar a replicao e fornecer dados estatsticos para o relatrio de propagao.

Propagao Relatrio: Fornece informaes sobre o progresso para um arquivo de teste que gerado onal.

durante um teste de propagao. Este relatrio ir garantir que a replicao func

Topologia Verifique: Use para verificar e informar sobre a situao da topologia gru po de replicao. Esta vontade informar os membros que esto desconectados.

Dfsrdiag.exe: Este utilitrio de linha de comando pode ser usado para monitorar o estado de replicao do DFS servio de replicao.

Soluo de problemas DFS

Problemas DFS geralmente caem em uma das seguintes categorias:

No possvel acessar o namespace DFS: Certifique-se que ambos os servios Netlogon e D FS est executando em todos os servidores que esto hospedando o namespace.

Incapacidade para encontrar as pastas compartilhadas: Se os clientes no podem se conectar a uma pasta compartilhada, use padro soluo de problemas tcnicas para garantir que a pasta acessvel e que os clientes tm permisses. Lembre-se que os clientes se conectar pasta compartilhada diretamente. ----------------------- Pgina 522----------- -----------11-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

No possvel acessar DFS links e pastas compartilhadas: Verifique se a pas ta subjacente est disponvel e que o cliente tem permisses sobre ele. Se existe uma rplica, verifi car se o problema est relacionado com

latncia de replicao (consulte a "replicao latncia" seguinte descrio).

problema relacionado com segurana: Lembre-se que o cliente acessa a pas ta compartilhada diretamente, portanto, voc deve verificar a pasta compartilhada e permisses de ACL na pasta.

A latncia de replicao: Lembre-se que a topologia de replicao DFS armazenad no DS do domnio AD; conseqentemente, h alguma latncia antes de qualquer modificao no names pace DFS replicado para todos controladores de domnio.

Informaes Adicionais

Para obter informaes adicionais, visite o site TechNet da Microso ft: http://technet.microsoft.com/en-us/library/cc962144.aspx. ----------------------- Pgina 523----------- -----------Otimizando Acesso de dados para filiais 11-33

Laboratrio A: Implementando DFS

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para SVR1-6421B-NYC.

Cenrio Lab

Contoso implantou uma nova filial. Este escritrio tem um nico servidor. P ara apoiar a equipe filial requisitos, voc deve configurar o DFS. Para evitar a necessidade de real izar backups remotamente, um departamento compartilhamento de arquivos na filial sero replicadas de volta para a s ede de backup centralizado. DATA replicado para a sede deve ser somente leitura.

Para este projeto, voc deve completar as seguintes tarefas:

Instale o servio de funo DFS

Configure o namespace necessrio

Configurar a replicao DFS ----------------------- Pgina 524----------- -----------11-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 1: Instalar o servio de funo DFS

Remoto

Neste exerccio, voc ir instalar o servio de funo DFS em NYC-NYC SVR1 e-DC1.

As principais funes para este exerccio so como se segue:

1.

Instale o servio de funo DFS em NYC-SVR1.

2.

Instale o servio de funo DFS em NYC-DC1.

Tarefa 1: Instalar o servio de funo DFS em NYC-SVR1

1.

Mudar para NYC-SVR1.

2. Abra o Server Manager e adicionar o servio de funo Distributed File System. Certifique-se que voc selecione DFS Namespaces e Replicao DFS.

3.

Feche o Gerenciador do Servidor.

Tarefa 2: Instalar o servio de funo DFS em NYC-DC1

1.

Mudar para NYC DC1.

2. Abra o Server Manager e adicionar o servio de funo Distributed File System. Certifique-se que voc selecione DFS Namespaces e Replicao DFS.

3.

Feche o Gerenciador do Servidor.

Resultados: No final deste exerccio, voc ter instalado os servios de funo ne cessrios em ambos os servidores. ----------------------- Pgina 525----------- -----------Otimizando A cesso de dados para filiais 11-35

Exerccio 2: Configurando o namespace necessrio

Cenrio

Neste exerccio, voc ir configurar um espao para apoiar a filial distribudos exigncia d e dados. Os escritrios de filiais necessitam de duas pastas: uma para os modelos de pesqui sa e outro para arquivos de dados.

As principais funes para este exerccio so como se segue:

1.

Use o Assistente de Novo Namespace para criar o namespace BranchDocs.

2.

Habilitar enumerao baseada em acesso para o namespace BranchDocs.

3.

Adicione a pasta ResearchTemplates ao namespace BranchDocs.

4.

Adicione a pasta DataFiles ao namespace BranchDocs.

5.

Verifique se o namespace BranchDocs.

Tarefa 1: Usar o Assistente de Novo Namespace para criar o namespace BranchDocs

1.

Mudar para NYC-SVR1.

2.

Abra o Gerenciamento DFS.

3.

Criar um novo espao com as seguintes propriedades:

Servidor: NYC-SVR1

Nome: BranchDocs

Tipo de Domnio: Domnio baseado em namespace, e selecione Ativar modo Windows Server 2008

4.

Verifique se o namespace foi criado.

Tarefa 2: Habilitar enumerao baseada em acesso para o namespace BranchDocs

Em DFS Management, na \ Contoso.com \ \ BranchDocs caixa de dilogo Propriedades, na avanada guia, selecione a enumerao baseada em acesso Enable para esta caixa de seleo na mespace.

Tarefa 3: Adicione a pasta ResearchTemplates ao namespace BranchDocs

Adicionar uma nova pasta para o namespace BranchDocs:

Nome da pasta: ResearchTemplates

Adicione um destino de pasta:

caminho: \ \ NYC-DC1 \ ResearchTemplates

Compartilhar Criar

Caminho Local: C: \ \ BranchDocs ResearchTemplates

Permisses: Todos os usurios tm permisses Ler e Escrever

Criar pasta ----------------------- Pgina 526----------- -----------11-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Tarefa 4: Adicione a pasta DataFiles ao namespace BranchDocs

Adicionar uma nova pasta para o namespace BranchDocs:

Nome da pasta: DataFiles

Adicione um destino de pasta:

caminho: \ \ \ NYC-SVR1 DataFiles

Criar partes

Caminho Local: C: \ \ BranchDocs DataFiles

Permisses: Todos os usurios tm permisses Ler e Escrever

Criar pasta

Tarefa 5: Verifique se o namespace BranchDocs

1. Em NYC-SVR1, clique em Iniciar e depois em Pesquisar programas e a rquivos de tipo caixa, \ \ Contoso.com \ BranchDocs e pressione ENTER.

2. Verifique se ambos os ResearchTemplates e arquivos de dados so visve is e, em seguida, fechar a janela.

Resultados: No final deste exerccio, voc ter criado e verificado o namespa ce DFS. ----------------------- Pgina 527----------- -----------Otimizand o Acesso de dados para filiais 11-37

Exerccio 3: Configurando a Replicao DFS

Remoto

Neste exerccio, voc vai configurar o DFS replicao entre NYC-NYC SVR1 e-DC1. Voc tambm far a cpia dos arquivos de dados em NYC-DC1 somente leitura.

As principais funes para este exerccio so como se segue:

1.

Crie outra Target Folder para arquivos de dados.

2.

Configurar a replicao para o namespace.

Tarefa 1: Criar um outro Target Folder para DataFiles

1. Em DFS Management, expanda Contoso.com \ BranchDocs e clique em arquivos de dados. Nos detalhes painel, observe que existe apenas um destino de pasta.

2.

Adicionar um alvo da nova pasta:

Caminho para alvo: \ \ NYC-DC1 \ DataFiles

Compartilhar Criar

Caminho Local: C: \ \ BranchDocs DataFiles

Permisses: Todos os usurios tm permisses Ler e Escrever

Criar pasta

3. Na caixa de dilogo de replicao, clique em Sim. O Assistente Replicar Pasta com ea.

Tarefa 2: Configurar a replicao para o namespace

1.

Conclua o Assistente Replicar Pasta:

Associado Principal: NYC-SVR1

No topologia

Usar padres em outros lugares e aceitar todas as mensagens

2.

Criar uma topologia de replicao novo para o namespace:

Tipo: Full Mesh

Programao e largura de banda: defaults

3. No painel de detalhes, na guia Associaes, verifique se a pasta replicada most rado em NYC-DC1 e NYC-SVR1. Boto direito do mouse NYC-DC1 e clique em Criar somente leitura.

Resultados: No final deste exerccio, voc configurou com xito a replicao DFS. ----------------------- Pgina 528----------- -----------11-38 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Preparao para o prximo laboratrio

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e , em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para SVR1-6421B-NYC.

----------------------- Pgina 529----------- -----------Otimizando Acesso de dados para filiais 11-39

Lio 5 Configurando BranchCache

BranchCache um novo recurso no Windows Server 2008 R2, que reduz a uti lizao do link WAN para o ramo escritrios. Em alguns casos, tambm pode melhorar o desempenho do aplicati vo para usurios de filiais que acessam dados na sede. Computadores da filial do escritrio do cliente usar um ca che de dados na filial para reduzir trfego atravs de um link WAN. Se voc configurar computadores clientes para usar o modo de cache distribudo, o cache contedo distribudo por computadores clientes. Se voc configurar computador es clientes para usar o cache hospedado modo, o contedo em cache mantida em um computador servidor na rede da f ilial. Voc pode personalizar as configuraes do BranchCache e executar tarefas de configur ao adicionais depois de configurar BranchCache. Voc tambm pode monitorar eventos BranchCache, trabalho e de

sempenho e BranchCache consulta infra-estrutura para verificar a configurao de servidores e uso de cache .

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como BranchCache funciona.

Descrever os requisitos de BranchCache.

Configurar definies do lado do servidor BranchCache.

Configurar definies do lado do cliente BranchCache.

Configurar Modo BranchCache.

Monitor BranchCache. ----------------------- Pgina 530----------- -----------11-40 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como funciona o Branch Cache?

Um dos desafios que enfrentam filiais melhorar o desempenho dos recurs os da intranet que so acessado a partir de sedes ou centros de dados regionais. Normalmente, as filiais so conectados por WANs, que normalmente tm taxas mais lentas de dados do que a intranet. Reduzi r a utilizao da rede na WAN conexo fornece mais largura de banda para outras aplicaes e servios.

O recurso BranchCache no Windows Server 2008 R2 e Windows 7 reduz a ut ilizao da rede no Conexes WAN entre filiais e matrizes de cache localmente arquivos frequ entemente utilizados em computadores na filial. BranchCache melhora o desempenho de aplicativo s que usam um dos os seguintes protocolos:

HTTP ou HTTPS: Protocolos utilizados por navegadores da web e outras a plicaes.

SMB, incluindo o trfego SMB assinado: protocolo usado para acessar past as compartilhadas.

Background Intelligent Transfer Service (BITS): Um componente do Windo ws que distribui contedo a partir de um servidor para clientes usando apenas largura de ba nda de rede ociosa.

BranchCache recupera dados de um servidor quando o cliente solicita os dados. Devido BranchCache um cache passivo, ele no vai aumentar o uso WAN. BranchCache armazena apen as as solicitaes de leitura e no ser interferir quando um usurio salva um arquivo.

BranchCache melhora a capacidade de resposta de aplicaes comuns de rede que o acesso intranet servidores atravs de links WAN lentos. Porque BranchCache no requer infra-estrutura adicional, voc pode melhorar o desempenho de redes remotas com a implantao do Windows 7 para computad ores cliente e Windows Server 2008 R2 para servidores, e permitindo o recurso BranchCache.

BranchCache funciona perfeitamente com tecnologias de segurana de rede, incluindo Secure Sockets Layer (SSL), A assinatura SMB, e no fim-de-final Segurana IP (IPsec). Pode usar Bran chCache para reduzir a rede

utilizao de banda e melhorar o desempenho do aplicativo, mesmo se o cont edo criptografado. ----------------------- Pgina 531----------- -----------Oti mizando Acesso de dados para filiais 11-41

Voc pode configurar BranchCache usar o modo de cache hospedado ou o modo de cache distribudo.

Cache Hosted: Este modo opera pela implantao de um computador que est executando o Windows Server 2008 R2 como um host na filial. Os computadores clientes esto configurados com o domnio totalmente qualificado nome (FQDN) do computador host para que eles possam recuperar o contedo do c ache hospedado quando

disponvel. Se o contedo no est disponvel no cache hospedado, o contedo recuperad a partir do contedo servidor por meio de um link WAN e ento fornecida ao cache hospedado para qu e o cliente subseqente os pedidos podem obt-lo de l.

Cache Distribudo: Voc pode configurar BranchCache no modo de cache distribudo para remoto pequeno escritrios sem a necessidade de um servidor Windows Server 2008 R2-based. Ne ste modo, local Windows 7 clientes manter uma cpia do contedo e disponibiliz-lo para outros clientes aut orizados que solicitam o mesmos dados. Isso elimina a necessidade de ter um servidor na filial. No e ntanto, ao contrrio do Hospedado Modo de cache, essa configurao funciona atravs de uma sub-rede nica. Alm disso, os clientes que hibernam ou se desconectar da rede no ser capaz de fornecer contedo para outros cliente s solicitantes.

Quando o BranchCache est habilitado no computador cliente eo computador servidor, o computador cliente realiza o seguinte processo para recuperar dados quando usando o HTTP, HTTPS, ou

protocolo SMB:

1. O computador cliente que est executando o Windows 7 se conecta a um computad or servidor de contedo que est sendo executado Windows Server 2008 R2 na sede e pedidos de contedo semelhante maneira como ele iria recuperar contedo sem usar BranchCache.

2. O computador servidor de contedo na sede autentica o usurio e verifica se o u surio autorizado a acessar os dados.

3. O computador servidor de contedo na sede retorna identificadores ou hashes d o contedo solicitado para o computador cliente em vez de enviar o contedo em si. O computador do servidor de contedo envia que dados sobre a conexo mesmo que o contedo teria sido enviado normalmente.

4.

Usando identificadores recuperados, o computador cliente faz o seguinte:

Se estiver configurado para usar o cache distribudo, os multicasts computado r cliente na sub-rede local para encontrar outros computadores clientes que j baixaram o contedo.

Se estiver configurado para usar o cache hospedado, as buscas do computador cliente para o contedo da configurado cache hospedado.

5. Se o contedo est disponvel na filial, seja por um ou mais clientes ou no cache hospedado, o computador cliente recupera os dados de dentro da filial e garante que os dados so atualizados e no foi adulterado ou danificado.

6.

Se o contedo no est disponvel no escritrio remoto, o computador cliente recupera

o contedo diretamente do computador do servidor atravs do link WAN. O computador cliente em seguid a, torna-o disponvel em da rede local para outros computadores clientes que requisitem o (modo de c ache distribudo) ou envia para o Hospedado Cache, onde disponibilizada para outros computadores clientes. ----------------------- Pgina 532----------- -----------11-42 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Requisitos BranchCache

BranchCache otimiza o fluxo de trfego entre a sede e filiais, e apenas o Windows Server Server 2008 R2 e Windows 7 clientes podem se beneficiar dele. As verses anteriores do operacional Windows sistemas no vai beneficiar desta funcionalidade. Voc pode armazenar em c ache apenas o contedo que est armazenado no Windows Server 2008 R2 servidores de arquivos ou servidores web usando BranchC ache.

Requisitos para usar BranchCache

Para usar o BranchCache, voc deve executar as seguintes tarefas:

Instale o recurso BranchCache ou o BranchCache para a rede de servios p apel arquivos no Windows Servidor Server 2008 R2 que est hospedando os dados.

Configure os clientes, quer usando a Diretiva de Grupo ou a netsh bran chcache comando service set.

Se voc quiser usar o BranchCache para cache de contedo do servidor web, voc deve instalar o BranchCache recurso no servidor web. Configuraes adicionais no so necessrio s. Se voc quiser

usar o BranchCache para o contedo do cache do servidor de arquivos, voc deve instalar o BranchCache para a Rede Arquivos servio de funo do servidor de arquivos, configurar publicao de has h para BranchCache, e criar BranchCachehabilitados os compartilhamentos de arquivos.

BranchCache compatvel com a instalao completa do Windows Server 2008 R2 e no Server Core.

Requisitos para cache distribudo e Modos de cache hospedado

No modo de cache distribudo, BranchCache funciona atravs de uma sub-rede nica. Se os computadores clientes so configurado para usar o modo de cache distribudo, de qualquer computado r cliente pode pesquisar localmente para o computador que j tenha baixado e armazenado em cache o contedo usando um protocolo de multicast chamado WS-Discovery. No modo de cache distribudo, servidores de contedo atravs do link WAN dev e executar o Windows Server 2008 R2, e os clientes no ramo devem executar o Windows 7 ou Windows Server 200 8 R2. Voc deve configurar o cliente de firewall para permitir trfego de entrada, HTTP, e WS-Discove ry. ----------------------- Pgina 533----------- -----------Ot imizando Acesso de dados para filiais 11-43

No modo de cache hospedado, os computadores clientes esto configurados com o FQDN do servidor host para recuperar o contedo do cache hospedado. Portanto, o servidor de acolhimento Branc hCache deve ter um conversor digital certificado, que utilizada para encriptar a comunicao com computadores cliente. No modo de cache hospedado, servidores de contedo atravs do link WAN deve executar o Windows Server 2008 R2. C ache Hospedado no ramo deve executar o Windows Server 2008 R2 eo cliente no ramo devem executar o Windows 7. Voc deve configurar uma

firewall para permitir o trfego HTTP de entrada do servidor de cache hospedado. E m ambos os modos de cache, BranchCache usa o protocolo HTTP para transferncia de dados entre computadores cliente eo com putador que est hospedando o dados em cache. ----------------------- Pgina 534----------- -----------11-44 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Como configurar o Servidor BranchCache

Voc pode usar BranchCache para cache de contedo web, que entregue por HT TP ou HTTPS, e armazenar em cache o contedo da pasta compartilhada, que entregue pelo protocolo SMB. Por padro, o BranchCache no estiver instalado no Windows Server 2008 R2.

A tabela a seguir lista os servidores que voc pode configurar para Bran chCache:

Descrio do Servidor

Servidor Web ou bits para configurar um servidor Windows 2008 R2 se rvidor web ou um servidor de aplicativos servidor que usa o protocolo BITS, instale o recurso BranchCache. C ertifique-se que o BranchCache servio foi iniciado. Em segu ida, configure os clientes que iro utilizar o Recurso BranchCache; nenhuma configurao a dicional do servidor web necessrio.

O servidor de arquivos BranchCache para o servio de funo de rede de ar quivos do servidor de Servios de Arquivo papel precisa ser instalado antes que v oc possa habilitar o BranchCache para qualquer arquivo aes. Depois de instalar o BranchCache par

a o servio de funo de rede de arquivos, use Diretiva de Grupo para habilitar o Bran chCache no servidor. Finalmente, voc precisa configurar cada ao de cada arquivo para h abilitar o BranchCache. Voc tambm precisa configurar os clientes que iro utilizar o recurso BranchCache.

Hospedado servidor de cache Para o modo de cache hospedado, voc deve adicionar o recurso BranchCache ao Servidor Windows Server 2008 R2 que voc est configurando como um cache hospedado servidor. Para proteger a comunicao, os computadore s cliente usam Transport Layer Security (TLS) ao se comunicar com o servidor de cache hospedado. Para suportar a autenticao, servidor de cache hospedado deve ser co nfigurado com um certificado que confivel por clientes e adequado para autenticao d o servidor. Por padro, BranchCache aloca cinco por c ento de espao em disco no ativo partio para hospedagem de dados em cache. No entanto, voc pode alterar esse valor usando Diretiva de Grupo ou a ferramenta netsh . ----------------------- Pgina 535----------- -----------Otimizan do Acesso de dados para filiais 11-45

Configurar as definies do cliente BranchCache

Voc no precisa instalar o recurso BranchCache no Windows 7 porque BranchCache j est includo no Windows 7. No entanto, BranchCache est desativado por padro em computado res cliente. Para ativar e configurar BranchCache, voc precisa executar os seguintes passos:

1.

Habilitar BranchCache.

2.

Ativar o modo de cache distribudo ou o modo de cache hospedado.

3.

Configure o firewall do cliente para permitir protocolos BranchCache.

Habilitar BranchCache

Se voc ativar o cache distribudo ou o modo de cache hospedado sem habilitar o Bran chCache geral recurso, o recurso BranchCache ainda ser desativado nos computadores cliente. No entanto, voc pode ativar o recurso BranchCache em um computador cliente sem habilitar o modo de cache dis tribudo ou o Hospedado modo de cache. Nesta configurao, o computador cliente usa apenas o cache local e no tentar fazer o download de outros clientes BranchCache na mesma sub-rede ou de u m servidor de cache hospedado. Portanto, vrios usurios de um nico computador pode se beneficiar de um cache compar tilhado local nesta cache local de modo.

Ativando o modo de cache distribudo ou Hospedado Modo Cache

Voc pode ativar o recurso BranchCache em computadores cliente usando poltica de gr upo ou o netsh branchcache definir comando de servio.

Para configurar as definies do BranchCache usando poltica de grupo, execute os segu intes passos para um domnio baseado em Objeto de Diretiva de Grupo:

1.

Abra o Group Policy Management Console.

2. Navegue at Computer Network Configuration-> Polticas-> Modelos Administrativo s-> e clique em BranchCache. ----------------------- Pgina 536----------- -----------11-46 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

3. Ligue BranchCache e defina a Cache do Distributed ou o modo de ca che hospedado.

Para configurar as definies do BranchCache usando o netsh branchcache co mando de servio conjunto, realizar a seguintes etapas:

1.

Use a sintaxe netsh a seguir para o modo distribudo:

netsh branchcache modo de servio set = distribuda

2.

Use a sintaxe netsh a seguir para o modo hospedado:

netsh branchcache conjunto modo de servio = localizao hostedclient = server> Cache <Hosted

Configurando o Firewall do cliente para permitir Protocolos BranchCach e

No modo de cache distribudo, os clientes BranchCache usar o protocolo H TTP para transferncia de dados entre computadores cliente e do protocolo WS-Discovery para a descoberta de contedo em cache. Voc deve configurar o firewall do cliente para permitir que as seguintes regras de entrada:

Recuperao BranchCache-Content (Usa HTTP)

BranchCache-Peer Discovery (Usa WSD)

No modo de cache hospedado, os clientes BranchCache usar o protocolo H TTP para transferncia de dados entre o cliente computadores, mas ele no usa o protocolo WS-Discovery. No modo de cache hospedado, voc deve configurar o firewall do cliente para permitir que a regra de entrada, BranchCache-Content Retrieval (Usa HTTP).

Tarefas de configurao adicionais para BranchCache

Depois de configurar BranchCache, os clientes podem acessar os dados a rmazenados em cache em BranchCache habilitado contedo servidores, disponvel localmente na filial, e no atravs de um link WAN le nto. Voc pode modificar Configuraes BranchCache e executar tarefas de configurao adicionais, tais como:

Definir o tamanho do cache

Definio da localizao do servidor de cache hospedado

Limpar o cache

Criar e reproduzir uma chave compartilhada para uso em um cluster de s ervidor ----------------------- Pgina 537----------- -----------Otimi zando Acesso de dados para filiais 11-47

Demonstrao: Como configurar o modo BranchCache

Esta demonstrao mostra como:

Habilitar BranchCache em um servidor de arquivos. ----------------------- Pgina 538----------- -----------11-48 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Monitoramento BranchCache

Aps a configurao inicial, voc pode querer verificar se BranchCache est conf igurado corretamente e funcionando corretamente. Voc pode usar o show status netsh branchcache todos os comandos para exibir a BranchCache status do servio. No cliente e servidores de cache hospedad o, informaes adicionais, tais como o localizao do cache local, o tamanho do cache local, eo status das regras de firewall para HTTP e WS-Discovery protocolos que usa BranchCache mostrado.

Voc tambm pode usar as seguintes ferramentas para monitorar BranchCache:

Visualizador de eventos: os eventos do Monitor BranchCache no Visualiz ador de eventos.

Contadores de desempenho: acompanhamento dos trabalhos BranchCache e d esempenho usando o BranchCache monitorar contadores de desempenho. Contadores BranchCache do mon itor de desempenho so a depurao til ferramentas para controlar a eficcia da BranchCache e sade. Voc tambm pode usar BranchCache monitor de desempenho para determinar a economia de largura de ba nda no modo de cache distribudo ou no modo de cache hospedado. Se voc tiver System Center Operations Manager 2007 SP2 implementado no ambiente, voc pode usar BranchCache Management Pack para o Syst em Center Operations

Manager 2007. ----------------------- Pgina 539----------- -----------Otimizando Acesso de dados para filiais 11-49

Laboratrio B: Implementando BranchCache

Instalao de laboratrio

Importante Voc deve reconfigurar o 6421B-NYC-CL2 computador para o privado rede So fornecidas instrues para isso.

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5. No Hyper-V Manager , clique 6421B-NYC-CL2, e no painel Aes, clique em Configuraes.

6. Em Configuraes para 6421B-NYC-CL2 caixa de dilogo, no painel de naveg ao, clique em adaptador de rede.

7. No painel Resultados da, na lista drop Rede down list, clique em R ede Privado e em seguida, clique OK. ----------------------- Pgina 540----------- -----------11-50 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Cenrio Lab

Contoso implantou uma nova filial. Este escritrio tem um nico servidor. Para apoiar a equipe filial requisitos, voc deve configurar BranchCache. Os dados so centralizados n a sede. Para reduzir WAN utilizao fora para a filial, BranchCache ser configurado para estes dados .

Para este projeto, voc deve completar as seguintes tarefas:

Execute as tarefas de configurao inicial para BranchCache

Configurar clientes BranchCache

Configurar BranchCache no servidor da filial

Acompanhar e verificar BranchCache ----------------------- Pgina 541----------- ------------

Otimizand o Acesso de dados para filiais 11-51

Exerccio 1: Executar tarefas de configurao inicial para BranchCache

Cenrio

Neste exerccio, voc ir preparar o ambiente de rede para BranchCache.

As principais funes para este exerccio so como se segue:

1.

Configure NYC DC1 para usar BranchCache.

2.

Simular ligao lenta filial.

3.

Ativar um compartilhamento de arquivo para BranchCache.

4.

Configure as regras de cliente de firewall para BranchCache.

Tarefa 1: Configurar NYC DC1 para usar BranchCache

1.

Mudar para NYC DC1.

2. Server Manager aberto e instalar o BranchCache para a rede de servio de pape l arquivos.

3.

Abra o editor de poltica de grupo local (gpedit.msc).

4.

Navegue e abra Configurao do Computador> Modelos Administrativos> Rede>

Lanman publicao Server> Hash para BranchCache. Habilite esta configurao e, em s eguida, selecione Permitir publicao de hash apenas para as pastas compartilhadas no qual BranchCache est

habilitado.

Tarefa 2: Simular ligao lenta filial

1.

Navegue at Configurao do computador> Configuraes do Windows> Policy-based QoS.

2.

Criar uma nova poltica:

Nome: Limite de para 100Kbps

Especificar Taxa de Acelerao de sada: 100

3.

Feche o Editor de Diretiva de Grupo Local.

Tarefa 3: Ativar um compartilhamento de arquivo para BranchCache

1.

Criar uma nova pasta chamada C: \ Share.

2.

Compartilhar esta pasta com as seguintes propriedades:

Sharename: Share

Permisses: padro

Cache: Ativar BranchCache

3.

Copie C: \ Windows \ System32 \ mspaint.exe para essa nova pasta.

4.

Feche todas as janelas abertas.

Tarefa 4: cliente configure regras de firewall para BranchCache

1.

Abrir a Gesto de Diretiva de Grupo.

2. Navegue at a Floresta: Contoso.com> Domnios> Contoso.com> Diretiva de Domnio P adro. Abra o poltica para edio.

3. om

Navegue at Polticas> Windows Definies> Segurana Configuraes> Firewall do Windows Advanced Security> Windows Firewall com Segurana Avanada> Regras de Entrada.

----------------------- Pgina 542----------- -----------11-52 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

4. Criar uma nova regra de firewall de entrada com as seguintes propr iedades:

Tipo de Regra: predefinida

Use BranchCache - Recuperao de Contedo (Usa HTTP)

Aco: Permitir

5. Criar uma nova regra de firewall de entrada com as seguintes propr iedades:

Tipo de Regra: predefinida

Use BranchCache - Peer Discovery (Usa WSD)

Aco: Permitir

Resultados: No final deste exerccio, voc vai ter preparado o ambiente de rede para BranchCache. ----------------------- Pgina 543----------- -----------Otimizan do Acesso de dados para filiais 11-53

Exerccio 2: Configurando os Clientes BranchCache

Cenrio

Neste exerccio, voc ir configurar NYC-CL1 e CL2-NYC com as configuraes necessrias para permitir BranchCache.

A tarefa principal para este exerccio :

1.

Configure os clientes para usar o BranchCache no modo hospedado cache.

Tarefa 1: Configurar os clientes para usar o BranchCache no modo de cache hosped ado

1.

No Editor de Gesto de Polticas, navegue at Configurao do computador> Poltica Modelos Administrativos> Rede> BranchCache.

2.

Habilite o Ligue valor BranchCache.

3. Ativar o conjunto BranchCache Hosted valor modo de cache e, em seguida, con figurar o Digite o local de hospedado valor Cache: NYC-SVR1.contoso.com.

4. Habilite o BranchCache Configure o valor de arquivos de rede e configure Di gite o

valor de ida e volta em milissegundos latncia de rede, acima do qual os arqu ivos de rede devem ser armazenados em cache o valor da filial: 0.

5.

Feche o Editor de Gesto de Polticas e Group Policy Management Console.

6. Inicie a mquina 6421B-NYC-CL1 virtual e faa logon como Contoso \ Administrado r com a senha de Pa $ $ w0rd. Abra um prompt de comando e atualizar as configuraes de Diret iva de Grupo (gpupdate / force).

7. Na janela do prompt de comando, digite netsh show status branchcache tudo e pressione ENTER.

8. Inicie a mquina 6421B-NYC-CL2 virtual e faa logon como Contoso \ Administrado r com a senha de Pa $ $ w0rd.

9.

Reconfigurar o computador para obter um endereo IPv4 automaticamente.

10. Reinicie o computador. Faa logon como Contoso \ administrador com a senha do Pa $ $ w0rd.

11. Abra um prompt de comando e atualizar as configuraes de Diretiva de Grupo (gp update / force).

12. Na janela do prompt de comando, digite netsh show status branchcache tudo e pressione ENTER.

Resultados: No final deste exerccio, voc ter configurado nos computadores cliente p ara BranchCache. ----------------------- Pgina 544----------- -----------11-54 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Configurando BranchCache no servidor da filial

Remoto

Neste exerccio, voc ir configurar o BranchCache em NYC-SVR1.

As principais funes para este exerccio so como se segue:

1.

Instale o recurso BranchCache em NYC-SVR1.

2.

Solicitar um certificado e vincul-lo ao BranchCache.

3.

Inicie o Servidor Host BranchCache.

Tarefa 1: instalar o recurso BranchCache em NYC-SVR1

1. Iniciar 6421B-NYC-SVR1. Depois que o computador iniciado, faa logo n como Contoso \ Administrator com o senha do Pa $ $ w0rd.

2.

Abra o Server Manager e adicionar o recurso BranchCache.

3.

Feche o Gerenciador do Servidor.

Tarefa 2: Solicitar um certificado e vincul-lo ao BranchCache

1. tador novo.

Usando os snap-in Certificados, solicitar um certificado de compu

2.

Abra o certificado recm-emitido (na loja de Pessoal).

3. Na guia Detalhes, visualizar o campo de impresso digital. Copie o texto da seo de detalhes para a pasta tampo.

4.

Abra um prompt de comando.

5. Execute o seguinte comando, substituindo certifcatehashvalue com o contedo do buffer de paste deixando de fora os espaos.

netsh http add sslcert ipport = 0.0.0.0:443 certhash = certifica tehashvalue appid = {d673f5ee-A714-454d-8de2-492e4c1bd8f8}

6. Na janela do prompt de comando, digite netsh show status branchcac he tudo e pressione ENTER.

Tarefa 3: Iniciar o Servidor Host BranchCache

1.

Mudar para NYC DC1.

2. Abra o Active Directory Users and Computers. Criar uma nova UO ch amado BranchCacheHost e mover NYC-SVR1 nesta OU.

3. CacheHost.

Gesto de Polticas Open Group e bloquear a herana de GPO na OU Branch

4.

Feche todas as janelas abertas.

5.

Mudar para NYC-SVR1 e reinicie o computador.

6.

Faa logon como Contoso \ administrador com a senha do Pa $ $ w0rd.

7. Na janela do prompt de comando, digite netsh branchcache definir h ostedserver servio e, em seguida, pressione ENTER.

Resultados: No final deste exerccio, voc vai ter habilitado o servidor B ranchCache na filial. ----------------------- Pgina 545----------- -----------Otimiza ndo Acesso de dados para filiais 11-55

Exerccio 4: Monitoramento BranchCache

Remoto

Neste exerccio, voc ir acompanhar e verificar o servio BranchCache.

As principais funes para este exerccio so como se segue:

1.

Configure o Monitor de Desempenho em NYC-SVR1.

2.

Ver estatsticas de desempenho em NYC-CL1.

3.

Ver estatsticas de desempenho em NYC-CL2.

4.

Teste BranchCache no modo hospedado cache.

Tarefa 1: Configurar o Monitor de desempenho em NYC-SVR1

1.

Abra o Monitor de desempenho.

2. No painel de navegao do console Monitor de Desempenho, em Ferramentas de Moni toramento, clique em Acompanhamento de desempenho Remova os contadores existentes, mudar para um a vista de relatrio e, em seguida adicionar o BranchCache objeto para o relatrio.

Tarefa 2: As estatsticas de desempenho de Exibio em NYC-CL1

1.

Mudar para NYC-CL1.

2.

Abra o Monitor de desempenho.

3. No painel de navegao do console Monitor de Desempenho, em Ferramentas de Moni toramento, clique em Monitor de desempenho. Remova os contadores existentes, mudar para uma vist a de relatrio e, em seguida adicionar o BranchCache objeto para o relatrio.

Tarefa 3: Visualizao de estatsticas de desempenho em NYC-CL2

1.

Mudar para NYC-CL2.

2.

Abra o Monitor de desempenho.

3. No painel de navegao do console Monitor de Desempenho, em Ferramentas de Moni toramento, clique em Acompanhamento de desempenho Remova os contadores existentes, mudar para um a vista de relatrio e, em seguida adicionar o BranchCache objeto para o relatrio.

Tarefa 4: BranchCache teste no modo hospedado cache

1.

Mudar para NYC-CL1.

2. Abrir \ \ NYC-DC1.contoso.com share \ e copie o arquivo executvel para o amb iente de trabalho local. Isso poderia demorar alguns minutos devido ao link simulado lento.

3. Leia as estatsticas de desempenho em NYC-CL1. Este arquivo foi retirado do N YC DC1-(Recuperao: Bytes do servidor). Depois que o arquivo estava armazenado em cache localme nte, ele foi passado para o cache hospedado. (Recuperao: Servido Bytes).

4.

Mudar para NYC-CL2.

5. Abrir \ \ NYC-DC1.contoso.com share \ e copie o arquivo executvel para o amb iente de trabalho local. Este deve No demorou muito, pois o arquivo armazenado em cache. ----------------------- Pgina 546----------- -----------11-56 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

6. Leia as estatsticas de desempenho em NYC-CL2. Este arquivo foi obt ido a partir do cache hospedado (Recuperao: Bytes de Cache).

7. Leia as estatsticas de desempenho em NYC-SVR1. Este servidor tem o ferecido dados em cache para os clientes (Hosted Cache: segmento de arquivo Client oferece feita).

Resultados: No final deste exerccio, voc vai ter verificado a funo de Bran chCache.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o

seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4. C-CL2.

Repita essas etapas para 6421B-NYC-SVR1, 6421B-NYC-CL1 e 6421B-NY

----------------------- Pgina 547----------- -----------O timizando Acesso de dados para filiais 11-57

Reviso do mdulo e Takeaways

Questes de Reviso

1.

Como voc pode usar o DFS na sua implantao Servios de Arquivo?

2. replicao?

O que a configurao do Associado Principal fazer quando configurar a

3. DFS?

Que tipo de tecnologia de compresso usado pelo Windows Server 2008

4.

Como BranchCache diferir DFS?

5. Por que voc deseja implementar BranchCache no modo hospedado cache em vez de cache distribudo modo?

Windows Server 2008 Caractersticas R2 introduzidas neste mdulo

Windows Server 2008 Descrio recurso R2

Somente leitura pastas replicadas Capacidade de configurar somente le itura pastas replicadas da DFS Console de gerenciamento

Failover de cluster suporte suporte de cluster de failover de DFS

BranchCache ajuda a acelerar o acesso a arquivos cache-los em um loca l computador ou em um servidor na filial ----------------------- Pgina 548----------- -----------11-58 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Ferramentas

Usar a ferramenta para Onde encontr-lo

Dfsutil Executar operaes avanadas em Em um servidor de namespace, Dfsut il tipo de Namespaces DFS no prompt de comando.

Dfsdiag Configurar e monitorar DFS Em um servidor de namespace, Dfsd iag tipo de o prompt de comando.

Dfsrdiag replicao Monitoramento Em um servidor de namespace dfsrdiag t ipo, em

o prompt de comando.

Dfscmd.exe Scripting tarefas bsicas DFS como em um servidor de namesp ace, tipo dfscmd em configurar DFS razes e metas prompt de comando .

DFS Gesto Executar tarefas relacionadas com a DFS Clique em Iniciar, aponte para Administrao namespaces e ferramentas de replicao e, em segu ida, clique em Gerenciamento DFS.

Netsh Configurando configuraes de rede, de linha de comando incluindo os que so relevantes para BranchCache, e exibir Estado BranchCache ----------------------- Pgina 549----------- -----------12.1.

Mdulo 12

Controle e Monitoramento de armazenamento de rede

Contedo:

Lio 1: Armazenamento Rede de Monitoramento 12-3

Lio 2: Utilizao de armazenamento de Controle de Rede 12-10

Lio 3: Gerenciando Tipos de arquivos na rede de armazenamento 12-16

Laboratrio: Controle e Monitoramento de armazenamento de rede 12-28 ----------------------- Pgina 550----------- -----------12-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

Armazenamento de rede para os usurios um recurso finito que deve ser ge renciado de forma adequada para garantir que ele permanece disponvel para todos os usurios. Se o armazenamento de rede no monitorado e gerenciado, ele pode tornar-se cheio de dados irrelevantes, como o pessoal da msica ou filmes. Aumentos irrelev antes de dados de rede de armazenamento e os custos em alguns casos pode evitar que dados teis a partir da colocao no armazename nto em rede. Resource File Server Manager (FSRM) pode ser usado para monitorar e gerenciar o armazenamen to em rede.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever como monitorar o armazenamento de rede usando FSRM.

Explicar como gerenciar cotas usando FSRM.

Descrever como implementar o bloqueio de arquivos, gerenciamento de cl assificao, e as tarefas de gerenciamento de arquivos por usando FSRM. ----------------------- Pgina 551----------- -----------Co ntrole e Monitoramento de armazenamento de rede 12-3

Lio 1 Monitoramento de armazenamento de rede

FSRM uma funo de servidor para Windows Server 2008 que ajuda a monitorar e controlar o armazenamento em rede. Para monitor de armazenamento de rede, FSRM inclui uma srie de relatrios que v oc pode usar para identificar o crescimento do armazenamento e outras questes que esto relacionadas com armazenamento em rede. Os rela trios podem ser agendadas ou criadas on-demand.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Explicar os desafios de gerenciamento de armazenamento.

Descrever File Server Resource Manager.

Discutir relatrios de armazenamento.

Descrever as formas de gerar relatrios de armazenamento.

Instalar e configurar o File Server Resource Manager. ----------------------- Pgina 552----------- -----------12-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Discusso: Desafios de Gerenciamento de Armazenamento

Gerenciamento de armazenamento o processo de planejamento, implementao, anlise e otimizao dos mtodos, ferramentas e componentes que so usados amento. medida que o tamanho e no ambiente da organizao de armazen

complexidade dos dados aumenta, a necessidade de gerenciamento de capa cidade tambm aumenta. Para atender com eficcia necessidades de armazenamento de sua organizao, voc precisa controlar a f orma como muita capacidade de armazenamento est disponvel, como muito espao de armazenamento que voc precisa para uma futura expanso, e c omo voc est usando o armazenamento do meio ambiente.

Pergunta: Quais so alguns dos desafios de gerenciamento de armazen amento em sua organizao? ----------------------- Pgina 553----------- -----------Con trole e Monitoramento de armazenamento de rede 12-5

O que o File Server Resource Manager?

File Server Resource Manager (FSRM) um servio de funo da funo Servios de Arquivos no indows Server 2008 que atua como uma soluo de gerenciamento de armazenamento para servidores de arquivos. Ele fornece um conjunto robusto de ferramentas e capacidades que permitem que voc efetivamente gerenciar e monitorar a capacidade do seu servi dor de armazenamento.

FSRM contm cinco componentes que trabalham juntos para fornecer uma soluo de gerenc iamento de capacidade:

Cotas: A funcionalidade de quota em FSRM permite que voc defina limites de armaze namento em volumes ou pastas. Voc pode usar isso para controlar o armazenamento que usado por indivduos ou departam entos.

triagem de arquivo: A capacidade de triagem de arquivo no FSRM permite controlar quais tipos de arquivos podem ser armazenado em um compartilhamento de arquivo. Tipos de arquivos so identific ados pela extenso do arquivo.

Relatrio de armazenamento: Os relatrios de armazenamento em FSRM pode ser usado pa ra identificar quota de utilizao de triagem de arquivo,

atividade, e muito mais. Estes relatrios podem ajudar a identificar reas de i nteresse que precisam ser abordadas.

Classificao: As capacidades de classificao em FSRM permitir que arquivos sejam ident ificados como um tipo particular ou Classificao O arquivo pode ser gerido com base na classificao. Essa funcionalid ade est disponvel apenas no Windows Server 2008 R2.

Gerenciamento de Arquivos: A funcionalidade de gerenciamento de arquivo no FSRM permite que voc para expirar automaticamente arquivos ou executar tarefas de arquivo personalizado de gesto que so definid as por um script. Esta funcionalidade disponvel apenas no Windows Server 2008 R2. ----------------------- Pgina 554----------- -----------12-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quais so os relatrios de armazenamento?

FSRM pode gerar relatrios que ajudam a entender o uso do armazenamento de arquivo em um servidor de arquivos. Voc pode usar o armazenamento de relatrios para monitorar os padres de uso de disco (po r tipo de arquivo ou usurio), identificar arquivos duplicados e dormentes arquivos, uso da cota da faixa, e de triagem de arquivo de auditoria.

A maioria dos relatrios de armazenamento tm configurvel parmetros que det erminam o contedo do relatrio. Por exemplo, alguns relatrios permitem que voc selecione volumes ou pastas especficas em que a relatar.

A tabela a seguir descreve cada relatrio de armazenamento disponvel:

Relatrio Descrio

Arquivos duplicados lista arquivos que parecem ser duplicatas (arqu ivos com o mesmo tamanho e ltima modificado tempo). Utilize este rela trio para identificar e recuperar espao em disco que desperdiado devido duplicidade de arq uivos.

Arquivo lista de Triagem de Auditoria de arquivos de rastreamento e ventos que ocorreram no servidor para um determinado Nmero de dias Utilize este relatrio pa ra identificar os usurios ou aplicativos que violam polticas de triagem.

Arquivos por Grupo de Arquivos Lista arquivos que pertencem a grupo s de arquivos especficos. Utilize este relatrio para identificar arquivos grupo de padres de uso e grupos de ar quivos que ocupam grandes quantidades de espao em disco. Isto pode ajud-lo a determinar que as telas de arquivo para configurar no servidor.

Arquivos por arquivos Proprietrio listas que so agrupados por proprie trios de arquivos. Utilize este relatrio para analisar o uso padres no servidor e os usurios que co nsomem grandes quantidades de espao em disco.

Arquivos por arquivos de Propriedade listas, os valores de uma prop riedade de classificao especial. Utilize este relatrio para observar os padres de arquivos de uso de classificao. ----------------------- Pgina 555----------- -----------C ontrole e Monitoramento de armazenamento de rede 12-7

(continuao)

Relatrio Descrio

Arquivos de grandes Lista ficheiros que so de um tamanho especfico ou maior. Ut ilize este relatrio para identificar arquivos que esto consumindo mais espao em disco no servid or. Isso pode ajudar voc recuperar rapidamente grandes quantidades de e spao em disco.

Menos Recentemente Lista arquivos que no tenham sido acessados ico de dias. Este lata Arquivos acessados quivados e retirados

por um nmero especf que podem ser ar

ajud-lo a identificar os dados raramente usados o servidor.

Mais recentemente Lista arquivos que foram acessados cado de dias. Utilize este

dentro de um nmero especifi com freqncia que devem

Arquivos acessados relatrio para identificar os dados usados er altamente disponveis.

Uso da cota Lista quotas para as quais o uso da cota maior do que uma porcent agem especificada. Utilize este relatrio para identificar cotas co m nveis altos de uso de modo que voc possa tomar ao apropriada. ----------------------- Pgina 556----------- -----------12-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

As formas de gerar relatrios

Voc pode criar programada ou relatrios sob demanda. Os relatrios podem ta mbm ser gerado automaticamente para notificar quando um usurio exceder um limite de cota ou salva um arquivo no autori zado.

Os relatrios programados so gerados por uma tarefa de relatrio. A tarefa

de relatrio um conjunto de relatrios de gerenciamento de armazenamento que funcionam com base em um cronograma. A tarefa de relatrio especific a que relata para gerar e quais parmetros para usar, que volumes e pastas para relatar, quantas vezes para gerar os r elatrios, e quais os formatos de arquivo para guard-las dentro

On-demand relatrios so gerados por um administrador que est selecionando a opo de gerar relatrios Agora. Normalmente, esse tipo de relatrio usado para solucionar problem as ou para verificar rapidamente em armazenamento informao que no est includo em um relatrio agendado.

Relatrios gerados automaticamente so configurados como parte de triagem de arquivo ou de gesto de quotas. Como parte do a triagem de arquivos e configurao de gerenciamento de cota, voc pode opt ar por ter relatrios automaticamente gerada quando os usurios salvam arquivos imprprios ou exceder sua cota.

Independentemente de como voc gerar um relatrio, ou se voc optar por exib ir o relatrio imediatamente, o relatrio salvo no disco. Relatrios de incidentes so salvos na dinmica form ato HTML (DHTML). Voc pode salvar relatrios programados e sob demanda em DHTML, HTML, XML, CSV e f ormatos de texto.

Relatrios agendados, sob demanda relatrios e relatrios de incidentes so gu ardadas em subdiretrios separados do % Systemdrive% \ StorageReports \ pasta. ----------------------- Pgina 557----------- -----------Controle e Monitoramento de armazenamento de rede 12-9

Demonstrao: Como instalar e configurar o FSRM

Esta demonstrao mostra como:

Instale FSRM.

Veja as opes de configurao FSRM. ----------------------- Pgina 558----------- -----------12-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2 Controlar a utilizao de armazenamento em rede

Uma das maneiras que voc pode garantir que a armazenagem adequada est dis ponvel para os usurios por definio e quotas de monitoramento. O gerenciamento de cota fornecida pela FSRM pe rmite monitorar e limitar o tamanho das pastas individuais. Isso diferente de quotas NTFS que so baseados apenas em que o usurio possui arquivos. Para simplificar o aplicao das quotas, voc pode usar modelos de cota.

Objetivos

Aps concluir esta lio, voc ser capaz de:

Descrever o gerenciamento de quota.

Explique como cotas FSRM so diferentes das quotas NTFS.

Descrever modelos de cota.

Criar e configurar uma cota.

Explique como monitorar o uso da cota. ----------------------- Pgina 559----------- -----------Contr ole e Monitoramento de armazenamento de rede 12-11

O que Gerenciamento de Cota?

Voc pode usar o gerenciamento de cotas para limitar o espao em disco alocado para volumes ou pastas no arquivo servidores. Usando quotas, voc pode gerenciar as restries de capacidade em uma vari edade de maneiras. Por exemplo, voc pode usar uma cota para garantir que os usurios individuais no consumir quantidades excessiv as de armazenamento com a sua casa unidades, ou limitar a quantidade de espao consumido a pasta compartilhada que us ado por um determinado departamento.

Dois tipos diferentes de quotas pode ser criado:

Uma cota rgida impede que os usurios salvem arquivos depois que o limite de espao a tingido, e gera notificaes quando o volume de dados atinge cada limite configurado.

Uma cota flexvel no impe o limite de cota, mas gera todas as notificaes configuradas.

Para determinar o que acontece quando as abordagens limite da cota, voc pode conf igurar limites de notificao. Para cada limite que voc definir, voc pode enviar notificaes por email, registrar um evento, executar um comando ou script ou gerar relatrios de armazenamento. Por exemplo, voc pode querer para noti ficar o administrador eo usurio que salvou o arquivo quando uma pasta atinge 85 por cento do seu limite de cota e, em seguida, enviar uma outra notificao quando o limite de cota seja alcanada. Em alguns casos, voc pode querer executar u m script que aumenta o limite de cota automaticamente quando um limite atingido.

----------------------- Pgina 560----------- -----------12-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Cotas do FSRM contra cotas de disco NTFS

Quotas NTFS permitem que um administrador declarar um limite de armaze namento em geral em uma base de usurio individual para uma NTFS formatado volume em um servidor de arquivos. Este mtodo controla o consumo de um usurio de armazenamento em todo o volume, independentemente da pasta que est dentro quotas NTFS no conta p ara a compresso NTFS, que significa que mesmo que um arquivo compactado pode ocupar menos espao fs ico do que se fosse sem compresso, a quota ser aplicada com base no tamanho descompactado do arquivo.

Quotas NTFS disco so baseadas na propriedade do arquivo, contas do sist ema de modo de funcionamento no so imunes disco quotas. Contas do sistema, tais como o sistema local, tambm so suscetveis a ficar sem espao em disco devido cotas de disco para ter sido definida.

FSRM gerenciamento de cota apresenta algumas vantagens sobre quotas NT FS. A tabela a seguir estabelece a diferena fundamental entre FSRM gesto baseada em quotas e u sando cotas de disco NTFS:

Quotas de cota de recursos NTFS FSRM Quotas

Quota de rastreamento por usurio em um volume Por pasta ou em volume

Disk uso clculo do tamanho do arquivo lgico relatado por NTFS espao em disco real

Evento mecanismos de notificao registra apenas e-mail, relatrios perso nalizados, execuo

comandos ou scripts, logs de eventos ----------------------- Pgina 561----------- -----------Contr ole e Monitoramento de armazenamento de rede 12-13

Quais so os modelos de cotas?

Um modelo de cota define um limite de espao, o tipo de cota (rgida ou flexvel), e u m conjunto de notificaes a ser gerado quando o limite de cota abordado ou ultrapassado. Modelos de cota simplif icar a criao e manuteno de quotas. Usando um modelo de cota, voc pode aplicar um limite de armazen amento padro e um conjunto padro de limiares de notificao para muitos volumes e pastas nos servidores em toda a sua organizao.

Se baseando suas cotas em um modelo, voc pode atualizar todos os contingentes que so baseados no modelo editando esse modelo. Este recurso simplifica atualizao das propriedades das quotas, fornec endo um ponto central onde Os administradores de TI podem fazer todas as alteraes.

Por exemplo, voc pode criar um modelo de cota de usurio que voc usar para colocar u m limite de 200 MB no pessoal pasta de cada usurio. Para cada usurio, voc deve ento criar uma cota com base no mod elo de cota do usurio e atribu-lo para a pasta do usurio. Se voc decidir mais tarde para permitir que cada utilizador de espao adicional no servidor, voc s alterar o limite de espao no modelo de cota do usurio e escolher para atualizar ca da quota que se baseia em que modelo de cota.

FSRM tambm pode gerar cotas automaticamente. Quando voc configura uma quota auto-a plicar, voc aplica um modelo de cota para um volume ou pasta pai. Em seguida, uma quota que baseado no

modelo criado para cada uma das subpastas existentes, e uma cota gerado automaticamente para cada n ova subpasta que criado. ----------------------- Pgina 562----------- -----------12-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como criar e configurar uma cota

Esta demonstrao mostra como:

Criar um novo modelo de cota.

Criar uma nova cota com base em um modelo de cota.

Gerar uma quota de notificao. ----------------------- Pgina 563----------- -----------Controle e Monitoramento de armazenamento de rede 12-15

Uso da cota de monitoramento

Alm da informao nas notificaes que so enviados por quotas, voc pode encontrar uso da c ta por visualizar as quotas no console FSRM, gerando um relatrio Uso de Cota, ou pela cr iao de cotas flexveis para monitorar o uso geral do disco. Use o relatrio de uso da cota para identific ar cotas que poder em breve ser excedido para que voc possa tomar a ao apropriada.

Para monitorar o uso geral do disco, voc pode criar cotas flexveis para volumes ou compartilhamentos. FSRM fornece o

seguindo modelos predefinidos que voc pode usar (ou adaptar) para essa finalidade :

Monitor 200 Uso de Volume GB

Monitor de 500 Compartilhar MB ----------------------- Pgina 564----------- -----------12-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 3 Gerenciando Tipos de arquivo em Armazenamento de Rede

Alm de controlar o volume de armazenamento utilizado em um servidor de a rquivos que o uso de cotas, voc pode querer para controlar o tipo de arquivos que so armazenados no servidor. FSRM i nclui triagem de arquivo, classificao e gerenciamento de arquivo para ajudar a controlar o contedo que permitido em um servidor e gerenciar esse contedo.

Objetivos

Aps concluir esta lio, voc ser capaz de:

Descrever a triagem de arquivos.

Descrever os componentes de triagem de arquivo.

Configurar triagem de arquivo.

Descrever o gerenciamento de classificao.

Descrever como as regras de classificao so usados

para atribuir automaticame

nte as propriedades de classificao.

Configurar o gerenciamento de classificao.

Descrever o gerenciamento de arquivo. ----------------------- Pgina 565----------- -----------Cont role e Monitoramento Armazenamento de Rede 12-17

O que triagem de arquivo?

Triagem de arquivo permite que voc crie telas de arquivos para bloquear os arquiv os sejam salvos em um volume ou em uma pasta rvore. Uma tela de arquivo afeta todas as pastas no caminho designado. Voc pode us ar grupos de arquivos para controlar os tipos de arquivos que as telas de arquivo gerenciar. Por exemplo, voc pode criar uma tela de arquiv o para evitar que usurios armazenem udio e arquivos de vdeo em suas pastas pessoais no servidor.

Como todos os componentes do FSRM, voc pode optar por gerar notificaes por correio electrnico ou outro, quando um arquivo evento de triagem ocorre.

Tela Tipos de arquivo

Uma tela de arquivo pode ser ativa ou passiva:

triagem ativa impede que os usurios salvem os tipos de arquivos no autorizados no servidor e gera configurado notificaes quando tentam faz-lo.

O rastreio passivo envia notificaes configuradas para usurios que esto salvando os t ipos de arquivos especficos, mas faz

no impede os usurios de salvar esses arquivos.

Nota: Uma tela de arquivo no impede que usurios e aplicaes de acessar arquivo s que foram salvo no caminho antes que a tela arquivo foi criado, independentemente d e os arquivos so membros de grupos de arquivos bloqueados. ----------------------- Pgina 566----------- -----------12-18 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Triagem Componentes do Arquivo

Para configurar o bloqueio de arquivos, voc precisa entender os diferen tes componentes que podem ser configurados. Arquivo triagem baseia-se nos grupos de arquivos de configurao, modelos de triag em de arquivos e excees de triagem de arquivo.

Grupos de arquivos

Um grupo de arquivos consiste em um conjunto de padres de nomes de arqu ivos, que so agrupados em arquivos a serem includos e arquivos excluir. Normalmente, os padres de nomes de arquivos so baseados em exte nses de arquivo, como *. Mp3 ou *. Doc. Uma tela de arquivo inclui uma lista de grupos de arquivos que se aplica.

FSRM fornece grupos padro vrios arquivos, que voc pode exibir em Gerencia mento de Triagem de Arquivo, clicando em o arquivo n Grupos. Voc pode definir grupos de arquivos adicionais ou al terar os arquivos para incluir e excluir. Qualquer mudana que voc faz para um grupo de arquivos afeta todas as tel as de arquivos existentes, modelos e relatrios a que o grupo do arquivo foi adicionado.

Tela modelos de arquivo

Para simplificar o gerenciamento tela de arquivo, voc pode criar suas t elas de arquivo com base em modelos de triagem de arquivos. POR criao de telas de arquivo exclusivamente a partir de modelos, voc pode ge renciar suas telas de arquivo central atravs da actualizao os modelos em vez de telas de arquivo individual.

Um modelo de tela de arquivo define o seguinte:

Os grupos de arquivos para bloquear

Tipos de seleo para realizar

Notificaes de ser gerados ----------------------- Pgina 567----------- -----------C ontrole e Monitoramento de armazenamento de rede 12-19

Tela Excees arquivo

Ocasionalmente, voc precisa permitir excees para o arquivo de rastreio. Por exemplo , voc pode querer bloquear o vdeo arquivos de um servidor de arquivos, mas voc precisa permitir que o seu grupo de treinamento para salvar arquivos de vdeo para o seu computador base de treinamento. Para permitir que os arquivos que as telas de arquivo outro s esto bloqueando, criar uma exceo de triagem de arquivo.

Uma exceo tela arquivo um tipo especial de tela do arquivo que voc pode criar para substituir qualquer triagem de arquivo que seria aplicvel a uma pasta e todas as suas subpastas em um caminho de exceo des ignado. Isto , ele cria uma exceo a todas as regras que so derivados de uma pasta pai. Para determinar quais tipos de arquivos que a exceo permitir, grupos de arquivos so atribudos.

----------------------- Pgina 568----------- -----------12-20 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como implementar triagem de arquivo

Esta demonstrao mostra como:

Criar um grupo de arquivos.

Criar um modelo de tela de arquivo.

Criar uma tela de arquivo usando um modelo de tela de arquivo.

Teste a tela de arquivo. ----------------------- Pgina 569----------- -----------Con trole e Monitoramento de armazenamento de rede 12-21

O que a classificao do arquivo?

Classificao arquivo define propriedades e valores para os arquivos. Voc pode ento ge renciar arquivos com base naquelas propriedades e valores. Voc pode usar essa funcionalidade em servidores de arquiv os para classificar o documento em categorias e, em seguida, gerenciar os documentos com base nessas categorias.

A maioria dos aplicativos gerenciar arquivos com base em sua localizao ou a pasta na qual elas esto contidas. Este conduz a estrutura de pastas complicado que muitas vezes afeta negativamente a u sabilidade dos arquivos e pastas e aumenta as exigncias administrativas.

Para reduzir o custo eo risco associado a este tipo de gerenciamento de dados, a classificao do arquivo infra-estrutura utiliza uma plataforma que permite aos administradores classific ar arquivos e aplicar polticas com base no que Classificao O layout de armazenamento no afetada por requisitos de gesto de dados e da organizao pode se adaptar mais facilmente a um negcio em mudana e ambiente regulatrio.

Os ficheiros podem ser classificados em uma variedade de maneiras. Na maioria do s cenrios, a classificao feita manualmente. O arquivo classificao no Windows Server 2008 R2 permite que as organizaes para converter esses processos manuais em polticas automatizadas. Por exemplo, os arquivos de um tipo especfico pode ser exp irado aps um perodo de tempo especificado. Os administradores podem especificar as polticas de gerenciamento de arquivo com base na classificao de um arquivo e aplicar corporativa requisitos para o gerenciamento de dados com base no valor do negcio. Alm disso, o s administradores podem modificar o polticas e instrumentos de uso que suportam a classificao para gerenciar seus arqui vos.

Propriedades de classificao so usados nome da classificao

para atribuir valores aos arquivos. Voc define o

propriedade e os valores vlidos para essa propriedade. Existem vrios tipos de prop riedade muitos que voc pode escolher, incluindo: nmero, string, e uma lista de mltipla escolha. Propriedades de classifi cao so atribudos usando regras de classificao. ----------------------- Pgina 570----------- -----------12-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Algumas consideraes para a classificao de arquivos so:

Propriedades de classificao de arquivos so armazenados em fluxos de dado s NTFS alternados. Como conseqncia, se voc mover um arquivo classificado em uma unidade no-formatado NTFS, o arqui

vo vai perder as propriedades de classificao.

Propriedades de arquivo de classificao para documentos do Microsoft Off ice so armazenadas no documento como costume propriedades do documento. As propriedades de classificao armazena dos em um documento do Microsoft Office so mantidas, independentemente de onde o arquivo movido.

contedo dentro de arquivos de container, tais como. Zip ou. Vhd, no pod em ser classificadas.

contedo dentro de arquivos criptografados no podem ser classificadas.

Classificao de arquivo Observao s est disponvel em servidores de arqu vos que esto executando o Windows Server 2008 R2. ----------------------- Pgina 571----------- -----------Con trole e Monitoramento de armazenamento de rede 12-23

Quais so as regras de classificao?

Regras de classificao atribuir propriedades de classificao de arquivos. Cada regra d e classificao inclui informaes que define quais os ficheiros a regra se aplica ea propriedade de classificao a ser at ribuda. Est incluem o propriedade de classificao especfica e valor da propriedade na regra.

Voc usa o alcance de uma regra de classificao para especificar uma ou mais pastas q ue a regra de classificao ser Aplica-se a Em um servidor de arquivos, voc pode ter regras de classificao diferent es para cada departamento e aplicar regras departamentais apenas para as pastas que contm os dados para esse departam ento.

Cada regra contm um mecanismo de classificao que determina como os arquivos corresp ondentes para o Estado so selecionados. O classificador pasta seleciona arquivos com base no caminho que o arquivo est ar mazenado dentro As pesquisas classificador de contedo para strings ou expresses regulares no contedo do arquivo.

O classificador de contedo usa parmetros de classificao para definir o padro procurad o no contedo do arquivo. Voc pode definir um destes parmetros de classificao:

RegularExpression: Combinar uma expresso regular, usando a sintaxe. NET. Por exem plo, "\ d \ d \ d" vontade corresponder a qualquer nmero de trs dgitos.

StringCaseSensitive: Combinar uma string case-sensitive. Por exemplo, Confidenci al s combinar Confidenciais e no confidenciais ou confidenciais.

String: Combinar uma string, independentemente do caso. Por exemplo, confidencia l ir corresponder tanto Confidencial e CONFIDENCIAL.

Agendamento de Classificao

Voc pode executar regras de classificao de duas maneiras: sob demanda ou com base e m um cronograma. Qualquer caminho que escolher, cada vez que voc executar a classificao, ele usa todas as regras que voc deixou no e stado ativado.

Configurando uma programao de classificao permite que voc especifique um intervalo re gular em que a classificao de arquivos regras ser executado, garantindo que os arquivos do seu servidor so regularmente c lassificados e atualizados com as ltimas propriedades de classificao.

----------------------- Pgina 572----------- -----------12-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Regra Conflitos de classificao

Quando as regras de classificao mltiplas aplica a um nico arquivo, na maio ria dos casos as propriedades so combinadas. No entanto, em casos de conflito para uma propriedade nica classificao, os seguintes comportamentos sero aplicadas:

Para Sim ou No propriedades, um valor Sim tem prioridade sobre um valo r de n.

Para propriedades lista ordenada, o maior valor de propriedade tem pr ioridade.

Para propriedades de mltipla escolha, os conjuntos de propriedades so c ombinadas em um nico conjunto.

Para propriedades cordas mltiplas, um valor multistring est definido qu e contm todas as cordas originais do valores individuais de propriedade.

Para outros tipos de propriedade, ocorre um erro. ----------------------- Pgina 573----------- -----------Contro le e Monitoramento de armazenamento de rede 12-25

Demonstrao: Como configurar Classificao Arquivo

Esta demonstrao mostra como:

Criar uma propriedade de classificao.

Criar uma regra de classificao.

Criar um arquivo contendo a folha de pagamento da palavra.

Modificar o cronograma de classificao. ----------------------- Pgina 574----------- -----------12-26 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que so tarefas de gerenciamento de arquivos?

Tarefas de gerenciamento de arquivos so processos automatizados que esto programados para aplicar a grupo especfico de arquivos. Para exemplo, uma tarefa de gerenciamento de arquivos pode apagar arquivos que no foram acessados por trs anos.

Voc pode definir arquivos que sero processados icheiros atravs das seguintes propriedades:

por uma tarefa de gesto de f

Localizao

Propriedades de Classificao

Tempo de Criao

Tempo de Modificao

hora do ltimo acesso

O nome do arquivo

Voc tambm pode configurar tarefas de gerenciamento de arquivos para noti ficar os proprietrios de arquivos de qualquer poltica iminente que ser aplicado aos seus arquivos.

Vencimento Tarefas de arquivo

Tarefas de expirao de arquivo so usados para mover automaticamente todos os arquivos que correspondem a determinados critrios para uma determinada diretrio de validade, onde um administrador pode fazer backup desses ar quivos e exclu-los.

Quando uma tarefa de expirao de arquivo executado, um novo diretrio criad o dentro do diretrio de validade. O novo diretrio agrupados pelo nome do servidor em que a tarefa foi executada, e nomeado de acordo com a nome da tarefa de gerenciamento de arquivos eo tempo que ele foi execu tado. Quando um arquivo expirado encontrado, ele movido para o novo diretrio, preservando sua estrutura de diretrio original. ----------------------- Pgina 575----------- -----------Cont role e Monitoramento de armazenamento de rede 12-27

Tarefas de gerenciamento personalizado de arquivo

Expirao nem sempre uma ao desejada a ser executada em arquivos. Tarefas de gerenciam ento de arquivos tambm permitem que voc executar comandos personalizados. Um comando personalizado executado um arquivo executvel ou script para executar uma operao em os arquivos dentro do escopo da tarefa de gerenciamento de arquivos. Por exemplo , voc poderia criar um arquivo personalizado tarefa de gerenciamento que roda cipher.exe com opes para atualizar o agente de re cuperao em todos os arquivos criptografados. ----------------------- Pgina 576----------- -----------12-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Laboratrio: Controle e Monitoramento de armazenamento de rede

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. m Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique e

3. mea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual co

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

Cenrio Lab

Contoso decidiu recentemente implementar pastas home privadas para cad a usurio. Essas pastas ser um local de armazenamento alternativa para centralizadas compartilhamento s de arquivo do departamento. Os usurios podem salvar documentos em sua

pastas casa quando no h necessidade de outros usurios para acessar os arq uivos. Por exemplo, alguns usurios preferem no para mostrar os relatrios algum at que sejam concludos.

Para este projeto, voc deve completar as seguintes tarefas:

Configurar cotas FSRM para limitar o tamanho das pastas de origem.

Configurar triagem de arquivo para evitar o armazenamento de arquivos de mdia.

Configurar classificao de arquivos e gerenciamento de arquivos para remo ver documentos oficiais. ----------------------- Pgina 577----------- -----------Controle e Monitoramento de armazenamento de rede 12-29

Exerccio 1: Cotas do FSRM Configurando

Remoto

Para controlar o tamanho das pastas de origem, voc est implementando cotas FSRM. C ada pasta base limitado a 500MB. Para garantir que os usurios no esto surpresos com suas pastas funcionando f ora do espao, uma mensagem enviado por e-mail, notificando-os quando a sua quota superior a 75 por cento. U m evento tambm escrito para o evento registro, para que ele possa ser rastreado pelos administradores.

1.

Crie o compartilhamento casa.

2.

Instale FSRM.

3.

Criar um modelo de cota para as pastas de origem.

4.

Configurar um servidor SMTP para notificaes FSRM.

5.

Configurar cotas em pastas de compartilhamento Internos.

6.

Crie uma pasta home para o usurio.

7.

Verifique se a cota aplicada.

Tarefa 1: Criar a quota de casa

1.

Em NYC SVR1, criar a pasta C: \ Home.

2. Compartilhar C: \ Home como em casa com as permisses de compartilhamento Con trole Total para o grupo Todos.

Tarefa 2: Instalar o FSRM

On NYC-SVR1, use o Gerenciador Server para adicionar o File Server Resource serv io de funo Manager.

Tarefa 3: Criar um modelo de cota para as pastas base

1.

Em NYC-SVR1 aberto, File Server Resource Manager.

2. Em Gerenciamento de Cota, criar um modelo de cota com as seguintes configur aes:

Nome do modelo: Pastas Incio

Descrio: Modelo para pastas base de usurios

Limite: 500 MB

quota rgido: No permitir que os usurios exceder o limite

Limite de notificao:

Gerar notificao quando o uso atinge (%): 75

Enviar e-mail de notificao ao usurio que excedeu o limite

Enviar mensagem de aviso para log de eventos

Tarefa 4: Configurar um servidor SMTP para notificaes FSRM

Em NYC-SVR1, em File Server Resource Manager, configure as seguintes opes de e-mai l notificaes:

Nome do servidor SMTP ou endereo IP: mail.contoso.com

Os destinatrios padro de administrador: Administrator@contoso.com~~HEAD=NNS ----------------------- Pgina 578----------- -----------12-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Tarefa 5: Configurar cotas em pastas de compartilhamento Incio

Em NYC-SVR1, em File Server Resource Manager, no n de Cotas, criar uma nova cota com o seguintes configuraes:

caminho Cota: C: \ Home

Auto aplicar modelo e criar cotas em subpastas existentes e novos

Derivar propriedades deste modelo de cota: Pastas Incio

Tarefa 6: Crie uma pasta home para o usurio

1. Em NYC-DC1, aberto Active Directory Users and Computers.

2. Abra as propriedades de Adam Carter.

3. Use a guia Perfil de Adam Carter para configurar uma pasta home:

A letra da unidade: H:

Path: \ \ NYC-SVR1 \ Home \ Adam

Tarefa 7: Verifique se a cota aplicada

1. Em NYC-CL1, faa logon como Adam com a senha Pa $ $ w0rd.

2. Use o Windows Explorer para exibir as propriedades de H: e verifiq ue se o tamanho limitado a 500 MB.

Resultados: Aps este exerccio, voc ter criado e aplicado quotas para as pa stas base. ----------------------- Pgina 579----------- -----------Controle e Monitoramento de armazenamento de rede 12-31

Exerccio 2: Triagem de Arquivo Configurar

Cenrio

Os gerentes de Contoso esto preocupados que os usurios vo comear a armazenar grandes arquivos de mdia no recm-criado pastas de origem. Mesmo que o tamanho de cada pasta home est limitado a 500 MB po r quotas, os gerentes quer impedir que o espao seja desperdiado por arquivos de udio, vdeo e grficos, inclu indo um novo udio formato com o AUDX extenso de arquivo. Voc est implementando triagem de arquivo par a impedir que arquivos de mdia de ser armazenados em pastas de origem.

As principais funes para este exerccio so como se segue:

1.

Adicionar AUDX a um grupo de arquivos.

2.

Criar um modelo de tela de arquivo.

3.

Configurar uma tela de arquivos para C: \ Home.

4.

Verifique se a tela de arquivo aplicada.

Tarefa 1: Adicionar arquivos AUDX a um grupo de arquivos

1.

Em NYC-SVR1 aberto, File Server Resource Manager.

2. No n Gerenciamento de Arquivos de Triagem, editar o udio e Vdeo grupo de arqui vos Arquivos e adicionar *. AUDX.

Tarefa 2: Criar um modelo de triagem de arquivo

Em NYC-SVR1, utilize o File Server Resource Manager para criar um modelo de tela de arquivo com o seguinte configuraes:

Nome do modelo: Incio Mdia pasta

Triagem de atividade: No permitir que os usurios salvem arquivos no autorizado s

Os grupos de arquivos: udio e vdeo e arquivos de imagem

Enviar aviso para log de eventos

Tarefa 3: Configurar uma tela de arquivos para C: \ Home

Em NYC-SVR1, utilize o File Server Resource Manager para criar uma tela de arqui vo com as seguintes configuraes:

caminho tela File: C: \ Home

Derivar propriedades do modelo de tela de arquivo: Media Pasta Incio

Tarefa 4: Verifique se a tela de arquivo aplicada

1.

Em NYC-CL1, faa logon como Adam com a senha Pa $ $ w0rd.

2. Use o Windows Explorer para copiar o vdeo dos animais selvagens de bibliotec as \ \ Vdeos Vdeos de exemplo para H: \.

3.

Verifique se voc no pode colocar o arquivo em H:.

Resultados: Aps este exerccio, voc ter configurado triagem de arquivo para impedir q ue arquivos de mdia de ser colocados em pastas de origem. ----------------------- Pgina 580----------- -----------12-32 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Exerccio 3: Classificao do arquivo Configurao e Gerenciamento de Arquivos

Cenrio

Depois de implementar as pastas base para todos os usurios, voc descobri u que uma grande quantidade de espao em disco est sendo utilizado por documentos oficiais que so armazenados na Intranet Contos o. No h necessidade para os utilizadores para copiar esses arquivos em suas pastas e ele est desperdiando espao de armazenamen to no servidor de arquivos.

Todos os documentos oficiais conter um cabealho com um nmero de document o oficial. Voc est configurando arquivo classificao para identificar os documentos oficiais sobre a quota inicia l e em seguida, usando o gerenciamento de arquivos para remov-los. Para assegurar que os documentos legtimos no so apagados aciden talmente, os arquivos esto sendo expirado e colocados em C: \ documentos expirados onde eles podem ser recuperad os, se necessrio.

As principais funes para este exerccio so como se segue:

1.

Criar uma propriedade de classificao para documentos oficiais.

2.

Criar uma regra de classificao para documentos oficiais.

3. Criar uma tarefa de gerenciamento de arquivos para expirar docume ntos oficiais.

4.

Verifique se os documentos oficiais so expirou.

Tarefa 1: Criar uma propriedade de classificao para documentos oficiais

1.

Em NYC-SVR1 aberto, File Server Resource Manager.

2. No n Gerenciamento de classificao, crie uma propriedade nova classif icao com a seguinte configuraes:

Nome da propriedade: Documento Oficial

Tipo de propriedade: Sim / No

Tarefa 2: Criar uma regra de classificao para documentos oficiais

Em NYC-SVR1, utilize o File Server Resource Manager para criar uma reg ra de classificao com a seguinte configuraes:

Nome da regra: Documentos Oficiais

mbito C: Home \

Mecanismo de Classificao: Classificador Contedo

Nome da propriedade: Documento Oficial

Valor do imvel: Sim

Avanado: adicionais parmetros de classificao

Nome: RegularExpression

Valor: Documento # \ \ d d \ d \ d-\ d \ d \ d ----------------------- Pgina 581----------- -----------Controle e Monitoramento de armazenamento de rede 12-33

Tarefa 3: Criar uma tarefa de gerenciamento de arquivos para expirar documentos oficiais

Em NYC-SVR1, utilize o File Server Resource Manager para criar uma tarefa de ger enciamento de arquivo com o seguinte configuraes:

Nome da Tarefa: Remover Documentos Oficiais

Escopo: C: \ Home

Diretrio Vencimento: C: \ Documents expirados

Condio do imvel: Documento Oficial igual Sim

Horrio: Semanalmente, Sun 09:00

Tarefa 4: Verifique se os documentos oficiais so expirados

1.

Em NYC-CL1, faa logon como Adam com a senha Pa $ $ w0rd.

2. Use o Windows Explorer para criar um documento do Microsoft Word Document t este chamado de H: \.

3.

Editar documento de teste e adicionar o seguinte contedo:

Documento # 2011-001

4.

Feche o Microsoft Word.

5. Em NYC-SVR1, em File Server Resource Manager, no n de regras de classificao, e xecutar o regras de classificao agora.

6. Revise o relatrio de classificao automtica que gerado para verificar se um docu mento oficial encontrado.

7. s.

Execute o Remover Documentos Oficiais da tarefa de gerenciamento de arquivo

8. Reveja o arquivo de relatrio de tarefas de gesto e verificar se um arquivo fo i expirado.

9. Use o Windows Explorer para navegar pelo contedo de C: \ Documents expirado s e verificar que o Teste Documento est l.

Resultados: Aps este exerccio, voc ter configurado uma regra de classificao para docum entos oficiais e um arquivo tarefa de gerenciamento que expira documentos oficiais.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 582----------- -----------12-34 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Reviso do mdulo e Takeaways

Questes de Reviso

1. Voc quer usar a classificao de arquivos e gerenciamento de arquivos para expirar certos documentos em todo o arquivo servidores em sua organizao. H alguma limitao sobre onde voc pode regis trar classificaes e arquivos gesto?

2. Voc quer usar o gerenciamento de arquivos para expirar antigos doc umentos em compartilhamentos de arquivos departamentais. Um colega preocupado que apagar arquivos sem autorizao vai gerar reclamaes dos departamentos. seu colega corrigir para se preocupar?

3. Voc implementou a triagem de arquivos para evitar que usurios armaz enem arquivos de vdeo nos dados compartilhados

volume que contm pastas departamentais. No entanto, o departamento de Marketing precisa para armazenar vdeo arquivos em sua pasta departamentais. Como voc pode permitir isso?

4. Voc props que cotas FSRM ser usado para controlar o tamanho de comp artilhamentos de arquivos departamentais. A colega tem experincia com quotas NTFS e no acho que as cotas so prtic os de usar porque se baseiam na propriedade do arquivo. O que voc pode dizer ao seu colega sobre as cotas FSRM para superar essa objeo?

5. Os dados em um compartilhamento de arquivos departamental cresceu 10 GB em um nico dia. Tipicamente, o crescimento menor do que 1 GB. Voc est preocupado que um usurio colocou vrios arquivos grandes no compartilhamento de arquivos do departamento. Como voc pode confirmar isso? ----------------------- Pgina 583----------- -----------Control e e Monitoramento de armazenamento de rede 12-35

Windows Server 2008 Caractersticas R2 introduzidas neste mdulo

Windows Server 2008 Descrio recurso R2

FSRM Arquivo classificao no Windows Server 2008 adicionou classificao de arquivos para classificar automaticamente os arqu ivos baseados em localizao ou contedo.

FSRM Gerenciamento de arquivos no Windows Server 2008 foi adicionado o gerenc iamento de arquivos para automatizar tarefas de gerenciament o de arquivos, tais como validade.

Ferramentas

Usar a ferramenta para Onde encontr-lo

File Server Resource Manager Configure triagem de arquivo, cotas de arquivo F erramentas Administrativas gesto de classificao, arquivo e ----------------------- Pgina 584----------- -----------12-36 Configurao e Soluo de problemas do Windows Server Network Infrastructure 200 8 ----------------------- Pgina 585----------- -----------13-1

Mdulo 13

Recuperao de dados de rede e servidores

Contedo:

Lio 1: Recuperao de Dados de Rede com cpias de sombra 13-3

Lio 2: Recuperar dados de rede e servidores com o Windows Backup Server 13-9

Laboratrio: Dados de Rede Recuperao e Servidores 13-17

----------------------- Pgina 586----------- -----------13-2 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Viso geral do mdulo

H uma variedade de cenrios, onde um conjunto de dados de rede ou um serv idor que fornece servios de redes pode ser de nossos barcos Cpias de sombra de volume pode ser usado para restaura r verses anteriores de arquivos quando um arquivo acidentalmente apagados ou modificados em um computador que est executando o Windows S erver 2008. Backup do Windows Server pode ser usado para fazer backup e restaurar arquivos de dados ou um servidor i nteiro.

Objetivos

Depois de conclurem este mdulo, voc ser capaz de:

Descrever como configurar e usar cpias de sombra de volume.

Descrever como configurar e usar o Backup do Windows Server. ----------------------- Pgina 587----------- -----------Recuperao de Dados de Rede e Servidores 13-3

Lio 1 Recuperando Dados de Rede com as Cpias de Sombra

As cpias de sombra so utilizados para restaurar verses anteriores de arqui vos e pastas. muito mais rpido para restaurar uma verso anterior de um arquivo de uma cpia de sombra do que de um backup tr adicional. Um backup tradicional deveria trabalhar ser armazenado externamente. Instantneos de volumes so tomadas em um horri o que voc pode configurar. Os arquivos e pastas podem ser recuperados por administradores de ou diretamente pelos usurio s finais.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever as cpias de sombra.

Descrever os consideraes para o agendamento cpias de sombra.

Configurar cpias de sombra.

Descrever maneiras de restaurar dados de uma cpia de sombra.

Recuperar dados de uma cpia de sombra. ----------------------- Pgina 588----------- -----------13-4 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quais so as Cpias de Sombra?

As cpias de sombra um recurso do Windows Server 2008 que tirar fotos de um volume. Depois de um instantneo tomadas, voc e os usurios podem acessar verses anteriores de arquivos e p astas que existiam no momento em que o instantneo foi tirado.

Uma cpia de sombra no tem uma cpia completa de todos os arquivos para cad a foto. Em vez disso, depois de um instantneo tomadas, o Windows Server 2008 rastreia as alteraes de disco para o volu me. A quantidade especfica de espao em disco alocados para acompanhar os blocos de disco alterados. Quando voc acess ar uma verso anterior de um arquivo, alguns dos contedo pode ser na verso atual do arquivo e alguns podem estar no insta

ntneo.

Por padro, os blocos de disco alteradas so armazenadas no mesmo volume q ue o ficheiro original, mas este pode ser modificado. Voc pode definir quanto espao em disco alocado para cpias de sombra. Snapshots mltiplas so retida at que o espao de disco atribuda completa, aps o que, instantneos ma is velhos so removidos para dar espao para novos instantneos. A quantidade de espao de disco usado por um instantneo baseada no tamanho das mudanas de disco entre instantneos.

Porque um instantneo no uma cpia completa de arquivos, ele no pode ser usa do como um a substituio completa para backups tradicionais. Se o disco que contm um volume perdido, em seguid a, os instantneos de que o volume tambm so perdidos.

As cpias de sombra so adequados para a recuperao de arquivos de dados, mas os dados no mais complexos, como bancos de dados que precisam ser logicamente consistente antes de um backup realizado. Um banco de dados que restaurado a partir de verses anteriores provvel que seja corrupto e requerem reparos de banco de dados.

Nota O a Restaurao do Sistema recurso no Windows Server 2008 depe ndente de cpias de sombra que est sendo habilitado. ----------------------- Pgina 589----------- -----------Recuperao de Dados de Rede e Servidores 13-5

Consideraes sobre as Cpias de Sombra de agendamento

As cpias de sombra so habilitadas por padro para todas as unidades. A programao padro para a criao de cpias de sombra De segunda a sexta s 07:00 da manh e meio-dia. Voc pode modificar a programao padro, c omo desejado para o seu

organizao.

Ao agendar cpias de sombra:

Considere-se que o aumento da frequncia de cpias de sombra aumenta a carga sobre o servidor. Voc deveria no agendar cpias de sombra de volume mais de uma vez a cada hora.

Aumente a freqncia de cpias de sombra para mudar frequentemente de dados. Isto aume nta a probabilidade que as mudanas de arquivos recentes so capturados.

Aumente a freqncia de cpias de sombra para os dados importantes. Isto aumenta a pro babilidade de que recente alteraes de arquivos so capturados.

Considere que se voc aumentar a freqncia de cpias de sombra, voc pode precisar aument ar o disco espao alocado para cpias de sombra de volume. Por padro, 10 por cento de espao em disco alocado para cpias de sombra de volume. ----------------------- Pgina 590----------- -----------13-6 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como Configurar Cpias de Sombra

Esta demonstrao mostra como:

Habilitar cpias de sombra em C:.

Visualizar definies para cpias de sombra.

----------------------- Pgina 591----------- -----------Recuperando Dados de Rede e Servidores de 13-7

Maneiras para restaurar dados de uma cpia de sombra

As verses anteriores do arquivos podem ser restaurados por usurios ou administrado res. Na maioria dos casos, os usurios no esto cientes de que essa capacidade existe e eles tero de ser fornecidos com instrues sobre como re staurar um anterior verso de um arquivo.

Os administradores podem acessar verses anteriores de arquivos diretamente no ser vidor que armazena os arquivos. Os usurios podem acessar verses anteriores de arquivos pela rede a partir de um compartilhamento d e arquivo. Em ambos os casos, as verses anteriores so acessada nas propriedades do arquivo ou pasta.

Quando estiver a visualizar verses anteriores de um pasta, voc pode ver alguns dos arquivos disponveis e selecione somente o arquivo que

Voc precisa: Alm disso, se mltiplas verses de arquivos esto disponveis, voc pode revis r cada verso antes de decidir qual deve ser restaurado. Finalmente, voc pode copiar uma verso anterior para uma localizao alternativa em vez de restaurar para evitar sobrescrever a verso atual do arquivo.

Windows Vista e Windows 7 clientes so capazes de acessar as verses anteriores de a rquivos sem instalar qualquer software adicional. Para clientes Windows XP, voc deve instalar o client e Verses anteriores. ----------------------- Pgina 592----------- -----------13-8 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como restaurar dados de uma cpia de sombra

Esta demonstrao mostra como:

Criar um novo arquivo.

Criar uma cpia de sombra.

Modifique o arquivo.

Restaurar uma verso anterior. ----------------------- Pgina 593----------- -----------Recuperao de Dados de Rede e Servidores 13-9

Lio 2 Recuperando dados de rede e servidores com o Windows Backup Server

Windows Server 2008 inclui o Backup do Windows Server para executar bac kups para discos locais ou de rede aes. Voc pode usar Backup do Windows Server para proteger dados do servido r e restaur-lo quando um arquivo perdida ou uma servidor falhar.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever o Backup do Windows Server.

Descrever os tipos de backup disponveis.

Identificar as diferenas entre o Windows Server Backup em Windows Server 2008 e Windows R2 Server 2008.

Identificar quem pode fazer backup de dados.

Descrever os dados de estado do sistema.

Explicar as opes de recuperao disponveis. ----------------------- Pgina 594----------- -----------13-10 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que Backup do Windows Server?

Backup do Windows Server um recurso que est includo no Windows Server 20 08 para fazer backup e recuperar arquivos e pastas ou um servidor inteiro. O recurso inclui uma interfa ce grfica de usurio e uma linha de comando interface (Wbadmin.exe).

Maioria das grandes organizaes tm comprado software adicional para backup e recuperao, tais como Sistema de Center Gerenciador de Proteco de Dados. Estes pacotes de software tipica mente tm caractersticas mais avanados do que Backup do Windows Server para gerenciar centralmente os backups em vrio s servidores. O Backup do Windows Server tipicamente usado por organizaes menores ou para cenrios de quando um bac kup necessrio rapidamente e outros O software no est disponvel.

Voc pode usar o Backup do Windows Server para fazer backup, quer um dis co ou compartilhamento de rede. Backups de fita no so suportada pelo Windows Server Backup.

As tarefas de backup pode ser agendado no backup do Windows Server. im portante agendar tarefas de backup em um regularmente para garantir que voc tenha backups de alteraes de arquivos recentes. ----------------------- Pgina 595----------- -----------Recuperao de Dados de Rede e Servidores 13-11

Tipos de de Backup

Tradicionalmente, os backups tm sido completo, incremental ou diferencial:

Um backup completo copia todos os arquivos especificados.

Um backup diferencial copia todos os arquivos que foram alterados desde o ltimo b ackup completo.

Um backup incremental copia todos os arquivos que foram alterados desde o ltimo b ackup completo ou incremental.

Os backups em Backup do Windows Server so diferentes porque usam cpias de sombra, como parte do processo de backup e para armazenar backups. Backup do Windows Server usa os ter mos backup completo e backup incremental de uma maneira diferente:

O primeiro backup completa copia todos os arquivos especificados a partir da fon te e armazena-los em o destino.

O segundo backup completo, e quaisquer outros backups completos, copia todos os arquivos especificados da fonte, mas armazena apenas blocos de disco que mudaram no destino.

Um backup incremental usa uma cpia de sombra volume na fonte de para fazer backup de somente o disco mudou blocos e copi-los para o destino.

Os backups incrementais so mais rpidos porque menos dados movido durante o process o de backup. No entanto servidor, o desempenho reduzido por causa de o processamento que exigido para criar a cpia de sombra sobre a fonte.

Observao A opo para backup completo ou incremental s aplicvel se volumes compl tos esto sendo backup. ----------------------- Pgina 596----------- -----------13-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Independentemente das se backups completos ou incrementais so selecion ados, somente as alteraes do anterior de backup so armazenados em o destino. Entanto, quando voc rever as con tedo de um de backup, todos os backups aparecem como backups completos com os dados que apareceram na fonte em que ponto no tempo.

Backups Note que so armazenados no armazenamento de rede so sempr e um backup completo e apenas um nica cpia dos arquivos mantida.

Backup do Windows Server tambm permite que voc selecione entre backup c ompleto VSS e cpia VSS. O Backup completo VSS limpa os arquivos de log do aplicativo para o qua l existe um provedor de VSS instalado e apaga o arquivo atributo em arquivos. Um atributo de arquivo apagado indica que o arq uivo foi feito backup e usado para indicar que um arquivo no precisa ser feito de novo na prxima vez que u m backup realizado. O VSS cpia de segurana no arquivos de log claras de aplicao ou desmarque o atrib

uto de arquivo em arquivos. ----------------------- Pgina 597----------- -----------R ecuperando Dados de Rede e Servidores de 13-13

Diferenas entre verses do Backup do Windows Server

Backup do Windows Server est includo no Windows Server 2008 e Windows Server 2008 R2. No entanto, h diferenas significativas entre as duas verses. A tabela a seguir as diferenas entre Backup do Windows Server verses:

Windows Server 2008 Windows Server 2008 R2

Faa o backup de apenas volumes completos. backup de volumes completos ou arquivos e pastas especficos.

Faa o

Volumes de backup dedicados so obrigatrios. ser armazenados em volumes compartilhados com outros

Os backups podem de dados.

No suporta scripts com o PowerShell. erShell.

Suporta scripting com o Pow

Volumes Crticos de que contenham sistema de estado de dados backup de estado d o Sistema de pode ser especificado. so apoiados.

Backups agendados devem ser criados em locais backups agendados podem ser arm azenados em uma rede armazenamento. partes. ----------------------- Pgina 598----------- -----------13-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Quem pode fazer o backup de dados?

Voc pode controlar a capacidade de fazer backup de arquivos e pastas em um servidor usando o backup de arquivos e diretrios de usurio atribuio de direitos na poltica de segurana local de um servidor. Isso tambm pode ser definida usando Diretiva de Grupo.

Os grupos padro com permisso para executar backups em estaes de trabalho e servidores membros so Os administradores e operadores de servidor. Em controladores de domnio , Operadores de backup tambm recebem permisso para executar backups.

Para delegar a capacidade de executar backups, voc pode atribuir o Volt ar backup de arquivos e direitas diretrios usurio para usurios ou grupos adicionais. A atribuio deste direito aproximadamente eq uivalente a atribuir o arquivo a seguir permisses de sistema para o sistema de arquivo inteiro:

Desviar Pasta / Executar Arquivo

Listar Pasta / Ler Dados

Ler Atributos

Ler Atributos Estendidos

Permisses de Leitura

Voc pode controlar a capacidade de restaurar arquivos e pastas em um se rvidor usando os arquivos de restaurao e

diretrios de usurio atribuio de direitos.

Nota: Apenas os administradores de confiana deve ser dada a capa cidade de fazer backup ou restaurar arquivos. ----------------------- Pgina 599----------- -----------Re cuperao de Dados de Rede e Servidores 13-15

O que so dados do estado do sistema?

Backup do Windows Server pode fazer backup e restaurar os dados do estado do sis tema para o Windows Server 2008. Isto essencial quando voc estiver executando uma restaurao completa de um sistema de com putador. Ele tambm pode ser til para se recuperar de erros de configurao e corrupo de dados do estado do sistema.

Os componentes do sistema que compem os dados do estado do sistema para o Windows Server 2008 dependem do servidor papis que esto instalados no computador. Dados do estado do sistema inclui, pelo m enos, os seguintes dados, alm de dados adicionais, dependendo das funes de servidor que esto instalados:

Registro

COM + Registro na Aula banco de dados

Os arquivos de inicializao, que consiste em o arquivo Bootmgr e os dados de config urao de inicializao (BCD)

Servios Certificados do Active Directory (AD CS) de banco de dados

Servios de Domnio Active Directory (AD DS) de banco de dados

diretrio SYSVOL

informaes de servio Cluster

Microsoft Internet Information Services (IIS) metadiretrio

Os arquivos de sistema que esto sob Windows Resource Protection

Para o Windows Server 2008, todos os volumes que contm os dados do estado do sist ema so chamados de volumes crticos e deve ser feito o backup para executar uma restaurao estado do sistema. Para o Windows S erver 2008 R2, voc pode selecionar para fazer backup apenas o sistema de dados do estado ao invs de volumes crticos. Os dados de estado do sistema GB 7-10 dependendo do a configurao do servidor. ----------------------- Pgina 600----------- -----------13-16 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Opes de Recuperao

Quando voc usar o Backup do Windows Server para tirar um backup do seu servidor, voc pode restaurar todo o servidor ou apenas alguns dados sobre o servidor. As seguintes opes de restaurao es to disponveis:

Arquivos e pastas: Esta opo permite que voc selecione os arquivos e pasta s especficos para se recuperar. Os arquivos podem ser restauradas para seu local original ou um local alternativo.

Volumes: Esta opo permite que voc restaurar volumes inteiros de seu estad o quando o backup foi feito.

Aplicaes: Esta opo permite que voc recupere arquivos de dados a partir do b

ackup se um escritor VSS para a aplicao foi instalado no momento da cpia de segurana. Por exem plo, voc pode restaurar um Banco de dados Exchange Server.

Estado do sistema: Esta opo permite que voc restaure apenas o estado do s istema para um computador. Isto pode ser til se voc acredita que os arquivos do sistema ter sido corrompido e no deseja restaurar os dados arquivos. Se voc selecionar a executar uma restaurao autoritativa de atividade opo arquivos Directory em um controlador de domnio, ento os arquivos restaurados SYSVOL ser autor itria e replicar para outro domnio controladores. Objetos no Active Directory no so selecionadas como autoritrio.

Se voc tiver um backup completo do seu servidor, voc pode executar uma r ecuperao bare-metal por de partida up a partir do Windows Server 2008 R2 DVD de instalao. Selecione a opo de recuperao de imag em do sistema. Um processo semelhante disponvel para Windows Server 2008. ----------------------- Pgina 601----------- -----------Recuperao de Dados de Rede e Servidores 13-17

Laboratrio: Dados de Rede Recuperao e servidores

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e, em seguida, clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

Cenrio Lab

Recentemente, um novo servidor de arquivos foi implementado para o depa rtamento de marketing. De alguma forma, no planejamento processo, ningum considerados como os dados sobre o servidor seria prote gida. Voc precisa configurar o volume cpias de sombra no servidor para simplificar a recuperao de arquivos. Voc t ambm precisa para configurar um backup agendado para recuperao de desastres. ----------------------- Pgina 602----------- -----------13-18 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Exerccio 1: Cpias de Sombra Configurando

Cenrio

O servidor novo arquivo para o departamento de marketing tem sido imple mentado sem cpias de sombra. O tcnico de que configurado o servidor estava sob a idia incorreta de que cp ias de sombra criar um grande carga de processamento no servidor. Voc precisar configurar cpias de somb ra no servidor e verificar se esto funcionando corretamente.

Os dados para o departamento de marketing muda com freqncia. Nos ltimos do is meses, o perfil de vrios alta incidentes ocorreram, onde os documentos foram alterados de forma inco rrecta e uma cpia recente s poderia ser obtido de backup. O departamento de marketing quer ser capaz de recuperar a ve rso de um arquivo para cada hora.

1.

Configurar cpias de sombra em NYC-SVR1.

2.

Criar um compartilhamento de arquivo.

3.

Criar cpias de sombra mltiplas de um arquivo.

4.

Recuperar um arquivo excludo a partir de um cpia de sombra.

Tarefa 1: Configurar cpias de sombra em NYC-SVR1

1. Em NYC-SVR1, abra o Windows Explorer e Configurar Cpias de Sombra e m Disco Local (C :).

2.

Habilitar cpias de sombra para C: \.

3.

Configurar um cronograma para as cpias de sombra.

4.

Retire as duas tarefas padro programados.

5. Use as opes avanadas de agendamento para criar uma agenda nova Dose D iria com a seguinte configurao:

Repita a cada 1 hora

Durao de 24 horas

Tarefa 2: Criar um compartilhamento de arquivo

1. rketing.

Em NYC-SVR1, utilize o Windows Explorer para criar a pasta C: \ Ma

2. Compartilhe a pasta C: \ no mercado com o grupo de Marketing e dar -lhes permisso leitura / escrita.

Tarefa 3: Criar cpias de sombra mltiplas de um arquivo de

1.

On NYC-CL1, faa logon como Adam com uma senha de Pa $ $ w0rd.

2. Navegue at \ \ NYC-SVR1 Marketing \ e crie um novo documento do Mic rosoft Office Word chamado Planejamento, Oramento.

3. Planejamento do Oramento Aberto e adicione os seguintes itens em um a lista com marcadores:

2011 - $ 1.000

2012 - $ 1.100

2013 - $ 1.200

4.

Salve o documento Planejamento Oramento.

5.

Em NYC-SVR1, crie uma cpia nova sombra de C: \.

----------------------- Pgina 603----------- -----------Re cuperao de Dados de Rede e Servidores 13-19

6.

Em NYC-CL1, adicione as balas seguintes ao documento Planejamento Oramento:

2014 - $ 1.500

2015 - $ 2.000

7.

Salve o documento Planejamento, Oramento.

8.

Em NYC-SVR1, crie uma cpia nova sombra de C: \.

9.

Em NYC-CL1, exclua o Documento de Planejamento Oramento.

Tarefa 4: Recuperar um arquivo excludo a partir de uma cpia de sombra

1. Em NYC CL1, navegue para a guia Verses anteriores nas Propriedades do compar tilhamento de Marketing.

2. Abra o segunda verso mais recente do a pasta e Planejamento, Oramento, em seg uida, aberto.

3. Verifique se esta no a verso mais recente do arquivo (porque h apenas trs balas ) e fech-lo.

4. Abra a verso mais recente da pasta e Planejamento Oramentrio, em seguida, aber to.

5. Verifique que este a verso mais recente do arquivo (porque existem cinco bal as) e em seguida, feche-lo.

6.

Restaure o partes de Marketing a partir de a cpia de sombra mais recente.

7. .

Verifique se o arquivo restaurado est localizado em \ \ NYC-SVR1 Marketing \

Resultados: Aps este exerccio, voc ter permitido cpias de sombra para o servidor de a rquivo de Marketing. ----------------------- Pgina 604----------- -----------13-20 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Exerccio 2: Configurando um backup agendado

Cenrio

O servidor novo arquivo para o departamento de marketing tem sido impl ementado sem uma soluo de backup. A soluo de backup importante no caso de uma falha de hardware ou corrupo vol ume.

No longo prazo, uma nova licena ser comprado para o Data Protection Mana ger para permitir que este servidor seja centralmente o backup como outros servidores da Contoso. No entanto, a t que a licena comprada, voc est usando O Backup do Windows Server e um drive USB rgido externo (D :) para exec utar a backup, que ser dirio com horas marcadas s 23:00 h. Voc tambm precisa para verificar de qu e a unidade pode segurar, pelo menos, dois backups completos e

executar uma restaurao de teste.

1.

Instale o Windows recurso Backup Server.

2.

Criar um backup agendado.

3. Verifique que dois backups caber em o disco de destino.

4.

Execute uma restaurao teste de um arquivo.

Tarefa 1: Instale o recurso Windows Server Backup

On NYC-SVR1, use o Gerenciador do Servidor para instalar o recurso Win dows Server Backup, incluindo o Command de linha-Tools.

Tarefa 2: Criar um backup agendado

1. va.

On NYC-SVR1, abra o ferramenta Windows Server Backup administrati

2.

Criar um agendamento de backup com as seguintes configuraes:

completa de servidor

Uma vez por dia s 11:00 PM

Fazer backup em um disco rgido que dedicado para backups (use D :)

Remova D: a partir do backup quando solicitado

Confirme que os dados sobre D: ser removido

Tarefa 3: Verifique que dois backups caber em o disco de destino

1. On NYC-SVR1, no Backup do Windows Server, verificar que o rea de u so Destino indica que aproximadamente 32 GB esto disponveis para backups e que 0 GB so usa dos.

2.

Execute um backup one-time usando as opes de backup agendados.

3. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de espao total em disco e aproximadamente 7,4 GB usado.

4. os.

Execute um backup one-time segundo usando as opes de backup agendad

5. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de espao total em disco e ainda aproximadamente 7,4 GB usado. ----------------------- Pgina 605----------- -----------Rec uperando Dados de Rede e Servidores de 13-21

Tarefa 4: Realize um teste de restaurar de um arquivo de

1. On NYC-SVR1, no Backup do Windows Server, usar a opo Recuperar para restaurar C: \ Marketing \ Oramento Planning.docx.

Fonte: Este servidor (NYC-SVR1)

data Backup: O de backup mais recente

Tipo de Recovery: Arquivos de e pastas

Itens para recuperar: C: \ Marketing \ Oramento Planning.docx

Opes de de recuperao: padro

2. Abra Windows Explorer e navegue at C: \ Marketing para verificar que o arqui vo restaurado.

Resultados: Aps este exerccio, voc vai ter configurado um de backup agendado e func ionalidade de backup testado.

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguida, clique e m Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 606----------- -----------13-22 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Reviso do mdulo e Takeaways

Questes de Reviso

1. All de os servidores de arquivos em sua organizao estiver usando a configurao padro para cpias de sombra. A usurio acidentalmente excludo contedo a partir de um arquivo e em se guida, guardado-lo em s 11:00 h. Pode voc restaurar o correta verso a partir uma cpia de sombra?

2. All de os servidores de arquivos em sua organizao estiver usando a configurao padro para cpias de sombra. A usurio acidentalmente excluiu um arquivo vrias semanas atrs, mas no p ercebeu que-lo at que hoje. que possvel para recuperar este arquivo a partir uma cpia de sombra?

ados

3. A sua organizao deixou determinou que quatro horas cada semana so us restaurando arquivos de usurio a partir de

de backup ou cpia de sombra. Um colega tem sugerido treinamento de usurios para executar sua prpria restaura a partir de sombra copia para reduzir a carga de trabalho de o help desk. Ser esta uma boa idia?

4. A sua organizao deixou abriu um escritrio de novo ramo com um nico se rvidor. O servidor tem um banco de dados SQL que usado pelo um de aplicativo local. Pode Backup do Windows Ser ver ser usado para fazer backup e restaurar o banco de dados?

5. Voc tiver configurado um novo servidor para executar um backup dia riamente para um compartilhamento de rede em outro servidor.

Esta uma soluo temporria at que seu software de backup padro no lugar Depois de vrios dias, voc precisar restaurar um arquivo, mas l apenas o de backup mais recen te para selecionar a partir de no, dias mltiplos como voc o esperado. Por que isso ocorrer?

----------------------- Pgina 607----------- -----------Recup erando Dados de Rede e Servidores de 13-23

Do Windows Server 2008 Caractersticas R2 Introduzido no este Mdulo

Windows Server 2008 Descrio recurso de R2

Windows Server Backup Backup do Windows Server foi atualizado em Windows Serve r 2008 R2 para permitir que backups de arquivos de e pastas especficos. Ele tambm permite que agendada backups para uma pasta de re de.

Ferramentas

Uso Ferramenta para Onde para encontr-lo

Verses Anteriores Recuperando arquivos e pastas a partir de um Propriedades de o arquivo ou pasta sombra cpia

Backup do Windows Server Gerenciando Ferramentas Backup do Windows Server Admi nistrativas

WBadmin.exe Managing Backup do Windows Server Command linha de----------------------- Pgina 608----------- -----------13-24 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2 008 Network ----------------------- Pgina 609----------- -----------14-1

Mdulo 14

De Monitorizao de Servidores o Windows Infra-estrutura 2008 Network s=

contedo

Lio 1: Ferramentas de Monitoramento 14-3

Lio 2: Usando Monitor de Desempenho 14-12

Lio 3: Logs de monitoramento de eventos 14-21

Lab: Monitoramento Windows Server 2008 Servidores de Rede Infra-estrutura 14-26 ----------------------- Pgina 610----------- -----------14-2 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Viso geral do mdulo

Quando uma falha do sistema ou um evento que afeta o desempenho do sis tema ocorre, que voc precisa para ser capaz de reparar o problema ou resolver o problema rapidamente e eficientemente. Com ta ntas variveis e possibilidades em o ambiente de rede moderna, a capacidade de determinar a causa raiz rapi damente muitas vezes depende de se ter uma metodologia de monitoramento eficaz desempenho e conjunto de ferrament as.

Desempenho de monitoramento de ferramentas so usadas para identificar o s componentes que requerem um ajuste adicional e

Soluo de Problemas Ao identificar os componentes que requerem um ajuste adicional, voc pode melhorar a eficincia de seus servidores.

Objetivos

Depois de conclurem este mdulo, voc ser capaz para:

Descrever ferramentas de monitoramento para o Windows R2 Server 2008.

Descrever como usar monitor de desempenho.

Descrever como para monitorar logs de eventos. ----------------------- Pgina 611----------- -----------Monitoring Window s Server 2008 Servidores de Rede Infra-estrutura 14-3

Lio 1 Ferramentas de Monitoramento

Windows Server 2008 R2 fornece uma gama de ferramentas para monitorar o sistema operacional e aplicativos. Voc pode usar essas ferramentas para sintonizar o seu sistema para eficincia de e solucionar problemas de problemas. Voc deve usar estes ferramentas e complement-los onde necessrio com suas prprias ferramentas.

Objetivos

Aps concluir esta lio, voc ser capaz de:

Descrever Monitor de Desempenho.

Descrever Monitor de Recursos.

Descrever o Monitor de Confiabilidade.

Descrever Visualizador de Eventos. ----------------------- Pgina 612----------- -----------14-4 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

O Que Monitor de Desempenho?

Monitor de Desempenho permite que voc para visualizar as estatsticas de desempenho atuais, ou para visualizar dados histricos que recolhidas atravs de o uso de Conjuntos de Coletores de de Dados.

Com o Windows R2 Server 2008, voc pode monitorar desempenho operacional sistema atravs de desempenho objetos e contadores em os objetos. Windows Server 2008 R2 recolhe dad os a partir de contadores de vrias maneiras, incluindo:

Um valor snapshot real-tempo

O total uma vez que o a inicializao do computador ltima

mdia Um ao longo de um intervalo de tempo especfico

mdia Um de valores ltimos

Nmero por segundo

valor Maximum

Valor mnimo

Monitor de Desempenho funciona atravs da proporcionando-lhe com uma col eo de objetos e contadores que dados de registro sobre o uso de recursos computador.

Existem muitos contadores que voc pode pesquisar e considerar a monitor izao para atender s suas especfico exigncias. ----------------------- Pgina 613----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-5

Primrias Contadores de Processador

Contadores de CPU so um recurso do CPU do computador que armazena a contagem de h ardware-eventos relacionados com.

Processador Tempo de Processador>% exibe a porcentagem de tempo decorrido que um determinado segmento usou o

processador para executar instrues. Uma instruo a unidade bsica de execuo em um ocessador de, e um thread o objeto que executa as instrues. Includo no esta contagem cdigo que manipula a lgum hardware interrupes e condies de trap.

Os processador consistentemente> Interrupts / sec exibe o taxa de, em incidentes por segundo, na qual o processador recebeu e interrupes de hardware servidos.

Sistema de> Processor Queue Length exibe um nmero aproximado de threads que cada processador

a manuteno. O fila do processador comprimento-s vezes fila do processador cham ada de profundidade-relatado por este contador uma valor instantneo de que representante nico de uma instantneo atua l de o processador de, de modo voc deve observar este contador ao longo de um longo perodo de tempo a notar tendncias em dados. Tambm, o System \ Processor contador Comprimento Queue est relatando um comprimento t otal da fila para todos os processadores no, um comprimento para cada processador.

Primrias Contadores de memria

O objeto de desempenho Memria consiste de contadores de que descrevem o comportam ento de fsica e virtual de memria sobre o computador. Memria fsica a quantidade de RAM no computador. Memria virtual consiste de espao de na memria fsica e no disco. Muitos dos contadores de memria mon itorar de paginao, o que o movimento de pginas de cdigo e dados entre disco e memria fsica.

Memria> Pages / sec. exibe o nmero de falhas de pgina rgidos por segundo. Uma falha de pgina duro ocorre quando a pgina de memria solicitada no pode ser localizado em RAM porque-lo ex iste atualmente na de paginao configurao. Um aumento na este contador indica que mais de paginao est ocorrendo , que por sua vez sugere uma falta de memria fsica.

Primrias Contadores de de Disco

O objeto de desempenho Physical Disk consiste de contadores de que monitoram uni dades de disco rgido ou fixo. Disks so usado para armazenar de dados de arquivo, programa, de paginao e; eles so lidos par a recuperar esses itens, e so escritos para mudanas recordes para-los. Os valores de totais de contadores de disco fsicas so a total de todos os os valores de o

discos lgicos (ou parties) no qual eles esto divididos.

Disk O Physical tempo Disk>% contador indica o quo ocupado um disco particular . U m contador de se aproximando 100 por cento indica que o disco est ocupado quase todos parte do tempo, e u ma gargalo de desempenho possivelmente iminente.

O Disk Physical> Average Disk contador Comprimento Queue indica quantas solicitaes de disco esto esperando para ser reparado pelo o gerente de I / O em Windows 7 em um dado momento. Quanto mais tempo a fila est, o menos o throughput o satisfatria disco.

Taxa de transferncia Nota a quantidade total de trfego que passa um dado pon to em uma rede de conexo para cada unidade de tempo. Workload a quantidade de de processam ento de de que o computador faz em um determinado momento. ----------------------- Pgina 614----------- -----------14-6 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

Primrias Contadores de de Rede

A maioria dos cargas de trabalho requerem acesso a redes de produo para garantir uma comunicao com outras aplicaes e servios, e para se comunicar com usurios. Requisitos de rede incluem e lementos tais como o throughput e a presena de conexes de rede mltiplas.

Cargas de Trabalho podem requerer acesso a vrias redes diferentes que d evem permanecer seguro. Exemplos incluem conexes de para:

acesso rede Public

Redes para a realizao de backups e tarefas de manuteno outros

Os Dedicados remoto-de gesto conexes.

Agrupamento adaptador de rede para o desempenho e failover

Conexes para o computador host fsico

Conexes para matrizes rede-de armazenamento com base

Ao monitorar os contadores de desempenho de rede, voc pode avaliar o de sempenho da sua rede.

Interface A Rede> contador de Bandwidth atual indica a largura de band a atual que est sendo consumido sobre a de interface de rede em bits por segundo (bps). A maioria topologias de rede tm potencial mximo larguras de banda citado em megabits por segundo (Mbps). Por exem plo, Ethernet pode operar em larguras de banda de 10 Mbps, 100 Mbps, 1 Gigabit por segundo (Gbps), e mais elevad os. Para interpretar este contador, divida o valor dado por 1.048.576 para Mbps. Se o valor aproxima-se do lar gura de banda mxima potencial do rede, considere a implementao uma rede comutada ou atualizando para o uma rede que suporta mais elevado larguras de banda.

Interface A Rede> Sada contador Comprimento Queue indica o comprimento atual de a sada fila de pacotes na interface de rede selecionado. Um valor cresce nte, ou um que consistentemente maior do que dois, poderia indicar um gargalo de rede e deve ser invest igada.

----------------------- Pgina 615----------- -----------Monitoring Windows Server 2008 Servidores de Rede Infra-estrutura 14-7

O Que Resource Monitor?

O Resource Monitor de interface de Windows Server R2 2008 fornece um olhar in-pr ofundidade na o tempo real desempenho do seu servidor.

Voc pode usar o Monitor de Resource para monitorar o uso e desempenho de CPU, dis co, de rede, e memria recursos em em tempo real. Isto permite que para conflitos de recursos e os estr angulamentos do para ser identificados e resolvido.

Ao expandir os elementos monitorados, os administradores de sistema podem identi ficar quais processos esto usando qual os recursos. Alm disso, Resource Monitor de permite que voc para selecionar u m processo ou processos para rastrear por selecionando suas caixas de seleo. Quando um processo selecionado, ele permanece s elecionado em todos os painel de de Resource O Monitor de, fornecendo a informao que voc a solicitar relativamente de que proces so de na parte superior da a tela de, no importa o onde voc est no o interface. ----------------------- Pgina 616----------- -----------14-8 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 2008 Network

O Que o Monitor de Confiabilidade?

O o Monitor de Confiabilidade revisa confiabilidade do computador e hi stria problema. O o Monitor de Confiabilidade pode ser usado para obter vrios tipos de relatrios e grficos que podem ajudar voc identificar a fonte de confiabilidade

problemas: Acessar o o Monitor de Confiabilidade, clicando em Histria S istema de View on na guia de Manuteno, no Centro de Ao.

Os tpicos a seguir explicar as principais caractersticas do o Monitor de Confiabilidade.

Chart de Estabilidade do Sistema

O Chart de Estabilidade do Sistema resume estabilidade do sistema, par a o ano passado, em incrementos dirias. Este grfico indica qualquer informao, de erro, ou mensagens de aviso, e simplifica a tarefa de questes identificando e o data em que eles ocorreram.

Relatrios de Instalao e Falha

O Relatrio de de Estabilidade do Sistema tambm fornece informaes sobre cad a evento no grfico. Estes relatrios incluem os seguintes eventos:

Os Instala de Software

Software Desinstala

Os Falhas nas Aplicaes

Os Falhas de Hardware

Falhas do Windows

Falhas Miscellaneous

----------------------- Pgina 617----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-9

Registros Chave de eventos em um Timeline

O o Monitor de Confiabilidade rastreia eventos do-chave sobre o configurao do sist ema, tais como a instalao de novo aplicaes, do sistema operacional-patches e drivers. Ele tambm rastreia os seguintes eventos para ajudar a-lo a identificar as razes para questes de fiabilidade;

problemas de Memria

Os rgidos problemas no disco

problemas de driver

As falhas do Aplicao

Os Operacionais falhas do sistema

O o Monitor de Confiabilidade uma ferramenta til que fornece uma linha de tempo d as alteraes do sistema e relata o do sistema do Confiabilidade Voc pode usar este linha de tempo para determinar se uma mudana sis tema em particular correlaciona-se com o comear a de instabilidade do sistema.

Relatrios de Problemas e da Ferramenta Solutions

Os Relatrios de Problemas e Solutions de ferramenta em o Monitor de Confiabilidad e ajuda os usurios a relatrios da trilha problema e qualquer soluo de informao que eles tm recebido.

Os Relatrios de Problemas e ferramenta de Solutions s ajuda o usurio para armazenar informaes. All Internet comunicao relacionado a relatrios de problemas e solues tratada pelo Windows Error Re porting.

O Relatrio de Problema e ferramenta de Solution fornece uma lista de as tentativa s feitas para diagnosticar seus computadores ' problemas.

Se um erro ocorre enquanto um aplicativo estiver em execuo, Servios de erro do Wind ows de Relato solicita que o usurio para selecionar se deseja enviar informaes de erro para Microsoft sobre o Internet. Se a informao est disponvel que pode ajudar o usurio a resolver esse problema, O Windows exibe uma mensagem para o usur io com um link para o resolver informaes.

Voc pode usar os Relatrios de Problemas e ferramenta de Solutions para rastrear as informaes resolver e recheck para encontrar novas solues.

Voc pode iniciar os Relatrios de Problemas e ferramentas Solues a partir da o Monito r de Confiabilidade. As seguintes ferramentas esto disponveis:

Salvar histria Confiabilidade

Problemas de Visualizao de e Respostas

Verifique se h Solutions para todos os problemas

Desmarque a soluo e histria problema ----------------------- Pgina 618----------- ------------

14-10 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

O Que Visualizador de Eventos?

Windows Server 2008 Visualizador de Eventos R2 uma aplicao que permite q ue voc para exibir e gerenciar logs de eventos. Windows registra recordes eventos significativos em seu computador. Vi sualizador de Eventos frequentemente o ponto de partida para qualquer soluo de problemas atividades.

Visualizador de Eventos contm muitos recursos que no esto disponveis em si stemas de operacionais anteriores, tais como:

A incluso de vrios novos logs. Acessar os logs de para componentes indiv iduais muitos e subsistemas.

A capacidade de exibir logs de mltiplas. Filtrar para eventos especficos em toda a vrios logs, simplificando o seu capacidade de investigar questes e solucionar problemas de problem as que possam aparecem em logs de vrios.

A incluso de pontos de vista personalizadas. Use de filtragem para sear ches estreitas para nicos eventos na qual voc so interessada. Estes modos de exibio filtrados pode ser salvo.

A capacidade de configurar tarefas agendadas para executar em resposta a eventos. Voc pode automatizar respostas aos eventos. Visualizador de Eventos integrado com Task Scheduler.

A capacidade para criar e gerenciar inscries de evento. Coletar eventos partir de computadores remotos e , em seguida, armazen-los localmente.

Nota Para coletar eventos partir de computadores remotos, voc dev e criar uma regra de entrada em O Firewall do Windows para permitir Windows Management Log de Ev entos.

Visualizador de Eventos rastreia informaes em vrios logs diferentes. Este s logs fornecer informaes detalhadas que inclui:

Uma descrio do evento

Um nmero ID evento

componente O ou subsistema que gerou o evento ----------------------- Pgina 619----------- -----------Monitoring Windows Ser ver 2008 Servidores de Rede Infra-estrutura 14-11

Informao, Warning, ou status Erro

O tempo de de a ocorrncia

O nome do usurio em cujo nome o evento ocorreu

computador O sobre qual o evento ocorreu

Um link para Microsoft TechNet para obter mais informaes sobre o evento

Windows Server Registra

O Visualizador de Eventos tem logs de muitos built-in, incluindo aqueles na tabe la a seguir.

Construdo-In Descrio Log e Use

Log do aplicativo Esse log contm erros, avisos, e eventos informativas que so re lacionadas para a operao de aplicaes, tais como Microsoft Excha nge Server, o SMTP aplicaes de servio, e outros.

Log de segurana Este log relata os resultados de auditoria, se a auditoria est habilitado. Os eventos de auditoria so descrito como bem-sucedida ou falhou,, dependend o do evento, por exemplo, se um usurio tentando para acessar um arquivo foi bem-sucedida ou no.

De log de instalao Este log contm eventos relacionados instalao do aplicativo.

Os eventos do sistema de log gerais so registrados pelo componentes do Windows e servios, e so classificados como de erro, informao de aviso, ou. Eventos registrados pelo sistema de componentes so predeterminado por Windows.

Forwarded eventos lojas de Isto de log eventos que so coletados de computadore s remotos. Para coletar eventos a partir de computadores remotos, voc dev e criar uma inscrio de evento.

Logs Aplicativos e Servios uma nova categoria de logs de eventos. Estes logs arma zenam eventos partir de uma nica aplicativo ou componente ao invs de eventos que possam ter system-wide impacto. E sta categoria de logs de inclui quatro subtipos:

Admin

Operacional

Analytic

Debug

Logs Admin so de interesse para profissionais de TI que usam o Visualizador de Ev entos para solucionar problemas problemas. Estes registros fornecem orientao sobre como responder a questes, e principalmente voltado para usurios finais, administradores e pessoal de apoio. Os eventos encontrados nos canais de adminis trao indicar um problema e uma bem-defined soluo que um administrador pode agir em.

Os eventos no log Operacional tambm so teis para profissionais de TI, mas que so sus ceptveis de exigir mais interpretao. Eventos operacionais so usados ou ocorrncia. Voc para analisar e diagnosticar um problema

pode us-los para acionar ferramentas ou tarefas com base no problema ou na ocorrnc ia.

Registros analticos e de depurao no so to amigveis. Analtico registra eventos de loja e traam um problema, e eles muitas vezes registrar um grande volume de eventos. Logs de depurao so usados envolvedores quando estiver depurando aplicaes. por des

Observao Por padro, os dois registros analticos e de depurao so ocultos e desab litados. ----------------------- Pgina 620----------- -----------14-12 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Lio 2

Usando o Monitor de Desempenho

Ser capaz de coletar, analisar e interpretar dados relacionados ao dese mpenho sobre servidores da sua organizao permite-lhe tomar decises informadas de planejamento de capacidade.

Objetivos

Aps concluir esta lio, voc ser capaz de:

Descrever uma linha de base.

Descrever conjuntos de coletor de dados.

Captura de dados do contador com um conjunto de coletores de dados.

Configurar um alerta.

Descrever Reports do Monitor de desempenho.

Identificar os parmetros-chave para rastrear para servios de monitorament o de de infra-estrutura de rede. ----------------------- Pgina 621----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-13

Por que usar uma linha de base?

Clculo base de desempenho para o seu ambiente de servidor permite que voc mais pre cisa interpretar real-informaes em tempo de monitoramento. Uma linha de base para o des empenho do seu servidor lhe diz o que

as estatsticas de monitoramento de desempenho olhar como sob condies de uso normal. Uma linha de base estabelecida atravs da monitorizao estatsticas de desempenho mais de uma perodo de de tempo. Quando um problema ou si ntoma ocorre em tempo real, voc pode usar suas estatsticas de base para comparar as suas estatsticas em tempo real e identif icar eventuais anomalias.

Tendncias

Voc deve dar ateno para o valor dos dados de desempenho para garantir que ele refli ta o real ambiente de servidor.

Alm disso, voc deve considerar a anlise de desempenho ao lado de negcio ou o crescim ento da tecnologia e atualizar os planos. possvel reduzir o nmero de servidores em funcionamento depois de ter medido desempenho e avaliado o ambiente requerido.

Ao analisar as tendncias de desempenho, voc pode prever quando a capacidade existe nte susceptvel de ser esgotado. Revisores anlise histrica com considerao ao seu negcio e usar isso para determinar quando a cap acidade adicional necessrio. Alguns picos so associados com um tempo de atividades, tais como ordens extremamente grandes. Outro picos ocorrem numa base regular, tal como uma folha de pagamento mensal, e estes picos poderia exigir um aumento capacidade para atender um nmero crescente de empregados.

Planejamento para a capacidade do servidor futuro uma exigncia para todas as orga nizaes. Planejamento de negcios, muitas vezes requer capacidade de servidor adicional para cumprir as metas. Ao alinhar sua estratgia de TI com a estratgia de de o negcio, voc pode apoiar os objetivos do negcio.

Voc deve planejar a capacidade do servidor para maximizar o uso do espao disponvel,

energia e refrigerao. Alm disso, voc deve considerar a virtualizao do ambiente para reduzir o nmero de serv idores fsicos

que so necessrios. Voc pode consolidar servidores atravs da implementao de computao d 4 bits e utilizando o Hyper-V no ambiente do Windows Server 2008 R2. ----------------------- Pgina 622----------- -----------14-14 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Planejamento de capacidade

Planejamento de capacidade centra-se em avaliar carga de trabalho serv idor, o nmero de usurios que um servidor pode suportam, e de como escal sistemas de para apoiar carga de trabalho adicional e o s usurios no futuro.

Aplicativos de servidor e novos servios afetam o desempenho de sua infr a-estrutura de TI. Estes servios podem receber hardware dedicado, embora muitas vezes usar a mesma rede de rea local (LAN) e rea de wireless rede de infra-estrutura (WAN). Planejamento para capacidade futura dev e incluir todos os componentes de hardware e como os novos servidores, servios e aplicaes afetam a infra-estrutura exi stente. Fatores como alimentao, refrigerao e espao em rack so muitas vezes esquecidos durante os exerccios iniciais para planejar a expanso da capacidade. Voc deve considerar como seus servidores pode escalar cima e para fora par a suportar uma carga de trabalho aumentada.

Tarefas, tais como atualizando para o Windows R2 Server 2008 e atualiz ar os sistemas operacionais pde afetar sua servidores e rede. No desconhecido para uma atualizao para causar um prob lema com um aplicativo. Cuidadoso monitoramento de desempenho antes e depois as atualizaes so aplicadas pod em identificar problemas.

Um negcio em expanso exige que voc fornea suporte para mais usurios. Voc dev e considerar o negcio requisitos na compra de hardware. Esta considerao ir assegurar que voc pod e encontrar negcios futuros requisitos atravs do aumento do nmero de servidores ou pela adio de capaci dade de hardware existentes.

Os requisitos de capacidade incluem:

Servidores Mais

hardware Adicionais

Reduzir a carga de aplicativos

Reduzir os usurios

Gargalos compreenso

Um gargalo de desempenho ocorre quando um computador incapaz de atende r as solicitaes atuais para uma especfica recurso. O recurso pode ser um componente essencial, tal como um disco , a memria, o processador, ou na rede. Alternativamente, o gargalo pode ser causada pela falta de um componen te dentro de uma aplicao pacote.

Usando ferramentas de monitoramento de desempenho em uma base regular, e comparando os resultados com sua linha de base e aos dados histricos, possvel identificar gargalos de desempenho antes qu e os usurios que eles afetem.

Uma vez que voc identificar um gargalo, voc deve decidir como para removlo. Suas opes para a remoo de um afunilamento de incluem:

Executar aplicaes menos

Adio de recursos adicionais para o computador

Um computador que sofre de uma escassez de recursos grave poderia para r o processamento de solicitaes de usurios, o que requer ateno imediata. No entanto, se seu computador apresentar um gargalo, mas ainda opera dentro

limites aceitveis, voc pode decidir adiar as alteraes at que a situao seja r solvida, ou at que voc tenha uma oportunidade para tomar uma ao corretiva. ----------------------- Pgina 623----------- -----------Monitoring Windows Se rver 2008 Servidores de Rede Infra-estrutura 14-15

O que so conjuntos de Coletores de Dados?

Um Conjunto de Coletores de Dados a base do Windows monitoramento de desempenho do servidor e relatrios em Monitor de Desempenho.

Conjuntos de Coletores de de Dados permitir que voc para reunir estatsticas do sis tema desempenho-conexas e outras para anlise juntos com outras ferramentas dentro de Monitor de Desempenho, ou com ferramenta s de terceiros.

Embora seja til para analisar a atividade desempenho atual em um computador servi dor, voc pode encontr-lo mais til para recolher os dados de desempenho ao longo de um perodo de tempo e ento anal isar e compar-lo com anteriormente recolheu dados. Esta comparao de dados permite que voc faa determinaes sobre o uso de recursos para planejar para o crescimento e para identificar possveis problemas de desempenho.

Conjuntos de Coletores de de dados podem conter os seguintes tipos de coletores de dados:

Contadores de desempenho: fornece dados de desempenho do servidor.

Os Os dados de eventos de rastreamento: fornece informaes sobre atividades do sist ema e eventos-muitas vezes til para Soluo de Problemas

informaes de configurao do sistema: permite que voc grave o estado atual de chaves de registro e alteraes de registro para essas chaves.

Voc pode criar um Coletor de Dados a partir de um modelo, de um conjunto existent e de coletores de dados em um Desempenho vista Monitor, ou por selecionando de coleccionadores individuais de dados e definindo cada opo individual em o Coletor de Dados Definir propriedades. ----------------------- Pgina 624----------- -----------14-16 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Demonstrao: Como capturar os dados do contador com um Conjunto de Coleto res de Dados

Esta demonstrao mostra como:

Criar um conjunto coletor de dados.

Criar uma carga em disco no servidor.

Analisar os dados resultantes em um relatrio.

----------------------- Pgina 625----------- -----------Monitoramento Windows Server 2008 servidores de rede de infra-estrutura 14-17

Demonstrao: Como configurar um alerta

Esta demonstrao mostra como:

Criar um coletor de dados definido com um contador de alerta.

Gerar uma carga sobre o servidor para exceder limite configurado.

Examine log de eventos para resultando evento. ----------------------- Pgina 626----------- -----------14-18 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Demonstrao: Como visualizar os relatrios de desempenho do sistema

Esta demonstrao mostra como:

Ver um relatrio de desempenho. ----------------------- Pgina 627----------- -----------Monitoramento Windows Server 2008 servidores de rede de infra-estrutura 14-19

De monitoramento Servios de Infraestrutura de Rede

Porque os servios de infra-estrutura de rede so uma fundao essencial de muitas outro s servidor-servios baseados em,-lo importante que no s eles esto configurados corretamente, mas que eles esto executand o de forma otimizada.

Reunindo desempenho-dados relacionados com em seus servios de infra-estrutura de rede ir beneficiar a sua organizao em das seguintes maneiras:

Ajudar a otimizar rede o desempenho do servidor infra-estrutura. Ao fornecer de linha de base desempenho e dados de tendncia, voc pode ajudar sua empresa a otimizar o desempenho da r ede do servidor de infra-estrutura.

Soluo de servidores. Quando o desempenho do servidor tem degradadas, quer ao longo do tempo ou durante perodos do pico de atividade, voc pode ajudar para identificar as causas possveis e t omar uma ao corretiva para garantir que voc pode trazer o servio de volta dentro de os limites de seu Contrato de Nvel de Servio (SLA).

Voc pode usar Monitor de desempenho para reunir e analisar os dados relevantes.

DNS Monitoramento

DNS fornece servios de resoluo de nomes na sua rede. Voc pode monitorar o do Windows Server 2008 R2 Funo de servidor DNS para determinar os seguintes aspectos de sua infra-estrutura de DNS:

General DNS estatsticas do servidor, incluindo o nmero de consultas globais e resp ostas que so processada pelo servidor DNS.

User Datagram Protocol (UDP) ou Transmission Control Protocol (TCP) contadores, para medir o DNS perguntas e respostas que so processados, respectivamente, utilizando qualqu er um destes protocolos de transporte.

atualizao dinmica e segura contadores de actualizao dinmica, para registro de medio ividade de atualizao que gerado pelos clientes dinmicas.

Memria contadores de uso, para uso de sistema de medio de memria e padres de alocao memria que so criados por operar o computador servidor como um servidor DNS. ----------------------- Pgina 628----------- -----------14-20 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Os recursivas contadores de pesquisa, para medir as consultas e respos tas quando o servio Servidor DNS usa recurso para olhar para cima e resolver totalmente nomes DNS em no me de clientes solicitantes.

Zona contadores de transferncia, incluindo contadores especficos para me dir o seguinte: todos transferncia de zona (AXFR), incremental zona transferncia (IXFR), e zona de DNS ativid ade notificao de atualizao.

Monitoramento DHCP

O servio DHCP fornece dinmicos servios de configurao de IP em sua rede. Voc pode monitorar o Windows Server 2008 R2 funo de servidor DHCP para determinar os seguinte s aspectos do seu servidor DHCP:

O comprimento mdio da fila indica o comprimento atual da fila de mensag ens interno do DHCP servidor; este nmero representa o nmero de mensagens no transformado s que so recebidos pelo servidor. A grande quantidade pode indicar o trfego do servidor pesado.

Os milissegundos por pacote (mdia) de contador o tempo mdio em milissegu ndos que usado pelo

DHCP servidor para processar cada pacote que recebe; este nmero va ria dependendo do hardware do servidor eo seu subsistema I / O. Um aumento pode indicar um problema, com o subsistema de I / O se tornar mais lento ou por causa de uma sobrecarga de processamento intrnse ca no servidor. ----------------------- Pgina 629----------- -----------Monitoramento Win dows Server 2008 servidores de rede de infra-estrutura 14-21

Lio 3 Evento Logs de monitoramento

Visualizador de eventos fornece um local conveniente e acessvel para voc ver os eventos que ocorrem e so registrado pelo Windows Server. Os eventos so gravados em um dos vrios ar quivos de log com base no tipo de evento que ocorreu. Para suportar os seus usurios, voc deve saber como acessar i nformaes sobre o evento de forma rpida e convenientemente, e saber interpretar os dados no log de eventos.

Objetivos

Depois de concluir este programa, voc ser capaz de:

Descrever uma exibio personalizada.

Criar uma exibio personalizada.

Descrever inscries em eventos.

Descrever como configurar uma inscrio de evento.

----------------------- Pgina 630----------- -----------14-22 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que uma exibio personalizada?

Os logs de eventos contm grandes quantidades de dados, e poderia desafilo para reduzir o conjunto de eventos a apenas aqueles que lhe interessam. Nas verses anteriores do Windows, voc pode a plicar filtros para logs, mas voc no podia salvar esses filtros. As vistas personalizadas permitem que voc busque e classificar apenas os eventos que voc deseja analisar. Voc tambm pode salvar, exportar, importar e compartilhar essas vises persona lizadas.

Event Viewer permite que voc filtre para eventos especficos atravs de vrio s logs, e exibir todos os eventos que so potencialmente relacionada a um problema que voc est investigando. Para especificar um filtro que se estende por vrios logs, voc preciso criar uma exibio personalizada.

Criar exibies personalizadas do painel de ao no Visualizador de eventos. V oc pode filtrar as exibies personalizadas com base em mltiplos critrios, incluindo:

O tempo que o evento foi registrado

Nvel de evento para apresentar, como erros ou avisos

Logs de que para incluir eventos

Especfico identificaes de evento para incluir ou excluir

contexto do usurio do evento

Computador no qual o evento ocorreu ----------------------- Pgina 631----------- -----------Monitoring Windows Serv er 2008 Servidores de Rede Infra-estrutura 14-23

Demonstrao: Como criar uma exibio personalizada

Esta demonstrao mostra como:

Ver opinies funes de servidor personalizados.

Criar uma exibio personalizada. ----------------------- Pgina 632----------- -----------14-24 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

O que so assinaturas de eventos?

Event Viewer permite visualizar eventos em um nico computador remoto. N o entanto, solucionar um problema pode exigir que voc examinar um conjunto de eventos que so armazenados e m vrios logs em vrios computadores. Evento Visualizador oferece a capacidade de coletar cpias de eventos a partir de vrios computadores remotos e, em seguida, armazenar -los localmente. Para especificar quais eventos para coletar, criar um a assinatura de evento. Depois de uma assinatura est ativa e eventos esto sendo coletados, voc pode exibir e manipular esses evento s encaminhados como faria com qualquer outro armazenado localmente eventos.

Usando o recurso de evento coleta-requer que voc configure o reencaminh amento da e o coleccionismo computadores. A funcionalidade depende do Windows Remote Management (W inRM) e do Windows

Servios do evento de coleco (Wecsvc). Ambos os servios devem ser executado s em computadores que so participar na transmisso e processo de coleta.

Assinaturas Habilitao

Para habilitar assinaturas, realizar as seguintes tarefas:

Em cada computador de origem, execute o seguinte comando em um prompt de comando elevado para permitir WinRM:

winrm quickconfig

No computador coletor, digite o seguinte comando em um prompt de coman do elevado para permitir o Wecsvc:

qc wecutil

Adicione a conta de computador do coletor ao grupo Administradores loc al em cada um os computadores de origem. ----------------------- Pgina 633----------- -----------Monitoramento Windows S erver 2008 servidores de rede de infra-estrutura 14-25

Demonstrao: Como configurar uma Assinatura Evento

Esta demonstrao mostra como:

Configurar o computador de origem.

Configure o computador coletor.

Criar e exibir o log subscrito. ----------------------- Pgina 634----------- -----------14-26 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Lab: Monitorando o Windows Server 2008 Rede Servidores de infra-estrutura

Instalao de laboratrio

Para este laboratrio, voc vai usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio, voc deve conclua as seguintes etapas:

1. No computador host, clique em Iniciar, aponte para Ferramentas adm inistrativas e clique em Hyper-V Manager.

2. Iniciar.

No Hyper-V Manager , clique 6421B-NYC-DC1, e no painel Aes, clique em

3. ea.

No painel Aes, clique em Conectar. Aguarde at que a mquina virtual com

4.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

5.

Repita os passos 2 a 4 para SVR1-6421B-NYC.

Cenrio Lab

Tendo recentemente implantado alguns novos servidores, importante estab elecer um parmetro de desempenho com um carga tpica para estes novos servidores. Voc est encarregado de realizar e ste projeto. Alm disso, para fazer o processo de monitoramento de desempenho mais fcil, voc decide implementar um log subscrito para os novos servidores de modo que voc pode facilmente determinar a sade do servidor.

Para este projeto, voc deve completar as seguintes tarefas:

Estabelecer um parmetro de desempenho para NYC SVR1-sob condies de carga tp icas. ----------------------- Pgina 635----------- -----------Monitoramento Windows Se rver 2008 servidores de rede de infra-estrutura 14-27

Use o Monitor de desempenho para identificar os recursos que so afectados por um novo aplicativo que est sendo executado em NYC-SVR1.

Centralizar os logs de eventos dentro da Contoso.

Exerccio 1: Criao de uma Base de Desempenho

Remoto

Neste exerccio, voc vai usar o Monitor de desempenho no servidor e criar uma linha de base usando tpico contadores de desempenho.

As principais funes para este exerccio so como se segue:

1.

Criar um Conjunto de Coletores de Dados.

2.

Inicie o Conjunto de Coletores de Dados.

3.

Criar carga sobre o servidor.

4.

Analisar os dados coletados.

Tarefa 1: Criar um Conjunto de Coletores de Dados

1.

Alterne para a computador NYC SVR1-.

2.

Abra o Monitor de desempenho.

3. Criar um novo utilizador de dados definidos pelo conjunto de coletores com as informaes a seguir para concluir o processo:

Nome: Desempenho NYC SVR1-

Criar: Criar manualmente (avanado)

Tipo de de dados: Contador de desempenho

Selecione os contadores a seguir:

Memria, Pages / sec

Interface de Rede, Bytes Total / seg

PhysicalDisk,% Disk Time

PhysicalDisk, mdio. Length Queue Disk

Processor, Processor Time%

Sistema, Processor Queue Length

Intervalo de amostragem: 1 segundo

Onde armazenar dados: valor padro

4.

Salve e feche o conjunto coletor de dados.

Tarefa 2: Inicie o Conjunto de Coletores de Dados

No Monitor de desempenho, no painel Resultados, clique-direito NYC-SVR1 Desempen ho e, em seguida, clique em Iniciar. ----------------------- Pgina 636----------- -----------14-28 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

Tarefa 3: carga de trabalho Criar no servidor

1. Abra um prompt de comando e execute os seguintes comandos, pressio nando ENTER aps cada comando:

Arquivo Fsutil createnew bigfile 104857600 Copiar bigfile \ \ NYC-dc1 \ c $ Copiar \ \ NYC-dc1 \ c $ \ bigfile bigfile2 Del bigfile *.* Del \ \ nyc-dc1 \ c $ \ bigfile *.*

2.

No feche o prompt de comando.

Tarefa 4: Analisar dados coletados

1.

Mude para o Monitor de desempenho.

2.

Parar a NYC-SVR1 Desempenho conjunto coletor de dados.

3. No Monitor de desempenho, no painel de navegao, clique em Monitor de desempenho.

4.

Na barra de ferramentas, clique em Exibir dados de log.

5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique em arquivos de log e, em seguida, Clique em "Add".

6.

Na caixa de dilogo Selecionar arquivo de log, Admin duplo clique.

7. Clique duas vezes em NYC-SVR1 Desempenho, clique duas vezes no NYC -SVR1_date-000001 pasta e, em seguida, faa duplo clique em DataCollector01.blg.

8.

Clique na guia Dados e, em seguida, clique em Adicionar.

9.

Selecione os seguintes contadores:

Memria, Pages / sec

Interface de Rede, Bytes Total / seg

PhysicalDisk,% Disk Time

PhysicalDisk, mdio. Comprimento da fila de disco

Processador,% Tempo de Processador

Sistema, Processor Queue Length

10. Na barra de ferramentas, clique em na seta para baixo e, em seguid a, clique em Relatrio de.

11. Registre os valores que esto listados no relatrio para posterior anli se.

Valores registrados:

Os de Memria, Pages / sec

Interface Network, Bytes Total / sec

PhysicalDisk, Tempo Disk%

PhysicalDisk, mdio. Comprimento da fila de disco

Processador,% Tempo de Processador

Sistema de, Processor Queue Length

Resultados: Aps este exerccio, voc deveria ter criado uma linha de base. ----------------------- Pgina 637----------- -----------Monitoramento Windows S erver 2008 servidores de rede de infra-estrutura 14-29

Exerccio 2: Identificar a origem de um problema de desempenho

Remoto

Neste exerccio, voc agora vai simular uma carga para representar o sistema em uso ao vivo, recolher desempenho dados usando o conjunto de coletores de dados, e determinar a possvel causa do pr oblema de desempenho.

As principais funes para este exerccio so como se segue:

1.

Carregar um novo programa no servidor.

2.

Configurar a carga sobre o servidor.

3.

Iniciar o coletor de dados definido novamente.

4.

Pare o programa em execuo.

5.

Ver dados de desempenho.

6.

Analisar os resultados e tirar uma concluso.

Tarefa 1: Coloque um novo programa no servidor

1.

On NYC-SVR1, alterne para a prompt de comando.

2.

Mude para a pasta C: \ Labfiles.

Tarefa 2: Configurar a carga sobre o servidor

Em NYC-SVR1, executar StressTool.exe 95.

Tarefa 3: Iniciar o coletor de dados definida novamente

1.

Mude para o Monitor de desempenho.

2. No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resul tados, boto direito do mouse NYC-SVR1 Performance, e clique em Iniciar.

3.

Espere um minuto para que os dados sejam capturados.

Tarefa 4: Pare o programa em execuo

No prompt de comando, pressione CTRL + C e, em seguida, fechar o prompt de coman do.

Tarefa 5: dados de desempenho de Visualizao

1.

Mude para o Monitor de desempenho.

2.

Pare o conjunto coletor de dados.

3. No Monitor de Desempenho, na painel de navegao, clique em Monitor de Desempen ho.

4.

Na barra de ferramentas, clique em Exibir dados de log.

5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique e m arquivos de log e clique em &Excluir

6.

Clique em "Add".

7.

Na caixa de dilogo Select Log File, clique em um nvel acima.

----------------------- Pgina 638----------- -----------14-30 Configurao e Soluo de problemas do Windows Server Network Infrastructure 2008

8. Duas vezes-clique no NYC-SVR1_date-000002 pasta e, em seguida, faa duplo clique em DataCollector01.blg.

9. Clique na guia Dados e em seguida, clique OK.

Observao Se voc receber um erro neste ponto, ou os valores em seu r elatrio so de repetio, zero passos 4-9.

Valores gravados:

Memria, Pages / sec

Interface Network, Bytes Total / sec

PhysicalDisk, Tempo Disk%

PhysicalDisk, mdio. Comprimento da fila de disco

Processor, Processor Time%

Sistema, Processor Queue Length

Task 6: Analisar resultados e desenhe um concluso

1. Comparado com o seu relatrio anterior, que os valores mudaram?

2. O que voc recomendaria?

Resultados: Aps este exerccio, voc deve ter identificado um gargalo em po tencial. ----------------------- Pgina 639----------- -----------Monitoramento Windows Ser ver 2008 servidores de rede de infra-estrutura 14-31

Exerccio 3: Logs A centralizao Eventos

Cenrio

Neste exerccio, voc ir usar NYC DC1-para coletar logs de eventos a partir de NYC-SV R1; especificamente, voc ir usar este processo de para reunir relacionados ao desempenho alertas a partir de seus serv idores de rede.

As principais funes para este exerccio so como se segue:

1.

Configure o computador de origem.

2.

Configure o computador coletor.

3.

Criar um log subscrito.

4.

Criar um coletor de dados definido com um contador de alerta.

5.

Verifique o log subscrito relacionados ao desempenho alertas.

Tarefa 1: Configurar o computador de origem

1.

Alterne para NYC-SVR1.

2. Ao um prompt de comando, execute quickconfig winrm para ativar as alteraes ad ministrativos, que sejam necessrias sobre um computador de origem.

3.

Adicione o computador NYC DC1-to do grupo Administradores local.

Tarefa 2: Configure o computador coletor

1.

Mudar para NYC DC1.

2. Ao um prompt de comando, execute qc wecutil para ativar as alteraes administr ativos, que sejam necessrio em um computador coletor.

Tarefa 3: Criar um log de subscrito

1.

Abra Visualizador de Eventos.

2.

Criar uma nova assinatura com as seguintes propriedades:

Computadores: NYC-SVR1

Nome: NYC SVR1-Eventos

Collector Iniciada

Eventos: Critical, Warning de Informao,, Verbose, e Erro

registrado: ltimos 7 dias

Logs: Windows Logs

Tarefa 4: Criar um coletor de dados definir com um contador de alerta

1.

Alterne para NYC-SVR1.

2.

Abra Monitor de Desempenho.

3. Crie um novo usurio dados definido pelo conjunto de coletores de usando as s eguintes informaes para concluir o processo:

Nome: NYC-SVR1 Alert

Criar: Criar manualmente (Advanced) ----------------------- Pgina 640----------- -----------14-32 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Tipo de de dados: Alert Contador de desempenho

Selecione os seguintes contadores:

Processador, Tempo% Processor acima de 10%

intervalo de Sample: 1 segundo

Onde para armazenar dados: valor padro

de Aco Alert: Efetue login uma entrada no log de eventos do aplicat ivo

4.

Inicie o NYC-SVR1 conjunto de coletores de Alert de dados.

5.

Alterne para a prompt de de comando.

6.

Mude para o C: \ Labfiles e executar StressTool.exe 95.

7. Aguarde um minuto para dados para ser capturado, e, em seguida, n o prompt do de comando, imprensa CTRL + C e, em seguida, fechar a prompt de de comando.

8.

Feche a prompt de de comando.

Tarefa 5: Verifique o log de subscrito para o desempenho-relacionados alertas

1.

Mudar para NYC DC1.

2. Em monitor de desempenho, esto l quaisquer alertas desempenho-relac ionados em o log de aplicativo subscrito?

Resultados: No final de este exerccio, voc ter logs de eventos centraliza

dos.

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:

1.

On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguida , clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para SVR1-6421B-NYC.

----------------------- Pgina 641----------- -----------Monitoring Window s Server 2008 Servidores de Rede Infra-estrutura 14-33

Reviso do mdulo e Takeaways

Questes de Reviso

1. O que os contadores significativas deve voc monitorar no Windows Mo nitor de Desempenho Server?

2. ente?

Por que importante para monitorar o desempenho servidor periodicam

3.

Por que usar os alertas de de Desempenho?

Ferramentas

Uso Ferramenta para Onde para encontr-lo

FSUtil.exe Configurar e gerenciar o arquivo linha de Command sistema de

Monitor de Desempenho Monitoramento e anlise de Menu Iniciar real-temp o e logado dados de desempenho

Logman.exe Gerenciando e agendando desempenho linha de Command contad or de e de log de eventos coletas de rastreame nto ----------------------- Pgina 642----------- -----------14-34 Configurando e Soluo de problemas um Servidor de Windows Infra-estrutura 200 8 Network

Avaliao do Curso

O seu avaliao de este curso ir ajudar a Microsoft a compreender a qualida de do seu experincia de aprendizagem.

Por favor, trabalhar com seu fornecedor do treinamento para acessar o formulrio avaliao do curso.

Microsoft ir mant-suas respostas para este levantamento privada e confid encial e ir usar os seus respostas para melhorar o seu experincia de aprendizagem futuro. O seu feedback aberto e honesto valioso e apreciado. ----------------------- Pgina 643----------- -----------L1-1

Mdulo 1: Planejamento e configurao de IPv4

Lab: Planejando e Configurando IPv4

Exerccio 1: Seleo de um esquema de endereamento IPv4 para Escritrios

Tarefa 1: Leia a documentao de apoio

Leia a documentao de apoio localizado debaixo do cenrio Exerccio no mdulo principal documento.

Tarefa 2: Atualize o documento de proposta com seu curso planejado de ao

Responda s perguntas em a Atualizao de o Branch Office Plano de Infra-estrutura Net work: IPv4 Endereamento documento.

Filial Plano de Infra-estrutura de rede: IPv4 Endereamento

Nmero de Documento de Referncia: GW00602 / 1

Documento Autor Charlotte Weiss Data sexta fevereiro

Viso geral Requisitos Projete um esquema de IPv4 de endereamento para os de vendas de filiais da Contoso escritrios, mostrados na a exposio. O endereo 172.16.16.0/20 bloco foi reservado para esta regio. Voc deve conceber um esquema de que suporta o nmero necessrio de sub-redes, o nmero exigido de hosts, e fornecer para o crescimento de 25 por cento dos Exrcitos em cada r

amo. Para cada ramificao, fornecer os endereos de sub-rede que voc planeja usar, ju ntamente com o incio eo fim IP endereos para cada sub-rede.

Informaes Adicionais Voc no precisa de a preocupar--se yourself com o IP de endereamento para o la do corporativo das o roteador na cada ramo.

Propostas

1. Quantas sub-redes que prev exigindo para esta regio?

Resposta: Existem 300 computadores na regio. Os estados de especificao q ue cerca de 50 computadores devem ser implantado em cada sub-rede. Voc tambm precisa p ara planejar para o crescimento de cerca de 25 por cento. Seis sub-redes so necessria na regio para hospedar computador es, mas uma sub-rede adicional para cada local deve ser planejada para para hospedar o crescimento em com putadores. Esta a um total de nove sub-redes.

2. Quantos hosts ir voc implantar em cada sub-rede?

Resposta: Os estados de especificao que voc deve implantam um mximo de 50 computadores de host para cada sub-rede.

3. Que mscara de de sub-rede voc vai usar para cada ramo?

Resposta: O endereo de rede atual para a regio 172.16.16.0/20. Isto dei xa 12 bits para

alocar a sub-redes e hosts. Para expressar 9 sub-redes, voc iria reque rer 4 bits, uma vez que 3 bits apenas fornece-durante 8 sub-redes. Quatro bits realmente prev 16 sub-redes, o que abundncia. Esta uma mscara de decimal de 255.255.255.0. ----------------------- Pgina 644----------- -----------L1-2 Mdulo 1: Planejando e Configurando IPv4

Continuao...

Filial Plano de Infra-estrutura de rede: IPv4 Endereamento

4.

Quais so os endereos de sub-rede para cada filial?

Resposta: Branch 1: 172.16.16.0/24 172.16.17.0/24 172.16.18.0/24 Filial 2: 172.16.19.0/24 172.16.20.0/24 172.16.21.0/24 Filial 3: 172.16.22.0/24 172.16.23.0/24 172.16.24.0/24

5. Qual a faixa de de endereos de host esto em cada ramo?

Resposta: Branch 1: 172.16.16.1> 172.16.16.254

172.16.17.1> 172.16.17.254 172.16.18.1> 172.16.18.254 Filial 2: 172.16.19.1> 172.16.19.254 172.16.20.1> 172.16.20.254 172.16.21.1> 172.16.21.254 Filial 3: 172.16.22.1> 172.16.22.254 172.16.23.1> 172.16.23.254 172.16.24.1> 172.16.24.254

Tarefa 3: Examine os propostas sugeridas em a Chave de Resposta Lab

Examine o concluda Branch Office plano de Infra-estrutura Rede no a Cha ve de Resposta Lab e ser preparado para discutir suas solues com a classe.

Resultados: No final de este exerccio, voc deve ter um concluda plano de uma IP endereamento para o Contoso filiais. ----------------------- Pgina 645----------- -----------Lab: Planejando e Configurando IPv4 L1-3

Exerccio 2: Implementando e Verificando IPv4 em o Branch Office

Tarefa 1: Determine a configurao IPv4 atual do router

1.

Mude para o computador NYC RTR.

2.

Clique em Iniciar, e na caixa de Pesquisar, digite cmd.exe e pressione ENTE

R.

3. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

Ipconfig / all

4.

Qual o endereo IPv4 e mscara de sub-listado que comea 172,16?

Resposta: 172.16.16.1/255.255.255.0

5.

O sub-rede essa?

Resposta: 172.16.16.0/24

6.

Qual seria o endereo de host passado nesta sub-rede ser?

Resposta: 172.16.16.254

7.

Feche o prompt de comando.

Tarefa 2: Determinar a configurao IPv4 de NYC-SVR2

1.

Mude para o computador NYC SVR2.

2.

Clique em Iniciar e na caixa de pesquisa, digite cmd e pressione ENTER.

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / all

4.

Qual o endereo IPv4 ea mscara de sub-rede?

Resposta: 172.16.16.2/255.255.255.0

5.

O sub-rede essa?

Resposta: 172.16.16.0/24

6.

O que o gateway padro?

Resposta: 172.16.16.1

7.

Qual a Servidores DNS?

Resposta: 10.10.0.10

8.

Deixar o comando open prompt.

Tarefa 3: Determinar a configurao da NYC-CL2 computador

1.

Mude para o computador NYC CL2.

2. Clique em Iniciar, clique em Computador, e, em seguida, faa duplo clique em AllFiles (E :).

3. No Windows Explorer, clique duas vezes em Labfiles e, em seguida, clique du as vezes em Mod01. ----------------------- Pgina 646----------- -----------L1-4 Mdulo 1: Planejamento e configurao de IPv4

4.

Clique duas vezes Reconfigure.cmd.

5.

Feche Explorer.

6. ENTER.

Clique em Iniciar e na caixa de pesquisa, digite cmd e pressione

7. No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / all

8. Qual o endereo IPv4 ea mscara de sub-rede?

Resposta: 169.254 -, a resposta vai variar.

9.

O que isso quer dizer?

Resposta: O cliente est tentando obter um endereo IP de forma dinmica e no conseguiu se conectar a um Servidor DHCP.

Tarefa 4: Reconfigure a NYC-CL2 computador

1. Clique em Iniciar, clique em Painel de de Controle, e, em seguida , clique em Rede e Internet.

2.

Em Rede e Internet, clique em Centro de Rede e Compartilhamento.

3. In Center de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

4. Em Conexes de Rede, boto direito do mouse em Conexo Local 3 e clique em Propriedades.

5.

Clique duas vezes em Internet Protocol Version 4 (TCP/IPv4).

6. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propried ades, clique em Usar o seguinte IP endereo.

7.

Use as informaes a seguir para concluir a configurao, e clique em OK.

endereo IP: 172.16.16.3

Mscara de sub-rede: 255.255.255.0

Gateway padro: 172.16.16.1

Servidor DNS preferencial: 10.10.0.10

8. har.

Na rea de Conexo Local 3 caixa de dilogo Propriedades, clique em Fec

9. Se solicitado com a Set caixa de dilogo Rede de Localizao de, clique em rede Trabalho, e, em seguida, clique em Fechar.

Tarefa 5: Verifique a configurao

1.

Mude para o prompt de comando.

2. No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / all

3. Qual o endereo IPv4 ea mscara de sub-rede?

Resposta: 172.16.16.x/255.255.255.0 - respostas podem variar.

4. No prompt de comando, digite o seguinte comando e pressione ENTER:

Ping nyc-dc1 ----------------------- Pgina 647----------- -----------Laboratrio: Planejamento e configurao de IPv4 L1-5

5.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / displaydns

6.

Feche todas as janelas abertas.

Tarefa 6: Capturar e analisar o trfego de rede usando o Network Monitor

1.

No desktop, clique duas vezes em Microsoft Network Monitor 3.4.

2.

No Microsoft Update Opt-In caixa de dilogo, clique em No.

3. No Microsoft Network Monitor 3.4, no painel de Captura recente, clique na g uia captura Nova.

4.

Na guia Captura 1, na barra de menu, clique em Iniciar.

5.

Mude para o prompt de comando.

6.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / flushdns

7.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Ping nyc-dc1

8.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / displaydns

9.

No Monitor de rede, no menu, clique em Stop.

10. Que tipo de quadros pode ver?

Resposta: Poder variar, mas podem incluir BROWSER, ARP, TCP, e quadros ICMP.

11. No Microsoft Network Monitor, no painel Filtro de Exibio, clique em Carregar f iltro.

12. Aponte para Filtros de padro, clique em Endereos e clique em endereos IPv4.

13. Percorra o texto e localize o IPv4.Endereo == 192.168.0.100 linha. Edite o en dereo IPv4 para ler 10.10.0.10.

14. No menu no painel Filtro de Exibio, clique em Aplicar.

15. Examinar os registros filtrados.

16. Clique Clear texto e clique em Remover.

1 No Microsoft Network Monitor, no painel Filtro de Exibio, clique em Carregar fil tro.

18. Aponte para Filtros de padro, clique em DNS e clique em DnsQueryName.

19. Percorra o texto e localize a DNS.Qrecord.QuestionName.contains == ("servido r") linha. Edite o nome do servidor para ler ("contoso")

20 minutos. No menu no painel Filtro de Exibio, clique em Aplicar.

21. Examinar os registros filtrados. ----------------------- Pgina 648----------- -----------L1-6 Mdulo 1: Planejamento e configurao de IPv4

22. O que mostram os registros?

Resposta: Uma consulta para um nome de site. (As respostas podem variar)

23. Feche o Monitor de rede.

Resultados: No final deste exerccio, voc vai ter configurado o sub-filia l.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4. C-CL2.

Repita essas etapas para 6421B-NYC-RTR, 6421B-NYC-SVR2 e 6421B-NY

----------------------- Pgina 649----------- -----------L2-1

Mdulo 2: Configurando e solucionando problemas de DHCP

Lab: Configurando e solucionando problemas da DHCP funo de servidor

Exerccio 1: Selecionando uma configurao de DHCP Adequado

Tarefa 1: Leia a Filial Plano de Infra-estrutura de rede: requisitos de DHCP

Analise o diagrama de rede e, em seguida, ler a Filial Plano de Infra-estrutura de rede: DHCP exigncias de documentos seo do documento mdulo sob o cenrio do exerccio 1.

Tarefa 2: Atualize o documento de proposta com seu curso planejado de ao

Responda s perguntas no mbito do Poder Plano de Infra-estrutura do Office Network: documento DHCP.

Filial Plano de Infra-estrutura de rede: DHCP

Nmero de Documento de Referncia: CW0703 / 1

Documento Autor Charlotte Weiss Data de 07 de marco

Requisitos Especifique como voc pretende implementar DHCP para suportar suas necessida des de escritrios filiais.

Informaes Adicionais importante que qualquer roteador, servidor ou comunicao falha de ligao no afect e usurios.

Propostas

1. Quantos servidores DHCP que voc prope para implantar na regio?

Resposta: Supondo que os roteadores so todos RFC-compliant, no h necessidad e de implantar DHCP servidores em cada sub-rede. No entanto, para tolerncia a falhas, cada su cursal deve ter um servidor de DHCP com duplicar escopos configurados na sede do servidor DHCP, com excluses adeq uadas para apoiar a regra de 80/20; isso daria para abordar a tolerncia a falhas.

2. Onde que voc se prope a implantar esses servidores?

Resposta: Um servidor DHCP em cada filial e uma na sede.

3. Como voc se prope a fornecer tolerncia a falhas de alocao de endereos IP?

Resposta: Configure as escopos para apoiar o regra 80/20.

4. Como os clientes de um ramo obter uma configurao de IP, se seu servidor DH CP est offline?

Resposta: Eles vo obter uma configurao de IP do servidor sede. Isto requer um servidor DHCP rel no roteador que conecta a sede para o ramo.

Tarefa 3: Examine os propostas sugeridas em a Chave de Resposta Lab

Examine o concludo Filial Plano de Infra-estrutura de rede: documento DHCP no Lab oratrio de Resposta Key e estar preparado para discutir suas solues com a classe.

Resultados: No final deste exerccio, voc ter determinado a configurao DHCP apropriado para Contoso. ----------------------- Pgina 650----------- -----------L2-2 Mdulo 2: Configurando e solucionando problemas de DHCP

Exerccio 2: Implementando DHCP

Tarefa 1: Instale a funo de DHCP em NYC-SVR2

1.

Mudar para NYC-SVR2.

2.

Na barra de tarefas, clique em Gerenciador do Servidor.

3. No Server Manager, no painel de navegao, clique em Funes e, no painel direita, clique em Adicionar Funes.

4.

Em o Assistente de para Adicionar Funes, clique em Avanar.

5. Na pgina Selecionar Funes do Servidor, selecione o DHCP caixa de sel eo Servidor e clique em Avanar.

6.

Na Introduo ao DHCP pgina Server, clique em Avanar.

7.

Na pgina Network Connection Select Bindings, clique em Avanar.

8.

No IPv4 DNS Especificar Servidor pgina Configuraes, clique em Avanar.

9. anar.

No IPv4 WINS Especifique o Servidor pgina Configuraes, clique em Av

10. No Adicionar ou pgina Editar Escopos DHCP, clique em Avanar.

11. Na pgina Configurar Modo DHCPv6 Stateless, clique em Desativar DHC Pv6 modo stateless para este servidor e clique em Avanar.

12. Na pgina Servidor de Autorizar DHCP, clique em Ir autorizao de este servidor DHCP no AD DS e clique em Avanar.

13. Na pgina Confirmar Selees de Instalao, clique em Instalar.

14. Na pgina Resultados da Instalao, clique em Fechar e feche o Gerencia dor do Servidor.

Tarefa 2: Ativar DHCP Relay

1.

Mudar para NYC RTR.

2. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e Acesso Remoto.

3. No painel de navegao, expanda NYC-RTR (local), expanda IPv4, boto di reito do mouse Geral, e clique em Novo Protocolo de Roteamento.

4. Na lista de protocolos de roteamento, clique em DHCP Relay Agent, e clique em OK.

5. No painel de navegao, boto direito do mouse Agente de retransmisso DH CP e clique em Nova Interface.

6. Na nova interface para DHCP caixa de dilogo Relay Agent, clique em Conexo Local 2 e em seguida clique em OK.

7. Nas Propriedades DHCP Relay - Conexo de rea Local 2 caixa de dilogo Propriedades, clique em OK.

8. No painel de navegao, boto direito do mouse Agente de retransmisso DH CP e clique em Nova Interface.

9. Na nova interface para DHCP caixa de dilogo Relay Agent, clique em Conexo Local 3 e, em seguida, clique em OK.

10. Em os Propriedades de DHCP Relay - de conexo rea Local 3 caixa de d ilogo Propriedades, clique em OK.

11. O boto direito do, clique em DHCP Relay Agent e, em seguida, cliqu e em Propriedades.

12.

No Revezamento caixa de Agente de dilogo DHCP Propriedades, na ca

ixa de endereo do servidor, digite 10.10.0.10, clique em Adicionar e, em em seguida, clique OK.

13. Feche o roteamento e acesso remoto. ----------------------- Pgina 651----------- -----------Lab: Configurando e solucionando problemas da funo de servidor DHCP L2-3

Tarefa 3: Autorizar o papel do servidor DHCP em NYC-SVR2

1.

Mudar para NYC-SVR2.

2. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em DHCP.

3.

Em DHCP, expanda nyc-svr2.contoso.com.

4.

Boto direito do mouse nyc-svr2.contoso.com e clique em Autorizar.

Tarefa 4: Criar o escopo necessrio para o ramo

1. Em DHCP, no painel de navegao, clique em nyc-svr2.consoto.com, expanda IPv4, boto direito do mouse IPv4, e clique em Novo Escopo.

2.

No Assistente para novos escopos, clique em Avanar.

3. r.

Na pgina Nome do Escopo, na caixa Nome, Branch Office, tipo e clique em Avana

4. On a pgina IP Endereo Faixa de, preencha o pgina usando o as seguintes informaes e em seguida, clique

Em seguida:

endereo Iniciar IP: 172.16.16.4

Endereo IP final: 172.16.16.254

Comprimento: 24

Mscara de sub-rede: 255.255.255.0

5. Nas Excluses Adicionar e pgina Delay, preencha a pgina usando as seguintes inf ormaes, clique Adicionar, em seguida, clique em Avanar:

Endereo IP inicial: 172.16.16.200

Endereo IP final: 172.16.16.254

6.

On a pgina Durao Lease, clique em Avanar.

7.

Na pgina Configurar Opes de DHCP, clique em Avanar.

8. No Router pgina (Default Gateway), na caixa de endereo IP, tipo 172.16.16.1, clique em Adicionar e, em clique em Avanar.

9.

On o Nome de Domnio e pgina DNS Servers, clique em Avanar.

10. Na pgina Servidores WINS, clique em Avanar.

11. On a pgina mbito Activate, clique em Avanar.

12.

Na pgina Concluindo o Assistente de Novo Escopo, clique em Concluir.

Resultados: No final deste exerccio, voc vai ter configurado o filial do servidor DHCP. ----------------------- Pgina 652----------- -----------L2-4 Mdulo 2: Configurando e Soluo de problemas DHCP

Exerccio 3: A reconfigurao DHCP na Sede

Tarefa 1: Adicione o escopo filial em NYC-DC1

1.

Mudar para NYC DC1.

2. Clique em Iniciar, aponte para Ferramentas administrativas e, em s eguida, clique em DHCP.

3.

Em DHCP, expanda nyc-dc1.contoso.com.

4. Em DHCP, no painel de navegao, expanda IPv4, boto direito do mouse IP v4, e clique em Novo Escopo.

5.

No Assistente para novos escopos, clique em Avanar.

6. Na pgina Nome do Escopo, na caixa Nome, tipo Filial mbito Office Bac kup e clique em Proximo.

7. Na pgina IP Address Range, complete a pgina usando as seguintes info rmaes e clique em Avanar >

Endereo IP inicial: 172.16.16.4

Endereo IP final: 172.16.16.254

Comprimento: 24

Mscara de sub-rede: 255.255.255.0

8. Nas Excluses Adicionar e pgina Delay, preencha a pgina usando as segu intes informaes, clique Adicionar e, em, em seguida, clique em Avanar:

Endereo IP inicial: 172.16.16.4

Endereo IP final: 172.16.16.199

9.

On a pgina Durao Lease, clique em Avanar.

10. Na pgina Configurar Opes de DHCP, clique em Avanar.

11. On o Router pgina (Gateway Default), na caixa de endereo IP, tipo 17 2.16.16.1, clique em Adicionar, e clique em Avanar.

12. No Nome de Domnio e pgina Servidores DNS, clique em Avanar.

13. Na pgina Servidores WINS, clique em Avanar.

14. On a pgina mbito Activate, clique em Avanar.

15. Na pgina Concluindo o Assistente de o New mbito de aplicao, clique em Concluir.

Resultados: No final deste exerccio, voc ter criado os escopos necessrios em ambos os servidores DHCP. ----------------------- Pgina 653----------- -----------Lab: Configurando e solucionando problemas da funo de servidor DHCP L2-5

Exerccio 4: Testar a configurao

Tarefa 1: Configurar NYC-CL2 para DHCP

1.

Alterne para a computador NYC CL2-.

2.

Na rea de trabalho, clique em Microsoft Network Monitor 3.4.

3.

No Microsoft Update Opt-in caixa de dilogo, clique em No.

4. No Microsoft Network Monitor 3.4, no painel de Captura recente, clique na g uia captura Nova.

5.

Na guia Captura 1, na barra de menu, clique em Iniciar.

6. Clique em Iniciar e na caixa Pesquisar, digite Rede e Compartilhamento e, e m seguida, pressione ENTER.

7. No Centro de Rede e Compartilhamento, clique em Alterar configuraes do adapta dor.

8. Em Conexes de Rede, boto direito do mouse em Conexo Local 3 e clique em Propri edades.

9. Na rea de Conexo Local 3 caixa de dilogo Propriedades, clique duas vezes em I nternet Protocol Version 4

(TCP/IPv4).

10. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propriedades, cliq ue em Obter um endereo IP automaticamente.

11. Clique em Obter endereo dos servidores DNS automaticamente e clique em OK.

12.

Na rea de Conexo Local 3 caixa de dilogo Propriedades, clique em OK.

Tarefa 2: Examine pacotes DHCP

1.

Mude para o Monitor de rede.

2.

No Microsoft Network Monitor 3.4, no menu, clique em Stop.

3. Clique em Carregar ponto, filtro para filtros padro, aponte para Exemplos bsi cos, e clique em Filtro de Protocolo - DNS.

4. Na caixa de texto Filter Exibir, localize o texto que l DNS e alter-lo para D HCP. Clique em Aplicar.

5. Agora examine os quadros capturados. No Resumo do quadro, clique no quadro com destino de 255.255.255.255 ea Descrio que contm OFERTA.

6.

No painel de detalhes Frame, expandir Dhcp.

7.

Qual o IP do servidor?

Resposta: 172.16.16.2

8.

Qual servidor isso?

Resposta: NYC-SVR2

Resultados: No final de este exerccio, voc vai tiver configurado o cliente para ob ter um endereo IP dinamicamente a partir de o servidor da filial local. ----------------------- Pgina 654----------- -----------L2-6 Mdulo 2: Configurando e Soluo de problemas DHCP

Exerccio 5: Soluo de problemas DHCP Questes

Tarefa 1: Encerre o servidor DHCP em NYC-SVR2

1.

Mudar para NYC-SVR2.

2. Em DHCP, right-click nyc svr2.contoso.com-, clique em Todos os Ta refas, e, em seguida, clique em Parar.

Tarefa 2: Renovar o endereo IP em NYC-CL2

1.

Mudar para NYC-CL2.

2. ENTER.

Clique em Iniciar e na caixa de pesquisa, digite cmd e pressione

3. :

No prompt de comando, digite o seguinte comando e pressione ENTER

Ipconfig / release

4.

No Microsoft Network Monitor 3.4, clique Capturar nova.

5. .

On no separador Captura de 2, sobre o bar menu, clique em Iniciar

6. :

No prompt de comando, digite o seguinte comando e pressione ENTER

Ipconfig / renew

7. No Microsoft Network Monitor 3.4, no menu, clique em Carregar pon to, filtro para filtros padro, aponte para Exemplos bsicos, e, em seguida, clique em Protocolo Filter - DNS.

8. Na caixa de texto Filtro de Exibio, localize o texto que l DNS e alt er-lo para DHCP. Clique em Aplicar.

9. Agora examine os quadros capturados. No Resumo do quadro, clique no quadro com destino de 255.255.255.255 e o Descrio que contm OFERTA.

10. No painel de detalhes Frame, expandir Dhcp.

11. Qual o IP do servidor?

Resposta: 10.10.0.10

12.

Qual servidor isso?

Resposta: NYC DC1-

Resultados: No final de este exerccio, voc vai ter verificado que o clie

nte pode obter um endereo IP a partir do cabea escritrio quando o servidor local est disponvel.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu est ado inicial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4. YC-CL2.

Repita essas etapas para 6421B-NYC-SVR2, 6421B-NYC-RTR, e 6421B-N

----------------------- Pgina 655----------- -----------L3-1

Mdulo 3: Configurando e solucionando problemas de DNS

Lab: Configurando e solucionando problemas de DNS

Exerccio 1: Selecionando uma configurao de DNS

Tarefa 1: Leia o Nome Contoso documento Plano de Resoluo de

Leia o Contoso Nome documento Plano de Resoluo de na Tarefa 2 de o documento mdulo principal.

Tarefa 2: Atualize o documento de proposta com seu curso planejada de ao

Responda s perguntas em o documento Plano de Contoso de Resoluo de Nome.

Contoso Plano de Resoluo de Nomes

Nmero de Documento de Referncia: GW1203 / 1

Documento Autor Charlotte Weiss Data 12 de maro

Viso geral Requisitos

1. O seu gerente de est em causa que o servidor nico nome que suporta o de domnio Contoso.com

est sob estirpe enquanto solicitaes de resoluo de de manuteno de nomes. Voc tasked com determinao de um curso de ao para allay suas preocupaes.

2. Contoso est trabalhando com uma organizao parceira, Um Datum. importante que a resoluo de nome para servidores no domnio Adatum.com realizada sem recorrer para enraiz ar servidores de nomes.

Informaes Adicionais

1. so.

No h controladores de domnio adicionais esto previstas para o domnio Conto

2. NS em

As alteraes na configurao DNS Adatum.com no deveria afetar o de configurao

A Contoso; em outras palavras, as mudanas na Adatum.com no deve resulta r em esforo administrativo em

Contoso.

Propostas

1. Como voc vai modificar a configurao DNS para Contoso para abordar o prim eiro requisito?

Resposta: Adicionar um servidor DNS.

2. Como voc vai modificar a configurao DNS para Contoso para abordar o segu ndo requisito?

Resposta: Criar, quer uma zona de stub para Adatum.com ou configurar o encaminhamento condicional para Adatum.com.

3. Ser que qualquer um dos pontos em o seo de informaes adicionais levantar q uaisquer questes de?

Resp.:

Os AD-zonas integradas so imprprias para este cenrio; se nenhum controla dores de domnio adicionais so planejada, zonas secundrias deve ser configurado.

Zonas de stub O Os requerem menos esforo administrativo em o evento de mudanas em o DNS de configurao de o domnio de DNS-alvo. ----------------------- Pgina 656----------- -----------L3-2 Mdulo 3: Configurando e Soluo de problemas DNS

(Continuao)

Contoso Plano de Resoluo de Nome

4.

Qual o seu plano de aco proposto para este projeto?

Resp.:

Implante a funo de DNS para NYC-SVR1.

Criar uma zona secundria sobre NYC-SVR1 para Contoso.com.

Habilitar e configurar transferncias de zona para NYC-SVR1.

Assegurar que o dados zona de transfere com sucesso.

5.

Como voc vai distribuir de carga entre servidores DNS?

Resposta: Configurar DHCP para alocar ambos os endereos de s ervidor de DNS para clientes

Tarefa 3: Examine os propostas sugeridas em a Chave de Resposta Lab

Examine o concluda Contoso Nome documento Plano de Resoluo de em a Chave de Resposta Lab e ser preparado para discutir suas solues com a classe.

Resultados: No final de Neste exerccio, voc ter selecionado uma configurao de DNS adequado para Contoso. ----------------------- Pgina 657----------- -----------Lab: Configurando e Soluo de problemas DNS L3-3

Exerccio 2: implantao e configurao DNS

Tarefa 1: Instale a funo de DNS sobre NYC-SVR1

1. Alterne para NYC-SVR1, e na Barra de Tarefas, clique em Gerenciador de Serv er.

2. No Gerenciador de Server, no painel de navegao, clique em Funes, e no painel da direita, clique em Adicionar Roles.

3. Em o Assistente de para Adicionar Funes, sobre a Antes de Voc Comear pgina, cliq ue em Avanar.

4. Na pgina Selecionar Funes do Servidor, na lista Roles, selecione o DNS caixa d e seleo Server e em seguida, clique PRXIMA

5.

Na pgina Servidor de DNS, clique em Avanar.

6.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

7.

On a pgina Resultados da Instalao, clique em Fechar.

Tarefa 2: Criar e configurar uma zona de stub sobre NYC-DC1

1.

Mudar para NYC DC1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e em seguida, clique DNS.

3. Em DNS Manager, expanda NYC DC1-, expanda e depois direita-clique em Forwar d Lookup Zones, e, em seguida, clique em Zona New.

4.

Em o Assistente de Nova Zona, clique em Avanar.

5.

Na pgina Tipo de Zone, clique em zona Stub e, em seguida, clique em Avanar.

6. .

On o Diretrio de pgina de zona do Active Escopo de replicao de, clique em Avanar

7. Na pgina Nome da Zone, na caixa Nome do Zone, tipo Adatum.com e, em seguida, clique em Avanar.

8. On a pgina Mestre Servers DNS, na lista Servidores Mestre, tipo 131.107.1.2 e pressione ENTER.

Validao Nota falharo. O servidor no est online.

9. Clique em Avanar e, na pgina Concluindo o Assistente de nova zona, clique em Concluir.

Tarefa 3: Criar e configurar zonas secundrias sobre NYC-SVR1

1.

Mudar para NYC-SVR1.

2.

Clique em Iniciar e na caixa de pesquisa, digite cmd e pressione ENTER.

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Dnscmd.exe / ZoneAdd Contoso.com / secundrio 10.10.0.10

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Dnscmd.exe / ZoneAdd Adatum.com / secundrio 10.10.0.10

5. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em DNS.

6. No Gerenciador DNS, no painel de navegao, expanda NYC-SVR1 e clique em Zonas de pesquisa direta.

Observe as duas zonas. ----------------------- Pgina 658----------- -----------L3-4 Mdulo 3: Configurando e Soluo de problemas DNS

Tarefa 4: Habilitar e configurar transferncias de zona para Contoso.com

1.

Mudar para NYC DC1.

2. ENTER.

Clique em Iniciar e na caixa de pesquisa, digite cmd e pressione

3. :

No prompt de comando, digite o seguinte comando e pressione ENTER

Dnscmd.exe / ZoneResetSecondaries Contoso.com / notifica / notif ylist 10.10.0.24

4. No Gerenciador DNS, no painel de navegao, expanda Zonas de pesquisa direta, expanda Contoso.com.

5.

Boto direito do mouse Contoso.com e clique em Propriedades.

6. Na caixa de dilogo Contoso.com Propriedades, clique na Zona guia T ransferncias.

7.

Clique Notificar, e verificar se o servidor 10.10.0.24 est na list

a.

8.

Clique em Cancelar.

Nota: Pode levar alguns minutos para aparecer.

Tarefa 5: dados da zona de Atualizao secundrias a partir de servidor mest re

1.

Mudar para NYC-SVR1.

2. No Gerenciador DNS, pressione F5. Os dados da zona devem aparecer . Se no, ento expanda Forward Lookup Zones, e em seguida, expanda Contoso.com.

3. pal.

Boto direito do mouse Contoso.com e clique em Transferir do princi

4.

Feche todas as janelas abertas.

Observao Voc no receber os dados para Adatum.com, mas Contoso.com dev e ser preenchido com DNS registros.

Tarefa 6: Configurar clientes para usar o servidor novo nome

1.

Mudar para NYC DC1.

1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em DHCP.

2.

Em DHCP, expanda nyc-dc1.contoso.com.

3.

Expandir IPv4 e clique em Opes de servidor.

4.

No painel direita, clique duas vezes 006 servidores de DNS.

5.

Na caixa de dilogo Servidor de Opes, clique em Remover.

6. Na caixa de endereo IP, tipo 10.10.0.24, clique em Adicionar e, em seguida, clique em OK.

7.

Feche todas as janelas abertas.

Resultados: No final deste exerccio, voc vai ter implementado os requisi tos descritos na Contoso Nome do documento Plano de Resoluo. ----------------------- Pgina 659----------- -----------Lab: Configurando e Soluo de problemas DNS L3-5

Exerccio 3: Soluo de problemas DNS

Tarefa 1: consultas teste simples e recursiva

1. Em NYC-DC1, clique em Iniciar, clique em Ferramentas administrativas e, em seguida, clique em DNS.

2.

No painel de navegao, boto direito do mouse NYC DC1 e clique em Propriedades.

3.

Clique na guia Monitoring.

4. Na guia Monitoramento, selecione Uma consulta simples contra este servidor DNS e em seguida, clique Test Now.

5. Na guia Monitoring, garantir que Uma consulta recursiva para outro DNS serv idores selecionada e, em seguida, clique em Testar Agora. Observe que o teste recursivo falhar por NYC-DC1, o que normal dado que existem no forwarders configurado para este servidor DNS de usar.

6. Clique em Iniciar e na caixa de pesquisa, digite sc stop dns e pressione EN TER.

7. No Gerenciador DNS, na caixa de NYC-DC1 de dilogo Propriedades, na guia Moni toring, clique em Testar Agora. Agora, ambos os testes Simples e Recursive falham porque nenhum servidor DN S est disponvel.

8. Clique em Iniciar e na caixa de pesquisa, digite sc start dns e pressione E NTER.

9. No separador Monitoring, clique em Testar Agora. O teste simples concluda c om xito.

10. Feche a NYC-DC1 caixa de dilogo Propriedades.

Tarefa 2: Verifique registros SOA com Nslookup

1. On NYC-DC1, clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em segu ida, pressione ENTER

2. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

Nslookup.exe

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

definir querytype = SOA

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Contoso.com

5.

Feche o prompt de comando.

Tarefa 3: Use dnslint para verificar os registros do servidor de nomes

1.

Mudar para NYC-CL1.

2.

Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressione ENTER.

3. R:

Em o comando prompt, digite o seguinte comando e em seguida, pressione ENTE

D:

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Cd \ Labfiles \ Mod03 ----------------------- Pgina 660----------- -----------L3-6 Mdulo 3: Configurando e solucionando problemas de DNS

5. sione ENTER:

Em o comando prompt, digite o seguinte comando e em seguida, pres

dnslint / s 10.10.0.10 / d Contoso.com

6.

Leia os resultados do relatrio e, em seguida, feche a janela do re

latrio.

7.

Feche o prompt de comando.

Tarefa 4: estatsticas de Visualizao de de desempenho com Monitor de Desem penho

1.

Mudar para NYC DC1.

2. Gerenciar.

Clique em Iniciar, boto direito do mouse em Computador e clique em

3. No painel de lista de a janela do Gerenciador Server, expandir Di agnostics, expanda Desempenho, expanda Monitoramento Ferramentas e, em em seguida, clique Monitor de Des empenho.

4.

No painel de centro, clique em no cone verde Plus.

5.

Na lista de contadores disponveis, clique duas vezes em DNS.

6. nar.

Selecione Consulta total Recebido e, em seguida, clique em Adicio

7. Selecione Consulta total Recebido / sec, clique em Adicionar, e e m seguida, clique OK.

8. Clique em Iniciar, clique em ferramentas Administrativas e, em em seguida, clique DNS.

9. No painel esquerdo, right-click NYC DC1-, e, em seguida, clique em Propriedades.

10. Clique na guia Monitoring.

11. No separador Monitoring, selecione Uma consulta simples contra es te servidor DNS e um consulta recursiva para outros servidores DNS e, em seguida clique em Testar Agora vrias v ezes.

12. Desmarque as caixas de seleo Simples e Recursive de teste e em segu ida, clique OK. Feche a de gerenciamento do DNS ferramenta.

13. Voltar para o console do Server Manager. O grfico reflete as consu ltas sobre o servidor.

14. Em o console do Gerenciador Server, imprensa CTRL + G e em seguid a, pressione CTRL + G novamente. Este relatrio lista o total nmero de consultas que que o servidor tiver recebidos.

15. Feche a console do Gerenciador de Server.

Resultados: No final de Neste exerccio, voc tenha verificado o funcional idade do DNS com soluo de problemas ferramentas.

Preparao para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguida , clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 661----------- -----------L4-1

Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP

Lab A: Configurando um Router ISATAP

Exerccio 1: Configurando uma Rede New IPv6 e Cliente

Tarefa 1: Configure IPv4 de roteamento

1.

Mudar para NYC-CL2.

2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em segui da, pressione ENTER.

3. In Center de Rede e Compartilhamento, clique em Alterar configuraes do adapta dor.

4. Em Conexes de Rede, right-clique em Conexo rea Local 3 e, em seguida, clique e m Propriedades.

5.

Double-clique em Internet Verso Protocol 4 (TCP/IPv4).

6. Verifique as Local Area Connection 3 propriedades:

endereo IP: 172.16.16.3

Mscara de sub-rede: 255.255.255.0

gateway de Default: 172.16.16.1

servidor DNS Seleccionados: 10.10.0.10

7.

Em o Area Connection Local 3 caixa de Propriedades, clique em OK.

8.

Feche todas as janelas abertas sobre NYC-CL2.

9.

Mudar para NYC DC1.

10. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em segui da, pressione ENTER.

11. No Centro de Rede e Compartilhamento, clique em Alterar configuraes do adapta dor.

12. Em Conexes de Rede, boto direito do mouse em Conexo Local 2 e clique em Propri edades.

13. Double-clique em Internet Verso Protocol 4 (TCP/IPv4).

14. Em o Verso Internet Protocol 4 (TCP/IPv4) Propriedades caixa de dilogo, verif icar que o Default gateway 10.10.0.1. Clique em OK.

15. Em o Area Connection Local 2 caixa de Properties, clique em OK e em seguida , feche todas as janelas abertas sobre NYC DC1-.

Tarefa 2: Habilitar de roteamento IP sobre NYC-RTR e confirme IPv4 conectividade

1.

Alterne para NYC RTR-.

2. Clique em Iniciar, e na caixa de Pesquisar, digite Regedit e em seguida, pr essione ENTER.

3. Em Procurar para HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters.

4. Faa duplo clique em IPEnableRouter, e, em seguida, na caixa dados do Value, tipo 1. Clique em OK.

5.

Feche a Editor do Registro e em seguida, reinicie NYC RTR-.

----------------------- Pgina 662----------- -----------L4-2 Mdulo 4: Configurando e Soluo de problemas IPv6 TCP / IP

6. ais:

Depois de NYC de RTR-reinicia, faa logon com as seguintes credenci

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Observao Neste ponto, apenas IPv4 trfego roteado atravs de a infra-e strutura de roteamento IPv4. Porque ICMPv4 o trfego bloqueado por o Firewall do Windows por pa dro, voc no pode testar conectividade com o ping.

Tarefa 3: Desativar IPv6 sobre NYC-DC1

1.

Mudar para NYC DC1.

2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em seguida, pressione ENTER.

3. In Center de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

4. Em Conexes de Rede, right-clique em Conexo de rea Local 2 e, em segu ida, clique em Propriedades.

5. Na rea Connections Local 2 caixa de dilogo Propriedades, desmarque a Protocol Version Internet 6 (TCP/IPv6) caixa de verificao e em seguida, clique OK.

Tarefa 4: Desativar IPv4 em NYC-CL2

1.

Mudar para NYC-CL2.

2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e partilha e em seguida, pressione ENTER.

3. In Center de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

4. Em Conexes de Rede, right-clique em Conexo rea Local 3 e, em seguida , clique em Propriedades.

5. Em o Area Connection Local 3 caixa de dilogo Propriedades, desmarq ue a Protocol Version Internet 4 (TCP/IPv4) caixa de verificao e em seguida, clique OK.

6. one ENTER.

Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressi

7. No prompt de comando, digite o seguinte comando e em seguida, pre ssione ENTER:

ipconfig

Observe A sada deve ser um link-local endereo IPv6 que comea com fe 80. ----------------------- Pgina 663----------- -----------La b A: Configurando um Router ISATAP L4-3

Tarefa 5: Configurar um anncio de roteador IPv6 para o endereo global 2001: db8: 0:1 :: / 64 de rede em NYC-RTR

1.

Alterne para NYC RTR-.

2. Clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em seguida, pressio ne ENTER.

3. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

netsh interface ipv6 set interface "Conexo de rea Local 3" forwarding = habi litado anunciar = habilitado

4. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

netsh interface ipv6 adicionar a rota 2001: db8: 0:1 :: / 64 "Conexo de rea Local 3" publicar = yes

Tarefa 6: Verifique a configurao IP em NYC-CL2 para garantir que ele est configurad

o com um endereo IPv6 global em o 2001: db8: 0:1 :: / 64 rede

1.

Mudar para NYC-CL2.

2.

No prompt de comando, digite o seguinte comando e pressione ENTER:

ipconfig

Nota: A sada deve ser um link-local endereo IPv6 que comea com FE80. Dois IP global endereos que comeam com 2001: db8: 0:1: tambm deve ser includo na sada.

3.

Feche o prompt de comando.

Resultados: No final deste exerccio, voc ter configurado NYC-CL2 para IPv6 apenas. ----------------------- Pgina 664----------- -----------L4-4 Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP

Exerccio 2: Configurando um Roteador ISATAP para permitir a comunicao entre uma rede IPv4 e uma rede IPv6

Tarefa 1: Adicione a entrada ISATAP na zona DNS em NYC-DC1

1.

Mudar para NYC DC1.

2. Clique em Iniciar, clique em Ferramentas administrativas e, em seg uida, clique em DNS.

3.

No painel esquerdo, expanda NYC DC1-.

4. Expanda Zonas de pesquisa direta, selecione e depois boto direito d o mouse Contoso.com, e clique em Novo Host (A ou AAAA).

5. Na caixa New Host dilogo, ISATAP tipo na caixa de texto Nome, e dig ite o endereo IP 10.10.0.1 (por NYC-RTR).

6.

Clique em Adicionar Host e clique em OK.

7.

Clique em Done e feche o Gerenciador de DNS.

Tarefa 2: Configurar o roteador ISATAP em NYC-RTR

Observao: Quando substituindo o Interface_Index seguinte, certifiq ue-se que voc digite sua Interface_Index com os suportes {} em ambos os lados.

1.

Mudar para NYC RTR.

2.

Alterne para a prompt de de comando.

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Netsh interface ipv6 isatap definir router 10.10.0.1

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

ipconfig

5. Localize o isatap adaptador de tnel. {Interface_Index}: que tem um endereo IPv6 link-local que contm

10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.

Interface_Index: ___________________________

6. Digite o seguinte comando, substituindo Interface_Index com o nmero (e chaves {}) que voc registrado anteriormente, em seguida, pressione ENTER:

netsh interface set interface ipv6 isatap ".Interface_Index forw arding "= habilitado anunciar = habilitado

7. No prompt de comando, digite o seguinte comando, substituindo Inte rface_Index com o nmero (E entre chaves {}) que voc anotou anteriormente, e ento pressione E NTER:

netsh interface ipv6 adicionar a rota 2001: db8: 00:10 :: / 64 " isatap.Interface_Index " publicar = yes

8.

Reinicie NYC RTR.

----------------------- Pgina 665----------- -----------Lab A: Configurando um Roteador ISATAP L4-5

9.

Faa logon usando as seguintes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

10. Clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em seguida, pressio ne ENTER.

11. No prompt de comando, digite o seguinte comando e pressione ENTER:

ipconfig

Observao O adaptador de tnel associado com a rede 10.10.0.0/16 ir exibir uma I Pv6 Endereo em 2001: db8: 0:10 gama.

Tarefa 3: Ative a interface ISATAP em NYC-DC1

1.

Mudar para NYC DC1.

2.

Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressione ENTER.

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Netsh interface isatap definir roteador 10.10.0.1

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

ipconfig

Observao: O Adaptador de tnel isatap {Interface_Index} (que o adaptador ISATA P) tem automaticamente recebeu um endereo IPv6 a partir do roteador ISATAP.

Tarefa 4: Teste a conectividade

1. Clique em Iniciar e na caixa de pesquisa, digite o Firewall do Windows e pr essione ENTER.

2. No Windows Firewall com Segurana Avanada, clique em Regras de Entrada, clique -direito regras de entrada e em seguida, clique em Nova Regra.

3. Em o Assistente de Nova Regra de Entrada, na pgina de Tipo de Regra, clique em Personalizado e, em seguida, clique em Avanar.

4.

Na pgina do programa, clique em Avanar.

5. Na pgina Protocolos e Portas, na lista tipo de protocolo, clique ICMPv4 e cl ique em Avanar.

6.

Na pgina Escopo, clique em Avanar.

7.

Na pgina Ao, clique em Avanar.

8.

Na pgina Perfil, clique em Avanar.

9.

Na pgina Nome, na caixa Nome, digite Permitir PING e clique em Concluir.

10. Mudar para NYC-CL2.

11. Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressione ENTER. ----------------------- Pgina 666----------- -----------L4-6 Mdulo 4: Configurando e solucionando problemas IPv6 TCP / IP

12. No prompt de comando, digite o seguinte comando e pressione ENTER :

Ping 2001: db8: 0:10:0:5 EFE: 10.10.0.10

13. No prompt de comando, digite o seguinte comando e pressione ENTER :

ipconfig

14. Qual o endereo IPv6?

Resposta: As respostas variam, mas vai comear 2001: db8: 0:1:.

15. Clique em Iniciar e na caixa de pesquisa, digite o Firewall do Wi ndows e pressione ENTER.

16. No Windows Firewall com Segurana Avanada, clique em Regras de Entra da, clique com regras de entrada e em seguida, clique em Nova Regra.

17. No Assistente de Nova Regra de Entrada, na pgina Tipo de Regra, cl ique em Personalizar e clique em Avanar.

18. Na pgina do programa, clique em Avanar.

19. Na pgina Protocolos e Portas, na lista tipo de protocolo, clique I CMPv6 e clique em Avanar.

20. Na pgina Escopo, clique em Avanar.

21. Na pgina Ao, clique em Avanar.

22. Na pgina Perfil, clique em Avanar.

23. Na pgina Nome, na caixa Nome, digite Permitir PING e clique em Con

cluir.

24. Mudar para NYC DC1.

25. No prompt de comando, digite o seguinte comando e pressione ENTER :

Ping IPv6_address

Onde IPv6_address o endereo IPv6 em NYC-CL2 voc anotou anteriorment e.

Resultados: No final deste exerccio, voc ter configurado ISATAP.

Preparando-se para o prximo laboratrio

No desligue as mquinas virtuais, neste momento, porque voc vai precisar d eles para completar o prximo laboratrio. ----------------------- Pgina 667----------- -----------L4-7

Lab B: Convertendo a Rede Nativa IPv6

Exerccio 1: Transio para uma rede IPv6 nativa

Tarefa 1: Desativar o roteador ISATAP em NYC-RTR

Observao: Quando substituindo o Interface_Index seguinte, garantir que voc di gite seu Interface_Index com os suportes {} em ambos os lados.

1.

Mudar para NYC RTR.

2. Clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em seguida, pressio ne ENTER.

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

ipconfig

4. Localize o isatap adaptador de tnel. {Interface_Index}: que tem um endereo IP v6 link-local que contm 10.10.0.1. Observe o Interface_Index (incluindo suportes) - voc vai precisar dele em um momento.

Interface_Index: ______________________________

5. Digite o comando a a seguir, substituindo Interface_Index com o nmero (e col chetes {}) que voc gravado anteriormente:

netsh interface set interface ipv6 isatap ".Interface_Index forwarding "= desativado anunciar = desativado

6. Digite o comando a a seguir, substituindo Interface_Index com o nmero (e col chetes {}) que voc gravado mais cedo:

netsh interface ipv6 Delete Route 2001: db8: 00:10 :: / 64 "isatap.Interfa ce_Index "

Tarefa 2: Configure o roteador nativo IPv6 sobre NYC-RTR

1.

No prompt de comando, digite o seguinte comando e pressione ENTER:

netsh interface set ipv6 interface "Local Area Connection 2" forwarding = enabled anunciar = habilitado

2.

No prompt de comando, digite o seguinte comando e pressione ENTER:

netsh interface ipv6 adicionar a rota 2001: db8: 0:0 :: / 64 "Conexo de rea Local 2" publicar = yes

Tarefa 3: Desativar IPv4 conectividade

1. Clique em Iniciar e na caixa de pesquisa, digite rede e compartilhamento e, em seguida pressione ENTER.

2. No Centro de Rede e Compartilhamento, clique em Alterar configuraes do adapta dor.

3. Na caixa de Conexes de Rede, boto direito do mouse em Conexo Local 2 e clique em Propriedades. ----------------------- Pgina 668----------- -----------L4-8 Mdulo 4: Configurando e Soluo de problemas IPv6 TCP / IP

4. Na rea caixa de Conexo de Rede Local de dilogo Propriedades, desmarq ue a Protocol Version Internet 4 (TCP/IPv4) caixa de seleo, e clique em OK. Feche todas as janelas a bertas.

5.

Mudar para NYC DC1.

6.

Clique em Iniciar e na caixa de pesquisa, digite rede e compartil

hamento e, em seguida pressione ENTER.

7. No Centro de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

8. Na caixa de Conexes de Rede, direito-clique em Conexo de rea Local 2 e, em seguida, clique em Propriedades.

9. Em o Area Connection Local 2 caixa de dilogo Propriedades, desmar que a Protocol Version Internet 4 (TCP/IPv4) caixa de seleo.

10. Selecione o Internet Protocol Version 6 caixa de seleo (TCP/IPv6) e clique em OK. Feche todas as aberto Windows:

Tarefa 4: Teste a conectividade entre cada sub-rede IPv6

1. Clique em Iniciar e na caixa de pesquisa, digite o Firewall do Wi ndows e pressione ENTER.

2. No Firewall do Windows com o Advanced janela Segurana, clique em R egras de Entrada, clique-direito de entrada Regras e, em seguida, clique em Nova Regra.

3. Em o Assistente de Nova Regra de Entrada, na pgina de Tipo de Regr a, clique em Personalizado e, em seguida, clique em Avanar.

4.

Na pgina do programa, clique em Avanar.

5. On os pgina Protocolos e Portas, na lista Tipo de protocolo, cliqu e em ICMPv6 e, em seguida, clique em Avanar.

6.

On a pgina mbito de aplicao, clique em Avanar.

7.

Na pgina Ao, clique em Avanar.

8.

On o Pgina de perfil, clique em Avanar.

9. Na pgina Nome, na caixa Nome, digite Permitir PING para IPv6 e cl ique em Concluir.

10. Clique em Iniciar e na caixa de pesquisa, digite cmd.exe e pressi one ENTER.

11. No prompt de comando, digite o seguinte comando e pressione ENTER :

ipconfig

Anote o novo endereo IPv6 (endereo global comea com 2001 :) atribudo ligao de rea local. Escrever para baixo o endereo IPv6 em o espao abaixo.

NYC-DC1 endereo IPv6: ____________________________________________ _

12. Mudar para NYC-CL2.

13. Clique em Iniciar, e na caixa Pesquisar, cmd.exe tipo e em seguid a, pressione ENTER.

14. No prompt de comando, digite o seguinte comando e em seguida, pre ssione ENTER:

Ping global_IP_address

Onde global_IP_address o NYC-DC1 endereo que voc anotou anteriormen

te. ----------------------- Pgina 669----------- -----------Lab B: Convertendo o de Rede para IPv6 nativos L4-9

15. No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / all

Observe o endereo IPv6 (endereo global comea com 2001 :) atribudo conexo rea loc l. Escrever para baixo o endereo IPv6 em o espao abaixo.

NYC-CL2 endereo IPv6: _____________________________________________

16.

Mudar para NYC DC1 e mudar para o Prompt de Comando.

1 No prompt de comando, digite o seguinte comando e em seguida, pressione ENTE R:

Ping global_IP_address

Onde global_IP_address o NYC-CL2 endereo que voc anotou anteriormente.

Resultados: No final deste exerccio, voc ter configurado uma rede IPv6 apenas.

Preparao para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais, e clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-RTR e 6421B-NYC-CL2.

----------------------- Pgina 670----------- -----------L4-10 Mdulo 4: Configurando e solucionando problemas de IPv6 TCP / IP ----------------------- Pgina 671----------- -----------L5-1

Mdulo 5: Configurando e solucionando problemas de roteamento e Acesso remoto

Lab A: Configurando e Gerenciando Rede Acessar

Exerccio 1: Configurando roteamento e acesso remoto como um remoto VPN Soluo de Acesso

Tarefa 1: Instale a Diretiva de Rede e funo Servios de Acesso em edge1-6421B-NYC

1. Em NYC-edge1, se o Server Manager no abrir automaticamente, a partir das Fer ramentas Administrativas menu, clique em Server Manager. O Server Manager aberto.

2. No Server Manager (NYC-edge1) painel de lista, o direito-clique em Funes e cl ique em Adicionar Funes da

menu de contexto. O Assistente para Adicionar Funes aparece. Clique em Avanar.

3. Na pgina Selecionar Funes do Servidor, selecione Diretiva de Rede e Servios de Acesso e clique em Avanar.

4.

Na diretiva de rede e pgina de acesso introduo Servios, clique em Avanar.

5. Na pgina Selecionar Servios de Funo, selecione o Servidor de Diretivas de Rede e Roteamento e Remoto Servios de Acesso caixas de seleo e clique em Avanar.

6.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

7. Na pgina Resultados da Instalao, verifique se a instalao teve xito aparece no pai nel de detalhes e em seguida, clique em Fechar.

8. Feche o Gerenciador do Servidor. A Diretiva de Rede e Roteamento e Servios f unes de acesso remoto so instalado no 6421B-NYC-edge1.

Task 2: Configurar 6421B-NYC-edge1 como um servidor VPN com um pool de endereos e sttico para Remotos clientes de acesso

1. On NYC-edge1, clique em Iniciar e em seguida, clique Ferramentas Administra tivas.

2. No menu Ferramentas Administrativas, clique em Encaminhamento e Acesso Remo to. O Routing and Remote Ferramenta Acesse administrativa aparece.

3. No painel de lista, selecione e clique-direito NYC-edge1 (Local) e clique e m Configurar e ativar

Roteamento e Acesso Remoto.

4.

Clique em Avanar na pgina do assistente de boas-vindas.

5. Na pgina Configurao, deixe o Access padro remoto (dial-up-ou VPN) selecionada e clique em Avanar.

6.

Na pgina Acesso ao Remoto, seleccione a caixa de seleo VPN e clique em Avanar.

7. Na pgina Conexo VPN, selecione a interface pblica e, em seguida, clique em Ava nar.

8. Na pgina Atribuio de Endereo IP, selecione De um intervalo especificado de ende reos e clique em PRXIMA

9. Na pgina Atribuio de endereos Gama, clique em Novo e na caixa de endereo IP inic ial, digite o valor de 10.10.0.60. Na caixa Nmero de endereos, digite o valor de 75 e clique em O K. Clique em Avanar. ----------------------- Pgina 672----------- -----------L5-2 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto

10. No Gerenciamento Remoto pgina Multiple Access Servers, deixar o Ne nhuma seleo padro, use Roteamento e acesso remoto para autenticar pedidos de ligao e cliqu e em Avanar. Clique em Concluir.

11. No roteamento e caixa de dilogo Remote Access, clique em OK.

12. No roteamento e caixa de dilogo Remote Access sobre o agente de re transmisso DHCP, clique em OK. O

Servio de roteamento e acesso remoto.

Tarefa 3: Configurar as portas de VPN disponveis no o servidor (RRAS) p ara permitem 25 PPTP e 25 conexes L2TP

1. No encaminhamento e acesso remoto interface da ferramenta de gesto , expandir NYC-edge1 (local), selecione e depois direita-clique em Portas, e, em seguida, clique em Propr iedades.

2. Na caixa de dilogo Propriedades de Portas, clique duas vezes WAN M iniport (SSTP).

3. Na Configurar dispositivo - WAN Miniport (SSTP) caixa de dilogo, a tribua um valor de 25 no mximo portos caixa de e em seguida, clique OK.

4. continuar.

No roteamento e caixa de dilogo Remote Access, clique em Sim para

5. Na caixa de dilogo Propriedades de Portas, clique duas vezes em WA N Miniport (PPTP), e em Configurar Dispositivo - WAN Miniport caixa de dilogo (PPTP), atribua um valo r de 25 na caixa mximo de portas e clique em OK.

6. a continuar.

Em o Roteamento e caixa de dilogo Remote Access, clique em Sim par

7. rt (L2TP).

Repita este procedimento, com o mesmo valor (25), para WAN Minipo

8.

Clique em OK na caixa de dilogo Propriedades de Portas.

9.

Feche o roteamento e ferramenta de acesso remoto administrativa.

Resultados: No final deste exerccio, voc ter ativado o roteamento e acess o remoto no NYC-edge1 servidor. ----------------------- Pgina 673----------- -----------Lab A: Con figurando e gerenciando de Acesso Rede L5-3

Exerccio 2: Configurando uma diretiva de rede personalizado

Tarefa 1: Abra o Policy Network ferramenta de gerenciamento de servidor em 6421B -NYC-edge1

1. On NYC-edge1, clique em Iniciar e em seguida, clique Ferramentas Administra tivas.

2. No menu Ferramentas Administrativas, clique em Network Policy Server. O Ser vidor de Diretivas de Rede ferramenta administrativa aparece.

Tarefa 2: Criar uma diretiva de rede novo para clientes RRAS

1. No painel de lista, expanda Polticas, Polticas direito-clique em Rede e, em s eguida, clique em Novo.

2. Sobre a Poltica Nova Rede - Especifique o nome do Policy Network e na pgina T ipo de conexo, tipo VPN Segura na caixa de texto Poltica de nome, e em o Tipo de rede de lista d e acesso servidor drop-down, clique em Servidor de acesso remoto (VPN-Dial-up) e clique em Avanar.

3. Na pgina Condies Specify, clique em Adicionar. Na caixa de selecionar a condio d e dilogo, role para baixo e

clique duas vezes em tipo tnel.

4. Na caixa de dilogo Tunnel-Type, selecione L2TP, PPTP e SSTP, clique em OK e, em seguida, clique em Avanar.

5. On a pgina Permission Specify Access, deixe o padro de Acesso concedido e cli que em Avanar.

6. Na pgina Configurar Mtodos de autenticao, autenticao Microsoft clara criptografad os (MSCHAP) e clique em Avanar.

7.

Na pgina Restries Configurar, em Restries, clique restries dia e hora, e no

painel de detalhes, selecione Permitir acesso apenas nestes dias e nestas h oras, e clique em Editar.

8. Na caixa de dilogo Dia e hora restries, clique no primeiro retngulo azul no can to esquerdo que representa a meia-noite de domingo a 1:00. Segure o boto do mouse e arra ste o seu mouse para destacar tudo do domingo. Clique negado. Repita este procedimento para todos os sbado . Clique em OK, e clique em Avanar.

9. Na pgina Configuraes de Configurar, sob Configuraes, clique em Encryption, e no painel de detalhes, desmarque todas configuraes, exceto o mais forte criptografia (MPPE 128-bit). Clique em Avanar e, em seguida, clique em Concluir.

10. No painel de lista de a ferramenta Network Policy Server, clique em a Rede n Policies.

11. Se necessrio, direito-clique na poltica de VPN Seguro e, em seguida, clique e m Mover para Up. Repetir este passo de fazer a poltica o primeiro lugar na lista.

12.

Feche a ferramenta Network Policy Server.

Tarefa 3: Criar e testar uma conexo VPN

1.

Alterne para a computador NYC CL1-.

2.

Clique em Iniciar e, em seguida, clique em Painel de de Controle.

3. Na janela Painel de Controle, em Rede e Internet, clique em Exibir o status da rede e tarefas.

4. Na janela Centro de de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

5. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propri edades.

6. Selecione Verso Internet Protocol 4 (TCP/IPv4) e, em seguida, clique em Prop riedades.

7. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propriedades, cliq ue em Usar o seguinte IP endereo. ----------------------- Pgina 674----------- -----------L5-4 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto

8. Configure as seguintes configuraes de endereo IP e clique em OK:

Endereo IP: 131.107.0.20

Mscara de sub-rede: 255.255.255.0

Gateway padro: 131.107.0.1

9. Clique em Fechar e em seguida, clique o boto Voltar para retornar o Centro de Rede e Compartilhamento.

10. Na janela Centro de de Rede e Compartilhamento, sob Altere suas c onfiguraes de de networking, clique em Configurar uma nova conexo ou rede. No uma caixa de conexo dilogo Escolher opo, cliqu e em Conectar a uma local de trabalho e clique em Avanar.

11. No Conectar-se a uma caixa de dilogo local de trabalho, marque a m inha ligao Internet opo (VPN). Quando solicitado, selecione vou configurar uma conexo Internet mai s tarde.

12. Na caixa Digite o endereo de Internet para ligar a caixa de dilogo , especificar um endereo de Internet de 131.107.0.2 e um Nome de Destino de Contoso VPN, e, em seguida, c lique em Avanar.

13. Na Digite seu nome de usurio e pgina de senha, deixe o nome de usurio e senha em branco e , em seguida, clique em Criar.

14. Clique em Fechar na Conecte-se uma caixa de dilogo Local de Trabalh o.

15. Na janela Centro de de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

16. Na pgina Conexes de Rede, boto direito do mouse Contoso VPN e clique em Conectar.

17. Use o as seguintes informaes nos da Contoso do Connect caixas de te xto VPN e, em seguida, clique em Conectar:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

A VPN conecta com xito.

18. Right-click Contoso VPN e clique em Desconectar. O VPN se descone cta.

19. Feche todas as janelas abertas sobre NYC-CL1.

Resultados: No final de este exerccio, voc ter criado e testado uma conexo VPN. ----------------------- Pgina 675----------- -----------Lab A: Conf igurando e gerenciando de Acesso Rede L5-5

Exerccio 3: Criar e distribuir um perfil CMAK

Tarefa 1: Instale o recurso CMAK sobre NYC-CL1

1.

Clique em Iniciar e, em seguida, clique em Painel de de Controle.

2.

No Painel de Controle, clique em Programas.

3.

Em Programas, clique em Turn recursos do Windows ligado ou desligado.

4. Na lista Recursos do Windows, selecione a conexo RAS Manager Administration Kit (CMAK)

caixa de verificao e em seguida, clique OK.

5.

Feche Programas e Painel de controle.

Tarefa 2: Criar o perfil de conexo

1. Clique em Iniciar e na caixa de pesquisa, tipo de conexo Manager Administrat ion Kit, e em seguida, clique em os Programas de (1) lista, clique em Conexo Kit Administration Manager.

2. r.

No Gerenciador de Connection Assistente de administrao de Kit, clique em Avana

3. On o Selecione o Alvo pgina Sistema Operacional, clique em Windows 7 ou Wind ows Vista e, em seguida, clique em Avanar.

4. On o uma pgina Connection Criar ou Modificar perfil do Gerenciador de, cliqu e em Perfil New e em seguida, clique Avanar.

5. On o Especifique o Nome do Servio e a pgina Nome do arquivo, na caixa de nome do Servio, tipo Contoso HQ, no Arquivo de Contoso tipo nome da caixa de e, em seguida, clique em Av anar.

6. On pgina Especifique o Nome uma Realm, clique em No adicione um nome de realm para o nome de usurio e, em seguida, clique em Avanar.

7. .

On o Informao de Mesclagem a partir de pgina Perfis Outros, clique em em Avanar

8. On o Suporte Add para VPN pgina Conexes, selecione o livro Phone a partir do esta verificao perfil

BOX:

9. Em o nome do servidor VPN ou IP caixa de endereo, tipo 131.107.0.2 e, em seg uida, clique em Avanar.

10. On o Criar ou Modificar pgina Entry uma VPN, clique em Avanar.

11. Na pgina Adicionar um Book a de telefone personalizada, desmarque as de atual izaes do catlogo Automaticamente de download de telefone caixa de verificao e, em seguida, clique em Avanar.

12. On o Dial up-pgina Configure a Rede Entries, clique em Avanar.

13. On o de Roteamento pgina Tabela Specify Updates, clique em Avanar.

14. Nas Configuraes de configurar o proxy para pginas da internet Explorer, clique em Avanar.

15. Na pgina Adicionar Custom Actions, clique em Avanar.

16. No visor uma pgina bitmap personalizado Logon, clique em Avanar.

17. No visor um telefone personalizada pgina Bitmap Livro, clique em Avanar.

18. No Visor de pgina Icons Custom, clique em Avanar.

19. No Inclua uma pgina de arquivo Ajuda personalizada, clique em Avanar.

20. Na pgina de Informaes personalizadas suporte, clique em Avanar. ----------------------- Pgina 676----------- -----------L5-6 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remoto

21. No Visor de uma pgina Acordo Custom License, clique em Avanar.

22. Sobre os Arquivos de Instalao adicionais com a pgina de perfil Conne ction Manager, clique em Avanar.

23. Na construir o perfil Connection Manager e sua pgina do Programa d e Instalao, clique em Avanar.

24. No seu perfil Connection Manager completo e pronto para distribui r pgina, clique em Concluir.

Tarefa 3: Distribua o perfil

1.

Mudar para NYC DC1.

2. Clique em Iniciar, clique em Computador e clique duas vezes em Al lFiles (D :).

3. No Windows Explorer, no menu, clique em Nova pasta, perfil tipo C ontoso, e ento pressione ENTER.

4. s.

Boto direito do mouse Perfil Contoso e, em seguida, em Propriedade

5.

Na guia Compartilhamento, clique em Compartilhamento Avanado.

6. Na caixa avanada Compartilhamento de dilogo, selecione Compartilhar esta caixa de seleo de pasta e clique em Permisses.

7. ar.

Em Permisses para Contoso caixa de dilogo Perfil, clique em Adicion

8. Em Selecionar Usurios, Computadores, Contas de Servio ou Grupos cai xa de dilogo, no Digite o objeto nomes a serem selecionados (exemplos) caixa, os administradores d o tipo e clique em OK.

9. Em os Permisses para Contoso caixa de dilogo Perfil, em os lista Pe rmisses para Administradores, Selecione o controle completo caixa de seleo Permitir e clique em O K.

10. Na caixa avanada Compartilhamento de dilogo, clique em OK.

11. Na caixa de dilogo Contoso Perfil Propriedades, clique em Fechar.

12. Mudar para NYC-CL1.

13. Clique em Iniciar, e na caixa Pesquisar, Network tipo e Compartil hamento e em seguida, pressione ENTER.

14. Na janela Centro de Rede e Compartilhamento, clique em Alterar co nfiguraes do adaptador.

15. Na pgina Conexes de Rede, boto direito do mouse Contoso VPN e clique em Conectar.

16. Use as seguintes informaes nos Contoso Conectar caixas de texto VP N e clique em Conectar:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

A VPN conecta com xito.

17. Clique em Iniciar e na caixa de pesquisa, digite \ \ NYC-dc1 \ Pr ofile Contoso e pressione ENTER.

18. Clique em Iniciar, e no tipo de caixa Pesquisar, C: \ Arquivos de Programas \ CMAK \ Profiles \ Windows 7 e Windows Vista \ Contoso.

19. Destaque todos os arquivos na janela do Explorer aberta e, em seg uida, pressione CTRL + C.

20. Alterne para a pasta \ NYC-DC1 \ \ pasta perfil Contoso e pressio ne CTRL + V.

21. Feche todas as janelas abertas.

22. Clique em Iniciar, e na caixa Pesquisar, digite \ \ nyc-dc1 \ Pro file Contoso e pressione ENTER. ----------------------- Pgina 677----------- -----------Lab A: Con figurando e Gerenciando Network Access L5-7

23. Duas vezes-clique no aplicativo Contoso.

24. Na caixa de dilogo Contoso HQ, clique em Sim.

25. No fazer esta conexo disponvel para a pgina, clique em Todos os usurios, selecio ne a opo Adicionar um atalho na desktop, e clique em OK.

26. Na caixa de dilogo Contoso HQ, clique em Cancelar.

27. Em Conexes de Rede, boto direito do mouse Contoso e VPN, clique em Desconectar .

28. No desktop, clique duas vezes em Contoso HQ - Atalho.

29. Use o as seguintes informaes nos da Contoso do Connect caixas de texto HQ e, e m seguida, clique em Conectar:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

A VPN conecta com xito.

30. Boto direito do mouse Contoso HQ - Atalho e clique em Desconectar. O VPN desc onecta.

31. Feche todas as janelas abertas em NYC-CL1.

Resultados: No final deste exerccio, voc ter criado e distribudo um perfil CMAK.

Preparao para o prximo laboratrio

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2.

Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid

a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-edge1 e 6421B-NYC-CL1.

----------------------- Pgina 678----------- -----------L5-8

Laboratrio B: Implementando DirectAccess

Exerccio 1: Configurar o AD DS do controlador de domnio e DNS

Tarefa 1: Criar um grupo de segurana para computadores DirectAccess

1. Mudar para NYC DC1.

2. Clique em Iniciar, aponte para Ferramentas administrativas e, em se guida, clique em Active Directory Users and Computers.

3. Em Active Directory Usurios e rvores Computadores do console, expanda contoso.com, boto direito do mouse em Usurios, apontar para Novo e, em seguida, clique em Grupo.

4. No Novo objeto - caixa de dilogo Group, sob o nome de Grupo, DA_Clie nts tipo.

5. Sob escopo Grupo, selecione Global, sob tipo Group, escolher de Seg urana, e em seguida, clique OK.

6. No painel de detalhes, clique duas vezes DA_Clients.

7. Na caixa de dilogo DA_Clients Propriedades, clique na guia Membros e

, em seguida, clique em Adicionar.

8. Em os Selecionar Usurios, Contactos, Computadores, Contas de Servio, ou grupos caixa de dilogo, clique em Objeto Tipos de, clique em os Computadores caixa de verificao, e em seguida, clique OK.

9. Em Digite os nomes de objeto a serem selecionados (exemplos), tipo NYC-CL1 e clique em OK.

10. Verifique se NYC-CL1 exibido abaixo Members e em seguida, clique O K.

11. Feche os usurios do Active Directory e consola computadores.

Pergunta: Por que voc criar o grupo DA_Clients?

Resposta: Para permitir a aplicao de configuraes DirectAccess de segura na para DirectAccess computadores que so um membro deste grupo de segurana.

Tarefa 2: Configurar regras de firewall para ICMPv6 trfego

Nota: Esta tarefa realizada para permitir o teste subseqente de Di rectAccess no laboratrio produo.

1. Clique em Iniciar, clique em Ferramentas Administrativas e, em, em seguida, clique em Gerenciamento de Diretiva de Grupo.

2. Na Floresta rvore de console, aberto: Contoso.com \ Domains \ contos o.com.

3. Na consola Poltica de rvore, Domnio boto direito do mouse padro e, em se guida, clique em Editar.

4. Na rvore de console do Editor de Gerenciamento de Diretiva de Grupo, abra Configurao do Computador \ Policies \ Windows \ Configuraes de Segurana \ Windows Firewall com Segurana Avanada \ Windows Firewall com Segurana Avanada.

5. Na rvore de console, clique em Regras de Entrada, clique Regras de E ntrada e clique em Nova Regra.

6. Na pgina Tipo de Regra, clique em Personalizar e clique em Avanar.

7. Na pgina Programa, clique em Avanar.

8. Na pgina Protocolos e Portas, por Tipo de protocolo, clique em ICMPv 6, e, em seguida, clique em Personalizar.

9. Na caixa de dilogo Personalizar ICMP Configuraes, clique em Tipos espe cficos de ICMP, selecione Echo Request, e clique em OK. ----------------------- Pgina 679----------- -----------Laboratrio B: Implementando DirectAccess L5-9

10. Clique em Avanar.

11. On a pgina mbito de aplicao, clique em Avanar.

12. Na pgina Ao, clique em Avanar.

13. Na pgina Perfil, clique em Avanar.

14. Na pgina Nome, para Nome, ICMPv6 tipo de entrada solicitaes de eco e clique em Concluir.

15. Na rvore de console, clique em regras de sada, boto direito do mouse regras de sada, e, em seguida, clique em Nova Regra.

16. Na pgina Tipo de Regra, clique em Personalizar e clique em Avanar.

17. Na pgina do programa, clique em Avanar.

18. Na pgina Protocolos e Portas, por tipo de protocolo, clique ICMPv6 e, em segu ida, clique em Personalizar.

19. Na caixa de dilogo Personalizar ICMP Configuraes, clique em Tipos especficos de ICMP, selecione Echo Request, e clique em OK.

20. Clique em Avanar.

21. On a pgina mbito de aplicao, clique em Avanar.

22. Na pgina Ao, clique em Permitir a conexo e clique em Avanar.

23. On o Pgina de perfil, clique em Avanar.

24. Na pgina Nome, em Nome, digite ICMPv6 de sada solicitaes de eco e clique em Conc luir.

25. Feche a Grupo Editor de Gerenciamento de Poltica de e consoles Group Policy M anagement.

Tarefa 3: Criar registos exigidos DNS em NYC-DC1

1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em DNS.

2. Na rvore de console do Gerenciador de DNS, expanda NYC-DC1 \ Forward Lookup Zones \ contoso.com.

3.

Boto direito do mouse contoso.com e clique em Novo Host (A ou AAAA).

4. Na caixa Nome, digite nls. Na caixa de endereo IP, digite 10.10.0.24. Clique em Adicionar host e, em seguida, clique em OK.

5. Na caixa de New Host de dilogo, CRL tipo em Nome de (usa o nome domnio pai se em branco). No IP caixa de endereo, digite 10.10.0.15 e clique em Adicionar Host.

6.

Na caixa de dilogo DNS informando que o registro foi criado, clique em OK.

7.

Clique em Concludo na caixa de New Host de dilogo.

8.

Feche a console do Gerenciador de DNS.

Pergunta: Qual a finalidade do registro de host nls.contoso.com DNS que voc associado com um endereo IP interno?

Resposta: Para permitir que clientes intranet-baseados em DirectAccess para localizar o Localizao do Servidor Rede enquanto na intranet. ----------------------- Pgina 680----------- -----------L5-10 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o

Tarefa 4: Remover ISATAP de DNS lista global de consulta bloco

1. Clique em Iniciar, clique em Todos os Programas, clique em Acessri os e, em seguida, clique em Prompt de Comando.

2. ione ENTER:

Na janela do prompt de comando, digite o seguinte comando e press

dnscmd / config / GlobalQueryBlockList wpad

3.

Feche a janela do prompt de comando.

Resultados: No final deste exerccio, voc est preparado AD DS e DNS para a poiar a implantao de DirectAccess. ----------------------- Pgina 681----------- -----------Lab B: Implementando DirectAccess L5-11

Exerccio 2: Configurar o ambiente PKI

Tarefa 1: Configure as definies de de distribuio da CRL

1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas administrativas e, e m seguida, clique em Autoridade de Certificao.

2.

No painel de detalhes, clique ContosoCA e clique em Propriedades.

3.

Na caixa de dilogo ContosoCA Propriedades, clique na guia Extenses.

4. Na guia Extensions, clique em Adicionar. Na caixa Local, http://crl.contoso .com/crld/ tipo.

5.

Em Varivel, clique <CAName> e clique em Inserir.

6.

Em Variable, clique em <CRLNameSuffix> e, em seguida, clique em Inserir.

7.

Em Varivel, clique <DeltaCRLAllowed> e clique em Inserir.

8.

Em Localizao, tipo. Crl no final de a string Localizao e em seguida, clique OK.

9. Selecione Incluir em CRLs. Os clientes usam este para encontrar Delta loca lizaes CRL e Incluir em o CDP extenso de certificados emitidos e, em seguida clique em Aplicar. Clique em No na caixa de dilogo pedindo para voc reiniciar os Servios de de Certificados do Active Directory.

10. Clique em "Add".

11. Em Localizao, digite \ \ nyc-edge1 \ crldist $ \.

12. Em Varivel, clique <CaName> e clique em Inserir.

13. Em Varivel, clique <CRLNameSuffix> e clique em Inserir.

14. Em Variable, clique em <DeltaCRLAllowed> e, em seguida, clique em Inserir.

15. Em Local, tipo. Crl no final da string e clique em OK.

16. Selecione Publicar CRLs para esta localizao e Publicar CRLs Delta para este lo cal, e em seguida, clique OK.

17. Clique em Sim para reiniciar os Servios de Certificados do Active Directory.

18. Feche o console da Autoridade de Certificao.

Pergunta: Qual o propsito da lista de revogao de certificado?

Resposta: Para permitir que clientes DirectAccess e servidores para determi nar se os certificados emitidos (Usado para autenticao) foram revogados.

Tarefa 2: Configurar o sufixo DNS em edge1

1.

Mudar para NYC-edge1.

2. Clique em Iniciar, e na caixa Pesquisar, Network tipo e Centro de Compartil hamento e em seguida, pressione ENTER.

3.

Clique em Alterar configuraes do adaptador.

4.

Boto direito do mouse Local Area Connection 2 e clique em Propriedades.

5.

Clique duas vezes em Internet Protocol Version 4 (TCP/IPv4).

6.

Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo, clique em Avanado.

7. Na guia DNS, no sufixo DNS para esta caixa de ligao, tipo Contoso.com e cliqu e em OK.

8.

Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo, clique em OK.

----------------------- Pgina 682----------- -----------L5-12 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto

9. har.

Na rea de Conexo Local 2 caixa de dilogo Propriedades, clique em Fec

10. Feche Conexes de rede.

Tarefa 3: Instalar a funo de servidor de web em edge1

1.

Em NYC-edge1, mude para o Server Manager.

2. Na rvore de console do Server Manager, clique em Roles. No painel de detalhes, clique em Adicionar funes e, em seguida, clique em Avanar.

3. Na pgina Selecionar Funes do Servidor, clique em Web Server (IIS) e em seguida, clique Avanar trs vezes.

4.

Clique em Instalar.

5. Verifique que todas as instalaes foram bem sucedidos e, em seguida, clique em Fechar.

6.

Deixe a janela Gerenciador do Servidor aberto.

Tarefa 4: Criar ponto de distribuio CRL sobre NYC-edge1

1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Internet Information Services (IIS) Manager.

2. Na rvore de console, navegue at NYC-edge1 \ Sites \ Default Web Sit e, Web Site boto direito do mouse padro, e, em seguida, clique em Adicionar Diretrio Virtual.

3. Na caixa de dilogo Virtual Directory Adicionar, na caixa Alias, di gite CRLD. Junto ao caminho fsico, clique em

as reticncias "..." boto.

4. Na caixa de dilogo Procurar pasta, clique em Disco Local (C :) e c lique em Criar nova pasta.

5. CRLDist Tipo e pressione ENTER. Clique em OK na Browse for caixa de dilogo Pasta.

6.

Clique em OK na caixa de dilogo Virtual Directory Add.

7. No painel central do console de navegao do diretrio, d um duplo cliqu e e no painel de detalhes, clique Ativar.

8.

Na rvore de console, clique na pasta CRLD.

9. No painel central do console, clique duas vezes no cone do Editor de Configurao.

10. Clique na seta para baixo para a Seo lista drop-down, e depois proc urar a system.webServer \ security \ requestFiltering.

11. No painel central do console, clique duas vezes na entrada allowD oubleEscaping para alterar o valor de falso para verdadeiro.

12.

No painel de detalhes, clique em Aplicar.

13. Servio de Internet Fechar IIS) Manager.

Pergunta: Por que voc faz a CRL disponvel no servidor DirectAccess no permetro

rede?

Resposta: Assim que os clientes de Internet DirectAccess pode ace ssar a CRL. ----------------------- Pgina 683----------- -----------Laboratrio B: Implementando DirectAccess L5-13

Tarefa 5: compartilhar e proteger o ponto de distribuio CRL

Nota: Esta etapa executada para atribuir permisses para o ponto de distribu io da CRL.

1.

Clique em Iniciar e clique em Computador.

2.

Clique duas vezes em Disco local (C :).

3. No painel de detalhes do Windows Explorer, boto direito do mouse na pasta CR LDist e clique em Propriedades.

4. Na caixa de CRLDist de dilogo Propriedades, clique na guia Compartilhamento e clique em Compartilhamento Avanado.

5. Na caixa de avanada Compartilhamento de de dilogo, selecione Compartilhar est a pasta.

6. Em Nome do compartilhamento, adicione um sinal de cifro ($) at o fim para que o nome do compartilhamento CRLDist $.

7.

Na caixa de avanada Compartilhamento de de dilogo, clique em Permisses.

8.

Na caixa Permisses para $ CRLDist de dilogo, clique em Adicionar.

9. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grup os, clique em Tipos de objeto.

10. Na caixa de dilogo Tipos de objeto, selecione Computadores e clique em OK.

11. Em os Selecionar Usurios, Computadores, Contas de Servio, ou caixa de dilogo Gr upos, em caixa Digite o objeto nomes para selecionar o tipo de caixa, NYC-DC1 e depois clique em Verificar nomes. Clique em OK.

12. Na caixa Permisses para $ CRLDist de dilogo, selecione NYC-DC1 (CONTOSO \ NYCDC1 $) do Grupo ou lista de nomes de usurio. Em os Permisses para NYC DC1-seo, selecione Permitir para controle completa. Clique em OK.

13. Na caixa avanada Compartilhamento de dilogo, clique em OK.

14. Na caixa de CRLDist de dilogo Propriedades, clique na guia Security.

15. Na guia Segurana, clique em Editar.

16. Na caixa permisses para o dilogo CRLDist, clique em Adicionar.

17. Na caixa de dilogo Selecionar Usurios, Computadores, Contas de Servio ou Grupos , clique em Tipos de Objeto.

18. Na caixa de dilogo Tipos de objeto, selecione Computadores. Clique em OK.

19. Em Selecionar Usurios, Computadores, Contas de Servio ou Grupos caixa de dilogo , no Digite o objeto nomes para selecionar caixa de, tipo NYC-DC1, clique em Verificar Nomes, e em seguida, clique OK.

20. Em os Permisses para caixa de dilogo CRLDist, selecione NYC-DC1 (CONTOSO \ NYC -DC1 $) a partir do Grupo ou lista nomes usurio. Em os Permisses para NYC DC1-seo, selecione Permit ir para Pleno controle e em seguida, clique OK.

21. Na caixa de CRLDist Propriedades de dilogo, clique em Fechar.

22. Feche a janela do Windows Explorer.

Tarefa 6: Publicar a CRL para NYC-edge1

Observao Esta etapa faz com que o CRL disponvel no servidor de borda para o Internet-baseada em Clientes DirectAccess.

1.

Mudar para NYC DC1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e em seguida, clique Autoridade de Certificao. ----------------------- Pgina 684----------- -----------L5-14 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto

3. Na rvore de console, aberto ContosoCA, boto direito do mouse em Cer tificados Revogados, aponte para All Tasks e, em seguida clique em Publicar.

4. .

Na caixa de dilogo Publicar CRL, clique em Nova CRL e clique em OK

5. NTER.

Clique em Iniciar, digite \ \ NYC-edge1 \ CRLDist $, imprensa e E

6. + arquivos.

Na janela Explorer Windows, voc deve ver os ContosoCA e ContosoCA

7.

Feche a janela do Windows Explorer.

8.

Feche o console da Autoridade de Certificao.

Tarefa 7: Configurar permisses de sobre o modelo de certificado web ser vidor

Observao Os usurios exigem a Matricular permisso no certificado.

1.

Clique em Iniciar, digite certtmpl.msc e pressione ENTER.

2. No painel de contedo, clique com o modelo de servidor Web e, em se guida, clique em Propriedades.

3.

Clique na guia Segurana e em seguida, clique Usurios autenticados.

4. Em os Permisses para janela Usurios Authenticated, clique em Enroll em Permitir e em seguida, clique OK.

5.

Feche o Certificado de console Modelos

Tarefa 8: Configurar o certificado de computador auto-inscrio

1. Clique em Iniciar, clique em Ferramentas administrativas e, em se guida, clique em Group Policy Management.

2. Na rvore de console, expanda Forest: Contoso.com, expanda Domains e clique em Contoso.com.

3. No painel de detalhes, clique-direito em Default Domain Policy e, em seguida, clique em Editar.

4. Na rvore de console do Editor de Gerenciamento Grupo de Poltica, ab ra Configurao do Computador \ Policies \ Configuraes do Windows \ Security Settings \ Diretivas de Chave Pblica.

5. No painel de detalhes, clique Configuraes de solicitao automtica de ce rtificado, aponte para Novo e, em seguida, clique em Solicitao de Certificado Automtica.

6. Avanar.

Em o Automatic Assistente de Setup Certificate Request, clique em

7. Na pgina Modelo de Certificado, clique em Computador, clique em Av anar e, em seguida, clique em Concluir.

8. ent Console.

Feche o Editor de Gesto de Polticas e fechar o Group Policy Managem

Pergunta: Por que voc usar GPO para configurar a implantao de certif icados?

Resposta: Para mais rapidamente e effortlessly implantar os certi ficados necessrios para DirectAccess computadores clientes.

Resultados: No final deste exerccio, voc ter configurado a infra-estrutur a de chave pblica em Contoso apoiar a implantao de DirectAccess. ----------------------- Pgina 685----------- -----------Lab B: Implementando DirectAccess L5-15

Exerccio 3: Configure os clientes DirectAccess e oferecimento do teste Intranet

Tarefa 1: Criar uma pasta compartilhada

Observao: Esta etapa necessria para fornecer alguns dados que intranet e clie ntes da Internet pode acessar.

1.

Mudar para NYC-SVR1.

2.

Clique em Iniciar e, em seguida, clique em Computador.

3.

Clique duas vezes em Disco local (C :).

4. Clique em Nova pasta, Arquivos de de tipo, e em seguida, pressione ENTER. D eixe a janela Disco Local aberto.

5. Clique em Iniciar, clique em Todos os Programas, Acessrios, clique com do di reito-clique notepad, e, em seguida, clique em Executar como administrador.

6. .

Em o Untitled - janela Bloco de Notas, digite Este um arquivo compartilhado

7. Clique em Arquivo, clique em Salvar, faa duplo clique em Computer, faa duplo clique em Disk Local (C :), e seguida, faa duplo-clique no Pasta de arquivos.

8. Em Nome do arquivo, example.txt tipo, e, em seguida, clique em Salvar. Fech e a janela do Bloco de Notas.

9. Na janela Disk Local, direito-clique na pasta Files, aponte para Compartil har com, e em seguida, clique Especfico pessoas.

10. Clique em Compartilhar e clique em Concludo.

11. Feche a janela Disk Local.

Tarefa 2: Solicitar um certificado para NYC-SVR1

1.

Clique em Iniciar, digite cmd e pressione ENTER.

2.

No comando, digite gpupdate / force e pressione ENTER.

3.

Feche o prompt de comando.

4.

Clique em Iniciar, digite mmc e pressione ENTER.

5.

Clique em Arquivo e clique em Adicionar / Remover Snap-in.

6. Clique em Certificados, clique em Adicionar, selecione Conta de Computer, c lique em Avanar, selecione computador Local, clique em Concluir e, em seguida, clique em OK.

7. Na rvore de console dos Certificados snap-em, Certificados abertos (computad or local) \ Pessoal \ Certificados.

8. O boto direito do clique em Certificados, aponte para Todas as Tarefas e, em seguida clique em Certificado de Request New.

9.

Clique em Avanar duas vezes.

10. Na pgina Certificados Request, clique em Servidor de Web e, em seguida, cliq ue em Mais informao necessria para se inscrever para este certificado.

11. Na guia Assunto da caixa de de dilogo Certificado Properties, em nome de Ass unto, para Tipo, selecione Nome comum.

12.

Em Valor, tipo nls.contoso.com e, em seguida, clique em Adicionar.

----------------------- Pgina 686----------- -----------L5-16 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o

13. Clique em OK, clique em Registro e clique em Concluir.

14. No painel de detalhes dos Certificados snap-em, verifique que um novo certificado com o nome nls.contoso.com foi inscrito com fins pretendidos de autenticao do servidor.

15. Feche a janela console. Quando voc for solicitado para salvar as c onfiguraes, clique em No.

Tarefa 3: Alterar as bindings HTTPS

1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Internet Information Services (IIS) Manager.

2. Na rvore de console de Servios de Informao da Internet (IIS) Manager, NYC-SVR1/Sites abertos e, em seguida, clique Web site da Default.

3.

No painel Aes, clique em Ligaes. Clique em "Add".

4.

Em o Add caixa de dilogo Site Bindings, clique em https, em Certif

icado SSL, clique em o certificado com o nls.contoso.com nome, clique em OK e, em seguida, clique em Fecha r.

5. IIS).

Feche o console do Gerenciador do Internet Information Services (

Tarefa 4: Instale um certificado de no computador cliente

1.

Mudar para NYC-CL1.

2.

Clique em Iniciar, cmd tipo, e em seguida, pressione ENTER.

3.

No comando, digite gpupdate / force e pressione ENTER.

4.

Feche o prompt de comando.

5.

Clique em Iniciar, digite mmc e pressione ENTER.

6.

Clique em Arquivo e clique em Adicionar / Remover Snap-in.

7. Clique em Certificados, clique em Adicionar, selecione Conta de c omputador, clique em Avanar, selecione Computador local, clique em Concluir e, em seguida, clique em OK.

8. Na rvore de console, expanda Certificados (Computador Local) \ Pes soal \ Certificados.

9. O boto direito do mouse em Certificados, aponte para Todas as Tare fas e clique em Solicitar Novo Certificado.

10. Clique em Avanar duas vezes.

11. Selecione Computador e clique em Inscrever. Clique em Concluir.

12. No painel de detalhes, verificar se um certificado pelo nome NYC CL1.contoso.com-est presente com Destinado fins de autenticao do cliente e autenticao do servidor.

13. Feche a janela de console. Quando voc for solicitado para salvar a s configuraes, clique em No.

Pergunta: Por que voc instale um certificado no computador cliente ?

Resposta: Sem um certificado, o cliente no pode identificar e aute nticar-se para o Servidor DirectAccess. ----------------------- Pgina 687----------- -----------Laboratrio B: Implementando DirectAccess L5-17

Tarefa 5: Teste de acesso intranet

1.

Na barra de tarefas, clique no cone do Internet Explorer.

2. Na barra de endereos, http://nyc-svr1.contoso.com/ tipo e em seguida pressio ne ENTER. Voc dever ver o padro do IIS pgina 7 para NYC-SVR1.

3. Na barra de Endereo, https://nls.contoso.com/ tipo e em seguida, pressione E NTER. Voc dever ver o padro do IIS pgina 7 para NYC-SVR1.

4.

Deixe a janela do Internet Explorer aberto.

5.

Clique em Iniciar, digite \ \ NYC-SVR1 \ Arquivos e pressione ENTER.

6. Voc dever ver uma janela de pasta com o contedo dos arquivos compartilhados pa sta.

7. Nos arquivos compartilhados janela da pasta, d um duplo clique no arquivo ex ample.txt. Voc dever ver o contedo de o arquivo example.txt.

8.

Feche todas as janelas abertas.

Resultados: No final deste exerccio, voc testou o acesso Intranet. ----------------------- Pgina 688----------- -----------L5-18 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o

Exerccio 4: Configurar o servidor DirectAccess

Tarefa 1: Obter certificados requeridos para NYC-edge1

1.

Alterne para NYC-edge1.

2.

Clique em Iniciar, tipo mmc, e em seguida, pressione ENTER.

3. ap-ins-.

Clique em Arquivo e, em seguida, clique em Adicionar / Remover Sn

4. Clique em Certificados, clique em Adicionar, clique em computador conta, clique em Avanar, selecione Computador local, clique em Concluir e, em seguida, clique em OK.

5.

Na rvore de console do snap-in Certificados, Certificados aberto (

computador local) Certificados pessoais

6. O boto direito do mouse em Certificados, aponte para Todas as Tare fas e clique em Solicitar Novo Certificado.

7.

Clique em Avanar duas vezes.

8. Na pgina Certificados de solicitao, clique em Servidor Web e, em seg uida, clique em Mais informao necessria para se inscrever para este certificado.

9. Na guia Assunto da caixa de de dilogo Certificado Properties, em nome de Assunto, para Tipo, selecione Nome comum.

10. Na caixa Valor, digite nyc-edge1.contoso.com e clique em Adiciona r.

11. Clique em OK, clique em Registro e clique em Concluir.

12. No painel de detalhes dos snap-in Certificados, verifique se um novo certificado com o nome nyc-edge1.contoso.com foi inscrito com fins pretendidos de autent icao do servidor.

13. Boto direito do mouse o certificado e clique em Propriedades.

14. Em Nome amigvel, certificado de tipo IP-HTTPS e clique em OK.

15. Feche a janela de console. Se voc for solicitado para salvar as co nfiguraes, clique em No.

Tarefa 2: instalar o recurso DirectAccess em NYC-edge1

1.

Mude para o Server Manager.

2. recursos.

Na janela principal, sob Resumo dos Recursos, clique em Adicionar

3. le.

Na pgina Selecionar Recursos, marque DirectAccess Management Conso

4. srios.

Na janela Add Features Wizard, clique em Adicionar Recursos Neces

5.

Na pgina Selecionar Recursos, clique em Avanar.

6.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

7.

Na pgina Resultados da Instalao, clique em Fechar.

----------------------- Pgina 689----------- -----------Lab B: Implementando DirectAccess L5-19

Tarefa 3: Executar instalao DirectAccess assistente em NYC-edge1

Observao: Esta etapa configura NYC-edge1 como um servidor DirectAccess.

1.

Abra um prompt de comando e digite o seguinte comando e pressione ENTER:

GPUpdate / force

2.

Feche o prompt de comando.

3. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em Gerenciamento do DirectAccess.

4. Na rvore de console, clique em Configurar. No painel de detalhes, clique em Configurar para o passo 1.

5.

On a pgina Setup Cliente DirectAccess, clique em Adicionar.

6. Na caixa de dilogo Selecionar grupo, DA_Clients tipo, clique em OK e, em seg uida, clique em Concluir.

7.

Clique em Configurar para a etapa 2.

8. On a pgina Conectividade, para a Interface conectado Internet, selecione a i nterface nomeado Pblica. Para Interface de conectado para a rede interna, selecione o Conexo d e rea Local 2, e clique em Avanar.

Observao Se voc receber um aviso que o de rea local adaptador de rede de cone xo deve ser conectado a uma rede de domnio, feche o console de Gerenciamento de Acesso Direto. Open Server Manager e clique em Configurar Conexes de Rede. Desabilite a Conexo de rea Lo cal e reativ-lo. Reinicie o console de Gerenciamento do Direct Access.

9. Na pgina Componentes do Certificado, para Selecione o certificado raiz ao q ual o cliente remoto certificados devem cadeia, clique em Procurar. Na lista de certificados, cl ique no certificado raiz ContosoCA e clique em OK.

10. Para Selecione o certificado que ser ser usado para proteger a conectividade do cliente remoto atravs de HTTPS, clique em Procurar. Na lista de certificados, clique no certificado chamado

IP-HTTPS Certificado, clique em OK e em seguida, clique em Concluir.

11. Clique em Configurar para a etapa 3.

12. Na pgina Local, clique em servidor de localizao de rede executado em um altam ente disponvel tipo de servidor, https://nls.contoso.com, clique em Validar, e, em seguida, clique em Avanar.

13. Na pgina Controlador DNS e Domnio, observe a entrada para o contoso.com nome com o IPv6 endereo 2002:836 b: 2:1:0:5 EFE: 10.10.0.10. Este endereo IPv6 atribudo a NYC DC1 e composta por um prefixo de rede 6to4 (2002:836 b: 2:1 :: / 64) e um identif icador de interface ISATAP baseado (:: 00:05 EFE: 10.10.0.10). Clique em Avanar.

14. Na pgina Gerenciamento de, clique em Concluir.

15. Clique em Configurar para a etapa 4. Na pgina Instalao do DirectAccess Applica tion Server, clique em Concluir.

16.

Clique em Salvar e, em seguida, clique em Concluir.

1 Na caixa de dilogo comentrio DirectAccess, clique em Aplicar. Na configurao polti ca DirectAccess caixa de mensagem, clique em OK.

Resultados: No final deste exerccio, voc ter configurado com sucesso NYC edge1 como um DirectAccess servidor. ----------------------- Pgina 690----------- -----------L5-20 Mdulo 5: Configurando e solucionando problemas de roteamento e acesso remot o

Exerccio 5: verificar a funcionalidade DirectAccess

Tarefa 1: Criar registros DNS em Inet1

Observao Normalmente, voc poderia configurar este registro em seus pblicas servidores que enfrentam de DNS.

1.

Mudar para Inet1.

2. Clique em Iniciar, aponte para Ferramentas administrativas e, em s eguida, clique em DNS.

3. Na rvore de console, expanda Zonas de pesquisa direta, boto direito do mouse contoso.com, e clique em Novo Host (A ou AAAA).

4.

Na caixa Nome do tipo, crl. Em Endereo IP, tipo 131.107.0.2.

5. ncludo.

Clique em Adicionar Host, clique em OK e, em seguida, clique em Co

6.

Feche o console DNS.

Tarefa 2: Atualizao de configurao IPv6 em NYC-SVR1 e NYC-DC1

Nota Estes passos habilitar as configuraes necessrias IPv6 para apo iar DirectAccess.

1.

Mudar para NYC-SVR1.

2. Clique em Iniciar, clique em Todos os Programas, clique em Acessrio s e, em seguida, clique em Prompt de Comando.

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Iphlpsvc net stop

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

net start Iphlpsvc

5. No prompt de comando, digite o seguinte comando e pressione ENTER. Verifique se que o servidor de tenha sido emitido um endereo ISATAP que termina com 10.10.0.24.

ipconfig

6.

Feche a janela do prompt de comando.

7.

Mudar para NYC DC1.

8. Clique em Iniciar, clique em Todos os Programas, clique em Acessrio s e, em seguida, clique em Prompt de Comando.

9. No prompt de comando, digite o seguinte comando e em seguida, pres sione ENTER:

Iphlpsvc net stop

10. No prompt de comando, digite o seguinte comando e pressione ENTER :

net start Iphlpsvc

----------------------- Pgina 691----------- -----------L aboratrio B: Implementando DirectAccess L5-21

11. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER. Verificar que o servidor tenha sido emitido um endereo ISATAP que termina com 10.10.0.10.

ipconfig

12. Feche a janela do prompt de comando.

Tarefa 3: Update GPO e as configuraes de IPv6 em NYC-CL1

1.

Mudar para NYC-CL1.

2. Reinicie NYC-CL1 e, em seguida, logon novamente como Contoso \ Administrado r com a senha do Pa $ $ w0rd. Isto para assegurar que o computador NYC CL1-liga-se ao domnio como um membr o dos DA_Clients grupo de segurana.

3. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em s eguida, clique em Prompt de Comando.

4. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

gpupdate / force

5.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Iphlpsvc net stop

6.

No prompt de comando, digite o seguinte comando e pressione ENTER:

net start Iphlpsvc

7. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER. Verifique se o cliente tenha sido emitido um endereo ISATAP que termina com 10.10.10.1.

ipconfig

8.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Gpresult-R

9. Verifique que um Direct Access objeto de Diretiva de Grupo est sendo aplica da para o computador cliente. Se a poltica no sendo aplicada, execute o comando gpupdate / force novamente. Se a poltica ainda no est sendo aplicada, reiniciar NYC-CL1. Depois que os o computador for reiniciado, faa logon como Administrator e execute o Gpresult-R comandar novamente.

Tarefa 4: Verificar a conectividade ISATAP

1.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Ipconfig / flushdns

2. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

de ping 2002:836 b: 2:1 :: 5efe: 10.10.0.10

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

de ping 2002:836 b: 2:1 :: 5efe: 10.10.0.24 ----------------------- Pgina 692----------- -----------L5-22 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto

4. No prompt de comando, digite o seguinte comando e em seguida, pres sione ENTER:

de ping NYC-DC1.contoso.com

5. No prompt de comando, digite o seguinte comando e em seguida, pres sione ENTER:

pingue NYC-SVR1.contoso.com

6. Todos os estes comandos deve resultar em uma resposta bem sucedida .

Tarefa 5: Move NYC CL1-se Internet

Observao: Para verificar a funcionalidade, voc deve mover o computa dor cliente para a Internet.

1. Em NYC-CL1, clique em Iniciar, clique em Painel de Controle e cli que em Rede e Internet.

2.

Clique em Central de de Rede e Compartilhamento.

3.

Clique em Alterar configuraes do adaptador.

4. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propriedades.

5. Na rea caixa de Conexo de Rede Local de dilogo Propriedades, faa dupl o clique em Internet Protocol Version 4 (TCP/IPv4).

6. Na Internet Protocol Version 4 (TCP/IPv4) caixa de dilogo Propried ades, clique em Usar o seguinte IP endereo. Preencha o as seguintes informaes, e em seguida, clique OK.

Endereo IP: 131.107.0.10

mscara de sub-rede: 255.255.0.0

Gateway padro: 131.107.0.2

Servidor DNS preferencial: 131.107.0.1

7. har.

Na rea de Conexo Local 3 caixa de dilogo Propriedades, clique em Fec

8. Em Conexes de Rede, right-click Conexo de rea Local 3 e, em seguida, clique em Desabilitar.

9. Em Conexes de Rede, right-click Conexo de rea Local 3 e, em seguida , clique em Ativar.

10. Em o Set caixa de dilogo Rede de Localizao de, clique em rede Public e, em seguida, clique em Fechar.

Tarefa 6: Verifique a conectividade aos recursos da Internet

1. No prompt de comando, digite o seguinte comando e em seguida, pres sione ENTER:

pingue inet1.isp.example.com

2.

Na barra de tarefas, clique no cone do Internet Explorer.

3. Na barra de endereos, http://inet1.isp.example.com/ tipo e em segu ida pressione ENTER. Voc dever ver o padro pgina Web do IIS 7 para Inet1. ----------------------- Pgina 693----------- -----------Laboratrio B: Implementando DirectAccess L5-23

Tarefa 7: Verifique acesso aos recursos pasta web-baseados em e compartilhada

1.

No prompt de comando, digite o seguinte comando e pressione ENTER:

de ping NYC-SVR1

2. No Internet Explorer, em o Endereo http://NYC-SVR1.contoso.com/ tipo bar,, p ressione ENTER e, em em seguida, pressione F5. Voc dever ver o padro IIS 7 pgina web para NYC-SVR1.

3.

Feche o Internet Explorer.

4. Clique em Iniciar, digite \ \ NYC-SVR1 \ arquivos, e em seguida pressione E NTER. Voc dever ver uma janela pasta com o contedo dos arquivos pasta compartilhada.

5. Nos arquivos compartilhados janela da pasta, d um duplo clique no arquivo ex ample.txt.

6. Feche a example.txt - janela Bloco de Notas e os Arquivos de compartilhados janela de pasta.

Tarefa 8: Examine NYC-CL1 de configurao IPv6

1. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

ipconfig

2. A partir da tela da ferramenta Ipconfig.exe, observe que uma interface cham ada Adaptador de tnel 6to4 Adaptador possui um endereo IPv6 que comea com 2002:836 b:. Este um endereo 6t o4 com base em um IPv4 endereo de que comea com 131,107. Note que esta interface tnel tem um gateway padro 2002:836 b: 2 :: 836b: 2, que corresponde ao endereo 6to4 de edge1 (131.107. 0.2 no clonnotao hexadecimal 836b: 2). NYC-CL1 utiliza 6to4 e este gateway padro para o t rfego de tnel IPv6 para Edge1.

Resultados: No final deste exerccio, voc vai ter implementado com sucesso, verific ado e testado DirectAccess.

Preparao para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4. Repita estes passos para SVR1-6421B-NYC, 6421B-NYC-edge1, 6421B-NYC-Inet1, e 6421BNYC-CL1.

----------------------- Pgina 694----------- -----------L5-24 Mdulo 5: Configurando e Soluo de problemas Roteamento e Acesso Remoto

----------------------- Pgina 695----------- -----------L6-1

Mdulo 6: Instalando, Configurando, e Soluo de problemas do Network Policy Servio de Funo de Servidor

Lab: Configurando e Gerenciando Rede Servidor de Diretivas de

Exercite 1: Instalando e Configurando a Rede Funo de Servidor Poltica de Servio

Tarefa 1: Instale o e Diretiva de Rede papel Servios de Acesso

1.

Mudar para NYC DC1.

2.

Na barra de tarefas, clique em Gerenciador do Servidor.

3.

No painel de navegao Server Manager, clique em Funes.

4.

No painel direito, clique em Adicionar Roles.

5.

No Assistente para Adicionar Funes, clique em Avanar.

6. Na pgina Selecionar Funes do Servidor, selecione o e Diretiva de Rede de Acess o caixa de seleo Servios e clique em Avanar.

7.

Na diretiva de rede e pgina de acesso Introduo Services, clique em Avanar.

8. Na pgina Selecionar Servios de Funo, selecione o Network Policy caixa de seleo Se rver e, em seguida, clique em Avanar.

9.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

10. On a pgina Resultados da Instalao, clique em Fechar.

11. Feche o Gerenciador do Servidor.

Tarefa 2: Register NPS em AD DS

1. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Servidor de Diretiva de Rede.

2. No painel de navegao, right-click NPS (Local) e, em seguida, clique em Regist er servidor no Active Directory.

3.

Em a Rede caixa de mensagem Poltica de Server, clique em OK.

4.

Clique em OK novamente na caixa Network Poltica subseqente mensagem Server.

Task 3: Configurar NYC-DC1 como um servidor RADIUS para conexes VPN

1. Em a Rede ferramenta de gerenciamento de Poltica de do Servidor, na Obtendo painel de detalhes Iniciado, abra o drop-down lista em Configurao do Standard and em seguida, clique servidor RAD IUS para Dial Up-ou VPN Connections.

2. Sob servidor RADIUS para conexes dial-up ou VPN, clique em Configurar VPN ou dial-up.

3. No Assistente para VPN Configurar ou dial-up, clique em Virtual Private Net work (VPN), aceite o nome padro, e, em seguida, clique em Avanar.

4.

On a pgina clientes RADIUS, clique em Adicionar.

5. Em o New caixa de dilogo RADIUS Client, na caixa Nome do Friendly, tipo NYC edge1-e em seguida, clique Verificar. ----------------------- Pgina 696----------- ------------

L6-2 Lab: Configurando e gerenciando Network Policy Server

6. Na caixa de Verify de dilogo Endereo, na caixa de de endereo, digite NYC edge1-, clique em Resolver, e, em seguida, clique em OK.

7. Em o New caixa de dilogo RADIUS Client, em o segredo Shared e Conf irmar compartilhados caixas de secretos tipo, Pa $ $ w0rd e em seguida, clique OK.

8.

Na Especificar Dial-up ou VPN pgina Server, clique em Avanar.

9. Na pgina Configurar Mtodos de Autenticao, selecione o Protocolo de Au tenticao Extensible e Microsoft Encrypted Authentication verso 2 (MS-CHAPv2) marcar ca ixas e, em seguida, clique em Avanar.

10. Na pgina Especificar Grupos de Usurios, clique em Avanar.

11. On o Specify pgina Filtros IP, clique em Avanar.

12. Na pgina Especifique o Configuraes de Encryption, desmarque a cripto grafia Bsica e de verificao de criptografia Strong caixas e, em seguida, clique em Avanar.

13. On pgina Especifique o Nome uma Realm, clique em Avanar.

14. On o New Completando Dial Up-ou Virtuais Conexes de Rede Privadas e RADIUS clientes pgina, clique em Concluir.

15. Feche a ferramenta Network Servidor de Diretivas de administrativ a.

Resultados: No final de este exerccio, voc vai tiver configurado NYC DC1 -como um servidor RADIUS atravs da instalao de e configurando a funo Servidor de NPS. ----------------------- Pgina 697----------- -----------Lab: Configura ndo e gerenciando Network Policy Server L6-3

Exerccio 2: Configurando um Cliente RADIUS

Tarefa 1: Install Roteamento e Servios de Acesso Remoto sobre NYC-edge1

1.

Alterne para NYC-edge1.

2.

Na barra de tarefas, clique em Gerenciador de Server.

3. No painel de navegao Manager Server, clique em Funes, e, em seguida, no painel da direita, clique em Adicionar Roles.

4.

On o Antes de Voc Comear pgina, clique em Avanar.

5. Na pgina Selecionar Funes do Servidor, selecione o e Diretiva de Rede de Acess o caixa de seleo Servios e , em seguida, clique em Avanar.

6.

On o e Diretiva de Rede pgina Servios Access, clique em Avanar.

7. Na pgina Selecionar Servios de Funo, selecione o Roteamento e Servios de Acesso Remoto caixa de verificao e , em seguida, clique em Avanar.

8.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

9.

On a pgina Resultados da Instalao, clique em Fechar.

10. Feche a janela do Gerenciador do Servidor.

Tarefa 2: Configure NYC-edge1 como um Servidor de VPN

1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em em seguida , clique Roteamento e Acesso Remoto.

2.

No painel de navegao, selecione NYC-edge1 (local).

3. Right-click NYC-edge1 (local) e, em seguida, clique em Configurar e Ativar Roteamento e Acesso Remoto.

4. Em o Roteamento e Remote Access Assistente de Setup Server, sobre a pgina Be m-vindo, clique em Avanar.

5. Na pgina Configurao, clique em de Acesso Remoto (dial-up ou VPN) e clique em A vanar.

6.

Na pgina Acesso ao Remoto, seleccione a caixa de seleo VPN e clique em Avanar.

7. Na pgina Conexo VPN, selecione o interface de rede com o endereo IP de 131.107 .0.2, 131.107.0.3 e, em seguida, clique em Avanar.

8. On a pgina IP Address Assignment, selecione De um intervalo especificada de endereos e, em seguida, clique em Avanar.

9. Na pgina Atribuio de endereos Gama, clique em Novo e na caixa de endereo IP inic ial, digite o valor de 10.10.0.60. Na caixa Nmero de caixa de endereos, digite o valor de 75 e cl

ique em OK. Clique em Avanar.

10. No Gerenciamento Remoto pgina Multiple Access Servers, selecione Sim, config urar este servidor para trabalhar com um servidor de RADIUS e, em seguida, clique em Avanar.

11. Na pgina Seleo de RADIUS Server, na caixa de Primrio RADIUS servidor, tipo NYCDC1

12. Na caixa de segredo Shared, digite Pa $ $ w0rd e, em seguida, clique em Ava nar.

13. Clique em Concluir.

14. Em o Roteamento e caixa de dilogo Remote Access, clique em OK. O servio Rotea mento e Acesso Remoto comea.

Resultados: No final de este exerccio, voc vai tiver configurado NYC edge1-como um servidor VPN. ----------------------- Pgina 698----------- -----------L6-4 Lab: Configurando e Gerenciando Network Policy Server

Exerccio 3: Configurando um certificado Auto Enrollment-

Task 1: Configurar a inscrio automtica com a poltica grupo

1.

Mudar para NYC DC1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciamento de Diretiva de Grupo.

3.

Em do Grupo painel de lista Poltica de Gesto de, expanda Forest: Co

ntoso.com, expanda Domains, e em seguida, expanda Contoso.com.

4. Em o painel de lista, sob Contoso.com, Diretiva de Domnio direitomouse em Default e, em seguida, clique em Editar.

5. No Grupo Editor de Gerenciamento de Poltica de, sob Configurao do Co mputador, expanda Diretivas, expanda Configuraes do Windows, expanda Configuraes de Segurana, e em seguida, expanda Diretivas de Chave Pblica.

6. No painel de navegao, right-clique em Configuraes solicitao automtica d Certificado, aponte para Novo e, em, em seguida, clique em Solicitao de Certificado Automatic.

7. Em o Bem-vindo ao Automatic Assistente de Setup Certificate Reque st, clique em Avanar.

8. On a pgina Modelo de Certificado, aceitar a configurao padro de Comput er e, em seguida, clique em Avanar.

9. On Concluindo o Automatic Certificate a Solicitao de pgina do Assist ente de Setup, clique em Concluir.

10. Feche a Grupo Editor de Gerenciamento de Poltica de.

11. Feche a Grupo ferramenta de Gerenciamento de Diretiva.

12. Alterne para NYC-CL1.

13. Reinicie o computador e, em seguida, fazer logon usando as seguin tes credenciais:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

14. Clique em Iniciar, tipo MMC na caixa Pesquisar, e em seguida, pres sione ENTER.

15. Na janela Console1, clique em Arquivo e, em seguida, clique em Ad icionar / Remover Snap-in.

16. Em o Adicionar ou remover caixa de Snap-ins, selecione Certificad os e, em seguida, clique em Adicionar.

1 Em os Certificados snap-in caixa de, selecione Conta de Computer e , em seguida, clique em Avanar.

18. Na caixa de Computer Select, selecione computador Local e, em seg uida, clique em Concluir.

19. Clique em OK para fechar a Adicionar ou Remover Snap ins-caixa de.

20 minutos. Na janela Console1, expanda Certificados (Computer Local) .

1 Expanda pessoal e, em seguida, clique em Certificados. Repare que N YC-CL1.Contoso.com exibido. Voc agora pode usar este certificado como um mecanismo de autenticao.

Resultados: At the final deste exerccio, voc ir ter configurado as definies do certificado apropriados para a sua Soluo VPN. ----------------------- Pgina 699----------- -----------Lab: Configurand

o e gerenciando Network Policy Server L6-5

Exerccio 4: Configurando e Testando o VPN

Tarefa 1: Reconfigure o computador NYC CL1-para dentro da rede pblico

1.

Clique em Iniciar e, em seguida, clique em Painel de de Controle.

2. No Painel de Controle, em Rede e Internet, clique em Exibir o status da red e e tarefas.

3. Na janela Centro de de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

4. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propri edades.

5. Selecione Verso Internet Protocol 4 (TCP/IPv4) e, em seguida, clique em Prop riedades.

6.

Configure as seguintes configuraes de endereo IP e em seguida, clique OK:

Endereo IP: 131.107.0.20

Mscara de sub-rede: 255.255.255.0

Gateway padro: 131.107.0.1

7. Clique em Fechar e em seguida, clique o boto Voltar para retornar o Centro d e Rede e Compartilhamento.

Tarefa 2: Criar e testar uma conexo VPN

1. Na janela Centro de de Rede e Compartilhamento, sob Altere suas configuraes d e de networking, clique em Configurar uma nova conexo ou rede. Em o uma caixa de conexo Escolha de dilogo opo, clique em C onectar a um local de trabalho e, em seguida, clique em Avanar.

2. Em o Conectar-se a uma caixa de dilogo local de trabalho, selecione o Uso mi nha Internet conexo opo (VPN). Quando solicitado, selecione eu vou configurar uma conexo Internet mais tard e.

3. Em o Tipo de o endereo Internet para se conectar a caixa de dilogo, especifiq ue um endereo Internet de 131.107.0.2 e um Nome de Destino de Contoso VPN, e, em seguida, clique em A vanar.

4. On o Tipo de seu nome de usurio e pgina senha, deixe o nome de usurio e senha em branco e , em seguida, clique em Criar.

5.

Clique em Fechar na o Conectar-se a uma caixa de dilogo Workplace.

6. Na janela Centro de de Rede e Compartilhamento, clique em Alterar configuraes do adaptador.

7. On a pgina Conexes de Rede, boto direito do mouse Contoso VPN e, em seguida, c lique em Propriedades.

8.

Na caixa de dilogo Contoso VPN Properties, clique na guia Segurana.

9. Em o Tipo de de lista VPN, clique em Protocolo Layer 2 Tunneling com IPsec (L2TP/IPsec).

10. Na lista Criptografia de Dados, clique em criptografia fora mxima (desconecta r declnios se o servidor)

e em seguida, clique OK.

11. On a pgina Conexes de Rede, right-click Contoso VPN e, em seguida, clique em Conectar.

12. Use o as seguintes informaes nos da Contoso do Connect caixas de texto VPN e , em seguida, clique em Conectar:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

O VPN se conecta com xito. ----------------------- Pgina 700----------- -----------L6-6 Lab: Configurando e gerenciando Network Policy Server

13. Right-click Contoso VPN e clique em Desconectar. O VPN se descone cta.

14. Feche todas as janelas abertas sobre NYC-CL1. No salvar Console 1.

Resultados: No final de Neste exerccio, voc tenha verificado o soluo VPN.

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:

1.

On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguida , clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-edge1 e 6421B-NYC-CL1.

----------------------- Pgina 701----------- -----------L7-1

Mdulo 7: Proteo de Acesso Configurando a rede

Lab: NAP Implementando em um Remote VPN Soluo de Acesso

Exerccio 1: Configurando Components NAP

Tarefa 1: Configurar um Certificado de Computador

1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e, e m em seguida, clique Autoridade de Certificao.

2. Em o console de gerenciamento certsrv, expanda ContosoCA, Templates direito -clique em Certificado de, e, em seguida, selecione Gerenciar a partir de o menu de contexto.

3. Em o Templates Console Certificado detalhes Computer painel de, right-click e seguida, escolha Propriedades a partir de o menu de contexto.

4.

Clique em na guia Segurana na caixa de dilogo Computer Propriedades e em segu

ida, selecione Authenticated Users.

5. Em os Permisses para Usurios Autenticados, selecione o caixa de verificao Permi tir para o Enroll permisso e em seguida, clique OK.

6. Feche a Certificado Console Modelos e em seguida, feche o console de gerenc iamento certsrv.

Task 2: Configurar NYC-edge1 com NPS funcionando como um servidor poltica de sade

1.

Alterne para a computador NYC edge1-.

2. Obter o certificado de computador e instalar em NYC edge1-para do lado do s ervidor-de autenticao PEAP:

uma. Clique em Iniciar, clique em Executar, tipo mmc, e em seguida, pressi one ENTER.

b. On o menu Arquivo, clique em Adicionar / Remover Snap-in.

C. " Na caixa de dilogo Adicionar ou Remover Snap ins-, clique em Certifica dos, clique em Adicionar, selecione Computador conta, clique em Avanar, e, em seguida, clique em Concluir.

d. Clique em OK para fechar a Adicionar ou Remover Snap ins-caixa de dilogo .

e. Na rvore de console, expanda Certificados, right-click ponto, Personal p ara Todas as Tarefas, e em seguida, clique Solicite Novo Certificado.

F. O Certificado caixa de dilogo Enrollment abre. Clique em Avanar.

g. On o Select pgina de Poltica de Certificate Enrollment, clique em Diretiv a de Enrollment Active Directory e, em seguida, clique em Avanar.

h.

Selecione a caixa de seleo Computer e em seguida, clique Enroll.

i. Verificar o status dos instalao do certificado como Sucedido e, em seguid a, clique em Concluir.

j.

Feche a janela Console1.

k. Clique em No quando solicitado a salvar configuraes do console. ----------------------- Pgina 702----------- -----------L7-2 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto

3.

Instale o funo de Servidor de NPS:

uma.

On NYC-edge1, alterne para Gerenciador do Servidor.

b. Clique em Roles, e em seguida, sob Resumo de Funes, clique em Adicionar Funes e, em seguida, clique em Avanar.

C. " Selecione o Diretiva de Rede Servios de Acesso e caixa de v erificao e, em seguida, clique em Avanar duas vezes.

d. Selecione o Servidor de e Diretiva de Rede de Acesso Remoto caixas de seleo de Servio, clique em Avanar, e , em seguida, clique em Instalar.

e. em Fechar.

Verifique se a instalao foi bem-sucedida e, em seguida, clique

f.

Feche a janela do Gerenciador de Server.

4.

Configurar o NPS como um servidor de poltica de NAP sade:

uma. Clique em Iniciar, apontar para Ferramentas Administrativa s, e, em seguida, clique em Servidor de Diretiva de Rede.

b. Expandir Proteo de Acesso Rede, expanda Validators de Integrid ade do Sistema, expanda Windows De Segurana da Sade Validator, e, em seguida, clique em Config uraes.

c. que em.

No painel direito sob Nome da Configurao Default, faa duplo cli

d. On a seleo Windows Vista 7/Windows, desmarque todas as caixas de de seleo, exceto o firewall A habilitado para tudo caixa de seleo rede conexes.

e. Clique em OK para fechar a de Segurana do Windows Sade caixa d e dilogo Validator.

5.

Configurar polticas de sade:

uma.

Expanda Diretivas.

b. que em Novo.

Polticas o boto direito do clique em de Sade e, em seguida, cli

c. Em o New caixa de Sade de dilogo Criar Poltica de, sob o nome d e Poltica de, Compliant tipo.

d. Sob verificaes de Cliente SHV, verifique se Cliente passa toda s as verificaes de SHV est selecionado.

e. Sob SHVs utilizados neste poltica de sade, selecione o de Segu rana do Windows Sade Validator verificar caixa.

F.

Clique em OK.

g. que em Novo.

Polticas o boto direito do clique em de Sade e, em seguida, cli

h. Em o New caixa de Sade de dilogo Criar Poltica de, sob Nome da Poltica, digite no aderentes.

i. Sob verificaes de Cliente SHV, Client select falhar uma ou mai s verificaes SHV.

j. Sob SHVs utilizados neste poltica de sade, selecione o de Segu rana do Windows Sade Validator verificar BOX:

k.

Clique em OK.

6.

Configurar diretivas de rede para os computadores compatveis:

uma.

Assegure-se que Polticas expandido.

b.

Clique em Diretivas de Rede.

c. Desativar as polticas padro dois encontrados sob Nome da Poltic a por direito-estalando as polticas e, em seguida, clicando em Desativar.

d.

Polticas o boto direito do Clique em Rede e, em seguida, cliqu

e em Novo. ----------------------- Pgina 703----------- -----------Lab: Implementand o NAP em um Soluo de Acesso VPN Remoto L7-3

e. Em o Nome da Poltica Specify Rede E janela Tipo de Conexo, sob o nome de Poltica de tipo, Compliant-Full Access-e, em seguida, clique em Avanar.

f.

Na janela Condies Specify, clique em Adicionar.

g.

Na caixa de Select condio de dilogo, faa duplo clique em Polticas de Sade.

h. Na caixa de dilogo Sade Polticas, em As polticas de sade, selecione Complia nt, e em seguida, clique OK.

i. Na janela Condies Specify, verifique que Poltica de Sade especificado sob Condies com um valor de Compliant e, em seguida, clique em Avanar.

j. Na janela Permission Specify Access, verificar que o Access concedido est selecionado.

k.

Clique em Avanar trs vezes.

l. Na janela Configuraes de Configurar, clique em Enforcement NAP. Verifiqu e se Permitir de rede completo de acesso est selecionado e, em seguida, clique em Avanar.

m.

Na janela Diretiva de Completando New Network, clique em Concluir.

7.

Configurar diretivas de rede para computadores no compatveis:

uma. o.

Polticas o boto direito do Clique em Rede e, em seguida, clique em Nov

b. Em o Nome da Poltica Specify Rede E janela Tipo de Conexo, sob o nome de Poltica de tipo, No-complacente-Restricted e, em seguida, clique em Avanar.

c.

Na janela Condies Specify, clique em Adicionar.

d.

Na caixa de Select condio de dilogo, faa duplo clique em Polticas de Sade.

e. Na caixa de dilogo Sade Polticas, em As polticas de sade, selecione no adere nte e em seguida, clique OK.

F. Na janela Condies Specify, verifique que Poltica de Sade especificado sob Condies com um valor de no aderente e, em seguida, clique em Avanar.

g. Na janela Permission Specify Access, verificar que o Access concedido est selecionado.

Observe Uma configurao de Acesso concedido no significa que os clientes fora de conformidade so concedidos acesso total rede. Ele especifica que a poltica deve continuar a avaliar os clientes que os coincidir com estas condies.

h.

Clique em Avanar trs vezes.

i. Na janela Configuraes de Configurar, clique em Enforcement NAP. Selecion e Permitir que acesso limitado e remover a caixa de seleo ao lado de Ativar auto remediao-de computadores c lientes.

j.

Na janela Configuraes de Configurar, clique em Filtros de IP.

k.

Sob IPv4, clique em Filtros de Entrada e, em seguida, clique em Novo.

2. Na caixa de dilogo Add IP de Filtro, selecione rede de Destino. Digite 10.10.0.10 prximo ao endereo IP e em seguida, digite 255.255.255.255 ao lado de mscara de de sub-rede. Esta etapa garante que o trfego a partir de clientes fora de conformidade pode alcangar somente NYC DC1-.

m. Clique em OK para fechar a caixa de de dilogo Adicionar IP Filtro de e em seguida, selecione Permitir apenas os pacotes listados abaixo na a caixa de Inbound de dilogo Filtros de.

n.

Clique em OK para fechar a caixa de de dilogo Inbound Filtros.

----------------------- Pgina 704----------- -----------L7-4 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto

o. Novo.

Sob IPv4, clique em Filtros de sada e, em seguida, clique em

p. Na caixa de dilogo Add IP de Filtro, selecione rede Source. D igite 10.10.0.10 prximo ao endereo IP e em seguida, digite 255.255.255.255 ao lado de mscara de de su b-rede.

q. Clique em OK para fechar a caixa de de dilogo Adicionar IP Fi ltro de e em seguida, selecione Permitir apenas os pacotes listados abaixo na caixa de Outbound de dilogo Filtros de. Esta etapa garante que o trfego apenas a partir de NYC-DC1 pode ser enviado aos clientes no compatveis.

r.

Clique em OK para fechar a caixa de de dilogo Outbound Filtro

s.

s.

Na janela Configuraes de Configurar, clique em em Avanar.

T luir.

Na janela Diretiva de Completando New Network, clique em Conc

8.

Configure as polticas de de solicitao de conexo:

uma.

Clique em Diretivas solicitao de conexo.

b. Desativar a diretiva padro de de solicitao de conexo que encontr ado sob Nome da Poltica por direito-clicking a poltica e em seguida, clicando Desativar.

C. " em Novo.

Right-click Polticas solicitao de conexo e, em seguida, clique

d. Em o Specify Nome da Poltica Connection Request E janela Tipo de Conexo, ao abrigo da Poltica tipo de nome, as conexes VPN.

e. Em Tipo de de servidor de acesso de rede, selecione Remote A ccess Server (VPN-Dial up) e, em seguida, clique em Avanar.

f.

Na janela Condies Specify, clique em Adicionar.

g. Na janela Condio Select, faa duplo clique em Tipo Tunnel, selec ione PPTP, SSTP, e L2TP. Clique OK e, em seguida, clique em Avanar.

h. Em o Specify janela Forwarding Connection Request, verificar que Authenticate solicitaes sobre

este servidor est selecionado e, em seguida, clique em Avanar.

i. Na caixa Especifique janela Mtodos de Autenticao, selecione Sub stituir de autenticao poltica de rede configuraes.

j. Em Tipos de de EAP, clique em Adicionar. Na caixa de dilogo A dd EAP, sob Os mtodos de autenticao, clique em Microsoft: Protected EAP (PEAP) e em seguida, clique OK.

k. Em Tipos de de EAP, clique em Adicionar. Na caixa de dilogo A dd EAP, sob Os mtodos de autenticao, clique em Microsoft: senha Secured (EAP-MSCHAP v2) e em seguida, cliqu e OK.

2. Em Tipos de EAP, clique em Microsoft: Protected EAP (PEAP) e , em seguida, clique em Editar.

m. Verifique se Proteo de Acesso Enforce Network est selecionado e em seguida, clique OK.

n. .

Clique em Avanar duas vezes e, em seguida, clique em Concluir

9.

Feche a Consola de rede Policy Server.

----------------------- Pgina 705----------- -----------Lab: Implementando NAP em um Soluo de Acesso VPN Remoto L7-5

Task 3: Configurar NYC-edge1 com o Routing e Remote Access Service (RRAS) que est configurado como um servidor VPN

1. On NYC-edge1, clique em Iniciar, aponte para Ferramentas Administrativas e, em em seguida, clique Routing and Remote

Acesse.

2. Em o servio Roteamento e console de Acesso Remoto, right-click NYC-edge1 (lo cal) e, em seguida, clique em Configurar e Ativar Roteamento e Acesso Remoto. Isso inicia o Roteamento e Server Setu p Remote Access Feiticeiro

3. Clique em Avanar, o acesso select remoto (dial-up-ou VPN), e, em seguida, cl ique em Avanar.

4.

Selecione a caixa de seleo VPN e, em seguida, clique em Avanar.

5. Clique em a interface de rede chamado Pblica. Desmarque a Ativar segurana na interface selecionada por definindo up filtros de pacotes estticos caixa de verificao e, em seguida, cli que em Avanar. Isso garante que de NYC edge1-ir ser capaz de executar ping NYC DC1-quando ele anexado sub-rede Internet sem exi gir que voc configurar adicionais filtros de pacotes para Internet Message Control Protocol trfego (ICMP).

6. On a pgina IP Address Assignment, selecione De um intervalo especificada de endereos e em seguida, clique PRXIMA

7. On a pgina Atribuio de Endereo Faixa de, clique em Novo. Digite 10.10.0.100 prxi ma para Iniciar endereo IP e 10.10.0.110 prxima para Acabar com a endereo IP, e em seguida, clique OK. V erifique que 11 endereos IP foram atribudo para clientes remotos e, em seguida, clique em Avanar.

8. On o Gerenciando Remoto pgina Multiple Access Servers, garantir que No, usar o Roteamento e Remote Access para autenticar solicitaes de conexo j est selecionado e, em segui da, clique em Avanar.

9.

Clique em Concluir.

10. Clique em OK duas vezes e esperar para o Routing e Remote Access Service pa ra comear.

11. Em o Servidor de Diretiva de Rede, clique no Connection Request n Diretivas de e desativar o Microsoft De Roteamento e da Poltica do Remote Service Access. Este foi criado automat icamente quando Roteamento e Acesso Remoto foi habilitado.

12. Clique em Diretivas solicitao de conexo, e no painel de resultados, right-cliq ue no Routing Microsoft e Poltica de Servio de Remote Access e, em seguida, clique em Desativar.

13. Feche a Network Policy console de gerenciamento Server.

14. Feche o roteamento e acesso remoto.

Tarefa 4: Permitir ping sobre NYC-edge1

1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em em seguida , clique o Firewall do Windows com Advanced De Segurana.

2. Clique em Regras de Entrada, clique-direito Regras de Entrada e, em seguida , clique em Nova Regra.

3.

Selecione Personalizada e, em seguida, clique em Avanar.

4.

Selecione Todos os programas e, em seguida, clique em Avanar.

5. Em Avanar para Tipo de protocolo, selecione ICMPv4 e, em seguida, clique em Personalizar.

6. Selecione Tipos especficos de ICMP, selecione o Echo caixa de seleo Request, c lique em OK, e, em seguida, clique em Avanar.

7.

Clique em Avanar para aceitar o escopo padro.

----------------------- Pgina 706----------- -----------L7-6 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto

8. Na janela Ao, verificar que Permitir a conexo est selecionado e, em seguida, clique em Avanar.

9.

Clique em Avanar para aceitar o perfil padro.

10. Na janela Nome, sob Nome, tipo solicitao de eco ICMPv4 e, em segui da, clique em Concluir.

11. Feche a Firewall do Windows com Advanced console de de Segurana.

Resultados: No final de este exerccio, voc vai ter configurado e habili tado um esquema de NAP VPN-enforced. ----------------------- Pgina 707----------- -----------Lab: Implementando NAP em um Soluo de Acesso VPN Remoto L7-7

Exerccio 2: Configurando Configuraes de cliente para suportar NAP

Tarefa 1: Configure Security Center

1.

Alterne para a computador NYC CL1-.

2.

Configurar NYC-CL1 de modo que Central de Segurana est sempre habilitada:

uma. Clique em Iniciar, apontar para Todos os Programas, clique em Acessri os e, em, em seguida, clique em Executar.

b.

Tipo gpedit.msc e em seguida, pressione ENTER.

C. " Na rvore de console, clique em Local Configurao do Computador Poltica de / Computer / Administrativo Templates / Windows Components / de Segurana Center.

d. Faa duplo clique em Ligue Security Center (PCs de Domnio apenas), clique em Ativado, e em seguida, clique OK.

e.

Feche o Editor do Diretiva de Grupo Local.

Tarefa 2: Habilitar imposio de NAP cliente

1.

Habilitar o controle remoto-acesso, cliente de quarentena-execuo:

uma. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em, em seguida, clique em Executar.

b.

Tipo napclcfg.msc e em seguida, pressione ENTER.

c.

Na rvore de console, clique em Clientes Enforcement.

d. No painel de detalhes, right-clique em Cliente Enforcement EAP Quarant ine e, em seguida, clique em Ativar.

e.

Feche a NAP janela de Configurao do Cliente.

2.

Habilitar e iniciar o servio do agente NAP:

uma. Clique em Iniciar, clique em Painel de de Controle, clique em Sistem a e de Segurana, e em seguida, clique Ferramentas Administrativas.

b.

Double-clique em Servios.

C. "

Em o Servios lista faa duplo clique em Agente de Rede, Proteo de Acesso .

d. Em o Proteo de Acesso caixa de Network Agent de dilogo Propriedades, alte rar o tipo de de inicializao para Automatic e, em seguida, clique em Iniciar.

e. ue OK.

Aguarde at que o servio de agente de NAP para iniciar e em seguida, cliq

f. Feche o console Servios e em seguida, feche os Ferramentas Administrati vas e de Sistema de e Segurana janelas.

Tarefa 3: Mova o cliente para o Internet

1.

Configurar NYC CL1-para o segmento de rede Internet:

uma. Clique em Iniciar, clique em Painel de de Controle, e, em seguida, c lique em Rede e Internet.

b.

Clique em Central de de Rede e Compartilhamento.

c.

Clique em Alterar configuraes do adaptador.

d. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em P ropriedades.

e. Clique em Verso Internet Protocol 4 (TCP/IPv4) e, em seguida, clique em Propriedades. ----------------------- Pgina 708----------- -----------L7-8 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto

F. Clique em Usar o seguinte endereo IP. Prximo endereo para IP, t ipo 131.107.0.20. Em Avanar para de sub-rede tipo de mscara, 255.255.0.0. No configure o gateway Default.

g.

Clique em Usar os seguintes endereos de servidor de DNS.

h. Clique em OK e, em seguida, clique em Fechar para fechar a Conexo de rea Local 3 caixa de dilogo Propriedades.

i.

Feche a janela Conexes de rede.

2.

Verifique conectividade de rede para NYC-CL1:

uma. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em, em seguida, clique em Executar.

b.

Tipo cmd e em seguida, pressione ENTER.

c. ressione ENTER.

Na linha de comandos tipo, prompt de de ping 131.107.0.2 e p

d. ".

Verifique que a resposta l "Responder a partir de 131.107.0.2

e.

Feche a janela de comando.

Task 4: Criar um VPN sobre NYC-CL1

1.

Configurar uma conexo VPN:

uma. Clique em Iniciar, clique em Painel de de Controle, e, em seguida, clique em Rede e Internet.

b.

Clique em Central de de Rede e Compartilhamento.

c.

Clique em Definir up uma nova conexo ou rede.

d. Na pgina Escolher uma uma opo de conexo, clique em Conectar a um local de trabalho e, em seguida, clique em Avanar.

e. On o Como voc quer que para se conectar pgina, clique em Usar minha conexo Internet (VPN).

f.

Clique em eu vou configurar uma conexo Internet mais tarde.

g. On o Tipo de o endereo Internet para se conectar a pgina, prxim o a Tipo de Internet endereo, 131.107.0.2. Em Avanar para nome Destino, digite Contoso VPN. Selecione as as pessoas permitem que outros para usar esta caixa de verificao de conexo e, em seguida, clique em Avanar.

h. On o Tipo de seu nome de usurio e pgina de senha, administrado r prximo tipo para Nome de usurio e tipo Pa $ $ w0rd prxima para Senha de. Selecione o Lembre-se de esta caixa de seleo senha tipo, Contoso ao lado de de Domnio (opcional), e, em seguida, cliqu e em Criar.

i.

On The conexo pronto para usar pgina, clique em Fechar.

j. Na janela Centro de Rede E Compartilhamento, clique em Alter ar configuraes do adaptador.

k. O boto direito do clique no Contoso conexo VPN, clique em Prop riedades, e em seguida, clique na guia Segurana.

2. (EAP).

Em Autenticao, clique em Usar Protocolo de Autenticao Extensible

m. Em o Microsoft: senha Secured (EAP-MSCHAP v2) (enabled cript ografia) lista, clique em Microsoft: Protected EAP (PEAP) (criptografia ativada) e, em seguida, clique em Propriedades.

n. Certifique-se de que o Validar servidor caixa de seleo certifi cado j est selecionado. Desmarque a Conectar-se a esses servidores caixa de verificao, e, em seguida, garantir q ue a senha Secured (EAP-MSCHAP v2) j selecionado sob Mtodo de Autenticao Select. Desmarque a caixa d e de seleo Ativar Fast Reconnect e seguida, selecione o Enforce de Acesso Rede caixa de seleo Pro teo.

o.

Clique em OK duas vezes para aceitar essas configuraes.

----------------------- Pgina 709----------- -----------Lab: Implementand o NAP em um Soluo de Acesso VPN Remoto L7-9

2.

Teste a conexo VPN:

uma. Na janela Conexes de Rede, direito-clique no Contoso conexo VPN e em se guida, clique Conectado

b.

Na janela Connect VPN Contoso, clique em Conectar.

C. " Voc so apresentados com uma janela Alert de Segurana do Windows a prime ira vez que esta conexo VPN usado. Clique em Detalhes e verificar que os estados de Certificado de Informao que o certificado foi emitidos para NYC edge1-.Contoso.com por ContosoCA. Clique em Conectar.

d. Aguarde at que o conexo VPN para ser feita. Porque NYC-CL1 compliant, el e deve ter acesso ilimitado a a sub-rede intranet.

e. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em em seguida, clique Command Prompt.

F. Ipconfig Tipo / all e visualizar a configurao IP. Estado do Sistema Quar antine deve No ser Restrito.

g. Na janela de comando, digite ping 10.10.0.10 e em seguida, pressione E NTER. Este deve ser bem sucedido. O cliente agora atende ao requisito para VPN conectividade total.

h.

Desconecte-se da VPN Contoso.

3. Configurar de Segurana do Windows Sade Validator para exigir um aplicativo an tivrus:

uma.

On NYC-edge1, Server Poltica de aberto de Rede.

b. Expandir Proteo de Acesso Rede, expanda Validators de Integridade do Sis tema, expanda Windows De Segurana da Sade Validator, e, em seguida, clique em Configuraes.

C. "

No painel direito sob Nome da Configurao Default, faa duplo clique em.

d. check

On a seleo Windows Vista 7/Windows, selecione o aplicativo Um antivrus no caixa de e em seguida, clique OK.

4.

Verifique se o cliente colocada sobre a rede restrita:

uma. On NYC-CL1, na janela Conexes de Rede, direito-clique no VPN Contoso e em seguida, clique Conectar.

b.

Clique em Conectar.

c. Aguarde at que o conexo VPN para ser feita. Verifique que uma mensagem a parece em o Centro de Aco informando que o computador no atender normas de segurana.

d. Clique em Iniciar, clique em Todos os Programas, clique em Acessrios e, em em seguida, clique Command Prompt.

e. Ipconfig Tipo / all e visualizar a configurao IP. Estado do Sistema Quar antine deve ser Restrito.

O cliente no atender os requisitos para o de rede, e, por conseguinte, colocada sobre a rede restrita.

f.

Desconecte o VPN Contoso.

Resultados: No final de este exerccio, voc vai ter habilitado e configurado uma VP N poltica de aplicao NAP para Contoso.

----------------------- Pgina 710----------- -----------L7-10 Lab: Implementando NAP em um Soluo de Acesso VPN Remoto

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguida , clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-edge1 e 6421B-NYC-CL1.

----------------------- Pgina 711----------- -----------L8-1

Mdulo 8: Aumentar a segurana para Windows Servers

Lab: Segurana Aumentando para o Windows Servidores

Exerccio 1: Implantando um Regra Firewall do Windows

Tarefa 1: Criar um objeto Diretiva de Grupo com uma regra de firewall

1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e, e m clique em Gerenciamento de Diretiva de Grupo.

2. Na janela Gerenciamento do Grupo de Poltica, expanda Forest: Contoso.com, ex panda Domains, e clique em Contoso.com.

3. O Direito-clique Contoso.com e clique em Criar um GPO neste de domnio, e Vin cular-lo aqui.

4.

Na janela GPO New, na caixa de Nome, Firewall tipo e clique em OK.

5. On o Grupo de Poltica Linked Objects Firewall guia, right-click e clique em Editar.

6. Em do Grupo janela do Editor de Poltica de Gesto de, expanda Configurao do Comp utador, expanda Diretivas, expanda Configuraes do Windows, expanda Configuraes do de segurana, expanda o Fi rewall do Windows com Advanced De Segurana, expanda o Firewall do Windows com Segurana Avanada, e clique em R egras de Entrada.

7.

O boto direito do clique em Regras de Inbound e clique em Nova Regra.

8. Na janela do Assistente Inbound de Nova Regra de, clique em Porta e clique em Avanar.

9. On a pgina Protocolo e Portas, clique em TCP e clique em Portas locais especf icas.

10. Na caixa de portos Especfico local, digite 10005 e, em seguida, clique em Av anar.

11. Na pgina Ao de, confirmar que Permitir a conexo est selecionado e clique em Avana r.

12. On a pgina Perfil, desmarque as caixas de seleo Privadas e Public e, em seguid

a, clique em Avanar.

13. Na pgina Nome da, na caixa Nome do, Monitoramento tipo e, em seguida, clique em Concluir.

Tarefa 2: Aplicar configuraes de Diretiva de de Grupo para NYC-SVR1

1.

On NYC-SVR1, abra um prompt de comando.

2. Na linha de comandos tipo, prompt de gpupdate / force e em seguida, pression e ENTER.

3.

Feche a janela de comando sobre NYC-SVR1.

Tarefa 3: acesso de Teste para o cliente monitoramento

1. On NYC-DC1, clique em Iniciar, aponte para Todos os Programas, e clique em Explorador de Internet.

2. Em o Explorador de endereo http://nyc-svr1.contoso.com/status.xml Internet b ar tipo, e pressione ENTER.

Resultados: Aps Neste exerccio, voc deveria ter criado um regra Firewall do Windows que permite a comunicao para portar 10005. ----------------------- Pgina 712----------- -----------L8-2 Mdulo 8: de Segurana Aumentando para Windows Servers

Exerccio 2: Implementando WSUS

Tarefa 1: Criar um GPO para configurar clientes do WSUS

1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrat ivas e, em clique em Gerenciamento de Diretiva de Grupo.

2. Na janela Gerenciamento do Grupo de Poltica, boto direito do mouse Contoso.com e clique em Criar um GPO neste de domnio, e Vincular-lo aqui.

3.

Na janela GPO New, na caixa de Nome, WSUS tipo e clique em OK.

4. On o Grupo de Poltica Linked Objects WSUS guia, right-click e cliqu e em Editar.

5. Em do Grupo janela do Editor de Poltica de Gesto de, expanda Config urao do Computador, expanda Diretivas, expanda Modelos Administrativos, expanda Componentes do Windows, e , em seguida, clique em Windows Atualizar.

6. omticas.

No painel de detalhes, faa duplo-clique em Configurar Atualizaes Aut

7. .

Na caixa de dilogo Configurar Automatic Updates, clique em Ativado

8. Em o Configure lista atualizando drop-down automtico, clique em 4 - download Auto e agendar a instalar e em seguida, clique Setting em Avanar.

9. On o Microsoft intranet pgina Specify local de atualizao servio, selec ione Ativado.

10. Sob Defina o intranet servio de atualizao para a deteco de atualizaes e sob Defina o intranet estatsticas servidor, tipo http://NYC-SVR1 nas caixas de texto e em seguida, clique Setting em Avanar.

11. On o Automatic pgina freqncia Updates deteco, clique em Ativado e em se guida, clique OK.

12. Feche a Grupo Editor de Gerenciamento de Poltica de e do Grupo de C onsole de Gerenciamento de Diretiva.

13. Clique em Iniciar, cmd tipo, e pressione ENTER.

14. No prompt de comando, tipo gpupdate / force e pressione ENTER.

15. Na linha de comandos tipo, prompt de wuauclt / detectnow e pressi one ENTER.

16. Feche a prompt de de comando.

Task 2: Rever os definies de configurao para um servidor WSUS

1. On NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administra tivas e, em clique em Windows Server Update Servios.

2.

Na janela Servios Update, no painel esquerdo, clique em Opes.

3.

Leia a lista de opes disponveis para de configurao.

Tarefa 3: Criar um grupo computador para servidores

1. On NYC-SVR1, na janela Servios Update, no painel esquerdo, expanda Computadores, expanda All Computadores, e clique em Todos os Computadores.

2.

No painel Aes, clique em Adicionar Grupo de Computadores.

3. Na janela Add Computer Group, na caixa de Nome, Servers tipo HO e clique Adicionar.

4. Clique no grupo de computador Unassigned Computadores.

5. No painel de centro, na caixa de Status, selecione Qualquer e em seguida, clique Refresh. ----------------------- Pgina 713----------- -----------Lab : Segurana Aumentando para Windows Servers L8-3

6.

Right-click NYC-DC1.contoso.com, e clique em Membership Alterar.

7. Em o Set caixa de Membership Computer Group, selecione os Servers HO caixa de verificao e clique em OK.

Tarefa 4: Ver o relatrio atualizao para NYC-DC1

1. On NYC-SVR1, na janela Servios Update, clique no HO grupo de computadores Se rvers.

2. No painel de centro, na caixa de Status, selecione Qualquer e em seguida, c lique Refresh.

3.

Right-click nyc dc1.contoso.com-e clique em Relatrio de Status.

4. Leia o Resumo Status for nyc-dc1.contoso.com. Repare que quatro atualizaes de no tenham sido instalados.

5. No topo da o relatrio, ao lado Incluir as atualizaes que tm um status de, cliqu e em Qualquer.

6. Na janela Status de Atualizao Choose, desmarque todas as caixas de de seleo, ex ceto Needed e em seguida, clique OK.

7.

No menu de cima, clique em Executar Relatrio.

8. Clique no seta para a direita para visualizar a pgina segundo ponto do relatr io.

9.

Leia o lista de atualizaes que so necessrios. Repare que eles no so aprovados.

10. Deixe este relatrio aberto para a prxima tarefa.

Tarefa 5: Aprovar uma atualizao para o grupo HO computador Servers

1. On NYC-SVR1, no Relatrio de Computadores para NYC-SVR1, para a primeira atua lizao listado, clique em No aprovado.

2. Na janela Updates Aprovar, clique em na seta para baixo para a esquerda de Servers HO e clique em Aprovado for Install.

3. Leia a mensagem de aviso na parte inferior da o Window. Este arquivo no baix ado devido de configurao de o ambiente de laboratrio.

4.

Clique em OK.

5. Em a janela Progresso de Aprovao, leia as aes que foram cantadas e, em seguida, clique em Fechar.

6.

Feche todas as janelas abertas.

Observe Observe que um mensagem exibida informando que o atualizao aprovada

, mas deve ser baixado para completar. Isto devido ao a configurao do o ambiente de laboratr io.

Resultados: Aps Neste exerccio, voc deveria ter aprovado uma atualizao para NYC DC1-.

Preparao para o prximo mdulo

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes passos:

1.

On o computador host, iniciar Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para SVR1-6421B-NYC.

----------------------- Pgina 714----------- -----------L8-4 Mdulo 8: de Segurana Aumentando para Windows Servers

----------------------- Pgina 715----------- -----------L9-1

Mdulo 9: Aumentar a segurana para comunicao em rede

Lab: Segurana Aumentando para a Rede Comunicao

Exerccio 1: Selecionando um de Configurao de Segurana Rede

Tarefa 1: Leia o Research documento segurana do aplicativo

Leia o Research documento de segurana aplicativo localizado em tarefa 2 em o docu mento mdulo principal.

Tarefa 2: Atualize o documento de proposta com seu curso planejada de ao

Responda s perguntas em o documento de segurana Research aplicao.

Research segurana do aplicativo

Nmero Documento de Referncia: GW1605 / 1

Documento Autor Charlotte Weiss Data dia 16 de Maio

Viso geral Requisitos Contoso Ltd. tem implementou uma aplicao de Research novo web-based que contm confidencial informao, tais como informaes sobre o produto. Para melhorar a segurana, voc dev e:

1. Crie uma regra de segurana de conexo que autentica os computadores em o Research Departamento de Gastos

2. Criar um regra de firewall que assegura computadores apenas autenticad os a partir do Research departamento de TI pode acessar o aplicativo.

Informaes Adicionais

1. O aplicativo existe em NYC SVR1-.

2. O aplicativo no est configurado para usar SSL.

3. NYC-SVR1 e NYC-CL1, ambos os computadores em o departamento de Resear ch, so armazenados em o AD Computadores DS de contineres.

Propostas

1.

Como voc vai realizar requisito 1?

Resp.:

Configurar um Regra de Segurana Connection que requer autenticao Kerberos para conexes para TCP porta 80 (servidor Web).

Restringir de autenticao para usurios especficos e computadores.

2.

Como voc vai realizar requisito de 2?

Resposta: Crie uma regra de firewall que permite a comunicao sobre a por ta 80 se autenticado. ----------------------- Pgina 716----------- -----------L9-2 Mdulo 9: de Segurana Aumentando para a Comunicao Rede

Research segurana do aplicativo

3. Esto l quaisquer tarefas adicionais que voc deve executar?

Resposta:

Criar uma GPO que vinculada UO Research.

Configure a regra de de Segurana Connection e Regra Firewal l como parte de esta poltica.

Mova tanto NYC-SVR1 e NYC-CL1 UO Research.

Refresh o GPO em os computadores cliente a partir de NYC D C1-.

Tarefa 3: Examine os propostas sugeridas em a Chave de Resposta Lab

Compare seu soluo para o soluo proposta em o documento de segurana Research aplicao em o Lab Key Resposta. Esteja preparado para discutir sua soluo com a cl asse.

Resultados: No final de Neste exerccio, voc ter selecionado uma configurao de IPsec adequado para apoiar o necessidades do departamento de pesquisa. ----------------------- Pgina 717----------- -----------Lab: Segurana A umentando para Rede de Comunicao L9-3

Exerccio 2: Configurando IPsec para Authenticate Computadores

Tarefa 1: Mova o NYC-SVR1 e NYC-CL1 computadores para a UO Research

1. Mudar para NYC DC1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e em seguida, c lique Directory Usurios e Computadores do Active.

3. Em Usurios do Active Directory e Computadores do, expanda Contoso.com e, em s eguida, clique em Computadores.

4. Right-click NYC CL1-e, em seguida, clique em Mover.

5. Na caixa de de dilogo Mover, clique em Research e em seguida, clique OK.

6. Right-click NYC-SVR1 e, em seguida, clique em Mover.

7. Na caixa de de dilogo Mover, clique em Research e em seguida, clique OK.

8. No painel de navegao, clique em Research.

Tarefa 2: Criar um GPO e link para o UO Research

1. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciamento de Diretiva de Grupo.

2. Em Gerenciamento do a Diretiva de Grupo, expanda Forest: Contoso.com, expand a Domnios, expanda Contoso.com, e em seguida, clique Research.

3. Right-click Research e, em seguida, clique em Criar um GPO neste de domnio, e vincul-lo aqui.

4. Na caixa de New de dilogo GPO, na caixa de Nome, de Segurana tipo Departamento de Pesquisa Aplicao Poltica de e em seguida, clique OK.

Task 3: Criar o regra de segurana de exigido conexo

1. Em Gerenciamento do a Diretiva de Grupo, expanda Research.

2. Right-click Departamento de Pesquisa Poltica de Segurana Aplicao e, em seguida, clique em Editar.

3. No Grupo Editor de Gerenciamento de Poltica de, sob Configurao do Computador, e xpanda Diretivas, expanda Configuraes do Windows, expanda Configuraes de segurana, expanda Firewall Window s com Segurana Avanada, expanda Firewall do Windows com Segurana Avanada - LDAP :/ / CN = {GUID}, e e m seguida, clique De Segurana Regras de Conexo.

4. O boto direito do mouse em Regras de Segurana de Conexo e, em seguida clique em Nova Regra.

5. Em o New Assistente de Regra de de Segurana de Conexo, na pgina de Tipo de Regr a, clique em Personalizado e em seguida, clique Proximo.

6. On a pgina Endpoints, clique em Avanar.

7. Na pgina Requisitos de, clique em Exigir de autenticao para conexes de entrada e de solicitao de autenticao para conexes de sada e, em seguida, clique em Avanar.

8. On o pgina Mtodo de Autenticao, clique em Computador e usurio (Kerberos V5) e, em seguida, clique em Avanar.

9. On o Protocolo e pgina Portas, na lista Tipo de Protocolo, clique em TCP.

10. Na lista porta Endpoint 1, clique em Portas Especficas e na caixa de texto, d igite 80 e, em seguida, clique em Avanar.

11. On a pgina Perfil, desmarque as caixas de seleo Privadas e Public e, em seguida , clique em Avanar.

12. Na pgina Nome da, no Nome, tipo caixa de regra Research Departamento de Segur ana Aplicao e , em seguida, clique em Concluir. ----------------------- Pgina 718----------- -----------L9-4 Mdulo 9: de Segurana Aumentando para a Comunicao Rede

Tarefa 4: Criar a regra de firewall

1. No Grupo Editor de Gerenciamento de Poltica de, clique em Regras d e Entrada.

2. O boto direito do clique em Regras de Inbound e, em seguida, cliqu e em Nova Regra.

3. Em o Assistente de Nova Regra de Entrada, na pgina de Tipo de Regr a, clique em Personalizado e, em seguida, clique em Avanar.

4. Na pgina Programa, clique em Avanar.

5. On o Protocolo e pgina Portas, na lista Tipo de Protocolo, clique em TCP.

6. Na lista Porta local, clique em Portas Especficas e na caixa de te xto, digite 80 e, em seguida, clique em Avanar.

7. On a pgina mbito de aplicao, clique em Avanar.

8. Na pgina Ao de, clique em Permitir a conexo se-lo seguro e, em seguid a, clique em Personalizar. Garantir que Permitir a conexo se ele autenticado e integridade-protegida e st selecionado e clique OK.

9. Clique em Avanar.

10. On a pgina de Usurios, clique em Avanar.

11. On a pgina Computadores, selecione Somente permitem conexes a parti r de esses computadores e, em seguida, clique em Adicionar.

12. Em os Selecionar computadores, ou grupos caixa de de dilogo, em ca ixa Digite os nomes de objeto para selecionar (Exemplos) caixa de, tipo NYC-CL1; NYC-SVR1, clique em Verificar Nomes, clique em OK, e, em seguida, clique em Avanar.

13. On a pgina Perfil, desmarque as caixas de seleo Privadas e Public e, em seguida, clique em Avanar.

14. Na pgina Nome da, no Nome, tipo caixa de regra Research Firewall D epartamento Aplicao e , em seguida, clique em Concluir.

Tarefa 5: Atualizar a Diretiva de do Grupo em computadores cliente

1. Mudar para NYC-CL1.

2. Clique em Iniciar, e na caixa de Pesquisar, digite cmd.exe e pres sione ENTER.

3. Em o comando prompt, digite o seguinte comando e em seguida, pres

sione ENTER:

Gpupdate / force

4. ssione ENTER:

Em o comando prompt, digite o seguinte comando e em seguida, pre

Shutdown / r

5. Alterne para NYC-SVR1.

6. Clique em Iniciar, e na caixa de Pesquisar, digite cmd.exe e pres sione ENTER.

7. Em o comando prompt, digite o seguinte comando e em seguida, pres sione ENTER:

Gpupdate / force

8. Em o comando prompt, digite o seguinte comando e em seguida, pres sione ENTER:

Shutdown / r

Resultados: No final de este exerccio, voc vai ter com sucesso configura dos o regra de segurana de conexo e regra de firewall que so necessria para garantir a aplicao departamento de Research. ----------------------- Pgina 719----------- -----------Lab: Segurana A umentando para Rede de Comunicao L9-5

Exerccio 3: Testing IPsec Authentication

Tarefa 1: Tentativa para se conectar a o servidor web sobre NYC-SVR1

1. Mudar para NYC-CL1.

2. Faa logon usando a as seguintes informaes:

Nome de usurio: Administrador

Senha: Pa $ $ w0rd

Domnio: Contoso

3. Na barra de tarefas, clique em Internet Explorer.

4. Na barra de Endereo, digite http://nyc-svr1 e pressione ENTER.

O padro IIS 7 monitores webpage.

Tarefa 2: Verifique as configuraes com o Windows Firewall com Segurana Avanada

1. Clique em Iniciar, e na caixa de Pesquisar, digite o Firewall do Windows com Segurana Avanada e imprensa ENTRE

2. No Windows Firewall com Segurana Avanada, no painel de navegao, expanda Monitora mento, expanda Associaes de Segurana, e, em seguida, clique em Modo de Main.

3. No painel direito, o dobro-clique no item listado.

4. O que o mtodo de autenticao First?

Resposta: Computer (Kerberos V5)

5. Clique em OK.

6. Expandir Modo Rpido.

7. No painel direito, o dobro-clique no item listado.

8. Qual a porta Remota?

Resposta: TCP 80

9.

Clique em OK.

Tarefa 3: Verifique as configuraes com Monitor de Segurana IP

1. Clique em Iniciar, e na caixa Pesquisar, mmc.exe tipo e em seguida, pression e ENTER.

2. Em Console1 - [Root Console] janela, clique em Arquivo e, em seguida, clique em Adicionar / Remover Snap-in.

3. Na caixa de dilogo Adicionar ou Remover Snap-ins, na o Snap-in lista, clique em Monitor de Segurana IP, clique em Adicionar, e em seguida, clique OK.

4. Expandir Monitor de Segurana IP, expanda NYC CL1-, expanda Modo de Main, e, e m seguida, clique em Segurana Associaes

5. No painel direito, o dobro-clique no item listado.

6. O que o mtodo de criptografia?

Resposta: None. Nenhuma criptografia foi exigido, meramente de autenticao. ----------------------- Pgina 720----------- -----------L9-6 Mdulo 9: de Segurana Aumentando para a Comunicao Rede

7. Feche todos os janelas abertas. No salve as alteraes para Console 1 .

Resultados: No final de este exerccio, voc vai ter verificado configuraes IPsec.

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inicial. Para fazer isso, completar o seguintes etapas:

1. On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em segui da, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 721----------- ------------

L10-1

Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso

Lab: Configurando e Soluo de problemas Network File e servios de impresso

Exerccio 1: Criando e Configurando um File Share

Tarefa 1: Crie a estrutura de pasta para a quota

1.

On NYC DC1-, clique em Iniciar e clique em Computador.

2. No Windows Explorer, faa duplo clique em Disk Local (C :) e clique em Nova p asta na barra de menu superior.

3. Compartilhar Tipo e pressione ENTER para renomear a pasta.

4.

Double-clique em Compartilhar e clique em Nova pasta.

5. De Marketing Tipo e pressione ENTER para renomear a pasta.

6.

Clique em Nova pasta.

7. De Produo Tipo e pressione ENTER para renomear a pasta.

Tarefa 2: Configure NTFS permisses em a estrutura da pasta

1.

On NYC-DC1, no Windows Explorer, navegue para C: \.

2.

Right-click Compartilhar e clique em Propriedades.

3. Na janela Propriedades Compartilhar, clique em na guia Segurana. Observe que os Usurios ter acesso de leitura ao Pasta Share.

4.

Clique em Cancelar.

5.

No Windows Explorer, faa duplo clique em Share.

6.

Right-click Marketing e clique em Propriedades.

7.

Na janela Propriedades Marketing, na guia Segurana, clique em Avanado.

8. Em os Configuraes de segurana avanadas Para janela Marketing, clique em Permisse s de Mudana.

9. Desmarque a Incluir permisses herdveis leo pai.

provenientes do deste objeto caixa de se

10. Na janela de segurana do Windows, clique em Adicionar.

11. Use Ctrl + clique para selecionar ambas as entradas para Usurios e, em segui da, clique em Remover.

12. Clique em OK duas vezes para fechar ambos os Configuraes de segurana avanadas Para janelas de Marketing.

13. Na janela Propriedades Marketing, clique em Editar.

14. Em os Permisses Para janela Marketing, clique em Adicionar, Marketing tipo, e clique em OK.

15. Com de marketing selecionados, clique em a opo Permitir que a permisso Modific ar e clique em OK.

16.

Em o de Marketing Propriedades janelas, clique em OK.

----------------------- Pgina 722----------- -----------L10-2 Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso

17. Right-click Produo e clique em Propriedades.

18. Na janela Propriedades de Produo, na guia de Segurana, clique em Ava nado.

19. Em os Configuraes de segurana avanadas Para janela Produo, clique em Pe rmisses de Mudana.

20 minutos. Desmarque a Incluir permisses herdveis objeto caixa de seleo pai.

provenientes do deste

21. Na janela de segurana do Windows, clique em Adicionar.

22. Use Ctrl + clique para selecionar ambas as entradas para Usurios e , em seguida, clique em Remover.

23.11 Clique em OK duas vezes para fechar ambos os Configuraes de segur ana avanadas Para janelas de Produo.

24. Na janela Propriedades de Produo, clique em Editar.

25. Em os Permisses Para janela Produo, clique em Adicionar, digite Prod uo e em seguida, clique OK.

26. Com de Produo selecionado, clique em a opo Permitir que a permisso Mo dificar e clique em OK.

27. Na janela Propriedades de Produo, clique em OK.

Tarefa 3: Crie o compartilhamento

1.

Em NYC-DC1, no Windows Explorer, navegue para C: \.

2.

Boto direito do mouse Compartilhar e clique em Propriedades.

3. Na janela Propriedades Share, na guia Compartilhamento, clique em Compartilhamento Avanado.

4. Na janela de Compartilhamento Avanado, marque a caixa Compartilhar esta seleo pasta e clique em Permisses.

5. Em os Permisses Para janela Share, com Todo mundo selecionado, sel ecione o Full Control Permitir permisso e clique em OK.

6.

Na janela de Compartilhamento Avanado, clique em OK.

7.

Na janela Propriedades de Compartilhamento, clique em Fechar.

8.

Feche o Windows Explorer.

Tarefa 4: Habilite o Acesso ao-Based Enumerao

1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e, em clique em Compartilhar e Armazenamento Gesto.

2.

Em Gerenciamento de Compartilhamento e de armazenamento, direita-

click Share, e clique em Propriedades.

3.

Na janela Propriedades de Compartilhamento, clique em Avanado.

4. Na janela Avanado, na guia Limites do Usurio, selecione a enumerao Ac cess-baseada em Ativar caixa de verificao e clique em OK.

5.

Na janela Propriedades de Compartilhamento, clique em OK.

6.

Feche Gerenciamento de Compartilhamento e Armazenamento.

----------------------- Pgina 723----------- -----------Lab: Configurando e Soluo d e problemas Network File e servios de impresso L10-3

Tarefa 5: Verifique que as permisses esto configurados corretamente

1. Em NYC-CL1, faa logon como Contoso \ Ado com a senha Pa $ $ w0rd. Adam um mem bro da Marketing.

2.

Clique em Iniciar, digite \ \ nyc-dc1 share \, e pressione ENTER.

3.

Leia as pastas que esto disponvel e faa duplo clique em de Marketing.

4. Direito do mouse em uma rea aberta, aponte para Novo e clique em Documento d e texto.

5.

Tipo AdamFile e pressione ENTER para renomear o arquivo.

6.

Feche o Windows Explorer.

Resultados: Aps este exerccio, voc deve criar e configurar um compartilhamento de a rquivo. ----------------------- Pgina 724----------- -----------L10-4 Mdulo 10: Configurando e solucionando problemas de arquivos de rede e servio s de impresso

Exerccio 2: Criptografando e Recuperando Arquivos de

Task 1: Atualizar o certificado de agente de de recuperao para EFS

1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e em Gerenciamento de Diretiva de Grupo.

2. Em Gerenciamento do a Diretiva de Grupo, expanda Forest: Contoso. com, expanda Domnios, expanda Contoso.com, e clique em Diretiva de Domnio Padro.

3. Em o Poltica de caixa de Management Group de dilogo Console, clique em OK para limpar a mensagem.

4. itar.

O boto direito do clique em Poltica de de Domnio Padro e clique em Ed

5. Em do Grupo janela do Editor de Poltica de Gesto de, sob Configurao d o Computador, expanda Diretivas, expanda Configuraes do Windows, expanda Configuraes de Segurana, expan da Diretivas de chave pblica, e clique em Encrypting File System.

6. xcluir.

Boto direito do mouse o certificado de Administrador e clique em E

7.

Na janela Certificados, clique em Sim.

8. O Direito-clique Encrypting File System e clique em Criar Dados A gente de Recuperao de.

9. Leia as informaes para o novo certificado que foi criado. Observe q ue este certificado foi obtido de ContosoCA.

10. Feche Grupo Editor de Gerenciamento de Poltica de.

11. Feche de Gerenciamento de Diretiva de Grupo.

Tarefa 2: Update Diretiva de Grupo em os computadores

1.

On NYC-DC1, clique em Iniciar, cmd tipo, e pressione ENTER.

2. No prompt de comando, tipo gpupdate / force e pressione ENTER.

3.

Feche a prompt de de comando.

4.

Em NYC-CL1, clique em Iniciar, digite cmd e pressione ENTER.

5. No prompt de comando, tipo gpupdate / force e pressione ENTER.

6.

Feche o prompt de comando.

Tarefa 3: Obtenha um certificado para EFS

1. w0rd.

On NYC-CL1, faa logon como Contoso \ Adam com uma senha de Pa $ $

2.

Clique em Iniciar, tipo mmc, e pressione ENTER.

3. ap-in.

Em Console1, clique em Arquivo e clique em Adicionar / Remover Sn

4. m Adicionar.

Na lista de snap-ins disponveis, clique em Certificados e clique e

5.

Em o Adicionar Ou janela Remover Snap-ins-, clique em OK.

6. No painel esquerdo, clique em Certificados - Usurio Atual, depois direita-clique no ponto, Personal para Todas as Tarefas, e clique em Solicitar Novo Certificado.

7.

Na janela Certificate Enrollment, clique em Avanar.

----------------------- Pgina 725----------- -----------Lab: Configurando e Soluo d e problemas Network File e servios de impresso L10-5

8. On o Select pgina de Poltica de Certificate Enrollment, clique em Avanar para usar o Enrollment do Active Directory Poltica de.

9. Na pgina Certificados Request, selecione os EFS Bsicos caixa de verificao e cli que em Enroll.

10. No Certificado de pgina Resultados da Instalao, clique em Concluir.

11. Na janela Console1, no painel esquerdo, expanda Certificados - Usurio Atual, expanda Pessoal, e clique em Certificados.

12. Leia a lista de certificados e observe o um que foi emitido por ContosoCA.

13. Feche Console1 e no salvar as configuraes.

Tarefa 4: Criptografar um arquivo

1. On NYC-CL1, clique em Iniciar, digite \ \ NYC-DC1 \ Share Marketing \, impr ensa e ENTER.

2.

O Direito-clique AdamFile e clique em Propriedades.

3.

Na guia Geral, clique em Avanado.

4. Na janela Atributos Avanados, selecione Criptografar o contedo para proteger dados caixa de seleo e clique em OK.

5.

Na janela Propriedades AdamFile, clique em OK.

6. Em o janela de Aviso de Encryption, clique em Criptografar o arquivo soment e e em seguida, clique OK. Aguarde alguns segundos para o arquivo a ser encriptada.

7.

Olhe para a cor do nome do arquivo.

8.

Feche o Windows Explorer.

Tarefa 5: Use o agente de recuperao para abrir o arquivo

1.

On NYC DC1-, clique em Iniciar e clique em Computador.

2.

Em Procurar para C: Share \ Marketing \.

3.

Double-clique AdamFile.txt.

4. Adicione algum texto para o arquivo, clique em Arquivo, e, em seguida, cliq ue em Salvar.

5.

Feche Bloco de Notas e Windows Explorer.

Resultados: Aps Neste exerccio, voc deveria ter criptografadas e recuperado um arqu ivo. ----------------------- Pgina 726----------- -----------L10-6 Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso

Exerccio 3: Criando e Configurando um pool de Printer

Tarefa 1: Instale a funo de Gerenciamento de Impresso

1. On NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e, em clique em Gerenciador de Server.

2. No painel esquerdo, clique em Funes e em seguida, clique para Adici onar Funes.

3.

Clique em Avanar para iniciar o Assistente de para Adicionar Funes.

4. Na pgina Selecionar Funes do Servidor, selecione os Servios de Impres so e Document caixa de verificao e clique em Avanar.

5.

On o de Impresso e pgina Servios Document, clique em Avanar.

6. On o pgina Selecionar Servios de de Funo, verifique que Servidor de I mpresso est selecionado e clique em Avanar.

7.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

8.

On a pgina Resultados da Instalao, clique em Fechar.

9.

Feche o Gerenciador do Servidor.

Tarefa 2: Crie duas portas de impressora IP

1. Clique em Iniciar, apontar para Ferramentas Administrativas, e cl ique em Gerenciamento de Impresso.

2. Em Gerenciamento de Impresso, expanda Servidores de Impresso, expan da NYC-DC1 (local), e clique em Portas.

3.

O boto direito do clique em Portas e clique Adicionar Port.

4. Na janela Portas da impressora, clique em Padro TCP / Port IP e cl ique em Porta New.

5. Clique em Avanar para iniciar o Padro Add TCP / Assistente para por ta IP Printer.

6. Em o Nome da impressora ou caixa de IP Endereo, digite 10.10.0.98 e clique em Avanar. Vai levar um minuto ou dois enquanto do Windows Server 2008 R2 tenta detectar o tipo de dispo sitivo naquele endereo IP.

7. On a pgina Adicionais porta informao requerida, clique em Avanar para aceitar as configuraes default de um Placa de Rede Genrica.

8.

Clique em Concluir para concluir o assistente.

9.

Na janela Portas da impressora, clique em Padro TCP / Port IP e cl

ique em Porta New.

10. Clique em Avanar para iniciar o Padro Add TCP / Assistente para por ta IP Printer.

11. Em o Nome da impressora ou caixa de IP Endereo, digite 10.10.0.99 e clique em Avanar. Vai levar um minuto ou dois enquanto do Windows Server 2008 R2 tenta detectar o tipo de dispo sitivo naquele endereo IP.

12. On a pgina Adicionais porta informao requerida, clique em Avanar para aceitar as configuraes default de um Placa de Rede Genrica.

13. Clique em Concluir para concluir o assistente.

14. Na janela Portas da impressora, clique em Fechar.

Tarefa 3: Crie uma impressora

1. ssoras.

Em Gerenciamento de Impresso, sob NYC-DC1 (local), clique em Impre

2. essora.

O boto direito do clique em Impressoras e clique em Adicionar Impr

----------------------- Pgina 727----------- -----------Lab: Configurando e Soluo de problemas Network File e servios de impresso L10-7

3. On a pgina de Instalao de Impressora, clique em Adicionar uma nova impressora utilizando uma porta existente, clique em 10.10.0.98, e clique em Avanar.

4.

On a pgina Driver de Impressora, clique em Instalar um novo driver e clique

em Avanar.

5. On a pgina de Instalao de Impressora, clique em em Avanar para aceitar o driver padro.

6. On o Nome da impressora e pgina Configuraes Sharing, em o Nome da impressora e caixas de Nome de aes, tipo PrinterPool e clique em Avanar.

7.

Na pgina Impressora Found, clique em Avanar.

8.

Clique em Concluir para concluir o assistente.

Tarefa 4: Faa a a nova impressora em uma piscina de impressora

1. In Impresso PrinterPool Management, do direito-clique e clique em Propriedad es.

2. Na janela Propriedades PrinterPool, na guia Portas, selecione a Ativar de i mpressora caixa de seleo pooling.

3. Na lista de portas, selecione a caixa de seleo 10.10.0.99 e clique em OK. Rep are que duas portas so selecionado.

4.

Gerenciamento de Impresso Fechar

Tarefa 5: Distribua o piscina impressora para usurios

1. Clique em Iniciar, apontar para Ferramentas Administrativas, e clique em Ge renciamento de Diretiva de Grupo.

2. O boto direito do clique no OU Marketing e clique em Criar um GPO neste de d omnio, e Vincular-lo aqui.

3.

Na janela GPO New, na caixa de Nome, tipo MarketingGPO e clique em OK.

4.

Right-click MarketingGPO e clique em Editar.

5. Sob User Configuration, expanda Preferncias, expanda Configuraes de do Painel de Controle, e clique em Impressoras.

6. O boto direito do clique em Impressoras, aponte para Novo e clique em impres sora compartilhada.

7. Em o New Shared Propriedades da impressora janelas, em o caminho tipo caixa de Share, \ \ NYC-DC1 \ PrinterPool.

8. Selecione o Set esta impressora como a caixa de seleo padro impressora, e cliq ue em OK.

9.

Feche Grupo Editor de Gerenciamento de Poltica de.

10. Feche de Gerenciamento de Diretiva de Grupo.

Tarefa 6: distribuio de impressora Verify a um usurio de marketing

1.

On NYC-CL1, faa logon como Contoso \ Adam com uma senha de Pa $ $ w0rd.

2.

Clique em Iniciar, cmd tipo, e pressione ENTER.

3.

No prompt de comando, tipo gpupdate / force e pressione ENTER.

4.

Feche a prompt de de comando.

5.

Clique em Iniciar e clique em Dispositivos e Impressoras.

6. Confirme que PrinterPool sobre NYC-DC1 aparece e configurado como a impress ora padro.

Resultados: Aps Neste exerccio, voc deveria ter criado um piscina impressora e dist ribudo-lo aos usurios de Marketing. ----------------------- Pgina 728----------- -----------L10-8 Mdulo 10: Configurando e Soluo de problemas Network File e servios de impresso

Preparando-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2. Right-click NYC-6421B-DC1 na lista Machines Virtual e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para CL1-6421B-NYC.

----------------------- Pgina 729----------- -----------L11-1

Mdulo 11: Otimizando o acesso a dados para filiais

Lab Um: Implementando DFS

Exerccio 1: Instalando o Servio de Funo DFS

Tarefa 1: Instale o Servio de Funo DFS sobre NYC-SVR1

1.

Mudar para NYC-SVR1.

2.

Na barra de tarefas, clique em Gerenciador de Server.

3.

No painel de navegao, clique em Funes.

4. No painel de detalhes, sob a seo Servios de Arquivo, clique em Adicionar Servio s de Funo. Os Adicionar Servios de Funo assistente se abre.

5. Na pgina Selecionar Servios de Funo, selecione a caixa de seleo ao lado de System Distributed File. Assegure-se que o Servidor de File, DFS Namespaces e opes Replicao DFS tambm sero selecionados. C lique em Avanar.

6. On a pgina Criar Espao nominal um DFS, clique em Criar um namespace mais tard e usando o DFS Snap-em Gesto de no Gerenciador de Server e, em seguida, clique em Avanar.

7.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

8.

On a pgina Resultados da Instalao, clique em Fechar.

9.

Feche o Gerenciador do Servidor.

Tarefa 2: Instale o Servio de Funo DFS sobre NYC-DC1

1.

Mudar para NYC DC1.

2.

Na barra de tarefas, clique em Gerenciador de Server.

3.

No painel de navegao, clique em Funes.

4.

No painel de detalhes, clique em Adicionar Roles.

5.

Em o Assistente de para Adicionar Funes, clique em Avanar.

6. Na pgina Selecionar Funes do Servidor, selecione o Arquivo caixa de seleo Servios e, em seguida, clique em Avanar.

7.

Na pgina Servios de Arquivo, clique em em Avanar.

8. Na pgina Selecionar Servios de Funo, selecione a caixa de seleo ao lado de System Distributed File. Assegure-se que o File Server, Namespaces DFS, e as opes de Replicao DFS tambm sero selecionados. Clique em Avanar.

9. On a pgina Criar Espao nominal um DFS, clique em Criar um namespace mais tard e usando o DFS Snap-em Gesto de no Gerenciador de Server e, em seguida, clique em Avanar.

10. Na pgina Confirmar Selees de Instalao, clique em Instalar.

11. On a pgina Resultados da Instalao, clique em Fechar.

12.

Feche o Gerenciador do Servidor.

Resultados: No final de este exerccio, voc vai ter instalado os servios de funo reque ridas com base nas ambos os servidores. ----------------------- Pgina 730----------- -----------L11-2 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial

Exerccio 2: Configurando o Espao nominal Obrigatrio

Tarefa 1: Use o Assistente de Novo Namespace para criar o namespace Br anchDocs

1. Mudar para NYC-SVR1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciamento de DFS.

3.

No painel de navegao, clique em Namespaces.

4. O boto direito do clique em Namespaces e seguida, clique em Novo N amespace. O Assistente de Novo Namespace comea.

5. Na pgina Servidor de Namespace, sob Server, tipo NYC-SVR1 e, em seg uida, clique em Avanar.

6. On o Nome Espao de nome e pgina Configuraes, em Nome, BranchDocs de ti po e, em seguida, clique em Avanar.

7. Na pgina Tipo de Namespace, garantir que namespace Domain-baseada e m est selecionado. Tome nota de que o namespace ser acessado por \ \ contoso.com \ BranchDocs.

8. Assegure-se que a caixa de seleo ao lado de Ativar modo Windows Serv er 2008 est selecionado e em seguida, clique PRXIMA

9. Criar.

On as Configuraes de de reviso e os Criar pgina Namespace, clique em

10. Na pgina Confirmao de, garantir que a tarefa namespace Create bem suc edido e em seguida, clique

[FECHAR]

11. No painel de navegao, sob Namespaces, clique em \ \ contoso.com \ Br anchDocs.

12. No painel de detalhes, clique em o Namespace guia Servidores e gar antir que no uma entrada que habilitado para \ \ NYC-SVR1 \ BranchDocs.

Tarefa 2: Habilitar o acesso-a enumerao baseada em para o namespace Bran chDocs

1. No painel de navegao, sob Namespaces, right-clique em \ \ Contoso.c om \ BranchDocs e em seguida, clique Propriedades

2. Em o \ Contoso.com \ \ BranchDocs caixa de dilogo Propriedades, cl ique em na guia Avanado.

3. Na guia Avanado, selecione a caixa de seleo ao lado de Ativar enumerao baseada em acesso para este namespace e em seguida, clique OK.

Tarefa 3: Adicione a pasta ResearchTemplates para o namespace BranchDo cs

1. Em Gerenciamento do DFS, right-click Contoso.com \ BranchDocs e, em seguida, clique em Nova Pasta. The New Caixa de dilogo pasta abre-se.

2. po.

Na caixa de de dilogo Nova pasta, em Nome, ResearchTemplates de ti

3. Na caixa de de dilogo Nova pasta, clique em Adicionar. O Add Pasta caixa de dilogo Destino abre.

4. Em o da Pasta de Destino Add tipo de dilogo caixa de, \ \ NYC-DC1 \ ResearchTemplates e seguida, clique em OK.

5.

Na caixa de de dilogo Aviso de, clique em Sim.

6. Na caixa de de dilogo Compartilhar Criar, no o caminho Local de co mpartilhada tipo de pasta caixa de, C: \ BranchDocs \ ResearchTemplates.

7. Clique em Todos os usurios li e permisses de gravao e em seguida, cliq ue OK.

8. Na caixa de de dilogo Aviso de, clique em Sim.

9.

Clique em OK novamente para fechar a caixa de dilogo Nova Pasta.

----------------------- Pgina 731----------- -----------Lab Um: Implementando DFS L11-3

Tarefa 4: Adicione a pasta DataFiles para o namespace BranchDocs

1. Em Gerenciamento do DFS, right-click Contoso.com \ BranchDocs e, em seguida , clique em Nova Pasta. The New Caixa de dilogo pasta abre-se.

2.

Na caixa de de dilogo Nova pasta, em Nome, DataFiles de tipo.

3. Na caixa de de dilogo Nova pasta, clique em Adicionar. O Add Pasta caixa de dilogo Destino abre.

4. Em o da Pasta de Destino Add tipo de dilogo caixa de, \ \ NYC-SVR1 \ DataFil es e seguida, clique em OK.

5.

Na caixa de de dilogo Aviso de, clique em Sim.

6. Na caixa de de dilogo Compartilhar Criar, no o caminho Local de compartilhad a tipo de pasta caixa de, C: \ BranchDocs \ DataFiles.

7. Clique em Todos os usurios li e permisses de gravao e em seguida, clique OK. As permisses ser configurado mais tarde.

8.

Na caixa de de dilogo Aviso de, clique em Sim.

9.

Clique em OK novamente para fechar a caixa de dilogo Nova Pasta.

Tarefa 5: Verifique se o namespace BranchDocs

1. On NYC-SVR1, clique em Iniciar, e, em seguida, em os Pesquisar programas e arquivos tipo caixa de, \ \ Contoso.com \ BranchDocs. Pressione ENTER.

2. Na janela de BranchDocs, verifique de que ambos os ResearchTemplates e Data files so visveis.

3.

Feche a janela BranchDocs.

Resultados: No final de este exerccio, voc ter criado e verificou a namespace DFS. ----------------------- Pgina 732----------- -----------L11-4 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial

Exerccio 3: Configurando a replicao DFS

Tarefa 1: Crie outra Target Folder para DataFiles

1. Em DFS Management, expanda Contoso.com \ BranchDocs e em seguida, clique DataFiles. Em os detalhes painel de, notar que h atualmente apenas um alvo pasta.

2. older.

Right-click DataFiles e, em seguida, clique em Adicionar Target F

3. Em o New caixa de dilogo da Pasta de Destino, sob Path to alvo pas ta, digite \ \ NYC-DC1 \ DataFiles e clique em OK.

4. Na caixa de de dilogo Aviso, clique em Sim para criar o pasta comp artilhada em NYC-DC1.

5. Em os Criar caixa de dilogo Share, sob Caminho local de pasta comp artilhada tipo, C: \ BranchDocs \ DataFiles.

6. Na caixa de dilogo Compartilhar Criar, sob permisses de pasta Compa rtilhadas, selecione Todos os usurios li e permisses de gravao e em seguida, clique OK.

7. e NYC DC1-.

Na caixa de de dilogo Aviso, clique em Sim para criar a pasta sobr

8. Na caixa de dilogo Replication, clique em Sim. O Assistente de Rep licar Pasta comea.

Tarefa 2: Configurar a replicao para o namespace

1. Em DFS de Administrao, em o Assistente de Replicar Pasta, sobre o G rupo Replicao e Replicated Pgina Nome da Pasta, aceitar as configuraes padro e, em seguida, cliq

ue em Avanar.

2.

On a pgina Elegibilidade Replication, clique em Avanar.

3. em Avanar.

On a pgina Membro Primrio, selecione NYC-SVR1 e, em seguida, clique

4. Na pgina Seleo de Topology, selecione No topologia e, em seguida, cli que em Avanar.

5.

Na caixa de de dilogo Aviso de, clique em OK.

6. ue em Criar.

On as Configuraes de de reviso e os pgina Criar Grupo de Replicao, cliq

7.

Na pgina Confirmao de, clique em Fechar.

8.

Na caixa de dilogo Replication Delay, clique em OK.

9. ique

No console de Gerenciamento DFS, expanda Replicao e em seguida, cl contoso.com \ BranchDocs \ DataFiles.

10. No painel de aes, clique em Topology New.

11. Em o Assistente de Topology New, na pgina Seleo de Topology, clique em mesh completo e, em seguida, clique em Avanar.

12. nar.

On o Replication pgina Agenda de e Bandwidth Group, clique em Ava

13. On as Configuraes de de reviso e os Criar pgina Topologia, clique em Criar.

14. Na pgina Confirmao de, clique em Fechar, e na caixa de dilogo Replica tion Delay, clique em OK.

15. No painel de detalhes, na guia Memberships, verifique se o pasta replicada mostrado em ambos NYC-DC1 e NYC-SVR1.

16. Na guia Memberships, right-click NYC-DC1 e, em seguida, clique em Make ler-only. Esta configurao vontade configurar automaticamente o cpia replicado para ser read-only.

Resultados: No final de este exerccio, voc vai ter configurado com xito r eplicao DFS. ----------------------- Pgina 733----------- -----------Lab A: DFS Implementando L11-5

Preparando-se para o prximo laboratrio

Quando voc terminar o laboratrio, reverter as mquinas virtuais ao seu estado inicia l. Para fazer isso, completar o seguintes etapas:

1.

On o computador host, iniciar Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para SVR1-6421B-NYC.

----------------------- Pgina 734----------- ------------

L11-6

Lab B: Implementando BranchCache

Exerccio 1: Executando Tarefas de de Configurao Iniciais para BranchCache

Task 1: Configurar NYC DC1-to usar o BranchCache

1. Mudar para NYC DC1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Gerenciador de Server.

3.

No painel de navegao, clique em Funes.

4. No painel de detalhes, clique em Adicionar Roles e, em seguida, cl ique em Avanar.

5. Em o Assistente de para Adicionar Funes, na pgina Selecionar Funes do S ervidor, selecione os File Services caixa de verificao e , em seguida, clique em Avanar.

6. Na pgina Servios de Arquivo, clique em em Avanar.

7. Na pgina Selecionar Servios de Funo, na lista de servios Funo, marque a B anchCache para a rede arquivos caixa de verificao e, em seguida, clique em Avanar.

8. Na pgina Confirmar Selees de Instalao, clique em Instalar.

9.

On a pgina Resultados da Instalao, clique em Fechar.

10. Feche o Gerenciador do Servidor.

11. Clique em Iniciar, e na caixa de Pesquisar, digite gpedit.msc e em seguida, pressione ENTER.

12. No painel de navegao do Local console do Editor Grupo de Poltica, so b Configurao do Computador, expanda Modelos Administrativos, expanda Network, e, em seguida, cl ique em Servidor de Lanman.

13. Na lista Definindo do Servidor de resultado Lanman Publicao painel d e, right-click Hash para BranchCache e, em seguida, clique em Editar.

14. Em o Publicao Hash para BranchCache caixa de dilogo, clique em Ativad o, na publicao Hash lista de aes, selecione Permitir que publicao de hash apenas para pasta s compartilhadas sobre a qual BranchCache habilitado, e em seguida, clique OK.

Tarefa 2: Simular link lento para o escritrio ramo

1. No painel de navegao do Local console do Editor Grupo de Poltica, sob Configurao do Computador, expanda Configuraes do Windows, right-click Policy-based QoS, e, em s eguida, clique em Criar nova poltica.

2. On o Criar um pgina de poltica QoS de o Policy-based QoS Wizard, na c aixa Nome do Poltica de tipo, Limitar a 100 KBps, selecione o Especifique Throttle Rate Outbound: caixa de seleo, digite 100, e em seguida, clique Proximo.

3. On a poltica de Este QoS aplica-se a pgina, clique em Avanar.

4. On o Especificar a fonte do e destino IP pgina endereos, clique em Av anar.

5. On o Especifique o protocolo de e pgina nmeros porto, clique em Concl uir.

6. Feche o Editor do Diretiva de Grupo Local.

Tarefa 3: Ativar um compartilhamento de arquivo para BranchCache

1. Clique em Iniciar e clique em Computador.

2.

Em a janela Computador, navegue para Disk Local (C :).

----------------------- Pgina 735----------- -----------Lab B: Implementando BranchCache L11-7

3.

On o menu, clique em Nova Pasta.

4.

Digite Compartilhar e pressione ENTER

5. O boto direito do clique em Compartilhar e, em seguida, clique em Propriedad es.

6. Na guia Compartilhamento da caixa de dilogo Compartilhar Propriedades, cliqu e em Compartilhamento Avanado.

7. Selecione o Compartilhar esta caixa de seleo pasta e em seguida, clique de Ca che.

8. Na caixa de de dilogo Configuraes Offline, selecione o caixa de seleo Habilitar BranchCache e em seguida, clique OK.

9.

Na caixa de avanada Compartilhamento de de dilogo, clique em OK.

10. Na caixa de dilogo Compartilhar Propriedades, clique em Fechar.

11. Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios e, em em seguida, clique Command Prompt.

12. Na janela prompt de comando, digite o seguinte comando e em seguida, press ione ENTER:

Copiar C: \ windows \ system32 \ mspaint.exe c: share \

13. Feche a prompt de de comando.

14. Feche o Windows Explorer.

Tarefa 4: cliente configure regras de firewall para BranchCache

1. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em Group Policy Management.

2. Em Gerenciamento do a Diretiva de Grupo, expanda Forest: Contoso.com, expan da Domnios, expanda Contoso.com, right-click Diretiva de Domnio Padro, e, em seguida, clique em E ditar.

3. No painel de navegao do Grupo console do Editor Poltica de Gesto de, sob Poltica s, expanda Configuraes do Windows, expanda Configuraes de segurana, e em seguida, expanda o Firewall do Windows com Advanced De Segurana.

4. No painel de navegao, sob o Windows Firewall com Segurana Avanada, expanda Wind ows

Firewall com Segurana Avanada e em seguida, clique Regras de Entrada.

5. .

No menu Ao do Grupo console do Editor Poltica de Gesto de, clique em Nova Regra

6. Na pgina Tipo de Regra do Assistente de Nova Regra de Entrada, clique em Pre definido, clique BranchCache Contedo de Recuperao (Usa HTTP), e clique em Avanar.

7.

Na pgina Regras de Predefined, clique em Avanar.

8.

Na pgina Ao de, clique em Concluir para criar a regra de firewall de entrada.

9. Clique em Regras de Entrada, e em seguida, no menu Ao do Grupo console do Ed itor Poltica de Gesto de, selecione Nova Regra.

10. Na pgina Tipo de Regra do Assistente de Nova Regra de Entrada, clique em Pre definido, clique BranchCache Par Discovery (Usa WSD), e clique em Avanar.

11. Na pgina Regras predefinida, clique em Avanar.

12.

Na pgina Ao de, clique em Concluir.

Resultados: No final de este exerccio, voc vai ter preparado o ambiente de rede pa ra BranchCache. ----------------------- Pgina 736----------- -----------L11-8 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial

Exerccio 2: Configurando os Clientes do BranchCache

Task 1: Configurar clientes para usar o BranchCache em hospedado modo de cache

1. sob Computer

No painel de navegao do Grupo console do Editor Poltica de Gesto de,

Configuration, expanda Diretivas, expanda Modelos Administrativos , expanda Network, e, em seguida, clique BranchCache.

2. Na lista Definindo de o resultado painel de BranchCache, Turn do direito-clique sobre BranchCache e, em seguida, clique em Editar.

3. Em o Turn sobre BranchCache caixa de dilogo, clique em Ativado e e m seguida, clique OK.

4. Na lista Definindo do painel de resultado BranchCache do direitoclique Set, BranchCache modo de Cache Hosted e, em seguida, clique em Editar.

5. Em o Hosted BranchCache caixa de Set Cache de dilogo modo de, cliq ue em Ativado, na caixa Digite a localizao de caixa de Cache hospedado, tipo NYC-SVR1.contoso.com, e em seguida , clique OK.

6. Na lista Setting do painel de resultado BranchCache, right-clique em Configurar BranchCache para a rede arquivos e, em seguida, clique em Editar.

7. Em o BranchCache Configurar para rede caixa de dilogo arquivos, cl ique em Ativado, na caixa Digite a rodada viagem valor de latncia de rede em milsimos de segundo acima do qua l os arquivos de rede deve ser armazenado em cache no caixa de ramo escritrio, tipo 0, e em seguida, clique OK. Essa con figurao necessria para simular acesso a partir de um escritrio ramo e no normalmente necessria.

8.

Feche a Grupo de Poltica console do Editor Management.

9.

Feche o Group Policy Management Console.

10. Iniciar 6421B-NYC-CL1. Depois que o computador comea, faa logon com o Contoso \ Administrator com o senha de Pa $ $ w0rd.

11. Clique em Iniciar, aponte para Todos os Programas, clique em Aces srios e, em em seguida, clique Command Prompt.

12. Na janela prompt de comando, digite o seguinte comando e em segu ida, pressione ENTER:

gpupdate / force

13. Na janela prompt de comando, digite o seguinte comando e em segui da, pressione ENTER:

netsh show status branchcache tudo

14. Iniciar 6421B-NYC-CL2. Depois que o computador comea, faa logon com o Contoso \ Administrator com o senha de Pa $ $ w0rd.

15. Clique em Iniciar, e na caixa Pesquisar, Network tipo e Compartil hamento e em seguida, pressione ENTER.

16.

Em Conexes de Rede, clique em Alterar configuraes do adaptador.

17. O boto direito do clique em Conexo rea Local 3 e, em seguida, clique em Propriedades.

18. Em o Area Connection Local 3 caixa de dilogo Properties, faa duplo clique em Internet Protocol Version 4 (TCP/IPv4).

19. Em o Verso Internet Protocol 4 (TCP/IPv4) Propriedades caixa de dil ogo, clique em Obter um endereo IP automaticamente. ----------------------- Pgina 737----------- -----------Lab B: Implementando BranchCache L11-9

20. Clique em Obter DNS endereo do servidor automaticamente e em seguida, clique OK.

21. Na rea de Conexo Local 3 caixa de dilogo Propriedades, clique em OK.

22. Reinicie o computador. Depois que o computador comea, faa logon como Contoso \ Administrator com o senha de Pa $ $ w0rd.

23. Clique em Iniciar, aponte para Todos os Programas, clique em Acessrios e, em seguida, clique em prompt de comando.

24. Na janela prompt de comando, digite o seguinte comando e em seguida, pressi one ENTER:

gpupdate / force

25. Na janela prompt de comando, digite o seguinte comando e em seguida, pressi one ENTER:

netsh show status branchcache tudo

Resultados: No final de este exerccio, voc vai tiver configurado os computadores c liente para BranchCache. ----------------------- Pgina 738----------- -----------L11-10 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial

Exerccio 3 BranchCache Configurando no Servidor de Filial

Tarefa 1: Instale o recurso BranchCache sobre NYC-SVR1

1. Iniciar 6421B-NYC-SVR1. Depois que o computador comea, faa logon co mo Contoso \ Administrator com o senha de Pa $ $ w0rd.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e, e m seguida, clique em Gerenciador de Server.

3. No painel de navegao de o console do Gerenciador Server, boto direit o do mouse Caractersticas e, em seguida, clique em Adicionar Caractersticas.

4. On o pgina Selecionar Recursos de o Assistente de para Adicionar R ecursos, selecione a caixa de seleo BranchCache e , em seguida, clique em Avanar.

5.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

6.

On a pgina Resultados da Instalao, clique em Fechar.

7.

Feche o Gerenciador do Servidor.

Tarefa 2: Solicitar um certificado e vincular-lo para BranchCache

1.

No menu Iniciar de NYC-SVR1, clique em Executar.

2. Na caixa de Abrir da caixa de de dilogo Executar, mmc tipo e em se guida, clique OK.

3. On do menu Arquivo do o Console1 - [Root Console] console, clique em Adicionar / Remover Snap-ins-.

4. Na rea snap-ins-Disponvel da caixa de dilogo Adicionar ou Remover Sn ap ins-, clique em Certificados e , em seguida, clique em Adicionar.

5. Em o Este snap-in ir sempre gerenciar certificados para pgina dos C ertificados Snap-em Wizard, clique em conta de Computer e, em seguida, clique em Avanar.

6. On o Select o computador voc deseja que esta snap-in para gerencia r pgina, clique em Concluir.

7.

Na caixa de dilogo Adicionar ou Remover Snap ins-, clique em OK.

8. No painel de navegao de o Console1 - [Root Console] console, expand a Certificados (Local Computer), boto direito do mouse ponto, Personal para Todas as Tar efas, e, em seguida, clique em Certificado de Request New.

9. On o Antes de Voc Comear pgina do Assistente de Certificate Enrollme nt, clique em Avanar.

10. On o Select pgina de Poltica de Certificate Enrollment, clique em A vanar.

11. Na pgina Certificados de Solicitao, selecione a caixa de seleo Compute r e em seguida, clique Enroll.

12. On o Certificado pgina Resultados da Instalao, clique em Concluir.

13. No painel de navegao de o Console1 - [Root Console] console, em Pes soal, clique em Certificados.

14. Em o Emitido Para resultar painel de, right-click NYC-SVR1.Contos o.com e, em seguida, clique em Abrir.

15. On na guia Detalhes da caixa de de dilogo Certificado, na lista Ca mpo de, clique em Thumbprint, selecione valores do thumbprint de na seo de detalhes, pressione Ctrl + C par a copiar os valores para o rea de Transferncia, e, em seguida, clique em OK.

16. On o menu Iniciar, clique em Todos os Programas, clique em Acessri os e, em em seguida, clique Command Prompt. ----------------------- Pgina 739----------- -----------La b B: Implementando BranchCache L11-11

17. Na janela prompt de comando, digite o seguinte comando e em seguida, pressi one Enter. Voc pode cole o certificatehashvalue a partir de o certificado, mas voc deve remover os es paos.

netsh http add sslcert ipport = 0.0.0.0:443 certhash = certificatehashval ue appid = {d673f5ee-A714-454d-8de2-492e4c1bd8f8}

18. No prompt de comando, digite o seguinte comando e em seguida, pressione ENT ER:

netsh show status branchcache tudo

Tarefa 3: Inicie o Servidor Anfitrio BranchCache

1.

Mudar para NYC DC1.

2. Clique em Iniciar, apontar para Ferramentas Administrativas, e clique em Di rectory Usurios e Computadores do Active.

3. l.

Right-click Contoso.com, aponte para New, e clique em Unidade Organizaciona

4. Em o Novo Objeto - janela Unidade de Organizao, BranchCacheHost tipo e em seg uida, clique OK.

5.

Clique no recipiente de Computadores.

6.

Clique em NYC-SVR1 e arraste-o para BranchCacheHost.

7.

Clique em Sim para limpar o aviso sobre objetos em movimento.

8.

Feche Directory Usurios e Computadores do Active.

9. Clique em Iniciar, apontar para Ferramentas Administrativas, e clique em Ge renciamento de Diretiva de Grupo.

10. Sob Domnios, expanda Contoso.com, BranchCacheHost direito-click, e clique em Bloquear Herana.

11. On NYC-DC1, feche todos os janelas abertas.

12. Reinicie NYC-SVR1 e faa logon como Contoso Administrator \ com a senha de Pa $ $ w0rd.

13. On NYC-SVR1, abra um prompt de comando, digite o seguinte comando, e em seg uida, pressione ENTER:

netsh conjunto branchcache servio hostedserver

14. Feche a prompt de de comando.

Resultados: No final de este exerccio, voc vai tiver habilitado o servidor BranchC ache no escritrio ramo. ----------------------- Pgina 740----------- -----------L11-12 Mdulo 11: Otimizando o Acesso a Dados para Escritrios de Filial

Exerccio 4: Monitoramento BranchCache

Task 1: Configurar Monitor de Desempenho sobre NYC-SVR1

1. Clique em Iniciar, e na caixa Pesquisar, Performance tipo e em seg uida, pressione ENTER.

2. No painel de navegao de o console Monitor de Desempenho, sob Ferram entas de Monitoramento, clique em Acompanhamento de desempenho

3. No painel de resultados Monitor de Desempenho, clique em no cone D elete (Delete Key).

4. l + N) Add.

No painel de resultados Monitor de Desempenho, clique no cone (Ctr

5. Na caixa de de dilogo Adicionar Contadores, sob Selecionar contado res do computador, clique em BranchCache, clique em Adicionar e, em em seguida, clique OK.

6. Alterar tipo de grfico to Report.

Tarefa 2: As estatsticas de desempenho de Visualizao de sobre NYC-CL1

1.

Alterne para NYC-CL1.

2. No menu Iniciar, em Pesquisar programas e arquivos de caixa, tipo de Desempenho e, em seguida pressione ENTER.

3. No painel de navegao do console Monitor de Desempenho, em Ferrament as de Monitoramento, clique em Monitor de Desempenho.

4. No painel de resultados Monitor de Desempenho, clique em no cone D elete (Delete Key).

5. l + N) Add.

No painel de resultados Monitor de Desempenho, clique no cone (Ctr

6. Na caixa de de dilogo Adicionar Contadores, sob Selecionar contado res do computador, clique em BranchCache, clique em Adicionar e, em em seguida, clique OK.

7. Alterar tipo de grfico to Report. Note-se que o valor de todas as e statsticas de desempenho zero.

Tarefa 3: Visualizao de estatsticas de desempenho em NYC-CL2

1.

Mudar para NYC-CL2.

2. No menu Iniciar, em Pesquisar programas e arquivos de caixa, tipo de Desempenho e, em seguida pressione ENTER.

3. No painel de navegao do console Monitor de Desempenho, em Ferrament as de Monitoramento, clique em Monitor de Desempenho.

4. No painel de resultados Monitor de Desempenho, clique em no cone D elete (Delete Key).

5. l + N) Add.

No painel de resultados Monitor de Desempenho, clique no cone (Ctr

6. Na caixa de de dilogo Adicionar Contadores, sob Selecionar contado res do computador, clique em BranchCache, clique em Adicionar e, em em seguida, clique OK.

7. Alterar tipo de grfico to Report. Observe que o valor para todas as estatsticas de desempenho zero.

Tarefa 4: Teste BranchCache no modo hospedado cache

1.

Mudar para NYC-CL1.

2. Clique em Iniciar e na caixa de pesquisa, digite \ \ NYC-DC1.conto so.com Share \ e pressione ENTER.

3. Na lista Nome da janela de Compartilhamento, clique mspaint.exe e clique em Copiar.

4.

Na janela de Compartilhamento, clique em Minimizar.

----------------------- Pgina 741----------- -----------Laboratrio B: Implementando BranchCache L11-13

5. No Administrador: C: \ Windows \ system32 \ cmd.exe janela, clique em Minim izar.

6. No desktop, boto direito do mouse em qualquer lugar e em seguida clique em C olar.

7. Leia as estatsticas de desempenho em NYC-CL1. Este arquivo foi recuperado de NYC-DC1 (Recuperao: Bytes do servidor). Depois que o arquivo estava armazenado em cache localmente, e le foi passado para o cache hospedado. (Recuperao: Bytes Servido)

8. No menu Iniciar de NYC-CL2, nos programas de pesquisa e arquivos de tipo ca ixa, \ \ NYC-DC1.contoso.com Share \ e pressione ENTER.

9. Na lista Nome da janela de Compartilhamento, clique mspaint.exe e clique e m Copiar.

10. Na janela de Compartilhamento, clique em Minimizar.

11. No Administrador: C: \ Windows \ system32 \ cmd.exe janela, clique em Minim izar.

12. No desktop, boto direito do mouse em qualquer lugar e em seguida clique em C olar.

13. Leia as estatsticas de desempenho em NYC-CL2. Este arquivo foi obtido a part ir do cache hospedado (Recuperao: Bytes de Cache).

14. Leia as estatsticas de desempenho em NYC-SVR1. Este servidor tem oferecido d ados em cache para os clientes (Hosted Cache: segmento de arquivo Client oferece feita).

Resultados: No final deste exerccio, voc vai ter verificado a funo de BranchCache.

Prepare-se para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1, 6421B-NYC-CL1 e 6421B-NYC-CL2.

----------------------- Pgina 742----------- -----------L11-14 Mdulo 11: Otimizando o acesso a dados para filiais ----------------------- Pgina 743----------- -----------L12-1

Mdulo 12: Controle e Monitoramento de armazenamento de rede

Laboratrio: Controle e Monitoramento de Rede Armazenamento

Exerccio 1: Cotas do FSRM Configurando

Tarefa 1: Criar o compartilhamento Incio

1.

Em NYC-SVR1, clique em Iniciar, digite cmd e pressione ENTER.

2. No comando md prompt, digite C: \ Home e pressione ENTER.

3. No Incio prompt de comando partes, tipo net = C: \ Home / grant: todos, cheio e pressione ENTER.

4.

Feche o prompt de comando.

Tarefa 2: Instalar o FSRM

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e c lique em Gerenciador do Servidor.

2. No Server Manager, no painel esquerdo, expanda Funes, clique em Servios de Arq uivo e clique em Adicionar Papel Servios.

3. Na janela Adicionar Servios de Funo, selecione o File Server Resource caixa de seleo Manager e clique em Avanar.

4.

Na pgina Configurar Monitoramento uso de armazenamento, clique em Avanar.

5.

Na pgina Confirmar Selees de Instalao, clique em Instalar.

6.

On a pgina Resultados da Instalao, clique em Fechar.

Tarefa 3: Criar um modelo de cota para as pastas base

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e c lique em File Server Resource Manager.

2. Em File Server Resource Manager, expanda Gerenciamento de Cota e clique em Modelos de Cota.

3.

No painel Aes, clique em Criar Modelo de Cota.

4. Na janela Criar Modelo de Cota, na caixa Nome do modelo, as Pastas de Incio do tipo.

5.

Na caixa Descrio, tipo de modelo para as pastas home dos usurios.

6.

Na rea limite do espao, na caixa Limite, digite 500.

7. Verifique se o espao em disco: No permitir que os usurios ultrapassem limite se lecionado.

8.

Na rea de limiares de notificao, clique em Adicionar.

9. Na janela Adicionar Threshold, nas notificaes gerar quando o uso alcanar (%) t ipo caixa, 75.

10. Na guia Mensagem de e-mail, selecione a Enviar e-mail para o usurio que exce deu o limite de verificar BOX:

11. Clique na guia log de eventos e clique em Sim na janela de aviso.

12. Na guia Log de Eventos, marque a Enviar aviso para log de eventos caixa de seleo.

13. Clique em OK e clique em Sim para fechar a janela de aviso. ----------------------- Pgina 744----------- -----------L12-2 Lab: Controle e Monitoramento de armazenamento de rede

14. Clique em OK para fechar a janela Criar Modelo de Cota.

Tarefa 4: Configurar um servidor SMTP para notificaes FSRM

1. Em File Server Resource Manager, boto direito do mouse File Server Resource Manager (Local) e clique em Configurar opes.

2. Na janela Server Resource File Manager Options, na guia Notificaes e-mail, no SMTP nome do servidor ou caixa de endereo IP, digite mail.contoso.com.

3. No padro administrador caixa de destinatrios, Administrator@contoso .com tipo e clique em OK.

Tarefa 5: Configurar cotas em pastas de compartilhamento Incio

1.

Em File Server Resource Manager, clique em Cotas.

2.

No painel Aes, clique em Criar Cota.

3. e.

Na janela Quota Criar, no caminho de tipo caixa de Cota, C: \ Hom

4. es e novos.

Clique em Auto aplicar modelo e criar cotas em subpastas existent

5. Na rea de propriedades Cota, clique em derivar as propriedades for mar este modelo de cota (recomendado) e selecione Pastas Home.

6.

Clique em Criar.

7.

Feche File Server Resource Manager.

Tarefa 6: Crie uma pasta home para o usurio

1. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administra tivas e clique em Active Directory Users e Computadores.

2. Em Active Directory Usurios e Computadores, expanda Contoso.com e clique em Marketing.

3.

Boto direito do mouse Adam Carter e clique em Propriedades.

4. Na janela Propriedades Adam Carter, na guia perfil, na rea de past a Home, clique em Conectar select H:, e digite \ \ NYC-SVR1 \ Home \ Ado.

5.

Clique em OK para salvar as alteraes.

6.

Feche Directory Usurios e Computadores do Active.

Tarefa 7: Verifique se a cota aplicada

1.

Em NYC-CL1, faa logon como Contoso \ Ado com a senha Pa $ $ w0rd.

2.

Clique em Iniciar e clique em Computador.

3. Verifique se H: mapeado para \ \ NYC-SVR1 \ Home \ Ado.

4. Boto direito do mouse Adam (\ \ NYC-SVR1 \ Home) (H :) e clique em Propriedades.

5. No Adam (\ \ NYC-SVR1 \ Home) (H :) janela Propriedades, leia o t amanho do H: e notar que ele corresponde ao tamanho da quota que foi atribudo.

6.

Feche todas as janelas abertas.

Resultados: Aps este exerccio, voc ter criado e aplicado quotas para as pa stas base. ----------------------- Pgina 745----------- -----------Laboratrio: Controle e Monitoramento de armazenamento de rede L12-3

Exerccio 2: Triagem de Arquivo Configurar

Tarefa 1: Adicionar arquivos AUDX a um grupo de arquivos

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administrativas e c lique em File Server Resource Manager.

2. Em File Server Resource Manager, expanda Gerenciamento de Triagem de Arquiv o e clique em grupos de arquivos.

3. Direito-clique em arquivos de udio e vdeo e clique em Editar propriedades do grupo de arquivos.

4. Nas propriedades do arquivo do Grupo de udio e vdeo janela Arquivos, nos arqu ivos para incluir tipo de caixa, *. AUDX e clique em Adicionar.

5. Clique em OK para fechar as Propriedades do Grupo de Arquivos de udio e Vdeo janela Arquivos.

Tarefa 2: Criar um modelo de triagem de arquivo

1. Em NYC-SVR1, em File Server Resource Manager, clique em Modelos de tela de arquivos.

2.

No painel Aes, clique em Criar modelo de triagem de arquivo.

3. Na janela Criar modelo de arquivo da tela, na guia Configuraes, na caixa Nome do modelo tipo, Pasta Home Media.

4. Se necessrio, clique Triagem atividade: No permitir que os usurios salvem arqu ivos no autorizados.

5. Na rea de grupos de arquivos, selecione os arquivos de udio e vdeo marque a ca ixa e os arquivos de imagem caixa de seleo.

6. Na guia log de eventos, selecione o evento Enviar aviso para log caixa de s eleo e clique em OK.

Tarefa 3: Configurar uma tela de arquivos para C: \ Home

1. s.

Em NYC-SVR1, em File Server Resource Manager, clique em triagens de arquivo

2.

No painel Aes, clique em Criar do arquivo da tela.

3. Na janela de tela Arquivo Criar, no caminho de tela tipo de arquivo caixa, C: \ Home.

4. Se necessrio, clique Derivar propriedades deste modelo de tela de arquivo (r ecomendado) e selecione Pasta Home Media.

5.

Clique em Criar.

6.

Feche File Server Resource Manager.

Tarefa 4: Verifique se a tela de arquivo aplicada

1.

Em NYC-CL1, faa logon como Contoso \ Ado com a senha Pa $ $ w0rd.

2.

Clique em Iniciar e clique em Computador.

3. No painel esquerdo, em Bibliotecas, clique em Vdeo e, em seguida, clique dua s vezes em vdeos de exemplo.

4.

Boto direito do mouse Vida Selvagem e clique em Copiar.

5.

Navegue at H: \ o boto direito do mouse em uma rea aberta, e clique em Colar.

6.

Na janela Destination Folder Acesso Negado, clique em Cancelar.

7.

Feche todas as janelas abertas.

Resultados: Aps este exerccio, voc ter configurado triagem de arquivo para impedir q ue arquivos de mdia de ser colocados em pastas de origem. ----------------------- Pgina 746----------- -----------L12-4 Laboratrio: Controle e Monitoramento de armazenamento de rede

Exerccio 3: Classificao do arquivo Configurao e Gerenciamento de Arquivos

Tarefa 1: Criar uma propriedade de classificao para documentos oficiais

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administr ativas e clique em File Server Resource Manager.

2.

Em File Server Resource Manager, expanda Gerenciamento de Classif

icao e clique Classificao Propriedades

3.

No painel Aes, clique em Criar Propriedade.

4. Na janela Criar definio de classificao, propriedades, na caixa Nome d o Oficial de Propriedade, tipo Documentos Officiais.

5. da web.

No documento Descrio caixa Oficial, tipo que est disponvel no arquivo

6. K.

Na caixa de tipo de propriedades, selecione Sim / No e clique em O

Tarefa 2: Criar uma regra de classificao para documentos oficiais

1.

Em File Server Resource Manager, clique em regras de classificao.

2.

No painel Aes, clique em Criar uma nova regra.

3. Na Classificao janela Definies de regra, na guia Configuraes da Regra, na caixa Nome da regra tipo, Documentos oficiais.

4.

Na rea de escopo, clique em Adicionar.

5. Na janela Procurar Pasta, expanda Disco local (C :), clique em Inc io e clique em OK.

6. ficao

Na Classificao janela Definies de regra, na guia Classificao, na Classi rea mecanismo, selecione classificador de contedo.

7.

Na rea Nome da propriedade, selecione Documento Oficial.

8.

Na rea de valor de propriedade, selecione Sim e clique em Avanado.

9. Na janela Parmetros adicionais da Regra, na guia Parmetros adicion ais Classificao, na Caixa Nome, RegularExpression tipo.

10. No valor de documento de tipo caixa, # \ d \ d \ d \ d-\ d \ d \ d e clique em OK.

11. Clique em OK para fechar a janela Definies de Regra de Classificao.

Tarefa 3: Criar uma tarefa de gerenciamento de arquivos para expirar d ocumentos oficiais

1. Em File Server Resource Manager, clique em Tarefas de gerenciamen to de arquivos.

2.

Na pgina Aes, clique em Criar Tarefa Gerenciamento de Arquivos.

3. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Gera l, na caixa Nome da tarefa, digite Remover Documentos Oficiais.

4.

Na rea de escopo, clique em Adicionar.

5. Na janela Procurar Pasta, expanda Disco local (C :), clique em Inc io e clique em OK.

6. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Ao, na caixa Tipo, selecione Arquivo expirao.

7.

direita da caixa Diretrio de expirao, clique no boto Browse.

----------------------- Pgina 747----------- -----------Laboratrio: Controle e Monitoramento de armazenamento de rede L12-5

8. Na janela Procurar pasta, clique em Disco Local (C :), clique em Criar Nova Pasta, digite Expired Documentos, pressione ENTER e clique em OK.

9. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Condio, na rea a s condies da propriedade, Clique em "Add".

10. Na janela condio de propriedade, na caixa de propriedades, selecione o Documen to Oficial.

11. Na caixa Operador, selecione Equal.

12. Na caixa Valor, selecione Sim e clique em OK.

13. Na janela Criar Tarefa de Gerenciamento de Arquivos, na guia Schedule, cliqu e em Criar.

14. Na janela Schedule, clique em Novo.

15. Na caixa Agendar tarefa, selecione Weekly.

16. Na caixa Hora de incio, digite 9:00 PM.

17. Na rea Agendar Tarefa Semanalmente, selecione apenas a caixa de seleo Sol e cli que em OK.

18. Clique em OK para fechar a janela Criar arquivo Tarefa Management.

Tarefa 4: Verifique se os documentos oficiais so expirados

1.

Em NYC-CL1, faa logon como Contoso \ Ado com a senha Pa $ $ w0rd.

2.

Clique em Iniciar, clique em Computador e navegue at H: \.

3. No Windows Explorer, boto direito do mouse em uma rea vazia, aponte para Novo e clique em Microsoft Office Word documentation

4.

Documento tipo de teste e pressione ENTER.

5. Clique duas vezes em Documento de teste, clique em OK para fechar a janela do Microsoft Office Word, e clique em OK para definir o nome do usurio.

6.

No Microsoft Word, tipo de documento # 2011-001 e pressione ENTER.

7. Clique no boto Salvar e fechar o Microsoft Word. Se o documento for aberto n o Word, ento no FSRM capaz de expirar o documento.

8. Em NYC-SVR1, em File Server Resource Manager, clique em regras de classific ao.

9.

No painel Aes, clique em Executar classificao com todas as regras agora.

10. Na janela Executar classificao, clique Aguarde classificao para concluir a execuo e clique em OK.

11. Revise o relatrio de classificao automtica no Internet Explorer e verificar se u m documento oficial foi encontrado.

12. Feche o Internet Explorer.

13. Em File Server Resource Manager, clique em Tarefas de gerenciamento de arqui vos, clique Remover Oficial Documentos, e clique em Executar tarefas Gesto de Ficheiros agora.

14. Na janela Executar tarefas Gesto de Ficheiros, clique Aguarde a tarefa para c oncluir a execuo e clique em OK.

15. Reveja o arquivo de relatrio de tarefas de gesto e verificar se um arquivo foi expirado.

16. Clique em Iniciar, clique em Computador e navegue para C: \ Documents Vencid o \ NYC-SVR1.Contoso.com \ Remover Documents_datetime Oficial \ c $ \ Home \ Ado. ----------------------- Pgina 748----------- -----------L12-6 Lab: Controle e Monitoramento de armazenamento de rede

17. Reveja a lista de arquivos expirados e verifique se Document.doc x Teste est l.

18. Feche todas as janelas abertas.

Resultados: Aps este exerccio, voc ter configurado uma regra de classificao para documentos oficiais e um arquivo tarefa de gerenciamento que expira documentos oficiais.

Preparao para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e , em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 749----------- -----------L13-1

Mdulo 13: Recuperao de Dados de Rede e Servidores

Laboratrio: Dados de Rede Recuperao e servidores

Exerccio 1: Configurando Cpias de Sombra

Tarefa 1: Configurar cpias de sombra em NYC-SVR1

1.

Em NYC-SVR1, clique em Iniciar e clique em Computador.

2. Boto direito do mouse em Disco Local (C :) e clique em Configurar Cpias de So mbra.

3.

Na janela de Cpias de Sombra, clique em C: \ e clique em Ativar.

4.

Na janela Ativar Cpias de Sombra, clique em Sim.

5.

Na janela de Cpias de Sombra, clique em Configuraes.

6.

Na janela Configuraes, clique em Agendar.

7.

No C: janela \, clique em Excluir duas vezes para remover a programao padro.

8.

Clique em Novo e, em seguida, clique em Avanado.

9. fa.

Na janela Advanced Options Schedule, selecione a caixa de seleo Repetir tare

10. Na caixa Cada, digite 1 hora e selecionados.

11. Na caixa Durao, digite 24 horas.

12.

Clique em OK para fechar a janela Opes Avanadas Agenda.

13. Clique em OK para fechar a C: janela \.

14. Clique em OK para fechar a janela Configuraes.

15. Clique em OK para fechar a janela de Cpias de Sombra.

Tarefa 2: Criar um compartilhamento de arquivo

1.

Em NYC-SVR1, no Windows Explorer, navegue para C: \ e clique em Nova pasta.

2. De Marketing Tipo e pressione ENTER para renomear a pasta.

3. Boto direito do mouse Marketing, para compartilhar com ponto e clique em pes soas especficas.

4. Na janela de Compartilhamento de Arquivos, Marketing tipo e clique em Adici onar.

5. Com marketing selecionados, na coluna Nvel de Permisso, selecione Read / Write .

6.

Clique em Compartilhar.

7. Tome nota do caminho de compartilhamento e clique em Concludo. ----------------------- Pgina 750----------- -----------L13-2 Mdulo 13: Recuperando dados de rede e servidores

Tarefa 3: Criar cpias de sombra mltiplas de um arquivo de

1. Em NYC-CL1, faa logon como Adam com a senha Pa $ $ w0rd.

2. Clique em Iniciar, digite \ \ NYC-SVR1 Marketing \ e pressione ENT ER.

3. No Windows Explorer, em uma rea aberta, o Office Word boto direito do mouse, aponte para Novo e clique em Microsoft Documento.

4. Planejamento Oramento Tipo e pressione ENTER para mudar o nome do d ocumento.

5. Clique duas vezes em Planejamento, Oramento e clique em OK para fe char a mensagem de erro.

6.

Na caixa Nome de Usurio, clique em OK.

7. cadores:

No Microsoft Word, digite os seguintes itens em uma lista com mar

2011 - $ 1.000

2012 - $ 1.100

2013 - $ 1.200

8. Clique no boto Salvar.

9. Em NYC-SVR1, no Windows Explorer, clique com boto direito em Disco Local (C :) e clique em Configurar Cpias de Sombra.

10. Na janela de Cpias de Sombra, com C: \ selecionado, clique em Cria r agora.

11. Em NYC-CL1, adicione as balas a seguir para o documento:

2014 - $ 1.500

2015 - $ 2.000

12. Clique no boto Salvar e fechar o Microsoft Word.

13. Em NYC-SVR1, na janela de Cpias de Sombra, clique em Criar agora.

14. Clique em OK para fechar a janela de Cpias de Sombra e feche o Wind ows Explorer.

15. Em NYC-CL1, Planejamento, Oramento boto direito do mouse e clique em Excluir.

16.

Na janela Delete File, clique em Sim.

Tarefa 4: Recuperar um arquivo excludo a partir de uma cpia de sombra

1. Em NYC-CL1, no Windows Explorer, boto direito do mouse em uma rea ab erta e clique em Propriedades.

2. Na janela Propriedades de Marketing (\ \ NYC-SVR1), na guia Verses Anteriores, clique duas vezes no Verso segunda pasta mais recente de Marketing.

3.

No recm-inaugurado janela Planejamento, Oramento d um duplo clique.

4. Verifique se essa no a verso correta do Planejamento, Oramento feche o Word, e feche a janela contendo Planejamento, Oramento.

5. Na janela Propriedades de Marketing (\ \ NYC-SVR1), na guia Verses Anteriores, clique duas vezes no verso pasta mais recente de Marketing.

6.

No recm-inaugurado janela Planejamento, Oramento d um duplo clique.

----------------------- Pgina 751----------- -----------L aboratrio: Recuperando Dados de Rede e Servidores L13-3

7. Verifique se essa a verso correta do Planejamento, Oramento feche o Word, e f eche a janela contendo Planejamento, Oramento.

8. Na janela Propriedades de Marketing (\ \ NYC-SVR1), na guia Verses Anteriore s, com a mais verso recente de Marketing pasta selecionada, clique em Restaurar.

9.

Na janela de aviso, clique em Restaurar.

10. Clique em OK para limpar a mensagem de sucesso.

11. Clique em OK para fechar a Marketing (\ \ NYC-SVR1) janela Propriedades.

12. No Windows Explorer, clique duas vezes em Planejamento para ver o arquivo re staurado.

13. Feche todas as janelas abertas.

Resultados: No final deste exerccio, voc ter permitido cpias de sombra para o servid or de arquivo de Marketing. ----------------------- Pgina 752----------- -----------L13-4 Mdulo 13: Recuperando dados de rede e servidores

Exerccio 2: Configurando um backup agendado

Tarefa 1: Instale o recurso Windows Server Backup

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administr ativas e clique em Gerenciador do Servidor.

2. sos.

No Server Manager, clique em Recursos e clique em Adicionar Recur

3. No Assistente para Adicionar Recursos, expanda Recursos de Backup do Windows Server.

4. Em Recursos do Backup do Windows Server, selecione o Backup do Wi ndows Server e de linha de comando Ferramentas caixas de seleo.

5.

Clique em Avanar e clique em Instalar.

6.

Na pgina de resultados, clique em Fechar.

7.

Feche o Gerenciador do Servidor.

Tarefa 2: Criar um backup agendado

1. Em NYC-SVR1, clique em Iniciar, aponte para Ferramentas Administr ativas e clique em Backup do Windows Server.

2.

No Windows Server Backup, no painel Aes, clique em Schedule Backup.

3.

No Assistente de Agendamento de Backup, clique em Avanar.

4. Na pgina Select Backup Configuration, clique em servidor completo e clique em Avanar.

5. Na pgina Especificar Backup Time, clique uma vez por dia, selecion e 11:00 PM, e clique em Avanar.

6. Na pgina Especificar Tipo de Destino, clique em Backup para um dis co rgido que est dedicado para backups (Recomendado) e clique em Avanar.

7. Na pgina Select Destination Disk, clique em Mostrar todos os disco s disponveis, selecione a caixa de verificao de disco 1, e clique em OK.

8.

Selecione a caixa de seleo Disk 1 e clique em Avanar.

9.

Clique em OK para remover D: a partir do backup.

10. Clique em Sim para confirmar que os dados sobre D: ser removido.

11. Na pgina Confirmao, clique em Concluir.

12.

Na pgina Resumo, clique em Fechar.

Tarefa 3: Verifique que dois backups caber em o disco de destino

1. Em NYC-SVR1, em Backup do Windows Server, leia as informaes na rea d e uso de Destino. L de aproximadamente 32 GB de espao total em disco e 0 GB usados.

2.

No painel Aes, clique em Backup Once.

3. Avanar.

Na pgina Opes de Backup, clique em Opes de backup agendado e clique em

4.

Na pgina Confirmao, clique em Backup.

5. os.

Aguarde enquanto o backup concludo. Isso levar cerca de cinco minut

6.

Quando o backup estiver completo, clique em Fechar.

7. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de espao total em disco e aproximadamente 7,4 GB usado.

----------------------- Pgina 753----------- -----------Labor atrio: Recuperando Dados de Rede e Servidores L13-5

8.

No painel Aes, clique em Backup Once.

9.

Na pgina Opes de Backup, clique em Opes de backup agendado e clique em Avanar.

10. Na pgina Confirmao, clique em Backup.

11. Aguarde enquanto o backup concludo. Isso levar cerca de um minuto.

12. Quando o backup estiver completo, clique em Fechar.

13. Leia as informaes em o rea de uso de Destino. H de aproximadamente 32 GB de esp ao total em disco e aproximadamente 7,4 GB usado.

Tarefa 4: Realize um teste de restaurar de um arquivo de

1.

Em NYC-SVR1, no Windows Server Backup, no painel Aes, clique em Recuperar.

2.

Na pgina Introduo, clique em Este servidor (NYC-SVR1) e clique em Avanar.

3. Na pgina Select Backup Data, selecione a data de hoje eo tempo mais recente, e clique em Avanar.

4. Na pgina Selecionar tipo de recuperao, clique em Arquivos e pastas e clique em Avanar.

5. Em Seleccionar Itens de Recuperao pgina, navegue at C: \ Marketing, clique Orame nto Planning.docx, e

clique em Avanar.

6.

Na pgina Especificar Opes de Recuperao, reveja as opes padro e clique em Avanar

7.

Na pgina Confirmao, clique em Recuperar.

8.

Aps a recuperao estiver concluda, clique em Fechar.

9.

Feche o Backup do Windows Server.

10. Clique em Iniciar e clique em Computador.

11. No Windows Explorer, navegue para C: \ Marketing e verifique se o arquivo r estaurado.

12.

Feche o Windows Explorer.

Resultados: backup No final deste exerccio, voc ter configurado um backup programad o e testado funcionalidade.

Preparao para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu estado inic ial. Para fazer isso, completar o seguintes passos:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguid a, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para 6421B-NYC-SVR1 e 6421B-NYC-CL1.

----------------------- Pgina 754----------- -----------L13-6 Mdulo 13: Recuperando dados de rede e servidores ----------------------- Pgina 755----------- -----------L14-1

Mdulo 14: Monitoramento de Rede Windows Server 2008 Servidores de infra-estrutura

Lab: Monitorando o Windows Server 2008 Infra-estrutura de servidores de rede

Exerccio 1: Criao de uma Base de Desempenho

Tarefa 1: Criar um Conjunto de Coletores de Dados

1.

Alterne para a computador NYC SVR1-.

2. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, c lique em Monitor de desempenho.

3. No Monitor de desempenho, no painel de navegao, expanda Conjuntos de Coletore s de Dados e clique em Usurio Definido.

4. Boto direito do mouse Definido pelo Usurio, aponte para Novo e, em seguida, c lique em Conjunto de Coletores de Dados.

5. Na nova Dados Assistente de Criao de Conjunto de Coletores, na caixa Nome, NY C-SVR1 tipo de desempenho.

6.

Clique em Criar manualmente (avanado) e clique em Avanar.

7. Na Que tipo de dados que voc deseja incluir? pgina, selecione o contador de d esempenho verificar caixa e clique em Avanar.

8. Sobre os contadores de desempenho que gostaria de registrar? pgina, clique e m Adicionar.

9. Na lista de contadores disponveis, expanda Processor, clique em% tempo de p rocessador, e clique em Adicionar. >>

10. Na lista de contadores disponveis, expandir a memria, clique em Pginas / s, e, em seguida, clique em Adicionar. >>

11. Na lista de contadores disponveis, expanda PhysicalDisk, clique em Hora Disk %, e, em seguida, clique em Adicionar. >>

12.

Clique mdio. Comprimento da fila de disco e clique em Adicionar. >>

13. Na lista de contadores disponveis, expanda sistema, clique em Comprimento da fila do processador, e clique em Adicionar...

14. Na lista de contadores disponveis, expanda Interface de Rede, clique em Byte s Total / seg, clique em Adicionar >>, e clique em OK.

15. Sobre os contadores de desempenho que gostaria de registrar? pgina, na caixa Intervalo de amostragem, digite 1 e clique em Avanar.

16.

Na Onde voc gostaria que os dados sejam salvos? pgina, clique em Avanar.

17. No Criar o conjunto de coletores de dados? pgina, clique em Salvar e fechar e, em seguida, clique em Concluir.

Tarefa 2: Inicie o Conjunto de Coletores de Dados

No Monitor de desempenho, no painel Resultados, clique-direito NYC-SVR1 Desempen ho e clique em Iniciar. ----------------------- Pgina 756----------- -----------L14-2 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red e

Tarefa 3: carga de trabalho Criar no servidor

1. ione ENTER.

Clique em Iniciar, e na caixa de Pesquisar, digite cmd.exe e press

2.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Arquivo Fsutil createnew bigfile 104857600

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Copiar bigfile \ \ NYC-dc1 \ c $

4.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Copiar \ \ NYC-dc1 \ c $ \ bigfile bigfile2

5.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Del bigfile *.*

6.

No prompt de comando, digite o seguinte comando e pressione ENTER:

Del \ \ nyc-dc1 \ c $ \ bigfile *.*

7.

No feche o prompt de comando.

Tarefa 4: Analisar dados coletados

1.

Mude para o Monitor de desempenho.

2. No painel de navegao, boto direito do mouse NYC-SVR1 Desempenho e cli que em Stop.

3. No Monitor de desempenho, no painel de navegao, clique em Monitor de desempenho.

4.

Na barra de ferramentas, clique em Exibir dados de log.

5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique em arquivos de log e clique em Ad

6.

Na caixa de dilogo Selecionar arquivo de log, Admin duplo clique.

7. Clique duas vezes em NYC-SVR1 Desempenho, clique duas vezes no NYC -SVR1_date-000001 pasta, e depois faa duplo clique em DataCollector01.blg.

8.

Clique na guia Dados e, em seguida, clique em Adicionar.

9. Na caixa de dilogo Adicionar contadores, na lista de contadores di sponveis, expandir a memria, clique em Pginas / s, e, em seguida, clique em Adicionar. >>

10. Expandir Interface de Rede, clique em Bytes Total / seg, e clique em Adicionar. >>

11. Expandir PhysicalDisk, clique em Hora Disk%, e, em seguida, clique em Adicionar. >>

12. Clique mdio. Comprimento da fila de disco e clique em Adicionar. >>

13. Expandir Processor, clique em% tempo de processador, e clique em A dicionar. >> ----------------------- Pgina 757----------- -----------Lab: Monitoramento W indows Server 2008 Network Infrastructure Servers L14-3

14. Expanda Sistema, clique em Processor Queue Length, clique em Adicionar >>, e clique em OK.

15. Na caixa de dilogo Monitor de Desempenho Propriedades, clique em OK.

16. Na barra de ferramentas, clique em na seta para baixo e, em seguida, clique em Relatrio de.

17. Registre os valores constantes do relatrio para posterior anlise.

Resultados: Aps este exerccio, voc deveria ter criado uma linha de base. ----------------------- Pgina 758----------- -----------L14-4 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red

Exerccio 2: Identificar a origem de um problema de desempenho

Tarefa 1: Coloque um novo programa no servidor

1.

On NYC-SVR1, alterne para a prompt de comando.

2.

No prompt de comando, digite o seguinte comando e pressione ENTER:

C:

3.

No prompt de comando, digite o seguinte comando e pressione ENTER:

CD \ Labfiles

Tarefa 2: Configurar a carga sobre o servidor

No prompt de comando, digite o seguinte comando e pressione ENTER:

StressTool 95

Tarefa 3: Iniciar o coletor de dados definida novamente

1.

Mude para o Monitor de desempenho.

2. No Monitor de Desempenho, clique em Definido pelo usurio, no painel de resultados, boto direito do mouse NYC-SVR1 Performance, e, em seguida, clique em Iniciar.

3.

Aguarde um minuto para permitir que dados a ser capturado.

Tarefa 4: Pare o programa em execuo

1.

Aps um minuto, mude para o prompt de comando.

2.

Pressione Ctrl + C.

3.

Feche o prompt de comando.

Tarefa 5: dados de desempenho de Visualizao

1.

Mude para o Monitor de desempenho.

2. No painel de navegao, boto direito do mouse NYC-SVR1 Desempenho e cli que em Stop.

3. No Monitor de desempenho, no painel de navegao, clique em Monitor de desempenho.

4.

Na barra de ferramentas, clique em Exibir dados de log.

5. No desempenho da caixa de dilogo Monitor Properties, na guia Fonte, clique em arquivos de log e clique em Remover.

6.

Clique em "Add".

7.

Na caixa de dilogo Select Log File, clique em um nvel acima.

8. Duas vezes-clique no NYC-SVR1_date-000002 pasta e, em seguida, faa duplo clique em DataCollector01.blg.

9.

Clique na guia Dados e em seguida, clique OK.

Observao Se voc receber um erro neste ponto, ou os valores em seu r elatrio so de repetio, zero passos 4-9. ----------------------- Pgina 759----------- -----------Lab: Monitoramento Wind ows Server 2008 Network Infrastructure Servers L14-5

Task 6: Analisar resultados e desenhe um concluso

Pergunta: Em comparao com o relatrio anterior, que os valores mudaram?

Resposta: Memria e atividade do disco so reduzidas, no entanto, a atividade d o processador aumentou de forma significativa.

Pergunta: O que voc recomendaria?

Resposta: Continue a monitorar o servidor para garantir que a carga do proc essador no atingir a capacidade.

Resultados: Aps este exerccio, voc deve ter identificado um gargalo em potencial. ----------------------- Pgina 760----------- -----------L14-6 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red e

Exerccio 3: Logs A centralizao Eventos

Tarefa 1: Configurar o computador de origem

1. On NYC-SVR1, abra um prompt de comando.

2. No prompt de comando, digite o seguinte comando e pressione ENTER:

winrm quickconfig

3. Quando solicitado, digite Y e pressione ENTER.

4. Clique em Iniciar, boto direito do mouse em Computador e clique em Gerenciar.

5. No Server Manager, no painel de navegao, expanda Configuration, exp anda Usurios e Grupos Locais, e, em seguida, clique em Grupos.

6.

Nos resultados do painel, clique duas vezes Administradores.

7. Clique em Adicionar e em Selecionar Usurios, Computadores, contas d e servio ou grupos caixa de dilogo, clique em Tipos de objetos.

8. Na caixa de dilogo Tipos de objeto, selecione a caixa de seleo Compu tadores e clique em OK.

9. Em Selecionar Usurios, Computadores, contas de servio ou Grupos cai xa de dilogo, no Digite o objeto nomes a serem selecionados, digite nyc-dc1 e clique em OK.

10. Na caixa de dilogo Propriedades de Administradores, clique em OK.

Tarefa 2: Configure o computador coletor

1.

Mudar para NYC DC1.

2. Clique em Iniciar, e na caixa de Pesquisar, digite cmd.exe e press ione ENTER.

3. No prompt de comando, digite o seguinte comando e pressione ENTER:

Qc wecutil

4. Quando solicitado, digite Y e pressione ENTER.

Tarefa 3: Criar um log de subscrito

1. Clique em Iniciar, aponte para Ferramentas administrativas e, em s eguida, clique em Visualizador de eventos.

2. uras.

No Visualizador de Eventos, no painel de navegao, clique em Assinat

3. sinatura.

Direito do mouse em Assinaturas e, em seguida, clique em Criar As

4. Na caixa de dilogo Propriedades da Assinatura, na caixa Nome de In scrio, NYC-SVR1 tipo de eventos.

5. Clique Collector Iniciado e clique em Selecionar computadores.

6. do Domnio.

Na caixa de dilogo Computadores, clique em Adicionar Computadores

7. Na caixa de dilogo Selecionar Computador, na caixa Digite o nome d o objeto para selecionar o tipo de caixa, NYC-SVR1 e em seguida, clique OK.

8.

Na caixa de dilogo Computadores, clique em OK.

9. Nas Propriedades de Assinatura - NYC-SVR1 caixa de dilogo Eventos, clique em Selecionar Eventos. ----------------------- Pgina 761----------- -----------Lab: Monitoramento Window s Server 2008 Network Infrastructure Servers L14-7

10. Na caixa de dilogo de filtro de consulta, selecione a crtica, Aviso, Informao, V erbose, e verificar de erro caixas.

11. Na lista Usuario, clique ltimos 7 dias.

12. Na lista de logs de eventos, selecionar Logs do Windows. Clique com o mouse de volta na caixa de dilogo de filtro de consulta e clique em OK.

13. Nas Propriedades de Assinatura - NYC-SVR1 caixa de dilogo Eventos, clique em OK.

Tarefa 4: Criar um coletor de dados definir com um contador de alerta

1.

Alterne para a computador NYC SVR1-.

2. No Monitor de desempenho, no painel de navegao, expanda Conjuntos de Coletore s de Dados e clique em Usurio Definido.

3. Boto direito do mouse Definido pelo Usurio, aponte para Novo e, em seguida, c lique em Conjunto de Coletores de Dados.

4. Na nova Dados Assistente de Criao de Conjunto de Coletores, na caixa Nome, NY C-SVR1 Tipo de alerta.

5.

Clique em Criar manualmente (avanado) e clique em Avanar.

6. Na Que tipo de dados que voc deseja incluir? pgina, clique em Alerta de conta dor de desempenho e , em seguida, clique em Avanar.

7. Sobre os contadores de desempenho que gostaria de acompanhar? pgina, clique em Adicionar.

8. Na lista de contadores disponveis, expanda Processor, clique em% tempo de pr ocessador, clique em Adicionar >>, e depois clique em OK.

9. Sobre os contadores de desempenho que gostaria de acompanhar? pgina, na list a de alerta quando, clique acima.

10. Na caixa Limite, digite 10 e clique em Avanar.

11. No Criar o conjunto de coletores de dados? pgina, clique em Concluir.

12. No painel de navegao, expanda o n definido pelo usurio, e clique em NYC-SVR1 Ale rta.

13. No painel Resultados, clique DataCollector01 e clique em Propriedades.

14. Na caixa de dilogo Propriedades DataCollector01, na caixa Intervalo de amostr agem, tipo 1 e, em seguida, clique no Alertar guia de aco.

15. Selecione o registro de uma entrada no aplicativo caixa de seleo log de evento

s e clique em OK.

16. No painel de navegao, boto direito do mouse NYC-SVR1 alerta e, em seguida, cliq ue em Iniciar.

1 Clique em Iniciar e, em seguida, na caixa de pesquisa, digite cmd e pressione ENTER.

18. No prompt de comando, digite o seguinte comando e pressione ENTER:

C. "

19. No prompt de comando, digite o seguinte comando e pressione ENTER:

CD \ Labfiles

20 minutos. No prompt de comando, digite o seguinte comando e pressione ENTER:

StressTool 95 ----------------------- Pgina 762----------- -----------L14-8 Mdulo 14: Monitorando servidores Windows Server 2008 Infra-estrutura de Red e

21. Esperar durante um minuto para permitir alertas a ser gerada.

22. Pressione Ctrl + C.

23. Feche o prompt de comando.

Tarefa 5: Verifique o log de subscrito para o desempenho-relacionados alertas

1.

Mudar para NYC DC1.

2. indows.

No Visualizador de Eventos, no painel de navegao, expanda Logs do W

3.

Clique eventos encaminhados.

Pergunta: H alguma alertas relacionados com o desempenho?

Resposta: As respostas podem variar, mas deve haver alguns evento s que se relacionam com o imposto carga de trabalho em NYC-SVR1.

Resultados: No final de este exerccio, voc ter logs de eventos centraliza dos.

Preparao para o prximo mdulo

Quando voc finalize o laboratrio, reverter as mquinas virtuais para seu e stado inicial. Para fazer isso, completar o seguintes etapas:

1.

No computador host, inicie o Hyper-V Manager.

2. Boto direito do mouse NYC-6421B-DC1 na lista de mquinas virtuais e, em seguida, clique em Reverter.

3.

Na caixa de dilogo Reverter Virtual Machine, clique em Reverter.

4.

Repita essas etapas para SVR1-6421B-NYC.

You might also like