students to business – 2013/1 infraestrutura de redes fase 1
TRANSCRIPT
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
FASE 1
Agenda 1/3
Agenda 2/3
Agenda 3/3
Organização das Aulas• Horário de Aula • Horário do Intervalo• Método de Aulas/Laboratórios• Acesso a internet• Celular no Silencioso
Laboratório• VMware Player• Mídias de instalação disponíveis• Slides e Documentos de Laboratório < endereço pasta compartilhada>
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Redes de Computadores Revisão
FASE 1
Representação Binária 1 bit é a menor unidade de informação no sistema
computacional 1 Caractere = 8 bits
Caractere Representação Binária
A 01000001
B 01000001
C 01000011
D 01000100
E 01000101
F 01000110
G 01000111
Representação Binária
– Computadores trabalham com linguagem binária.
– Seres humanos utilizam o sistema numérico decimal.
– Necessidade de conversão dos números binários para números decimais e vice-versa.
Conversão Decimal -> Binária
– Encadeamento de divisões por 2 (dois).
Tomemos como exemplo o numero 156:
156 /20 78 /2
0 39 /21 19 /2
1 9 /21 4 /2
0 2 /20 1
156 = 10011100
Conversão Binária -> Decimal
– Os números binários podem ser convertidos em números decimais multiplicando os dígitos binários pelo número base do sistema, o qual é Base 2, e elevando-os ao expoente da sua posição.
0 X 20 = 0
0 X 21 = 0
0 X 22 = 0
0 X 23 = 0
1 X 24 = 16
1 X 25 = 32
1 X 26 = 64
0 X 27 = 0
= 112
Exemplo:00001110
O que é uma rede?
Podemos definir o conceito de rede como sendo um agrupamento de entidades que se comunicam, trocam e compartilham informações entre si
O que é uma rede de computadores?Redes de computadores seria o agrupamento de ativos (computadores, comutadores, roteadores, entre outros) que utilizam regras de comunicação (protocolos) para o compartilhamento de informações e recursos entre si.
Funções de um computador em rede
Banco de Banco de dadosdados
Computador cliente
Servidores de serviços de Servidores de serviços de diretóriodiretório
Servidores de emailsServidores de emailsServidores de banco Servidores de banco
de dadosde dados
Banco de Banco de dadosdados
Servidores de faxServidores de fax
Serviços de arquivos e Serviços de arquivos e impressãoimpressão
Adaptadores de rede– Receber dados e convertê-los em sinais elétricos– Receber sinais elétricos e convertê-los em dados– Determinar se os dados recebidos são de um
computador em particular
Topologias
SegmentoSegmento
Concentrador
Anel
Barramento Estrela
Tipos de redeRede Local
(LAN)
Rede de Longa distância
(MAN / WAN)
Transmissão dos dados
Unicast
Broadcast
Multicast
Símbolos
Roteador HUB
Bridge Switch
Gateway
Concentradores (Hub)
Concentrador
– Repetidores multiporta
Bridges
Ponte
Switch
Comutador
Roteador
Roteador
RoteadorRoteador
Roteador
Equipamentos
HUB SWITCH
BRIDGE ROTEADOR
Protocolos
Modelo OSI
AplicaçãoAplicaçãoAplicaçãoAplicação
ApresentaçãoApresentaçãoApresentaçãoApresentação
SessãoSessãoSessãoSessão
TransporteTransporteTransporteTransporte
RedeRedeRedeRede
EnlaceEnlaceEnlaceEnlace
FísicaFísicaFísicaFísica
•O modelo de referência OSI é o modelo fundamental para comunicações em rede.
• Reduz a complexidade;
• Padroniza as camadas;
• Facilita o desenvolvimento;
• Simplifica o ensino
Características das camadas
AplicaçãoAplicaçãoAplicaçãoAplicação
ApresentaçãoApresentaçãoApresentaçãoApresentação
SessãoSessãoSessãoSessão
TransporteTransporteTransporteTransporte
RedeRedeRedeRede
EnlaceEnlaceEnlaceEnlace
FísicaFísicaFísicaFísica
• destina-se aos serviços de comunicação para aplicativos• telnet, http, smtp
• define em que formato os dados serão apresentados
• define como iniciar, controlar e finalizar conversações (sessões) entre as entidades
• escolhe protocolos que oferecem ou não recuperação de erros (TCP/UDP)
• Entrega fim a fim de pacotes• IP (endereço lógico)
• Responsável pela entrega e recepção de quadros• Endereço MAC
• Se comunica diretamente com o controlador da interface de rede.
Modelo OSI no mundo real
AplicaçãoAplicaçãoAplicaçãoAplicação
ApresentaçãoApresentaçãoApresentaçãoApresentação
SessãoSessãoSessãoSessão
TransporteTransporteTransporteTransporte
RedeRedeRedeRede
EnlaceEnlaceEnlaceEnlace
FísicaFísicaFísicaFísica
www.microsot.com Servidor WEB
IP: 10.1.1.5 IP: 200.200.200.10
HTTP
TCP/UDPSrc: 5152
Dest: 80
IPSrc: 10.1.1.5
Dest: 200.200.200.10
MACSrc XX-XX-XX-XX
Dest: XX-XX-XX-XX
MAC: 00-16-E9-74-1D-27 MAC: 02-E8-E9-04-1A-22
AplicaçãoAplicaçãoAplicaçãoAplicação
ApresentaçãoApresentaçãoApresentaçãoApresentação
SessãoSessãoSessãoSessão
TransporteTransporteTransporteTransporte
RedeRedeRedeRede
EnlaceEnlaceEnlaceEnlace
FísicaFísicaFísicaFísica
Src 00-16-E9-74-1D-27
Dest: 02-E8-E9-04-1A-22
Src 10.1.1.5
Dest: 200.200.200.10
ACK
Modelo TCP/IP
•É um conjunto de protocolos ou regras desenvolvidas para a cooperação entre computadores para que compartilhem recursos através de uma rede.
Camada de Aplicação
•Trata de protocolos de alto nível, questões de representação, codificação e controle de diálogos.
Camada de Transporte
•Oferece serviços de transporte desde o host de origem até o host de destino. Ela forma uma conexão lógica entre dois pontos da rede.
Camada de Internet
•A finalidade da camada de Internet é escolher o melhor caminho para os pacotes viajarem através da rede. O principal protocolo que funciona nessa camada é o IP (Internet Protocol).
Camada de Acesso a Rede
•É a camada que cuida de todas as questões necessárias para que um pacote IP estabeleça efetivamente um link físico com os meios físicos da rede.
OSI x TCP/IP
Endereço IP
•Para que dois sistemas quaisquer comuniquem-se, eles precisam ser capazes de se identificar e localizar um ao outro.
•Cada computador em uma rede TCP/IP deve receber um identificador exclusivo, ou endereço IP. Esse endereço, operando na camada 3, permite que um computador localize outro computador na rede.
Endereçamento IP
•Para acomodar redes de diferentes tamanhos e ajudar na classificação dessas redes, os endereços IP são divididos em grupos chamados classes.
•Cada endereço IP é dividido em uma parte da rede e uma parte do host.
Classes de IP
Classe A
Classe B
Classe C
Rede Host Host Host
Rede Rede Host Host
Rede Rede Rede Host
32 Bits
16 Bits8 Bits
32 Bits
32 Bits
8 Bits16 Bits
16 Bits 16 Bits
Faixa de Endereçamento IP
Classe Faixa de Endereçamento
A 0.0.0.0 a 127.255.255.255
B 128.0.0.0 a 191.255.255.255
C 192.0.0.0 a 223.255.255.255
D 224.0.0.0 a 239.255.255.255
E 240.0.0.0 a 247.255.255.255
Subnetting
•Talvez o aspecto mais reconhecível de sub-redes é a máscara de sub-rede. Assim como endereços IP, uma máscara de sub-rede contém quatro bytes (32 bits) e é frequentemente escrito utilizando a mesma notação decimal. Por exemplo, uma máscara muito comum na sua representação binária:
11111111 11111111 11111111 00000000
É equivalente a 255.255.255.0 em notação decimal
Subnetting
•Endereço IP + mascara de sub-rede trabalham juntos
•Máscaras de sub-rede válidas contém duas partes: o lado esquerdo todos os bits definidos por “1” (parte da rede) e o lado direito com todos os bits definidos por “0” (parte do host)
11111111 00000000 00000000 00000000
11111111 11111111 00000000 00000000
11111111 11111111 11111111 00000000
Cenário
•Endereço Classe C: 216.21.5.0
Rede 1
Rede 2
Rede 3
Rede 4 Rede 5
Passos
1.Determinar o número de redes e converter para binário
2.Reservar os bits da mascara de sub-rede e achar o seu incremento
3.Usar este incremento para achar os intervalos entre as redes
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Visão Geral do Windows Server 2012DNS, instalação e configuração
FASE 1
AgendaLição 1 - Visão geral do Windows 2012
1. A nova interface de navegação2. O Novo Windows Server Manager3. Como Adicionar Roles e Features4. Verificando a configuração de TCP/IP
Lição 2 - DNS, instalação e configuração1. Compreendendo a Resolução de Nomes e a estrutura de DNS2. Instalando o serviço de DNS3. Verificando as configurações disponíveis4. Criando uma Zona de DNS5. Criando entradas A, SRV, NS, CNAME, PTR e MX
Descubra o Windows Server 2012
Além da virtualização Plataforma de virtualização completa Escalabilidade e desempenho Conectada a serviços na nuvem
O poder de muitos servidores, a simplicidade de um Armazenamento flexível Disponibilidade contínua Eficiência da gestão
Qualquer aplicativo, qualquer nuvem
Edições do Windows Server 2012
A Nova Interface
O Windows Server Manager
Roles e Features
Demo
Acompanhe o seu instrutor durante a instalação e configuração inicial do Windows Server 2012
Verificando as Configurações de TCP/IP
Hands on Lab
• Realize a instalação do Windows Server 2012, verifique se a configuração de TCP/IP está de acordo com o esperado
Lição 2DNS, instalação e configuração
1. Compreendendo a Resolução de Nomes e a estrutura de DNS2. Instalando o serviço de DNS3. Verificando as configurações disponíveis4. Criando uma Zona de DNS5. Criando entradas A, SRV, NS, CNAME, PTR e MX
Compreendendo a Resolução de Nomes e a estrutura de DNS
Root Servers ao redor do mundo
O que é DNS?
Domain Name System Serviço de resolução de nomes Descobrir / Resolver nomes Sistema para nomeação de computadores e equipamentos de
rede Grande banco de dados para pesquisa de nomes Antigamente WINS – Windows Internet Name Service
Entendendo o arquivo HOSTS
Arquivo de texto Lista dos nomes + endereço IP Localizado em:
C:\windows\system32\drivers\etc
Processo de Resolução de Nomes
Web BrowserURL: www.microsoft.com.br
HOSTS file
DNS resolver cache
DNS Client (resolver)
DNS Server
DNS Server cache
Zonas
Outros DNS Server
Client-to-server query
Server-to-server query
Espaço do nome do domínio
Tipos de registros• Resource Records (RR)
– SOA (Start of Authority)– NS (Name Server)– A (Host Address)– AAA (Host Address)– PTR– CNAME (Canonical Name)– SRV (Service)– MX (Mail Exchanger)
O que são zonas de DNS?• Uma zona é uma parte do espaço dos nomes de domínio no
qual um servidor DNS tem autoridade para solucionar consultas de DNS. O espaço de nomes de DNS pode se dividir em zonas diferentes, que armazenam informações de nomes sobre um ou vários domínios de DNS, ou parte deles.
• Zonas primárias• Zonas secundárias• Zonas Stub• Zonas de pesquisa direta• Nomes => IP• Zonas de pesquisa inversa• IP => Nomes
Instalando um Servidor de DNS• Adicione a Role de DNS• A snap-in de DNS aparece nas Administrative
Tools e no Server Manager• Você pode adicionar a Role de DNS através do
Power Shell
Entradas de DNS
Você pode consultar as entradas de DNS criadas, utilizando o NSLookUP
Demo
Acompanhe o seu instrutor durante a instalação e configuração do DNS Server
Hands on Lab
• Crie uma Zona de DNS chamada s2b.com.br• Crie também uma entrada A, chamada Intranet.s2b.com.br• Crie uma entrada CNAME chamada www, apontando para a
intranet• Crie um ambiente de entradas MX para os dois servidor Microsoft
Exchange disponíveis no ambiente, de IP 192.168.0.15 e 192.168.0.16 (Os servidores Exchange são fictícios)
• Consulte as entradas A, CNAME e MX através do comando NSLookUP
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Active Directory, Instalação e Pré-configuração
FASE 1
Agenda1. Lição 1 – Active Directory, Instalação e Pré-configuração
1. Instalando as Roles do Active Directory2. Promovendo o Windows a uma Domain Controler3. Compreendendo a estrutura de Domínios4. O Active Directory Sites and Services5. Compreendendo a estrutura de Sites6. O Active Directory Domains and Trusts7. O Active Directory Users and Computers8. Visualizando a estrutura do Sysvol e NTDS, Policies e
Scripts/NetLogon
Conceitos Básicos de AD• Domínios, Árvores e Florestas
Microsoft.com
Vendas.Microsoft.comSuporte.Microsoft.com
Contoso.com
Filho.Contoso.com
Relação de Confiança
Roles do AD– Active Directory Certificate Services
O AD CS é a função de servidor que fornece recursos de criptografia de chave pública, certificados digitais e assinaturas digitais para a sua organização.
– Active Directory Domain ServicesO AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Um servidor com AD DS é chamado de controlador de domínio. Os administradores podem usar AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estrutura de confinamento hierárquica.
Roles do AD– Active Directory Federation Services
A função de servidor do AD FS oferece recursos seguros e simplificados de federação de identidade e logon único (SSO) da Web.
– Active Directory Lightwight Directory ServicesO AD LDS é um serviço de diretório do protocolo LDAP (Lightweight Directory Access Protocol), que fornece um suporte flexível para aplicativos habilitados para diretório, sem as dependências a restrições relacionadas a domínio dos Serviços de Domínio Active Directory (AD DS).
Roles do AD– Active Directory Rights Management Services
O AD RMS permite que indivíduos e administradores por meio de políticas de IRM para especificar as permissões de acesso a documentos, livros e apresentações.
Instalando as Roles do AD• Para promover um Windows 2012 como Domain Controler,
deve-se adicionar a Role Active Directory Domain Services, e após a adição, seguir o Wizard Active Directory Promotion.
• Caso serviço de DNS não esteja instalado, o Wizard solicitará uma instalação automática
• O comando DCPromo foi descontinuado
Promovendo um Domain Controler• O comando DCPromo foi descontinuado, para promover o DC,
deve-se seguir com Wizard
Promovendo um Domain ControlerDomínios de Active Directory
• O Active Directory é formado por pelo menos um domínio.• Esses domínios podem ser Domínios Pais, Domínios Filhos.• Os domínios possuem Relação de Confiança entre si• O primeiro domínio de uma Floresta é denominado o Root Forest Domain• Cada domínio possui uma database de objetos separada (NTDS.dit)
• Quais as vantagens e desvantagens de possuir mais de um domínio?• O que é relação de confiança entre Florestas?• É possível Renomear um Domínio?
Promovendo um Domain ControlerCriando um primeiro domínio
• Durante o Active Directory Domain Services Configuration Wizard, você pode optar por criar o Root Forest Domain
Promovendo um Domain ControlerOpções de promoção do DC
• O que é Forest Functional Level?• O que é Domain Funcional Level?• O que um Global Catalog?• Qual a utilidade de um Read Only Domain Controler (RODC)?• Para que server a Senha de DSRM?• Para que servirá o Nome NetBIOS?
Promovendo um Domain ControlerOpções de Promoção
• Os diretórios de instalação do Active Directory são:– Database Folder – C:\Windows\NTDS– Log Folder – C:\Windows\NTDS– SYSVOL Folder – C:\Windows\SYSVOL
• Você pode alterar o local destes recursos, por questões de performance.
• Na Database Folder será adicionado o arquivo NTDS.dit, que é a database do Active Diretory, neste domínio.– Cada domínio possui sua exclusiva database
• Na SYSVOL são adicionados componentes de replicação entre todos os Domain Contolers do Domínio, como Scripts de Logon e Arquivos de Configuração de Policies
Demo
Acompanhe o seu instrutor durante os passos de adição da Role de Active Directory e promoção de um Domain Controller
Hands on Lab• Adicione um domínio chamado s2b.com.br• Coloque uma senha fácil de se lembrar para o DSRM• Este será o primeiro DC da Floresta• Mantenha o nível de compatibilidade como sendo Windows
2012.• Mantenha os diretórios padrões para a instalação• Após reiniciar o servidor, verifique as configurações no Server
Manager
O Active Directory Sites and Services• O Active Directory é disposto geograficamente através de Sites• Os sites indicam qual o padrão de replicação dos componentes do AD• Os sites indicam qual DC irá replicar com outro DC, intrasite e Intersite• Sites definem limite geográficos para o AD, enquanto Domínio definem
databases• Um processo de autenticação sempre busca o DC mais próximo,
identificado através da configuração de sites.• O Global Catalog é definido nas propriedades de NTDS Settings
DNS• Após a promoção do DC, no Serviço de DNS estará criada uma nova Zona
para o domínio do AD.• Dentro desta Zona, ficarão todas as entradas necessárias para que as
estações de trabalho e qualquer serviço de autenticação do ambiente localize os DC.
Demo
Acompanhe o seu instrutor durante a configuração de alguns sites.
Hands on Lab• Altere o Default-First-Site-Name para Rio de Janeiro• Crie mais dois sites no ambiente, para futuras filiais da empresa
(fictícios)• Crie um novo site com o nome de São Paulo e associe a rede
192.168.2.0/24 a este site• Crie um outro site com o nome de Curitiba e associe a rede
192.168.3.0/24 a este site• Verifique a configuração de tempo de Replicação e do Global
Catalog• Crie Inter-Site Transports entre os sites criados
Rio de Janeiro -> São Paulo (custo 40)Curitiba -> São Paulo (custo 40)
O Active Directory Domains and Trusts
• O AD Domains and Trusts controla como cada Domínio da Floresta e Domínios InterForest se comunicam, estabelecendo relações de confiança entre si.
• É possível criar relações de confiança entre Florestas
O Active Directory Users and Computers
• O AD Users and Computes possui todos os objetos de usuários, computadores, impressoras, compartilhamentos.
O Active Directory Users and ComputersOrganizational Units
• Os componentes do Active Directory são organizados sobre Organizational Units (OU).
• Além de design e organização, as OUs são responsáveis pela aplicação coerente das Policies do ambiente.
O Active Directory Users and ComputersAdvanced Features
• Apenas os principais componentes do AD são exibidos nas visão padrão.
• Para visualizar componentes Avançados, habilite o menu View/Advanced Features
• Como deletar uma OU protegida contra remoção acidental?
O Active DirectoryEstruturas de diretórios
• Após a instalação do DC, os seguintes diretórios são criados, na configuração default:– C:\Windows\NTDS– C:\Windows\SYSVOL
• Você pode utilizar o NTDSUtil para desfragmentar uma arquivo .dit
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
DHCP Instalação e configuração
FASE 1
Agenda
Lição 1 DHCP, conceitos e instalação1. Dynamic Host Configuration Protocol (DHCP)2. Novas funcionalidades da função DHCP no Windows 2012.3. Instalando a função DHCP
Lição 2 DHCP, configuração e tolerância a falhas1. Configurando um escopo2. Compreendendo DHCP Failover3. Configurando Failover4. Usando PowerShell para DHCP
Lição 1DHCP, conceitos e instalação
1. Dynamic Host Configuration Protocol (DHCP)2. Instalando o serviço de DHCP3. Verificando as configurações disponíveis4. Suporte ao protocolo IPV6.5. Configurando opções do servidor DHCP
Dynamic Host Configuration Protocol (DHCP)
O DHCP é um padrão Internet Engineering Task Force (IETF) desenvolvido para redução de esforço e complexidade da configuração em redes TCP/IP.
A função DHCP no Windows 2012:•É segura e confiável•Garante configurações válidas nas estações•Pode integrar-se com DNS do AD•Pode fazer reserva de endereços
Instalando um serviço de DHCP• Adicione a Role de DHCP• A snap-in de DHCP aparece nas Administrative
Tools e no Server Manager• Você pode adicionar a Role de DHCP através
do Power Shell
DHCP Server Manager• Como administrar o serviço de DHCP Server?• A snap-in de DHCP Server Manager• Administrando o DHCP Server através do
Server Manager• DHCP Post-install configuration wizard
O que são escopos de DHCP?• O que são Escopos de DHCP
– Escopos– Pool de endereços– Concessões de endereços– Reservas de endereços– Opções do escopo– Políticas de escopo
• Server Options• Filtros (Allow/Deny) e Server Policy
Lição 2DHCP, configuração e tolerância a falhas
Lição 2 DHCP, configuração e tolerância a falhas1. Configurando um escopo2. Compreendendo DHCP Failover3. Configurando Failover4. Usando PowerShell para DHCP
Configurando um escopo
Servidor DHCP pode se integrar com DNS e realizar atualização dinâmicas de nomes.
Demo
Acompanhe o seu instrutor durante a instalação e configuração do DHCP.
Hands on Lab
• Instale a role de DHCP no seu servidor
• Crie um escopo de nome S2BCORP.net. utilizando a rede 192.168.1.100/24
• Crie uma reserva de endereços IP. 192.168.1.105/24 a 192.168.1.110/24
• Crie uma policy que entregue o host name notebook01 ao host com o endereço MAC igual a 10-00-32-9D-22-5E
• Crie exclusões de endereços para os seguintes endereços MAC: 08-00-27-9A-20-8C e 00-3B-23-ID-10-4E
Compreendendo DHCP FailoverNo Windows 2008R2 existem duas opções de failover (tolerância a falhas)•DHCP em Windows failover cluster: opção que requer versão Enterprise ou superior e recursos de SAN.•Split Scope: Configuração de dois servidores na proporção 70%-30%.
No Windows 2012 temos mais opções e um serviço resiliente mesmo com diversas falhas.•Introdução do recurso Failover para DHCP.•Modos Hot Standby e Load Sharing.
Load Sharing mode
Este é o modo padrão, dois servidores dividem a função de distribuir endereços na rede.
Configurando Failover• Requer dois servidor com função DHCP• A configuração é realizada através do
Configure Failover Wizard. Para acessar abra o DHCP Manager, expanda o servidor, clique com o botão direito sobre IPv4 e selecione Configure Failover.
Usando PowerShell para DHCPClique com o botão direito sobre o Windows PowerShell e selecione executar como administrador:•get-dhcpserverv4scope•Restart-service dhcpserver•Add-DhcpServerInDC <hostname of the DHCP server> <IP address of the DHCP server>
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Active Directory, Criando Usuários, Grupos e
Computadores
FASE 1
Agenda1. Criando usuários, Grupos e Computadores no Active Directory
1. Compreendendo a utilidade das Organizational Units2. Criando Usuários no Active Directory3. Criando Grupos Locais, Grupos Globais e Grupos Universais4. Adicionando Computadores ao Domínio do Active Directory
O Active Directory Users and Computers
• O AD Users and Computes possui todos os objetos de usuários, grupos, computadores, impressoras, compartilhamentos entro outros
O Active Directory Users and ComputersOrganizational Units
• Os componentes do Active Directory são organizados sobre Organizational Units (OU).
• Além de design e organização, as OUs são responsáveis pela aplicação coerente das Policies do ambiente.
O Active Directory Users and ComputersAdvanced Features
• Apenas os principais componentes do AD são exibidos nas visão padrão.
• Para visualizar componentes Avançados, habilite o menu View/Advanced Features
• Como deletar uma OU protegida contra remoção acidental?
Demo
Acompanhe o seu instrutor durante a criação de algumas OUs
Hands on Lab• Crie da seguinte estrutura de OU:
S2B• TI• RH• FIN• Fabrica
– Gerentes– Colaboradores
Usuários do Active Directory• O Active Directory possui por padrão uma estrutura de usuários e grupos
administrativos. Os principais deles são:– Grupo: Enterprise Admins– Grupo: Domain Admins– Grupo: Administrators– Grupo: Domain Users– Usuário: Administrator
• Observe que existem grupos em Build In em Users
Criando Novos Usuários• Você pode criar usuários dentro de qualquer OU.• Um usuário deve necessariamente possuir um Nome e um Nome de
Logon• Por padrão as senhas dos usuários devem ser “Complexas”, ou seja,
devem seguir as regras:– Possui mix de Maiúsculas e Minúsculas– Possui Letras e Números– Possuir Caracteres Especiais, como !@#$%– Não podem ser “Brancas”– Não podem ser o nome do usuário
Criando Novos Usuários• Após a criação do usuário, você pode acessar suas propriedades.• Propriedades são informações de como o usuários aparecerá na rede, bem
como o que poderá fazer na rede.• Cada usuário pode editar suas propriedades
– Normalmente através do outlook.
• Dentre as principais propriedades estão:– Informações pessoais– Scripts de Logon– Configurações de Acesso Remoto, – VPN e Remote Desktop– Grupos aos quais pertence
Criando Novos Grupos• O Active Directory possui três formas de Grupos
– Grupos Domain Local– Grupos Globais– Grupos Universais
• Estes grupos podem ainda ser– Security Groups– Distribution Groups
Criando Novos Grupos• Grupos podem possuir membros• Grupos podem ser membros de outros Grupos• Usuários podem ser membros de vários grupos• Se o usuário João é membro do Grupo Financeiro e o Grupo Financeiro é
membro do Grupo Gerentes, então João recebe todas os benefícios do Grupo Gerentes
Demo
Acompanhe o seu instrutor durante a criação dealguns grupos e usuários
Hands On Lab• Crie a seguinte estrutura de usuários e
grupos• Cada OU possui dois usuários e um
grupo• Os usuários da OU fazem parte do
grupo desta OU• A OU Fábrica e S2B possuem apenas um
grupo, sem usuários• Os grupos de Gerentes e Colaboradores
são membros do grupo Fábrica• Os grupos Financeiro, Recursos
Humanos, Tecnologia da Informação e Fábrica, são membros do grupo S2B
Adicionando Computadores ao Domínio• Qualquer Windows pode utilizar os recursos de usuários e grupos de
domínio, porém, apenas Windows que fizerem parte do domínio aceitam o processo de Logon no Domínio
• Você adiciona um Windows ao domínio, para manter controle sobre suas configurações, proteger os dados do ambiente e melhorar a percepção de integração dos componentes Microsoft da estrutura
• Para adicionar um Windows ao Domínio, é necessário que este consiga Pingar o nome FQDN do domínio.
• Normalmente consegue-se isso configurando o DNS da estação para o mesmo DNS do DC, onde as entradas da Zona de DNS do domínio estão registradas
Adicionando Computadores ao Domínio• Para adicionar um Windows ao domínio, basta configurar o DNS da
estação apontando para o mesmo servidor de DNS que contêm a Zona do Domínio de AD.
• Confira se você consegue pingar o nome do domínio• Adicione o Windows ao domínio através da System Properties, acessível
no Painel de Controle• O Computador aparece na OU/Container Computer, em AD Users and
Computers
Demo
Acompanhe o seu instrutor na adição de uma computador ao domínio
Hands On Lab• Adicione o Windows 8 no domínio s2b.com.br• Confira se você consegue pingar o nome do domínio antes de adicioná-
la ao domínio• Verifique se a conta do computador aparece no Container Computers,
em AD Users and Computers
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Active Directory, Adicionando um no DC ao Domínio
FASE 1
AgendaLição 1 - Adicionando um novo Domain Controler ao Domínio
1. Por que ter dois ou mais Domain Controlers?2. Compreendendo as FMOS do Active Directory3. Compreendendo a Funcionalidade do Global Catalog 4. Adicionando um novo DC ao Domínio
Discussão em Aula• Por que devemos ter mais de um Domain
Controller no mesmo site físico?• Devemos criar Domain Controllers em sites
remotos ou forçar o logon através de Links?• Devemos criar um novo Domínio Filho ou
apenas um Site?• Por que criaríamos três Domain Controllers ou
mais em cada site?
Active Directory Operation MastersFSMO
• O Active Directory é redundante por padrão, trabalhando com mais de um DC.
• Porém, algumas atividades do domínio somente podem ser exercidas por um DC ao mesmo tempo, estas atividades são de responsabilidade dos Operation Masters
• Todas as FSMO podem ser atribuídas a um único DC
Active Directory Operation MastersFSMO
• Duas FSMO por floresta– Schema Master– Domain Naming Master
• Três FSMO por domínio– PDC Emulator– RID Master– Infrastructure Master
Active Directory Operation MastersFSMO
• PDC Emulator e RID Master devem estar na mesma máquina porque o PDC Emulator é um grande consumidor de RID´s
• Infrastructure Master não deve estar em um DC que também é GC (Global Catalog)
• Para um gerenciamento facilitado, Schema Master e Domain Naming Master podem estar na mesma máquina, que deve ser também um Global Catalog (GC).
• De tempos em tempos, verifique se todas as FSMO estão disponíveis e funcionando corretamente. – Command Prompt: Netdom query fsmo
• Para saber mais: http://technet.microsoft.com/pt-br/library/cc716426.aspx
Global Catalogs• “Global Catalog” é uma função que pode ser desempenhada apenas por um
servidor do tipo “controlador de domínio” em uma rede Windows 2000 / 2003. Ele desempenha um papel vital no processo de logon dos usuários de uma rede.
• Ao fazer o logon em uma rede, uma das informações necessárias é saber a quais grupos um usuário pertence. Baseado nesta relação de grupos é que os acessos e direitos a objetos são concedidos ou negados.
• Mas, por padrão, um controlador de domínio só consegue identificar os grupos a que um usuário pertence de seu próprio domínio. Apenas o GC consegue identificar se o usuário pertence a um grupo de um outro domínio, por exemplo, os grupos do tipo “Universal”.
Quer saber mais: http://technet.microsoft.com/pt-br/library/cc668524.aspxhttp://technet.microsoft.com/en-us/library/cc728188(v=ws.10).aspx
Adicionando um novo DC ao domínio• Para adicionar um novo Domain Controller ao domínio, basta
adicionar um Windows Server ao domínio, da mesma forma como foi adicionada a Estação de Trabalho.
• Após, adicione as Roles de Active Directory desejadas e promova o servidor ao domínio.
• Você necessitará informar • que deseja “Adicionar um Novo DC a um domínio Existente”• Fornecer as credenciais administrativas do domínio• Informar a qual Site este DC pertencerá• Informar se este será um Read Only Domain Controller• Informar se este servidor conterá Global Catalog• Informar se deverá ser criada um cópia do servidor de DNS
Demo
Acompanhe o seu instrutor na adição de um novo DC ao domínio
Hands On Lab 1/3Replicando o AD
• Adicione o Novo Windows Server ao domínio e adicione a Role de AD Domain Services
• Promova o Windows a um DC, obedecendo os seguintes critérios:– Adicione o servidor ao domínio s2b.com.br existente– Este servidor deverá conter DNS e Global Catalog– Não habilite as opções de Read Only Domain Controller– Instale o serviço de DNS no novo servidor– Adicione o DC ao mesmo site do atual DC
Hands On Lab 2/3Conferindo a replicação
• Após a replicação com sucesso do novo DC, confira se os Objeto de usuário, computador, Grupos de OUs foram replicadas com sucesso
• Adicione um Novo Usuário do ambiente de verifique se o mesmo se encontra em ambos os DCs
• Verifique o que mudou no Active Directory Sites and Services• Navegue até a conta da Máquina no AD Sites and Services, e verifique
se replicação está funcionando, solicitando um “Replicate Now”• Verifique ambas as contas de Computadores dos Domain Controllers,
estão exibidos na OU Domain Controllers
Hands On Lab 3/3Conferindo as FSMO
• Verifique disposição das FSMO através dos seguintes locais• Em AD Users and Computers, clique com o botão direito sobre o domínio e verifique a
opção Operations Master• Em AD Domains and Trusts, clique com o botão direito sobre o ícone “Active Directory
Domains and Trusts” e verifique a opção Operations Master• Verifique a FSMO Schema Master Role através do seguintes procedimentos:
– No Command Prompts execute o comando REGSVR32.EXE SCHMMGMT.DLL – Execute o comando MMC– Adicione a Snap In Active Directory Schema– Clique com o direito sobre o ícone “Active Directory Schema” e verifique a opção Operations Master
• Verifique a existência das FSMOs através do comando NETDOM QUERY FSMO• Verifique a existência das FSMOs através do comando NTDSUtil
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Permissões de NTFS
FASE 1
AgendaLição 1 - Permissões de NTFS•Criando estruturas de pastas para um Sistema de Arquivos•Concedendo permissões de NTFS•Criando Compartilhamentos e Permissões de Compartilhamento•Auditando um Sistema de Arquivos
Sistema de Arquivos
• O sistema de arquivos do Windows é controlado através de Permissões NTFS
• As permissões de NTFS são suficientes para controlar qualquer acesso a diferentes níveis de pastas, através de grupos, usuários ou computadores
• Para criar um sistema de arquivos, utilizamos um mix de permissões de NTFS e de Compartilhamentos
Permissões de NTFS
• O Windows possui inúmeras permissões disponíveis para controlar o acesso a recursos em diretórios e arquivos
• A principais permissões são:– Full Control– Modify– Read & Execute– List Folder Contents– Read– Write
Permissões de NTFS• As permissões básicas de NTFS podem ainda ser esmiuçadas
• As permissões podem ser aplicadas para vários níveis na pasta local e em subpastas
Permissões de NTFS• Na versão do Windows 2012, você pode adicionar Filtros de
permissão
• Você pode conceder permissões no formato Allow ou Deny– Uma permissão de Deny sempre sobrescreve uma permissão de Allow– Considere o seguinte exemplo:
• joão faz parte dos grupos FIN e TI• Na pasta Gerentes, o grupo FIN tem permissão de Allow:Full Control• Na pasta Gerentes, o grupo TI tem permissão de Deny: Write• Na pasta Gerentes, o usuário João tem permissão de Allow: Write• Qual a permissão efetiva de João?
Permissões de NTFS• Na versão do Windows 2012, você pode adicionar Filtros de
permissão
• Você pode conceder permissões no formato Allow ou Deny– Uma permissão de Deny sempre sobrescreve uma permissão de Allow– Considere o seguinte exemplo:
• joão faz parte dos grupos FIN e TI• Na pasta Gerentes, o grupo FIN tem permissão de Allow:Full Control• Na pasta Gerentes, o grupo TI tem permissão de Deny: Write• Na pasta Gerentes, o usuário João tem permissão de Allow: Write• Qual a permissão efetiva de João?
Permissões de NTFS• Todo diretório ou Arquivo possui um Owner
– O Owner do objeto tem a permissão concedido pelo grupo OWNER e não necessariamente terá permissão sobre o objeto
– O grupo Administrators, por padrão possui uma permissão chamada Take Ownership, concedida através de Policies de Segurança. Esta permissão é que faz com que o usuário Administrator consiga obter acesso a qualquer local
• Herança de permissões– Para facilitar a configuração de direitos, as subpastas e arquivos
herdam direitos de NTFS das pastas pai, causando uma Cadeia de Permissões
– É possível quebrar a herança de Permissões, fazendo com que todos os direitos da pasta pai não se apliquem a pasta em questão
– Caso o usuário João tenha Allow: Full Control sobre o diretório FIN, não necessariamente ele terá direitos nos diretórios a baixo, devido a quebras de heranças
Auditoria de NTFS• Todo diretório e arquivo pode ser configurado para manter
Auditoria de Acessos e Alterações• A Auditoria é configurada através de Policies de Direitos• O resultado da auditoria é depositada dentro do Event Viewer
Compartilhando Pastas• Normalmente uma empresa utiliza um servidor da rede para compartilhar documentos entre os
colaboradores.• Estes recursos de rede são denominados Servidores de Arquivos• Para permitir acesso a uma pasta dentro de um Windows, esta pasta deve ser Compartilhada.• A pasta base da estrutura do Sistema de Arquivos é onde o Compartilhamento deverá ser criado, todas as
subpastas de arquivos da pasta compartilhada ficarão disponíveis através do compartilhamento• Um compartilhamento possui apenas três Permissões:Full Control, Change e Read, ainda contendo as
opões de Allow e Deny
Compartilhando Pastas• As permissões de Compartilhamento são Confrontadas com as permissões de NTFS, de forma sequencial.
– Se• João tem permissão no Compartilhamento de Allow: Full Control• João tem permissão de NTFS de Allow: Read• A Permissão Efetiva de João através do compartilhamento será Read
– Se• João tem permissão no Compartilhamento de Allow: Read• João tem permissão de NTFS de Allow: Full Control• A Permissão Efetiva de João através do compartilhamento é Read
Acessando um Compartilhamento• Para acessar um compartilhamento de rede,
basta utilizar o seguinte padrão:– \\NomeDoServidor\NomeDoCompartilhamento
• Todo compartilhamento Windows é divulgado na rede, através de simples buscas. Para ocultar um diretório nas listagens automáticas, basta adicionar o caractere $ no final do nome do compartilhamento.
Access Based Enumeration• Você pode ocultar as pastas que determinado usuário não possui permissão, através do
recurso Access Based Enumeration,, configurável através do Server Manager
Demo
Acompanhe o seu instrutor durante a criação e permissionamento e compartilhamento do sistema de arquivos do S2B
Hands On Lab 1/3• Realize a criação e
permissionamento e compartilhamento do sistema de arquivos do S2B
• Crie a seguinte estrutura de diretórios na unidade C:\
• Configure as propriedades de cada usuário, no AD Users and Computers, configurando sua Pasta Home
Hands On Lab 2/3• Conceda as permissões adequadas a cada diretório, de
forma que apenas os referidos grupos do Active Directory tenham permissão sobre as pastas.– Todos devem ter permissão de Listas o Conteúdo da pasta S2B,
porém, não podem criar arquivos neste local– O mesmo se aplica a pasta Departamentos– O mesmo se aplica a pasta Usuarios– Somente o respectivo Gupo pode ter direitos na pasta de seu
departamento– Somente o respectivo Usuário pode ter direitos em sua pasta pessoal– Todos devem ter direitos de criar arquivos na pasta Publica, porém,
somente o seu criado pode apagar seus arquivos
Hands On Lab 3/3• Compartilhe o sistema de arquivos, de forma que todos os
usuários do domínio possam ter permissões de acessar o diretório base, porém, podem acessar apenas os diretórios que lhes convém.
• Configure o sistema de arquivos para ocultar as pastas das quais os usuários não possuem permissões.
• Efetue logon no Windows 8 com três usuários, e confira se as permissões concedidas são suficientes para o cenário.
• Para acessar o compartilhamento, basta utilizar o diretório \\SERVERNAME\SHARENAME
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Policies do Active Directory
FASE 1
AgendaLição 1 - Policies de Active Directory•O Group Policy Management•Revisando a estrutura de Organizational Units•Criando Policy Templates•Criando Group Policy Objects•Policies de Máquinas X Policies de Usuários•Criando e aplicando uma Policy•Testando a aplicação da Policy – GPUpdate, GPResul e RSoP
O que são policies• Policies de Active Directory podem controlar e limitar acessos
a recursos do Windows.• Policies podem padronizar recursos do ambiente, como
atalhos, impressoras, compartilhamentos e outros• Policies podem auxiliar na administração da rede, criando e
editando recursos nas máquinas dos usuários• Remover o Command Prompt, Setar Papel de Parede, Setar o Proxy, Padroanizar o
Botão Inicial, Limitar Recursos de Design do Windows, Criar usuários e Grupos, Remover Usuários das estações locais, Trocar a senha do Admin das estações, Impedir a execução de algum executável, Configurar as conexões de VPN, Instalar MSIs e mantê-los íntegros, conceder direitos de NTFS, Logon Scripts...
O Group Policy Management• Você criar policies através da feature Group Policy Management, em
Administrative Tools• O que é Group Policy Modeling• O que são Group Policy Results• O que são Starter GPOs• O que são WMI Filters• Onde encontrar todas as GPOs: Group Policy Objects
Default Policies• O Active Directory possui duas policies por
padrão– Default Domain Policy: Possui configurações como
Padrões de Senha e Auditoria– Default Domain Controller Policy: Possui
permissionamentos aplicados sobre os DCs do domínio, entre elas, restringir o logon de usuários não adminstradores
Onde Podemos Aplicar GPOs• O Active Directory permite aplicar GPOs sobre Computadores
e Usuários• Você aplica as policies em níveis de estrutura do Active
Directory• As policies associadas a um objeto são aplicadas na seguinte
order:1. Policies de Sites da Floresta2. Policies que estão sobre o Domínio3. Policies que estão sobre a estrutura de Ous, de cima para baixo4. De acordo com a ordem da policy sobre a OU
• Dessa forma, você pode aplicar policies para várias situações e em diferentes locais.
Onde Podemos Aplicar GPOs• Policies não são aplicadas sobre Grupos• Policies são aplicadas por padrão em todos os objetos Usuário
e Computador, localizados na OU em questão, porém, esse comportamento pode ser alterado através Permissões nas Policies
• Ainda é possível adicionar Filtros de WMI sobre as policies, de forma que elas só apliquem em determinados casos, como por exemplo, Somente em Computadores com o Windows 8.
Herança de Policies• Assim como em NTFS, o efeito das policies criadas são
propagadas para os componentes mais a baixo na estrutura, de forma que, ao criar uma policy sobre o domínio, ela aplica sobre todas as OU
• Caso duas policies configurem a mesma política, de formas difentes, em uma mesma estrutura herdada, a policy aplicada a OU mais profunda é validada
• Você pode bloquear a herança de Policies sobre uma OU• Você pode forçar a aplicação de uma Policy, sobrescrevendo a
opção de bloqueio de herança
Conteúdo de uma Policy• Uma policy possui duas divisões. As
configurações disponíveis a baixo de cada ítem aplicam somente ao objeto em questão:– Computer Configuration– User Configuration
• Cada grupo de políticas está dividida ainda em Policies e Preferences
Utilizando Filtros• Para facilitar a localização
de Policies específicas, você pode utilizar a opção Filter Options
Policy – ADMX Files• A idéia de policies só foi possível por que a Microsoft centralizou “todas”
as configurações do Windows sobre um repositório único, chamado Registry.
• Você pode acessar o Registry do Windows executando o comando REGEDIT.EXE
• A maioria das policies nada mais são do que simples aplicações de Chaves de Registry nas estações de trabalho, quando o Windows Inicia, ou qual um Usuário realiza Logon
• Caso a política que você procura não está disponível no Active Directory, você pode cria-la através de arquivos .ADMX
– Utilize a ferramenta RegToADMX para criar arquivos ADMX a partir de chaves de registry
• Para associar arquivos ADMX a uma policy utilize a opção Add/Remove Templates
Policy – ADMX e Central Store• Por padrão, todas definições de policies são adquiridas
através de um repositório local, em cada DC.
• Ao criar Policies Customizadas, você deve distribuir os arquivos ADMX de sua policy por todos os DC do ambiente, para facilitar esta ação, configure uma Central Store– Para criar uma Central Store, copie o conteúdo do diretório C:\
Windows\PolicyDefinitions para o diretório C:\Windows\SYSVOL\sysvol\<DomainName>\Policies\PolicyDefinitions
– Confira a alteração dentro da Policy
Verificando a aplicação de uma Policy• Você pode verificar a aplicação de um
Policy através do comando – GPResult /R
• Por padrão, uma policy é atualizada nas estações dos usuários a cada 90 minutos
• Você pode solicitar a Reaplicação de uma Política através do comando– GPUpdate /FORCE– Algumas policies necessitam a
realização de Logoff e Logon para aplicarem, ou no caso de uma policy de Computador, a operação de Restart
Utilizando o Result Set of Policy• Para verificar o resultado da aplicação de uma ou uma série de policies sobre
um usuário ou computador, você pode utilizar o RSoP.• Esta opção está disponível através de Snapins no computador local ou no
servidor• Através do RSoP é possível identificar a origem de uma policy aplicada
Demo
Acompanhe o seu instrutor durante a configuração das de algumas policies
Hands On LabRealize a configuração das seguintes políticas•Os usuários da OU FIN não devem ter acesso ao Command Prompt•Os usuários da OU RH não devem ter acesso ao Control Panel•O Papel de Parede das estações deve ser padronizado•Os Colaboradores da Fabrica não devem conseguir executar o aplicativo CALC.EXE•O Proxy de todos a baixo do S2B deve ser 192.168.0.1•O usuário não pode alterar o proxy•Nenhum usuários a baixo do S2b pode executar o aplicativo Notepad.exe, com exceção do grupo TI•A Pasta My Documents das estações dos usuários, deve ser redirecionada para a Pasta Home de cada usuário•No desktop de cada estação dever ter um atalho para o aplicativo Paint.exe•A Senha do Administrador local de todas as estações deve ser “pass@word1”•Na unidade C:\ de cada estação deve ser criado o diretório C:\Apps•Dentro do diretório Apps deve ser colocado um arquivo .INI•O grupo S2B deve ter acesso de Write sobre a pasta Apps•Distribua um arquivo MSI de sua preferencia, para todas as estações do domínio, através de Software Publishing•Verifique a aplicação das políticas em três usuários diferentes do ambiente, logando no Windows 8
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Backup e Restore do Active Directory
FASE 1
AgendaLição 1 - Backup e Restore do Active Directory•Backup ou Vários Domain Controlers?•Criando um backup do Active Directory•A Lixeira do Active Directory•Restaurando um Backup de Active Directory
•Referencia:– http://www.edeconsulting.be/activedirectorypublications.asp– http://
www.edeconsulting.be/downloads/WindowsServer2012ADBackupandDisasterRecoveryProcedures_V1.0.pdf
Por que realizar Backup do AD?• Para manter a continuidade do negócio, você pode optar por criar dois ou
mais Domain Controllers, situados localmente ou distribuídos geograficamente
• Toda informação necessário de um DC está copiada em todos os outros DCs, sem exceção
• FSMOs e Global Catalogs são apenas atribuições, não são dados físicos• Você realiza backup de um AD, para poder restaurar um usuário ou outro
objeto deletado acidentalmente• Para poder recuperar o último DC no caso de um desastre• Pergunta: Devo restaurar um DC a partir de um Backup, ou recriá-lo
através de uma nova Promoção?
Métodos de Backup do AD• Existem inúmeras formas de realizar um backup do Active
Directory, entre elas:– Backup do System State– Habilitar o Recycle Bin– Criar Snapshot Backups– Através de Tombstone Reanimation
Backup do System State• Um backup de System State inclui principalmente os seguintes
recursos:– Registry– COM+ Class Registration database– Boot files– Active Directory Certificate Services (AD CS) database– Active Directory database (Ntds.dit)– SYSVOL Directory– Cluster service information – Microsoft Internet Information Services (IIS) metadirectory – System files that are under Windows Resource Protection – Active Directory Federation Services
Demo
Acompanhe o seu instrutor no procedimento de backup do System State
Hands On Lab• Realize o procedimento de backup do System State
– Instale a feature Backup do Windows, através do Power Shell• add-windowsfeature windows-server-backup –includeallsubfeature
– Agente um Backup do System State execute:• Wbadmin enable backup -addtarget:<target> -schedule:21:00 –systemstate –quiet• Para criar um backup contendo todas as informações do servidor, para uma possível
restauração complete, execute:– Wbadmin enable backup -addtarget:<target> -schedule:21:00 –systemstate –quiet –allcritical –vssfull
– Para criar um backup manual execute:• Wbadmin start systemstatebackup –backuptarget :<drive> -quiet
– Para localizar todas os backup realizados execute:• Wbadmin get versions
– Para visualizar o progresso de um backup execute:• Wbadmin get status
Tombstone Reanimation• O Active Directory não realiza um remoção física do objeto
quando é deletado.• Caso não esteja habilitado o Recycle Bin, os objetos deletados
são movidos para a Tombstone, permanecendo por algum tempo e então removidos
Active Directory Recycle Bin• Caso o Recycle Bin esteja ativa, os objetos são apenas
movidos para a “Lixeira” sendo passíveis de recuperação
• Você não pode restaurar objetos dos pais o “PAI” deles foi removido
• Não é possível reaver propriedades modificadas, ou Group Membership
Demo
Acompanhe o seu instrutor no procedimento para habilitar a Lixeira do AD
Hands On Lab• Habilite a Lixeira do AD
– Verifique se o nível da Floresta está pelo menos para para Windows 2008 R2– Abra o Active Directory Administrative Center– Abra o domínio s2b.com.br e clique sobre o botão Enable Recycle Bin
Active Directory Snapshot Backup• Através de Snapshot Backups, você pode levantar uma cópia
do Active Directory em uma outra porta e ter acesso de leitura nesta cópia.
• A vantagem de Snapshot é possibilidade de visualizar cada detalhe do AD, como propriedades de objetos
• Para recuperar um objeto, é necessário exportá-lo, utilizando comandos como LDIFDE ou CSVDE
Demo
Acompanhe o seu instrutor no procedimento de backup com Snapshots
Hands On Lab• Execute o procedimento de backup com Snapshots
– Logue no DC com uma conta administrativa– Entre no Command Prompt e execute NTDSUTIL– Execute os seguintes comando em sequencia
• Activate Instance NTDS• Snapshot• Create• List All
Alterando a senha do ADRM• Para alterar a senha do Active Directory Restore Mode, utilize
a seguinte sequencia de comandos:– NTDSUTIL– SET DSRM PASSWORD– RESET PASSWORD ON SERVER <ServerName>– <Digite a senha>– <Confirme a senha>– Close
Distinguished Name Objects
• Todo objeto de Active Directory possui um nome único, denomidado Distinguished Name
Restaurando dados do AD• Non-Authoritative Restore
– Este é método padrão de recuperação. Ao realizar este procedimento, a informação do backup é restaurada e então sobrescrita pela replicação do Active Directory, a partir de outros DCs
– Para realizar este procedimento, execute as seguintes etapas:• Para acessar o “Active Directory Restore Mode” execute o comando
– “BCDEDIT /SET SAFEBOOT DSREPAIR” e reinicie o servidor
• Entre com a senha de DSRM• No command Prompt execute
– Wbadmin get version– Wbadmin start systemstaterecovery –version:<version> -quiet
• Ao finalize pressione Y e aguarde o reboot• Logue novamente com o DSRM e aguarde o restore finalizar• Execute
– BCDEDIT /DELETEVALUE SAFEBOOT
• Reinicie o servidor
Restaurando dados do AD• Authoritative Restore
– O procedimento de restauração é o mesmo do Non-Authoritative, com a diferença que os objetos restaurados são mantidos e replicados para todos os outros DCs
– Para realizar este procedimento, execute as seguintes etapas:• Para acessar o “Active Directory Restore Mode” execute o comando
– “BCDEDIT /SET SAFEBOOT DSREPAIR” e reinicie o servidor
• Entre com a senha de DSRM• No command Prompt execute
– Wbadmin get version– Wbadmin start systemstaterecovery –version<version> -quiet
• Ao finalize pressione Y e aguarte o reboot• Logue com o DSRM e aguarde a finalização do restore• Através do command prompt execute o NTDSUtil
– Activate instance ntds– Authoritative restore– Para um objeto: Restore Objet “<distinguished name>”– Para uma árvore: Restore subtree “<distinguished name>”– Precione Y, Q, Q
• Execute e após reinicie o servidor– Bcdedit /deletevalue safeboot
Tombstone Object Reanimation• Utilizando Tombstone Object Reanimation• Esta opção é sempre realizada de forma Authoritative• Pode-se utilizar as ferramentas LDP.exe ou ADRestore.exe
• Apesar de não ser complexa a restauração de usuários através de LDP, foi desenvolvida uma interface gráfica mais amigável, disponível neste site:
– http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx
• Execute o comando ADRestore /R
• Quer saber mais?– http://social.technet.microsoft.com/wiki/contents/articles/4921.aspx
AD Snapshot Restore• Para restaurar objetos de um snapshot, basta iniciar o instância do
Snapshot e exporta-lo através de LDIFDE ou CSVDE:– http://technet.microsoft.com/en-us/library/cc731033(WS.10).aspx– http://technet.microsoft.com/en-us/library/cc732101(WS.10).aspx
• Para montar um snapshot, siga os seguintes passos:– Localize e anote o caminho do arquivo ntds.dit a ser montado– Execute o seguinte comando:
• Dsamain –dbpath <path>\ntds.dit –ladapport <portnumber>• Exemplo: dsamain –dbpath c:\$SNAP_20112041648_VOLUMEC$\windows\NTDS\ntds.dit –ldapport 22222
– Abra a snapin ADSI através do MMC– Selecione Connect to, Advanced e insira a porta especificada no commando anterior– Selecione Ok, OK
• Pronto, você está conectado ao snapshot, agora basta exportar o objeto• Para desmontar o snapshot, execute o seguinte no NTDSUTIL
– Snapshot– List All– Unmount <snapshot number>
Restore através do Recycle Bin• Uma vez habilitada a opção de Recycle Bin, você
pode recuperar objetos deletados através do Active Directory Administrative Center
Hands On Lab• Sem o auxílio do Instrutor, execute os seguintes
procedimentos:• Delete o usuário Maria e execute sua recuperação
através de Authoritative Restore Mode• Delete o usuário João e execute sua recuperação
através de Tombstone Restore Mode• Delete o usuário Pedro e execute sua recuperação
através de AD Snapshots• Delete o usuário Tiago e execute sua recuperação
através do Recycle Bin
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
File and Storage Services - DFS
FASE 1
AgendaLição 1 - File and Storage Services•Funcionalidades e recursos•DFS Namespaces •DFS Replication •Aplicações práticas•Novidades do DFSN e DFSR no Windows 2012•PowerShell cmdlets
AgendaLição 2 – DFSN e DFSR instalação e configurações•Instalando funções DFSN e DFSR•Configurando DFSN•Hands on Lab
Lição 1 - File and Storage ServicesFuncionalidades e recursos
• A função File And Storage Services serve para configurar e gerenciar um ou mais servidores de arquivos.
• A função File and Storage Services é instalada por padrão em todos os servidores Windows 2012.
• Se outras há necessidade de uso de mais funcionalidades além do compartilhamento de arquivos, então é preciso instalar as funções adicionais manualmente através do wizard de instalação de funções ou através do PowerShell (cmdlet Install-WindowsFeature)
• Distributed File System (DFS)
DFS Namespaces
• Além do compartilhamento de arquivos, podemos usar DFS Namespaces para organizar arquivos distribuídos em diversos servidores de maneira lógica e intuitiva para usuários
• Um namespace pode ser constituídos de vários servidores de arquivos em locais diferentes (diferentes sites)
DFS Replication• Possibilita a replicação de pastas e arquivos• A replicação pode ser para diferentes localidades (sites)• Utiliza compressão diferencial remota (RDC) para ecnomia de
banda e eficiência.• A replicação detecta alterações nos dados do arquivo e replica
apenas os blocos de dados que foram modificados.
Aplicações práticas• Estudo de caso 1: A empresa Contoso possui matriz em São Paulo e filial no Rio de
Janeiro e deseja que os usuários das duas cidades tenham acesso aos mesmos arquivos a qualquer momento e com desempenho de acesso LAN. Como resolver este caso?
• Estudo de caso 2: A empresa Contoso possui cinco servidores de arquivos um para cada setor (RH, DEV, Financeiro, TI e Diretoria), cada um deles com uma pasta compartilhada. Como simplificar a estrutura criando um ponto único de acesso aos dados?
Novidades do DFSN e DFSR no Windows 2012
• Windows PowerShell module for DFS Namespaces• DFS Namespaces: Site awareness for DirectAccess clients• DFS Namespaces: Windows Management Infrastructure
provider• DFS Replication: Support for Data Deduplication volumes
PowerShell cmdlets• Get-DfsnRoot• New-DfsnRoot• Set-DfsnRoot• Remove-DfsnRoot
• Get-DfsnRootTarget• New-DfsnRootTarget• Set-DfsnRootTarget• Remove-DfsnRootTarget
Lição 2 – DFSN e DFSR instalação e configurações
• Instalando funções DFSN e DFSR• Configurando DFSN• Hands on Lab
Instalando funções DFSN e DFSR• Instalamos as funções DFSN e DFSR através do Server Manager.
– Estas funções fazem parte da função File and Storage Services que já está instalada.
Configurando DFSN• Utilize o DFS Management• Pasta padrão para armazenamento dos namespaces é C:\
DFSRoots
Demo
Acompanhe o seu instrutor no procedimento instalação e configuração das funções de DFSN e DFSR
Hands On Lab• Realize as seguintes tarefas:• Instale a função DFSN e DFSR no servidor.• Abra o DFS Management.• Crie um DFS Root chamado Dados.• Crie um pasta chamada Docs.• Teste o acesso através da máquina virtual Windows 8
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1
Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Quotas de sistemas de arquivos
FASE 1
AgendaLição 1 – Quotas de disco•O que são cotas de disco?•Características e Limites•Configurando entradas de cotas•Hands on Lab
AgendaLição 2 – File Server Resource Manager•Função File Server Resource Manager•File Classification Infrastructure•File Management Tasks•Quota Management•File Screening Management•Storage Reports
Lição 1 – Quotas de discoO que são cotas de disco?
• Cotas de disco possibilitam rastrear e controlar o uso de espaço em volumes NTFS.
• Utilizando cotas de disco podemos gerar logs nos eventos do Windows quando um usuário exceda sua cota e/ou impedir a gravação de arquivos.
Características e limites• Cotas de disco só podem ser ativadas por volume• O volume deve ser NTFS• A cotas devem ser configuradas por usuário, por volume• Podem ser configurados dois limites, um para alerta e um
limite para impedir a gravação• Pode-se configura um limite padrão para novos usuários
Configurando entradas de cotas• Acompanhe o seu instrutor no procedimento de ativação de cotas
– Ative cotas no volume C:– Crie uma nova entrada para um usuário– Edite as entradas e verifique quem ocupa mais espaço
• Esta ferramenta pode induzir a bloqueios de gravação indesejados? Como isso poderia acontecer?
Lição 2 – File Server Resource Manager• File Server Resource Manager – FSRM é um conjunto de
ferramentas que possibilita:– Aplicação de limites em volumes e pastas– Impede a gravação de tipos de arquivos especifícos no servidor– gera relatórios do uso dos volumes de armazenamento de arquivos– Pode ser usado apenas em volumes NTFS. ReFS não é suportado.
Recursos de Quota FSRM NTFS disk quotas
Rastreamento da Cota By folder or by volume Per user on a volume
Cálculo do uso de disco Actual disk space Logical file size
Mecanismo de notificação
E-mail, event logs, command execution, built-in reports
Event logs only
Interface de Gerenciamento
File Classification Infrastructure• File Classification Infrastructure proporciona processo de
classificação automatizada para gerenciamento de dados mais efetiva. Pode-se aplicar políticas dinâmicas para arquivos de acesso restrito, criptografia de arquivos e expiração de arquivos.
• Observe a criação de uma regra de classificação de arquivos.
File Management Tasks
• Configurando File Management Tasks podemos criar políticas para manejo de arquivos automaticamente.
• As tarefas podem mover arquivos e fazer a manutenção de volumes permanentemente.
Quota Management• Possibilita criar cotas:
– Para limitar espaço permitido em um volume– Para limitar o espaço permitido em uma pastas e/ou em suas
subpastas.– Pode-se criar modelos (templates) para novos volumes ou pastas
• Tipos cotas: – Hard: impede gravação quando o limite é atingido e gera aviso– Soft: apenas gera aviso mas o usuário pode continuar gravando
Interface Quota Management
File Screening Management• Possibilita controlar os tipos de arquivos que os usuários
podem armazenar no servidor• Podemos limitar extensões que podem ser armazenadas no
compartilhamento• Podemos impedir gravação de arquivos .mp3 e .avi nos
documentos do financeiro, por exemplo.• File Groups predeterminados, facilitam novas regras• Templates dos principais filtros já estão na interface
Interface File Screening
Storage Reports• Podemos gerar relatórios apresentando
volume ocupado por usuário e por pastas.• Podemos rastrear gravação de arquivos não
autorizados dentro de um volume/pasta.
Demo
Acompanhe o seu instrutor no procedimento nos procedimentos de criação e configuração de quotas
Hands On Lab• Realize os procedimentos abaixo:
– Criar uma Classification Property e uma Classification Rule– Criar uma File Management Task.– Criar uma cota para uma pasta.– Criar um template de cota.– Criar um filtro de arquivos (file screening) usando os grupos e modelos de filtros
predefinidos.– Criar um relatório de uso de espaço no volume C:
Students to Business – 2013/1
Dúvidas ou Comentários?
FASE 1