Gestão e Configuração de Serviços de Redes Win - Aula 4

Prévia do material em texto

Instalação e con�guração de servidores Windows Server
Prof. Francisco José Ferreira
Descrição
A instalação, a configuração e o gerenciamento do servidor de resolução de nomes (o DNS) do servidor web
IIS e de acesso à área de trabalho remota.
Propósito
O profissional de TI que deseja gerenciar uma rede baseada no Windows Server deve compreender os
principais conceitos para o planejamento, a instalação e a configuração dos serviços de DNS, hospedagem
de websites em IIS e acesso à área de trabalho remota, entendendo e aplicando todos os conceitos
necessários para administrar um ambiente com qualidade e propriedade.
Preparação
Em todo o ambiente proposto, utilizaremos o sistema operacional Windows Server 2019 na versão
Standard. Para quem tem cadastro, a imagem para instalação pode ser obtida no Azure Dev Tools for
Teaching; para quem não a tem, basta obter uma licença de 180 dias no Windows Evaluation Center. Essa
imagem pode ser instalada em uma máquina física ou em uma virtual por meio de um software de
virtualização, como, entre outros, o VirtualBox ou o VMware.
Objetivos
Módulo 1
DNS no Windows Server
Identificar os recursos oferecidos pelo serviço DNS no Windows Server.
Módulo 2
Recursos básicos do servidor web IIS
Identificar os recursos básicos oferecidos pelo servidor web IIS.
Módulo 3
Recursos avançados do servidor web IIS
Identificar os recursos avançados oferecidos pelo servidor web IIS.
Módulo 4
Acesso remoto no Windows Server
Identificar os recursos oferecidos pelo serviço de acesso remoto no Windows Server.
1 - DNS no Windows Server
Ao �nal deste módulo, você será capaz de identi�car os recursos oferecidos pelo serviço DNS
no Windows Server.
A administração e a configuração de serviços de redes em um ambiente Windows Server são um
diferencial na vida dos profissionais que atuam no mercado como especialistas nas plataformas de
servidores da Microsoft. Tendo isso em vista, planejaremos e implantaremos neste conteúdo o
serviço de resolução de nomes DNS mediante o uso das ferramentas de linha de comando como
PowerShell. Também conheceremos os principais comandos e realizaremos tarefas administrativas.
Em seguida, analisaremos o serviço de hospedagem web tanto em modo gráfico quanto em Nano
Server por intermédio dos principais comandos de instalação e configuração. Por fim,
compreenderemos os principais casos de uso para se acessar remotamente um servidor Windows
Server, além de implantar um ambiente inicial de serviço de acesso à área de trabalho remota.
Introdução
O serviço DNS
É fundamental para todo e qualquer administrador de infraestrutura de servidores e serviços Microsoft
saber os princípios básicos de instalação e configuração do serviço de sistema de nomes de domínio DNS
(Domain Name System). Dominá-los ajudará essa pessoa a realizar uma boa administração até mesmo em
ambientes que trazem esse sistema já pré-instalado, uma vez que os fundamentos de instalação e
configuração são os mesmos.
Sistema de nomes de domínios ou resolução de nome, o DNS, como é conhecido em algumas literaturas,
consiste na capacidade de converter nomes de computadores em endereços IP (Internet Protocol). Imagine
como seria navegar na internet digitando o número IP dos sites! Além de extremamente complexo, isso faria
com que a internet fosse muito pouco utilizada. Navegar digitando os nomes de sites é bem mais fácil e
simples de se memorizar. Por conta disso, é tão importante, nos dias de hoje, que os serviços de resolução
de nome existam e funcionem corretamente.
Comentário
O surgimento do serviço de DNS não descartou o IP: os endereços IPs permanecem existindo e são parte
fundamental nas redes de computadores.
Host name e host
Em uma rede corporativa, cada computador tem um nome, que deve ser único na rede e ter um limite
máximo de 255 caracteres. Ele pode combinar letras, números, pontos e hifens.
Ao planejar a estrutura de DNS em uma rede, deve-se levar em consideração o tamanho máximo do nome
que os computadores terão. Considerando o FQDN parte integral desse nome, é importante entender a
seguinte estrutura de nomes:
Nome do computador: rh01.
Domínio local: contoso.local.
FQDN: rh01.contoso.local.
QDN
Fully qualified domain name (ou, em português, nomes de domínio totalmente qualificados).
Comentário
Na referência ao termo “máquina”, entenda que isso pode ser um servidor físico ou virtual (notebook ou
desktop), ou seja, todo e qualquer dispositivo com nome e IP atribuídos a ele. Quando você encontrar o
termo “host”, saiba que ele se refere a todos os dispositivos comentados anteriormente.
Zonas DNS
Para dar conta das demandas e das necessidades específicas na tarefa de resolução de nomes, é
importante que o administrador de ambiente Windows Server entenda a estrutura das zonas DNS.
Você sabe o que é uma Zona DNS?
Resposta
Parte do espaço de nomes DNS (O espaço de nomes de domínio é uma árvore hierárquica, com o domínio
raiz do DNS no topo), gerenciada por uma organização ou um administrador específico, uma zona DNS é um
espaço administrativo que permite um controle mais granular dos componentes DNS, como servidores de
nomes autorizados. Essa zona começa em um domínio dentro da árvore, mas pode se estender para
subdomínios a fim de que vários subdomínios possam ser gerenciados por uma entidade.
As zonas DNS podem ser de pesquisa direta e de pesquisa inversa. Veremos também que essas duas
zonas podem ser do tipo primária ou secundária.
Zona de pesquisa direta
Podemos dizer que a zona de pesquisa direta é a essência do serviço de nomes.
É nesse tipo de zona que o administrador de redes configura a relação entre os nomes dos dispositivos e os
seus respectivos endereços IP. Esse mapeamento é realizado pela configuração dos registros de recursos
(RR) que veremos mais à frente.
As zonas de pesquisa direta permitem de, quando um usuário tentar acessar um dispositivo ou um serviço
que possua o nome FQDN rh01.contoso.local, o cliente DNS busque a zona responsável pelo domínio
contoso.local para que seja realizada a tradução do nome rh01.
A resposta do servidor DNS será o endereço IP utilizado pelo dispositivo rh01.contoso.local. Agora que o
usuário tem o endereço IP do dispositivo que deseja acessar, ele pode se conectar ao dispositivo ou serviço
que deseja acessar.
Nas zonas de pesquisa direta, são configurados o mapeamento:
1. Do nome de dispositivos.
2. Para os servidores de DNS com autoridade para determinado domínio e os servidores de correio
eletrônico para o domínio.
Zona de pesquisa inversa
Imagine a seguinte situação: você é o administrador do ambiente Windows Server e tem como missão
descobrir o nome associado a determinado IP.
Como você poderia resolver essa questão?
Responsável por realizar esse mapeamento, a zona de pesquisa inversa vai ajudar nesse processo de
descobrir o nome do IP que você está investigando. Para isso, veja, a seguir, como fazer um teste simples.
Abra o Prompt de comando e digite o seguinte comando:
Prompt De Comando 
Em seguida, digite o comando sem o parâmetro -a:
Prompt De Comando 
Como exemplo, analise a imagem a seguir e compare os resultados com e sem o parâmetro -a:
Execução do comando ping.
Comentário
Podemos perceber que, no resultado do comando ping -a 8.8.8.8, temos o nome dns.google (nome do host
que representa o IP 8.8.8.8). Já o comando ping 8.8.8.8 reporta somente o endereço IP do host.
A tradução ocorreu porque o cliente DNS, acionado automaticamente após a execução do comando ping,
pesquisou na zona de pesquisa inversa qual é o nome para o endereço 8.8.8.8. Desse modo, essa zona
contribui na administração do ambiente com recursos de busca, facilitando a qualquer um encontrar o nome
do host somente com seu endereço IP.
Para cada segmento de rede, você pode criar uma zona de pesquisa inversa. Ela, contudo, tem um formato
diferente: escrita com o endereço de rede ao contrário, seguido do sufixo in-addr.arpa para redes IPv4 e
ip6.arpapara redes IPv6.
Se uma rede tiver o endereço 172.16.35.0, a zona de pesquisa inversa será:
35.16.172.in-addr.arpa
Zonas primária e secundária
Você sabe a diferença entre zona primária e zona secundária? Veja a seguir:
Zona primária
É nesta zona que você vai realizar as principais funções de administração do ambiente, como criar,
excluir ou editar registros.
Zona secundária
Serve como uma cópia da primária, não sendo possível alterar o objeto ali presente.
Atenção!
Toda e qualquer alteração a ser realizada no registro deve ser feita diretamente na primária.
Como finalidade principal, a zona secundária é implementada no ambiente para a consulta de sistemas e
aplicações específicas. Nos casos em que a base de dados se encontra integrada ao Active Directory, a

primária passa a se chamar zona íntegra ou integrada ao Active Directory.
Não é possível encontrar mais de uma zona integrada no mesmo servidor de Active
Directory.
Tipos de registros e recursos em zonas de pesquisa
Em uma zona, são armazenados vários tipos de registros, e é importante para um administrador de redes
saber a finalidade de cada tipo.
Você pode conferir adiante os tipos e a aplicabilidade de registros para a zona de pesquisa direta:
Tipos de registro DNS Descrição
Host (A) Usado para resolver um nome para um endereço IPv4.
Host (AAAA) Usado para resolver um nome para um endereço IPv6.
Alias (CNAME)
Usado para resolver um nome para outro nome. Exemplo: um alias pode
resolver app.contoso.com para sea-svr1.contoso.com.
Local de serviço (SRV)
Usado por aplicativos para identificar o local dos servidores que hospedam
esse aplicativo. Exemplo: o AD DS usa os registros SRV para identificar o
local dos controladores de domínio e dos serviços relacionados.
Servidor de
mensagens (MX)
Usado para identificar servidores de e-mail para um domínio.
Texto (TXT) Usado para armazenar cadeias arbitrárias de informações no DNS.
Quadro: Registros de recursos DNS. Extraído de: Microsoft, 2021d.
Para a zona de pesquisa inversa, é utilizado o registro PTR (ponteiro), o qual, por sua vez, é empregado para
mapear um endereço IP para um nome.
Tempo de vida dos registros
Os registros possuem vida útil. O que isso significa?
Quando um usuário faz uma consulta DNS, o resultado dessa consulta fica registrado no cache, que tem
como principal função auxiliar em consultas futuras, diminuindo o tempo de resposta. O tempo de
armazenamento é conhecido como TTL (Time To Leave).
Exemplo
Se você configurar um TTL de 30 minutos para um registro, em toda e qualquer consulta a tal registro DNS
realizada dentro desse período (30 minutos), o resultado será fornecido pelo cache.
Em alguns casos, é necessário que o cache DNS seja limpo. Para realizar essa ação, abra o Prompt de
comando e digite o seguinte comando:
Prompt De Comando 
Após executar o comando, você verá o seguinte resultado:
Limpando o cache DNS.
Instalação e con�guração do DNS
Chegamos à etapa de se colocar em prática os conceitos vistos anteriormente. A instalação e a
configuração do DNS em um ambiente Windows Server podem ser feitas basicamente por três formas:
1. Windows Admin Center.
2. Gerenciador de DNS.
3. Comandos em PowerShell.
O Windows Admin Center possui, até o momento, algumas limitações de configuração, sendo possível
definir atualizações dinâmicas e armazenamento de zona, por exemplo. Já os administradores de ambiente
Windows Server utilizam o gerenciador de DNS e o PowerShell para realizar funções mais avançadas, como,
entre outras, alterar o TTL, fazer a limpeza de cache e criar zonas de integração com o Active Directory.
Criação de zonas
Considere a criação da zona primária o ponto de partida de seu planejamento. Você deve saber se essa
zona será integrada ao Active Directory Domain Services (AD DS). Caso seja implantada com o AD DS, essa
zona será integrada ao Active Directory, sendo a base de dados do DNS armazenada dentro da estrutura do
AD DS.
Atenção!
Zonas secundárias não são armazenadas no AD DS. Seu banco de dados é armazenado em um arquivo de
zona.
Quando a zona integrada ao AD DS é habilitada, ela passa a ser replicada a todos os controladores de
domínios, tendo como opções de replicação:
1
Para todos os servidores DNS sendo executados em controladores de domínio nessa floresta.
2
Para todos os servidores DNS sendo executados em controladores de domínio nesse domínio.
3
Para todos os controladores de domínio nesse domínio (para compatibilidade com o Windows 2000).
4
Para todos os controladores de domínio no escopo dessa partição de diretório.
Atualizações dinâmicas seguras
Quando você configura uma zona integrada ao Active Directory, é importante entender que a atualização
dinâmica pode ser feita com configurações de segurança habilitadas.
Essa configuração restringe a zona que pode ou não receber atualizações de outras zonas.
Uma vez habilitada a configuração, você garante que somente clientes com o
registro DNS de zonas com segurança possam receber atualizações.
Em seu planejamento de arquitetura, leve em consideração que computadores com Windows que fazem
parte da mesma floresta têm direito de executar atualizações seguras quando habilitadas.
Atenção!
Caso sua rede tenha dispositivos e sistemas que não sejam do Windows, você terá de habilitar atualizações
dinâmicas não seguras em sua zona.
Comandos PowerShell fundamentais
Muitas das ações que você pode realizar no gerenciamento do DNS são feitas por Cmdlets em PowerShell.
Observe adiante seus comandos e uma breve descrição:
Cmdlet Descrição
Add-DnsServerPrimaryZone Criar uma zona DNS primária.
Add-DnsServerSecondaryZone Criar uma zona DNS secundária.
Get-DnsServerZone Exibir informações de configuração de uma zona DNS.
Get-DnsServerZoneAging Exibir a configuração de vencimento de uma zona DNS.
Remove-DnsServerZone Remover uma zona DNS.
Restore-
DnsServerPrimaryZone
Recarregar o conteúdo da zona do AD DS ou de um arquivo de
zona.
Set-DnsServerPrimaryZone Modificar as configurações de uma zona DNS primária.
Cmdlet Descrição
Start-DnsServerZoneTransfer
Disparar uma transferência de zona para uma zona DNS
secundária.
Quadro: Comandos do PowerShell para DNS.
Extraído de: Microsoft, 2021d.
Registros dinâmicos
Em geral, a maioria dos registros feitos no DNS é realizada de forma dinâmica, isto é, não requer uma
administração constante na criação.
No papel de administrador de ambiente Windows Server, você pode, sabendo que as atualizações dinâmicas
seguem uma regra básica, optar por zonas com atualização dinâmica ou manual. Listaremos essas regras a
seguir:
Quando um host recebe um endereço por meio de um servidor de DHCP.
Quando há uma janela de 24 horas de atualização do DHCP.
Quando ocorre alteração de nome ou do IP do mesmo host.
Quando acontece uma intervenção do administrador que registra um novo cliente pelos
comandos em PowerShell Registrer-DNSClient ou ipconfig /registerdns no prompt de
comando.
Registro manual
Mesmo sabendo das vantagens de se ter registros dinâmicos em funcionamento no ambiente, você verá
que algumas ações são necessárias para uma boa governança em ambiente Windows Server.
O registro manual deverá ser uma atividade constantemente revisitada e realizada ao se criar, editar ou
excluir registros de três formas:
1. Windows Admin Center.
2. Gerenciador de DNS.
3. PowerShell.
Atenção!
Se for necessária a criação de uma grande quantidade de registros, você poderá fazer isso por meio de
arquivos em lote. Em seguida, tais arquivos serão executados por intermédio de Cmdlets em PowerShell.
Confira agora alguns dos comandos e a sua descrição:
Cmdlet Descrição
Add-DnsServerResourceRecord Criar qualquer registro de recurso especificado pelo tipo.
Add-DnsServerResourceRecordA Criar um registro de recurso de host (A).
Add-DnsServerResourceRecordAAAA Criar um registro de recurso de host (AAAA).
Add-DnsServerResourceRecordCNAME Criar um registro de recurso de alias CNAME.
Add-DnsServerResourceRecordMXCriar um registro de recurso MX.
Add-DnsServerResourceRecordPtr Criar um registro de recurso PTR.
Quadro: Comandos para administração de registros DNS.
Extraído de: Microsoft, 2021d.
Instalação e con�guração inicial
Para a instalação das funções DNS, você deverá estar logado em um Windows Server 2019.
Atenção!
É importante verificar se o seu usuário tem privilégios de instalação de funções do Windows. Em geral, se o
seu usuário pertence ao grupo de segurança denominado Administradores, isso significa que você possui
todos os privilégios necessários para seguir com a instalação.
Para configurar pelo Windows Admin Center, basta seguir os seguintes passos:
1. Abra o Microsoft Edge e acesse o site do Windows Admin Center.
2. Conecte-se ao servidor remoto apropriado.
3. No Windows Admin Center, selecione Ferramentas e Funções e recursos.
4. Instale a função de servidor DNS.
5. No novo servidor, crie uma zona DNS e defina as propriedades a seguir: tipo de zona; nome de zona;
arquivo de zona e atualização dinâmica.
6. Na nova zona, crie um registro de host.
7. Abra o PowerShell e verifique se a resolução de nomes foi bem-sucedida para o novo registro da nova
zona usando o Cmdlet Resolve-DnsName.
Você pode realizar a instalação das funções de DNS a partir de outro servidor. Não é necessário estar
logado especificamente no mesmo serviço em que será feita a instalação. O Admin Center ajuda justamente
nessa tarefa. Em resumo, por meio de um servidor e um Admin Center, você pode gerenciar praticamente
todo o seu ambiente Windows Server.
Comentário
Caso tenha alguma dúvida sobre como escolher e entender as propriedades requeridas na instalação,
retorne a este material e leia as seções correspondentes.
Gerenciando o DNS
Você sabe como instalar, configurar e administrar uma zona de pesquisa direta e uma reversa em um
servidor Windows? Não deixe de assistir a este vídeo!

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
O serviço de nomes - DNS (domain name system) é um dos mais importantes para o funcionamento
das redes locais e da internet. Qual é o objetivo do DNS?
Parabéns! A alternativa C está correta.
O DNS permite realizar a conversão de nomes de máquinas em endereços IPv4 ou IPv6.
Questão 2
A Administrar de forma dinâmica os endereços MAC na rede.
B Converter nomes em DHCPs de forma dinâmica.
C Converter nomes de computadores em endereços IP.
D Converter letras em números e endereços TCP.
E O DNS converte, de forma manual, o endereço IPv4 em IPv6.
Um servidor DNS pode ter zonas primárias e secundárias, cada uma delas com finalidades e
características específicas. Qual é a característica de uma zona secundária?
Parabéns! A alternativa D está correta.
A zona secundária é uma cópia ou espelho da primária. Ela pode ser empregada para aplicações
específicas ou por configuração do administrador do ambiente Windows Server.
A Ela pode ser utilizada para criar registros.
B Ajuda na replicação e integração com o AD DS.
C Tudo que é criado na zona secundária é replicado na primária.
D É a réplica da zona primária.
E Não se pode ter zona secundária em ambientes Windows Server.
2 - Recursos básicos do servidor web IIS
Ao �nal deste módulo, você será capaz de identi�car os recursos básicos oferecidos pelo
servidor web IIS.
A web
Um dos serviços mais utilizados na rede mundial de computadores é o serviço web, que basicamente
personifica a internet no mundo todo. Como administrador de ambiente Windows Server, você terá a
oportunidade de se deparar com situações que requerem o conhecimento das funcionalidades básicas do
servidor de hospedagem web.
A hospedagem web não está direcionada somente para sites públicos, como buscadores e sites
especializados de notícias e vídeos, mas também para serviços de hospedagem web (amplamente
utilizados dentro das empresas).
Este conteúdo que você está lendo agora foi acessado por algum serviço web! O serviço de hospedagem é
um dos mais versáteis, permitindo desde a criação de páginas simples até sistemas altamente complexos.
Basicamente, o conjunto de tecnologias e recursos que sustenta as páginas simples e as
complexas é o mesmo.
A solução da Microsoft para a hospedagem web é realizado por meio do servidor IIS (Internet information
Services) do Windows Server. Ele permite o uso dos protocolos HTTP e HTTPS para acessar as páginas web
por intermédio das portas 80 e 443, respectivamente.
Servidor web
Como administrador do ambiente web, você deve entender que sua tarefa de administrador será realizada
graças à gestão de componentes. A estrutura de componentes permite adicionar, remover e substituir
elementos e funcionalidades do ambiente web.
Listaremos a seguir alguns pontos importantes na sua estratégia de administração:
Proteção do ambiente
Instalando somente o necessário, você garante que não haverá possibilidades de ataques em determinado
recurso que não foi habilitado.
Desempenho
Um sistema web tem de conseguir atender ao desempenho planejado, além de remover recursos não
utilizados. Menos código na aplicação garante mais memória disponível e, como consequência, mais
desempenho.
Con�guração personalizada
Cada aplicação terá uma necessidade específica. Uma intranet tem requisitos diferente de um site
publicado na internet.
Instalação e con�guração inicial
Administrador de um ambiente Windows Server, você será, em algum momento, designado para instalar a
função web em um host com Windows Desktop ou em um uma máquina Windows Server.
Para implantar o IIS no Windows Desktop, basta seguir o seguinte passo a passo:
1. Clique em Iniciar e em Painel de controle.
2. No Painel de controle, clique em Programas.
3. Em Programas e recursos, clique em Ativar ou desativar recursos do Windows.
4. Na caixa de diálogo Recursos do Windows, expanda Serviços de informações da internet e selecione
todos os seus recursos. Pode ser necessário expandir algumas categorias para selecionar todos os
recursos desta categoria.
5. Clique em OK.
A instalação do IIS no Windows Server, por sua vez, envolve estas nove etapas:
No Gerenciador de servidores, selecione Gerenciar e, em seguida, Adicionar funções e
recursos.
Na tela de Assistente de adição de funções e recursos, clique em Avançar para prosseguir.
Agora selecione o tipo de instalação que deverá ser feita marcando a opção Instalação
baseada em função ou recurso.
Selecione o servidor em que será feita a instalação do recurso.
Comentário
Após a instalação, para realizar um teste e conferir se o IIS foi devidamente instalado, bastar abrir o
navegador e digitar na barra de endereços localhost (ou 127.0.0.1) ou, se preferir, o endereço de IP da
máquina que você está fazendo as configurações.
Tela de boas-vindas do IIS
Selecione Servidor web (IIS).
Clique em Adicionar funções e, depois, em Próximo.
Na tela de recursos e na de função de servidor web, clique em Próximo.
Na tela de Funções para o servidor web, clique em Próximo.
Na tela de confirmação, clique em Instalar.
Uma vez instalada a função de IIS, agora estamos prontos para realizar as primeiras configurações do
servidor web. Para isso, precisamos realizar mais três etapas:
1. Abra o menu iniciar do Windows, digite Gerenciador dos serviços de informações da internet (IIS) e
abra em seguida.
2. No lado esquerdo do painel IIS, abra a lista de servidores e sites. Você vai encontrar o site padrão
(default website), que está armazenado em C:\inetpub\wwwroot.
3. Para verificar se o diretório foi devidamente criado na máquina, basta conferir acessando o Windows
Explorer C:\inetpub\wwwroot. Dentro do diretório wwwroot, você vai encontrar dois arquivos:
iisstart.htm e iisstart.png.
Introdução aos módulos IIS
A evolução da tecnologia do servidor web vem crescendo nos últimos anos. No IIS, o administrador de um
ambiente Windows Server tem a possibilidade de realizar suas configurações com base nos módulos
essenciais de funcionamento.
ComentárioSe o seu website – seja ele uma intranet ou um site público – não tiver a necessidade de autenticação, não
será necessária a instalação do módulo para autenticar os clientes.
Saber quais módulos devem ser implementados faz parte das atividades de um administrador de ambiente
Windows Server, pois tal conhecimento garante mais controle sobre o ambiente. Além de evitar esforços
adicionais de implantação, gerenciamento e governança do ambiente, isso incrementa seu nível de
segurança, já que diminui a superfície de ataque.
Eis as principais vantagens no emprego de módulos:
1. Controlar quais módulos estão ativos.
2. Personalizar serviços com base em funções.
3. Personalizar módulos para substituir ou implantar novos recursos.
Módulos-base
Uma vez compreendido o conceito dos módulos, você poderá identificar quais deles farão parte de seu
projeto. Sendo assim, cabe a você, administrador do ambiente Windows Server, selecionar, habilitar e
configurar cada módulo que corresponde ao seu projeto.
Módulo HTTP
Ele é responsável por responder às informações e às consultas enviadas no cabeçalho do cliente,
identificando erros, redirecionamentos e outras solicitações.
Nome do módulo Descrição Recurso
CustomErrorModule
Envia mensagens de erro HTTP padrão e
aquelas configuradas quando um código de
status de erro é definido em uma resposta.
Inetsrv \ Custerr.dll
HttpRedirectionModule
Suporta o redirecionamento configurável para
solicitações HTTP.
Inetsrv \ Redirect.dll
ProtocolSupportModule
Executa ações relacionadas ao protocolo,
como definir cabeçalhos de resposta e
redirecionar cabeçalhos com base na
configuração.
Inetsrv \ Protsup.dll
RequestFilteringModule
Filtra as solicitações configuradas para
controlar o protocolo e o comportamento do
conteúdo.
Inetsrv \
modrqflt.dll
WebDAVModule
Permite a publicação mais segura de conteúdo
usando HTTP sobre SSL.
Inetsrv \
WebDAV.dll
Quadro: Módulos HTTP.
Extraído de: Microsoft, 2020b.
Módulo de segurança
A segurança em um servidor web tem de ser um dos pontos fortes da sua administração. Considerando que
outros módulos não específicos também possuem características de segurança, entender o que cada
módulo específico de segurança entrega garantirá uma maior riqueza de detalhes em seu projeto.
Nome do módulo Descrição Recurso
AnonymousAuthenticationModule
Executa a autenticação
anônima quando nenhum
outro método de
autenticação é bem-
sucedido.
Inetsrv \
Authanon.dll
BasicAuthenticationModule
Executa a autenticação
básica.
Inetsrv \
Authbas.dll
CertificateMappingAuthenticationModule
Executa a autenticação de
mapeamento de
certificado usando o
Active Directory.
Inetsrv \
Authcert.dll
DigestAuthenticationModule
Executa a autenticação
Digest.
Inetsrv \
Authmd5.dll
IISCertificateMappingAuthenticationModule
Executa a autenticação de
mapeamento de
certificado, usando a
configuração de
certificado do IIS.
Inetsrv \
Authmap.dll
RequestFilteringModule
Executa tarefas URLScan,
como configuração de
verbos permitidos e
extensões de nome de
arquivo, definição de
limites e verificação de
sequências de caracteres
incorretas.
Inetsrv \
Modrqflt.dll
UrlAuthorizationModule
Executa a autorização de
URL.
Inetsrv \
Urlauthz.dll
Nome do módulo Descrição Recurso
WindowsAuthenticationModule
Executa a autenticação
integrada NTLM.
Inetsrv \
Authsspi.dll
IpRestrictionModule
Restringe os endereços
IPv4 listados na lista
ipSecurity na
configuração.
Inetsrv \ iprestr.dll
Quadro: Módulos de segurança.
Extraído de: Microsoft, 2020b.
Módulo de conteúdo
De nada adianta possuir um ambiente web totalmente configurado sem haver o conteúdo dele. Algumas
características são importantes para que um ambiente processe e responda às solicitações dos usuários,
por exemplo, uma página que represente um retorno de um conteúdo não encontrado.
Nome do módulo Descrição Recurso
CgiModule
Executa processos de interface comum de
gateway (CGI) para criar saída de resposta.
Inetsrv \ Cgi.dll
DefaultDocumentModule
Tenta retornar um documento padrão para
solicitações feitas ao diretório pai (diretório
raiz).
Inetsrv \ Defdoc.dll
DirectoryListingModule Lista o conteúdo de um diretório. Inetsrv \ dirlist.dll
IsapiModule Hospeda DLLs de extensão ISAPI. Inetsrv \ Isapi.dll
IsapiFilterModule Oferece suporte a DLLs de filtro ISAPI. Inetsrv \ Filter.dll
ServerSideIncludeModule
Os processos do lado do servidor incluem
código.
Inetsrv \ Iis_ssi.dll
StaticFileModule Atende a arquivos estáticos. Inetsrv \ Static.dll
Nome do módulo Descrição Recurso
FastCgiModule
Suporta FastCGI, que fornece uma alternativa
de alto desempenho para CGI.
Inetsrv \ iisfcgi.dll
Quadro: Módulos de conteúdo.
Extraído de: Microsoft, 2020b.
Módulos de cache
Uma página que recebe vários acessos ao longo do dia poderá ter seu desempenho melhorado se o cache
for devidamente configurado.
Imagine agora várias solicitações sendo feitas ao longo do dia. É provável que elas sejam parecidas. O
recurso de cache em um website melhora justamente a entrega das solicitações de forma mais rápida.
Nome do módulo Descrição Recurso
FileCacheModule
Fornece cache de modo de usuário para arquivos
e identificadores de arquivo.
Inetsrv \ Cachfile.dll
HTTPCacheModule
Fornece modo kernel e cache de modo de usuário
em HTTP.sys.
Inetsrv \
Cachhttp.dll
TokenCacheModule
Fornece armazenamento em cache no modo de
usuário de nomes de usuário e pares de tokens
para módulos que produzem entidades de usuário
do Windows.
Inetsrv \
Cachtokn.dll
UriCacheModule
Fornece armazenamento em cache de modo de
usuário de informações de URL.
Inetsrv \ Cachuri.dll
Quadro: Módulos de cache.
Extraído de: Microsoft, 2020b.
Módulo de registro e diagnóstico
Sendo um administrador do ambiente Windows Server, como você conseguiria realizar uma análise mais
detalhada de um erro ou até mesmo entender se está tudo devidamente configurado e funcionando
corretamente? Resposta: por meio dos logs, que nada mais são do que um conjunto de registros das
transações realizadas pelos aplicativos que se hospedam no servidor web.
Nome do módulo Descrição Recurso
CustomLoggingModule
Carrega módulos de registro
personalizados.
Inetsrv \ Logcust.dll
FailedRequestsTracingModule
Oferece suporte ao recurso
Rastreamento de solicitação com falha.
Inetsrv \ Iisfreb.dll
HttpLoggingModule
Passa informações e status de
processamento para HTTP.sys para
registro.
Inetsrv \ Loghttp.dll
RequestMonitorModule
Rastreia solicitações atualmente em
execução nos processos de trabalho e
relata informações com status de
tempo de execução e interface de
programação de aplicativo de controle
(RSCA).
Inetsrv \ Iisreqs.dll
TracingModule
Relata eventos para o rastreamento de
eventos da Microsoft para Windows
(ETW).
Inetsrv \ Iisetw.dll
Quadro: Módulos de registro.
Extraído de: Microsoft, 2020b.
Módulo de suporte gerenciado
Oferta suporte a alguns módulos que possuem módulos integrados a solicitações do servidor web.
Nome do módulo Descrição Recurso
ManagedEngine
Fornece integração de módulos de
código gerenciado no pipeline de
processamento de solicitações do
IIS.
Microsoft.NET \
Framework \
v2.0.50727 \
webengine.dll
Nome do módulo Descrição Recurso
ConfigurationValidationModule
Valida problemas de configuração,
o que ocorre quando um aplicativo
é executado no modo integrado,
mas tem manipuladores ou
módulos declarados na seção
system.web.
Inetsrv \ validcfg.dll
Quadro: Módulo de suporte gerenciado.
Extraído de: Microsoft, 2020b.
Módulos gerenciados
Os módulos nativos já trazem uma ampla variedade de configurações e recursos. Os módulos gerenciados
ampliam essas configurações por meio de codificação.
Vejamos alguns dos principais módulos que você encontrará em projetos utilizando o IIS:
Nome do módulo Descrição Recurso
AnonymousIdentification
Gerencia
identificadores
anônimos usados
por recursos que
oferecem suporte à
identificação
anônima,como o
perfil ASP.NET.
System.Web.Security.AnonymousIdentificationMo
DefaultAuthentication
Garante que um
objeto de
autenticação esteja
presente no
contexto.
System.Web.Security.DefaultAuthenticationMod
FileAuthorization Verifica se um
usuário tem
permissão para
System.Web.Security.FileAuthorizationModule
Nome do módulo Descrição Recurso
acessar o arquivo
solicitado.
FormsAuthentication
Suporta
autenticação
usando a
autenticação de
formulários.
System.Web.Security.FormsAuthenticationMod
OutputCache
Suporta cache de
saída.
System.Web.Caching.OutputCacheModule
Perfil
Gerencia perfis de
usuário usando o
perfil ASP.NET, que
armazena e
recupera as
configurações do
usuário em uma
fonte de dados,
como um banco de
dados.
System.Web.Profile.ProfileModule
RoleManager
Gerencia uma
instância
RolePrincipal para o
usuário atual.
System.Web.Security.RoleManagerModule
Sessão
Oferece suporte à
manutenção do
estado da sessão, o
que permite o
armazenamento de
dados específicos
para um único
cliente em um
aplicativo no
servidor.
System.Web.SessionState.SessionStateModul
Nome do módulo Descrição Recurso
UrlAuthorization
Determina se o
usuário atual tem
permissão para
acessar a URL
solicitada com
base no nome do
usuário ou na lista
de funções das
quais um usuário é
membro.
System.Web.Security.UrlAuthorizationModule
UrlMappingsModule
Suporta o
mapeamento de
um URL real para
um mais amigável.
System.Web.UrlMappingsModule
Autenticação do
Windows
Define a identidade
do usuário para um
aplicativo ASP.NET
quando a
autenticação do
Windows está
habilitada.
System.Web.Security.WindowsAuthenticationMo
Quadro: Módulos gerenciados.
Extraído de: Microsoft, 2020b.
Instalando e con�gurando um servidor IIS
Acompanhe agora as práticas de instalação e configuração do servidor IIS. Vamos lá!

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
O servidor IIS é a solução da Microsoft para que uma máquina Windows Server possa atuar como um
servidor web. Fazem parte das tarefas de um administrador de um ambiente IIS
Parabéns! A alternativa B está correta.
Proteger o ambiente é umas das principais funções de administrador de serviço web. Levando em
consideração o desempenho e as configurações personalizadas, cada cenário de serviço web tem
características específicas que devem ser customizadas para cada site a ser hospedado.
A proteção do ambiente, escala e paradas programadas.
B proteção do ambiente, desempenho e configuração personalizada.
C desempenho, escala e proteção do ambiente.
D configuração personalizada, sites e intranet.
E proteção do ambiente, desempenho e configuração padrão.
Questão 2
Que portas os protocolos HTTP e HTTPS utilizam respectivamente?
Parabéns! A alternativa C está correta.
O protocolo Hypertext Transfer Protocol funciona na porta 80 e o Hyper Text Transfer Protocol Secure,
na 443. A 80 é considerada texto limpo: isso quer dizer que todas as informações não são
criptografadas, sendo essa criptografia encontrada na porta 443.
A 80 e 8080.
B 443 e 80.
C 80 e 443.
D 80 e 3389.
E 443 e 3389.
3 - Recursos avançados do servidor web IIS
Ao �nal deste módulo, você será capaz de identi�car os recursos avançados oferecidos pelo
servidor web IIS.
Visão geral de monitoramento
Uma vez que você compreendeu as funções básicas de um serviço web, é chegada a hora de saber como
são realizadas algumas das principais configurações avançadas no que se refere a esse serviço. Sendo um
administrador de ambiente Windows Server com o serviço web instalado, é comum você ter de fazer
algumas rotinas para validar se o serviço está funcionando corretamente.
Algumas dessas funções incluem:
• Resolução de problemas.
• Gerenciamento.
• Administrar extensões.
• Instalação avançada.
Nano Server
Um administrador de ambiente Windows Server precisa identificar quais são as possibilidades existentes
para instalar, gerenciar e administrar ambientes Windows. Uma das possibilidades de instalação do
Windows Server e consequentemente do serviço web é o Nano Server.
Segundo o próprio site da Microsoft, o Nano Server é:
[...] um sistema operacional de servidor administrado remotamente e otimizado
para data centers e nuvens privadas. É semelhante ao Windows Server no
modo Server Core, mas significativamente menor, não tem nenhum recurso de
logon local e só oferece suporte a agentes, ferramentas e aplicativos de 64
bits. Ele ocupa bem menos espaço em disco, configura consideravelmente
mais rápido e exige muito menos atualizações e reinicializações que o
Windows Server. Quando ele reinicia, é muito mais rápido.
(MICROSOFT, 2021f)
No dia a dia de um administrador, ele é recomendado nos seguintes cenários:
• Para configurar um servidor de DNS.
• Host para virtualização em Hyper-V, sendo em cluster ou não.
• Para configurar um servidor de arquivos.
• Para configurar um servidor web executando o IIS.
Pontos importantes
Seja para utilizar como servidor web ou em qualquer outra função, o Nano Server deve ser muito bem
planejado devido a características específicas, como não possuir interface gráfica para sua administração.
Apontaremos algumas dessas características adiante:
Não há capacidade de logon local por meio de interface gráfica do usuário.
Há suporte apenas para agentes, ferramentas e aplicativos de 64 bits.
O Nano Server não pode atuar como um controlador de domínio do Active Directory.
O Nano Server não pode ser configurado a fim de se usar um servidor proxy para acessar a
internet.
Não há suporte para o agrupamento de interfaces de rede (especificamente, balanceamento
de carga e failover ou LBFO). Em vez disso, ele existe para o SET (agrupamento incorporado
do comutador).
Não há suporte para o Microsoft Endpoint Configuration Manager e o System Center Data
Protection Manager.
Serviço web em Nano Server
Ao instalar o IIS em um Nano Server, alguns recursos não estão disponíveis. O quadro a seguir apresenta
aqueles que podem ser habilitados:
Recurso Habilitado por padrão
Recursos HTTP comuns
Documento padrão X
Pesquisa no diretório X
Não há suporte para Cmdlets do BPA (analisador de práticas recomendadas) nem para a
integração do BPA ao gerenciador do servidor.
O Nano Server não dá suporte a HBAs (adaptadores de barramento do host) virtuais.
O Nano Server não precisa ser ativado com uma chave do produto (product key). Ao funcionar
como um host do Hyper-V, ele não é compatível com a AVMA (ativação automática de
máquina virtual). Máquinas virtuais em execução em um host do Nano Server podem ser
ativadas usando o KMS (serviço de gerenciamento de chaves) com uma chave de licença de
volume genérico ou a ativação baseada no Active Directory.
A versão do Windows PowerShell fornecida com o Nano Server tem diferenças importantes.
Recurso Habilitado por padrão
Erros de HTTP X
Conteúdo estático X
Redirecionamento HTTP
Integridade e diagnóstico
Log de FTP X
Log personalizado
Monitor de solicitação
Rastreamento
Desempenho
Compactação de conteúdo estático X
Compactação de conteúdo dinâmico
Segurança
Filtragem de solicitações X
Autenticação básica
Autenticação do mapeamento de certificado de cliente
Autenticação digest
Autenticação do mapeamento de certificados de cliente do IIS
Restrições de IP e de domínio
Autorização de URL
Autenticação do Windows
Recurso Habilitado por padrão
Desenvolvimento de aplicativo
Inicialização de aplicativo
CGI
Extensões ISAPI
Filtros ISAPI
Server-Side includes
Protocolo WebSocket
Ferramentas de gerenciamento
Módulo de administração de IIS para Windows PowerShell X
Quadro: Recursos do IIS em um Nano Server.
Extraído de: Microsoft, 2021d.
Instalação off-line do IIS no Nano Server
Um dos recursos da virtualização de serviços por meio do Hyper-V que pode ser benéfico para você é a
instalação do IIS indicando o VHD (disco virtual da máquina). Esse tipo de instalação se dá graças ao
apontamentodo arquivo .vhd.
Para fazer a instalação do IIS de forma off-line, basta abrir o PowerShell e digitar o seguinte comando:
New-NanoServerImage -Edition Standard -DeploymentType Guest -MediaPath f:\ -BasePath .\Base -
TargetPath .\Nano1.vhd -ComputerName Nano1 -Package Microsoft-NanoServer-IIS-Package
Atenção!
Para realizar essa configuração, você deve ter um ambiente de Hyper-V implementado, além de conhecer a
criação e a configuração de máquinas virtuais.
Mas você pode estar ser perguntando:
Por que devo fazer uma instalação de forma off-line? Não seria mais prático instalar com o servidor
ligado?
Se você pensou algo desse tipo, você está correto!
Existe uma pequena diferença entre instalar o IIS (ou qualquer outro serviço) no modo Nano Server do modo
gráfico.
Quando se trata de Nano Server, as “facilidades se invertem”, passando ser mais
fácil implementar recursos com o servidor virtual desligado do que com ele ligado.
Grande parte do trabalho de um administrador de ambiente Windows Server, afinal,
é realizado com o servidor ligado.
Entretanto, é provável que você receba atividades para fazer, por exemplo, a instalação de um conjunto de
ambientes já preparados que são considerados imagens de instalação ou até mesmo um conjunto imenso
de configuração de uma só vez. Desenvolver esse tipo de tarefa é bem mais fácil de se executar na forma de
lote, que é um conjunto de poucos comandos executados em múltiplos VHDs.
Instalar IIS em modo on-line
Para possibilitar a instalação off-line da função de servidor, talvez seja necessário configurá-la no modo on-
line (com o Nano Server em execução) em cenários de contêiner. Para isso, siga as seguintes instruções:
1. Copie a pasta Pacotes da mídia de instalação localmente no Nano Server em execução (por exemplo,
em C:\packages.).
2. Crie um arquivo Unattend.xml em outro computador. Em seguida, copie-o no Nano Server com este
código:
Xml 
3. No novo arquivo XML criado (ou copiado), edite C:\packages para o diretório no qual você copiou o
conteúdo de Pacotes.
4. Alterne para o diretório com o arquivo XML criado recentemente e execute
dism /on-line /apply-unattend:.\unattend.xml.
5. Confirme se o pacote do IIS e seu pacote de idiomas associado estão instalados corretamente. Para isso,
execute: dism /on-line /get-packages. Você precisa ver a Identidade de pacote (Microsoft-NanoServer-
IIS-Package~31bf3856ad364e35~amd64~~10.0.14393.1000) listada duas vezes: uma para Release
Type: Language Pack; a outra, para Release Type: Feature Pack.
�. Inicie o serviço W3SVC com net start w3svc ou reiniciando o Nano Server.
Inicializar e testar o IIS
Um bom administrador de ambiente Windows Server tem como princípio realizar um conjunto de atividades
após a instalação e a configuração de qualquer interface, software ou servidor. Essas atividades são uma
forma de validar e garantir que as configurações realizadas estão devidamente habilitadas e em pleno
funcionamento antes mesmo de elas serem liberadas para outros times ou até mesmo de se pôr em
produção o ambiente.
Comentário
Para validar se a página web está funcionando, bastar abrir o navegador e digitar o endereço de IP do Nano
Server.
Como o Nano Server é administrado por linha de comando, não é possível realizar esse tipo de teste no
próprio servidor dele. Você terá de acessar outra máquina com a experiência de desktop habilitada
(Windows com o módulo gráfico instalado) e, em seguida, realizar os devidos testes.
Caso o servidor web seja uma máquina virtual, você poderá obter o endereço IP da máquina utilizando o
seguinte comando em PowerShell:
Get-VM -name <VM name> | Select -ExpandProperty networkadapters | select IPAddresses
Após concluir esse comando e obter o endereço IP, basta abrir o navegador e digitar isto: http://<Endereço
IP do Nano Server>.
Comentário
Caso a página web não tenha carregado, verifique se o diretório c:\inetpub foi devidamente criado no
servidor Nano Server.
Habilitar e desabilitar os recursos no IIS
Quando você conclui uma instalação do servidor web, um conjunto de recursos, por padrão, é habilitado. Ao
analisá-los, você pode definir se as configurações presentes fazem sentido para o seu projeto.
Em cada recurso, pode existir um conjunto de elementos de configuração, como o recurso de autenticação
do Windows. Observemos os recursos nesta tabela:
Seção Elementos de configuração
<globalModules>
<add name=WindowsAuthenticationModule
image=%windir%\System32\inetsrv\authsspi.dll
<modules> <add name=WindowsAuthenticationModule lockItem=true \/>
<windowsAuthentication>
<windowsAuthentication enabled=false authPersistNonNTLM\=true>
<providers><add value=Negotiate /><add value=NTLM /><br />
</providers><br /></windowsAuthentication>
Quadro: Recursos do IIS no Nano Server.
Extraído de: Microsoft, 2021d.
Instalação do recurso de autenticação do Windows
Para realizar esse procedimento, você utilizará o Gerenciamento e manutenção de imagens de implantação
(DISM.exe). Aplicada para preparar imagens do Windows, essa ferramenta de linha de comando será
executada no PowerShell.
1. Conecte ao servidor Nano Server que deseja instalar o módulo de autenticação no serviço IIS.
2. Digite este comando:

Windows Powershell
Atenção!
Para executar o comando dism, você deve elevar os privilégios para administrador antes da execução; caso
contrário, você não conseguirá iniciar a instalação.
Para elevar o privilégio de execução do PowerShell, basta executar o comando a seguir:
Windows Powershell 
Quando executado, você receberá uma mensagem para confirmar a solicitação. Em alguns casos, será
solicitado que você insira usuário e senha de administrador.
Comentário
Em muitas ocasiões, será necessária ainda a elevação de privilégios no Windows Server antes de dar início
à instalação das funções. Mas não se preocupe: caso não execute a elevação antes de iniciar a instalação, o
próprio sistema lhe informará que faltam privilégios de administrador.
Desinstalar recurso de autenticação do Windows
Para remover o recurso de autenticação do Windows, basta executar o comando a seguir no PowerShell.
Não se esqueça de elevar os privilégios antes de seguir com a tarefa.
Windows Powershell 
Como você deve ter percebido, instalar e desinstalar no PowerShell estão respectivamente associados aos
comandos Enable-Feature e Disable-Feature. Para realizar a instalação e a desinstalação de qualquer outro
recurso do IIS, basta substituir o valor do parâmetro /featurename:.
Criação de diretórios e sites
Você acabou de configurar uma estrutura-base em Nano Server com a função de serviço web baseada em
IIS da Microsoft. Agora é chegada a hora de criar um site e configurá-lo.
Comentário
No mesmo servidor web, é possível hospedar vários sites, sejam eles direcionados à internet ou à intranet.
Para isso ser possível, você deverá criar diretórios diferentes que serão responsáveis por armazenar e
classificar os sites e as aplicações que forem desenvolvidas.
Para criar um site, use o seguinte comando:
Windows Powershell 
Os nomes TestSite e test podem ser qualquer outro que corresponda ao seu projeto.
Para excluir um site que você criou equivocadamente ou que não faça mais parte do seu projeto, basta
executar este comando:
Windows Powershell 
Atenção!
Tenha muito cuidado ao executar esse procedimento, pois, caso você exclua o site equivocadamente, não
existe comando para cancelar a exclusão!
Existem cenários nos quais é necessário criar diversos sites. Como forma de otimizar o uso dos recursos
disponíveis, você poderá hospedar vários no mesmo servidor, criando, para isso, diretórios virtuais.
Você deve planejar muito bem a estrutura de sites para que não ocorra perda de desempenho ou
concorrência entre recursos.
Um diretório virtual será utilizado para armazenar dados e aplicativos dos novos sites. Para criar um
diretório virtual, execute os comandos adiante:
Windows Powershell 
O comando Get-IISServerManager retorna o objetoIISServerManager, que apresenta a API
Microsoft.Web.Administration.ServerManager do .NET. Tal comando será executado no site padrão (default
website) no diretório raiz (/). O método Add() da coleção VirtualDirectories desse elemento cria o diretório, o
qual, em nosso exemplo, é virtualDirectory1 e virtualDirectory2.
Con�gurando o IIS em um Nano Server
Veja agora como configurar o servidor web em um Nano Server utilizando diretórios virtuais e configurando
o HTTPS. Vamos lá!

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
Em uma rede corporativa, é importante que o administrador da rede desenvolva suas atividades de
forma mais precisa possível, garantindo, assim, que ela tenha um excelente desempenho. Entre outras
atividades, o que faz parte da rotina de um administrador de serviços web?
Parabéns! A alternativa C está correta.
Um administrador de ambiente Windows Server com o servidor web implantado deve sempre analisar e
resolver possíveis problemas do ambiente, ter uma rotina de gerenciamento, administrar as extensões
do website e realizar instalações avançadas tanto em um ambiente Nano Server quanto no modo
gráfico do Windows Server.
Questão 2
O Nano Server é essencialmente uma versão simplificada do sistema operacional Windows Server.
Significativamente menor, ele não tem nenhum recurso de logon local e só oferece suporte a agentes,
ferramentas e aplicativos de 64 bits. Entre os cenários possíveis para se empregar o Nano Server,
podemos afirmar que ele é
A Resolução de problemas, gerenciamento, administrar chamados e configurar o firewall.
B Resolução de problemas, gerenciamento de discos e cabeamento de rede.
C Resolução de problemas, gerenciamento, administrar extensões e instalação avançada.
D Resolução de causas e efeitos, sites de outras empresas, desinstalar drives.
E Resolução de causas e efeitos, sites da mesma empresa e instalar drives.
Parabéns! A alternativa C está correta.
O Nano Server é uma solução desenvolvida pela Microsoft para oferecer uma versão simplificada do
Windows Server, que exige menos recursos de hardware, diminui a superfície de ataque e remove
diversas funcionalidades, como a interface gráfica, além de permitir apenas a execução de aplicativos
de 64 bits. Ele é adequado para a configuração de servidores DNS e de arquivos web (IIS) e como host
para virtualização em Hyper-V.
A adequado para implantar servidores de DNS e como controlador de domínio (AD).
B adequado para implantar um controlador de domínio (AD) e como servidor de arquivos.
C adequado para implantar servidores de arquivos e servidores de nomes (DNS).
D
adequado para implantar um servidor web executando o IIS e configurar o IIS pelo
navegador.
E
adequado para ser um host para virtualização em Hyper-V ou um desktop para um
usuário.
4 - Acesso remoto no Windows Server
Ao �nal deste módulo, você será capaz de identi�car os recursos oferecidos pelo serviço de
acesso remoto no Windows Server.
Acesso remoto
Imagine o seguinte cenário: você é um administrador de ambiente Windows Server e precisa acessar alguns
servidores. Além disso, esse acesso tem de ser feito de forma física.
Para realizar essa atividade, bastaria um teclado, um mouse e um monitor conectado a esse servidor.
Considerando um ambiente com algumas dezenas de servidores, restrições físicas de acesso ao local ou
servidores virtuais, tentar acessar fisicamente esses ambientes não faria sentido para você, que é
administrador.
A capacidade de acesso remoto é algo inerente a ambientes de servidores desde seu surgimento. Com o
advento dos serviços em cloud computing, faz todo sentido compreender e dominar as principais formas de
configuração do serviço de acesso remoto e de suas variações.
O acesso remoto pode ser feito em um sistema Windows Server para desktop (Windows 10, por exemplo)
ou Windows Desktop. Basta configurar as permissões e os serviços específicos.
Comentário
Em resumo, o acesso remoto é a capacidade de acessar uma aplicação, uma área de trabalho ou um
servidor sem necessariamente estar conectado fisicamente a ele. Para isso, pode-se utilizar o próprio
dispositivo mediante uma conexão feita por meio de uma rede LAN ou WAN.
Habilitando o acesso remoto em Windows Desktop
Em redes com vários usuários, pode ser necessário acessar remotamente o desktop para realizar um
suporte ou até mesmo alguma ação preventiva na estação de trabalho do usuário. Para isso, você deve
habilitar o acesso remoto no sistema operacional Windows Desktop.
Estes são alguns dos sistemas operacionais compatíveis:
• Windows 10 Pro
• Windows 10 Enterprise
• Windows 8 Enterprise
• Windows 8 Professional
• Windows 7 Professional
• Windows 7 Enterprise
• Windows 7 Ultimate
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
O acesso remoto deve ser feito por meio da porta RDP TCP 3389.
Windows 10 update 1709
Nem todas as versões de Windows para desktop possuem a mesma forma de habilitar e configurar o
serviço de acesso remoto. A partir do update 1709, o Windows 10 reúne novos recursos e funcionalidades
de validação.
Para saber qual update está instalado no seu Windows 10, basta seguir os seguintes passos:
• Aperte as teclas Win + R.
• No campo Abrir, digite o comando: winver.
Sobre o Windows.
Feita essa validação, agora você pode habilitar o recurso de acesso remoto. Para isso, basta seguir estes
sete passos:
Passo 1
No dispositivo em que você deseja se conectar, selecione Iniciar. Em seguida, clique no ícone
Configurações à esquerda.
Passo 2
Selecione o grupo Sistema, seguido do item Área de trabalho remota.
Passo 3
Use o controle deslizante para habilitar a Área de trabalho remota.
Autenticação no nível de rede
Parte do trabalho de um administrador de redes com Windows é oferecer o máximo de segurança. Ela
precisa estar sempre em seus planos quando se trata de acesso remoto.
Por isso, é importante compreender o tipo de acesso remoto com autenticação em nível de rede. Para
acessar um desktop de forma mais segura, deve-se configurar o NLA (Network Level Authentication) .
Passo 4
Recomendamos manter o computador ativo e detectável para facilitar as conexões. Clique
em Mostrar configurações para habilitar.
Passo 5
Conforme necessário, adicione os usuários que podem se conectar remotamente clicando
em Selecione os usuários que podem acessar remotamente esse computador.
Passo 6
Os membros do grupo Administradores têm acesso automático.
Passo 7
Anote o nome do computador em Como se conectar a este computador. Você precisará dele
para configurar os clientes.
Uma vez configurado, o usuário, antes de acessar remotamente um Windows, tem de estar devidamente
autenticado na rede. Isso garante mais segurança em um ambiente corporativo.
Comentário
Caso você realize o acesso remoto em um computador doméstico, não será possível configurar a NLA.
Área de trabalho remota
Com a evolução das tecnologias, o acesso à área de trabalho remota tem evoluído bastante. Atualmente, o
serviço de RDS (Remote Desktop Services) é construído com as seguintes características:
Virtualização baseada em sessão
Imagine o seguinte cenário: você é administrador do ambiente Windows Server e deseja realizar uma
configuração em um Servidor Windows Server 2019. Como você acessa remotamente esse servidor e
realiza as suas atividades de monitoramento e ações preventivas, outro administrador do ambiente deseja
fazer uma configuração em alguns diretórios no mesmo servidor que você.
Se não houvesse a virtualização baseada em sessão, você teria de fazer o logoff do
servidor para que o outro administrador pudesse acessar o ambiente.
Não é mais necessária essa ação justamente por conta das múltiplas sessões simultâneas no servidor com
o RDS devidamente configurado.
Infraestrutura de desktop virtual (VDI)
Considere a necessidade de poder realizar configurações mais específicas, comoinstalar uma aplicação
corporativa. Como você vai fazer essa instalação, é necessário que as configurações feitas sejam
permanentes ou que só você tenha a permissão de modificá-las no futuro.
Para que isso seja possível, é necessário haver um desktop (seja ele Windows Server ou Windows Client)
configurado em uma estrutura virtual. Quem realiza essa configuração precisa ter a função de Hyper-V
instalada no seu servidor.
Considerando as possibilidades de entregar uma experiência mais aprimorada para os usuários dentro do
ambiente de virtualização, observam-se os seguintes aspectos em:
yper-V
O Hyper-V é uma tecnologia que permite a virtualização do hardware em um computador físico.
Área de trabalho
Sessão que permite o acesso a uma área de trabalho completa, com acesso a todas as pastas, aplicativos e
demais recursos habilitados pelos administradores. A área de trabalho remota é muito utilizada em cenários
nos quais o usuário tem um desktop com algumas limitações de hardware e necessita de um ambiente com
mais flexibilidade de acesso e disponibilidade.
RemoteApps
Em alguns casos, entregar uma área de trabalho completa para o usuário é desnecessário, o que significa
ainda uma sobra de recursos. Isso pode ser o cenário ideal para entregar apenas o acesso direto à
aplicação. Um usuário do setor financeiro pode ter, por exemplo, um desktop com uma configuração de
hardware que atenda a todas as suas necessidades, mas ele eventualmente precisaria acessar uma
aplicação, a qual, por sua vez, pode ser entregue apenas por uma sessão remota. Nesse caso, o usuário não
veria a área de trabalho: a aplicação remota seria a única coisa apresentada para ele.
Planejar área de trabalho remota
Sendo o administrador de um ambiente Windows Server, é importante entender que a aplicação do recurso
de acesso remoto pode ser amplamente utilizada para atender a necessidades específicas e amplas de
negócio.
Em um planejamento, é importante avaliar os seguintes pontos:
• De onde será realizado o acesso.
• Dimensionamento da rede.
• Alta disponibilidade e elasticidade.
• Métodos de autenticação.
• Recursos de GPU (unidade de processamento gráfico).
• Modelo de licenciamento.
• Aplicações compatíveis para área de trabalho remota.
• Armazenamento dos dados.
Instalação e con�guração inicial
Para uma instalação inicial, é necessário configurar três funções básicas para toda e qualquer arquitetura de
área de trabalho remota:
• Servidor de sessão – session host (será identificado no passo a passo como Servidor-Sh1).
• Servidor de licenças – licenses (será identificado no passo a passo como Servidor-WebGw1).
• Servidor de publicação – gateway (será identificado no passo a passo como Servidor-Cb1).
Recomendação
Na implantação de um ambiente de área de trabalho remota em ambiente de produção, é recomendado que
haja um servidor que controle de forma centralizada os usuários, assim como as devidas permissões. Tal
servidor é o AD DS.
Os passos para instalar uma arquitetura de área de trabalho remota são:
1) Adicione todos os servidores para os quais pretende habilitar o uso do serviço de área de trabalho
remota no gerenciador do servidor:
a) No gerenciador do servidor, clique em Gerenciar > Adicionar servidores;
b) Clique em Localizar agora;
c) Clique em cada servidor na implantação (por exemplo, servidor-Cb1, servidor-WebGw1 e servidor-Sh1).
Depois, clique em OK.
2) Crie uma implantação baseada em sessão para implantar os componentes do serviço de área de
trabalho remota:
a) No gerenciador do servidor, clique em Gerenciar > Adicionar funções e recursos;
b) Clique em Instalação de serviços de área de trabalho remota, Implantação padrão e Implantação de
desktop baseada em sessão;
c) Selecione os servidores apropriados para o servidor do agente de conexão de área de trabalho remota, o
servidor de acesso via web à área de trabalho remota e o servidor do host da sessão da área de trabalho
remota (por exemplo, Servidor-Cb1, Servidor-WebGw1 e Servidor-SH1, respectivamente);
d) Selecione Reiniciar cada servidor de destino automaticamente (se necessário) e clique em Implantar;
e) Aguarde até que a implantação seja concluída com êxito.
3) Adicione o servidor de licenças RD:
a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral >
+Licenciamento de área de trabalho remota;
b) Selecione a máquina virtual em que o servidor de licenças da área de trabalho remota será instalado (por
exemplo, servidor-Cb1);
c) Clique em Avançar e Adicionar.
4) Ative o servidor de licenças RD e adicione-o ao grupo Servidores de licença:
a) No gerenciador do servidor, clique em Ferramentas > Serviços de terminal > Gerenciador de
licenciamento de área de trabalho remota;
b) No gerenciador de licenciamento de área de trabalho remota, selecione o servidor e clique em Ação >
Ativar servidor;
c) Aceite os valores padrão no Assistente para ativação do servidor. Continue aceitando valores padrão até
chegar à página Informações sobre a empresa. Verifique as informações dela;
d) Aceite os padrões para as páginas restantes até a página final. Desmarque Iniciar assistente para
instalação de licenças agora e clique em Concluir;
e) Clique em Ação > Examinar configuração > Adicionar ao grupo > OK. Insira as credenciais para um
usuário no grupo Administradores do DC AAD e registre como SCP. Esta etapa poderá não funcionar se você
estiver usando o Azure AD Domain Services, porém é possível ignorar avisos ou erros.
5) Adicione o servidor de Gateway de área de trabalho remota e o nome do certificado:
a) No Gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > +Gateway de
área de trabalho remota;
b) No assistente para Adicionar Servidores de gateway de área de trabalho remota, selecione a máquina
virtual em que você deseja instalar o servidor de gateway de área de trabalho remota (por exemplo, Contoso-
WebGw1);
c) Insira o nome do certificado SSL para o servidor de gateway de área de trabalho remota usando o FQDN
(Nome DNS totalmente qualificado) externo do servidor de gateway de área de trabalho remota;
d) Clique em Avançar e em Adicionar.
6) Crie e instale certificados autoassinados para os servidores de gateway de área de trabalho remota e de
agente de conexão dessa área:
a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > Tarefas >
Editar propriedades de implantação;
b) Expanda Certificados e role para baixo até a tabela. Clique em Gateway de área de trabalho remota >
Criar novo certificado;
c) Digite o nome do certificado usando o FQDN externo do servidor de gateway de área de trabalho remota
(por exemplo, contoso.westus.cloudapp.azure.com). Em seguida, digite a senha;
d) Selecione Armazenar este certificado e navegue até a pasta compartilhada que você criou para os
certificados em uma etapa anterior (por exemplo, \Servidor-Cb1\Certificates);
e) Insira um nome de arquivo para o certificado (por exemplo, ServidorRdGwCert) e clique em Salvar;
f) Selecione Permitir que o certificado seja adicionado ao repositório de certificados de autoridades de
certificação raiz confiáveis nos computadores de destino e clique em OK;
g) Clique em Aplicar e aguarde até que o certificado seja aplicado com êxito ao servidor de gateway de área
de trabalho remota;
h) Clique em Acesso via web à área de trabalho remota > Selecionar certificado existente;
i) Navegue até o certificado criado para o servidor de gateway de área de trabalho remota (por exemplo,
ContosoRdGwCert) e clique em Abrir;
j) Insira a senha do certificado, selecione Permitir que o certificado seja adicionado ao repositório de
certificados raiz confiáveis nos computadores de destino e clique em OK;
k) Clique em Aplicar e aguarde até que o certificado seja aplicado com êxito ao servidor de acesso via web à
área de trabalho remota;
l) Repita as subetapas de 1 a 11 para Agente de conexão de área de trabalho remota – habilitarlogon único
e Agente de conexão de área de trabalho remota – publicando serviços usando o FQDN interno do servidor
de Agente de conexão de área de trabalho remota para o nome do novo certificado (por exemplo, Servidor-
Cb1.Contoso.com).
Recomendação
Se você estiver fornecendo e instalando certificados de uma autoridade de certificação confiável, execute os
procedimentos de etapa h até a k para cada função. Você precisará ter o arquivo .pfx disponível para cada
um desses certificados.
7) Exporte os certificados públicos autoassinados e copie-os em um computador cliente. Se você estiver
usando certificados de uma autoridade de certificação confiável, ignore essa etapa.
a) Inicie o certlm.msc;
b) Expanda Pessoal e clique em Certificados;
c) No painel do lado direito, clique com o botão direito do mouse no certificado do Agente de conexão de
área de trabalho remota destinado para a autenticação de cliente (por exemplo, Servidor-
Cb1.Contoso.com);
d) Clique em Todas as Tarefas > Exportar;
e) Adote as opções padrão no Assistente para exportação de certificados aceitando os padrões até chegar
à página Arquivo a ser Exportado;
f) Navegue até a pasta compartilhada que você criou para certificados (por exemplo \Servidor-
Cb1\Certificates);
g) Insira um nome de arquivo (por exemplo, ServidorCbClientCert) e clique em Salvar;
h) Clique em Avançar e em Concluir;
i) Repita as subetapas de 1 a 8 para o certificado de gateway de área de trabalho remota e da web (por
exemplo, contoso.westus.cloudapp.azure.com), fornecendo ao certificado exportado um nome de arquivo
apropriado (por exemplo, ServidorWebGwClientCert);
j) No Explorador de arquivos, navegue até a pasta onde os certificados estão armazenados (por exemplo
\Servidor-Cb1\Certificates);
k) Selecione os dois certificados de cliente exportados. Clique neles com botão direito do mouse e, em
seguida, em Copiar;
l) Cole os certificados no computador cliente local.
8) Configure as propriedades de implantação do gateway de área de trabalho remota e do licenciamento de
área de trabalho remota:
a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Visão geral > Tarefas >
Editar propriedades de implantação;
b) Expanda Gateway de área de trabalho remota e desmarque a opção Ignorar servidor de gateway de área
de trabalho remota para endereços locais;
c) Expanda Licenciamento de área de trabalho remota e selecione Por usuário;
d) Clique em OK.
9) Crie um conjunto de sessões. Essas etapas criam um conjunto básico.
a) No gerenciador do servidor, clique em Serviços de área de trabalho remota > Conjuntos > Tarefas > Criar
conjuntos de sessões;
b) Digite um nome para o conjunto (por exemplo, ServidorDesktop);
c) Selecione um servidor do host da sessão de área de trabalho remota (Servidor-Sh1), aceite os grupos de
usuários padrão (Contoso\Domain Users) e insira o caminho UNC para os discos de perfil do usuário
criados acima (\Servidor-Cb1\UserDisks);
d) Defina um tamanho máximo e clique em Criar.
Administração do ambiente em PowerShell
A maior parte do tempo de um administrador de ambiente Windows Server é gasto administrando múltiplos
sistemas e ambientes; portanto, é de suma importância conhecer as formas de administração via
PowerShell. Utilizando o comando Enter-PSSession, você poderá acessar o servidor Windows Server
remotamente e realizar o comando diretamente no servidor remoto como se estivesse fisicamente
conectado.
O comando Enter-PSSession é tão importante para um administrador que, por meio dele, você poderá
acessar ambientes Windows, Linux e macOS tanto para servidor quanto para desktop, facilitando a tarefa de
cuidar de um ambiente. Tal atividade, afinal, é muitas vezes composta por múltiplos fabricantes.
Atenção!
O Cmdlet Enter-PSSession só pode realizar uma sessão com um único computador remoto por vez.
Comandos essenciais de Enter-PSSession
Iniciar uma sessão em SSH passando porta e credencial do usuário
PS> Enter-PSSession -HostName UserA@LinuxServer02:22 -KeyFilePath c:\\userAKey_rsa
Criar uma sessão Windows
PS> Enter-PSSession
[localhost]: PS>
Iniciar uma sessão, especi�cando porta e credencial
PS> Enter-PSSession -ComputerName Server01 -Port 90 -Credential Domain01\User01
[Server01]: PS>
Finalizar sessão
[Server01]: PS> Exit-PSSession
PS>
Con�gurando e utilizando o acesso remoto
Veja agora uma apresentação sobre a instalação, configuração e utilização do serviço de acesso remoto.
Vamos lá!

Falta pouco para atingir seus objetivos.
Vamos praticar alguns conceitos?
Questão 1
A função de acesso remoto consiste em
A permitir que os administradores acessem o ambiente de forma presencial.
B configurar session host para o melhor monitoramento de disco.
Parabéns! A alternativa C está correta.
O acesso remoto a área de trabalho permite que administradores e usuários acessem aplicações
(RemotApps) ou áreas de trabalho inteiras como se elas constituíssem um desktop completo.
Questão 2
O comando Enter-PSSession permite ao administrador acessar
Parabéns! A alternativa D está correta.
C permitir que administradores e usuários acessem a área de trabalho de forma remota.
D permitir que somente usuários tenham acesso a aplicações remotas.
E desconectar todos os serviços locais, pois não são necessários.
A somente o ambiente Windows Server..
B estações Linux e macOS.
C sistemas somente de servidores Windows, Linux e macOS.
D qualquer sistema que seja servidor ou desktop Windows, Linux e macOS.
E apenas servidores Linux por meio da conexão SSH.
O comando Enter-PSSession é extremamente versátil, permitindo aos administradores o acesso, por
meio de um sistema operacional Windows, a qualquer sistema servidor ou desktop Windows, Linux e
macOS.
Considerações �nais
Você observou, neste conteúdo, que administrar um ambiente Windows Server requer conhecimentos em
múltiplos serviços. Vimos, porém, que todos eles estão interligados de forma direta ou indireta.
Considerando o entendimento do conteúdo estudado, é chegada a hora de pô-los em prática, buscando
aprofundamento e vivências em múltiplos cenários. Afinal, você já compreende os principais conceitos
relativos ao servidor de resolução de nomes: o DNS.
Entre esses conceitos, abordamos a implementação de um serviço de hospedagem web tanto em ambiente
com interface gráfica quanto em Nano Server, garantindo mais segurança em um ambiente com uma menor
superfície de ataque. Além disso, conhecemos os múltiplos benefícios de um ambiente com serviço de
acesso remoto configurado.
Utilizando servidores na plataforma Windows Server
Ouça agora uma entrevista sobre as funcionalidades do Windows Server.

Explore +
Pesquise sobre outros servidores web compatíveis com a plataforma Windows Server e compare-os com os
recursos oferecidos pelo IIS.
Pesquise quais as linguagens de programação são suportadas pelo IIS.
Referências
GORDON, A. Enter-PSSession - taking on PowerShell one Cmdlet at a time - Weekly blog. It pro.tv.
Publicado em: 26 fev. 2020.
MICROSOFT. Bem-vindo aos serviços de área de trabalho remota. Microsoft Ignite. Publicado em: 13 ago.
2021a.
MICROSOFT. Enter-PSSession. Microsoft Ignite. Consultado na internet em: 29 out. 2021b.
MICROSOFT. Funções, serviços de função e recursos incluídos no Windows Server – Server Core.
Microsoft Ignite. Publicado em: 12 ago. 2021c.
MICROSOFT. IIS do Nano Server. Microsoft Ignite. Publicado em: 7 out. 2021d.
MICROSOFT. IIS modules overview. Microsoft Ignite. Publicado em: 14 maio 2020a.
MICROSOFT. Implementar o DNS do Windows Server. Consultado na internet em: 29 out. 2021e.
MICROSOFT. Introduction to IIS architectures. Microsoft Ignite. Publicado em: 20 jul. 2020b.
MICROSOFT. Instalar o Nano Server. Microsoft Ignite. Publicado em: 12 ago. 2021f.
SO, D. Introducing IIS on Nano Server. Microsoft Ignite. Publicado em: 28 abr. 2021.
Material para download
Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF.
Downloadmaterial
O que você achou do conteúdo?
Relatar problema
javascript:CriaPDF()