Microsoft, Active Directory, AppLocker, Bing, BitLocker, DreamSpark, Hyper-V, Internet Explorer, SQL Server, Visual Studio, Win32, Windows Azure, Windows, Windows PowerShell, Windows Server, and Windows Vista são marcas registradas ou marcas da Microsoft Corporation nos Estados Unidos e/ou em outros países. Outros nomes de produtos e de empresas mencionados no livro podem ser marcas registradas de seus respectivos donos. Os nomes de empresas, organizações, produtos, nomes de domínio, endereços de e-mail, logos, pessoas, lugares e eventos retratados aqui são fictícios. Nenhuma associação com empresa, organização, produto, nome de domínio, endereço de e-mail, logo, pessoa, lugar ou evento é intencional ou deve ser inferido. Qualquer semelhança é mera coincidência. O livro expressa as opiniões e pontos de vista do autor. A informação contida nesse livro é provida sem nenhuma garantia expressa, estatutária ou implícita. Nem o autor nem a Microsoft Corporation serão responsabilizados por quaisquer danos causados ou alegados de terem sido causados diretamente ou indiretamente por este livro.
Índice 1- Instalar e Configurar Servidores ..................................................................................... 4 1.1 - Instalando Servidores .................................................................................................... 4 1.2- Configurar Servidores................................................................................................... 20 1.3- Configurar armazenamento local ............................................................................... 39 2 – Configurando Funções e Recursos de Servidor ..................................................... 69 2.1 - Configurar acesso a arquivos e compartilhamentos .......................................... 69 2.2 – Configurar serviços de impressão e documentos .............................................. 91 2.3 – Configurar Servidores para Gerenciamento Remoto ....................................... 112 3 – Configurar o Hyper-V .................................................................................................... 125 3.1- Criar e configurar máquinas virtuais ...................................................................... 125 3.2 – Criar e Configurar Armazenamento de Máquina Virtual .................................. 149 3.3 – Criar e Configurar Redes Virtuais .......................................................................... 165 4- Implantar e Configurar Serviços de Rede Essenciais ........................................... 183 4.1 – Configurar endereçamento IPv4 e IPv6 ................................................................ 183 4.2 – Configurar Servidores............................................................................................... 203 4.3 – Instalar e Configurar o serviço DNS...................................................................... 220 5 – Instalar e Administrar o Active Directory. ............................................................... 240 5.1 – Instalar Controladores de Domínio ....................................................................... 240 5.2 – Criar e Gerenciar Usuários e Computadores do Active Directory ................ 258 5.3 – Criar e Gerenciar Grupos e Unidades Organizacionais (OU) do Active Directory ............................................................................................................................. 277 6 – Criar e Gerenciar Políticas de Grupo ....................................................................... 294 6.1 – Criar Objetos de Políticas de Grupo ..................................................................... 294 6.2 – Configurar Políticas de Segurança........................................................................ 305 6.3 - Configurar políticas de restrição de aplicação .................................................. 321 6.4 – Configurar o Firewall do Windows ........................................................................ 331
3
1- Instalar e Configurar Servidores Instalar novos servidores Windows na sua rede não deve ser algo feito por acaso, você deve planejar a instalação com antecedência. Entre outras coisas você deve decidir se vai instalar a interface gráfica (GUI) completa ou se vai usar a opção Server Core (pode ser traduzida aproximadamente como somente linha de comando), qual será a sua estratégia de virtualização, e quais funções você pretende implementar no servidor. Se você está instalando o Windows Server 2012 R2 pela primeira vez num hardware, você também precisa decidir se vai colocá-lo no seu ambiente de produção ou em um ambiente de testes. Este artigo discute o processo de instalação do Windows Server 2012 R2 usando a opção de nova instalação e de atualização além das configurações que você vai precisar fazer logo após a instalação. Por fim, considera a configuração de vários tipos de diferentes tecnologias de discos (HD’s) usados para armazenamento local e a implementação de funções em servidores por todo o seu ambiente. Objetivos deste capítulo: 1. Instalar Servidores 2. Configurar Servidores 3. Configurar armazenamento local
1.1 - Instalando Servidores Instalação é um tópico chave e sempre foi muito testado em exames anteriores do Windows Server. O que continua no exame 70-410. Este item discute o planejamento da instalação do Windows Server 2012 R2. Aborda os requisitos de pré-instalação e como você pode preparar seu hardware para instalação. Também considera as funções de servidor que você pode implementar durante a instalação. Para revisar os tópicos deste item, esta seção irá passar por uma instalação do Windows Server 2012 R2 com a opção Server Core e descreverá como os Recursos sob Demanda (em inglês Features on Demand) te permite otimizar recursos removendo todos os arquivos relacionados com funções e recursos de servidor. Este item também aborda as opções existentes para atualizar um servidor rodando o Windows Server 2008 ou Windows Server 2008 R2 para o Windows Server 2012 R2 e como migrar funções em um servidor em produção para um servidor novo.
4
Planejando uma instalação de servidor Em versões anteriores ao Windows Server 2008 R2, o planejamento de uma instalação podia ser uma tarefa bem complexa. Você tinha que decidir intuitivamente qual edição do sistema operacional instalar, se iria usar a versão 32 ou 64 bits, e se iria instalar o servidor no modo Server Core ou se usaria a interface gráfica completa. Todas essas decisões afetavam os requisitos de hardware e cada uma delas era irrevogável. Para mudar a edição, a plataforma ou a interface, você tinha que reinstalar o servidor do zero. Com o Windows Server 2012, você tem bem menos opções para escolher e bem menos decisões de instalação para fazer. Desde o Windows Server 2008 R2, não existe mais a opção 32 bits; apenas a versão 64 bits está disponível, refletindo o fato de que a maioria das aplicações mais populares são 64 bits e que as configurações de servidores modernos estão em hardware que requer 64 bits. Existem 4 opções do Windows Server 2012 R2 para escolher, duas a menos que o Windows Server 2008 R2. As opções Server Core e Interface gráfica completa (full GUI) permanecem, junto com uma terceira opção chamada Interface Mínima de Servidor. Entretanto, agora é possível trocar entre essas opções sem ter que reinstalar o servidor em cada vez. Selecionando uma edição do Windows Server 2012 R2 A Microsoft lança todos os seus sistemas operacionais em várias versões, que entregam aos clientes várias opções de preços com diferentes conjuntos de recursos. Quando estiver planejando uma implementação de servidor, a edição do sistema operacional que você escolher deve se basear em diversos pontos, incluindo os seguintes: As funções que você pretende instalar; A estratégia de virtualização que você pretende implementar; A estratégia de licenciamento que você planeja usar. Comparado ao Windows Server 2008, a Microsoft simplificou o processo de escolha de uma edição de servidor reduzindo o número de produtos disponíveis. Assim como o Windows Server 2008 R2, o Windows Server 2012 R2 requer um processador com arquitetura de 64 bits. Todas as versões 32 bits foram eliminadas e os processadores Itanium não são mais suportados. Isto deixa o Windows Server 2012 R2 com as seguintes edições: Windows Server 2012 R2 Datacenter. A edição Datacenter foi desenhada para servidores grandes e potentes com até 64 processadores e inclui funcionalidades de tolerância a falhas como suporte a adicionar processadores “a quente” (hot add), ou seja, sem desligar o servidor. Como resultado, essa versão só está disponível
5
através do programa Microsoft de licenciamento por volume e é incorporada em servidores OEM (de fabricantes parceiros). Windows Server 2012 R2 Standard. A edição Standard inclui todos os recursos disponíveis do Windows Server 2012 R2, diferindo da versão Datacenter apenas no número de máquinas virtuais (virtual machine – VM) permitidas pela licença. Windows Server 2012 R2 Essentials. A edição Essentials inclui quase todos os recursos disponíveis nas versões Datacenter e Essentials, não inclui a opção Server Core, o gerenciador de virtualização Hyper-V e os serviços de Federação do Active Directory. A edição Essentials em uma única instância seja ela física ou virtual e para no máximo 25 usuários. Windows Server 2012 R2 Foundation. A edição Foundation é uma versão reduzida do sistema operacional; foi desenhada para pequenos negócios que precisam apenas dos recursos básicos de servidor como serviços de arquivos e de impressão e suporte à aplicações. A edição Foundation vem pré-instalada no hardware de novos servidores, não inclui direito à virtualização e é limitada a 15 usuários. O preço de cada edição é proporcional aos recursos disponíveis. Obviamente o objetivo dos administradores que planejam a implementação de um novo servidor é de adquirir a edição com o maior custo-benefício que preencha as suas necessidades. As próximas sessões irão examinar as diferenças principais entre as versões do Windows Server 2012 R2. Suporte à Funções de Servidor O Windows Server 2012 R2 inclui combinações pré-definidas de serviços chamadas Funções, as quais implementam funcionalidades comuns de servidor. Computadores rodando o sistema operacional Windows Server 2012 R2 podem executar uma grande variedade de tarefas, usando tanto o software incluso no produto quanto aplicações de terceiros. Depois que você instala o Windows Server 2012 R2, você pode usar o Gerenciador do Servidor ou o Windows Powershell para instalar um ou mais funções neste servidor. Algumas das edições do Windows Server 2012 R2 incluem todas as funções disponíveis, enquanto que outras incluem apenas parte destas. Selecionar a edição do Windows Server 2012 R2 mais apropriada sempre foi uma questão de antecipar as funções que o servidor deve realizar. Um tempo atrás esse era um processo relativamente simples. Você planejava suas implementações decidindo quais servidores seriam controladores de domínio (domain controllers - DC), quais seriam servidores de certificados, quais usariam o cluster tolerante à falhas (failover cluster) e assim por diante. Uma vez tomadas essas decisões você estava pronto porque as funções de servidor eram na sua maioria estáticas.
6
Com o aumento do foco em virtualização no Windows Server 2012 R2, entretanto, mais administradores são forçados a considerar não somente quais funções um servidor deve realizar no momento da implantação mas também quais funções o servidor pode ter de realizar no futuro. Usando servidores virtualizados você pode modificar a estratégia do seu servidor de rede como desejar para acomodar cargas de trabalho dinâmicas e requisitos de negócio ou se adaptar à circunstâncias imprevistas. Sendo assim, o processo de antecipar as funções que um servidor irá realizar deve levar em conta uma possível expansão do negócio além de possíveis necessidades emergenciais.
Suporte à Virtualização As edições Windows Server 2012 R2 Datacenter e Standard incluem suporte ao Hyper-V, porém cada versão difere no número de VM’s permitidas por sua licença. Cada instância rodando do Windows Server 2012 R2 pode ser classificada como um ambiente de sistema operacional físico ou virtual. Quando você compra uma licença do Windows Server 2012 R2, você pode efetuar uma instalação física do sistema operacional como sempre. Após instalar a função do Hyper-V você pode criar VM’s e realizar instalações virtuais. O número de instalações virtuais permitidas por sua licença depende da edição que você comprou conforme tabela abaixo. Edição Datacenter Standard Essentials Foundation
Instâncias físicas 1 1 1(física ou virtual) 1
Instâncias virtuais Ilimitadas 2 1(física ou virtual) 0
Lembrete: As limitações da tabela acima se referem à licença e não ao software em si, você pode criar mais de 2 VM’s na edição Standard do Windows Server 2012 R2, porém você deve comprar licenças adicionais para estar legalizado.
Dica de exame: O exame 70-410 contém questão sobre licenciamento onde você terá que descobrir quantas cópias do Windows serão necessárias para um número particular de maquinas virtuais no Hyper-V e qual versão do Windows atenderia aos requisitos mantendo o maior custo-benefício
7
Licenciamento de Servidores A Microsoft provê diversos canais de vendas para licenças do Windows Server 2012 R2, e nem todas as edições estão disponíveis em todos os canais. Licenciar o Windows Server 2012 R2 inclui comprar licenças para os servidores e clientes, e existem diversas opções para cada um. Se você já tem um acordo de licença com a Microsoft, você já deve estar ciente das edições que estão disponíveis para você neste acordo. Se você não souber, deve procurar se informar antes de decidir por uma edição de servidor. A tabela abaixo mostra os canais de venda que você pode usar para comprar o Windows Server 2012 R2. Varejo Datacenter Standard Essentials Foundation
Não Sim Sim Sim
Licenciamento por Volume Sim Sim Sim Não
Fabricantes OEM Sim Sim Sim Sim
Requisitos de Instalação As especificações mínimas de hardware para o Windows Server 2012 R2 são: o o o o o o
Processador 64 bits de 1.4 Ghz 512MB de memória RAM 32GB de espaço em disco disponível Monitor que suporte resolução 1024x768 ou superior Teclado e mouse Acesso à Internet
32GB de espaço em disco deve ser considerado como o mínimo absoluto. A partição de sistema irá precisar de espaço extra se você instalar o sistema a partir da rede ou se tiver mais de 16GB de memória RAM instalada. O espaço adicional é necessário para a paginação, hibernação e arquivos de despejo. Na prática dificilmente você irá ver um computador com 32GB de RAM e apenas 32GB de espaço em disco. Caso aconteça você deve liberar mais espaço em disco ou então investir em mais hardware de armazenamento. Como parte da ênfase crescente da Microsoft em virtualização e computação na nuvem em seus produtos de servidor, ela aumentou significativamente as capacidades máximas de hardware gerenciado pelo Windows Server 2012 R2 como você pode perceber abaixo.
8
Processadores Memória RAM Nós de cluster
Windows Server 2012 R2 640 4 TB 64
Windows Server 2008 R2 256 2 TB 16
Escolhendo uma opção de instalação Muitas redes empresariais hoje em dia usam servidores dedicados a uma função específica. Quando um servidor está realizando apenas uma função, não faz sentido ter outros processos rodando que não participam em nada ou quase nada nesta função. No Windows Server 2012 R2 existem opções de instalação que permitem aos administradores manterem os recursos desnecessários instalados no mínimo. Usando o Server Core O Windows Server 2012 R2 inclui uma opção de instalação que minimiza a interface do usuário num servidor. Quando você seleciona a opção de instalação do Server Core, você instalará uma versão reduzida do sistema operacional. Não possui o menu Iniciar, nem o explorer, nem nenhum console MMC e praticamente nenhuma aplicação gráfica. Tudo o que você vê quando inicia o sistema é uma tela de prompt de comando como na imagem abaixo.
O Server Core não é um produto separado ou edição do Windows Server. É uma opção de instalação incluída nas versões Standard e Datacenter do Windows Server 2012 R2.
9
Existem várias vantagens em usar a opção Server Core:
Conservação de recursos de hardware. O uso do Server Core elimina alguns dos elementos que usam mais processador e memória no Windows Server 2012 R2, permitindo que esses recursos sejam usados pelos serviços que realmente importam. Espaço em disco reduzido. O Server Core requer menos espaço em disco para os elementos instalados do sistema operacional além de precisar de menos espaço de swap, os quais maximizam a utilização dos recursos de armazenamento do servidor. Frequência de patches reduzida. Os elementos gráficos do Windows Server 2012 R2 estão entre os mais atualizados, então usando o Server Core os administradores tem um número reduzido de atualizações para aplicar. Menos atualizações implica em menos reinicializações e por consequência maior tempo em operação. Superfície de ataque reduzida. Quanto menos software estiver rodando no computador, menor é o número de pontos de entrada para hackers atacarem. O Server Core reduz as potenciais aberturas apresentadas pelo sistema operacional, aumentando assim a segurança.
Na primeira vez que a Microsoft apresentou o Server Core no Windows Server 2008, a ideia mostrou-se intrigante, mas poucos administradores aproveitaramse dela. A razão principal para isso é que a maioria dos administradores não estavam suficientemente acostumados com a interface de linha de comando que é usada para gerenciar o Windows Server sem uma GUI. No Windows Server 2008 e no Windows Server 2008 R2, a decisão de instalar o sistema operacional usando o Server Core não poderia ser revertida posteriormente. Uma vez instalado o sistema operacional na opção Server Core, não existia como voltar a usar a interface de usuário completa sem passar por uma nova instalação. Essa situação está totalmente mudada no Windows Server 2012 e Windows Server 2012 R2. Agora você pode mudar entre as opções Server Core e interface de usuário completa de acordo com sua necessidade, usando apenas comandos do Powershell. Entraremos nos detalhes desta operação nos posts seguintes desta série quando falarmos sobre “Configurar Servidores”. Esta habilidade significa que o administrador pode instalar o Windows Server 2012 R2 normalmente com a interface de usuário completa, configurar o servidor todo com as ferramentas gráficas que já está acostumado e depois de tudo pronto só trocar para a opção Server Core antes de colocar o servidor em produção para aproveitar das vantagens listadas anteriormente.
10
Padrões do Server Core No Windows Server 2012 R2, o Server Core é a opção de instalação padrão por razões além de simplesmente permitir o administrador trocar de opção após a instalação. No Windows Server 2012 R2, a Microsoft está tentando mudar fundamentalmente o jeito que os administradores trabalham em seus servidores. Server Core é a opção padrão agora pelo fato de que no novo jeito de gerenciar servidores, os administradores deveriam raramente ter que trabalhar no console do servidor, seja fisicamente presente ou remotamente. O Windows Server tem sido capaz de administração remota a muito tempo, porém essa capacidade era fragmentada. Alguns consoles MMC (Microsoft Management Console) permitiam os administradores conectarem a outros servidores remotamente e o Windows Powershell 2.0 proveu alguma capacidades de acesso remoto a partir da linha de comando, mas o Windows Server 2012 R2, pela primeira vez, inclui ferramentas completas para administração remota que praticamente eliminam a necessidade de trabalhar no console do servidor. A nova aplicação de Gerenciador do Servidor no Windows Server 2012 R2 permite que os administradores adicionem servidores de toda a organização e criem grupos de servidores para facilitar a configuração simultânea de vários servidores. O novo Windows PowerShell 4.0 aumenta o número de cmdlets (comandos do Powershell) de 230 para mais de 2 mil. Com ferramentas como essas, você pode instalar seus servidores na opção Server Core, executar alguns comandos para adicionar cada servidor ao domínio do Active Directory e então nunca mais tocar no console do servidor novamente. Você pode realizar todas as tarefas de administração subsequentes, incluindo a instalação e configuração de funções e funcionalidades, através do Server Manager (Gerenciador do Servidor) e do Powershell.
Capacidades do Server Core Além de omitir a maior parte da interface gráfica, uma instalação Server Core omite algumas funções de servidor encontradas na versão com interface completa. Entretanto, a opção Server Core do Windows Server 2012 R2 inclui 12 das 19 funções, mais o suporte ao SQL Server 2012, em comparação as 10 funções disponíveis no Windows Server 2008 R2 e 9 no Windows Server 2008. A tabela abaixo mostra as funções e recursos que estão e as que não estão disponíveis numa instalação Server Core do Windows Server 2012 R2.
11
Funções disponíveis no Server Core Serviços de Certificado do Active Directory Serviços de domínio do Active Directory Serviços de Diretório do Active Directory Lightweight Active Directory Rights Management Services Servidor DHCP Servidor DNS Serviços de arquivo e armazenamento Hyper-V Serviços de Impressão e Documentos Acesso Remoto Servidor Web (IIS) Windows Server Update Services
Funções indisponíveis no Server Core Serviços de Federação do Active Directory Servidor de Aplicação (obsoleto) Servidor de Fax Serviços de Acesso e Política de Rede Gateway de Área de Trabalho Remota Host da Sessão da Área de Trabalho Remota Acesso via Web à Área de Trabalho Remota Serviços de ativação de volume Serviços de Implantação do Windows
Interface Mínima de Servidor Se as vantagens do Server Core parecem tentadoras, mas existem algumas ferramentas de administração que você não quer largar, o Windows Server 2012 R2 possui uma 3ª opção de interface chamada Interface Mínima de Servidor. A Interface Mínima de Servidor é uma configuração que remove a maioria dos elementos que exigem mais hardware da interface gráfica. Estes elementos incluem o Internet Explorer e os componentes do shell do Windows, incluindo a Área de trabalho (Área de trabalho), o Explorador de arquivos e os aplicativos de área de trabalho do Windows 8. No painel de controle também são omitidos itens implementados como extensões do shell, incluindo os seguintes:
Programas e Recursos; Central de Rede e Compartilhamento; Dispositivos e Impressoras; Vídeo; Firewall; Atualização do Windows; Fontes Storage Spaces.
12
O que resta na Interface Mínima de Servidor é o Gerenciador do Servidor, o MMC, o Gerenciador de Dispositivos e a interface completa do Windows Powershell. Isto prove aos administradores com a maioria das ferramentas que precisam para gerenciar servidores locais e remotos. Para configurar uma instalação do Windows Server 2012 R2 com a interface completa para a Interface Mínima de Servidor, você deve remover o recurso Shell Gráfico do Servidor através do Powershell ou do Assistente Remover funções e recursos dentro do Gerenciador do Servidor conforme imagem abaixo.
Recursos sob Demanda Durante uma instalação do Windows Server 2012 R2, o programa de instalação copia os arquivos de todos os componentes do sistema operacional da mídia de instalação para um diretório chamado WinSxS, que se refere à loja de componentes lado a lado. Isso serve para você poder ativar qualquer recurso incluído no Windows Server 2012 R2 sem precisar fornecer uma mídia se instalação. O único problema com esta abordagem é que o diretório WinSxS ocupa permanentemente 5GB de espaço em disco, muito do qual na maioria dos casos nunca será usado após a implantação inicial do servidor. Com o uso crescente de VM’s para distribuir as funções de servidor, redes corporativas normalmente tem mais cópias do sistema operacional do que
13
jamais antes tiveram, e por consequência tem mais espaço em disco desperdiçado. Além disso, as tecnologias avançadas de armazenamento usadas nas infraestruturas atuais, como as redes locais de armazenamento (storage área network – SAN) e discos de estado sólido (SSD), estão fazendo o espaço em disco ficar mais caro. Recursos sob Demanda, apresentado no Windows Server 2012, é um terceiro estado para cada recurso no Windows Server 2012 R2. Nas versões anteriores ao Windows Server 2012, os recursos poderiam estar apenas habilitados ou desabilitados. Recursos sob Demanda agora permite 3 estados: Habilitado, Desabilitado e Desabilitado com Carga Removida. Para implementar esse terceiro estado, você deve usar o comando Poweshell (cmdlet) Unistall-WindowsFeature, que agora tem um novo flag (parâmetro) – Remove. Sendo assim o comando Powershell para remover o Shell Gráfico do Servidor junto com todos os seus arquivos do diretório WinSxS seria: Uninstall-WindowsFeature Server-Gui-Shell -Remove
Uma vez deletados os arquivos de um recurso do diretório WinSxS eles não estão irrecuperáveis. Se você tentar habilitar esse recurso novamente, o sistema irá descarregá-lo do Windows Update, ou, alternativamente, copiá-lo de um arquivo de imagem que você especificar informando o parâmetro – Source com o comando Unistall-WindowsFeature, Isso te permite recuperar os arquivos de um disco removível ou arquivo de imagem na rede. Você também pode usar Políticas de Grupo para especificar uma lista de origens de instalação. Essa habilidade de descarregar arquivos fonte de outro local na rede é especificamente o que a Microsoft se refere como Recursos sob Demanda. A Microsoft geralmente usa esse método para diminuir o tamanho das atualizações baixadas pela Internet. Quando o usuário instala a atualização, o programa descarrega os arquivos adicionais necessários e completa a instalação.
Atualizando Servidores Uma atualização in-loco (no próprio servidor que está em operação) é a forma mais complicada de instalação do Windows Server 2012 R2. É também a mais demorada e com maior probabilidade de causar problemas durante a instalação. Sempre que possível, a Microsoft recomenda que os administradores executem uma nova instalação ou migrem as funções, aplicações e configurações necessárias.
14
Embora instalações in-loco normalmente terminem sem problemas, a complexidade do processo de atualização e o grande número de variáveis envolvidas significam que muitas coisas podem dar errado. Para minimizar os riscos envolvidos, é importante que você leve a sério o processo de atualização, prepare o sistema antecipadamente e tenha a habilidade de resolver quaisquer problemas que possam aparecer.
Caminhos de atualização Os caminhos de atualização do Windows Server 2012 R2 são limitados. Na verdade, é mais fácil dizer quando você pode fazer a atualização do que quando você não pode. Se você tem um computador 64 bits rodando o Windows Server 2008 ou Windows Server 2008 R2 você pode atualizar para o Windows Server 2012 R2 desde que você escolha a versão apropriada. O Windows Server 2012 R2 não suporta os seguintes casos:
Atualizar versões anteriores ao Windows Server 2008 Atualizar a partir de versões pré-RTM do Windows Server 2012 R2 Atualizar a partir de versões área de trabalho do Windows Atualização entre plataformas, como um Windows Server 2008 32 bits para o Windows Server 2012 R2 (que é 64 bits) Atualização a partir de versões para o processador Itanium Atualização de sistemas usando linguagens diferentes
Em qualquer destes casos o programa de instalação não permitirá que a instalação continue.
Preparando para uma atualização Antes de começar uma atualização no próprio servidor que está rodando uma versão anterior do Windows Server para o Windows Server 2012 R2, você deve realizar um número de procedimentos preliminares para garantir que o processo se desenrole tranquilamente e que os dados sejam protegidos. Considere as seguintes questões antes de realizar qualquer atualização para o Windows Server 2012 R2:
Checar a compatibilidade de hardware. Tenha certeza de que o servidor atende os requisitos mínimos de hardware do Windows Server 2012 R2. Checar o espaço em disco. Certifique-se de que há espaço em disco suficiente na partição em que o sistema operacional antigo está
15
instalado. Enquanto a instalação está acontecendo, é necessário espaço em disco suficiente para os 2 sistemas. Depois que a atualização estiver completa delete os arquivos antigos para liberar algum espaço em disco. Confirmar que o software é assinado. Todos os softwares que rodam em modo kernel, incluindo drivers de dispositivos, devem ser assinados digitalmente caso contrários o software não será carregado. Isso pode resultar num processo de atualização abortado, em falhas de hardware após a atualização ou numa falha de inicialização do sistema após a atualização. Se você não conseguir localizar uma atualização para a aplicação ou driver que é assinado, então você deve desinstalar o software ou driver antes de prosseguir com a atualização. Salvar drivers de dispositivo em mídia removível. Se um fabricante fornecer um driver separado para um dispositivo do seu servidor, salve o driver em um CD, DVD ou mídia removível como um pendrive na pasta raiz ou no diretório /amd64. Para usar o driver durante a instalação clique em Carregar Driver ou pressione F6 na tela de seleção de disco. Você pode navegar entre as pastas para localizar o driver ou pode deixar o programa de instalação procurar na mídia. Checar compatibilidade de aplicação. O programa de instalação mostra um relatório de compatibilidade que pode te notificar de qualquer problema de compatibilidade. Você pode às vezes resolver esses problemas atualizando ou instalando uma nova versão da aplicação com problemas. Crie um inventário dos produtos de software instalados no servidor e cheque os websites dos fabricantes por atualizações, novas versões disponíveis ou anúncios sobre o suporte ao Windows Server 2012 R2. Num ambiente corporativo, você deve testar todas as aplicações para ver se são compatíveis com o Windows Server 2012 R2, não importando o que o fabricante diga, antes de realizar qualquer atualização no sistema operacional. Assegurar funcionamento apropriado. Assegure-se de que o Windows Server 2008 ou Windows Server 2008 R2 está funcionando normalmente no servidor antes de iniciar o processo de instalação. Você deve iniciar uma atualização in-loco (no local) a partir do sistema operacional atual, então você não pode contar com o Windows Server 2012 R2 para corrigir quaisquer problemas que possam impedir o computador de inicializar ou de iniciar o programa de instalação. Realizar um backup completo. Antes de realizar qualquer procedimento de atualização, você deve fazer uma cópia de segurança de todo o servidor, ou no mínimo, dos arquivos de dados críticos. O seu backup deve incluir todos os dados e configurações que são necessários para o computador alvo funcionar. Quando você realizar o backup, certifique-se de incluir as partições do sistema e de boot além dos dados de estado do sistema. Discos rígidos removíveis tornam esse processo
16
mais fácil, mesmo que não exista um dispositivo especifico para backup no computador. Desabilitar software antivírus. Software de proteção contra vírus podem tornar a instalação bem mais devagar já que verificam cada arquivo copiado para o computador. Se instalado, você deve desabilitar esse aplicativo antes de executar a atualização. Desconectar dispositivos UPS. Se você tiver um banco de baterias UPS (Uninterruptible Power Supply) conectado ao seu computador, desconecte o cabo de dados antes de realizar a atualização. O programa de atualização tenta detectar todos os dispositivos conectados. Equipamento UPS pode causar problemas para este processo. Comprar a edição correta do Windows Server 2012 R2. Certifique-se de comprar a edição correta do Windows Server 2012 R2 para a atualização e de ter o disco de instalação e a chave do produto em mãos.
Durante o processo de atualização, quando o sistema reinicia, o menu de boot dá a opção de voltar ao sistema operacional anterior. Entretanto uma vez concluído o processo, esta opção não está mais disponível e não é mais possível desinstalar o Windows Server 2012 R2 para reverter ao sistema operacional anterior.
Migrando Funções de Servidor A migração é maneira preferida para substituir um servidor em operação por outro com o Windows Server 2012 R2. Ao contrário da atualização in-loco, uma migração copia informação vital de um servidor para outro rodando uma nova instalação do Windows Server 2012 R2. Em uma migração, quase todas as restrições tratadas anteriormente relacionadas à atualização não se aplicam mais. Usando as Ferramentas de Migração do Windows Server (Windows Server Migration Tools) e os guias de migração fornecidos com o Windows Server 2012 R2, você pode migrar dados entre servidores sob quaisquer das circunstâncias abaixo:
Entre versões. Você pode migrar dados a partir de qualquer versão do Windows Server desde o Windows Server 2003 SP2 até o Windows Server 2012 R2. Isso inclui migrações de um servidor rodando o Windows Server 2012 R2 para outro. Entre plataformas. Você pode migrar dados de um servidor 32 bits ou 64 bits para outro servidor 64 bits rodando o Windows Server 2012 R2. Entre edições. Você pode migrar dados entre servidores rodando diferentes edições do Windows Server.
17
Entre instâncias físicas e virtuais. Você pode migrar dados de um servidor físico para um virtual ou o contrário. Entre opções de instalação. Você pode migrar dados de um servidor para outro, mesmo quando um servidor está na opção Server Core e o outro está com a interface gráfica completa.
Migrações em servidores são diferentes de quaisquer migrações que você possa ter feito em estações de trabalho. Ao invés de fazer um único procedimento de migração que copia todos os dados de usuários de um computador de origem para um computador de destino de uma única vez, numa migração de servidor você migra funções de servidor ou serviços de funções de servidor individualmente. O Windows Server 2012 R2 inclui uma coleção de guias de migração que trazem instruções individualizadas para cada função de servidor suportada pelo Windows Server 2012 R2. Algumas funções requerem o uso do aplicativo Ferramentas de Migração do Windows Server (Windows Server Migration Tools) e outras não.
Instalando as Ferramentas de Migração do Windows Server Ferramentas de Migração do Windows Server (Windows Server Migration Tools) é um recurso do Windows Server 2012 R2 composto por cmdlets do Microsoft Powershell e arquivos de ajuda que possibilitam administradores migrar certas funções entre servidores. Antes de poder usar as Ferramentas de Migração do Windows Server você deve instalar o recurso Ferramentas de Migração do Windows Server no servidor de destino com o Windows Server 2012 R2 e então copiar a versão apropriada das ferramentas para o servidor de origem. As Ferramentas de Migração do Windows Server são um recurso padrão que pose ser instalado no Windows Server 2012 R2 a partir do Wizard (tela passo a passo) Adicionar Funções e Recursos dentro do Gerenciador do Servidor conforme figura abaixo ou do cmdlet Powershell Install-WindowsFeature.
18
Usando os guias de migração Uma vez instalado o recurso Ferramentas de Migração do Windows Server nos servidores de origem e destino, você pode proceder para a migração de dados entre os dois. Com o uso das Ferramentas de Migração do Windows Server, administradores podem migrar certas funções, recursos, configurações de sistema operacional, e outros dados do servidor de origem para o servidor de destino rodando o Windows Server 2012 R2. Algumas funções requerem o uso das Ferramentas de Migração do Windows Server, enquanto que outros que possuem capacidades internas de comunicação não precisam deste recurso. Não existe um procedimento único para migrar todas as funções do Windows Server, independente de possuírem sua ferramenta própria de migração ou não. No lugar, a Microsoft provê guias de migração para funções individuais, em alguns casos, providencia guias de migração detalhados para serviços de funções de servidor dentro de uma Função de Servidor. Os guias de migração atualizados se encontram no Portal de Migração do Windows Server neste link https://technet.microsoft.com/en-us/library/jj134039 (em inglês ).
19
1.2- Configurar Servidores Um servidor raramente está pronto para realizar todas as tarefas que você planejou logo após o término da instalação. Tipicamente alguma configuração pós-instalação é necessária após o servidor entrar em operação.
Tarefas Pós-instalação Como parte da nova ênfase em serviços baseados na nuvem dentro das infraestruturas de redes Microsoft, o Windows Server 2012 R2 contém uma variedade de ferramentas que foram incrementadas para facilitar uma maior capacidade de gerenciamento remoto do servidor. Por exemplo, o novo Gerenciador do Servidor, é feito para fazer com que os administradores gerenciem servidores sem terem que interagir diretamente com o console, fisicamente ou remotamente. Entretanto, existem algumas tarefas que os administradores podem ter que realizar imediatamente após a instalação que exigem acesso direto ao console do servidor:
Configurar conexões de rede Ajustar o fuso horário Habilitar a Área de trabalho Remota Renomear o computador Entrar em um domínio
Ferramentas de interface gráfica No Windows Server 2012 R2, o bloco Propriedades dentro do Gerenciador do Computador, como mostra a figura abaixo, entrega a mesma funcionalidade da tela de Tarefas de Configuração Inicial das versões anteriores do Windows Server. Para completar qualquer uma ou mesmo todas as tarefas de pósinstalação num Windows Server 2012 R2 com interface gráfica completa, você pode usar as ferramentas no bloco de Propriedades, diretamente no console ou através da Área de trabalho Remota.
20
O item Ethernet na tela de propriedades especifica a situação atual da interface de rede do computador. Se houver um servidor DHCP na rede, o servidor já irá ter recebido um endereço IP e outras configurações e já terá configurado a interface de rede com eles. Se não tiver um servidor DHCP na rede, ou se você deve configurar o servidor com um endereço IP estático, clique no link “Ethernet” para exibir a janela de Conexões de Rede de dentro do Painel de Controle. Você pode então abrir a aba Propriedades de Ethernet e a aba de propriedades do item “Protocolo TCP/IP Versão 4 (TCP/IPv4)” onde você pode configurar o cliente TCP/IP. É essencial que o relógio do computador esteja preciso e correto para o bom funcionamento da comunicação dos Serviços de Domínio do Active Directory. Se o servidor estiver localizado num outro fuso horário diferente da zona do Pacífico que é o padrão, clique no link Fuso Horário para abrir a caixa de diálogo de Data e Hora, onde você pode corrigir a configuração. Por padrão o Windows Server 2012 R2 não permite conexões de Área de Trabalho remota. Para habilitá-las, clique no link Área de trabalho Remota para abrir a aba Remoto da tela de propriedades do Sistema. Numa instalação manual do sistema operacional, o programa de instalação do Windows dá ao computador um nome único que inicia com WIN. Para mudar o nome do computador e uni-lo à um domínio , clique no link “Nome do computador” para abrir a tela de Propriedades do sistema e clique no botão Alterar para abrir a caixa de diálogo Alterações de Nome/Domínio do Computador.
21
Ferramentas de linha de comando Se você selecionou a opção Server Core durante a instalação do Windows Server 2012 R2, você pode efetuar as mesmas tarefas de pós-instalação a partir da linha de comando. No mínimo você terá de renomear o computador e adicioná-lo a um domínio. Para fazer isso você pode usar os comandos sconfig ou netdom. Para renomear um computador use o comando netdom da seguinte forma: netdom renamecomputer %nomedocomputador% /NewName:
Depois você terá que reiniciar o computador para as mudanças tomarem efeito, você pode usar o comando shutdown /r Em seguida para adicionar o computador à um domínio use o comando netdom da seguinte forma: netdom join %nomedocomputador% /domain: /userd: /passwordd:* Neste comando o uso do * depois do parâmetro passwordd faz com que a senha seja requisitada logo em seguida. Estes comandos assumem que um servidor DHCP já configurou o cliente TCP/IP do computador. Se esse não for o caso, você deve configurá-lo manualmente antes de poder entrar num domínio. Para configurar um IP estático em um computador usando o Server Core, você pode usar o comando netsh ou o cmdlet New-NetIPAddress no Windows Powershell.
Conversão entre Server Core e Interface Completa No Windows Server 2012 R2 você pode converter uma instalação com interface completa para a opção Server Core e adicionar a interface gráfica de usuário em uma instalação usando o Server Core. Esta foi uma das melhorias mais significativas para o Server Core em comparação com o Windows Server 2008 R2, no qual você só poderia trocar a interface realizando uma nova instalação. Com essa capacidade, administradores podem instalar servidores com interface completa, utilizar ferramentas gráficas para efetuar todas as configurações necessárias e depois deixar o servidor em modo Server Core para colocá-lo em produção. Se depois se tornar necessário, pode-se reinstalar os componentes gráficos.
22
Para converter uma instalação do Windows Server 2012 R2 com interface completa em Server Core através do Gerenciador do Servidor, você pode executar o Assistente Remover Funções e Recursos e desinstalar os seguintes recursos:
Graphical Management Tools And Infrastructure – Ferramentas Gráficas de Gerenciamento e Infraestrutura Server Graphical Shell – Shell Gráfico de Servidor
Para adicionar a interface gráfica completa em uma instalação Server Core, você deve usar o Windows Powershell para instalar os mesmos recursos que foram removidos no procedimento anterior. Você usará o seguinte comando: Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell –Restart Para converter uma instalação do Windows Server 2012 R2 com interface completa em Server Core use o seguinte comando: Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell –Restart
Configurando o Agrupamento de NIC Agrupamento de NIC (Network Interface Card – Adaptador de Rede) é um recurso do Windows Server 2012 R2 que permite aos administradores combinarem a largura de banda de vários adaptadores de interface de rede, provendo maior desempenho e tolerância a falhas. A virtualização permite aos administradores separar funções vitais de rede em sistemas diferentes sem precisar comprar um computador novo para cada uma. Entretanto, uma das desvantagens desta prática é que um único servidor hospedando várias VMs ainda é um único ponto de falha para elas. Um único adaptador de rede com problemas, um switch defeituoso, ou mesmo um cabo desconectado pode fazer um servidor ficar offline e com ele todas as suas VMs. O Recurso de Agrupamento de NICs é especialmente mencionado dentre os objetivos do exame 70-410. Portanto você deve estar familiarizado com esse recurso e sua utilização.
Agrupamento de NICs também chamado de agrupamento ou balanceamento é uma tecnologia que já está disponível por algum tempo, porém sempre foi amarrada a alguma implementação especifica de hardware. A capacidade de Agrupamento de NICs do Windows Server 2012 R2 é independente de hardware e te possibilita combinar diversos adaptadores de rede em uma única
23
interface. Os resultados podem incluir maior desempenho através da união da banda dos adaptadores e proteção contra falhas através da mudança dinâmica de todo o tráfego para as NICs que estão funcionando. O Agrupamento de NICs no Windows Server 2012 R2 suporta dois modos:
Modo Independente de Switch. Todos os adaptadores de rede são conectados em switches diferentes, provendo rotas diferentes pela rede. Modo Dependente de Switch. Todos os adaptadores de rede são conectados no mesmo switch, provendo um interface única com a largura de banda combinada.
No Modo Independente de Switch, você pode escolher entre duas configurações. A configuração ativo-ativo deixa todos os adaptadores de rede funcionais, provendo largura de banda adicional. Se um adaptador falhar, todo o tráfego é desviado para os adaptadores restantes. Na configuração ativo - em espera, um adaptador fica offline e funciona em modo de recuperação no caso do adaptador ativo falhar. No modo ativo-ativo, uma falha de adaptador causa uma redução no desempenho; no modo ativo – em espera, o desempenho se mantém igual antes e depois de uma falha de adaptador. No Modo Dependente de Switch, você pode escolher agrupamento fixo, um modo genérico que balanceia o tráfego entre os adaptadores no equipe, ou você pode escolher usar o Protocolo de Agregação de Link definido no IEEE 802.3ax, assumindo que seu equipamento suporta-o. No Windows Server 2012, existe uma limitação significante no agrupamento de adaptadores (NIC Teaming). Se o seu trafego consistir de grandes sequencias TCP, como por exemplo uma migração ao vivo (live migration) no Hyper-V, o sistema vai evitar usar múltiplos adaptadores para aquelas sequencias para minimizar o número de segmentos perdidos e fora de ordem. Você então não perceberá nenhum ganho de desempenho durante transferências de arquivos grandes usando TCP. No Windows Server 2012 R2, o novo Modo Dinâmico divide essas grandes sequencias TCP em unidade menores e distribui-as entre os adaptadores na equipe. Este é atualmente o modo padrão de balanceamento de carga no Windows Server 2012 R2. Você pode criar e gerenciar Equipes de Adaptadores de Rede usando o Gerenciador do Servidor ou o Windows PowerShell (eu chamaria de Time mas tudo bem). Para criar uma equipe de adaptadores usando o Gerenciador do Servidor siga os passos a seguir. 1. No Gerenciador do Servidor, no bloco de Propriedades, clique em “Agrupamento NIC”. A tela de Agrupamento NIC aparece como na imagem abaixo.
24
2. No bloco Equipes, clique em tarefas e selecione nova equipe para abrir a janela nova equipe. 3. Clique no item Propriedades Adicionais para expandir a tela como na tela abaixo.
4. Na caixa de texto nome da equipe, escreva o nome que quer para a equipe. 5. Na caixa de Adaptadores membros, selecione os adaptadores que quer que façam parte da equipe.
25
6. Na caixa de seleção Modo de agrupamento selecione uma das opções abaixo: a. Alternar Independente b. Agrupamento Estático c. LACP 7. Na caixa de seleção Modo de balanceamento de carga selecione uma das opções abaixo: a. Hash de Endereço b. Porta do comutador Hyper-V c. Dinâmico 8. Se você selecionou a opção Alternar Independente no modo de agrupamento, use a caixa de seleção Adaptador em espera para selecionar o adaptador de rede que funcionará em espera. 9. Clique OK. A nova equipe estará listada no bloco Equipes como mostra a imagem abaixo.
Uma vez criada a Equipe de Adaptadores de Rede, a janela de Agrupamento de NICs permite monitorar o status da Equipe e da interface da equipe que você criou. A equipe e os adaptadores individuais todos tem indicadores de status que informam se um adaptador ficar offline. Se isso ocorrer, o indicador do adaptador com falha muda imediatamente para desconectado como mostra a figura abaixo, e dependendo do modo de agrupamento escolhido, o status dos outros adaptadores também pode mudar.
26
Gerenciador do Servidor A ferramenta Gerenciador do Servidor no Windows Server 2012 R2 é uma aplicação que mostra a evidencia mais obvia da mudança de paradigma na administração do Windows Server. Antes do Windows Server 2012, um administrador que queria instalar uma Função usando uma ferramenta gráfica teria que acessar o console fisicamente ou conectado através dos Serviços de Área de Trabalho Remota (antes chamado Serviços de Terminal). Em contraste, o Gerenciador do Servidor no Windows Server 2012 R2 pode instalar Funções e Recursos em qualquer servidor da rede.
Adicionando Servidores A diferença principal entre o Gerenciador do Servidor do Windows Server 2012 R2 e do Windows Server 2012 em comparação as versões anteriores é a habilidade de adicionar e gerenciar diversos servidores de uma única vez. Quando você faz logon numa instalação com interface completa do Windows Server 2012 R2 com uma conta administrativa, o Gerenciador do Computador carrega automaticamente mostrando o bloco de Bem-Vindo. A interface do Gerenciador do Servidor consiste de um painel de navegação à esquerda contendo ícones representando várias visões dos recursos do servidor. Selecionar um ícone mostra uma página de inicio no painel da direita, o qual consiste em um número de blocos contendo informação sobre o recurso. A página de Painel que abre por padrão, contém, além do bloco de Bem-Vindo,
27
miniaturas que sumarizam as outras visões disponíveis no Gerenciador do Servidor conforme figura abaixo. Estas outras visões incluem uma página para o Servidor Local, uma para todos os Servidores, e outras para os grupos de servidores e grupos de funções.
Mesmo que apenas o servidor local aparece no Gerenciador do Servidor quando você executa-o pela primeira vez, você pode adicionar outros servidores, permitindo a você gerenciá-los todos juntos. Os servidores que você adiciona põem ser físicos ou virtuais e podem estar rodando qualquer versão do Windows Server a partir do Windows Server 2003. Após adicionar os servidores à interface, você pode criar grupos contendo coleções de servidores, como os servidores de um escritório específico ou os que realizam alguma função em particular. Estes grupos aparecem no painel de navegação, permitindo que você os administre como uma única entidade. Para adicionar servidores use o seguinte procedimento. 1. Abra o Gerenciador do Servidor e, no painel de navegação clique em Todos os Servidores, a página inicial Todos os servidores abrirá como na figura abaixo. 2. A partir do menu Gerenciar, selecione adicionar servidores, a caixa de diálogo Adicionar Servidores abrirá como na figura abaixo. 3. Selecione uma das abas para especificar como você quer localizar o servidor que deseja adicionar
28
a. Active Directory: Permite buscar por computadores rodando sistemas operacionais específicos em locais específicos em um domínio do Serviços de Domínio do Active Directory b. DNS: Permite buscar por servidores no seu servidor DNS configurado c. Importar: Permite informar o nome de um arquivo .txt com o nome dos servidores que deseja adicionar 4. Inicie a busca ou carregue o arquivo de texto para mostrar os servidores disponíveis. 5. Selecione os servidores que deseja adicionar, clique na flecha para incluí-los na lista de selecionados. 6. Clique OK. Os servidores que você adicionou serão adicionados na página inicial Todos os servidores. Para administradores de redes de computadores corporativas, pode ser necessário adicionar um grande número de servidores no Gerenciador do Servidor. Para evitar ter de trabalhar com uma grande lista de servidores e ter de usar a barra de rolagem todo o tempo, você pode criar grupos de servidores com base na localização dos servidores, funções, ou qualquer outro paradigma organizacional.
Adicionando Funções e Recursos O programa Gerenciador do Computador no Windows Server 2012 R2 combina o que antes eram vários assistentes (wizard) em apenas um, o Assistente de Adição de Funções e Recursos, uma vez adicionados vários servidores na interface do Gerenciador do Computador, eles são integrados no Assistente de Adição de Funções e Recursos, para que assim você possa instalar Funções e Recursos em qualquer um dos seus servidores. Para instalar Funções e Recursos siga os passos abaixo:
No Gerenciador do Computador, clique no menu Gerenciar e depois em Adicionar Funções e Recursos. O Assistente de Adição de Funções e Recursos será iniciado e mostrará a tela Antes de Começar.
29
Clique Próximo para abrir a tela Tipo de Instalação como mostra a figura abaixo.
Deixe a opção Instalação baseada em função ou recurso marcada e clique em Próximo. A tela Seleção de Servidor abrirá como mostra a figura abaixo.
30
Selecione o servidor em que deseja instalar as funções ou recursos. Se o pool de Servidores contém muitos servidores, você pode usar a caixa de texto denominada Filtro para mostrar um subgrupo de servidores com base no texto escrito. Quando você selecionar o servidor, clique em Próximo. A tela Funções do Servidor abrirá como na figura abaixo.
Embora você possa usar o Assistente de Adição de Funções e Recursos para instalar componentes em qualquer servidor que tenha sido adicionado no Gerenciador do Computador, você não pode instalar vários componentes de uma única vez. Para fazer isso você precisa do Windows PowerShell.
Selecione a função ou funções que quer instalar no servidor selecionado. Se as funções que selecionou possuírem outras funções ou recursos como dependências, a tela Adicionar Recursos que são Necessários irá aparecer.
Diferentemente das versões anteriores do Gerenciador do Computador, no Windows Server 2012 R2 você pode escolher todas as funções e recursos que desejar uma única vez, ao invés de ter que rodar o assistente diversas vezes para cada função ou recurso individual.
31
Clique adicionar recursos para aceitar as dependências e clique em Próximo para abrir a tela Selecionar Recursos como mostra a figura abaixo.
Selecione os recursos que deseja instalar no servidor selecionado e clique em Próximo. Dependências podem aparecer de acordo com suas seleções de recursos. O Assistente então mostra páginas de configuração especificas das Funções e Recursos que você escolheu, nas quais você pode escolher os elementos de cada Função escolhida você quer instalar. Complete cada página de configuração de Recurso ou de Função e clique em Próximo. A tela de confirmação aparecerá. Você pode escolher algumas opções adicionais o Reiniciar cada servidor de destino automaticamente, se necessário. Faz com que o servidor reinicialize automaticamente após o fim da instalação se a função ou recurso selecionado exigir. o Exportar definições de configuração. Cria um script XML documentando os procedimentos executados pelo assistente, pode ser usado para replicar a mesma instalação em outro servidor através do Windows PowerShell. o Especificar um caminho de origem alternativo. Especifica o caminho de um arquivo de imagem contendo o software necessário para instalar as funções ou recursos selecionados.
32
Use essa opção quando tiver deletado anteriormente os arquivos de origem do sistema através do Recursos sob Demanda. Clique Instalar para abrir a página de progresso de instalação. Dependendo das funções e recursos instalados, o assistente pode mostrar links para as ferramenta necessárias para realizar configurações de pós-instalação. Quando a instalação estiver completa, clique em fechar para completar o assistente. Para usar um arquivo exportado para instalar funções e recursos em outro computador com o Windows Server 2012 R2, use o comando abaixo em uma sessão com privilégios elevados do Windows PowerShell. Install-WindowsFeature
–ConfigurationFilePath
Após instalar funções nos seus servidores, as funções aparecem como ícones no painel de navegação do Gerenciador do Computador. Estes ícones representam na verdade grupos de funções. Cada grupo de função contém todas as instâncias daquela função que forem achadas nos servidores adicionados. Você pode então administrar a função em todos os servidores que você a tenha instalado.
Instalando Funções em arquivos VHD Além de instalar funções e recursos em servidores na sua rede, o Gerenciador do computador também permite que administradores instalem-nos em VMs que estão no estado offline. Por exemplo, você pode ter um servidor Web offline armazenado em um servidor de backup, no caso do servidor físico que hospeda sua VM possa falhar. O Gerenciador do Computador te permite selecionar um arquivo de disco rígido virtual (VHD) e instalar ou remover funções e recursos sem ter que rodar a VM. Para instalar funções e recursos em um arquivo VHD offline siga o procedimento abaixo
No Gerenciador do Computador, clique no menu Gerenciar e depois em Adicionar Funções e Recursos. O Assistente de Adição de Funções e Recursos será iniciado e mostrará a tela Antes de Começar. Clique Próximo para abrir a tela Tipo de Instalação. Deixe a opção Instalação baseada em função ou recurso marcada e clique em Próximo. A tela Seleção de Servidor abrirá. Selecione a opção Selecionar um disco rígido virtual. Uma caixa de texto Disco Rígido Virtual aparecerá na parte da baixo da janela.
33
Na caixa de texto Disco Rígido Virtual digite ou procure a localização do arquivo VHD que você quer modificar. Na caixa Pool de Servidores selecione o servidor que o assistente deve usar para montar o arquivo VHD como mostra a figura abaixo e clique em Próximo. A página Funções do Servidor irá aparecer.
O Assistente precisa montar o arquivo VHD no servidor que você selecionou para abri-lo e ver quais funções e recursos já estão instalados e quais estão disponíveis para instalação. Montar um arquivo VHD apenas o faz disponível através do sistema de arquivos do computador; não é o mesmo que iniciar uma VM que utiliza o VHD.
Selecione a função ou funções que deseja instalar no servidor especificado, adicionando as dependências caso necessário, e clique em Próximo. A página de Recursos irá aparecer. Seleciona quaisquer recursos que quiser instalar no servidor selecionado e clique em Próximo. Podem aparecer dependências para os recursos selecionados. O Assistente então mostra páginas de configuração especificas das Funções e Recursos que você escolheu, nas quais você pode escolher os elementos de cada Função escolhida você quer instalar. Complete cada página de configuração de Recurso ou de Função e clique em Próximo. A tela de confirmação aparecerá.
34
Clique em Instalar. A pagina de progresso da instalação aparecerá. Quando a instalação completar clique em Fechar para desmontar o VHD e completar o assistente.
Configurando Serviços A maioria das Funções do Windows Server e muitos dos Recursos incluem serviços, que são programas que rodam continuamente em background (por detrás do sistema), tipicamente esperando por um processo cliente enviar uma requisição. O Gerenciador do Computador oferece acesso aos serviços que estão rodando em servidores por toda a rede. Quando você para a página inicial do Servidor Local dentro do Gerenciador do Computador, um dos blocos que você acha lá é o bloco de Serviços, mostrado na figura abaixo, este bloco lista todos os serviços instalados no servidor e mostra o status de operação e o tipo de início deles. Quando você clica com o botão direito em um serviço, o menu de atalho permite quer você inicie, pare, reinicie, pause e retome o serviço selecionado.
O bloco de Serviços no Gerenciador do Computador é similar ao snap-in Serviços dentro do console do MMC encontrado nas versões anteriores do Windows Server. Entretanto mesmo podendo iniciar ou parar serviços pelo Gerenciador do Computador, você não pode modificar o tipo de início, que especifica se o serviço deve iniciar automaticamente com o sistema operacional ou não. Para configurar isso você deve acessar os serviços pelo MMC ou usar o cmdlet Set-Service no Windows Powershell. Outra diferença do bloco de Serviços dentro do Gerenciador do Computador no Windows Server 2012 R2 é que esse bloco aparece em vários lugares, e em cada lugar mostra a lista de serviços para cada contexto diferente. Este é um bom exemplo do princípio organizacional do Gerenciador do Computador. As
35
mesmas ferramentas, repetidas em vários lugares, permitem uma interface de gerenciamento consistente para diferentes conjuntos de componentes. Por exemplo, quando você seleciona o ícone Todos os Servidores no painel de navegação, primeiro você vê o bloco Servidores, como sempre, contendo todos os servidores que você adicionou ao console do Gerenciador do Computador. Quando você seleciona alguns dos servidores ou todos eles e rola a página até o bloco Serviços, você vê o mesmo de antes, porém agora contem todos os serviços para todos os computadores que você selecionou. Isso te permite monitorar os serviços de todos os servidores de uma vez só. Da mesma maneira, quando você seleciona um dos ícones dos grupos de função, você pode selecionar os servidores que estão desempenhando aquela função específica e o bloco de Serviços conterá apenas os serviços desses servidores. Para manipular outras configurações de servidores, você deve usar o snap-in Serviços no MMC como comentado anteriormente. Entretanto, você pode inicia-lo a partir do próprio Gerenciador do Computador assim como os outros snap-ins. Depois de selecionar um servidor do bloco Servidores em qualquer página inicial de um grupo de função, clique no menu Ferramentas para ver uma opção de utilitários e snap-ins do MMC, incluindo o de Serviços. Para gerenciar um servidor remoto pelo MMC você deve conectar ao servidor manualmente.
Delegando a administração do servidor Como as redes sempre crescem, também cresce o número de tarefas administrativas que precisam ser feitas regularmente, e também o número de pessoal na TI para executá-las. Delegar tarefas administrativas para pessoa especificas é parte natural dentro do gerenciamento de servidores corporativos, assim como configurar as permissões necessárias para esse indivíduos – e apenas as permissões que eles precisem – para realizar estas tarefas. Em redes menores com equipes pequenas de TI, não é incomum a delegação de tarefas ser informal e de todos da equipe terem acesso completo a toda a rede. Porem, em redes maiores com equipes maiores de TI, isso se torna cada vez mais impraticável. Por exemplo, você pode querer que o aprendiz recém contratado possa criar novas contas de usuários mas não possa mudar a árvore do Active Directory ou trocar a senha do presidente. Delegação é a prática pela qual os administradores permitem que outros usuários tenham algumas das permissões que eles tem. Sendo assim, delegação é muito mais restringir permissões do que liberá-las. Você quer
36
liberar permissões que os usuários necessitam enquanto protege informações sensíveis e infraestrutura crítica.
Configuração de Estado Desejado do Windows PowerShell Configuração de Estado Desejado (DSC - Desired State Configuration) é a próxima fase do desenvolvimento do Windows PowerShell, um processo que começou a mais de uma década e apareceu primeiro como um componente do Windows no Windows PowerShell 1.0 (lançado em 2006). O Windows Server 2012 expandiu a funcionalidade do Windows PowerShell através do uso da infraestrutura de linha de comando como base para novas capacidades gráficas no sistema operacional. O Windows PowerShell 3.0 adicionou milhares de novos cmdlets, tornando possível conseguir qualquer resultado que você conseguiria usando a interface gráfica agora na linha de comando. No Windows PowerShell 4.0 o DSC habilita um novo modo de script que permite aos administradores criarem módulos chamados configurações, consistem em nós representando computadores e recursos que definem elementos que os administradores querem definir como parte da configuração de uma Função específica. Por exemplo, um script simples para implantar um servidor Web seria assim: Configuration ServerWeb { Node "ServerB" { WindowsFeature InstallIIS { Ensure = "Present" Name = "Web-Server" } File CopyWebSite { Ensure = "Present" Type = "Directory" Recurse = $true SourcePath = $WebsitePath
37
DestinationPath = "C:\inetpub\wwwroot" Requires = "[WindowsFeature]InstallIIS” } } }
Nesse código, o bloco Node identifica o computador a ser configurado e os nós WindowsFeature e File são recursos internos que você pode usar para definir a configuração que deseja implantar. O bloco WindowsFeature especifica que a configuração deve instalar a Função de Servidor Web, e o bloco File copia os arquivos de conteúdo de um website para um nó de um local definido pela variável $WebsitePath. O DSC inclui muitos outros recursos inclusos que você pode usar para definir elementos de configuração mais complexos. Também é possível para os administradores criarem seus próprios recursos customizados. Uma vez criado o script de configuração, você pode rodá-lo executando o nome de configuração definido – nesse caso ServerWeb – a partir de um prompt do Windows PowerShell. Em grandes ambientes de implantação, administradores podem criar um servidor DSC centralizado instalando o “PowerShell Desired State Configuration Service” um recurso do Windows PowerShell que usa o servidor Web IIS (Internet Information Services) para implantar a logica de configuração e os dados nos servidores pela rede. Após gravar os scripts de configuração do DSC no servidor, administradores podem configurar os nós para checar regularmente por mudanças em suas configurações ou configurar o servidor para enviar novas configurações aos nós quando necessário.
38
1.3- Configurar armazenamento local
Embora o Windows Server 2012 R2 tenha sido desenhado para aproveitar armazenamento remoto e computação em nuvem, a configuração de armazenamento local se mantém um item importante a ser considerado.
Planejamento do armazenamento do servidor Um servidor Windows pode , em teoria, realizar suas tarefas no mesmo tipo de armazenamento de uma estação de trabalho; isto é, um ou mais discos padrão conectados a uma interface de disco padrão como o SATA. Entretanto, a carga de I/O (entrada e saída) de um servidor é diferente da de uma estação de trabalho; um subsistema de armazenamento padrão pode ser facilmente sobrecarregado pelos pedidos por arquivos de dezenas ou centenas de usuários. Além disso, discos rígidos comuns não oferecem tolerância a falhas e tem sua escalabilidade limitada. Uma variedade de tecnologias de armazenamento são melhores para uso em servidores. O processo de elaboração de uma solução de armazenamento para um servidor depende de vários fatores, incluindo os seguintes:
A quantidade de armazenamento necessária O número de usuários que irá acessar o servidor ao mesmo tempo A sensibilidade da informação que será armazenada A importância da informação para a organização
As seções seguintes examinam esses fatores e as tecnologias que você pode escolher quando criar um plano para suas soluções de armazenamento de rede.
Quantos servidores eu preciso? Quando um servidor grande é melhor do que vários pequenos? Esta é uma das perguntas mais frequentes durante o planejamento de uma implantação de um servidor. No passado você poderia ter ponderado as vantagens e desvantagens de usar um servidor para realizar várias funções contra vários servidores realizando uma única função cada. Hoje em dia, entretanto, a ênfase está na virtualização, o que significa que embora você tenha várias VMs rodando diferentes funções, elas poderiam estar todas em um único servidor físico de grande porte.
39
Se você está considerando servidores físicos de grande porte ou se os requisitos de armazenamento da sua organização são extremamente grandes, você deve considerar as limitações de armazenamento inerentes do Windows Server 2012 R2. O número de sites que englobam sua rede empresarial e as tecnologias que você usa para prover comunicação entre esses sites também pode afetar seus planos. Se , por exemplo, sua organização tem filiais espalhadas por todo o mundo e usa links WAN caros para conectá-las, seria mais econômico colocar um servidor em cada local, do que fazer todos os seus usuários acessarem um único servidor através dos links WAN. Dentro de cada site, o número de servidores que você precisa depende da frequência com que os seus usuários trabalham com os mesmo recursos e quanta tolerância a falhas e alta disponibilidade você quer colocar no sistema. Por exemplo, se cada departamento na sua empresa trabalha com seus próprios aplicativos e documentos e raramente precisam acessar recursos de outros departamentos, é preferível implantar servidores individuais em cada departamento. Se todos na empresa trabalham com os mesmo recursos, servidores centralizados serão a melhor escolha.
Estimativa de requisitos de armazenamento A quantidade de espaço de armazenamento que você precisa num servidor depende de uma variedade de fatores, não apenas o requisito inicial das suas aplicações e dos usuários. No caso de um servidor de aplicações, comece alocando o espaço necessário para os próprios arquivos dos aplicativos mais o espaço que eles possam necessitar de acordo com a especificação do desenvolvedor. Se os usuários irão salvar documentos no servidor, então aloque espaço necessário para cada usuário que o servidor irá suportar. Então tente antecipar o potencial crescimento da sua organização e da rede, em termos de número de usuários e do espaço necessário para cada um, e do número de arquivos de dados e de atualizações das aplicações.
Storage Spaces O Windows Server 2012 R2 inclui uma tecnologia de virtualização de discos chamada Storage Spaces, que permite um servidor concatenar o espaço de armazenamento de vários discos físicos individuais e alocar esse espaço para criar discos virtuais de qualquer tamanho suportado pelo hardware. Esse tipo de virtualização é normalmente encontrado em SANs (Storage Area Network – redes de armazenamento) e em equipamentos NAS (Network
40
Attached Storage – armazenamento ligado em rede), os quais exigem investimentos substanciais em hardware especializado e habilidades de administração. O Storage Spaces provê capacidades similares pelo uso de discos padrão internos do servidor ou arrays simples de discos JBOD (Just a Bunch of Disks), esses são os storages mais baratos (de entrada) ligados direto no servidor e que não possuem inteligência avançada dentro do equipamento, funciona apenas como um case para vários discos. O Storage Spaces usa o espaço vazio nos discos para criar pools de armazenamento. Um Pool de Armazenamento pode usar vários discos transparentemente, criando um recurso de armazenamento que os administradores podem estender ou reduzir de acordo com a necessidade, adicionando ou removendo discos do pool. Usando o espaço livre do pool os administradores podem criar discos virtuais de qualquer tamanho. Após criado, o disco virtual se comporta como qualquer disco físico, exceto que os bits podem ter sido gravados em qualquer número dos drives do sistema. Discos virtuais também proporcionam alta disponibilidade com a utilização dos discos físicos do Storage para guardar dados de espelho ou de paridade. Após criar um disco virtual, você pode criar volumes nele assim como faria num disco físico. O Gerenciador do Computador tem as ferramentas que você precisa para gerenciar Pools de armazenamento e discos virtuais e te dá a habilidade de criar compartilhamento de volumes e de sistemas de arquivos, com algumas limitações.
Entendendo as configurações de disco do Windows Quando você instala o Windows Server 2012 R2 em um computador, o programa de instalação da efetua todas as tarefas de preparação para o disco primário do sistema. Entretanto, quando você instala discos rígidos adicionais em um servidor, ou quando quer usar configurações diferentes das configurações padrão, você deve realizar as seguintes tarefas manualmente:
Selecionar um estilo de partição. O Windows Server 2012 R2 suporta dois estilos de partição: o MBR (Master Boot Record) e o GPT (GUID Partition Table). Você deve usar um desses estilos para usar em um disco, você não pode usar ambos. Selecionar um tipo de disco. O Windows Server 2012 R2 suporta dois tipos de disco: o disco básico e o disco dinâmico. Você não pode usar os dois tipos em um mesmo disco, mas você misturar discos de tipos diferentes no mesmo computador.
41
Dividir o disco entre partições e volumes. Embora profissionais usem os termos partição e volume como sinônimos , o correto é se referir a partições em discos básicos e volumes em disco dinâmicos. Formatar a partição ou volume com um sistema de arquivos. O Windows Server 2012 R2 suporta os sistemas de arquivos NTFS, FAT (incluindo suas variantes FAT16, FAT32 e exFAT), e o novo ReFS.
Selecionar um estilo de partição O termo estilo de partição se refere ao método que os sistemas operacionais Windows usam para organizar as partições nos discos. Servidores rodando o Windows Server 2012 R2 podem usar qualquer um dos seguintes estilos de partição para discos rígidos.
MBR. O estilo de partição MBR existe desde antes do Windows e ainda é muito comum em computadores com arquiteturas x86 e x64. GPT. O estilo de partição GPT existe desde o fim da década de 90, mas nenhuma versão x86 do Windows anterior ao Windows Server 2008 e Windows Vista o suporta. Hoje a maioria dos sistemas operacionais suporta o GPT, incluindo o Windows Server 2012 R2.
Antes do Windows Vista e do Windows Server 2008, todos os computadores Windows x86 usavam apenas o estilo de partição MBR. Computadores com arquitetura x64 poderiam usar tanto o MBR quanto o GPT, desde que o disco usando GPT não fosse o disco de boot. A menos que a arquitetura do computador suporte uma partição de boot que use o EFI (Extensible Firmware Interface), não é possível efetuar boot a partir de um disco GPT. Se esse for o caso, o disco de sistema deve usar o MBR e você pode usar o GPT somente em discos que não sejam usados como boot para armazenar dados. Quando você usa o Gerenciador do Computador para inicializar um disco no Windows Server 2012 R2, o estilo de partição GPT é usado, seja um disco físico ou virtual. Não existem controles no Gerenciador do Computador que suportem o MBR, embora ele mostre o estilo de partição no bloco Discos.
Tipos de Disco Grande parte dos computadores pessoais usam discos básicos por serem os mais fáceis de gerenciar. Tipos de volumes avançados necessitam do uso de discos dinâmicos. Um disco básico usando o estilo de partição MBR organiza
42
os dados em partições primárias, partições estendidas e drives lógicos. Uma partição primária aparece para o sistema operacional como um disco separado e pode receber um sistema operacional, neste caso será conhecida como a partição ativa. Quando você trabalha com discos básicos usando o MBR no Windows Server 2012 R2 usando o snap-in Gerenciamento de Disco, você pode criar 3 volumes como partições primárias. Quando você cria o quarto volume, o sistema cria uma partição estendida, com um drive lógico nele usando o tamanho especificado. Se houver espaço livre restante no disco, o sistema aloca-o na partição estendida como mostra a figura abaixo, e você pode usá-la para criar drives lógicos adicionais.
Quando você seleciona o estilo de partição GPT, o disco irá aparecer como disco básico , mas você poderá criar até 128 volumes, cada um aparecendo como partição primária como mostra a figura abaixo. Não existem partições estendidas ou drives lógicos em discos que usam a GPT.
A alternativa ao uso do disco básico é convertê-lo em um disco dinâmico. O processo de converter um disco básico em um disco dinâmico cria uma única partição que ocupa todo o disco. Você pode então criar uma infinidade de volumes a partir do espaço desta partição. Discos dinâmicos suportam diversos tipos de volumes.
Tipos de Volumes Um disco dinâmico pode conter grande número de volumes que funcionam como partições ativas em discos básicos, mas você não pode marcar um disco dinâmico existente como ativo. Quando você cria um volume em um disco dinâmico através do snap-in Gerenciamento de Disco no Windows Server 2012 R2, você pode escolher 5 tipos de volumes:
Volume simples. É formado pelo espaço de um único disco. Depois de criar um volume simples, você pode estendê-lo para outros discos para criar um volume estendido ou distribuído, desde que não seja um disco de boot ou disco de sistema. Você também pode estender um volume
43
simples para o espaço adjacente livre no mesmo disco, ou , com algumas limitações, diminuir o volume, desalocando qualquer espaço não usado no volume. Volume estendido. Consiste em espaço de 2 a 32 discos físicos, todos devem ser discos dinâmicos. Um volume estendido é basicamente um método para combinar o espaço de vários discos em um único volume. O Windows Server 2012 R2 escreve no volume estendido usando todo o espaço vazio do primeiro disco e depois indo para o próximo até o último disco. Você pode estender um volume estendido a qualquer hora aumentando o espaço livre disponível. Criar um volume estendido não aumenta a taxa de leitura e escrita do disco ou torna o volume tolerante a falhas. Na verdade, se apenas um dos discos falhar todos os dados do volume são perdidos. Volume distribuído. Consiste em espaço de 2 a 32 discos físicos, todos devem ser discos dinâmicos. A diferença de um volume estendido para um volume distribuído é que em um volume distribuído, o sistema escreve em uma faixa por vez em cada disco do volume sucessivamente. Esse tipo de volume oferece desempenho maior pelo fato de cada disco do array (conjunto) ter tempo de busca a localização da sua próxima faixa de dados enquanto os outros discos estão escrevendo os dados. Volumes distribuídos não oferecem tolerância a falhas, e você não pode estendê-los após a criação. Se um dos discos físicos que fazem parte do volume distribuído falhar todos os dados do volume são perdidos. Volume espelhado. Consiste em uma quantidade de espaço idêntica em dois discos físicos que devem der dinâmicos. O sistema realiza todas as operações de escrita e leitura nos dois discos simultaneamente então eles possuem cópias de toda a informação gravada no volume. Se um disco falhar o outro disco continua a possibilitar acesso ao volume até que o disco defeituoso seja trocado ou reparado. Volume RAID-5. Consiste em espaço de 3 ou mais discos físicos, todos dinâmicos. O sistema divide os dados em faixas e informações de paridade por entre todos os discos para que no caso de falha de um disco os dados possam ser recriados a partir das informações de paridade dos discos restantes. Volumes RAID-5 tem maior desempenho de leitura devido aos dados estarem divididos em faixas, mas o desempenho de escrita é menor pelo fato da necessidade de cálculo de paridade.
44
Sistemas de arquivos Para organizar e armazenar dados em um disco rígido, você deve instalar um sistema de arquivos. Um sistema de arquivos é a estrutura subjacente do drive de disco que permite armazenar informações no seu computador. Você instala o sistema de arquivos quando formata uma partição ou volume no disco rígido. No Windows Server 2012 R2, estão disponíveis 5 opções:
NTFS FAT32 exFAT FAT (também conhecido como FAT16) ReFS
O NTFS é o sistema de sistema de arquivos preferível para um servidor; os benefícios principais são suporte para discos maiores do que o FAT e melhor segurança na forma de criptografia e permissões que restringem acesso a usuários desautorizados. Pelo fato do FAT não ter a segurança do NTFS qualquer usuário que acessar o seu computador poderá ler qualquer arquivo sem restrições. Além disso, o sistema de arquivos FAT tem limitações de tamanho do disco; FAT32 não pode trabalhar com partições maiores que 32GB ou arquivos maiores que 4GB. Por causa dessas limitações, a única razão viável para usar o FAT16 ou FAT32 seria para ter dois boots no computador com um sistema operacional não Windows (ex. Linux) ou uma versão antiga do Windows que não suporte NTFS, o que não é uma configuração provável para um servidor. O ReFS é um novo sistema de arquivos iniciando com o Windows Server 2012 R2 que oferece tamanho de arquivos e de diretórios praticamente infinitos, além de maior resiliência que elimina a necessidade de ferramentas de verificação de erros, como o chkdsk.exe. Entretanto, o ReFS não oferece suporte para funcionalidades do NTFS como compressão de arquivo, sistema de arquivos criptografado (EFS - Encrypted File System), e cotas de disco. Discos ReFS também não podem ser lidos por nenhum outros sistema operacional mais antigo do que o Windows Server 2012 e o Windows 8.
Trabalhando com discos O Windows Server 2012 R2 inclui ferramentas que te permitem gerenciar os discos graficamente ou pela linha de comando. Todas as instalações do Windows Server 2012 R2 incluem a função File and Storage Services (mesmo no Windows em pt-br o nome da função não é traduzido mas seria algo como Serviços de Armazenamento e Arquivos), o que faz o Gerenciador do Servidor
45
mostrar um menu quando você clica no ícone no painel de navegação como mostra a figura abaixo. Este menu dá acesso a paginas iniciais que permitem que administradores gerenciem volumes, discos, pools de armazenamento, compartilhamentos e dispositivos iSCSI.
O Gerenciador do Computador é a única ferramenta gráfica que consegue gerenciar pools de armazenamento e criar discos virtuais. Também pode realizar algumas das operações padrão de gerenciamento de discos e volumes em discos rígidos, mas não todas. Como as outras páginas iniciais do Gerenciador do Servidor, a página da função File and Storage Services também te permite realizar tarefas em qualquer servidor que esteja adicionado na interface. O Gerenciamento de Disco é um snap-in do MMC que é a ferramenta tradicional para realizar tarefas relacionadas com discos. Para acessar o snapin Gerenciamento de Disco, abra o console de Gerenciamento do Computador e selecione o item Gerenciamento de Disco. Você também pode gerenciar discos e volume a partir da linha de comando através do comando DiskPart.exe.
Adicionando um disco físico Quando você adiciona um disco rígido em um computador com o Windows Server 2012 R2, você deve inicializar o disco antes de poder acessá-lo. Para adicionar um disco secundário, desligue o computador e instale ou plugue o novo disco físico seguindo as instruções do fabricante. Um disco físico recémadicionado é listado no Gerenciador do Servidor no bloco Discos como mostra
46
a figura abaixo, com o status offline e estilo de partição desconhecido.
Para tornar o disco acessível , você deve primeiro deixa-lo online clicando no bloco de Discos e a partir do menu de atalho, selecionar Tornar Online. Depois de confirmar sua ação e o status ter mudado para Online, clique com o botão direito no disco e selecione a opção Inicializar. Ao contrario do snap-in Gerenciamento de Disco, o Gerenciador do Servidor não te permite escolher o estilo de partição para um disco. Um janela de Progresso da Tarefa abrirá; quando o processo for concluído clique em Fechar. O disco então aparece na lista com o estilo de partição GPT. Você pode converter um disco de um estilo de partição para outro a qualquer momento através do Gerenciamento de Disco clicando com o botão direito no disco desejado e selecionando a opção Converter para disco GPT ou Converter para disco MBR. Entretanto, esteja ciente que trocar o estilo de partição é um processo destrutivo. Você pode realizar a conversão somente em um disco desalocado (sem uso), então se quiser converter um disco que contenha dados você deve fazer o backup dos dados e depois excluir todos os volumes ou partições existentes no disco antes de iniciar o processo de conversão.
Criar e montar discos rígidos virtuais (VHD) O Hyper-V se apoia no formato de disco rígido virtual (VHD ou VHDX) para gravar dados de discos virtuais em arquivos que podem ser facilmente transferidos de um computador para o outro. O snap-in Gerenciamento de Disco no Windows Server 2012 R2 permite criar arquivos VHD e VHDX e
47
montá-los no computador. Uma vez montados, você pode trata-los como qualquer outro disco físico e pode usá-los para armazenar dados. Depois de desmontados os discos VHD ou VHDX, os dados são empacotados no arquivo para que você possa mover o copiá-lo como desejado. Para criar um VHD no Gerenciamento de Disco, siga os passos abaixo.
No Gerenciamento do Servidor, clique em Ferramentas, Gerenciamento do Computador. O console Gerenciamento do Computador abrirá. Clique em Gerenciamento de Disco para abrir o snap-in. A partir do menu Ação, selecione Criar VHD, a janela Criar e Conectar Disco Rígido Virtual abrirá como na figura abaixo.
Na caixa de texto Local, digite o caminho e o nome do arquivo que você deseja criar. No campo Tamanho do disco rígido virtual informe o tamanho máximo que você deseja para o disco que está criando. Selecione uma das opções de formato de disco rígido virtual: o VHD. O formato original e mais compatível, suporta arquivos de até 2.040 GB. o VHDX. A nova versão do formato que suporta arquivos de até 64 TB mas só pode ser lido por computadores com o Windows Server 2012 e Windows Server 2012 R2.
48
Selecione uma das opções de tipo de disco rígido virtual: o Tamanho fixo (Recomendável). Aloca todo o espaço para o arquivo VHD/VHDX de uma vez. o Expandindo dinamicamente. Aloca espaço para o arquivo VHD/VHDX na medida em que você adiciona dados ao disco rígido virtual Clique OK. O sistema criará o arquivo VHD ou VHDX e irá conectá-lo para que apareça como um disco no snap-in.
Uma vez criado e conectado o arquivo VHD ou VHDX, aparecerá como um disco não inicializado no snap-in Gerenciamento de Disco e no Gerenciador do Servidor. Usando qualquer das ferramentas você pode inicializar o disco e criar volumes nele, assim como faria num disco físico. Após gravar dados nos volumes, você pode desmontar o VHD ou VHDX e mover o arquivo para outro computador ou montá-lo numa VM do Hyper-V.
Criar um Pool de armazenamento Uma vez instalados seus discos físicos, você pode concatenar os espaços deles em um Pool de armazenamento, a partir do qual você pode criar discos virtuais de qualquer tamanho. Para criar um Pool de armazenamento usando o Gerenciador do Servidor siga os passos abaixo. No Gerenciador do Servidor, clique no ícone da função File and Storage Services e, no menu que aparece, clique Pools de armazenamento. O bloco Pools de armazenamento irá aparecer como na figura abaixo.
49
No bloco Pools de armazenamento, selecione o espaço Primordial n servidor que você deseja criar o pool e, no menu Tarefas, selecione Novo Pool de Armazenamento. O assistente Novo Pool de Armazenamento irá iniciar, mostrando a página antes de começar. Clique em Próximo. A tela Especifique o nome e o subsistema de um pool de armazenamento aparecerá como mostra a figura abaixo.
Na caixa de texto Nome digite o nome que deseja dar para o pool de armazenamento. Então selecione o servidor em que deseja que seja criado o pool e clique em Próximo. A tela Selecione os discos físicos
50
para o pool de armazenamento aparecerá como mostra a figura abaixo.
O Assistente só irá mostrar discos que podem ser adicionados para o pool. Discos que já possuem partições ou volumes não aparecerão na lista. Marque os discos que deseja adicionar ao Pool e clique em Próximo para mostrar a tela confirmar seleções. Clique em criar. O Assistente criará o pool de armazenamento a tela de resultados aparecerá. Clique em Fechar. O Assistente será fechado e o novo pool aparecerá no bloco Pools de Armazenamento. Feche o Gerenciador do Servidor. Depois que criar um Pool de Armazenamento, você pode modificar a sua capacidade adicionando ou removendo discos. O menu tarefas no bloco discos físicos na página inicial da função Serviços de Arquivo e Armazenamento contém as seguintes opções:
Adicionar disco físico. Permite adicionar um disco físico ao Pool desde que esteja Inicializado e não contenha nenhum volume. Remover disco. Remove do Pool o espaço fornecido por um disco físico. Essa opção só esta disponível se todos os dados já foram eliminados do disco.
Para criar um novo Pool de armazenamento usando o Windows PowerShell, você utilizará o cmdlet New-StoragePool com a seguinte sintaxe:
51
New-StoragePool –FriendlyName StorageSubSystemFriendlyName -PhysicalDisks Para obter a designação correta para o subsistema de armazenamento e para os discos físicos, use os cmdlets Get-StorageSubsystem e GetPhysicalDisk. Além dos parâmetros requeridos, o cmdlet New-StoragePool também aceita as seguintes opções, que não estão disponíveis no Assistente.
-EnclosureAwareDefault. Especifica se o Pool de armazenamento esta sendo criado usando discos dentro de um case que suporta o SCSI Enclosure Services. Isso habilita o Pool para usar informações adicionais informadas pelo case (esse termo não é exato, o nome original é enclosure, mas resumindo é o nosso Storage externo normal), como locais dos slots, para balancear dados de Storage entre os dispositivos de hardware. -ProvisioningTypeDefault. Especifica o tipo de provisionamento (Unknown – Desconhecido , Fixed – Fixo ou Thin - Expandindo dinamicamente) a ser usado na criação de discos virtuais a partir desse Pool -ResiliencySettingsNameDefault. Especifica as configurações de resiliência (Simples, Espelhamento ou Paridade) que o sistema deve usar por padrão quando criar discos virtuais do Pool.
Criando discos virtuais Depois de criar um Pool de armazenamento, você pode usar o espaço para criar quantos discos virtuais precisar. Para criar um disco virtual usando o Gerenciador do Servidor, siga o procedimento abaixo.
No Gerenciador do Servidor, clique no ícone da função Serviços de Arquivo e Armazenamento, quando o menu aparecer clique em Pools de armazenamento. Role a tela para baixo (se necessário) para mostrar o bloco Discos virtuais. Clique no menu tarefas e selecione a opção Novo Disco Virtual. A janela do assistente Novo Disco Virtual abrirá mostrando a tela de Antes de Começar. Clique em Próximo para abrir a página de Seleção do Servidor e Pool de armazenamento.
52
Selecione o pool que deseja para criar o disco virtual e clique em Próximo. A página especifique o nome do disco virtual aparecerá. No campo de texto Nome, digite um nome para o disco virtual e clique em Próximo. A página de seleção de layout de armazenamento aparecerá como na figura abaixo.
Escolha um dos layouts abaixo e clique em Próximo. o Simple (Simples). Exige que o pool contenha pelo menos um disco físico e não provê nenhuma. Quando mais de um disco físico esta disponível , o sistema divide os dados em faixas por entre os discos. o Mirror (Espelho). Requer que o pool contenha pelo menos 2 discos físicos e tem tolerância a falhas por gravar cópias idênticas de cada arquivo. Dois discos físicos dão proteção contra a falha de um disco, cinco discos físicos dão proteção contra a falha de 2 discos físicos. o Parity (Paridade). Requer que o pool contenha pelo menos 3 discos físicos e provê tolerância a falhas distribuindo informações de paridade em faixas por todos os discos junto com os dados. A tolerância a falhas incluída no Storage Spaces funciona no nível de disco, não no nível de volume, como no snap-in Gerenciamento de Disco. Em teoria você pode usar o Gerenciamento de Disco para criar volumes espelhados ou RAID-5, mas isso derrotaria o propósito de criá-los pois os discos virtuais poderiam ser alocados em um mesmo disco físico.
53
A tela especifique o tipo de provisionamento abrirá como na figura abaixo.
Selecione um dos tipos de provisionamento a seguir e clique em Próximo. o Dinâmico. O sistema aloca espaço do pool de armazenamento para o disco virtual conforme necessário, até o tamanho máximo especificado. o Fixo. O sistema aloca o tamanho máximo de espaço especificado para o disco imediatamente durante a criação.
54
A página Especificar tamanho do disco virtual aparecerá como na figura abaixo.
No campo de texto Especificar tamanho, digite o tamanho desejado para o disco e clique em Próximo. A tela Confirmar seleções aparecerá. Clique em Criar. A página de Resultados aparecerá enquanto o assistente cria o disco. Clique em Fechar. O assistente fechará e o novo disco aparecerá na lista do bloco Discos Virtuais. Feche o Gerenciador do Servidor
Por padrão, o assistente de novo volume é iniciado quando você cria um disco virtual. Neste ponto, o disco é o equivalente virtual de um disco físico recém instalado. Não contém nada além de espaço desalocado, e você deve criar pelo menos um volume antes de poder gravar dados nele.
Criar um volume simples Tecnicamente falando, você cria partições em discos básicos e volumes em discos dinâmicos. Essa não é apenas uma diferença arbitrária de nomenclatura. Converter um disco básico em dinâmico na verdade cria uma grande única partição, ocupando todo o espaço do disco. Os volumes que você cria no disco dinâmico são divisões lógicas dentro de uma mesma partição.
55
Versões do Windows anteriores a 2008 usam a terminologia correta no snap-in Gerenciamento de Disco. Os menus permitem criar partições em discos básicos e volumes em discos dinâmicos. O Windows Server 2012 R2 usa o termo volume para os dois tipos de discos e permite criar qualquer um dos tipos de volumes disponíveis, seja o disco básico ou dinâmico. Se o tipo de volume que você selecionou não for suportado em um disco básico, o assistente irá convertê-lo em dinâmico como parte do processo de criação. Apesar dos menus que se referem a partições em discos básicos como volumes, a regra tradicional para discos básicos permanece valendo. A opção de menu Novo Volume Simples cria até três partições primarias no caso de um disco básico. Quando você criar um quarto volume, o assistente na realidade irá criar uma partição estendida e um drive logico do tamanho especificado. Se houver algum espaço livre remanescente no disco, você pode criar drives lógicos adicionais dentro da partição estendida. Quando você usa o DiskPart.exe (um utilitário de linha de comando incluído no Windows Server 2012 R2) para gerenciar discos básicos, você pode criar 4 partições primárias ou três partições primárias e uma partição estendida. O DiskPart contém um conjunto maior de comandos do que os suportados pelo Gerenciamento de Disco. Ou seja, o DiskPart pode fazer tudo que o Gerenciamento de Disco faz e vai além. Contudo o snap-in Gerenciamento de Disco possui “travas” que te previnem de tomar ações sem querer que possam resultar em perda de dados, o DiskPart não possui tais travas. Por essa razão a Microsoft recomenda que apenas usuários avançados usem o DiskPart e que tenham muita cautela.
Para criar um novo volume simples em um disco básico ou dinâmico usando o snap-in Gerenciamento de Disco, siga os passo abaixo:
No Gerenciador do Servidor, clique em Ferramentas e clique em Gerenciamento do Computador. O console Gerenciamento do Computador abrirá. Clique em Gerenciamento de Disco para lançar o snap-in Gerenciamento de Disco. Na parte gráfica, clique com o botão direito em uma área em branco do disco que você pretende criar o volume, e no menu de atalho, selecione Novo Volume Simples. O assistente abrirá.
56
Clique Próximo para sair da tela de boas vindas. A página de seleção de tamanho do volume abrirá como na figura abaixo.
Informe o tamanho para a nova partição ou volume, dentro dos limites mínimo e máximo estipulados na tela, no campo Tamanho do volume simples em MB. Então clique em Próximo. A página Atribuir uma letra
57
de unidade ou caminho abrirá como na figura abaixo.
Configure uma das três opções abaixo: o Atribuir a seguinte letra de unidade. Se você selecionar essa opção, clique caixa de seleção ao lado para ver uma lista de letras de unidade disponíveis e escolha a letra de deseja atribuir. o Montar na seguinte pasta NTFS vazia. Se você selecionar essa opção, digite o caminho para uma pasta NTFS existente ou clique em Procurar para buscar por uma pasta ou criar uma nova. Todo o conteúdo da nova unidade de disco aparecerá na pasta que você especificar. o Não atribuir uma letra ou caminho de unidade. Escolha essa opção se você quiser criar a partição mas ainda não quer usá-la. Quando você não atribui uma letra de unidade, o drive fica desmontado e inacessível. Quando quiser montar a unidade para usar, atribua uma letra de unidade ou um caminho de acesso.
58
Clique em Próximo para abrir a página de Formatar partição como mostra a figura abaixo.
Especifique se o Assistente deve formatar o volume ou não. Se não quiser formatar o volume agora selecione a opção Não formatar esse volume. Se você quiser formatar o volume, selecione a opção Formatar esse volume com as seguintes configurações, e então configure as opções conforme descrito abaixo. o Sistema de arquivos. Selecione o sistema de arquivos desejado. As opções disponíveis dependem do tamanho do volume e podem incluir ReFS, NTFS, exFAT, FAT32 e FAT. o Tamanho da unidade de alocação. É a unidade básica de bytes que o sistema usa para alocar espaço em disco. O sistema calcula o tamanho da unidade de alocação com base no tamanho do volume. Você pode alterar esse valor selecionando um dos valores da lista. Por exemplo, se os seus clientes usam arquivos pequenos na maior parte do tempo, você pode querer deixar o valor da unidade de alocação menor. o Rotulo do volume. Especifica um nome para a partição ou volume. O nome padrão é Novo Volume, mas você pode mudar para o que quiser. o Executar uma formatação rápida. Quando esta caixa de seleção esta marcada, o Windows formata o disco sem checar erros. Este
59
é um método mais rápido de formatar o volume, porem a Microsoft não o recomenda. Quando você checa por erros, o sistema procura e marca setores defeituosos no disco para que não sejam usados. o Ativar compactação de arquivos e pastas. Ativa a compressão no disco. Essa opção esta ativa apenas para volumes formatados com o sistema de arquivos NTFS. Clique em Próximo. A página Concluindo o Assistente para Novas Partições Simples aparecerá. Revise as configurações para confirmar suas escolhas e clique em Concluir. O Assistente criará o volume conforme especificado. Feche o console contendo o snap-in Gerenciamento de Disco.
Este procedimento pode criar volumes em discos virtuais ou físicos. Você também pode criar volumes simples usando um Assistente similar no Gerenciador do Servidor. Quando você lança o Assistente de Novo Volume a partir do Gerenciador do Servidor, o que você pode fazer da página inicial Volumes ou Discos, as opções apresentadas pelo Assistente são praticamente iguais as do Assistente de Novo Volume Simples dentro do Gerenciamento de Discos. A diferença principal é que , assim como todos os Assistentes do Gerenciador do Servidor, o Assistente de Novo Volume inclui uma pagina que te permite selecionar o servidor e o disco em que pretende criar o volume como mostra a figura abaixo. Portanto, você pode usar esse assistente para criar volumes em qualquer disco de qualquer um dos seus servidores.
Criar um volume distribuído, estendido, espelhado e RAID-5 O procedimento para criar um volume distribuído, estendido, espelhado ou RAID-5 é quase o mesmo que criar um volume simples, com a exceção de que a página Especifique o tamanho do volume é substituída pela página de seleção de discos. Para criar um volume distribuído, estendido, espelhado ou RAID-5 siga os passos abaixo.
No Gerenciador do Servidor, clique em Ferramentas e clique em Gerenciamento do Computador. O console Gerenciamento do Computador abrirá. Clique em Gerenciamento de Disco, o snap-in do Gerenciamento de Disco abrirá. Clique com o botão direito numa área vazia de um disco e, do menu de atalho, selecione o comando para o tipo de volume que deseja criar. O assistente de Novo volume iniciará, e terá o nome do tipo de volume que você escolheu criar.
60
Clique Próximo para passar da tela de boas vindas. A tela de seleção de discos abrirá como na figura abaixo.
Na tela de seleção de discos, selecione os discos que deseja usar da lista de discos Disponíveis e clique em Adicionar. Os discos selecionados passarão para a lista de Selecionados, se unindo ao disco que você selecionou quando iniciou o assistente. Para um volume distribuído, estendido ou espelhado você precisa de no mínimo 2 discos. Para um volume RAID-5 você precisa de três discos. Especifique o tamanho que quer usar em cada disco digitando no campo Selecione o espaço em MB. Clique em Próximo. A tela Atribuir uma letra de unidade ou caminho abrirá. Se você esta criando um volume estendido, você deve clicar em cada disco na lista de selecionados e especificar o tamanho a ser usado no disco. O tamanho padrão é o tamanho do espaço livre no disco. Se você esta criando um volume distribuído, espelhado ou RAID-5, você especifica apenas um valor pois esses volumes exigem o mesmo tamanho em todos os discos. O tamanho padrão é o do menor espaço livre dentre os discos selecionados. Especifique se quer atribuir uma letra de unidade ou caminho e clique em Próximo. A página de formatar volume abrirá. Especifique se quer formatar o volume ou não e as configurações cabíveis. Clique em Próximo. A tela Concluindo o Assistente de Novo Volume aparecerá.
61
Revise as configurações para confirmar suas escolhas e clique em Concluir. Se algum dos discos que você selecionou for um disco básico, uma caixa de mensagem aparecerá, informando que o processo de criação do volume irá converter os discos básicos em dinâmicos. Clique em Sim. O Assistente criará o volume seguindo suas especificações. Feche o Gerenciamento de Disco.
Os comandos que aparecem no menu de atalho do disco dependem do número de discos instalados no computador e da presença de espaço livre neles. Por exemplo, pelo menos 2 discos com espaço livre devem estar disponíveis para a criação de um volume estendido, distribuído ou espelhado, e pelo menos três discos devem estar disponíveis para criar um volume RAID-5.
Questões cenários Rafael recentemente recebeu um novo servidor com o Windows Server 2012 R2 Datacenter já instalado com a interface gráfica completa. Rafael quer configurar o sistema como um servidor web, usando o mínimo absoluto de recursos de hardware. O seu primeiro passo é usar o gerenciador do servidor para instalar a função Web Server (IIS). Com o cenário em mente, responda as perguntas abaixo. 1. Qual comando do Windows Powershell o Rafael deve usar para converter a instalação com a interface gráfica completa em Server Core? 2. Qual comando do Windows Powershell o Rafael deve usar para remover completamente do sistema os arquivos de instalação da interface gráfica?
João é um técnico de TI que recebeu a tarefa de configurar um novo servidor rodando o Windows Server 2012 R2 Server Core, chamado servidor 1, que será enviado para a outra filial da empresa. O servidor deve ser configurado para funcionar como um servidor de arquivos com suporte para o DFS (Distributed File System), servidor de impressão com suporte para impressão pela internet e como servidor de web/FTP na intranet para os usuários do domínio. Com o cenário em mente, responda as perguntas abaixo. 1. Qual comando do Windows Powershell o João deve usar para instalar as funções necessárias no servidor?
62
2. Qual comando do Windows Powershell o João pode usar para obter os nomes curtos da funções que foram usadas no item anterior? 3. Liste os comandos que o João deve rodar no novo servidor para instalar os módulos necessários. Em um novo servidor com o Windows Server 2012 R2, Pedro criou um pool de armazenamento consistindo de 2 discos com 1TB cada. Ele então criou três discos virtuais simples a partir do espaço disponível no pool. Pedro então criou, usando o snap-in Gerenciamento de Discos, um volume RAID-5 usando os 3 discos virtuais. Com o cenário em mente, responda as perguntas abaixo. 1. De que maneira o plano de armazenamento do Pedro não é eficaz em prover tolerância a falhas? 2. Porque adicionar um terceiro disco ao pool de armazenamento não irá melhorar a tolerância a falhas do plano de armazenamento do Pedro? 3. Como o Pedro pode mudar o seu plano para que seja tolerante a falhas? Questões 1. Quais das arquiteturas de processador abaixo podem ser usadas em uma nova instalação do Windows Server 2012 R2? Marque todas que se aplicam. a. Processador somente 32 bits b. Processador somente 64 bits c. Processador 32 bits ou 64 bits d. Processador Itanium ou 64 bits
2. Qual dos caminhos abaixo é um caminho de atualização válido para o Windows Server 2012 R2? a. Windows Server 2003 Standard para o Windows Server 2012 R2 Standard b. Windows Server 2008 Standard para o Windows Server 2012 R2 Standard c. Windows Server 2008 32 bits para o Windows Server 2012 R2 64 bits d. Windows 7 Ultimate para o Windows Server 2012 R2 Essencials
3. Qual dos recursos abaixo deve ser adicionado a uma instalação Server Core do Windows Server 2012 R2 para convertê-lo em Minimal Server Interface? a. Graphical Management Tools and Infrastructure
63
b. Server Graphical Shell c. Windows PowerShell d. Microsoft Management Console
4. Qual dos termos abaixo é o nome do diretório em que o Windows guarda todos os módulos do sistema operacional que pode precisar instalar mais tarde? a. Windows b. System32 c. Bin d. WinSxS
5. Qual das sentenças abaixo são razões válidas para os administradores poderem querer seus servidores Windows Server 2012 R2 rodando no modo Server Core? Marque todas que se aplicam. a. Uma instalação Server Core pode ser convertida para a opção com interface gráfica completa sem precisar reinstalar o sistema. b. A interface do Windows PowerShell 4.0 no Windows Server 2012 R2 inclui mais de 10 vezes o número de cmdlets do que o Windows PowerShell 2.0 c. O novo Gerenciador do Servidor do Windows Server 2012 R2 torna a administração de servidores remotos muito mais fácil. d. Uma licença do Windows Server 2012 R2 Server Core custa bem menos do que a licença com interface gráfica completa.
6. Quais recursos devem ser removidos de uma instalação do Windows Server 2012 R2 com interface gráfica completa para convertê-lo em Server Core? Marque todos que se aplicam. a. Windows Management Instrumentation (WMI) b. Graphical Management Tools and Infrastructure c. Desktop Experience d. Server Graphical Shell
7. Qual dos modos de Agrupamento de NIC abaixo prove tolerância a falhas e agregação (aumento) da largura de banda? a. Hyper-V live migration b. Modo Independente de Switch
64
c. Modo Dependente de Switch d. Link Aggregation Control Protocol (LACP)
8. Qual dos utilitários de linha de comando abaixo é usado para unir/adicionar um computador em um domínio? a. Net.exe b. Netsh.exe c. Netdom.exe d. Ipconfig.exe
9. Qual das sentenças abaixo NÃO é verdadeira sobre o Gerenciador do Servidor? a. O Gerenciador do Servidor pode implantar/instalar Funções em diversos servidores ao mesmo tempo. b. O Gerenciador do Servidor pode implantar/instalar Funções em arquivos VHD enquanto estão offline. c. O Gerenciador do Servidor pode implantar/instalar Funções e Recursos ao mesmo tempo. d. O Gerenciador do Servidor pode implantar/instalar Funções e Recursos em qualquer servidor Windows Server 2012 R2 na rede.
10. Quais das operações abaixo você não pode realizar em um Serviço através do Gerenciador do Servidor? Escolha todas que se aplicam. a. Parar um serviço que está rodando b. Iniciar um serviço que está parado c. Desabilitar um serviço d. Configurar um serviço para iniciar junto com o Windows.
11. Quais das sentenças abaixo são verdadeiras sobre volumes distribuídos? Escolha todas que se aplicam. a. Volumes Distribuídos tem maior desempenho comparados aos Volumes Simples b. Volumes Distribuídos são mais tolerantes a falhas do que Volumes Simples c. Você pode estender volumes simples depois de cria-los. d. Se um disco físico do volume distribuído falhar, todos os dados do volume são perdidos.
65
12. Quais das sentenças abaixo descrevem melhor os requisitos para estender um volume em um disco dinâmico? Escolha todas que se aplicam. a. Se você quiser estender um volume simples, você só pode usar o espaço livre do próprio disco se quiser que o volume permaneça simples. b. O volume deve ter um sistema de arquivos (volume raw (cru)) antes que você possa estender um volume simples ou estendido. c. Você pode estender um volume simples ou estendido se estiverem formatados com os sistemas de arquivos FAT ou FAT32. d. Você pode estender um volume simples por outros discos se não for um volume de sistema ou volume de boot(inicialização). 13. Quais dos tipos de volumes suportados pelo Windows Server 2012 R2 possuem tolerância a falhas? Escolha todos que se aplicam. a. Distribuído b. Estendido c. Espelhado d. RAID-5 14. Um array de discos (JBOD - Just a Bunch Of Disks) é uma alternativa para qual das tecnologias de storage abaixo? a. SAN b. SCSI c. RAID d. iSCSI
66
Respostas Cenário 1 Questão 1 – Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell –Restart Questão 2 – Uninstall-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell –Remove Cenário 2 Questão 1 – Install-WindowsFeature Questão 2 – Get-WindowsFeature Questão 3 – Install-WindowsFeature FS-FileServer, Install-WindowsFeature FS-DFS-Namespace Install-WindowsFeature FS-DFS-Replication, Install-WindowsFeature FS-NFSService, Install-WindowsFeature Print-InternetServices –allsubfeatures, InstallWindowsFeature Web-Server Install-WindowsFeature Web-Windows-Auth, Install-WindowsFeature Web-FtpService O comando Install-WindowsFeature FS-Fileserver não é necessário, pois é instalado como dependência do DFS. Os comandos Install-WindowsFeature Web-Server e Install-WindowsFeature Web-Windows-Auth também não são necessários, pois eles são instalados como dependências de Print-Internet (nome curto para o Print-InternetServices) Questões Objetivas Questão 1 – Resposta correta: 2 , o Windows Server 2012 R2 só pode ser instalado em processadores 64 bits. Questão 2 – Resposta correta: 2 , Você pode atualizar o Windows Server 2008 Standard para o Windows Server 2012 R2 Standard. Questão 3 – Resposta correta: 1 , instalar o módulo “Graphical Management Tools and Infrastructure” , e somente esse módulo, numa instalação Server Core irá convertê-lo em Minimal Server Interface. Questão 4 – Resposta correta: 4, o Windows guarda todos os módulos de instalação do sistema operacional no diretório WinSxS. Questão 5 – Respostas corretas: 1 e 3. Questão 6 – Respostas corretas: 2 e 4, remover o recurso “Graphical Management Tools and Infrastructure” é exigido para converter em uma instalação Server Core. O Server Graphical Shell dá suporte para a interface gráfica do Windows, incluindo a Área de Trabalho e o Explorador de Arquivos. Você deve removê-lo para converter para uma instalação Server Core. Questão 7 – Resposta correta: 2, no modo Independente de Switch, os NICs em um time são conectados em switches diferentes, provendo caminhos alternativos através da rede. Questão 8 – Resposta correta: 3.
67
Questão 9 – Resposta correta: 1. O Gerenciador do Servidor não pode implantar/instalar Funções em múltiplos servidores ao mesmo tempo. Questão 10 – Respostas corretas: 3 e 4, você não pode desabilitar um serviço nem configurar um serviço para iniciar junto com o computador pelo Gerenciador do Servidor. Questão 11– Respostas corretas: 1 e 4, volumes distribuídos tem desempenho maior pelo fato de cada disco no array tem tempo de buscar a localização da próxima faixa (stripe) de dados enquanto os outros discos estão escrevendo. Se um único disco físico do volume distribuído falhar, todos os dados do volume são perdidos. Questão 12– Respostas corretas: 1 e 4, quando estender um volume simples, você só pode usar o espaço vazio do próprio disco. Se você estender o volume para outro disco, o volume não é mais simples. Você pode estender um volume simples por entre outros discos adicionais se não for um volume de sistema ou de boot. Questão 13 – Respostas corretas: 3 e 4, um volume espelhado escreve cópias duplicadas de todos os dados em dois discos, provendo assim tolerância a falhas. Um volume RAID-5 escreve dados e informações de paridade em todos os discos o que também provê tolerância a falhas. Questão 14 – Resposta correta: 3. Um array JBOD é uma alternativa a um array RAID que trata cada disco como um volume independente.
68
Capítulo 2 – Configurando Funções e Recursos de Servidor Este capítulo cobre alguns dos serviços fundamentais realizados por servidores. No mundo dos negócios, compartilhamento de arquivos e impressoras eram as razões iniciais pela quais computadores eram ligados na rede, e com o Windows Server 2012 R2, gerenciamento remoto se tornou elemento critico dentro do gerenciamento de servidores. Neste capitulo veremos os seguintes objetivos do exame: 1. Configurar acesso a arquivos e compartilhamentos 2. Configurar serviços de impressão e documentos 3. Configurar servidores para acesso remoto
2.1 - Configurar acesso a arquivos e compartilhamentos Uma das tarefas diárias critica na administração de servidores é decidir onde os usuários deveriam guardar seus arquivos e quem deve ter permissões para acessá-los.
Criar compartilhamentos de pastas Compartilhar pastas torna-as acessíveis aos usuários da rede. Depois que você configurou os discos em um servidor de arquivos, você deve criar compartilhamentos para permitir que os usuários da rede possam acessar esses arquivos. Você deve ter um plano de compartilhamento pronto quando você estiver pronto para criar seus compartilhamentos. Essa estratégia deve consistir nas informações abaixo:
Quais pastas você terá Quais os nomes que você escolherá para os compartilhamentos Quais permissões para as pastas você dará aos usuários Quais configurações de Arquivos Offline você usará
Se você tem as permissões necessárias para uma pasta, você pode compartilhá-la em um computador com o Windows Server 2012 R2 clicando com o botão direito do mouse em cima do ícone da pasta em qualquer janela do Explorador de Arquivos, selecionar Compartilhar com, clicar em Pessoas específicas e seguir as instruções da caixa de diálogo Compartilhamento de
69
Arquivos como mostra a figura abaixo.
Este método de criar compartilhamentos mostra uma interface simplificada com controle limitado sobre elementos como por exemplo permissões de compartilhamento. Você pode especificar que os usuários do compartilhamento recebam apenas permissões de leitura ou de Leitura/Escrita. Se você não for o criador proprietário da pasta, você pode ao invés acessar a aba compartilhamento da janela de propriedades da pasta. Clicar no botão compartilhar lança a mesma caixa de diálogo de Compartilhamento de Arquivos. Clicar no botão Compartilhamento Avançado mostra a caixa de diálogo de Compartilhamento Avançado como mostra a figura abaixo, a qual
70
permite maior controle sobre as permissões de compartilhamento.
Para os usuários da rede poderem navegar pelos compartilhamentos que você criou no servidor de arquivos no Explorador de Arquivos, você deve se assegurar de que as configurações de Descoberta de Rede e de Compartilhamento de Arquivos estão ativadas no painel de controle da Central de Rede e Compartilhamento.
Para controlar todos os compartilhamentos em todos os discos de todos os seus servidores e ter controle granular sobre suas propriedades, você pode usar a página inicial dos Serviços de Arquivo e Armazenamento dentro do Gerenciador do Servidor. O Windows Server 2012 R2 suporta 2 tipos de compartilhamento de pastas:
Server Message Blocks (SMB). SMB é o protocolo de compartilhamento de arquivos padrão usado por todas as versões do Windows. Network File System (NFS). NFS é o protocolo de compartilhamento de arquivos padrão usado pela maioria das distribuições Linux e UNIX.
Quando você instala o Windows Server 2012 R2, o programa de instalação instala o serviço de função de Serviços de Armazenamento da Função
71
Serviços de Arquivo e Armazenamento por padrão. Entretanto, antes de poder criar e gerenciar compartilhamentos SMB pelo Gerenciador do Servidor, você deve instalar o serviço de função de Serviços de Armazenamento; para criar compartilhamentos NFS, você deve instalar o serviço de Função Server for NFS. Para criar um compartilhamento de pasta usando o Gerenciador do Servidor siga os passos abaixo.
No Gerenciador do Servidor, clique no ícone Serviços de Arquivo e Armazenamento e, no submenu que aparece, clique em Compartilhamentos. A página inicial Compartilhamentos aparecerá. No menu Tarefas, selecione Novo Compartilhamento. O Assistente de Novo Compartilhamento abrirá, mostrando a página Selecione o perfil para este compartilhamento, como mostra a figura abaixo.
Da lista de Perfil do compartilhamento de arquivo, selecione uma das opções abaixo. o Compartilhamento SMB – Rápido. Habilita compartilhamento SMB básico com permissões completas de compartilhamento e NTFS. o Compartilhamento SMB – Avançado. Habilita compartilhamento SMB com permissões completas de compartilhamento e NTFS e acesso a serviços do File Server Resource Manager (Gerenciador de Recursos de Servidor de Arquivos).
72
o Compartilhamento SMB – Aplicativos. Habilita compartilhamento SMB com configurações apropriadas para o Hyper-V e outras aplicações. o Compartilhamento NFS – Rápido. Habilita compartilhamento NFS básico com autenticação e permissões. o Compartilhamento NFS – Avançado. Rápido. Habilita compartilhamento NFS com autenticação e permissões e acesso a serviços realizados pelo File Server Resource Manager (Gerenciador de Recursos de Servidor de Arquivos). Clique em Próximo. A página Selecione o Servidor e o caminho para este compartilhamento aparecerá. Selecione o servidor em que deseja criar o compartilhamento e selecione o volume no servidor ou especifique um caminho para a pasta que deseja compartilhar. Clique em Próximo. A página especifique o nome do compartilhamento aparecerá. Se você selecionar um dos 2 modos NFS o assistente terá mais duas páginas para configurações: a página Especifique o método de Autenticação e a página Especifique as permissões de compartilhamento. Cada página dá acesso a funções realizadas pelo serviço de função Server for NFS, esse tópico será tratado no material referente ao exame 70-412 “Configurando Serviços Avançados do Windows Server 2012 R2”.
Na caixa de texto Nome do compartilhamento, especifique o nome desejado e clique em Próximo. A página Definir configurações de
73
compartilhamento aparecerá como na figura abaixo.
Selecione qualquer uma das opções abaixo. o Habilitar enumeração baseada em acesso. Impede que usuários vejam arquivos e pastas que eles não possuam permissão de acesso. o Permitir cache de compartilhamento. Permite que usuários Offline acessem os conteúdos deste compartilhamento. o Habilitar o BranchCache no compartilhamento de arquivos. Habilita servidores BranchCache a fazer cache de arquivos acessados a partir deste compartilhamento. o Criptografar acesso a dados. Faz o servidor criptografar o acesso remoto a arquivos deste compartilhamento.
Enumeração baseada em acesso (Access-based enumeration (ABE)), um recurso introduzido no Windows Server 2003 R2, aplica filtros em pastas compartilhadas baseado nas permissões individuais do usuário para os arquivos e subpastas dentro do compartilhamento. Resumindo, usuários que não podem acessar um recurso compartilhado especifico não conseguem enxergar esse recurso na rede. Este recurso previne usuários de ver arquivos e pastas que não podem acessar. Você pode ativar ou desativar o ABE em um compartilhamento em qualquer tempo abrindo as propriedades do compartilhamento no console de Gerenciamento de Compartilhamento e Armazenamento (ferramenta antiga das versões anteriores) e clicando em Avançado, que mostrará a mesma caixa de diálogo Avançada mostrada pelo Assistente de Provisão de Pasta Compartilhada, que se encontrava no menu Ação da mesma ferramenta.
74
Arquivos Offline, também conhecido como cache no lado do cliente(client-side caching), é um recurso do Windows que permite sistemas cliente manter copias locais dos arquivos acessados em compartilhamentos em servidores. Quando um cliente seleciona a opção Sempre Disponível Offline, o sistema cliente copia os dados selecionados para o disco local e atualiza-os regularmente para que os clientes sempre possa acessá-los, mesmo que o servido esteja offline. Para habilitar aos clientes usarem o recurso Arquivos Offline, o compartilhamento deve ter a caixa de seleção Permitir Cache do Compartilhamento marcada. O Windows Server 2012 R2 e o Windows 8.1 também tem um modo Sempre Offline para o recurso Arquivos Offline que faz com que os clientes sempre usem as cópias em cache dos arquivos no servidor, o que gera maior desempenho. Para implementar esse modo, você deve definir no cliente a configuração de políticas de grupo chamada “modo de configuração de link lento” para o valor de 1 milissegundo.
Clique em Próximo para ir para a página Especificar permissões para controlar o acesso. Modifique as permissões NTFS e de compartilhamento padrão como desejado e clique em Próximo. A página de Confirmação será exibida. Selecionar um dos dois perfis de compartilhamento Avançados na página Selecione o perfil para este compartilhamento adicionar duas páginas no Assistente: a página de Propriedades de Gerenciamento e a página de configuração de cotas. Essas páginas dão acesso a recursos do Gerenciador de Recursos do Servidor de Arquivos, esse tópico será visto no material específico para a prova 70-411 “Administrando o Windows Server 2012 R2”.
Clique em Criar. A página de Resultados aparecerá enquanto o Assistente cria o compartilhamento. Feche o Assistente de Novo Compartilhamento.
Depois de criar um compartilhamento por meio do Assistente, o novo compartilhamento aparecerá no bloco compartilhamentos dentro da página inicial do item Compartilhamentos no Gerenciador do Computador. Agora você pode usar o bloco para gerenciar um compartilhamento clicando com o botão direito do mouse em cima do compartilhamento desejado e abrindo suas propriedades ou clicando em Interromper Compartilhamento.
75
Definindo Permissões Com o Windows Server 2012 R2, você pode controlar o acesso ao servidor de arquivos para dar aos usuários o acesso que eles precisam ao mesmo tempo que protege outros arquivos contra uma possível invasão ou dano, seja ele intencional ou não. Para implementar esse controle de acesso, o Windows Server 2012 R2 usa permissões. Permissões são privilégios dados a entidades especificas do sistema, como usuários, grupos ou computadores, permitindo-os realizar uma tarefa ou acessar um recurso. Por exemplo, você pode conceder um usuário com a permissão de ler um arquivo enquanto nega ao mesmo usuários as permissões necessárias para alterar ou deletar o arquivo. O Windows Server 2012 R2 tem vários conjuntos de permissões, as quais operam independentemente umas das outras. Para o proposito de compartilhamento de arquivos, você deve se tornar familiarizado com a operação dos seguinte sistemas de permissão:
Permissões de compartilhamento. Controla acesso a pastas através da rede. Para acessar um arquivo através da rede, um usuário deve ter as permissões de compartilhamentos apropriadas (e permissões NTFS apropriadas se a pasta compartilhada estiver num volume NTFS). Permissões NTFS. Controla o acesso a arquivos e pastas gravados em discos formatados com o sistema de arquivos NTFS. Para acessar um arquivo, seja no sistema local ou através da rede, um usuário deve ter as permissões NTFS apropriadas.
Todos esses sistemas de permissões operam separadamente e as vezes se combinam para prover maior proteção a um recurso especifico. Para usuários da rede poderem acessar uma pasta compartilhada em um disco NTFS, você deve conceder permissões NTFS e permissões de compartilhamento para eles. Como visto antes, você pode conceder essas permissões como parte do processo de criação do compartilhamento, mas você também pode modificar as permissões a qualquer tempo depois disso.
Entendendo a arquitetura de permissões do Windows. Para gravar permissões, os elementos do Windows tem uma lista de controle de acesso (access control list - ACL). Uma ACL é uma coleção de permissões individuais na forma de entradas de controle de acesso (access control entries (ACEs). Cada ACE consiste de uma entidade de segurança (security principal) , o nome de um usuário, grupo, ou computador que receberá a permissão, e as permissões especificas que serão atribuídas a essa entidade de segurança. Quando você gerencia permissões em qualquer um dos sistemas de permissão
76
do Windows Server 2012 R2, você está na verdade criando e modificando as ACEs de uma ACL. Para gerenciar permissões no Windows Server 2012 R2, você pode usar uma aba da janela de propriedades do elemento em questão, como o mostrado na figura abaixo, com as entidades de segurança listadas no topo e as permissões associadas a eles na parte de baixo. Permissões de compartilhamento são achadas tipicamente na aba Permissões de Compartilhamento e Permissões NTFS são localizadas na aba Segurança. Todos os sistemas de permissão do Windows usam a mesma interface, embora as permissões em si difiram. O Gerenciador do Servidor também prove acesso às permissões NTFS e de compartilhamento através de interfaces levemente diferentes.
77
Entendendo permissões básicas e avançadas As permissões que protegem um certo elemento do sistema não são como as chaves de um cadeado, que dá acesso total ou nenhum acesso. Permissões são feitas para serem granulares, permitindo que você especifique diferentes níveis de acesso para entidades de segurança. Para prover essa granularidade, cada sistema de permissões do Windows tem uma variedade de permissões que você pode definir para uma entidade de segurança em qualquer combinação. Dependendo do sistema de permissão com o qual você estiver trabalhando, você pode ter dezenas de permissões disponíveis para um único elemento do sistema. O Windows oferece combinações de permissões pré-configuradas adequadas para as tarefas de controle de acesso mais comuns. Quando você abre a janela de propriedades de um elemento do sistema e olha na aba Segurança. As permissões NTFS que você vê são chamadas permissões básicas. Permissões básicas são , na verdade, combinações de permissões avançadas, as quais oferecem o controle mais granular sobre o elemento. Antes do Windows Server 2012,permissões básicas eram chamadas de permissões padrão e permissões avançadas eram conhecidas como permissões especiais. Fique ligado nesses diferentes termos.
Por exemplo, o sistema de permissões tem 14 permissões avançadas que podem ser usadas em pastas e arquivos. Entretanto, também existem 6 permissões básicas, que são feitas de várias combinações das 14 permissões avançadas. Você também pode definir os 2 tipos de permissões numa única ACE, combinando uma permissão básica com uma ou mais permissões avançadas, para criar uma combinação customizada. Em muitos casos, entretanto, administradores trabalham apenas com permissões básicas. Muitos administradores raramente têm razões para trabalhar diretamente com permissões avançadas. Se você achar necessário ter de trabalhar diretamente com permissões avançadas, o Windows possibilita isso. Quando você lcia no botão Avançado dentro da aba Segurança de qualquer janela de Propriedades, a caixa de diálogo Configurações de Segurança Avançada será exibida como mostra a figura abaixo, e te permite acessar diretamente as ACEs do elemento do sistema selecionado. O Gerenciador do Servidor dá acesso a mesa caixa de
78
diálogo através da janela de propriedades de um compartilhamento.
Permitindo e negando permissões Quando você atribui permissões para um elemento do sistema, você está, de fato, criando uma nova ACE na ACL do elemento. Existem 2 tipos básicos de ACE: Permitir e Negar. Isto torna possível abordar as tarefas de gerenciamento de permissões de duas direções:
Aditiva. Começa sem nenhuma permissão e então atribui permissões para entidades de segurança individuais para dar-lhes o acesso que precisam. Subtrativa. Inicia atribuindo todas as permissões Permitir para entidades de segurança individuais, dando-lhes controle total sobre o elemento do sistema, e então atribui permissões Negar para os acessos que deseja bloquear.
A maioria dos administradores prefere a abordagem Aditiva, porque o Windows por padrão tenta limitar o acesso a elementos importantes do sistema. Numa hierarquia de permissões bem desenhada, o uso de permissões Negar é normalmente desnecessário. Muitos administradores desaprovam o seu uso, porque a combinação de permissões Permitir e Negar podem tornar difícil de determinar as permissões efetivas para um elemento especifico do sistema.
79
Herança de permissões O principio mais importante no gerenciamento de permissões é que permissões tendem a descer por uma hierarquia. Isso é chamado de herança de permissões. Herança de permissões significa que o elemento pai passa suas permissões para baixo para seus elementos subordinados. Por exemplo, quando você atribui permissões Permitir para Alice acessar a raiz da unidade D, todas a pastas e subpastas na unidade D herdarão essas permissões, o que significa que Alice poderá acessá-los. O principio da herança simplifica muito o processo de atribuição de permissões. Sem ele, você teria de atribuir permissões Permitir individuais para entidades de segurança para cada arquivo, pasta, compartilhamento, objeto e chave que eles precisem acessar. Com a herança, você consegue liberar acesso para um sistema de arquivos inteiro criando apenas um conjunto de permissões Permitir. Na maioria dos casos, conscientemente ou não, administradores de sistemas levam em conta a herança quando projetam seus de sistemas de arquivos e as estruturas de OU dos Serviços de Domínio do Active Directory. A localização de um elemento do sistema na hierarquia é baseada normalmente em como os administradores planejam atribuir e delegar permissões. Em algumas situações, um administrador pode quere impedir elementos subordinados de herdar permissões dos seus “pais”. Existem 2 maneiras de fazer isso:
Desativar a Herança. Quando você atribui permissões avançadas, você pode configurar um ACE para não passar suas permissões para baixo para seus elementos subordinados. Isso efetivamente bloqueia o processo de herança. Negar permissões. Quando você atribui uma permissão Negar para um elemento do sistema, ela sobrepõe qualquer outra permissão Permitir que o elemento possa ter herdado.
Entendendo o acesso efetivo Uma entidade de segurança pode receber permissões de diversas maneiras, e é importante para um administrador entender como essas permissões combinam. A combinação de permissões Permitir e Negar que uma entidade de segurança recebe para um elemento do sistema especifico – seja atribuído explicitamente, herdado, ou recebido através de um grupo do qual seja membro – é chamado de acesso efetivo para aquele elemento. Porque uma entidade de segurança pode receber permissões de tantas fontes diferentes,
80
não é incomum que essas permissões se sobreponham. As seguintes regras definem como as permissões combinam para formar o acesso efetivo.
Permissões Permitir são cumulativas. Quando uma entidade de segurança recebe permissões Permitir por mais de uma fonte, as permissões são combinadas para formar as permissões de acesso efetivo. Permissões Negar sobrescrevem permissões Permitir. Quando uma entidade de segurança recebe permissões Permitir - seja atribuído explicitamente, herdado, ou recebido através de um grupo do qual seja membro – você pode sobrescrever essas permissões atribuindo para a entidade permissões Negar do mesmo tipo. Permissões explicitas tem precedência sobre permissões herdadas. Quando uma entidade de segurança recebe permissões herdadas de um objeto pai ou por ser membro de um grupo, você pode sobrepor essas permissões atribuindo explicitamente permissões contrárias para a entidade de segurança.
Claro que, ao invés de ficar examinando e avaliando todas as possíveis fontes de permissão, você pode apenas abrir a caixa de diálogo Configurações de Segurança Avançadas e clicar na aba Acesso Efetivo. Nessa aba você pode selecionar um usuário, grupo ou equipamento e ver seu acesso efetivo, levando em conta os grupos de que é membro ou não.
Configurando permissões de compartilhamento. No Windows Server 2012 R2, pastas compartilhada têm seu próprio sistema de permissões, o qual é independente dos outros sistemas de permissões do Windows. Para usuários da rede acessarem compartilhamentos em um servidor de arquivos, você deve dar as permissões apropriadas para eles. Por padrão, a entidade especial Todos recebe a permissão de compartilhamento Permitir Ler Controle Total em todos os novos compartilhamentos que você criar usando o Explorador de Arquivos. Em compartilhamentos que você criar usando o Gerenciador do Servidor, a entidade especial Todos recebe a permissão de compartilhamentos Permitir Controle Total. Para modificar as permissões de compartilhamento de um compartilhamento existente usando o Explorador de Arquivos, você abre a janela de Propriedades da pasta compartilhada, seleciona a aba Compartilhamento, clica em Permissões Avançadas e então clica em Permissões para abrir a aba
81
Permissões de compartilhamento como mostra a figura a seguir.
Usando essa interface você pode adicionar entidades de segurança e permitir ou negar 3 tipos de permissões de compartilhamento. Para configurar permissões de compartilhamento usando o Gerenciador do Servidor, seja enquanto criar um compartilhamento ou modificar um existente, use o procedimento abaixo.
No Gerenciador do Servidor , clique no ícone dos Serviços de Arquivos e Armazenamento, e no submenu que aparece , clique em Compartilhamentos para abrir a pagina inicial de compartilhamentos. No bloco Compartilhamentos, clique com o botão direito do mouse e no menu de atalho escolha Propriedades. A janela de propriedades para o compartilhamento será exibida. Clique em Permissões. A página de permissões abrirá. Clique em Customizar Permissões. A caixa de diálogo Configurações Avançadas de Segurança para o compartilhamento em questão será exibida.
82
Clique na aba Compartilhamento para ver a interface mostrada na figura abaixo.
Clique adicionar para abrir a caixa de diálogo Entrada de Permissão para o Compartilhamento. Clique no link selecionar uma entidade para exibir a caixa de diálogo Selecione Usuário, Computador, Conta de Serviço ou Grupo. Digite o nome ou procure pela entidade de segurança que você deseja atribuir permissões e clique em OK. A entidade de segurança que você especificou aparecerá na caixa de diálogo Entrada de Permissão Selecione o tipo de permissão que deseja atribuir (Permitir ou Negar). Selecione as caixas de seleção para as permissões que desejar e clique em OK. A nova ACE que você acabou de criar aparecerá na caixa de seleção Configurações Avançadas de Segurança.
Muitos administradores de servidores de arquivos simplesmente deixam a permissão de compartilhamento Controle Total configurada para a entidade especial Todos, basicamente ignorando as permissões de compartilhamento e confiando somente nas permissões NTFS para permissão granular do sistema de arquivos. Permissões NTFS controlam o acesso de usuários locais e remotos, tornando as permissões de compartilhamento redundantes.
83
Clique em OK para fechar a caixa de diálogo Configurações Avançadas de Segurança. Clique em OK para fechar a janela de Propriedades. Feche a janela do Gerenciador do Servidor.
Entendendo a autorização NTFS A maioria das instalações do Windows hoje usam o sistema de arquivos NTFS no lugar do FAT32. Umas das principais vantagens do NTFS é que ele suporta permissões, coisa que o FAT32 não faz. Como descrito anteriormente nesse capitulo, cada arquivo e pasta em uma unidade NTFS tem uma ACL que consiste em ACEs, cada qual contem uma entidade de segurança e as permissões atribuídas e essa entidade. No sistema de permissões NTFS, as entidades de segurança envolvidas são usuários e grupos, aos quais o Windows se refere usando identificadores de segurança (security identifiers - SIDs). Quando um usuário tenta acessar um arquivo ou pasta NTFS o sistema lê o token de segurança de acesso do usuário, que contém o SID da conta do usuário e todos os grupos dos quais o usuário pertence. O sistema então compara esses SIDs com aqueles salvos no ACE da pasto ou arquivo para determinar qual o acesso que o usuário deve ter. Esse processo é chamado de autorização.
Atribuindo permissões NTFS básicas A maioria dos administradores trabalha quase que exclusivamente com permissões NTFS básicas porque não existe necessidade de trabalhar diretamente com permissões avançadas para as tarefas mais comuns de controle de acesso. Para atribuir permissões NTFS básicas para uma pasta compartilhada, as opções são basicamente as mesmas que as permissões de compartilhamento. Você pode abrir a janela de propriedades da pasta no Explorador de arquivos e selecione a aba Segurança ou você pode abrir a tela de propriedades de um compartilhamento no Gerenciador do Servidor, como descrito abaixo. 1. No gerenciador do servidor abra a página inicial Compartilhamentos Permissões NTFS não são limitadas a pastas compartilhadas. Cada arquivo e pasta em uma unidade NTFS tem permissões. Embora esse procedimento descreva o processo de atribuir permissões para uma pasta compartilhada, você pode abrir a janela de propriedades de qualquer pasta numa janela do Explorador de Arquivos, clicar na aba Segurança e trabalhar com permissões NTFS da mesma maneira.
84
2. Abra a janela de propriedades de uma pasta e clique em Permissões para abrir a página de permissões. O Assistente de Novo Compartilhamento mostra essa mesma interface de permissões na sua página de especifique permissões para controlar acesso. O resto desse procedimento se aplica igualmente bem aquela página e as caixas de diálogo subsequentes.
3. Clique em Customizar Permissões para abrir a caixa de dialogo Configurações Avançadas de Segurança para o compartilhamento, mostrando a aba Permissões, como mostra a figura abaixo. Essa caixa de dialogo é o mais próximo que a interface gráfico do Windows pode chegar de mostrar o conteúdo de uma ACL. 4. Clique adicionar. Isso abre a caixa de diálogo Entrada de Permissão para o compartilhamento. 5. Clique no link selecionar uma entidade para mostrar a caixa de diálogo Selecione usuário, computador, conta de serviço ou grupo. 6. Digite o nome ou procure pela entidade de segurança que deseja atribuir permissões NTFS e clique OK. A entidade de segurança que você especificou aparecerá na caixa de diálogo de Entrada de permissão. 7. No campo Tipo, selecione o tipo de permissões que deseja atribuir (Permitir ou Negar). 8. No campo “Aplicável a”, especifique quais subpastas e arquivos devem herdam as permissões que você está atribuindo. 9. Selecione as caixas de seleção para as permissões básicas que quer definir e clique em OK. A nova ACE que você acabou de criar aparecerá na caixa de diálogo Configurações Avançadas de Segurança. 10. Clique em OK duas vezes para fechar a caixa de diálogo Configurações Avançadas de Segurança e a janela de Propriedades. 11. Feche a janela do Gerenciador do Servidor.
Atribuindo permissões NTFS avançadas No Windows Server 2012 R2, habilidade de gerenciar permissões avançadas é integrada dentro da interface que você usa para gerenciar permissões básicas. Na caixa de diálogo de Entrada de Permissões, clicar no link mostrar permissões avançadas muda a lista de permissões básicas para umas lista de permissões avançadas. Você pode então atribuir permissões avançadas em qualquer combinação, assim como faria com permissões básicas.
85
Combinando permissões de compartilhamento com permissões NTFS É importante que administradores de servidores de arquivos entendam que o sistema de permissões NTFS é completamente separado do sistema de permissões de compartilhamento e que para usuários da rede acessarem arquivos em uma unidade NTFS compartilhada, eles devem ter as permissões NTFS corretas e as permissões de compartilhamento corretas. Geralmente, administradores de rede preferem usar permissões NTFS ou de compartilhamento, não ambas. Permissões de compartilhamento oferecem proteção limitada, mas isso pode ser suficiente em algumas redes pequenas. permissões de compartilhamento podem também ser a única opção num computador com unidades FAT32 porque o sistema de arquivos FAT32 não tem seu próprio sistema de permissões. Em redes que já possuem um sistema de permissões NTFS bem planejado, permissões de compartilhamento não são realmente necessárias, você pode seguramente atribuir a permissão de compartilhamento Controle Total para Todos e deixar as permissões NTFS controlarem a segurança. Adicionar as permissões de compartilhamento iria complicar o processo de administração sem dar nenhuma proteção adicional.
Configurando Cópias de Sombra Cópias de sombra é um recurso do Windows Server 2012 R2 que te permite manter versões anteriores dos arquivos em um servidor, então se os usuários acidentalmente deletarem ou sobrescrevem arquivos, eles podem acessar uma cópia anterior desses arquivos. Você pode implementar as cópias de sombra apenas para um volume inteiro; você não pode selecionar pastas, arquivos ou compartilhamentos específicos. Para configurar um volume do Windows Server 2012 R2 para criar Cópias de Sombra use o procedimento abaixo.
Abra o explorador de arquivos Na lista de pastas, expanda o container Computador, clique com o botão direito do mouse em um volume e no menu de atalho selecione Configurar cópias de sombra. A caixa de diálogo Cópias de sombra será
86
exibida como mostra a figura abaixo.
Na caixa selecione um volume, escolhe o volume para o qual deseja ativar as cópias de sombra. Por padrão, quando você ativa as cópias de sombra em um volume, o sistema usa as seguintes configurações. o O sistema grava a cópia de sombra no volume especificado. o O sistema reserva o mínimo de 300MB de espaço em disco para as cópias de sombra. o O sistema cria cópias de sombra as 7:00 e as 0:00 todos os dias. Para modificar os parâmetros padrão, clique em configurações para abrir a caixa de diálogo de configurações. Na caixa área de armazenamento especifique o volume no qual quer armazenar as cópias de sombra. Especifique o tamanho máximo para a área de armazenamento ou escolha a opção sem limite. Se a área de armazenamento encher, o sistema começa a deletar as cópias de sombra mais antigas. Entretanto, não importa quanto espaço você aloque para a área de armazenamento.
87
O Windows Server 2012 R2 suporta o máximo de 64 cópias de sombra para cada volume. Clique em Agendar para abrir a caixa de diálogo de Agenda. Usando os controles existentes você pode mudar as tarefas de cópias de sombra existentes, deletá-las, ou criar novas, baseado na necessidade dos seus usuários. Clique OK duas vezes para fechar as caixas de diálogo Agenda e Configurações. Clique em Habilitar. O sistema ativa o recurso de cópia de sombra para o volume selecionado e cria a primeira cópia na área de armazenamento designada. Feche o explorador de arquivos.
Depois de completar esse procedimento, usuários podem restaurar versões anteriores de arquivos nos volumes selecionados da aba Versões Anteriores da janela de propriedades de qualquer arquivo ou pasta.
Configurar cotas NTFS Gerenciar espaço em disco é uma preocupação constante para administradores de servidores, e uma maneira de prevenir usuários de monopolizar o armazenamento é implementar cotas. O Windows Server 2012 R2 suporta dois tipos de cotas de armazenamento. O tipo mais elaborado dos dois é implementado como parte do Gerenciador de Recursos de Servidor de Arquivos. O segundo tipo, opção mais simples é a cota NTFS. Os objetivos para o exame 70-410 mencionam especificamente cotas NTFS, enquanto as cotas do Gerenciador de Recursos de Servidor de Arquivos são vistas nos objetivos do exame 70-411. Você deve sabe distinguir dentre esse dois tipos diferentes de cotas.
Cotas NTFS permitem aos administradores configurarem um limite de armazenamento para usuários de um volume particular. Dependendo de como você configura a cota, usuários excedendo o limite podem ter espaço em disco negado ou semente receber um aviso. O espaço consumido por usuários individuais é medido pelo tamanho dos arquivos que eles são proprietários ou que eles criaram. Cotas NTFS são relativamente limitadas por você só poder configurar limites no nível de volume. O recurso também é limitado nas ações que pode tomar como resposta a um usuário excedendo o limite. As cotas no Gerenciador de Recursos de Servidor de Arquivos, em contrapartida, são muito mais flexíveis
88
nos limites que você pode configurar e nas respostas do programa (que pode mandar notificações por email, executar comandos, gerar relatórios ou criar eventos de log). Para configurar cotas NTFS para um volume, use o procedimento abaixo.
Abra o Explorador de Arquivos Na lista de pastas, expanda o container Computador, clique com o botão direito do mouse em um volume e no menu de atalho selecione propriedades. A janela de propriedades para o volume aparecerá. Clique na aba Cota para ver a interface mostrada na figura abaixo.
Clique na caixa de seleção ativar gerenciamento de cota para ativar os outros controles. Se quiser prevenir usuários de consumir mais do que sua cota de espaço em disco, selecione a caixa de seleção negar espaço em disco para limites de cota excedidos.
89
Selecione a opção limitar espaço em disco a, e especifique os valores para o limite de cota e o nível de notificação. Marque as caixas de seleção de registrar evento para controlar se usuários excedendo os limites especificados devem disparar eventos do sistema. Clique OK para criar a cota e feche a janela de propriedades. Feche o explorador de arquivos.
Configurando Pastas de Trabalho Pastas de Trabalho é um recurso do Windows Server 2012 R2 que permite aos administradores prover aos seus usuários acesso sincronizado aos seus arquivos em varias estações de trabalho e dispositivos salvando-os em um servidor de arquivos. O principio é basicamente o mesmo do mesmo do serviço Microsoft SkyDrive, exceto que os arquivos são salvos em um servidor privado dentro da empresa e não na nuvem. Isso permite a administração ter controle sobre os arquivos, controlar os backups, classificá-los e/ou criptografá-los conforme desejado. Pastas de Trabalho é um novo recurso do Windows Server 2012 R2 que foi adicionado aos objetivos do exame 70-410. Você deve se tornar familiar com o processo de criação e configuração das Pastas de Trabalho, embora não seja preciso entrar nos detalhes do lado cliente da aplicação que se passa no Windows 8.1
Para configurar o ambiente das Pastas de Trabalho, você instala o serviço de função Pastas de Trabalho dentro da função Serviços de Arquivos e Armazenamento em um servidor rodando o Windows Server 2012 R2 e cria um novo tipo de compartilhamento chamado compartilhamento sincronizado. Isso instala o recurso IIS Hostable Web Core, que torna possível para o servidor responder requisições HTTP de clientes de Pastas de Trabalho na rede. Do lado cliente, você configura as Pastas de Trabalho no Painel de Controle do Windows 8.1, especificando o e-mail do usuário e a localização das Pastas de Trabalho no disco local. O sistema também cria uma pasta de sistema chamada Pastas de Trabalho, que aparece no Explorador de Arquivos e em diálogos de gerenciamento de arquivos. Quando o usuário salva arquivos na Pasta de Trabalho do sistema cliente, eles são sincronizados automaticamente com a pasta do usuário no servidor de Pastas de Trabalho. Usuários podem criar quantas Pastas de Trabalho quanto quiserem em diferentes computadores ou outros dispositivos. Depois de salvar arquivos nas suas Pastas de Trabalho nas suas estações de trabalho, por exemplo, usuários
90
podem ir para casa e ver esses arquivos já sincronizados com os seus computadores. Da mesma maneira, as Pastas de Trabalho podem sincronizar arquivos de um usuário para um dispositivo portátil no escritório e o usuário pode trabalhar com ele enquanto estiver offline enquanto vai pra casa. Chegando em casa e conectando na internet , o dispositivo sincroniza os arquivos com o servidor novamente, para que o usuário encontre a ultima versão no computador do escritório no próximo dia. Pastas de Trabalho não foi feito para ser uma ferramenta colaborativa; é apenas um meio de sincronizar pastas entre múltiplos dispositivos enquanto permite que administradores mantenham controle sobre eles. É possível especificar que as Pastas de Trabalho mantenham-se criptografadas durante a sincronização e administradores podem impor politicas de segurança que forçam o uso de telas de bloqueio e limpeza de dados mandatórias para maquinas perdidas.
2.2 – Configurar serviços de impressão e documentos
Assim como as funções de compartilhamento de arquivos discutidas na seção anterior, compartilhamento de dispositivos de impressão é uma das aplicações mais básicas para as quais as redes locais foram criadas.
Implantando um Servidor de Impressão Instalar, compartilhar, monitorar e gerenciar um único dispositivo de impressão de rede é relativamente simples, mas quando você é responsável por dezenas ou até mesmo centenas de dispositivos de impressão em uma grande rede empresarial, estas tarefas podem ser exaustivas.
Entendendo a arquitetura de impressão do Windows É importante entender os termos que a Microsoft usa quando se refere aos componentes da arquitetura de impressão. Impressão no Microsoft Windows normalmente envolve os 4 componentes abaixo.
Dispositivo de impressão. O dispositivo de impressão é o próprio hardware que produz os documentos em papel ou outra mídia. O Windows Server 2012 R2 suporta dispositivos de impressão locais, que são conectados diretamente a uma porta do computador, e dispositivos de impressão de rede, que são conectados na rede pela porta ethernet.
91
Impressora. No Windows, uma impressora é a interface de software pela qual o computador se comunica com um dispositivo de impressão. O Windows Server 2012 R2 suporta diversas interfaces físicas, incluindo USB, FireWire, paralela (LPT), serial (COM), infravermelho, bluetooth, e serviços de impressão pela rede como LPR, protocolo de impressão pela rede (Internet Printing Protocol - IPP), e portas TCP-IP padrão. Servidor de impressão. Um servidor de impressão é um computador ou dispositivo que recebe os trabalhos de impressão dos clientes e os encaminha para os dispositivos de impressão que estão conectados localmente ou na rede. Driver de impressão. Um Driver de impressão é um driver de dispositivo que converte os trabalhos de impressão gerados pelas aplicações em strings de comandos apropriadas para um dispositivo de impressão especifico. Drivers de impressão são feitos para um dispositivo de impressão especifico e dão acesso a todos os recursos do dispositivo de impressão para as aplicações.
“Impressora” e “dispositivo de impressão” são os termos mais mal usados no vocabulário de impressão do Windows. Obviamente muitas fontes usam “Impressora” para se referir ao hardware de impressão. Entretanto, no Windows, impressora e dispositivo de impressão não são equivalentes. Por exemplo, você pode adicionar uma impressora em um computador com o Windows Server 2012 R2 sem um dispositivo físico de impressão estar presente. O computador pode então hospedar a impressora, servidor de impressão ou driver de impressão. Esses três componentes permitem que o computador processe os trabalhos de impressão e coloque-os na fila de impressão até que o dispositivo de impressão esteja pronto.
Entendendo impressão no Windows Esse quatro componentes trabalham juntos para processar trabalhos de impressão produzidos por aplicações do Windows e transformam-nos em
92
documentos físicos como mostra o esquema abaixo.
Antes que você possa imprimir documentos no Windows, você deve instalar pelo menos uma impressora. Para instalar uma impressora no Windows, você deve fazer o seguinte:
Selecione o modelo e fabricante específicos para o dispositivo de impressão. Especifique a porta (ou outra interface) que o computador usará para acessar o dispositivo de impressão. Carregue o driver criado especificamente para esse dispositivo de impressão.
Quando você imprime um documento em uma aplicação, você seleciona a impressora que será o destino para o trabalho de impressão. A impressora é associada com um driver de impressão que pega os comando gerados pela aplicação e converte-os em linguagem de controle de impressora (printer control language - PCL), uma linguagem entendida pela impressora. Os PCLs podem ser padronizados assim como a linguagem PostScript, ou eles podem ser linguagens proprietárias desenvolvidas pela fabricante do dispositivo de impressão. O driver de impressão te permite configurar o trabalho de impressão para usar vários recursos do dispositivo de impressão. Esses recurso estão tipicamente incorporados na janela de propriedades da impressora. Por exemplo sua aplicação de criação de documentos não sabe se sua impressora é colorida ou monocromática. O driver de impressão dá suporte a recursos como esses. Depois que a impressora processa um trabalho de impressão, guarda o documento em uma fila de impressão , conhecido como spooler. Dependendo da organização dos componentes de impressão, os trabalhos na fila podem
93
estar no formato PCL, prontos para ir para o dispositivo de impressão, ou em um formato intermediário, caso em que o driver de impressão deve processar os trabalhos na fila de impressão para o formato PCL antes de enviá-los para o dispositivo de impressão. Se outros trabalhos estão esperando para ser impressos, um novo trabalho pode ter de esperar na fila por algum tempo. Quando o servidor finalmente manda o trabalho de impressão para o dispositivo de impressão, o dispositivo lê os comandos PCL e produz o documento físico.
Flexibilidade de impressão no Windows A flexibilidade da arquitetura de impressão do Windows é manifestada nas diferentes maneiras que você pode implementar os quatro componentes de impressão. Um único computador pode realizar todos os papéis (exceto pelo dispositivo de impressão, é claro) ou você pode distribuir os papeis pela rede. As sessões seguintes descrevem quatro configurações fundamentais que são a base da maioria das implementações de impressão no Windows.
Impressão direta Compartilhamento de impressora local Impressão pela rede Compartilhamento de impressora de rede
Impressão direta A arquitetura de impressão mais simples consiste em um dispositivo de impressão conectado a um computador, também conhecido como impressora local. Quando você conecta um dispositivo de impressão diretamente a um computador com o Windows Server 2012 R2 e imprime a partir de uma aplicação de dentro daquele sistema, o computador provê a impressora, o driver de impressão e as funções de servidor de impressão.
Compartilhamento de impressora local Além de imprimir a partir de uma aplicação rodando no próprio computador, você também pode compartilhar a impressora (e o dispositivo de impressão) com outros usuários na mesma rede. Nesta disposição, o computador conectado ao dispositivo de impressão funciona como o servidor de impressão. A figura abaixo mostra os outros computadores da rede, que são conhecidos
94
como clientes de impressão.
Na configuração padrão de compartilhamento de impressora do Windows Server 2012 R2, cada cliente usa o seu próprio driver de impressão sua própria impressora. Como antes, a aplicação rodando no cliente manda o trabalho de impressão para a impressora e o driver de impressão processa o trabalho, baseado nos recursos do dispositivo de impressão. A principal vantagem deste arranjo de impressão é que múltiplos usuários, localizados em qualquer lugar na rede, podem mandar trabalhos de impressão para um único dispositivo de impressão conectado em um computador funcionando como um servidor de impressão. O ponto negativo é que o processamento de trabalhos de impressão para vários usuários pode impor um fardo significativo no servidor de impressão. Embora qualquer computador com o Windows Server 2012 R2 possa funcionar como um servidor de impressão, você deve usar uma estação de trabalho para este fim somente quando tiver somente um punhado de clientes para dar suporte ou se tiver um volume de impressão muito leve.
Impressão pela rede As soluções de impressão discutidas até aqui envolvem um dispositivo de impressão conectado diretamente a um computador. Entretanto, dispositivos de impressão não necessariamente devem estar conectados a um computador. Você pode conectar um dispositivo de impressão diretamente na rede. Muitos modelos já tem uma interface de rede integrada, permitindo conectar um cabo
95
de rede padrão. Algumas impressoras tem slots de expansão nos quais você pode instalar adaptadores para interface de rede. Por fim, para dispositivos de impressão sem nenhum recurso de rede, existem os chamados print servers, dispositivos que se conectam na impressora e tem uma interface de rede. Dispositivos de impressão equipados dessa maneira tem seu próprio endereço IP e tem uma pagina Web de configuração integrada. Com impressoras de rede, a decisão primária de implantação que o administrador deve tomar é qual o computador que será o servidor de impressão. Uma opção simples (porem frequentemente impraticável ) é deixar cada cliente de impressão funcionar como seu próprio servidor de impressão , como você pode ver na figura abaixo. Cada cliente processa e coloca na fila de impressão seus próprios trabalhos de impressão, se conecta com o dispositivo de impressão através de uma porta TCP e envia o trabalho de impressão diretamente para o dispositivo para impressão.
Mesmo usuários individuais sem nenhuma assistência vão achar este esquema simples de configurar. Entretanto, as desvantagens são muitas, incluindo as seguintes:
Usuários examinando a fila de impressão verão apenas o seus trabalhos de impressão. Os usuários não estão a par de outros usuários usando ou não o dispositivo de impressão. Eles não tem como saber quais outros trabalhos foram enviados para o dispositivo de impressão ou quanto tempo levará até que as impressos sejam concluídas. Administradores não tem como gerenciar centralmente a fila de impressão porque cada cliente tem sua fila de impressão.
96
Administradores não podem implementar funcionalidades avançadas de impressão, como pools de impressão (visto a seguir) ou administração remota. Mensagens de erro aparecem somente no computador que originou o trabalho que o dispositivo de impressão esteja processando. Todo o processamento do trabalho de impressão é realizado pelo cliente ao invés de ser parcialmente transferido para um servidor de impressão externo.
Por essas razões, este arranjo só é apropriado para pequenas redes de grupos de trabalho que não possuem administradores exclusivos para fornecer suporte.
Compartilhamento de impressoras de rede A outra opção, bem mais popular para impressão em rede é designar um computador como o servidor de impressão e usá-lo para servir todos os clientes da rede. Para fazer isso, você instala uma impressora em um computador (que se torna o servidor de impressão ) e configura-o para acessar o dispositivo de impressão diretamente via porta TCP. Você então compartilha a impressora, assim como faria com um dispositivo de impressão local, e configura os clientes para acessar o compartilhamento de impressora. Como você pode ver na figura a seguir, a configuração física é a mesma do arranjo anterior, mas o caminho lógico que o trabalho de impressão traça até o dispositivo de impressão é diferente. Ao invés de ir reto para o dispositivo de impressão, os trabalhos vão para o servidor de impressão, que os coloca na fila de impressão e depois os envia para o dispositivo de impressão em ordem.
97
Com essa disposição, virtualmente todas as desvantagens do arranjo de múltiplos servidores de impressão se tornam vantagens:
Todos os trabalhos dos clientes são guardados em uma única fila de impressão, então usuários e administradores podem ver a lista completa de trabalhos que estão esperando para serem impressos. Parte do fardo de processar trabalhos é transferido para o servidor de impressão. Os administradores podem gerenciar todos os trabalhos em espera de um local remoto. Mensagens de erros de impressão aparecem em todos os clientes. Os administradores podem implementar pools de impressão e outras funcionalidades avançadas de impressão. Administradores podem gerenciar a segurança, auditoria, monitoramento e funções de registros (log) a partir de um local central.
Configurações de impressão avançadas Administradores podem usar as quatro configurações descritas nas sessões anteriores como base para criar soluções para suas redes. Muitas variações possíveis podem ser usadas para criar uma arquitetura de impressão de rede que suporte as necessidades de sua organização. Algumas das possibilidades mais avançadas podem ser:
Você pode conectar uma única impressora à vários dispositivo de impressão, criando o que é chamado de pool de impressão. Em uma rede muito ativa com muitos clientes de impressão, o servidor de impressão pode distribuir grandes números de trabalhos entre vários dispositivos de impressão idênticos para prover um serviço mais ágil e maior tolerância a falhas. Você pode conectar vários dispositivo de impressão que suportam diferentes tipos e tamanhos de papel em uma única impressora, que irá distribuir os trabalhos com requisitos diferentes para os dispositivos de impressão apropriados. Você pode conectar várias impressoras em um único dispositivo de impressão. Criando várias impressoras, você pode configurar diferentes prioridades, configurações de segurança, auditoria, e parâmetros de configuração para usuários diferentes. Por exemplo, você pode criar uma impressora de alta prioridade para executivos e outra de baixa prioridade para estagiários. Isso assegura que os trabalhos dos executivos serão impressos antes, mesmo que as impressoras estejam conectadas ao mesmo dispositivo de impressão.
98
Compartilhando uma impressora Usar o Windows Server 2012 R2 como servidor de impressão pode ser simples ou complexo, dependendo do numero de clientes que o servidor terá de suportar e do numero de impressões. Para uma rede doméstica ou de pequena empresa, na qual alguns usuários precisam de acesso ocasional à impressora, nenhuma preparação adicional é necessária. Entretanto, se o computador deve suportar uso pesado de impressão, atualizações de hardware (como espaço em disco adicional ou memória) podem ser necessárias. Você também pode considerar fazer do computador um servidor de impressão dedicado. Além de memória e espaço em disco, usar o Windows Server 2012 R2 como um servidor de impressão requer ciclos de processador, como qualquer outra aplicação. Num servidor lidando com tráfego pesado de impressão , as outras funções e aplicações possivelmente irão experimentar uma degradação substancial de desempenho. Se você precisa que um servidor de impressão lide com trafego pesado, considere dedicar o computador somente para tarefas de impressão e implantar outras funções e aplicações em outro lugar. Num computador com o Windows Server 2012 R2, você pode compartilhar uma impressora no momento da instalação ou em qualquer momento depois disso. No caso de impressoras antigas, você inicia o processo de instalação através do Assistente de Adicionar Impressora de dentro da seção Dispositivos e Impressoras no Painel de Controle. Entretanto , a maioria das impressoras no mercado hoje usam uma conexão USB para um computador ou uma conexão Ethernet ou Wireless para a rede. No caso de uma impressora USB, você conecta a impressora no computador e liga o dispositivo para iniciar o processo de instalação. Uma intervenção manual só é necessária no caso do Windows Server 2012 R2 não ter o driver para o dispositivo de impressão. Para impressoras de rede, um programa de instalação fornecido com o produto localiza o dispositivo na rede, instala os drivers corretos, cria uma impressora no computador e configura a impressora com o endereço IP adequado e demais configurações. Depois que a impressora é instalada no computador com o Windows Server 2012 R2 que funcionará como servidor de impressão, você pode compartilhá-la com seus clientes da rede usando o seguinte procedimento.
Abra a categoria Dispositivos e Impressoras do Painel de Controle Clique com o botão direito do mouse na impressora que quer compartilhar e, no menu de atalho, selecione propriedades. A janela de propriedades da impressora abrirá.
99
O menu de atalho de todas as impressoras dá acesso a duas janelas de propriedades. O item propriedades da impressora abre a janela das propriedades da impressora e o item propriedades abre a janela das propriedades do dispositivo de impressão
Clique na aba compartilhar Marque a caixa de seleção Compartilhar essa impressora. O nome da impressora aparecerá na caixa de texto Nome do compartilhamento. Você pode aceitá-lo ou alterá-lo. Selecione uma ou ambas as caixas de seleção opcionais: o Processar trabalhos de impressão em computadores cliente. Minimiza a utilização de recursos do servidor de impressão forçando os clientes a realizarem o processamento dos trabalhos de impressão. o Listar no diretório. Cria um novo objeto de impressora no banco de dados do Active Directory, permitindo usuários do domínio localizar a impressora pesquisando n diretório. Essa opção aparece somente quando o computador é membro de um domínio do Active Directory. Opcionalmente, clique em drivers adicionais para abrir a caixa de diálogo drivers adicionais. Essa caixa de diálogo te permite carregar drivers de impressoras para outras plataformas do Windows , como x86. Quando você instala os drivers alternativos, o servidor de impressão automaticamente entrega-os aos clientes usando as respectivas versões do sistema operacional. Selecione qualquer combinação das caixas de seleção disponíveis e clique em OK. Para cada caixa de seleção que você seleciona, o Windows Server 2012 R2 mostra uma caixa de diálogo de Drivers de Impressão. Em cada caixa de diálogo de Drivers de Impressão, digite a localização ou procure pelo driver de impressora para o sistema operacional selecionado e clique em OK. Clique em OK para fechar a caixa de diálogo Drivers Adicionais. Clique em OK para fechar a janela de propriedades da impressora. O ícone da impressora dentro do painel de controle agora inclui um símbolo indicando que foi compartilhada. Feche o Painel de controle.
Neste ponto a impressora esta disponível para clientes na rede.
100
Gerenciando drivers de impressoras Drivers de impressoras são os componentes que permitem seus computadores gerenciar as funcionalidades dos seus dispositivos de impressão. Quando você instala uma impressora em um servidor rodando o Windows Server 2012 R2, você também instala um driver que outros computadores Windows podem usar. Os drivers de impressoras que você instala no Windows Server 2012 R2 são os mesmos drivers que estações de trabalho Windows e outras versões de servidor usam, com um porém. Sendo uma plataforma 64 bits, o Windows Server 2012 R2 usa drivers de dispositivos 64 bits, os quais são apropriados para outros computadores rodando versões 64 bits do Windows. Se você tem sistemas Windows 32 bits na sua rede, entretanto, você deve instalar o driver 32 bits no servidor para esses sistemas usarem. A caixa de diálogo Drivers Adicionais, acessível a partir da aba Compartilhamento da janela de propriedades de uma impressora, te permite instalar drivers para outras plataformas de drivers. Entretanto, você deve instalar esses drivers do computador rodando na plataforma alternativa. em outras palavras, para instalar um driver 32 bits de uma impressora em um servidor com o Windows Server 2012 R2, você deve acessar a janela de propriedades da impressora a partir de um computador rodando uma versão 32 bits do Windows. Você pode fazer isso acessando a impressora diretamente pela rede através do Explorador de Arquivos ou rodando o snap-in de Gerenciamento de Impressão no sistema 32 bits e usando-o para gerenciar o seu servidor de impressão Windows Server 2012 R2. Para o servidor poder suprir drivers de diferentes plataformas para os computadores clientes, você deve se certificar que quando for instalar drivers para o mesmo dispositivo de impressão que eles tenham nomes idênticos. Por exemplo, o Windows Server 2012 R2 vai tratar “HP LaserJet 5200 PCL6” e “HP LaserJet 5200 PCL 6” como dois drivers diferentes. Os nomes devem ser idênticos para que o servidor possa aplicá-los corretamente.
Usando o Easy Print no acesso remoto Quando um cliente do Serviço de Área de trabalho Remota conecta a um servidor, roda aplicações usando a memória e processador do servidor. Entretanto, se aquele cliente quiser imprimir um documento de uma daquelas aplicações , vai querer que o trabalho de impressão vá para o dispositivo de impressão conectado ao computador cliente. O componente que permite clientes do Serviço de Área de trabalho Remota imprimam em seus dispositivos locais é chamado Easy Print (Imprima Fácil). O Easy Print toma a forma de um driver de impressora que é instalado no
101
servidor junto com o serviço de função Host de Sessão de Área de trabalho Remota. O driver do Easy Print aparece automaticamente no snap-in de Gerenciamento de Impressão, mas não é associado a nenhum dispositivo de impressão em particular. Ao invés disso , o driver funciona como um redirecionador , permitindo o servidor acessar as impressoras nos clientes conectados. No Windows Server 2012 R2, o Easy Print não requer outra configuração além da permissão de conexões de Área de trabalho Remota ou da instalação da função dos Serviços de Área de trabalho Remota. Entretanto, uma vez operacional, ele dá ao administrador acesso adicional ás impressoras nos clientes de Área de trabalho Remota. Quando um cliente de Área de trabalho Remota conecta-se a um servidor usando o programa de Conexão de Área de trabalho Remota ou o site RD Web Access, as impressoras instaladas no sistema cliente são redirecionadas para o servidor e aparecem no snap-in de Gerenciamento de Impressão como impressoras de servidor redirecionadas, como mostra a figura abaixo.
Um cliente rodando uma aplicação no servidor pode então imprimir em um dispositivo local usando a impressora redirecionada. Os administradores também podem abrir a janela de propriedades da impressora redirecionada da maneira de sempre e manipular as suas configurações.
Configurando segurança de impressora Assim como compartilhamentos de pastas, clientes devem ter as permissões corretas para acessar impressoras compartilhadas. Permissões de impressoras são muito mais simples que permissões NTFS; elas ditam se os usuários podem usar a impressora, se podem gerenciar documentos enviados para a
102
impressora ou gerenciar as propriedades da impressora em si. Para atribuir permissões para uma impressora, use o seguinte procedimento.
Abra o painel de controle e selecione Hardware, dispositivos e impressoras. Clique com o botão direito do mouse em uma das impressoras, e no menu de atalho, selecione propriedades. A janela de propriedades abrirá. Clique na aba segurança. A parte de cima lista todas as entidades de segurança que atualmente possuem permissões na impressora selecionada. A parte de baixo lista as permissões da entidade de segurança selecionada. Clique adicionar. A caixa de diálogo Selecione Usuário, computador ou grupo aparecerá. Na caixa de texto Entre com os nomes dos objetos a selecionar, digite o nome de usuário ou de um grupo clique em OK. O usuário ou grupo aparecerá na lista de nomes de usuário. Selecione a entidade de segurança que você adicionou e marque ou desmarque as caixas de seleção da parte de baixo da janela para Permitir ou Negar ao usuário qualquer uma das permissões básicas. Clique em OK para fechar a janela de propriedades Feche o Painel de Controle
Assim como permissões NTFS, existem dois tipos de permissões: básico e avançado. Cada uma das 3 permissões básicas consiste de uma combinação das permissões avançadas.
Gerenciando documentos Por padrão, todas as impressoras atribuem a permissão Permitir Impressão para a entidade especial Todos, que permite todos os usuários acessarem a impressora e gerenciarem seus próprios documentos. Usuários que possuem a permissão Permitir Gerenciar Documentos podem gerenciar os documentos de qualquer usuário. Gerenciar documentos quer dizer pausar, continuar, reiniciar e cancelar documentos que estão esperando na fila de impressão. O Windows Server 2012 R2 tem uma janela de fila de impressão para cada impressora, o que permite os usuários verem os trabalhos que estão atualmente esperando para serem impressos. Para gerenciar documentos , use o procedimento abaixo.
Abra o Painel de Controle e selecione Hardware, Dispositivos e Impressoras. A janela de Dispositivos e Impressoras abrirá.
103
Clique com o botão direito do mouse no ícone de uma das impressoras , e no menu de atalho selecione, Ver o que está sendo impresso. A janela da lista de impressão com o nome da impressora será exibida. Selecione um dos itens do menu para realizar a função associada Feche a janela da fila de impressão Feche o painel de controle
Gerenciando impressoras Usuários com a permissão Permitir Gerenciar essa impressora podem ir além de manipular documentos na fila; eles podem reconfigurar a impressora em si. Gerenciar uma impressora se refere a alterar os parâmetros operacionais que afetam todos os usuários e o controle de acesso à impressora. Geralmente, a maioria das tarefas baseadas em software que caem na categoria de gerenciar uma impressora são aqueles que você realiza quando esta configurando a impressora pela primeira vez. Gerenciamento rotineiro mais provavelmente envolverá manutenção física , como tirar papeis entalados, recarregar papel, e trocas de toner ou tinta. Entretanto, as sessões seguintes examinam algumas das tarefas típicas do gestor de impressoras.
Configurar prioridades de impressora Em alguns casos, administradores com a permissão Gerenciar essa impressora podem querer dar a alguns usuários específicos na sua organização acesso prioritário a um dispositivo de impressão para que quando o tráfego estiver pesado, os seus trabalhos serão processado antes dos outros usuários. Para fazer isso, você deve criar múltiplas impressoras, associá-las com o mesmo dispositivo de impressão, e então modificar suas prioridades, como descrito no procedimento abaixo.
Abra o Painel de Controle e selecione Hardware, Dispositivos e Impressoras. A janela de Dispositivos e Impressoras abrirá. Clique com o botão direito do mouse no ícone de uma das impressoras , e no menu de atalho selecione, propriedades. A janela de propriedades abrirá.
104
Clique na aba avançado, como mostra a figura abaixo.
Marque a prioridade com um numero representando a prioridade mais alta que você quer configurar para a impressora. Números maiores representam prioridades maiores. A maior prioridade possível é 99. Os valores de Prioridade não tem nenhum valor absoluto, eles são pertinentes somente em relação uns com os outros. Desde que uma impressora tenha uma prioridade mais alta que outra o servidor irá processar seus trabalhos primeiro. Em outras palavras, não importa se a prioridade mais alta é 9 ou 99, desde que o valor de prioridade menor seja menos que esse número.
Clique na aba Segurança Adicione os usuários ou grupos que deseja dar acesso a impressora de alta prioridade e atribua a permissão Permitir Imprimir para eles. Retire a permissão Permitir Imprimir para a entidade especial Todos. Clique OK e feche a janela de Propriedades. Crie uma impressora idêntica usando o mesmo driver de impressora e apontando para o mesmo dispositivo de impressão. Deixe a
105
configuração de Prioridade no seu valor padrão de 1 e deixe as permissões padrão. Renomeie as impressoras, especificando a prioridade de cada uma. Feche o painel de controle.
Informe os usuários privilegiados que eles devem enviar seus trabalhos para a impressora de alta prioridade. Todos os trabalhos enviados para essa impressora serão processado antes que os trabalhos da outra impressora de baixa prioridade.
Criando um pool de impressoras Como mencionado anteriormente, um pool de impressão aumenta a capacidade de produção de uma única impressora por meio da ligação com diversos dispositivos de impressão. Quando você cria um pool de impressão, a impressora manda cada trabalho que chega para o primeiro dispositivo de impressão disponível que encontra. Isso efetivamente distribui os trabalhos entre os dispositivos de impressão disponíveis, provendo um serviço muito mais rápido aos usuários. Para configurar um pool de impressão use o procedimento abaixo:
Abra o Painel de Controle e selecione a categoria Hardware, e depois Dispositivos e Impressoras. A janela de Dispositivos e Impressoras será exibida. Clique com o botão direito do mouse no ícone de uma das impressoras , e no menu de atalho selecione, propriedades. A janela de propriedades abrirá. Clique na aba Portas. Marque a caixa de seleção Ativar pool de impressão e clique OK. Selecione todas as portas em que os dispositivos de impressão estão conectados. Feche o painel de controle.
Para criar um pool de impressão, você deve ter pelo menos dois dispositivos de impressão idênticos, ou pelo menos dois dispositivos de impressão que usem o mesmo driver. Os dispositivos de impressão devem estar no mesmo local porque não existe como saber em qual dispositivo de impressão a impressão sairá. Você também deve conectar todos os dispositivos de impressão ao mesmo servidor. Se o servidor de impressão é um Windows Server 2012 R2, você pode conectar os dispositivos de impressão em quaisquer portas que sejam viáveis.
106
Usando a Função Serviços de Impressão e Documentos Todas as funcionalidades de compartilhamento e gerenciamento de impressoras discutidas anteriormente estão disponíveis em qualquer computador com o Windows Server 2012 R2 em sua configuração padrão de instalação. Entretanto, instalar a Função Serviços de Impressão e Documentos no computador habilita ferramentas adicionais que são particularmente úteis para administradores envolvidos em impressão pela rede em escala corporativa. Quando você instala a Função Serviços de Impressão e Documentos por meio do Assistente Adicionar Função e Recursos do Gerenciador do Servidor, aparecerá uma página de seleção de serviços de função, permitindo-lhe escolher dentre as opções abaixo:
Print Server (Servidor de impressão). Instala o console de gerenciamento de impressão para o MMC (Microsoft Management Console), que permite administradores implantar, monitorar e gerenciar impressoras por toda a empresa. Distributed Scan Server (Servidor de scanner Distribuído). Permite que o computador receba documentos de scanners de rede e encaminhe-os aos usuários apropriados. Internet Printing (Impressão pela Internet). Cria um website que permite aos usuários mandarem trabalhos de impressão para impressoras Windows compartilhadas. LPD Service (Serviço LPD). Permite que usuários UNIX rodando o programa LPR (line printer remote) possam mandar seus trabalhos de impressão para impressoras Windows.
Como sempre o Windows Server 2012 R2 adiciona um novo ícone no painel de navegação do Gerenciador do Servidor quando você instala uma função. A página inicial dos Serviços de Impressão contém uma visão filtrada das entradas de log relacionadas a impressão, o status dos serviços de sistema relacionados á função e serviços da própria função, e contadores de desempenho. O console de Gerenciamento de Impressão, uma ferramenta administrativa, consolida os controles para os componentes de impressão de toda a organização em um único console. Usando essa ferramenta, você pode acessar filas de impressão e as propriedades de todas as impressoras de rede da empresa, pode implantar impressoras em computadores clientes usando Politicas de Grupo, e pode criar visões customizadas que simplificam o processo de detectar dispositivos de impressão que necessitam de atenção devido a erros ou consumíveis que acabaram.
107
O Windows Server 2012 R2 instala o console de Gerenciamento de Impressão quando você adiciona a Função Serviços de Impressão e Documentos no computador. Você também pode instalar o console sem a função adicionando o recurso Ferramentas de Serviços de Impressão e Documentos, encontrada dentro do item Remote Server Administration Tools - Role Administration Tools do Assistente Adicionar Funções e Recursos. As sessões seguintes demonstrarão algumas das tarefas de administração que você pode fazer utilizando o console de Gerenciamento de Impressão.
Adicionar servidores de impressão Por padrão, o console de Gerenciamento de Impressão mostra apenas a máquina local na lista de servidores de impressão. Cada servidor de impressão tem quatro nós abaixo dele como mostra a figura a seguir, listando os drivers, formulários, portas e impressoras associadas com o servidor.
Para gerenciar outros servidores de impressão e suas impressoras, você deve adicioná-los ao console usando o procedimento abaixo.
No Gerenciador do Servidor, clique em ferramentas e clique em Gerenciamento de Impressão para abrir o console de Gerenciamento de Impressão. Clique com o botão direito no nó Servidores de Impressão, e do menu de atalho, selecione Adicionar ou Remover Servidores para abrir a caixa de diálogo Adicionar ou Remover Servidores. Na caixa Especificar servidor de impressão, clique em Procurar. A caixa de diálogo Selecionar servidor de impressão será mostrada.
108
Selecione o servidor que deseja adicionar ao console e clique selecionar servidor. O servidor selecionado vai aparecer na caixa de texto Adicionar servidores na caixa de diálogo Adicionar ou Remover Servidores. Clique no botão Adicionar à Lista. O servidor selecionado aparecerá na lista de Servidores de impressão. Clique OK. O servidor aparecerá abaixo do nó Servidores de Impressão. Feche o console de Gerenciamento de Impressão.
Agora você pode gerenciar as impressoras associadas com o servidor que você adicionou ao console.
Visualizar impressoras Umas das maiores dificuldades dos administradores de impressão em grandes redes é manter registro de dezenas ou centenas de dispositivos de impressão, todos em uso frequente e todos precisando de atenção regularmente. Seja a manutenção necessária um reparo mais crítico, uma troca de toner ou de cartucho de tinta, uma recarga de papel, dispositivos de impressão não terão a atenção necessária até que um administrador fique sabendo do problema. O console de Gerenciamento de Impressão prove múltiplas maneiras de visualizar os componentes de impressão associados com os servidores de impressão na rede. Para criar visualizações, o console pega a lista completa de impressoras e aplica vários filtros, selecionando quais impressoras mostrar. Dentro do nó Filtros Personalizados, existem 4 filtros personalizados como podemos ver abaixo:
Todas as Impressoras. Contém uma lista de todas as impressoras hospedadas por todos os servidores de impressão que foram adicionados ao console. As impressoras não estão prontas. Contém uma lista de todas as impressoras que não estão reportando o status de Pronto. Impressoras com Trabalhos. Contém uma lista de todas as impressoras que atualmente tem trabalhos esperando na fila de impressão. Todos os Drivers. Contém uma lista de todos os drivers instalados em todos os servidores de impressão que foram adicionados ao console.
Filtros como o As impressoras não estão prontas, são uma maneira poderosa para administradores identificarem impressoras que necessitam de atenção sem ter que procurar por dentre servidores de impressão individuais ou em uma lista longa de todas as impressoras na rede. Além desses filtros padrões, você pode criar seus próprios filtros customizados.
109
Gerenciar impressoras e servidores de impressão Depois que você usou filtros personalizados para isolar as impressoras que quer examinar, selecionar uma impressora mostra seu status, o número de trabalhos atualmente em sua fila de impressão, e o nome do servidor de impressão que está hospedada. Se você clicar com o botão direito no filtro no painel esquerdo e selecionar Mostrar Modo de Exibição estendido, um painel adicional aparecerá contendo o conteúdo da fila de impressão da impressora selecionada. Você pode manipular os trabalhos na fila assim como faria a partir da janela de fila de impressão no console do servidor de impressão. O console de Gerenciamento de Impressão também permite que administradores acessem a interface de configuração de qualquer impressora ou servidor de impressão aparecendo em qualquer de suas janelas. Clicar com o botão direito do mouse em uma impressora ou servidor de impressão em qualquer lugar da interface do console e então selecionando Propriedades mostra a mesma janela de propriedades que você veria no computador do servidor de impressão. Administradores podem configurar impressoras e servidores de impressão sem ter de ir até o local do servidor de impressão ou realizar uma conexão remota.
Implantar impressoras com Politicas de Grupo Configurar um cliente de impressão para acessar uma impressora compartilhada é uma simples questão de navegar na rede ou na árvore do domínio do AD e selecionar a impressora. Entretanto, quando você tem q configurar centenas ou milhares de clientes, a tarefa se torna um pouco mais complicada. O Active Directory (AD) ajuda a simplificar o processo de implantar impressoras para um grande número de clientes. Publicar impressoras no banco e dados do AD permite que usuários e administradores possam procurar impressoras por nome, local ou modelo (se você preencher os campos Localização e Modelo no objeto da impressora). Para criar um objeto de impressora no banco e dados do AD, você pode marcar a caixa de seleção Listar no diretório enquanto estiver compartilhando a impressora ou clicar com o botão direito do mouse em uma impressora no console do Gerenciamento de Impressão, e no menu de atalho, selecionar Listar no diretório. Para usar o Active Directory para implantar/instalar impressoras nos clientes, você deve configurar as politicas apropriadas em um objeto de politica de grupo (Group Policy Object – GPO). Você pode vincular uma GPO em qualquer domínio, site ou unidade organizacional (organizational unit – OU) na árvore do AD. Quando você configura uma GPO para instalar uma impressora, todos os
110
usuários ou computadores dentro daquele site, OU, ou domínio irão receber a conexão dessa impressora por padrão quando eles logarem no sistema. Para implantar impressoras usando Políticas de Grupo siga o procedimento abaixo:
No console de Gerenciamento de Impressão, clique com o botão direito do mouse em uma impressora no painel de escopo do console e no menu selecione Implantar com Politica de Grupo. A caixa de diálogo Implantar com Politica de Grupo será exibida como mostra a figura abaixo.
Clique em Procurar para abrir a caixa de diálogo Procurar um objeto de política de grupo. Selecione a GPO que quer usar para implantar a impressora e clique OK. A GPO selecionada aparecerá no campo Nome da GPO. Selecione a caixa de seleção apropriada para selecionar se quer implantar a impressora aos usuários associados à essa GPO, aos computadores ou a ambos e clique em Adicionar. As novas associações de GPO da impressora serão exibidas na tabela.
Implantar impressoras para os usuários significa que todos os usuários associados com a GPO irão receber a conexão com a impressora não importando o computador que estejam usando para logar. Implantar a impressora para o computador significa que todos os computadores associados com a GPO receberão a conexão com a impressora não importa quem faça login neles.
111
Clique OK. Uma caixa de mensagem aparecerá informando-lhe que a operação foi bem sucedida. Clique OK duas vezes para fechar a caixa de diálogo Implantar com política de grupo. Feche o console de gerenciamento de impressão.
A próxima vez que usuários rodando o Windows 2008 ou posterior e o Windows Vista ou posterior que estiverem associados a GPO reiniciarem o computador ou atualizarem suas políticas, irão receber as novas configurações e a impressora irá aparecer dentro de Dispositivos e Impressoras no Painel de Controle.
2.3 – Configurar Servidores para Gerenciamento Remoto
O Windows Server 2012 R2 foi desenhado para facilitar o gerenciamento remoto de servidores para que administradores raramente tenham que trabalhar diretamente no console do servidor. Isso conserva os recursos do servidor que podem ser melhor utilizados para as aplicações e economizam o tempo dos administradores. Usando o Gerenciador do Servidor para Gerenciamento Remoto O Gerenciador do Servidor tem sido a ferramenta primária de administração do servidor para o Windows Server desde o Windows Server 2003. A melhoria mais obvia na ferramenta Gerenciador do Servidor no Windows Server 2012 R2 é a habilidade de realizar tarefas administrativas em servidores remotos e no sistema local. Quando você loga em uma instalação com interface gráfica completa do Windows Server 2012 R2 com uma conta administrativa, o Gerenciador do servidor é carregado automaticamente, exibindo o bloco de bem vindo. A interface do Gerenciador do Servidor consiste em um painel de navegação do lado esquerdo contendo ícones representando várias visões dos recursos do sistema. Selecionar um ícone exibe uma página inicial no painel direito, que consiste em um número de bloco contendo informações sobre o recurso. A página de Painel, que é exibida por padrão, contém, além do bloco de Bem vindo, miniaturas que sumarizam as outras visões disponíveis no Gerenciador do Servidor. Essas outras visões incluem uma página para o Servidor Local, uma página para Todos os Servidores, contendo servidores adicionais que você tenha adicionado ao Gerenciador, e outras para grupos de servidores e grupos de funções.
112
Adicionar Servidores A diferença primária entre o Gerenciador do Servidor do Windows Server 2012 (e R2) e os anteriores é a habilidade de adicionar e gerenciar vários servidores de uma vez. Embora apenas o servidor local apareça no Gerenciador do Servidor quando você o executa pela primeira vez, você pode adicionar outros, permitindo-lhe administrá-los juntos. Os servidores que você adicionar podem ser físicos ou virtuais e podem estar rodando qualquer versão do Windows Server a partir do Windows Server 2003. Depois que você adicionar servidores na interface, você pode criar grupos contendo coleções de servidores, como aqueles em um local particular ou que realizam uma função particular. Esses grupos aparecem no painel de navegação, permitindo que você os administre como uma entidade única. Para adicionar servidores no Gerenciador do Servidor siga o seguinte procedimento:
No painel de navegação, clique no ícone Todos os Servidores para abrir a página inicial Todos os Servidores. No menu Gerenciar, selecione Adicionar Servidores. Selecione uma das 3 abas para especificar como quer localizar os servidores que deseja adicionar: o Active Directory. Permite procurar por computadores rodando sistemas operacionais específicos em locais específicos no domínio do AD local. o DNS. Permite procurar por servidores no seu servidor DNS atualmente configurado. o Importar. Permite informar um arquivo de texto contendo os nomes ou endereços IP dos servidores que deseja adicionar. Inicie a busca ou carregue um arquivo de texto para mostrar uma lista de servidores disponíveis. Selecione os servidores que deseja adicionar e clique no botão com a flecha para a direita para adicioná-los na lista de Servidores
113
selecionados como mostra a figura abaixo.
Clique em OK. Os servidores que você selecionou serão adicionados na página inicial Todos os Servidores.
Uma vez adicionados servidores remotos na interface do Gerenciador do Servidor, eles aparecerão na página inicial Todos os Servidores. Você pode acessá-los de diversas maneiras, dependendo da versão do Windows que o servidor remoto está rodando.
Gerenciando servidores fora do domínio Quando você adiciona servidores que são membros de um domínio do Active Directory na interface do Gerenciador do Servidor, o Windows Server 2012 R2 usa o protocolo de autenticação padrão Kerberos e suas credenciais de domínio atuais quando conecta em sistemas remotos. Você também pode adicionar servidores que não fazem parte de um domínio do AD, mas obviamente, o sistema não pode se autenticar usando uma conta do AD. Você deve se familiarizar com técnicas de gerenciamento remoto tanto para servidores no domínio quanto para servidores fora dele. Isto significa usar métodos alternativos de autenticação e de comunicação de rede que não se baseiam no Active Directory para descobrir servidores.
114
Para gerenciar um servidor fora do domínio usando o Gerenciador do Servidor, você deve primeiro completar as seguintes tarefas:
Fornecer credenciais administrativas para o servidor fora do domínio. Adicionar o servidor fora do domínio na lista do sistema WSManagement TrustedHosts.
Para adicionar servidores que não fazem parte de um domínio no Gerenciador do Servidor, você deve usar a opção DNS ou a opção Importar no Assistente Adicionar Servidores. Depois de criar as entradas dos servidores, você deve clicar com o botão direito do mouse em cada um e no menu de atalho selecionar a opção Gerenciar como. Isso mostrará uma caixa de diálogo de segurança do Windows , na qual você pode informar as credencias de uma conta com privilégios administrativos no servidor remoto. Fazer parte de um domínio automaticamente estabelece uma relação de confiança entre os computadores no domínio. Para gerenciar computadores que não estão em um domínio comum, você deve estabelecer essa confiança por si mesmo adicionando os computadores que quer gerenciar na lista TrustedHosts no computador que está rodando o Gerenciador do Servidor. A lista TrustedHosts existe em um drive lógico chamado WSMan:; o caminho para a lista é WSMan:\localhost\Client\TrustedHosts. Para adicionar um computador na lista, use o cmdlet Set-item no Windows PowerShell. Depois de abrir uma sessão do Windows PowerShell com privilégios administrativos no computador rodando o Gerenciador do Servidor, use o comando abaixo para adicionar os servidores que quiser gerenciar na lista: Set-Item WSMan:\localhost\Client\TrustedHosts –value -force
Gerenciar servidores Windows Server 2012 R2 Quando você adiciona servidores rodando o Windows Server 2012 R2 no Gerenciador do Servidor, você pode imediatamente começar a usar o assistente Adicionar Funções e recursos para instalar funções e recursos em qualquer um dos servidores que você adicionou. Você também pode realizar outras tarefas administrativas, como configurar agrupamento de NICs e reiniciar o servidor, pois o Windows Remote Management (WinRM) está habilitado por padrão no Windows Server 2012 R2.
115
Configurar o WinRM O WinRM habilita o administrador gerenciar um computador a partir de um local remoto usando ferramentas baseadas em Windows Management Instrumentation (WMI) e Windows PowerShell. Se a configuração padrão do WinRM foi modificada, ou se quiser modificá-la manualmente, você pode fazer pela interface do Gerenciador do Servidor. Na página inicial de Servidor Local, o bloco Propriedades contém um indicador de Gerenciador Remoto que especifica o status atual do WinRM. Para mudar o status do WinRM, clique no link ‘Gerenciador Remoto’ para abrir a caixa de diálogo Configurar Gerenciador Remoto. Desmarcar a caixa de seleção ‘Habilitar gerenciamento remoto deste servidor por outros computadores’ desabilita o WinRM; marcá-la habilita-o. Para gerenciar o WinRM a partir de uma sessão do Windows PowerShell, como é o caso em uma instalação Server Core, use o comando abaixo: Configure-SMRemoting.exe –Get|–Enable|-Disable -Get Mostra o estado atual do WinRM -Enable ativa o WinRM e –Disable Desativa o WinRM
Configurar o Windows Firewall Se você tentar iniciar um snap-in do MMC conectando em um servidor remoto, como o consolo do Gerenciador do Computador, você receberá um erro devido ás configurações padrões do Windows Firewall no Windows Server 2012 R2. O MMC usa o Distributed Component Object Model (DCOM) para gerenciamento remoto ao invés do WinRM, e essas configurações não estão habilitadas por padrão. Para resolver esse problema, você deve habilitar a seguinte regra de entrada do Windows Firewall no servidor remoto que você quer gerenciar:
Acesso á Rede COM+ (DCOM-Entrada) Gerenciamento Remoto do Log de Eventos (NP-Entrada) Gerenciamento Remoto do Log de Eventos (RPC) Gerenciamento Remoto do Log de Eventos (RPC-EPMAP)
Para modificar as regras de no sistema remoto, você pode usar um dos seguintes métodos:
116
Abra o snap-in do MMC ‘Firewall do Windows com Segurança Avançada’ no servidor remoto (se for uma instalação com interface gráfica). Use o módulo Netsecurity do Windows PowerShell. Crie uma GPO contendo as configurações apropriadas e aplique no servidor remoto. Rode o comando Netsh AdvFirewall em um prompt de comando elevado (com privilégios administrativos).
117
Para configurar o Windows Firewall com as regras exigidas para o gerenciamento remoto usando o DCOM numa instalação Server Core, você pode usar a seguinte sintaxe do Windows PowerShell: Set-NetFirewallRule –name –enabled True Para obter os nomes do Windows PowerShell para as regras pré-configuradas no Windows Firewall, use o comando Get-NetFirewallRule. Os comandos resultantes para habilitar as quatro regras listadas anteriormente sâo: Set-NetFirewallRule –name ComPlusNetworkAccess-DCOM-In –enabled True Set-NetFirewallRule –name RemoteEventLogSvc-In-TCP –enabled True Set-NetFirewallRule –name RemoteEventLogSvc-NP-In-TCP –enabled True Set-NetFirewallRule –name RemoteEventLogSvc-RPCSS-In-TCP –enabled True
Para o administrador interessado em soluções de gerenciamento remoto, o método de Política de Grupo oferece vantagens distintas. Não apenas te permite configurar o firewall no sistema remoto sem precisar acessar o console diretamente como permite configurar instalações Server Core sem ter que lidar com linhas de comando. Finalmente, e possivelmente a mais importante para redes grandes, você pode usar Políticas de Grupo para configurar todos os servidores que quer gerenciar de uma única vez. Para configurar o Windows Firewall usando Políticas de Grupo, use o procedimento abaixo. Este procedimento assume que o servidor é membro de um domínio do AD e tem o recurso de Gerenciamento de Políticas de Grupo instalado.
No Gerenciador do Servidor, abra o console de Gerenciamento de Políticas de Grupo e cria uma nova GPO, dando-lhe um nome como Configuração de Firewall de Servidor. Abra a GPO que acabou de criar usando o Editor de Gerenciamento de Políticas de Grupo. Navegue até o nó Configurações do Computador\Politicas\Configurações do Windows\ Windows Firewall com Segurança Avançada\Regras de Entrada. Clique com o botão direito em Regras de Entrada e no menu selecione Nova Regra. O Assistente de Nova Regra de Entrada aparecerá, mostrando a página de tipo de regra.
118
Selecione a opção pré-definida e na lista selecione ‘Acesso à Rede COM+’ e clique em Próximo. A página de Regras Pré-definidas será exibida. Clique em Próximo para ver a página de Ações. Deixe a opção Permitir a Conexão marcada e clique em Terminar. A regra aparecerá no console do Editor de Gerenciamento de Políticas de Grupo. Abra o Assistente de Nova Regra de Entrada novamente. Selecione a opção pré-definida e na lista selecione ‘Gerenciamento Remoto do Log de Eventos’ e clique em Próximo. A página de Regras Pré-definidas será exibida, mostrando as 3 regras no grupo de Gerenciamento Remoto do Log de Eventos. Marque as 3 regras e clique em Próximo para ir para a tela de Ações. Deixe a opção Permitir a Conexão marcada e clique em Terminar. As 3 regras aparecerão no console do Editor de Gerenciamento de Políticas de Grupo. Feche o console do Editor de Gerenciamento de Políticas de Grupo. No console de Gerenciamento de Políticas de Grupo, faça um link da GPO Configuração de Firewall de Servidor com o seu domínio. Feche o console de Gerenciamento de Políticas de Grupo.
As configurações na GPO que você criou serão implantadas nos seus servidores remotos na próxima vez que eles reciclarem ou reiniciarem e você irá poder usar snap-ins do MMC como o Gerenciamento do Computador ou o Gerenciamento de Disco, para conectar a eles remotamente.
Gerenciar servidores com versões anteriores As regras do Windows Firewall que você precisa habilitar em servidores remotos rodando o Windows Server 2012 R2 também estão desativadas por padrão em versões anteriores do Windows Server, então você também precisa habilitá-las. Ao contrário do Windows Server 2012 e do Windows Server 2012 R2, entretanto, versões anteriores do sistema operacional não possuem o suporte ao WinRM necessário para serem gerenciados através do novo Gerenciador do Servidor. Por padrão, quando você adiciona servidores rodando o Windows Server 2008 ou Windows Server 2008 R2 no Gerenciador do Servidor do Windows Server 2012 R2, eles aparecem com o seguinte estado de Capacidade de Gerenciamento ‘Online – Verifique se o serviço WinRM 3.0 está instalado, rodando e se as portas do firewall estão abertas.’
119
Para adicionar o suporte ao WinRM em servidores rodando o Windows Server 2008 ou Windows Server 2008 R2, você deve fazer o download e instalar as seguintes atualizações:
.Net Framework 4.0 Windows Management Framework 3.0
Esse ponto cairá na prova com certeza! Depois que instalar as atualizações, o sistema inicia automaticamente o serviço de Gerenciamento Remoto do Windows, mas você ainda deve completar as seguintes tarefas no servidor remoto:
Habilitar as regras de Gerenciamento Remoto do Windows (HTTPEntrada), como na figura 2-23 a seguir. Criar um ouvinte WinRM através do comando winrm quickconfig em um prompt de comando com privilégios administrativos. Habilitar as regras Acesso à Rede COM+ e Gerenciamento Remoto de Evento de Log no Windows Firewall, como descrito na sessão anterior.
Depois de instalar as atualizações listadas aqui, ainda existem limitações nas tarefas que podem ser executadas em versões anteriores do Windows Server em locais remotos. Por exemplo, você não pode usar o Assistente Adicionar Funções e Recursos no Gerenciador do Servidor para instalar funções e recursos em versões anteriores do Windows Server. Esses servidores não aparecem no pool de servidores na página de seleção de servidor de destino. Entretanto, você pode usar o Windows PowerShell para instalar funções e recursos em servidores usando o Windows Server 2008 e o Windows Server 2008 R2 remotamente, como pode ver no procedimento abaixo.
Abra uma sessão do PowerShell com privilégios administrativos. Estabeleça uma sessão do Windows PowerShell com o computador remoto usando o comando:
Enter-PSSession -credential
Digite a senha do usuário informado e pressione Enter. Mostre a lista de funções e recursos no servidor remoto com o comando Get-WindowsFeature Usando o nome curto da função ou serviço como aparece no comando anterior, instale o componente usando o comando AddWindowsFeature Feche a sessão com o servidor remoto com o comando ExitPSSession
120
Feche a janela do Windows PowerShell. Quando você instala uma função ou recurso em um servidor remoto por meio do Windows PowerShell, a instalação no inclui as ferramentas de gerenciamento da função como a versão baseada em Assistente faz. Entretanto, você pode instalar as ferramentas junto com a função ou recurso se você incluir o parâmetro – includeManagementTools na linha de comando do cmdlet InstallWindowsFeature. Esteja ciente, entretanto, que no caso de uma instalação Server Core, adicionar o parâmetro –includeManagementTools não irá instalar nenhum snap-in do MMC ou outras ferramentas gráficas.
Criar grupos de servidores Para administradores de redes corporativas, pode ser necessário adicionar um grande número de servidores no Gerenciador do Servidor. Para evitar ter de trabalhar com uma longa lista de servidores, você pode criar grupos de servidores baseados em localizações, funções ou qualquer outro paradigma organizacional. Quando você cria um grupo de servidor, aparece como um ícone no painel de navegação, e você pode gerenciar os servidores do grupo assim como faria com aqueles do grupo Todos os Servidores. Para criar um grupo de servidores, use o seguinte procedimento:
No Gerenciador do Servidor, no painel de navegação, clique no ícone Todos os Servidores. A página inicial Todos os Servidores será exibida. No menu Gerenciar, selecione Criar Grupo de Servidores para abrir a caixa de diálogo Criar grupo de servidores, como mostra a figura abaixo.
121
Na caixa de texto Nome do Grupo de Servidores, digite o nome que deseja atribuir ao grupo. Selecione uma das 4 abas para escolher o método para procurar pelos servidores que farão parte do grupo. Selecione os servidores que deseja adicionar ao grupo e clique no botão com a flecha apontando para a direita para adicioná-los para a caixa de Selecionados. Clique em OK. Um novo ícone de Grupo de servidor com o nome que você especificou aparecerá no painel de navegação. Feche o console do Gerenciador do Servidor.
Criar grupos de servidores não afeta as funções que você pode realizar neles. Você não pode, por exemplo, realizar ações em grupos inteiros de servidores. Os agrupamentos são só maneiras de manter um grande número de servidores organizados e fáceis de localizar.
Usar as Ferramentas de Administração de Servidor Remoto Você pode gerenciar servidores remotos a partir de qualquer computador rodando o Windows Server 2012 R2; todas as ferramentas necessárias já estão instaladas por padrão. Entretanto, administradores perceberam ser mais eficiente usar seus computadores clientes para administrar os servidores remotamente (especialmente com a introdução dos serviços baseados na nuvem).
122
Para gerenciar servidores Windows a partir de uma estação de trabalho, você deve baixar e instalar o pacote das Ferramentas de Administração de Servidor Remoto apropriado para a versão do Windows rodando na sua estação de trabalho. As Ferramentas de Administração de Servidor Remoto são empacotadas como um arquivo de atualização da Microsoft com a extensão .msu , permitindo-lhe instalá-lo facilmente pelo Explorador de Arquivos, pelo prompt de comando, ou usando distribuição de software com GPO. Quando você instala as Ferramentas de Administração de Servidor Remoto em uma estação de trabalho rodando o Windows 8 ou Windows 8.1, todas as ferramentas são ativadas por padrão, ao contrário das versões anteriores que exigiam que você as ativasse usando o painel de controle de Recursos do Windows. Você ainda pode usar o painel de controle para desligar os recursos que quiser, entretanto. Quando você lança o Gerenciador do Servidor em uma estação de trabalho do Windows , não existe servidor local e não existem servidores remotos para gerenciar até que você adicione alguns. O seu acesso nos servidores que adicionou depende da conta que usa para logar na estação de trabalho. Se uma mensagem de “Acesso Negado” aparecer, você pode conectar ao servidor com outra conta clicando com o botão direito do mouse e no menu selecionado Gerenciar como, para exibir a caixa de diálogo de segurança do Windows, onde você pode informar as credenciais apropriadas.
Trabalhar com servidores remotos Uma vez adicionados servidores remotos no Gerenciador do Servidor, você pode acessá-los usando uma variedade de ferramentas de administração remota. O Gerenciador do Servidor permite três métodos básicos para acessar servidores remotos, como a seguir:
Tarefas contextuais: quando você clica com o botão direito do mouse sobre um servidor no bloco Servidores em qualquer lugar do Gerenciador do Servidor, você vê um menu de atalho que dá acesso a ferramentas e comandos para o servidor selecionado. Alguns destes são comandos que o Gerenciador do Servidor executa no servidor remoto, como reiniciar servidor e o Windows PowerShell. Outros lançam ferramentas no sistema local e direcionam-nas para o servidor remoto, como snap-ins do MMC e o Assistente Adicionar Funções e Recursos. Ainda outros modificam o próprio Gerenciador do Servidor removendo
123
servidores da interface. Outras tarefas contextuais algumas vezes aparecem nos menus de Tarefas em Painéis específicos. Tarefas não-contextuais: a barra de menu no topo do console Gerenciador do Servidor dá acessa a tarefas internas, como lançar o Assistente Adicionar Servidor e o Assistente Adicionar Funções e Recursos, e a caixa de diálogo de propriedades do Gerenciador do Servidor, na qual você pode especificar o período de atualização do console. Ferramentas não-contextuais: o menu de ferramentas do console dá acesso a programas externos, como snap-ins do MMC e a interface do Windows PowerShell, direcionadas ao sistema local.
124
Capítulo 3 – Configurar o Hyper-V O conceito de virtualizar servidores tem, nos últimos anos, crescido de experimento de novato para um laboratório e ferramenta de testes convenientes para uma estratégia de implantação de servidores de produção legítima. O Windows Server 2012 R2 inclui a função chamada Hyper-V, que permite aos administradores criarem maquinas virtuais (virtual machines – VMs) cada uma em seu ambiente isolado. VMs são unidades autocontidas que administradores podem facilmente mover de um computador físico para o outro, simplificando muito o processo de implantação de aplicações e serviços de rede. Este capítulo cobre algumas das tarefas fundamentais que administradores realizam para criar e implantar servidores Hyper-V e VMs.
3.1- Criar e configurar máquinas virtuais Virtualização de servidores no Windows Server 2012 R2 é baseada em um módulo chamado hipervisor (hypervisor). Algumas vezes chamado de monitor de máquina virtual, o hipervisor é responsável por abstrair o hardware físico do computador e por criar múltiplos ambientes de hardware virtualizado, chamadas VMs. Cada VM tem sua própria configuração (virtual)de hardware e pode rodar uma cópia separada de um sistema operacional (SO). Sendo assim, com hardware físico suficiente e o licenciamento correto, um único computador rodando o Windows Server 2012 R2 com a função Hyper-V instalada pode suportar várias VMs, que os administradores podem gerenciar como se fossem computadores separados. O RemoteFX habilita computadores remotos conectarem a VMs hospedadas no Hyper-V com uma experiência de área de trabalho melhorada, incluindo virtualização de adaptador gráfico, redirecionamento de USB e codificação e decodificação inteligentes. Não espere muitas perguntas sobre o RemoteFX no exame.
Arquiteturas de virtualização Produtos de virtualização podem usar diferentes arquiteturas para compartilhas os recursos de hardware do computador entre as VMs. Os tipos mais antigos de produtos de virtualização, incluindo o Microsoft Windows Virtual PC e o Microsoft Virtual Server, necessitam de um SO padrão instalado no computador. Esse se torna o SO “hospedeiro”. Então você instala o produto de virtualização, que adiciona o componente hipervisor. O hipervisor basicamente roda ao lado do SO hospedeiro, como mostra a figura a seguir, e permite que você crie quantas VMs quiser desde que o computador tenha hardware
125
suficiente para suportá-las.
Esse arranjo, em que o hipervisor roda sobre o SO hospedeiro, é chamado de virtualização tipo 2. Usando a virtualização tipo 2, você cria um ambiente de hardware virtual para cada VM. Você pode especificar quanta memória será alocada para cada VM, pode criar discos virtuais usando espaço do discos físicos do computador, e dar acesso a dispositivos periféricos. Você então instala um sistema operacional “hóspede” em cada VM, como se estivesse implantando um novo computador. O SO hospedeiro então compartilha o acesso ao processador do computador com o hipervisor, cada um usando os ciclos de clock que precisa e passando o controle do processador de um para o outro. A virtualização tipo 2 pode oferecer desempenho adequado à VM, particularmente em salas de aula e laboratórios, mas não oferece desempenho equivalente a computadores físicos separados. Sendo assim, não é geralmente recomendado para servidores de alto tráfego em ambientes de produção. A capacidade de virtualização embutida no Windows Server 2012 R2, chamada de Hyper-V, usa um tipo diferente de arquitetura. O Hyper-V usa virtualização tipo 1, na qual o hipervisor é uma camada de abstração que interage diretamente com o hardware do computador, sem a intervenção do SO hospedeiro. O termo hipervisor tem a intenção de representar um nível acima do supervisor, que se refere à responsabilidade de alocar os ciclos do clock do processador de um computador. O hipervisor cria ambientes individuais chamados partições, cada uma com o seu próprio SO instalado acessando o hardware do computador através do hipervisor. Ao contrário da virtualização tipo 2, nenhum SO hospedeiro
126
compartilha tempo de processador com o hipervisor. No lugar, o hipervisor designa a primeira partição que cria como a partição pai e todas as partições subsequentes como partições filhas, como mostra a figura abaixo.
A partição pai acessa o hardware do sistema através do hipervisor, da mesma forma que as partições filhas. A única diferença é que o pai roda a pilha de virtualização, que cria e gerencia as partições filhas. A partição pai também é responsável pelos subsistemas que afetam diretamente o desempenho do hardware físico do computador, como o Plug and Play, o gerenciamento de energia e o manuseio de erros. Esses subsistemas também rodam nos sistemas operacionais nas partições filhas, mas eles só se referem ao hardware virtual, sendo que na partição pai, ou raiz, gerencia o próprio hardware.
Pode não parecer que a função do Hyper-V no Windows Server 2012 R2 desempenha a virtualização do tipo 1, porque necessita que o sistema operacional esteja instalado e funcionando. Entretanto, adicionar a função do Hyper-V na verdade converte a instância instalada do Windows Server 2012 R2 na partição pai e faz com que o sistema carregue o hipervisor antes do SO.
Implementações do Hyper-V O Windows Server 2012 R2 inclui a função do Hyper-V apenas nas versões Standard e Datacenter. A função Hyper-V é necessária para fazer o SO funcionar como a partição primária do computador, habilitando-o a hospedar outras VMs. Nenhum software especial é exigido para um SO funcionar como
127
um SO hóspede em uma VM. Sendo assim, embora o Windows Server 2012 R2 Essentials não inclua a função do Hyper-V, pode funcionar como um SO hóspede. Outros SO hóspedes suportados pelo Hyper-V incluem sistemas operacionais Windows atuais de estação de trabalho e muitos outros sistemas operacionais que não são da Microsoft.
Licenciamento do Hyper-V A diferença primária entre as edições Standard e Datacenter do Windows Server 2012 R2 é o número de VMs suportadas. Quando você instala uma instância do Windows Server 2012 R2 em uma VM, você deve ter uma licença, da mesma forma de quando você instala em uma máquina física. Comprar a edição Datacenter permite licenciar um número ilimitado de VMs rodando o Windows Server 2012 R2 naquela máquina física. A licença Standard te permite licenciar apenas duas instâncias do Windows Server 2012 R2.
Limitações de hardware do Hyper-V A versão do Hyper-V do Windows Server 2012 R2 contém inúmeras melhorias na escalabilidade do sistema sobre as versões anteriores. Um sistema Windows Server 2012 R2 anfitrião (host) pode ter até 320 processadores lógicos, suportar até 2.048 CPUs virtuais e até 4 TB de memória. Um servidor pode hospedar até 1.024 VMs ativas e uma única VM pode ter até 64 CPUs virtuais a até 1 TB de memória. O Hyper-V pode suportar clusters com até 64 nós e 8.000 VMs.
Outra grande melhoria nas versões do Hyper-V no Windows Server 2012 e no Windows Server 2012 R2 é a inclusão do módulo Hyper-V para o Windows PowerShell, que inclui novos cmdlets dedicados a criação e gerenciamento do serviço do Hyper-V e suas VMs.
Servidor Hyper-V Além da implementação do Hyper-V no Windows Server 2012 R2, a Microsoft disponibiliza o produto Hyper-V Server, que é um subconjunto do Windows Server 2012 R2. O Hyper-V Server 2012 R2 inclui a função Hyper-V, a qual é instalada por padrão durante a instalação do SO. Com a exceção de alguma capacidade limitada dos Serviços de Arquivos e Armazenamento e
128
capacidades de Área de trabalho remota, o SO não inclui nenhuma outra função, como podemos ver na figura abaixo.
O Hyper-V Server também é limitado à interface Server Core, apesar de incluir o SCONFIG, uma simples interface de configuração baseada em script, incluída por padrão em instalações Server Core, exibida na figura a seguir. Você pode gerenciar o Hyper-V Server remotamente usando o Gerenciador do Servidor e o Gerenciador do Hyper-V, assim como faria com qualquer outra instalação Server Core.
129
Ao contrario do Windows Server 2012 R2, o Hyper-V Server é um produto gratuito, disponível para download no site da Microsoft. Porem, o Hyper-V Server não inclui nenhuma licença para instâncias virtuais. Você deve obter e licenciar todos os sistemas operacionais que instalar nas VMs que criar.
Instalar o Hyper-V Tendo o hardware apropriado, você pode adicionar a função Hyper-V ao Windows Server 2012 R2 usando o Gerenciador do Servidor, da mesma forma como faria com qualquer outra função. Adicionar a função Hyper-V instala o software do hipervisor e, no caso de uma instalação com interface completa, também instala as ferramentas de gerenciamento. A ferramenta primária para criar e gerenciar VMs e seus componentes em servidores Hyper-V é o console do Gerenciador do Hyper-V. O Gerenciador do Hyper-V disponibiliza aos administradores uma lista com todas as VMs no computador local e permite que os administradores configurem os ambientes dos servidores e das VMs individuais. Também tem um conjuntos de cmdlets do Hyper-V para o Windows PowerShell que te permitem controlar totalmente as VMs através daquela interface. A Microsoft recomenda que você não instale outras funções com o Hyper-V. é melhor que você implemente qualquer outro papel que você precise que o computador desempenhe em uma VM dentro do Hyper-V. Além disso, você pode considerar instalar o Hyper-V em um computador com a opção de instalação Server Core. Isso irá minimizar a sobrecarga na partição. Assim como acontece em outras funções, instalar o Hyper-V no Server Core excluirá as ferramentas de gerenciamento, as quais você deve instalar separadamente como um recurso em um outro computador. Antes de poder instalar a função do Hyper-V em um servidor rodando o Windows Server 2012 R2, você deve possui o hardware apropriado:
Um processador 64 bits que inclua virtualização assistida por hardware. Isso está disponível que incluem uma opção de virtualização, como a Tecnologia de Virtualização da Intel (Intel VT) ou Tecnologia de Virtualização AMD (AMD-V). Uma BIOS de sistema que suporte o hardware de virtualização, no qual a funcionalidade de virtualização tenha sido ativada. Prevenção de Execução de Dados (Data Execution Prevention - DEP) imposto por Hardware, a qual a Intel chama de eXecute Disable (XD) e a AMD chama de No eXecute (NX). Esta é uma tecnologia usada na CPU para segregar áreas da memória. Especificamente, você deve habilitar o bit XD da Intel ou o bit NX da AMD.
130
Para instalar a função do Hyper-V, use o seguinte procedimento.
No Gerenciador do Servidor, no menu Gerenciar, selecione Adicionar Funções e Recursos. O Assistente Adicionar Funções e Recursos será iniciado, exibindo a página de Antes de Começar. Clique em Próximo para abrir a Página Selecione o Tipo de Instalação Deixe a opção de Instalação baseada em função ou em recurso selecionada e clique em Próximo. A página de seleção de servidor de destino será exibida. Selecione o servidor em que deseja instalar o Hyper-V e clique em Próximo. A página de seleção de Função será exibida. Selecione a função Hyper-V. A caixa de diálogo Assistente de Adição de Funções e Recursos será exibida. Clique em Adicionar Recursos para aceitar as dependências e clique em Próximo para abrir a página de Seleção de Recursos. Clique em Próximo para abrir a página do Hyper-V. Clique em Próximo, a página de criação de switch virtual será exibida como mostra a figura abaixo.
Selecione a caixa de seleção apropriada para selecionar um adaptador de rede no qual será criado o switch virtual e clique em próximo. A página de Migração de Maquina Virtual será exibida como mostra a
131
figura abaixo.
Clique em Próximo para ir para a próxima página. Especifique alternativas para os locais padrão para os arquivos VHD e arquivos de configurações de máquina virtual, se desejar, e clique em Próximo. A página de confirmação de seleções de Instalação será exibida. Clique em Instalar para ir para a página de progresso de Instalação enquanto o Assistente instala a função. Clique em Fechar para fechar o assistente. Reinicie o servidor.
Instalar a função modifica o procedimento de inicialização do Windows Server 2012 R2 para que o recém-instalado hipervisor agora possa acessar o hardware diretamente e então carregar o SO como partição primária sobre ele. Você também pode instalar a função Hyper-V usando o cmdlet InstallWindowsFeature, com a seguinte sintaxe: Install-WindowsFeature –Name Hyper-V –computername -IncludeManagementTools -Restart
132
Usar o Gerenciador do Hyper-V Uma vez instalado a função do Hyper-V e reiniciado o computador, você pode começar a criar VMs e instalar SOs neles através do console do Gerenciador do Hyper-V, o qual você pode acessar a partir do menu Ferramentas no Gerenciador do Servidor. Como a maioria das ferramentas de gerenciamento do Windows Server 2012 R2, incluindo o próprio Gerenciador do Servidor, você pode usar o console do Gerenciador do Hyper-V para criar e gerenciar VMs em vários servidores, permitindo que administradores tenham controle total sobre os seus servidores a partir de um local central. Para executar o Gerenciador do Hyper-V em um servidor que não possui a função do Hyper-V, você deve instalar o recurso Ferramentas de Gerenciamento do Hyper-V. Essas ferramentas também são encontradas no recurso Ferramentas de Administração de Servidor Remoto (RSAT). Uma vez instalado e executado o console do Gerenciador do Hyper-V, você pode adicionar servidores na janela clicando com o botão direito do mouse no nó do Gerenciador do Hyper-V no painel da esquerda e selecionando a opção Conectar ao Servidor. Uma caixa de diálogo aparecerá pedindo o nome do servidor desejado, você pode digitar o nome ou pesquisar pelo servidor desejado. O console do Gerenciador do Hyper-V lista todas as VMs no servidor selecionado, como mostra a figura abaixo , junto com informações de status sobre cada uma.
133
Criar uma máquina virtual Depois de instalar o Hyper-V e configurá-lo usando o Gerenciador do Hyper-V, você está pronto para criar VMs e instalar o SO em cada uma delas. Através do Gerenciador do Hyper-V, você pode criar novas VMs e definir os recursos de hardware que o sistema deve alocar para as máquinas virtuais. Nas configurações de uma VM, dependendo dos recursos de hardware disponíveis no computador e das limitações do SO hóspede, administradores podem especificar o número de processadores e a quantidade de memória alocada para a VM, instalar adaptadores de rede virtuais e criar discos virtuais que usam uma variedade de tecnologias incluindo redes de armazenamento(SAN). Por padrão, o Hyper-V salva os arquivos que constituem as VMs nas pastas que você especificou na página de pastas padrão durante a instalação da função. Cada VM usa os seguintes arquivos:
Um arquivo de configuração de máquina virtual no formato XML com a extensão .xml que contém a informação da configuração da VM, incluindo as próprias configurações para a VM. Um ou mais arquivos VHD (.vhd ou .vhdx) para armazenar o SO hóspede, aplicativos e dados da VM.
Além disso, uma VM pode usar um arquivo de estado salvo (.vsv) se a máquina foi posta em um estado salvo. Para criar uma nova VM, siga o procedimento abaixo. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione o Gerenciador do Hyper-V para abrir o console do Gerenciador do HyperV. 2. No painel da esquerda, selecione um servidor do Hyper-V. 3. No menu Ação, selecione Novo, Máquina Virtual. O Assistente Nova Máquina Virtual será exibido, mostrando a página antes de começar. 4. Clique em Próximo para mostrar a página Especifique nome e local. 5. Na caixa de texto digite um nome para a VM, o sistema usará esse nome para criar as pastas e os arquivos da VM. Para criar os arquivos da VM em um local diferente do padrão marque a caixa de seleção chamada “Armazenar a Máquina Virtual em um Local Diferente” e digite o local alternativo no campo de texto. Então clique em Próximo. A página Especifique a Geração será exibida. 6. Especifique se quer criar uma máquina virtual da Geração 1 ou da Geração 2 e clique em Próximo. A página Atribuir Memória aparecerá.
134
7. Na caixa de texto Memória Inicial, digite a quantidade de memória que deseja que a VM use e clique em Próximo. A Página de configuração de rede será exibida conforme a figura abaixo.
8. Na lista de Conexões, selecione um switch virtual e clique em Próximo. A página Conectar Disco Rígido Virtual será exibida, como mostra a
135
figura abaixo.
9. Deixe a opção criar um disco rígido virtual marcada e digite os valores para os seguinte campos: Nome. Especifica o nome do arquivo VHD, usando o formato .vhdx novo no Windows Server 2012 R2. Local. Especifica o local do arquivo VHD além do local padrão que você especificou na página Locais Padrão. Tamanho. Especifica o tamanho máximo do VHD. Por padrão o Assistente cria um arquivo VHD que inicia pequeno e se expande dinamicamente até o máximo que você especificou.
10. Clique em Próximo. A página de opções de instalação abrirá. 11. Deixe a opção Instalar o sistema operacional depois marcada e clique em Próximo. A página Completando o Assistente de Nova Máquina Virtual será exibida. 12. Clique em Finalizar. O Assistente cria a nova VM e adiciona-a à lista de VMs do Gerenciador do Hyper-V. A VM que este processo cria é equivalente à um computador ‘cru’ (bare-metal). Tem todo o hardware (virtual) que precisa para funcionar mas não tem nenhum software instalado.
136
USANDO O WINDOWS POWERSHELL Para criar uma nova VM usando o Windows PowerShell, use o cmdlet New-VM com a sintaxe básica a seguir: New-VM –Name “NomedaVM” –MemoryStartupBytes NewVHDSizeBytes Por exemplo, o comando abaixo cria uma nova VM chamada ServidorA com 1GB de memória e um novo drive VHD de 60GB: New-VM –Name “ServidorA” –MemoryStartupBytes 1GB – NewVHDSizeBytes 60GB Existem, é claro, muito mais parâmetros no cmdlet New-VM, os quais você pode explorar através do cmdlet Get-Help.
Cada VM em um servidor Hyper-V consiste em uma coleção de configurações que especificam os recursos de hardware na máquina e os ajustes de configuração que controlam estes recursos. Você pode gerenciar e modificar essas configurações por meio da página de configuração da VM em questão. Selecionar uma VM da lista do Gerenciador do Hyper-V mostra uma série de ícones no painel de ações. Clicar no ícone Configurações abre a caixa de diálogo de Configurações, mostrada na figura abaixo, que é a interface de configuração primária para a VM selecionada. Aqui você pode modificar qualquer das configurações que o Assistente de Nova Máquina Virtual configurou para você.
137
Criar VMs de Geração 1 e de Geração 2 No Windows Server 2012 R2, o Hyper-V inclui um novo tipo de máquina virtual, o qual se refere como Geração 2. O tipo de VM criado por todas as versões anteriores é chamado Geração 1. Quando você cria uma nova máquina virtual no Gerenciador do Hyper-V, o Assistente de Nova Máquina Virtual inclui uma nova página (mostrada na figura abaixo na qual você especifica se quer criar uma VM de Geração 1 ou de Geração 2. O cmdlet do Windows Powershell New-VM também inclui um parâmetro novo chamado –Generation.
VMs de Geração 1 são feitas para emular o hardware encontrado em um computador típico. Para fazer isso, usam drivers de dispositivos específicos, como uma BIOS AMI, um adaptador gráfico S3, e um chipset e adaptador de rede Intel. VMs de Geração 1 que você cria com o Windows Server 2012 R2 são totalmente compatíveis com todas as versões anteriores do Hyper-V. VMs de Geração 2 usam drivers sintéticos e dispositivos baseados em software, eles incluem vantagens que incluem as seguintes: Boot UEFI. No lugar de usar a BIOS tradicional, VMs de Geração 2 suportam Boot Seguro usando o Universal Extensible Firmware Interface (UEFI), que requer que o sistema faça boot a partir de drivers assinados digitalmente e permite fazer boot a partir de discos maiores que 2TB com tabelas de partição GUID. Discos SCSI. VMs de Geração 2 omitem o controlador de discos IDE usado por VMs de Geração 1 para bootar o sistema e usam um controlador SCSI virtual de alta performance para todos os discos, permitindo que VMs façam boot a partir de arquivos VHDX e suportem adicionar e remover discos com o sistema funcionando. O resultado final é uma VM de Geração 2 que é implantada muito mais rápida do que sua contra parte de Geração 1 e também funciona mais rápido. As
138
limitações, por sua vez, são que as VMs de Geração 2 só podem executar os seguintes sistemas operacionais hóspedes:
Windows Server 2012 Windows Server 2012 R2 Windows 8 64 bits Windows 8.1 64 bits Windows 10 Technical Preview
Instalar um sistema operacional Assim que você criou uma VM, você pode instalar um SO nela. O Hyper-V no Windows Server 2012 R2 suporta todos os seguintes sistemas operacionais como opções em uma VM de Geração 1.
Windows Server 2012 Windows Server 2012 R2 Windows Server 2008 Windows Server 2008 R2 Windows Home Server 2011 Windows Small Business Server 2011 Windows Server 2003 R2 Windows Server 2003 SP2 Windows 8.1 Windows 8 Windows 7 Enterprise e Ultimate Windows Vista Business, Enterprise, and Ultimate SP2 Windows XP Professional SP3 Windows XP x64 Professional SP2 CentOS 6.0–6.2 Red Hat Enterprise Linux 6.0–6.2 SUSE Linux Enterprise Server 11 SP2 Esta é a lista oficial de SOs suportados no lançamento da versão R2. Outros SOs também podem funcionar mas não foram totalmente testados. Logicamente versões mais novas dos SOs mencionados na lista funcionarão sem problemas.
Uma das vantagens de instalar software em VMs é que existem várias maneiras de acessar os arquivos de instalação. Uma VM por padrão, tem um drive de DVD, o qual pode ser físico ou virtual.
139
Quando você abre a caixa de diálogo de configurações de uma VM de Geração 1 e seleciona o drive de DVD na lista de Hardware, você vê a interface mostrada na figura a seguir. Na seção de Mídia, você pode escolher uma das opções para o drive:
Nenhuma. É equivalente a um drive com nenhum disco inserido. Arquivo de imagem. Aponta para um arquivo de imagem de disco com uma extensão .iso armazenado em um dos discos do computador host ou em um disco compartilhado de rede. CD/DVD físico. Liga o drive de DVD virtual para uma das unidades de DVD físicas do computador host.
Em uma VM de Geração 2, a unidade de DVD suporta apenas as opções Nenhuma e Arquivo de Imagem. A habilidade de montar uma imagem em uma unidade de DVD virtual é particularmente útil para administradores que fazem download de arquivos de SO como imagens de disco. Uma vez que você montou um disco de instalação, seja fisicamente ou virtualmente, você pode clicar em Iniciar no painel de Ações do Gerenciador do Hyper-V, o que pe equivalente a ligar a VM. Iniciar uma VM faz com que a miniatura do Gerenciador do Hyper-V mostre as imagens ao vivo. Para mostrar as atividades da VM em tamanho real, clique
140
em Conectar no painel de ações para abrir uma nova janela para a VM. Você então pode interagir com a VM através desta janela, assim como se estivesse sentado no console físico do computador. Quando a VM termina o processo de boot, o processo de instalação continua assim como se você estivesse usando um computador físico. Durante o processo de instalação, você pode trabalhar com o disco VHD da mesma forma como faria com um disco físico, criando partições de tamanhos variados e selecionado uma para o SO. Quando a instalação estiver completa, a VM reiniciará, e você poderá então fazer o login e usar da maneira usual.
Configurar Serviços de Integração de Convidado Em alguns casos, alguns recursos de sistema operacional hóspede do Hyper-V não funcionam corretamente usando os próprios drivers de dispositivos do SO. O Hyper-V, por sua vez, inclui um pacote de software chamado Serviços de Integração de Convidado, os quais você pode instalar em sua VM para fins de compatibilidade. Alguns dos serviços providos pelo pacote Serviços de Integração de Convidado são os seguintes:
Desligamento de Sistema Operacional. Habilita o console do Gerenciador do Hyper-V a desligar remotamente o SO hóspede de uma maneira controlada, eliminando a necessidade de um administrador logar na VM e desligar o sistema manualmente. Sincronização de tempo. Habilita o Hyper-V a sincronizar os clocks dos SOs nas partições pai e filha. Troca de Dados. Habita os sistemas operacionais Windows nas partições pai e filha a trocarem informações como versão de SO e nomes de domínio totalmente qualificados. Pulsação (Heartbeat). Implementa um serviço no qual a partição pai manda sinais de pulsos regulares ás partições filhas, as quais devem responder. Uma falha de uma das filhas em responder indica que o SO hóspede congelou ou está funcionando incorretamente. Backup (Ponto de Verificação de Volume). Ativa o backup de VMs do Windows através dos Serviços de Volume de Cópias de Sombra. Serviços Convidados. Permite aos administradores copiarem arquivos para uma máquina virtual sem precisar de uma conexão de rede.
Os sistemas operacionais Windows Server 2012, Windows Server 2012 R2, Windows 8 e Windows 8.1 possuem o último software dos Serviços de Integração de Convidado, então não existe necessidade de instalar o pacote em VMs rodando estes SOs como hóspedes. Versões anteriores do Windows
141
têm versões anteriores do pacote dos Serviços de Integração de Convidado que precisam ser atualizados, entretanto algumas versões do Windows se quer incluem o pacote. Para sistemas operacionais Linux como hóspede, você deve fazer o download e instalar a última versão do LIS (Linux Integration Services) para o Hyper-V no site Microsoft Download Center. A última versão no momento da escrita deste e-book é a versão 3.5.
Para atualizar os Serviços de Integração de Convidado em um SO hóspede Windows, use o seguinte procedimento: 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciador do Hyper-V. O console Gerenciador do Hyper-V do será aberto. 2. No painel da esquerda, selecione um servidor do Hyper-V. 3. No painel de Ações, inicie uma VM na qual você queira instalar os Serviços de Integração de Convidado e clique em conectar. A janela de Conexão de Máquina Virtual será exibida. 4. Na janela de Conexão de Máquina Virtual, no menu ação, selecione inserir Disco de Configuração dos Serviços de Integração. O Hyper-V monta uma imagem do disco dos Serviços de Integração em uma unidade de disco virtual e uma janela de reprodução automática aparecerá. 5. Clique em Instalar Serviços de integração do Hyper-V. Uma caixa de mensagem aparecerá, te pedindo para atualizar a instalação existente. 6. Clique em OK. O sistema instalará o pacote e te pedirá para reiniciar o sistema. 7. Clique em Sim para reiniciar o sistema. Uma vez que você tenha instalado ou atualizado os Serviços de Integração de Convidado, você pode ativar ou desativar cada um dos recursos individuais abrindo a caixa de diálogo de Configurações para a VM e selecionando a
142
página de Serviços de Integração como mostra a figura abaixo.
Neste ponto, você está pronto para configurar e gerenciar a VM assim como estivesse trabalhando em um servidor físico. Isso pode incluir modificar a configuração de rede, ativar a área e trabalho remota, carregar as funções e recursos apropriados e instalar aplicações. Usando Modo de Sessão Avançado Em versões anteriores do Hyper-V, quando você abre uma janela de Conexão de Máquina Virtual no console do Gerenciador do Hyper-V, você recebe conectividade de mouse e de teclado mais funcionalidade limitada de copiar e colar. Para obter qualquer acesso adicional, como recursos de áudio ou de impressão, você poderia estabelecer uma conexão dos Serviços de Área de Trabalho Remota com a VM, mas isso requer que os computadores estejam conectados na mesma rede, o que não é sempre possível. A partir do Windows Server 2012 R2, o Hyper-V suporta um Modo de Sessão Avançado que habilita a janela de Conexão de Máquina Virtual a redirecionar
143
qualquer dos seguintes recursos locais para VMs rodando o Windows Server 2012 R2 ou o Windows 8.1:
Configuração de Display (Vídeo) Áudio Impressoras Área de trabalho Cartões inteligentes Dispositivos USB Unidades Dispositivos Plug and Play suportados
O modo de sessão avançado funciona estabelecendo uma conexão do protocolo de Área de Trabalho Remota entre o computador host e a VM, mas não requer um caminho de rede padrão porque usa o VMBus no lugar. O VMBus é um condutor/canal de alta velocidade entre as várias partições rodando em um servidor Hyper-V. O modo de sessão avançado esta ativo por padrão no Windows 8.1, mas no Windows Server 2012 R2 você deve ativá-lo na página de política do modo de sessão avançado da caixa de diálogo de configurações do Hyper-V, como mostra a figura a seguir.
144
Alocando memória Memória dinâmica dá a capacidade do Hyper-V ajustar a quantidade de memória RAM alocada a uma VM, dependendo da sua necessidade atual. Alguns componentes do computador podem ser virtualizados. Você pode pegar algum espaço em disco e criar uma unidade de disco virtual, e você pode pegar um arquivo de imagem e criar uma unidade de DVD virtual. Você também pode criar adaptadores de rede virtuais e outros componentes, os quais aparecem como se fossem reais para uma VM. Memória de sistema é diferente, entretanto. Não existe substituto para memória, então tudo o que o Hyper-V pode fazer é pegar e memória física instalada no computador e aloca-la entre as várias VMs. Quando você cria uma VM, você especifica quanta memória alocar para a VM. Obviamente, a quantidade de memória para uso é baseada na memória física instalada no computador. Depois que você criou a VM, você pode modificar a quantidade de memória alocada desligando a VM, abrindo a caixa de diálogo de propriedades e mudando a configuração de memória RAM de inicialização na página de memória, como mostra a figura abaixo. Isso te permite experimentar diferentes quantidades de memória RAM, e configurar o nível de desempenho ótimo para o sistema.
145
Usando Memória Dinâmica Na primeira versão do Hyper-V, desligar a VM era a única maneira de modificar sua alocação de memória. Na versão do Windows Server 2012 R2, entretanto, você pode usar um recurso chamado Memória Dinâmica para realocar memória para a VM automaticamente a partir de um pool compartilhado de memória na medida em que necessita de mudança. Se um servidor virtualizado começa a experimentar maiores quantidades de tráfego de clientes, por exemplo, o Hyper-V pode aumentar a memória alocada para o sistema, e reduzir novamente depois que o tráfego passar. Para usar a memória dinâmica, você deve ativá-la selecionando a caixa de seleção Ativar Memória Dinâmica na página de configuração da Memória da VM e então definir as seguintes configurações:
RAM de Inicialização. Especifica a quantidade de memória que você quer atribuir para a VM quando iniciar. Quando você usa a Memória Dinâmica, este valor pode ser o valor mínimo de memória necessário para o sistema fazer boot. RAM Mínima. Especifica a menor quantidade de memória que a VM pode usar a qualquer momento. SOs podem exigir mais memória para iniciar do que para rodar, então este valor pode ser menor do que o valor de RAM de inicialização RAM Máxima. Especifica a maior quantidade de memória que a VM pode usar a qualquer momento. Este valor pode variar de um mínimo igual ao de RAM de inicialização ao máximo de 64GB. Buffer de Memória. Especifica a porcentagem que o Hyper-V usa para calcular quanta memória alocar para a VM, comparado com a utilização em si, conforme medido pelos contadores de desempenho. Por exemplo, com o buffer de memória configurado para 20%, uma VM com aplicações e SO que consomem 1GB de memória recebe uma alocação dinâmica de 1,2GB. Peso de Memória. Especifica um número relativo que especifica a prioridade desta VM compara com as outras VMs no mesmo computador. Quando a memória física no computador é insuficiente para alocar a quantidade total com o buffer especificada por cada VM, as VMs com os maiores pesos de memória recebem a maior prioridade. Você pode reduzir o valor de RAM Mínima, aumentar o valor de RAM máxima, ou mudar o valor do Buffer de Memória ou o peso de Memória a qualquer momento, mas para ativar ou desativar a Memória Dinâmica você deve desligar a VM.
146
Para definir as configurações de memória para uma VM através do Windows PowerShell, use o cmdlet Set-VMMemory com a seguinte sintaxe: Set-VMMemory -DynamicMemoryEnabled $true -MinimumBytes -StartupBytes -MaximumBytes -Priority -Buffer Por exemplo, para definir as configurações de memória para a VM ServA, ativando a memória dinâmica e configurando valores para todas as configurações, use o seguinte comando: Set-VMMemory -DynamicMemoryEnabled $true -MinimumBytes <64MB> -StartupBytes <128MB> -MaximumBytes <1GB> -Priority <2> -Buffer <20>
Além de configurar as configurações da VM, a VM hóspede deve estar rodando o Windows Vista ou mais novo ou o Windows Server 2003 SP2 ou mais novo e ter os Serviços de Integração de Convidado do Windows Server 2012 R2 instalado para usar a Memória Dinâmica.
Configurar Paginação Inteligente A Memória Dinâmica foi introduzida no Hyper-V do Windows Server 2008 R2, mas o Windows Server 2012 R2 melhorou o conceito adicionando a configuração RAM mínima. Isso torna possível para o Hyper-V reduzir a memória usada por uma VM a um nível menor do que o necessário para inicializar o sistema, recuperando aquela memória para outros usos. O problema de ter valores de RAM mínima que são menores que o valor de RAM de inicialização é que se torna possível acabar com a memória física tendo muitas VMs rodando simultaneamente com seus valores mínimos de memória RAM. Se isso ocorrer, uma VM que precisa reiniciar pode ser impedida de o fazer por não existir memória suficiente para aumentar sua alocação de memória do valor de RAM mínima para seu valor de RAM de inicialização. Para resolver essa possibilidade, o Hyper-V inclui um recurso chamado Paginação Inteligente. Se uma VM tem que reiniciar e não existe memória livre suficiente para alocar o seu valor de RAM de inicialização, o sistema usa espaço em disco para compensar a diferença e começa a paginar os conteúdos da memória para o disco. As taxas de acesso ao disco são muito mais lentas do que as taxas de acesso à memória, é claro, então a paginação inteligente incorre em uma penalidade severa de desempenho, mas a paginação ocorre somente enquanto a VM estiver reiniciando e depois retorna para o valor mínimo de alocação de RAM.
147
O Hyper-V apenas usa a paginação inteligente em condições especificas: quando uma VM precisa ser reiniciada, não existe mais memória livre disponível, e não existem mais outros meios disponíveis para liberar a memória necessária. Você pode selecionar a página de localização de arquivo de Paginação Inteligente na caixa de diálogo de Configurações da VM para especificar a localização para o arquivo de paginação. Selecionar o disco rígido mais rápido existente é recomendável.
Configurar Medição de Recursos Medição de Recursos é um recurso baseado no Windows PowerShell no Hyper-V do Windows Server 2012 R2 que permite os administradores documentarem o uso de VMs através de diversos critérios. Existem diversas razões pelas quais organizações podem querer manter registro do uso de VMs. Para grandes organizações, pode ser uma questão de contabilização e controle internos de despesas decorrentes, como banda de redes WAN. Para prestadores de serviços, pode ser necessário cobrar clientes baseado nos recursos de VM que eles usem. A medição de recursos usa cmdlets do Windows PowerShell para rastrear uma variedade de métricas de desempenho de VMs individuais, incluindo as seguintes:
Utilização de CPU Utilização mínima, máxima e média de memória Utilização de espaço em disco Tráfego de rede de entrada e de saída
Estatísticas de medição de recursos mantem-se consistentes, mesmo quando você transfere VMs entre hosts usando a Migração ao vivo (Live Migration) ou move os arquivos VHD entre VMs. Para usar a medição de recursos, você deve primeiro ativá-la para a VM específica que você quer monitorar através do cmdlet EnableVMResourceMetering com a seguinte sintaxe: Enable-VMResourceMetering –VMName Uma vez habilitada a medição de recursos, você pode ver um relatório estatístico a qualquer momento usando o cmdlet Measure-VM com a seguinte sintaxe: Measure-VM –VMName
148
Além de medir recursos de VMs inteiras, administradores podem também criar pools de recursos que permite-os monitorar componentes específicos de uma VM, como processadores, memória, adaptadores de rede e VHDs. Você cria um pool de recursos usando o cmdlet New-VMResourcePool e então ativa a medição para o pool com o cmdlet Enable-VMResourceMetering. Usando técnicas como tunelamento, administradores podem usar os cmdlet de medição de recursos para juntar informações sobre desempenho de VMs e exportar para aplicações ou arquivos.
3.2 – Criar e Configurar Armazenamento de Máquina Virtual Quando você cria uma VM no Hyper-V do Windows Server 2012 R2, você emula todos os componentes que você tipicamente encontra em um computador físico. Quando você virtualiza memória, como discutido na seção anterior, você pega uma porção da memória física e dedica à uma VM. O mesmo é verdadeiro com espaço em disco. O Hyper-V usa um formato VHD especializado para empacotar uma parte do espaço em um disco rígido e faz com que apareça para a VM como se fosse uma unidade de disco rígido física. Quando você cria uma nova VM de Geração 1 no Hyper-V, o Assistente cria um subsistema virtual de armazenamento que consiste de dois controladores IDE e um controlador SCSI. Os controladores IDE hospedam a unidade de sistema da VM e a unidade de DVD. Como os seus equivalentes físicos, cada controlador IDE pode suportar dois dispositivos, então você pode criar duas unidades virtuais adicionais e adicioná-las no sistema. O controlador SCSI na configuração padrão da VM de Geração 1 está vazio, e você pode criar unidades extras e adicioná-las ao controlador para prover mais armazenamento à VM se desejar. Em uma VM de Geração 2, as unidades de sistema e de DVD estão conectadas ao controlados SCSI padrão e não existe uma controladora IDE alternativa. Em uma VM de qualquer geração, você também pode criar mais controladoras SCSI e adicionar unidades a elas. Criando várias unidades e controladoras, o Hyper-V torna possível construir subsistemas de armazenamento virtuais e emular quase qualquer solução de armazenamento física que você possa pensar.
Formatos de Discos Virtuais O Hyper-V do Windows Server 2012 R2 suporta o arquivo de imagem de arquivo VHD original e o novo formato VHDX. O formato VHD original foi criado
149
por uma empresa chamada Connectix para o seu produto Virtual PC. A Microsoft depois comprou o produto e usou o formato VHD para todos os seu produtos de virtualização posteriores, incluindo o Hyper-V. existem três tipos de arquivos VHD, como segue:
Imagem de disco rígido fixa. Um arquivo de imagem de um tamanho específico no qual todo o espaço em disco necessário para criar o disco é alocado durante sua criação. Imagens de disco fixas podem ser um desperdício em termos de armazenamento porque contém grandes quantidades de espaço vazio, mas são eficientes em termos de desempenho pois não há sobrecarga devido à expansão dinâmica. Imagem de disco rígido dinâmica. Um arquivo de imagem com um tamanho máximo especifico, que começa pequeno e expande conforme necessário para acomodar os dados que o sistema escreve nele. Esta opção conserva espaço em disco mas pode afetar negativamente o desempenho. Imagem de disco rígido diferencial. Um arquivo de imagem filho associado à uma imagem pai específica. O sistema escreve todas as mudanças feitas no arquivo de imagem do pai na imagem do filho, para gerenciar espaço em disco ou para facilitar um rollback (desfazer) em um momento posterior.
Imagens VHD são limitadas a um tamanho máximo de 2TB e são compatíveis com todas as versões do Hyper-V e produtos da Microsoft com hipervisor tipo II, como Virtual Server e Virtual PC. Windows Server 2012 introduziu uma versão atualizada do formato, que usa a extensão de nome de arquivo VHDX. Arquivos de imagem VHDX podem ser tão grandes quanto 64TB e também suportam setores lógicos de tamanho de 4KB para prover compatibilidade com os novos drives nativos de 4KB. Arquivos VHDX também podem usar tamanhos de bloco maiores (até 256MB), o que permite administradores ajustarem o nível de desempenho do subsistema de armazenamento para acomodar aplicações específicas e tipos de arquivos de dados. Entretanto, arquivos VHDX não são compatíveis com versões anteriores e só podem ser lidos pelo Hyper-V do Windows 8 e do Windows Server 2012 e suas respectivas versões mais novas. Se migrar suas VMs do Windows Server 2012 R2 para uma versão mais antiga é uma possibilidade remota, você deve continuar usando o formato VHD.
Criando Discos Virtuais O Hyper-V do Windows Server 2012 R2 dá várias maneiras de criar arquivos de disco virtual. Você pode cria-los como parte de uma VM ou cria-los em outra
150
hora e adicioná-los a uma VM. A interface gráfica no Gerenciador do Hyper-V dá acesso à maioria dos parâmetros de VHD, mas os cmdlets do Windows PowerShell incluídos no Windows Server 2012 R2 possibilitam um controle mais granular sobre o formato da imagem de disco. Criando uma imagem de disco com uma VM O Assistente de Nova Máquina Virtual inclui uma página Conecte Disco Rígido Virtual na qual você pode adicionar um único disco à sua nova VM. As opções para esse disco são relativamente limitadas e consistem nas seguintes:
Criar um Disco Rígido Virtual. Te permite especificar o nome, local, e tamanho de um novo VHD. O Assistente permite somente criar um disco dinâmico usando o formato VHDX, mas você também pode criar disco fixos e diferencias usando o Windows PowerShell. Usar um Disco Rígido Virtual existente. Te permite especificar a localização de um disco VHD ou VHDX existente, o qual a VM irá presumidamente usar como o disco de sistema. Anexar um Disco Rígido Virtual mais tarde. Inibe o Assistente de adicionar discos virtuais na configuração da VM. A premissa é que você irá manualmente adicionar um disco mais tarde, antes de iniciar a VM.
O objeto desta página do assistente é criar o disco em que você irá instalar o SO da VM ou selecionar um disco existente em que o SO já esteja instalado. o disco que o assistente cria é sempre dinâmico e conectado ao controlador IDE 0 em uma VM de Geração 1 ou conectado ao controlador SCSI em uma VM de Geração 2.
Criar um novo disco virtual Você pode criar um arquivo VHD a qualquer momento sem adicioná-lo a uma VM através do assistente Novo Disco Rígido Virtual no Gerenciador do HyperV. Para criar um novo disco virtual, use o seguinte procedimento. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciador do Hyper-V. 2. No painel da esquerda do console do Gerenciador do Hyper-V, selecione um servidor. 3. No menu ações, selecione Novo, Disco Rígido, para iniciar o Assistente de Novo Disco Rígido Virtual, mostrando a página de Antes de começar. 4. Clique em Próximo para abrir a página de escolha de formato de disco. 5. Selecione um dos formatos de disco abaixo: VHD. Cria uma imagem com no máximo 2TB, usando o formato VHD altamente compatível.
151
VHDX. Cria uma imagem com até 64TB, usando o novo formato VHDX. 6. Clique em Próximo para abrir a página de escolha do tipo do disco. 7. Selecione um dos tipos de disco abaixo: Tamanho fixo. Cria um disco de tamanho específico, alocando todo de uma única vez. Expansão Dinâmica. Cria um disco que pode crescer até o tamanho máximo que você especificar na medida em que você adiciona dados. Diferencial. Cria uma unidade filha que contém as mudanças feitas em uma unidade pai especificada. 8. Clique em Próximo. A página especifique Nome e Local será exibida. 9. Informe um nome para a imagem de disco e se desejado informe um local para o arquivo diferente do local padrão do servidor. Clique em Próximo para ir para a página Configurar Disco. 10. Para discos Fixos e de Expansão Dinâmica, selecione e configure uma das opções a seguir: Criar um Novo Disco Rígido Virtual em Branco. Especifique o tamanho (ou tamanho máximo) do arquivo de imagem de disco a criar. Copiar o conteúdo do Disco Físico Especificado. Te permite selecionar um dos discos rígidos físicos no computador e copiar seu conteúdo para a nova imagem de disco. Copiar o conteúdo do Disco Rígido virtual Especificado. Te permite selecionar um arquivo de disco virtual existente e copiar seu conteúdo para a nova imagem de disco. 11. Clique em Próximo. A página Concluindo o Assistente de Novo Disco Rígido Virtual será exibida. 12. Clique em Finalizar. O assistente criará a nova imagem de disco e salvará no local especificado. Você pode criar novos arquivos VHD usando o Windows PowerShell, que te dá mais controle do que o disponível pela interface gráfica. Para criar uma nova imagem de disco, use o cmdlet New-VHD com a seguinte sintaxe básica:
New-VHD –Path c:\nomearq.vhd|c:\nomearq.vhdx –fixed|-dynamic|-differencing –sizebytes [-BlockSizeBytes ] [-LogicalSectorSizeBytes 512|4096] [-ParentPath caminho>] Tem se tornado prática comum da Microsoft lançar cópias
Quando usar o cmdlet para criar uma imagem de disco, a extensão que você especificar para para os arquivos de imagem de instalação. Depois de baixar um destes o nome do arquivo determinará o formato (VHD ou VHDX); também você pode especificar o arquivos, você pode criar uma VM no Hyper-V e selecionar a opção tamanho do bloco e o tamanho do setor lógico da imagem, duas coisas que você não Usar um Disco Rígido Virtual Existente para montar o VHD como a consegue fazer pela GUI. Por exemplo, o comando a seguir cria um arquivo de imagem VHDX unidade deum sistema. fixo de 400GB com tamanho de setor lógico de 4KB.
New-VHD –Path c:\disco.vhdx –fixed –sizebytes 400GB -LogicalSectorSizeBytes 4096
152
Adicionar discos virtuais em máquinas virtuais Criar arquivos de imagem de disco virtual como um processo separado permite aos administradores exercerem mais controle sobre suas capacidades, mas depois de criar os arquivos VHD ou VHDX, você deve adicioná-los à uma VM para que se tornem úteis. Para adicionar uma unidade de disco rígido em um computador físico, você deve conectá-lo a um controlador; o mesmo é verdadeiro com uma VM no Hyper-V. Quando você abre a caixa de diálogo de configurações para uma VM de Geração 1 em sua configuração padrão, você vê três controladores chamados Controlador IDE 0, Controlador IDE 1 e Controlador SCSI 0. Estes correspondem aos controladores que você acharia em um computador típico de servidor. Cada controlador IDE pode suportar dois dispositivos e a configuração padrão da VM usa um canal do Controlador IDE 0 para o disco rígido do sistema e um canal do Controlador IDE 1 para a unidade de DVD do sistema. Se você não criou um disco virtual como parte do Assistente de Nova Máquina Virtual – isto é, se você escolheu anexar um disco virtual mais tarde – então você deve adicionar uma imagem de disco rígido ao Controlador IDE 0 para usar como a unidade de sistema. Uma VM de Geração 1 não pode fazer boot a partir da controladora SCSI. Para adicionar uma unidade de sistema virtual existente à uma VM, siga o procedimento abaixo:
No Gerenciador do Servidor, no menu Ferramentas, selecione o Gerenciador do Hyper-V para abrir o console do Gerenciador do HyperV. No painel da esquerda, selecione um servidor do Hyper-V. Selecione uma VM e, no painel de ações selecione configurações. A caixa de diálogo de configurações para a VM será exibida.
153
Selecione o controlador IDE 0 como mostra a figura abaixo.
154
Na caixa do controlador IDE, selecione Disco Rígido e clique em Adicionar. A página de Disco Rígido será exibida como mostra a figura abaixo.
Nos campos Controlador e Local, selecione nas listas o controlador IDE e o canal que deseja usar para o disco rígido. Com a opção Disco Rígido Virtual selecionada, clique Procurar e selecione o arquivo de imagem de disco que quiser adicionar. Clique em OK na caixa de diálogo de Configurações.
Embora você não possa usar uma unidade SCSI como unidade de sistema em uma VM de Geração 1, você pode adicionar discos virtuais de dados em controladores SCSI, em VMs de Geração 2, você deve criar uma unidade de sistema SCSI para a máquina poder fazer boot. Ao contrário de conectores IDE, que suportam apenas 2 dispositivos cada, um conector SCSI no Hyper-V no Hyper-V pode suportar até 64 unidades. Você também pode adicionar vários controladores SCSI à uma VM, possibilitando uma escalabilidade quase ilimitada para o seu subsistema virtual de armazenamento.
155
Criar Discos Diferenciais Um disco diferencial te permite preservar um arquivo de imagem de disco virtual existente em seu estado original enquanto monta-o em um SO e até modifica seus conteúdos. Por exemplo, quando constrói uma instalação de laboratório, você pode criar um sistema de linha de base (baseline) instalando uma nova instalação de um SO em um novo disco virtual e configurando o ambiente conforme sua necessidade. Então você cria um disco diferencial filho usando sua imagem de linha de base como o pai. Todas as mudanças subsequentes que você fizer no sistema serão escritas no disco diferencial enquanto o disco pai permanecerá intocado. Você pode experimentar no sistema de teste como quiser, sabendo que poderá reverter para a sua configuração de linha de base apenas criando um novo disco diferencial. Você pode criar vários discos diferenciais que apontam para a mesma imagem pai, te permitindo popular uma rede de laboratório com quantas VMs precisar, o que economiza espaço em disco e elimina a necessidade de instalar o SO repetidamente. Para criar uma versão clonada de uma instalação de linha de base com um disco diferencial, use o seguinte procedimento. 1. Instalar e configurar uma VM de linha de base. Criar uma nova VM com um novo arquivo de imagem de disco e instalar um SO hóspede nele. Configure o SO como necessário e instale quaisquer funções, recursos, aplicações ou serviços que precisar. 2. Generalize a imagem pai. Abra um prompt de comando elevado no sistema de linha de base e rode o utilitário Sysprep.exe com os parâmetros apropriados para os seus requisitos. O Sysprep configura o sistema para atribuir a si mesmo um novo SID (ID de segurança) na próxima vez que o computador iniciar. Isso permite criar vários sistemas clones a partir de uma única imagem de disco. 3. Criar uma imagem de disco pai. Após ter generalizado a instalação de linha de base, você não precisa mais da VM original. Você pode deletar tudo exceto o arquivo VHD ou VHDX contendo a imagem do disco. Isto irá se tornar sua imagem pai. Abra a janela de propriedades e marque a opção somente leitura para ter certeza que a linha de base não irá mudar. 4. Crie um disco diferencial. Usando o Assistente de Novo Disco Rígido Virtual ou o cmdlet New-VHD do Windows PowerShell, crie um novo disco diferencial apontando para a imagem de linha de base que você criou e preparou anteriormente como a imagem pai. 5. Crie uma VM clone. Crie uma nova VM e, na página Conecte um Disco Rígido Virtual, anexe o disco diferencial que acabou de criar usando a opção Usar um Disco Rígido Virtual Existente.
156
Você pode então proceder para criar VMs clones adicionais com disco diferenciais que usam o mesmo pai. Cada um pode funcionar independentemente e o disco pai irá permanecer inalterado. Quando você criar uma unidade diferencial usando o Assistente de Novo Disco Rígido, selecionar a opção Diferencial na página Escolher Tipo de Disco faz com que a página Configurar Disco apareça como aparece na imagem 3-18 abaixo. Na caixa de texto Local, especifique o nome do arquivo que você quer usar como imagem pai. Da mesma maneira, se você criar o disco diferencial usando o Windows PowerShell, você deve executar o cmdlet New-VHD com o parâmetro – Differencing e o parâmetro –ParentPath, especificando o local do disco pai. Configurando Discos Pass-through Até agora temos nos concentrado em VHDs, áreas de espaço em uma unidade de disco físico alocada para uso por VMs. Entretanto, também é possível para VMs acessarem discos físicos diretamente. Um disco pass-through é um tipo de disco virtual que aponta para um disco físico instalado no computador host. Quando você adiciona um disco rígido a qualquer controlador de uma VM, você tem a opção de selecionar um disco rígido físico no lugar de um virtual. Para adicionar um disco rígido em uma VM, a VM deve ter acesso exclusivo ao mesmo. Isso significa que você deve primeiro deixar o disco off-line no SO pai através do snap-in do Gerenciamento do Disco ou do utilitário Diskpart.exe. Após o disco estar off-line ele estará disponível para seleção na lista de Disco Rígido Físico.
Modificando Discos Virtuais O Windows Server 2012 R2 e Hyper-V possibilitam várias maneiras para os administradores gerenciarem e manipularem imagens VHD sem montarem-nas em uma VM. Uma vez criado o VHD, tenha você anexado ele em uma VM ou não, você pode gerenciá-lo usando o Assistente Editar Disco Rígido Virtual no Gerenciador do Hyper-V. Para editar um arquivo VHD ou VHDX existente, use o procedimento abaixo: 1. No Gerenciador do Servidor, no menu Ferramentas, Selecione o Gerenciador do Hyper-V. 2. No console do Gerenciador do Hyper-V, no painel da esquerda, selecione um servidor do Hyper-V.
157
3. No painel de Ações, selecione Editar Disco, o Assistente Editar Disco Rígido Virtual será iniciado, mostrando a página Antes de começar. 4. Clique em Próximo para abrir a página Localizar Disco. 5. Digite ou Procure pelo nome do arquivo VHD ou VHDX que quiser abrir e clique em Próximo. A página de Escolher Ação será exibida. 6. Selecione uma das seguintes funções: Compactar. Reduz o tamanho de um disco diferencial ou de expansão dinâmica deletando o espaço vazio enquanto mantem a capacidade do disco inalterada. Converter. Muda o tipo de formato de um disco copiando os dados para um novo arquivo de imagem de disco. Expandir. Aumenta a capacidade do disco aumentando o espaço vazio de armazenamento do arquivo de imagem. Encolher. Reduz a capacidade do disco deletando espaço vazio de armazenamento do arquivo de imagem. Fusão. Combina os dados de um disco diferencial com os dados do disco pai para formar um único arquivo. 7. Clique em Próximo para abrir a página Completar o Assistente de Edição de Disco Rígido Virtual. 8. Complete quaisquer novas páginas que forem apresentadas pelo assistente como resultado de suas seleções e clique em Finalizar. As opções que aparecem na página Escolha a Ação dependem do estado atual do arquivo de imagem que você selecionou. Por exemplo, a opção Fusão só aparece se você selecionou um disco diferencial, e a opção Encolher não aparece a menos que haja espaço livre em disco que o Assistente possa deletar. Além dessas funções de edição de disco providas pelo Gerenciador do HyperV, é possível usar o Gerenciador de Disco no host do Hyper-V para montar um arquivo VHD ou VHDX como uma unidade e acessar seu conteúdo, assim como se fosse um disco físico. Para montar um arquivo VHD use o procedimento a seguir. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciador do Computador para abrir o console do Gerenciador do Computador. 2. No painel da esquerda selecione Gerenciamento de Disco, o snap-in de Gerenciamento de Disco será aberto. 3. No menu Ação, selecione Anexar VHD. A caixa de diálogo Anexar Disco Rígido Virtual será exibida. 4. Na caixa de texto Local, digite ou procure pelo arquivo de imagem de disco que quer anexar e clique em OK. O disco aparecerá na interface do Gerenciamento de Disco.
158
5. Feche o console do Gerenciamento de Disco. Neste ponto, você pode trabalhar com o disco virtual e seu conteúdo usando qualquer ferramenta padrão, assim como faria com uma unidade de disco rígido físico. Para desanexar o VHD, você usa o mesmo procedimento e seleciona Desanexar VHD no menu Ação.
Criando Pontos de Verificação (Checkpoints) No Hyper-V, um ponto de verificação, é uma imagem capturada do estado, dados e configuração de hardware de uma VM em um momento particular no tempo. Criar pontos de verificação é uma maneira conveniente para administradores reverterem uma VM à um estado anterior à vontade. Por exemplo, se você criar um ponto de verificação antes de aplicar uma atualização de sistema, e a atualização for problemática, você pode voltar a VM ao estado anterior em que estava antes de você instalar a atualização. Antes do Windows Server 2012 R2 Pontos de Verificação eram chamados de Instantâneos (Snapshots). Pontos de Verificação funcionam exatamente da mesma maneira que Instantâneos; apenas o nome mudou. Espere ver os dois termos no exame 70-410
Criar um ponto de verificação é tão simples quanto selecionar uma VM que esteja rodando no Gerenciado do Hyper-V e selecionar Ponto de Verificação no painel de Ações. O sistema cria um arquivo de ponto de verificação com a extensão AVHD ou AVHDX, na mesma pasta que o arquivo VHD, e adiciona o ponto de verificação na janela do Gerenciador do Hyper-V, como mostra a imagem abaixo.
Pontos de verificação são ferramentas úteis para administradores implementarem um ambiente de testes no Hyper-V, mas eles não são
159
recomendados para uso pesado em ambientes de produção. Além de consumir espaço em disco, a presença de pontos de verificação pode reduzir o desempenho geral do subsistema de disco geral de uma VM. Administradores também não devem usar pontos de verificação em VMs contendo bancos de dados – como as criadas pelo SQL Server, Exchange, ou controladores de domínio do Windows – porque o processo de ponto de verificação não leva em conta o estado atual do banco de dados, e corrupção de dados pode ocorrer.
Configurar Qualidade de Serviço (QoS) de Armazenamento Por ser comum existir mais de um disco virtual em um disco físico, é possível que um disco virtual monopolize a capacidade de entrada e saída (IO) do disco físico, tornando os outros discos mais lentos. Para ajudar a prevenir isso, o Windows Server 2012 R2 te permite controlar a Qualidade de Serviço (QoS) para um disco rígido virtual específico. Gerenciamento de QoS no Hyper-V toma a forma de controles que te permitem especificar o mínimo e o máximo de operações de entrada e saída por segundo (IOPS) para um disco. Para configurar QoS de armazenamento, abra a caixa de diálogo de Configurações de uma VM, expanda o componente do disco rígido e clique em Recursos Avançados para exibir a página de Recursos Avançados conforme a imagem abaixo.
Após selecionar a caixa de seleção Habilitar o Gerenciamento de Qualidade de Serviço, você pode especificar valores de IOPS mínimos e valores de IOPS máximos para o disco em incrementos de 8KB.
160
Conectar a uma Rede de área de Armazenamento (SAN) No seu nível mais básico, uma rede de área de armazenamento (SAN) é simplesmente um rede dedicada a conexões de alta velocidade entre servidores e dispositivos de armazenamento. No lugar de instalar unidades de disco dentro de servidores ou conectá-los usando barramento SCSI externo, uma SAN consiste de um ou mais arrays de unidades de disco equipados com adaptadores de rede, os quais você conecta aos seus servidores usando cabos trançados padrão ou cabos de fibra ótica. Um servidor conectado em uma SAN, então, tipicamente tem pelo menos dois adaptadores de rede, um para a rede de computadores local padrão (LAN) e o outro para a SAN, como você pode ver na imagem abaixo.
As vantagens de uma SAN são muitas conectando dispositivos de armazenamento na rede ao invés de conectá-los aos próprios servidores, você evita as limitações impostas pelo número máximo de dispositivo que você consegue conectar em um computador. As SANs também dão flexibilidade extra em suas capacidades de comunicações. Pois qualquer dispositivo em uma SAN pode conceitualmente se comunicar com qualquer outro dispositivo em outro na mesma SAN, transferências de dados de alta velocidade podem ocorrer em quaisquer das seguintes maneiras:
Servidor para Dispositivo de Armazenamento. Servidores podem acessar dispositivos de armazenamento através da SAN como se estivessem conectados diretamente no computador. Servidor para servidor. Servidores podem usar a SAN para se comunicar diretamente uns com os outros em alta velocidade para evitar inundar a LAN com tráfego.
161
Dispositivo de Armazenamento para Dispositivo de Armazenamento. Dispositivos de Armazenamento podem se comunicar entre si sem a intervenção de servidores, por exemplo, para realizar backups de uma mídia para outra ou para espalhar unidades em arrays diferentes.
Embora uma SAN não seja uma tecnologia de alta disponibilidade em si mesma, você pode torná-la uma conectando servidores redundantes na mesma rede, como mostra a figura abaixo, permitindo-lhes acessar os mesmos dispositivos de armazenamento de dados. Se um servidor falhar, outro pode assumir suas funções acessando os mesmo dados. Isso é chamado de Cluster de Servidores.
Por usar tecnologias de rede padrão, SANs também podem estender muito as distâncias entre servidores e dispositivos de armazenamento. Você pode projetar uma SAN que se espalha por várias salas, diferentes andares, ou até diferentes prédios, da mesma forma que faria com uma rede de computadores padrão. Servidores e dispositivos de armazenamento não podem trocar comandos SCSI sobre uma conexão SAN da maneira que eles fazem quando estão conectados diretamente usando um cabo SCSI. Para se comunicar por uma SAN, servidores e dispositivos de armazenamento mapeiam suas comunicações SCSI em um outro protocolo, como o FIbre Channel.
162
Usando o Fibre Channel Fibre Channel é uma tecnologia de comunicações SAN versátil suportando várias mídias de comunicações, velocidades de transmissões, topologias, e protocolos de nível superior. Sua desvantagem primária é que requer hardware especializado que pode ser extremamente caro. O nome diferente de Fibre Channel foi escolhido para se diferenciar de Fibra Ótica que em inglês é escrito Fiber Optic. Fibre Channel pode rodar tanto em cabo de par trançado quanto em cabo ótico. Sendo que normalmente o termo Fiber se refer a uma mídia ótica.
Instalar uma SAN Fibre Channel tradicional significa construir uma rede inteiramente nova com sua própria mídia, switches e adaptadores de redes especiais. Além dos custos de hardware, que podem facilmente ser 10 vezes mais que os de uma rede Ethernet comum, também existem os custos de instalação e de manutenção a se considerar. Fibre Channel é uma tecnologia um tanto esotérica, com relativamente poucos experts em campo. Para instalar manter uma SAN Fibre Channel, uma organização deve contratar uma equipe experiente ou treinar pessoal existente na nova tecnologia. Entretanto, também existe uma variação chamada de Fibre Channel sobre Ethernet (FCoE) que usa hardware Ethernet e logo custa bem mais barato.
Conectar Máquinas Virtuais em uma SAN As tecnologias especializadas de rede usadas para criar SANs Fibre Channel, no passado, tornavam difícil de serem usadas com servidores virtualizados. Porém, desde a implementação do Windows Server 2012, o Hyper-V tem suportado a criação de adaptadores Fibre Channel. Um adaptador Fibre Channel do Hyper-V é essencialmente um dispositivo pass-through (atravessa direto) que permite a VM acessar um adaptador Fibre Channel físico instalado no computador, através do qual, pode acessar recursos externos conectados na SAN. Com essa capacidade, aplicações rodando em VMs podem acessar dados armazenados em dispositivos SAN e administradores podem usar VMs para criar cluster de servidores com subsistemas de armazenamento compartilhado. Para suportar conectividade Fibre Channel virtual, a HBA (host bus adapter) Fibre Channel física do computador deve ter drivers que explicitamente suportem o Fibre Channel virtual. Este suporte é relativamente raro, porem mais fabricantes são esperados para atualizar seus drivers para prover o suporte necessário. Sua SAN também deve conseguir endereçar seus recursos
163
conectados através de LUNs (logical unit numbers - números de unidades lógicas). Assumindo que você tem o hardware e o software apropriados instalados em seu computador host, você implementa as capacidades do Fibre Channel no Hyper-V primeiro criando uma SAN virtual usando o Gerenciador Virtual de SAN, acessível pelo Gerenciador do Hyper-V. quando você criar a SAN virtual, o World Wide Nome Names (WWNNs) e o World Wide Port Names (WWPNs) da sua HBA aparecerão, como mostra a figura abaixo.
O próximo passo é adicionar um adaptador Fibre Channel em uma VM à partir da página Adicionar Hardware no caixa de diálogo de Configurações. Quando você faz isso, a SAN virtual que você criou anteriormente está disponível na página adaptador Fibre Channel como vemos na figura abaixo (em inglês). O Hyper-V virtualiza a SAN e faz os WWNNs e os WWNPs disponíveis para a VM.
164
3.3 – Criar e Configurar Redes Virtuais Redes são uma parte crítica na criação de uma infraestrutura virtual. Dependendo do seu plano de rede, as VMs que você cria no servidor Hyper-V do Windows Server 2012 R2 pode requerer comunicação com outras VMs, com outros computadores na sua rede física ou com a Internet. Quando você constrói uma rede a partir de computadores físicos, você instala um adaptador de interface de rede em cada um e conecta-o à um switch de hardware. O mesmo princípio é verdadeiro em um ambiente Hyper-V, exceto que você usa componentes virtuais ao invés de físicos. Cada VM que você cria tem pelo menos um adaptador de rede virtual e você pode conectar este adaptador em um switch virtual. Isto te permite as VMs no seu servidor Hyper-V em várias configurações de rede que incluem ou excluem os sistemas na sua rede física de computadores. Você pode criar múltiplos switches virtuais no servidor Hyper-V e múltiplos adaptadores de rede em cada VM. Isto te permite criar um ambiente de rede
165
flexível que é apropriado para tudo desde uma rede de laboratório ou de aula até um ambiente de produção. Além disso, o Windows Server 2012 R2 adicionou a habilidade de criar extensões para switches virtuais para que desenvolvedores de software possam aumentar suas capacidades.
Criar Switches Virtuais Um Switch Virtual, como sua contraparte física, é um dispositivo que funciona na camada 2 do modelo de referência OSI (Open Systems Interconnect). Um switch tem um série de portas, cada uma é conectada a um adaptador de interface de rede de um computador. Qualquer computador conectado ao switch pode transmitir dados à qualquer outro computador conectado ao mesmo switch. Ao contrário de switches físicos, os switches virtuais criados pelo Hyper-V podem ter um número ilimitado de portas, então administradores não precisam se preocupar em conectar switches ou sobre uplink e circuitos cruzados (crossover).
Criando o Switch Virtual Padrão O Assistente Adicionar Funções e Recursos do Windows Server 2012 R2 dá a oportunidade de criar switches virtuais quando você instala a função Hyper-V. Quando você instala o Hyper-V em um servidor rodando o Windows Server 2012 R2, a página Criar Switches Virtuais te permite criar um switch virtual para cada um dos adaptadores de rede instalados no computador host. Estes switches habilitam as VMs a participarem nas redes nas quais os adaptadores físicos estão conectados. Quando você cria um switch virtual, a configuração de rede no SO hóspede na partição pai muda. O novo switch virtual aparece na janela de conexões de rede, e você pode examinar suas propriedades, você pode ver que o switch está ligado ao cliente TCP/IP do sistema operacional, como mostra a figura abaixo (em inglês).
166
Enquanto isso, o Hyper-V também muda as propriedades da conexão de rede original representando o adaptador de interface de rede físico no computador. O adaptador de rede físico agora está ligado apenas ao switch virtual, como vemos na figura a seguir.
Como resultado, a configuração rede física do computador, na qual o seu adaptador de rede está conectado à um switch externo, é sobreposta pela configuração de rede virtual criada pelo Hyper-V. Nesta configuração virtual, o
167
switch virtual é conectado ao switch físico e o adaptador de rede no SO host é conectado ao switch virtual. A rede virtual interna e a rede física externa são unidas em uma única LAN, assim como se conectasse dois switches físicos. Após o Hyper-V ter criado o switch virtual e realizado estas mudanças de configuração, qualquer nova VM que administradores decidam conectar ao switch virtual se tornam parte desta rede conjunta, assim como fazem quaisquer computadores físicos conectados à rede física através de um switch externo. Este tipo de switch virtual é, na terminologia do Hyper-V, um switch de rede externo porque permite conexões externas ao ambiente do Hyper-V. Este é normalmente o arranjo preferido para uma rede de produção na qual VMs do Hyper-V proveem e consomem serviços para toda a rede. Por exemplo, uma VM conectada à esse switch irá automaticamente obter um endereço IP de um servidor DHCP na rede física, se houver um. Como alternativa, você poderia configurar uma VM como servidor DHCP e deixá-lo prover endereços para todos os sistemas na rede, virtuais ou físicos. Talvez mais importante, este arranjo também pode permitir que suas VMs acessem a Internet usando o roteador e servidores DNS na rede externa. As VMs podem fazer download de atualizações para o SO a partir de servidores na Internet, assim como máquinas externas normalmente fazem. Existem situações em que esse tipo de switch virtual não é apropriado. Se você está criando uma rede de laboratório para teste de produto ou uma rede de sala de aulas, você pode querer que não seja acessível a partir da rede externa. Neste casos, você deve criar um tipo deferente de switch virtual através do Gerenciador de Switch Virtual no Gerenciador do Hyper-V.
Criar um novo switch virtual O Hyper-V no Windows Server 2012 R2 suporta três tipos de switches, que você deve criar no Gerenciador de Switch Virtual antes que você possa conectar VM à eles. Para criar um switch virtual, use o seguinte procedimento.
No Gerenciador do Servidor, no menu Ferramentas, Selecione o Gerenciador do Hyper-V. No console do Gerenciador do Hyper-V, no painel da esquerda, selecione um servidor do Hyper-V. No painel de Ações, selecione Gerenciador de Switch Virtual. A caixa de diálogo do Gerenciador de Switch Virtual será exibida, como mostra a
168
figura abaixo.
Na seção Criar Switch Virtual, selecione um dos seguintes tipos de switch: o Externo. O switch virtual é ligado com a pilha de protocolo de rede no SO host e conectado ao adaptador de interface de rede do servidor Hyper-V. VMs rodando nas partições pai e filhas do servidor podem todas acessar a rede física na qual o adaptador físico está conectado. o Interno. Um switch de rede interno é ligado a uma instância separada da pilha de protocolo de rede no SO host, independente do adaptador de interface de rede físico e sua rede conectada. VMs rodando nas partições pai e filhas do servidor podem todas acessar a rede implementada pelo switch virtual; o SO host na partição pai pode acessar a rede física através do adaptador de interface de rede físico, mas VMs nas partições filhas não podem acessar a rede física através do adaptador físico. o Privado. Um switch de rede privado existe somente no servidor Hyper-V e está acessível somente para as VMs rodando nas partições filhas. O SO host nas partição pai pode acessar a rede através do adaptador de interface de rede, mas não pode acessar a rede virtual criada pelo switch virtual. Clique em Criar Switch Virtual para abrir a página de Propriedades de Switch Virtual. Configure as opções abaixo se desejado: o Permitir que o Sistema Operacional Host compartilhe este Adaptador de Rede. Selecionado por padrão quando você cria
169
um switch virtual externo, desmarcar esta opção exclui o SO host da rede física enquanto dá acesso às VMs filhas. o Ativar Virtualização de E/S de Raiz Única (Single Root I/O Virtualization - SR-IOV). Te permite criar um switch virtual externo que é associado com um adaptador de rede físico capaz de suportar SR-IOV. Esta opção só está disponível na criação de um novo switch; você não pode modificar um switch existente para usar esta opção. o Ativar identificação de LAN virtual para o sistema operacional host. Se o seu computador host está conectado á uma infraestrutura física de switches que usa LANs virtuais (VLANs) para criar subredes separadas, você pode selecionar essa opção e informar um identificador VLAN para associar o switch virtual com uma VLAN particular na sua rede física. Clique em OK. O novo switch virtual aparecerá no canto esquerdo na lista de switches virtuais.
Você pode criar switches virtuais adicionais conforme necessário. Você pode criar apenas um switch externo para cada adaptador de rede no computador, mas você pode criar múltiplos switches internos ou privados para criar quantas redes virtuais desejar. Para criar um novo switch virtual através do Windows PowerShell, use o cmdlet NewVMSwitch com a seguinte sintaxe: New-VMSwitch -NetAdapterName [ -SwitchType Internal | Private ] Por exemplo, para criar um switch externo chamado LAN Switch, você usaria o seguinte comando: New-VMSwitch “LAN Switch” –NetAdapterName “Ethernet”
Configurar endereço MAC Cada adaptador de interface de rede tem um endereço de Controle de Acesso ao Meio (Media Access Control - MAC) – algumas vezes chamado de endereço de hardware que identifica unicamente o dispositivo na rede. Em adaptadores físicos de rede, o MAC é atribuído pelo fornecedor e inserido permanentemente do firmware do adaptador. O endereço MAC é um valor hexadecimal de 6 bytes, os três primeiros bytes são um identificador único de organização que especifica o fabricante, e os últimos três bytes identificam o próprio adaptador. O endereço MAC é essencial para a operação de uma LAN, então os adaptadores de rede virtuais em um servidor Hyper-V precisam tê-los. O servidor tem pelo menos um endereço MAC real, provido pelo seu adaptador
170
de rede físico, mas o Hyper-V não pode usar esse único endereço para todos os adaptadores conectando VMs na rede. Ao invés disso, o Hyper-V cria um pool de endereços MAC durante a instalação da função e atribui endereços deste pool para as VMs na medida em que você as cria. Para ver ou modificar o pool de endereços MAC para o servidor Hyper-V, você abre o Gerenciador de Switch Virtual e, sob Configurações Globais de Rede, selecione Intervalo de Endereço MAC, como mostra a figura abaixo.
Os primeiros três bytes de um intervalo de endereços MAC são sempre 00-155D, que é sempre um identificador único de organização registrado pelo Microsoft. O quarto e quinto bytes do endereço MAC são os dois último bytes do endereço IP atribuídos ao adaptador de rede físico do servidor, convertido em notação hexadecimal. O sexto e último byte do endereço MAC contem o intervalo de valores de 00 a FF, que disponibilizam 256 possíveis valores. O servidor Hyper-V atribui as endereços MAC aos adaptadores de rede nas VMs na medida em que administradores criam os adaptadores. Os adaptadores retêm seus endereços MAC permanentemente ou até que o adaptador seja removido da VM. O servidor recupera qualquer endereço sem uso e reutiliza-os. Espera-se que o pool (conjunto) padrão de 256 endereços seja suficiente para a maioria das configurações de VMs do Hyper-V, mas se não for, você pode modificar os valores de Mínimo e Máximo para aumentar o intervalo. Para prevenir duplicação de endereços, você deveria mudar somente o segundo bytes do fim para o começo, tornando-o em um intervalo de endereços como o último byte.
171
Por exemplo, o intervalo ilustrado na figura disponibiliza 256 endereços com os seguintes valores: 00-15-1D-02-12-00 a 00-15-1D-02-12-FF Modificando apenas o último dígito significativo, como nos valores abaixo, aumenta o pool de 256 para 4.096: 00-15-1D-02-10-00 a 00-15-1D-02-1F-FF Quando você modifica o pool de endereços MAC e você tem outros servidores Hyper-V na sua rede, você deve ter cuidado para não criar situações de interseção na qual endereços MAC duplicados possam ocorrer ou problemas de rede possam resultar.
Criar Adaptadores de Rede Virtuais Após ter criado switches virtuais no Gerenciador do Hyper-V, você pode conectar VMs a eles criando e configurando adaptadores de rede virtuais. Quando você cria uma nova VM, a configuração padrão inclui um adaptador de rede virtual. O Assistente de Nova Máquina Virtual inclui uma página de Configuração de Rede, na qual você seleciona um dos switches virtuais que você criou. Se você criou apenas o switch virtual externo padrão quando instalou o HyperV, então conectar uma VM à esse switch liga o sistema à rede física. Se você quer criar adaptadores de rede adicionais em suas VMs, você deve usar o seguinte procedimento.
No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciador do Hyper-V para abrir o console do Gerenciador do Hyper-V. No painel da esquerda, selecione um servidor do Hyper-V. Na lista de máquinas virtuais, seleciona uma VM e, no painel de Ações, clique em Configurações. A caixa de diálogo de configurações para a VM será exibida. Na lista de Adicionar Hardware, selecione Adaptador de Rede e clique em Adicionar. Um novo adaptador de rede aparecerá na lista
172
de Hardware, como mostra a figura a seguir.
Na lista de Switch Virtual, selecione o switch ao qual você quer conectar o adaptador de rede. Se o computador host está conectado á uma infraestrutura física de switches que usa LANs virtuais para criar subredes, você pode selecionar a caixa de seleção Ativar Identificação de LAN Virtual e informar um identificador de VLAN para associar o adaptador de rede com uma VLAN particular na sua rede física. Para controlar a quantidade de largura de banda alocada ao adaptador de rede, selecione a caixa de seleção Ativar Gerenciamento de Largura de Banda e informe valores para as configurações de largura de banda mínima e máxima. Clique em OK. As configurações são salvas no arquivo de configuração da VM.
Você pode criar até 12 adaptadores de rede em um servidor com o Windows Server 2012 R2: oito sintéticos e quatro emulados.
173
Adaptadores Sintéticos e Adaptadores Emulados Selecionar a opção de Adaptador de Rede na página Adicionar Hardware cria o que é conhecido na terminologia do Hyper-V como um adaptador de rede sintético. O Hyper-V suporta dois tipos de adaptadores de rede e de armazenamento: sintéticos e emulados (algumas vezes chamados de legados). Um adaptador sintético é um dispositivo puramente virtual que não corresponde à um produto do mundo real. Dispositivos sintéticos em uma VM rodando em uma partição filha se comunicam com a partição pai usando um barramento de alta velocidade chamado VMBus. Os switches virtuais que você cria no Hyper-V residem na partição pai e são parte de um componente chamado Serviço Provedor de Virtualização (Virtualization Service Provider - VSP) de rede. O adaptador de rede sintético na partição filha é um Serviço Cliente de Virtualização (Virtualization Service Client - VSC). O VSP e o VSC estão ambos conectados ao VMBus, o qual possibilita comunicação entre partições, como vemos no esquema abaixo. O VSP, na partição pai, prove ao VSC, na partição filha, acesso ao hardware
174
físico do computador host; isto é, o adaptador físico de interface de rede.
Por terem acesso ao hardware através do VMBus, adaptadores sintéticos proveem um nível de desempenho muito maior do que a alternativa, adaptadores emulados. Adaptadores sintéticos são implementados como parte do pacote de Serviços de Integração de Convidado que roda em SOs hóspedes/convidados suportados. A principal desvantagem de adaptadores de rede sintéticos é que eles não são operacionais até que o SO seja carregado na VM. Um adaptador emulado – algumas vezes chamado de adaptador emulado – é um driver de adaptador de rede padrão que se comunica com a partição pai fazendo chamadas diretamente ao hipervisor, que fica externo ás partições,
175
conforme mostrado na imagem abaixo. Este método de comunicação é substancialmente mais lento do que o VMBus usado pelo adaptadores de rede sintéticos e portanto é menos desejável.
Para instalar um adaptador emulado, você usa o mesmo procedimento descrito anteriormente, exceto que você seleciona o Adaptador de Rede Legado na lista de Adicionar Hardware. Ao contrário de adaptadores sintéticos, adaptadores emulados carregam seus drivers antes do SO, então é possível fazer boot na VM usando PXE (Preboot eXecution Environment) e então implantar um SO através da rede. Este é um de dois cenários nos quais usar um adaptador emulado é preferível do que usar um adaptador sintético. O outro é quando você está instalando um SO nas suas VMs que não possuem um pacote de Serviços de Integração de Convidado disponível.
176
Definir configurações de aceleração de hardware Alguns adaptadores de interface de rede têm recursos que são feitos para melhorar o desempenho retirando algumas funções do processador do sistema para componentes instalados no próprio adaptador. O Hyper-V inclui suporte para alguns destes recursos, desde que o hardware no adaptador físico de rede os suporte apropriadamente. Quando você expande um adaptador de rede na caixa de diálogo de Configurações de uma VM, você ganha acesso à página de Aceleração de Hardware. Nesta página, você pode definir as seguintes configurações de aceleração de hardware:
Ativar fila de Máquina Virtual. Fila de Máquina Virtual é uma tecnologia que armazena pacotes de entrada com destino á VMs em filas separadas no adaptador de rede físico e entrega-os diretamente à VM, contornando o processamento normal realizado pelo switch virtual na partição pai. Ativar Descarga (Offloading) de tarefas do IPsec. Usa componentes no adaptador de rede para realizar algumas das tarefas de criptografia exigidas pelo IPsec. Você também pode especificar o número máximo de associações de segurança que você quer que o adaptador calcule. Virtualização de E/S de Raiz Única (Single Root I/O Virtualization SR-IOV). Permite que o adaptador virtual aproveite as capacidades de SR-IOV do adaptador físico.
Configurando Recurso Avançados de Adaptador de Rede A página de Recursos Avançados dá opções adicionais para suportar capacidades de adaptador de rede, como segue:
Endereço MAC estático. Por padrão, adaptadores de rede virtuais recebem um endereço MAC atribuído dinamicamente pelo servidor Hyper-V. Porém, você pode optar por criar um endereço MAC estático através desta opção. O único requisito é que nenhum outro adaptador, virtual ou físico, na mesma rede use o mesmo endereço. Ativar Spoofing de endereços MAC. Quando ativado, a porta no switch virtual na qual o adaptador de rede virtual está conectado pode enviar e receber pacotes contendo qualquer endereço MAC. A porta do switch virtual também pode aprender novos endereços MAC as adicioná-los à sua tabela de encaminhamento. Proteção de DHCP. Previne o adaptador de processar mensagens enviadas por servidores DHCP falsos.
177
Modo de Espelhamento de Portas. Habilita o adaptador a encaminhar todos os pacotes que recebe pela rede à outro adaptador virtual para análise por meio do uso de uma aplicação como o Monitor de Rede. Agrupamento de NICs. Habilita o adaptador a adicionar sua largura de banda à de outros adaptadores no mesmo SO convidado/hóspede em um arranjo de Agrupamento de NICs (NIC Teaming).
Configurar o Agrupamento de NICs em um ambiente de rede virtual Como explicado anteriormente, Agrupamento de NICs é um recurso do Windows que permite que administradores unam vários adaptadores de rede um uma única entidade para fins de melhora de desempenho ou tolerância à falhas. Máquinas virtuais do Hyper-V também podem se aproveitar do Agrupamento de NICs, mas são limitadas a agrupamentos de apenas 2, ao contrário do sistema operacional host, que pode ter agrupamentos de até 64 adaptadores. Para usar o Agrupamento de NICs no Hyper-V você deve completar três tarefas básicas: 1. Criar o Agrupamento de NICs no Windows Server 2012 R2 do sistema host. 2. No Gerenciador do Hyper-V, criar um switch virtual externo usando o Agrupamento de NICs. 3. Configurar o adaptador de rede em uma máquina virtual para conectar no switch virtual representando o Agrupamento de NICs.
Criar o Agrupamento de NICs Agrupamento de NICs deve consistir de adaptadores de rede físicos, então antes de usar um Agrupamento de NICs em uma máquina virtual, você deve criá-lo no sistema operacional host. Depois de instalar dois adaptadores de rede no computador, você pode criar um Agrupamento de NICs no Gerenciador do Servidor da maneira usual, usando as configurações mostradas na imagem abaixo.
178
Criar o agrupamento instala o Microsoft Network Adapter Multiplexor Driver, que aparece como um dos componentes da conexão de rede que representa o agrupamento.
Criar o Switch Virtual do Agrupamento Após ter criado o Agrupamento de NICs, você pode abrir o Gerenciador de Switch Virtual e criar um novo switch selecionando a opção Externo e após clicar em Criar Switch Virtual Selecionar o item “Microsoft Network Adapter Multiplexor Driver” na lista do item Rede Externa, como podemos ver na figura abaixo (em inglês).
179
Configurar um Adaptador de Rede Virtual de Agrupamento de NICs Para configurar uma máquina virtual para usar um Agrupamento de NICs, você deve usar a caixa de diálogo de Configurações para modificar as propriedades de um adaptador de rede virtual, configurá-lo para usar o switch do Agrupamento de NICs que você criou na seção anterior como podemos ver na figura abaixo (em inglês).
180
Finalmente você pode abrir a página de Recursos Avançados do adaptador de rede e selecionar a caixa de seleção “Permitir que o adaptador de rede seja parte em um agrupamento no sistema operacional convidado”. Neste ponto, o Agrupamento de NICs está operacional para a VM. Você pode desplugar um dos cabos de rede e o sistema irá manter suas conexões com a rede. Criar configurações de Rede Virtual O Hyper-V torna possível estender praticamente qualquer configuração de rede física em seu espaço virtual ou criar uma rede completamente separada e isolada dentro do ambiente do Hyper-V. A configuração básica padrão de uma VM do Hyper-V conecta seu adaptador de rede à um switch virtual externo, ligando o SO convidado na VM com a rede externa. A VM pode então se aproveitar dos serviços rodando na rede externa e enviar tráfego através dos roteadores para outras redes, incluindo a Internet. Este tipo de arranjo pode permitir que administradores consolidem muitos servidores físicos em VMs em um único servidor Hyper-V, dando-lhes acesso á toda a rede. Não há distinção entre a rede física e a virtual no espaço do Hyper-V.
181
Estendendo uma Rede de Produção para dentro do Espaço Virtual Lembre-se que um servidor Hyper-V pode ter vários adaptadores de rede instalados nele, que podem estar conectados em diferentes redes para separar o tráfego ou podem estar conectados à mesma rede para aumentar a largura de banda disponível. Você também pode ter adaptadores dedicados à conexões SAN para armazenamento compartilhado e cluster de servidores. A Microsoft recomenda o uso de pelo menos dois adaptadores físicos de interface de rede em um servidor do Hyper-V, com um adaptador servindo a partição pai e o outro conectado nas partições filhas. Quando você tem mais de dois adaptadores no servidor, você pode criar switches virtuais externos separados para os adaptadores físicos e conectar cada um em uma VM separada.
Criando uma Rede Isolada Para fins de testes e avaliações ou situações de sala de aula, administradores podem querer criar ambientes de redes isolados. Criando switches virtuais internos ou privados, você pode criar redes que existem apenas dentro do espaço do Hyper-V, incluindo ou não a partição pai. Uma rede isolada como essa tem limitações, entretanto. Se você instalar o SO convidado usando o WDS ou configurar as VMs usando DHCP, você deve instalar e configurar estes serviços na sua rede privada. O SO convidado também não terá acesso à Internet, o que impedirá de baixar atualizações para o SO. Neste caso você deve implantar substitutos apropriados na rede privada. Um modo de prover atualizações para seus sistemas é instalar dois adaptadores em cada uma das VMs, conectando um em um switch privado e outro em um switch externo. Isto permite que as VMs possam acessar a Internet e a rede privada. Outro método para criar uma rede isolada é usar VLANs. Isso é particularmente útil se você tem VMs em servidores Hyper-V diferentes e quer adicioná-los à rede isolada. Conectando os adaptadores à um switch externo e configurandoos com o mesmo identificador de VLAN, você cria uma rede dentro da rede, isolando a VLAN de outros computadores. Você pode, por exemplo, implantar um servidor DHCP na sua VLAN sem interferir com outros servidores DHCP no seu ambiente de produção.
182
4- Implantar e Configurar Serviços de Rede Essenciais Este capítulo discute a infraestrutura vital de serviços que praticamente toda rede deve implementar. Todo computador em uma rede TCP/IP deve ter pelo menos um endereço IP e a maioria das redes hoje usam DHCP para atribuir esses endereços. Para simplificar acesso à recursos na Internet e localizar controladores de domínio do Active Directory, computadores TCP/IP devem ter acesso à um servidor DNS. O Windows Server 2012 R2 inclui todos esses serviços e prove ferramentas para gerenciá-los.
4.1 – Configurar endereçamento IPv4 e IPv6 Administradores de servidor devem estar familiarizados com os princípios básicos dos espaços de endereçamento do IPv4 e do IPv6. Este seção revisa estes princípios e descreve o processo usual para elaborar estratégias de endereçamento IPv4 e IPv6.
Endereçamento IPv4 Como você provavelmente já sabe, o espaço de endereçamento IPv4 consiste de endereços de 32 bits, usando notação de quatro valores decimais de 8 bits partindo do 0 até 255 e separados por pontos (por exemplo, 192.168.43.100). Isto é conhecido como notação decimal pontuada e os valores decimais de 8 bits individuais são chamados de octetos ou bytes. Cada endereço consiste de bits de rede, que identificam a rede, e bits de host, que identificam um dispositivo particular na rede. Para diferenciar os bits de rede dos bits de host, cada endereço deve possuir uma máscara de subrede. Uma máscara de subrede é outro valor de 32 bits consistindo de valores binários 1 ou 0. Quando comparada com um endereço IP, os bits correspondentes aos 1s na máscara são os bits de rede, e os bits correspondentes aos 0s na máscara são os bits de host. Logo, se o endereço 192.168.43.100 mencionado anteriormente tem uma máscara de subrede 255.255.255.0 (que em sua forma binária ficaria (11111111.11111111.11111111.00000000), os primeiros três octetos (192.168.43) identificam a rede e o último octeto (100) identifica o host.
Endereçamento IPv4 por classe Pelo fato da máscara de rede associada ao endereço IP poder variar, o número de bits usados para identificar a rede e o host também podem variar.
183
O padrão IP original define três classes de endereços IP, que suportam redes de diferentes tamanhos, como podemos ver na figura abaixo.
O número de redes e hosts suportados por cada classe de endereço está listado na tabela abaixo. Classe de endereço IP
Classe A
Classe B
Classe C
Valores do primeiro bit (binário) Valores do primeiro byte (decimal) Número de bits do identificador de rede Número de bits do identificador de host Número de redes possíveis Número de hosts possíveis
0
10
110
1-127
128-191
192-223
8
16
24
24
16
8
126
16.384
2.097.152
16.777.214
65.534
254
Além das classes A, B e C o padrão IP define as classes D e E. Endereços da classe D começam com os valores de bit 1110 e endereços da classe E começam com os valores de bit 11110. A IANA alocou endereços da classe D para uso como identificadores multicast. Um endereço multicast identifica um grupo de computadores em uma rede, todos possuindo uma característica comum. Endereços Multicast habilitam aplicações TCP/IP a enviar tráfego para computadores que realizam funções específicas (como todos os roteadores da rede), mesmo que estejam localizados em subrede diferentes. Endereços da classe E são definidos como experimentais e ainda não são usados.
A coluna “Valores de primeiro bit” indica os valores binários para os primeiros bits de um endereço em cada classe. As primeiras implementações do TCP/IP usavam os valores destes bits no lugar de máscara de rede para determinar a
184
classe de um endereço. Os valores binários dos primeiros bits de cada classe de endereço limitam os valores decimais possíveis para o primeiro byte do endereço. Por exemplo, pelo primeiro bit de um endereço Classe A ser 0, o valores binários possíveis do primeiro byte de um endereço Classe A vão de 00000001 até 01111111, que em sua forma decimal são valores de 1 a 127. Então, no sistema de endereçamento por classes, quando você vê um endereço IP no qual o primeiro byte é um número entre 1 e 127, você sabe que é um endereço da classe A. Em um endereço Classe A, o identificador de rede são os primeiros 8 bits e o identificador de host são os 24 bits restantes. Logo, existem apenas 126 redes classe A possíveis (o identificar de rede 127 é reservado para fins de diagnóstico), mas cada rede pode ter até 16.777.214 adaptadores de rede conectados. Endereços classes B e C dedicam mais bits para o identificador de rede, o que significa que suportam um número maior de redes, mas ao custo de ter menos bits no identificador de host. Esta troca reduz o número de hosts que podem ser criados em cada rede. Os valores na tabela anterior para os números de hosts em cada classe de endereços podem parecer baixos. Por exemplo, um número binário de 8 bits pode ter 256 (isto é 28) valores possíveis, não 254, como mostrado na tabela para o número de hosts em um endereço classe C. O valor 254 é usado porque o padrão IP original fala que que você não pode atribuir o endereço que possui todos os bits 0 e nem o endereço que possui todos os bits 1 para um host. O endereço que possui todos os bits 0 identifica a rede local, não um host específico, e o endereço que possui todos os bits 1 é usado como endereço de broadcast. Você não pode atribuir nenhum dos dois endereços para nenhum host específico. Sendo assim, para calcular o número de endereços de host ou de rede possíveis que você pode criar com um dado número de bits, você usa a fórmula 2x-2 onde x é o número de bits. Decore essa fórmula para o exame!
Roteamento Sem Classe Entre Domínios (Classless Inter-Domain Routing) Quando o IP foi desenvolvido, ninguém imaginava que o espaço de endereçamento de 32 bits poderia ser exaurido. No início dos anos 80, não existiam redes que possuíssem 65.536 computadores, esqueça então 16 milhões, e ninguém se preocupou com o desperdício de atribuir endereços IP baseado nessas classes. Devido à esse desperdício, endereçamento por classe tornou-se gradualmente obsoleto por uma série de métodos de divisões em subredes, incluindo mascaramento de subredes de tamanho variável (variable length subnet masking - VLSM) e eventualmente o Roteamento Sem Classe Entre Domínios (Classless Inter-Domain Routing - CIDR). O CIDR é um método de divisão de
185
subredes que permite que administradores coloquem a divisão entre os bits de rede e de hosts em qualquer lugar no endereço, não apenas entre os octetos. Isto torna possível criar redes de quase qualquer tamanho. O CIDR também introduziu uma nova notação para endereços de rede. Um endereço decimal pontuado padrão representando a rede é seguido por uma barra e um número representando o tamanho do prefixo identificador de rede. Por exemplo, 192.168.43.0/24 representa uma única rede classe C que usa um identificador de rede de 24 bits, deixando os outros 8 bits para até 254 identificadores de hosts. Cada um destes hosts receberia um endereço de 192.168.43.1 até 192.168.43.254 usando a máscara de rede 255.255.255.0. Entretanto, através do CIDR, um administrador pode dividir este endereço em mais subredes alocando alguns dos bits de hosts para criar subredes. Para criar subredes para quatro escritórios, por exemplo, o administrador pode pegar 2 bits dos bits identificadores de host, mudando o endereço de rede na notação CIDR para 192.168.43.0/26. Como o identificador de rede agora é de 26 bits, a máscara de rede para os quatro escritórios será 11111111.11111111.11111111.11000000 em binário, ou 255.255.255.192 em decimal. Cada uma das quatro redes terá até 62 hosts, usando o intervalo de endereços IP mostrados na tabela abaixo. Endereço de Endereço IP Endereço IP Máscara de Rede Inicial Final Subrede 192.168.43.0 192.168.43.1 192.168.43.62 255.255.255.192 192.168.43.64 192.168.43.65 192.168.43.126 255.255.255.192 192.168.43.128 192.168.43.129 192.168.43.190 255.255.255.192 192.168.43.192 192.168.43.193 192.168.43.254 255.255.255.192 Se o administrador precisar de mais de quatro subredes, mudar o endereço de rede para 192.168.43.0/28 adiciona mais dois bits para o endereço de rede para o máximo de 16 subredes, cada qual podendo suportar até 14 hosts. A máscara de subredes para essas redes seria 255.255.255.240. Endereçamento IPv4 Público e Privado Para um computador ser acessível da Internet, deve possuir um endereço IP que seja acessível e único, seja no servidor ou em um dispositivo disponibilizando acesso à ele, como um roteador NAT. Todos os servidores Web na Internet possuem endereços registrados, assim como todos os outros tipos de servidores da Internet. A IANA é a fonte suprema de todos os endereços registrados. Gerenciada pela Internet Corporation for Assigned Names and Numbers (ICANN) , como é um nome não faz muito sentido traduzir mas para você ter uma ideia seria algo como, Corporação da Internet para Nomes e Números Atribuídos, esta organização aloca blocos de endereços à órgãos de registro regionais da Internet, que por sua vez alocam blocos menores aos provedores de Internet.
186
Uma organização que quer hospedar um servidor na Internet tipicamente obtém um endereço registrado de um provedor de Internet. Endereços IP registrados não são necessariamente para estações de trabalho que somente acessam recursos na Internet. Se organizações usassem endereços registrados para todas as suas estações de trabalho, o espaço de endereçamento IPv4 teria se esgotado a muito tempo. No lugar, tipicamente organizações usam endereços privados para as suas estações de trabalho. Endereços IP privados são blocos de endereços que são alocados especificamente para uso em redes privadas. Qualquer um pode usar esses endereços sem precisar registrá-los, mas ele não podem fazer computadores acessíveis a partir da Internet sem usar uma tecnologia especializada como o NAT (network address translation – tradução de endereço de rede). Os três blocos de endereços alocados para uso privado são:
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
A maioria das redes empresariais usam endereços destes blocos para suas estações de trabalho. Não importa se várias organizações usam o mesmo endereço, pois as organizações nunca estão diretamente conectadas na mesma rede.
Subredes IPv4 Na maioria dos casos, administradores de empresas usam endereços de um dos intervalos de endereços IP privados para criar as subrede que precisam. Se você está criando uma nova rede empresarial no zero, você pode escolher qualquer um dos blocos de endereços privados e facilitar as coisas para você mesmo criando subredes nas divisões dos octetos. Por exemplo, você pode pegar o intervalo de endereço IP privado 10.0.0.0/8 e usar o segundo octeto inteiro como ID de subrede. Isto permite criar até 256 subredes com até 65.536 hosts em cada uma. As máscaras de subrede para todos os endereços nas subredes será 255.255.0.0 e os endereços de rede irão progredir da seguinte forma:
10.0.0.0/16 10.1.0.0/16 10.2.0.0/16 10.3.0.0/16 ...
187
10.255.0.0/16
Quando você está trabalhando com uma rede existente, o processo de divisão em subredes provavelmente será mais difícil. Você pode, por exemplo, receber um intervalo relativamente pequeno de endereços e ser solicitado a criar um certo número de subredes neles. Para fazer isso, você usa o seguinte procedimento: 1. Determine quantos bits você precisa para o identificador de rede para criar o número necessário de subredes. 2. Diminua o número de bits que você precisa para as subredes do número de bits para os hosts e adicione-os aos bits usados para rede. 3. Calcule a máscara de subrede somando os bits de rede e de subrede em formato binário e depois convertendo para decimal. 4. Pegue o bit menos significativo da subrede e os bits de host, em formato binário, e converta-os em formato decimal. 5. Incremente o identificador de rede (incluindo os bits de subrede) no valor decimal que você calculou para determinar os endereços de rede das suas novas subredes. Usando o exemplo anterior deste capítulo, se você pegar o endereço de rede 192.168.43.0/24 e alocar dois bits extras para a ID de subrede, você tem um valor binário de máscara de subrede de 11111111.11111111.11111111.11000000 (255.255.255.192 na forma decimal). O bit menos significativo da subrede mais os bits de host darão o valor 1000000, que converte-se no valor decimal 64. Logo, se você sabe que o endereço de rede da sua primeira subrede é 192.168.43.0, a segunda subrede deve ser 192.168.43.64, a terceira 192.168.43.128, e a quarta 192.168.43.192.
Super-Redes Além de simplificar a notação de redes, o CIDR também torna possível uma técnica chamada agregação ou super-redes, que pode ajudar a reduzir o tamanho das tabelas de roteamento da Internet. Uma super-rede é uma combinação de redes contiguas em que todas contém um prefixo CIDR comum. Quando uma organização possui várias redes contiguas que podem ser expressas como uma super-rede, é possível listar essas redes em uma tabela de roteamento usando apenas uma entrada ao invés de muitas. Por exemplo, se uma organização tem as seguintes cinco subredes, a prática padrão seria criar uma entrada separada na tabela de roteamento para cada uma.
188
172.16.43.0/24 172.16.44.0/24 172.16.45.0/24 172.16.46.0/24 172.16.47.0/24
Para criar uma super-rede englobando todas as 5 redes, você deve isolar os bits que eles possuem em comum. Quando você converte os endereços de rede de decimal para binário, você tem os seguintes valores: 172.16.43.0
10101100.00010000.00101011.00000000
172.16.44.0
10101100.00010000.00101100.00000000
172.16.45.0
10101100.00010000.00101101.00000000
172.16.46.0
10101100.00010000.00101110.00000000
172.16.47.0
10101100.00010000.00101111.00000000
Em formato binário, você pode ver que todos os cinco endereços possuem os mesmos primeiros 21 bits. Estes 21 bits se tornam o identificador de rede do endereço da super-rede, como a seguir: 10101100.00010000.00101 Após zerar os bits de host para formar o endereço de rede e converter o número binário de volta ao formato decimal, o endereço de super-rede resultante é 172.16.40.0/21. 10101100.00010000.00101000.00000000
172.16.40.0/21
Este endereço de rede pode substituir os cinco endereços originais na tabela de roteamento duplicados através da Internet. Este é apenas um exemplo de uma técnica que administradores podem usar para combinar dezenas ou mesmo centenas de subredes em entradas únicas na tabela de roteamento.
Atribuir endereços IPv4 Além de entender como o endereçamento IP funciona, um administrador de rede deve estar familiar com os métodos para implantar endereços IP nos computadores de uma rede. Para atribuir endereços IPv4, existem três métodos básicos:
189
Configuração manual DHCP Automatic Private IP Addressing (APIPA)
As vantagens e desvantagens destes métodos serão discutidos abaixo.
Configuração de Endereço IPv4 Manual Configurar um cliente IPv4 manualmente é fácil e rápido. Maioria dos sistemas operacionais oferece uma interface gráfica que te permite inserir um endereço IPv4, a máscara de rede e vários outros parâmetros de configuração TCP/IP. Para definir configurações de endereço IP no Windows Server 2012 R2, você usa a janela de propriedades do Protocolo TCP/IP Versão 4 (TCP/IPv4), como podemos ver na figura abaixo.
Quando você seleciona a opção Usar o seguinte endereço IP, você pode configurar as seguintes opções de endereço IP:
Endereço IP. Especifica o endereço IP na rede local que irá identificar a interface de rede no computador.
190
Máscara de Subrede. Especifica a máscara associada com a subrede local. Gateway Padrão. Especifica o endereço IP de um roteador na subrede local, que o sistema irá usar para acessar destinos em outras redes. Servidor DNS Preferencial. Especifica o endereço IP do servidor DNS que o sistema irá usar para resolver nomes de computadores em endereços IP.
O problema principal com configuração manual é que uma tarefa que leva 2 minutos para um computador requer várias horas para 100 computadores e vários dias para mil computadores. Configuração manual é impraticável, e não apenas por ser lento. Você também deve rastrear os endereços IPv4 que atribui e ter certeza que que cada sistema tem um endereço que é único. Isto pode representar desafios logísticos formidáveis, por isso poucos administradores escolhem esta opção.
Protocolo Dinâmico de Configuração de Host - DHCP O DHCP é um protocolo da camada de aplicação que permite que administradores aloquem dinamicamente endereços IP de um pool. Computadores equipados com clientes DHCP contatam automaticamente um servidor DHCP quando inicializam, e o servidor atribui a eles endereços únicos e todos os outros parâmetros de configuração que o servidor estiver configurado a prover. O servidor DHCP entrega endereços aos clientes baseado em concessão, e após um período pré-determinado, cada cliente renova o seu endereço ou retorna-o para o servidor para ser realocado. O DHCP não somente automatiza o processo de atribuição de endereços mas também rastreia os endereços que atribui, prevenindo duplicação de endereços na rede.
Automatic Private IP Addressing – APIPA APIPA é o nome dado pela Microsoft à um mecanismo de retorno após falha (failover) do DHCP usado por todos os sistemas operacionais Microsoft atuais. Em computadores Microsoft, o cliente DHCP está ativo por padrão. Se após várias tentativas, um sistema falha em localizar um servidor DHCP na rede, o APIPA assume e automaticamente atribui um endereço na rede 169.254.0.0/16 ao computador. Para uma rede pequena que consiste de apenas uma única LAN, o APIPA é uma alternativa simples e efetiva á instalar um servidor DHCP. Entretanto, para
191
instalações consistindo de múltiplas LANs conectadas por roteadores, administradores devem ter maior controle sobre o processo de atribuição de endereços IP. Isto normalmente significa implantar/instalar um ou mais servidores DHCP de alguma forma. Endereçamento IPv6 (vai cair certeza) Como a maioria dos administradores sabe, o IPv6 foi feito para aumentar o tamanho do endereçamento IP, disponibilizando assim endereços para muito mais dispositivos do que o IPv4. O tamanho de endereço de 128 bits do IPv6 permite 2128 possíveis endereços – o que dá mais de 54 milhões de endereços para cada metro quadrado na superfície da Terra. Além de prover mais endereços, o IPv6 também reduzirá o tamanho das tabelas de roteamento no roteadores espalhados pela Internet. Isto é devido ao tamanho dos endereços permite mais que os dois níveis de divisão em subredes como é atualmente possível com o IPv4.
Introdução ao IPv6 Endereços IPv6 são diferentes de endereços IPv4 de muitas formas além do comprimento. No lugar dos quatro números decimais de 8 bits separados por pontos que o IPv4 usa, endereços IPv6 usam 8 números hexadecimais de 16 bits separados por dois pontos, como pode ver abaixo: XX:XX:XX:XX:XX:XX:XX:XX
Cada X representa 8 bits (ou 1 byte), que em notação hexadecimal é representado por dois caracteres, como no exemplo abaixo: 21cd:0053:0000:0000:e8bb:04f2:003c:c394
Contraindo endereços IPv6 Quando um endereço IPv6 tem um ou mais blocos de 8 bits somente com zeros, você pode substituí-los com um sinal de dois pontos duplo (mas você pode usar apenas uma vez em um endereço IPv6). 21cd:0053::e8bb:04f2:003c:c394
Você também pode remover os zeros que iniciam os blocos, ou zeros à esquerda, como no exemplo abaixo:
192
21cd:53::e8bb:4f2:3c:c394
Expressando Endereços de Rede IPv6 Não existe máscara de rede no IPv6. Endereços de rede usam a mesma notação de barra que o CIDR para identificar os bits de rede. Neste exemplo, o endereço de rede está notado como segue: 21cd:53::/64 Esta é a forma contraída do seguinte endereço de rede: 21cd:0053:0000:0000/64
Tipos de endereço IPv6 Não existem transmissões broadcast no IPv6, e portanto nem endereços de broadcast como no IPv4. O IPv4 suporta três tipos de transmissões:
Unicast. Disponibiliza um serviço de transmissão um-para-um à interfaces individuais, incluindo farms (grandes datacenters) de servidores compartilhando um único endereço. Multicast. Disponibiliza um serviço de transmissão um-para-muitos à grupos de interfaces identificadas por um único endereço multicast. Anycast. Disponibiliza um serviço de transmissão um-para-um-demuitos à grupos de interfaces, apenas o mais próximo (que é medido pelo número de roteadores intermediários) recebe a transmissão. No IPv6, o escopo de um endereço se refere ao tamanho de sua área funcional. Por exemplo, o escopo de um unicast global é ilimitado, ou seja, toda a Internet. O escopo de um unicast link-local é o link imediato, ou seja, a rede local. O escopo de um unicast local único consiste em todas as subredes dentro da organização.
O IPv6 também suporta vários tipos de endereços, conforme descrito nas sessões a seguir. Endereços Unicast Global Um endereço Unicast Global é o equivalente à um endereço IPv4 registrado roteável por todo o mundo e único na Internet.
193
Endereços Unicast Link-Local No IPv6, sistemas que atribuem um endereço para si mesmos automaticamente criam um endereço Unicast Link-Local, que é essencialmente o equivalente à um endereço APIPA no IPv4. Todos os endereços link-local tem o mesmo identificador de rede: um prefixo de 10 bits , 1111111010 seguido por 54 zeros, resultando no seguinte endereço de rede. fe80:0000:0000:0000/64 Em sua forma mais compacta, o endereço de rede Link-Local fica como segue: fe80::/64 Como todos os endereços de link local (ou Link-Local) estão na mesma rede, eles não são roteáveis, e sistemas que os possuem podem apenas se comunicar com outros sistemas no mesmo link. Endereços Unicast Local Únicos Endereços Unicast Local Únicos são o equivalente IPv6 aos intervalos de rede privados 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16 do IPv4. Como os endereços de rede privados do IPv4, endereços local únicos são roteáveis dentro as organização. Administradores também podem dividi-los em subredes conforme necessário para suportar uma organização de qualquer tamanho. Muitas fontes de informação sobre o IPv6 continuam a listar endereços unicast site-local como um tipo válido de unicast, com uma função similar à de endereços de rede privados do IPv4. Por várias razões, endereços unicast site-local tornaram-se obsoletos, e embora seu uso não seja proibido, sua funcionalidade foi substituída por endereços unicast local únicos.
Endereços Multicast Endereços Multicast sempre começam como valor 11111111 em binário que é ff em hexadecimal. Endereços Anycast A função de um endereço Anycast é identificar os roteadores dentro de um dado escopo de endereço e enviar tráfego para o roteador mais próximo, conforme determinado pelos protocolos de roteamento local. Organizações podem usar endereços anycast para identificar um conjunto particular de roteadores na organização, como os que proveem acesso à Internet. Para usar anycasts, os roteadores devem estar configurados para reconhecer endereços ancast.
194
Atribuir endereços IPv6 Os processos usados por administradores para atribuir endereços IPv6 aos computadores da rede são similares aos usados no IPv4. Assim como no IPv4, um computador Windows pode obter um endereço IPv6 de três maneiras diferentes:
Alocação manual. Um usuário ou administrador informa o endereço e outras informações para cada interface de rede. Auto alocação. O computador cria seu próprio endereço usando um processo chamado autoconfiguração de endereço sem estado. Alocação dinâmica. O computador solicita e recebe um endereço de um servidor DHCPv6 na rede.
Alocação de Endereço IPv6 Manual Para o administrador de uma organização, alocação manual de endereços é ainda mais impraticável no IPv6 do que no IPv4 devido ao comprimentos dos endereços envolvidos. Entretanto, é possível, e o procedimento para executá-lo no Windows Server 2012 R2 é o mesmo que o do IPv4, exceto que você abrirá a janela de propriedades do item Protocolo TCP/IP versão 6 (TCP/IPv6), como pode ver na figura abaixo.
195
Devido ás dificuldades de se trabalhar com endereços IPv6 manualmente, as próximas duas opções são prevalecentes.
Autoconfiguração de Endereço Sem Estado Quando um computador Windows inicializa, ele inicia o processo de autoconfiguração de endereço sem estado, durante o qual atribui para cada interface um endereço unicast link-local. Esta atribuição sempre ocorre, mesmo quando a interface recebe um endereço unicast global depois. O endereço linklocal permite que o sistema se comunique com o roteador na mesma subrede, o qual passa instruções adicionais. Os passos do processo de autoconfiguração de endereço sem estado são os seguintes: 1. Criação do endereço link-local. A implementação do IPv6 no sistema cria um endereço link-local para cada interface usando o endereço de rede fe80::/64 e gerando um ID de interface, usando o endereço MAC da interface ou um gerador pseudorrandômico. 2. Detecção de endereço duplicado. Usando o protocolo de Descoberta de Vizinho (Neighbor Discovery - ND) do IPv6, o sistema transmite uma mensagem de Solicitação de Vizinho para determinar se algum outro computador na mesma subrede está usando o mesmo endereço e fica na escuta de uma mensagem de Publicação de Vizinho que possa ser enviada em resposta. Se não houver resposta, o sistema considera que o endereço é único no link onde está. Se houver resposta, o sistema deve gerar um novo endereço e repetir o processo. 3. Atribuição de endereço link-local. Quando o sistema detecta que o endereço link-local é único, ele configura a interface para usar o endereço. Em uma rede pequena consistida de um único link ou segmento, esta pode ser a atribuição definitiva de endereço para a interface. Em uma rede com diversas subredes, a função primária da atribuição de endereço link-local é habilitar o sistema a se comunicar com o roteador no link. 4. Solicitação de Publicação de Roteador. O sistema usa o protocolo ND para transmitir mensagens de Solicitação de Roteador para o endereço multicast todos os roteadores. Essas mensagens compelem os roteadores a transmitir mensagens de Publicação de Roteador com maior frequência. 5. Publicação de Roteador. O roteador no link usa o protocolo ND para transmitir mensagens de Publicação de Roteador ao sistema, que contém informações de como o processo de autoconfiguração deve proceder. As mensagens de Publicação de Roteador tipicamente informam um prefixo de rede, que o sistema irá usar com o seu ID de
196
interface existente para criar um endereço unicast global ou local único. As mensagens também pode instruir o sistema a iniciar um processo de autoconfiguração com estado através do contato com algum servidor DHCPv6. Se não houver roteador no link, como determinado pela falha do sistema em receber mensagens de Publicação de Roteador, então o sistema deve tentar um processo de autoconfiguração sem estado. 6. Configuração de endereço Global ou Local único. Usando a informação que recebeu do roteador, o sistema gera um endereço apropriado que é roteável, seja globalmente ou dentro da empresa, e configura a interface para usá-lo. Caso seja instruído, o sistema também pode iniciar um processo de configuração com estado (stateful) contatando o servidor DHCPv6 especificado pelo roteador e obtendo um endereço global ou local único dele, junto com outras configurações.
DHCPv6 Se você é um administrador de uma empresa como uma rede multissegmentada, será necessário usar endereços globais ou locais únicos para a comunicação da rede interna, então você precisará de roteadores que publiquem os prefixos de rede apropriados ou servidores DHCPv6 que possam fornecer endereços com os prefixos corretos. A função Acesso Remoto do Windows Server 2012 R2 suporta roteamento IPv6 e publicação, e a função Servidor DHCP suporta alocação de endereços IPv6.
Criar subredes em endereços IPv6 Assim como no IPv4, administradores podem criar um hierarquia de subredes usando endereços IPv6. Entretanto, no IPv6, não são necessárias máscaras de subrede porque existem muitos bits no identificador de rede para criar um identificador de subrede sem ter de emprestar bits do identificador de host. O formato de um endereço unicast global IPv6 divide os 128 bits em três seções:
Prefixo de roteamento Global. Um campo de 48 bits começando com o valor 001, a sua estrutura hierárquica é deixada a cargo da organização de Registro Regional da Internet. ID de subrede. Um campo de 16 bits que as organizações podem usar para criar uma hierarquia interna de subredes. ID de interface. Um campo de 64 bits identificado uma interface específica na rede.
197
Quando você obtém um endereço de rede IPv6 do seu provedor de Internet ou organização de Registro, você tipicamente recebe o prefixo de roteamento global, tradicionalmente conhecido como um “/48”. Você então fica com o campo de ID de subrede para criar suas subredes conforme desejar. Algumas opções de subredes seriam:
Subrede de um nível. Configurando todos os bits da ID de subrede em zero, todos os computadores na organização farão parte de uma única subrede. Subrede de dois níveis. Se você criar uma série de valores de 16 bits, você pode dividir a rede em até 65.536 subredes. Subrede de vários níveis. Se você alocar números específicos de bits da ID de subrede, você pode criar múltiplos níveis de subredes, subsubredes, e sub-sub-subredes, apropriadas para empresas de qualquer tamanho.
Por exemplo, considere uma grande empresa internacional com o ID de subrede dividido da seguinte forma:
País (4 bits). Cria até 16 subredes representando os países em que a organização possui escritórios. Estado (6 bits). Cria até 64 sub-subredes dentro de cada país, representando estados, províncias e outras divisões geográficas. Escritório (2 bits). Cria até 4 sub-sub-subredes dentro de cada estado, representando escritórios localizados em diferentes cidades. Departamento (4 bits). Cria até 16 sub-sub-sub-subredes dentro de cada escritório, representando os vários departamentos ou divisões.
Sendo assim, para criar um ID de subrede para um escritório em particular, você precisa atribuir valores para cada campo. Para usar o valor 1 para o Brasil, os bits de País do ID de subrede seria: 0001-----------Para criar uma designação binária de Estado para São Paulo usando o valor 49, o campo Estado ficaria assim: ----110001----Para o segundo escritório em SP, use o valor 2 nos bits do campo Escritório, como segue: ----------10---Para o departamento de vendas neste escritório, usamos o valor 9 para os bits de Departamento como a seguir:
198
------------1001 O valor resultante para o ID de subrede, na forma binária, ficaria então da seguinte forma: 0001110001101001 Na forma hexadecimal, o valor seria 1c69. Pelo fato da organização que possui o prefixo controla totalmente o ID de subrede, administradores de empresa podem ajustar o número de níveis na hierarquia e o número de bits dedicado a cada nível como for necessário.
Planejando uma Transição IP Muitos administradores de empresa estão confortáveis trabalhando com endereços IPv4, os quais são hesitantes em mudar. O NAT e CIDR foram excelentes contornos para o esgotamento do espaço de endereçamento IP de 32 bits por anos, e muitos gostariam de vê-lo continuar por muito tempo ainda. Entretanto, a transição para o IPv6, por tempos uma ideia longe no horizonte, agora está se aproximando a uma velocidade assustadora, e é tempo dos administradores que não estão familiares com as novas tecnologias tirarem o tempo perdido e se atualizarem. A indústria de redes – e particularmente a Internet – fez grandes investimentos em tecnologias IPv4; substituí-las pelo IPv6 tem sido um processo gradual. De fato, é um processo gradual que deveria ter começado a 10 anos atrás. Porém, muitos administradores não troca seus equipamentos IPv4 a não ser que parem de funcionar. Infelizmente, o dia em que estes equipamento irão falhar está se aproximando rapidamente. Então embora ainda não seja hora de abraçar o IPv6 exclusivamente, administradores devem ter esta transição em mente quando planejam suas redes e tomam suas decisões de compra. O fim do pool de endereços ainda não alocados da IANA acabou em 31 de Janeiro de 2011. Um dos RIR, o Centro de Informações da Rede do Pacifico da Ásia, se esgotou em 15 de Abril de 2011 e espera-se que os outros RIRs sigam o mesmo caminho.
Administradores de rede podem fazer como quiserem dentro das próprias empresas. Se todos os equipamentos de rede da empresa suportam o IPv6, eles podem começar a usar o IPv6 a qualquer momento. Porém, a Internet ainda está firmemente baseada no IPv4, a continuará a ser por mais alguns anos. Sendo assim, a transição do IPv4 para o IPv6 deve ser um projeto gradual que inclui um período de suporte para as duas tecnologias.
199
Agora, e no futuro imediato, administradores devem trabalhar assumindo que o resto do mundo está usando o IPv4, então você deve implementar um mecanismo para transmitir seu tráfego IPv6 sobre uma conexão IPV4. Eventualmente, a situação será revertida. A maioria do mundo estará usando o IPv6 e as tecnologias IPv4 remanescentes terão que transmitir seu tráfego mais antigo sobre os novos links.
Usando uma dupla Pilha IP O método mais simples e óbvio para fazer a transição do IPv4 para o IPv6 é rodar ambos. Isto é o que todas as versões atuais do Windows fazem, voltando até o Windows Server 2008 e o Windows Vista. Por padrão, estes sistemas operacionais instalam ambas as versões do IP e usam-nas simultaneamente. Mesmo que você nunca ouviu falar de IPv6 até hoje, seus computadores estão provavelmente usando-o e tem endereços IPv6 link-local que você pode ver rodando o comando ipconfig /all. As implementações na camada de rede no Windows são separadas, então você as configura separadamente. Tanto para o IPv4 quanto para o IPV6, você pode escolher configurar o endereço e outras configurações manualmente ou usar autoconfiguração. Como o Windows suporta as duas versões, os computadores podem se comunicar com recursos TCP/IP rodando tanto IPv4 quanto IPv6. Entretanto, uma rede corporativa inclui outros dispositivos, mais notavelmente roteadores, que ainda podem não suportar o IPv6. A Internet também é quase completamente baseada no IPv4. Começando imediatamente, administradores deveriam ter certeza de que qualquer equipamento de redes que comprem inclua suporte ao IPv6. Falhar em fazer isso com certeza significará custos adicionais mais tarde.
Tunelamento Agora mesmo, existem muitos serviços de rede que são somente IPv4 e comparativamente menos que exigem o IPv6. Estes serviços IPv6 estão vindo, porém. O recurso de rede remota Direct Access no Windows Server 2012 R2 e no Windows 8.1 é um exemplo de tecnologia IPv6 e muito da sua complexidade é devido a necessidade de estabelecer conexões IPv4 sobre a Internet IPv4.
200
O método primário para transmitir tráfego IPv6 sobre uma rede IPv4 é chamado de tunelamento. Neste caso, Tunelamento é o processo pelo qual um sistema encapsula uma datagrama IPv6 dentro de um pacote IPv4, como vemos na figura abaixo. O sistema então transmite o pacote IPv4 ao seu destino, sem que nenhum dos sistemas intermediários perceba o conteúdo dos pacotes.
O Tunelamento pode funcionar em uma variedade de configurações, dependendo da infraestrutura da rede, incluindo roteador-para-roteador, hostpara-host, roteador-para-host e host-para-roteador. Porém, a configuração mais comum é roteador-para-roteador, como no caso de uma conexão somente IPv4 entre um escritório IPv6 e outra filial IPv6, como podemos ver na figura abaixo.
Os dois roteadores suportam ambos IPv4 e IPv6 e as redes locais em cada site usam IPv6. Todavia, o link conectando os dois sites é somente IPv4. Por meio
201
da criação de um túnel entre os roteadores nos dois escritórios, eles podem trocar tráfego IPv6 conforme desejado usando suas interfaces IPv4. Computadores nos dos sites enviam tráfego IPv6 ao outro lado e os roteadores são responsáveis por encapsular os dados IPv6 em pacotes IPv4 para a viagem pelo túnel. O Windows suporta diversos métodos de tunelamento, tanto manual quanto automático, conforme descrito nas sessões a seguir:
Configurar Tuneis Manualmente É possível criar manualmente túneis semipermanentes que levam tráfego IPv6 através de uma rede somente IPv4. Quando um computador rodando o Windows Server 2012 R2 ou o Windows 8.1 está funcionando como uma das pontas do túnel, você pode usar o seguinte comando: netsh interface ipv6 add v6v4tunnel "interface" enderecolocal enderecoremoto
Neste comando, interface é um nome amigável que você atribui ao túnel que está criando; enderecolocal e enderecoremoto são os endereços IPv4 que formam as duas pontas do túnel. Um exemplo de um comando real seria: netsh interface ipv6 add v6v4tunnel "tunel" 206.73.118.19 157.54.206.43
Configurar Túneis Automaticamente Também existem mecanismos que criam túneis sobre conexões IPv4 automaticamente. Essas tecnologias foram feitas para serem soluções temporárias durante a transição do IPv4 para o IPv6. Todas elas incluem mecanismos para expressar um endereço IPv4 no formato IPv6. As tecnologias de transição IPv4-para-IPv6 que o Windows suporta serão descritas a seguir.
6to4 O mecanismo 6to4 essencialmente incorpora conexões IPv4 em uma rede dentro da infraestrutura IPv6 definindo um método para expressar endereços IPv4 no formato IPv6 e encapsular tráfego IPv6 dentro de pacotes IPv4. ISATAP O Protocolo de Endereçamento de Túnel Automático Intra-Site (Intra-Site Automatic Tunnel Addressing Protocol - ISATAP) é um protocolo de
202
tunelamento automático usado pelos sistemas operacionais Windows para estações de trabalho que emula um link IPv6 através do uso de uma rede IPv4. O ISATAP também converte endereços IPv4 no formato da camada de enlace do IPv6, mas usa um método diferente do 6to4. O ISATAP não suporta multicast, então não pode descobrir roteadores da maneira usual pelo uso do Protocolo de Descoberta de Vizinho. No lugar, o sistema compila uma lista de roteadores potenciais usando pesquisas DNS e envia mensagens de Descoberta de Roteador para eles com certa frequência através do protocolo ICMPv6 (Internet Control Message Protocol version 6).
Teredo Para usar o tunelamento 6to4, ambas as pontas do túnel devem ter endereços IPv4 registrados. Porém, em muitas redes, o sistema que iria funcionar como ponta está localizado atrás de um roteador NAT, e tem um endereço não registrado. Neste caso, o único endereço registrado disponível está atribuído ao próprio roteador NAT, e ao menos que o roteador suporte o 6to4 (o que é difícil), fica impossível estabelecer o túnel. O Teredo é um mecanismo que aborda este problema habilitando dispositivos atrás de roteadores NAT não-IPv6 a funcionar como a ponta de um túnel. Para fazer isso, o Teredo encapsula os pacotes IPv6 dentro de datagramas UDP da camada de transporte ao invés de usar datagramas da camada de rede IPv4 como o 6to4 faz. Para um cliente Teredo funcionar como ponta de um túnel, deve ter acesso à um servidor Teredo, com o qual troca mensagens de Solicitação de Roteador e de Publicação de Roteador para determinar se o cliente está atrás de um roteador NAT. Para iniciar as comunicações, um cliente Teredo troca pacotes nulos chamados de “bolhas” com o destino desejado, usando servidores Teredo em cada ponta como intermediários. A função das mensagens bolha é criar mapeamentos para ambos os computadores em seus respectivos roteadores NAT.
4.2 – Configurar Servidores Um servidor raramente está pronto para realizar todas as tarefas que você planejou para ele logo após a instalação. Tipicamente, alguma configuração pós-instalação é necessária, e mudanças adicionais nas configurações podem se tornar necessárias após o servidor entrar no ambiente de produção.
203
Entendendo o DHCP O DHCP é um serviço que configura endereços IP e outras configurações TCP/IP nos computadores da rede atribuindo endereços de um pool (chamado de escopo) e recuperando-os após a concessão (lease) expirar. Além de ser uma tarefa que consume muito tempo, configurar manualmente clientes TCP/IP pode resultar em erros de digitação que causam conflitos de endereço que interrompem as comunicações na rede. O DHCP previne esses erros e tem muitas outras vantagens, incluindo atribuição automática de novos endereços quando computadores são movidos de uma subredes para outra e recuperação automática de endereços que não estão mais em uso. O DHCP consiste de três componentes:
Um serviço DHCP, que responde à pedidos de clientes por configurações TCP/IP. Um cliente DHCP, que envia solicitações aos servidores e aplica as configurações TCP/IP que recebe no computador local. Um protocolo de comunicações DHCP, que define os formatos e sequencias de mensagens trocadas pelos clientes DHCP e servidores.
Todos os sistemas operacionais da Microsoft incluem capacidades de cliente DHCP, e todos os sistemas operacionais de servidor (incluindo o Windows Server 2012 R2) incluem a função de servidor DHCP Microsoft. O padrão DHCP define três métodos de alocação de endereço IP diferentes:
Alocação Dinâmica. O servidor DHCP atribui um endereço IP do escopo para um computador cliente por um período específico de tempo. Cada cliente deve periodicamente renovar o concessão para continuar usando o endereço. Se o cliente deixar a concessão expirar, o endereço é retornado ao escopo para ser reatribuido à outro cliente. Alocação Automática. O servidor DHCP atribui permanentemente um endereço IP do escopo para um computador cliente. Após o servidor DHCP ter atribuído o endereço para o cliente, a única maneira de mudálo é reconfigurar o computador manualmente. Alocação Manual. O servidor DHCP atribui permanentemente um endereço IP específico para um computador específico na rede. No servidor DHCP da Microsoft, endereços manualmente alocados são chamados de reservas.
Além de endereços IP, o DHCP pode disponibilizar aos clientes os valores para outros parâmetros necessários para configurar um cliente TCP/IP, incluindo a máscara de subredes, gateway padrão, e endereços de servidor DNS. O objetivo é eliminar a necessidade de qualquer configuração manual em um
204
cliente. Por exemplo, o servidor DHCP Microsoft inclui mais de 50 parâmetros de configuração, que ele pode entregar junto com os endereços IP, mesmo que os clientes Windows só possam usar um subconjunto destes parâmetros. As comunicações DHCP usam oito tipos de mensagens, cada uma usa o mesmo formato básico de pacote. O tráfego DHCP é transmitido dentro de datagramas UDP padrão, usando a porta 67 no servidor e 68 no cliente.
Opções DHCP Todas as mensagens DHCP incluem um campo de opções, que é uma área criada para carregar os vários parâmetros (além do endereço IP) usados para configurar a pilha TCP/IP dos clientes. Algumas das opções mais usadas serão descritas nas sessões seguintes.
A Opção de Tipo de Mensagem DHCP A opção de Tipo de Mensagem DHCP identifica a função geral da mensagem DHCP e é exigida em todos os pacotes DHCP. O protocolo de comunicações DHCP define oito tipos de mensagens, como segue:
DHCPDISCOVER. Usado por clientes para solicitar parâmetros de configuração de um servidor DHCP. DHCPOFFER. Usado por servidores para oferecer endereços IP aos clientes requisitantes. DHCPREQUEST. Usado por clientes para aceitar ou renovar uma atribuição de endereço IP. DHCPDECLINE. Usado por clientes para rejeitar um endereço IP oferecido. DHCPACK. Usado por servidores para confirmar um aceite de cliente de um endereço IP oferecido. DHCPNAK. Usado por servidores para rejeitar um aceite de cliente de um endereço IP oferecido. DHCPRELEASE. Usado por clientes para encerrar uma concessão de endereço IP. DHCPINFORM. Usado por clientes para obter configurações TCP/IP adicionais do servidor.
Extensões de Informação de Fornecedor BOOTP Estas opções incluem muitos dos parâmetros básicos de configuração usados pela maioria dos sistemas clientes, como os seguintes:
205
Máscara de Subrede. Especifica quantos bits do endereço IP identificam o sistema host e quais bits identificam a rede onde o sistema host reside. Roteador. Especifica o endereço IP do roteador (ou gateway padrão) no segmento local de rede que o cliente deve usar para transmitir para sistemas em outros segmentos de rede. Servidor de Nome de Domínio. Especifica os endereços IP dos servidores que o cliente irá usar para resolução de nomes DNS. Nome de Host. Especifica o nome de host DNS usado pelo cliente. Nome de Domínio. Especifica o nome do domínio DNS em que o sistema irá residir. O Bootstrap Protocol (BOOTP) é o predecessor do DHCP. Os dois são amplamente compatíveis; a diferença primária é que o BOOTP aloca endereços permanentemente, e não aluga-os.
Extensões DHCP Estas opções são usadas para informar parâmetros que governam os processos de negociação e renovação de concessão (lease) do DHCP.
Endereço IP Requisitado. Usado pelo cliente para solicitar um endereço IP particular do servidor. Tempo de Concessão do Endereço IP. Especifica a duração da concessão de um endereço IP alocado dinamicamente. Identificador de Servidor. Especifica o endereço IP do servidor envolvido na transação DHCP; usado pelo cliente para endereçar mensagens unicast para o servidor. Lista de Parâmetros Requisitados. Usado pelo cliente para enviar uma lista de opções de configuração solicitadas (identificadas pelos seus códigos) para o servidor. Mensagem. Usado para conter uma mensagem de erro do servidor para o cliente em uma mensagem DHCPNAK. Valor de Tempo de Renovação (T1). Especifica o período de tempo que precisa se esgotar antes que um endereço IP entre em estado de renovação. Valor de Tempo de Religação (T2). Especifica o período de tempo que precisa se esgotar antes que um endereço IP entre em estado de religação.
206
Comunicações DHCP Para elaborar uma estratégia DHCP para uma rede empresarial e implantá-la corretamente é exigido um entendimento das comunicações de ocorrem entre clientes e servidores DHCP. Em computadores Windows, o cliente DHCP é ativado por padrão, embora não seja mencionado pelo nome na interface. A opção Obter endereço IP automaticamente na janela de propriedades do Protocolo TCP/IP versão 4 (TCP/IPv4) e a opção Obter endereço IP IPv6 automaticamente na janela de propriedades do Protocolo TCP/IP versão 6 (TCP/IPv6) controlam a ativação do cliente para o IPv4 e IPv6, respectivamente.
Negociação de Concessão DHCP A comunicação DHCP é sempre iniciada pelo cliente, como vemos no esquema abaixo, e prossegue como a seguir:
207
1. Quando um computador faz boot pela primeira vez com o cliente DHCP ativo, o cliente gera uma série de mensagens DHCPDISCOVER para solicitar uma atribuição de endereço IP de um servidor DHCP e as envia em broadcast para a rede local. 2. Todos os servidores DHCP que receberem a mensagem DHCPDISCOVER geram mensagens DHCPOFFER contendo um endereço IP e outros parâmetros de configuração e os transmitem para o cliente.
208
3. Depois de um período especificado, o cliente aceita um dos endereços ofertados enviando uma mensagem DHCPREQUEST em broadcast contendo o endereço do servidor que ofereceu o endereço. 4. Quando o servidor que ofereceu o endereço recebe a mensagem de DHCPREQUEST, ele adiciona o endereço IP oferecido e outras configurações em seu banco de dados. 5. O servidor transmite uma mensagem DHCPACK para o cliente, confirmando a finalização do processo. Se o servidor não puder completar a atribuição, ele transmite uma mensagem DHCPNAK para o cliente e o processo é reiniciado. 6. Como um teste final, o cliente envia em broadcast o endereço IP oferecido através do protocolo ARP para assegurar que nenhum outro sistema na rede está usando-o. Se o cliente não receber uma resposta ao ARP enviado em broadcast, a transação DHCP é concluída. Se outro sistema responder à mensagem ARP, o cliente descarta o endereço IP e transmite uma mensagem DHCPDECLINE ao servidor, anulando a transação. O cliente então reinicia o processo.
Renovação de Concessão DHCP Por padrão, o serviço de Servidor DHCP no Windows Server 2012 R2 usa alocação dinâmica, alugando endereços IP aos clientes por períodos de 8 dias. Em intervalos periódicos durante a concessão, o cliente tenta contatar o servidor para renovar a concessão, como pode ver no esquema, usando o seguinte procedimento.
209
1. Quando o cliente DHCP chega a 50% da duração da concessão (chamado de valor de tempo de renovação ou valor T1), o cliente inicia gerando mensagens unicast DHCPREQUEST e transmite-as ao servidor DHCP que possui o concessão. 2. Se o servidor não responder até o momento em que o cliente atingir 85% do tempo de concessão (chamado de valor de tempo de religação ou valor T2), o cliente começa a transmitir suas mensagens
210
DHCPREQUEST em broadcast na tentativa de solicitar uma atribuição de endereço IP de qualquer servidor DHCP na rede. 3. Se o servidor receber a mensagem DHCPREQUEST do cliente, responde com uma mensagem DHCPACK, que aprova a solicitação de renovação de concessão, ou uma mensagem DHCPNAK, que encerra a concessão. Se o cliente não recebe respostas para suas mensagens DHCPREQUEST até o momento em que sua concessão expira, ou se recebe uma mensagem DHCPNAK, o cliente libera seus endereços IP. Todas as comunicações TCP/IP então são encerradas, exceto pela transmissão de mensagens DHCPREQUEST em broadcast .
Implantando um servidor DHCP Servidores DHCP operam independentemente, então você deve instalar o serviço e configurar os escopos em cada computador que irá funcionar como um servidor DHCP. O serviço de Servidor DHCP é empacotado como uma função no Windows Server 2012 R2, que você pode instalar usando o Assistente Adicionar Funções e Recursos, acessível no console do Gerenciador do Servidor. Quando você instala a função Servidor DHCP em um computador que é membro de um domínio do Active Directory, o Servidor DHCP é automaticamente autorizado a alocar endereços IP para clientes que são membros do mesmo domínio. Se o servidor não for um membro do domínio quando você instala a função, e você adiciona-o à um domínio depois, você deve autorizar o servidor DHCP manualmente no domínio clicando com o botão direito do mouse no nó do servidor no console DHCP e escolhendo a opção Autorizar. Depois de instalar a função Servidor DHCP, você deve configurar o serviço criando um escopo antes de poder servir clientes.
Criar um escopo Um escopo é um intervalo de endereços IP em uma subrede particular que foram selecionados para serem alocados por um servidor DHCP. Em versões do Windows Server anteriores ao Windows Server 2012, você pode criar um escopo quando instala a função de Servidor DHCP. Porém, no Windows Server 2012 e no Windows Server 2012 R2, os procedimentos são separados. Para criar um escopo usando o snap-in do MMC, use o procedimento abaixo.
211
1. No Gerenciador do Servidor, clique em Ferramentas, DHCP. O console DHCP será aberto. 2. Expanda o nó do servidor e o nó IPv4. 3. Clique com o botão direito do mouse no nó IPv4 e selecione o opção Novo Escopo. O Assistente de Novo Escopo será exibido, mostrando a página de Bem Vindo. 4. Clique em Próximo. A página de Nome do Escopo aparecerá. 5. Digite um nome na caixa de texto Nome e clique em Próximo, a página de intervalo de endereço IP será exibida, como vemos na figura abaixo.
6. Na caixa de texto Endereço IP inicial digite o primeiro endereço do intervalo de endereços que você quer atribuir. Na caixa de texto Endereço IP Final, digite o último endereço no intervalo. 7. Na caixa de texto Máscara de Subrede, digite o valor da máscara para a subredes em que o escopo irá operar e clique em Próximo. A página Adicionar exclusões e Atraso aparecerá. 8. Nas caixas de texto Endereço IP Inicial e Endereço IP Final, especifique um intervalo de endereços que quer excluir do escopo. Então clique em Próximo para ir para a página de Duração de Concessão. 9. Especifique a duração dos aluguéis para os endereços do escopo e clique em Próximo. A página de Configuração de Opções DHCP abrirá. 10. Selecione Sim, eu quero estas opções agora e clique em Próximo. A página de Roteador (Gateway padrão) aparecerá como podemos ver na figura abaixo.
212
11. Na caixa de texto endereço IP, especifique o endereço de um roteador na subredes servida pelo escopo e clique em Adicionar. Então clique em Próximo. A página Nome de domínio e Servidores DNS será mostrada. 12. Na caixa de texto Nome do Servidor, digite o nome de um Servidor DNS na rede e clique em Resolver ou digite o endereço de um Servidor DNS na caixa de texto Endereço IP e clique em Adicionar. Então clique em Próximo. A página Servidores WINS será exibida. 13. Clique em Próximo para abrir a página Ativar Escopo. 14. Selecione Sim, eu quero ativar este escopo agora e clique em Próximo. A página Completando o Assistente de Novo Escopo será exibida. 15. Clique em Finalizar para fechar o Assistente. 16. Feche o console DHCP. Após ter criado o escopo, todos os clientes DHCP na subredes que você identificou podem obter seus endereços IP e outras configurações TCP/IP via DHCP. Você também pode usar o console DHCP para criar escopos adicionais para outras subredes.
213
Configurar Opções DHCP O Assistente de Novo Escopo permite que você configure algumas das opções DHCP mais usadas enquanto cria o escopo, mas você pode sempre configurar as muitas outras opções em outro momento. O servidor DHCP Windows suporta dois tipos de opções:
Opções de Escopo. Opções fornecidas apenas para clientes DHCP recebendo endereços de um escopo particular. Opções de Servidor. Opções fornecidas para todos os clientes DHCP recebendo endereços do servidor.
A opção Roteador é um exemplo típico de opção de escopo pois o Gateway padrão de um cliente DHCP deve sempre estar na mesma subredes que seu endereço IP. A opção Servidores DNS é tipicamente uma opção de servidor, pois servidores DNS não precisam estar na mesma subredes, e redes frequentemente usam o mesmo servidor DNS para todos os seus clientes. Todas as opções suportadas pelo servidor DHCP Windows podem ser opções de escopo ou de servidor, e o processo de configurá-las é basicamente o mesmo. Para configurar uma opção de escopo, clique com o botão direito no nó Opções de Escopo e selecione a opção Configurar Opções. Isso abre a caixa de diálogo das Opções de Escopo, que fornece os controles apropriados para umas das opções disponíveis (ver figura ).
214
Clicando com o botão direito no nó Opções de Servidor te permite abrir a caixa de diálogo de Opções de Servidor, que se comporta da mesma maneira que a caixa de diálogo das Opções de Escopo.
Criar uma Reserva Embora o DHCP seja uma excelente solução de configuração TCP/IP para a maioria dos computadores em uma rede, existem alguns casos em que não se aplica. Os próprios Servidores DHCP, por exemplo, precisam de endereços IP estáticos. Pelo fato do método de alocação dinâmica do DHCP permitir a possibilidade do endereço IP de um computador mudar, não é apropriado para estas funções particulares. Entretanto, é possível atribuir endereços para esses computadores através do DHCP, usando alocação manual no lugar de alocação dinâmica. Em um servidor DHCP Windows, um endereço alocado manualmente é chamado de reserva. Você cria uma reserva expandindo o nó escopo, clica com o botão direito do mouse no nó Reservas, e selecione a opção Nova Reserva. A caixa de diálogo Nova Reserva será exibida, como pode ver na figura abaixo.
Nesta caixa de diálogo, você especifica o endereço IP que quer atribuir a associa-o ao endereço MAC do computador cliente, que é codificado permanentemente no seu adaptador de interface de rede.
215
Também é possível configurar manualmente o cliente TCP/IP do computador, mas criar uma reserva DHCP assegura que todos os endereços IP são gerenciados pelos seus servidores DHCP. Em uma grande empresa, onde vários administradores podem estar lidando com problemas de configurações DHCP e TCP/IP, o endereço IP que um técnico atribui manualmente em um computador pode ser incluído em um escopo DHCP por outro técnico, resultando em potenciais conflitos de endereçamento. Reservas criam um registro permanente da atribuição do endereço IP no servidor DHCP.
Usando o PXE Os sistemas operacionais Windows incluem um cliente DHCP que pode configurar o endereço IP local e outras configurações TCP/IP dos computadores com um sistema operacional já instalado. Porém, também é possível para um computador sem sistema operacional instalado usar o DHCP. O PXE (Preboot eXecution Environment) é um recurso incluído em muitos adaptadores de interface de rede que habilita-os a conectar a servidores DHCP na rede e obter configurações do TCP/IP cliente, mesmo quando não há sistema operacional no computador. Administradores normalmente usam essa capacidade de automatizar o processo de implementação de sistema operacional em grandes quantidades de computadores. Além de configurar o endereço IP e outras configurações TCP/IP no computador cliente., o servidor DHCP pode fornecer ao computador uma opção especificando a localização de um arquivo de boot que o sistema pode baixar e usar para inicializar o computador e iniciar uma instalação de sistema operacional Windows. Um sistema equipado com o PXE faz downloads de arquivos de boot através do protocolo TFTP, uma versão simplificada do protocolo FTP que não exige autenticação. O Windows Server 2012 R2 inclui uma função chamada serviços de Implantação do Windows (Windows Deployment Services - WDS), que permite que administradores gerenciem arquivos de imagem que computadores remotos podem usar para inicializar e instalar o Windows. Para um adaptador PXE acessar imagens do WDS, o servidor DHCP na rede deve ter uma opção customizada PXEClient (opção 60) configurada com o local do servidor WDS na rede. O cliente PXE na estação de trabalho normalmente não precisa ser configurado, com a possível exceção da mudança da ordem dos dispositivos de boot, para que o computador tente um boot pela rede antes de usar as unidades locais.
216
Em uma implantação WDS do Windows 8.1 configurada corretamente, o processo de implantação do sistema operacional cliente ocorre da seguinte forma: 1. O computador cliente inicia e, não achando nenhum dispositivo local para boot, tentar fazer o boot pela rede. 2. O computador cliente conecta-se a um servidor DHCP na rede a partir do qual obtém a mensagem DHCPOFFER contendo um endereço IP e outros parâmetros de configuração, mais a opção 060 PXEClient, contendo o nome do servidor WDS. 3. O cliente se conecta com o servidor WDS e recebe um arquivo de imagem de boot, que ele baixa usando o protocolo TFTP. 4. O cliente carrega o Windows PE e o cliente WDS do arquivo de imagem de boot para um disco RAM (um disco virtual criado a partir da memória de sistema) e mostra um menu de boot contendo uma lista das imagens de instalação disponíveis no servidor WDS. 5. O usuário no computador cliente seleciona uma imagem de instalação do menu de boot, e o processo de instalação segue como uma instalação manual.
O conteúdo sobre WDS só é cobrado no exame 70-411.
Implantar um Agente de Retransmissão DHCP Por confiar em transmissões broadcast, clientes DHCPv4 podem acessar servidores DHCP somente na rede local, sob circunstâncias normais. Entretanto, é possível criar uma infraestrutura DHCP em que um servidor fornece os endereços para múltiplas subredes. Para fazer isso, você deve instalar um agente de retransmissão DHCP em cada subrede que não possui um servidor DHCP. Muitos roteadores são capazes de funcionar como agentes de retransmissão DHCP, mas em situações onde eles não sejam, você pode configurar um computador com o Windows Server 2012 R2 para funcionar com um agente de retransmissão DHCP através do seguinte procedimento: 1. No Gerenciador do Servidor, usando o Assistente de Adição de Funções e Recursos, instale a função Acesso Remoto, incluindo o serviço de função Roteamento. 2. Clique no ícone amarelo de avisos no Gerenciador do Servidor para abrir o Assistente de Guia de introdução. A janela inicial do Assistente de Guia de introdução para Configurar o Acesso Remoto será exibida.
217
3. Selecione Implantar somente VPN. O console de Roteamento e Acesso Remoto abrirá. 4. Clique com o botão direito no nó do servidor e selecione Configurar e Habilitar o Roteamento e Acesso Remoto. O Assistente para Configuração do Servidor de Roteamento e Aceso Remoto será exibido. 5. Clique em Próximo para passar da tela de Boas Vindas. A página de configuração será exibida, como vemos na figura abaixo.
6. Selecione Configuração personalizada e clique em Próximo. a página de configuração personalizada aparecerá. 7. Selecione a caixa de seleção Roteamento de LAN e clique em Próximo. A página Concluindo o Assistente para Configuração do Servidor de Roteamento e Acesso Remoto será mostrada. 8. Clique em Concluir. Uma mensagem de Roteamento e Acesso Remoto aparecerá te informando para iniciar o serviço. 9. Clique no botão Iniciar Serviço. 10. Expanda o nó IPv4. Então clique com o botão direito do mouse no nó Geral e selecione a opção Novo protocolo de roteamento. A caixa de diálogo Novo protocolo de roteamento será exibida na tela. 11. Selecione DHCP Relay Agent e clique OK. Um nó Agente de Retransmissão DHCP aparecerá, dentro do nó IPv4.
218
Você também pode criar um Agente de Retransmissão para o DHCPv6 adicionando um protocolo de roteamento ao nó IPv6.
12. Clique com o botão direito do mouse no nó Agente de Retransmissão DHCP e selecione a opção Nova Interface. A caixa de diálogo Nova interface para DHCP Relay Agent será exibida. 13. Selecione a interface que está na subrede que você quer instalar o Agente de Retransmissão e clique em OK. A janela de propriedades de Agente de Retransmissão DHCP para a interface seleciona será mostrada. 14. Deixe a caixa de seleção Retransmitir pacotes DHCP marcada, e configure os seguintes itens se for necessário. a. Limite de contagem de saltos. Especifica o número máximo de agentes de retransmissão pelos quais mensagens DHCP podem passar antes de serem descartadas. O valor padrão é 4 e o valor máximo é 16. Esta configuração previne que mensagens DHCP fiquem sendo retransmitidas infinitamente pela rede. b. Limite de inicialização (segundos). Especifica o intervalo de tempo (em segundos) que o agente de retransmissão deve esperar antes de retransmitir cada mensagem DHCP que recebe. O valor padrão é 4 segundos. Esta configuração permite que você controle qual servidor DHCP processará os clientes de uma subrede particular. 15. Clique em OK. 16. Clique com o botão direito do mouse no nó Agente de Retransmissão DHCP e selecione propriedades. A janela de propriedades do Agente de Retransmissão DHCP será exibida na figura.
219
17. Digite o endereço IP do servidor DHCP que você quer que o agente retransmita mensagens e clique em Adicionar. Repita este passo para adicionar mais servidores, se necessário. 18. Clique em OK. 19. Feche o console de Roteamento e Acesso Remoto.
4.3 – Instalar e Configurar o serviço DNS
O DNS é elemento crucial das comunicações da Internet e do Active Directory. Toda comunicação TCP/IP é baseada em endereços IP. Cada computador na rede tem pelo menos uma interface de rede, que é chamado de host no vocabulário TCP/IP, e cada host tem um endereço IP que é único nessa rede. Cada datagrama transmitido por um sistema TCP/IP contem o IP do sistema remetente e o endereço IP do destinatário pretendido. Porém, quando usuários acessam uma pasta compartilhada na rede ou site na Internet, eles normalmente o fazem selecionando um nome de host, não um endereço IP. Isto é assim pelo fato de nomes serem mais fáceis de lembrar e usar do que endereços IP.
220
Entendendo a arquitetura DNS Para os sistemas TCP/IP usarem esses nomes de host amigáveis, eles devem possuir um jeito de descobrir o endereço IP associado com o nome. Nos primeiros dias das redes TCP/IP, cada comutador tinha uma lista de nomes e seus endereços IP, chamada de tabela de host (host table). Naquele tempo, o número pequeno de computadores da novata Internet tornava a manutenção e distribuição de uma única tabela de hosts praticável. Hoje, existem milhões de computadores na Internet, e a ideia de manter e distribuir um arquivo único contendo nomes para todos eles é absurda. No lugar de usar a tabela de host armazenada em cada computador, as redes TCP/IP de hoje usam servidores DNS para converter nomes de host em endereços IP. Este processo de conversão é referido como resolução de nomes. No seu núcleo, o DNS ainda é uma lista de nomes e seu respectivos endereços IP, mas os métodos para criar, salvar e recuperar estes nomes são bem diferentes daqueles em uma tabela de host. O DNS consiste em três elementos:
O espaço de nomes DNS. O padrão DNS define um espaço de nomes estruturado como uma árvore em que cada galho/ramificação da árvore identifica um domínio. Cada domínio contém uma coleção de registros de recursos que contém nomes de host, endereços IP e outras informações. Operações de consulta são tentativas de recuperar registros de recursos específicos de um domínio particular. Servidores de nomes. Um servidor DNS é um serviço rodando em um computador servidor que mantém informações sobre a estrutura de árvore do domínio e (às vezes) contém informação autoritativa sobre um ou mais domínios específicos nessa estrutura. A aplicação é capaz de responder a consultas por informação sobre os domínios dos quais possui autoridade e também encaminhar consultar sobre outros domínios para outros servidores de nomes. Isto permite que qualquer servidor DNS acesse informações sobre qualquer domínio na árvore. Resolvedores. Um resolvedor é um programa cliente que gera consultas DNS e as envia para um servidor DNS para ser respondida. Um resolvedor tem acesso direto à pelo menos um servidor DNS e também pode processar referências para direcionar suas consultas para outros servidores quando necessário.
Em sua forma mais básica, o processo de resolução de nomes DNS consiste em um resolvedor enviando um pedido de resolução de nome para o seu servidor DNS designado. Quando o servidor não possui informação sobre o nome solicitado, ele encaminha o pedido para outro servidor DNS na rede. O
221
segundo servidor gera uma resposta contendo o endereço IP do nome solicitado e retorna-o ao primeiro servidor, que repassa a informação ao resolvedor, como mostra a figura abaixo. Na pratica porém, o processo de resolução de nomes DNS pode ser consideravelmente mais complexo, como você irá aprender nas sessões seguintes.
Comunicações DNS Embora todas as aplicações da Internet usam o DNS para resolver nomes de host em endereços IP, este processo de resolução de nome é mais fácil de ver quando você está usando um navegador para acessar um site na Internet. quando você digita um endereço contendo um nome DNS (por exemplo, www.wise1.com.br) na barra de endereços do navegador e pressiona a tecla Enter, se você olhar rápido o suficiente, você pode ser capaz de ver uma mensagem que diz algo como Encontrando site: www.wise1.com.br. Então alguns segundos depois, você pode ver a mensagem Conectando-se a, seguido por um endereço IP. É durante esse intervalo que o processo de resolução de nomes DNS ocorre. Da perspectiva do cliente, o processo que ocorre durante esses poucos segundos consiste da aplicação usando o resolvedor DNS integrado para enviar uma mensagem de consulta ao seu servidor DNS designado que contém o nome a ser resolvido. O servidor então responde com uma mensagem contendo o endereço IP correspondente ao nome. Usando o endereço fornecido, a aplicação pode transmitir uma mensagem ao destino desejado. Somente quando você examina a função do servidor DNS no processo é que você vê quão complexo o procedimento realmente é. Para explicar melhor o relacionamento entre os vários servidores DNS de vários domínios no espaço de nomes, o procedimento a seguir explica o processo de resolução de nomes da Internet. 1. Um usuário em um sistema cliente especifica o nome DNS de um servidor Internet em uma aplicação como um navegador. A aplicação gera uma chamada de interface de programação de aplicação (application programming interface - API) para o resolvedor no sistema
222
cliente e o resolvedor cria uma mensagem de consulta DNS recursiva contendo o nome de servidor, que ele transmite ao servidor DNS identificado nas configurações TCP/IP do computador, como mostra a figura abaixo.
2. O servidor DNS do cliente, após receber a consulta, checa seus registros de recursos para ver se é a origem autoritativa para a zona contendo o nome de servidor solicitado. Se não for, o que é comum, o servidor DNS gera uma consulta iterativa e a envia para um dos servidores de nomes raiz, como ilustrado na figura a seguir. O servidor de nome raiz examina o nome solicitado pelo servidor DNS do cliente e consulta seus registros de recursos para identificar os servidores autoritativos para o nome do domínio de nível superior. O servidor de nome raiz então transmite a resposta para o servidor DNS do cliente que possui uma referência para o endereço IP do servidor de nível superior.
3. O servidor DNS do cliente, agora em posse do endereço do servidor de nível superior para o nome solicitado, gera uma nova consulta iterativa e transmite-a para o servidor de domínio de nível superior, como mostra a figura 4-17 a seguir. O servidor de domínio de nível superior examina o domínio de segundo nível no nome solicitado e transmite uma referência contendo os endereços de servidores autoritativos para aquele domínio de segundo nível de volta para o servidor DNS do cliente. No processo de resolução de nomes do DNS descrito acima , o processo de resolver os nomes de domínios de nível superior e de segundo nível é retratado em passos separados. Porém, normalmente este não é o caso. Os domínios de nível superior mais usados (como o .com, .net e o .org) são na verdade hospedados pelos servidores de nomes raiz. Isso elimina uma referência do processo de resolução de nomes.
223
4. O servidor DNS do cliente gera outra consulta iterativa e transmite-a ao servidor do domínio de segundo nível, como vemos na figura abaixo. Se o servidor de domínio de segundo nível for a autoridade para a zona contendo o nome solicitado, ele consulta seus registros de recursos para determinar o endereço IP do sistema requisitado e transmite-o em uma mensagem de resposta de volta ao servidor DNS do cliente.
224
5. O servidor DNS do cliente recebe a resposta do servidor autoritativo e transmite o endereço IP de volta ao resolvedor no sistema cliente, como ilustra a figura 4-19 abaixo. O resolvedor retransmite o endereço para a aplicação, que pode então iniciar uma comunicação IP com o sistema especificado pelo usuário.
Dependendo do nome que o cliente estiver tentando resolver, este processo pode ser mais simples ou consideravelmente mais complexo do que o mostrado aqui. Por um lado, se o servidor DNS do cliente for a autoridade do domínio em que o nome solicitado se encontra, nenhum outro servidor ou consultas iterativas são necessários. Por outro lado, se o nome solicitado contém três ou mais níveis de domínios, consultas iterativas adicionais podem ser necessárias. Este procedimento também assume que o processo de resolução de nomes foi completado com sucesso. Se algum dos servidores DNS autoritativos consultados retornar uma mensagem de erro para o servidor DNS do cliente informando, por exemplo, que um dos domínios no nome não existe, então este erro é repassado de volta ao cliente e o processo de resolução de nome termina em falha.
Cache de servidor DNS O processo de resolução de nome DNS pode parecer longo e complexo, mas em muitos casos não é necessário que o servidor DNS do cliente envie
225
consultas aos servidores em cada domínio especificado no nome DNS solicitado. Isto é devido ao fato que servidores DNS são capazes de reter a informação que aprendem sobre o espaço de nomes DNS no decorrer dos seus procedimentos de resolução de nomes e armazená-la em um cache no disco rígido local. Um servidor DNS que recebe solicitações de clientes , por exemplo, guarda em cache os endereços IP dos sistemas solicitados e os endereços de servidores autoritativos de domínios particulares. Na próxima vez que um cliente solicita uma resolução de um nome previamente resolvido, o servidor pode responder imediatamente com a informação em cache. Além disso, se um cliente solicita um outro nome em um dos mesmo domínios, o servidor pode enviar uma consulta diretamente para o servidor autoritativo do domínio ao invés de para o servidor de nomes raiz. Logo, os nomes em domínios tipicamente acessados geralmente são resolvidos mais rapidamente porque um dos servidores ao longo do caminho tem a informação sobre o domínio em seu cache, onde nomes em domínios obscuros demoram mais, porque o processo inteiro de consultas e referências se torna necessário. O Cache é um elemento vital da arquitetura DNS pois reduz o número de solicitações enviadas ao servidores raiz e de domínio de nível superior, os quais, estando no topo da árvore DNS, são mais prováveis de acabarem virando o gargalo de todo o sistema. Porém, o cache deve ser limpo eventualmente, e exista uma linha tênue entre um cache efetivo e um que não o é. Pelo fato de servidores DNS reterem registros de recursos em seus caches, pode levar horas ou até dias para as mudanças feitas em um servidor autoritativo serem propagadas por toda a Internet. Durante este período, usuários podem receber informações incorretas em resposta a uma consulta. Se uma informação permanece no cache do servidor por muito tempo, então as mudanças feitas por administradores nos dados dos seus servidores DNS levam muito tempo para propagar pelo Internet . Se o cache é limpo muito rapidamente, então o número de solicitações enviadas aos servidores de nomes raiz e servidores de domínios superiores aumenta significativamente. A quantidade de tempo que os dados DNS permanecem em cache em um servidor é chamado de seu tempo de vida (time to live – TTL). Ao contrário de muitos caches de dados, o TTL não é especificado pelo administrador do servidor onde o cache é armazenado. Ao invés, os administradores de cada servidor DNS autoritativo especificam quanto tempo os dados dos registros de recursos em seus domínios ou zonas devem ser retidos nos servidores ondem ficarem em cache. Isto permite que administradores especifiquem um valor de TTL baseado na volatilidade dos dados do seu servidor. Em uma rede onde mudanças em endereços IP ou adição de novos registros de recursos é
226
frequente, um valor mais baixo de TTL aumenta as chances dos clientes receberem dados atuais. Em uma rede que raramente muda, um valor de TTL maior minimiza o número de solicitações enviadas aos servidores-pai do seu domínio ou zona. Para modificar o valor de TTL de uma zona no DNS do Windows Server 2012 R2, clique com o botão direito na zona, abra a janela de propriedades, e clique na aba Início de autoridade (SOA), como visto na figura abaixo. Nesta aba, você pode modificar o valor de TTL do valor padrão de 1 hora.
Cache do Resolvedor do lado Cliente O resolvedor cliente em sistemas Windows também contém um mecanismo de cache, que armazena endereços IP resolvidos e também informação do arquivo HOSTS em um disco local. Quando um cliente encontra um nome que precisa ser resolvido em um endereço IP, ele checa primeiro seu cache local, antes de enviar uma solicitação para seu servidor DNS.
Referências e Consultas DNS O processo pelo qual um servidor DNS envia um pedido de resolução de nome para outro servidor DNS é chamado de referência. As referências são essenciais no processo de resolução de nomes.
227
Como você notou no processo descrito anteriormente, o envolvimento primário do cliente DNS no processo de resolução de nome é enviar uma consulta e receber uma resposta. O servidor DNS do cliente pode ter que enviar referências para vários servidores antes de alcançar o servidor que possui a informação necessária. Servidores DNS reconhecem dois tipos de consultas de resolução de nomes:
Consulta Recursiva. Em uma consulta recursiva, o servidor DNS que recebe a solicitação de resolução de nome assuma responsabilidade total por resolver o nome. Se o servidor possui informação sobre o nome solicitado, ele responde imediatamente para o solicitante. Se o servidor não possuir informação sobre o nome, ele envia referências para outros servidores DNS até obter a informação que precisa. Resolvedores clientes TCP/IP sempre enviam consultas recursivas para seus servidores DNS designados. Consulta Iterativa. Em uma consulta iterativa, o servidor DNS que recebe a solicitação de resolução de nome responde imediatamente com a melhor informação que possuir no momento. Servidores DNS usam consultas iterativas quando se comunicam uns com os outros. Na maioria dos casos, seria impróprio configurar um servidor DNS para enviar uma consulta recursiva para outro servidor DNS. O único momento em que um servidor DNS envia consultas recursivas para outro servidor é no caso de um tipo especial de servidor chamado de encaminhador, que é especialmente configurado para interagir com outros servidores desta maneira.
Encaminhadores DNS Um dos cenários em que servidores DNS enviam consultas recursivas para outros servidores é quando você configura um servidor para funcionar como um encaminhador. Em uma rede rodando vários servidores DNS, você pode não querer que todos os servidores enviem consultas para outros servidores DNS na Internet, por exemplo, vários servidores transmitindo consultas repetidas podem usar muito da largura de banda disponível. Para prevenir isso, o servidor DNS do Windows Server 2012 R2 permite configurar um servidor para funcionar como o encaminhador de todas as consultas da Internet geradas pelos outros servidores na rede. Em qualquer momento que um servidor precisar resolver o nome DNS de um sistema na Internet e falha em encontrar a informação necessária em seu cache, ele transmite uma consulta recursiva para o encaminhador, que fica responsável por mandar suas próprias consultas iterativas através da conexão com a
228
Internet. Assim que o encaminhador resolve o nome, ele envia uma resposta de volta ao servidor DNS original, que a repassa para o cliente. Para configurar encaminhadores em um servidor DNS do Windows Server 2012 R2, clique com o botão direito do mouse no nó do servidor, abra a janela de propriedades, e clique na aba Encaminhadores, como vemos na figura abaixo. Nesta aba, você pode adicionar os nomes e endereços dos servidores que você quer que o seu servidor use como encaminhadores.
O servidor DNS do Windows Server 2012 R2 também suporta encaminhamento condicional, que permite que administradores especifiquem diferentes endereços IP de servidores para nomes de domínios específicos. Quando o servidor recebe uma solicitação de resolução de nome, checa o nome de domínio na solicitação com a sua lista de encaminhadores e passa a solicitação para outro servidor somente se o domínio aparece na lista. Através do uso deste recurso, organizações com múltiplos domínios internos pdoem resolver nomes por toda a organização sem ter de enviar solicitações para servidores na Internet.
229
Resolução de Nomes Reversa O processo de resolução de nomes descrito anteriormente é feito para converter nomes DNS em endereços IP. Porém, existem ocasiões em que é necessário para um computador converter um endereço IP em um nome DNS. Isto é chamado de resolução de nomes reversa. Pelo fato da hierarquia de domínios ser organizada de acordo com nomes de domínio, não existe uma forma aparente de resolver um endereço IP em um nome usando consultas iterativas, exceto por encaminhar a resolução de nome reversa para cada servidor DNS na Internet em busca do endereço requisitado, o que obviamente é impraticável. Para contornar este problema, os criadores do DNS fizeram um domínio especial chamado in-addr.arpa, especificamente criado para resolução reversa de nomes. O domínio de segundo nível in-addr.arpa contém quatro níveis adicionais de subdomínios. Cada um dos quatro níveis consiste de subdomínios nomeados usando os numerais 0 até 255. Por exemplo, abaixo de in-addr.arpa, existem 256 domínios de terceiro nível, que possuem nomes começando em 0.in-addr.arpa até 255.in-addr.arpa. cada um destes 256 domínios de terceiro nível possui 256 domínios de quarto nível abaixo deles, também numerados de 0 a 255, e cada domínio de quarto nível possui 256 domínios de quinto nível, como mostra a figura abaixo. Cada um destes domínios de quinto nível podem ter até 256 hosts cada, também numerados de 0 a 255.
230
Através do uso desta hierarquia de subdomínios, é possível expressar os três primeiros bytes de um endereço IP como um nome DNS e criar um registro de recurso para o quarto byte no domínios de quinto nível apropriado. Por exemplo, para resolver o endereço IP 192.168.89.34 em um nome, um servidor DNS iria localizar um domínio chamado 89.168.192.in.addr.arpa da maneira usual e ler o conteúdo de um registro de recurso chamado 34 naquele domínio. No domínio in.addr.arpa, o endereço IP é revertido no nome de domínio porque endereços IP tem o bit menos significativo (isto é, o identificador de host) na direita, mas os nomes totalmente qualificados do DNS têm o nome de host na esquerda.
Implantando um servidor DNS O processo de implantação de um servidor DNS em um computador com o Windows Server 2012 R2 é apenas uma questão de instalar a função de Servidor DNS através do Assistente de Adição de Função e Recursos no Gerenciador do Servidor. A instalação em si não exige nenhuma informação adicional; não existem páginas adicionais no assistente e nenhum serviço de função para selecionar. Após instalar a função de Servidor DNS, o computador está pronto para realizar serviços de resolução somente-cache para quaisquer clientes que tenham acesso a ele. A função também instala o console de Gerenciamento DNS, que você usa para configurar as outras funções do servidor DNS. Para configurar o servidor para realizar outros serviços, consulte as sessões seguintes.
Criando Zonas Uma zona é uma entidade administrativa que você cria em um servidor DNS para representar uma porção do espaço de nomes do DNS. Administradores tipicamente dividem o espaço de nomes DNS em zonas para armazená-las em servidores diferentes e para delegar sua administração para pessoas diferentes. Zonas sempre consistem de domínios inteiros e/ou subdomínios. Você pode criar uma zona que contenha vários domínios e/ou subdomínios . desde que eles sejam contíguos no espaço de nomes DNS.por exemplo, você pode criar uma zona contendo um domínio pai e seu filho, porque eles estão diretamente conectados, mas você não pode criar uma zona contendo dois domínios filhos sem seu pai em comum porque assim os dois domínios não estão conectados diretamente, como mostra a figura a seguir.
231
Você pode dividir o espaço de nomes DNS em várias zonas e hospedá-las em um único servidor DNS se você quiser, embora normalmente não exista uma razão persuasiva para fazê-lo. O servidor DNS no Windows Server 2012 R2 pode suportar até 200.000 zonas em um único servidor, embora seja difícil imaginar um caso que poderia exigir tantas. Na maioria dos casos, um administrador cria várias zonas em um servidor e então delega a maioria para outros servidores, que então se tornam responsáveis por hospedá-las. Cada zonas consiste de um banco de dados da zona, que contém os registros de recursos para os domínios nesta zona. O servidor DNS no Windows Server 2012 R2 suportam três tipos de zonas, que especificam onde o servidor armazena o banco de dados para a zona e que tipo de informação contém. Esses tipos de zona são:
Zona Primária. Cria uma zona primária que contém a cópia mestra do banco de dados da zona, onde os administradores fazem todas as mudanças nos registros de recursos da zona. Se a zona não está armazenada no Active Directory, o servidor cria um arquivo de banco de dados da zona primária no disco local. É um arquivo de texto simples que é compatível com a maioria das implementações de servidores DNS não-Windows. Zona Secundária. Cria uma cópia da zona primária em outro servidor. A zona secundária contém uma cópia de backup do arquivo de banco de dados da zona mestre primária, armazenado como um arquivo de texto idêntico no disco local do servidor. Você pode somente atualizar os registros de recursos em uma zona secundária através da replicação do arquivo de banco de dados da zona mestre primária, usando um processo chamado transferência de zona. Zona Stub. Cria uma cópia de uma zona primária que contém os registros de recursos chave que identificam os servidores autoritativos
232
para a zona. A zona stub encaminha solicitações ou envia referências. Quando você cria uma zona stub, você a configura com o endereço IP do servidor que hospeda a zona a partir da qual você criou a zona stub. Quando o servidor que hospeda a zona stub recebe uma consulta por um nome nessa zona, ele ou encaminha a solicitação para o host da zona ou responde com uma referência para esse host, dependendo se a consulta for recursiva ou iterativa. O DNS foi criado muito antes do Active Directory, então a maioria da Internet confia em zonas primárias ou secundárias que usam arquivos de banco de dados em texto. A implementação de servidor DNS mais comum na Internet é um programa UNIX chamado BIND que usa estes bancos de dados. Entretanto, para servidores suportando domínios internos, especialmente domínios do AD, usar o servidor DNS Windows para criar uma zona primária e armazená-la no Active Directory é o procedimento recomendado. Quando você armazena a zona no banco de dados do Active Directory, você não precisa criar zonas secundárias ou realizar transferências de zona, pois o AD assume a responsabilidade pela replicação dos dados, e qualquer solução de backup que você use para proteger o Active Directoy também protegerá os dados do DNS. O exame 70-410 cobre apenas o processo de criar uma zona primária armazenada no Active Directory. Os procedimentos para criar zonas primárias e secundárias baseadas em texto e configurar transferências de zona são cobertos no exame 70-411.
Usando Zonas Integradas ao Active Directory Quando você está rodando o serviço de servidor DNS em um computador que é um controlador de domínio do Active Directory e você armazena a zona no Active Directory enquanto cria a zona no Assistente de Nova Zona, o servidor não cria um arquivo de banco de dados da zona. No lugar, o servidor armazena os registros de recursos da zona no banco de dados do AD. Armazenar o banco de dados DNS no Active Directory possibilita um número de vantagens, incluindo facilidade na administração, conservação de largura de banda, e maior segurança. Em zonas integradas ao Active Directoy, os dados da zona são replicados automaticamente para os outros controladores de domínio, junto com todos os outros dados do Active Directory. O Active Directory usa um sistema de replicação de vários mestres em que as cópias do banco de dados são atualizadas em todos os controladores de domínio no domínio. Você pode modificar os registros de recursos DNS em qualquer controlador de domínio primário que hospede uma cópia dos dados da zona, e o Active Directory irá
233
atualizar automaticamente todos os outros controladores de domínio. Você não precisa criar zonas secundárias ou configurar transferências de zonas manualmente, pois o Active Directory realiza todas as atividades de replicação de banco de dados. Por padrão, o Windows Server 2012 R2 replica os dados de uma zona primária armazenada no Active Directory para todos os outros controladores de domínio rodando o servidor DNS no mesmo domínio do AD onde a zona é armazenada. Você também pode modificar o escopo de replicação de banco de dados de zonas para manter cópias em todos os controladores de domínio por toda a empresa ou em todos os controladores de domínio no domínio do AD, independente de estarem rodando o servidor DNS ou não. Você também pode criar um escopo de replicação personalizado que copia o banco de dados da zona para os controladores de domínio que você especificar. O Active Directory conserva largura de banda de rede replicando apenas os dados do DNS que foram modificados desde a última replicação e comprimindo os dados antes da transmissão pela rede. A replicação da zona também usa todas as funcionalidades de segurança do Active Directory, incluindo criptografia e autenticação baseada no Kerberos, que são consideravelmente mais robustas do que a de transferência de zona baseada em arquivo. A proteção fornecida pelo Active Directory é também automática e invisível ao administrador, ao contrário do processo de criptografar transferência de zona baseada em arquivo usando o IPsec.
Criar uma Zona do Active Directory Para criar uma nova zona primária e armazená-la no Active Directory, use o seguinte procedimento: 1. No Gerenciador do Servidor em um controlador de domínio , clique em Ferramentas e em DNS para abrir o console do Gerenciador DNS. 2. Expanda o nó do servidor e selecione a pasta Zonas de Pesquisa Direta. 3. Clique com o botão direito do mouse na pasta Zonas de Pesquisa Direta e selecione a opção Nova Zona. O Assistente de Nova Zona será iniciado. 4. Clique em Próximo para sair da página de Bem Vindo e entrar na página de tipo de zona. 5. Deixe a opção Zona Primária marcada assim como a caixa de seleção Armazenar a Zona no Active Directory (disponível apenas se o servidor DNS é um controlador de domínio) e clique em Próximo. A página Escopo de Replicação de Zona do Active Directory será exibida. 6. Clique em Próximo. A página Nome de Zona aparecerá.
234
7. Especifique o nome que quiser para a zona na caixa de texto Nome da Zona e clique em Próximo. A página Atualizações Automáticas será exibida. 8. Selecione uma das opções: Permitir apenas Atualizações Automáticas Seguras. Permitir Atualizações Automáticas Seguras e não-seguras. Não permitir Atualizações Automáticas. 9. Clique em Próximo. A página Completando o Assistente de Nova Zona aparecerá. 10. Clique em Finalizar. O assistente criará a zona. 11. Feche o console do Gerenciador DNS. Para criar uma zona primária no Active Directory com o Windows PowerShell, você usa o cmdlet Add-DnsServerPrimaryZone, como vemos no exemplo a seguir. Add-DnsServerPrimaryZone –Name "nomedazona.w1.com" –ReplicationScope "Domain" –PassThru Após criar a zona primária, você pode prosseguir para criar registros de recursos que especificam os nomes dos hosts na rede e seus respectivos endereços IP.
Criar Registros de Recursos Quando você roda o seu próprio servidor DNS, você cria um registro de recurso para cada nome de host que você quer que esteja acessível ao resto da rede. Existem muitos tipos diferentes de registros de recursos usados pelos servidores DNS, os mais importantes são os seguintes (as siglas estão em inglês e o nome traduzido entre parênteses):
SOA (início de autoridade). Indica que aquele servidor é a melhor fonte autoritativa para dados sobre a zona. Cada zona deve ter um registro SOA e apenas um registro SOA pode estar em uma zona. NS (servidor de nomes). Identifica um servidor DNS funcionando como autoridade para a zona. Cada servidor DNS na zona (seja o mestre primário ou secundário) deve ser representado por um registro NS. A (endereço). Provê um mapeamento nome-para-endereço que fornece um endereço IPv4 para um nome DNS específico. Este tipo de registro realiza a função primária do DNS: converter nomes em endereços. AAAA (endereço). Provê um mapeamento nome-para-endereço que fornece um endereço IPv6 para um nome DNS específico. Este tipo de
235
registro realiza a função primária do DNS: converter nomes em endereços. PTR (ponteiro). Provê um mapeamento endereço-para-nome que fornece um nome DNS para um endereço específico no domínio inaddr.arpa. Este é o oposto funcional de um registro A, usado apenas para buscas reversas. CNAME (nome canônico). Cria uma alias (apelido) que aponta para o nome real de um host identificado por um registro A. administradores usam registros CNAME para criar nomes alternativos pelos quais sistemas podem ser identificados. MX (email). Identifica um sistema que irá dirigir tráfego de email enviado para um endereço no domínio ao recipiente individual, um gateway de email, ou outro servidor de email. O exame 70-410 cobre apenas o processo de criação de registros de recursos A e PTR. Os procedimentos de criação dos outros tipos de registros de recursos são cobertos no exame 70-411.
Para criar um novo registro de recurso de Endereço, use o seguinte procedimento. 1. Faça login no Windows Server 2012 R2 usando uma conta com privilégios administrativos. Espere o Gerenciador do Servidor abrir. 2. Clique em Ferramentas e em DNS para abrir o console Gerenciador DNS. 3. Expanda o nó do servidor e selecione a pasta Zonas de pesquisa direta. 4. Clique com o botão direito na zona em que você quer criar o registro e selecione a opção Novo Host (A ou AAAA). A caixa de diálogo Novo Host será exibida, como vemos na figura abaixo.
236
5. Na caixa de texto Nome, digite o nome de host para o novo registro. Abaixo o FQDN para o registro será exibido. 6. Na caixa de texto Endereço IP, digite o endereço IPv4 ou IPv6 associado com o nome de host. 7. Selecione as seguintes caixas de seleção se necessário; Criar registro de ponteiro associado (PTR). Cria um registro de pesquisa inversa para o host no domínio in-addr.arpa. Permitir que qualquer usuário autenticado atualize registros DNS com o mesmo nome de proprietário. Permite que usuários modifiquem seus próprios registros de recursos. 8. Clique em adicionar host. O novo registro de recurso será criado na zona selecionada. 9. Feche o console do Gerenciador DNS. Para criar um registro PTR para o novo host, você pode selecionar a caixa de seleção criar registro de ponteiro associado (PTR) na caixa de diálogo Novo Host, mas isso só será efetivo se uma zona de pesquisa inversa já existir no servidor. Para criar a zona, siga o mesmo procedimento descrito anteriormente, desta vez selecionando a pasta Zona de pesquisa inversa. Quando você decide criar uma zona de pesquisa inversa IPv4, uma página de Nome de zona de pesquisa inversa será exibida, como mostra a figura abaixo, na qual você fornece o ID de rede que o assistente usará para criar a zona.
Após a zona ser criada, você pode criar registros PTR junto com registros A ou AAAA ou criar um novo registro PTR usando a caixa de diálogo Novo Registro de Recursos.
237
Definir configurações de servidor DNS Após instalar um servidor DNS e criar zonas e registros de recursos, existem muitas configurações que você pode alterar para modificar o comportamento do servidor. As sessões a seguir descrevem algumas dessas configurações.
Configurar Replicação DNS do Active Directory Para modificar o escopo de replicação para uma zona integrada ao Acitve Directory, abra a janela de propriedades no console do Gerenciador DNS, e na aba Geral clique no botão Alterar do item Replicação. A caixa de diálogo Alterar Escopo de Replicação de Zona será exibida, como vemos na figura a seguir. As opções são as mesmas que aparecem no Assistente de Nova Zona.
Configurar Dicas de Raiz A maioria dos servidores DNS devem conseguir os servidores de nomes raiz para iniciar os processos de resolução de nomes. A maioria das implementações de servidores, incluindo o servidor DNS Microsoft, já são configuradas com os nomes e endereços de vários servidores de nomes raiz. Estes são chamados Dicas de Raiz. Os 13 nomes de servidores raiz estão localizados em um domínio chamado root-servers.net e são nomeados usando letras do alfabeto. Os servidores estão espalhados pelo mundo em diferentes subredes para prover tolerância à falhas. Para modificar as Dicas de Raiz em um servidor DNS Windows Server 2012 R2, clique com o botão direito do mouse no nó do servidor, selecione
238
propriedades e clique na aba Dicas de Raiz, como pode ver na figura abaixo. Nesta aba você pode adicionar, editar ou remover dicas de raiz da lista.
239
5 – Instalar e Administrar o Active Directory. Um serviço de diretório é um repositório de informações sobre recursos – hardware, software, e humano – que estão conectados em uma rede. Usuários, computadores e aplicações por toda a rede podem acessar o repositório para uma variedade de propósitos, incluindo autenticação de usuário, armazenamento de dados de configurações, e mesmo simples procuras por informações ao estilo das páginas brancas. Os Serviços de Domínio do Active Directory (AD DS) é o serviço de diretório que a Microsoft introduziu inicialmente no Windows Server 2000, e a Microsoft o atualizou em cada lançamento sucessivo do sistema operacional, incluindo o Windows Server 2012 R2. Este capítulo cobre algumas das tarefas fundamentais que os administradores realizam para instalar e gerenciar o AD DS.
5.1 – Instalar Controladores de Domínio O AD DS é um serviço de diretório que permite que administradores criem divisões organizacionais chamados domínios. Um domínio é um contêiner lógico de componentes de rede, hospedados em pelo menos um servidor designado como controlador de domínio. Os controladores de domínio para cada domínio replicam seus dados entre eles para tolerância à falhas e fins de balanceamento.
Implantando os Serviços de Domínio do Active Directory Para criar um novo domínio ou para adicionar um controlador de domínio a um domínio existente, você deve instalar a função de Serviços de Domínio do Active Directory em um computador com o Windows Server 2012 R2 e então rodar o Assistente de Configuração dos Serviços de Domínio do Active Directory. Para usar um computador com o Windows Server 2012 R2 como um controlador de domínio, você deve configurá-lo para usar um endereço IP estático, não endereços fornecidos por um servidor DHCP. Além disso, se você está criando um domínio em uma floresta existente ou adicionando um controlador de domínio à um domínio existente, você deve configurar o computador para usar o servidor DNS que hospeda a floresta ou domínio existente, pelo menos durante a promoção do Active Directory.
240
Instalar a função de Serviços de Domínio do Active Directory Embora , na verdade, não converta o computador em um controlador de domínio, instalar os Serviços de Domínio do Active Directory prepara o computador para o processo de conversão. Para instalar a função, use o seguinte procedimento. 1. No Gerenciador do Servidor, no menu Gerenciar, selecione Adicionar Funções e Recursos. O Assistente Adicionar Funções e Recursos é iniciado, exibindo a página Antes de Começar. 2. Clique em Próximo. A página Selecione o tipo de Instalação aparece. 3. Deixe a opção de instalação baseada em função ou baseada em recurso selecionada e clique em próximo para ir para a página de Servidor de Destino. 4. Selecione o servidor que você quer promover a controlador de domínio e clique em Próximo. A página Selecione funções de servidor é exibida. 5. Selecione a função Serviços de Domínio do Active Directory. A caixa de diálogo Adicionar Recursos necessários para os Serviços de Domínio do Active Directory será exibida. 6. Clique em Adicionar Recursos para aceitar as dependências e então clique em Próximo para ir para a página Selecione Recursos. 7. Clique em Próximo. A página Serviços de Domínio do Active Directory é aberta, mostrando informações sobre a função. 8. Clique em Próximo. A página de confirmação de seleções de instalação é exibida. 9. Escolha as opções de funções opcionais se desejar: Reiniciar o servidor de destino automaticamente se necessário. Faz com que o servidor seja reiniciado automaticamente quando a instalação é completada, se for exigido pelas funções e recursos selecionados. Exportar configurações. Cria um script XML documentando os procedimentos realizados pelo assistente, que você pode usar para instalar as mesmas configurações em outro servidor usando o Windows PowerShell. Especificar um caminho de origem alternativo. Especifica o local de um arquivo de imagem contendo o software necessário para instalar as funções e recursos selecionados. 10. Clique em Instalar, a página de progresso de instalação será exibida. Após a função ser instalada, o link Promover este Servidor para um Controlador de Domínio aparecerá. 11. Deixe o Assistente aberto.
241
O programa Dcpromo.exe nas versões anteriores do Windows Server foi depreciada em favor do processo de instalação de controlador de domínio através do Gerenciador do Servidor documentado nas sessões seguintes. Entretanto, ainda é possível automatizar instalações do AD DS através do Dcpromo.exe com um arquivo de respostas. Você pode também usar o Windows PowerShell para instalar um controlador de domínio.
Após ter instalado a função, você pode rodar o Assistente de instalação dos Serviços de Domínio do Active Directory. O procedimento no assistente varia, dependendo de quais serão as funções do novo controlador de domínio. As sessões a seguir descrevem os procedimentos para os tipos mais comuns de instalação de controlador de domínio.
Criar uma nova Floresta Quando iniciar uma nova instalação do AD DS, o primeiro passo é criar uma nova floresta, que você faz criando o primeiro domínio na floresta, o domínio raiz da floresta. Para criar uma nova floresta, use o procedimento a seguir: 1. Na página de progresso de instalação que aparece no fim do processo de instalação da função Serviços de Domínio do Active Directory, clique no link Promover este servidor em um controlador de domínio. A Assistente de Configuração dos Serviços de Domínio do Active Directory é iniciado, exibindo a página de Configuração de Implantação. 2. Selecione a opção adicionar uma nova floresta, como mostra a figura abaixo, e na caixa de texto Nome de domínio raiz digite o nome do domínio que quer criar.
242
3. Clique em Próximo. A página opções de controlador de domínio abrirá, como vemos na figura a seguir.
4. Se você planeja adicionar controladores de domínio rodando versões mais antigas do Windows Server nesta floresta, selecione a versão mais
243
antiga que você pretende instalar na lista de opções Nível Funcional da Floresta. 5. Se você planeja adicionar controladores de domínio rodando versões mais antigas do Windows Server neste domínio, selecione a versão mais antiga que você pretende instalar na lista de opções Nível Funcional do Domínio. 6. Se você já não tiver um servidor DNS na sua rede, deixe a caixa de seleção Servidor DNS marcada. Se você tem um Servidor DNS na rede, e o controlador de domínio está configurado para usar este servidor para serviços DNS, então desmarque a caixa de seleção. As opções Catálogo Global (GC) e Controlador de Domínio Somente Leitura (RODC) estão indisponíveis porque o primeiro controlador de domínio em uma floresta deve ser um servidor de Catálogo Global e não pode ser um Controlador de Domínio Somente Leitura.
7. Nas caixas de seleção Senha e Confirme Senha, digite a senha que deseja usar para o Modo de Restauração dos Serviços de Diretório (DSRM) e clique em Próximo. A página de opções DNS aparecerá, mostrando um aviso que uma delegação para o servidor DNS não pode ser criada, porque o serviço de Servidor DNS ainda não foi instalado. 8. Clique em Próximo para abrir a página de opções adicionais, que mostra o equivalente NetBIOS para o nome de domínio que você especificou. 9. Modifique o nome, se desejado, e clique em Próximo para abrir a página de Caminho. 10. Modifique os locais padrão para os arquivos do AD DS, se desejar, e clique em Próximo. A página Rever opções é aberta. 11. Clique em Próximo para abrir a página Checar pré-requisitos , como vemos na figura abaixo.
244
12. O Assistente realiza um número de testes de ambiente para determinar se o sistema pode funcionar como um controlador de domínio. Os resultados podem aparecer como avisos, que permitem que o procedimento continue, ou como alertas, que requerem que você realize certas ações antes do servidor poder ser promovido. Após o sistema passar em todas as checagens de pré-requisitos, clique em Instalar. O Assistente cria uma nova floresta e configura o servidor para funcionar como um controlador de domínio. 13. Reinicie o computador. Com o domínio raiz da floresta em seu lugar, você pode criar controladores de domínios adicionais neste domínio ou adicionar novos domínios na floresta.
Adicionar um controlador de domínio em um domínio existente. Todo domínio do Active Directory deve ter no mínimo 2 controladores de domínio. Para adicionar um controlador de domínio em um domínio existente do Windows Server 2012 R2, use o seguinte procedimento. 1. Na página de progresso de instalação que aparece no fim do procedimento de instalação dos Serviços de Domínio do Active Directory, clique no link Promover este servidor em um controlador de
245
2. 3.
4.
5.
domínio. O Assistente de Configuração dos Serviços de Domínio do Active Directory é iniciado, mostrando a página de Configuração de Implantação. Selecione a opção Adicionar um controlador de domínio em um domínio existente e clique em Selecionar. Se você não está logado em um domínio existente na floresta, uma caixa de diálogo de Credenciais para Operação de Implantação, na qual você deve informar credenciais administrativas para o domínio para proceder. Após ser autenticado, a caixa de diálogo Selecione um domínio da floresta será exibida. Selecione o domínio em que você deseja adicionar um controlador de domínio e clique em OK. O nome de domínio selecionado aparece no campo Domínio. Clique em Próximo. A página de opções de Controlador de Domínio mostrada na figura abaixo será exibida.
6. Se você quiser instalar o serviço de Servidor DNS no computador, deixe a caixa de seleção Servidor de Nomes de Domínio (DNS) marcada. Caso contrário, o domínio será hospedado no servidor DNS em que o computador está configurado para usar. 7. Deixe a caixa de seleção Catálogo Global(GC) se você quiser que o computador funcione como um servidor de catálogo global. Isso é essencial se você estiver implantando um novo controlador de domínio em um site que ainda não possua um servidor GC.
246
8. Selecione a caixa de seleção Controlador de Domínio Somente Leitura (RODC), se desejar, para criar um controlador de domínio que administradores não possam usar para modificar objetos do AD DS. 9. Na lista de opções Nome do Site, selecione o site onde o controlador de domínio estará localizado. 10. Nas caixas de texto Senha e Confirme Senha, digite a senha que quer usar para o Modo de Restauração dos Serviços de Diretório (DSRM) e clique em Próximo para ir para a página de Opções Adicionais, mostrada abaixo.
11. Para usar a opção Instalar de mídia, selecione a caixa de seleção correspondente. 12. Na lista de opções Replicar de, selecione um controlador de domínio existente que o servidor deva usar como fonte de dados. Então clique em Próximo para abrir a página de Caminhos/Locais. 13. Modificar os locais padrão para os arquivos do AD, se desejar, e clique em Próximo. A página Revisar Opções será exibida. 14. Clique em Próximo para ir para a página de Checagem de Requisitos. 15. Após o sistema ter passado em todas as checagens de pré-requisitos, clique em Instalar. O assistente configura o servidor para funcionar como um controlador de domínio. 16. Reinicie o computador.
247
O controlador de domínio agora está configurado par servir o domínio existente. A replicação do Active Directory entre os dois irá iniciar automaticamente.
Criar um novo domínio filho em uma floresta. Uma vez que você tenha uma floresta com pelo menos um domínio, você pode adicionar um domínio filho abaixo de qualquer domínio existente. O processo de criação de um novo domínio filho é similar ao de criar uma nova floresta, exceto que a página de Configuração de Implantação do Assistente de Configuração dos Serviços de Domínio do Active Directory requer que você especifique o domínio pai em que você quer criar um domínio filho, como mostra a figura abaixo.
O Assistente também inclui a opção de criar um domínio árvore, que é um novo domínio que não é subordinado a nenhum domínio existente na floresta.
248
Instalando o AD DS em um Server Core No Windows Server 2012 R2, é possível instalar o AD DS em um computador rodando a opção de instalação Server Core e promover o sistema para um controlador de domínio através do WindowsPowerShell. No Windows Server 2008 e no Windows Server 2008 R2, o método aceito para instalar o AD DS em um computador com o Server Core é criar um arquivo de respostas e carregá-lo no prompt de comando através do comando Dcpromo.exe com a opção /unattend. No Windows Server 2012 R2, rodar o Dcpromo.exe sem parâmetros não executa mais o Assistente de Configuração dos Serviços de Domínio do Active Directory, mas administradores que já investiram um tempo considerável desenvolvendo arquivos de resposta para instalações de controladores de domínio automáticas pode continuar a executá-los a partir do prompt de comando, embora fazê-lo mostra este aviso: “A operação sem supervisão do Dcpromo foi substituída pelo módulo ADDSDeployment do Windows PowerShell.” Para instalações do AD DS no Server Core, o Windows PowerShell é agora o método preferido. Assim como na instalação via Assistente, o procedimento do Windows PowerShell ocorre em duas fases: primeiro, você deve instalar a função Serviços de Domínio do Active Directory; então, você deve promover o servidor em um controlador de domínio. Instalar a função Serviços de Domínio do Active Directory através do Windows PowerShell não é diferente de instalar qualquer outra função. Em uma sessão elevada (direitos de administrador) do Windows PowerShell, use o seguinte comando: InstallWindowsFeature –name AD-Domain-Services –IncludeManagementTools Como outras instalações de funções do Windows PowerShell, o cmdlet InstallWindowsFeature não instala as ferramentas de gerenciamento para a função, ao menos que você inclua o parâmetro –IncludeManagementTools no comando. Após ter instalado a função, promover o servidor em um controlador de domínio é mais complicado. O módulo do Windows PowerShell ADDSDeployment inclui cmdlets separados para as três configurações de implantação cobertas nas sessões anteriores:
Install-ADDSForest Install-ADDSDomainController Install-ADDSDomain
249
Cada um desses cmdlets possui muitos parâmetros para suportar várias opções de configuração encontradas no Assistente de Configuração dos Serviços de Diretório do Active Directory. Na sua forma mais simples, o seguinte comando instalaria um controlador de domínio para uma nova floresta chamada wiseone.com: Install-ADDSForest –DomainName “wiseone.com” Os padrões para todos os outros parâmetros são os mesmos que aqueles no Assistente de Configuração dos Serviços de Diretório do Active Directory. Rodar o cmdlet sem parâmetros passa pelas opções te pedindo pelos valores. Você também pode exibir informações básicas de sintaxe através do comando Get-Help, como mostra a figura abaixo.
Outra maneira de realizar uma instalação complexa através do Windows PowerShell é usar um computador rodando o Windows Server 2012 R2 com interface completa para gerar um script. Comece executando o Assistente de Configuração dos Serviços de Diretório do Active Directory e configurando todas as opções conforme desejado. Quando você chegar na página Rever Opções, clique em Ver Script para mostra o código do Windows PowerShell para o cmdlet apropriado, como vemos na figura abaixo.
250
Este recurso funciona dessa forma porque na verdade o Gerenciador do Servidor é baseado no Windows PowerShell , então o script contém os cmdlets e parâmetros que estão rodando quando o assistente realiza uma instalação. Você também pode usar essa capacidade de scripts com o cmdlet InstallADDSDomainController para implantar vários controladores de domínio para o mesmo domínio.
Usando a Instalação a partir de Mídia (IFM) Anteriormente neste tópico, no procedimento de instalação de um controlador de domínio réplica, a página de Opções Adicionais do Assistente de Configuração dos Serviços de Diretório do Active Directory incluía uma caixa de seleção Instalar a partir de uma Mídia. Esta é uma opção que habilita administradores a agilizar o processo de implementar controladores de domínio réplica em sites remotos. Normalmente, instalar um controlador de domínio em um domínio existente cria a estrutura de banco de dados do AD, mas não existem dados nele até que o servidor seja capaz de receber tráfego de replicação vindo dos outros controladores de domínio. Quando os controladores de domínio de um domínio particular são bem conectados, como por LAN, a replicação ocorre quase imediatamente após o novo controlador de domínio ser instalado, e é completamente automático. Quando instalar um controlador de domínio em um local remoto, entretanto, a conexão com os outros controladores de domínio provavelmente será via WAN, que é tipicamente mais lenta e cara do que uma conexão LAN. Neste caso, a replicação inicial com os outros controladores de domínio pode ser um problema maior. A velocidade lenta do link WAN pode fazer com que a replicação demore um bom tempo, e também pode inundar a conexão, atrasando o tráfego comum. Se os controladores de domínio estão localizados em diferentes sites do AD sem um link de site apropriado, nenhuma replicação irá ocorrer até que um administrador crie e configure os links necessários. A primeira replicação que ocorre após a instalação de um novo controlador de domínio é a única que requer que os servidores troquem uma cópia completa do banco de dados DNS. Em replicações subsequentes, os controladores de domínio apenas trocam informações sobre os objetos e atributos que foram modificados desde a última replicação.
Usando um utilitário de linha de comando chamado Ntdsutil.exe, administradores podem evitar esses problemas criando uma mídia de
251
instalação de controlador de domínio que inclui uma cópia do banco de dados do DNS. Usando essa mídia quando for instalar um novo controlador de domínio remoto, os dados são instalados junto com a estrutura do banco de dados e uma replicação completa não é necessária. Para criar uma mídia IFM, você deve rodar o programa Ntdsutil.exe em um controlador de domínio rodando a mesma versão do Windows que você pretende implantar. O programa é interativo, necessitando que você entre com uma sequência de comandos como o seguinte:
Ntdsutil. Inicia o programa. Activate instance ntds. Muda o foco do programa para a instância instalada do AD DS. Ifm. Muda o programa para o modo IFM. Create Full | RODC . Cria a mídia para um controlador de domínio padrão (escrita/leitura) ou um controlador de domínio somente leitura a salva na pasta especificada. O comando create do Ntdsutil.exe também suporta parâmetros que incluem os conteúdos do volume SYSVOL com os dados do AD DS. A versão Windows Server 2012 R2 do programa adiciona um parâmetro nodefrag que acelera o processo de criação da mídia ignorando a etapa de desfragmentação.
Quando você executa esse comandos, o programa Ntdsutil.exe cria um instantâneo do banco de dados DNS, monta-o como um volume para desfragmentá-lo, e então salva-o na pasta especificada junto com uma cópia do registro do Windows, como vemos na figura abaixo.
252
Após ter criado a mídia IFM, você pode transportá-la aos servidores que você pretende implantar como controladores de domínio usando quaisquer meios convenientes. Para usar a mídia, você executa o Assistente de Configuração dos Serviços de Diretório do Active Directory da maneira usual, seleciona a caixa de seleção Instalar a partir de mídia e especifica o local da pasta.
Atualizar os Serviços de Diretório do Active Directory Introduzir o Windows Server 2012 R2 em uma instalação existente do AD DS está mais fácil do que jamais esteve em versões anteriores do sistema operacional. Existem duas maneiras da atualizar uma infraestrutura do AD DS. Você pode atualizar os controladores de domínio antigos existentes para o Windows Server 2012 R2 ou você pode adicionar um novo controlador de domínio Windows Server 2012 R2 ai seu ambiente existente. Existem alguns caminhos de atualização para o Windows Server 2012 R2. Você pode atualizar um controlador de domínio Windows Server 2008 ou Windows Server 2008 R2 para o Windows Server 2012 R2, mas versões anteriores não podem ser atualizadas. No passado, se você quisesse adicionar um novo controlador de domínio a uma instalação existente do AD DS baseada em versões anteriores do Windows , você tinha que rodar um programa chamado Adprep.exe para atualizar os domínios e a floresta. Dependendo da complexidade da instalação, isso pode envolver logar em diferentes controladores de domínio usando diferentes credenciais, localizar diferentes versões do Adprep.exe, e rodar o programa várias vezes usando o parâmetro /domainprep para cada domínio e o parâmetro /forestprep para a floresta. No Windows Server 2012 R2, a funcionalidade do Adprep.exe foi totalmente incorporada no Gerenciador do Servidor dentro do Assistente de Configuração dos Serviços de Diretório do Active Directory. Quando você instala um novo controlador de domínio Windows Server 2012 R2, você só tem que informar credenciais apropriadas; o assistente cuida do resto. Para instalar o primeiro controlador de domínio Windows Server 2012 R2 em uma instalação anterior do AD DS, você deve informar credenciais de um usuário que seja membro dos grupos Administradores de Empresa e Administradores do Esquema além de membro do grupo Administradores do Domínio dentro do domínio que hospeda o mestre de esquema.
253
Implantando o Active Directory IaaS no Windows Azure Além de rodar o Windows Server 2012 R2 em computadores físicos e em máquinas virtuais hospedadas localmente. O serviço Azure da Microsoft permite que administradores criem máquinas virtuais usando recursos em nuvem alugados fornecidos pela Microsoft. Esta capacidade, chamada de Infraestrutura como Serviço (Infrastructure as a Service - IaaS), permite que administradores rodem aplicações na nuvem enquanto mantêm controle total sobre as máquinas virtuais. O recursos do Windows Azure podem ser autocontidos na nuvem e administradores podem criar uma floresta do AD DS virtualizada para organizálos e gerenciá-los. Também é possível configurar os recursos do Windows Azure como uma extensão dos recursos físicos e virtuais existentes hospedados em uma rede privada. Por exemplo, após criar uma rede virtual na nuvem do Windows Azure e de conectá-la à sua rede privada com um link sitepara-site usando um dispositivo VPN, você pode criar uma máquina virtual com o Windows Server 2012 R2 na nuvem e configurá-la como um controlador de domínio para o seu domínio existente. O processo de instalar o AD DS em uma máquina virtual no Windows Azure e promovê-la a um controlador de domínio não é diferente do processo em um servidor numa rede privada. Você usa o Assistente Adicionar Funções e Recursos para instalar a função AD DS e então usa o Assistente de Configuração dos Serviços de Diretório do Active Directory para configurar o controlador de domínio. A parte complicada do processo é a configuração da infraestrutura de rede virtual para permitir comunicações entre a rede na nuvem e sua rede física. O Windows Azure é a plataforma ideal para réplicas de controladores de domínio do AD pois prove consistência de endereçamento IP de uma nova forma. As máquinas virtuais do Windows Azure devem obter endereços IP de servidores DHCP, você não pode atribui endereços estáticos, mas ao contrário da concessão de endereço IP padrão do DHCP que podem expirar, fazendo com que o endereço mude, uma VM na nuvem retém sua concessão de endereço IP por todo seu tempo de vida.
254
Você pode instalar os Serviços de Domínio do Active Directory em qualquer VM no Windows Azure que esteja rodando o Windows Server. O AD DS é parte do sistema operacional e não requer recursos especiais além dos necessários para provisionar a máquina virtual, como espaço em disco suficiente para o banco de dados do AD. Entretanto, também existe um serviço na nuvem chamado Windows Azure Active Directory que pode fornecer gerenciamento de identidade e acesso dentro da nuvem. Embora os dois possam interagir, o Windows Azure AD não é o mesmo que o serviço do Active Directory fornecido com o Windows Server 2012 R2.
Remover um Controlador de Domínio Com a depreciação do Dcpromo.exe, o processo de rebaixar um controlador de domínio mudou e não é imediatamente intuitivo. Para remover um controlador de domínio de uma instalação do AD DS, você deve iniciar executando o Assistente Remover Funções e Recursos, como mostra o procedimento a seguir. 1. No Gerenciador do Servidor, execute o Assistente Remover Funções e Recursos e remova a função Serviços de Domínio do Active Directory e os recursos que o acompanham. Uma caixa de diálogo Validar Resultados é exibida, como mostra a figura abaixo.
2. Clique no link Rebaixar este Controlador de Domínio. O Assistente de Configuração dos Serviços de Domínio do Active Directory inicia, exibindo a página de credenciais.
255
3. Selecione a caixa de seleção Forçar a Remoção deste Controlador de Domínio e clique em Próximo para abrir a página Nova senha de Administrador. 4. Nas caixas de texto Senha e Confirmar Senha, digite a senha que desejar que o servidor use para a conta de Administrador local após o rebaixamento. Então clique em Próximo. A página de Revisão de Opções é exibida. 5. Clique em Rebaixar. O assistente rebaixa o controlador de domínio e reinicia o sistema. 6. Faça logon com a senha de administrador local que você criou antes. 7. Execute o assistente Remover Funções e Recursos mais uma vez e repita o processo de remover a função Serviços de Domínio do Active Directory junto com os recursos que acompanham. 8. Feche o assistente e reinicie o servidor. Para rebaixar um controlador de domínio através do Windows PowerShell, use o seguinte comando: Uninstall-ADDSDomainController –ForceRemoval –LocalAdministratorPassword –Force
Configurar o Catálogo Global O catálogo global é um índice de todos os objetos do AD DS em uma floresta que previne os sistemas de ter que realizar buscas para realizar buscas entre vários controladores de domínio. A importância do catálogo global varia dependendo do tamanho da sua rede e sua configuração de site. Por exemplo, se sua rede consiste de um único domínio, com controladores de domínio que estão todos localizados em um único site e são bem conectados, o catalogo global tem pouca utilidade além de buscas em grupos universais. Você pode tornar todos os seus controladores de domínio catálogos globais se quiser. As buscas estarão dentro de um balanceamento de carga e o trafego de replicação dificilmente irá sobrecarregar a rede. Entretanto, se sua rede consiste de múltiplos domínios, com controladores de domínio localizados em múltiplos sites conectados por links WAN, então a configuração de catálogo global se torna crítica. Se possível, você não vai querer usuário realizando buscas no AD que precisem atravessar links WAN lentos e caros para contatar controladores de domínio em outros sites. Colocar um servidor de catálogo global em cada site é recomendado neste caso. A replicação inicial pode gerar muito tráfego , mas a economia no longo prazo deve se mostrar significativa.
256
Quando você promove um servidor em um controlador de domínio, você tem a opção de tornar o controlador de domínio um catálogo global. Se você não aceitar naquele momento, você pode tornar qualquer controlador de domínio em um catálogo global usando o seguinte procedimento. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Sites e Serviços do Active Directory. O console será aberto. 2. Expanda o site onde está o servidor que você quer tornar um catálogo global. Então expanda a pasta Servidores e selecione o servidor que você quer configurar. 3. Clique com o botão direito do mouse no nó Configurações NTDS para o servidor e selecione propriedades. 4. Marque a caixa de seleção Catálogo Global e clique em OK. 5. Feche o console Sites e Serviços do Active Directory.
Resolvendo Problemas em falhas de registro DNS SRV O DNS é essencial para a operação dos Serviços de Domínio do Active Directory. Para acomodar serviços de diretório como o AD DS, um registro de recurso DNS especial foi criado para permitir aos clientes localizarem controladores de domínio e outros serviços vitais do AD DS. Quando você cria um novo controlador de domínio, uma das partes mais importantes do processo é o registro do servidor no DNS. Esse registro automático é a razão pela qual uma floresta do AD DS deve ter acesso a um servidor DNS que suporte o padrão de Atualizações Automáticas definido na RFC 2136. Se o processo de registro DNS falha, então os computadores na rede não poderão localizar aquele controlador de domínio , cujas consequências podem ser sérias. Os computadores não poderão usar esse controlador de domínio para participarem do domínio, membros existentes do domínio pode não conseguir fazer login, e outros controladores de domínio não poderão replicar com ele. Problemas com o DNS são, na maioria dos casos, devido à falhas gerais na rede ou erros de configuração de DNS cliente. Os primeiros passos q você deve tomar são tentar pingar o servidor DNS e ter certeza que a configuração do cliente TCP/IP possui os endereços corretos dos servidores DNS que deveria estar usando. Para confirmar que um controlador de domínio foi registrado no DNS, abra uma janela de prompt de comando com privilégios administrativos e executar o seguinte comando:
257
dcdiag /test:registerindns /dnsdomain: /v
5.2 – Criar e Gerenciar Usuários e Computadores do Active Directory
Usuários e computadores são os objetos-folha básicos que populam os galhos de uma árvore do AD DS. Criar e gerenciar esses objetos são tarefas diárias para muitos administradores do AD DS.
Criar objetos usuários A conta de usuário é o meio principal pelo qual pessoas usando uma floresta do AD DS acessam recursos. Acesso a recursos por indivíduos acontece por meio de suas contas de usuário individuais. Para ter acesso à rede, usuários da rede devem se autenticar com uma conta de usuário específica. Autenticação é o processo de confirmação da identidade de um usuário usando um valor conhecido como uma senha, um cartão inteligente ou uma digital. Quando um usuário fornece um nome e senha, o processo de autenticação valida as credenciais informadas no logon com a informação armazenada no banco de dados do AD DS. Não confunda autenticação com autorização, que é o processo de confirmação de que um usuário tem as permissões corretas para acessar um ou mais recursos da rede. Existem dois tipos de contas de usuários em sistemas rodando o Windows Server 212 R2:
Usuários Locais. Essas contas podem acessar recursos apenas no próprio computador e são armazenadas no banco de dados SAM (Security Account Manager) local no computador onde eles residem. Contas locais nunca são replicadas para outros computadores e não dão acesso ao domínio. Isso significa que uma conta local configurada em um servidor não pode ser usada para acessar recursos em um segundo servidor; você precisaria configurar uma segunda conta local neste caso. Usuários de Domínio. Essas contas podem acessar recursos do AD DS ou baseados na rede, como pastas compartilhadas ou impressoras. A informação de conta para estes usuários é armazenada no banco de dados do AD DS e é replicada para todos os controladores de domínio dentro do mesmo domínio. Um subgrupo das informações de contas de usuários do domínio é replicada para o catálogo global, que então é replicada para outros catálogos globais por toda a floresta.
258
Ferramentas de criação de usuário Uma das tarefas mais comuns para administradores é a criação de objetos usuários do Active Directory. O Windows Server 2012 R2 inclui várias ferramentas que você pode usar para criar objetos. A ferramenta específica q você usa depende de quantos objetos você precisa criar, o intervalo de tempo disponível para a criação desses grupos, e quaisquer circunstâncias especiais, como importar usuários de um banco de dados existente. Quando criar um único usuário, administradores podem usar a Central Administrativa do Active Directory ou o console de Usuários e Computadores do Active Directory. Porem, quando você precisa criar vários usuários em um espaço curto de tempo ou você tem um banco de dados existente a partir do qual deseja importar esses objetos, você irá querer usar uma ferramenta mais eficiente. O Windows Server 2012 R2 disponibiliza um número de ferramentas que você pode usar baseado no que você quer realizar. A lista a seguir descreve os métodos mais comumente usados para criar vários usuários e grupos. Estas ferramentas serão detalhadas nas sessões a seguir.
Dsadd.exe. A ferramenta de linha de comando padrão para criação de objetos-folha do AD DS, que você pode com arquivos de lote para criar objetos do AD DS em lotes. Windows PowerShell. A ferramenta de manutenção do Windows permite que você crie scripts de criação de objetos com complexidade quase ilimitada. LDAP Data Interchange Format Directory Exchange (LDIFDE.exe). Assim como o CSVDE, porém com mais funcionalidades, o LDIFDE é um utilitário que pode importar informações do AD DS e usá-las para criar, deletar e modificar objetos, além de modificar o esquema, se necessário.
Essas ferramentas todas possuem suas funções na administração de uma rede; fica a cargo do administrador escolher a melhor ferramenta para servir às suas habilidades e à situação em particular. As sessões a seguir examinam vários cenários para usar essas ferramentas para criar objetos usuários.
259
Criar Usuário Individual Para alguns administradores, criar contas de usuários individuais é uma tarefa diária e existem varias maneiras de fazê-lo. O Windows Server 2012 R2 redesenhou o ADAC (Central Administrativa do Active Directory), introduzida no Windows Server 2008 R2, para incorporar completamente novos recursos como a Lixeira do Active Directory e Políticas de Senha Granulares. Você também pode usar a ferramenta para criar e gerenciar contas de usuários do AD DS. Para criar um único usuário através da Central Administrativa do Active Directory, use o procedimento a seguir. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Central Administrativa do Active Directory. O console da Central Administrativa do Active Directory irá abrir. 2. No painel da esquerda, encontre o domínio em que você quer criar o objeto usuário e selecione um contêiner nesse domínio. 3. No painel Tarefas, abaixo no nome do contêiner, clique em Novo, Usuário para abrir a janela Criar Usuário, como mostra a figura abaixo.
4. Digite o nome do usuário no campo Nome Completo e um nome de conta no campo Logon SAMAccountName. 5. Digite uma senha inicial para o usuário nos campos Senha e Confirmar Senha. 6. Forneça a informação para os outros campos opcionais que desejar. 7. Clique OK. O objeto usuário aparecerá no contêiner. 8. Feche o console da Central Administrativa do Active Directory.
260
Administradores que se sentem mais confortáveis com o console familiar do Usuários e Computadores do Active Directory ainda podem usá-lo para criar objetos usuários através do Assistente Novo Objeto – Usuário, como mostra a figura abaixo.
Para administradores trabalhando em instalações Server Core ou que se sintam mais confortáveis com o prompt de comando, é possível criar objetos usuários sem uma interface gráfica.
Usando o Dsadd.exe Para administradores que se sintam mais confortáveis com o prompt de comando, o programa Dsadd.exe pode criar novos objetos usuários através da sintaxe mostrada na figura abaixo.
261
Para criar um usuário através do utilitário Dsadd.exe, você deve conhecer o nome distinto (DN) do usuário e o ID do login do usuário, também conhecido como o atributo nome de conta SAM (SAM account name) dentro do AD DS. O nome distinto de um objeto significa o seu local dentro da estrutura do Active Directory. Por exemplo, no nomes distinto cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com o cn de refere ao nome comum para a conta do Thiago Haise, que reside na OU Pesquisa, que reside no domínio wiseone.com. cada objeto possui um DN único, mas este DN pode mudar se você mudar o objeto para diferentes locais dentro da estrutura do Active Directory. Por exemplo, se você criar uma camada adicional de OU’s representando escritórios em diferentes cidades, o DN anterior poderia mudar para: cn=Thiago Haise,ou=Pesquisa,ou=Curitiba,dc=wiseone,dc=com mesmo sendo o mesmo objeto usuário com os mesmo direitos e permissões. O nome de conta SAM se refere ao nome de login de cada usuário – a porção à esquerda do @ dentro de um User Principal Name (UPN) - que é thiago em [email protected]. O nome de conta SAM deve ser único em todo o domínio. Quando você tem ambos os itens, você pode criar um usuário com o utilitário Dsadd.exe usando a seguinte sintaxe: Dsadd user -samid Por exemplo, em sua forma mais simples, você pode criar a conta para Thiago Haise da seguinte forma: dsadd user cn=" Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com" –samid thiago Você também pode adicionar valores de atributos através da ferramenta Dsadd.exe. O comando a seguir adiciona alguns dos atributos mais comuns para o objeto usuário: Dsadd.exe user "CN=Thiago Local,OU=Pesquisa,DC=wiseone,DC=local" –samid "thiago" –fn "Thiago" –ln "Haise"
262
–disabled no –mustchpwd yes –pwd "Pa$$w0rd"
Usando o Windows PowerShell A Microsoft está colocando uma ênfase cada vez maior no Windows PowerShell como uma ferramenta de gerenciamento de servidores, e fornece um cmdlet chamado New-ADUser, que você pode usar para criar uma conta de usuário e configurar qualquer um ou todos os atributos associados com essa conta. O cmdlet New-ADUser tem muitos parâmetros, como vemos na figura abaixo, para habilitar acesso a todos os atributos do objeto usuário.
Por exemplo, para criar um novo objeto usuário para Thiago Haise em uma unidade organizacional (OU) chama Pesquisa, você poderia usar o cmdlet New-ADUser com os seguintes parâmetros: new-ADUser -Name " Thiago Haise " -SamAccountName "thiago" -GivenName " Thiago " -SurName " Haise " –path 'OU=Pesquisa,DC=wiseone,dc=local' -Enabled $true -AccountPassword "Pa$$w0rd"
263
-ChangePasswordAtLogon $true Os parâmetros –Name e –SamAccountName são exigidos para identificar o objeto. O parâmetro –path especifica o local do objeto na hierarquia do AD DS. O parâmetro –Enabled assegura que a conta esteja ativa.
Criando Templates de Usuário Em alguns casos, administradores tem que criar usuários individuais com frequência, mas as contas de usuários contêm tantos atributos que cria-los individualmente consome muito tempo. Uma maneira de acelerar o processo da criação de objetos usuários complexos é usar o cmdlet New-ADUser ou o programa Dsadd.exe e manter seus comando em um script ou arquivo de lotes. Porém, se você prefere uma interface gráfica, você pode fazer a mesma coisa criando um template de usuário. Um template de usuário é um objeto usuário contendo configurações padrão de atributos. Quando você quer criar um novo usuário com essas configurações, apenas copie o template para um novo objeto usuário e mude o nome e outros atributos que são únicos para o usuário. Para criar um template de usuário usando o console Usuários e Computadores do Active Directory, siga o procedimento abaixo. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Usuários e Computadores do Active Directory. O console Usuários e Computadores do Active Directory será aberto. 2. Crie um objeto usuário com o nome Modelo Padrão, desmarque a caixa de seleção Usuário deve mudar a senha no próximo logon e marque a opção Conta Desabilitada. 3. Aba as propriedades do usuário e modifique os atributos nas várias abas com os valores em comum de todos os usuários que você irá criar. Para usar o template, clique com o botão direito do mouse no objeto usuário Modelo Padrão e selecione copiar. O assistente Copiar Objeto será iniciado, como mostra a figura abaixo.
264
Informe as informações únicas necessárias para o usuário e desmarque a opção Conta Desabilitada antes de clicar em OK. O assistente cria um novo objeto usuário com um subconjunto dos atributos que você configurou no template.
Criar vários usuários Algumas vezes administradores têm que criar centenas ou milhares de objetos usuários, tornando o processo de criação individual impraticável. As sessões anteriores descreveram o processo para criar usuários e grupos individuais através da interface gráfica e alguma ferramentas de linha de comando disponíveis no Windows Server 2012 R2. As sessões seguintes examinam alguns dos mecanismos para automatizar a criação de um número grande de objetos do Active Directory.
Usando o CSVDE.exe Aplicações como o Microsoft Excel podem gerar listas de usuários, com todas as suas informações, para adicionar no banco de dados do Active Directory. Nestes casos, você pode exportar as informações das aplicações salvando-as em um arquivo no formato CSV. O formato CSV também pode ser usado para importar informações para dentro dele e depois exportá-las para outras aplicações de terceiros. Um arquivo CSV é um arquivo de texto feito de registros divididos um por linha divididos em campos separados por vírgulas. O formato é uma maneira de salvar informações de bancos de dados em uma maneira universal inteligível.
265
O utilitário de linha de comando CSVDE.exe permite que administradores importem e exportem objetos do Active Directory. Ele usa um arquivo CSV baseado em registros de cabeçalhos, que identifica o atributo contido em cada campo delimitado por vírgulas. O registro de cabeçalho é apenas a primeira linha do arquivo de texto que usa nomes de atributos apropriados. Para serem importados para o AD DS, os nomes de atributos no arquivo CSV devem ser iguais aos atributos permitidos pelo esquema do Active Directory. Por exemplo, se você tem uma lista de pessoas e números de telefone que você quer importar como usuários no banco de dados do Active Directory, você precisará criar um registro de cabeçalho que reflita corretamente os nomes dos objetos e atributos q você quer criar. Revise os atributos a seguir que são normalmente usados para criar contas de usuários.
dn. Especifica o nome distinto do objeto para que ele possa ser colocado corretamente no Active Directory. samAccountName. Preenche o campo de conta SAM. objectClass. Especifica o tipo de objeto a ser criado, como usuário, grupo ou OU. telephoneNumber. Preenche o campo de Número de Telefone. UserPrincipalName. Preenche o campo User Principal Name.
Enquanto cria o arquivo CSV, você deve ordenar os dados para refletir a sequencia de atributos no registro de cabeçalho. Se os campos e dados estiverem fora de ordem, você irá encontrar um erro quando executar o CSVDE.exe ou pode ter resultados incorretos nos objetos criados. O exemplo a seguir de um registro de cabeçalho usa os atributos listados anteriormente para criar um objeto usuário. dn,samAccountName,userPrincipalName,telephoneNumber,objectC lass Um registro de dados seguindo esse registro de cabeçalho ficaria assim: "cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com", [email protected],586-555-1234,user Após ter adicionado um registro para cada conta que deseja criar, salve o arquivo usando a extensão .csv. Então você pode usar a seguinte sintaxe do comando para rodar o programa CSVDE.exe e importar o arquivo: csvde.exe –i –f O parâmetro –i informa ao CSVDE.exe que essa será uma operação de importação. O parâmetro –f é usado para especificar o arquivo .csv contendo os registros a serem importados.
266
Usando o LDIFDE.exe O LDIFDE.exe é um utilitário que possui a mesma funcionalidade básica do CSVDE.exe e dá a possibilidade de modificar registros existentes no Active Directory. Por esta razão, o LDIFDE.exe é uma opção mais flexível. Considere um exemplo em que você tem que importar 200 novos usuários em sua estrutura do AD DS. Neste caso, você pode usar o CSVDE.exe ou o LDIFDE.exe para importar estes usuários. Entretanto, você pode usar o LDIFDE.exe para modificar ou deletar os objetos mais tarde, sendo que o CSVDE.exe não fornece essa opção. Você pode usar qualquer editor de texto para criar um arquivo de entrada para o LDIFDE.exe, que é formatado segundo o padrão LDAP Data Interchange Format (LDIF). O formato para o arquivo de dados contendo os registros de objetos que você pretende criar é bem diferente daquele no CSVDE.exe. O exemplo a seguir mostra a sintaxe para o arquivo de dados para criar a mesma conta de usuário discutida no exemplo do CSVDE.exe. dn: "cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com" changetype: add ObjectClass: user SAMAccountName: thiago UserPrincipalName: [email protected] telephoneNumber: 586-555-1234
Usando o LDIFDE.exe, você pode especificar uma das três ações que serão realizadas com o arquivo LDIF:
Adicionar (Add). Cria novos objetos usando os registros LDIF. Modificar (Modify). Modifica atributos existentes de objetos usando os registros LDIF. Apagar (Delete). Deleta objetos existentes usando os registros LDIF.
Após criar o arquivo de dados e salvá-lo usando a extensão .ldf, use a seguinte extensão para executar o programa LDIF.exe: Ldifde.exe –i –f O próximo exemplo ilustra a sintaxe LDIF para modificar o número de telefone de um usuário existente. Note que o hífen na última linha é exigido para que o arquivo funcione adequadamente.
267
dn: "cn=Thiago Haise,ou=Pesquisa,dc=wiseone,dc=com" changetype: modify replace: telephoneNumber telephoneNumber: 586-555-1111 -
Usando o Windows PowerShell Também é possível usar arquivos CSV para criar objetos usuários com o Windows PowerShell através do cmdlet Import-CSV para ler os dados do arquivo e repassá-los para o cmdlet New-ADUser. Para inserir os dados do arquivo dentro dos atributos corretos do usuário , o os parâmetros do cmdlet New-ADUser para referenciar os nomes de campos no registro de cabeçalho no arquivo CSV. Um exemplo de um comando de criação de usuários em lote seria assim: Import-CSV users.csv | foreach {New-ADUser -SamAccountName $_.SamAccountName -Name $_.Name -Surname $_.Surname -GivenName $_.GivenName -Path "OU=Research,DC=adatum,DC=COM" -AccountPassword Pa$$w0rd -Enabled $true}
Criar objetos de Computadores Pelo fato de uma floresta do AD DS usar um diretório centralizado, deve haver algum jeito de rastrear os computadores que fazem parte do domínio. Para fazer isso, o Active Directory usa contas de computadores, que são traduzidas na forma de objetos computadores no banco de dados do Active Directory. Você pode ter uma conta de usuário do Active Directory válida e uma senha, mas se o computador não for representado por um objeto computador, você não pode fazer login no domínio através deste sistema. Objetos computadores são armazenados na hierarquia do Active Directory da mesma forma que objetos usuários; eles possuem muitas das mesmas capacidades, como as seguintes:
268
Objetos computadores consistem de propriedades que especificam o nome do computador, onde está localizado, e quem tem permissão para gerenciá-lo. Objetos computadores herdam configurações de políticas de grupo de objetos contêiner com domínios, sites e OUs. Objetos computadores podem ser membros de grupos e herdam permissões destes grupos.
Quando um usuário tenta fazer logon em um domínio do Active Directory, o computador cliente estabelece uma conexão com um controlador de domínio para autenticar a identidade do usuário. Antes da autenticação do usuário ocorrer, os dois computadores realizam uma autenticação preliminar por meio dos seus respectivos objetos de computadores para assegurar que ambos os sistemas fazem parte do domínio. O serviço NetLogon rodando no computador cliente conecta com o mesmo serviço no controlador de domínio, e então cada um verifica que o outro sistema tem uma conta de computador válida. Quando essa validação é finalizada, os dois sistemas estabelecem um canal de comunicações seguro entre eles, que eles podem usar para iniciar o processo de autenticação do usuário. A validação da conta de computador entre o cliente e o controlador de domínio é um processo de autenticação genuíno que usa nomes de conta e senhas, da mesma forma quando um usuário se autentica no domínio. A diferença é que as senhas usadas por contas de computador são geradas automaticamente e mantidas escondidas. Administradores podem resetar contas de computador, mas eles não precisam informar senha para elas. O que isso significa para os administradores é que, além de criar contas de usuários no domínio, eles também têm que se certificarem de que os computadores da rede são parte do domínio. Adicionando um computador em um domínio do AD DS consiste em dois passos:
Criar uma conta de computador. Você cria uma conta de computador criando um novo objeto computador no Active Directory e atribuindo o nome de um computador existente. Adicionar o computador ao domínio. Quando você adiciona um computador no domínio, o sistema contata um controlador de domínio, estabelece um relacionamento de segurança com o domínio, localiza (ou cria) um objeto do tipo computador correspondente ao nome do computador, altera o seu identificador de segurança (SID) para coincidir com o do objeto computador, e modifica suas adesões em grupos.
Como estes passos são realizados e quem os realiza depende da maneira em que você implanta computadores na rede. Existem várias maneiras de
269
implantar computadores na rede. Existem várias maneiras de criar novos objetos do tipo computador, e como administradores escolhem fazê-lo depende de vários fatores, incluindo o número de objetos que eles precisam criar, onde eles estarão quando estiverem criando os objetos, e quais ferramentas eles preferem usar. Genericamente falando, você cria objetos do tipo computador quando você implanta novos computadores no domínio. Uma vez que um computador é representado por um objeto e faz parte do domínio, qualquer usuário do domínio pode fazer login a partir deste computador. Por exemplo, você não precisa criar novos objetos computador ou adicionar novamente os computadores ao domínio quando funcionários deixam a empresa e os novos contratados começam a usar seus computadores. Porém, se você reinstalar o sistema operacional em um computador, você deve criar um novo objeto para ele (ou resetar o objeto existente), pois o computador recém instalado terá um SID diferente. A criação de um objeto computador deve sempre ocorrer antes de o computador correspondente poder ser adicionado ao domínio, embora possa não parecer assim. Existem duas estratégias básicas para a criação de objetos computador no Active Directory, que são:
Criar os objetos computador antecipadamente usando uma ferramenta do Active Directory, para que os computadores possam localizar os objetos existentes quando forem adicionados no domínio. Iniciar o processo de adicionar no domínio primeiro e deixar o computador criar o seu próprio objeto.
Em qualquer caso, o objeto computador existe antes do processo de adição ao domínio acontecer. Na segunda estratégia, o processo de adição ao domínio parecer começar primeiro, mas o computador cria o objeto antes do processo de adição ao domínio em si começar. Quando houver vários computadores para implantar, especialmente em locais diferentes, administradores poderia concebivelmente criar os objetos computador antecipadamente. Para grandes quantidades de computadores, é possível ainda automatizar o processo de criação por meio de ferramentas de linha de comando e arquivos em lote, embora muitos usem ferramentas de terceiros para esse fim. As sessões seguintes examinam as ferramentas que você pode usar para o processo de criação de objetos do tipo computador.
270
Criar objetos computador através do Usuários e Computadores do Active Directory Da mesma forma que acontece com usuários, você pode criar computadores usando o console Usuários e Computadores do Active Directory. Para criar objetos computadores em um domínio do Active Directory através do console Usuários e Computadores do Active Directory ou de qualquer outra ferramenta, você deve possuir as permissões apropriadas para o contêiner em que os objetos estarão localizados. Por padrão, o grupo Administradores tem permissão de criar objetos em qualquer lugar do domínio, e o grupo Operadores de Conta tem as permissões necessárias para criar computadores e deletá-los do contêiner Computadores e de qualquer OU nova que você criar. Membros dos grupos Administradores de Domínio e Administradores de Empresa também podem criar objetos computadores em qualquer lugar. Um administrador também pode explicitamente delegar o controle de contêineres para usuários e/ou grupos específicos, habilitando-os a criar computadores nesses contêineres. O processo de criar um objeto computador no Usuários e Computadores do Active Directory é similar ao de criar um usuário. Você seleciona o contêiner em que você quer colocar o objeto, no menu Ação, selecione Novo, Computador. O Assistente Novo Objeto – Computador será iniciado, como podemos ver na figura abaixo.
A janela de propriedades para objetos computador no console Usuários e Computadores do Active Directory mostra relativamente poucos atributos, na maioria dos casos, você apenas irá informar um nome, que pode ter até 64 caracteres. Este nome deve coincidir com o nome do computador associado ao objeto.
271
Criar objetos computadores com a Central Administrativa do Active Directory Assim como usuários, você também pode criar computadores na Central Administrativa do Active Directory. Para criar computadores, você seleciona um contêiner e então seleciona Novo, Computador da lista de Tarefas para abrir a caixa de diálogo Criar Computador. Criar computadores usando o Dsadd.exe Assim como usuários, as interfaces gráficas incluídas com o Windows Server 2012 R2 são boas para criar e gerenciar objetos individuais, mas muitos administradores preferem a linha de comando quando precisam criar vários objetos. O utilitário Dsadd.exe te permite criar computadores a partir da linha de comando, da mesma forma como criou usuários anteriormente no capítulo. Você pode criar um arquivo em lote com comandos Dsadd.exe para gerar vários objetos em um processo. A sintaxe básica para criar um computador usando o Dsadd.exe seria: Dsadd computer O parâmetro específica o nome distinto para o novo computador que você quer criar. Os DNs usam o mesmo formato dos usados em arquivos CSV, conforme discutido antes.
Criando objetos computador com o Windows PowerShell O Windows PowerShell inclui o cmd New-ADComputer, que você pode isar para criar objetos computador com a seguinte sintaxe básica. O cmdlet cria computadores, mas não os adiciona ao domínio. New-ADComputer -Name -path
Gerenciando objetos do Active Directory Após ter criado seus objetos para usuários e computadores, você pode gerenciá-los e modificá-los em muitas das maneiras que você usou para crialos. Dando um clique duplo em um objeto no console Usuários e Computadores do Active Directory ou na Central Administrativa do Active Directory abre as
272
propriedades do objeto. A janela parece diferente mas elas contêm as mesmas informações e tem as mesmas capacidades para alterar os atributos do objeto.
Gerenciando vários usuários Quando gerenciar contas de usuários do domínio, provavelmente existirão momentos em que você terá que fazer as mesmas mudanças em vários objetos de usuários, e modificar cada um individualmente iria ser uma tarefa entediante. Nesses casos, e possível modificar as propriedades de diversos objetos simultaneamente através da Central Administrativa do Active Directory ou do console Usuários e Computadores do Active Directory. Você só seleciona vários usuários segurando a tecla Ctrl e clica em quantos usuários desejar e depois seleciona Propriedades. A janela de propriedades será exibida, contendo os atributos que você pode gerenciar para os objetos selecionados simultaneamente, como mostra a figura abaixo.
Unindo computadores ao domínio. O processo de unir um computador a um domínio deve ocorrer a partir do próprio computador e ser realizado por um membro do grupo local Administradores. Após fazer login, você inclui no domínio um computador usando o Windows Server 2012 R2 a partir da aba Nome do Computador
273
dentro das propriedades do Sistema. Você pode acessar as propriedades do sistema pelo Gerenciador do Servidor, clicando no nome do computador ou no link de domínio no bloco propriedades do servidor, dentro do Painel de Controle. Em um computador que não faz parte de um domínio, a aba Nome do Computador mostra o nome atribuído ao computador durante a instalação do sistema operacional e o nome do grupo de trabalho ao qual o sistema pertence atualmente (que é workgroup, por padrão). Para adicionar o computador ao domínio, clique em Alterar para exibir a caixa de diálogo Alterar Nome/Domínio do Computador mostrada abaixo.
Nesta caixa de diálogo, o campo Nome do Computador te permite mudar o nome atribuído ao computador durante a instalação. Dependendo se você já criou o objeto computador ou não, observe as seguintes precauções:
Para fazer parte de um domínio no qual você já tem um objeto computador criado para o sistema no AD DS, o nome neste campo deve coincidir exatamente com o nome do objeto. Se você pretende criar o objeto computador durante o processo de união ao domínio, o nome neste campo não pode existir no domínio.
Quando você seleciona a opção Domínio e digita o nome do domínio em que o computador fará parte. O computador faz contato com um controlador de domínio para o domínio e uma segunda tela de Alterar Nome de Computador abrirá, te pedindo pelo nome e senha de uma conta de usuário do domínio com permissão para adicionar o computador no domínio. Após ter se autenticado com o controlador de domínio, o computador recebe a mensagem de Bem Vindo ao domínio e você é instruído a reiniciar o computador.
274
Criar computadores durante o processo de união ao domínio. Você pode adicionar um computador á um domínio tenha você ou não já criado um objeto computador para ele. Após o computador se autenticar com o controlador de domínio, o controlador de domínio pesquisa no banco de dados do Active Directory por um objeto computador com o mesmo nome que o computador. Se não encontrar um objeto que coincida, o controlador de domínio cria um no contêiner padrão (normalmente o contêiner Computadores), usando o nome informado pelo computador. Para o objeto computador ser criado automaticamente desta maneira, esperase que a conta de usuário especificada na conexão com o controlador de domínio tenha privilégios de criação de objetos no contêiner Computadores, como se for membro do grupo Administradores. Porem, nem sempre esse é o caso. Usuários do domínio também podem criar computadores através de um processo indireto interessante. O objeto padrão de Política de Grupo (GPO) Controladores de Domínio atribui um direito de usuário chamado Adicionar Estações de Trabalho ao domínio (exibido na figura abaixo) à identidade especial Usuários Autenticados. Isso significa que qualquer usuário autenticado com sucesso junto ao Active Directory tem a permissão de adicionar 10 computadores ao domínio e criar 10 objetos computadores associados, mesmo se o usuário não possuir permissões explicitas de criação de objetos. Direitos de usuários são configurações de Politicas de Grupo que dão aos usuários a habilidade de realizar algumas tarefas relacionadas ao sistema. Por exemplo, fazer login localmente em um controlador de domínio requer que o usuário possua o direito Fazer Logon Localmente atribuído à sua conta ou ser membro dos grupos Operadores de Conta, Administradores, Operadores de Backup, Operadores de Impressão ou Operadores de Servidor no controlador de domínio. Outras configurações similares nesta coleção são relacionadas aos direitos de usuário associados com o desligamento do sistema, tornar-se proprietário de arquivos ou objetos e sincronizar dados de serviço de diretório.
275
Fazer parte de um domínio estando off-line É típico para administradores adicionar computadores à domínios enquanto os computadores estão conectados na rede e têm acesso ao controlador de domínio. Entretanto, existem situações nas quais administradores podem querer configurar computadores sem acesso à um controlador de domínio, como em uma nova instalação em uma filial. Nesses casos, é possível realizar o processo de adicionar um computador em um domínio estando off-line através do programa de linha de comando Djoin.exe. O procedimento de adicionar um computador off-line em um domínio requer que você rode o programa Djoin.exe duas vezes, primeiro em um computador com acesso ao controlador de domínio e então no computador a ser adicionado. Quando conectado ao controlador de domínio, o programa reúne metadados da conta de computador para o sistema a ser adicionado e salva em um arquivo. A sintaxe para esta fase do processo é como segue: djoin /provision /domain /machine /savefile Você então transporta o arquivo de metadados ao computador a ser adicionado e executa o Djoin.exe novamente, especificando o nome do arquivo. O programa salva os metadados do arquivo no computador, para que na próxima vez que tiver acesso à um controlador de domínio, o sistema é automaticamente adicionado no domínio. A sintaxe para a segunda fase do processo é como segue:
276
djoin /requestODJ /loadfile /windowspath %SystemRoot% /localos
Gerenciando Contas Desabilitadas Desabilitar uma conta previne que qualquer pessoa possa usá-la para logar no domínio até que um administrador com as permissões apropriadas ative-a novamente. Você pode desabilitar contas de usuário manualmente, para prevenir seu uso enquanto preserva todos os seus atributos, mas também pe possível para um controlador de domínio desabilitá-las automaticamente. Por exemplo, violações repetitivas da politica de configuração de senha pode desabilitar uma conta para prevenir intrusos de fazer tentativas de ataques posteriores. Para habilitar ou desabilitar uma conta de usuário ou computador no console Usuários e Computadores do Active Directory ou na Central Administrativa do Active Directory, apenas clique com o botão direito do mouse no objeto e selecione Habilitar ou Desabilitar. Você também pode habilitar ou desabilitar várias contas selecionando vários objetos e realizando a mesma ação. Para habilitar ou desabilitar uma conta de usuário ou computador através do Windows PowerShell, use a seguinte sintaxe: Disable-ADAccount –Identity Enable-ADAccount –Identity
5.3 – Criar e Gerenciar Grupos e Unidades Organizacionais (OU) do Active Directory
OUs podem ser aninhadas para criar um design que permite que administradores se aproveitem da estrutura de herança da hierarquia do Active Directory. Você deve limitar o número de OUs que estejam aninhadas, pois muitos níveis podem atrasar o tempo de resposta por registros de recursos e complicar a aplicação de configurações de Políticas de Grupo. Quando você instala os Serviços de Domínio do Active Directory, existe apenas uma OU no domínio, por padrão a OU Controladores de Domínio. Todas as outras OUs devem ser criadas por um administrador do AD.
277
As OUs não são consideradas entidades de segurança; isso significa que você não pode atribuir permissões de acesso para um recurso baseado se o objeto faz ou não parte de uma OU. Esta é a diferença entre OUs e grupos locais, universais e de domínio locais. Grupos são usados para atribuir permissões de acesso, e OUs são usadas para delegar permissões e Políticas de Grupo.
Existe outro tipo de objeto container (contêiner) encontrado em um domínio, que é na verdade chamado de container mesmo. Por exemplo, um domínio recém criado possui vários objetos container dentro dele, incluindo um chamado Usuários (Users), que contém os usuários e grupos pré-definidos do domínio, e outro chamado Computadores, que contém os objetos computador de todos os sistemas que fazem parte do domínio exceto controladores de domínio. Ao contrário do que acontece com OUs, você na pode atribuir configurações de Políticas de Grupo para objetos container. Você também não pode criar novos objetos container através das ferramentas padrão de administração do Active Directory, como o console Usuários e Computadores do Active Directory. Você pode criar containers através de scripts, mas não existe razão para isso. As OUs são o método preferível para subdividir um domínio.
Criar OUs As OUs são o tipo mais simples de objeto para criar na hierarquia do AD DS. Você só tem que informar um nome para o objeto e definir o seu local na árvore do Active Directory. Para criar uma OU usando a Central Administrativa do Active Directory, use o seguinte procedimento: 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Central Administrativa do Active Directory para abrir o console da Central Administrativa do Active Directory. 2. No painel da esquerda, clique com o botão direito do mouse no objeto sob o qual você deseja criar a nova OU e selecione a opção Nova Unidade Organizacional. 3. No campo Nome, digite um nome para a OU e adicione qualquer informação adicional que desejar. 4. Clique em OK. A OU aparecerá no objeto que você selecionou. 5. Feche o console da Central Administrativa do Active Directory.
278
Criar uma OU no console Usuários e Computadores do Active Directory é basicamente a mesma coisa, embora a caixa de diálogo Novo Objeto – Unidade Organizacional parece diferente. Uma vez criada a OU, você pode dar um duplo clique nela para entrar em suas propriedades, onde você pode modificar seus atributos, ou clicar com o botão direito do mouse e selecionar Mover para ver a caixa de diálogo Mover, conforme mostrado na figura abaixo.
279
Usando OUs para atribuir configurações de Política de Grupo. Uma das razoes principais para se criar uma OU, é atribuir diferentes configurações de Políticas de Grupo a uma coleção particular de objetos. Quando você atribui configurações de Política de Grupo em uma OU, cada objeto dentro dela recebe essas configurações, incluindo outras OUs. Isto permite que administradores implantem configurações para apenas uma parte do domínio, ao invés de todo o domínio.
Usando OUs para delegar tarefas de gerenciamento do Active Directory Criar OUs te permitem implementar um modelo de administração descentralizado, no qual outros gerenciam porções da hierarquia do AD DS, sem afetar o resto da estrutura. Delegar autoridade no nível de site afeta todos os domínios e usuários dentro do site. Delegar autoridade no nível de domínio afeta todo o domínio. Porém, delegar autoridade no nível de OU afeta somente aquela OU e seus objetos subordinados. Cedendo autoridade administrativa sobre uma estrutura de OU, ao contrário de um domínio ou site, você ganha as seguintes vantagens:
Número mínimo de administradores com privilégios globais. Criando uma hierarquia de níveis administrativos, você limita o número de pessoas que necessitem de acesso global. Escopo limitado de erros. Erros administrativos como apagar um container ou um grupo afeta apenas a respectiva estrutura de OU.
O Assistente de Delegação de Controle prove uma interface simples que você pode usar para delegar permissões para domínios, OUs e containers. O AD DS tem o seu próprio sistema de permissões, parecidos com as permissões de impressoras e NTFS. O Assistente de Delegação de Controle é essencialmente uma interface que cria combinações complexas de permissões baseadas em tarefas administrativas específicas. A interface do Assistente te permite especificar os usuários e grupos que você quer delegar permissões e as tarefas específicas que você deseja que eles possam realizar. Você pode delegar tarefas predefinidas ou criar tarefas customizadas que te permitem ser mais específico. Para delegar controle administrativo sobre uma OU, use o seguinte procedimento. 1. No Gerenciador de Servidor, abra o console Usuários e Computadores do Active Directory, clique com o botão direito sobre o objeto que deseja
280
delegar controle e selecione a opção Delegar Controlar. O assistente de Delegação de Controle é iniciado, exibindo a tela de Boas Vindas. 2. Clique em Próximo para mover para a página Usuários ou Grupos. 3. Clique em Adicionar para abrir a caixa de diálogo Selecionar usuários, computadores ou grupos. 4. Digite o nome do usuário ou grupo que você quer delegar o controle e clique em OK. O usuário ou grupo aparece na lista Usuários e Grupos Selecionados. 5. Clique em Próximo. A página Tarefas a Delegar é exibida, com as seguintes opções: Delegar as seguintes Tarefas Comuns. Te permite escolher a partir de uma lista com tarefas pré-definidas. Criar uma Tarefa Customizada para Delegar. Te permite ser mais específico sobre a delegação de tarefa. 6. Selecione Criar uma Tarefa Customizada para Delegar e clique em Próximo. A página Tipo de objeto do Active Directory é exibida, mostrando as seguintes opções: Essa Pasta, objetos existentes nesta Pasta, e criação de novos objetos nesta pasta. Delega controle do container, incluindo todos os seus objetos atuais e futuros. Apenas os seguintes objetos na Pasta. Te permite selecionar objetos específicos para serem controlados. Você pode selecionar Criar Objetos Selecionados nesta Pasta para permitir que os tipos de objetos selecionados sejam criados, ou selecione Deletar os Objetos Selecionados nesta Pasta para permitir que os objetos selecionados sejam excluídos. 7. Selecione esta Pasta, Objetos Existentes nesta Pasta, e Criação de Novos Objetos nesta Pasta e clique em Próximo. A página de permissões será mostrada. 8. Configure as permissões delegadas de acordo com as suas necessidades para o usuário ou grupo que você está delegando controle. Você pode combinar permissões entre as três opções a seguir: Geral. Mostra permissões gerais, que são iguais as exibidas na aba Segurança nas propriedades de um objeto. Específica de Propriedades. Mostra permissões que se aplicam a atributos específicos de um objeto. Criar/Apagar objetos filhos específicos. Mostra permissões que se aplicam a criação e eliminação de permissões para tipos específicos de objetos. 9. Clique em Próximo para abrir a página Completando o Assistente de Delegação de Controle. 10. Clique em Finalizar. 11. Feche o console Usuários e Computadores do Active Directory.
281
Neste procedimento, você concedeu permissões sobre uma porção do Active Directory para um administrador específico ou grupo de administradores. Embora você possa usar o Assistente de Delegação de Controle para conceder permissões, você não pode usá-lo para modificar ou remover permissões. Para realizar essas tarefas você deve usar a interface fornecida na aba Segurança da janela de propriedades do objeto. Por padrão, a aba Segurança não aparece na janela de propriedades de uma OU no console Usuários e Computadores do Active Directory. Para exibir a aba, você deve selecionar o item Opções Avançadas no menu Exibir do console.
Trabalhando com Grupos Desde os primeiros dias do sistema operacionais para servidores da Microsoft, administradores tem usado grupos para gerenciar permissões de rede. Grupos permitem que administradores atribuam permissões para vários usuários simultaneamente. Um grupo pode ser definido como uma coleção de contas de usuários e computadores que funciona como uma entidade de segurança, da mesma forma que um usuário. No Windows Server 2012 R2, quando um usuário loga no Active Directory, um toquem de acesso é criado que identifica o usuário e a quais grupos ele pertence. Controladores de domínio usam esse token de acesso para verificar as permissões de usuário quando o usuário tenta acessar um recurso local ou de rede. Através do uso de grupos, administradores podem conceder o mesmo nível de permissões para vários usuários acessarem recursos na rede, se por exemplo, você tem 25 usuários no departamento de marketing que precisam de acesso à uma impressora colorida, você pode atribuir as permissões adequadas para a impressora para cada usuário individualmente ou você pode criar um grupo contendo os 25 usuários e atribuir as permissões adequadas para o grupo. Usando um grupo para acessar um recurso, você alcança o seguinte resultado:
Quando usuários precisam de acesso à impressora, você apenas adiciona-os ao grupo. Uma vez adicionados, os usuários recebem todas as permissões atribuídas ao grupo. Da mesma forma, você pode remover usuários do grupo quando você quer retirar o seu acesso à impressora. Os administradores só precisam fazer uma mudança para modificar o nível de acesso para a impressora para todos os usuários. Mudar as permissões do grupo muda as permissões de todos os membros do
282
grupo. Sem o grupo, você teria que modificar todas as 25 contas individualmente. Os tokens de acesso de usuário só são gerados quando eles logam pela primeira vez na rede a partir de suas estações de trabalho. Se você adicionar usuários em um grupo, eles precisarão fazer logoff e depois logar novamente para que a mudança tenha efeito.
Usuários podem ser membros de mais de um grupo. Além disso, grupos podem conter outros objetos do Active Directory, como computadores e outros grupos em um técnica chamada aninhamento de grupos. O aninhamento de grupo descreve o processo de configurar um ou mais grupos como membros de outros grupos. Por exemplo, considere uma organização que possui dois grupos: marketing e produção. Os membros do grupo marketing têm acesso à um impressora laser colorida de alta resolução. Se os membros do grupo produção também precisarem de acesso à impressora, você pode só adicionar o grupo produção como membro do grupo marketing. Isso dá aos usuários do grupo produção o mesmo acesso à impressora laser colorida que os membros do grupo marketing possuem.
Tipos de Grupos Existem duas classificações de grupos no Windows Server 2012 R2: tipo de grupo e escopo de grupo. O tipo de grupo define como um grupo é usado dentro do Active Directory. Os dois tipos de grupos do Windows Server 2012 R2 são como segue:
Grupos de distribuição. Grupos não relacionados à segurança criado para distribuição de informações de uma para várias pessoas. Pode ser usado para email por exemplo. Grupos de segurança. Grupos relacionados à segurança criados para conceder permissões de acesso à recursos para múltiplos usuários.
Aplicações que entendem o Active Directory podem usar grupos de distribuição para funções não relacionadas à segurança. Por exemplo, o Microsoft Exchange usa grupos de distribuição para enviar mensagens para múltiplos usuários. Apenas aplicações que foram feitas para trabalhar com o Active Directory podem trabalhar com grupos de distribuição desta maneira.
283
Grupos que você usa para conceder permissões para recursos são chamados de grupos de segurança. Administradores tornam usuários que precisam de acesso ao mesmo recurso membros de um grupo de segurança. Eles podem conceder as permissões para acessar o recurso para o grupo de segurança. Após criar o grupo, você pode convertê-lo de um grupo de segurança para um grupo de distribuição ou vice versa, a qualquer tempo.
Escopos de grupos Além dos tipos de grupos de segurança e de distribuição, vários escopos de grupos estão disponíveis no Active Directory. O escopo de grupo controla quais objetos o grupo pode conter, limitando os objetos ao mesmo domínio ou permitindo objetos de domínios remotos, e também controla o local no domínio ou floresta em que o grupo pode ser aninhado. Os escopos de grupo disponíveis em um domínio do Active Directory incluem grupos de domínio local, grupos globais e grupos universais.
Grupos de Domínio Local Os grupos de domínio local pode ter os seguintes tipos de membros:
Contas de usuário Contas de computador Grupos globais de qualquer domínio na floresta Grupos universais Grupos de domínio local do mesmo domínio
Você usa os grupos de domínio local para atribuir permissões em recursos no mesmo domínio que o grupo de domínio local. Grupos de domínio local podem tornar a atribuição de permissões e manutenções mais fáceis de gerenciar.
Grupos Globais Os grupos globais podem ter os seguintes tipos de membros:
Contas de usuário Contas de computador Outros grupos globais do mesmo domínio
Você pode usar grupos globais para conceder ou negar permissões para qualquer recurso localizado em qualquer domínio da floresta. Você realiza isso adicionando o grupo global como membro de um grupo de domínio local que
284
possui as permissões desejadas. A lista de membros de grupos globais é replicada apenas para controladores de domínio dentro do mesmo domínio. Usuários com necessidades usuais por recursos deveriam ser membros de um grupo global para facilitar a atribuição de permissões aos recursos. Você pode mudar os membros de um grupo global conforme necessário para acomodar as permissões necessárias aos recursos.
Grupos Universais Os grupos universais podem ter os seguintes tipos de membros:
Contas de usuário Contas de computador Grupos globais de quaisquer domínios da floresta Outros grupos universais
Grupos universais, assim como grupos globais, podem organizar usuários de acordo com suas necessidades de acesso aos recursos. Você pode usá-los para conceder acesso aos recursos localizados em qualquer domínio na floresta através do uso de grupos de domínio local. Você também pode usar grupos universais para consolidar grupos e contas que atravessam múltiplos domínios ou até a floresta toda. Um ponto chave na aplicação e utilização de grupos universais é que a lista de membros dos grupos universais não deve mudar com frequência, pois os grupos universais são armazenados nos servidores de catálogo global. Mudanças nos membros de um grupo universal são replicadas para todos os servidores de catálogo global por toda a floresta. Se essas mudanças acontecem com frequência, o processo de replicação pode consumir largura de banda significativa, especialmente em links WAN lentos ou caros.
Aninhar Grupos Como discutido anteriormente, aninhamento de grupo é o termo utilizado quando grupos são adicionados como membros de outros grupos. Por exemplo, quando torna um grupo global um membro de um grupo universal, é dito que ele está aninhado dentro do grupo universal. Aninhamento de grupos reduz o número de vezes, que você precisa atribuir permissões para usuários em diferentes domínios em uma floresta multidomínios. Por exemplo, se você possui vários domínios filhos em sua hierarquia do AD DS, e os usuários em cada domínio precisam de acesso à
285
uma aplicação de banco de dados organizacional localizada em um domínio pai, a maneira mais simples de configurar o acesso à essa aplicação seria: 1. Criar grupos globais em cada domínio que contenham todos os usuários que precisam de acesso ao banco de dados da empresa. 2. Criar um grupo universal no domínio pai. Incluir cada grupo global de cada localização como membro. 3. Adicionar o grupo universal ao grupo de domínio local necessário para atribuir as permissões necessárias para acessar e usar o banco de dados da organização. Esta abordagem tradicional de aninhamento de grupos no AD DS é normalmente referida usando o mnemônico AGUDLP: você adiciona contas (Accounts), em grupos Globais, adiciona esse grupos globais em grupos Universais, adiciona grupos universais em grupos de Domínio Local, e finalmente atribui Permissões aos grupos de domínio local. Administradores podem usar o mesmo método para criar seus próprios grupos de domínio local, aos quais podem delegar tarefas administrativas e direitos de usuário para OUs específicas. Então, após criar grupos globais (ou grupos universais para atribuições através da floresta) e adicioná-los aos grupos de domínio local, a estrutura está completa.
Criar Grupos O procedimento para criar grupos na Central Administrativa do Active Directory ou no console Usuários e Computadores do Active Directory é praticamente idêntico ao usado para criar OUs. Quando você cria um grupo, você deve especificar um nome para o objeto grupo. O nome pode ter até 64 caracteres e deve ser único no domínio. Você também deve escolher um tipo de grupo e um escopo. A figura a seguir mostra a janela Criar Grupo na Central Administrativa do Active Directory.
286
A caixa de diálogo Novo Objeto – Grupo no console Usuários e Computadores do Active Directory parece um pouco diferente, mas contém os mesmo controles básicos. Embora os utilitários gráficos do AD DS sejam ferramentas convenientes para criar e gerenciar grupos individualmente, eles não são o método mais eficiente para criar grandes números de entidades de segurança. As ferramentas de linha de comando incluídas no Windows Server 2012 R2 permitem criar e gerenciar grupos em grandes números usando arquivos em lote ou outros tipos de scripts. Algumas dessas ferramentas são discutidas nas seções a seguir.
Criar Grupos a partir da Linha de Comando Você pode usar a ferramenta Dsadd.exe para criar novos objetos usuários, e você também pode usar o programa para criar novos objetos grupos. A sintaxe básica para criar grupos com o Dsadd.exe é a seguinte: Dsadd group [parâmetros] O parâmetro DNgrupo é um DN para o novo grupo que você quer criar. Os DNs usam o mesmo formato daqueles em arquivos CSV. Por padrão, o Dsadd.exe cria grupos de segurança globais, mas você pode usar parâmetros de linha de comando para criar grupos de outros tipos e
287
escopos e para especificar membros que fazem parte do grupo e grupos dos quais esse grupo é membro além de outras propriedades para o objeto grupo. Os parâmetros de linha de comando mais tipicamente usados são:
-secgrp yes|no. Especifica se o programa deve criar um grupos de segurança (yes) ou um grupo de distribuição (no). O valor padrão é yes. -scope l|g|u. Especifica se o programa deve criar um grupo de domínio local (l, é a letra L minúscula), global (g) ou universal (u). o valor padrão é g. -samid . Especifica o nome SAM para o objeto grupo. -desc. Especifica uma descrição para o objeto grupo. -memberof . Especifica os DNs de um ou mais grupos dos quais este novo grupo deve ser membro. -member . Especifica os DNs de um ou mais objetos que devem fazer parte deste grupo.
Por exemplo, para criar um novo grupo chamado Vendas no container Usuários e tornar o usuário Administrador um membro, você usaria o seguinte comando: dsadd group "CN=Vendas,CN=Usuarios,DC=wise1,DC=com" –member "CN=Administrador,CN=Users,DC=wise1,DC=com” Para criar um novo objeto grupo através do PowerShell, você usa o cmdlet New-ADGroup, com a seguinte sintaxe: New-ADGroup –Name -SamAccountName –GroupCategory Distribution|Security –GroupScope DomainLocal|Global|Universal –Path Por exemplo, para criar um grupo de segurança global chamado Vendas na OU Salvador, você usaria o seguinte comando: New-ADGroup –Name Vendas –SamAccountName Vendas –GroupCategory Security –GroupScope Global –Path "OU=Salvador,DC=wise1,DC=Com”
288
Gerenciar lista de membros de um grupo Ao contrário da Central Administrativa do Active Directory, que permite especificar os membros de um grupo na sua criação, no console Usuários e Computadores do Active Directory, você deve criar o objeto primeiro para depois adicionar membros nele. Para adicionar membros em um grupo, selecione-o no console e no menu Ação selecione Propriedades, depois vá para a aba Membros. Na aba Membros, você pode adicionar objetos na lista de membros do grupo, e na aba Membro de, você pode adicionar o grupo na lista de membros de outros grupos. Após informar ou procurar pelos objetos desejados clique em OK para fechar a janela de Propriedades.
Gerenciar a Lista de Membros usando Políticas de Grupo Também é possível controlar a lista de membros de grupos através de políticas de grupos. Quando você cria politicas de grupos restritos, você pode especificar a lista de membros para um grupo e fazer com que fique desta maneira, para que mudanças sejam revertidas durante a próxima atualização de politica. Para criar politicas de grupos restritos, siga o procedimento abaixo: 1. No Gerenciador do Servidor, abra o Console de Gerenciamento de Políticas de Grupo, crie uma nova GPO e faça um link com o seu domínio. 2. Abra a GPO no Editor de Gerenciamento de Política de Grupo e navegue até a pasta Configurações do Computador/Configurações do Windows/Configurações de Segurança/Grupos Restritos, como mostra a figura a seguir.
289
3. Clique com o botão direito na pasta Grupos Restritos e selecione a opção Adicionar Grupo para abrir a caixa de diálogo Adicionar Grupo. 4. Digite o nome ou pesquise por um grupo para adicioná-lo e clique em OK. O grupo aparece na pasta Grupos Restritos e uma aba de propriedades para o grupo é exibida, como vemos na figura abaixo.
5. Clique em um ou em ambos os botões Adicionar para adicionar objetos que devem ser membros do grupo ou outros grupos dos quais esse grupo deve ser um membro.
290
6. Clique em OK. 7. Feche o Editor de Gerenciamento de Política de Grupo e o Console de Gerenciamento de Políticas de Grupo. Os membros que você especificar parra um grupo em uma política de Grupos Restritos serão os únicos membros permitidos a continuar neste grupo. A política não impede administradores de modificar a lista de grupos usando outras ferramentas, mas na próxima vez em que o sistema atualizar suas configurações de políticas de grupo, a lista de membros do grupo será sobrescrita pela política.
Gerenciando Grupos usando o Dsmod.exe O Dsmod.exe permite modificar as propriedades de objetos grupos existentes a partir do prompt de comando do Windows Server 2012 R2. Usando esse programa, você pode realizar tarefas como adicionar membros em um grupo, removê-los de um grupo, e alterar o tipo e escopo de um grupo. A sintaxe básica do Dsmod.exe é a seguinte: Dsmod group [parâmetros] Os parâmetros de linha de comando mais comuns são:
-secgrp yes|no. Configura o tipo do grupo como grupo de segurança (yes) ou grupo de distribuição (no). -scope l|g|u. Configura o escopo do grupo como domínio local(l, é o L minúsculo), global (g) ou universal (u). -addmbr . Adiciona membros ao grupo. Substitui membros com os DNs de um ou mais objetos. -rmmbr . Remove membros do grupo. Substitui membros com os DNs de um ou mais objetos. Chmbr . Substitui a lista completa de membros do grupo. Substitui membros com os DNs de um ou mais objetos.
Por exemplo, para adicionar o usuário Administrador ao grupo Convidado, você usaria o seguinte comando: dsmod group "CN=Convidado,CN=Builtin,DC=wise1,DC=com" –addmbr "CN=Administrador,CN=Usuarios,DC=wise1,DC=com"
291
Convertendo grupos Como as funções de grupos mudam, você pode precisar mudar o tipo de um objeto grupo. Para mudar o tipo de um grupo, abra a janela de propriedades de um grupo na Central de Administração do Active Directory ou no console Usuários e Computadores do Active Directory. Na aba Geral, você pode modificar a opção tipo de grupo e clique em OK. O processo de mudar o escopo de um grupo é o mesmo, exceto que você seleciona uma das opções de escopo na aba Geral. Os utilitários do AD DS somente permitem fazer mudanças de escopo que são permitidas. A tabela abaixo mostra as mudanças de escopo que são permitidas. Para Domínio Local
Para Global
Para Universal
De Domínio Local
Não se aplica
Não é permitido
Permitido apenas quando o grupo de domínio local não possui outros grupos de domínio local como membros
De Global
Não é permitido
Não se aplica
Permitido apenas quando o grupo global não é membro de outro grupo global
De Universal
Sem restrições
Permitido apenas quando o grupo universal não possui outros grupos universais como membros
Não se aplica
292
Apagar um Grupo Assim como com objetos usuários, cada objeto grupo que você cria no AD DS tem um SID único que não pode ser reutilizado. O Windows Server 2012 R2 usa o SID para identificar o grupo e as permissões atribuídas à ele. Quando você deleta um grupo, o Windows Server 2012 R2 não usa o SID daquele grupo novamente, mesmo se você criar um grupo com o mesmo nome. Logo, você não pode restaurar as permissões de acesso que atribuiu à recursos recriando o grupo deletado. Você deve adicionar o grupo recém criado como uma entidade de segurança na lista de controle de acesso (ACL) do recurso novamente. Quando você apaga um grupo, você apaga apenas o grupo e as permissões e direitos especificando esse grupo como uma entidade de segurança. Apagar um grupo não deleta os objetos que são membros dele.
293
6 – Criar e Gerenciar Políticas de Grupo Políticas de Grupo é um mecanismo para controlar e implantar configurações de sistema operacional para computadores por toda a sua rede. Política de Grupo consiste de configurações de usuário e computador para os vários sistemas operacionais Microsoft, as quais o sistema implementa durante a inicialização e desligamento do computador e durante o login e logoff do usuário. Você pode configurar um ou mais objetos de políticas de grupo (GPO) e então usar um processo chamado ligação (linking) para associá-las com objetos específicos dos Serviços de Diretório do Active Directory. Quando você liga uma GPO à um objeto container, todos os objetos naquele container recebem as configurações que você definiu na GPO. Você pode ligar várias GPOs em um único container do AD DS ou ligar uma GPO em vários containers por toda a hierarquia do AD DS. Este capitulo cobre algumas das tarefas fundamentais que administradores realizam para criar e implementar configurações de Políticas de Grupo.
6.1 – Criar Objetos de Políticas de Grupo Embora o nome Política de Grupo implique que políticas são linkadas diretamente à grupos, este não é o caso. GPOs podem ser linkadas em sites, domínios, e unidades organizacionais (OUs) para aplicar configurações para todos os usuários e computadores dentro de containers do AD DS. Entretanto, uma técnica avançada chamada Filtro de Segurança te permite aplicar configurações a um ou mais usuários ou grupos dentro de um container concedendo seletivamente as permissões Aplicar Política de Grupo e de Leitura para um ou mais usuários ou grupos de segurança. Os benefícios administrativos das GPOs são provavelmente a maior contribuição para a eficiência de rede. Administradores acham que a implementação de Políticas de Grupo ajudam-nos a alcançar um gerenciamento centralizado. A lista a seguir identifica os benefícios administrativos da implementação de Políticas de Grupo:
Administradores tem controle sobre configurações centralizadas de usuários, instalações de aplicações e configurações de estações de trabalho. Administração centralizada de arquivos de usuários elimina a necessidade e o custo de tentar recuperar arquivos de um drive defeituoso. A necessidade de realizar mudanças de segurança em cada computador é reduzida através das rápidas implementações automatizadas das novas configurações por meio das Políticas de Grupo.
294
Entendendo os Objetos de Políticas de Grupos As GPOs contêm todas as configurações de Políticas de Grupos que administradores desejam implantar em objetos computador ou usuário dentro de um domínio, site ou OU. Para implementar uma GPO, um administrador deve associá-la com um container. Essa associação é alcançada ligando a GPO ao objeto domínio do AD DS, site ou OU desejado. As tarefas administrativas relacionadas as Políticas de Grupos incluem criar GPOs, especificando onde armazená-las e gerenciar os links do AD DS. Existem três tipos de GPOs: GPOs locais, GPOs não-locais e GPOs de início.
GPOs Locais (LGPOs) Todos os sistemas operacionais Windows têm suporte para GPOs locais, também conhecidas como LGPOs. As versões do Windows desde o Windows Server 2008 R2 e o Windows Vista podem suportar múltiplas GPOs locais. Este suporte permitem que administradores especifiquem uma GPO local diferente para os administradores e criar configurações de GPO específicas para um ou mais usuários locais configurados em uma estação de trabalho. Esta habilidade é particularmente útil para computadores em ambientes públicos como bibliotecas e quiosques , quando não fazem parte de uma estrutura do Active Directory. Versões mais antigas do Windows podem suportar apenas uma GPO local e as configurações nesta GPO se aplicam à todos os usuários que fazem logon neste computador. As GPOs locais contêm menos opções do que as GPOs de domínio. Elas não suportam redirecionamento de pastas ou instalação de software por Políticas de Grupos. Menos opções de segurança estão disponíveis. Quando uma GPO local e uma GPO não-local (baseada no AD) contêm configurações conflitantes, as configurações da GPO do AD sobrescrevem as configurações da GPO local.
GPOs não-locais As GPOs não-locais são criadas no AD DS e são linkadas em sites, domínios ou OUs. Uma vez llinkada em um container, as configurações da GPO são aplicadas a todos os usuários e computadores dentro daquele container por padrão.
295
GPOs de início As GPOs de início foram introduzidas no Windows Server 2008. Um GPO de início é essencialmente um modelo (template) para a criação de GPOs de domínio baseadas em uma coleção padrão de configurações. Quando você cria uma nova GPO a partir de uma GPO de início, todas as configurações na GPO de início são copiadas para a nova GPO como suas configurações padrão.
Configurando uma Loja Central No Windows Server 2008 e no Windows Vista, a Microsoft substituiu os arquivos de modelos administrativos baseados em token (ADM) usados nas versões anteriores das Políticas de Grupos por um formato de arquivo baseado no XML (ADMX). Modelos Administrativos são os arquivos que definem as configurações baseadas em registros que aparecem nas GPOs. As versões anteriores do Windows criavam uma cópia dos arquivos ADM para cada GPO que os administradores criavam e colocavam-nas no volume SYSVOL de um controlador de domínio. Uma instalação grande do Active Directory poderia facilmente ter dezenas de GPOs e cada cópia dos arquivos ADM necessitava de 4MB. O resultado era uma situação chamada de SYSVOL bloat, na qual haviam centenas de MB de informações redundantes armazenadas em volumes SYSVOL, os quais tinham que ser replicados entre todos os controladores de domínio. Para resolver esse problema, as ferramentas de Políticas de Grupos agora podem acessar os arquivos ADMX a partir de uma Loja Central, uma cópia única dos arquivos ADMX armazenada em controladores de domínio. Para usar uma Loja Central (Central Store), você deve cria a pasta apropriada no volume SYSVOL de um controlador de domínio. Por padrão, ferramentas como o Console de Gerenciamento de Políticas de Grupos (GPMC) salvam os arquivos ADMX na pasta \%systemroot%\PolicyDefinitions, o que na maioria dos computadores é a pasta C:\Windows\PolicyDefinitions. Para criar uma Loja Central, você deve copiar toda a pasta PolicyDefinitions para o mesmo local dos modelos das Políticas de Grupos; que é, %systemroot%\SYSVOL\sysvol\ \Policies, em um controlador de domínio, ou, na notação UNC, \\\SYSVOL\\Policies.
296
Usando o Console de Gerenciamento de Políticas de Grupos O Console de Gerenciamento de Políticas de Grupos é o snap-in do MMC (Microsoft Management Console) que administradores usam para criar GPOs e gerenciar sua aplicação em objetos do AD DS. O Editor de Gerenciamento de Políticas de Grupos é um snap-in separado que abre GPOs e permite editar as suas configurações. Existem diversas maneiras de trabalhar com essas duas ferramentas, dependendo do que quiser fazer. Você pode criar uma GPO e então ligá-la a um domínio, site ou OU, ou você pode criar e vincular a GPO em um único passo. O Windows Server 2012 R2 implementa as ferramentas como o recurso de Gerenciamento de Políticas de Grupos e as instala automaticamente com a função do AD DS. Você pode instalar o recurso manualmente em um servidor membro através do Assistente Adicionar Função ou Recurso no Gerenciador do Servidor. As ferramentas de Gerenciamento de Políticas de Grupos também estão incluídas no pacote RSAT (Ferramentas de Administração de Servidor Remoto) para estações de trabalho Windows.
Criar e vincular GPOs não-locais Se você decidir deixar as GPOs padrão do Windows inalteradas, o primeiro passo na implantação das suas próprias configurações customizadas de Políticas de Grupo é criar uma ou mais GPOs novas e ligá-las aos objetos do AD DS apropriados. Para usar o Console de Gerenciamento de Políticas de Grupos para criar uma nova GPO e ligá-la em um objeto OU no AD DS, siga o procedimento abaixo. 1. Abra a Central Administrativa do Active Directory e crie uma OU chamada Vendas no seu domínio. 2. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciamento de Políticas de Grupos. O Console de Gerenciamento de Políticas de Grupos é exibido, como mostra a figura abaixo.
297
3. Expanda o container da floresta e navegue até seu domínio. Então expanda o container do domínio e selecione o objeto Objetos de Políticas de Grupos. As GPOs existentes atualmente no domínio aparecem na aba Conteúdo do lado direito da tela. 4. Clique com o botão direito do mouse na pasta Objetos de Políticas de Grupos e selecione a opção Novo. A caixa de diálogo Nova GPO aparecerá. 5. Na caixa de texto Nome digite um nome para a nova GPO e clique em OK. A nova GPO aparecerá na aba Conteúdo. 6. No painel da esquerda, clique com o botão direito do mouse no objeto domínio, site ou OU no qual você deseja vincular a GPO e selecione a opção Vincular com GPO Existente. A caixa de diálogo Selecionar GPO será exibida. 7. Selecione a GPO que deseja vincular ao objeto e clique em OK. A GPO aparece na aba Objetos de Política de Grupo Ligados do objeto, como mostra a figura a seguir.
298
8. Feche o Console de Gerenciamento de Políticas de Grupo. Você também pode criar e vincular uma GPO em um container do Active Directory em um único passo, clicando com o botão direito do mouse em um objeto e selecionando a opção Criar uma GPO neste domínio e liga-la aqui. Se você vincular uma GPO em um objeto domínio, será aplicada a todos os usuários e computadores no domínio. Em uma escala maior, se você ligar uma GPO em um site que possui vários domínios, as configurações serão aplicadas a todos os domínios e seus objetos filhos. Esse processo é chamado de herança de GPO.
Usando o Filtro de Segurança Ligar uma GPO em um container faz com que todos os usuários e computadores naquele container recebem as configurações da GPO por padrão. Isso é assim pelo fato de criar o link conceder as permissões Ler e Aplicar Política de Grupo para a GPO para os usuários e computadores no container. Mais especificamente, o sistema concede as permissões à identidade especial Usuários Autenticados, que inclui todos os usuários e computadores do domínio. Entretanto, por meio do uso de uma técnica chamada Filtro de Segurança, você pode modificar as atribuições de permissões padrão para que somente certos usuários e computadores recebam as permissões, e consequentemente as configurações na GPO. Para modificar o filtro de segurança padrão de uma GPO, selecione-a no painel esquerdo do Console de Gerenciamento de Política de Grupo, como mostra a figura abaixo. Na área referente a Filtro de Segurança, você pode usar os botões Adicionar ou Remover para substituir o item Usuários Autenticados por
299
qualquer usuário, computador ou grupo que deseje. Dos usuários e computadores no container ao qual a GPO estiver vinculada, apenas aquele que você selecionou no painel Filtro de Segurança irão receber as configurações da GPO.
Gerenciar GPOs de Início As GPOs de início são basicamente modelos que você pode usar para criar múltiplas GPOs com o mesmo conjunto de configurações de linha de base (baseline) de Modelos Administrativos. Você pode criar e editar GPOs de Início assim como faria com qualquer outra GPO. No Console de Gerenciamento de Política de Grupo, você clique com o botão direito na pasta GPOs de Início e seleciona a opção Novo para criar uma nova GPO de Início em branco. Você então pode abrir a GPO de Início no Editor de Gerenciamento de Política de Grupo e configurar quaisquer configurações que você quer passar para as GPOs que forem criadas a partir dela. Quando você vê o nó GPOs de Início no Console de Gerenciamento de Política de Grupo pela primeira vez, uma mensagem aparece, te pedindo para criar a pasta GPOs de Início clicando em um botão.
Uma vez criadas e editadas suas GPOs de Início, você podem criar novas GPOs a partir delas de muitas maneiras. Você pode clicar com o botão direito e selecionar a opção Criar nova GPO a partir de GPO de Início, ou você pode criar uma nova GPO da maneira usual e depois selecionar a GPO de Início que deseja usar na lista GPO de Início de Base. Você também pode usar o cmdlet New-GPO no Windows PowerShell. Isso copia as configurações da GPO de Início para a nova GPO, que você pode continuar a editar deste ponto.
300
Configurar Configurações de Políticas de Grupo Configurações de Políticas de Grupo permitem customizar a configuração da área de trabalho de um usuário, ambiente, e configurações de segurança. As configurações são divididas em 2 subcategorias: Configurações de Computador e Configurações de Usuário. As subcategorias são referenciadas como Nós de Políticas de Grupos. Um nó é apenas uma estrutura pai que hospeda todas as configurações relacionadas. Neste caso, o nó é específico para configurações de computador e configurações de usuário. Nós de Políticas de Grupos estabelecem uma forma de organizar as configurações de acordo com onde serão aplicadas. As configurações que você define em uma GPO podem ser aplicadas a computadores clientes, usuários, servidores membros ou controladores de domínio. A aplicação das configurações depende do container ao qual você linka a GPO. Por padrão, todos os objetos dentro do container ao qual você vincular a GPO serão afetados pelas configurações da GPO. Os nós Configurações de Computador e Configurações de Usuário contêm três sub-nós, ou extensões, que organizam ainda mais as configurações de Políticas de Grupos disponíveis. Dentro dos nós Configurações de Computador e Configurações de Usuário, existem os seguintes sub-nós:
Configurações de Software. A pasta de Configurações de Software localizada dentro do nó Configurações de Computador contém configurações de Instalação de Software que se aplicam a todos os usuários que fazem logon no domínio usando qualquer computador afetado pela GPO. A pasta de Configurações de Software localizada dentro do nó Configurações de Usuário contém configurações de Instalação de Software que se aplicam a todos os usuários designados pela Política de Grupo, independente do computador que usem para fazer logon. Configurações do Windows. A pasta de Configurações do Windows localizada dentro do nó Configurações de Computador contém configurações de segurança e scripts que se aplicam a todos os usuários que fazem logon no AD DS a partir de um computador específico. A pasta de Configurações do Windows localizada dentro do nó Configurações de Usuário contém configurações relacionadas a redirecionamento de pasta, configurações de segurança e scripts que se aplicam a usuários específicos. Modelos Administrativos. O Windows Server 2012 R2 inclui milhares de políticas de Modelos Administrativos, que contêm todas as políticas de configurações baseadas no registro. Modelos Administrativos são
301
arquivos com a extensão .admx. Eles são usados para gerar a interface de usuário para as configurações de Políticas de Grupo que você pode definir através do Editor de Gerenciamento de Políticas de Grupo. Para trabalhar com configurações de Modelos Administrativos, você deve entender os três diferentes estados de cada configuração de política. Esses três estados são:
Não Configurado. Nenhuma modificação acontece no registro como resultado da política. Não Configurado é a configuração padrão para a maioria das configurações de GPOs. Quando um sistema processa uma GPO com configurações no estado Não Configurado, as chaves de registro afetadas pelas configurações não são modificadas ou sobrescritas, qualquer que seja seu valor. Habilitada. A função da política é explicitamente ativada no registro, independente do seu estado anterior. Desabilitada. A função da política é explicitamente desativada no registro, independente do seu estado anterior.
Entender esse estado é crítico quando você está trabalhando com Herança de Políticas de Grupo e diversas GPOs. Se uma configuração de uma política está desativada no registro por padrão e você tem uma GPO de prioridade menor que explicitamente habilite essa configuração, você deve configurar uma GPO de prioridade maior para desabilitar a configuração se você quiser retorná-la ao seu estado padrão. Aplicar o estado Não Configurado não irá mudar a configuração, deixando-a ativada.
Criar várias GPOs locais Computadores que são membros de um domínio do AD DS se beneficiam de muita flexibilidade quando se fala com configuração de Política de Grupos. Sistemas individuais (fora do AD DS) conseguem um pouco dessa flexibilidade desde que estejam rodando pelo menos o Windows Vista ou o Windows Server 2008 R2. Esses sistemas operacionais permitem que administradores criem várias GPOs locais que disponibilizam configurações diferentes para usuários, com base em suas identidades. Sistemas Windows suportando várias GPOs locais possuem três camadas de suporte de Políticas de Grupo, como segue:
Política de Grupo local. Idêntica a GPO local única suportada por versões mais antigas dos sistemas operacionais, a camada de Política de Grupo local consiste de configurações de computador e de usuário e se aplica para todos os usuários do sistema, administrativos ou não. Esta é a única GPO local que inclui configurações de computador, então
302
para aplicar políticas de configurações de computador, você deve usar essa GPO. Política de Grupo de Administradores e Não-Administradores. Essa camada consiste de duas GPOs: uma que se aplica aos membros do grupo local Administradores e outra que se aplica para todos os outros usuários que não fazem parte deste grupo. Ao contrário da GPO de Política de Grupo Local, essa camada não inclui configurações de computador. Políticas de Grupo específicas de usuário. Essa camada consiste de GPOs que se aplicam a contas locais específicas. Essas GPOs somente se aplicam a usuários individuais, não a grupos locais. Essas GPOs também não possuem configurações de computador.
O Windows aplica as GPOs locais na ordem listada aqui. As configurações de Políticas de Grupo Locais são aplicadas primeiro, então a Política de Grupo de Administradores e Não-Administradores, e finalmente, quaisquer Políticas de Grupo para usuários específicos. Assim como GPOs não-locais, as configurações processadas depois podem sobrescrever quaisquer configurações anteriores com as quais possam entrar em conflito. No caso de um sistema que também seja membro de um domínio, as três camadas de processamento de GPOs locais vêm primeiro, seguidas pela ordem padrão de processamento de Políticas de Grupo de domínio. Para criar GPOs locais, você usa o Editor de Objetos de Política de Grupo, que é um snap-in do MMC disponibilizado em todos os computadores Windows especialmente para o gerenciamento de GPOs locais, como no procedimento a seguir. 1. Abra a caixa de diálogo Executar e digite mmc e clique em OK. 2. Clique em arquivos, Adicionar/Remover Snap-in. 3. Na lista de Snap-ins disponíveis selecione Editor de Objetos de Política de Grupo e clique em Adicionar. A página Escolher Objeto de Política de Grupo é exibida. 4. Para criar a GPO de Política de Grupo local clique em Finalizar. Para criar uma GPO secundária ou terciária clique em clique em Pesquisar. A caixa de diálogo Pesquisa por Objeto de Política de Grupo é exibida. 5. Clique na aba Usuários como mostra a figura abaixo.
303
Computadores Windows que não suportam múltiplas GPOs locais não possuem a aba Usuários na caixa de diálogo Pesquisa por Objeto de Política de Grupo. Isso inclui controladores de domínio e computadores rodando versões do Windows mais antigas que o Windows Vista e o Windows Server 2008 R2.
6. Para criar uma GPO secundária, selecione o item Administradores ou o item Não-Administradores e clique em OK. Para criar uma GPO terciária, selecione um usuário e clique em OK. A GPO aparece na página Selecionar Objeto Grupo. 7. Clique em Finalizar. O snp-in aparece na caixa de diálogo Adicionar ou Remover Snap-ins. 8. Clique em OK. O snap-in aparece no console MMC. 9. Clique em Arquivo, Salvar como. A janela Salvar como será exibida. 10. Digite um nome para o console e salve-o no grupo de programas Ferramentas Administrativas. 11. Feche o console MMC. Você pode agora abrir esse console sempre que precisar configurar as configurações na GPO que você criou.
304
6.2 – Configurar Políticas de Segurança Um dos principais objetivos das Políticas de Grupo é prover gerenciamento centralizado de configurações de segurança para usuários e computadores. A maioria das configurações que pertencem à segurança são encontradas na pasta Configurações do Windows dentro do nó Configurações do Computador de uma GPO. Você pode usar configurações de segurança para reger como os usuários são autenticados na rede, os recursos que eles são permitidos a usar, políticas de listas de membros de grupos, e eventos relacionados as ações de usuários e grupos registrados nos logs de eventos. Configurações de políticas no nó Configurações do Computador se aplicam a um computador, não interessa quem esteja logado. Existem mais configurações de segurança nas Configurações do Computador do que configurações que você pode aplica a um usuário específico.
Definir Políticas Locais Políticas Locais permitem que administradores definam privilégios de usuários no computador local que governam o que os usuários podem fazer no computador e determinam se o sistema deve rastrear as atividades de usuário em um log de evento. Rastreamento de eventos acontece no computador local, um processo referido como auditoria, é outra parte importante das atividades de monitoramento e de gerenciamento em um computador rodando o Windows Server 2012 R2. O nó de políticas locais de uma GPO, encontrados sob Configurações de Segurança, possui três nós subordinados: Política de Auditoria, Atribuição de Direitos de Usuário e Opções de Segurança. Como discutido em cada uma das sessões a seguir, tenha em mente que políticas locais são locais ao computador. Quando elas são parte de uma GPO no Active Directory, ela afeta as configurações de segurança locais de contas de computador as quais a GPO é aplicada.
Planejando e Configurando uma Política de Auditoria A sessão de Políticas de Auditoria de uma GPO habilita administradores a registrarem eventos de segurança bem sucedidos ou com erros, como eventos de logon, acesso à contas e acesso à objetos. Você pode usar a auditoria para rastrear as atividades de usuário e de sistema. Planejar uma auditoria requer que você determine os computadores a serem auditados e os tipos de eventos que você quer rastrear.
305
Quando você considera eventos para auditar, como eventos de logon de conta, você deve decidir se quer auditar tentativas bem sucedidas, tentativas de logon malsucedidas ou ambas. Rastrear eventos bem sucedidos permite determinar a frequência com que usuários acessam recursos de rede. Essa informação pode ser valiosa durante o planejamento do uso dos seus recursos e do orçamento para novos recursos. Rastrear eventos mal sucedidos pode te ajudar a determinar quando brechas na segurança acontecem ou são tentadas. Por exemplo, se você notar tentativas mal sucedidas frequentes de login para uma conta de usuário específica, você pode querer investigar mais a fundo. As configurações de políticas disponíveis para auditorias são mostradas na figura abaixo.
Quando um evento auditado ocorre, o Windows Server 2012 R2 escreve um evento no log de segurança no controlador de domínio ou computador onde o evento ocorreu. Se foi uma tentativa de login ou outro evento relacionado ao Active Directory, o evento é escrito no controlador de domínio. Se é um evento de computador, como acesso a uma unidade removível, o evento é escrito no log de eventos do próprio computador. Você deve decidir quais computadores, recursos e eventos você quer auditar. É importante balancear a necessidade de auditoria com a potencial sobrecarga de informação que seria criada se você auditasse todo e qualquer tipo de evento. As seguintes linhas gerais podem te ajudar a planejar sua política de auditoria:
306
Auditar apenas itens pertinentes. Determine os eventos que quer auditar e considere se é mais importante rastrear sucessos ou falhas desses eventos. Você somente deve planejar auditar eventos que irão te ajudar a colher informação de rede. Arquive logs de segurança para disponibilizar um histórico documentado. Manter um histórico das ocorrências de eventos pode prover documentação que você pode usar para suportar a necessidade por recursos adicionais baseado em uso passado. Configure o tamanho dos seus logs de segurança com cuidado. Você precisa planejar o tamanho dos seus logs de segurança baseado no número de eventos que você antecipa registrar. Você pode configurar configurações de Política de Registro de Eventos sob o nó Configurações do Computador\Configurações do Windows\ Configurações de Segurança\Registro de Eventos de uma GPO.
A implementação do seu plano requer que você especifique as categorias a serem auditadas e, se necessário, configurar objetos para auditoria. Para configurar uma política de auditoria, use o seguinte procedimento. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciamento de Políticas de Grupo. 2. No Console de Gerenciamento de Políticas de Grupo expanda o container da floresta e navegue até seu domínio. Então expanda o controlador de domínio e selecione a pasta Objetos de Políticas de Grupo. As GPOs que existem atualmente no domínio aparecem na aba Conteúdo. 3. Clique com o botão direito do mouse na GPO Política Padrão do Domínio e clique em Editar. Uma janela do Editor de Gerenciamento de Políticas de Grupo para essa política será exibida. 4. Navegue ao nó Configurações do Computador\Políticas\Configurações do Windows\ Configurações de Segurança\Políticas Locais e selecione Política de Auditoria. As configurações de política de auditoria aparecem no painel da direita. 5. Dê um clique duplo na configuração de política de auditoria que deseja alterar. A janela de propriedades para a política selecionada será aberta,
307
como vemos na figura abaixo.
6. Selecione a caixa de seleção Definir essas políticas. 7. Selecione as caixas de seleção apropriadas para auditar Sucesso, Falha ou ambos. 8. Clique OK para fechar a janela de propriedades. 9. Feche o Editor e o Console de Gerenciamento de Políticas de Grupo Você agora configurou uma política de auditoria na GPO de Política Padrão do Domínio, que será propagada para todos os computadores no domínio durante a próxima atualização de política. Configurar objetos para auditoria é necessário quando você configurou uma das seguintes categorias de eventos:
Auditar Acesso a Serviços de Diretório. Esta categoria de eventos registra acesso de usuários à objetos do Active Directory como outros objetos usuários e OUs. Auditar Acesso a Objeto. Esta categoria de eventos registra acesso de usuários a arquivos, pastas, chaves de registro e impressoras.
Cada uma dessas categorias de eventos exigem passos adicionais de configuração, você deve abrir as propriedades do objeto a ser auditado e especificar as entidades de segurança ou arquivos e pastas cujos acessos você quer auditar.
308
Iniciando com o Windows server 2008, novas opções se tornaram disponíveis para a auditoria do AD DS que indicam que uma mudança ocorreu e mostram o valor antigo e o novo. Por exemplo, se você mudar a descrição de um usuário de Marketing para Treinamento, o Log de Eventos dos Serviços de Diretório irá registrar dois eventos contendo o valor original e o valor novo.
Atribuir Direitos de Usuários Como vemos na figura a seguir, as configurações de Atribuição de Direitos de Usuário no Windows Server 2012 R2 são bem completas e incluem configurações relacionadas aos direitos que os usuários precisam para realizar tarefas de sistema.
Por exemplo, um usuário logando localmente em um controlador de domínio deve ter o direito Permitir Logon Local atribuído à sua conta ou ser membro de um dos seguintes grupos: Operadores de Conta, Administradores, Operadores de Backup, Operadores de Impressão ou Operadores de Servidor. Esses grupos permitem que usuários façam login localmente pois o Windows Server 2012 R2 atribui o direito de usuário Permitir Logon Local para esses grupos por padrão na GPO Política Padrão de Controladores de Domínio (Default Domain Controllers Policy).
309
Outras configurações similares incluídas nessa coleção são relacionadas aos direitos de usuário relacionados com o desligamento do sistema, tomar privilégios de propriedade sobre arquivos e pastas, restaurar arquivos e diretórios e sincronizar dados de serviços de diretório.
Configurar Opções de Segurança O nó Opções de segurança em uma GPO, exibido na figura abaixo, inclui configurações de segurança relacionadas a logon interativo, assinatura digital de dados, restrições de acesso às unidades de disquete e CD-ROM, comportamento de instalação de driver não assinado e comportamento da caixa de diálogo de logon.
A categoria Opções de Segurança também inclui opções para configurar segurança de autenticação e de comunicação dentro do Active Directory.
Usando Modelos de Segurança Um modelo de segurança é uma coleção de configurações de segurança armazenadas como arquivos de texto com a extensão .inf. Modelos de Segurança podem conter muitos dos mesmo parâmetros de segurança de
310
GPOs. Porém, modelos de segurança apresentam esse parâmetros em uma interface unificada, permitindo que você salve suas configurações como arquivos, e simplifique o processo de implantá-las quando e onde forem necessárias. As configurações que você pode implantar por meio dos modelos de segurança incluem muitos das configurações de segurança vistas neste objetivo, incluindo políticas de auditoria, atribuições de direitos de usuário, opções de segurança, políticas de registros de eventos e grupos restritos. Por si mesmo, um modelo de segurança é uma maneira conveniente de configurar a segurança de um sistema individual. Quando você combina os modelos de segurança com Políticas de Grupo ou scripts, eles permitem que administradores mantenham a segurança de redes consistindo centenas ou milhares de computadores rodando varias versões do Microsoft Windows. Pelo uso dessas duas ferramentas juntas, administradores podem criar configurações de segurança complexas e misturar essas configurações para cada uma das várias funções que computadores realizam em suas organizações. Quando implantados por toda uma rede, modelos de segurança permitem implementar configurações de segurança consistentes, escaláveis e reproduzíveis por toda a empresa.
Usando o Console de Modelos de Segurança Modelos de Segurança são arquivos de texto que contêm configurações de segurança em uma variedade de formatos, dependendo da natureza das configurações individuais. Embora seja possível trabalhar com arquivos de modelos de segurança diretamente através de qualquer editor de texto, o Windows Server 2012 R2 disponibiliza uma interface gráfica que facilita muito o trabalho. Para criar e gerenciar modelos de segurança, você usa o snap-in do MMC chamado Modelos de Segurança. Você também pode fazer o download e instalar a ferramenta Gerenciador de Conformidade de Segurança (Security Compliance Manager - SCM) a partir do site da Microsoft; essa ferramenta tem funcionalidade similar mais uma coleção de linhas de base de segurança de sistema que podem ser usadas como ponto de partida. Por padrão, as Ferramentas Administrativas do Windows Server 2012 R2 não inclui o MMC contendo o snap-in Modelos de Segurança, então você tem que criar um por si mesmo usando a caixa de diálogo Adicionar ou Remover Snap-ins. Quando você criar um novo modelo, o console disponibiliza uma interface com a da figura abaixo.
311
O painel esquerdo do snap-in de Modelos de Segurança aponta para uma pasta padrão na qual o console por padrão armazena os arquivos de modelos que você cria. O snap-in interpreta quaisquer arquivos nesta pasta com a extensão .inf como um modelo de segurança, mesmo que as extensões não apareçam no console. Quando você cria um novo modelo no console, você vê uma exibição hierárquica das políticas no modelo e suas configurações atuais. Muitas das políticas são idênticas as daquelas em GPOs, em aparência e função. Você pode modificar as políticas em cada modelo da mesma forma que faria numa GPO.
Criar Modelos de Segurança Para criar um novo modelo de segurança do zero, use o procedimento abaixo. 1. Abra a janela Executar e digite mmc e clique em OK. 2. Clique no menu Arquivo e Adicionar/Remover snap-in. 3. Na lista de snap-ins disponíveis selecione Modelos de Segurança e clique em Adicionar. O snap-in aparece na caixa de diálogo Arquivo e Adicionar/Remover snap-in. 4. Clique em OK. O snap-in aparece no MMC. 5. Clique em Arquivo, Salvar como. Digite um nome e um local desejado para o console. 6. Expanda o nó Modelos de Segurança. 7. Clique com o botão direito na pasta com o caminho dos modelos de segurança e selecione Novo modelo.
312
8. Na janela que aparece escolha um nome para o modelo e clique OK. 9. Deixe o console aberto. Quando você cria um modelo de segurança em branco, não existem políticas definidas dentro dele. Aplicar o modelo em branco a um computador não surtirá nenhum efeito.
Trabalhando com as Configurações de Modelos de Segurança Modelos de segurança contêm muitas das mesma configurações que GPOs, então você já está familiarizado com alguns dos elementos em um modelo. Por exemplo, modelos de segurança contêm as mesma configurações de políticas locais descritas anteriormente neste capítulo, os modelos são apenas uma maneira diferente de configurar e implantar essas políticas. Modelos de segurança também disponibilizam meios para configurar as permissões associadas com arquivos, pastas, entradas de registro e serviços. Modelos de segurança possuem mais configurações que a Política Local do Computador, porque um modelo inclui opções tanto para computadores individuais quanto para computadores que participam de um domínio.
Importar modelos de segurança em GPOs A maneira mais fácil de implantar um modelo de segurança em vários computadores simultaneamente é importar o modelo em uma GPO. Após importar o modelo, as configurações do modelo se tornam parte da GPO, e os controladores de domínio da rede as implantam em todos os computadores afetados por aquela GPO. Como em qualquer implantação de Política de Grupo, você pode vincular uma GPO em qualquer domínio, site ou OU na árvore do Active Directory. As configurações na GPO são então herdadas por todos os objetos container e folhas subordinados ao objeto que você selecionou. Para importar um modelo de segurança em uma GPO, use o procedimento abaixo. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciamento de Política de Grupo. 2. No console de Gerenciamento de Política de Grupo expanda o container da floresta e navegue até seu domínio. Então expanda o container do domínio e selecione a pasta Objetos de Política de Grupo. As GPOs existentes atualmente no domínio aparecem na aba Conteúdo.
313
3. Clique com o botão direito na GPO em que você quer importar o modelo e clique em Editar. A janela do Editor de Gerenciamento de Política de Grupo será aberta. 4. Navegue até o nó Configuração do Computador\ Políticas\ Configurações do Windows \ Configurações de Segurança. Clique com o botão direito no nó Configurações de Segurança e selecione a opção Importar Política. A janela de importação de política será exibida. 5. Navegue até o arquivo do modelo de segurança que você quer importar e clique em Abrir. A configuração de políticas no modelo são copiadas para a GPO. 6. Feche o Editor e o Console de Gerenciamento de Política de Grupo.
Configurar Usuários e Grupos Locais O Windows Server 2012 R2 disponibiliza duas interfaces diferentes para criar e gerenciar contas de usuários locais: o painel de controle Contas de Usuários e o snap-in do MMC Usuários e Grupos Locais, que está incluído no console do Gerenciador do Computador. Ambas as interfaces dão acesso ao mesmo Gerenciador de Conta de Segurança (Security Account Manager - SAM) onde a informação de usuários e grupos é armazenada, então qualquer mudança que fizer usando uma interface irá aparecer na outra. A Microsoft criou o painel de controle Contas de Usuários e o snap-in do MMC Usuários e Grupos Locais para usuários de computador com diferentes níveis de experiência, eles proveem diferentes níveis de acesso ao SAM, como segue:
Contas de Usuários. Fornece uma interface simplificada com acesso limitado à contas de usuários. Usando essa interface, você pode criar contas de usuários locais e pode modificar seus atributos básicos, mas você não pode criar grupos ou gerenciar os membros dos grupos (exceto o grupo Administradores). Usuários e Grupos Locais. Fornece acesso total à usuários e grupos locais e todos os seus atributos.
Usando o Painel de Controle Contas de Usuário. O Windows Server 2012 R2 cria duas contas de usuário local durante o processo de instalação do sistema operacional: a conta Administrador e a conta Convidado. O programa de instalação pede pela senha do usuário Administrador durante a instalação, e a conta Convidado é desativada por padrão.
314
Após o processo de instalação estar completo, o sistema reinicia. Pelo fato de apenas a conta Administrador estar disponível, o computador faz logon usando essa conta. Essa conta tem privilégios administrativos, então nesse ponto você pode criar contas de usuários adicionais ou modificas as existentes. Você somente pode criar novas contas de usuários no painel de controle em computadores com o Windows Server 2012 R2 que fazem parte de um grupo de trabalho. Quando você adiciona um computador em um domínio do AD DS, você deve usar o snap-in Usuários e Grupos Locais para criar novas contas de usuário locais. Controladores de Domínio não possuem contas e usuário e grupos locais.
Por padrão, o Painel de Controle Contas de Usuário cria contas padrão. Para atribuir privilégios administrativos para um usuário local, você deve mudar o tipo de conta usando a interface mostrada na figura abaixo.
O que o Painel de Controle Contas de Usuários quer se referir com o termo tipo de conta na verdade é uma questão ser membro de um grupo ou outro. Selecionar a opção padrão adiciona a conta de usuário ao grupo Usuários Locais, e selecionar a opção Administrador adiciona o usuário ao grupo Administradores.
Usando o snap-in Usuários e Grupos Locais Por padrão, o snap-in Usuários e Grupos Locais faz parte do console Gerenciamento do Computador. Entretanto, você também pode carregar o
315
snap-in por si mesmo ou criar seu próprio MMC com qualquer combinação de snap-ins que desejar. Para criar uma conta de usuário local com o snap-in Usuários e Grupos Locais, use o seguinte procedimento. 1. No Gerenciador do Servidor, no meu Ferramentas, selecione Gerenciamento do Computador. 2. No console Gerenciamento do Computador, expanda o nó Usuários e Grupos Locais para ver uma lista dos usuários locais atuais. 3. Clique com o botão direito na pasta Usuários e selecione Novo Usuário. A janela Novo Usuário será exibida, como vemos abaixo.
4. Digite um nome para a conta de usuário. 5. Especifique um nome completo e descrição se desejar. 6. Nos campos Senha e Confirmar Senha digite uma senha para o usuário se desejar. 7. Marque as quatro caixas de seleção conforme necessário. Usuário deve alterar senha no próximo logon. Usuário não pode alterar a senha. A senha nunca expira. Desabilitar conta. 8. Clique em Criar. A nova conta é adicionada a lista de usuários e o console limpa a caixa de diálogo, deixando-a pronta para a criação de outra conta de usuário. 9. Clique em Fechar. 10. Feche o console de Gerenciamento do Computador.
316
Criar um Grupo Local Para criar um grupo local com o snap-in Usuários e Grupos Locais, use o procedimento a seguir. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciador do Computador. 2. No console Gerenciador do Computador expanda o nó Usuários e Grupos Locais e clique em Grupos para exibir uma lista dos grupos locais. 3. Clique com o botão direito na pasta Grupos e então selecione Novo Grupo. 4. Digite o nome desejado para o grupo que quer criar, se desejar digita uma descrição. 5. Clique em Adicionar. A caixa de diálogo Selecionar Usuários será exibida. 6. Na caixa de texto, digite os nomes dos usuários que você quer adicionar no grupo, separados por ponto e vírgula, e clique em OK. Você também pode digitar parte de um nome e clicar no botão Checar Nomes para completar o nome ou clique em Avançado para procurar por usuários. 7. Clique em Criar para criar o grupo e preenchê-lo com os usuários que você especificou. O console então limpa a caixa de diálogo, deixando-a pronta para a criação de outro grupo. 8. Clique em Fechar. 9. Feche o console Gerenciamento do Computador. Grupos locais não possuem atributos que podem ser configurados por usuários além da descrição e uma lista de membros, então as únicas modificações que você pode fazer quando abrir um grupo existente é informar uma descrição e adicionar e remover membros. Como mencionado antes na lição, grupos locais não podem ter outros grupos locais como membros, mas o computador for membro de um domínio do Windows, um grupo local pode ter usuários e grupos do domínio como membros.
Entendendo o Controle de Conta de Usuário (UAC) Um dos problemas de segurança mais comuns do Windows surge do fato que muitos usuários realizam suas tarefas rotineiras com mais permissões do que precisam. Fazer login como Administrador ou como usuário membro do grupo Administradores concede ao usuário acesso completo a todas as áreas do sistema operacional. Este nível de acesso ao sistema não é necessário para rodar muitas das aplicações e realizar muitas das tarefas que usuários necessitam todos os dias; é necessário apenas para algumas funções
317
administrativas, como instalar software no sistema todo e configurar parâmetros de sistema. Para a maioria dos usuários, fazer logon com privilégios administrativos todo o tempo é apenas uma questão de conveniência. A Microsoft recomenda fazer logon como um usuário padrão e usar privilégios administrativos apenas quando realmente precisar. Entretanto, muitos especialistas técnicos que fazem isso se encontram frequentemente em situações que precisam de acesso administrativo. Existe uma quantidade surpreendentemente grande de tarefas comuns do Windows que requerem acesso administrativo, e a impossibilidade de realiza-las pode afetar negativamente na produtividade de um usuário. A Microsoft decidiu resolver esse problema impedindo todos os usuários do Windows Server 2012 R2 de acessar o sistema usando privilégios administrativos a não ser que esse privilégios sejam necessários para realizar a tarefa. O mecanismo que faz isso é chamado de Controle de Conta de Usuário (User Account Control – UAC). Realizando tarefas administrativas Quando um usuário loga no Windows Server 2012 R2, o sistema emite um token, que indica o nível de acesso do usuário. Sempre que o sistema autoriza o usuário a realizar uma atividade particular, ele consulta o token para ver se o usuário possui os privilégios necessários. Em versões do Windows anteriores ao Windows Server 2008 e o Windows Vista, usuários padrão recebiam tokens de usuário padrão e membros do grupo Administradores recebiam tokens administrativos. Cada atividade realizada por um usuário administrativo era portanto autorizado usando o token administrativo resultando nos problemas descritos anteriormente. Em um computador rodando o Windows Server 2012 R2 com o UAC, um usuário ainda recebe um token de usuário padrão, mas um usuário administrativo recebe dois tokens: um de acesso de usuário padrão e um para acesso de usuário administrativo. Por padrão, usuários comuns e administrativos usam o token padrão na maioria do tempo. Quando um usuário comum tenta realizar uma tarefa que exige privilégios administrativos, o sistema exibe uma janela de credenciais, como mostra a figura abaixo, pedindo para que o usuário informe o nome e senha de uma conta com privilégios administrativos.
318
Quando um administrador tenta realizar uma tarefa que exige privilégios administrativos, o sistema troca o token de acesso de usuário padrão para o token de acesso de usuário administrativo. Isto é conhecido como Modo de Aprovação de Administrador. Antes de o sistema permitir que o usuário use o token administrativo, pode exigir que o usuário confirme que realmente está tentando realizar uma tarefa administrativa. Para fazer isso, o sistema gera um prompt de elevação, como mostra a figura abaixo. Essa confirmação previne processos não autorizados, como malware, de acessar o sistema usando privilégios administrativos.
Usando a Área de Trabalho Segura Por padrão, sempre que o Windows Server 2012 R2 exibir um prompt de elevação ou de credencial, ele se utiliza da área de trabalho segura. A área de trabalho segura é uma alternativa à área de trabalho interativa que o Windows normalmente exibe. Quando o Windows Server 2012 R2 exibe um prompt de elevação ou de credencial, ele muda para a área de trabalho segura,
319
suprimindo a operação de todos os outros controles de área de trabalho e permitindo apenas que processos do Windows interajam com o prompt. A finalidade disso é prevenir que malwares automatizem uma resposta para o prompt e contornem a resposta humana.
Configurar o UAC O Windows Server 2012 R2 habilita o UAC por padrão, mas é possível configurar suas propriedades e mesmo desabilitá-lo completamente. No Windows Server 2012 R2 existem quatro configurações disponíveis através do Painel de Ações no Painel de Controle, como vemos na figura a seguir. As quatro configurações são como segue:
Sempre Notificar Notificar Apenas Quando aplicativos tentarem fazer mudanças no computador. Notificar Apenas Quando aplicativos tentarem fazer mudanças no computador. (Não escurecer a tela) Nunca Notificar
Embora o Painel de Controle disponibilize algum controle sobre o UAC, o controle mais granular sobre as propriedades do UAC é através do nó Opções de Segurança na Política de Grupo e Política de Segurança Local.
320
6.3 - Configurar políticas de restrição de aplicação
As opções no nó de Políticas de Restrição de Software dão maior controle para prevenir a execução de aplicações potencialmente perigosas. Políticas de restrição de software são feitas para identificar software e controlar sua execução. Além disso, administradores podem controlar quem pode ser afetado pelas políticas.
Usando políticas de restrição de software O nó de Políticas de Restrição de Software é encontrado no nó Configurações do Windows\ Configurações de Segurança dentro do nó Configurações d Usuários ou no nó Configurações do Computador de uma GPO. Por padrão, a pasta Políticas de Restrição de Software está vazia. Quando você cria uma nova política, duas subpastas aparecem: Níveis de Segurança e Regras Adicionais. A pasta Níveis de Segurança permite definir o comportamento padrão a partir do qual todas as regras serão criadas. Os critérios para cada arquivo executável são definidos na pasta Regras Adicionais. Nas sessões seguintes, você aprenderá como definir o nível de segurança para uma política de restrição de software e como definir as regras que irão governar a execução de arquivos de programas.
Impondo Restrições Antes de criar quaisquer regras que governem a restrição ou permissão de arquivos executáveis, é importante entender como as regras funcionam por padrão. Se uma política não impõe restrições, arquivos executáveis funcionam baseados nas permissões que usuários e grupos possuem no sistema de arquivos NTFS. Quando considerar o uso de políticas de restrição de software, você deve determinar seu método para impor restrições. Existem três estratégias básicas para impor restrições, como a seguir:
Irrestrito. Permite que todas as aplicações rodem exceto aquelas que forem especificamente excluídas. Não Permitido. Impede que todas as aplicações rodem exceto as que foram especificamente permitidas. Usuário Básico. Impede que todas as aplicações que precisam de direitos administrativos rodem, mas permite os programas que só exigem recursos acessíveis por usuários comuns.
321
O método que você escolher depende das necessidades da sua organização em particular. Por padrão, a área de Políticas de Restrição de Software possui o valor Irrestrito na configuração de Nível de Segurança Padrão. Por exemplo, você pode querer habilitar que apenas aplicações especificadas sejam executadas em um ambiente de alta segurança. Neste caso, você iria configurar o Nível de Segurança Padrão como Não Permitido. Em contraste, em uma rede menos segura, você pode querer permitir todos executáveis a não ser que você tenha algo especificado em contrário. Isso iria requerer que você deixasse o Nível de Segurança Padrão como Irrestrito. Neste caso, você teria que criar uma regra para identificar uma aplicação antes de poder desabilitá-la. Você pode modificar o Nível de Segurança Padrão para refletir a configuração Não Permitido. Pelo fato da configuração Não Permitido assumir que todos os programas terão acesso negado a não ser que uma regra os permita serem executados, essa configuração pode causar dores de cabeça em administradores se não for completamente testada. Você deveria testar todas as aplicações que gostaria de rodar para se assegurar que elas estão funcionando corretamente. Para modificar o Nível de Segurança Padrão para Não Permitido, use o seguinte procedimento. 1. No Gerenciador do Servidor, no menu Ferramentas, selecione Gerenciamento de Política de Grupo. 2. No console de Política de Grupo expanda o container da floresta e navegue até seu domínio. Então expanda o controlador de domínio e selecione a pasta Objetos de Política de Grupo. As GPOs existentes no domínio aparecem na aba Conteúdo à direita. 3. Clique em uma GPO e selecione Editar. A janela do Editor de Gerenciamento de Política de Grupo será aberta. 4. Navegue até o nó de Políticas de Restrição de Software dentro de Configurações de Usuário ou de Configurações do Computador. 5. Clique com o botão direito em Políticas de Restrição de Software e selecione Novas Políticas de Restrição de Software. As pastas contendo as novas políticas são exibidas. 6. No painel de detalhes, dê um duplo clique em Níveis de Segurança. Note a marcação no ícone Irrestrito que é a configuração padrão. 7. Clique com o botão direito no nível de segurança Não Permitido e selecione a opção Marcar como Padrão. Uma mensagem aparece exibindo um alerta sobre a ação executada. 8. Clique em Sim, então feche o editor e o console de Gerenciamento de Política de Grupo. Você alterou o Nível de Segurança Padrão para uma política de restrição de software com sucesso.
322
Configurar Regras de Restrição de Software A funcionalidade das políticas de restrição de software depende primeiro das regras que identificam software e então das regras que governam seu uso. Quando você cria uma nova regra de política de restrição de software, a subpasta Regras Adicionais aparece. Essa pasta te permite criar regras que especificam condições sob as quais programas podem ser executados ou negados. Essas regras podem sobrepor a configuração de Nível de Segurança Padrão quando necessário. Você cria novas regras por si mesmo na pasta Regras Adicionais usando uma caixa de diálogo como a que vemos na figura a seguir.
Existem quatro tipos de regras de restrição de software que você pode usar para especificar quais programas podem ou não rodar na sua rede:
Regras de Hash Regras de Certificados Regras de Caminhos Regras de Zonas de Rede
Também existe um quinto tipo de regra – a regra padrão – que se aplica quando uma aplicação tem correspondência com nenhuma das regras que criou antes. Para configurar a regra padrão, selecione uma das políticas na
323
pasta Níveis de Segurança, e na sua janela de propriedades, clique em Marcar como Padrão. As funções dos quatro tipos de regras são explicadas nas sessões seguintes.
Regras de Hash Um hash é um série de bytes com comprimento fixo que identifica unicamente um arquivo ou programa. Um valor de hash é gerado por um algoritmo que essencialmente cria uma digital do arquivo, tornando praticamente impossível que outro programa tenha o mesmo valor. Se você criar uma regra de hash e um usuário tentar executar um programa afetado pela regra, o sistema checa o valor hash do arquivo executável e compara-o com um valor de hash armazenado na política de restrição de software. Se os dois valores casarem, as configurações da política irão ser aplicadas. Portanto, criar uma regra de hash para uma aplicação impede que ela execute se o valor do hash não estiver correto. Como o valor do hash é baseado no próprio arquivo, o arquivo continuará funcionando se você o mudar de local. Se o arquivo executável for alterado de qualquer maneira, por exemplo, se for modificado ou alterado por um vírus, a regra de hash na política de restrição de software impedirá o arquivo de ser executado.
Regras de Certificado Uma regra de certificado usa o certificado digital associado com uma aplicação para confirmar sua legitimidade. Você pode usar regras de certificado para habilitar a execução de software de uma fonte confiável ou prevenir a execução software que não vem de uma fonte confiável. Você também pode usar regras de certificado para rodar programas em áreas não autorizadas no sistema operacional.
Regras de Caminho Uma regra de caminho identifica software especificando o caminho de diretório onde a aplicação está armazenada no sistema de arquivos. Você pode usar regras de caminho para criar exceções que permitem uma aplicação ser executada quando o Nível Padrão de Segurança para políticas de restrição de software está configurado para Irrestrito. Regras de caminho podem especificar um local no sistema de arquivos onde arquivos de programas estão localizados ou uma configuração de caminho de registro. Regras de caminho de registro se certificam que os executáveis da
324
aplicação serão encontrados. Por exemplo, se um administrador usa uma regra de caminho para definir uma localização no sistema de arquivos para uma aplicação, e a aplicação for movida para um novo local, como durante uma restruturação de rede, o caminho original na regra de caminho não seria mais válida. Se a regra especifica que a aplicação não deve funcionar a não ser que esteja em um local específico, o programa não poderia rodar a partir de seu novo local. Isso poderia causar uma grande oportunidade de uma brecha de segurança caso o programa referencie informação confidencial. Por outro lado, se você criar uma regra de caminho usando o local de uma chave de registro, qualquer mudança na localização dos arquivos da aplicação não irá afetar o resultado da regra. Isso é porque quando você realoca a aplicação, as chaves de registro que aponta para os arquivos do programa são atualizadas automaticamente.
Regras de Zona de Rede Regras de zona de rede se aplicam apenas a pacotes de instalação do Windows que tentam instalar a partir de uma zona especificada, como o computador local, a intranet local, sites confiáveis, sites restritos ou a Internet. Você pode configurar esse tipo de regra para habilitar pacotes de instalação do Windows a serem instalados somente se vierem de uma área confiável da rede. Por exemplo, uma regra de zona Internet poderia restringir pacotes de instalação do Windows de serem baixados e instalados a partir da Internet ou outros locais de rede.
Usando várias regras Você pode definir uma restrição de software usando vários tipos de regras para permitir e proibir execução de programas. Usando vários tipos de regras, é possível ter uma variedade de níveis de segurança. Por exemplo, você pode querer especificar uma regra de caminho que previne a execução de programas a partir da pasta compartilhada \\Servidor1\Contabilidade e uma regra de caminho que permite a execução de programas a partir da pasta compartilhada \\Servidor1\Aplicações. Você também pode escolher incorporar regras de certificados e regras de hash em sua política. Quando implementar varias regras, o sistema aplica as regras com a seguinte ordem de precedência: 1. 2. 3. 4.
Regras de Hash Regras de Certificados Regras de Zona de Rede Regras de Caminho
325
Quando um conflito ocorre entre tipos de regras, como entre uma regra de hash e uma regra de caminho, a regra de hash prevalece pois possui precedência maior. Se um conflito acontecer entre duas regras do mesmo tipo com as mesmas configurações de identificação, como duas regras de caminho que identificam software do mesmo diretório, a configuração mais restritiva irá ser aplicada. Neste caso, se uma das regras de caminho estivesse configurada para Irrestrito e a outra Não Permitido, a política iria impor a configuração Não Permitido.
Configurar Políticas de Restrição de Software Dentro da pasta Políticas de Restrição de Software, você pode configurar três propriedades específicas para disponibilizar configurações adicionais que se aplicam a todas as políticas quando implementadas: Aplicação, Tipos de Arquivos Designados e Fornecedores Confiáveis.
Propriedades de Aplicação Como vemos na figura abaixo, as propriedades de aplicação permitem determinar se as políticas se aplicam a todos os arquivos ou se arquivos de bibliotecas, como arquivos DLL, são excluídos. Excluir DLLs é o padrão. Este é o método mais prático de aplicação. Por exemplo, se o Nível de Segurança Padrão para a política estiver configurado para Não Permitido e as propriedades de aplicação estiverem configuradas para todos os arquivos, você teria de criar uma regra que verificasse todas as DLLs antes do programa ser permitido ou bloqueado. Em contraste, excluir arquivos DLLs usando a propriedade padrão de aplicação não requer que um administrador defina regras individuais para cada arquivo DLL.
326
Propriedades de Tipos de Arquivos Designados As propriedades de tipos de arquivos designados dentro da pasta de Políticas de Restrição de Software, como vemos na figura abaixo, especificam tipos de arquivo que são considerados executáveis. Tipos de arquivos são designados como executáveis ou arquivos de programas são compartilhados por todas as regras, embora você possa especificar uma lista para uma política de computador que seja diferente de uma que seja especificada para uma política de usuário.
327
Propriedades de Fornecedores Confiáveis Finalmente, as propriedades de fornecedores confiáveis permitem a um administrador controlar como sistemas lidam com regras de certificado. Na caixa de diálogo de propriedades para os fornecedores confiáveis, exibida abaixo, a primeira configuração permite especificar quais usuários tem permissão de gerenciar fornecedores de certificados confiáveis. Por padrão, administradores do computador local têm o direito de especificar fontes confiáveis no computador local e administradores de empresa têm o direito de especificar fornecedores confiáveis em uma OU. Sob o ponto de vista da segurança, em uma rede de alta segurança, usuários não devem ter permissão de determinar os fornecedores a partir dos quais certificados possam ser obtidos. A janela de propriedades dos fornecedores confiáveis também te permite decidir se você deseja verificar se um certificado não foi revogado. Se um certificado foi revogado, o usuário não deve ter acesso aos recursos de rede. Você tem a permissão de marcar o fornecedor ou a etiqueta de tempo do certificado para determinar se ele foi revogado.
Usando o AppLocker Políticas de restrição de software podem ser uma ferramenta poderosa, mas elas também podem exigir uma grande sobrecarga administrativa. Se você decidir desautorizar todas as aplicações exceto aquelas que coincidem com regras que você criou, existem muitos programas no próprio Windows Server 2012 R2 que precisam de regras, além das aplicações que você desejar
328
instalar. Administradores devem criar as regras manualmente, o que pode ser uma tarefa onerosa. Applocker, também conhecido como políticas de controle de aplicativos, é um recurso do Windows que é essencialmente uma versão atualizada do conceito implementado nas políticas de restrição de software. O Applocker também usa regras, as quais administradores devem gerenciar, mas o processo de criação das regras é muito mais fácil, graças a uma interface baseada em assistente. O Applocker é também muito mais flexível do que as políticas de restrição de software. Você pode aplicar regras do Applocker a usuários e grupos específicos e também criar regras que suportem todas as futuras versões de uma aplicação. A desvantagem primária do Applocker é que você somente pode aplicar as políticas em computadores rodando o Windows 7 e Windows Server 2008 R2 ou versões mais novas.
Entendendo Tipos de Regras As configurações do Applocker estão localizadas em GPOs no container Configuração do Computador \ Configurações do Windows\ Configurações de Segurança\ Políticas de Controle de Aplicações\ Applocker, como mostra a figura abaixo.
329
No container Applocker, existem quatro nós que contêm os tipos básicos de regras: 1. Regras Executáveis. Contem regras que se aplicam em arquivos com extensão .exe e .com 2. Regras do Windows Installer. Contem regras que se aplicam a pacotes de instalação do Windows com a extensão .msi e .msp 3. Regras de Script. Contem regras que se aplicam a arquivos de script com as extensões .ps1, .bat, .cmd, .vbs e .js 4. Regras de Aplicativos Empacotados. Contem regras que se aplicam a aplicativos comprados através da Loja do Windows (Windows Store) Cada uma das regras que você cria nesses containers pode permitir ou bloquear acesso a recursos específicos baseado em um dos critérios abaixo:
Fonte. Identifica o código assinado de aplicações por meio de uma assinatura digital extraída de um arquivo de aplicativo. Você também pode criar regras Fonte que se aplicam a todas as versões futuras de um aplicativo. Caminho. Identifica aplicações especificando um arquivo ou nome de pasta. A vulnerabilidade potencial deste tipo de regra é que qualquer arquivo pode coincidir com a regra, desde que possua o nome ou localização corretos. Arquivo Hash. Identifica aplicações baseado em uma impressão digital que permanece válida mesmo quando o nome e o local do arquivo são alterados. Esse tipo de regra funciona da mesma forma que o seu equivalente nas políticas de restrição de software; no Applocker, porém, o processo de criação das regras e de geração dos hashes é muito mais fácil.
Criando Regras Padrão Quando ativado, o Applocker bloqueia todos os executáveis, pacotes de instalação e scripts (exceto aqueles especificados nas regras de permissão) por padrão. Logo, para usar o Applocker você deve criar regras que permita usuários a acessar os arquivos necessários para o Windows e as aplicações instaladas funcionarem corretamente. A maneira mais fácil de fazer isso é clicar com o botão direito do mouse em cada um dos containers de regras e selecionar a opção Criar Regras. As regras padrão para cada container são regras que você pode replicar, modificar ou deletar conforme necessário. Você também pode criar suas próprias regras, desde que você seja cuidadoso para prover acesso a todos os recursos que o computador precise para rodar o Windows.
330
Para usar o Applocker, o serviço de Identificação de Aplicação deve estar rodando. Por padrão, este serviço usa o tipo de inicialização manual, então você deve iniciá-lo você mesmo no console de Serviços antes do Windows poder aplicar as políticas do Applocker
Criando Regras Automaticamente A maior vantagem do Applocker sobre as políticas de restrição de software é a habilidade de criar regras automaticamente. Quando você clica com o botão direito do mouse em um dos containers de regras e seleciona a opção Gerar Regras Automaticamente, é iniciado o Assistente Gerar Regras Automaticamente. Após especificar a pasta a ser analisada e os usuários ou grupos aos quais as regras devam se aplicar, você irá ver uma página de Preferências de Regras, permitindo especificar os tipos de regras que deseja criar. O assistente então mostra um sumário dos seus resultados e adiciona as regras no container.
Criando Regras Manualmente Além de criar regras automaticamente, você pode cria-las manualmente através de uma interface baseada em assistente, para isso selecione a opção Criar Nova Regra do menu de atalho de um dos containers de regras. O assistente te solicitará a seguinte informação:
Ação. Especifique se você quer permitir ou negar o acesso do usuário ou grupo ao recurso. No Applocker, regras de negação explícitas sempre sobrescrevem regras de permissão. Usuário ou Grupo. Especifica o nome do usuário ou grupo ao qual a política deve se aplicar. Condições. Especifica se quer criar uma regra de fonte, caminho ou hash. O assistente gera uma página adicional para qual opção você selecionar, permitindo configurar seus parâmetros. Exceções. Permite especificar exceções a regra que você está criando por meio de qualquer uma de três condições: fonte, caminho ou hash.
6.4 – Configurar o Firewall do Windows Você pode ter trancado a porta do datacenter, mas os computadores permanecem conectados na rede. Uma rede é outro tipo de porta, ou melhor uma série de portas, que permitem que dados entrem e saiam. Para fornecer
331
serviços aos seus usuários, algumas dessas portas devem estar abertas pelo menos por algum tempo, mas administradores de servidores devem se assegurar que apenas as portas corretas são deixadas abertas. Um firewall é um software que protege um computador ou uma rede permitindo a entrada e saída de alguns tipos de tráfego enquanto bloqueia outros. Um firewall é essencialmente uma série de filtros que examinam o conteúdo dos pacotes de rede e os padrões de tráfego vindo e saindo da rede para determinar quais pacotes serão permitidos passar. O objetivo de um firewall é permitir todo o tráfego que usuários legítimos precisam para realizar suas tarefas atribuídas e bloquear todo o resto. Note que quando você esta trabalhando com firewalls, você não está preocupado com assuntos como autenticação e autorização. Estes são mecanismos que controlam quem pode passar pelas portas abertas do servidor. o firewall determina quais portas ficam abertas e quais ficam fechadas.
Entendendo as configurações do Windows Firewall O Windows Server 2012 R2 inclui um programa de firewall chamado Windows Firewall, que está ativado por padrão em todos os sistemas. Em sua configuração padrão, o Windows Firewall bloqueia a maioria do tráfego de rede de entrar no computador. Firewalls funcionam examinando o conteúdo de cada pacote entrando e saindo do computador e comparando a informação que encontram com uma série de regras, as quais especificam quais pacotes têm passagem permitida pelo firewall e quais são bloqueados. O protocolo TCP/IP é usado por sistemas Windows para comunicar funções por meio do empacotamento dos dados de aplicações usando uma série de protocolos empilhados que definem de onde os pacotes vieram e para onde estão indo. Os três critérios mais importantes que os firewalls podem usar em suas regras são os seguintes:
Endereços IP. Os endereços IP identificam hosts específicos na rede. Você pode usar os endereços IP para configurar um firewall para somente permitir que tráfego de computadores específicos ou redes específicas saia e entre. Números de Protocolo. Os números de protocolo especificam se o pacote contém tráfego TCP ou UDP. Você pode filtrar números de protocolo para bloquear pacotes contendo certos tipos de tráfego. Os computadores Windows normalmente usam UDP para trocas curtas de mensagens, como transações DNS e DHCP. Os pacotes TCP normalmente carregam quantidades muito maiores de dados, como os arquivos trocados por servidores web, de arquivo e/ou de impressão.
332
Números de Porta. Números de porta identificam aplicações específicas rodando no computador. As regras de firewall mais comuns usam números de porta para especificar os tipos de tráfego de aplicação que o computador tem permissão de enviar e receber. Por exemplo, um servidor web normalmente recebe pacotes na porta 80. A não ser que o firewall possua uma regra abrindo a porta 80 para tráfego de entrada, o servidor web não poderá funcionar em sua configuração padrão.
Regras de firewall podem funcionar de duas maneiras:
Permitir todo o Tráfego, exceto o que coincidir com as regras aplicadas Bloquear todo o Tráfego, exceto o que coincidir com as regras aplicadas
Geralmente, bloquear todo o tráfego por padrão é mais seguro. Do ponto de vista do administrador do servidor, você começa com um sistema completamente fechado, e então começa a testar suas aplicações. Quando uma aplicação não funciona corretamente devido ao bloqueio do acesso à rede, você cria uma regra que abre as portas que a aplicação precisa para se comunicar. Este é o método que o Windows Firewall usa por padrão para o tráfego de entrada. Existem regras padrão pré-configuradas no firewall que foram feitas para permitir o tráfego usado pelas funções de rede padrão do Windows, como compartilhamento de arquivos e impressoras. Para o tráfego de rede de saída, o Windows firewall usa outro método, permitindo todo o tráfego a passar exceto aquele que coincidir com uma regra de bloqueio.
Trabalhando com o Windows Firewall O Windows Firewall é um único programa com um conjunto de regras, mês existem duas interfaces distintas que você pode usar para gerenciá-lo e monitorá-lo. O applet de controle do Windows Firewall fornece uma interface simplificada que permite que administradores evitem os detalhes de regras e números de portas. Se você só quiser ligar e desligar o Firewall (tipicamente para fins de teste ou de resolução de problemas) ou trabalhar com as configurações do firewall de uma função ou recurso específico do Windows, você pode fazê-lo usando apenas o painel de controle. Para acesso completo as regras do firewall e funções mais sofisticadas, você deve usar o console do Windows Firewall com Segurança Avançada, como discutido mais tarde nesse capítulo. Em muitos casos, administradores nunca têm de trabalhar diretamente com o Windows Firewall. Muitas das funções e dos recursos incluídos no Windows Server 2012 R2 automaticamente abrem as portas apropriadas no firewall
333
quando você os instala. Em outras situações, o sistema avisa sobre questões com o firewall. Por exemplo, a primeira vez que você abre o Explorador de Arquivos e tenta acessar a rede, um aviso aparece, te avisando que a Descoberta de Rede e o Compartilhamento de Arquivos estão desligados , te impedindo de navegar pela rede. A Descoberta de Rede é apenas um conjunto de regras do firewall que regulam as portas que o Windows usa para navegação pela rede, especificamente as portas 137, 138, 1900, 2869, 3702, 5355 e 5358. Por padrão, o Windows Server 2012 R2 desabilita as portas de entrada associadas com essas portas, então as portas estão fechadas, bloqueando todo o tráfego através delas. Quando você clica no banner de aviso e escolhe Ativar a Descoberta de Rede e o Compartilhamento de Arquivos, você está efetivando essas regras do firewall, portanto abrindo as portas associadas com elas. Além dos comandos do menu acessíveis através do banner de aviso, você pode controlar as regras da Descoberta de Rede e o Compartilhamento de Arquivos de outras formas. O painel de controle da Central de Rede e Compartilhamento, através da sua página de Configurações Avançadas de Compartilhamento, fornece opções que você pode usar para ligar ou desligar a Descoberta de Rede, o Compartilhamento de Arquivos e outras funções básicas de rede. O painel de controle do Windows Firewall possui um link chamado Permitir um Aplicativo ou Recurso através do Windows Firewall, que exibe a caixa de diálogo Aplicativos Permitidos. A caixa de seleção Descoberta de Rede nesta caixa de diálogo permite controlar o mesmo conjunto de regras que o painel de controle da Descoberta de Rede na Central de Rede e Compartilhamento. Por fim, você pode acessar as regras individuais da Descoberta de Rede usando o console do Windows Firewall com Segurança Avançada. Quando você seleciona o nó Regras de entrada e percorre a lista, você pode ver as nove regras da Descoberta de Rede. Como você pode ver examinando as regras no console, a Descoberta de Rede é uma função complexo do Windows que seria difícil de controlar se você tivesse de determinar por tentativa e erro quais portas ela usa. Isso é a razão pela qual o Windows Firewall inclui uma grande coleção de regras que regulam as portas que as aplicações e serviços incluídos com o sistema operacional precisam para funcionar.
334
Usando o applet do Windows Firewall no painel de controle O applet do Windows Firewall no painel de controle fornece o acesso mais fácil e seguro aos controles do firewall. Esses controles normalmente são suficientes para a maioria dos administradores de servidor, a não ser que o sistema possua requisitos especiais, ou você estiver trabalhando com aplicações customizadas. Quando você abre o Windows Firewall através do painel de controle, como mostra a figura abaixo, você vê a seguinte informação:
Se o computador está conectado a uma rede de domínio, privada ou pública Se o serviço do Windows Firewall está ligado ou desligado Se as conexões de entrada ou saída estão bloqueadas O nome da rede ativa atual Se os usuários são notificados quando uma aplicação é bloqueada ou não
No lado esquerdo da janela estão uma série de links, que fornecem as seguintes funções:
Permitir um Aplicativo ou Recurso através do Windows Firewall. Abre a caixa de diálogo Aplicativos Permitidos, na qual você pode selecionar as aplicações que podem enviar tráfego pelo firewall.
335
Alterar configurações de notificação. Abra a caixa de diálogo Customizar Configurações, na qual você pode ajustar as configurações de notificação para cada um dos três perfis. Restaurar Padrões. Retorna todas as configurações do firewall para o padrão de instalação. Configurações Avançadas. Executa o console do Windows Firewall com Configuração Avançada. Solucionar Problemas com a Rede. Executa o aplicativo Solucionar Problemas – Rede e Internet.
Customizando Configurações Muitos dos links na janela do Windows Firewall apontam para o mesmo lugar: uma caixa de diálogo Customizar Configurações que contém controles para alguns das funções mais básicas do firewall. A caixa de diálogo Customizar Configurações, mostrada na figura abaixo, é organizada de acordo com três áreas, correspondendo aos três perfis em um computador Windows . o Windows Firewall usa esse perfis para representar o tipo de rede em que o servidor está conectado. Os perfis são como segue:
Público. O perfil público (ou convidado) é pensado para que estão acessíveis para usuários não autenticados ou temporários, como computadores em um laboratório aberto ou quiosque. Privado. O perfil privado foi feito para servidores em uma rede interna que não é acessível a usuários não autenticados. Domínio. O perfil de rede é aplicado para servidores que são membros de um domínio do AD DS no qual todos os usuários são identificados e autenticados.
336
No Windows Firewall, os três perfis são essencialmente conjuntos separados de regras que se aplicam somente aos computadores conectados ao tipo de rede designado. Administradores podem controlar o ambiente para cada tipo de rede definindo regras e configurações separadas para cada perfil. A caixa de diálogo Customizar Configurações possui os seguintes controles para cada um dos três perfis de rede:
Ligar ou Desligar o Windows Firewall. Liga ou desliga o Windows Firewall para o perfil selecionado. Bloquear todas as conexões de entrada, incluindo aquelas na lista de aplicações permitidas. Permite aumentar a segurança do seu sistema bloqueando todas as tentativas não solicitadas de conexão ao seu computador. Notificar-me quando o Windows Firewall bloquear um aplicativo novo. Faz o sistema notificar o usuário quando uma aplicação falhar ao tentar enviar tráfego através do Windows Firewall.
337
Permitindo Aplicações Existem momentos em que administradores podem necessitar modificar as configurações do firewall de outras maneiras, tipicamente por uma aplicação especifica necessitar de acesso a uma porta não antecipada pelas regras padrão do firewall. Para fazer isso, você pode usar a caixa de diálogo Aplicativos Permitidos no painel de controle do Windows Firewall, como mostra a figura abaixo.
Abrir uma porta em um firewall de um servidor é uma atividade perigosa. Quanto mais portas abertas você coloca em um muro, maior a probabilidade de intrusos entrarem. O Windows Firewall disponibiliza dois métodos básicos para abrir um buraco em seu firewall: abrir uma porta e permitir uma aplicação. Ambas são arriscadas, mas a segunda é menos. Isso é porque quando você abre uma porta criando uma regra no console do Windows Firewall com Segurança Avançada, a porta fica aberta permanentemente. Quando você permite uma aplicação através do painel de controle, a porta especificada fica aberta somente enquanto o programa está rodando. Quando você finaliza o programa, o firewall fecha a porta.
338
Versões anteriores do Windows chamam aplicações permitidas de exceções, significando que elas são exceções nas regras gerais do firewall que fecham todas as portas do computador contra intrusos. Você deve estar preparado para ver os dois termos no exame.
As aplicações listadas na caixa de diálogo Aplicações Permitidas são baseadas nas funções e recursos instalados no servidor. Cada aplicação listada corresponde a uma ou mais regras do firewall, as quais o painel de controle ativa e desativa conforme necessário. Ao contrário das versões anteriores, a versão do painel de controle do Windows Firewall no Windows Server 2012 R2 não fornece acesso direto aos números de porta. Para mais controle preciso sobre o firewall, você deve usar o console Windows Firewall com Segurança Avançada, que você pode acessar clicando em Configurações Avançadas no painel de controle do Windows Firewall ou selecionando-o no menu Ferramentas do Gerenciador do Servidor.
Usando o console do Windows Firewall com Segurança Avançada O painel de controle do Windows Firewall é feito para permitir usuários avançados e administradores gerenciarem configurações básicas de firewall. Para acesso completo as configurações do Windows Firewall, você deve usar o snap-in do MMC chamado Windows Firewall com Segurança Avançada. Para abrir o console, abra o Gerenciador e no menu Ferramentas selecione Windows Firewall com Segurança Avançada. O console do Windows Firewall com Segurança Avançada será aberto, como mostra a figura a seguir.
339
Definir Configurações de Perfis No topo do painel central do console do Windows Firewall com Segurança Avançada, na seção Visão Geral, são exibidos os status para os três perfis de locais de rede. Se você conectar um computador em uma rede diferente (o que não acontece normalmente com um servidor), o Windows Firewall pode carregar um perfil diferente e um conjunto diferente de regras. A configuração padrão do Windows Firewall possui as mesmas configurações básicas para os três perfis, como segue:
O firewall está ligado. O tráfego de entrada fica bloqueado a não ser que coincida com uma regra. O tráfego de saída é permitido a não ser que coincida com uma regra.
Você pode alterar o comportamento padrão clicando no link de propriedades do Windows Firewall, que mostra a caixa de diálogo Windows Firewall com Segurança Avançada no Computador Local. Nesta caixa de diálogo, cada um dos três perfis de rede possui uma aba com controles idênticos que permitem modificar as configurações padrão do perfil. Você por exemplo, configurar o firewall para se desligar completamente quando estiver conectado numa rede de domínio e você pode configurar o firewall para iniciar com suas configurações mais protegidas quando você conecta em uma rede pública. Você também pode configurar as opções de notificação do firewall, seu comportamento de registro de log, e como reage quando as regras conflitam.
Criar Regras As aplicações permitidas que você configura no painel de controle do Windows Firewall são um método relativamente amigável para se trabalhar com regras de firewall. No console Windows Firewall com Segurança avançada, você pode trabalhar com as regras em seu formato cru. Selecionar Regras de Entrada ou Regras de Saída no painel da esquerda mostra uma lista de todas as regras que operam nessa direção, como vemos na figura abaixo. As regras que estão atualmente operacionais possuem uma marca de visto dentro de um círculo verde; as regras que não estão ativas ficam indisponíveis.
340
Criar novas regras usando essa interface fornece flexibilidade muito maior do que o painel de controle do Windows Firewall. Quando você clica com o botão direito em Regras de Entrada (ou Regras de Saída) e seleciona a opção Nova Regra, o Assistente Nova Regra de Entrada (ou de Saída) te acompanha pelo processo de configuração dos seguintes conjuntos de parâmetros.
Tipo de Regra. Especifica se você quer criar uma regra de programa, uma regra de porta, uma variante de uma das regras pré-configuradas ou uma regra customizada. Este seleção determina quais das páginas a seguir o assistente irá exibir. Programa. Especifica se a regra se aplicará a todos os programas, a um programa específico ou a um serviço específico. Isso é o equivalente de definir uma aplicação permitida no painel de controle do Windows Firewall, exceto que você deve especificar o caminho exato para a aplicação. Protocolo e Portas. Especifica o protocole de rede ou de camada de transporte ou as portas local e remota as quais a regras se aplica. Isso permite especificar os tipos exatos de tráfego que a regra deve permitir ou bloquear. Para criar regras desta maneira, você deve estar familiarizado com os protocolos e portas que uma aplicação usa para se comunicar nas duas pontas da conexão. Regras Predefinidas. Especifica quais regras predefinidas relacionadas a requisitos específicos de conectividade de rede o assistente deve criar. Escopo. Especifica os endereços IP dos sistemas local e remoto aos quais a regra se aplica. Isso te permite bloquear ou permitir tráfego entre computadores específicos. Ação. Especifica a ação que o firewall deve tomar quando pacotes coincidirem com a regra. Você configura a regra para permitir tráfego se for bloqueado por padrão ou bloqueia tráfego se for permitido por padrão. Você também pode configurar a regra para permitir tráfego somente quando a conexão entre os computadores comunicantes estiver segura através do uso do IPsec.
341
Perfil. Especifica o perfil ao qual a regra de se aplicar: domínio, privado ou público. Nome. Especifica um nome e uma descrição (opcional) para a regra.
As regras que você cria usando os assistentes vão de simples regras de programas, como aqueles que você pode criar no painel de controle do Windows Firewall, até regras altamente complexas e específicas que bloqueiam ou permitem apenas tipos específicos de tráfego entre computadores específicos. Quanto mais complicadas as regras se tornam, entretanto, mais você precisa conhecer sobre comunicações TCP/IP em geral e o comportamento específico de suas aplicações. Modificar as configurações padrão do firewall para acomodar algumas aplicações especiais é relativamente simples, mas criar uma configuração de firewall inteiramente nova é uma tarefa formidável.
Importar e Exportar Regras O processo de criar e modificar regras no console do Windows Firewall com Segurança Avançada pode levar muito tempo, e repetir o processo em vários computadores levaria ainda mais tempo. Portanto, o console torna possível salvar as regras e configurações que você criou exportando-as para um arquivo. Um arquivo de política é um arquivo com a extensão .wfw que contém todas as propriedades em uma instalação do Windows Firewall e todas as suas regras, incluindo as regras pré-configuradas e aquelas que você criou ou modificou. Para criar um arquivo de política, selecione Exportar Política no menu Ação no console do Windows Firewall com Segurança Avançada, e então especificar um nome e local para o arquivo. Quando você importa políticas de um arquivo, o console te avisa que todas as regras e configurações serão sobrescritas. Você deve portanto ter cuidado para não criar regras customizadas em um computador e então esperar importar outras regras através de um arquivo de política.
Criar Regras através de Políticas de Grupo O console do Windows Firewall com Segurança Avançada torna possível criar configurações complexas de firewall, mas o Windows Firewall ainda é uma aplicação feita para proteger um único computador de intrusos. Se você possui um grande número de servidores rodando o Windows Server 2012 R2, criar
342
manualmente uma configuração complexa de firewall em cada um pode ser um processo demorado. Portanto, como a maioria das tarefas de configuração do Windows, administradores podem distribuir configurações de firewall aos computadores da rede usando Política de Grupo. Quando você edita uma GPO e navega até o nó Configurações do Computador/ Políticas/ Windows Firewall com Segurança Avançada, você vê uma interface que é quase idêntica ao console do Windows Firewall com Segurança Avançada. Você pode configurar as propriedades do Windows Firewall e criar regras de entrada, de saída e regras de segurança de conexão, da mesma forma que faria no console. A diferença é que você pode então implantar essas configurações em computadores em qualquer lugar na rede vinculando a GPO a um objeto domínio do AD DS, site ou OU. Quando você abre uma nova GPO, o nó do Windows Firewall com Segurança Avançada não contém nenhuma regra. As regras pré-configuradas que você encontra em todo computador rodando o Windows Server 2012 R2 não estão lá. Você pode criar novas regras para serem implantadas na rede, ou você pode importar configurações a partir de um arquivo de políticas, assim como faria no console do Windows Firewall com Segurança Avançada. As Políticas de Grupo não sobrescrevem toda a configuração do Windows Firewall da forma que importar um arquivo e política faz. Quando você implanta regras de firewall e configurações através das Políticas de Grupo, as regras na GPO são combinadas com as regras existentes nos computadores alvo. A única exceção é quando você implanta regras com nomes idênticos as regras já existentes. Nesse caso, as configurações da GPO sobrescrevem aquelas encontradas nos computadores alvo.
Criar Regras de Segurança de Conexão O Windows Server 2012 R2 também inclui um recurso que incorpora a proteção de dados do IPsec ao Windows Firewall. Os padrões de Segurança IP (IPsec) são uma coleção de documentos que definem métodos para proteger dados enquanto estão em trânsito sobre uma rede TCP/IP. O IPsec inclui uma rotina de estabelecimento de conexão, durante a qual computadores se autenticam um ou outro antes de transmitir dados, e uma técnica chamada tunelamento, na qual pacotes de dados são encapsulados dentro de outros pacotes para protegê-los. Além das regras de entrada e saída, o console do Windows Firewall com Segurança Avançada permite criar regras de segurança de conexão através do Assistente para Nova Regra de Segurança de Conexão. Regras de Segurança
343
de Conexão definem o tipo de proteção que você quer aplicar as comunicações que conformam com as regras do Windows Firewall. Quando você clica com o botão direito no nó Regras de Segurança de Conexão e seleciona Nova Regra no menu de atalho, o Assistente para Nova Regra de Segurança de Conexão te acompanha pelo processo de configuração dos seguintes conjuntos de parâmetros:
Tipo de Regra. Especifica a função básica da regra, como isolar computadores baseado em critérios de autenticação, para isolar certos computadores (como servidores de infraestrutura) da autenticação, para autenticar dois computadores específicos ou grupos de computadores, ou tunelar a comunicação entre dois computadores. Você também pode criar regras customizadas combinando essas funções. Pontos de Extremidade (Endpoints). Especifica os endereços IP dos computadores que irão estabelecer a conexão antes de transmitir quaisquer dados. Requisitos. Especifica se a autenticação entre os dois computadores deve ser solicitada ou requerida em cada direção. Método de Autenticação. Especifica o tipo de autenticação que computadores devem usar quando estabelecem uma conexão. Perfil. Especifica o perfil ao qual a regra deve ser aplicada: domínio, privado ou público. Nome. Especifica um nome e descrição (opcional) para a regra.
344