Students to Business – 2013/1 INFRAESTRUTURA DE REDES FASE 1.

Students to Business – 2013/1

INFRAESTRUTURA DE REDES

FASE 1

Agenda 1/3

Agenda 2/3

Agenda 3/3

Organização das Aulas• Horário de Aula • Horário do Intervalo• Método de Aulas/Laboratórios• Acesso a internet• Celular no Silencioso

Laboratório• VMware Player• Mídias de instalação disponíveis• Slides e Documentos de Laboratório < endereço pasta compartilhada>


Dúvidas ou Comentários?

FASE 1



Redes de Computadores Revisão

FASE 1

Representação Binária 1 bit é a menor unidade de informação no sistema

computacional 1 Caractere = 8 bits

Caractere Representação Binária

A 01000001

B 01000001

C 01000011

D 01000100

E 01000101

F 01000110

G 01000111

Representação Binária

– Computadores trabalham com linguagem binária.

– Seres humanos utilizam o sistema numérico decimal.

– Necessidade de conversão dos números binários para números decimais e vice-versa.

Conversão Decimal -> Binária

– Encadeamento de divisões por 2 (dois).

Tomemos como exemplo o numero 156:

156 /20 78 /2

0 39 /21 19 /2

1 9 /21 4 /2

0 2 /20 1

156 = 10011100

Conversão Binária -> Decimal

– Os números binários podem ser convertidos em números decimais multiplicando os dígitos binários pelo número base do sistema, o qual é Base 2, e elevando-os ao expoente da sua posição.

0 X 20 = 0

0 X 21 = 0

0 X 22 = 0

0 X 23 = 0

1 X 24 = 16

1 X 25 = 32

1 X 26 = 64

0 X 27 = 0

= 112

Exemplo:00001110

O que é uma rede?

Podemos definir o conceito de rede como sendo um agrupamento de entidades que se comunicam, trocam e compartilham informações entre si

O que é uma rede de computadores?Redes de computadores seria o agrupamento de ativos (computadores, comutadores, roteadores, entre outros) que utilizam regras de comunicação (protocolos) para o compartilhamento de informações e recursos entre si.

Funções de um computador em rede

Banco de Banco de dadosdados

Computador cliente

Servidores de serviços de Servidores de serviços de diretóriodiretório

Servidores de emailsServidores de emailsServidores de banco Servidores de banco

de dadosde dados

Banco de Banco de dadosdados

Servidores de faxServidores de fax

Serviços de arquivos e Serviços de arquivos e impressãoimpressão

Adaptadores de rede– Receber dados e convertê-los em sinais elétricos– Receber sinais elétricos e convertê-los em dados– Determinar se os dados recebidos são de um

computador em particular

Topologias

SegmentoSegmento

Concentrador

Anel

Barramento Estrela

Tipos de redeRede Local

(LAN)

Rede de Longa distância

(MAN / WAN)

Transmissão dos dados

Unicast

Broadcast

Multicast

Símbolos

Roteador HUB

Bridge Switch

Gateway

Concentradores (Hub)

Concentrador

– Repetidores multiporta

Bridges

Ponte

Switch

Comutador

Roteador

Roteador

RoteadorRoteador

Roteador

Equipamentos

HUB SWITCH

BRIDGE ROTEADOR

Protocolos

Modelo OSI

AplicaçãoAplicaçãoAplicaçãoAplicação

ApresentaçãoApresentaçãoApresentaçãoApresentação

SessãoSessãoSessãoSessão

TransporteTransporteTransporteTransporte

RedeRedeRedeRede

EnlaceEnlaceEnlaceEnlace

FísicaFísicaFísicaFísica

•O modelo de referência OSI é o modelo fundamental para comunicações em rede.

• Reduz a complexidade;

• Padroniza as camadas;

• Facilita o desenvolvimento;

• Simplifica o ensino

Características das camadas





RedeRedeRedeRede



• destina-se aos serviços de comunicação para aplicativos• telnet, http, smtp

• define em que formato os dados serão apresentados

• define como iniciar, controlar e finalizar conversações (sessões) entre as entidades

• escolhe protocolos que oferecem ou não recuperação de erros (TCP/UDP)

• Entrega fim a fim de pacotes• IP (endereço lógico)

• Responsável pela entrega e recepção de quadros• Endereço MAC

• Se comunica diretamente com o controlador da interface de rede.

Modelo OSI no mundo real





RedeRedeRedeRede



www.microsot.com Servidor WEB

IP: 10.1.1.5 IP: 200.200.200.10

HTTP

TCP/UDPSrc: 5152

Dest: 80

IPSrc: 10.1.1.5

Dest: 200.200.200.10

MACSrc XX-XX-XX-XX

Dest: XX-XX-XX-XX

MAC: 00-16-E9-74-1D-27 MAC: 02-E8-E9-04-1A-22





RedeRedeRedeRede



Src 00-16-E9-74-1D-27

Dest: 02-E8-E9-04-1A-22

Src 10.1.1.5

Dest: 200.200.200.10

ACK

Modelo TCP/IP

•É um conjunto de protocolos ou regras desenvolvidas para a cooperação entre computadores para que compartilhem recursos através de uma rede.

Camada de Aplicação

•Trata de protocolos de alto nível, questões de representação, codificação e controle de diálogos.

Camada de Transporte

•Oferece serviços de transporte desde o host de origem até o host de destino. Ela forma uma conexão lógica entre dois pontos da rede.

Camada de Internet

•A finalidade da camada de Internet é escolher o melhor caminho para os pacotes viajarem através da rede. O principal protocolo que funciona nessa camada é o IP (Internet Protocol).

Camada de Acesso a Rede

•É a camada que cuida de todas as questões necessárias para que um pacote IP estabeleça efetivamente um link físico com os meios físicos da rede.

OSI x TCP/IP

Endereço IP

•Para que dois sistemas quaisquer comuniquem-se, eles precisam ser capazes de se identificar e localizar um ao outro.

•Cada computador em uma rede TCP/IP deve receber um identificador exclusivo, ou endereço IP. Esse endereço, operando na camada 3, permite que um computador localize outro computador na rede.

Endereçamento IP

•Para acomodar redes de diferentes tamanhos e ajudar na classificação dessas redes, os endereços IP são divididos em grupos chamados classes.

•Cada endereço IP é dividido em uma parte da rede e uma parte do host.

Classes de IP

Classe A

Classe B

Classe C

Rede Host Host Host

Rede Rede Host Host

Rede Rede Rede Host

32 Bits

16 Bits8 Bits

32 Bits

32 Bits

8 Bits16 Bits

16 Bits 16 Bits

Faixa de Endereçamento IP

Classe Faixa de Endereçamento

A 0.0.0.0 a 127.255.255.255

B 128.0.0.0 a 191.255.255.255

C 192.0.0.0 a 223.255.255.255

D 224.0.0.0 a 239.255.255.255

E 240.0.0.0 a 247.255.255.255

Subnetting

•Talvez o aspecto mais reconhecível de sub-redes é a máscara de sub-rede. Assim como endereços IP, uma máscara de sub-rede contém quatro bytes (32 bits) e é frequentemente escrito utilizando a mesma notação decimal. Por exemplo, uma máscara muito comum na sua representação binária:

11111111 11111111 11111111 00000000

É equivalente a 255.255.255.0 em notação decimal

Subnetting

•Endereço IP + mascara de sub-rede trabalham juntos

•Máscaras de sub-rede válidas contém duas partes: o lado esquerdo todos os bits definidos por “1” (parte da rede) e o lado direito com todos os bits definidos por “0” (parte do host)

11111111 00000000 00000000 00000000

11111111 11111111 00000000 00000000

11111111 11111111 11111111 00000000

Cenário

•Endereço Classe C: 216.21.5.0

Rede 1

Rede 2

Rede 3

Rede 4 Rede 5

Passos

1.Determinar o número de redes e converter para binário

2.Reservar os bits da mascara de sub-rede e achar o seu incremento

3.Usar este incremento para achar os intervalos entre as redes



FASE 1



Visão Geral do Windows Server 2012DNS, instalação e configuração

FASE 1

AgendaLição 1 - Visão geral do Windows 2012

1. A nova interface de navegação2. O Novo Windows Server Manager3. Como Adicionar Roles e Features4. Verificando a configuração de TCP/IP

Lição 2 - DNS, instalação e configuração1. Compreendendo a Resolução de Nomes e a estrutura de DNS2. Instalando o serviço de DNS3. Verificando as configurações disponíveis4. Criando uma Zona de DNS5. Criando entradas A, SRV, NS, CNAME, PTR e MX

Descubra o Windows Server 2012

Além da virtualização Plataforma de virtualização completa Escalabilidade e desempenho Conectada a serviços na nuvem

O poder de muitos servidores, a simplicidade de um Armazenamento flexível Disponibilidade contínua Eficiência da gestão

Qualquer aplicativo, qualquer nuvem

Edições do Windows Server 2012

A Nova Interface

O Windows Server Manager

Roles e Features

Demo

Acompanhe o seu instrutor durante a instalação e configuração inicial do Windows Server 2012

Verificando as Configurações de TCP/IP

Hands on Lab

• Realize a instalação do Windows Server 2012, verifique se a configuração de TCP/IP está de acordo com o esperado

Lição 2DNS, instalação e configuração

1. Compreendendo a Resolução de Nomes e a estrutura de DNS2. Instalando o serviço de DNS3. Verificando as configurações disponíveis4. Criando uma Zona de DNS5. Criando entradas A, SRV, NS, CNAME, PTR e MX

Compreendendo a Resolução de Nomes e a estrutura de DNS

Root Servers ao redor do mundo

O que é DNS?

Domain Name System Serviço de resolução de nomes Descobrir / Resolver nomes Sistema para nomeação de computadores e equipamentos de

rede Grande banco de dados para pesquisa de nomes Antigamente WINS – Windows Internet Name Service

Entendendo o arquivo HOSTS

Arquivo de texto Lista dos nomes + endereço IP Localizado em:

C:\windows\system32\drivers\etc

Processo de Resolução de Nomes

Web BrowserURL: www.microsoft.com.br

HOSTS file

DNS resolver cache

DNS Client (resolver)

DNS Server

DNS Server cache

Zonas

Outros DNS Server

Client-to-server query

Server-to-server query

Espaço do nome do domínio

Tipos de registros• Resource Records (RR)

– SOA (Start of Authority)– NS (Name Server)– A (Host Address)– AAA (Host Address)– PTR– CNAME (Canonical Name)– SRV (Service)– MX (Mail Exchanger)

O que são zonas de DNS?• Uma zona é uma parte do espaço dos nomes de domínio no

qual um servidor DNS tem autoridade para solucionar consultas de DNS. O espaço de nomes de DNS pode se dividir em zonas diferentes, que armazenam informações de nomes sobre um ou vários domínios de DNS, ou parte deles.

• Zonas primárias• Zonas secundárias• Zonas Stub• Zonas de pesquisa direta• Nomes => IP• Zonas de pesquisa inversa• IP => Nomes

Instalando um Servidor de DNS• Adicione a Role de DNS• A snap-in de DNS aparece nas Administrative

Tools e no Server Manager• Você pode adicionar a Role de DNS através do

Power Shell

Entradas de DNS

Você pode consultar as entradas de DNS criadas, utilizando o NSLookUP

Demo

Acompanhe o seu instrutor durante a instalação e configuração do DNS Server

Hands on Lab

• Crie uma Zona de DNS chamada s2b.com.br• Crie também uma entrada A, chamada Intranet.s2b.com.br• Crie uma entrada CNAME chamada www, apontando para a

intranet• Crie um ambiente de entradas MX para os dois servidor Microsoft

Exchange disponíveis no ambiente, de IP 192.168.0.15 e 192.168.0.16 (Os servidores Exchange são fictícios)

• Consulte as entradas A, CNAME e MX através do comando NSLookUP



FASE 1



Active Directory, Instalação e Pré-configuração

FASE 1

Agenda1. Lição 1 – Active Directory, Instalação e Pré-configuração

1. Instalando as Roles do Active Directory2. Promovendo o Windows a uma Domain Controler3. Compreendendo a estrutura de Domínios4. O Active Directory Sites and Services5. Compreendendo a estrutura de Sites6. O Active Directory Domains and Trusts7. O Active Directory Users and Computers8. Visualizando a estrutura do Sysvol e NTDS, Policies e

Scripts/NetLogon

Conceitos Básicos de AD• Domínios, Árvores e Florestas

Microsoft.com

Vendas.Microsoft.comSuporte.Microsoft.com

Contoso.com

Filho.Contoso.com

Relação de Confiança

Roles do AD– Active Directory Certificate Services

O AD CS é a função de servidor que fornece recursos de criptografia de chave pública, certificados digitais e assinaturas digitais para a sua organização.

– Active Directory Domain ServicesO AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Um servidor com AD DS é chamado de controlador de domínio. Os administradores podem usar AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estrutura de confinamento hierárquica.

Roles do AD– Active Directory Federation Services

A função de servidor do AD FS oferece recursos seguros e simplificados de federação de identidade e logon único (SSO) da Web.

– Active Directory Lightwight Directory ServicesO AD LDS é um serviço de diretório do protocolo LDAP (Lightweight Directory Access Protocol), que fornece um suporte flexível para aplicativos habilitados para diretório, sem as dependências a restrições relacionadas a domínio dos Serviços de Domínio Active Directory (AD DS).

Roles do AD– Active Directory Rights Management Services

O AD RMS permite que indivíduos e administradores por meio de políticas de IRM para especificar as permissões de acesso a documentos, livros e apresentações.

Instalando as Roles do AD• Para promover um Windows 2012 como Domain Controler,

deve-se adicionar a Role Active Directory Domain Services, e após a adição, seguir o Wizard Active Directory Promotion.

• Caso serviço de DNS não esteja instalado, o Wizard solicitará uma instalação automática

• O comando DCPromo foi descontinuado

Promovendo um Domain Controler• O comando DCPromo foi descontinuado, para promover o DC,

deve-se seguir com Wizard

Promovendo um Domain ControlerDomínios de Active Directory

• O Active Directory é formado por pelo menos um domínio.• Esses domínios podem ser Domínios Pais, Domínios Filhos.• Os domínios possuem Relação de Confiança entre si• O primeiro domínio de uma Floresta é denominado o Root Forest Domain• Cada domínio possui uma database de objetos separada (NTDS.dit)

• Quais as vantagens e desvantagens de possuir mais de um domínio?• O que é relação de confiança entre Florestas?• É possível Renomear um Domínio?

Promovendo um Domain ControlerCriando um primeiro domínio

• Durante o Active Directory Domain Services Configuration Wizard, você pode optar por criar o Root Forest Domain

Promovendo um Domain ControlerOpções de promoção do DC

• O que é Forest Functional Level?• O que é Domain Funcional Level?• O que um Global Catalog?• Qual a utilidade de um Read Only Domain Controler (RODC)?• Para que server a Senha de DSRM?• Para que servirá o Nome NetBIOS?

Promovendo um Domain ControlerOpções de Promoção

• Os diretórios de instalação do Active Directory são:– Database Folder – C:\Windows\NTDS– Log Folder – C:\Windows\NTDS– SYSVOL Folder – C:\Windows\SYSVOL

• Você pode alterar o local destes recursos, por questões de performance.

• Na Database Folder será adicionado o arquivo NTDS.dit, que é a database do Active Diretory, neste domínio.– Cada domínio possui sua exclusiva database

• Na SYSVOL são adicionados componentes de replicação entre todos os Domain Contolers do Domínio, como Scripts de Logon e Arquivos de Configuração de Policies

Demo

Acompanhe o seu instrutor durante os passos de adição da Role de Active Directory e promoção de um Domain Controller

Hands on Lab• Adicione um domínio chamado s2b.com.br• Coloque uma senha fácil de se lembrar para o DSRM• Este será o primeiro DC da Floresta• Mantenha o nível de compatibilidade como sendo Windows

2012.• Mantenha os diretórios padrões para a instalação• Após reiniciar o servidor, verifique as configurações no Server

Manager

O Active Directory Sites and Services• O Active Directory é disposto geograficamente através de Sites• Os sites indicam qual o padrão de replicação dos componentes do AD• Os sites indicam qual DC irá replicar com outro DC, intrasite e Intersite• Sites definem limite geográficos para o AD, enquanto Domínio definem

databases• Um processo de autenticação sempre busca o DC mais próximo,

identificado através da configuração de sites.• O Global Catalog é definido nas propriedades de NTDS Settings

DNS• Após a promoção do DC, no Serviço de DNS estará criada uma nova Zona

para o domínio do AD.• Dentro desta Zona, ficarão todas as entradas necessárias para que as

estações de trabalho e qualquer serviço de autenticação do ambiente localize os DC.

Demo

Acompanhe o seu instrutor durante a configuração de alguns sites.

Hands on Lab• Altere o Default-First-Site-Name para Rio de Janeiro• Crie mais dois sites no ambiente, para futuras filiais da empresa

(fictícios)• Crie um novo site com o nome de São Paulo e associe a rede

192.168.2.0/24 a este site• Crie um outro site com o nome de Curitiba e associe a rede

192.168.3.0/24 a este site• Verifique a configuração de tempo de Replicação e do Global

Catalog• Crie Inter-Site Transports entre os sites criados

Rio de Janeiro -> São Paulo (custo 40)Curitiba -> São Paulo (custo 40)

O Active Directory Domains and Trusts

• O AD Domains and Trusts controla como cada Domínio da Floresta e Domínios InterForest se comunicam, estabelecendo relações de confiança entre si.

• É possível criar relações de confiança entre Florestas

O Active Directory Users and Computers

• O AD Users and Computes possui todos os objetos de usuários, computadores, impressoras, compartilhamentos.

O Active Directory Users and ComputersOrganizational Units

• Os componentes do Active Directory são organizados sobre Organizational Units (OU).

• Além de design e organização, as OUs são responsáveis pela aplicação coerente das Policies do ambiente.

O Active Directory Users and ComputersAdvanced Features

• Apenas os principais componentes do AD são exibidos nas visão padrão.

• Para visualizar componentes Avançados, habilite o menu View/Advanced Features

• Como deletar uma OU protegida contra remoção acidental?

O Active DirectoryEstruturas de diretórios

• Após a instalação do DC, os seguintes diretórios são criados, na configuração default:– C:\Windows\NTDS– C:\Windows\SYSVOL

• Você pode utilizar o NTDSUtil para desfragmentar uma arquivo .dit



FASE 1



DHCP Instalação e configuração

FASE 1

Agenda

Lição 1 DHCP, conceitos e instalação1. Dynamic Host Configuration Protocol (DHCP)2. Novas funcionalidades da função DHCP no Windows 2012.3. Instalando a função DHCP

Lição 2 DHCP, configuração e tolerância a falhas1. Configurando um escopo2. Compreendendo DHCP Failover3. Configurando Failover4. Usando PowerShell para DHCP

Lição 1DHCP, conceitos e instalação

1. Dynamic Host Configuration Protocol (DHCP)2. Instalando o serviço de DHCP3. Verificando as configurações disponíveis4. Suporte ao protocolo IPV6.5. Configurando opções do servidor DHCP

Dynamic Host Configuration Protocol (DHCP)

O DHCP é um padrão Internet Engineering Task Force (IETF) desenvolvido para redução de esforço e complexidade da configuração em redes TCP/IP.

A função DHCP no Windows 2012:•É segura e confiável•Garante configurações válidas nas estações•Pode integrar-se com DNS do AD•Pode fazer reserva de endereços

Instalando um serviço de DHCP• Adicione a Role de DHCP• A snap-in de DHCP aparece nas Administrative

Tools e no Server Manager• Você pode adicionar a Role de DHCP através

do Power Shell

DHCP Server Manager• Como administrar o serviço de DHCP Server?• A snap-in de DHCP Server Manager• Administrando o DHCP Server através do

Server Manager• DHCP Post-install configuration wizard

O que são escopos de DHCP?• O que são Escopos de DHCP

– Escopos– Pool de endereços– Concessões de endereços– Reservas de endereços– Opções do escopo– Políticas de escopo

• Server Options• Filtros (Allow/Deny) e Server Policy

Lição 2DHCP, configuração e tolerância a falhas

Lição 2 DHCP, configuração e tolerância a falhas1. Configurando um escopo2. Compreendendo DHCP Failover3. Configurando Failover4. Usando PowerShell para DHCP

Configurando um escopo

Servidor DHCP pode se integrar com DNS e realizar atualização dinâmicas de nomes.

Demo

Acompanhe o seu instrutor durante a instalação e configuração do DHCP.

Hands on Lab

• Instale a role de DHCP no seu servidor

• Crie um escopo de nome S2BCORP.net. utilizando a rede 192.168.1.100/24

• Crie uma reserva de endereços IP. 192.168.1.105/24 a 192.168.1.110/24

• Crie uma policy que entregue o host name notebook01 ao host com o endereço MAC igual a 10-00-32-9D-22-5E

• Crie exclusões de endereços para os seguintes endereços MAC: 08-00-27-9A-20-8C e 00-3B-23-ID-10-4E

Compreendendo DHCP FailoverNo Windows 2008R2 existem duas opções de failover (tolerância a falhas)•DHCP em Windows failover cluster: opção que requer versão Enterprise ou superior e recursos de SAN.•Split Scope: Configuração de dois servidores na proporção 70%-30%.

No Windows 2012 temos mais opções e um serviço resiliente mesmo com diversas falhas.•Introdução do recurso Failover para DHCP.•Modos Hot Standby e Load Sharing.

Load Sharing mode

Este é o modo padrão, dois servidores dividem a função de distribuir endereços na rede.

Configurando Failover• Requer dois servidor com função DHCP• A configuração é realizada através do

Configure Failover Wizard. Para acessar abra o DHCP Manager, expanda o servidor, clique com o botão direito sobre IPv4 e selecione Configure Failover.

Usando PowerShell para DHCPClique com o botão direito sobre o Windows PowerShell e selecione executar como administrador:•get-dhcpserverv4scope•Restart-service dhcpserver•Add-DhcpServerInDC <hostname of the DHCP server> <IP address of the DHCP server>



FASE 1



Active Directory, Criando Usuários, Grupos e

Computadores

FASE 1

Agenda1. Criando usuários, Grupos e Computadores no Active Directory

1. Compreendendo a utilidade das Organizational Units2. Criando Usuários no Active Directory3. Criando Grupos Locais, Grupos Globais e Grupos Universais4. Adicionando Computadores ao Domínio do Active Directory

O Active Directory Users and Computers

• O AD Users and Computes possui todos os objetos de usuários, grupos, computadores, impressoras, compartilhamentos entro outros

O Active Directory Users and ComputersOrganizational Units

• Os componentes do Active Directory são organizados sobre Organizational Units (OU).

• Além de design e organização, as OUs são responsáveis pela aplicação coerente das Policies do ambiente.

O Active Directory Users and ComputersAdvanced Features

• Apenas os principais componentes do AD são exibidos nas visão padrão.

• Para visualizar componentes Avançados, habilite o menu View/Advanced Features

• Como deletar uma OU protegida contra remoção acidental?

Demo

Acompanhe o seu instrutor durante a criação de algumas OUs

Hands on Lab• Crie da seguinte estrutura de OU:

S2B• TI• RH• FIN• Fabrica

– Gerentes– Colaboradores

Usuários do Active Directory• O Active Directory possui por padrão uma estrutura de usuários e grupos

administrativos. Os principais deles são:– Grupo: Enterprise Admins– Grupo: Domain Admins– Grupo: Administrators– Grupo: Domain Users– Usuário: Administrator

• Observe que existem grupos em Build In em Users

Criando Novos Usuários• Você pode criar usuários dentro de qualquer OU.• Um usuário deve necessariamente possuir um Nome e um Nome de

Logon• Por padrão as senhas dos usuários devem ser “Complexas”, ou seja,

devem seguir as regras:– Possui mix de Maiúsculas e Minúsculas– Possui Letras e Números– Possuir Caracteres Especiais, como !@#$%– Não podem ser “Brancas”– Não podem ser o nome do usuário

Criando Novos Usuários• Após a criação do usuário, você pode acessar suas propriedades.• Propriedades são informações de como o usuários aparecerá na rede, bem

como o que poderá fazer na rede.• Cada usuário pode editar suas propriedades

– Normalmente através do outlook.

• Dentre as principais propriedades estão:– Informações pessoais– Scripts de Logon– Configurações de Acesso Remoto, – VPN e Remote Desktop– Grupos aos quais pertence

Criando Novos Grupos• O Active Directory possui três formas de Grupos

– Grupos Domain Local– Grupos Globais– Grupos Universais

• Estes grupos podem ainda ser– Security Groups– Distribution Groups

Criando Novos Grupos• Grupos podem possuir membros• Grupos podem ser membros de outros Grupos• Usuários podem ser membros de vários grupos• Se o usuário João é membro do Grupo Financeiro e o Grupo Financeiro é

membro do Grupo Gerentes, então João recebe todas os benefícios do Grupo Gerentes

Demo

Acompanhe o seu instrutor durante a criação dealguns grupos e usuários

Hands On Lab• Crie a seguinte estrutura de usuários e

grupos• Cada OU possui dois usuários e um

grupo• Os usuários da OU fazem parte do

grupo desta OU• A OU Fábrica e S2B possuem apenas um

grupo, sem usuários• Os grupos de Gerentes e Colaboradores

são membros do grupo Fábrica• Os grupos Financeiro, Recursos

Humanos, Tecnologia da Informação e Fábrica, são membros do grupo S2B

Adicionando Computadores ao Domínio• Qualquer Windows pode utilizar os recursos de usuários e grupos de

domínio, porém, apenas Windows que fizerem parte do domínio aceitam o processo de Logon no Domínio

• Você adiciona um Windows ao domínio, para manter controle sobre suas configurações, proteger os dados do ambiente e melhorar a percepção de integração dos componentes Microsoft da estrutura

• Para adicionar um Windows ao Domínio, é necessário que este consiga Pingar o nome FQDN do domínio.

• Normalmente consegue-se isso configurando o DNS da estação para o mesmo DNS do DC, onde as entradas da Zona de DNS do domínio estão registradas

Adicionando Computadores ao Domínio• Para adicionar um Windows ao domínio, basta configurar o DNS da

estação apontando para o mesmo servidor de DNS que contêm a Zona do Domínio de AD.

• Confira se você consegue pingar o nome do domínio• Adicione o Windows ao domínio através da System Properties, acessível

no Painel de Controle• O Computador aparece na OU/Container Computer, em AD Users and

Computers

Demo

Acompanhe o seu instrutor na adição de uma computador ao domínio

Hands On Lab• Adicione o Windows 8 no domínio s2b.com.br• Confira se você consegue pingar o nome do domínio antes de adicioná-

la ao domínio• Verifique se a conta do computador aparece no Container Computers,

em AD Users and Computers



FASE 1



Active Directory, Adicionando um no DC ao Domínio

FASE 1

AgendaLição 1 - Adicionando um novo Domain Controler ao Domínio

1. Por que ter dois ou mais Domain Controlers?2. Compreendendo as FMOS do Active Directory3. Compreendendo a Funcionalidade do Global Catalog 4. Adicionando um novo DC ao Domínio

Discussão em Aula• Por que devemos ter mais de um Domain

Controller no mesmo site físico?• Devemos criar Domain Controllers em sites

remotos ou forçar o logon através de Links?• Devemos criar um novo Domínio Filho ou

apenas um Site?• Por que criaríamos três Domain Controllers ou

mais em cada site?

Active Directory Operation MastersFSMO

• O Active Directory é redundante por padrão, trabalhando com mais de um DC.

• Porém, algumas atividades do domínio somente podem ser exercidas por um DC ao mesmo tempo, estas atividades são de responsabilidade dos Operation Masters

• Todas as FSMO podem ser atribuídas a um único DC


• Duas FSMO por floresta– Schema Master– Domain Naming Master

• Três FSMO por domínio– PDC Emulator– RID Master– Infrastructure Master


• PDC Emulator e RID Master devem estar na mesma máquina porque o PDC Emulator é um grande consumidor de RID´s

• Infrastructure Master não deve estar em um DC que também é GC (Global Catalog)

• Para um gerenciamento facilitado, Schema Master e Domain Naming Master podem estar na mesma máquina, que deve ser também um Global Catalog (GC).

• De tempos em tempos, verifique se todas as FSMO estão disponíveis e funcionando corretamente. – Command Prompt: Netdom query fsmo

• Para saber mais: http://technet.microsoft.com/pt-br/library/cc716426.aspx

http://technet.microsoft.com/pt-br/library/cc716426.aspx

Global Catalogs• “Global Catalog” é uma função que pode ser desempenhada apenas por um

servidor do tipo “controlador de domínio” em uma rede Windows 2000 / 2003. Ele desempenha um papel vital no processo de logon dos usuários de uma rede.

• Ao fazer o logon em uma rede, uma das informações necessárias é saber a quais grupos um usuário pertence. Baseado nesta relação de grupos é que os acessos e direitos a objetos são concedidos ou negados.

• Mas, por padrão, um controlador de domínio só consegue identificar os grupos a que um usuário pertence de seu próprio domínio. Apenas o GC consegue identificar se o usuário pertence a um grupo de um outro domínio, por exemplo, os grupos do tipo “Universal”.

Quer saber mais: http://technet.microsoft.com/pt-br/library/cc668524.aspxhttp://technet.microsoft.com/en-us/library/cc728188(v=ws.10).aspx

http://technet.microsoft.com/pt-br/library/cc668524.aspx

http://technet.microsoft.com/en-us/library/cc728188(v=ws.10).aspx

Adicionando um novo DC ao domínio• Para adicionar um novo Domain Controller ao domínio, basta

adicionar um Windows Server ao domínio, da mesma forma como foi adicionada a Estação de Trabalho.

• Após, adicione as Roles de Active Directory desejadas e promova o servidor ao domínio.

• Você necessitará informar • que deseja “Adicionar um Novo DC a um domínio Existente”• Fornecer as credenciais administrativas do domínio• Informar a qual Site este DC pertencerá• Informar se este será um Read Only Domain Controller• Informar se este servidor conterá Global Catalog• Informar se deverá ser criada um cópia do servidor de DNS

Demo

Acompanhe o seu instrutor na adição de um novo DC ao domínio

Hands On Lab 1/3Replicando o AD

• Adicione o Novo Windows Server ao domínio e adicione a Role de AD Domain Services

• Promova o Windows a um DC, obedecendo os seguintes critérios:– Adicione o servidor ao domínio s2b.com.br existente– Este servidor deverá conter DNS e Global Catalog– Não habilite as opções de Read Only Domain Controller– Instale o serviço de DNS no novo servidor– Adicione o DC ao mesmo site do atual DC

Hands On Lab 2/3Conferindo a replicação

• Após a replicação com sucesso do novo DC, confira se os Objeto de usuário, computador, Grupos de OUs foram replicadas com sucesso

• Adicione um Novo Usuário do ambiente de verifique se o mesmo se encontra em ambos os DCs

• Verifique o que mudou no Active Directory Sites and Services• Navegue até a conta da Máquina no AD Sites and Services, e verifique

se replicação está funcionando, solicitando um “Replicate Now”• Verifique ambas as contas de Computadores dos Domain Controllers,

estão exibidos na OU Domain Controllers

Hands On Lab 3/3Conferindo as FSMO

• Verifique disposição das FSMO através dos seguintes locais• Em AD Users and Computers, clique com o botão direito sobre o domínio e verifique a

opção Operations Master• Em AD Domains and Trusts, clique com o botão direito sobre o ícone “Active Directory

Domains and Trusts” e verifique a opção Operations Master• Verifique a FSMO Schema Master Role através do seguintes procedimentos:

– No Command Prompts execute o comando REGSVR32.EXE SCHMMGMT.DLL – Execute o comando MMC– Adicione a Snap In Active Directory Schema– Clique com o direito sobre o ícone “Active Directory Schema” e verifique a opção Operations Master

• Verifique a existência das FSMOs através do comando NETDOM QUERY FSMO• Verifique a existência das FSMOs através do comando NTDSUtil



FASE 1



Permissões de NTFS

FASE 1

AgendaLição 1 - Permissões de NTFS•Criando estruturas de pastas para um Sistema de Arquivos•Concedendo permissões de NTFS•Criando Compartilhamentos e Permissões de Compartilhamento•Auditando um Sistema de Arquivos

Sistema de Arquivos

• O sistema de arquivos do Windows é controlado através de Permissões NTFS

• As permissões de NTFS são suficientes para controlar qualquer acesso a diferentes níveis de pastas, através de grupos, usuários ou computadores

• Para criar um sistema de arquivos, utilizamos um mix de permissões de NTFS e de Compartilhamentos

Permissões de NTFS

• O Windows possui inúmeras permissões disponíveis para controlar o acesso a recursos em diretórios e arquivos

• A principais permissões são:– Full Control– Modify– Read & Execute– List Folder Contents– Read– Write

Permissões de NTFS• As permissões básicas de NTFS podem ainda ser esmiuçadas

• As permissões podem ser aplicadas para vários níveis na pasta local e em subpastas

Permissões de NTFS• Na versão do Windows 2012, você pode adicionar Filtros de

permissão

• Você pode conceder permissões no formato Allow ou Deny– Uma permissão de Deny sempre sobrescreve uma permissão de Allow– Considere o seguinte exemplo:

• joão faz parte dos grupos FIN e TI• Na pasta Gerentes, o grupo FIN tem permissão de Allow:Full Control• Na pasta Gerentes, o grupo TI tem permissão de Deny: Write• Na pasta Gerentes, o usuário João tem permissão de Allow: Write• Qual a permissão efetiva de João?

Permissões de NTFS• Todo diretório ou Arquivo possui um Owner

– O Owner do objeto tem a permissão concedido pelo grupo OWNER e não necessariamente terá permissão sobre o objeto

– O grupo Administrators, por padrão possui uma permissão chamada Take Ownership, concedida através de Policies de Segurança. Esta permissão é que faz com que o usuário Administrator consiga obter acesso a qualquer local

• Herança de permissões– Para facilitar a configuração de direitos, as subpastas e arquivos

herdam direitos de NTFS das pastas pai, causando uma Cadeia de Permissões

– É possível quebrar a herança de Permissões, fazendo com que todos os direitos da pasta pai não se apliquem a pasta em questão

– Caso o usuário João tenha Allow: Full Control sobre o diretório FIN, não necessariamente ele terá direitos nos diretórios a baixo, devido a quebras de heranças

Auditoria de NTFS• Todo diretório e arquivo pode ser configurado para manter

Auditoria de Acessos e Alterações• A Auditoria é configurada através de Policies de Direitos• O resultado da auditoria é depositada dentro do Event Viewer

Compartilhando Pastas• Normalmente uma empresa utiliza um servidor da rede para compartilhar documentos entre os

colaboradores.• Estes recursos de rede são denominados Servidores de Arquivos• Para permitir acesso a uma pasta dentro de um Windows, esta pasta deve ser Compartilhada.• A pasta base da estrutura do Sistema de Arquivos é onde o Compartilhamento deverá ser criado, todas as

subpastas de arquivos da pasta compartilhada ficarão disponíveis através do compartilhamento• Um compartilhamento possui apenas três Permissões:Full Control, Change e Read, ainda contendo as

opões de Allow e Deny

Compartilhando Pastas• As permissões de Compartilhamento são Confrontadas com as permissões de NTFS, de forma sequencial.

– Se• João tem permissão no Compartilhamento de Allow: Full Control• João tem permissão de NTFS de Allow: Read• A Permissão Efetiva de João através do compartilhamento será Read

– Se• João tem permissão no Compartilhamento de Allow: Read• João tem permissão de NTFS de Allow: Full Control• A Permissão Efetiva de João através do compartilhamento é Read

Acessando um Compartilhamento• Para acessar um compartilhamento de rede,

basta utilizar o seguinte padrão:– \\NomeDoServidor\NomeDoCompartilhamento

• Todo compartilhamento Windows é divulgado na rede, através de simples buscas. Para ocultar um diretório nas listagens automáticas, basta adicionar o caractere $ no final do nome do compartilhamento.

Access Based Enumeration• Você pode ocultar as pastas que determinado usuário não possui permissão, através do

recurso Access Based Enumeration,, configurável através do Server Manager

Demo

Acompanhe o seu instrutor durante a criação e permissionamento e compartilhamento do sistema de arquivos do S2B

Hands On Lab 1/3• Realize a criação e

permissionamento e compartilhamento do sistema de arquivos do S2B

• Crie a seguinte estrutura de diretórios na unidade C:\

• Configure as propriedades de cada usuário, no AD Users and Computers, configurando sua Pasta Home

Hands On Lab 2/3• Conceda as permissões adequadas a cada diretório, de

forma que apenas os referidos grupos do Active Directory tenham permissão sobre as pastas.– Todos devem ter permissão de Listas o Conteúdo da pasta S2B,

porém, não podem criar arquivos neste local– O mesmo se aplica a pasta Departamentos– O mesmo se aplica a pasta Usuarios– Somente o respectivo Gupo pode ter direitos na pasta de seu

departamento– Somente o respectivo Usuário pode ter direitos em sua pasta pessoal– Todos devem ter direitos de criar arquivos na pasta Publica, porém,

somente o seu criado pode apagar seus arquivos

Hands On Lab 3/3• Compartilhe o sistema de arquivos, de forma que todos os

usuários do domínio possam ter permissões de acessar o diretório base, porém, podem acessar apenas os diretórios que lhes convém.

• Configure o sistema de arquivos para ocultar as pastas das quais os usuários não possuem permissões.

• Efetue logon no Windows 8 com três usuários, e confira se as permissões concedidas são suficientes para o cenário.

• Para acessar o compartilhamento, basta utilizar o diretório \\SERVERNAME\SHARENAME



FASE 1



Policies do Active Directory

FASE 1

AgendaLição 1 - Policies de Active Directory•O Group Policy Management•Revisando a estrutura de Organizational Units•Criando Policy Templates•Criando Group Policy Objects•Policies de Máquinas X Policies de Usuários•Criando e aplicando uma Policy•Testando a aplicação da Policy – GPUpdate, GPResul e RSoP

O que são policies• Policies de Active Directory podem controlar e limitar acessos

a recursos do Windows.• Policies podem padronizar recursos do ambiente, como

atalhos, impressoras, compartilhamentos e outros• Policies podem auxiliar na administração da rede, criando e

editando recursos nas máquinas dos usuários• Remover o Command Prompt, Setar Papel de Parede, Setar o Proxy, Padroanizar o

Botão Inicial, Limitar Recursos de Design do Windows, Criar usuários e Grupos, Remover Usuários das estações locais, Trocar a senha do Admin das estações, Impedir a execução de algum executável, Configurar as conexões de VPN, Instalar MSIs e mantê-los íntegros, conceder direitos de NTFS, Logon Scripts...

O Group Policy Management• Você criar policies através da feature Group Policy Management, em

Administrative Tools• O que é Group Policy Modeling• O que são Group Policy Results• O que são Starter GPOs• O que são WMI Filters• Onde encontrar todas as GPOs: Group Policy Objects

Default Policies• O Active Directory possui duas policies por

padrão– Default Domain Policy: Possui configurações como

Padrões de Senha e Auditoria– Default Domain Controller Policy: Possui

permissionamentos aplicados sobre os DCs do domínio, entre elas, restringir o logon de usuários não adminstradores

Onde Podemos Aplicar GPOs• O Active Directory permite aplicar GPOs sobre Computadores

e Usuários• Você aplica as policies em níveis de estrutura do Active

Directory• As policies associadas a um objeto são aplicadas na seguinte

order:1. Policies de Sites da Floresta2. Policies que estão sobre o Domínio3. Policies que estão sobre a estrutura de Ous, de cima para baixo4. De acordo com a ordem da policy sobre a OU

• Dessa forma, você pode aplicar policies para várias situações e em diferentes locais.

Onde Podemos Aplicar GPOs• Policies não são aplicadas sobre Grupos• Policies são aplicadas por padrão em todos os objetos Usuário

e Computador, localizados na OU em questão, porém, esse comportamento pode ser alterado através Permissões nas Policies

• Ainda é possível adicionar Filtros de WMI sobre as policies, de forma que elas só apliquem em determinados casos, como por exemplo, Somente em Computadores com o Windows 8.

Herança de Policies• Assim como em NTFS, o efeito das policies criadas são

propagadas para os componentes mais a baixo na estrutura, de forma que, ao criar uma policy sobre o domínio, ela aplica sobre todas as OU

• Caso duas policies configurem a mesma política, de formas difentes, em uma mesma estrutura herdada, a policy aplicada a OU mais profunda é validada

• Você pode bloquear a herança de Policies sobre uma OU• Você pode forçar a aplicação de uma Policy, sobrescrevendo a

opção de bloqueio de herança

Conteúdo de uma Policy• Uma policy possui duas divisões. As

configurações disponíveis a baixo de cada ítem aplicam somente ao objeto em questão:– Computer Configuration– User Configuration

• Cada grupo de políticas está dividida ainda em Policies e Preferences

Utilizando Filtros• Para facilitar a localização

de Policies específicas, você pode utilizar a opção Filter Options

Policy – ADMX Files• A idéia de policies só foi possível por que a Microsoft centralizou “todas”

as configurações do Windows sobre um repositório único, chamado Registry.

• Você pode acessar o Registry do Windows executando o comando REGEDIT.EXE

• A maioria das policies nada mais são do que simples aplicações de Chaves de Registry nas estações de trabalho, quando o Windows Inicia, ou qual um Usuário realiza Logon

• Caso a política que você procura não está disponível no Active Directory, você pode cria-la através de arquivos .ADMX

– Utilize a ferramenta RegToADMX para criar arquivos ADMX a partir de chaves de registry

• Para associar arquivos ADMX a uma policy utilize a opção Add/Remove Templates

Policy – ADMX e Central Store• Por padrão, todas definições de policies são adquiridas

através de um repositório local, em cada DC.

• Ao criar Policies Customizadas, você deve distribuir os arquivos ADMX de sua policy por todos os DC do ambiente, para facilitar esta ação, configure uma Central Store– Para criar uma Central Store, copie o conteúdo do diretório C:\

Windows\PolicyDefinitions para o diretório C:\Windows\SYSVOL\sysvol\<DomainName>\Policies\PolicyDefinitions

– Confira a alteração dentro da Policy

Verificando a aplicação de uma Policy• Você pode verificar a aplicação de um

Policy através do comando – GPResult /R

• Por padrão, uma policy é atualizada nas estações dos usuários a cada 90 minutos

• Você pode solicitar a Reaplicação de uma Política através do comando– GPUpdate /FORCE– Algumas policies necessitam a

realização de Logoff e Logon para aplicarem, ou no caso de uma policy de Computador, a operação de Restart

Utilizando o Result Set of Policy• Para verificar o resultado da aplicação de uma ou uma série de policies sobre

um usuário ou computador, você pode utilizar o RSoP.• Esta opção está disponível através de Snapins no computador local ou no

servidor• Através do RSoP é possível identificar a origem de uma policy aplicada

Demo

Acompanhe o seu instrutor durante a configuração das de algumas policies

Hands On LabRealize a configuração das seguintes políticas•Os usuários da OU FIN não devem ter acesso ao Command Prompt•Os usuários da OU RH não devem ter acesso ao Control Panel•O Papel de Parede das estações deve ser padronizado•Os Colaboradores da Fabrica não devem conseguir executar o aplicativo CALC.EXE•O Proxy de todos a baixo do S2B deve ser 192.168.0.1•O usuário não pode alterar o proxy•Nenhum usuários a baixo do S2b pode executar o aplicativo Notepad.exe, com exceção do grupo TI•A Pasta My Documents das estações dos usuários, deve ser redirecionada para a Pasta Home de cada usuário•No desktop de cada estação dever ter um atalho para o aplicativo Paint.exe•A Senha do Administrador local de todas as estações deve ser “pass@word1”•Na unidade C:\ de cada estação deve ser criado o diretório C:\Apps•Dentro do diretório Apps deve ser colocado um arquivo .INI•O grupo S2B deve ter acesso de Write sobre a pasta Apps•Distribua um arquivo MSI de sua preferencia, para todas as estações do domínio, através de Software Publishing•Verifique a aplicação das políticas em três usuários diferentes do ambiente, logando no Windows 8



FASE 1



Backup e Restore do Active Directory

FASE 1

AgendaLição 1 - Backup e Restore do Active Directory•Backup ou Vários Domain Controlers?•Criando um backup do Active Directory•A Lixeira do Active Directory•Restaurando um Backup de Active Directory

•Referencia:– http://www.edeconsulting.be/activedirectorypublications.asp– http://

www.edeconsulting.be/downloads/WindowsServer2012ADBackupandDisasterRecoveryProcedures_V1.0.pdf

http://www.edeconsulting.be/activedirectorypublications.asp

http://www.edeconsulting.be/activedirectorypublications.asp

http://www.edeconsulting.be/downloads/WindowsServer2012ADBackupandDisasterRecoveryProcedures_V1.0.pdf



Por que realizar Backup do AD?• Para manter a continuidade do negócio, você pode optar por criar dois ou

mais Domain Controllers, situados localmente ou distribuídos geograficamente

• Toda informação necessário de um DC está copiada em todos os outros DCs, sem exceção

• FSMOs e Global Catalogs são apenas atribuições, não são dados físicos• Você realiza backup de um AD, para poder restaurar um usuário ou outro

objeto deletado acidentalmente• Para poder recuperar o último DC no caso de um desastre• Pergunta: Devo restaurar um DC a partir de um Backup, ou recriá-lo

através de uma nova Promoção?

Métodos de Backup do AD• Existem inúmeras formas de realizar um backup do Active

Directory, entre elas:– Backup do System State– Habilitar o Recycle Bin– Criar Snapshot Backups– Através de Tombstone Reanimation

Backup do System State• Um backup de System State inclui principalmente os seguintes

recursos:– Registry– COM+ Class Registration database– Boot files– Active Directory Certificate Services (AD CS) database– Active Directory database (Ntds.dit)– SYSVOL Directory– Cluster service information – Microsoft Internet Information Services (IIS) metadirectory – System files that are under Windows Resource Protection – Active Directory Federation Services

Demo

Acompanhe o seu instrutor no procedimento de backup do System State

Hands On Lab• Realize o procedimento de backup do System State

– Instale a feature Backup do Windows, através do Power Shell• add-windowsfeature windows-server-backup –includeallsubfeature

– Agente um Backup do System State execute:• Wbadmin enable backup -addtarget:<target> -schedule:21:00 –systemstate –quiet• Para criar um backup contendo todas as informações do servidor, para uma possível

restauração complete, execute:– Wbadmin enable backup -addtarget:<target> -schedule:21:00 –systemstate –quiet –allcritical –vssfull

– Para criar um backup manual execute:• Wbadmin start systemstatebackup –backuptarget :<drive> -quiet

– Para localizar todas os backup realizados execute:• Wbadmin get versions

– Para visualizar o progresso de um backup execute:• Wbadmin get status

Tombstone Reanimation• O Active Directory não realiza um remoção física do objeto

quando é deletado.• Caso não esteja habilitado o Recycle Bin, os objetos deletados

são movidos para a Tombstone, permanecendo por algum tempo e então removidos

Active Directory Recycle Bin• Caso o Recycle Bin esteja ativa, os objetos são apenas

movidos para a “Lixeira” sendo passíveis de recuperação

• Você não pode restaurar objetos dos pais o “PAI” deles foi removido

• Não é possível reaver propriedades modificadas, ou Group Membership

Demo

Acompanhe o seu instrutor no procedimento para habilitar a Lixeira do AD

Hands On Lab• Habilite a Lixeira do AD

– Verifique se o nível da Floresta está pelo menos para para Windows 2008 R2– Abra o Active Directory Administrative Center– Abra o domínio s2b.com.br e clique sobre o botão Enable Recycle Bin

Active Directory Snapshot Backup• Através de Snapshot Backups, você pode levantar uma cópia

do Active Directory em uma outra porta e ter acesso de leitura nesta cópia.

• A vantagem de Snapshot é possibilidade de visualizar cada detalhe do AD, como propriedades de objetos

• Para recuperar um objeto, é necessário exportá-lo, utilizando comandos como LDIFDE ou CSVDE

Demo

Acompanhe o seu instrutor no procedimento de backup com Snapshots

Hands On Lab• Execute o procedimento de backup com Snapshots

– Logue no DC com uma conta administrativa– Entre no Command Prompt e execute NTDSUTIL– Execute os seguintes comando em sequencia

• Activate Instance NTDS• Snapshot• Create• List All

Alterando a senha do ADRM• Para alterar a senha do Active Directory Restore Mode, utilize

a seguinte sequencia de comandos:– NTDSUTIL– SET DSRM PASSWORD– RESET PASSWORD ON SERVER <ServerName>– <Digite a senha>– <Confirme a senha>– Close

Distinguished Name Objects

• Todo objeto de Active Directory possui um nome único, denomidado Distinguished Name

Restaurando dados do AD• Non-Authoritative Restore

– Este é método padrão de recuperação. Ao realizar este procedimento, a informação do backup é restaurada e então sobrescrita pela replicação do Active Directory, a partir de outros DCs

– Para realizar este procedimento, execute as seguintes etapas:• Para acessar o “Active Directory Restore Mode” execute o comando

– “BCDEDIT /SET SAFEBOOT DSREPAIR” e reinicie o servidor

• Entre com a senha de DSRM• No command Prompt execute

– Wbadmin get version– Wbadmin start systemstaterecovery –version:<version> -quiet

• Ao finalize pressione Y e aguarde o reboot• Logue novamente com o DSRM e aguarde o restore finalizar• Execute

– BCDEDIT /DELETEVALUE SAFEBOOT

• Reinicie o servidor

Restaurando dados do AD• Authoritative Restore

– O procedimento de restauração é o mesmo do Non-Authoritative, com a diferença que os objetos restaurados são mantidos e replicados para todos os outros DCs

– Para realizar este procedimento, execute as seguintes etapas:• Para acessar o “Active Directory Restore Mode” execute o comando

– “BCDEDIT /SET SAFEBOOT DSREPAIR” e reinicie o servidor

• Entre com a senha de DSRM• No command Prompt execute

– Wbadmin get version– Wbadmin start systemstaterecovery –version<version> -quiet

• Ao finalize pressione Y e aguarte o reboot• Logue com o DSRM e aguarde a finalização do restore• Através do command prompt execute o NTDSUtil

– Activate instance ntds– Authoritative restore– Para um objeto: Restore Objet “<distinguished name>”– Para uma árvore: Restore subtree “<distinguished name>”– Precione Y, Q, Q

• Execute e após reinicie o servidor– Bcdedit /deletevalue safeboot

Tombstone Object Reanimation• Utilizando Tombstone Object Reanimation• Esta opção é sempre realizada de forma Authoritative• Pode-se utilizar as ferramentas LDP.exe ou ADRestore.exe

• Apesar de não ser complexa a restauração de usuários através de LDP, foi desenvolvida uma interface gráfica mais amigável, disponível neste site:

– http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx

• Execute o comando ADRestore /R

• Quer saber mais?– http://social.technet.microsoft.com/wiki/contents/articles/4921.aspx

AD Snapshot Restore• Para restaurar objetos de um snapshot, basta iniciar o instância do

Snapshot e exporta-lo através de LDIFDE ou CSVDE:– http://technet.microsoft.com/en-us/library/cc731033(WS.10).aspx– http://technet.microsoft.com/en-us/library/cc732101(WS.10).aspx

• Para montar um snapshot, siga os seguintes passos:– Localize e anote o caminho do arquivo ntds.dit a ser montado– Execute o seguinte comando:

• Dsamain –dbpath <path>\ntds.dit –ladapport <portnumber>• Exemplo: dsamain –dbpath c:\$SNAP_20112041648_VOLUMEC$\windows\NTDS\ntds.dit –ldapport 22222

– Abra a snapin ADSI através do MMC– Selecione Connect to, Advanced e insira a porta especificada no commando anterior– Selecione Ok, OK

• Pronto, você está conectado ao snapshot, agora basta exportar o objeto• Para desmontar o snapshot, execute o seguinte no NTDSUTIL

– Snapshot– List All– Unmount <snapshot number>

http://technet.microsoft.com/en-us/library/cc731033(WS.10).aspx

Restore através do Recycle Bin• Uma vez habilitada a opção de Recycle Bin, você

pode recuperar objetos deletados através do Active Directory Administrative Center

Hands On Lab• Sem o auxílio do Instrutor, execute os seguintes

procedimentos:• Delete o usuário Maria e execute sua recuperação

através de Authoritative Restore Mode• Delete o usuário João e execute sua recuperação

através de Tombstone Restore Mode• Delete o usuário Pedro e execute sua recuperação

através de AD Snapshots• Delete o usuário Tiago e execute sua recuperação

através do Recycle Bin



FASE 1



File and Storage Services - DFS

FASE 1

AgendaLição 1 - File and Storage Services•Funcionalidades e recursos•DFS Namespaces •DFS Replication •Aplicações práticas•Novidades do DFSN e DFSR no Windows 2012•PowerShell cmdlets

AgendaLição 2 – DFSN e DFSR instalação e configurações•Instalando funções DFSN e DFSR•Configurando DFSN•Hands on Lab

Lição 1 - File and Storage ServicesFuncionalidades e recursos

• A função File And Storage Services serve para configurar e gerenciar um ou mais servidores de arquivos.

• A função File and Storage Services é instalada por padrão em todos os servidores Windows 2012.

• Se outras há necessidade de uso de mais funcionalidades além do compartilhamento de arquivos, então é preciso instalar as funções adicionais manualmente através do wizard de instalação de funções ou através do PowerShell (cmdlet Install-WindowsFeature)

• Distributed File System (DFS)

DFS Namespaces

• Além do compartilhamento de arquivos, podemos usar DFS Namespaces para organizar arquivos distribuídos em diversos servidores de maneira lógica e intuitiva para usuários

• Um namespace pode ser constituídos de vários servidores de arquivos em locais diferentes (diferentes sites)

DFS Replication• Possibilita a replicação de pastas e arquivos• A replicação pode ser para diferentes localidades (sites)• Utiliza compressão diferencial remota (RDC) para ecnomia de

banda e eficiência.• A replicação detecta alterações nos dados do arquivo e replica

apenas os blocos de dados que foram modificados.

Aplicações práticas• Estudo de caso 1: A empresa Contoso possui matriz em São Paulo e filial no Rio de

Janeiro e deseja que os usuários das duas cidades tenham acesso aos mesmos arquivos a qualquer momento e com desempenho de acesso LAN. Como resolver este caso?

• Estudo de caso 2: A empresa Contoso possui cinco servidores de arquivos um para cada setor (RH, DEV, Financeiro, TI e Diretoria), cada um deles com uma pasta compartilhada. Como simplificar a estrutura criando um ponto único de acesso aos dados?

Novidades do DFSN e DFSR no Windows 2012

• Windows PowerShell module for DFS Namespaces• DFS Namespaces: Site awareness for DirectAccess clients• DFS Namespaces: Windows Management Infrastructure

provider• DFS Replication: Support for Data Deduplication volumes

PowerShell cmdlets• Get-DfsnRoot• New-DfsnRoot• Set-DfsnRoot• Remove-DfsnRoot

• Get-DfsnRootTarget• New-DfsnRootTarget• Set-DfsnRootTarget• Remove-DfsnRootTarget

Lição 2 – DFSN e DFSR instalação e configurações

• Instalando funções DFSN e DFSR• Configurando DFSN• Hands on Lab

Instalando funções DFSN e DFSR• Instalamos as funções DFSN e DFSR através do Server Manager.

– Estas funções fazem parte da função File and Storage Services que já está instalada.

Configurando DFSN• Utilize o DFS Management• Pasta padrão para armazenamento dos namespaces é C:\

DFSRoots

Demo

Acompanhe o seu instrutor no procedimento instalação e configuração das funções de DFSN e DFSR

Hands On Lab• Realize as seguintes tarefas:• Instale a função DFSN e DFSR no servidor.• Abra o DFS Management.• Crie um DFS Root chamado Dados.• Crie um pasta chamada Docs.• Teste o acesso através da máquina virtual Windows 8



FASE 1



Quotas de sistemas de arquivos

FASE 1

AgendaLição 1 – Quotas de disco•O que são cotas de disco?•Características e Limites•Configurando entradas de cotas•Hands on Lab

AgendaLição 2 – File Server Resource Manager•Função File Server Resource Manager•File Classification Infrastructure•File Management Tasks•Quota Management•File Screening Management•Storage Reports

Lição 1 – Quotas de discoO que são cotas de disco?

• Cotas de disco possibilitam rastrear e controlar o uso de espaço em volumes NTFS.

• Utilizando cotas de disco podemos gerar logs nos eventos do Windows quando um usuário exceda sua cota e/ou impedir a gravação de arquivos.

Características e limites• Cotas de disco só podem ser ativadas por volume• O volume deve ser NTFS• A cotas devem ser configuradas por usuário, por volume• Podem ser configurados dois limites, um para alerta e um

limite para impedir a gravação• Pode-se configura um limite padrão para novos usuários

Configurando entradas de cotas• Acompanhe o seu instrutor no procedimento de ativação de cotas

– Ative cotas no volume C:– Crie uma nova entrada para um usuário– Edite as entradas e verifique quem ocupa mais espaço

• Esta ferramenta pode induzir a bloqueios de gravação indesejados? Como isso poderia acontecer?

Lição 2 – File Server Resource Manager• File Server Resource Manager – FSRM é um conjunto de

ferramentas que possibilita:– Aplicação de limites em volumes e pastas– Impede a gravação de tipos de arquivos especifícos no servidor– gera relatórios do uso dos volumes de armazenamento de arquivos– Pode ser usado apenas em volumes NTFS. ReFS não é suportado.

Recursos de Quota FSRM NTFS disk quotas

Rastreamento da Cota By folder or by volume Per user on a volume

Cálculo do uso de disco Actual disk space Logical file size

Mecanismo de notificação

E-mail, event logs, command execution, built-in reports

Event logs only

Interface de Gerenciamento

File Classification Infrastructure• File Classification Infrastructure proporciona processo de

classificação automatizada para gerenciamento de dados mais efetiva. Pode-se aplicar políticas dinâmicas para arquivos de acesso restrito, criptografia de arquivos e expiração de arquivos.

• Observe a criação de uma regra de classificação de arquivos.

File Management Tasks

• Configurando File Management Tasks podemos criar políticas para manejo de arquivos automaticamente.

• As tarefas podem mover arquivos e fazer a manutenção de volumes permanentemente.

Quota Management• Possibilita criar cotas:

– Para limitar espaço permitido em um volume– Para limitar o espaço permitido em uma pastas e/ou em suas

subpastas.– Pode-se criar modelos (templates) para novos volumes ou pastas

• Tipos cotas: – Hard: impede gravação quando o limite é atingido e gera aviso– Soft: apenas gera aviso mas o usuário pode continuar gravando

Interface Quota Management

File Screening Management• Possibilita controlar os tipos de arquivos que os usuários

podem armazenar no servidor• Podemos limitar extensões que podem ser armazenadas no

compartilhamento• Podemos impedir gravação de arquivos .mp3 e .avi nos

documentos do financeiro, por exemplo.• File Groups predeterminados, facilitam novas regras• Templates dos principais filtros já estão na interface

Interface File Screening

Storage Reports• Podemos gerar relatórios apresentando

volume ocupado por usuário e por pastas.• Podemos rastrear gravação de arquivos não

autorizados dentro de um volume/pasta.

Demo

Acompanhe o seu instrutor no procedimento nos procedimentos de criação e configuração de quotas

Hands On Lab• Realize os procedimentos abaixo:

– Criar uma Classification Property e uma Classification Rule– Criar uma File Management Task.– Criar uma cota para uma pasta.– Criar um template de cota.– Criar um filtro de arquivos (file screening) usando os grupos e modelos de filtros

predefinidos.– Criar um relatório de uso de espaço no volume C:



FASE 1

Students to Business – 2013/1 INFRAESTRUTURA DE REDES FASE 1.

Documents

Transcript of Students to Business – 2013/1 INFRAESTRUTURA DE REDES FASE 1.