2-Administração do Windows Server 2012[1]

Prévia do material em texto

1 
V 1.0 
 
Exame 70 411 
 Administração do Windows Server® 2012 
 
Sumário 
1: Manutenção de imagens de servidor ............................................................................ 2 
2: Configuração e solução de problemas do DNS .......................................................... 12 
3: Manutenção dos Serviços de Domínio Active Directory ........................................... 51 
4: Gerenciamento de contas de serviço e de usuário .................................................... 102 
5: Implementação de uma infraestrutura de Política de Grupo .................................... 112 
7: Configuração e solução de problemas de acesso remoto ......................................... 130 
8: Instalação, configuração do Servidor de Políticas de Rede ...................................... 152 
9: Proteção de Acesso à Rede (NAP) ........................................................................... 158 
10: Serviços de Arquivo ............................................................................................... 164 
11: Criptografia e auditoria avançada ........................................................................... 177 
12: Gerenciamento de atualizações .............................................................................. 181 
13: Monitoramento do Windows Server 2012 ............................................................. 193 
 
 
 
2 
V 1.0 
 
1: Manutenção de imagens de servidor 
 
WDS 
O WDS (Serviços de Implantação do Windows) é uma função de servidor que permite 
implantar remotamente sistemas operacionais Windows. Você pode usá-lo para 
configurar novos computadores por meio de uma instalação baseada em rede. Isso 
significa que não é necessário instalar cada sistema operacional diretamente de um CD 
ou DVD. Para usar os Serviços de Implantação do Windows, você deve ter 
conhecimento profissional das tecnologias comuns de implantação de área de trabalho e 
dos componentes de rede, incluindo o protocolo DHCP, o DNS (Sistema de Nomes de 
Domínio) e o AD DS (Serviços de Domínio Active Directory). 
 
Os Serviços de Implantação do Windows permitem a implantação automatizada de 
sistemas operacionais Windows. É possível automatizar por completo a implantação dos 
seguintes sistemas operacionais: 
• Windows XP 
• Windows Server 2003 
• Windows Vista® com Service Pack 1 (SP1) 
• Windows Server 2008 
• Windows 7 
• Windows Server 2008 R2 
• Windows 8 
• Windows Server 2012 
 
Para instalar usando o Gerenciador do servidor 
1. No Server Manager, clique em gerenciar. 
2. Clique em adicionar funções e recursos. 
3. Selecione a instalação baseada em papel ou baseado em recursos e escolha o 
servidor para implantar o WDS. 
3 
V 1.0 
4. Na página selecionar funções do servidor , selecione a caixa de seleção 
Serviços de implantação do Windows . 
5. Clique em Avançar e siga o Assistente para conclusão. 
Durante a instalação, na página selecionar serviços de função , o Assistente apresenta a 
opção de selecionar serviços de função a ser instalado em Windows Deployment 
Services. Você pode optar por instalar o servidor de implantação e o servidor de 
transporte, ou deixar ambos os papéis selecionados. 
• Servidor de transporte. Esta opção fornece um subconjunto da funcionalidade 
dos serviços de implantação do Windows. Ele contém apenas o núcleo de 
componentes de rede. Você pode usar o servidor de transporte para criar 
namespaces multicast que transmitem dados (incluindo imagens do sistema 
operacional) de um servidor autônomo. Você também pode usá-lo se você quer 
ter um servidor PXE que permite aos clientes a inicialização PXE e baixar seu 
próprio aplicativo de instalação personalizada. Você deve usar esta opção se 
você quiser usar qualquer um desses cenários, mas não deseja incorporar todos 
os serviços de implantação do Windows. 
• Servidor de implantação. Esta opção fornece a funcionalidade completa de 
serviços de implantação do Windows, que você pode usar para configurar e 
instalar remotamente sistemas operacionais Windows. Observe que o servidor 
de implantação é dependente as peças do núcleo do servidor de transporte. 
Nota 
Quando você instala o Windows Deployment Services, fornecerá 
automaticamente a opção (selecionada por padrão) para instalar as ferramentas 
de administração de servidor remoto. 
Você também pode adicionar esse recurso usando o Assistente de recursos e 
adicionar funções e verificar Ferramentas de administração de servidor 
remoto na página selecione o recurso . 
Comandos equivalentes do Windows PowerShell 
O seguinte cmdlet do Windows PowerShell ou cmdlets executam a mesma função que o 
procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles podem 
aparecer a palavra envolto em várias linhas aqui por causa de restrições de formatação. 
No Windows PowerShell, ao contrário no adicionar funções e recursos do assistente, 
ferramentas de gerenciamento e snap-ins para uma função não são incluídos por padrão. 
Para incluir ferramentas de gerenciamento como parte de uma instalação de papel, 
adicione o -IncludeManagementTools parâmetro para o cmdlet. Se você estiver 
instalando funções e recursos em um servidor que está executando a opção de instalação 
Server Core do Windows Server 2012 e você adicionar ferramentas de gerenciamento 
4 
V 1.0 
de uma função para uma instalação, você precisará alterar a opção de instalação para 
uma opção de mínima-shell que permite que as ferramentas de gerenciamento executar. 
Caso contrário, ferramentas de gerenciamento e snap-ins não podem ser instalados em 
servidores que estejam executando a opção de instalação Server Core do Windows 
Server. 
Para instalar usando o Windows PowerShell 
1. Siga um destes procedimentos para abrir uma sessão do Windows PowerShell 
com direitos de usuário elevados. 
o Na área de trabalho Windows, botão direito do mouse Windows 
PowerShell na barra de tarefas e clique em Executar como 
administrador. 
o Na página Iniciar do Windows, digite qualquer parte do nome Do 
Windows PowerShell. Botão direito do mouse o atalho para o Windows 
PowerShell quando ele é exibido na página Iniciar nos resultados da 
Apps , clique em avançadoe, em seguida, clique em Executar como 
administrador. Para fixar o atalho do Windows PowerShell para a 
página Iniciar , botão direito do mouse o atalho e clique em Pin para 
iniciar. 
2. Digite o seguinte e pressione Enter, onde computer_name representa um 
computador remoto no qual você deseja instalar o Hyper-V. Para instalar o WDS 
directamente a partir de uma sessão de console, não incluem -ComputerName 
 no comando. 
3. WDS – instalação-WindowsFeature Name - ComputerName -
IncludeManagementTools 
4. Para exibir uma lista de funções disponíveis e instaladas e recursos no servidor 
local, digite Get-WindowsFeature e pressione Enter. Os resultados do cmdlet 
contêm os nomes de comando de funções e recursos que foram adicionados a 
este computador. 
5. Quando a instalação estiver concluída, verifique se a instalação executando Get-
WindowsFeature . Se você instalou o WDS remotamente, inclua o parâmetro 
nome_do_computador (Get-WindowsFeature - ComputerName 
computer_name) para exibir uma lista de funções e recursos 
instalados no servidor. 
 
Para configurar os serviços de implantação do Windows integrado com Active 
Directory 
1. Faça logon no servidor como membro do grupo Administradores local. 
5 
V 1.0 
2. Server Manager iniciará automaticamente. Se ele não iniciar automaticamente, 
clique em Iniciar, digite servermanager.exee clique em Gerenciador de 
servidores. 
3. Clique em ferramentase, em seguida, clique em Serviços de implantação do 
Windows para iniciar o Windows Deployment Services MMC-snap (ou 
console). 
4. No painel esquerdo do snap-in MMC de serviços de implantação do Windows, 
expanda a lista de servidores. 
5. Botão direito do mousesão enviadas durante a transferência de zona. 
 
Em uma transferência incremental, o servidor secundário realiza a mesma consulta para 
o registro SOA do servidor mestre e compara ao seu campo Serial Number. Se existem 
alterações, o servidor secundário envia uma solicitação de IXFR (um pedido de uma 
transferência de zona incremental) para o servidor mestre. O servidor mestre envia os 
registros que foram alterados, e o servidor secundário cria um novo arquivo de zona a 
partir dos registros que não foram alterados e os registros na transferência de zona 
incremental. 
 
 
 
Para o servidor mestre determinar os registros que foram alterados, ele deve manter um 
banco de dados de histórico de alterações feitas nos arquivos da sua zona. As alterações 
do arquivo de zona estão ligados a um número de série para que o servidor mestre possa 
determinar que as mudanças foram feitas na zona, o número de série é indicado no 
pedido IXFR do servidor secundário. 
 
Você pode armazenar zonas DNS (Domain Name System) nas partições de diretório de 
domínio ou de aplicativos dos Serviços de Domínio Active Directory (AD DS). Uma 
partição é uma estrutura de dados no AD DS que diferencia os dados para diversas 
finalidades de replicação. 
A tabela a seguir descreve os escopos de replicação de zona disponíveis para dados de 
zona DNS integrada ao AD DS. 
 
Escopo de replicação de Descrição 
32 
V 1.0 
zona 
Todos os servidores DNS da 
floresta que são 
controladores de domínio 
que executam o Windows 
Server 2003 ou o Windows 
Server 2008 
Replica os dados da zona para todos os controladores de 
domínio do Windows Server 2003 e Windows 
Server 2008 que executam o serviço de Servidor DNS na 
floresta do AD DS. Essa opção replica os dados da zona 
para a partição ForestDNSZones. Portanto, ele fornece o 
escopo mais amplo de replicação. 
Todos os servidores DNS do 
domínio que são 
controladores de domínio 
que executam o Windows 
Server 2003 ou o Windows 
Server 2008 
Replica os dados da zona para todos os controladores de 
domínio do Windows Server 2003 e Windows 
Server 2008 que executam o serviço de Servidor DNS no 
domínio Active Directory. Essa opção replica os dados da 
zona para a partição DomainDNSZone. É a configuração 
padrão da replicação de zona DNS no Windows Server 
2003 e Windows Server 2008. 
Todos os controladores de 
domínio no domínio Active 
Directory 
Replica os dados da zona para todos os controladores de 
domínio no domínio Active Directory. Se desejar que os 
servidores DNS do Windows 2000 carreguem uma zona 
integrada ao Active Directory, especifique esse escopo 
para a zona. 
Todos os controladores de 
domínio em uma partição de 
diretório de aplicativos 
especificada 
Replica os dados da zona de acordo com o escopo de 
replicação da partição de diretório de aplicativos 
especificada. Para que uma zona seja armazenada na 
partição de diretório de aplicativos especificada, o 
servidor DNS que hospeda a zona deve ser inscrito nessa 
partição. Use esse escopo quando desejar que os dados da 
zona sejam replicados para controladores de domínio em 
vários domínios, mas não para a floresta inteira. 
Ao decidir sobre a escolha do escopo de replicação, lembre-se de que quanto mais 
amplo for o escopo de replicação, maior será o tráfego de rede gerado pela replicação. 
Por exemplo, se você decidir que os dados da zona DNS integrada ao AD DS deverão 
ser replicados para todos os servidores DNS da floresta, o tráfego de rede produzido 
será maior do que o da replicação dos dados da zona DNS para todos os servidores DNS 
em um único domínio do AD DS dessa floresta. 
Os dados da zona DNS integrada ao AD DS, armazenados em uma partição de diretório 
de aplicativos, não são replicados para o catálogo global da floresta. O controlador de 
domínio que contém o catálogo global pode também hospedar partições de diretório de 
aplicativos, mas não replicará esses dados para o catálogo global. 
Os dados da zona DNS integrada do AD DS, armazenados em uma partição de domínio, 
são replicados para todos os controladores de domínio no domínio de AD DS e uma 
parte desses dados é armazenada no catálogo global. Essa configuração é usada para 
oferecer suporte ao Windows 2000. 
Se um escopo de replicação da partição de diretório de aplicativos replicar nos sites do 
AD DS, a replicação ocorrerá com o mesmo agendamento de replicação entre sites que 
é usada para os dados da partição de domínio. 
33 
V 1.0 
Por padrão, o serviço Logon de Rede registra os registros de recursos DNS do 
localizador de controlador de domínio para as partições de diretório de aplicativos 
hospedadas em um controlador de domínio da mesma forma que o faz para a partição de 
domínio hospedada em um controlador de domínio. 
As vantagens da integração ao AD DS 
Para redes que implantam o DNS para oferecer suporte ao AD DS, é altamente 
recomendável a utilização de zonas primárias integradas ao diretório. Elas oferecem as 
seguintes vantagens: 
• O DNS obtém replicação de dados de vários mestres e segurança avançada com 
base nos recursos do AD DS. 
Em um modelo de armazenamento de zona padrão, as atualizações do DNS são 
conduzidas com base em um modelo de atualização de um único mestre. Nesse 
modelo, um único servidor DNS autoritativo para uma zona é indicado como a fonte 
primária da zona. Esse servidor mantém a cópia mestra da zona em um arquivo 
local. Com esse modelo, o servidor primário da zona representa um único ponto fixo 
de falha. Se o servidor não estiver disponível, as solicitações de atualização dos 
clientes DNS não serão processadas para a zona. 
Com o armazenamento integrado ao diretório, as atualizações dinâmicas feitas no 
DNS são enviadas para qualquer servidor DNS integrado ao AD DS e são replicadas 
para todos os outros servidores DNS integrados ao AD DS por meio da replicação 
do AD DS. Nesse modelo, qualquer servidor DNS integrado ao AD DS poderá 
aceitar atualizações dinâmicas da zona. Como a cópia mestra da zona é mantida no 
banco de dados do AD DS, que é totalmente replicado para todos os controladores 
de domínio, a zona poderá ser atualizada pelos servidores DNS que estiverem 
operando em qualquer controlador do domínio. Com o modelo de atualização de 
vários mestres do AD DS, qualquer um dos servidores primários da zona integrada 
ao diretório poderá processar solicitações de clientes DNS para atualizar a zona, 
desde que um controlador de domínio esteja disponível e possa ser alcançado na 
rede. 
Além disso, quando você utiliza zonas integradas ao diretório, pode usar a edição da 
lista de controle de acesso (ACL) para proteger um contêiner de objetos dnsZone na 
árvore de diretórios. Esse recurso oferece acesso detalhado à zona ou a um registro 
de recurso especificado nela. Por exemplo, uma ACL para um registro de recurso de 
uma zona pode ser restringida para que as atualizações dinâmicas sejam permitidas 
somente para um computador cliente especificado ou para um grupo seguro, como 
um grupo de administradores de domínio. Esse recurso de segurança não está 
disponível para zonas primárias padrão. 
• As zonas são replicadas e sincronizadas para controladores de domínio novos de 
forma automática, sempre que um deles for adicionado a um domínio do AD 
DS. Embora o serviço Servidor DNS possa ser removido seletivamente de um 
controlador de domínio, as zonas integradas ao diretório já estão armazenadas 
em cada controlador de domínio. Portanto, o armazenamento e gerenciamento de 
zona não é um recurso adicional. Além disso, os métodos usados na 
34 
V 1.0 
sincronização das informações armazenadas no diretório oferecem um 
desempenho melhor em relação aos métodos de atualização de zona padrão, que 
podem exigir a transferência de toda a zona. 
• Ao integrar o armazenamento dos seus bancos de dados de zona DNS ao AD 
DS, você pode simplificar o planejamento da replicação de bancos de dados para 
a sua rede. Quando o seu namespace DNS e os domínios AD DS forem 
armazenadose replicados separadamente, você deverá planejar e potencialmente 
administrar cada um desses itens de forma separada. Por exemplo, quando o 
armazenamento de zona DNS padrão e o AD DS forem usados juntos, você terá 
de projetar, implementar, testar e manter duas topologias de replicação de banco 
de dados diferentes. Uma topologia de replicação é necessária para a replicação 
de dados de diretório entre controladores de domínio e outra topologia é 
necessária para a replicação de bancos de dados de zona entre servidores DNS. 
Isso pode criar uma complexidade administrativa adicional para o planejamento 
e o design da sua rede e para o seu crescimento eventual. Ao integrar o 
armazenamento do DNS, você unifica questões de gerenciamento de 
armazenamento e de replicação para o DNS e para o AD DS, mesclando-as e 
exibindo-as juntas como uma única entidade administrativa. 
• A replicação integrada ao diretório é mais rápida e mais eficiente do que a 
replicação padrão do DNS. Como o processamento da replicação do AD DS é 
executado por propriedade, somente as alterações relevantes são propagadas. 
Menos dados são usados e enviados em atualizações para zonas armazenadas em 
diretório. 
Somente as zonas primárias podem ser armazenadas no diretório. Um servidor DNS não 
pode armazenar zonas secundárias no diretório. Ele deve armazená-las em arquivos de 
texto padrão. O modelo de replicação de vários mestres do AD DS elimina a 
necessidade de zonas secundárias quando todas as zonas são armazenadas no AD DS. 
Atualização automática de registros no DNS 
 
Noções básicas sobre a atualização dinâmica 
Os computadores cliente DNS podem usar a atualização dinâmica para registrar e 
atualizar dinamicamente seus registros de recursos em um servidor DNS sempre que 
houver alguma alteração. Isso reduz a necessidade da administração manual de registros 
de zona, especialmente para clientes que estão constantemente se movendo ou mudando 
de local, usando o protocolo DHCP para obter um endereço IP. 
O serviço Cliente DNS e o serviço Servidor DNS oferecem suporte para o uso de 
atualizações dinâmicas, como descrito na RFC (Solicitação de comentários) 2136, 
"Atualizações dinâmicas no Sistema de Nomes de Domínio" (este texto pode estar em 
inglês). O serviço de Servidor DNS permite que a atualização dinâmica seja habilitada 
ou desabilitada por zonas em cada servidor que esteja configurado para carregar zonas 
primárias padrão ou integradas ao diretório. Por padrão, o serviço de Cliente DNS 
atualiza dinamicamente os registros de recursos de host (A) no DNS quando o serviço 
está configurado para TCP/IP. 
35 
V 1.0 
Como os computadores cliente e servidor atualizam seus nomes DNS 
Por padrão, os computadores que estão estaticamente configurados para TCP/IP tentam 
dinamicamente registrar registros de recursos de host (A) e de ponteiro (PTR) dos 
endereços IP configurados e usados por suas conexões de rede instaladas. Por padrão, 
todos os computadores registram registros com base em seu nome de domínio 
totalmente qualificado (FQDN). 
O nome completo primário do computador, um FQDN, é baseado no sufixo DNS 
primário do computador,acrescentado ao seu nome de computador. 
Considerações adicionais: 
• Por padrão, o cliente DNS não tenta fazer uma atualização dinâmica das zonas 
de domínio de nível superior (TLD). Qualquer zona que possua um nome de 
rótulo único é considerada uma zona TLD, por exemplo, edu, blank, my-
company. Para configurar um cliente DNS para permitir a atualização dinâmica 
de zonas TLD, você pode usar a configuração de diretiva Atualizar Zonas de 
Domínio de Nível Superior ou pode modificar o Registro. 
• Por padrão, a parte do sufixo DNS primário do FQDN de um computador é igual 
ao nome do domínio AD DS (serviços de domínio Active Directory) do qual o 
computador faz parte. Para permitir o uso de sufixos DNS primários diferentes, 
o administrador do domínio pode criar uma lista restrita de sufixos permitidos 
modificando o atributo msDS-AllowedDNSSuffixes no contêiner do objeto de 
domínio. Esse atributo é gerenciado pelo administrador do domínio por meio das 
interfaces de serviço do Active Directory (ADSI) ou do LDAP (Lightweight 
Directory Access Protocol). 
As atualizações dinâmicas podem ser enviadas por qualquer um dos motivos ou eventos 
a seguir: 
• Um endereço IP é adicionado, removido ou modificado na configuração das 
propriedades TCP/IP de qualquer uma das conexões de rede instaladas. 
• A concessão de um endereço IP muda ou renova com o servidor DHCP qualquer 
uma das conexões de rede instaladas. Por exemplo, quando computador é 
iniciado ou se o comando ipconfig /renew é usado. 
• O comando ipconfig /registerdns é usado para obrigar manualmente a 
atualização do registro de nome do cliente no DNS. 
• Na hora da inicialização, quando o computador é ligado. 
• Um servidor membro é promovido para controlador de domínio. 
Quando um dos eventos anteriores dispara uma atualização dinâmica, o serviço de 
Cliente DHCP (não o serviço de Cliente DNS) envia atualizações. Isto é projetado para 
que se a mudança de informações de endereço IP ocorrer devido ao DHCP, sejam 
realizadas atualizações correspondentes no DNS para sincronizar os mapeamentos de 
nome-para-endereço do computador. O serviço de Cliente DHCP realiza esta função 
36 
V 1.0 
para todas as conexões de rede no sistema, incluindo as conexões que não estão 
configuradas para usar o DHCP. 
Exemplo: Como a atualização dinâmica funciona 
Normalmente, as atualizações dinâmicas são solicitadas quando muda o nome DNS ou 
o endereço IP do computador. Por exemplo, suponha que um cliente denominado 
oldhost seja configurado inicialmente nas Propriedades do sistema com os seguintes 
nomes. 
 
Nome do computador oldhost 
Nome do domínio DNS do computador tailspintoys.com 
Nome completo do computador oldhost.tailspintoys.com 
Neste exemplo, nenhum nome de domínio DNS específico da conexão está configurado 
para o computador. Posteriormente, o computador é renomeado de oldhost para 
newhost, resultando nas seguintes alterações de nome no sistema. 
 
Nome do computador newhost 
Nome do domínio DNS do computador tailspintoys.com 
Nome completo do computador newhost.tailspintoys.com 
Após aplicar a alteração de nome em Propriedades do sistema, você será solicitado a 
reiniciar o computador. Quando o computador reiniciar o Windows, o serviço de 
Cliente DHCP realizará a seguinte sequência para atualizar o DNS: 
1. O serviço de Cliente DHCP envia uma consulta do tipo início de autoridade 
(SOA) usando o nome de domínio DNS do computador. 
 
O computador cliente usa o FQDN atualmente configurado do computador 
(como newhost.tailspintoys.com) como o nome que está especificado nesta 
consulta. 
2. O servidor DNS autoritativo da zona que contém o FQDN do cliente responde à 
consulta do tipo SOA. 
 
Para as zonas primárias padrão, o servidor primário (proprietário) que é 
retornado na resposta da consulta SOA é fixo e estático. Ele sempre corresponde 
ao nome DNS exato conforme ele aparece no registro de recurso SOA que está 
armazenado com a zona. Se, contudo, a zona sendo atualizada estiver integrada 
ao diretório, qualquer servidor DNS que estiver carregando a zona poderá 
responder e inserir dinamicamente seu próprio nome como o servidor primário 
(proprietário) da zona na resposta da consulta SOA. 
3. O serviço de Cliente DHCP em seguida tenta contatar o servidor DNS primário. 
 
O cliente processa a resposta da consulta SOA para seu nome para determinar o 
37 
V 1.0 
endereço IP do servidor DNS que está autorizado como o servidor primário para 
aceitar seu nome. Em seguida, ele passa a realizar a seguinte sequência de etapas 
conforme o necessário para contatar e atualizar dinamicamente seu servidor 
primário: 
1. Ele envia uma solicitação de atualização dinâmica para o servidor 
primário que está determinado na resposta da consulta SOA. 
 
Se a atualização for bem-sucedida, nenhuma outra açãoserá executada. 
2. Se esta atualização falhar, o cliente em seguida enviará uma consulta do 
tipo servidor de nomes (NS) para o nome da zona que estiver 
especificada no registro SOA. 
3. Quando receber a resposta desta consulta, enviará uma consulta SOA 
para o primeiro servidor DNS que estiver listado na resposta. 
4. Depois que a consulta SOA for resolvida, o cliente enviará uma 
atualização dinâmica para o servidor que estiver especificado no registro 
SOA retornado. 
 
Se a atualização for bem-sucedida, nenhuma outra ação será executada. 
5. Se esta atualização falhar, o cliente repetirá o processo de consulta SOA 
enviando para o próximo servidor DNS que estiver listado na resposta. 
4. Depois que for contatado o servidor primário que pode realizar a atualização, o 
cliente enviará a solicitação de atualização e o servidor a processará. 
 
O conteúdo da solicitação de atualização inclui instruções para adicionar 
registros de recursos de host (A) (e possivelmente de ponteiro (PTR)) de 
newhost.tailspintoys.com e para remover estes mesmos tipos de registro de 
oldhost.tailspintoys.com, o nome que estava registrado anteriormente. 
 
O servidor também verifica para assegurar que as atualizações são permitidas 
para a solicitação do cliente. Para zonas primárias padrão, as atualizações 
dinâmicas não são protegidas; portanto, qualquer tentativa de atualização pelo 
cliente é bem-sucedida. Para zonas integradas ao AD DS, as atualizações são 
protegidas e realizadas usando configurações de segurança baseadas em 
diretório. 
As atualizações dinâmicas são enviadas ou atualizadas periodicamente. Por padrão, os 
computadores enviam uma atualização uma vez a cada sete dias. Se a atualização não 
resultar em alterações nos dados da zona, a zona permanecerá em sua versão atual e 
nenhuma alteração será gravada. As atualizações só resultam em alterações de zona 
reais ou em maior transferência de zona se os nomes ou endereços realmente mudarem. 
Quando o serviço de Cliente DHCP registra registros de recursos de host (A) e ponteiro 
(PTR) do computador, ele usa uma vida útil (TTL) do cache padrão de 15 minutos para 
registros de host. Isto determina o tempo que outros servidores e clientes DNS têm para 
38 
V 1.0 
armazenar em cache os registros do computador quando os registros estão incluídos na 
resposta da consulta. 
Atualização dinâmica segura 
A segurança para as atualizações DNS só está disponível para as zonas que estão 
integradas ao AD DS. Ao integrar uma zona ao diretório, estão disponíveis recursos de 
edição para a lista de controle de acesso (ACL) no Gerenciador DNS para que você 
possa adicionar ou remover usuários ou grupos da ACL de uma zona ou de um registro 
de recurso específicos. 
Por padrão, a segurança das atualizações dinâmicas para servidores e clientes DNS pode 
ser tratada da seguinte maneira: 
 
Atualização e eliminação de registros 
O serviço de Servidor DNS oferece suporte a recursos de duração e eliminação. Esses 
recursos são fornecidos como um mecanismo de limpeza e remoção de registros de 
recursos obsoletos que podem acumular nos dados da zona com o passar do tempo. 
Com a atualização dinâmica, os registros de recursos são automaticamente adicionados 
às zonas quando os computadores são iniciados na rede. Entretanto, em alguns casos, 
eles não são automaticamente removidos quando os computadores saem da rede. Por 
exemplo, se o computador fizer seu próprio registro de recurso de host (A) na 
inicialização e depois for desconectado de modo inadequado, seu registro de recurso de 
host (A) talvez não seja excluído. Se a sua rede tiver usuários e computadores móveis, 
essa situação poderá acontecer com frequência. 
Se não for gerenciada, a presença de registros de recursos obsoletos nos dados da zona 
poderá causar alguns problemas: 
• Se um grande número de registros de recursos obsoletos permanecer nas zonas, 
isso poderá futuramente ocupar espaço no disco do servidor e causar longas 
transferências de zona desnecessárias. 
• Os servidores DNS (sistema dos nomes de domínio) que carregam zonas que 
contêm registros de recursos obsoletos podem usar informações desatualizadas 
para responder a consultas de clientes, possivelmente fazendo os clientes terem 
problemas de resolução de nome na rede. 
• O acúmulo de registros de recursos obsoletos no servidor DNS pode reduzir seu 
desempenho e sua capacidade de resposta. 
• Em alguns casos, a presença de um registro de recurso obsoleto em uma zona 
pode impedir que um nome de domínio DNS seja usado por outro computador 
ou dispositivo de host. 
Para resolver estes problemas, o serviço de Servidor DNS possui os seguintes recursos: 
39 
V 1.0 
• Carimbo de data/hora, com base na data e na hora atuais definidas no 
computador do servidor, para quaisquer registros de recursos que sejam 
adicionados dinamicamente às zonas do tipo primário. Além disso, os carimbos 
de data/hora são registrados nas zonas primárias padrão onde estiver habilitado o 
recurso de duração e eliminação. 
 
Para os registros de recursos que você adicionar manualmente, será usado zero 
como valor do carimbo de data/hora, indicando que estes registros não são 
afetados pelo processo de duração e que eles podem permanecer sem limitação 
nos dados da zona a não ser que você altere de outro modo seus carimbos de 
data/hora ou os exclua. 
• Duração de registros de recursos em dados locais, baseada em um período de 
atualização especificado para quaisquer zonas qualificadas. 
 
Somente as zonas do tipo primário que são carregadas pelo serviço de Servidor 
DNS estão qualificadas para participar deste processo. 
Eliminação de quaisquer registros de recursos que persistam além do período de 
atualização especificado. 
 
Quando o servidor DNS realiza uma operação de eliminação, ele pode determinar os 
registros de recursos que duraram a ponto de se tornarem obsoletos e removê-los dos 
dados da zona. Você pode configurar os servidores para realizarem operações de 
eliminação recorrentes automaticamente ou iniciar uma operação de eliminação 
imediata no servidor. 
 
 Cuidado 
Por padrão, o mecanismo de duração e eliminação do serviço de Servidor DNS está 
desabilitado. Ele só deverá ser habilitado quando todos os parâmetros estiverem 
totalmente compreendidos. Do contrário, o servidor poderá ser acidentalmente 
configurado para excluir registros que não devem ser excluídos. Se um registro for 
acidentalmente excluído, não apenas os usuários deixarão de resolver consultas para 
este registro, como qualquer usuário poderá criar um registro e apropriar-se dele, 
mesmo em zonas que estejam configuradas para atualizações dinâmicas seguras. 
O servidor usa o conteúdo de cada carimbo de data/hora específico de registro de 
recurso, junto com outras propriedades de duração e eliminação que você pode ajustar 
ou configurar, para determinar quando eliminará os registros. 
Pré-requisitos de duração e eliminação 
Antes de poder usar os recursos de duração e eliminação do DNS, várias condições 
precisam ser atendidas: 
1. O recurso de duração e eliminação precisa estar habilitado, tanto no servidor 
DNS quanto na zona. 
 
Por padrão, o recurso de duração e eliminação de registros de recursos está 
desabilitado. 
40 
V 1.0 
2. Os registros de recursos precisam ser adicionados dinamicamente às zonas ou 
modificados manualmente para serem usados nas operações de duração e 
eliminação. 
 
Em geral, somente os registros de recursos que são adicionados dinamicamente 
por meio do protocolo de atualização dinâmica de DNS estão sujeitos à duração 
e eliminação. 
 
Entretanto você pode habilitar a eliminação para outros registros de recursos que 
sejam adicionados através de meios não dinâmicos. Para os registros 
adicionados às zonas deste modo, ou ao carregar arquivos de zona baseados em 
textos de outro servidor DNS ou ao adicioná-los manualmente à zona, é definido 
um carimbo de data/hora de zero. Isto torna estes registros não qualificados parauso em operações de duração e eliminação. 
 
Para alterar este padrão, você pode administrar estes registros individualmente, 
para redefini-los e permitir que usem o valor atual de carimbo de data/hora 
(diferente de zero). Isto torna possível o recurso de duração e eliminação para 
estes registros. 
 
 
Observação 
No caso de alteração da zona de primária padrão para integrada ao Active Directory, 
talvez você queira habilitar a eliminação de todos os registros de recursos existentes na 
zona. Para habilitar a eliminação de todos os registros de recursos existentes na zona, 
use o comando AgeAllRecords, disponível pela ferramenta de linha de comando 
dnscmd. 
Terminologia de duração e eliminação 
A tabela a seguir indica os termos novos ou revisados que foram introduzidos para 
ajudar especificamente na discussão sobre duração e eliminação. 
 
Termo Descrição 
Carimbo de 
data/hora do 
registro de 
recurso 
Um valor de data e hora que é usado pelo servidor DNS para 
determinar a remoção do registro de recurso quando está realizando 
operações de duração e eliminação. 
Data/hora atual 
do servidor 
A data e a hora atuais no servidor DNS. Este número pode ser expresso 
como um valor numérico exato em qualquer ponto no tempo. 
Intervalo sem 
atualização 
Um intervalo de tempo, determinado para cada zona, delimitado pelos 
dois eventos a seguir: 
1. A data e a hora de quando o registro foi atualizado pela última 
vez e o seu carimbo de data/hora foi definido. 
2. A data e a hora de quando o registro estará novamente 
qualificado para ser atualizado e ter seu carimbo de data/hora 
41 
V 1.0 
redefinido. 
Este valor é necessário para diminuir o número de operações de 
gravação para o banco de dados do Active Directory. Por padrão, este 
intervalo é definido para sete dias. Ele não deve ser aumentado para 
um número exageradamente alto, pois assim os benefícios do recurso 
de duração e eliminação talvez sejam perdidos ou diminuídos. 
Intervalo de 
atualização 
Um intervalo de tempo, determinado para cada zona, delimitado pelos 
dois eventos distintos a seguir: 
1. A data e a hora mais próximas de quando o registro estará 
qualificado para ser atualizado e ter seu carimbo de data/hora 
redefinido. 
2. A data e a hora mais próximas de quando o registro estará 
qualificado para ser eliminado e removido do banco de dados 
da zona. 
Este valor deve ser grande o bastante para permitir que todos os 
clientes atualizem seus registros. Por padrão, este intervalo é definido 
para sete dias. Ele não deve ser aumentado para um número 
exageradamente alto, pois assim os benefícios do recurso de duração e 
eliminação talvez sejam perdidos ou diminuídos. 
Data/hora de 
iniciar a 
eliminação 
A data/hora específica, expressada como um número. Esta data/hora é 
usada pelo servidor para determinar quando a zona estará disponível 
para eliminação. 
Período de 
eliminação 
Quando a eliminação automática está habilitada no servidor, este 
período representa o tempo entre as repetições do processo de 
eliminação automatizado. O valor padrão para isto é sete dias. Para 
impedir deterioração do desempenho do servidor DNS, o valor mínimo 
permitido para isto é uma hora. 
Atualização de 
registro 
Quando a atualização dinâmica do DNS é processada para um registro 
de recurso e apenas o carimbo de data/hora do recurso é revisado e não 
outras características do registro. 
As atualizações geralmente ocorrem pelos seguintes motivos: 
1. Quando o computador é reiniciado na rede, se na inicialização 
suas informações de nome e endereço IP forem consistentes 
com as mesmas informações de nome e endereço que usou 
antes de ser desligado, ele enviará uma atualização para renovar 
seus registros de recursos associados a estas informações. 
2. Uma atualização periódica será enviada pelo computador 
enquanto ele estiver trabalhando. 
 
O serviço cliente DNS do Windows renova o registro DNS dos 
registros de recursos do cliente a cada 24 horas. Quando esta 
atualização dinâmica ocorre, se a solicitação de atualização 
42 
V 1.0 
dinâmica não causar modificação no banco de dados DNS, será 
considerada como uma atualização e não uma atualização de 
registro de recursos. 
3. Outros serviços de rede fazem tentativas de atualização, como: 
servidores DHCP, que renovam concessões de endereço; 
servidores de cluster, que registram e atualizam registros para 
um cluster; e o serviço de logon de rede, que pode registrar e 
atualizar registros de recursos que estão sendo usados pelos 
controladores de domínio Active Directory. 
Atualização do 
registro 
Quando a atualização dinâmica do DNS é processada para um registro 
de recurso onde outras características do registro são revisadas além de 
seu carimbo de data/hora. 
As atualizações geralmente ocorrem pelos seguintes motivos: 
1. Quando um novo computador é adicionado à rede e, na 
inicialização, ele envia uma atualização para registrar seus 
registros de recursos pela primeira vez com sua zona 
configurada. 
2. Quando um computador com registros existentes na zona tem 
uma alteração no endereço IP, fazendo com que sejam enviadas 
atualizações para seus mapeamentos revisados de nome-para-
endereço nos dados da zona DNS. 
3. Quando o serviço de logon de rede registra um novo 
controlador de domínio Active Directory. 
Servidores de 
eliminação 
Um parâmetro opcional avançado de zona que permite que você 
especifique uma lista restrita de endereços IP de servidores DNS que 
estão habilitados a realizar operações de eliminação na zona. 
Por padrão, se este parâmetro não estiver especificado, todos os 
servidores DNS que carregarem uma zona integrada ao diretório 
(também habilitado para eliminação) tentarão realizar eliminação na 
zona. Em alguns casos, este parâmetro pode ser útil se for preferível 
que a eliminação só seja realizada em alguns servidores carregando a 
zona integrada ao diretório. 
Para definir este parâmetro, você precisa especificar a lista de 
endereços IP dos servidores que estão habilitados para efetuar 
eliminações na zona no parâmetro ZoneResetScavengeServers da 
zona. Isto pode ser feito por meio do comando dnscmd, uma 
ferramenta baseada na linha de comando para administrar servidores 
DNS do Windows. 
 
Quando a eliminação pode começar 
43 
V 1.0 
Depois que todos os pré-requisitos para habilitar o uso de eliminação estiverem 
atendidos, ela poderá começar para uma zona de servidor quando a data/hora atual do 
servidor for superior ao valor de data/hora de iniciar a eliminação para a zona. 
O servidor definirá o valor data/hora para iniciar a eliminação por zona sempre que 
ocorrer um dos seguintes eventos: 
• As atualizações dinâmicas estiverem habilitadas para a zona. 
• Uma alteração no estado da caixa de seleção Eliminar registros de recursos 
obsoletos for aplicada. Você pode usar o Gerenciador DNS para modificar esta 
configuração no servidor DNS aplicável ou em uma de suas zonas primárias. 
• O servidor DNS carregará a zona primária que estiver habilitada para usar 
eliminação. 
 
Isto poderá ocorrer quando o computador do servidor for iniciado ou quando o 
serviço de Servidor DNS for iniciado. 
• Quando a zona retomar o serviço após ter sido interrompida. 
• Se a zona estiver integrada ao AD DS, a replicação da zona precisará ter 
acontecido pelo menos uma vez desde que o serviço DNS foi reiniciado ou o 
controlador do domínio foi reinicializado. Quando ocorrem os eventos 
anteriores, o servidor DNS define o valor de data/hora para iniciar a eliminação 
calculando a seguinte soma: 
 
data/hora atual do servidor + intervalo de atualização = data/hora de iniciar a 
eliminação 
 
Este valor é usado como base de comparação durante as operações de 
eliminação. 
 
Configurar resolução de nomes para computadores cliente 
 
 Configurando uma lista de servidores DNS 
Para que os clientes DNS funcionem adequadamente, uma lista priorizada de servidores 
de nomes DNS deve ser configurada para ser usada peloscomputadores durante o 
processamento de consultas e de resoluções de nomes DNS. Na maioria dos casos, o 
computador cliente entra em contato e utiliza seu servidor DNS preferencial, o primeiro 
servidor DNS de sua lista configurada localmente. Os servidores DNS alternativos 
listados serão contatados e usados quando o servidor preferencial não estiver disponível. 
Por esse motivo, é importante que o servidor DNS preferencial seja apropriado para o 
uso contínuo sob condições normais. 
Considerações adicionais 
• Para computadores executando o Microsoft Windows XP ou o 
Windows Vista®, a lista de servidores DNS será usada pelos clientes somente 
44 
V 1.0 
para a resolução de nomes DNS. Quando os clientes enviam atualizações 
dinâmicas, por exemplo, quando mudam seu nome de domínio DNS ou um 
endereço IP configurado, podem entrar em contato com esses servidores ou com 
outros servidores DNS para atualizar seus registros de recursos DNS, se 
necessário. 
• Por padrão, o cliente DNS do Microsoft Windows XP ou do Windows Vista não 
tenta fazer uma atualização dinâmica em uma conexão de serviço de acesso 
remoto (RAS) ou de rede virtual privada (VPN). Para modificar essa 
configuração, você pode alterar as configurações avançadas do TCP/IP da 
conexão de rede em particular ou alterar o registro. 
• Por padrão, o cliente DNS não tenta fazer uma atualização dinâmica das zonas 
de domínio de nível superior (TLD). Qualquer zona que possua um nome de 
rótulo único é considerada uma zona TLD, por exemplo, edu, blank, my-
company. Para configurar o cliente DNS para permitir a atualização dinâmica de 
zonas TLD, você pode usar a configuração de diretiva Atualizar Zonas de 
Domínio de Nível Superior ou modificar o registro. 
• Quando os clientes DNS são configurados dinamicamente por meio de um 
servidor DHCP, é possível haver uma lista maior de servidores DNS oferecidos. 
Para oferecer uma lista de endereços IP de servidores DNS a seus clientes 
DHCP, habilite a código de opção 6 nos tipos de opções configuradas fornecidos 
pelo seu servidor DHCP. Para os servidores DHCP do Windows Server 2003 e 
do Windows Server 2008, é possível configurar uma lista de até 25 servidores 
DNS para cada cliente com essa opção. 
• Para balancear a carga com eficiência quando vários servidores DNS forem 
oferecidos em uma lista especificada por opções de DHCP, configure um escopo 
DHCP separado que alterne a ordem listada de servidores DNS e WINS 
oferecidos aos clientes. 
Configurando uma lista de pesquisa de sufixos DNS 
Para clientes DNS, você pode configurar uma lista de pesquisa de sufixos de domínio 
DNS que estenda ou revise os recursos de pesquisa do DNS. Ao adicionar mais sufixos 
à lista, você poderá procurar por nomes de computador curtos e não qualificados em 
mais de um domínio DNS especificado. Então, se uma consulta DNS falhar, o serviço 
Cliente DNS poderá usar essa lista para anexar outras terminações de sufixo de nome 
para o seu nome original e para repetir consultas feitas no servidor DNS para esses 
FQDNs alternativos. 
Para computadores e servidores, o comportamento de pesquisa DNS padrão a seguir 
será predeterminado e usado na conclusão e resolução de nomes curtos não 
qualificados. 
Quando a lista de pesquisa de sufixos estiver vazia ou não for especificada, o sufixo 
DNS primário do computador será anexado aos nomes curtos não qualificados e a 
consulta DNS será usada na resolução do FQDN resultante. Se essa consulta falhar, o 
computador poderá experimentar consultas adicionais para FQDNs alternativos ao 
45 
V 1.0 
anexar quaisquer sufixos DNS específicos de conexão que estejam configurados para 
conexões de rede. 
Se nenhum sufixo específico de conexão estiver configurado ou se as consultas desses 
FQDNs específicos de conexão resultantes falharem, o cliente poderá tentar fazer as 
consultas novamente reduzindo sistematicamente o sufixo primário (em um processo 
também conhecido como devolução). 
Por exemplo, se o sufixo primário for "widgets.tailspintoys.com", o processo de 
devolução será capaz de tentar outras consultas de nome curto pesquisando-o nos 
domínios "microsoft.com" e "com". 
Quando a lista de pesquisa de sufixos não estiver vazia ou se tiver pelo menos um 
sufixo DNS especificado, as tentativas de qualificação e de resolução de nomes DNS 
curtos serão limitadas à pesquisa dos FQDNs habilitados pela lista de sufixos 
especificada. Se as consultas para todos os FQDNs formados como resultado da 
associação e da tentativa de cada sufixo na lista não forem resolvidas, o processo de 
consulta falhará e produzirá um resultado "Nome não encontrado". 
Considerações adicionais 
• Se a lista de sufixos de domínio for usada, os clientes continuarão a enviar 
consultas alternativas adicionais baseadas em nomes de domínio DNS diferentes 
quando a consulta não for respondida ou resolvida. Quando um nome é 
resolvido com uma entrada da lista de sufixos, as entradas da lista não utilizadas 
não serão consideradas. Por esse motivo, é mais eficiente ordenar a lista 
colocando os sufixos de domínio mais usados primeiro. 
• As pesquisas de sufixo de nome de domínio serão usadas somente quando uma 
entrada de nome DNS não for totalmente qualificada. Para qualificar totalmente 
um nome DNS, insira um ponto (.) no final do nome. 
• O Windows Server 2012 oferece suporte a uma zona especialmente nomeada, 
GlobalNames, para fornecer resolução de um conjunto limitado de nomes de 
rótulo único globalmente exclusivos em uma rede empresarial. Você pode usar 
essa zona quando os requisitos de rede tornarem impraticável a utilização da 
lista de pesquisa de sufixos para essa finalidade 
Configurando diversos nomes 
Computadores com o Windows XP, com o Windows Vista, com o 
Windows Server 2003 e com o Windows Server 2008 recebem nomes DNS por padrão. 
Cada computador pode ter seus nomes DNS configurados por um dos dois métodos 
possíveis: 
• Um nome de domínio DNS primário, que é aplicado como o nome DNS 
totalmente qualificado padrão para o computador e para todas as suas conexões 
de rede configuradas 
46 
V 1.0 
• Um nome de domínio DNS específico de conexão, que pode ser configurado 
como um nome de domínio DNS alternativo e que só pode ser aplicado a um 
único adaptador de rede instaldo e configurado no computador 
Embora a maioria dos computadores não precise de suporte ou utilize mais de um nome 
no DNS, o suporte para a configuração de diversos nomes DNS específicos de conexão 
algumas vezes é útil. Por exemplo, ao usar diversos nomes, um usuário pode especificar 
a conexão de rede que será usada na conexão a um computador de hospedagem 
múltipla. 
Exemplo: usando nomes específicos de conexão 
Como mostrado na ilustração a seguir, um computador servidor de hospedagem 
múltipla chamado host-a pode ser nomeado de acordo com seus nomes de domínio DNS 
primário e específico de conexão. 
 
Neste exemplo, o computador servidor host-a está associado a duas sub-redes separadas 
— Subnet 1 e Subnet 2 — que também estão vinculadas em pontos redundantes por 
meio de dois roteadores para caminhos adicionais entre cada sub-rede. Dada essa 
configuração, o host-a oferece acesso como a seguir por meio de suas conexões de rede 
local (LAN) nomeadas separadamente: 
• O nome host-a.public.example.microsoft.com oferece acesso normal por meio 
da conexão 1 da LAN pela Subnet 1, uma LAN Ethernet menos veloz 
(10 megabits), para usuários com necessidades típicas de serviços de arquivos e 
de impressão. 
• O nome host-a.backup.example.microsoft.com oferece acesso reservado por 
meio da conexão 2 da LAN pela Subnet 2, uma LAN Ethernet mais veloz 
(100 megabits), para aplicativos e administradores com necessidades especiais, 
como a solução de problemas de rede, a execução de backup baseado em rede ou 
a replicação de dados de zona entre os servidores. 
47 
V 1.0 
Além dos nomes DNS específicos de conexão, o computador também pode ser acessado 
por meio das duas conexões LAN se especificarmosseu nome de domínio DNS 
primário, "host-a.example.microsoft.com". 
Quando configurado como mostrado, um computador pode registrar registros de 
recursos no DNS de acordo com seus três nomes diferentes e conjuntos de endereços IP, 
como mostrado na tabela a seguir. 
 
Considerações adicionais 
• Os nomes DNS podem ser definidos por meio de administração remota e de 
outros serviços de configuração remota, como o DHCP. Para um servidor DNS 
que esteja executando o Windows Server 2008, o nome de domínio DNS 
primário pode ser definido por meio de administração remota ou pela opção de 
instalação autônoma. 
• Para a nomenclatura específica de conexão, é possível usar métodos de 
configuração do TCP/IP. Você pode configurar manualmente o nome de 
domínio DNS para cada conexão exibida na pasta Conexões de Rede ou pode 
usar um tipo de opção do DHCP (código de opção 15). 
 
DNSSEC 
O DNSSEC (Domain Name System Security Extensions) é um conjunto de extensões 
que adiciona segurança ao protocolo DNS. Com o DNSSEC, os servidores DNS não 
autoritativos podem validar as respostas que eles recebem quando consultam outros 
servidores DNS. Além disso, os computadores que executam o Windows® 7 ou 
posterior podem ser configurados para exigir que essa validação seja executada. 
 
O protocolo DNS é vulnerável a ataques devido a uma inerente falta de verificação de 
autenticação e integridade dos dados que são trocados entre os servidores DNS ou os 
clientes DNS fornecidos. O DNSSEC adiciona segurança às respostas DNS, fornecendo 
a capacidade dos servidores DNS validarem as respostas DNS. Com o DNSSEC, os 
Nome DNS Descrição
host-a.example.microsoft.com
O nome DNS primário do 
computador. O computador 
registra os registros de 
recursos host (A) e ponteiro 
(PTR) para todos os 
endereços IP configurados 
sob esse nome na zona 
widgets.tailspintoys.com.
host-
a.public.example.microsoft.com
O nome DNS específico de conexão 
para a conexão 1 da LAN, que 
registra os registros de recursos host 
(A) e ponteiro (PTR) para o endereço 
IP 10.1.1.11 na zona 
public.widgets.tailspintoys.com.
host-
a.backup.example.microsoft.com 10.2.2.22
O nome DNS específico de conexão para a 
conexão 2 da LAN, que registra os registros de 
recursos host (A) e ponteiro (PTR) para o 
endereço IP 10.2.2.22 na zona 
backup.widgets.tailspintoys.com.
Endereços IP
10.1.1.11, 10.2.2.22
10.1.1.11
48 
V 1.0 
registros de recursos são acompanhados de assinaturas digitais. Essas assinaturas 
digitais são geradas quando o DNSSEC é aplicado a uma zona DNS usando um 
processo denominado assinatura de zona. Quando um resolvedor emite de uma consulta 
DNS para o registro de recurso em uma zona assinada, uma assinatura digital é 
retornada com a resposta para que a validação pode ser realizada. Se a validação foi 
bem sucedida, isso prova que os dados não foram modificados ou adulterados de 
nenhuma forma. 
Ameaças ao DNS 
 
A falsificação do DNS é um tipo de ataque que envolve a representação de respostas do 
servidor DNS a fim de inserir informações falsas. Em um ataque de falsificação, um 
usuário mal-intencionado tenta adivinhar que um cliente ou servidor DNS enviou uma 
consulta DNS e está aguardando uma resposta DNS. Um ataque de falsificação bem 
sucedido inserirá uma resposta DNS falsa no cache do servidor DNS, um processo 
conhecido como envenenamento de cache. Um servidor DNS falso não tem como 
verificar se os dados DNS são autênticos e responde do seu cache usando a informação 
falsa. Um invasor também pode definir a TTL (vida útil) de dados DNS falsos como um 
intervalo muito longo, fazendo com que o cache do servidor DNS permaneça 
envenenado por muitas horas ou dias. Também é possível enviar um ataque de 
falsificação de DNS diretamente para um cliente DNS, mas esses ataques são menos 
persistentes do que os ataques de envenenamento de cache. Os dois tipos de ataques 
podem ser evitados com o DNSSEC, exigindo que as respostas DNS sejam validadas 
como autênticas. Consulte a figura a seguir. 
Ataque de Falsificação ao DNS 
Como o DNSSEC funciona 
 
O DNSSEC usa assinaturas digitais e chaves criptográficas para validar que as respostas 
DNS são autênticas. Os tópicos a seguir abordam brevemente como essas assinaturas 
são gerenciadas e a validação é realizada. 
Assinaturas digitais 
 
Assinaturas geradas com o DNSSEC estão contidas na zona DNS, dentro dos novos 
registros de recursos. Esses novos registros de recursos são denominados registros 
RRSIG (assinatura de registro de recurso). Quando um resolvedor emite uma consulta 
para um nome, o registro RRSIG é retornado na resposta. Uma chave criptográfica 
pública denominada DNSKEY é necessária para verificar a assinatura. A DNSKEY é 
obtida por um servidor DNS durante o processo de validação. 
49 
V 1.0 
Assinatura de zona 
 
Quando você assina uma zona com o DNSSEC, está assinando individualmente todos 
os registros contidos na zona. Isso torna possível adicionar, modificar ou excluir os 
registros na zona sem assinar novamente toda a zona. Só é necessário assinar novamente 
os registros atualizados. 
Negação autenticada de existência 
 
E se uma consulta DNS for de um registro que não existe? Se o servidor DNS responder 
que nenhum registro foi encontrado, essa resposta também precisa ser validada como 
autêntica. No entanto, como não há registro de recurso, também não há registro RRSIG. 
A resposta para esse problema é o registro NSEC (Next Secure). Os registros NSEC 
criam uma cadeia de links entre registros de recursos assinados. Para criar registros 
NSEC, a zona está classificada e os registros NSEC são criados de tal forma que cada 
registro NSEC tem um ponteiro para o próximo registro NSEC. O último registro NSEC 
aponta de volta para o primeiro registro. Quando uma consulta é enviada para um 
registro inexistente, o servidor DNS retorna o registro NSEC antes do local de posição 
do registro inexistente. Isso permite algo chamado de negação autenticada de existência. 
 
O NSEC3 é um substituto ou alternativa ao NSEC que tem o benefício adicional de 
evitar a "caminhada de zona", que é o processo de repetir consultas NSEC a fim de 
recuperar todos os nomes em uma zona. Um servidor DNS que executa o Windows 
Server® 2012 oferece suporte ao NSEC e ao NSEC3. Uma zona pode ser assinada com 
o NSEC ou o NSEC3, mas não os dois. 
Âncoras de confiança 
 
Uma âncora de confiança é uma chave pública pré-configurada associada a uma zona 
específica. Um servidor DNS de validação deve ser configurado com uma ou mais 
âncoras de confiança para realizar a validação. Se o servidor DNS está sendo executado 
em um controlador de domínio, as âncoras de segurança são armazenadas na partição de 
diretório de floresta no AD DS (Serviços de Domínio Active Directory) e podem ser 
replicadas em todos os controladores de domínio da floresta. Em servidores DNS 
autônomos, as âncoras de segurança são armazenadas em um arquivo denominado 
TrustAnchors.dns. Um servidor DNS que executa o Windows Server 2012 também 
exibe as âncoras de segurança configuradas na árvore de console do Gerenciador DNS 
no contêiner de Pontos de Confiança. Você também pode usar o Windows PowerShell 
ou o Dnscmd.exe para exibir as âncoras de segurança. 
50 
V 1.0 
Gerenciamento de chaves do DNSSEC 
 
A estratégia do gerenciamento de chaves do DNSSEC inclui o planejamento para a 
geração, o armazenamento, a expiração e a substituição de chaves. Juntas, a expiração e 
a substituição de chaves no DNSSEC são denominadas substituição de chave. No 
Windows Server 2012, o gerenciamento de chaves é facilitado com a geração de chaves 
simples e flexível, o armazenamento e a replicação do Active Directory e uma 
substituição de chaves automatizada. 
Clientes compatíveis com o DNSSEC 
 
No Windows 8 e no Windows Server 2012, o serviço Cliente DNS continua sendo de 
não validação e ciente de segurança, o mesmo que nos computadores que executam o 
Windows 7 e o Windows Server®2008 R2. Quando o cliente DNS emite uma consulta, 
ele pode indicar para o servidor DNS que entende o DNSSEC. No entanto, o cliente é 
de não validação. Ao emitir consultas, o cliente DNS depende do servidor DNS local 
para indicar que a validação foi bem sucedida. Se o servidor não consegue executar a 
validação ou relata que a validação não foi bem sucedida, o serviço Cliente DNS pode 
ser configurado para não retornar nenhum resultado. 
NRPT 
 
A NRPT (Tabela de Políticas de Resolução de Nome) é uma tabela que contém as 
regras que você pode definir para especificar as configurações DNS ou o 
comportamento especial de nomes ou namespaces. A NRPT pode ser configurada 
usando a Política de Grupo ou usando o Registro do Windows. 
 
Quando executa a resolução de nome DNS, o serviço Cliente DNS verifica a NRPT 
antes de enviar uma consulta DNS. Se uma consulta ou resposta DNS corresponder a 
uma entrada na NRPT, ela será manipulada de acordo com as configurações na política. 
As consultas e respostas que não correspondem à uma entrada NRPT são processadas 
normalmente. Você pode usar a NRPT para exigir que o serviço Cliente DNS execute a 
validação do DNSSEC das respostas DNS para os namespaces especificados por você. 
 
 
51 
V 1.0 
3: Manutenção dos Serviços de Domínio Active Directory 
 
O AD DS fornece um banco de dados distribuído que armazena e gerencia informações 
sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Um 
servidor com AD DS é chamado de controlador de domínio. Os administradores podem 
usar AD DS para organizar elementos de uma rede, como usuários, computadores e 
outros dispositivos, em uma estrutura de confinamento hierárquica. A estrutura de 
confinamento hierárquica inclui a floresta do Active Directory, domínios na floresta e 
unidades organizacionais (OUs) em cada domínio. 
Organizar os elementos da rede em uma estrutura de confinamento hierárquica fornece 
os seguintes benefícios: 
• A floresta funciona como um limite de segurança para uma organização e define 
o escopo de autoridade para administradores. Por padrão, uma floresta contém 
um único domínio, que é conhecido como o domínio raiz da floresta. 
• Domínios adicionais podem ser criados na floresta para fornecer 
particionamento de dados do AD DS, o que permite que as organizações 
repliquem dados somente onde for necessário. Isso possibilita que o AD DS seja 
dimensionado globalmente em uma rede que tem largura de banda disponível 
limitada. Um domínio Active Directory também suporta várias outras funções 
principais relacionadas à administração, incluindo identidade de usuário em 
âmbito de rede, autenticação e relações de confiança. 
• OUs simplificam a delegação de autoridade para facilitar o gerenciamento de 
grande número de objetos. Por meio da delegação, os proprietários podem 
transferir a autoridade toda ou limitada sobre os objetos para outros usuários ou 
grupos. A delegação é importante pois ajuda a distribuir o gerenciamento de 
grande número de objetos para várias pessoas de confiança realizarem tarefas de 
gerenciamento. 
A segurança é integrada ao AD DS por meio de autenticação de logon e controle de 
acesso a recursos no diretório. Com um único logon de rede, os administradores podem 
gerenciar dados de diretório e organização por toda a sua rede. Os usuários de rede 
autorizados também podem usar um único logon de rede para acessar recursos em 
qualquer lugar na rede. A administração baseada em política facilita igualmente o 
gerenciamento de redes mais complexas. 
Os recursos adicionais do AD DS incluem os seguintes: 
• Um conjunto de regras, o esquema, que define as classes de objetos e atributos 
que estão contidos no diretório, as restrições e limites nas instâncias desses 
objetos e o formato de seus nomes. 
• Um catálogo global que contém informações sobre cada objeto no diretório. 
Usuários e administradores podem usar o catálogo global para localizar 
informações do diretório, independentemente de qual domínio no diretório 
realmente contém os dados. 
52 
V 1.0 
• Um mecanismo de consulta e índice, de maneira que os objetos e suas 
propriedades possam ser publicadas e localizadas por usuários ou aplicativos da 
rede. 
• Um serviço de replicação que distribui dados do diretório através de uma rede. 
Todos os controladores de domínio graváveis em um domínio participam da 
replicação e contêm uma cópia completa de todas as informações de diretório do 
seu domínio. Qualquer alteração nos dados do diretório é replicada em todos os 
controladores de domínio. 
• Funções de mestre de operações (também conhecidas como operações de mestre 
único flexíveis ou FSMO) Controladores de domínio que mantêm funções de 
mestre de operações são designados para realizar tarefas específicas para 
garantir consistência e eliminar entradas conflitantes no diretório. 
Novidades nos Serviços de Domínio Active Directory (AD DS) 
• Virtualização que realmente funciona 
O Windows Server 2012 oferece um suporte mais abrangente para os recursos 
de nuvens públicas e privadas por meio das tecnologias seguras de virtualização 
e para a rápida implantação de controladores de domínio virtuais usando 
clonagem 
• Implantação simplificada e preparação para atualização 
Os processos de atualização e preparação (dcpromo e adprep) foram substituídos 
por um novo assistente simples de promoção de controlador de domínio, que foi 
integrado ao Gerenciador do Servidor e compilado no Windows PowerShell. Ele 
valida pré-requisitos, automatiza a preparação de floresta e domínio, exige 
apenas um conjunto de credenciais de logon e pode instalar remotamente o AD 
DS em um servidor de destino. 
• Gerenciamento simplificado 
Exemplos de gerenciamento simplificado incluem a integração de autorização 
baseada em declarações no AD DS e na plataforma Windows, dois componentes 
essenciais de um recurso mais amplo conhecido como DAC (Controle de Acesso 
Dinâmico). O DAC abrange políticas centrais de acesso, atributos de diretório, o 
mecanismo de classificação de arquivos do Windows e identidades compostas 
que combinam, em uma só, a identidade do usuário e a identidade do 
computador. Além disso, o ADAC (Centro Administrativo do Active Directory) 
agora permite a execução de tarefas gráficas que geram, automaticamente, os 
comandos equivalentes do Windows PowerShell. Os comandos podem ser 
facilmente copiados e colados em um script, simplificando a automação de ações 
administrativas repetitivas. 
• Alterações da plataforma do AD DS 
53 
V 1.0 
A plataforma do AD DS contém a funcionalidade principal, incluindo os 
comportamentos “secretos” que regem os componentes nos quais o restante do 
serviço de diretório está compilado. As atualizações para a plataforma do AD 
DS incluem alocação melhorada e escala de RIDs (identificadores relativos), 
criação de índice adiada, vários aperfeiçoamentos de Kerberos e suporte para 
declarações Kerberos no AD FS. 
O Active Directory e o AD DS estão no centro da infraestrutura de TI há mais de 10 
anos, e seus recursos, adoção e valor agregado aos negócios têm crescido a cada versão. 
Hoje, a maior parte dessa infraestrutura do Active Directory permanece no local, mas há 
uma tendência emergente pela computação em nuvem. A adoção da computação em 
nuvem, porém, não vai ocorrer da noite para o dia e a migração adequada de cargas de 
trabalho ou aplicativos locais é uma tarefa gradativa e de longo prazo. Novas 
infraestruturas híbridas vão surgir e é essencial que o AD DS dê suporte às necessidades 
desses novos e exclusivos modelos de implantação, que incluem serviços totalmente 
hospedados na nuvem, serviços que contêm componentes locais e na nuvem e serviços 
que permanecem exclusivamente no local. Esses novos modelos híbridos aumentarão 
ainda mais a importância, a visibilidade e a ênfase em termos de segurança e 
conformidade e vão compor a já complexa e demorada tarefa de assegurar que o acesso 
aos dados e serviços corporativosseja devidamente auditado e expresse com precisão as 
intenções comerciais. 
 
Implantação rápida com clonagem 
O AD DS do Windows Server 2012 permite a implantação de réplicas de controladores 
de domínio virtuais por meio da "clonagem" dos controladores existentes. Você pode 
promover um único controlador de domínio virtual usando a interface de promoção de 
controlador de domínio do Gerenciador do Servidor e, depois, implantar rapidamente 
mais controladores de domínio virtuais no mesmo controlador, por meio de clonagem. 
 
O processo de clonagem envolve a criação de uma cópia de um controlador de domínio 
virtual existente, autorizando o controlador de domínio de origem a ser clonado no AD 
DS, e a execução de cmdlets do Windows PowerShell para criar um arquivo de 
configuração contendo instruções detalhadas de promoção (nome, endereço IP, 
servidores DNS (Sistema de Nomes de Domínio) etc.). Ou você pode deixar vazio o 
arquivo de configuração, permitindo que o sistema o preencha automaticamente com as 
informações. A clonagem reduz o número de etapas e o tempo necessários, pois elimina 
as tarefas repetitivas de implantação, e isso permite a implantação completa de 
controladores de domínio adicionais, os quais são autorizados e configurados para 
clonagem pelo administrador de domínio do Active Directory. 
 
Virtualização segura de controladores de domínio 
54 
V 1.0 
 
O AD DS foi virtualizado durante anos, mas os recursos presentes na maioria dos 
hipervisores podem invalidar concepções sólidas feitas pelos algoritmos de replicação 
do Active Directory. Primeiramente, os relógios lógicos, que são usados pelos 
controladores de domínio para determinar os níveis relativos de convergência, apenas 
avançam no tempo. No Windows Server 2012, um controlador de domínio virtual usa 
um identificador exclusivo, que é exposto pelo hipervisor. Isso é chamado de 
GenerationID da máquina virtual. A GenerationID da máquina virtual é alterada sempre 
que a máquina virtual passa por um evento que afeta sua posição no tempo. A 
GenerationID da máquina virtual é exposta no espaço de endereços da máquina virtual, 
no respectivo BIOS, e é disponibilizada para o sistema operacional e para os aplicativos 
por meio de um driver no Windows Server 2012. 
 
Durante a inicialização e antes da conclusão de qualquer transação, um controlador de 
domínio virtual em execução no Windows Server 2012 compara o valor atual da 
GenerationID da máquina virtual com o valor armazenado no diretório. Qualquer 
incompatibilidade é interpretada como um evento de "reversão" e o controlador de 
domínio usa as proteções do AD DS, que são novas no Windows Server 2012. Essas 
proteções permitem que o controlador de domínio virtual faça convergência com outros 
controladores de domínio e impedem que o controlador de domínio virtual crie 
entidades de segurança duplicadas. Para que os controladores de domínio virtual do 
Windows Server 2012 consigam esse nível extra de proteção, o controlador de domínio 
virtual deve ser hospedado em um hipervisor capaz de reconhecer a GenerationID da 
máquina virtual; por exemplo, Windows Server 2012 com a função Hyper-V. 
 
Implantação simplificada e preparação para atualização 
A implantação do AD DS no Windows Server 2012 integra todas as etapas necessárias 
para implantar novos controladores de domínio em uma única interface gráfica. Ela 
exige apenas uma credencial de nível corporativo e pode preparar a floresta ou o 
domínio direcionando remotamente as devidas funções de mestre de operações. O novo 
processo de implantação realiza testes extensos de validação de pré-requisitos, o que 
minimiza a possibilidade de erros que, de outra forma, poderiam bloquear ou 
desacelerar a instalação. O processo de instalação do AD DS se baseia no Windows 
PowerShell, é integrado ao Gerenciador do Servidor e capaz de lidar com vários 
servidores e implantar remotamente controladores de domínio, o que resulta em uma 
experiência de implantação mais simples, mais consistente e menos demorada. A figura 
a seguir mostra o Assistente de Configuração do AD DS do Windows Server 2012. 
Opções de Revisão 
55 
V 1.0 
 
Figura 1 Assistente de Configuração do AD DS 
 
A instalação do AD DS inclui os seguintes recursos: 
Integração do Adprep.exe no processo de instalação do AD DS. Isso reduz o tempo 
necessário para instalar o AD DS e diminui a possibilidade de erros que, de outra forma, 
bloqueariam a promoção do controlador de domínio. 
A instalação da função de servidor do AD DS, que se baseia no Windows PowerShell e 
pode ser executada remotamente em vários servidores. Reduz a probabilidade de erros 
administrativos e o tempo global necessário à instalação, especialmente quando você faz 
a implantação de vários controladores de domínio em regiões e domínios globais. 
Validação de pré-requisitos no Assistente de Configuração do AD DS. Identifica erros 
potenciais antes do início da instalação. Você pode corrigir antecipadamente as 
condições de erro, sem a preocupação resultante de uma atualização concluída 
parcialmente. 
Páginas de configuração agrupadas em uma sequência que espelha os requisitos das 
opções de promoção mais comuns, com as opções relacionadas agrupadas em menos 
páginas do assistente. Fornece um contexto melhor para as escolhas de instalação e 
reduz o número de etapas e o tempo necessários para concluir a instalação do 
controlador de domínio. 
56 
V 1.0 
 
Um assistente que exporta um script do Windows PowerShell contendo todas as opções 
especificadas durante a instalação gráfica. Simplifica o processo automatizando 
instalações subsequentes do AD DS por meio de scripts do Windows PowerShell 
gerados automaticamente. 
 
Interface do usuário da Lixeira do Active Directory 
O recurso Lixeira do Active Directory, que foi incluído no Windows Server® 2008 R2, 
fornece uma arquitetura que permite a completa recuperação de objetos. Cenários que 
exijam recuperação de objetos usando a Lixeira do Active Directory são, em geral, de 
alta prioridade; por exemplo, recuperação de exclusões acidentais resultantes de logons 
malsucedidos ou interrupções de trabalhos. Mas a falta de uma sofisticada interface 
gráfica do usuário complicou seu uso e retardou a recuperação. 
Para enfrentar esse desafio, o AD DS do Windows Server 2012 tem uma interface do 
usuário para a Lixeira do Active Directory que fornece as seguintes vantagens: 
• Simplifica a recuperação de objetos por meio da inclusão de um nó de Objetos 
Excluídos no ADAC (Centro Administrativo do Active Directory) 
o Os objetos excluídos agora podem ser recuperados na interface gráfica 
do usuário 
• Reduz o tempo de recuperação fornecendo um modo de exibição consistente e 
detectável do objeto excluído 
Requisitos 
• Os requisitos da Lixeira devem ser atendidos: 
o Nível funcional de floresta do Windows Server 2008 R2 
o O recurso opcional Lixeira deve estar habilitado 
• Centro Administrativo do Active Directory do Windows Server 2012 
• É preciso que os objetos necessitando de recuperação tenham sido excluídos no 
DOL (Tempo de Vida do Objeto Excluído) 
o Por padrão, o DOL está configurado para 180 dias 
 
Interface do usuário da Política de Senha Refinada 
O recurso Política de Senha Refinada (FGPP) introduzido com o Windows Server 2008 
forneceu um gerenciamento mais preciso das políticas de senha. Para otimizar o recurso, 
57 
V 1.0 
os administradores tinham que criar manualmente os PSOs (Objetos Configuração de 
Senha). Isso tornava difícil garantir que os valores de política definidos manualmente 
tinham o comportamento desejado, o que resultava em demora, avaliação e 
administração de erros. 
No Windows Server 2012: 
• A criação, edição e atribuição de PSOs agora são gerenciadas pelo Centro 
Administrativo do Active Directory 
• Simplificação substancial do gerenciamento de objetos Configuração de Senha 
Requisitos 
• Os requisitos da FGPP devem ser atendidos: 
o Nível funcional de domíniodo Windows Server® 2008 
• Centro Administrativo do Active Directory do Windows Server 2012 
 
▪ O que é um Read-Only Domain Controller? 
É um servidor do AD só para a facilitação do login em sites distantes e inseguros onde a 
comunicação é via WAN ou o local não tem pessoal de TI só armazena um cache com 
as informações locais ou que são designadas a este RODC pelo DC “central”, não é 
possível administrar objetos do AD em um RODC só em um DC Comum. 
As configurações para o RODC são feitas nos DC não RODC. 
Os níveis de Floresta e Domínio tem que ser no mínimo Windows Server 2003 e tem 
que existir no mínimo um DC 2008. 
 
Implantação dos RODCs 
Para implantar um RODC, assegure que as seguintes atividades sejam executadas: 
• Assegure que o nível funcional da floresta seja o Windows Server 2003 ou mais 
recente. Isso significa que todos os controladores de domínio devem ser o Windows 
Server 2003 ou mais recente e que cada domínio na floresta deve estar no nível 
funcional do domínio do Windows Server 2003 ou mais recente. 
• Execute o ADPrep/RODCPrep. Isso configura permissões nas partições de diretório de 
aplicativos do DNS, a fim de permitir que elas sejam replicadas nos RODCs. Isso será 
necessário somente se a floresta do Active Directory tiver sido atualizada. 
58 
V 1.0 
• Verifique se há um controlador de domínio gravável que executa o Windows Server 
2008 ou mais recente. Um RODC replica a partição de domínio somente a partir desses 
controladores de domínio. Portanto, cada domínio com RODCs deve ter pelo menos um 
controlador de domínio do Windows Server 2008 ou mais recente. Você pode replicar 
as partições de Esquema e Configuração do Windows Server 2003. 
 
Para instalar o AD DS usando o Gerenciador do Servidor 
1. No Gerenciador do Servidor, clique em Gerenciar e em Adicionar Funções e 
Recursos para iniciar o Assistente para Adicionar Funções. 
2. Na página Antes de começar, clique em Avançar. 
3. Na página Selecionar tipo de instalação, clique em Instalação baseada em 
função ou recurso e em Avançar. 
4. Na página Selecionar servidor de destino, clique em Selecionar um servidor 
no pool de servidores, clique no nome do servidor em que deseja instalar o AD 
DS e em Avançar. 
Para selecionar servidores remotos, primeiro crie um pool de servidores e então 
adicione servidores remotos nesse pool. 
5. Na página Selecionar funções de servidor, clique em Serviços de Domínio 
Active Directory e, na caixa de diálogo Assistente de Adição de Funções e 
Recursos, clique em Adicionar Recursos e em Avançar. 
6. Na página Selecionar recursos, escolha os recursos adicionais a serem 
instalados e clique em Avançar. 
7. Na página Serviços de Domínio Active Directory, revise as informações e 
clique em Avançar. 
8. Na página Confirmar seleções de instalação, clique em Instalar. 
9. Na página Resultados, verifique se houve êxito na instalação e clique em 
Promover este servidor para a um controlador de domínio para iniciar o 
Assistente de Configuração dos Serviços de Domínio Active Directory. 
59 
V 1.0 
 
Importante 
Se, nesse ponto, você fechar o Assistente para Adicionar Funções sem iniciar o 
Assistente de Configuração dos Serviços de Domínio Active Directory, será 
possível reiniciá-lo clicando em Tarefas, no Gerenciador do Servidor. 
60 
V 1.0 
 
10. Na página Configuração de Implantação, selecione uma destas opções: 
o Se estiver instalando um controlador de domínio adicional em um 
domínio existente, clique em Adicionar um controlador de domínio a 
um domínio existente e digite o nome do domínio (por exemplo, 
emea.corp.contoso.com) ou clique em Selecionar… para escolher um 
domínio e as credenciais (por exemplo, especifique um conta que seja 
membro do grupo Admins. do Domínio); depois, clique em Avançar. 
Observação 
O nome do domínio e as credenciais atuais do usuário serão fornecidos, 
por padrão, apenas se o computador for um domínio associado e você 
estiver executando uma instalação local. Caso esteja instalando o AD DS 
em um servidor remoto, especifique as credenciais, por design. Se as 
credenciais atuais do usuário não forem suficientes para executar a 
instalação, clique em Alterar… para especificar outras credenciais. 
o Se você estiver instalando um novo domínio filho, clique em Adicionar 
um novo domínio a uma floresta existente, em Selecionar tipo de 
domínio, selecione Domínio Filho, digite ou procure o nome DNS do 
domínio pai (por exemplo, corp.contoso.com), digite o nome relativo do 
novo domínio filho (por exemplo, emea), digite as credenciais a serem 
usadas para a criação do novo domínio e clique em Avançar. 
 
. 
61 
V 1.0 
o Se você está instalando uma nova árvore de domínio, clique em 
Adicionar novo domínio a uma floresta existente, em Selecionar tipo 
de domínio, escolha Domínio de Árvore, digite o nome do domínio raiz 
(por exemplo, corp.contoso.com), digite o nome DNS do novo domínio 
(por exemplo, fabrikam.com), digite as credenciais a serem usadas para 
criar o novo domínio e clique em Avançar.. 
o Caso esteja instalando uma nova floresta, clique em Adicionar uma 
nova floresta e digite o nome do domínio raiz (por exemplo, 
corp.contoso.com). 
 
 
11. Na página Opções do Controlador de Domínio, selecione uma destas opções: 
o Se estiver criando uma nova floresta ou domínio, selecione os níveis 
funcionais domínio e floresta, clique em Servidor do sistema de nomes 
de domínio (DNS), especifique a senha DSRM e clique em Avançar. 
o Caso esteja adicionando um controlador de domínio a um domínio 
existente, clique em Servidor do sistema de nomes de domínio (DNS), 
Catálogo Global (GC) ou Controlador de Domínio Somente Leitura 
(RODC), conforme o necessário, escolha o nome do site e digite a senha 
DSRM; depois, clique em Avançar. 
12. Na página Opções DNS (que só aparecerá se houver um servidor DNS 
instalado), clique em Atualizar delegação de DNS, conforme o necessário. Se 
fizer isso, forneça as credenciais com permissão para criar registros de delegação 
de DNS na zona DNS pai. 
Se não for possível contatar um servidor DNS que hospeda a zona pai, a opção 
Atualizar Delegação de DNS não estará disponível. 
13. Na página Opções de RODC (que só aparecerá se houver um RODC instalado), 
especifique o nome de um grupo ou usuário que gerenciará o RODC, adicione 
ou remova contas de grupos de replicação de senha Permitido ou Negado e 
clique em Avançar. 
 
14. Na página Opções Adicionais, selecione uma destas opções: 
o Se você está criando um novo domínio, digite o nome do novo NetBIOS 
ou verifique o nome do NetBIOS padrão do domínio e clique em 
Avançar. 
o Caso esteja adicionando um controlador de domínio a um domínio 
existente, selecione o controlador de domínio a partir do qual você quer 
replicar os dados de instalação do AD DS (ou permita que o assistente 
selecione qualquer controlador de domínio). Para instalar da mídia, 
clique no tipo Instalar do caminho de mídia e verifique o caminho para 
os arquivos de origem de instalação; depois, clique em Avançar. 
 
62 
V 1.0 
Não é possível usar a opção IFM (instalar da mídia) para instalar o 
primeiro controlador de domínio em um domínio. IFM não funciona em 
várias versões de sistema operacional. Em outras palavras, para instalar 
um controlador de domínio adicional com o Windows Server 2012 
usando IFM, crie uma mídia de backup em um controlador de domínio 
do Windows Server 2012. 
15. Na página Caminhos, digite os locais do banco de dados Active Directory, dos 
arquivos de log e da pasta SYSVOL (ou aceite os locais padrão) e clique em 
Avançar. 
Importante 
Não armazene o banco de dados Active Directory, nem os arquivos de log ou a 
pasta SYSVOL em um volume de dados formatado com ReFS (Sistema de 
Arquivos Resiliente). 
16. Na página Opções de Preparação, digite as credenciais suficientes para 
executar adprep 
17. Na página Examinar Opções, confirme suas seleções, clique em Exibir script 
se quiser exportar as configuraçõespara um script do Windows PowerShell e 
clique em Avançar. 
18. Na página Verificação de Pré-requisitos, confirme se a validação foi concluída 
e clique em Instalar. 
19. Na página Resultados, verifique se houve êxito ao configurar o servidor como 
um controlador de domínio. O servidor será reiniciado automaticamente para 
concluir a instalação do AD DS. 
19. automaticamente para concluir a instalação do AD DS. 
Executando a instalação em etapas do RODC com a Interface Gráfica do Usuário 
Uma instalação de RODC em etapas permite criar um RODC em duas etapas. Na 
primeira etapa, um membro do grupo Admins. do Domínio cria uma conta RODC. Na 
segunda etapa, um servidor é anexado à conta RODC. A segunda etapa pode ser 
concluída por um membro do grupo Admins. do Domínio ou por um usuário ou grupo 
de domínio delegado. 
Para criar uma conta RODC usando ferramentas de gerenciamento do Active 
Directory 
1. Você pode criar a conta RODC usando o Centro Administrativo do Active 
Directory ou o recurso Usuários e Computadores do Active Directory. 
1. Clique em Iniciar, em Ferramentas Administrativas e em Central 
Administrativa do Active Directory. 
2. No painel de navegação (painel esquerdo), clique no nome do domínio. 
3. Na lista Gerenciamento (painel central), clique em OU de Domain 
Controllers. 
63 
V 1.0 
4. No painel Tarefas (painel direito), clique em Pré-criar uma conta do 
controlador de domínio somente leitura. 
Ou 
5. Clique em Iniciar, Ferramentas Administrativas e em Usuários e 
Computadores do Active Directory. 
6. Clique com o botão direito do mouse em Unidade organizacional (OU) 
de Domain Controllers ou clique em OU de Domain Controllers e 
depois clique em Ação. 
7. Clique em Pré-criar conta de controlador de domínio somente 
leitura. 
2. Na página Assistente de Instalação dos Serviços de Domínio Active 
Directory, se quiser modificar a PRP (Política de Replicação de Senha) padrão, 
selecione Usar a instalação em modo avançado e clique em Avançar. 
3. Na página Credenciais de Rede, em Especifique as credenciais de conta a 
serem utilizadas para executar a instalação, clique em Minhas credenciais 
atuais de logon ou em Credenciais alternativas e então clique em Definir. Na 
caixa de diálogo Segurança do Windows, forneça o nome de usuário e a senha 
de uma conta que possa instalar o controlador de domínio adicional. Para 
instalar um controlador de domínio adicional, você precisa ser membro do grupo 
Administradores Corporativos ou do grupo Admins. do Domínio. Quando tiver 
terminado de fornecer as credenciais, clique em Avançar. 
4. Na página Especificar o Nome do Computador, digite o nome de computador 
do servidor que será o RODC. 
5. Na página Selecionar Site, escolha um site na lista ou selecione a opção para 
instalar o controlador de domínio no site que corresponde ao endereço IP do 
computador em que você está executando o assistente e clique em Avançar. 
6. Na página Opções Adicionais de Controlador de Domínio, faça as seguintes 
seleções e clique em Avançar: 
o Servidor DNS: essa opção está selecionada por padrão, portanto, o 
controlador de domínio pode funcionar como um servidor DNS (Sistema 
de Nomes de Domínio). Se não quiser que o controlador de domínio seja 
um servidor DNS, desmarque essa opção. Entretanto, se você não 
instalar a função de servidor DNS no RODC e o RODC for o único 
controlador de domínio na filial, os usuários da filial não poderão 
executar a resolução de nomes quando a WAN (rede de longa distância) 
do site do hub estiver offline. 
o Catálogo Global: essa opção está selecionada por padrão. Ela adiciona o 
catálogo global, as partições de diretório somente leitura, ao controlador 
de domínio e habilita a funcionalidade de pesquisa do catálogo global. Se 
não quiser que o controlador de domínio seja um servidor de catálogo 
global, desmarque essa opção. No entanto, se você não instalar um 
servidor de catálogo global na filial, nem habilitar o cache de associação 
de grupo universal para o site que inclui o RODC, os usuários da filial 
não poderão fazer logon no domínio quando a WAN do site do hub 
estiver offline. 
64 
V 1.0 
o Controladores de domínio somente leitura Ao criar uma conta RODC, 
essa opção é selecionada por padrão e não é possível desmarcá-la. 
7. Se você tiver marcado a caixa de seleção Usar instalação em modo avançado 
na página Inicial, a página Especifique a Política de Replicação de Senha será 
exibida. Por padrão, nenhuma senha de conta será replicada para o RODC e as 
contas sensíveis à segurança (por exemplo, membros do grupo Admins. do 
Domínio) serão explicitamente recusadas em qualquer replicação de senha para 
o RODC. 
Para adicionar outras contas à política, clique em Adicionar, em Permitir a 
replicação de senhas da conta para este RODC ou em Negar a replicação de 
senhas da conta neste RODC e selecione as contas. 
Ao terminar (ou para aceitar a configuração padrão), clique em Avançar. 
8. Na página Instalação e Administração de Delegação de RODC, digite o nome 
do usuário ou do grupo que anexará o servidor à conta RODC que está sendo 
criada. Você pode digitar o nome de uma única entidade de segurança. 
Para pesquisar o diretório de um usuário ou grupo específico, clique em Definir. 
Em Selecionar Usuário ou Grupo, digite o nome do usuário ou do grupo. 
Recomendamos que você delegue a instalação e a administração do RODC a um 
grupo. 
Esse usuário ou grupo também terá direitos administrativos locais no RODC, 
após a instalação. Se você não especificar um usuário ou grupo, somente os 
membros do grupo Admins. do Domínio ou do grupo Administradores 
Corporativos poderão anexar o servidor à conta. 
Quando tiver terminado, clique em Avançar. 
9. Na página Resumo, revise suas seleções. Clique em Voltar para alterações 
seleções, se necessário. 
Para salvar as configurações selecionadas em um arquivo de resposta que possa 
ser usado para automatizar operações subsequentes do AD DS, clique em 
Exportar configurações. Digite um nome para o arquivo de resposta e clique 
em Salvar. 
Quando tiver certeza de que as seleções são as corretas, clique em Avançar para 
criar a conta RODC. 
10. Na página Concluindo o Assistente de Instalação dos Serviços de Domínio 
Active Directory, clique em Concluir. 
Após a criação de uma conta RODC, é possível anexar um servidor à conta para 
concluir a instalação do RODC. Essa segunda etapa pode ser concluída na filial onde o 
RODC ficará localizado. O servidor em que será executado esse procedimento não deve 
estar associado ao domínio. A partir do Windows Server 2012, você usa o Assistente 
65 
V 1.0 
para Adicionar Funções no Gerenciador do Servidor para anexar um servidor a uma 
conta do RODC. 
Para anexar um servidor a uma conta RODC usando o Gerenciador do Servidor 
1. Faça logon como Administrador. 
2. No Gerenciador do Servidor, clique em Adicionar funções e recursos. 
3. Na página Antes de começar, clique em Avançar. 
4. Na página Selecionar tipo de instalação, clique em Instalação baseada em 
função ou recurso e em Avançar. 
5. Na página Selecionar servidor de destino, clique em Selecionar um servidor 
no pool de servidores, clique no nome do servidor em que deseja instalar o AD 
DS e em Avançar. 
6. Na página Selecionar funções de servidor, clique em Serviços de Domínio 
Active Directory, em Adicionar Recursos e em Avançar. 
7. Na página Selecionar recursos, escolha os recursos adicionais a serem 
instalados e clique em Avançar. 
8. Na página Serviços de Domínio Active Directory, revise as informações e 
clique em Avançar. 
9. Na página Confirmar seleções de instalação, clique em Instalar. 
10. Na página Resultados, verifique Instalação bem-sucedida e clique em 
Promover este servidor para a um controlador de domínio para iniciar o 
Assistente de Configuração dos Serviços de Domínio Active Directory. 
Importante 
Se, nesse ponto, você fechar o Assistente para Adicionar Funções sem iniciar o 
Assistente de Configuraçãoo servidor desejado, clique em Configurar servidor. 
6. Na página antes de começar , clique em seguinte. 
7. Na página Opções de instalação , escolha integrada com o Active Directory. 
8. Os Locais de pasta de instalação remota página, escolher o caminho padrão ou 
digite o seu próprio caminho para a pasta de instalação remota. Clique em 
seguinte. 
9. Se seu servidor está sendo executado como um servidor DHCP, você verá a 
página DHCP servidor Proxy . Selecione as Opções de configurar DHCP 
para Proxy DHCPe não escutam em portas DHCP e DHCPv6 . Clique em 
seguinte. 
10. Na página Configurações iniciais do servidor PXE , escolha a opção desejada 
para definir quais computadores de cliente este servidor irá responder a. Clique 
em seguinte. Isto irá completar a configuração dos serviços de implantação do 
Windows. 
11. Quando a configuração estiver concluída, clique em concluir. 
12. Se você deseja modificar as configurações do servidor, com o botão direito o 
servidor no MMC snap-in e clique em Propriedades. 
Agora que você configurou o servidor integrado com o Active Directory, você precisará 
adicionar suas imagens. Estas imagens incluem uma imagem de inicialização (que é o 
ambiente de boot que você inicialmente inicializar o computador em e as imagens de 
instalação (que são as imagens reais que você implantar). Para obter instruções, consulte 
a próxima seção, etapas para adicionar imagens. 
 
Etapas para adicionar imagens 
Você deve adicionar a imagem de pelo menos um carregador e um instalar imagem 
antes de você será capaz de inicializar o servidor de serviços de implantação do 
Windows e instalar uma imagem. 
6 
V 1.0 
• Imagens de inicialização. Imagens de inicialização são imagens do Windows 
PE que você iniciar o computador cliente para executar uma instalação de 
sistema operacional. Na maioria dos cenários, você deve usar o arquivo boot 
wim da mídia de instalação (na pasta \Sources). O arquivo boot wim contém 
Windows PE e o cliente de serviços de implantação do Windows. 
• Instalar imagens. Imagens de instalação são as imagens de sistema operacional 
que você implanta no computador cliente. Você também pode usar o arquivo 
install wim da mídia de instalação (na pasta \Sources), ou você pode criar sua 
própria imagem de instalação. 
Para adicionar a imagem de inicialização padrão incluída na mídia de instalação 
do produto 
1. No painel esquerdo do snap-in MMC de serviços de implantação do Windows, o 
botão direito do mouse no nó Imagens de inicialização e clique em Adicionar 
imagem de inicialização. 
2. Browse para escolher a imagem de inicialização padrão (boot. wim) na mídia de 
instalação do Windows, localizada na pasta \Sources . 
3. Clique em Abrire, em seguida, clique em seguinte. 
4. Na página de Metadados de imagem , digite o nome da imagem desejada e a 
descrição. Clique em seguinte. 
5. Na página Resumo , clique em seguinte. 
Repita este procedimento para adicionar as imagens de inicialização adicionais. 
Por exemplo, para adicionar uma imagem de inicialização, use o seguinte comando: 
WDSUTIL /Verbose /Progress /Add-Image /ImageFile: /ImageType:Boot 
Instalar uma imagem de instalação 
Depois que você tem pelo menos um carregador e um instalar a imagem no servidor, 
você pode implantar uma imagem de instalação. 
Pré-requisitos para instalar uma imagem de instalação 
• O computador cliente deve ser capaz de executar uma inicialização PXE. 
• O computador cliente deve ter pelo menos 512 MB de RAM, que é a quantidade 
mínima de memória RAM para usar o Windows PE. 
• O cliente deve atender aos requisitos de sistema para o sistema operacional da 
imagem de instalação. 
• Uma conta de usuário local deve ser um criado no servidor de serviços de 
implantação do Windows. 
Passos para instalar uma imagem de instalação 
7 
V 1.0 
Para executar uma inicialização PXE em um computador para instalar uma imagem, use 
o procedimento a seguir. 
Para instalar um sistema operacional 
1. Configure o BIOS do computador para ativar a inicialização PXE e definir a 
ordem de inicialização para que ele está inicializando da rede primeiro. 
2. Reinicie o computador e quando solicitado, pressione F12 para iniciar o boot de 
rede. 
3. Selecione a imagem de inicialização apropriado no menu de inicialização. (Este 
menu de seleção de imagem de inicialização estará disponível somente se você 
tiver duas ou mais imagens de inicialização no servidor. 
4. Na página Instalar o Windows , escolha sua localidade e teclado ou método 
de entrada. Clique em seguinte. 
5. Na caixa de diálogo de autenticação de conectar ao seu servidor de WDS , 
insira sua conta de usuário local e a senha. Clique em OK. 
6. Na caixa de diálogo Instalar o Windows , selecione o sistema operacional que 
você deseja instalar. Se você tiver apenas um sistema operacional para instalar, 
escolher o que e clique em seguinte. 
7. Se solicitado na página onde você deseja instalar o Windows , selecione a 
partição que você deseja instalar o sistema operacional. Clique em seguinte. 
8. Quando a instalação estiver concluída, o computador será reiniciado e a 
instalação continuará. 
Para adicionar uma imagem de instalação, use os dois comandos a seguir, pressionando 
Enter depois de cada linha: 
WDSUTIL /Add-ImageGroup /ImageGroup: 
WDSUTIL /Verbose /Progress /Add-Image /ImageFile: 
/ImageType:Install 
 
Etapas para executar uma instalação autônoma 
Para automatizar a instalação, crie o arquivo autônomo apropriado dependendo se você 
estiver configurando o Windows Deployment Services telas ou instalação do Windows. 
Recomendamos que você use o Gerenciador de imagem de sistema do Windows) para 
criar os arquivos autônomos. O Gerenciador de imagem de sistema do Windows 
(Windows SIM) cria e gerencia arquivos de resposta de instalação do Windows 
autônomas em uma interface de usuário gráfica (GUI). 
Você precisará, em seguida, copie o arquivo autônomo para o local apropriado, e 
atribuí-lo para uso. Você pode atribuí-lo no nível do servidor ou no nível de cliente. A 
atribuição de nível de servidor pode ainda ser discriminada por arquitetura, permitindo-
lhe ter diferentes configurações para clientes x86 e x64. Atribuição no nível do cliente 
substitui as configurações de nível de servidor. 
Para associar um arquivo autônomo de cliente por arquitetura 
8 
V 1.0 
1. Crie um arquivo Unattend XML com as configurações aplicáveis aos serviços de 
implantação do Windows. 
2. Copie o arquivo autônomo de cliente para uma pasta na pasta RemoteInstall . 
Por exemplo: Remoteinstall\wdsclientunattend.. 
3. Abra o snap-in MMC de serviços de implantação do Windows, clique com botão 
direito no servidor que contém o Windows 8, Windows 7, Windows Vista, 
Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 
imagem que você deseja associar o arquivo autônomo com e, em seguida, clique 
em Propriedades. 
4. Na guia cliente , selecione ativar a instalação autônoma, navegue até o 
arquivo autônomo apropriado e, em seguida, clique em Abrir. 
5. Clique em OK para fechar a página Propriedades . 
Para associar um arquivo autônomo de imagem 
1. Crie um arquivo Unattend XML (para Windows Vista ou posterior) ou o arquivo 
Sysprep INF (para versões anteriores do Windows). 
2. Os próximos passos dependem do arquivo que você criar: 
o Salve arquivos Sysprep. inf. Salve esses arquivos para a estrutura 
$OEM$ da imagem (por exemplo, D:\RemoteInstall\Images\Windows 
XP\winxpsp2\$OEM$\$1\sysprep\sysprep.inf). Agora quando você 
implantar a imagem, a instalação automaticamente localizar e usar o 
arquivo Sysprep inf. 
o Salve arquivos Unattend. xml. Salvar arquivos Unattend. xml para 
qualquer local e, em seguida, associar o arquivo de uma imagem. Para 
fazer isso, abra o snap-in do MMC, clique com botão direito na imagem 
que você deseja associar o arquivo autônomo e clique em Propriedades. 
Na guia geral ,dos Serviços de Domínio Active Directory, será 
possível reiniciá-lo clicando em Tarefas no Gerenciador do Servidor. 
11. 
12. Na página Configuração de Implantação, clique em Adicionar um 
controlador de domínio a um domínio existente, digite o nome do domínio 
(por exemplo, emea.contoso.com) e as credenciais (por exemplo, especifique 
uma conta delegada para gerenciar e instalar o RODC) e clique em Avançar. 
13. Na página Opções de Controlador de Domínio, clique em Usar a conta do 
RODC existente, digite e confirme a senha do Modo de Restauração dos 
Serviços de Diretório e então clique em Avançar. 
14. Na página Opções Adicionais, se estiver instalando da mídia, clique no tipo 
Instalar do caminho de mídia e verifique o caminho para os arquivos de 
origem de instalação, selecione o controlador de domínio a partir do qual deseja 
replicar os dados de instalação do AD DS (ou permita que o assistente selecione 
qualquer controlador de domínio) e então clique em Avançar. 
15. Na página Caminhos, digite os locais do banco de dados Active Directory, dos 
arquivos de log e da pasta SYSVOL (ou aceite os locais padrão) e clique em 
Avançar. 
16. Na página Examinar Opções, confirme suas seleções, clique em Exibir Script 
para exportar as configurações para um script do Windows PowerShell e clique 
em Avançar. 
17. Na página Verificação de Pré-requisitos, confirme se a validação foi concluída 
e clique em Instalar. 
66 
V 1.0 
Lixeira do Active Directory 
 
A exclusão acidental de objetos do Active Directory é uma ocorrência comum aos 
usuários do AD DS (Serviços de Domínio Active Directory) e do AD LDS (Active 
Directory Lightweight Directory Services). Em versões passadas do Windows Server, 
anteriores ao Windows Server 2008 R2, era possível recuperar automaticamente objetos 
excluídos do Active Directory, mas as soluções apresentavam algumas desvantagens. 
No Windows Server 2008, era possível usar o recurso Backup do Windows Server e o 
comando de restauração autoritativa de objetos ntdsutil para marcar objetos como 
autoritativos. Isso garantia que os dados restaurados fossem replicados em todo o 
domínio. A desvantagem da solução de restauração autoritativa era que ela deveria ser 
executada no DSRM (Modo de Restauração dos Serviços de Diretório). Durante o 
DSRM, o controlador de domínio que estivesse sendo restaurado deveria permanecer 
offline. Portanto, ele não podia atender às solicitações dos clientes. 
No Windows Server 2003 Active Directory e no Windows Server 2008 AD DS, era 
possível recuperar objetos excluídos do Active Directory por meio de reanimação de 
marca de exclusão. Entretanto, atributos de valores vinculados de objetos reanimados 
(por exemplo, associações de grupos de contas de usuário) que eram fisicamente 
removidos e atributos de valores não vinculados que eram limpos não eram 
recuperados. Portanto, os administradores não podiam confiar na reanimação de marca 
de exclusão como solução final para a exclusão acidental de objetos. 
A Lixeira do Active Directory, a partir do Windows Server 2008 R2, tem como base a 
infraestrutura existente de reanimação de marcas de exclusão e aprimora a capacidade 
de preservar e recuperar objetos excluídos acidentalmente do Active Directory. 
Quando a Lixeira do Active Directory é habilitada, todos os atributos de valores 
vinculados e não vinculados dos objetos excluídos do Active Directory são preservados, 
e os objetos são integralmente restaurados para o mesmo estado lógico consistente em 
que estavam imediatamente antes da exclusão. Por exemplo, as contas de usuário 
restauradas automaticamente recuperam todas as associações de grupo e direitos de 
acesso correspondentes que tinham antes da exclusão, dentro e entre domínios. A 
Lixeira do Active Directory funciona nos ambientes do AD DS e do AD LDS. 
Novidades No Windows Server 2012, o recurso Lixeira do Active Directory foi 
aperfeiçoado com uma nova interface gráfica do usuário para que os usuários gerenciem 
e restaurem objetos excluídos. Os usuários agora podem localizar visualmente uma lista 
de objetos excluídos e restaurá-los nos seus locais originais ou desejados. 
Se você pretende habilitar a Lixeira do Active Directory no Windows Server 2012, 
considere o seguinte: 
• Por padrão, a Lixeira do Active Directory é desabilitada. Para habilitá-la, 
primeiro é necessário aumentar o nível funcional da floresta do ambiente do AD 
DS ou do AD LDS para o Windows Server 2008 R2 ou superior. Isso, por sua 
vez, requer que todos os controladores de domínio na floresta ou que todos os 
67 
V 1.0 
servidores que hospedem instâncias de conjuntos de configuração do AD LDS 
estejam executando o Windows Server 2008 R2 ou superior. 
• O processo de habilitar a Lixeira do Active Directory é irreversível. Depois de 
habilitar a Lixeira do Active Directory em seu ambiente, não será possível 
desabilitá-la. 
• Para gerenciar o recurso Lixeira via interface do usuário, é necessário instalar a 
versão do Centro Administrativo do Active Directory no Windows Server 2012. 
Observação 
Você pode usar o Gerenciador do Servidor para instalar as Ferramentas de 
Administração de Servidor Remoto em computadores com o Windows Server 
2012 para usar a versão correta do Centro Administrativo do Active Directory 
para gerenciar a Lixeira via interface do usuário. 
É possível usar as Ferramentas de Administração de Servidor Remoto em 
computadores com o Windows® 8 para usar a versão correta do Centro 
Administrativo do Active Directory para gerenciar a Lixeira via interface do 
usuário. 
 
Lixeira do Active Directory passo a passo 
 
Nas etapas a seguir, você usará o ADAC para executar as seguintes tarefas da Lixeira do 
Active Directory no Windows Server 2012: 
• Etapa 1: Aumentar o nível funcional da floresta 
• Etapa 2: Habilitar a Lixeira 
• Etapa 3: Criar usuários, um grupo e uma unidade organizacional de teste 
• Etapa 4: Restaurar objetos excluídos 
Observação 
Para executar as etapas a seguir, é necessário ter uma associação ao grupo 
Administradores Corporativos ou permissões equivalentes. 
 
Etapa 1: Aumentar o nível funcional da floresta 
 
Nesta etapa, você aumentará o nível funcional da floresta. É necessário aumentar o nível 
funcional na floresta de destino para ser o Windows Server 2008 R2 no mínimo antes de 
habilitar a Lixeira do Active Directory. 
Para aumentar o nível funcional na floresta de destino 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
68 
V 1.0 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. Clique no domínio de destino no painel de navegação esquerdo e, no painel 
Tarefas, clique em Aumentar nível funcional da floresta. Selecione um nível 
funcional de floresta que seja, no mínimo, o Windows Server 2008 R2 ou 
superior e clique em OK. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Set-ADForestMode –Identity contoso.com -ForestMode Windows2008R2Forest 
–Confirm:$false 
Para o argumento –Identity , especifique o nome DNS totalmente qualificado. 
Etapa 2: Habilitar a Lixeira 
 
Nesta etapa, você habilitará a Lixeira para restaurar objetos excluídos do AD DS. 
Para habilitar a Lixeira do Active Directory no ADAC no domínio de destino 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No Painel de Tarefas,clique em Habilitar Lixeira...; no Painel de Tarefas, 
clique em OK na caixa de mensagem de aviso e clique em OK para atualizar a 
mensagem do ADAC. 
4. Pressione F5 para atualizar o ADAC. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional 
Features,CN=Directory Service,CN=Windows 
NT,CN=Services,CN=Configuration,DC=contoso,DC=com' –Scope 
ForestOrConfigurationSet –Target 'contoso.com' 
Etapa 3: Criar usuários, um grupo e uma unidade organizacional de teste 
69 
V 1.0 
Nos procedimentos a seguir, você criará dois usuários de teste. Em seguida, criará um 
grupo de teste e adicionará os usuários de teste ao grupo. Além disso, criará uma 
unidade organizacional. 
Para criar usuários de teste 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No painel Tarefas, clique em Novo e depois em Usuário. 
 
4. Insira as informações a seguir em Conta e clique em OK: 
o Nome completo: test1 
o Logon SamAccountName do usuário: test1 
o Senha: p@ssword1 
o Confirmar senha: p@ssword1 
5. Repita as etapas anteriores para criar um segundo usuário, test2. 
Para criar um grupo de teste e adicionar usuários ao grupo 
 
70 
V 1.0 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No painel Tarefas, clique em Novo e depois em Grupo. 
4. Insira as informações a seguir em Grupo e clique em OK: 
o Nome do grupo: group1 
5. Clique em group1 e, no Painel de Tarefas, clique em Propriedades. 
6. Clique em Membros, clique em Adicionar, digite test1;test2 e clique em OK. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Add-ADGroupMember -Identity group1 -Member test1 
 
Para criar uma unidade organizacional 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No painel Tarefas, clique em Novo e depois em Unidade Organizacional. 
4. Insira as informações a seguir em Unidade Organizacional e clique em OK: 
o Nome OU1 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name 
"test$_" –Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-
SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true} 
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory 
Security -GroupScope Global -DisplayName "group1" 
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com" 
 
Etapa 4: Restaurar objetos excluídos 
 
Nos procedimentos a seguir, você restaurará objetos excluídos do contêiner Deleted 
Objects no local original e em outro local. 
71 
V 1.0 
Para restaurar objetos excluídos no local original 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. Selecione os usuários test1 e test2, clique em Excluir no Painel de Tarefas e 
clique em Sim para confirmar a exclusão. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas 
funções que o procedimento anterior. Insira cada cmdlet em uma única linha, 
embora eles possam aparecer com quebras automáticas em várias linhas devido 
a restrições de formatação. 
Get-ADUser –Filter 'Name –Like "*test*"'|Remove-ADUser -
Confirm:$false 
4. Navegue até o contêiner Deleted Objects, selecione test2 e test1, e depois 
clique em Restaurar no painel Tarefas. 
5. Para confirmar se os objetos foram restaurados no local original, navegue até o 
domínio de destino e verifique se as contas de usuário estão listadas. 
Observação 
Se você navegar para as Propriedades das contas de usuário test1 e test2 e 
depois clicar em Membro de, verá que as respectivas associações de grupo 
também foram restauradas. 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Comandos equivalentes do Windows PowerShell 
Get-ADObject –Filter 'Name –Like "*test*"' –IncludeDeletedObjects | 
Restore-ADObject 
Para restaurar objetos excluídos em outro local 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. Selecione os usuários test1 e test2, clique em Excluir no Painel de Tarefas e 
clique em Sim para confirmar a exclusão. 
72 
V 1.0 
4. Navegue até o contêiner Deleted Objects, selecione test2 e test1, e depois 
clique em Restaurar em no painel Tarefas. 
5. Selecione OU1 e clique em OK. 
6. Para confirmar se os objetos foram restaurados em OU1, navegue até o domínio 
de destino, clique duas vezes em OU1 e verifique se as contas de usuário estão 
listadas. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Get-ADObject –Filter 'Name –Like "*test*"' –IncludeDeletedObjects | 
Restore-ADObject –TargetPath "OU=OU1,DC=contoso,DC=com" 
 
 
Política de senha refinada 
O sistema operacional Windows Server 2008 permite que as organizações definam 
políticas de senha e de bloqueio de conta diferentes para diferentes conjuntos de 
usuários em um domínio. Em domínios Active Directory anteriores ao Windows Server 
2008, somente uma política de senha e de bloqueio de conta podia ser aplicada a todos 
os usuários no domínio. Essas políticas eram especificadas na Default Domain Policy 
do domínio. Como resultado, as organizações que queriam diferentes configurações de 
senha e de bloqueio de conta para diferentes conjuntos de usuários tinham de criar um 
filtro de senha ou implantar vários domínios. Ambas as opções são caras. 
É possível usar políticas de senha refinada para especificar várias políticas de senha 
dentro de um único domínio, bem como aplicar diferentes restrições de políticas de 
senha e de bloqueio de conta a diferentes conjuntos de usuários em um domínio. Por 
exemplo, você pode aplicarconfigurações mais estritas a contas privilegiadas e 
configurações menos estritas às contas de outros usuários. Em outros casos, talvez você 
deseje aplicar uma política especial de senha a contas cujas senhas sejam sincronizadas 
com outras fontes de dados 
Novidades No Windows Server 2012, o gerenciamento de políticas de senha refinada 
está mais fácil e mais visual por meio de uma interface do usuário na qual os 
administradores do AD DS podem gerenciá-las no ADAC. Os administradores agora 
podem exibir a política resultante de determinado usuário, exibir e classificar todas as 
políticas de senha em um domínio específico e gerenciar políticas de senha individuais 
visualmente. 
Se você pretende usar políticas de senha refinada no Windows Server 2012, considere o 
seguinte: 
• As políticas de senha refinada só se aplicam a grupos de segurança globais e a 
objetos de usuário (ou objetos inetOrgPerson, caso sejam usados no lugar de 
objetos de usuário). Por padrão, somente membros do grupo Administradores de 
73 
V 1.0 
Domínio podem definir políticas de senha refinada. Entretanto, também é 
possível delegar a capacidade de definir essas políticas a outros usuários. O nível 
funcional do domínio deve ser Windows Server 2008 ou superior. 
• Você deve usar a versão Windows Server 2012 do Centro Administrativo do 
Active Directory para administrar políticas de senha refinada por meio de uma 
interface gráfica do usuário. 
Observação 
Você pode usar o Gerenciador do Servidor para instalar as Ferramentas de 
Administração de Servidor Remoto em computadores com o Windows Server 
2012 para usar a versão correta do Centro Administrativo do Active Directory 
para gerenciar a Lixeira via interface do usuário. 
É possível usar as Ferramentas de Administração de Servidor Remoto em 
computadores com o Windows® 8 para usar a versão correta do Centro 
Administrativo do Active Directory para gerenciar a Lixeira via interface do 
usuário. 
Política de senha refinada passo a passo 
 
Nas etapas a seguir, você usará o ADAC para executar as seguintes tarefas de política 
de senha refinada: 
• Etapa 1: Aumentar o nível funcional do domínio 
• Etapa 2: Criar usuários, um grupo e uma unidade organizacional de teste 
• Etapa 3: Criar uma nova política de senha refinada 
• Etapa 4: Exibir um conjunto de políticas resultantes de um usuário 
• Etapa 5: Editar uma política de senha refinada 
• Etapa 6: Excluir uma política de senha refinada 
Observação 
Para executar as etapas a seguir, é necessário ter uma associação ao grupo 
Administradores de Domínio ou permissões equivalentes. 
 
Etapa 1: Aumentar o nível funcional do domínio 
No procedimento a seguir, você aumentará o nível funcional do domínio de destino para 
o Windows Server 2008 ou superior. Um nível funcional de domínio do Windows 
Server 2008 ou superior é exigido para habilitar políticas de senha refinada. 
Para aumentar o nível funcional do domínio 
 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
74 
V 1.0 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. Clique no domínio de destino no painel de navegação esquerdo e, no Painel de 
Tarefas, clique em Aumentar nível funcional do domínio. Selecione um nível 
funcional de floresta que seja, no mínimo, o Windows Server 2008 ou superior e 
clique em OK. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Set-ADDomainMode -Identity contoso.com -DomainMode 3 
Etapa 2: Criar usuários, um grupo e uma unidade organizacional de teste 
 
Para criar os usuários e o grupo de teste necessários para esta etapa, siga os 
procedimentos localizados aqui: Etapa 3: Criar usuários, um grupo e uma unidade 
organizacional de teste (não é preciso criar a unidade organizacional para demonstrar a 
política de senha refinada). 
Etapa 3: Criar uma nova política de senha refinada 
No procedimento a seguir, você criará uma nova política de senha refinada usando a 
interface do usuário no ADAC. 
Para criar uma nova política de senha refinada 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No painel de navegação do ADAC, abra o contêiner System e clique em 
Password Settings Container. 
4. No Painel de Tarefas, clique em Novo e clique em Configurações de Senha. 
Preencha ou edite campos da página de propriedades para criar um objeto 
Configurações de Senha. Os campos Nome e Precedência são obrigatórios. 
75 
V 1.0 
 
5. Em Aplica-se Diretamente a, clique em Adicionar, digite group1 e clique em 
OK. 
O objeto Política de Senha será associado aos membros do grupo global que 
você criou para o ambiente de teste. 
6. Clique em OK para enviar a criação. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -
LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -
LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -
MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -
PasswordHistoryCount:"24" -Precedence:"1" -
ReversibleEncryptionEnabled:$false -
ProtectedFromAccidentalDeletion:$true 
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1 
Etapa 4: Exibir um conjunto de políticas resultantes de um usuário 
 
No procedimento a seguir, você exibirá as configurações de senha resultantes de um 
usuário que seja membro do grupo ao qual você atribuiu uma política de senha refinada 
na Etapa 3: Criar uma nova política de senha refinada. 
Para exibir um conjunto de políticas resultantes de um usuário 
76 
V 1.0 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. Selecione um usuário, test1, que pertença ao grupo, group1, que você associou 
a uma política de senha refinada na Etapa 3: Criar uma nova política de senha 
refinada. 
4. Clique em Exibir Configurações de Senha Resultantes no Painel de Tarefas. 
5. Examine a política de configuração de senha e clique em Cancelar. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Get-ADUserResultantPasswordPolicy test1 
Etapa 5: Editar uma política de senha refinada 
 
No procedimento a seguir, você editará a política de senha refinada que criou na Etapa 
3: Criar uma nova política de senha refinada 
Para editar uma política de senha refinada 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No Painel de Navegação do ADAC, expandaSystem e clique em Password 
Settings Container. 
4. Selecione a política de senha refinada que você criou na Etapa 3: Criar uma 
nova política de senha refinada e clique em Propriedades no painel Tarefas. 
5. Em Impor histórico de senhas, altere o valor de Número de senhas 
lembradas para 30. 
6. Clique em OK. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30" 
Etapa 6: Excluir uma política de senha refinada 
77 
V 1.0 
 
Para excluir uma política de senha refinada 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. No Painel de Navegação do ADAC, expanda System e clique em Password 
Settings Container. 
4. Selecione a política de senha refinada que você criou na Etapa 3: Criar uma nova 
política de senha refinada e, no painel Tarefas, clique em Propriedades. 
5. Desmarque a caixa de seleção Proteger contra exclusão acidental e clique em 
OK. 
6. Selecione a política de senha refinada e, no painel Tarefas, clique em Excluir. 
7. Clique em OK na caixa de diálogo de confirmação. 
Comandos equivalentes do Windows PowerShell 
Os cmdlets do Windows PowerShell indicados a seguir realizam as mesmas funções 
que o procedimento anterior. Insira cada cmdlet em uma única linha, embora eles 
possam aparecer com quebras automáticas em várias linhas devido a restrições de 
formatação. 
Set-ADFineGrainedPasswordPolicy –Identity TestPswd –
ProtectedFromAccidentalDeletion $False 
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm 
 
Visualizador do Windows PowerShell History 
O ADAC é uma ferramenta da interface do usuário que fica na parte superior do 
Windows PowerShell. No Windows Server 2012, os administradores de TI podem 
otimizar o ADAC para aprender sobre os cmdlets Active Directory do Windows 
PowerShell usando o Visualizador do Windows PowerShell History. À medida que as 
ações são executadas na interface do usuário, o comando do Windows PowerShell 
equivalente é mostrado para o usuário no Visualizador do Windows PowerShell 
History. Isso permite que os administradores criem scripts automatizados, bem como 
reduz tarefas repetitivas, aumentando a produtividade de TI. Além disso, esse recurso 
reduz o tempo para aprender sobre o Windows PowerShell para Active Directory e 
aumenta a confiança dos usuários quanto à precisão de seus scripts de automação. 
Ao usar o Visualizador do Windows PowerShell History no Windows Server 2012, 
considere o seguinte: 
• Para usar o Visualizador do Windows PowerShell History, você deve usar a 
versão Windows Server 2012 do ADAC 
Observação 
Você pode usar o Gerenciador do Servidor para instalar as Ferramentas de 
Administração de Servidor Remoto em computadores com o Windows Server 
78 
V 1.0 
2012 para usar a versão correta do Centro Administrativo do Active Directory 
para gerenciar a Lixeira via interface do usuário. 
É possível usar as Ferramentas de Administração de Servidor Remoto em 
computadores com o Windows® 8 para usar a versão correta do Centro 
Administrativo do Active Directory para gerenciar a Lixeira via interface do 
usuário. 
• Tenha conhecimentos básicos sobre o Windows PowerShell. Por exemplo, é 
preciso saber como funciona o pipe no Windows PowerShell. 
Visualizador do Windows PowerShell History passo a passo 
No procedimento a seguir, você usará o Visualizador do Windows PowerShell History 
no ADAC para construir um script do Windows PowerShell. Antes de começar esse 
procedimento, remova o usuário test1 do grupo group1. 
Para construir um script usando o Visualizador do Histórico do PowerShell 
1. Clique com o botão direito do mouse no ícone Windows PowerShell, clique em 
Executar como Administrador e digite dsac.exe para abrir o ADAC. 
2. Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio 
de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e 
clique em OK. 
3. Expanda o painel Windows PowerShell History na parte inferior da tela do 
ADAC. 
4. Selecione o usuário test1. 
5. Clique em Adicionar ao grupo… no painel Tarefas. 
6. Navegue até group1 e clique em OK na caixa de diálogo. 
7. Navegue até o painel Windows PowerShell History e localize o comando que 
acabou de ser gerado. 
8. Copie o comando e cole-o no editor desejado para construir seu script. 
Por exemplo, você pode modificar o comando para adicionar outro usuário ao 
grupo group1 ou adicionar test1 a outro grupo. 
 
▪ O que são operações de mestre? 
O AD DS (Serviços de Domínio Active Directory) oferece suporte à replicação 
de vários mestres de dados de diretório, o que significa que qualquer controlador 
de domínio pode aceitar alterações de diretório e replicá-las a todos os outros 
controladores de domínio. No entanto, certas alterações, como as modificações 
de esquema, não podem ser executadas com vários mestres. Por esse motivo, 
certos controladores de domínio, conhecidos como mestres de operações, 
mantêm funções responsáveis por aceitar solicitações para certas alterações 
específicas. 
 
79 
V 1.0 
Existem três funções de mestre de operações (também conhecidas como 
operações de mestre único flexíveis, ou FSMO) em cada domínio: 
• O mestre de operações emulador de PDC (controlador de domínio primário) 
processa todas as atualizações de senha. 
• O mestre de operações RID (ID relativa) mantém o pool RID global para o 
domínio e aloca pools RID locais para todos os controladores de domínio para 
garantir que todas as entidades de segurança criadas no domínio tenham um 
identificador exclusivo. 
• O mestre de operações de infra-estrutura para um determinado domínio mantém 
uma lista das entidades de segurança de outros domínios membros dos grupos 
desse domínio. 
Além das três funções de mestre de operações em nível de domínio, existem 
duas funções de mestre de operações em cada floresta: 
• O mestre de operações de esquema controla as alterações feitas no esquema. 
• O mestre de operações de nomenclatura de domínio adiciona e remove domínios 
a outras partições de diretório (por exemplo, partições de aplicativos DNS) para 
a floresta e a partir dela. 
Os proprietários de função de mestre de operações são atribuídos 
automaticamente quando o primeiro controlador de um determinado domínio é 
criado. As duas funções em nível de floresta (mestre de esquema e mestre de 
nomenclatura de domínio) são atribuídas ao primeiro controlador de domínio 
criado em uma floresta. Além disso, as três funções em nível de domínio (mestre 
RID, mestre de infra-estrutura e emulador de PDC) são atribuídas ao primeiro 
controlador criado em um domínio. 
Essas atribuições automáticas de função de mestre de operações podem causar 
uma utilização muito alta de CPU no primeiro controlador de domínio criado na 
floresta ou no domínio. Para impedir isso, atribua (transfira) funções de mestre 
de operações a vários controladores de domínio de sua floresta ou domínio. 
Posicione os controladores de domínio que hospedam funções de mestre de 
operações em áreas onde a rede é confiável e onde os mestres de operações 
possam ser acessados por todos os outros controladores de domínio da floresta. 
Você também deve indicar mestres de operações de espera (alternativos) para 
todas as funções de mestre de operações. Os mestres de operações de espera são 
controladores de domínio para os quais você poderia transferir as funções de 
mestre de operações em caso de falha dos proprietários da função original. 
Verifique se os mestres de operações de esperasão parceiros de replicação 
diretos dos mestres de operações reais. 
O emulador de PDC processa alterações de senhas de cliente. Somente um 
controlador de domínio age como o emulador de PDC em cada domínio da 
floresta. 
Mesmo se todos os controladores de domínio forem atualizados para o 
Windows 2000, Windows Server 2003 e Windows Server 2008, e se o domínio 
80 
V 1.0 
estiver operando no nível funcional nativo do Windows 2000, o emulador de 
PDC receberá a replicação preferencial de alterações de senha executadas por 
outros controladores do domínio. Se uma senha foi alterada recentemente, essa 
mudança levará certo tempo para ser replicada a todos os controladores do 
domínio. Se a autenticação de logon falhar em outro controlador de domínio 
devido a um erro de senha, esse controlador de domínio encaminhará a 
solicitação de autenticação ao emulador de PDC antes de decidir se deve aceitar 
ou rejeitar a tentativa de logon. 
O mestre de infra-estrutura atualiza os nomes das entidades de segurança de 
outros domínios adicionados a grupos em seu próprio domínio. Por exemplo, se 
um usuário de um domínio for membro de um grupo de um segundo domínio e 
se o nome do usuário for alterado no primeiro domínio, o segundo não será 
notificado de que o nome do usuário deve ser atualizado na lista de associação 
do grupo. Como os controladores de domínio de um domínio não replicam 
entidades de segurança para controladores de domínio em outro domínio, o 
segundo domínio nunca ficará sabendo da alteração na ausência do mestre de 
infra-estrutura. 
O mestre de infra-estrutura monitora constantemente as associações de grupo, 
procurando por entidades de segurança de outros domínios. Se encontrar um, 
verifica junto ao domínio da entidade de segurança se suas informações estão 
atualizadas. Se as informações estiverem desatualizadas, o mestre de infra-
estrutura executará a atualização e replicará as alterações para outros 
controladores de seu domínio. 
Duas exceções se aplicam a essa regra. Primeiro, se todos os controladores de 
domínio forem servidores de catálogo global, o controlador de domínio que 
hospeda a função de mestre de infra-estrutura será desnecessário, já que os 
catálogos globais replicam as informações atualizadas, a despeito do domínio a 
qual pertencem. Segundo, se a floresta só tiver um domínio, o controlador de 
domínio que hospeda a função de mestre de infra-estrutura será desnecessário 
porque não existirão entidades de segurança de outros domínios. 
Não posicione o mestre de infra-estrutura em um controlador de domínio que 
também seja servidor de catálogo global. Se o mestre de infra-estrutura e o 
catálogo global estiverem no mesmo controlador de domínio, o mestre de infra-
estrutura não funcionará. O mestre de infra-estrutura nunca encontrará os dados 
desatualizados e, portanto, nunca replicará quaisquer alterações para os outros 
controladores do domínio. 
Definindo cada FSMO 
Inicialmente, vale mencionar que apenas servidores do tipo "Domain 
Controllers" (DC) podem ser configurados para hospedar uma das FSMO, já 
que estes servidores possuem uma cópia do tipo "Escrita" do Active Directory. 
As FSMO são divididas em 2 grupos: 
• Floresta: são regras que afetam toda uma floresta Windows 2000 ou 2003 e 
podem ser hospedadas por qualquer DC dentro da floresta. 
81 
V 1.0 
• Domínio: são regras que afetam apenas um domínio Windows 2000 ou 2003, e 
podem ser hospedadas por DCs dentro do domínio. 
Ao todo, temos cinco FSMO, duas que afetam a floresta como um todo e outras 
três que afetam um domínio, conforme explicação abaixo: 
• Floresta 
o Schema Master: O Schema é o coração do Active Directory. Ele é 
composto de objetos e atributos, que modelam o Active Directory. É 
através do Schema que dizemos, por exemplo, que o objeto do tipo 
"USUÁRIO" terá os atributos "NOME", "ENDEREÇO", 
"TELEFONE", etc. Como o esquema pode ser customizado e deve ser 
o mesmo em toda a floresta Windows, a regra "Schema Master" se 
encarrega de evitar conflitos entre os DCs. 
o Domain Naming Master: Se você adiciona um novo domínio em uma 
floresta (por exemplo, se você adiciona um domínio filho), o nome deste 
domínio deve ser único na floresta. É esta regra responsável por 
assegurar isto e evitar conflitos entre outros domínios. 
• Domínio 
o PDC Emulator: Como o nome já diz, uma das funções desta regra é 
"emular" um PDC NT 4.0 para manter a compatibilidade com servidores 
legados (por exemplo, BDCs NT 4.0) e clientes mais antigos. Mesmo 
que você migre todo seu ambiente para Windows 2000 ou 2003, esta 
regra ainda é importante, pois é responsável por tratar alterações de 
contas de usuários, "lockouts" de contas, relações de confianças com 
outros domínios e pelo sincronismo do relógio no domínio. 
o RID Master. Qualquer DC pode criar novos objetos (usuários, grupos, 
contas de computadores). Cada objeto deve possuir um identificador 
único, conhecido como SID. O SID do objeto é construído usando o SID 
do domínio, mais um ID relativo (RID). Porém, após criar 512 objetos, 
um DC precisa contatar o RID Master para conseguir mais 512 RIDs 
(atualmente, um DC contata o RID Master quando ele possui menos de 
100 RIDs disponíveis). Isto evita que dois objetos diferentes tenham o 
mesmo RID em todo o domínio. 
o Infrastructure Master. Esta regra é muitas vezes conhecida apenas 
como "cosmética", já que sua função é se assegurar que o "Display 
Name" de usuários pertencentes a um grupo sejam atualizados caso este 
atributo seja alterado. Ele é mais importante em ambientes que possuem 
vários domínios, pois vai assegurar que todos os grupos que um 
determinado usuário pertença irá refletir o "Display Name" correto. 
Assim, se você possui uma floresta com um único domínio, você terá cinco 
FSMO (duas das florestas, mais três do seu único domínio). Já uma floresta com 
dois domínios, você terá oito FSMO (duas da floresta, mais três por cada 
domínio). 
Existem inúmeros métodos de se verificar quais DCs hospedam as FSMO dentro 
da floresta ou domínio. Uma delas é simplesmente instalar o "Support Tools" a 
partir do diretório \Support\Tools do CD de instalação do Windows 2000 / 2003 
e digitar o comando "netdom query fsmo" em um prompt de comando: 
82 
V 1.0 
 
Problemas com FSMO 
Se uma das FSMO falhar, com certeza você terá problemas em seu ambiente. A 
tabela abaixo ajuda a identificar possíveis problemas que possam ocorrer: 
Sintoma 
Possível regra 
envolvida 
Explicação 
Usuários não 
conseguem fazer 
logon. 
PDC Emulator 
O relógio do sistema pode 
não estar sincronizado, o 
que faz a autenticação 
Kerberos falhar. 
Não é possível 
alterar senhas. 
PDC Emulator 
Alterações de senhas 
necessitam desta regra 
ativa. 
"Lockout" de contas 
não funciona. 
PDC Emulator 
Esta operação necessita do 
PDC Emulator ativo. 
Não é possível 
"elevar" o nível 
funcional de um 
domínio. 
PDC Emulator 
Esta regra precisa estar 
ativa para o processamento 
desta operação. 
Não é possível criar 
novos usuários ou 
grupos. 
RID Master 
RID pool precisa ser 
renovado, e para isto, é 
necessário contatar o RID 
Master. 
Problemas com 
membros de grupos 
universais. 
Infrastructure 
Master 
Esta regra é responsável por 
atualizar o "Display Name" 
dos membros de grupos. 
Não é possível 
adicionar um 
remover um 
domínio. 
Domain 
Naming Master 
Alterações deste porte 
necessitam desta regra. 
Não é possível 
promover ou 
despromover um 
DC 
Domain 
Naming Master 
Alterações deste porte 
necessitam desta regra. 
Não é possível 
modificar o schema. 
Schema Master 
Modificações no Schema 
devem ser controladas por 
esta regra. 
Não é possível 
"elevar" o nível 
funcional de uma 
floresta. 
Schema Master 
Esta regra precisa estar 
ativa para o processamento 
desta operação. 
 
Regras para configurações das FSMO 
83 
V 1.0 
DCs irão hospedá-las. Por padrão, quando você instala o primeiro DC da sua 
floresta (que neste caso é também o domínio raiz ou root), esteDC irá hospedar 
as cinco FSMO. Quando você instala o primeiro DC de qualquer outro domínio 
dentro de sua floresta, ele irá hospedar as três FSMO do domínio. Porém, 
dependendo da complexidade do seu ambiente, este comportamento padrão pode 
não ser o mais apropriado e você deve transferir algumas regras para máquinas 
diferentes para um melhor desempenho. As regras a seguir podem ser usadas na 
definição das FSMO: 
1 - PDC Emulator e RID Master devem estar na mesma máquina porque o 
PDC Emulator é um grande consumidor de RID´s 
Dica: Como o PDC Emulator é a regra mais utilizada num ambiente Windows, 
se a máquina que hospeda estas duas regras está com um alto nível de utilização, 
é necessário mover estas regras para um outro DC (de preferência que não seja 
um Global Catalog (GC), já que este também possui alta utilização) ou realizar 
um upgrade de hardware. 
2 - Infrastructure Master não deve estar em um DC que também é GC 
(Global Catalog) 
Dica: Certifique-se que o Infrastructure Master e o GC estejam em um mesmo 
site físico e que estes dois DCs sejam configurados como "Replication Partner", 
usando o "Active Directory Sites and Services". 
Exceção 1: se você possui apenas um domínio (Single Domain), você pode ter 
na mesma máquina o Infrastructure Master e o GC 
Exceção 2: se todos os DCs em sua floresta são também GC, você pode ter o 
Infrastructure Master junto com o GC. 
3 - Para um gerenciamento facilitado, Schema Master e Domain Naming 
Master podem estar na mesma máquina, que deve ser também um Global 
Catalog (GC). 
4 - De tempos em tempos, verifique se todas as FSMO estão disponíveis e 
funcionando corretamente 
 
 
▪ Movendo PDC Emulator e RID 
 
 
Para transferir o domínio mestre de nomeação 
 
84 
V 1.0 
1. .Abra Active Directory Domínios e confianças: No menu Iniciar, aponte para 
Ferramentas Administrativas e, em seguida, Active Directory Domínios e 
confianças. Se o Controle de Conta de Usuário caixa de diálogo, forneça as 
credenciais de Administradores de Empresa, se necessário, e em seguida, clique 
em Continuar. 
2. .Na árvore do console, clique com o Active Directory Domínios e relações de 
confiança e, em seguida, clique em Alterar controlador de domínio do Active 
Directory. 
3. .Verifique se o nome de domínio correto está inscrita no Procure neste domínio 
os controladores de domínio disponíveis neste domínio são listados. 
4. .Na coluna Nome, clique no controlador de domínio para o qual deseja transferir 
a função mestre de nomeação de domínio e clique em OK. 
5. .No topo da árvore de console, clique com o Active Directory Domínios e 
relações de confiança e, em seguida, clique em Mestre de Operações. 
6. 6.O nome do mestre de nomeação de domínio atual aparece na primeira caixa de 
texto. O controlador de domínio para o qual você deseja transferir a função 
mestre de nomeação de domínio deve aparecer na segunda caixa de texto. Se 
este não for o caso, repita os passos 1 a 4. 
7. Clique em Alterar. Para confirmar a transferência de função, clique em Sim. 
Clique em OK novamente para fechar a caixa de mensagem indicando que 
ocorreu a transferência. Clique em Fechar para fechar a caixa de diálogo Master 
Operations. 
 
Para transferir um domínio de nível superior função de mestre de operações 
 
1. .Abra Usuários e computadores do Active Directory: No menu Iniciar, aponte 
para Ferramentas Administrativas e, em seguida, Active Directory Usuários e 
computadores. Se o Controle de Conta de Usuário caixa de diálogo, forneça as 
credenciais Domain Admins, se necessário, e clique em Continuar. 
2. .No topo da árvore de console, botão direito do mouse Active Directory 
Usuários e computadores, e, em seguida, clique em Alterar controlador de 
domínio do Active Directory. 
3. .Verifique se o nome de domínio correto está inscrita no Procure neste domínio 
os controladores de domínio disponíveis neste domínio são listados. 
4. .Na coluna Nome, clique no nome do controlador de domínio para o qual deseja 
transferir a função e clique em OK. 
5. .No topo da árvore de console, botão direito do mouse Active Directory 
Usuários e computadores, clique em All Tasks e clique em Mestre de 
Operações.O nome do actual detentor da função mestre de operações aparece na 
caixa de mestre de operações. O nome do controlador de domínio para o qual 
deseja transferir a função aparece na caixa inferior. 
6. .Clique na guia para a função de mestre de operações que você deseja transferir: 
RID, PDC ou infra-estrutura. Verifique os nomes dos computadores que 
aparecem, em seguida, clique em Alterar. Clique em Sim para transferir a função 
e clique em OK. 
7. .Repita os passos 5 e 6 para cada papel que você deseja transferir. 
85 
V 1.0 
 
 
 
Para instalar o snap-in Esquema do Active Directory 
1. Clique em Iniciar, clique com o botão direito do mouse em Prompt de 
Comando e clique em Executar como administrador. 
Caso a caixa de diálogo Controle de Conta de Usuário apareça, confirme se a 
ação exibida é a desejada e clique em Continuar. 
2. No prompt de comando, digite o seguinte comando e pressione ENTER: 
regsvr32 schmmgmt.dll 
3. Clique em OK para fechar a caixa de diálogo que confirma se a operação foi 
bem-sucedida. 
4. Clique em Iniciar e em Executar, digite mmc e clique em OK. 
Caso a caixa de diálogo Controle de Conta de Usuário apareça, confirme se a 
ação exibida é a desejada e clique em Continuar. 
5. No menu Arquivo, clique em Adicionar ou Remover Snap-in. 
6. Em Snap-ins disponíveis, clique em Esquema do Active Directory, em 
Adicionar e em OK. 
7. Para salvar esse console, clique em Salvar, no menu Arquivo. 
8. Na caixa de diálogo Salvar como, siga um destes procedimentos: 
o Para colocar o snap-in no menu Ferramentas Administrativas, em 
Nome de arquivo, digite um nome para o snap-in e clique em Salvar. 
o Para salvar o snap-in em um local que não seja a pasta Ferramentas 
Administrativas, em Salvar em, navegue para onde deseja que snap-in 
seja salvo. Em Nome de Arquivo, digite um nome para o snap-in e 
clique em Salvar. 
Transferir o mestre de esquema 
 
1. Abra o Active Directory Schema snap-in. 
2. Na árvore do console, clique com o botão direito em Esquema do Active 
Directory e, em seguida, clique em Alterar controlador de domínio do Active 
Directory. 
3. Na caixa Alterar Directory Server diálogo, em Mudar para, clique em Este 
controlador de domínio ou AD LDS. 
4. Na lista de controladores de domínio, clique no nome do controlador de domínio 
para o qual deseja transferir a função mestre de esquema e, em seguida, clique 
em OK. 
86 
V 1.0 
5. Na árvore do console, clique com o Active Directory Schema e clique em 
Mestre de Operações. A mudança de esquema caixa Master exibe o nome do 
servidor que ocupa atualmente a função de mestre de esquema. O controlador de 
domínio alvo é listada na segunda caixa. 
6. Clique em Alterar. Clique em Sim para confirmar a sua escolha. O sistema 
confirma a operação. Clique em OK novamente para confirmar que a operação 
teve êxito. 
7. Clique em Fechar para fechar a mudança de esquema caixa de diálogo Master. 
 
Backup do AD 
O Backup do Windows Server é composto por um snap-in do MMC (Console de 
Gerenciamento Microsoft), ferramentas da linha de comando e cmdlets do Windows 
PowerShell que fornecem uma solução completa para as suas necessidades diárias 
de backup e recuperação. Você pode usar o Backup do Windows Server para fazer 
backup de um servidor completo (todos os volumes), os volumes selecionados, o 
estado do sistema ou arquivos ou pastas específicos—e criar um backup que você 
pode usar para recuperação bare metal. Você pode recuperar volumes, pastas, 
arquivos, certos aplicativos e o estado do sistema. E, no caso de desastres como 
falhas de disco rígido, você pode executar uma recuperação bare metal. (Para fazer 
isso, será necessário fazer um backup do servidor completo ou apenas dos volumes 
que contêm arquivos do sistema operacional, e do Ambiente de Recuperaçãodo 
Windows—isso restaurará seu sistema completo no antigo sistema ou em um novo 
disco rígido.) 
Você pode usar o Backup do Windows Server para criar e gerenciar backups para o 
computador local ou um computador remoto. E os backups podem ser agendados 
para execução automática. 
O Backup do Windows Server pode ser usado por qualquer pessoa que precise uma 
solução básica de backup, de pequenas a grandes empresas, mas serve também para 
organizações menores ou indivíduos que não são profissionais de TI. 
 
Considerações 
 
• Você deve ser um membro do grupo Administradores ou Operadores de Backup 
para usar o Backup do Windows Server. 
• Determinadas tarefas de backup ou recuperação devem ser realizadas com dois 
computadores executando a mesma versão do Windows Server 2008 ou do 
Windows Server 2008 R2, enquanto outras podem ser realizadas com 
computadores executando uma das versões. 
• Para executar uma recuperação do estado do sistema ou uma recuperação 
completa do sistema, você deve usar os backups da mesma versão do Windows 
que está recuperando. Por exemplo, você não pode usar um backup do Windows 
87 
V 1.0 
Server 2008 para recuperar um estado do sistema de um computador executando 
o Windows Server 2008 R2. 
• O firewall pode estar ativado. Se você estiver gerenciando os backups de outro 
computador usando o snap-in Backup do Windows Server, sua conectividade 
com o computador remoto poderá ser afetada e poderá ser resolvida através de 
alterações nas regras do firewall. Ao trabalhar no computador local, você não é 
afetado. 
• O Backup do Windows Server não suporta o backup de dados de ,ou o 
armazenamento de backups nos, Volumes compartilhados em cluster. (No 
entanto, você pode fazer o backup de máquinas virtuais usando o Backup do 
Windows Server dentro da máquina virtual. 
• Se você estiver usando um disco rígido virtual para armazenar backups, se o 
disco rígido virtual estiver em um disco físico que contenha volumes do sistema 
ou volumes críticos, talvez ocorram limitações do que você pode recuperar. 
Além disso, os arquivos do volume virtual serão excluídos do backup se os 
volumes virtuais estiverem online. 
• Se você for um usuário atual do recurso de backup anterior (Ntbackup.exe) e 
planeja mudar para o novo Backup do Windows Server, poderá ser afetado pelos 
seguintes problemas e alterações: 
o As configurações para criação de backups não serão atualizadas quando 
você atualizar para o Windows Server 2008. Você precisará redefinir as 
configurações. 
o Você não pode usar o Backup do Windows Server para fazer backup de 
arquivos e pastas em volumes que exijam mais de 2040 GB (ou 2 TB). 
No entanto, contanto que o tamanho dos dados seja menor que 2 TB, 
você pode realizar um backup de arquivos ou pastas. Por exemplo, você 
pode fazer backup de 1,5 TB de dados de um volume de 3 TB. Mas, uma 
recuperação completa do servidor ou do volume usando o backup 
recriará um volume de 2 TB em vez de um volume de 3 TB. 
o Só é possível realizar backup de volumes formatados em NTFS em um 
disco conectado localmente 
o Você não pode armazenar backups em fita. (Entretanto, o suporte a 
drivers de armazenamento em fita ainda está incluído no Windows 
Server 2008). O Backup do Windows Server oferece suporte ao backup 
em discos internos e externos, em mídia óptica e removível como DVDs 
e pastas compartilhadas remotas. 
o Não é possível recuperar backups que tenham sido criados com o 
Ntbackup.exe usando o Backup do Windows Server. Entretanto, uma 
versão do Ntbackup.exe está disponível como download do Windows 
Server 2008 para usuários que desejem recuperar dados de backups 
criados com o Ntbackup.exe. A versão que pode ser baixada do 
Ntbackup.exe é apenas para recuperação de backups para versões mais 
antigas do Windows e não pode ser usada para criar novos backups no 
Windows Server 2008 
 
▪ WBADMIN - ferramentas potente e mais opções 
 
88 
V 1.0 
Permite que você faça backup e restaurar o seu sistema operacional, volumes, 
arquivos, pastas e aplicações a partir de um prompt de comando.Para configurar um 
agendamento de backup, você deve ser um membro do grupo Administradores. Para 
executar todas as outras tarefas com este comando, você deve ser um membro dos 
Operadores de Backup ou do grupo Administradores, ou você deve ter recebido as 
permissões adequadas. 
Você deve executar wbadmin de um prompt de comando elevado. (Para abrir um 
prompt de comando elevado, clique em Iniciar, clique-direito em Prompt de 
Comando e clique em Executar como administrador.) 
 
 
Comando Descrição 
Wbadmin enable backup 
Executa uma recuperação dos volumes, aplicações, arquivos ou 
pastas especificadas. 
Wbadmin disable backup Desabilita os backups diários. 
Wbadmin start backup 
Executa um backup tempo. Se usado sem parâmetros, utiliza as 
definições da agenda diária de backup. 
Wbadmin stop job Pára o backup em execução ou operação de recuperação. 
Wbadmin get versions 
Lista detalhes de apoios reembolsáveis a partir do computador 
local ou, se outro local for especificado, a partir de outro 
computador. 
Wbadmin get items Lista os itens incluídos em um backup específico. 
Wbadmin start recovery 
Executa uma recuperação dos volumes, aplicações, arquivos ou 
pastas especificadas. 
Wbadmin get status 
Mostra o status do backup em execução ou operação de 
recuperação. 
Wbadmin get disks Lista de discos que estão actualmente online. 
Wbadmin start 
systemstaterecovery Executa uma recuperação do estado do sistema. 
Wbadmin start 
systemstatebackup Executa um backup de estado do sistema. 
Wbadmin delete 
systemstatebackup Exclui um ou mais backups de estado do sistema. 
Wbadmin start sysrecovery 
Executa uma recuperação do sistema completo (no mínimo 
todos os volumes que contêm o estado do sistema operacional). 
Só está disponível se você estiver usando o Windows Recovery 
Environment. 
Wbadmin restore catalog 
Recupera um catálogo de backup em um local de 
armazenamento especificado no caso em que o catálogo de 
backup do computador local foi corrompido. 
Wbadmin delete catalog 
Exclui o catálogo de backup no computador local. Use este 
subcomando apenas se o catálogo de backup no computador está 
danificado e você não tem backups armazenados em outro local 
que você pode usar para restaurar o catálogo. 
 
89 
V 1.0 
 
▪ NTDSUTIL - Super-utilitários para diversas operações 
 
Ntdsutil.exe é uma ferramenta de linha de comando que oferece recursos de 
gerenciamento do Active Directory. Você pode usar o Ntdsutil.exe para realizar a 
manutenção do banco de dados do Active Directory, gerenciar e controlar operações 
de mestre único, criar partições de diretório de aplicativo e remover metadados 
gerados por controladores de domínio que não puderam ser rebaixados com o uso do 
Assistente para Instalação do Active Directory (DCPromo.exe). 
 
 
▪ Backup de Estado do Sistema com WBADMIN 
 
No Windows Server 2008 R2, é possível utilizar o Assistente de Cópia de 
Segurança Agendada, o Assistente de Cópia de Segurança Única, o comando 
Wbadmin start systemstatebackup, o comando Wbadmin enable backup, ou os 
cmdlets do Windows PowerShell para que a Cópia de Segurança do Windows 
Server crie uma cópia de segurança do estado do sistema para um servidor. Uma 
cópia de segurança do estado do sistema só pode ser guardada num disco ligado 
localmente (interno ou externo) ou numa pasta partilhada remota. Não pode ser 
guardada num DVD, suporte de dados óptico ou outros suporte de dados amovíveis. 
Além disso, ao criar uma cópia de segurança do estado do sistema, também pode 
adicionar outros ficheiros, pastas e volumes para a recuperação. 
Este tópico cobre a utilização da Wbadmin start systemstatebackup para criar 
uma cópia de segurança única ou o estado do sistema e a Wbadmin enable backup 
para criar uma cópia de segurança agendada do estado do sistema. 
 
Para criar uma cópia de segurança do estado do sistema utilizando Wbadmin 
start systemstatebackup1. Para abrir uma linha de comandos com privilégios elevados, clique em Iniciar, 
clique com o botão direito do rato em Linha de Comandos e, em seguida, 
clique em Executar como administrador. 
2. Na prompt, escreva: 
wbadmin start systemstatebackup -backupTarget: [-quiet] 
Por exemplo, para criar uma cópia de segurança do sistema sem pedidos ao 
utilizador e guardá-la no volume F, escreva: 
90 
V 1.0 
wbadmin start systemstatebackup -backupTarget:F: -quiet 
Para visualizar a sintaxe completa deste comando, numa linha de comandos escreva: 
Wbadmin start systemstatebackup /? 
Para criar uma cópia de segurança do estado do sistema agendada utilizando 
Wbadmin enable backup 
1. Para abrir uma linha de comandos com privilégios elevados, clique em Iniciar, 
clique com o botão direito do rato em Linha de Comandos e, em seguida, 
clique em Executar como administrador. 
2. Na linha de comandos, escreva: 
wbadmin enable backup [-addtarget:] [-
removetarget:] [-schedule:] [-
include: [-nonRecurseInclude:] [-
exclude:] [-nonRecurseExclude:] [-
allCritical] [-systemState] [-vssFull | -vssCopy] [-user:] [-
password:] [-quiet] 
Por exemplo, para criar uma cópia de segurança do sistema, diariamente às 9:00, 
sem pedidos ao utilizador e guardá-la no volume F, escreva: 
wbadmin enable backup -addtarget:F: -schedule:09:00 -systemState -quiet 
Para ver a sintaxe completa deste comando, escreva numa linha de comandos: 
Wbadmin enable backup /? 
 
Para recuperar o estado do sistema utilizando uma linha de comandos 
1. Para abrir uma linha de comandos com privilégios elevados, clique em Iniciar, 
clique com o botão direito do rato em Linha de Comandos e, em seguida, 
clique em Executar como administrador. 
2. Na prompt, escreva: 
wbadmin start systemstate recovery -version: -
showsummary [-backupTarget:{ | 
}] [-machine:] [-
recoveryTarget:] [-authsysvol] [-autoReboot] [-
quiet] 
Por exemplo, para executar uma recuperação do estado do sistema da cópia de 
segurança de 30/04/2005 às 9:00 armazenada na pasta partilhada remota 
\\servername\share for server01, escreva: 
91 
V 1.0 
wbadmin start systemstaterecovery -version:04/30/2005-09:00 -
backupTarget:\\servername\share -machine:server01 
Para recuperar o sistema operacional ou o servidor completo usando um 
backup criado anteriormente e o disco de Instalação do Windows 
1. Insira o disco de Instalação do Windows que tem a mesma arquitetura do 
sistema que você está tentando recuperar na unidade de CD ou DVD e inicie ou 
reinicie o computador. Se preciso, pressione a tecla necessária para inicializar do 
disco. O Assistente para Instalar o Windows deve ser exibido. 
2. Em Instalar o Windows, especifique as configurações de idioma e clique em 
Avançar. 
3. Clique em Reparar o computador. 
4. A instalação procura nas unidades de disco rígido uma instalação existente do 
Windows e, em seguida, exibe os resultados em Opções de Recuperação do 
Sistema. Se estiver fazendo a recuperação do sistema operacional em um 
hardware separado, a lista deve estar vazia (não deve haver um sistema 
operacional no computador). Clique em Avançar. 
5. Na página Opções de Recuperação do Sistema, clique em Recuperação da 
Imagem do Sistema. Isso abre a página Fazer nova imagem do computador. 
6. Execute um destes procedimentos e clique em Avançar: 
o Clique em Usar a imagem de sistema disponível mais recente 
(recomendado). 
o Clique em Restaurar um backup diferente e execute um destes 
procedimentos: 
� Na página Selecione o local da imagem do sistema, clique no 
computador que contém o backup que deseja usar e clique em 
Avançar. 
Importante 
Se o local de armazenamento contiver backups de vários computadores, certifique-
se de clicar na linha dos backups do computador que você deseja usar. 
� Na página Selecione a imagem do sistema a ser restaurada, 
clique no backup que deseja usar e clique em Avançar. 
� Clique em Avançado para procurar um backup em uma pasta 
compartilhada remota na rede e forneça o caminho UNC 
(Convenção de nomenclatura universal) para o backup, ou se o 
seu backup estiver em um dispositivo, para instalar um driver de 
dispositivo. (Para instalar uma unidade, o driver precisa estar 
presente no sistema local. Você não pode instalar um driver a 
partir da rede e, em vez disso, precisa fornecer um caminho local 
até o arquivo .inf para instalar um driver.) Clique em Avançar. 
Importante 
Se você usar um domínio no seu ambiente e o local de armazenamento do backup 
estiver em um computador membro desse domínio, o computador que contém o 
local de armazenamento deverá estar no limite de IPsec para ser acessível por 
92 
V 1.0 
computadores que não estão no domínio. Quando um computador inicializa no 
Ambiente de Recuperação do Windows, ele se torna um computador que não faz 
parte do domínio e não pode acessar os compartilhamentos de rede normais. Apenas 
os computadores que permitem o acesso do compartilhamento pelos computadores 
que não são do domínio podem ser usados como um local de armazenamento de 
backup dessa forma. 
Você também pode resolver esse problema adicionando o computador que serve de 
local de armazenamento para o seu backup a um grupo de trabalho e colocando o 
backup em uma pasta compartilhada. Um computador executando o Ambiente de 
Recuperação do Windows se comporta como se estivesse em um grupo de trabalho, 
permitindo que você acesse a pasta compartilhada com o backup. 
7. Na página Escolher opções de restauração adicionais, realize as tarefas 
adicionais a seguir e clique em Avançar: 
o Marque a caixa de seleção Formatar e reparticionar discos para excluir 
as partições existentes e reformatar os discos de destino para serem 
idênticos ao backup. Isso habilita o botão Excluir discos. Clique nesse 
botão e marque as caixas de seleção associadas aos discos que você 
deseja excluir da formatação e do particionamento. O disco que contém o 
backup que você está usando é excluído automaticamente. 
Observação 
A menos que um disco seja excluído, os dados podem ser perdidos, mesmo que faça 
parte do backup ou que tenha volumes que estejam sendo restaurados. 
Você não deve excluir o disco de inicialização—o primeiro disco na ordem de 
inicialização do BIOS. (Esse disco é normalmente conhecido como Disco 0, mas em 
algumas condições, o Diskmgmt.msc e o Diskpart.exe podem rotulá-lo com algum 
outro nome, por exemplo, Disco 1/2.) Se o disco de inicialização (Disco 0) for 
excluído o Windows tentará fazer a recuperação no Disco 1 do BIOS. Mas após a 
recuperação, o sistema não iniciará e poderá falhar apresentando um erro de 
ausência do Bootmgr. O BIOS sempre usará o primeiro disco na ordem de 
inicialização para procurar este arquivo e, se ele estiver ausente, o computador não 
iniciará. 
Em Excluir discos, caso você não veja todos os discos conectados ao computador, 
talvez seja necessário instalar os drivers associados ao dispositivo de 
armazenamento. 
o Marque a caixa de seleção Restaurar apenas unidades de sistema para 
fazer a recuperação somente do sistema operacional. 
o Clique em Instalar drivers para instalar drivers de dispositivo para o 
hardware no qual está fazendo a recuperação. 
o Clique em Avançado para especificar se o computador deve ser 
reiniciado automaticamente e se os discos devem ser verificados quanto 
a erros imediatamente após a recuperação. 
8. Confirme os detalhes da restauração e clique em Concluir. A recuperação terá 
êxito contanto que todos os volumes críticos (volumes que contêm os 
93 
V 1.0 
componentes do sistema operacional) sejam recuperados. Se qualquer volume de 
dados não puder ser recuperado, o Windows mostrará um prompt com volumes 
não recuperados no final da operação derecuperação (por exemplo, volumes em 
discos rígidos virtuais e discos iSCSI [Internet SCSI] ). 
Restaurando o AD 
 
Executando uma restauração não autoritativa do AD DS 
Use um dos seguintes métodos para iniciar o controlador de domínio no DSRM. Se 
você usar a ferramenta de linha de comando Bcdedit.exe para fazer o servidor 
reiniciar em DSRM, use o Bcdedit.exe para reiniciar o servidor normalmente depois 
de concluir a operação de recuperação. Membros do grupo Operadores de Backup 
talvez não possam usar a ferramenta de linha de comando Bcdedit.exe para fazer o 
servidor reiniciar em DSRM. 
1. Reinicie o controlador de domínio. 
2. Alguns computadores podem exigir que você os desligue, em vez de reiniciá-los, 
e então poder ver a opção de iniciar o controlador de domínio em DSRM. 
3. Depois de exibido o menu de opções de reinicialização, pressione F8 para iniciar 
o controlador de domínio no DSRM. 
4. Quando for exibido o menu de opções de recuperação, selecione a opção de 
DSRM.- ou - 
5. Clique em Iniciar, clique em Prompt de Comando e clique em Executar como 
administrador. 
6. Digite o comando a seguir e pressione ENTER: bcdedit /set safeboot dsrepair 
7. Digite o comando a seguir e pressione ENTER: shutdown -t 0 -r 
8. Para reiniciar o servidor normalmente após a execução da operação de 
restauração, digite o seguinte comando e pressione ENTER: bcdedit 
/deletevalue safeboot Digite o comando a seguir e pressione ENTER: 
shutdown -t 0 -r 
Use o seguinte procedimento para recuperar o AD DS. Depois de feita e concluída a 
replicação, o AD DS é recuperado no controlador de domínio. 
Credenciais administrativas 
Faça logon no controlador de domínio que está sendo recuperado, usando a senha de 
DSRM, local ou remotamente. Você especifica a senha de DSRM durante a 
instalação do AD DS. 
Para executar uma restauração não-autoritativa de AD DS 
1. Na tela de logon do Windows, clique em Alternar Usuário e clique em Outro 
Usuário. 
2. Digite .\administrator como o nome de usuário e digite a senha de DSRM do 
servidor; em seguida, pressione ENTER. 
94 
V 1.0 
3. Clique em Iniciar, clique com o botão direito do mouse em Prompt de 
Comando e clique em Executar como Administrador. 
4. No prompt de comando, digite o seguinte comando e pressione ENTER: 
wbadmin get versions -backuptarget:: -
machine: 
Onde 
o : é o local do backup que você quer restaurar. 
o é o nome do computador no qual você deseja 
recuperar o backup. Esse parâmetro será útil se você tiver feito backup 
de vários computadores no mesmo local ou se tiver renomeado o 
computador depois de feito o backup. 
5. Identifique a versão que deseja restaurar. 
Você deve inserir exatamente essa versão na próxima etapa. 
6. No prompt Sources, digite o seguinte comando e pressione ENTER: 
wbadmin start systemstaterecovery -version: -
backuptarget:: -machine: -quiet 
Onde: 
o é a versão do backup a ser restaurado. 
o : é o volume que contém o backup. 
o é o nome do computador em que você deseja 
recuperar o backup. Esse parâmetro será útil se você tiver feito backup 
de vários computadores no mesmo local ou se tiver renomeado o 
computador depois de feito o backup. 
Se não especificar o parâmetro -quiet, você será solicitado a pressionar Y para dar 
prosseguimento ao processo de restauração e a pressionar Y para confirmar que o 
mecanismo de replicação do SYSVOL não foi alterado desde a criação do backup. 
Depois de concluída a operação de recuperação, reinicie o servidor. Por padrão, o 
contexto de segurança de logon é para a conta do administrador do DSRM, quando 
você tenta fazer logon no servidor depois de reiniciá-lo. Clique em Alternar 
Usuário para fazer logon com uma conta de domínio. 
Para executar uma restauração autoritativa de objetos do Active Directory, execute 
primeiro uma restauração não-autoritativa, conforme descrito em Executando uma 
restauração não autoritativa do AD DS. Entretanto, não reinicie o controlador de 
domínio normalmente após a realização do procedimento de restauração não-
autoritativa. Em vez disso, use o comando ntdsutil authoritative restore para 
marcar um objeto ou os objetos como autoritativos. Em seguida, reinicie o 
controlador de domínio normalmente e execute as tarefas adicionais, conforme o 
necessário. 
95 
V 1.0 
 
Você pode executar uma restauração autoritativa, usando o comando ntdsutil 
imediatamente depois de executar a restauração não autoritativa, enquanto o 
servidor ainda está na execução no DSRM. Faça o seguinte: 
1. No prompt de comando, digite ntdsutil e pressione Enter. 
2. No prompt ntdsutil, escreva authoritative restore e pressione Enter. 
3. Na restauração autoritativa de comandos, escreva restore subtree, 
 onde é o nome distinto do objeto que você deseja restaurar (por exemplo, ou = 
legal, dc = examcram, dc = com). 
4. Clique em Sim na caixa de mensagem que pergunta se você tem certeza que quer 
executar a restauração autoritativa. 
5. Quando a restauração autoritativa é concluída, você deverá ver a mensagem 
Authoritative restore concluída com êxito. Digite quit para sair da restauração 
autoritativa de comandos e digite quit para sair do Ntdsutil. 
6. Reinicie o servidor no modo normal. A replicação AD DS propaga a objetos 
restaurados para outros controladores de domínio. 
 
▪ Os dois tipos de restaurações 
 
▪ Autoritativa e não Autoritaticva 
 
Restauração não Autoritaticva 
Para realizar uma restauração não-autoritativa de AD DS, você precisa de pelo 
menos um backup de volume crítico. Um backup de volume crítico inclui todos os 
volumes relatados pelos Gravadores do Sistema. Caso não tenha um backup de 
volume crítico, você pode usar um backup de servidor completo para a recuperação 
não-autoritativa. Um backup de servidor completo geralmente é maior que um 
backup de volume crítico. A restauração de um backup de servidor completo não só 
reverte os dados do AD DS para o momento do backup, mas também reverte todos 
os dados de outros volumes. Não é necessário reverter esses dados adicionais para 
obter a restauração não-autoritativa de AD DS. 
Requisitos para a realização de restauração não-autoritativa de AD DS 
96 
V 1.0 
Para fazer uma restauração não-autoritativa, inicie o controlador de domínio no 
DSRM. Quando o controlador de domínio for iniciado no DSRM, forneça a senha 
de DSRM. 
Observação 
Forneça a conta de administrador local e a senha de DSRM quando iniciar no 
DSRM, conforme descrito nas etapas a seguir. Se não houver outro controlador de 
domínio disponível, faça logon em um controlador de domínio iniciado em DSRM, 
usando credenciais de uma conta de usuário de domínio. Contudo, a conta e a senha 
de DSRM são exigidas para restaurar o controlador de domínio. 
Caso não possa iniciar o servidor, faça uma recuperação de servidor completo, em 
vez de uma restauração do estado do sistema. 
Use um dos seguintes métodos para iniciar o controlador de domínio no DSRM. Se 
você usar a ferramenta de linha de comando Bcdedit.exe para fazer o servidor 
reiniciar em DSRM, use o Bcdedit.exe para reiniciar o servidor normalmente depois 
de concluir a operação de recuperação. Membros do grupo Operadores de Backup 
talvez não possam usar a ferramenta de linha de comando Bcdedit.exe para fazer o 
servidor reiniciar em DSRM. 
1. Reinicie o controlador de domínio. 
Alguns computadores podem exigir que você os desligue, em vez de reiniciá-los, e 
então poder ver a opção de iniciar o controlador de domínio em DSRM. 
2. Depois de exibido o menu de opções de reinicialização, pressione F8 para iniciar 
o controlador de domínio no DSRM. 
3. Quando for exibido o menu de opções de recuperação, selecione a opção de 
DSRM. 
 
- ou - 
4. Clique em Iniciar, clique em Prompt de Comando e clique em Executar como 
administrador. 
5. Digite o comandoa seguir e pressione ENTER: 
bcdedit /set safeboot dsrepair 
6. Digite o comando a seguir e pressione ENTER: 
shutdown -t 0 -r 
7. Para reiniciar o servidor normalmente após a execução da operação de 
restauração, digite o seguinte comando e pressione ENTER: 
bcdedit /deletevalue safeboot 
Digite o comando a seguir e pressione ENTER: 
97 
V 1.0 
shutdown -t 0 -r 
Use o seguinte procedimento para recuperar o AD DS. Depois de feita e concluída a 
replicação, o AD DS é recuperado no controlador de domínio. 
Credenciais administrativas 
Faça logon no controlador de domínio que está sendo recuperado, usando a senha de 
DSRM, local ou remotamente. Você especifica a senha de DSRM durante a 
instalação do AD DS. 
Para executar uma restauração não-autoritativa de AD DS 
1. Na tela de logon do Windows, clique em Alternar Usuário e clique em Outro 
Usuário. 
2. Digite .\administrator como o nome de usuário e digite a senha de DSRM do 
servidor; em seguida, pressione ENTER. 
3. Clique em Iniciar, clique com o botão direito do mouse em Prompt de 
Comando e clique em Executar como Administrador. 
4. No prompt de comando, digite o seguinte comando e pressione ENTER: 
wbadmin get versions -backuptarget:: -
machine: 
Onde 
o : é o local do backup que você quer restaurar. 
o é o nome do computador no qual você deseja 
recuperar o backup. Esse parâmetro será útil se você tiver feito backup 
de vários computadores no mesmo local ou se tiver renomeado o 
computador depois de feito o backup. 
5. Identifique a versão que deseja restaurar. 
Você deve inserir exatamente essa versão na próxima etapa. 
6. No prompt Sources, digite o seguinte comando e pressione ENTER: 
wbadmin start systemstaterecovery -version: -
backuptarget:: -machine: -quiet 
Onde: 
o é a versão do backup a ser restaurado. 
o : é o volume que contém o backup. 
o é o nome do computador em que você deseja 
recuperar o backup. Esse parâmetro será útil se você tiver feito backup 
de vários computadores no mesmo local ou se tiver renomeado o 
computador depois de feito o backup. 
98 
V 1.0 
Se não especificar o parâmetro -quiet, você será solicitado a pressionar Y para dar 
prosseguimento ao processo de restauração e a pressionar Y para confirmar que o 
mecanismo de replicação do SYSVOL não foi alterado desde a criação do backup. 
Depois de concluída a operação de recuperação, reinicie o servidor. Por padrão, o 
contexto de segurança de logon é para a conta do administrador do DSRM, quando 
você tenta fazer logon no servidor depois de reiniciá-lo. Clique em Alternar 
Usuário para fazer logon com uma conta de domínio. 
Considerações adicionais 
Esteja atento às seguintes questões quando executar uma restauração não-
autoritativa de AD DS: 
• Quando você usa as opções de recuperação do sistema para restaurar um 
controlador de domínio do Windows Server 2008 em um ambiente com 
replicação DFS (Sistema de Arquivos Distribuídos) implementada, a 
recuperação do SYSVOL é, por padrão, realizada de maneira não-autoritativa. 
Para realizar uma restauração autoritativa de SYSVOL, inclua a opção -
authsysvol no comando de recuperação, conforme mostrado neste exemplo: 
 
wbadmin start systemstaterecovery -authsysvol 
• Se você usar FRS, a operação de restauração definirá as chaves do Registro 
BURFLAGS para FRS, o que afetará todas as configurações de réplicas feitas 
pelo FRS. 
• O Wbadmin.exe não exige que você forneça o destino da recuperação. Ao 
especificar a versão de backup que você quer recuperar, o comando prosseguirá 
com a recuperação no local de origem da versão de backup especificada. 
• Os arquivos de backup são nomeados com a data e a hora do backup. Na 
recuperação, a versão deve ser colocada no formato MM/DD/AAAA-HH:MM, 
que especifica o nome do backup a ser recuperado. 
• Depois de concluída a restauração, reinicie o servidor normalmente e faça a 
verificação básica. Ao reiniciar o computador normalmente, o AD DS e os 
Serviços de Certificados do Active Directory detectarão automaticamente que 
foram recuperados de um backup. Eles executam uma verificação de integridade 
e indexam o banco de dados novamente. 
• Depois de fazer logon no sistema, procure o AD DS e verifique se as seguintes 
condições foram cumpridas: 
o Estão restaurados todos os objetos de usuário e objetos de grupo que 
estavam presentes no diretório, no momento do backup. 
Observação 
A replicação do Active Directory atualiza os objetos que você restaura, aplicando as 
alterações feitas nos objetos desde o momento em que o backup foi feito. 
o Estão presentes os arquivos que eram membros de um conjunto de 
réplicas do Serviço de Replicação de Arquivos (FRS) e os certificados 
que foram emitidos pelos Serviços de Certificados do Active Directory. 
o O serviço de tempo do Windows está corretamente sincronizado. 
99 
V 1.0 
o As pastas NETLOGON e SYSVOL estão adequadamente 
compartilhadas. 
o O endereço de servidor DNS preferencial está configurado corretamente. 
 
 
Restauração Autoritativa 
Para executar uma restauração autoritativa de objetos do Active Directory, execute 
primeiro uma restauração não-autoritativa, conforme descrito em Executando uma 
restauração não autoritativa do AD DS. Entretanto, não reinicie o controlador de 
domínio normalmente após a realização do procedimento de restauração não-
autoritativa. Em vez disso, use o comando ntdsutil authoritative restore para 
marcar um objeto ou os objetos como autoritativos. Em seguida, reinicie o 
controlador de domínio normalmente e execute as tarefas adicionais, conforme o 
necessário. 
Requisitos para execução de restauração autoritativa 
A restauração autoritativa de AD DS tem os seguintes requisitos: 
• É preciso concluir uma restauração não-autoritativa antes de tentar a restauração 
autoritativa, e é preciso garantir que não ocorrerá nenhuma replicação após a 
restauração não-autoritativa. 
• Quando o controlador de domínio for iniciado no DSRM, forneça a senha de 
DSRM. 
Para garantir que nenhuma replicação ocorrerá após a restauração não-autoritativa, e 
para executar a parte de restauração autoritativa da operação, reinicie o controlador 
de domínio no DSRM. Execute a restauração autoritativa no controlador de domínio 
que está restaurando; quando você reiniciar o controlador de domínio, pressione F8 
para iniciar o DSRM. Se não tiver certeza de que pode reiniciar em DSRM, 
desconecte o cabo de rede antes de fazer a reinicialização. 
Para marcar um objeto como autirutativo 
 
1.Em DSRM, clique em Start, Run, digite ntdsutil e pressione ENTER. 
2.No Prompt do ntdsutil escreva authoritative restore, e pressione ENTER. 
3.Para restaurar um objeto de subárvore ou individuais, digite um dos seguintes 
comandos, conforme o caso, e, em seguida, pressione ENTER: 
 
100 
V 1.0 
Para restaurar uma subárvore (por exemplo, uma unidade organizacional (UO) e 
todos os objetos filho): 
 
restore subtree 
 
Para restaurar um único objeto: 
restore object 
 
Onde é o nome distinto da subárvore ou objeto que está a ser 
marcado com autoridade. 
4.Clique em Yes na caixa de mensagem para confirmar o comando. 
Por exemplo, se você deseja restaurar um excluído OU nomeado Marketing 
Northam no domínio corp.contoso.com, digite: 
restore subtree “OU=Marketing NorthAm,DC=corp,DC=contoso,DC=com” 
(Sempre coloque o nome distinto entre aspas, quando existe um espaço ou outros 
caracteres especiais no nome distinto.) 
Ntdsutil para marcar o objeto como autoritário. A mensagem de saída indica o status 
da operação. A causa mais comum de falha é um nome distinto especificado 
incorretamente ou uma cópia de segurança para que o nome distinto não existe. (Isso 
ocorre se você tentar restaurar um objeto excluído queclique em imagem de permitir a instalação no modo 
autônomo, clique em Selecionar arquivo, procure e selecione o arquivo 
autônomo e clique em OK duas vezes. O arquivo Unattend XML será 
salvo no seguinte local: 
\RemoteInstall\Images\ \ 
\Unattend\ImageUnattend.xml. 
 
Criando uma transmissão multicast 
Transmissões multicast permitem implantar uma imagem de um grande número de 
computadores cliente sem sobrecarregar a rede. Quando você criar uma transmissão 
multicast, a imagem é enviada pela rede apenas uma vez, que pode reduzir 
drasticamente a quantidade de largura de banda de rede que é usada. Observe que os 
dados são transferidos somente se os clientes solicitam dados. 
Se nenhum cliente estiver conectado (ou seja, se a transmissão está ociosa), dados não 
serão enviados pela rede. 
Pré-requisitos para criar uma transmissão multicast 
9 
V 1.0 
• Roteadores que oferecem suporte a multicast. Em particular, o protocolo de 
associação de grupo de Internet (IGMP) snooping deve ser ativado em todos os 
dispositivos. Isso fará com que o hardware de rede encaminhar pacotes de 
difusão seletiva, apenas para aqueles dispositivos que estão solicitando dados. 
Se IGMP snooping é desligado, pacotes de difusão seletiva são tratados como 
pacotes de difusão e serão enviados para todos os dispositivos na sub-rede. 
• Instalar pelo menos uma imagem que você deseja transmitir no servidor. 
• O arquivo boot wim da versão mais recente do Windows Server (Windows 
Server 2012). 
Passos para criar uma transmissão multicast 
Para habilitar o multicast para uma imagem, você deve criar uma transmissão multicast 
para ele. Você tem duas opções para criar uma transmissão: 
• Botão direito do mouse o nó de Transmissão Multicast e clique em Criar 
transmissão de Multicast. 
• Botão direito do mouse uma imagem e clique em Criar transmissão de 
Multicast. 
Existem dois tipos de transmissões multicast: 
• Multicast automático. Esta opção indica que, tão logo um cliente aplicável 
solicita uma imagem de instalação, uma transmissão multicast da imagem 
selecionada começa. Então, como outros clientes solicitam a mesma imagem, 
eles também são Unidos à transmissão que já começou. 
• Multicast programado. Esta opção define os critérios de início de transmissão 
baseado no número de clientes que estão solicitando uma imagem e/ou um dia 
específico e tempo. Se você não selecionar qualquer uma destas caixas de 
seleção, a transmissão não será iniciado até que você inicie-o manualmente. 
Etapas para configurar as transmissões 
Após uma transmissão ter sido criada, você pode executar as seguintes ações: 
• Iniciar a transmissão. Se a transmissão é do tipo multicast programado, há pelo 
menos um cliente, e a transmissão não começou ainda, você pode botão direito 
do mouse a transmissão e, em seguida, clique em Iniciar. 
• Excluir a transmissão. Se você clique direito a transmissão e clique em 
excluir, pára a transmissão multicast e cada instalação de cliente se voltará a 
usar transmissão unicast. Ou seja, as instalações de cliente não serão excluídas 
ou parou, mas eles não vão usar a transmissão multicast para concluir a 
instalação. 
• Desativar a transmissão. Se você clique com botão direito e, em seguida, 
clique em desativar, cada cliente que está instalando no momento continuará, 
10 
V 1.0 
mas nenhum cliente novo será juntado à transmissão. Após cada instalação de 
cliente atual, a transmissão será excluída. Se não houver nenhum cliente quando 
você clicar nesta opção, a transmissão será excluída imediatamente. 
• Visualizar as propriedades da transmissão. Para exibir as propriedades, botão 
direito do mouse a transmissão e clique em Propriedades. Observe que você 
não pode editar as propriedades de uma transmissão após sua criação. Para fazer 
uma alteração, depois de ter criado uma transmissão, você precisa excluí-lo e, 
em seguida, recriá-lo. 
• Atualizar os dados e as transmissões. Para fazer isso, clique uma transmissão 
e, em seguida, clique em Atualizar. Você também pode atualizar os dados 
pressionando F5. 
Etapas para configurar os clientes em uma transmissão 
Depois de criar a transmissão, computadores cliente podem juntá-lo selecionando a 
imagem nas telas de instalação do cliente de serviços de implantação do Windows. 
Computadores cliente também podem participar de uma transmissão por meio de 
Wdsmcast.exe, uma ferramenta de linha de comando incluída no Windows Assessment 
e Deployment Kit (ADK). Você vai encontrar a ferramenta de linha de comando do 
C:\Program Files (x86) \Windows Kits\8.0\Assessment e Tools\x86\wdsmcast de 
Kit\Deployment de implantação pasta. 
Quando há clientes em uma transmissão, você pode fazer o seguinte: 
• Ver os clientes e ver o progresso. Para exibir todos os clientes conectados, 
expanda o nó Transmissões Multicast e clique na imagem. 
• Parar uma instalação de cliente. Para interromper a instalação completamente, 
botão direito do mouse um cliente e, em seguida, clique em Desconectar. Você 
deve usar essa opção com cautela, porque a instalação falhará e o computador 
poderia ser deixado em um estado inutilizável. 
• Desconectar um cliente de uma transmissão multicast. Para interromper a 
transmissão para um determinado cliente, mas continuar a transferir a imagem 
via unicast, botão direito do mouse o cliente e, em seguida, clique em Ignorar 
multicast. 
Para criar uma transmissão multicast com Autocast, use o seguinte comando: 
WDSUTIL /New-MulticastTransmission /Image: 
/FriendlyName:/ImageType:Install /ImageGroup: 
/TransmissionType:AutoCast 
Para criar uma transmissão de Multicast Programado, use o seguinte comando: 
WDSUTIL /New-MulticastTransmission /Image: 
/FriendlyName:/ImageType:Install /ImageGroup: 
11 
V 1.0 
/TransmissionType:ScheduledCast [/Time:][/Clients:] 
 
12 
V 1.0 
 
2: Configuração e solução de problemas do DNS 
 
Configurar um servidor Domain Name System (DNS) 
 
O sistema de nome de domínio (DNS) é um sistema que nomeia computadores e 
serviços de rede e é organizado em uma hierarquia de domínios. As redes TCP/IP, como 
a Internet, usam DNS para localizar computadores e serviços através de nomes 
amigáveis. 
Para facilitar o uso dos recursos da rede, sistemas de nomes como o DNS oferecem uma 
forma de mapear o nome amigável de um computador ou serviço para outras 
informações associadas a esse nome, como seu endereço IP. Um nome amigável é mais 
facilmente aprendido e lembrado do que endereços numéricos que os computadores 
usam para comunicar-se em rede. Muitas pessoas preferem usar um nome amigável — 
por exemplo, vendas.fabrikam.com — para localizar um servidor de email ou servidor 
Web em uma rede, no lugar do endereço IP, por exemplo, 157.60.0.1. Quando um 
usuário insere um nome DNS amigável em um aplicativo, os serviços DNS resolvem o 
nome em relação ao seu endereço numérico. 
 
 
O que um servidor DNS faz? 
Um servidor DNS oferece resolução de nome para redes baseadas em TCP/IP. Ou seja, 
possibilita que usuários de computadores clientes usem nomes, em vez de endereços IP 
numéricos, para identificar hosts remotos. Um computador cliente envia o nome de um 
host remoto a um servidor DNS, que responde com o endereço IP correspondente. O 
computador cliente pode, então, enviar mensagens diretamente ao endereço IP do host 
remoto. Se o servidor DNS não tiver uma entrada em seu banco de dados para o host 
remoto, pode responder ao cliente com o endereço de um servidor DNS que mais 
provavelmente tem informações sobre esse host remoto, ou consultar outro servidor 
DNS. Esse processo pode ocorrer recursivamente até que cada computador cliente 
receba o endereço IP ou é definido que o nome consultado não pertence a um host nesse 
namespace DNS específico. 
13 
V 1.0 
Como funciona a consulta DNS 
 
 
Uma consultafoi criado após o backup). 
A saída de exemplo a seguir mostra que Ntdsutil criado um arquivo de texto (txt.) E 
um LDAP Data Interchange Format (LDIF) (. Ldf) quando 
 
5. Tome nota da localização do txt. And. Ldf, se houver. Recomendamos que você 
use o arquivo ldf. para restaurar back-links neste domínio, mesmo se forem 
restaurados os objetos são membros de grupos que foram criados antes da replicação 
de valor vinculado (LVR) estava em vigor. No entanto, em todos os casos em 
qualquer um dos objetos restaurados listados no arquivo. Txt tem participações em 
grupos em um domínio diferente, você deve usar o TXT. Gerar um arquivo ldf. 
Ficheiro para restaurar back-links nesses domínios. Se você tiver outros domínios 
em que você deseja restaurar back-links para este objeto restaurado, faça uma cópia 
deste. Txt para usar em um controlador de domínio em cada domínio adicional. 
 
101 
V 1.0 
No authoritative restore, e ntdsutil: digite quit e pressione ENTER. 
 
Reinicie o controlador de domínio no modo normal de funcionamento. 
 
 
 
102 
V 1.0 
4: Gerenciamento de contas de serviço e de usuário 
 
▪ Criação de uma Unidade Organizacional 
 
Criando OUs é semelhante à criação de outros tipos de objeto no Active Directory. 
Basta um clique-direito de domínio ou outro recipiente onde você deseja criar um UO, e 
escolha New, Organizational Unit. No Novo objeto - Unidade Organizacional caixa de 
diálogo, digite um nome para a unidade organizacional e, em seguida, clique em OK. 
Você também pode usar a ferramenta de linha de comando dsadd. Você pode criar 
novas unidades organizacionais no domínio ou qualquer outro que você já UO criadas, 
gerando assim uma estrutura hierárquica. A seguir, são vários critérios que você pode 
querer usar a concepção de uma hierarquia UO: 
 
Organogramas. Corporativo - Criar uma hierarquia de UO que espelha estrutura 
organizacional da empresa, incluindo os departamentos, secções, secções, unidades 
trabalho, e assim por diante. Essa hierarquia facilita a administração da rede, incluindo a 
atribuição de permissões, políticas de grupo, e assim por diante. 
 
. Controle administrativo - Criar uma hierarquia de UO que lhe permite atribuir júnior 
administradores a capacidade de efectuar acções em determinadas partes do domínio 
apenas. Delegação de controle administrativo é discutido mais adiante neste capítulo. 
 
. Layout Geográficos - Criar uma UO que espelha a hierarquia geográfica arranjo de 
suas operações da empresa. Isto pode incluir vários reflectindo níveis países, estados ou 
províncias, ou municípios ou cidades. Este permite a concepção de políticas específicas 
de localização ou ações administrativas. 
 
▪ Criação de Contas de Usuário 
 
Contas de usuário permitem que os utilizadores façam o logon em computadores e 
domínios. Contas de usuário incorporam informações específicas pertinentes para um 
usuário, como nome de usuário, senha, e específicos logon limitações. Contas do 
usuário pode ser incorporado de contas ou auto-gerado. Cada usuário tem um conjunto 
completo de propriedades configuráveis a ele associados. Entre esses grupos são 
membros, scripts de logon, horas de logon, vencimento da conta, perfil de usuário, 
permissão dial-in muitos outos mais. 
 
• Nome de logon de usuário: Deve ser exclusivo na floresta na qual a conta de 
usuário foi criada. É utilizado durante o processo de logon. Ex: Ilopes 
• Nome de logon principal de usuário: Consiste do nome de logon do usuário e 
do sufixo do nome principal do usuário, unidos pelo símbolo de @ (arroba). O 
(UPN User Principal Name) deve ser exclusivo na floresta. Ex:Ilopes@adv.com 
• Nome distinto relativo do LDAP: Este nome é utilizado para adicionar usuários 
à rede a partir de um script ou linha de comando. Identifica com exclusividade o 
objeto em seu recipiente pai. Ex: CN=Ilopes,CN=users,DC=adv,DC=com 
 
 
 
Os seguintes três tipos de contas de usuário estão presentes em uma rede AD DS: . 
 
103 
V 1.0 
Domain users - é utilizada para fornecer acesso a um AD DS domínio e de todos os 
seus recursos associados. É a mais comum conta o tipo da rede. Você pode dar 
permissão para uma conta AD DS a partir de um domínio para acessar recursos de 
outros domínios. . 
 
Contas de usuário local - Esta conta existe em um autônomo ou membro servidor, ou 
um Windows XP Professional ou Vista Business, Enterprise ou Ultimate . Ela permite 
que um usuário para fazer logon no computador com que está associado e ter acesso aos 
recursos em que o computador só. Uma conta de usuário local não pode ter acesso a 
recursos baseados em domínio. . 
 
Built-in user accounts—Estas contas existem para administrativos específicos ou 
sistema de tarefas para aliviar os encargos de administração. Contas especiais são 
definidos, que têm permissões para diversos recursos e componentes do AD DS 
floresta. 
 
 
▪ Automação para criação e manutenção de Objetos do AD 
 
Embora a utilização de um modelo conta pode acelerar a criação de uma série de 
usuário contas com propriedades semelhantes, a criação de um grande número 
de contas em um ambiente corporativo pode rapidamente tornar-se moroso. Se 
você precisar criar centenas ou mesmo milhares, de novo utilizador ou contas do 
grupo, você pode usar uma das várias ferramentas fornecidas pela Microsoft 
para automatizar a criação de novos contas, como segue: 
 
O Csvde-Comma Separated Value Data Exchange (Csvde) ferramenta permite-
lhe importar dados de AD DS a partir de arquivos que contenham informações 
na variável separados por vírgulas (CSV) format. Você também pode exportar 
AD DS dados para CSV-formatado arquivos. 
 
 O Ldifde: LDAP Data Interchange Format Data Exchange (Ldifde) ferramenta 
permite-lhe criar, modificar e apagar diretório objetos. Você pode também 
estender o esquema, exportar AD DS usuário e grupo informação, e adicionar 
dados a AD DS a partir de outras fontes diretório. Note que csvde e ldifde não 
permitem-lhe exportar senhas. 
 
 Dsadd-Isso permite que você adicione tipos de objeto, tais como computadores, 
contatos, grupos de usuários, unidades organizacionais (OU), e as quotas para 
AD DS. . 
 
Scripts-Você pode usar scripts e arquivos batch com ferramentas tais como a 
Dsadd e automatizar a criação de um grande número de contas. Você também 
pode usar Windows Script Host para automatizar a criação de conta. 
 
Csvde 
 
Esta ferramenta funciona com texto separado por vírgulas arquivos com a 
extensão. Cvs-nos outras palavras, os valores são separadas entre si por vírgula. 
Este é um formato apoiada por muitas outras aplicações, como o Exchange 
104 
V 1.0 
Server e Microsoft Excel. Porque Excel suporta este formato, é uma ferramenta 
conveniente para a criação de um csv. 
 
Dn,cn,objectClass,sAMAccountName,userPrincipalName,teletphoneNum
ber 
 
“cn=Bob Wilson,OU=engineering,dc=examcram,dc=com”, Bob 
Wilson,user, 
BobW,BobW@examcram.com,555-678-9876 
 
“cn=Clara Perkins,OU=sales,dc=examcram,dc=com”, Clara Perkins,user, 
ClaraP,ClaraP@examcram.com,555-678-4321 
 
“cn=Vista1,OU=engineering,dc=examcram,dc=com”,Vista1,computer,Vis
ta1,,, 
 
Csvde –I –f filename.csv 
 
 
Dsadd 
 
O dsadd de linha de comando ferramenta permite adicionar objectos, incluindo 
os utilizadores, grupos, computadores, unidades organizacionais, os contactos e 
as quotas para o AD DS banco de dados. Para adicionar uma usuário, execute o 
seguinte comando: 
 
Dsadd user UserDN –fn FirstName –le LastName –display DisplayName 
-pwd {password | *} –samid SAMName –tel PhoneNumber –disabled 
{yes | no} 
 
Dsadd group GroupDN –fn FirstName –secgrp {yes | no} –scope {l |g |u} 
-samid SAMName –memberof Group … -members member … 
 
Outras Ferramentas de Linha de Comando 
AD DS adicional oferece as seguintes ferramentas de linha de comando, 
a funcionalidade das quais é de natureza semelhante à de dsadd. Para 
obter informações sobre o parâmetros associados a cada instrumento, 
digite o nome seguido pelo comando /?. 
 
dsmod.- Modifica- objetosdsrm. -Remove objetos 
dsmove - Desloca- objetos para outro recipiente dentro do domínio 
dsget. - Fornece informações sobre objetos 
dsquery - Apresenta- objetos correspondentes critérios de pesquisa 
 
 
▪ Diferença entre OUs e Grupos 
 
Grupo é Diferente de OU. 
105 
V 1.0 
Grupos são objetos representados em contexto local ou baseados no serviço de 
diretório (AD), que tem a capacidade de representar objetos constituídos como 
membros. 
 
O DC não tem Grupos Locais 
Na administração de grupos no AD são utilizados os grupos de Sistema e os 
Definidos pelo Administrador. 
Grupos podem representar seus membros, mas também podem fazer associações 
com outros grupos, por meio da propriedade “membro de”, configurando assim 
um Aninhamento de Grupos. 
 
Existem dois tipos de grupos: 
 
• Grupos de segurança: São utilizados para atribuir direitos e permissões de 
usuário a grupos, onde direitos determinam o que os 
membros do grupo de segurança podem fazer em um 
domínio ou floresta, já as permissões determinam 
quais recursos um membro de um grupo pode acessar 
na rede. 
 
• Grupos de distribuição: Utilizados em aplicações de e-mail, com Microsoft 
Exchange, para enviar e-mail para conjunto de 
usuários. Este grupo não tem recursos de segurança, 
desta forma, não é possível conceder permissão. 
 
Escopo de Grupo – Propriedade que define a aplicação da definição de 
permissões em relação à estrutura Domínio / Floresta. 
 
Global – Tipo de escopo que tem aplicação de receber membros e atribuir 
permissões ao nível de domínio. 
 
Universal – Tem a capacidade de receber membros, atributos e permissões em 
toda a Floresta, devem ser membros de grupos Globais para receberem 
permissões no Domínio. 
 
Domínio Local – Tem a capacidade de receber membros de qualquer parte da 
floresta, mas só podem atribuir permissões no domínio onde foi criado. 
 
 
 
AGDLP / AGUDLP 
A Microsoft continua a recomendar a mesma estratégia de nidificação grupos 
que apoiou desde o Windows NT 4.0. A lista a seguir descreve a estratégia: 
 
1. Contas Locais (acconts) (A) em grupos globais (G). 
2. Adicione os grupos globais em grupos domínio locais (DL). 
3. Finalmente, atribuir permissões (P) para o domínio de grupos locais. 
 
Em suma, essa estratégia é conhecida como AGDLP, contas de grupos globais 
para Domínio local grupos para permissões. 
106 
V 1.0 
 
 
▪ Adicionar usuários e computadores para os grupos 
 
Prática 
 
- Criando grupos Universal e da Estratégia AGUDLP 
▪ Usuários organizados em grupos 
 
O que são grupos: 
Grupo é Diferente de OU. 
Grupos são objetos representados em contexto local ou baseados no serviço de diretório 
(AD), que tem a capacidade de representar objetos constituídos como membros. 
 
O DC não tem Grupos Locais 
Na administração de grupos no AD são utilizados os grupos de Sistema e os Definidos 
pelo Administrador. 
Grupos podem representar seus membros, mas também podem fazer associações com 
outros grupos, por meio da propriedade “membro de”, configurando assim um 
Aninhamento de Grupos. 
 
Existem dois tipos de grupos: 
 
• Grupos de segurança: São utilizados para atribuir direitos e permissões de usuário a 
grupos, onde direitos determinam o que os membros do grupo 
de segurança podem fazer em um domínio ou floresta, já as 
permissões determinam quais recursos um membro de um 
grupo pode acessar na rede. 
 
• Grupos de distribuição: Utilizados em aplicações de e-mail, com Microsoft Exchange, 
para enviar e-mail para conjunto de usuários. Este grupo não 
tem recursos de segurança, desta forma, não é possível 
conceder permissão. 
 
Escopo de Grupo – Propriedade que define a aplicação da definição de permissões em 
relação à estrutura Domínio / Floresta. 
 
Global – Tipo de escopo que tem aplicação de receber membros e atribuir permissões ao 
nível de domínio. 
 
Universal – Tem a capacidade de receber membros, atributos e permissões em toda a 
Floresta, devem ser membros de grupos Globais para receberem permissões no 
Domínio. 
 
Domínio Local – Tem a capacidade de receber membros de qualquer parte da floresta, 
mas só podem atribuir permissões no domínio onde foi criado. 
 
Recomendações da Microsoft 
107 
V 1.0 
Só devemos atribuir permissões em grupos do tipo Global e para adicionar usuários de 
outros domínios devemos utilizar os grupos do tipo Domínio Local ou Universal e 
colocarmos estes grupos como membros de um grupo Global. 
 
Usando automação para Criação de Conta 
 
Embora a utilização de um modelo conta pode acelerar a criação de uma série de 
usuário contas com propriedades semelhantes, a criação de um grande número de 
contas em um ambiente corporativo pode rapidamente tornar-se moroso. Se você 
precisar criar centenas ou mesmo milhares, de novo utilizador ou contas do grupo, você 
pode usar uma das várias ferramentas fornecidas pela Microsoft para automatizar a 
criação de novas contas, como segue: 
 
O Csvde-Comma Separated Value Data Exchange (Csvde) permite-lhe importar dados 
no AD DS a partir de arquivos que contenham informações na variável separados por 
vírgulas (CSV). Você também pode exportar dados do AD DS para o formatado de 
arquivos CSV. 
 
 Data Interchange Format Data Exchange (Ldifde) essa ferramenta permite-lhe criar, 
modificar e apagar objetos. Você pode também estender o esquema, exportar 
informação de usuário e grupo no AD DS, e adicionar dados ao AD DS a partir de 
outras fontes. Note que csvde e ldifde não permitem exportar senhas. 
 
 Dsadd - permite que você adicione objeto, tais como computadores, contatos, grupos de 
usuários, unidades organizacionais (OU), e as quotas para o AD DS. . 
 
Scripts-Você pode usar scripts e arquivos batch com ferramentas tais como Dsadd 
automatizar a criação de um grande número de contas. Você também pode usar 
Windows Script Host para automatizar a criação de conta. 
 
Csvde 
 
Esta ferramenta funciona com texto separado por vírgulas arquivos com a extensão. Cvs 
-em outras palavras, os valores são separadas entre si por vírgula. Este é um formato 
apoiada por muitas outras aplicações, como o Exchange Server e Microsoft Excel. 
Porque Excel suporta este formato, é uma ferramenta conveniente para a criação de um 
csv. 
 
Dn,cn,objectClass,sAMAccountName,userPrincipalName,teletphoneNumber 
 
“cn=Bob Wilson,OU=engineering,dc=examcram,dc=com”, Bob Wilson,user, 
BobW,BobW@examcram.com,555-678-9876 
 
“cn=Clara Perkins,OU=sales,dc=examcram,dc=com”, Clara Perkins,user, 
ClaraP,ClaraP@examcram.com,555-678-4321 
 
“cn=Vista1,OU=engineering,dc=examcram,dc=com”,Vista1,computer,Vista1,,, 
 
Csvde –I –f filename.csv 
 
108 
V 1.0 
 
Dsadd 
 
O dsadd é a ferramenta de linha de comando que permite adicionar objetos, incluindo os 
usuários, grupos, computadores, unidades organizacionais, os contactos e as quotas para 
o banco de dados do AD DS. Para adicionar uma usuário, execute o seguinte comando: 
 
Dsadd user UserDN –fn FirstName –le LastName –display DisplayName 
-pwd {password | *} –samid SAMName –tel PhoneNumber –disabled {yes | no} 
 
Dsadd group GroupDN –fn FirstName –secgrp {yes | no} –scope {l |g |u} 
-samid SAMName –memberof Group … -members member … 
 
Outras Ferramentas de Linha de Comando 
AD DS adicional oferece as seguintes ferramentas de linha de comando, a 
funcionalidade das quais é de natureza semelhante à de dsadd. Para obter informações 
sobre o parâmetros associados a cada instrumento, digite o nome seguido pelo comando 
/?. 
 
dsmod.- Modifica- objetos 
dsrm. -Remove objetos 
dsmove - Desloca- objetos para outro recipiente dentro do domínio 
dsget. - Fornece informações sobre objetos 
dsquery - Apresenta- objetos correspondentes critérios de pesquisa 
 
 
Scripts 
Com a criação de scripts, você pode utilizar plenamente o poder desses comandos no 
automatizar a criação, alteração ou supressão de múltiplos AD DS objetos. Você pode 
escolher entre as seguintes scripting três ambientes: 
 
Arquivos batch - Pode incluir comandos como dsadd, dsmod, ou dsrmem um arquivo 
de lote, que permite o rápido processamento de ferramentas de linha de comando para 
gerenciar várias AD DS objetos. 
 
Windows Script Host (WSH) - Este é um poderoso ambiente scripting que permite que 
você execute arquivos contendo comandos escritos na Microsoft Visual Basic Scripting 
Edition (VBScript) ou JavaScript (JScript) idiomas. 
 
Windows PowerShell - Este é um novo, poderoso, shell de linha de comando e 
linguagem de script que funciona com os comandos e scripts ferramentas para fornecer 
um alto nível de produtividade e sistema de controle. O Windows PowerShell inclui 
uma extensa lista de subcomandos conhecido como cmdlets com um tutorial completo e 
sistema de ajuda para que você obtenha começou. Este é incluído por padrão no 
Windows Server 2008 e está disponível como um add-on para o Windows XP, Vista e 
Server 2003. 
 
 
Configurando o UPN (user principal name) 
109 
V 1.0 
Um nome principal do Usuário (UPN) é um nome logon formatado em uma forma 
semelhante à o de um endereço de e-mail, tais como user1@ADV.com. A primeira 
parte única identifica o utilizador e, a segunda parte, por omissão, identifica o domínio 
ao qual ela pertence. O UPN é especialmente conveniente quando iniciar a sessão para 
um domínio a partir de um computador localizado em outro domínio na floresta ou um 
confiável floresta. 
 
Adicionando ou removendo sufixos UPN 
 
Você pode criar Sufixos UPN alternativos, abrindo o console Active Directory 
Domínios e Confianças. Na árvore do console, clique com o botão direito do Active 
Directory Domínios e relações de confiança e escolha Propriedades para abrir a caixa de 
diálogo mostrada na Figura Simplesmente digite o sufixo UPN desejado, clique em 
Adicionar e, em seguida, clique em OK. 
 
AGDLP / AGUDLP 
 
A Microsoft continua a recomendar a mesma estratégia de nidificação grupos que 
apoiou desde o Windows NT 4.0. A lista a seguir descreve a estratégia: 
 
1. Contas Locais (acconts) (A) em grupos globais (G). 
2. Adicione os grupos globais do domínio em grupos locais (DL). 
3. Finalmente, atribuir permissões (P) para o domínio de grupos locais. 
 
Em suma, essa estratégia é conhecida como AGDLP, contas de grupos globais para 
Domínio local grupos para permissões. 
 
O que é uma conta de serviço gerenciada? 
Uma conta de serviço gerenciada é uma classe de objeto AD DS que habilita senha 
simplificada e gerenciamento de SPN para contas de serviço. 
Muitos aplicativos baseados em rede usam uma conta para executar serviços ou fornecer 
autenticação. Por exemplo, um aplicativo em um computador local poderia usar o 
Serviço Local, o Serviço de Rede ou contas do Sistema Local. Essas contas de serviço 
podem funcionar bem. Porém, elas geralmente são compartilhadas entre vários 
aplicativos e serviços, tornando-as difíceis de serem gerenciadas para um aplicativo 
específico. Além disso, você não pode gerenciar essas contas de serviço locais no nível 
de domínio. 
Alternativamente, é bastante comum que um aplicativo possa usar uma conta de 
domínio padrão que seja configurada especificamente para o aplicativo. No entanto, a 
desvantagem principal é que você precisa gerenciar as senhas manualmente, o que 
aumenta o esforço de administração. 
Uma conta de serviço gerenciada pode proporcionar a um aplicativo sua própria conta 
exclusiva, eliminando a necessidade de um administrador para administrar as 
credenciais da conta manualmente. 
110 
V 1.0 
Como uma conta de serviço gerenciada funciona 
As contas de serviço gerenciadas são armazenadas no AD DS como objetos msDS-
ManagedServiceAccount. Essa classe herda aspectos estruturais da classe do 
Computador (que herda da classe do Usuário). Isso permite que uma conta de serviço 
gerenciada cumpra as funções de usuário, como fornecer autenticação e contexto de 
segurança para um serviço em execução. Isso também permite que uma conta de serviço 
gerenciada use o mesmo mecanismo de atualização de senha usado por objetos 
Computador no AD DS, um processo que não requer intervenção de usuário. 
As contas de serviço gerenciadas fornecem os seguintes benefícios para simplificar 
administração: 
• Gerenciamento de senha automático. Uma conta de serviço gerenciada mantém sua 
própria senha automaticamente, inclusive alterações de senha. 
• Gerenciamento SPN simplificado. O gerenciamento de SPN poderá ser gerenciado 
automaticamente se seu domínio for configurado no nível funcional do domínio do 
Windows Server 2008 R2 ou superior. 
 
As contas de serviço gerenciadas são armazenadas no contêiner CN=Managed Service 
Accounts, DC=, DC=. Você pode ver isso habilitando a opção 
Recursos Avançados no menu Exibir em Usuários e Computadores do Active Directory. 
Esse contêiner é por padrão visível na Central Administrativa do Active Directory. 
Requisitos para usar Contas de Serviço Gerenciadas 
Para usar uma conta de serviço gerenciada, o servidor que executa o serviço ou 
aplicativo deve está sendo executado no Windows Server 2008 R2 ou Windows Server 
2012. Você também precisa verificar se o .NET Framework 3.5.x e o Módulo Active 
Directory para Windows PowerShell estão instalados no servidor. 
 
Para simplificar e fornecer senha totalmente automática e gerenciamento SPN, nós 
recomendamos que o domínio AD DS fique no nível funcional do Windows Server 
2008 R2 ou superior. Porém, se você tiver um controlador de domínio executando o 
Windows Server 2008 ou o Windows Server® 2003, poderá atualizar o esquema do 
Active Directory para o Windows Server 2008 R2 para suportar esse recurso. A única 
desvantagem é que o administrador de domínio deve configurar os dados de SPN 
manualmente para as contas de serviço gerenciadas. 
Para atualizar o esquema no Windows Server 2008, Windows Server 2003 ou ambientes 
de modo misto, você deve executar as seguintes tarefas: 
111 
V 1.0 
1. Execute adprep/forestprep no nível de floresta e execute adprep/domainprep no 
nível de domínio. 
2. Implante um controlador de domínio que esteja executando o Windows Server 2008 
R2, o Windows Server 2008 com o Active Directory Management Gateway Service ou 
o Windows Server 2003 com o Active Directory Management Gateway Service. 
O que são contas de serviços gerenciadas de grupo? 
As contas de serviço gerenciadas de grupo permitem que você estenda os recursos das 
contas de serviço gerenciadas padrão para mais de um servidor em seu domínio. Em 
cenários de farm de servidores como clusters de balanceamento de carga de rede (NLB) 
ou servidores IIS, frequentemente é necessário executar o sistema ou serviços de 
aplicativo sob a mesma conta de serviço. As contas de serviço gerenciadas padrão não 
podem fornecer a funcionalidade de conta de serviço gerenciada a serviços que estão 
sendo executados em mais de um servidor. Ao usar as contas de serviço gerenciadas de 
grupo, você pode configurar vários servidores para usar a mesma conta de serviço 
gerenciada e ainda permanecer com os benefícios que as contas de serviço gerenciadas 
fornecem, como manutenção de senha automática e gerenciamento SPN simplificado. 
 
 
112 
V 1.0 
5: Implementação de uma infraestrutura de Política de Grupo 
 
▪ Group Policy Objects 
 
- O que é Group Policy – GPO 
São regras e / ou Procedimentos baseados no AD que busca a restrição de acesso a 
recursos, definição de segurança e / ou configuração de componentes. 
 
- Vantagens de usar Group Policy – GPO 
Utilizando as GPO é possível Administrar, modificar, restringir e instalar softwares sem 
a necessidade de fazer qualquer destas operações localmente nas máquinas pertencentes 
ao seu domínio, permitindo um maior controle e um custo administrativo muito menor. 
 
- GPO de usuário 
Aplicadas na configuração de contas de usuários é aplicada no logon / logoff ou a cada 
90 minutos ou ainda através de comandos. 
 
- GPO de computador 
Aplicadas na configuração de contas de computadores é aplicada na inicialização do 
computador ou através de comandos.Ordem de Aplicação das GPO 
1- LOCAL 
2- SITE do AD 
3- GPO do Domínio 
4- GPO da OU 
 
▪ Group Policy Management Console GPMC 
 
113 
V 1.0 
O GPMC (Console de Gerenciamento de Diretiva de Grupo) é um snap-in de Console 
de Gerenciamento Microsoft, que fornece uma ferramenta administrativa exclusiva para 
o gerenciamento de Diretiva de Grupo em toda a empresa. O GPMC é a ferramenta 
padrão para o gerenciamento de Diretiva de Grupo. 
 
 
▪ Local vs. Diretiva de domínio 
 
Diretivas locais atuam somente no computador onde são configuradas, já as diretivas de 
domínio podem afetar todo o domínio a que o servidor DC pervtence. 
 
▪ Configurando GPO 
 
Para criar um GPO desvinculado 
1. Na árvore do console GPMC, clique com o botão direito do mouse em Objetos 
de Diretiva de Grupo na floresta e domínio nos quais deseja criar um novo 
GPO desvinculado. 
2. Clique em Novo. 
3. Na caixa de diálogo Novo GPO, especifique um nome para o novo GPO e 
clique em OK. 
Use o procedimento a seguir para editar um GPO. 
Para editar um GPO 
1. Na árvore do console GPMC, expanda Objetos de Diretiva de Grupo na 
floresta e no domínio que contêm o GPO que você deseja editar. 
2. Clique com o botão direito do mouse no GPO que deseja editar e, em seguida, 
clique em Editar. 
3. Na árvore do console, expanda os itens, conforme a necessidade, para localizar o 
item que contém as configurações de diretiva que deseja modificar. No painel de 
detalhes, clique em um item para exibir as configurações da diretiva associada. 
4. No painel de detalhes, clique duas vezes nos nomes da configuração de diretiva 
que deseja editar. Observe que algumas configurações de diretiva, como 
114 
V 1.0 
configurações para implantação de um novo pacote de instalação de software, 
usam interfaces de usuário exclusivas. 
5. Na caixa de diálogo Propriedades, modifique as configurações de diretiva, 
conforme necessário, e clique em OK. 
 
 
▪ Vinculando GPOs 
 
Para aplicar as configurações de diretiva de um GPO a usuários e computadores, você 
precisa vincular o GPO a um site, domínio ou a unidade organizacional/ É possível 
adicionar um ou mais links de GPO a cada site, domínio ou unidade organizacional 
usando o GPMC. Lembre-se de que criar e vincular GPOs é um privilégio importante 
que deve ser delegado somente a administradores que sejam confiáveis e entendam a 
Diretiva de Grupo. 
 
▪ Security Filtering e Configurar OUs para execução de uma melhor política de grupo 
 
Por padrão, um GPO afeta todos os usuários e computadores contidos no site, domínio 
ou unidade organizacional vinculados. No entanto, é possível usar os filtros de 
segurança em um GPO para modificar seu impacto, de modo que ele afete apenas um 
usuário, membros de um grupo de segurança do Active Directory ou computador 
específicos, modificando as permissões no GPO. Ao combinar filtros de segurança com 
o posicionamento adequado nas unidades organizacionais, você pode atingir qualquer 
conjunto de usuários ou computadores. 
Para que um GPO seja aplicado a um determinado usuário, grupo de segurança ou 
computador, o usuário, grupo ou computador deve ter as permissões de Leitura e 
Aplicar Diretiva de Grupo no GPO. Por padrão, os Usuários Autenticados têm ambas as 
permissões definidas como Permitir. Ambas as permissões são gerenciadas juntas 
como uma única unidade por meio dos filtros de segurança no GPMC. 
Para definir as permissões para um determinado GPO, de modo que o GPO seja 
aplicado apenas a usuários, grupos de segurança ou computadores específicos (e não a 
todos os usuários autenticados), na árvore de console do GPMC, expanda Objetos de 
Diretiva de Grupo na floresta e no domínio que contêm esse GPO. Clique no GPO e, 
no painel de detalhes, na guia Escopo, em Filtros de Segurança, remova Usuários 
Autenticados, clique em Adicionar e adicione o novo usuário, grupo ou computador. 
115 
V 1.0 
Por exemplo, se desejar que somente um subconjunto de usuários em uma unidade 
organizacional receba um GPO, remova Usuários Autenticados de Filtros de 
Segurança. Em seguida, adicione um novo grupo de segurança com permissões de 
Filtros de Segurança que contenha o subconjunto de usuários que deverá receber o 
GPO. Somente membros desse grupo que estão no site, domínio ou na unidade 
organizacional em que o GPO está vinculado receberão o GPO; membros do grupo em 
outros sites, domínios ou unidades organizacionais não receberão o GPO. 
Talvez seja conveniente impedir que determinadas configurações de Diretiva de Grupo 
sejam aplicadas a membros do grupo de Administradores. Para fazer isso, execute uma 
das seguintes etapas: 
• Crie uma unidade organizacional separada para administradores e mantenha essa 
unidade fora da hierarquia a qual você aplica a maioria das configurações de 
gerenciamento. Dessa maneira, os administradores não receberão a maioria das 
configurações de diretiva fornecidas aos usuários gerenciados. Se essa unidade 
organizacional separada for um filho direto do domínio, as únicas configurações 
de diretiva possíveis que os administradores receberão serão as configurações de 
diretiva de GPOs vinculadas ao domínio ou ao site. Normalmente, somente 
configurações de diretiva genéricas, amplamente aplicáveis são vinculadas aqui, 
portanto, pode ser aceitável que administradores recebam essas configurações de 
diretiva. Se esse não for seu desejo, você poderá definir a opção Bloquear 
Herança na unidade organizacional dos administradores. 
• Faça com que os administradores usem contas administrativas distintas somente 
quando realizarem tarefas administrativas. Quando não estiverem executando 
tarefas administrativas, eles deverão ser gerenciados. 
• Use os Filtros de Segurança no GPMC, assim, somente aqueles que não são 
administradores receberão as configurações de diretiva. 
 
 
▪ Rodando o "gpupdate" 
 
De um determinado computador, você pode atualizar as configurações de diretiva que 
são implantadas nesse computador usando a ferramenta Gpupdate.exe. A descreve os 
parâmetros do Gpupdate.exe. Essa ferramenta é usada nos ambientes Windows 
Server 2008, Windows Vista, Windows Server 2003 e Windows XP. 
A ferramenta Gpudate.exe usa a seguinte sintaxe: 
gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync] 
116 
V 1.0 
 
Parâmetro Descrição 
/target:{computer|user} 
Dependendo do destino que você especifica, o Gpupdate.exe 
processa as configurações de diretiva do computador, as 
configurações de diretiva do usuário atual, ou ambas. Por 
padrão, ambas as configurações são processadas. 
/force 
Reaplica todas as configurações de diretiva e ignora as 
otimizações de processamento. Por padrão, somente as 
configurações de diretiva que foram alteradas são aplicadas. 
/wait:value 
Especifica o número de segundos que o processamento da 
diretiva aguarda para ser finalizado. O padrão é 600 segundos. 
O valor 0 significa que não é preciso aguardar; -1 significa 
aguardar indefinidamente. 
/logoff 
Faz logoff depois que a atualização da diretiva é concluída. Isso 
é obrigatório para extensões do lado do cliente da Diretiva de 
Grupo que não são processadas no ciclo de atualização em 
segundo plano, mas que são processadas quando o usuário faz 
logon, como a Instalação de Software e o Redirecionamento de 
Pasta do usuário. Essa opção não terá efeito se não houver 
extensões chamadas que exijam que o usuário faça logoff. 
/boot 
Reinicia o computador depois que a atualização da diretiva é 
concluída. Isso é obrigatório para extensões do lado do cliente 
da Diretiva de Grupo que não são processadas no ciclo de 
atualização em segundo plano, mas que são processadas quando 
o computador é inicializado, como a Instalação de Software do 
computador. Essa opção não terá efeito se não houver extensões 
chamadas que exijam que o computador seja reiniciado. 
/sync 
Faz com que a próxima aplicação da diretiva em primeiro plano 
seja síncrona. O processamento da Diretiva deGrupo em 
primeiro plano ocorre na inicialização do computador e quando 
o usuário faz logon. Você pode especificar a aplicação da 
diretiva em primeiro plano para o usuário, o computador ou 
ambos usando o parâmetro /target. Se você especificar esse 
parâmetro e os parâmetros /force e /wait, estes últimos serão 
ignorados. 
/? Exibe a Ajuda no prompt de comando. 
117 
V 1.0 
 
 
▪ Verificação da Replicação dos DCs 
 
É possível exibir o status de replicação em um determinado controlador de domínio 
usando o GPMC. Na árvore do console GPMC, expanda Objetos de Diretiva de 
Grupo na floresta ou no domínio que contém os GPOs que você deseja aplicar, clique 
em um GPO para verificação e clique na guia Detalhes do painel de detalhes. Se o GPO 
for sincronizado nesse controlador de domínio, os números de versão do Active 
Directory e Sysvol serão idênticos para a configuração do usuário e do computador. 
Entretanto, os números de versão do usuário não precisam corresponder aos números de 
versão do computador. 
 
Intervalo de atualização da Diretiva de Grupo para computadores 
Essa configuração de diretiva especifica com que frequência o Windows atualiza, em 
segundo plano, a Diretiva de Grupo para computadores. Ela especifica uma taxa de 
atualização em segundo plano somente para configurações de Diretiva de Grupo do 
computador. O Windows atualiza, em segundo plano, a Diretiva de Grupo do 
computador a cada 90 minutos, por padrão, com um deslocamento aleatório de 0 a 30 
minutos. Além das atualizações em segundo plano, a Diretiva de Grupo do computador 
sempre é atualizada quando o sistema é iniciado. Essa configuração de diretiva está 
disponível em Configuração do Computador\Diretivas\Modelos 
Administrativos\Sistema\Diretiva de Grupo. 
Intervalo de atualização da Diretiva de Grupo para controladores de domínio 
Essa configuração de diretiva especifica com que frequência o Windows atualiza, em 
segundo plano, a Diretiva de Grupo nos controladores de domínio. Por padrão, o 
Windows atualiza a Diretiva de Grupo nos controladores de domínio a cada cinco 
minutos. Essa configuração de diretiva está disponível em Configuração do 
Computador\Diretivas\Modelos Administrativos\Sistema\Diretiva de Grupo. 
Intervalo de atualização da Diretiva de Grupo para usuários 
Essa configuração de diretiva especifica com que frequência o Windows atualiza, em 
segundo plano, a Diretiva de Grupo somente para configurações de Diretiva de Grupo 
do usuário. Além das atualizações em segundo plano, a Diretiva de Grupo do usuário 
sempre é atualizada quando os usuários fazem logon. Essa diretiva está disponível em 
Configuração do Usuário\Diretivas\Modelos Administrativos\Sistema\Diretiva de 
Grupo. 
118 
V 1.0 
 
 
▪ Precesso de Loopback 
A configuração de diretiva Modo de processamento de loopback da Diretiva de 
Grupo de Usuário é uma opção avançada que foi desenvolvida para manter a mesma 
configuração do computador, independentemente de quem faz logon. Essa configuração 
de diretiva é adequada em determinados ambientes rigorosamente gerenciados com 
computadores de uso especial, como salas de aula, quiosques públicos e áreas de 
recepção. Talvez seja conveniente, por exemplo, habilitar essa configuração de diretiva 
para um servidor específico, como um servidor de terminal. A habilitação da 
configuração de diretiva do modo de processamento de loopback orienta o sistema a 
aplicar as mesmas configurações de diretiva de usuário para qualquer usuário que faça 
logon no computador, com base no computador. 
Ao aplicar GPOs a usuários, geralmente, o mesmo conjunto de configurações de 
diretiva de usuário se aplica a esses usuários quando eles fazem logon em qualquer 
computador. Ao habilitar a configuração de diretiva de processamento de loopback em 
um GPO, você pode configurar a diretiva de usuário com base no computador em que 
eles fazem logon. Essas configurações de diretiva são aplicadas, independentemente de 
qual usuário faz logon. Ao habilitar a configuração de diretiva no modo de 
processamento de loopback, você deve garantir que a Configuração do Computador e a 
Configuração do Usuário no GPO estejam habilitadas. 
É possível definir a configuração de diretiva de loopback usando o GPMC para editar o 
GPO e habilitar o modo de processamento de loopback de Diretiva de Grupo de 
Usuário em Configuração do Computador\Diretivas\Modelos 
Administrativos\Sistema\Diretiva de Grupo. Há duas opções disponíveis: 
• Modo de mesclagem. nesse modo, a lista de GPOs para o usuário é coletada 
durante o processo de logon. Em seguida, é coletada a lista de GPOs para o 
computador. Depois, a lista de GPOs para o computador é adicionada ao final 
dos GPOs para o usuário. Como resultado, os GPOs do computador têm 
precedência mais alta do que os GPOs do usuário. Se as configurações de 
diretiva entrarem em conflito, as configurações de diretiva de usuário nos GPOs 
do computador serão aplicadas no lugar das configurações de diretiva comuns 
do usuário. 
• Modo de substituição. nesse modo, a lista de GPOs para o usuário não é 
coletada. Em vez disso, somente a lista de GPOs baseada no objeto de 
computador é usada. As definições de Configuração do Usuário dessa lista são 
aplicadas ao usuário. 
 
119 
V 1.0 
 
Gerenciamento de GPOs com o Windows PowerShell 
Além de usar o Console de Gerenciamento de Política de Grupo e o Editor de 
Gerenciamento de Política de Grupo, você também pode executar tarefas 
administrativas de GPO comuns usando o Windows PowerShell. 
A tabela a seguir lista algumas das tarefas 
administrativas mais comuns possível com 
o Windows PowerShell. Nome de cmdlet 
Descrição 
New-GPO Cria um novo GPO 
New-GPLink Cria um novo link de GPO para o GPO 
especificado 
Backup-GPO Faz backup dos GPOs especificados 
Restore-GPO Restaura os GPOs especificados 
Copy-GPO Copia um GPO 
Get-GPO Obtém os GPOs especificados 
Import-GPO Importa as configurações incluídas no 
backup para um GPO especificado 
Set-GPInheritance Concede as permissões especificadas a um 
usuário ou grupo de segurança para os 
GPOs especificados 
 
 
- GPOs usando para instalar o software 
▪ Opções para instalar o software 
Para adicionar pacotes de instalação de software às configurações do usuário, você pode 
publicá-los ou atribuí-los. Pacotes publicados estão disponíveis para instalação por 
usuários no site, domínio ou unidade organizacional selecionado usando Adicionar ou 
Remover Programas no Painel de Controle ou a ativação do arquivo. Os pacotes 
atribuídos são recebidos pelos usuários no site, domínio ou unidade organizacional 
selecionado na próxima vez em que eles fizerem logon (para atribuição aos usuários) ou 
quando o computador for reiniciado (para atribuição a computadores). 
Para definir padrões para a Instalação do Software de Diretiva de Grupo 
120 
V 1.0 
1. Abra a Instalação do Software de Diretiva de Grupo. (Na árvore de console, 
clique com o botão direito do mouse em Instalação de software.) 
2. Clique em Propriedades e, na guia Geral, especifique as seguintes opções: 
o Em Local padrão do pacote, especifique o ponto de distribuição de 
software padrão. 
o Em Novos pacotes, especifique como adicionar novos pacotes às 
configurações do usuário. Por padrão, os pacotes podem ser publicados 
ou atribuídos. (No caso de computadores, eles podem ser apenas 
atribuídos). Para selecionar essas opções para cada pacote, clique em 
Exibir a caixa de diálogo Implantar Software. Para obter mais 
controle por pacote, clique em Avançado. 
o Em Opções da interface do usuário da instalação, clique em Básica ou 
Máxima, dependendo de quão evidente o processo de instalação deverá 
ser para os usuários. 
 
 
▪ O que você precisa para uma Instalação de Software por GPO 
 
É possível implementar praticamente qualquer tipo de software aplicação, incluindo 
aplicações personalizadas. Você pode usar Arquivos Microsoft Software Installer 
(MSI). para especificar as condiçõesde instalação do software, incluindo os 
componentes e opções disponíveis. 
Você também pode usar arquivos de transformação (MST). para especificar opções de 
línguas da instalação. 
Upgrades de software e patches-Você pode usar os arquivos patch (. Msp) para 
adicionar correcções e outros patches quando necessário. Você também pode distribuir 
service packs como eles se tornam disponíveis e atualização do software para novas 
versões, para exemplo, o Office 2003 para Office 2007. 
Remoção de Software-Quando um programa não é mais usado ou suportado pelo 
departamento de TI, você pode removê-lo dos computadores dos usuários. Você pode 
especificar uma opção para fornecer aos usuários uma opção para manter software 
obsoletos ou removê-los automaticamente, sem a opção do usuário. 
 
▪ Passos para a criação de GPO para Instalação de Software 
121 
V 1.0 
 
Para atribuir um aplicativo 
1. Abra a Instalação do Software de Diretiva de Grupo. 
2. Na árvore de console, clique com o botão direito do mouse em Instalação de 
software, aponte para Novo e clique em Pacote. 
3. Na caixa de diálogo Abrir, use as caixas de pesquisa para encontrar o aplicativo 
que deseja implantar, clique no pacote do Windows Installer e clique em Abrir. 
4. Na caixa de diálogo Implantar Software, clique em Atribuído e em OK. 
Para editar as opções de instalação de aplicativos 
1. Abra a Instalação do Software de Diretiva de Grupo. 
2. No painel de resultados, clique com o botão direito do mouse no aplicativo que 
você deseja editar as opções de instalação e clique em Propriedades. 
3. Na caixa de diálogo Propriedades do aplicativo, clique na guia Implantação. 
4. Na guia Implantação, clique em uma das seguintes opções em Tipo de 
implantação: 
o Publicado: Os usuários no site, domínio ou unidade organizacional 
selecionada podem instalar o aplicativo usando Adicionar ou Remover 
Programas no Painel de Controle ou a ativação de arquivos. 
o Atribuído: Esse aplicativo é recebido pelos usuários no site, domínio ou 
unidade organizacional selecionado na próxima vez em que eles fizerem 
logon (para atribuição aos usuários) ou quando o computador for 
reiniciado (para atribuição aos computadores). 
5. Em Opções de implantação, marque as caixas de seleção referentes às 
seguintes opções desejadas: 
o Instalar este aplicativo automaticamente pela ativação por extensão 
de arquivo: Selecione essa opção se deseja usar a precedência de 
aplicativos para o nome da extensão de arquivos da forma determinada 
na guia Extensões de Arquivos na caixa de diálogo Propriedades de 
instalação do software. Se o aplicativo ainda não estiver instalado, a 
seleção dessa opção fará com que o aplicativo seja instalado quando o 
usuário abrir um arquivo com essa associação de arquivos (por exemplo, 
ao clicar duas vezes no arquivo). 
o Desinstalar esse aplicativo quando o mesmo estiver fora do escopo de 
gerenciamento: Selecione essa opção se quiser que o aplicativo seja 
122 
V 1.0 
removido quando os usuários fizerem logon ou durante a inicialização 
dos computadores, se eles foram movidos para um site, domínio ou 
unidade organizacional onde o aplicativo não é implantado. 
o Não exibir este pacote em Adicionar ou Remover Programas no 
Painel de Controle: Essa opção remove o método mais óbvio de 
desinstalação do aplicativo que os usuários podem utilizar. Essa opção 
pode ser útil ocasionalmente durante o ciclo de vida do software. 
o Instalar este aplicativo ao fazer logon: Essa opção instala o aplicativo 
completamente, usando os padrões do pacote. Observe que os padrões do 
pacote em si podem exigir a instalação de todos os recursos ou apenas 
alguns deles. 
6. Em Opções da interface do usuário da instalação, clique em uma das opções a 
seguir: 
o Básico: somente as barras de andamento e os erros são exibidos. 
o Máximo: Toda a interface de usuário compatível com o pacote é exibida. 
7. Se você quiser definir as opções avançadas a seguir, clique em Avançado: 
o Ignorar idioma na implantação deste pacote: Marque essa caixa de 
seleção se estiver instalando um aplicativo cuja linguagem seja diferente 
da linguagem do sistema operacional. 
o Remover as instalações existentes deste produto para usuários, se o 
produto não foi instalado pela Instalação de Software baseada na 
Diretiva de Grupo: Essa opção pode ser útil, por exemplo, se a diretiva 
da empresa não permitir que os usuários instalem aplicativos usando seus 
próprios CDs. 
o Tornar este aplicativo X86 de 32 bits disponível para máquinas 
Win64: Especifica se o aplicativo de 32 bits deve ser atribuído ou 
publicado em computadores de 64 bits. 
o Incluir classe OLE e informações do produto: Especifica se as 
informações sobre os componentes COM serão implantadas com o 
pacote, de modo que o software no cliente possa instalá-los a partir do 
Active Directory conforme necessário, de forma similar à ativação por 
extensão de arquivo. 
 
▪ O padrão das diretiva de senha do domínio 
123 
V 1.0 
Você pode usar política de grupo para configurar definições de política de senha 
baseada no domínio que ajudam a proteger os usuários de computadores cliente com o 
Windows 2000/XP/Vista. 
As opções disponíveis no Windows Server 2008 são semelhantes aos que foram 
introduzidos no Windows 2000 e continuou no Windows Server 2003. 
 
 
 
 
. Enforce Password History-Determina o número de senhas lembradas pelo AD DS para 
cada usuário. Os valores variam de 0 a 24. Um usuário não pode reutilizar uma senha 
retidos na lista do histórico. Um valor de 0 significa que nenhum histórico de senha é 
mantida e um usuário pode reutilizar senhas no vontade. Windows Server 2008 continua 
com o padrão estabelecido de 24 com o Windows Server 2003 SP1. 
 
. Maximum Password Age-Determina o número de dias que um usuário pode usar uma 
senha antes de ser necessária especificar uma nova. Valores variam de 0 a 999. Um 
valor de 0 significa que um usuário não é obrigado a alterar sua senha. O padrão é de 90 
dias. 
 
. Minimum Password Age-Determina o número mínimo de um dia senha deve ser usada 
antes que ele possa ser mudado. Os valores variam de 0 a 999 dias e deve ser menor do 
que a idade máxima da senha. Um valor de 0 permite ao usuário mudar imediatamente 
de uma nova senha. Este valor permite que um usuário percorra uma lista de toda a 
história de senhas em um curto tempo, em outras palavras, mudando repetidamente uma 
senha para que ele pudesse reutilizar sua senha antiga. Isto, evidentemente, destroi a 
finalidade de fazer cumprir a história de senha . O padrão é de 1 dia. 
 
. Minimum Password Length-Determina o número mínimo de caracteres que pode 
fazer-se uma senha. Os valores variam de 0 a 14. A valor de 0 permite que uma senha 
124 
V 1.0 
em branco. Use uma configuração de 10 ou superior para maior segurança. O padrão é 7 
caracteres. 
 
. A senha deve satisfazer requisitos de complexidade, prevê que A senha deve satisfazer 
critérios de complexidade, como segue: A senha não pode conter o nome da conta do 
usuário ou nome completo ou partes do nome que exceder dois caracteres consecutivos. 
Ela deve conter pelo menos três dos quatro seguintes itens: 
 
. letras minúsculas 
. letras maiúsculas 
. Numerais 
. Caracteres como o $; [] ()! . 
 
. Armazenar senhas usando criptografia reversível-Determina o nível de criptografia 
usado pelo Windows Server 2008 para armazenar senhas. 
Habilitar esta opção reduz a segurança, porque ele armazena senhas em um formato que 
é essencialmente o mesmo como texto simples. Esta opção está desativada por padrão. 
Você deve permitir que esta política só se necessário para os clientes que não pode usar 
a criptografia normal, como os que utilizam Challenge Handshake Authentication 
Protocol (CHAP) ou Internet Information Services (IIS) autenticação Digest. 
 
 
▪ Política de Bloqueio de Conta 
A senha da conta do usuário compromete a segurança de toda a rede. 
A política de bloqueio de conta é projetadopara bloquear uma conta fora do 
computador se um usuário (intruso ou a tentativa de quebrar a rede), entra uma senha 
incorreta um determinado número de vezes, limitando assim a eficácia da senha. A 
política de bloqueio de conta contém as seguintes definições: 
 
. Bloqueio de Conta Duração-Especifica o número de minutos que um 
conta permanece bloqueada. Cada conta, exceto para a conta padrão do 
Administrador pode ficar fora dessa regra. Você pode definir esse 
125 
V 1.0 
valor de 0 a 99999 minutos, ou cerca de 69,4 dias. Um valor de 0 significa 
que as contas que tenham excedido o número especificado de tentativas logon falhos 
são bloqueadas indefinidamente até que um administrador desbloqueia a conta. 
 
. Limite de bloqueio de conta - Especifica o número de tentativas de logon falhas que 
podem ocorrer antes que a conta está bloqueada. Você pode definir essa valor de 0 a 
999 tentativas falharam. Um valor de 0 significa que a conta nunca será bloqueada. As 
melhores práticas recomendam que você deve nunca configurar uma configuração de 0 
aqui. 
 
. Reset Contador após bloqueio de conta -Especifica o número de minutos de espera 
após o qual o bloqueio de conta do contador é reposto a 0. Você pode definir esse valor 
de 1 a 99999. Quando você configurar esta diretiva, o Windows Server 2008 
 
O que são arquivos ADM e ADMX? 
Arquivos ADM 
Tradicionalmente, os arquivos ADM foram usados para definir as configurações que um 
administrador pode configurar através da Política de Grupo. Cada sistema operacional 
Windows sucessivo e pacote de serviço incluiu uma versão mais recente desses 
arquivos. Os arquivos ADM usam sua própria linguagem de marcação. Portanto, é 
difícil personalizar os arquivos ADM. Os modelos ADM estão localizados na pasta 
%SystemRoot%\Inf. 
A principal desvantagem dos arquivos ADM é que eles são copiados em cada GPO que 
é criado e consomem aproximadamente 3 megabytes (MB) de espaço. Isso pode fazer 
com que a pasta Volume de Sistema (SYSVOL) fique muito grande e aumente o tráfego 
de replicação. 
Arquivos ADMX 
O Windows Vista® e o Windows Server® 2008 introduziram um novo formato para 
exibir configurações de política baseadas em registro. Essas configurações são definidas 
usando um formato de arquivo XML baseado em padrões conhecido como arquivos 
ADMX. Esses arquivos novos substituem os arquivos ADM. 
As ferramentas de Política de grupo no Windows Vista e nos sistemas operacionais 
mais novos e no Windows Server 2008 continuam reconhecendo os arquivos ADM 
personalizados que você possui em seu ambiente, mas ignoram qualquer arquivo ADM 
que os arquivos ADMX substituíram. Diferente dos arquivos ADM, os arquivos ADMX 
126 
V 1.0 
não são armazenados em GPOs individuais. O Editor de GPO faz a leitura e exibe as 
configurações automaticamente do repositório de arquivo ADMX local. Por padrão, os 
arquivos são armazenados na pasta Windows\PolicyDefinitions, mas eles podem ser 
armazenados em um local central. 
Os arquivos ADMX apresentam um idioma neutro. As descrições de idioma simples das 
configurações não fazem parte dos arquivos ADMX. Eles são armazenados em arquivos 
ADML específicos do idioma. Isso significa que administradores que falam idiomas 
diferentes, como inglês e espanhol, podem consultar o mesmo GPO e ver as descrições 
da política em seu próprio idioma, porque eles podem usar seus próprios arquivos 
ADML específicos para o seu idioma. Os arquivos ADML são armazenados em uma 
subpasta da pasta PolicyDefinitions. Por padrão, apenas os arquivos de idioma ADML 
para o idioma do sistema operacional instalado são adicionados. 
 
O repositório central 
Para empresas baseadas em domínio, você pode criar um local de repositório central de 
arquivos ADMX, que todos que possuem permissões para criar ou editar GPOs podem 
acessar. O Editor de GPO no Windows Vista e no Windows Server 2008 (ou mais 
recente) faz a leitura e exibe as configurações de política do Modelo Administrativo 
automaticamente de todos os arquivos ADMX que o repositório central armazena em 
cache e ignora os que estão armazenados localmente. Se o controlador de domínio não 
estiver disponível, o repositório local será usado. 
Você deve criar o repositório central e atualizá-lo manualmente no controlador de 
domínio. O uso de arquivos ADMX é dependente do sistema operacional do 
computador onde você está criando ou editando o GPO. Portanto, o controlador de 
domínio pode ser um servidor com o Windows 2000 ou mais recente. O Serviço de 
Replicação de Arquivos (FRS) não replicará o controlador de domínio para os outros 
controladores daquele domínio. Dependendo da configuração e do sistema operacional 
de seu servidor, você pode usar FRS ou Replicação do Sistema de Arquivos Distribuído 
(DFS-R) para replicar os dados. 
Para criar um repositório central para os arquivos .admx e .adml, crie uma pasta 
chamada PolicyDefinitions no seguinte local: \\FQDN\SYSVOL\FQDN\policies 
Por exemplo, para criar um repositório central para o domínio Test.Microsoft.com, crie 
uma pasta PolicyDefinitions no seguinte local: 
\\Test.Microsoft.Com\SYSVOL\Test.Microsoft.Com\Policies 
Um usuário deve copiar todos os arquivos e subpastas da pasta PolicyDefinitions. A 
pasta PolicyDefinitions em um computador baseado em Windows 7 reside na pasta 
Windows. A pasta PolicyDefinitions armazena todos os arquivos .admx e .adml para 
todos os idiomas que estão habilitados no computador cliente. 
127 
V 1.0 
 
O que é redirecionamento de pasta? 
Você pode usar o recurso Redirecionamento de Pasta para gerenciar dados 
efetivamente, e opcionalmente, fazer backup de dados. Ao redirecionar pastas, você 
pode garantir o acesso de usuários aos dados independentemente dos computadores nos 
quais os usuários entram. O redirecionamento de pasta tem as seguintes características: 
• Ao redirecionar pastas, você altera o local de armazenamento delas, do disco rígido 
local no computador do usuário para uma pasta compartilhada em um servidor de 
arquivos de 
rede. 
• Após redirecionar uma pasta para um servidor de arquivos, ela ainda aparecerá para o 
usuário como se estivesse armazenada no disco rígido local. 
• Você pode usar a tecnologia de arquivo offline junto com redirecionamento para 
sincronizar dados na pasta redirecionada para o disco rígido local do usuário. Isso 
garante que os usuários terão acesso aos seus dados se uma interrupção de rede ocorrer 
ou se o usuário estiver trabalhando offline. 
 
Em um GPO, as configurações a seguir estão disponíveis para redirecionamento de 
pasta: 
• Nenhum. Nenhum é a configuração padrão. O redirecionamento de pasta não está 
habilitado. 
• Básico. Redirecionamento de pasta básico é para: 
o Usuários que devem redirecionar suas pastas para uma área comum. 
o Usuários que precisam que os dados sejam confidenciais. 
• Avançado. Você pode usar o redirecionamento avançado para especificar locais de 
rede diferentes para os grupos de segurança do Active Directory®. 
• Siga a pasta Documents. O redirecionamento de pasta Siga a pasta Documents está 
disponível somente para imagens, músicas e vídeos. Essa configuração torna a pasta 
afetada uma subpasta da pasta Documents. 
 
Locais de pasta de destino para configurações básicas e avançadas 
Se você escolher Básico ou Avançado, poderá escolher entre os seguintes locais de 
pasta de destino: 
128 
V 1.0 
• Criar uma pasta para cada usuário no caminho raiz. Essa opção criar uma pasta no 
formulário \\server\share\User Account Name\Folder Name. Por exemplo, se você 
desejar armazenar as configurações de área de trabalho de seus usuários em uma pasta 
compartilhada chamada Documents, em um servidor chamado LON-DC1, você pode 
definir o caminho de raiz como \\lon-dc1\Documents. 
 
Cada usuário tem um caminho exclusivo para a pasta redirecionada para assegurar a 
privacidade dos dados. Por padrão, esse usuário recebe direitos exclusivos em relação à 
pasta. No caso da pastaDocuments, o conteúdo atual da pasta é movido para o novo 
local. 
• Redirecionar para o seguinte local. Essa opção usa um caminho explícito para o local 
de redirecionamento. Faz com que vários usuários compartilhem o mesmo caminho para 
a pasta redirecionada. Por padrão, esse usuário recebe direitos exclusivos em relação à 
pasta. No caso da pasta Documents, o conteúdo atual da pasta é movido para o novo 
local. 
 
• Redirecionar para localização de perfil de usuário local. Essa opção move o local da 
pasta para o perfil do usuário local sobre a pasta Usuários. 
• Redirecionar para o diretório base do usuário. Essa opção está disponível somente 
para a pasta Documents. 
 
O que são preferências de Política de Grupo? 
As extensões de preferência da Política de Grupo incluem mais de 20 extensões de 
Política de Grupo que expandem o intervalo de definições configuráveis em um GPO. 
Você agora pode usar preferências para aplicar um número de configurações que tinham 
que ser aplicadas por meio de script anteriormente, como mapeamentos de unidade. 
As preferências de Política de Grupo são suportadas nativamente no Windows Server 
2008 e nas versões mais recentes e no Windows Vista Service Pack 2 (SP2) e versões 
mais recentes. Você pode baixar e instalar extensões do lado do cliente (CSEs) de 
preferências de Política de Grupo para o Windows Server 2003, Windows XP Service 
Pack 3 (SP3) e Windows Vista Service Pack 1 (SP1) para fornecer suporte a 
preferências nesses sistemas 
Comparação de preferências de Política de Grupo e Configurações GPO 
As preferências são semelhantes a políticas no sentido de que aplicam configurações ao 
usuário ou ao computador. Porém, há várias diferenças no modo em que você pode 
129 
V 1.0 
configurá-las e aplicá-las. Um dessas diferenças é que as preferências não são impostas. 
No entanto, você pode configurar preferências para serem reaplicadas automaticamente. 
A seguir está uma lista de diferenças entre configurações e preferências de Política de 
Grupo: 
• As configurações de preferência não são impostas. 
• As configurações de Política de grupo desabilita a interface de usuário para 
configurações que a política gerencia. As preferências não fazem isso. 
• As configurações da Política de Grupo são aplicadas em intervalos regulares. Você 
pode aplicar as preferências apenas uma vez ou em intervalos. 
• O usuário final pode alterar qualquer configuração de preferência que é aplicada 
através da Política de Grupo, mas as configurações de politica não deixam os usuários 
alterá-las. 
• Em alguns casos, você pode configurar as mesmas configurações através de uma 
configuração de política, assim como um item de preferência. Se configurações de 
Política de Grupo e de preferência conflitantes forem configuradas e aplicadas ao 
mesmo objeto, o valor da configuração de política sempre será aplicado. 
 
130 
V 1.0 
7: Configuração e solução de problemas de acesso remoto 
 
 
 
O recurso Serviços de Acesso e Política de Rede fornece as seguintes soluções de 
conectividade de rede: 
 
Solução Descrição 
NAP (Proteção de 
Acesso à Rede) 
NAP é uma tecnologia de criação, imposição e correção de 
políticas de integridade de clientes. Com NAP, os 
administradores do sistema podem estabelecer e impor 
políticas de integridade, que podem incluir requisitos de 
software, requisitos de atualização de segurança e outras 
configurações. Os computadores clientes que não estejam em 
conformidade com a política de integridade podem ter acesso 
de rede restrito até que sua configuração esteja atualizada e 
em conformidade com a política. 
Acesso seguro com e 
sem fio 
Quando você implanta pontos de acesso sem fio 802.1X, o 
acesso seguro sem fio oferece aos usuários sem fio um método 
de fácil implantação para autenticação segura baseada em 
senha. Quando você implanta chaves de autenticação 802.1X, 
o acesso com fio permite proteger sua rede assegurando a 
131 
V 1.0 
autenticação dos usuários da intranet antes que possam se 
conectar à rede ou obter um endereço IP usando DHCP. 
Gerenciamento 
centralizado de políticas 
de rede com servidor e 
proxy RADIUS 
Em vez de configurar a política de acesso à rede em cada 
servidor de acesso à rede, você pode criar políticas em um 
local que especifiquem todos os aspectos de solicitações de 
conexão à rede, inclusive quem está autorizado a conectar-se, 
quando eles podem estabelecer a conexão e o nível de 
segurança que devem utilizar para efetuar a conexão com a 
rede. 
 
Os serviços de função a seguir podem ser instalados com esta função. 
 
Serviço de 
função 
Descrição 
NPS (Servidor 
de Políticas de 
Rede) 
Você pode usar o NPS para gerenciar de modo centralizado o acesso 
à rede através de diversos servidores de acesso à rede, incluindo 
pontos de acesso sem fio, servidores VPN, servidores de conexão 
discada e chaves de autenticação 802.1X. Além disso, você pode usar 
o NPS para implantar autenticação de senha segura com EAP 
protegido (PEAP)-MS-CHAP v2 para conexões sem fio. O NPS 
também contém componentes-chave para a implantação do NAP na 
rede. 
Autoridade de 
Registro de 
Integridade 
(HRA) 
HRA é um componente de NAP que emite certificados de integridade 
para clientes aprovados na verificação da política de integridade 
executada pelo NPS com o uso do SoH cliente. A HRA é usada 
somente com o método de imposição NAP IPsec. 
Protocolo HCAP 
O protocolo HCAP permite integrar a solução Microsoft NAP com o 
Cisco Network Access Control Server. Quando você implanta o 
HCAP com NPS e NAP, o NPS pode executar avaliação de 
integridade de clientes e autorização de clientes de acesso Cisco 
802.1X. 
 
O que é a função Acesso Remoto? 
A função Acesso Remoto permite dar aos usuários acesso remoto à rede da organização 
usando uma das seguintes tecnologias: 
132 
V 1.0 
• Acesso VPN. Uma VPN fornece uma conexão ponto a ponto entre os componentes de 
uma rede privada por meio de uma rede pública, como a Internet. Os protocolos de 
encapsulamento permitem que um cliente VPN estabeleça e mantenha uma conexão 
com uma porta virtual de escuta do servidor VPN. Também é possível conectar filiais à 
rede com soluções VPN, implantar roteadores de 
software completos na rede e compartilhar conexões com a Internet pela intranet. 
• DirectAccess. O DirectAccess permite acesso remoto contínuo a recursos de intranet 
sem que o usuário estabeleça primeiro uma conexão VPN. O DirectAccess assegura 
conectividade contínua à infraestrutura do aplicativo para usuários internos e remotos. 
 
É possível implantar as seguintes tecnologias durante a instalação da função Acesso 
Remoto: 
• DirectAccess e RAS (serviço de acesso remoto) VPN. Usando DirectAccess e RAS 
VPN, é possível habilitar e configurar: 
o Soluções do DirectAccess para a organização. 
o Conexões VPN para dar aos usuários finais acesso remoto à rede da organização. 
• Roteamento. Ele fornece um roteador de software completo e uma plataforma aberta 
para roteamento e trabalho na Internet. Ele oferece serviços de roteamento para as 
empresas em ambientes de LAN e WAN (rede de longa distância). 
 
Quando você opta pelo roteamento, a NAT (conversão de endereços de rede) também é 
instalada. Quando você implanta a NAT, o servidor que está executando Acesso 
Remoto é configurado para compartilhar uma conexão de Internet com computadores 
em uma rede privada e converter o tráfego entre o endereço público e a rede privada. 
Usando a NAT, os computadores na rede privada obtêm certo nível de proteção, pois o 
roteador em que você configura a NAT não encaminha o tráfego da Internet para a rede 
privada, a menos que um cliente da rede privada solicite ou o tráfego seja 
explicitamente permitido. 
Ao implantar a VPN e a NAT, você configura o servidor que está executando o Acesso 
Remoto para oferecer a NAT à rede privada e aceitar conexões VPN. Os computadores 
na Internet não poderão determinar os endereços IPde computadores na rede privada. 
No entanto, os clientes VPN poderão se conectar aos computadores na rede privada, 
como se estivessem fisicamente conectados à mesma rede. 
 
Visão geral do acesso remoto 
133 
V 1.0 
Ao configurar o Roteamento e Acesso Remoto para funcionar como um servidor de 
acesso remoto, você pode conectar funcionários remotos ou móveis às redes da 
organização. Os usuários remotos podem trabalhar como se os seus computadores 
estivessem fisicamente conectados à rede. 
Todos os serviços normalmente disponíveis para um usuário conectado à LAN 
(incluindo compartilhamento de arquivo e de impressão, acesso ao servidor Web e 
sistema de mensagens) são habilitados por meio da conexão de acesso remoto. Como as 
letras de unidade e os nomes de convenção universal de nomenclatura (UNC) são 
totalmente suportados pelo acesso remoto, a maioria dos aplicativos comerciais e 
personalizados funciona sem modificação. 
Um servidor executando o Roteamento e Acesso Remoto oferece dois tipos diferentes 
de conectividade de acesso remoto: 
Rede virtual privada 
Uma rede virtual privada (VPN) é a criação de conexões ponto a ponto seguras em 
redes privadas ou públicas, como a Internet. Um cliente VPN usa protocolos especiais 
baseados em TCP/IP, denominados protocolos de encapsulamento, para realizar uma 
chamada virtual a uma porta virtual em um servidor VPN. O melhor exemplo de 
sistema de rede virtual privada é quando um cliente VPN estabelece uma conexão VPN 
com um servidor de acesso remoto que está conectado à Internet. O servidor de acesso 
remoto atende a chamada virtual, autentica o chamador e transfere os dados entre o 
cliente VPN e a rede corporativa. 
Ao contrário do sistema de rede dial-up, o sistema de rede virtual privada sempre é uma 
conexão lógica indireta entre o cliente VPN e o servidor VPN por uma rede pública, 
como a Internet. Para garantir a privacidade, é preciso criptografar os dados enviados 
pela conexão. 
Sistema de rede dial-up 
No sistema de rede dial-up, um cliente de acesso remoto estabelece uma conexão dial-
up não permanente a uma porta física em um servidor de acesso remoto usando o 
serviço de um provedor de telecomunicações, como um telefone analógico ou ISDN. O 
melhor exemplo de um sistema de rede dial-up é quando um cliente de sistema de rede 
dial-up disca o número de telefone das portas de um servidor de acesso remoto. 
O sistema de rede dial-up por um telefone analógico ou ISDN é uma conexão física 
direta entre o cliente do sistema de rede dial-up e o servidor do sistema de rede dial-up. 
É possível criptografar os dados enviados pela conexão, mas não é necessário. 
O que é acesso remoto dial-up? 
O acesso remoto dial-up é uma tecnologia de acesso remoto que está disponível como 
parte do Roteamento e Acesso Remoto incluído no Windows Server® 2008. 
134 
V 1.0 
As organizações precisam de uma solução simples que permita que os funcionários 
acessem remotamente contas de e-mail corporativo e arquivos compartilhados de casa 
ou de outros locais fora da rede corporativa. O acesso remoto dial-up fornece essa 
solução permitindo que um cliente de acesso remoto use a infra-estrutura da rede de 
longa distância (WAN) para conexão a um servidor de acesso remoto. 
Acesso remoto dial-up e VPN 
O acesso remoto do Windows Server 2008 oferece dois tipos diferentes de 
conectividade de acesso remoto: acesso remoto dial-up e acesso remoto de rede virtual 
privada (VPN). 
• Com o acesso remoto dial-up, um cliente de acesso remoto usa a infra-estrutura 
de telecomunicações para criar um circuito físico ou virtual temporário para uma 
porta em um servidor de acesso remoto. Após a criação do circuito físico ou 
virtual, os demais parâmetros de conexão podem ser negociados. 
• Com o acesso remoto de rede virtual privada, um cliente VPN usa uma rede IP, 
como a Internet, para criar uma conexão ponto a ponto virtual com um servidor 
de acesso remoto funcionando como o servidor VPN. Após a criação da conexão 
ponto a ponto virtual, os demais parâmetros de conexão podem ser negociados. 
Uma conexão de acesso remoto dial-up possui os seguintes componentes: 
• Cliente de acesso remoto 
• Servidor de acesso remoto 
• Infra-estrutura da WAN 
 
Cliente de acesso remoto 
Os clientes de acesso remoto que estiverem executando Windows Server 2008, 
Windows Server 2003, Windows XP, Windows 2000, Windows NT 4.0, 
Windows Millennium Edition e Windows 98 podem se conectar a um servidor de 
acesso remoto que estiver executando o Windows Server 2008. Praticamente qualquer 
cliente de acesso remoto PPP, incluindo UNIX e Macintosh, pode se conectar a um 
servidor de acesso remoto que estiver executando o Windows Server 2008. 
Servidor de acesso remoto 
135 
V 1.0 
O servidor de acesso remoto que estiver executando o Windows Server 2008 aceita 
conexões dial-up e encaminha pacotes entre os clientes de acesso remoto e a rede à qual 
o servidor de acesso remoto está conectado. 
Equipamento dial-up e infra-estrutura da WAN 
A conexão física ou lógica entre o servidor de acesso remoto e o cliente de acesso 
remoto é facilitada pelo equipamento dial-up instalado no cliente de acesso remoto, no 
servidor de acesso remoto e na infra-estrutura da WAN. A natureza do equipamento 
dial-up e da infra-estrutura da WAN varia, dependendo do tipo de conexão. Os métodos 
mais comuns de acesso remoto dial-up incluem: 
• Rede Telefônica Pública Comutada (PSTN) 
• Integrated Services Digital Network (ISDN) 
É possível usar um servidor executando o serviço de roteamento e acesso remoto para 
oferecer acesso dial-up a uma intranet corporativa. Para que o servidor de acesso remoto 
suporte várias conexões de rede dial-up baseadas em TCP/IP, complete as seguintes 
etapas: 
• Configure a conexão para a intranet. 
• Configure a conexão para os clientes da rede dial-up. 
• Configure as portas de discagem. 
• Configure o servidor de acesso remoto. 
• Configure o suporte a multicast. 
• Configure as diretivas da rede. 
A ilustração a seguir mostra os elementos de um servidor executando o serviço de 
roteamento e acesso remoto que oferece acesso dial-up a uma intranet corporativa. 
 
 
 
O que é VPN? 
136 
V 1.0 
As redes virtuais privadas (VPNs) são conexões ponto a ponto em redes privadas ou 
públicas, como a Internet. Um cliente VPN usa protocolos especiais baseados em 
TCP/IP, denominados protocolos de encapsulamento, para realizar uma chamada virtual 
a uma porta virtual em um servidor VPN. Em uma implantação VPN típica, o cliente 
inicia uma conexão virtual ponto a ponto com um servidor de acesso remoto pela 
Internet. O servidor de acesso remoto atende a chamada, autentica o chamador e 
transfere os dados entre o cliente VPN e a rede privada da organização. 
Para emular um link ponto a ponto, os dados são encapsulados, ou empacotados, com 
um cabeçalho. O cabeçalho fornece informações de roteamento que possibilitam que os 
dados atravessem a rede pública ou compartilhada para acessar o ponto de extremidade. 
Para emular um link particular, os dados enviados são criptografados por questão de 
confidencialidade. Os pacotes que são interceptados na rede pública ou compartilhada 
são indecifráveis sem as chaves de criptografia. O link em que os dados privados são 
encapsulados e criptografados são conhecidos como uma conexão VPN. 
A VPN Connection 
 
Existem dois tipos de conexão VPN: 
• VPN de acesso remoto 
• VPN site a site 
VPN de acesso remoto 
As conexões VPN de acesso remoto permitem que usuários que estejam trabalhando em 
casa ou em trânsito acessem um servidor em uma rede privada usando a infra-estrutura 
fornecida por uma rede pública, como a Internet. Do ponto de vista do usuário, a VPN é 
uma conexão ponto a ponto entre o computador (o cliente VPN) e um servidor da 
organização. A infra-estrutura exata da rede pública ou compartilhada é irrelevante 
137 
V 1.0 
porque ela aparece logicamente como se os dados fossem enviados por um linkparticular dedicado. 
VPN site a site 
As conexões VPN site a site (também conhecidas como conexões VPN roteador a 
roteador) permitem que as organizações mantenham conexões roteadas entre escritórios 
independentes ou com outras organizações em uma rede pública enquanto ajudam a 
manter a segurança das comunicações. Uma conexão VPN roteada pela Internet 
funciona logicamente como um link dedicado de rede de longa distância (WAN). 
Quando as redes são conectadas pela Internet, como mostra a figura a seguir, um 
roteador encaminha os pacotes a outro roteador por meio de uma conexão VPN. Para os 
roteadores, a conexão VPN funciona como um link de camada de vínculo de dados. 
Uma conexão VPN site a site conecta duas partes de uma rede privada. O servidor VPN 
fornece uma conexão roteada com a rede à qual o servidor VPN está conectado. O 
roteador de chamada (o cliente VPN) realiza sua própria autenticação para o roteador de 
resposta (o servidor VPN) e, para autenticação mútua, o roteador de resposta realiza sua 
própria autenticação para o roteador de chamada. Geralmente, em uma conexão VPN 
site a site, os pacotes enviados de qualquer um dos roteadores pela conexão VPN não 
são originados nos roteadores. 
VPN conectando dois sites remotos pela Internet 
 
Propriedades das conexões VPN 
As conexões VPN que usam PPTP, L2TP/IPsec e SSTP têm as seguintes propriedades: 
• Encapsulamento 
• Autenticação 
• Criptografia de dados 
Encapsulamento 
Com a tecnologia VPN, os dados particulares são encapsulados com um cabeçalho que 
contém informações de roteamento que permitem que os dados atravessem a rede de 
tráfego. 
138 
V 1.0 
Autenticação 
A autenticação de conexões VPN ocorre de três formas diferentes: 
1. Autenticação no nível do usuário usando PPP 
 
Para estabelecer a conexão VPN, o servidor VPN autentica o cliente VPN que 
está tentando a conexão usando um método de autenticação no nível do usuário 
do protocolo PPP e verifica se o cliente VPN possui a autorização apropriada. Se 
for usada a autenticação mútua, o cliente VPN também autenticará o servidor 
VPN que fornece proteção contra computadores que estejam mascarados como 
servidores VPN. 
2. Autenticação no nível do computador usando protocolo IKE 
 
Para estabelecer uma associação de segurança IPsec, o cliente VPN e o servidor 
VPN usam o protocolo IKE para trocar certificados de computador ou uma 
chave pré-compartilhada. Em qualquer um dos casos, o cliente e o servidor VPN 
autenticam um ao outro no nível do computador. A autenticação de certificado 
de computador é altamente recomendada porque é um método de autenticação 
muito mais eficaz. A autenticação no nível do computador é realizada apenas 
para conexões L2TP/IPsec. 
3. Autenticação da origem dos dados e integridade dos dados 
 
Para verificar se os dados enviados na conexão VPN se originaram na outra 
extremidade da conexão e não foram modificados em trânsito, os dados contêm 
uma soma de verificação criptográfica baseada em uma chave de criptografia 
conhecida apenas pelo remetente e pelo destinatário. A autenticação da origem 
dos dados e integridade dos dados estão disponíveis apenas para conexões 
L2TP/IPsec. 
Criptografia de dados 
Para garantir a confidencialidade dos dados que atravessam a rede de tráfego pública ou 
compartilhada, os dados são criptografados pelo remetente e descriptografados pele 
destinatário. Os processos de criptografia e descriptografia dependem do fato de tanto o 
remetente quanto o destinatário usarem uma chave de criptografia comum. 
Os pacotes interceptados enviados durante a conexão VPN na rede de tráfego são 
ininteligíveis para qualquer parte que não tenha a chave de criptografia comum. O 
comprimento da chave de criptografia é um parâmetro de segurança importante. É 
possível usar técnicas de computação para determinar a chave de criptografia. No 
entanto, quanto maiores forem as chaves de criptografia, essas técnicas precisarão de 
mais eficiência de computação e tempo computacional. Sendo assim, é importante usar 
o maior tamanho de chave possível para garantir a confidencialidade. 
139 
V 1.0 
Protocolos de encapsulamento de VPN 
É possível encapsular um pacote de um tipo de protocolo no datagrama de um protocolo 
diferente. Por exemplo, o VPN usa PPTP para encapsular pacotes IP em uma rede 
pública, como a Internet. É possível configurar uma solução VPN baseada em protocolo 
PPTP, L2TP ou SSTP. 
Os protocolos PPTP, L2TP e SSTP dependem muito dos recursos originalmente 
especificados para o protocolo PPP. O PPP foi criado para enviar dados por conexões 
dial-up ou ponto a ponto dedicada. No caso do IP, o PPP encapsula pacotes IP nos 
quadros PPP e, em seguida, transmite os pacotes PPP encapsulados por meio de um link 
ponto a ponto. O PPP foi originalmente definido como o protocolo a ser usado entre um 
cliente dial-up e o servidor de acesso à rede. 
PPTP 
O PPTP permite que o tráfego de protocolos múltiplos seja criptografado e, depois, 
encapsulado em um cabeçalho IP para ser enviado por meio de uma rede IP ou uma rede 
IP pública, como a Internet. O PPTP pode ser usado para conexões de acesso remoto e 
VPN site a site. Ao usar a Internet como a rede pública para VPN, o servidor PPTP é 
um servidor VPN habilitado para PPTP com uma interface na Internet e uma segunda 
interface na intranet. 
Encapsulamento 
O PPTP encapsula os quadros PPP em datagramas IP para transmissão pela rede. O 
PPTP usa uma conexão TCP para o gerenciamento de encapsulamento e uma versão 
modificada do Encapsulamento de Roteamento Genérico (GRE) para encapsular 
quadros PPP para os dados encapsulados. A carga dos quadros PPP encapsulados pode 
ser descriptografada, compactada ou ambos. A figura a seguir mostra a estrutura de um 
pacote PPTP contendo um datagrama IP. 
Criptografia 
O quadro PPP é criptografado com a criptografia ponto a ponto da Microsoft (MPPE) 
usando chaves de criptografia geradas pelo processo de autenticação MS-CHAP v2 ou 
EAP-TLS. Os clientes da rede virtual privada devem usar o protocolo de autenticação 
MS-CHAP v2 ou EAP-TLS para que as cargas dos quadros PPP sejam criptografadas. 
O PPTP está usufruindo dos benefícios da criptografia PPP subjacente e encapsulando 
um quadro PPP previamente criptografado. 
L2TP 
O L2TP permite que o tráfego de protocolos múltiplos seja criptografado e depois 
enviado por qualquer meio que ofereça suporte à entrega de datagrama ponto a ponto, 
como IP ou modo de transferência assíncrona (ATM). O L2TP é uma combinação do 
140 
V 1.0 
PPTP e do Encaminhamento da Camada 2 (L2F), uma tecnologia desenvolvida pela 
Cisco Systems, Inc. O L2TP inclui os melhores recursos do PPTP e L2F. 
Ao contrário do PPTP, a implementação da Microsoft do L2TP não usa MPPE para 
criptografar os datagramas PPP. O L2TP utiliza o protocolo IPSec (Internet Protocol 
Security) no Modo de Transporte para os serviços de criptografia. A combinação de 
L2TP e IPsec é conhecida como L2TP/IPsec. 
Tanto o L2TP quanto o IPsec devem ser suportados pelo cliente VPN e pelo servidor 
VPN. O suporte do cliente ao L2TP é um recurso interno dos clientes de acesso remoto 
do Windows Vista® e Windows XP e o suporte do servidor VPN ao L2TP é um recurso 
interno dos membros da família do Windows Server® 2008 e do Windows Server 2003. 
O L2TP é instalado com o protocolo TCP/IP. 
Criptografia 
A mensagem L2TP é criptografada com Padrão de Criptografia de Dados (DES) ou 
DES Triplo (3DES) usando chaves de criptografia geradas pelo processo de negociação 
do protocolo IKE. 
SSTP 
O protocolo SSTP é um novo protocolo de encapsulamento que usa o protocolo HTTPS 
pela porta TCP 443 para possibilitar o fluxo do tráfego pelos firewalls e proxies da Web 
que poderiam bloquear o tráfego PPTP e L2TP/IPsec. O SSTP oferece um mecanismo 
de encapsulamento do tráfego PPP sobre o canal do protocolo SSL do protocolo 
HTTPS. O uso do PPP possibilita o suporte a métodos de autenticação fortes, como o 
EAP-TLS. O SSL oferece segurançaé uma solicitação de resolução de nomes enviada a um servidor DNS. 
Podemos classificá-las em dois tipos: 
Consulta Recursiva – As consultas recursivas podem ser iniciadas por um cliente DNS 
ou por um servidor DNS que esteja configurado para encaminhadores. A consulta 
recursiva passa a responsabilidade do fornecimento de uma resposta final para o 
servidor consultado. A resposta a uma consulta recursiva sempre será positiva ou 
negativa. Um encaminhador é um servidor DNS designado por outros servidores DNS 
internos para encaminhar consultas a fim de resolver nomes de domínios DNS externos 
ou fora do local. 
Consulta Iterativa – Uma consulta iterativa é uma consulta feita em um servidor DNS 
no qual o cliente DNS solicita a melhor resposta que o servidor DNS pode oferecer sem 
buscar ajuda em outros servidores DNS. As consultas são também denominadas não 
recursivas. O resultado de uma consulta iterativa é geralmente uma referência a outro 
servidor DNS localizado em um nível inferior da árvore DNS. As respostas a consulta 
iterativas podem ser: positivas, negativas ou referências a outros servidores. Em 
condições normais as consultas iterativas são respondidas por servidores raiz, que são os 
servidores responsáveis pela delegação dos domínios de nível superior. Os servidores 
Raiz são mantidos na Internet pelo InterNIC. 
 
O servidor DNS em Windows Server® 2012 é compatível com o conjunto Requests for 
Comments (RFCs) que define e padroniza o protocolo DNS. Como o serviço Servidor 
DNS é compatível com RFC e pode usar formatos padrão de arquivo de dados DNS e 
de registros de recursos, pode funcionar bem com a maioria das outras implementações 
14 
V 1.0 
de servidor DNS, como aquelas que usam o software Berkeley Internet Name Domain 
(BIND). 
Além disso, o servidor DNS no Windows Server 2012 oferece as seguintes vantagens 
especiais em redes baseadas em Windows®: 
• Suporte para Serviços de Domínio Active Directory® (AD DS) 
 
O DNS é necessário para o suporte do AD DS. Se você instalar a função 
Serviços de Domínio Active Directory em um servidor, pode instalar e 
configurar automaticamente um servidor DNS, se não for possível localizar um 
servidor DNS que atenda aos requisitos do AD DS. 
 
As zonas DNS podem ser armazenadas nas partições de diretório de domínios 
ou de aplicativos do AD DS. Uma partição é um contêiner de dados no AD DS 
que diferencia os dados para diversas finalidades de replicação. Você pode 
especificar em que partição do Active Directory a zona será armazenada e, 
conseqüentemente, o conjunto de controladores de domínio no qual os dados 
dessa zona serão replicados. 
 
Em termos gerais, é altamente recomendável o uso do serviço DNS Server do 
Windows Server 2008 para que haja melhor suporte e integração possíveis do 
AD DS, além de recursos de servidor DNS aprimorados. Você pode, no entanto, 
usar outro tipo de servidor DNS para oferecer suporte à implantação do AD DS. 
• Zonas de stub 
 
O DNS executado no Windows Server 2012 oferece suporte a um tipo de zona 
chamado zona de stub. Trata-se de uma cópia de uma zona que contém somente 
os registros de recursos necessários à identificação dos servidores DNS 
autoritativos para essa zona. Uma zona de stub mantém informado um servidor 
DNS que hospeda uma zona pai sobre os servidores DNS autoritativos para sua 
zona filha. Isso ajuda a manter a eficiência da resolução de nomes DNS. 
• Integração com outros serviços de rede da Microsoft 
 
O serviço Servidor DNS oferece integração com outros serviços e contém 
recursos além daqueles especificados nas RFCs do DNS. Esses recursos incluem 
a integração com outros serviços, como AD DS, Serviço de Cadastramento na 
Internet do Windows (WINS) e Protocolo DHCP. 
• Mais facilidade de administração 
 
O snap-in do DNS no Console de Gerenciamento Microsoft (MMC), oferece 
uma interface gráfica do usuário (GUI) para o gerenciamento do serviço 
Servidor DNS. Além disso, existem vários assistentes de configuração a 
execução de tarefas comuns de administração do servidor. Além do console do 
DNS, outras ferramentas foram fornecidas para ajudá-lo a gerenciar melhor e a 
oferecer suporte aos servidores e clientes DNS da sua rede. 
15 
V 1.0 
• Suporte ao protocolo de atualização dinâmica em conformidade com a RFC 
 
Os clientes podem usar o serviço Servidor DNS para atualizar dinamicamente os 
registros de recursos, com base no protocolo de atualização dinâmica (RFC 
2136). Isso aperfeiçoa a administração do DNS ao reduzir o tempo necessário 
para o gerenciamento manual desses registros. Os computadores que estiverem 
executando o serviço Cliente DNS poderão registrar seus nomes DNS e 
endereços IP dinamicamente. Além disso, o serviço Servidor DNS e os clientes 
DNS podem ser configurados para executar atualizações seguras, um recurso 
que permite que apenas usuários autenticados, com os devidos direitos, 
atualizem registros de recursos no servidor. As atualizações dinâmicas seguras 
estão disponíveis somente para zonas integradas ao AD DS. 
• Suporte para transferência de zona incremental entre servidores 
 
As transferências de zona replicam informações sobre uma parte do namespace 
DNS entre servidores DNS. As transferências de zona incrementais replicam 
somente as partes alteradas de uma zona, que conserva a largura de banda da 
rede. 
• Encaminhadores condicionais 
 
O serviço Servidor DNS estende uma configuração de encaminhador padrão 
com encaminhadores condicionais. Um encaminhador condicional é um servidor 
DNS de uma rede que encaminha consultas DNS de acordo com o nome de 
domínio DNS na consulta. Por exemplo, um servidor DNS pode ser configurado 
para encaminhar todas as consultas recebidas sobre nomes que terminam com 
vendas.fabrikam.com para o endereço IP de um servidor DNS específico ou para 
os endereços IP de vários servidores DNS. 
Todas as redes TCP/IP além daquelas mais simples exigem acesso a um ou mais 
servidores DNS para que funcionem corretamente. Sem a resolução de nome e os outros 
serviços oferecidos pelos servidores DNS, o acesso de clientes a computadores host 
remotos seria enormemente difícil. Por exemplo, sem acesso a um servidor DNS, a 
navegação na World Wide Web seria praticamente impossível: a grande maioria dos 
links de hipertexto publicada na Web usa o nome DNS de hosts da Web, não seus 
endereços IP. O mesmo princípio é aplicável a intranets, pois os usuários dos 
computadores raramente conhecem os endereços IP dos computadores em sua rede local 
(LAN). 
 
As novas funcionalidades no Servidor DNS do Windows Server 2012 incluem o 
seguinte: 
• O suporte a DNSEEC (Extensões de Segurança DNS) foi estendido para incluir 
assinatura online e gerenciamento de chaves automatizado. Para obter mais 
informações sobre DNSSEC: 
1. Suporte a cenários de DNS integrado ao Active Directory, incluindo 
atualizações dinâmicas de DNS em zonas assinadas por DNSSEC. 
2. Suporte a padrões de DNSSEC atualizados, inclusive NSEC3 e 
RSA/SHA-2. 
16 
V 1.0 
3. Distribuição automatizada de âncoras de confiança por meio do Active 
Directory. 
4. Suporte à substituição automatizada de âncoras de segurança de acordo 
com RFC 5011. 
5. Interface do usuário atualizada com assistentes de implantação e 
gerenciamento 
6. Validação de registros assinados com padrões DNSSEC atualizados 
(NSEC3, RSA/SHA-2). 
7. Extração fácil da âncora de confiança raiz. 
• A configuração e o gerenciamento de DNS foram bastante aprimorados com o 
Windows PowerShell, incluindo: 
1. Paridade com a interface do usuário e dnscmd.exe. 
2. Instalação/remoção da função Servidor DNS usando o Windows 
PowerShell. 
3. Consulta ao cliente do Windows PowerShell com resultados de validação 
DNSSEC. 
4. A configuração do servidor é habilitada para computadores que 
executam sistemas operacionais mais antigos. 
 
 
Zona GlobalNames 
Hoje, muitos clientes Microsoft implantam WINS em suas redes. Como protocolo de 
resolução de nomes, o WINS é freqüentemente usadono nível de transporte com verificação avançada da 
negociação, criptografia e integridade da chave. 
Quando um cliente tenta estabelecer uma conexão VPN baseada em SSTP, o SSTP 
primeiro estabelece uma camada HTTPS bidirecional com o servidor SSTP. Por essa 
camada HTTPS, o protocolo empacota o fluxo como a carga de dados. 
Encapsulamento 
O SSTP encapsula os quadros PPP em datagramas IP para transmissão pela rede. O 
SSTP usa uma conexão TCP (pela porta 443) para gerenciamento de encapsulamento e 
de quadros de dados PPP. 
Criptografia 
A mensagem SSTP é criptografada com o canal SSL do protocolo HTTPS. 
Escolhendo entre os protocolos de encapsulamento 
Ao escolher entre as soluções VPN de acesso remoto PPTP, L2TP/IPsec e SSTP, leve 
em consideração o seguinte: 
141 
V 1.0 
• O PPTP pode ser usado com diversos clientes Microsoft, incluindo Microsoft 
Windows 2000, Windows XP, Windows Vista e Windows Server 2008. Ao 
contrário do L2TP/IPsec, o PPTP não requer o uso de uma infra-estrutura de 
chave pública (PKI). Usando criptografia, as conexões VPN baseadas em PPTP 
oferecem confidencialidade de dados (pacotes capturados não podem ser 
interpretados sem a chave de criptografia). No entanto, as conexões VPN 
baseadas em PPTP não oferecem integridade de dados (prova de que os dados 
não foram modificados em trânsito) ou autenticação de origem dos dados (prova 
de que os dados foram enviados pelo usuário autorizado). 
• O L2TP pode ser usado apenas com computadores cliente que estejam 
executando Windows 2000, Windows XP ou Windows Vista. O L2TP oferece 
suporte a certificados de computador ou a uma chave pré-compartilhada como o 
método de autenticação do IPsec. A autenticação de certificado de computador, 
que corresponde ao método de autenticação recomendado, requer que uma PKI 
emita os certificados de computador para o computador do servidor VPN e todos 
os computadores cliente VPN. O uso de conexões VPN IPsec, L2TP/IPsec 
oferece confidencialidade, integridade e autenticação de dados. 
 
Ao contrário do PPTP e do SSTP, o L2TP/IPsec possibilita a autenticação de 
máquina na camada do IPsec e autenticação no nível do usuário na camada PPP. 
• O SSTP pode ser usado apenas com computadores cliente que estejam 
executando Windows Vista Service Pack 1 (SP1) ou Windows Server 2008. O 
uso de conexões VPN SSL, SSTP oferece confidencialidade, integridade e 
autenticação de dados. 
• Os três tipos de encapsulamento transportam quadros PPP na parte superior da 
pilha de protocolos de rede. Sendo assim, os recursos comuns do PPP, como 
esquemas de autenticação, negociação do IPv4 e do IPV6 e Proteção de Acesso 
à Rede (NAP), permanecem iguais para os três tipos de encapsulamento. 
O que é NAT? 
A conversão de endereços de rede (NAT) permite converter endereços IPv4 de 
computadores em uma rede em endereços IPv4 de computadores em outra rede. Um 
roteador IP com recurso de NAT instalado no ponto de conexão entre uma rede privada 
(como a rede de uma empresa) e uma rede pública (como a Internet), permite aos 
computadores da rede privada acessar os computadores da rede pública, graças ao 
serviço de conversão oferecido. 
A tecnologia NAT foi desenvolvida para oferecer uma solução temporária para a 
escassez de endereços IPv4. O número de endereços IPv4 únicos disponíveis 
globalmente (ou seja, públicos) é pequeno demais para acomodar o número crescente de 
computadores que precisa acessar a Internet. Embora já exista uma solução a longo 
prazo — o desenvolvimento de endereços IPv6 — IPv6 ainda não é amplamente 
142 
V 1.0 
adotado. A tecnologia NAT permite aos computadores de qualquer rede usar endereços 
privados reutilizáveis para conectar a computadores com endereços públicos na Internet. 
No Windows Server® 2008, o serviço de roteamento e acesso remoto oferece suporte a 
uma solução NAT através da configuração opcional de um componente de protocolo de 
roteamento com recurso de conversão de endereços de rede. Os computadores em uma 
rede privada podem acessar uma rede pública através de um roteador com recurso NAT 
instalado executando o serviço de roteamento e acesso remoto. Todo o tráfego de 
entrada ou saída da rede privada deve passar por este roteador. 
 
NAT consiste dos seguintes componentes: 
 
Componente Descrição 
Conversão 
O servidor executando o serviço de roteamento e acesso remoto com 
recurso NAT instalado converte os endereços IP e os números das 
portas TCP/UDP dos pacotes enviados entre a rede privada e a 
Internet. 
Endereçamento 
O computador que faz a conversão de endereços da rede fornece as 
informações de configuração de endereço IP aos outros computadores 
da rede doméstica. O componente de endereçamento é um servidor 
DHCP simplificado que aloca um endereço IP, uma máscara de sub-
rede, um gateway padrão e o endereço IP de um servidor DNS. Os 
computadores na rede doméstica devem ser configurados como 
clientes DHCP para que possam receber automaticamente as 
configurações IP. 
Resolução de 
nomes 
O computador que converte os endereços da rede passa a funcionar 
como servidor DNS para os outros computadores da rede doméstica. 
Quando os pedidos de resolução de nome são recebidos por esse 
computador, ele os encaminha ao servidor DNS baseado na Internet 
para o qual foi configurado e retorna as respostas ao computador da 
143 
V 1.0 
rede doméstica. 
 
Considerações adicionais 
Como NAT inclui componentes de endereçamento e resolução de nomes que fornecem 
serviços DHCP e DNS a hosts da rede privada, não é possível executar: 
• O serviço DHCP ou o agente de retransmissão DHCP se o endereçamento NAT 
estiver ativado. 
• O serviço DNS se a resolução de nomes de rede NAT TCP/IP estiver habilitada. 
 
Usar NAT e VPN 
O uso da conversão de endereço de rede (NAT) em um ou nos dois lados de uma 
conexão entre escritórios em diferentes localizações geográficas é uma opção de 
implantação comum. O serviço Roteamento e Acesso Remoto no 
Windows Server® 2008 oferece dois tipos de conexão site a site de rede virtual privada 
(VPN). A tabela a seguir descreve as circunstâncias em que é possível usar NAT junto 
com uma conexão VPN. 
 
Tipo de 
conexão site 
a site VPN 
É possível usar 
NAT? 
Descrição 
VPN PPTP Sim 
Na maioria dos casos, é possível localizar roteadores de 
chamada baseados em PPTP atrás de um roteador 
habilitado para NAT (ou configurar um computador 
como roteador de chamada e roteador habilitado para 
NAT) a fim de possibilitar que computadores com 
endereços particulares em um escritório de pequeno 
porte ou em uma rede residencial compartilhem uma 
única conexão com a Internet. Com VPN, a conexão 
site a site do escritório de pequeno porte para o 
escritório principal é “encapsulada” pela Internet. A 
NAT no serviço Roteamento e Acesso Remoto no 
Windows Server 2008 inclui um editor de NAT que 
pode converter com precisão os dados encapsulados por 
PPTP. 
VPN Sim, mas Com os roteadores de chamada ou de resposta baseados 
144 
V 1.0 
L2TP/IPsec apenas se você 
usar o recurso 
IPsec NAT 
Traversal 
(NAT-T) 
no Windows Server 2008, é possível usar o recurso 
IPsec (Internet Protocol security) denominado NAT 
Traversal (NAT-T) para criar conexões L2TP/IPsec 
pelas NATs. O uso do recurso NAT-T requer a 
execução do Windows Server 2008 nos roteadores de 
chamada e de resposta (ou roteadores Cisco 
devidamente configurados). Com o NAT-T, os 
computadores com endereços particulares ocultos atrás 
de uma NAT podem usar IPsec para se conectarem a 
um local remoto se esses computadores tiverem a 
atualização do NAT-T instalada (para computadores 
executando o Windows Vista® ou o Windows XP 
Professional Service Pack 1). Como não existe um 
editor de NAT para L2TP/IPsec, a única maneira de 
usar a NAT é implementando o recurso NAT-T IPsec. 
SSTP Sim 
Clientes e servidores VPN baseados em SSTP podem 
estar localizados atrás de um roteador habilitado para 
NAT. 
IKEv2 
IKEv2 usa o protocolo IPsec Tunnel Mode via portaUDP 500. O IKEv2 dá suporte à 
mobilidade tornando-o uma boa opção de protocolo para uma força de trabalho móvel. 
As VPNs baseadas em IKEv2 permitem que os usuários alternem facilmente pontos de 
acesso sem fio ou conexões sem e com fio. 
O uso do IKEv2 e do IPsec habilita o suporte para métodos seguros de autenticação e 
criptografia. 
• Encapsulamento. IKEv2 encapsula datagramas usando ESP ou AH IPsec para 
transmissão pela rede. 
• Criptografia. a mensagem é criptografada com um dos protocolos a seguir usando 
chaves de criptografia que são geradas no processo de negociação do IKEv2: algoritmos 
de criptografia AES 256, AES 192, AES 128 e 3DES. 
IKEv2 só é compatível em computadores nos quais estejam em execução Windows 7, 
Windows 8, Windows Server 2008 R2 e Windows Server 2012. IKEv2 é o protocolo de 
encapsulamento VPN padrão no Windows 7 e no Windows 8. 
O que é uma Reconexão VPN? 
Em cenários de negócios dinâmicos, os usuários devem poder acessar os dados com 
segurança a qualquer momento, de qualquer lugar, e acessá-los continuamente, sem 
interrupção. Por exemplo, talvez os usuários queiram acessar com segurança dados que 
estejam no servidor da empresa, a partir de uma filial ou enquanto estiverem viajando. 
145 
V 1.0 
Para atender a esse requisito, é possível configurar o recurso Reconexão VPN que está 
disponível no Windows Server 2012, no Windows Server 2008 R2, no Windows 8 e no 
Windows 7. Com esse recurso, os usuários podem acessar os dados da empresa usando 
uma conexão VPN, que reconectará automaticamente se a conectividade for 
interrompida. A Reconexão VPN também permite roaming entre redes diferentes. 
A Reconexão VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contínua e 
consistente. Os usuários que se conectam via banda larga móvel sem fio são os que mais 
aproveitarão esse recurso. Pense em um usuário com um laptop que esteja executando o 
Windows 8. Quando viaja de trem a trabalho, o usuário se conecta à Internet com um 
cartão de banda larga móvel sem fio e estabelece uma conexão VPN com a rede da 
empresa. Quando o trem passa por um túnel, a conexão com a Internet é perdida. Depois 
que o trem sai do túnel, o cartão de banda larga móvel sem fio se reconecta 
automaticamente à Internet. Nas versões anteriores do sistemas operacionais cliente e 
servidor do Windows, a VPN não se reconectava automaticamente. Por isso, o usuário 
teria que repetir o processo de várias etapas de conexão com a VPN manualmente. Essa 
tarefa era demorada e frustrante para usuários móveis com conectividade intermitente. 
Com a Reconexão VPN, o Windows Server 2012 e o Windows 8 restabelecem 
conexões VPN ativas automaticamente quando a conectividade com a Internet é 
restabelecida. Ainda que a reconexão possa demorar alguns segundos, os usuários não 
precisam restabelecer a conexão manualmente ou se autenticar novamente para 
acessarem os recursos de rede internos. 
 
O que é uma política de rede? 
Uma política de rede é um conjunto de condições, restrições e configurações que 
permitem designar quem está autorizado a se conectar à rede e as circunstâncias nas 
quais é possível se conectar ou não. Além disso, quando você implanta a NAP, a 
política de integridade é adicionada à configuração de políticas de rede para que o NPS 
faça as verificações de integridade do cliente durante o processo de autorização. 
É possível exibir políticas de rede como regras: cada regra tem um conjunto de 
condições e configurações. O NPS compara as condições da regra com as propriedades 
das solicitações de conexão. Se ocorrer uma correspondência entre a regra e a 
solicitação de conexão, as configurações definidas na regra serão aplicadas à conexão. 
Quando você configurar várias políticas de rede no NPS, elas se tornarão um conjunto 
ordenado de regras. O NPS verificará cada solicitação de conexão com a primeira regra 
da lista, depois com a segunda, e assim sucessivamente, até encontrar uma 
correspondência. 
 
Função de servidor unificada DirectAccess e RRAS 
146 
V 1.0 
 
O Windows Server 2008 R2 introduziu o DirectAccess, um novo recurso de acesso 
remoto que permite conectividade com recursos de rede corporativos, mas sem precisar 
de conexões tradicionais de VPN (Rede Virtual Privada). O DirectAccess dá suporte 
apenas para os clientes da edição Windows 7 Enterprise e Ultimate associados ao 
domínio. O RRAS (Servidor de Roteamento e Acesso Remoto) do Windows oferece 
conectividade tradicional de VPN para clientes herdados, clientes que não ingressaram 
no domínio e clientes VPN de terceiros. O RRAS também fornece conexões site a site 
entre servidores. No Windows Server 2008 R2, o RRAS não pode coexistir no mesmo 
servidor de borda do DirectAccess e deve ser implantado e gerenciado de forma 
separada do DirectAccess. 
O Windows Server 2012 combina o recurso DirectAccess e o serviço de função RRAS 
em uma nova função de servidor unificada. Essa nova função de servidor Acesso 
Remoto permite administração centralizada, configuração e monitoramento de serviços 
de acesso remoto baseados em DirectAccess e VPN. Além disso, o DirectAccess do 
Windows Server 2012 fornece várias atualizações e melhorias para lidar com 
bloqueadores de implantação e simplificar o gerenciamento. 
O que é o DirectAccess? 
O recurso DirectAccess no Windows Server 2012 permite o acesso remoto contínuo aos 
recursos da intranet sem primeiro estabelecer uma conexão VPN iniciada pelo usuário. 
O recurso DirectAccess também garante conectividade contínua à infraestrutura de 
aplicativo para usuários internos e remotos. 
Diferentemente das VPNs tradicionais, que exigem intervenção do usuário para iniciar 
uma conexão com uma intranet, o DirectAccess permite que qualquer aplicativo 
compatível com IPv6 no computador cliente tenha acesso completo aos recursos da 
intranet. O DirectAccess também permite especificar recursos e aplicativos no lado do 
cliente que sejam restritos para acesso remoto. 
As organizações podem aproveitar o DirectAccess fornecendo uma maneira na qual a 
equipe de IT possa gerenciar computadores remotos como gerenciariam computadores 
locais. Usando o mesmo gerenciamento e os servidores de atualização, você pode 
garantir que computadores remotos estejam sempre atualizados e em conformidade com 
as políticas de segurança e do sistema de saúde. Também é possível definir políticas 
mais detalhadas de controle de acesso para acesso remoto em comparação com a 
definição de políticas de controle de acesso em soluções VPN. 
 
O DirectAccess oferece os seguintes recursos: 
• Conecta-se automaticamente à intranet corporativa quando conectado à Internet. 
147 
V 1.0 
• Usa vários variados, inclusive HTTPS, para estabelecer conectividade IPv6 — HTTPS 
normalmente é permitido por firewalls e servidores proxy. 
• Oferece suporte ao acesso de servidor selecionado e à autenticação IPsec completa 
com servidores de rede da intranet. 
• Oferece suporte à criptografia e à autenticação completa com servidores de rede da 
intranet. 
• Oferece suporte ao gerenciamento de computadores cliente remotos. 
• Permite que usuários remotos se conectem diretamente aos servidores da intranet 
 
Componentes do DirectAccess 
Para implantar e configurar o DirectAccess, a organização deve dar suporte aos 
seguintes componentes da infraestrutura: 
• Servidor do DirectAccess 
• Clientes do DirectAccess 
• Servidor do local da rede 
• Recursos internos 
• Domínio do AD DS 
• Política de Grupo 
• PKI (opcional para a rede interna) 
• Servidor DNS 
• Servidor NAP 
Requisitos do servidor do DirectAccess 
Para implantar o DirectAccess, você precisa garantir que o servidor atenda os seguintes 
requisitos de hardware e de rede: 
• O servidor deve estar associado a um domínio do AD DS. 
• O servidor deve ter o sistema operacional Windows Server 2012 ou Windows Server 
2008 R2 instalado. 
• O Windows Server 2012 que será instalado 
como o servidor do DirectAccesssó pode ter um adaptador de rede instalado, conectado 
à intranet e publicado no TMG (Microsoft Forefront Threat Management Gateway) ou 
148 
V 1.0 
no UAG (Microsoft Forefront Unified Access Gateway) 2010 para conexão com a 
Internet. No cenário de implantação no qual o DirectAccess é instalado em um servidor 
de Borda, ele precisa ter dois adaptadores de rede: um conectado à rede interna e outro 
conectado a uma rede externa. Um servidor de borda é qualquer servidor que resida na 
borda entre duas ou mais redes, normalmente uma rede privada e a Internet. 
• A implementação do DirectAccess no Windows Server 2012 não exige que dois 
endereços IPv4 públicos estáticos consecutivos sejam atribuídos ao adaptador de rede. 
• É possível desconsiderar a necessidade de um endereço público adicional implantando 
o DirectAccess do Windows Server 2012 atrás de um dispositivo NAT, com suporte a 
uma única interface ou a várias. Nessa configuração, o IP-HTTPS (IP via HTTP) é 
implantado, o que permite estabelecer um túnel IP seguro usando uma conexão HTTP 
segura. 
• No servidor do DirectAccess, é possível instalar a função Acesso Remoto para definir 
as configurações do servidor e dos clientes do DirectAccess, além de monitorar o status 
do servidor do DirectAccess. O Assistente de Acesso Remoto oferece a opção de 
configurar apenas o DirectAccess, somente VPN, ou ambos os cenários no mesmo 
servidor que está executando o Windows Server 2012. Isso não era possível na 
implantação do Windows Server 2008 R2 do DirectAccess. 
• Para suporte ao balanceamento de carga, o Windows Server 2012 tem a capacidade de 
usar o NLB (até oito nós) para obter alta disponibilidade e escalabilidade para 
DirectAccess e RAS. 
 
Requisitos do cliente do DirectAccess 
Para implantar o DirectAccess, você também precisa garantir que o computador cliente 
atenda a determinados requisitos: 
• O computador cliente deve estar associado a um domínio do Active Directory. 
• Com o cenário do novo DirectAccess 2012, é possível provisionar offline 
computadores clientes do Windows 8 para associação ao domínio sem exigir que o 
computador esteja nos locais. 
• O computador cliente pode ser carregado com o Windows 8 Enterprise, o Windows 7 
Enterprise, o Windows 7 Ultimate, o Windows Server 2012 ou o Windows Server 2008 
R2. Não é possível implantar o DirectAccess em clientes nos quais estejam em 
execução Windows Vista, Windows Server 2008 ou outras versões anteriores dos 
sistemas operacionais Windows. 
Requisitos de infraestrutura 
Estes são os requisitos de infraestrutura para implantar o DirectAccess: 
149 
V 1.0 
• AD DS. Você deve implantar pelo menos um domínio do Active Directory. Grupos de 
trabalho não são compatíveis. 
• Política de Grupo. Você precisa da Política de Grupo para administração e 
implantação centralizadas das configurações de cliente do DirectAccess. O Assistente 
de Instalação do DirectAccess cria um conjunto de GPOs e configurações para clientes 
do DirectAccess, servidores do DirectAccess e servidores de gerenciamento. 
• DNS e controlador de domínio. Você deve ter pelo menos um controlador de domínio 
ao menos um servidor DNS executando o Windows Server 2012, o Windows Server 
2008 SP2 ou o Windows Server 2008 R2. 
• PKI. Se só tiver computadores clientes do Windows 8, você não precisará de uma PKI. 
Os computadores clientes do Windows 7 exigem uma configuração mais complexa e, 
assim, exigem uma PKI. 
• Políticas IPsec. O DirectAccess utiliza políticas IPsec configuradas e administradas 
como parte do Firewall do Windows com Segurança Avançada. 
• Tráfego da solicitação de eco ICMPv6. Você deve criar regras de entrada e saída 
separadas que permitam mensagens de solicitação de eco ICMPv6. A regra de entrada é 
obrigatória para permitir mensagens de solicitação de eco ICMPv6 e deve ter como 
escopo todos os perfis. A regra de saída para permitir mensagens de solicitação de eco 
ICMPv6 deve ter como escopo todos os perfis e só será obrigatória se o bloco de saída 
estiver ativado. Clientes do DirectAccess que usam Teredo na conectividade IPv6 com a 
intranet usam a mensagem ICMPv6 ao estabelecerem a comunicação. 
• IPv6 e tecnologias de transição. IPv6 e as tecnologias de transição devem estar 
disponíveis para serem usadas no servidor do DirectAccess. Para cada servidor DNS em 
execução no Windows Server 2008 ou no Windows Server 2008 R2, você precisa 
remover o nome ISATAP da lista de bloco da consulta global. 
 
Configuração do DirectAccess 
Para configurar o DirectAccess, realize as seguintes etapas: 
1. Configure o AD DS e os requisitos do DNS: 
o Crie um grupo de segurança no AD DS e adicione todas as contas do computador 
cliente que acessarão a intranet pelo DirectAccess. 
o Configure servidores DNS internos e externos com nomes de host apropriados e 
endereços IP. 
2. Configure o ambiente da PKI: 
150 
V 1.0 
o Adicione e configure a função de servidor Autoridade de Certificação, crie o modelo 
de certificado e o ponto de distribuição CRL, publique a lista CRL e distribua os 
certificados de computador. Isso não será necessário se você iniciar a configuração do 
Assistente do Guia de Introdução. 
 
3. Configure o servidor do DirectAccess. 
o Instale o Windows Server 2012 em um computador servidor com um ou dois 
adaptadores de rede físicos (dependendo do cenário de design do DirectAccess). 
o Associe o servidor do DirectAccess a um domínio do Active Directory. 
o Instale a função Acesso Remoto e configure o servidor do DirectAccess de forma que 
ele seja um dos seguintes: 
q O servidor do DirectAccess está na rede de perímetro com um adaptador de rede 
conectado à rede de perímetro e pelo menos um outro adaptador de rede conectado à 
intranet. Nesse cenário de implantação, o servidor do DirectAccess é colocado entre um 
firewall front-end e back-end. 
q O servidor do DirectAccess é publicado usando TMG, UAG ou outros firewalls de 
terceiros. Nesse cenário de implantação, o DirectAccess é colocado atrás de um firewall 
front-end e tem um adaptador de rede conectado à rede interna. 
q O servidor do DirectAccess está instalado em um servidor de borda (normalmente 
firewall front-end) com um adaptador de rede conectado à Internet e pelo menos um 
outro adaptador de rede conectado à intranet. 
Um design alternativo é que o servidor do DirectAccess só tem uma interface de rede, 
não duas. Para esse design, realize as seguintes etapas: 
Verifique se as portas e os protocolos necessários ao DirectAccess e à solicitação de eco 
ICMP são habilitados nas exceções de firewall e abertos no perímetro e nos firewalls 
para a Internet. 
O servidor do DirectAccess na implementação simplificada pode usar um único 
endereço IP público com serviços de proxy Kerberos para autenticação em 
controladores de domínio. Para autenticação de dois fatores e integração com NAP, 
você precisa configurar pelo menos dois endereços IPv4 públicos, estáticos 
consecutivos resolvíveis externamente por meio do DNS. Verifique se você tem um 
endereço IPv4 disponível e se você tem a capacidade de publicar esse endereço no 
servidor DNS externamente. 
Se tiver desabilitado o IPv6 em clientes e servidores, você deverá reabilitar o IPv6, 
porque ele é obrigatório para o DirectAccess. 
151 
V 1.0 
Instale um servidor Web no servidor do DirectAccess para permitir que clientes do 
DirectAccess determinem se eles estão dentro ou fora da intranet. É possível instalar 
esse servidor Web em um servidor interno à parte para determinar o local da rede. 
Com base no cenário de implantação, você precisa designar um dos adaptadores de rede 
do servidor como a interface para Internet (na implantação com dois adaptadores de 
rede) ou publicar o servidor do DirectAccess implantado atrás da NAT para acesso à 
Internet. 
No servidor do DirectAccess, verifique se a interface para Internet está configurada para 
uma interface Pública ou Privada, dependendo do design da rede.Configure as 
interfaces de intranet como interfaces de domínio. Se você tiver mais de duas interfaces, 
verifique se não há mais de dois tipos de classificação selecionados. 
4. Configure os clientes do DirectAccess e teste o acesso à intranet e à Internet. 
o Verifique se a política de grupo do DirectAccess foi aplicada e se certificados foram 
distribuídos a computadores clientes: 
o Teste se você é possível se conectar ao servidor do DirectAccess em uma intranet. 
o Teste se você é possível se conectar ao servidor do DirectAccess na Internet 
 
152 
V 1.0 
8: Instalação, configuração do Servidor de Políticas de Rede 
 
O que é um Servidor de Políticas de Rede? 
O NPS permite criar e impor políticas de acesso à rede em nível organizacional, para 
fins de integridade do cliente, autenticação e autorização de solicitação de conexão. 
Você também pode usar o NPS como um proxy RADIUS para encaminhar solicitações 
de conexão para o NPS ou para outros servidores RADIUS configurados em grupos de 
servidores RADIUS remotos. 
Você pode usar o NPS para configurar e gerenciar de modo centralizado a autenticação 
de acesso à rede, a autorização e as políticas de integridade de cliente usando qualquer 
combinação das três funções a seguir: 
• Servidor RADIUS 
• Proxy RADIUS 
• Servidor de política NAP 
 
Servidor RADIUS 
O NPS realiza a autenticação, a autorização e a contabilização de conexões 
centralizadas para conexões sem fio, de comutação de autenticação, bem como dial-up e 
VPN (rede virtual privada). Ao usar o NPS como um servidor RADIUS, configure os 
servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, como 
clientes RADIUS no NPS. Configure também as políticas de rede que o NPS utiliza 
para autorizar as solicitações de conexão, de modo que seja possível configurar a 
contabilização RADIUS para que o NPS registre as informações de contabilização em 
arquivos de log no disco rígido local ou em um banco de dados Microsoft® SQL 
Server®. 
O NPS é a implementação Microsoft de um servidor RADIUS. O NPS permite o uso de 
um conjunto heterogêneo de equipamento sem fio, de comutação, de acesso remoto ou 
de VPN. Você pode usar o NPS com o serviço Roteamento e Acesso Remoto, que está 
disponível no Windows® 2000 e nas versões mais recentes do Windows Server. 
Quando um servidor NPS for membro de um domínio AD DS (Serviços de Domínio 
Active Directory®), o NPS usará o AD DS como seu banco de dados de conta de 
usuário e fornecerá SSO (logon único), o que significa que os usuários utilizam o 
mesmo conjunto de credenciais para controle de acesso à rede (autenticando e 
autorizando acesso a uma rede), da mesma forma que acessam recursos no domínio AD 
DS. 
153 
V 1.0 
Organizações que mantêm o acesso à rede, como ISPs (provedores de serviço de 
Internet), têm o desafio de gerenciar vários métodos de acesso à rede em um único 
ponto de administração, independentemente do tipo de equipamento de acesso à rede 
que eles utilizam. O padrão RADIUS dá suporte a este requisito. RADIUS é um 
protocolo de plataforma cliente-servidor que permite que os equipamentos de acesso à 
rede, usados como clientes RADIUS, enviem solicitações de autenticação e 
contabilização para um servidor RADIUS. 
Um servidor RADIUS tem acesso às informações da conta do usuário e pode verificar 
as credenciais de autenticação do acesso à rede. Se as credenciais do usuário forem 
autênticas e o RADIUS autorizar a tentativa de conexão, o servidor RADIUS autorizará 
o acesso do usuário de acordo com as condições configuradas e registrará a conexão de 
acesso à rede em um log de contabilização. O uso do RADIUS permite coletar e manter 
os dados da autenticação do usuário, da autorização e da contabilização de acesso à rede 
em um local central, e não em cada servidor de acesso. 
 
Proxy RADIUS 
Quando o NPS for utilizado como um proxy RADIUS, configure políticas de solicitação 
de conexão que indiquem quais solicitações de conexão o servidor NPS encaminhará 
para outros servidores RADIUS e os servidores RADIUS para os quais essas 
solicitações serão encaminhadas. Você também pode configurar o NPS para encaminhar 
dados de contabilização para registro em log por um ou mais computadores em um 
grupo de servidores RADIUS remotos. 
Com o NPS, sua organização também pode terceirizar a infraestrutura de acesso remoto 
para um provedor de serviços, e ainda manter o controle sobre a autenticação do 
usuário, a autorização e a contabilização. 
Você pode criar diferentes configurações NPS para as seguintes soluções: 
• Acesso sem fio 
• Acesso remoto à rede dial-up ou à VPN da organização 
• Acesso terceirizado à rede dial-up ou sem fio 
• Acesso à Internet 
• Acesso autenticado aos recursos da extranet de parceiros de negócio 
 
Servidor de política NAP 
Quando você configura o NPS como um servidor de políticas NAP, o NPS avalia as 
declarações de integridade (SoHs) enviadas pelos computadores cliente compatíveis 
154 
V 1.0 
com NAP que tentam se conectar à rede. O NPS também atua como um servidor 
RADIUS quando configurado com a NAP, realizando a autenticação e autorização de 
solicitações de conexão. É possível definir políticas e configurações NAP no NPS, 
inclusive SHVs (validadores da integridade do sistema), política de integridade e grupos 
de servidores de atualizações que permitem que os computadores cliente atualizem as 
respectivas configurações, de modo a se tornarem compatíveis com a política de rede de 
sua organização. 
O Windows® 8 e o Windows Server® 2012 incluem a NAP, o que ajuda a proteger o 
acesso às redes privadas, garantindo que os computadores cliente sejam configurados de 
acordo com as políticas de integridade da rede da organização para que possam se 
conectar aos recursos da rede. Além disso, a NAP monitora a conformidade dos 
computadores cliente com a política de integridade definida pelo administrador, 
enquanto o computador estiver conectado à rede. O recurso de correção automática da 
NAP permite verificar se computadores incompatíveis são atualizados automaticamente, 
tornando-os compatíveis com a política de integridade para que obtenham êxito na 
conexão com a rede. 
Os administradores de sistema definem as políticas de integridade da rede e geram essas 
políticas usando componentes da NAP fornecidos pelo NPS, de acordo com a 
implantação da NAP, ou fornecidos por terceiros. 
As políticas de integridade podem conter requisitos de software, de atualização de 
segurança e as definições das configurações necessárias. Para impor as políticas de 
integridade, a NAP inspeciona e avalia a integridade dos computadores cliente, restringe 
o acesso à rede quando os computadores cliente são considerados problemáticos e os 
corrige para que obtenham o acesso total à rede. 
 
O que é um cliente RADIUS? 
um NAS (servidor de acesso à rede) é um dispositivo que fornece níveis de acesso a 
uma rede maior. Um NAS que usa uma infraestrutura RADIUS também é um cliente 
RADIUS, que origina solicitações de conexão e mensagens de contabilização para um 
servidor RADIUS para autenticação, autorização e contabilização. Os computadores 
cliente, como laptops sem fio e outros computadores que executam sistemas 
operacionais cliente, não são clientes RADIUS. Os clientes RADIUS são servidores de 
acesso à rede — incluindo pontos de acesso sem fio, comutadores de autenticação 
802.1X, servidores VPN e servidores de rede dial-up — uma vez que utilizam o 
protocolo RADIUS para se comunicar com os servidores RADIUS, como os servidores 
NPS. 
Para implantar o NPS como um servidor RADIUS, um proxy RADIUS ou um servidor 
de políticas NAP, configure os clientes RADIUS no NPS. 
 
155 
V 1.0 
Métodos de autenticação 
 
É possível configurar o NPS para aceitar vários métodos de autenticação. Você também 
pode configurar os servidores de acesso à rede, conhecidos também como clientes 
RADIUS, para tentar negociar uma conexão com os computadorescliente, solicitando o 
uso do protocolo mais seguro em primeiro lugar, e depois os mais seguros na ordem 
decrescente, e assim por diante, até o menos seguro. Por exemplo, o serviço Roteamento 
e Acesso Remoto tenta negociar uma conexão usando os protocolos a seguir na ordem 
mostrada: 
1. EAP 
2. MS-CHAP v2 
3. MS-CHAP 
4. CHAP 
5. SPAP 
6. PAP 
 
Quando o protocolo EAP é escolhido como método de autenticação, ocorre uma 
negociação do tipo EAP entre o cliente de acesso e o servidor NPS. 
MS-CHAP versão 2 
O MS-CHAP v2 fornece uma segurança mais forte para as conexões de acesso à rede, 
do que o MS-CHAP, seu antecessor. O MS-CHAP v2 é um processo unidirecional de 
autenticação mútua de senha criptografada, que funciona como descrito a seguir: 
1. O autenticador (o servidor de acesso à rede ou o servidor NPS) envia um desafio para 
o cliente de acesso, que consiste em um identificador de sessão e uma cadeia de 
caracteres de desafio qualquer. 
2. O cliente de acesso envia uma resposta que contém: 
o nome de usuário. 
o Uma cadeia de caracteres de desafio de pares. 
o Uma criptografia unidirecional da cadeia de caracteres de desafio recebida, da cadeia 
de caracteres de desafio par, do identificador da sessão e da senha do usuário. 
3. O autenticador verifica a resposta do cliente e envia uma resposta que contém: 
o Uma indicação do êxito ou da falha da tentativa de conexão 
156 
V 1.0 
o Uma resposta autenticada com base na cadeia enviada de caracteres de desafio, na 
cadeia de caracteres de desafio de pares, na resposta criptografada do cliente e na senha 
do usuário. 
4. O cliente de acesso verifica a resposta da autenticação e, se estiver correta, utiliza a 
conexão. Se a resposta da autenticação não estiver correta, o cliente de acesso encerrará 
a conexão. 
MS-CHAP 
MS-CHAP, também conhecido como MS-CHAP versão 1, é um protocolo de 
autenticação irreversível por senha criptografada. 
O processo de desafio funciona da seguinte maneira: 
1. O autenticador (o servidor de acesso à rede ou o servidor NPS) envia um desafio para 
o cliente de acesso, que consiste em um identificador de sessão e uma cadeia de 
caracteres de desafio qualquer. 
2. O cliente de acesso envia uma resposta que contém o nome do usuário e uma 
criptografia irreversível da cadeia de caracteres de desafio, do identificador da sessão e 
da senha. 
3. O autenticador verifica a resposta e, se for válida, autentica as credenciais do usuário. 
 
Observação: Ao usar o MS-CHAP, o MS-CHAP v2 ou o EAP-TLS como protocolo de 
autenticação, você pode utilizar a MPPE (Microsoft Point-to-Point Encryption) para 
criptografar os dados enviados através da conexão PPP ou PPTP. 
O MS-CHAP v2 fornece uma segurança mais forte do que o MS-CHAP para as 
conexões de acesso à rede. Considere o uso do MS-CHAP v2 em vez do MS-CHAP. 
CHAP 
O protocolo CHAP é um protocolo de autenticação de desafio/resposta que utiliza o 
esquema de hash MD5 (Message Digest 5), padrão do setor, para criptografar a 
resposta. 
Diversos fornecedores de servidores e clientes de acesso à rede utilizam o CHAP. Um 
servidor que executa o Roteamento e Acesso Remoto oferece suporte ao CHAP para 
permitir a autenticação dos clientes de acesso que exigem esse protocolo. Uma vez que 
o protocolo CHAP requer o uso de uma senha de criptografia reversível, considere o uso 
de outro protocolo de autenticação, como o MS-CHAP v2. 
Considerações adicionais 
Ao implementar CHAP, considere o seguinte: 
157 
V 1.0 
• Quando as senhas dos usuários expirarem, o CHAP não permitirá que eles alterem as 
senhas durante o processo de autenticação. 
• Verifique se no servidor de acesso à rede há suporte para o protocolo CHAP, antes de 
habilitá-lo em uma política de rede do servidor NPS. Para obter mais informações, 
consulte a documentação do NAS. 
• Não é possível usar a MPPE com o CHAP. 
 
PAP 
O PAP usa senhas de texto não criptografado e é o protocolo de autenticação menos 
seguro. Em geral, esse protocolo é negociado se o cliente de acesso e o servidor de 
acesso à rede não puderem negociar um método de autenticação mais seguro. Quando 
você habilitar o PAP como um protocolo de autenticação, as senhas do usuário serão 
enviadas na forma de texto não criptografado. Quem estiver capturando os pacotes do 
processo de autenticação poderá ler a senha facilmente e utilizá-la para obter acesso não 
autorizado à sua intranet. Desestimulamos enfaticamente o uso do PAP, principalmente 
em conexões VPN. 
Uso de certificados para autenticação 
Certificados são documentos digitais emitidos pelas autoridades de certificação, como 
AD CS (Serviços de Certificados do Active Directory) ou a autoridade de certificação 
pública da VeriSign. Os certificados podem ser usados para vários fins, como a 
assinatura de código e a proteção da comunicação por email. No entanto, com o NPS, 
você usa certificados para autenticação do acesso à rede, pois eles garantem segurança 
máxima para a autenticação de usuários e computadores, e também eliminam a 
necessidade de métodos de autenticação baseados em senha, que são menos seguros. 
Os servidores NPS utilizam os protocolos EAP-TLS e PEAP para fazer a autenticação 
baseada em certificado para diversos tipos de acesso à rede, como as conexões de rede 
VPN e sem fio. 
 
 
 
158 
V 1.0 
9: Proteção de Acesso à Rede (NAP) 
 
 
A NAP (Network Access Protection) é uma nova tecnologia introduza no Windows 
Vista e no Windows Server 2008 e 2012. A NAP inclui componentes de cliente e 
componentes de servidor, que lhe permitem criar e impor políticas de requisito de 
estado de funcionamento que definem o software e as configurações de sistema 
requeridos para os computadores que acederem à rede. O NAP impõe os requisitos de 
estado de funcionamento inspecionando e avaliando o estado de funcionamento dos 
computadores clientes, limitando o acesso à rede quando os computadores clientes 
forem considerados incompatíveis e corrigindo os computadores clientes não 
compatíveis para acesso ilimitado à rede. O NAP impõe os requisitos de estado de 
funcionamento nos computadores clientes que estiverem a tentar ligar a uma rede. O 
NAP também pode fornecer a imposição da conformidade do estado de funcionamento 
enquanto um computador cliente compatível está ligado a uma rede. 
A imposição de NAP ocorre no momento em que os computadores clientes tentam 
aceder à rede através de servidores de acesso à rede, tal como um servidor VPN (Virtual 
Private Network) que esteja a executar o Encaminhamento e Acesso Remoto, ou quando 
os clientes tentam comunicar com outros recursos da rede. O modo como o NAP é 
imposto depende do método de imposição seleccionado. O NAP impõe políticas de 
estado de funcionamento para o seguinte: 
• Comunicações protegidas IPSec (Internet Protocol security) 
• Ligações autenticadas do Institute of Electrical and Electronics Engineers 
(IEEE) 802.1X 
• Ligações VPN 
• Configuração DHCP (Dynamic Host Configuration Protocol) 
• Ligações TS Gateway (Terminal Services Gateway) 
Para validar o acesso a uma rede baseada na integridade do sistema, uma infra-estrutura 
de rede deve fornecer as seguintes áreas de funcionalidade: 
• Validação da política da integridade: Determina se os computadores estão em 
conformidade com os requisitos de integridade. 
• Limitação do acesso à rede: Limita o acesso a computadores em não-
conformidade. 
• Remediação automática: Fornece atualizações necessárias para permitir que 
um computador em não-conformidade torne-se concordante. 
159 
V 1.0 
• Conformidade contínua: Atualiza automaticamente os computadores em 
conformidade para que eles se adaptem às contínuas mudanças nos requisitos da política 
de integridade. 
 
Cenários da Proteção contra Acesso à Rede 
Elaborado para fornecer aos clientes uma solução mais flexível, o NAP pode interoperar 
com qualquer software que ofereça um agente de integridade do sistema (SHA) e 
validadoresda saúde do sistema (SHV), ou que reconheça seu conjunto de API 
publicado. Exemplos de soluções de terceiros que trabalham com a Proteção contra 
Acesso à Rede poderiam ser o antivírus, gerenciamento de patches, VPN e 
equipamentos de rede. A Proteção contra Acesso à Rede ajuda a fornecer uma solução 
para os seguintes cenários comuns: 
• Verificar o status e a integridade de laptops em roaming 
Com a Proteção contra Acesso à Rede, os administradores de rede podem verificar a 
integridade de qualquer laptop quando ele se reconecta à rede da empresa—sem 
sacrificar a portabilidade e flexibilidade dos laptops. 
• Garantir a integridade contínua de desktops 
Com a adição do software de gerenciamento, você pode gerar relatórios automáticos, as 
atualizações podem ser feitas automaticamente aos computadores sem conformidade e, 
quando os administradores alteram as políticas de integridade, os computadores podem 
ser automaticamente fornecidos com as atualizações mais recentes, prevenindo ameaças 
dos recursos acessíveis publicamente. 
• Determinar a integridade de laptops visitantes 
Com a Proteção contra Acesso à Rede, os administradores podem determinar se os 
laptops visitantes estão autorizados a acessar a rede e, se não, podem limitar seu acesso 
a uma rede restrita, sem solicitar quaisquer atualizações ou alterações na configuração. 
• Verificar a conformidade e a integridade de computadores domésticos não 
gerenciados 
Usando a Proteção contra Acesso à Rede, os administradores de rede podem verificar os 
programas solicitados, as configurações do registro, os arquivos ou combinação de 
todos eles, toda vez que um computador doméstico faz uma conexão VPN à rede, 
podendo limitar a conexão a uma rede restrita até que os requisitos de integridade do 
sistema sejam supridos. 
Componentes da Proteção contra Acesso à Rede 
 
160 
V 1.0 
 
 
NPS/RADIUS 
O componente do Remote Authentication Dial-In User Service (RADIUS) do Windows 
Server 2008 Network Policy Server (NPS) não possui um componente Enforcement 
Server (ES) ou Enforcement Client (EC) para NAP. Em vez disso, ele trabalha com um 
servidor de políticas, juntamente com os componentes do NAP ES e NAP EC. Os 
administradores devem definir os requisitos de integridade do sistema na forma de 
políticas do NPS server. Os servidores NPS fornecem verificações de política de 
integridade e se coordenam com o serviço de diretório do Active Directory sempre que 
um computador tenta obter um certificado ou se conectar com um ponto de acesso de 
802,1X, um servidor de rede virtual privada (VPN), ou um serviço de servidor DHCP. 
Componentes de Integridade 
• Agentes de Integridade do Sistema (SHA): Declaram a integridade (estado do 
patch, assinatura de vírus, configuração do sistema etc.). 
• Validadores de Integridade do Sistema (SHV): Certificam declarações feitas 
pelos agentes. 
• Servidores de Integridade do Sistema: Definem os requisitos de integridade 
dos componentes de sistema no cliente. 
• Servidores de Remediação: Instalam os patches necessários, configurações e 
aplicações, trazendo os clientes a um estado de integridade. 
Componentes de Reforço 
• Cliente de Reforço (EC): Negocia o acesso com os dispositivos de acesso à 
rede. 
• Dispositivo de Acesso à Rede: Fornece acesso de rede aos pontos finais para 
integridade (pode ser um ponto de alternância ou de acesso). 
161 
V 1.0 
• Autoridade de Registro de Integridade: Emite certificados aos clientes que 
passam verificações de integridade. 
Componentes da Plataforma 
• Agente de Quarentena (QA): Reporta o status de integridade do cliente e se 
coordena entre o SHA e o EC. 
• Servidor de Quarentena (QS): Restringe o acesso de rede do cliente baseado 
no que o SHV certifica. 
Mecanismos de Reforço da Proteção contra Acesso à Rede 
A Proteção contra Acesso à Rede fornece uma plataforma flexível que suporta os 
múltiplos mecanismos de reforço ao acesso, incluindo, mas não se limitando a: 
• Internet Protocol security (IPsec) para autenticação baseada em host 
• Conexões de rede autenticadas pelo IEEE 802,1X 
• Redes virtuais privadas (VPNs) para acesso remoto 
• Protocolo de configuração dinâmica de host (Dynamic Host Configuration 
Protocol - DHCP) 
Os administradores podem usar essa tecnologia, junto ou separadamente, para limitar os 
computadores em não-conformidade. O Network Policy Server, o substituto do Internet 
Authentication Service (IAS) do Windows Server 2003 no Windows Server 2008, age 
como um servidor para todas essas tecnologias. 
A Proteção contra Acesso à Rede requer que os servidores executem o Windows Server 
2008 e que os clientes executem o Windows Vista, Windows XP com Service Pack 2 
(SP2), ou o Windows Server 2008. 
Imposição do IPsec 
Imposição do IPsec refere-se ao certificado do servidor de integridade e a um IPsec 
NAP EC. Esse certificado emite certificados X.509 para colocar os clientes em 
quarentena quando se determina que eles estejam em conformidade. Esses certificados 
são então usados para autenticar clientes NAP quando eles iniciam comunicações 
protegidas pelo IPsec com outros clientes NAP em uma intranet. 
Imposição do IPsec confina a comunicação da sua rede aos nós que são considerados 
em conformidade e, como ele intensifica o IPsec, você pode definir requisitos para 
comunicações seguras com clientes por um endereço IP ou base de número da porta 
TCP/UDP. O Reforço do IPsec confina a comunicação a computadores em 
conformidade depois de eles terem se conectado com sucesso e obtido uma 
configuração válida de endereço IP. O Reforço do IPsec é a forma mais potente de 
acesso limitado de rede na Proteção contra Acesso à Rede. 
162 
V 1.0 
Imposição 802.1X 
Imposição 802.1X abrange um servidor NPS e um componente EAPHost NAP EC. 
Usando o Reforço 802.1X, um servidor NPS instrui um ponto de acesso do 802.1X (na 
Ethernet ou um ponto de acesso sem fio) para colocar um perfil de acesso restrito no 
cliente 802.1X até que ele realize uma série de funções de remediação. Um perfil de 
acesso restrito pode consistir de uma série de filtros de pacote IP ou um identificador de 
LAN virtual (VLAN) para confinar o tráfego de um cliente 802.1X. O Reforço 802.1X 
fornece forte acesso limitado à rede para todos os computadores que acessam a rede por 
uma conexão 802.1X. 
Imposição da VPN 
Imposição da VPN consiste de um componente VPN NAP ES e um VPN NAP EC. 
Usando o Reforço da VPN, os servidores VPN podem reforçar os requisitos de política 
de integridade sempre que um computador tentar fazer uma conexão VPN à rede. O 
Reforço da VPN fornece forte acesso limitado à rede para todos os computadores que 
acessam uma rede por conexão VPN. 
Imposição do DHCP 
Imposição do DHCP consiste de um componente DHCP NAP ES e um DHCP NAP EC. 
Usando o Reforço do DHCP, os servidores DHCP podem reforçar os requisitos da 
política de integridade sempre que um computador tentar emprestar ou renovar uma 
configuração de endereço IP na rede. O Reforço do DHCP é o mais simples de se 
implantar, pois todos os computadores clientes DHCP devem emprestar endereços IP. 
Como o Reforço do DHCP conta com entradas na tabela de roteamento do IP, ele é a 
forma mais fraca de acesso limitado à rede na Proteção contra Acesso à Rede. 
Componentes e Recursos Adicionais na Proteção contra Acesso à Rede 
A Proteção contra Acesso à Rede consiste de componentes adicionais de servidores, 
componentes adicionais de clientes, servidores de remediação e servidores de 
políticas. Os administradores podem configurar alguns ou todos os componentes 
quando implementam a Proteção contra Acesso à Rede. 
NAP Administration Server 
O NAP Administration Server (Servidor de Administração) é componente de um 
servidor NPS que coordena a saída de todos os validadores do sistema (SHVs) e 
determina se os componentes do NAP Enforcement Server (NAP ES) devem limitar o 
acesso de um cliente baseado nos requisitos de política de integridade. 
Validadorde Integridade do Sistema (SHV) 
Um validador de integridade do sistema (SHV) é um software de servidor que valida se 
o Statement of Health (SoH) enviado por um SHA está de acordo com o bom estado do 
sistema. Os SHVs são executados no servidor NPS, que deve coordenar a saída de todos 
163 
V 1.0 
os SHVs. Um SHV usa um Statement of Health Response (SoHR) para tanto indicar a 
conformidade com o estado requerido como para fornecer instruções de remediação. 
Política de Integridade 
Uma política de integridade especifica condições requeridas para um acesso ilimitado. 
Essas políticas são configuradas no servidor NPS. Uma rede deve ter mais que uma 
política de integridade. Por exemplo, os Reforços da VPN e do DHCP devem usar 
políticas diferentes. 
Banco de Dados de Contas 
Um banco de dados de contas armazena as contas de usuário e computador e suas 
propriedades de acesso à rede. Para os domínios do Windows Server 2008, o Active 
Directory funciona como um banco de dados de contas. 
Servidor de Certificado de Integridade 
Um servidor de certificado de integridade é a combinação de uma Autoridade de 
Registro de Integridade (HRA - Health Registration Authority)— um computador que 
executa o Windows Server 2008 e o Internet Information Services (IIS) — e uma 
autoridade de certificação (CA). O CA pode ser instalado no computador que executa o 
Windows Server 2008 ou em um computador separado. O servidor de certificado de 
integridade certifica os computadores em conformidade. Um certificado de integridade 
pode ser usado no lugar do Statements of Health (SoHs) para provar que um cliente está 
em conformidade com os requisitos de sistema. 
Servidor de Remediação 
Um servidor de remediação consiste de servidores, serviços ou outros recursos que um 
computador em não-conformidade pode acessar na rede restrita. Esses recursos podem 
desempenhar a resolução de nome ou armazenar as atualizações de software mais 
recentes, necessárias para tornar o computador em conformidade com os requisitos de 
integridade. Por exemplo, um servidor DNS secundário, um servidor de arquivo de 
assinatura antivírus e um servidor de atualização de software podem ser servidores de 
remediação. Um SHA pode se comunicar com um servidor de remediação diretamente, 
ou usar as facilidades do software cliente instalado. 
Servidor de Políticas 
Os SHVs comunicam-se como servidores de políticas para validar o SoH a partir de um 
SHA correspondente. 
 
164 
V 1.0 
10: Serviços de Arquivo 
 
Gerenciador de Recursos de Servidor de Arquivos 
O Gerenciador de Recursos de Servidor de Arquivos é um conjunto de características 
que permitem gerenciar e classificar os dados que estão armazenados em servidores de 
arquivos. O Gerenciador de Recursos de Servidor de Arquivos inclui os seguintes 
recursos: 
• Infraestrutura de Classificação de Arquivos A Infraestrutura de 
Classificação de Arquivos fornece informações sobre seus dados, automatizando 
processos de classificação para que você gerencie seus dados de forma mais 
eficaz. Você pode classificar arquivos e aplicar políticas com base nesta 
classificação. As políticas de exemplo incluem controle de acesso dinâmico para 
restringir o acesso a arquivos, criptografia de arquivos e expiração de arquivos. 
Os arquivos podem ser classificados automaticamente por meio de regras de 
classificação de arquivo ou manualmente, modificando as propriedades de um 
arquivo ou uma pasta selecionada. 
• Tarefas de Gerenciamento de Arquivos As Tarefas de Gerenciamento de 
Arquivos permite que você aplique uma política condicional ou ação a arquivos 
com base em sua classificação. As condições de uma tarefa de gerenciamento de 
arquivos incluem o local do arquivo, as propriedades de classificação, a data em 
que o arquivo foi criado, a data da última modificação do arquivo ou a última 
vez que o arquivo foi acessado. As ações que uma tarefa de gerenciamento de 
arquivos pode tomar incluem a capacidade de expirar arquivos, criptografar 
arquivos ou executar um comando personalizado. 
• Gerenciamento de Cotas As cotas permitem limitar o espaço permitido para 
um volume ou pasta, e podem ser aplicadas automaticamente a novas pastas que 
são criadas em um volume. Você também pode definir modelos de cota que 
podem ser aplicados a novos volumes ou pastas. 
• Gerenciamento de Triagem de Arquivo As triagens de arquivo ajudam a 
controlar os tipos de arquivos que o usuário pode armazenar em um servidor de 
arquivos. Você pode limitar a extensão que pode ser armazenada em seus 
arquivos compartilhados. Por exemplo, você pode criar uma tela de arquivos que 
não permite que arquivos com extensão MP3 sejam armazenados em pastas 
pessoais compartilhadas em um servidor de arquivos. 
• Relatórios de armazenamentos Os relatórios de armazenamento são usados 
para ajudar a identificar tendências no uso do disco e como seus dados são 
classificados. Você também pode acompanhar um grupo selecionado de usuários 
para tentar salvar arquivos não autorizados. 
O que é gerenciamento de cotas? 
165 
V 1.0 
No FSRM, o gerenciamento de cota permite limitar o espaço em disco alocado para um 
volume ou uma pasta. O limite de cota se aplica a toda a subárvore da pasta. 
Tipos de cota 
É possível criar dois tipos diferentes de cotas dentro do gerenciamento de cota: 
• Uma cota fixa impede os usuários de salvar arquivos depois que o limite de espaço é 
atingido e gera notificações quando o volume de dados atinge cada limite configurado. 
• Uma cota flexível não aplica o limite de cota, mas gera notificações configuradas. 
 
Notificações de cota 
Para determinar o que acontece quando o limite de cota se aproxima, você configura 
limites de notificação. Para cada limite que você define, você pode enviar notificações 
de email, registrar em log um evento, executar um comando ou script, ou gerar 
relatórios de armazenamento. Por exemplo, convém notificar o administrador e o 
usuário quando uma pasta atinge 85% do limite de cota e, em seguida, enviar outra 
notificação quando o limite de cota for atingido. Em alguns casos, é possível executar 
um script que eleve o limite de cota automaticamente quando esse limite for atingido. 
Criação de cotas 
Ao criar uma cota em um volume ou uma pasta, você pode basear a cota em um modelo 
ou usar propriedades personalizadas. Sempre que possível, baseie uma cota em um 
modelo. É possível reutilizar um modelo de cota para criar cotas adicionais, e isso 
simplifica a manutenção de cota contínua. 
O FSRM também pode gerar cotas automaticamente. Quando você configura uma cota 
de aplicação automática, aplica um modelo de cota a um volume pai ou pasta. Em 
seguida, uma cota baseada no modelo é criada para cada subpasta existente, e uma cota 
é gerada automaticamente para cada nova subpasta criada. Também é possível criar 
cotas usando-se o cmdlet do Windows PowerShell, New- FSRMQuota. 
 
O que é Gerenciamento de Triagem de Arquivo? 
O Gerenciamento de Triagem de Arquivo permite criar triagens de arquivo para 
bloquear a gravação dos tipos de arquivo em um volume ou em uma árvore de pasta. 
Uma triagem de arquivo afeta todas as pastas no caminho designado. Você usa grupos 
de arquivos para controlar os tipos de arquivos que as triagens de arquivo gerenciam. 
Por exemplo, você pode criar uma triagem de arquivo para impedir que os usuários 
armazenem arquivos de áudio e vídeo nas suas pastas pessoais no servidor. Como todos 
os componentes do FSRM, você pode escolher gerar notificações de email ou outras 
quando ocorrer um evento de triagem de arquivo. 
166 
V 1.0 
Tipos de triagem de arquivo 
É possível configurar uma triagem de arquivo como ativa ou passiva: 
• A triagem ativa impede que usuários salvem tipos de arquivos não autorizados no 
servidor e gera notificações configuradas quando eles tentarem fazer isso. 
• A triagem passiva envia notificações configuradas a usuários que estão salvando tipos 
de arquivos específicos, mas nãoimpede que os usuários salvem esses arquivos. 
 
O que são relatórios de armazenamento? 
O FSRM pode gerar relatórios—chamados de relatórios de armazenamento—que 
ajudam a compreender o uso do arquivo no servidor de armazenamento. É possível usar 
relatórios de armazenamento para monitorar padrões de uso de disco (por tipo de 
arquivo ou usuário), identificar arquivos duplicados e inativos, acompanhar o uso de 
cota e auditar a triagem de arquivo. 
Tipos de relatório de armazenamento 
A tabela a seguir descreve cada relatório 
de armazenamento disponível. Relatório 
Descrição 
Arquivos Duplicados Este relatório lista arquivos que parecem 
ser duplicados (arquivos com o mesmo 
tamanho e hora da última modificação). 
Use este relatório para identificar e 
recuperar o espaço em disco que é perdido 
devido à presença de arquivos duplicados. 
Esse é o único relatório não configurável. 
Auditoria de Triagem de Arquivo Este relatório lista eventos de triagem de 
arquivo ocorridos no servidor durante um 
determinado número de dias. Use esse 
relatório para identificar usuários ou 
aplicativos que violaram a política de 
triagem de arquivo. 
Arquivos por Grupo de Arquivos Este relatório lista arquivos que pertencem 
a grupos de arquivos específicos. Use esse 
relatório para identificar padrões de uso de 
grupos de arquivos e grupos de arquivos 
que ocupam muito espaço em disco. Isso 
pode ajudar você a determinar as triagens 
de arquivo que devem ser configuradas no 
167 
V 1.0 
servidor. 
Arquivos por Proprietário Este relatório lista arquivos que estão 
agrupados por proprietários. Use esse 
relatório para analisar padrões de uso no 
servidor e para identificar usuários que 
usem muito espaço em disco. 
Arquivos por Propriedade Este relatório lista arquivos pelos valores 
de uma propriedade de classificação 
específica. Use este relatório para observar 
padrões de uso de classificação de 
arquivos. 
Pastas por Propriedade Este relatório lista pastas pelo valor de 
uma propriedade de classificação segura 
específica. Use este relatório para observar 
padrões de classificação de pasta. 
Arquivos Grandes Este relatório lista arquivos que são de um 
tamanho específico ou maior. Use esse 
relatório para identificar arquivos que 
estão consumindo a maior parte do espaço 
em disco no servidor. Isto pode ajudar a 
recuperar rapidamente grandes 
quantidades de espaço em disco. 
 
Arquivos Menos Acessados Recentemente Este relatório lista arquivos que não são 
acessados durante um determinado 
número de dias. Isso pode ajudar a 
identificar dados usados raramente que 
podem ser arquivados e removidos do 
servidor. 
Arquivos Mais Acessados Recentemente Este relatório lista arquivos que são 
acessados em um número de dias 
especificado. Use esse relatório para 
identificar dados mais usados que devem 
permanecer altamente disponíveis. 
Uso de Cota Este relatório lista cotas cujo uso é mais 
alto do que uma porcentagem 
especificada. Use esse relatório para 
identificar cotas com altos níveis de uso 
168 
V 1.0 
para que você possa tomar as medidas 
apropriadas. 
 
O que é uma tarefa de relatório? 
Uma tarefa de relatório é um conjunto de relatórios de gerenciamento de 
armazenamento que é executada com base em um agendamento. 
A tarefa de relatório especifica quais relatórios devem ser gerados, quais parâmetros 
devem ser usados e quais volumes e pastas devem estar no relatório. A tarefa de 
relatório também gera um relatório da frequência de geração dos relatórios e em quais 
formatos de arquivo eles devem ser salvos. 
 
O que é gerenciamento de classificação? 
Para reduzir o custo e o risco associados ao gerenciamento de dados, a infraestrutura 
Classificação de Arquivos usa uma plataforma que permite que os administradores 
classifiquem arquivos e apliquem políticas com base nessa classificação. O layout de 
armazenamento não é afetado por requisitos de gerenciamento de dados e a organização 
pode adaptar-se mais facilmente a um ambiente regulatório de negócio em constante 
mudança. 
 
O que são Tarefas de gerenciamento de arquivos? 
As tarefas de gerenciamento de arquivos automatizam o processo de localizar 
subconjuntos de arquivos em um servidor e, em seguida, aplicar comandos simples de 
maneira agendada. Os arquivos são identificados por propriedades de classificação 
atribuídas ao arquivo por uma regra de classificação. 
Entre as tarefas de gerenciamento de arquivo estão um comando de expiração de 
arquivo, também sendo possível criar tarefas personalizadas. Você pode definir os 
arquivos que serão processados por uma tarefa de gerenciamento de arquivos por meio 
das propriedades a seguir: 
• Local 
• Propriedades de classificação 
• Hora da criação 
• Hora da modificação 
• Hora do último acesso 
169 
V 1.0 
• Nome do arquivo 
 
Também é possível configurar tarefas de gerenciamento de arquivos para notificar 
proprietários de arquivo de qualquer política iminente que será aplicada aos arquivos. 
 
O que é DFS 
As tecnologias do DFS (Sistema de Arquivos Distribuídos) oferecem replicação 
amigável em rede WAN (rede de longa distância) e também acesso simplificado e 
altamente disponível a arquivos geograficamente dispersos. No 
Windows Server® 2008, o DFS é implementado como um serviço de função incluído 
na função Serviços de Arquivo. O Sistema de Arquivos Distribuídos consiste em dois 
serviços de função: 
• Namespaces DFS 
• Replicação DFS 
 
 Criando um Espaço de nome DFS 
Os Namespaces DFS lhe permitem agrupar pastas compartilhadas localizadas em 
servidores diferentes conectando-as de modo transparente a um ou mais namespaces. 
Um namespace é uma exibição virtual de pastas compartilhadas em uma organização. 
Quando cria um namespace, você seleciona quais pastas compartilhadas serão 
adicionadas ao namespace, cria a hierarquia na qual essas pastas aparecem e determina 
os nomes que essas pastas exibem no namespace. Quando um usuário exibe o 
namespace, as pastas parecem residir em um único disco rígido de alta capacidade. Os 
usuários podem navegar no namespace sem que precisem saber os nomes dos servidores 
ou das pastas compartilhadas que hospedam os dados. 
O caminho para um namespace é similar ao caminho UNC (Convenção Universal de 
Nomenclatura) de uma pasta compartilhada, como \\Server1\Public\Software\Tools. Se 
você estiver familiarizado com caminhos UNC, saberá que neste exemplo a pasta 
compartilhada, Public, e suas subpastas, Software e Tools, estão hospedadas em 
Server1. 
 
q Servidor de namespace. Um servidor de namespace hospeda um namespace. O 
servidor de namespace pode ser um servidor membro ou um controlador de domínio. 
q Raiz do namespace. A raiz é o ponto inicial do namespace. Na figura anterior, o 
nome da raiz é Public e o caminho do namespace é \\Contoso\Public. Esse tipo de 
170 
V 1.0 
namespace é conhecido como namespace baseado no domínio porque começa com um 
nome de domínio (por exemplo, Contoso) e seus metadados são armazenados no AD 
DS. Embora um único servidor de namespaces apareça na figura anterior, um 
namespace baseado no domínio pode ser hospedado em vários servidores de 
namespaces. 
q Pasta. As pastas ajudam a construir a hierarquia de namespaces. Opcionalmente, 
elas podem ter destinos de pasta. Quando os usuários procuram uma pasta com destinos 
no namespace, o computador cliente recebe uma referência que redireciona o 
computador cliente para um dos destinos de pasta. 
q Destinos de pasta. Um destino de pasta é o caminho UNC de uma pasta 
compartilhada ou outro namespace associado a uma pasta em um namespace. Na figura 
anterior, a pasta chamada Tools possui dois destinos de pasta, um em Londres e um em 
Nova York, e a pasta denominada Training Guides possui um único destino de pasta 
em Nova York. Um usuário que procure \\Contoso\Public\Software\Tools será 
redirecionado transparentemente para a pasta compartilhada \\LDN-SVR-01\Tools ou 
\\NYC-SVR-01\Tools,dependendo do site no qual estiver. 
 
As seguintes alterações nos namespaces DFS estão disponíveis no Windows 
Server 2008 R2: 
• Suporte do Gerenciamento DFS para possibilitar a enumeração baseada em 
acesso 
• Contadores de desempenho 
• Aprimoramentos de desempenho para grandes namespaces 
• Suporte para Gerenciamento DFS ativar seletivamente as indicações de raiz de 
namespace 
• Texto da Ajuda do prompt de comando Dfsdiag.exe aprimorado 
 
 Configurando a Replicação DFS 
Primeiro, vamos examinar os conceitos básicos da Replicação DFS. Esses conceitos — 
grupos de replicação, conexões, membros e pastas replicadas — são demonstrados na 
figura a seguir. 
171 
V 1.0 
 
 
 
Como a figura mostra, um grupo de replicação é um conjunto de servidores conhecidos 
como membros, que participa na replicação de uma ou mais pastas replicadas. Uma 
pasta replicada é a pasta que permanece sincronizada em cada membro. Na figura 
anterior, há duas pastas replicadas: Projects e Proposals. À medida que os dados são 
alterados em cada pasta replicada, as alterações são replicadas nas conexões entre os 
membros. As conexões entre todos os membros formam a topologia da replicação. 
A criação de várias pastas replicadas em um único grupo de replicação simplifica o 
processo de implantação de pastas replicadas porque a topologia, o agendamento e a 
aceleração da largura de banda do grupo de replicação são aplicados a cada pasta 
replicada. Para implantar mais pastas replicadas, use um assistente rápido para definir o 
caminho local e as permissões da nova pasta replicada. Cada pasta replicada também 
tem suas próprias configurações, como filtros de arquivo e subpasta, para que você 
possa filtrar diferentes arquivos e subpastas em cada pasta replicada. 
172 
V 1.0 
As pastas replicadas armazenadas em cada membro podem ser localizadas em volumes 
diferentes no membro, e as pastas replicadas não precisam ser pastas compartilhadas ou 
fazer parte de um namespace, embora o snap-in Gerenciamento DFS facilite o 
compartilhamento das pastas replicadas e sua publicação opcional em um namespace 
existente. 
As seguintes alterações na Replicação DFS estão disponíveis no Windows Server 2008 
R2: 
• Suporte para cluster de failover 
• Pastas replicadas somente leitura 
• Os controladores de domínio somente leitura têm pastas SYSVOL somente 
leitura 
• Funcionalidade adicional de diagnóstico de Replicação DFS na ferramenta de 
linha de comando Dfsrdiag.exe 
 
 
Para criar um grupo de replicação e duas pastas replicadas 
1. Na árvore de console do snap-in Gerenciamento DFS, clique com o botão direito 
do mouse no nó Replicação e clique em Novo Grupo de Replicação. 
2. Siga as etapas no Assistente de Novo Grupo de Replicação e forneça as 
informações descritas na tabela a seguir. 
 
Página Assistente de 
Novo Grupo de 
Replicação 
O que inserir 
Tipo de Grupo de 
Replicação 
Selecione Grupo de replicação multiuso. 
Nome e Domínio 
Em Nome do grupo de replicação, digite Distribuição de 
Dados. 
Membros do Grupo de 
Replicação 
Clique em Adicionar para selecionar pelo menos dois 
servidores que participarão da replicação. Os servidores 
devem ter o Serviço de Replicação DFS instalado. 
Seleção de Topologia Selecione Malha completa. 
173 
V 1.0 
Agendamento e 
Largura de Banda do 
Grupo de Replicação 
Selecione Replicar continuamente usando a largura de 
banda especificada. 
Membro Primário 
Selecione o membro com o conteúdo mais atualizado que 
você deseja replicar no outro membro. 
Pastas a Serem 
Replicadas 
Clique em Adicionar para inserir o caminho local da pasta 
LOB Data criada anteriormente no primeiro servidor. Use o 
nome LOB Data como o nome da pasta replicada. Repita esse 
procedimento e insira o caminho local da pasta Antivirus 
Signatures. 
Caminho Local de 
LOB Data em Outros 
Membros 
Nesta página, especifique o local da pasta LOB Data nos 
outros membros do grupo de replicação. Para especificar o 
caminho, clique em Editar e, na caixa de diálogo Editar, 
clique em Habilitado e digite o caminho local da pasta LOB 
Data. 
Caminho Local de 
Antivirus Signatures 
em Outros Membros 
Nesta página, especifique o local da pasta Antivirus 
Signatures nos outros membros do grupo de replicação. Para 
especificar o caminho, clique em Editar e, na caixa de 
diálogo Editar, clique em Habilitado e digite o caminho local 
da pasta Antivirus Signatures. 
Revisar Configurações 
e Criar Grupo de 
Replicação 
Clique em Criar para criar o grupo de replicação. 
Confirmação Clique em Fechar para fechar o assistente. 
Atraso na Replicação 
Clique em OK para fechar a caixa de diálogo que o avisa 
sobre o atraso na replicação inicial. 
Para adicionar um novo membro ao grupo de replicação Distribuição de Dados 
1. Na árvore de console do snap-in Gerenciamento DFS, clique com o botão direito 
do mouse no grupo de replicação Distribuição de Dados e clique em Novo 
Membro. 
2. Siga as etapas no Assistente de Novo Membro e forneça as informações 
descritas na tabela a seguir. 
 
174 
V 1.0 
Página Assistente 
de Novo Membro 
O que inserir 
Novo Membro 
Insira o nome do servidor para adicionar ao grupo de replicação. O 
servidor deve ter o Serviço de Replicação DFS instalado. 
Conexões 
Em Membros disponíveis, clique em um membro e em Adicionar. 
Repita essa etapa para adicionar o segundo membro. O novo 
membro será replicado diretamente com os dois membros 
existentes. 
Agendamento da 
Replicação 
Selecione Agendamento de conexão personalizado e clique em 
Editar Agendamento. Na caixa de diálogo Editar Agendamento, 
clique em Detalhes para expandir o agendamento, selecione a 
entrada que começa com Domingo 00:00 e clique em Editar. Na 
caixa de diálogo Editar Agendamento, em Uso da largura de 
banda, clique em 128 Mbps. 
Caminho Local 
das Pastas 
Replicadas 
Selecione a pasta replicada Antivirus Signatures, clique em 
Editar, clique em Habilitado e insira o caminho local da pasta 
replicada a ser criada no novo membro. Quando fechar a caixa de 
diálogo Editar Caminho Local, observe que a pasta replicada 
LOB Data mostra , o que significa que essa pasta 
replicada não será replicada no novo membro. Como você deseja 
que apenas a pasta Antivirus Signatures seja replicada no novo 
membro, pode ignorar a mensagem de aviso exibida. 
Revisar 
Configurações e 
Criar Membro 
Clique em Criar para adicionar o novo membro ao grupo de 
replicação Distribuição de Dados. 
Confirmação Clique em Fechar para fechar o assistente. 
Atraso na 
Replicação 
Clique em OK para fechar a caixa de diálogo que o avisa sobre o 
atraso na replicação inicial. 
 
O que é eliminação de duplicação de dados? 
No Windows Server 2012, é possível habilitar a eliminação de duplicação de dados para 
volumes fora do sistema. A eliminação de duplicação de dados otimiza o 
armazenamento do volume localizando dados redundantes em um volume e garantindo 
que os dados sejam armazenados apenas uma vez no volume. Isso é obtido 
armazenando os dados em um único local e fazendo referência ao único local para 
outras cópias redundantes dos dados. Como os dados são segmentados em partes de 32 
175 
V 1.0 
KB a 218 KB, a eliminação de duplicação de dados pode otimizar não apenas arquivos 
redundantes, mas também partes de arquivos redundante no volume. 
A eliminação de duplicação de dados pode ser implementada com a DFS-R para 
fornecer uma infraestrutura de replicação e armazenamento ainda mais eficiente. 
Como funciona a eliminação de duplicação de dados 
Quando um volume tem a eliminação de duplicação de dados habilitada, o Windows 
2012 otimiza os volumes mantendo os seguintes componentes: 
• Arquivos não otimizados. Entre eles estão todos os arquivos que não atendam aos 
critérios de idade do arquivo para eliminação de duplicação de dados. Para serem 
otimizados por eliminação de duplicação de dados, os arquivos devem permanecer 
estáticos durante um determinadoperíodo. Entre os arquivos não otimizados poderiam 
estar arquivos de estado do sistema, arquivos criptografados, arquivos menores que 32 
KB, arquivos com atributos estendidos ou arquivos que estejam sendo usados por outros 
aplicativos. 
• Arquivos otimizados. Os arquivos otimizados são armazenados como pontos de nova 
análise. Como um ponto de nova análise contém um ponteiro para os locais dos dados 
no repositório de partes, as respectivas partes podem ser recuperadas quando necessário. 
• Repositório de partes. Os dados de arquivos otimizados estão localizados no 
repositório de partes 
Implementação da eliminação da duplicação de dados 
Use o seguinte processo para implementar a eliminação da duplicação de dados em um 
servidor: 
1. Instale o serviço de função Eliminação de Duplicação de Dados para a função 
Serviços de Arquivo. 
 
Isso pode ser realizado usando o Assistente de Adição de Funções e Recursos no 
Gerenciador do Servidor ou os seguintes cmdlets do Windows PowerShell: 
Import-Module ServerManager 
Add-WindowsFeature -name FS-Data-Deduplication 
Import-Module Deduplication 
2. Habilite a eliminação de duplicação de dados em um ou mais volumes. 
 
176 
V 1.0 
Dentro do Gerenciador do Servidor, é possível clicar com o botão direito do mouse em 
um volume e selecionar Configurar Eliminação de Duplicação de Dados, que abre a 
página Configurações da Eliminação de Duplicação de Dados. 
Também é possível usar o seguinte cmdlet do Windows PowerShell para habilitar a 
eliminação da duplicação de dados (para o volume E:, neste caso): 
Enable-DedupVolume E: 
3. Também configure trabalhos de eliminação da duplicação de dados para um volume. 
 
Por padrão, os trabalhos internos são criados e agendados quando você habilita a 
eliminação da duplicação de dados para um volume. Se for necessário, será possível 
configurar manualmente esses trabalhos ou criar trabalhos adicionais para gerenciar 
melhor como funciona a eliminação da duplicação de dados. 
 
 
177 
V 1.0 
11: Criptografia e auditoria avançada 
 
O que é o EFS? 
EFS é um recurso que pode criptografar arquivos armazenados em uma partição 
formatada com NTFS. Por padrão, essa opção está disponível para todos os usuários. 
Também é possível usar o EFS para criptografar arquivos em um compartilhamento de 
arquivos. 
 
Como o EFS funciona 
O EFS usa uma combinação de chave pública e criptografia de chave simétrica para 
proteger arquivos do ataque. O EFS usa uma chave simétrica para criptografar o arquivo 
e uma chave pública para proteger a chave simétrica. 
A criptografia de chave simétrica usa a mesma chave para criptografar e descriptografar 
um arquivo. Esse tipo de criptografia é mais rápido e mais seguro do que a criptografia 
de chave pública. Como é difícil proteger a chave simétrica durante uma transferência 
entre redes, ela exige segurança adicional. A criptografia de chave simétrica é o método 
comum de criptografia de grandes quantidades de dados. 
O EFS usa a criptografia de chave pública para proteger a chave simétrica, que é 
necessária para descriptografar o conteúdo dos arquivos. Cada certificado de usuário 
contém uma chave privada e uma chave pública que é usada para criptografar a chave 
simétrica. Somente o usuário com o certificado e sua chave privada pode 
descriptografar a chave simétrica. 
O processo de criptografia de arquivos é o seguinte: 
1. Quando um usuário criptografa um arquivo, o EFS gera uma FEK (chave de 
criptografia de arquivos) para criptografar os dados. A FEK é criptografada com a chave 
pública do usuário, e é então armazenada com o arquivo. Isso assegura que apenas o 
usuário com a chave privada de criptografia EFS correspondente seja capaz de 
descriptografar o arquivo. Depois que um usuário criptografa um arquivo, este 
permanece criptografado pelo tempo em que estiver armazenado no disco. 
2. Para descriptografar arquivos, o usuário pode abrir o arquivo, remover o atributo de 
criptografia ou descriptografar o arquivo usando o comando de criptografia. Quando 
isso ocorre, o EFS descriptografa a FEK com a chave privada do usuário e, em seguida, 
descriptografa os dados usando a FEK. 
 
 
178 
V 1.0 
Configurando Auditoria 
 
No Windows Server 2008. 2012, você agora pode configurar a auditoria do AD DS com 
uma nova subcategoria de auditoria para registrar em log valores novos e antigos 
quando forem feitas alterações em objetos e seus atributos. 
No Microsoft® Windows® 2000 Server e no Windows Server 2003, os logs de 
auditoria do Active Directory podem mostrar quem fez as alterações em quais atributos 
de objeto, mas os eventos não exibem os valores novos e antigos. Por exemplo, o log de 
auditoria pode mostrar que José modificou seu atributo de bebida favorita no diretório, 
mas ele não pode mostrar suas bebidas anteriores favoritas ou qual era o atributo depois 
de alterado. Com o novo recurso de auditoria, você pode registrar eventos em log que 
mostram valores antigos e novos; por exemplo, você pode mostrar que a bebida favorita 
de José foi alterado de café com leite simples para café com leite triplo. 
 
Alterações de auditoria em objetos no AD DS 
 
Nos sistemas operacionais Windows 2000 Server e Windows Server 2003, havia uma 
diretiva de auditoria, chamada Auditoria de acesso ao serviço de diretório, que 
controlava se a auditoria de eventos do serviço de diretórios deveria ser habilitada ou 
desabilitada. No Windows Server 2008, essa diretiva é dividida em quatro 
subcategorias: 
 
Acesso ao Serviço de Diretório 
Alterações no Serviço de Diretório 
Replicação do Serviço de Diretório 
Replicação Detalhada do Serviço de Diretório 
 
A capacidade de auditar alterações feitas em objetos do AD DS é habilitada com a nova 
subcategoria de auditoria, Alterações no Serviço de Diretório. Este guia fornece 
instruções para implementar essa subcategoria de diretiva de auditoria. 
Entre os tipos de alterações que você pode auditar estão a criação, modificação, 
movimentação ou a operação de desfazer a exclusão de um objeto (ou qualquer entidade 
de segurança) por um usuário. A nova subcategoria de auditoria adiciona os seguintes 
recursos à auditoria no AD DS: 
179 
V 1.0 
• Quando uma operação de modificação bem-sucedida é executada em um 
atributo, o AD DS registra em log os valores anterior e atual do atributo. Se o 
atributo tiver mais de um valor, somente os valores alterados como resultado da 
operação de modificação serão registrados em log. 
• Se for criado um novo objeto, os valores dos atributos que forem preenchidos no 
momento da criação serão registrados em log. Se o usuário adicionar atributos 
durante a operação de criação, esses novos valores de atributo serão registrados 
em log. Na maioria dos casos, o AD DS designa valores padrão para os atributos 
(como sAMAccountName). Os valores desses atributos de sistema não são 
registrados em log. 
• Se um objeto for movido, a localização anterior e a nova (nome distinto) serão 
registradas em log para movimentações dentro do domínio. Quando um objeto é 
movido para outro domínio, um evento de criação é gerado no controlador de 
domínio do domínio de destino. 
Se a exclusão de um objeto for desfeita, o local para onde o objeto for movido será 
registrada em log. Além disso, se o usuário adicionar, modificar ou excluir atributos 
durante uma operação de cancelamento 
 
Para habilitar a diretiva de auditoria global. 
1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em 
Gerenciamento de Diretiva de Grupo. 
2. Na árvore de console, clique duas vezes no nome da floresta, clique duas vezes 
em Domínios, clique duas vezes no nome do seu domínio, clique duas vezes em 
Controladores de Domínio, clique com o botão direito em Diretiva padrão de 
controladores de domínio e clique em Editar. 
3. Em Configuração do Computador, clique duas vezes em Diretivas, clique 
duas vezes em Configurações do Windows, clique duas vezes emcomo protocolo secundário de 
resolução de nomes juntamente com o DNS. O WINS é um protocolo mais antigo e usa 
NetBIOS sobre TCP/IP (NetBT). Sendo assim, está prestes a se tornar obsoleto. 
Entretanto, as organizações continuam a usá-lo, pois apreciam os registros globais, 
estáticos, com nomes com rótulo único oferecidos pelo WINS. 
Para que as organizações possam migrar para um ambiente totalmente DNS (ou para 
oferecer as vantagens dos nomes globais, com rótulo único às redes DNS), o serviço 
Servidor DNS no Windows Server 2008 agora oferece suporte a uma zona chamada 
GlobalNames para conter nomes com rótulo único. Em casos típicos, o escopo da 
replicação dessa zona é toda a floresta, o que assegura que a zona tenha o efeito 
desejado de fornecer nomes exclusivos, com rótulo único, em toda a floresta. Além 
disso, a zona GlobalNames pode oferecer suporte à resolução de nomes com rótulo 
único em toda uma organização que contenha várias florestas quando você usar 
registros de recursos do Local do serviço (SRV) para publicar a localização da zona 
GlobalNames. 
Ao contrário do WINS, a zona GlobalNames foi criada para fornecer resolução de nome 
com rótulo único para um conjunto limitado de nomes de host, normalmente servidores 
corporativos e sites gerenciados de forma centralizada (TI). A zona GlobalNames não se 
destina a ser usada para resolução de nomes ponto a ponto, como em caso de estações 
de trabalho, e não há suporte para atualizações dinâmicas na zona GlobalNames. Em 
vez disso, a zona GlobalNames é mais comumente usada para conter registros de 
recursos CNAME para mapear um nome com rótulo único para um nome de recurso 
totalmente qualificado (FQDN). Em redes que no momento usam WINS, a zona 
GlobalNames normalmente contém registros de recursos para nomes gerenciados por TI 
já estaticamente configurados no WINS. 
17 
V 1.0 
Quando a zona GlobalNames é implantada, a resolução de nomes com rótulo único por 
clientes funciona do seguinte modo: 
1. O sufixo de DNS primário do cliente é anexado ao nome com rótulo único e a 
consulta é enviada ao servidor DNS. 
2. Se esse FQDN não resolver, o cliente solicita a resolução usando suas listas de 
pesquisa de sufixos DNS (como aquelas especificadas pela Diretiva de Grupo), 
se houver. 
3. Se nenhum desses nomes resolver, o cliente solicita resolução usando o nome 
com rótulo único. 
4. Se o nome com rótulo único aparecer na zona GlobalNames, o servidor DNS 
que hospeda a zona resolve o nome. Caso contrário, a consulta falha no WINS. 
Não são necessárias alterações no software cliente para habilitar o nome com rótulo 
único com este recurso. 
A zona GlobalNames fornece resolução de nomes com rótulo único somente quando 
todos os servidores autoritativos estiverem executando o Windows Server 2008. 
Entretanto, outros servidores DNS (ou seja, aqueles não autoritativos para qualquer 
zona) podem estar executando outros sistemas operacionais. Naturalmente, a zona 
GlobalNames deve ser a única com esse nome na floresta. 
Para oferecer o máximo em desempenho e escalabilidade, é recomendável que a zona 
GlobalNames seja integrada com AD DS e que cada servidor DNS autoritativo seja 
configurado com uma cópia local da zona GlobalNames. A integração AD DS da zona 
GlobalNames é necessária para o suporte à implantação da zona GlobalNames em 
várias florestas. 
Alterações de clientes DNS 
Embora não seja uma conseqüência direta das alterações do DNS para a função de 
servidor DNS, o Windows Vista® e o Windows Server 2008 trazem outros recursos ao 
software cliente DNS, conforme descrevem as próximas seções. 
LLMNR 
Os computadores clientes DNS podem usar a resolução de nome multicast link-local 
(LLMNR), também conhecida como DNS multicast ou mDNS, para resolver nomes em 
um segmento de rede local quando não houver um servidor DNS disponível. Por 
exemplo, se um roteador falhar, cortando uma sub-rede em todos os servidores DNS da 
rede, os clientes da sub-rede que oferece suporte ao LLMNR podem continuar a 
resolver nomes ponto a ponto até que a conexão de rede seja restaurada. 
Além de fornecer resolução de nomes em caso de falha da rede, o LLMNR também 
pode ser útil para estabelecer redes ad hoc, ponto a ponto, por exemplo, na área de 
espera de um aeroporto. 
18 
V 1.0 
Alterações nos modos como os clientes localizam seus controladores de domínio 
Em circunstâncias extraordinárias, o modo como os clientes DNS localizam 
controladores de domínio pode afetar o desempenho da rede: 
• Um computador cliente DNS com Windows Vista ou Windows Server 2008 
procura periodicamente um controlador de domínio no domínio ao qual 
pertence. Essa funcionalidade ajuda a evitar problemas de desempenho que 
podem ocorrer quando um cliente DNS localiza seu controlador de domínio 
durante um período de falha da rede, associando o cliente a um controlador de 
domínio distante, localizado em um link lento. Anteriormente, esta associação 
continuava até o cliente ser forçado a buscar um novo controlador de domínio, 
por exemplo, quando o computador cliente ficava desconectado da rede durante 
um longo período. Renovando periodicamente sua associação com um 
controlador de domínio, um cliente DNS pode agora reduzir a probabilidade de 
ser associado a um controlador de domínio não apropriado. 
• Um computador cliente DNS com Windows Vista ou Windows Server 2008 
pode ser configurado (programaticamente ou com uma definição de registro) 
para localizar o controlador de domínio mais próximo, em vez de pesquisar 
aleatoriamente. Esta funcionalidade pode aprimorar o desempenho de redes que 
contenham domínios existentes em links lentos. Entretanto, como a localização 
do controlador de domínio pode, por si só, ter impacto negativo sobre o 
desempenho da rede, essa funcionalidade não é habilitada por padrão. 
Instalando um servidor DNS 
Após terminar de instalar o sistema operacional, uma lista de tarefas de configuração 
iniciais será exibida. Para instalar o servidor DNS, na lista de tarefas, clique em 
Adicionar funções e em Servidor DNS. 
 
Configurar zonas DNS 
 
Zonas 
Zonas 
 
A zona é uma parte contígua de um domínio do espaço de um registro nomes DNS, 
cujos dados existem e são gerenciadas em um banco de dados DNS determinado no 
arquivo armazenado em um ou vários servidores DNS. Você pode configurar um único 
servidor DNS para gerenciar uma ou várias zonas. Cada zona está ligada em um nó de 
domínio específico, conhecido como o domínio raiz da zona. arquivos de Zona não 
contêm necessariamente o ramo completo (isto é, todos os subdomínios), sob o domínio 
raiz da zona. Por exemplo, você pode dividir um domínio em vários subdomínios, que 
são controladas por servidores DNS separados. Você pode dividir os domínios através 
de arquivos de zona múltiplas se você quiser distribuir o gerenciamento do domínio 
através de diferentes grupos ou fazer replicação de dados mais eficiente 
19 
V 1.0 
 
 
 
No exemplo, "microsoft.com" é um domínio (ramo de todo o espaço para nome DNS 
que começa com o microsoft.como nó.), Mas todo o domínio não é controlado por um 
arquivo de zona. Parte do domínio está em uma zona de "microsoft.com". e parte do 
domínio está em uma zona para o dev.microsoft.com "." domínio. Estas zonas 
correspondem a diferentes arquivos de dados DNS que podem residir nos servidores de 
DNS iguais ou diferentes. 
 
Zona primária 
Quando a zona que este servidor DNS hospeda é uma zona primária, o servidor DNS é a 
fonte primária de informações sobre esta zona e ele armazena a cópia mestra dos dados 
da zona em um arquivo local ou no AD DS. Quando a zona é armazenada em um 
arquivo, por padrão o arquivo da zona primária é denominado nome_da_zona.dns e está 
localizado na pasta %windir%\System32\Dns do servidor. 
Zona secundária 
Quando a zona que este servidor DNS hospeda é uma zona secundária, este servidor 
DNS é a fonte secundária de informações sobre esta zona. A zona neste servidor precisa 
ser obtida de outro computadorConfigurações de Segurança, clique duas vezes em Diretivas Locais e em 
Diretiva de Auditoria. 
4. Em Diretiva de Auditoria, clique com o botão direito do mouse em Auditoria 
de acesso ao serviço de diretório e clique em Propriedades. 
5. Marque a caixa de seleção Definir estas configurações de diretiva. 
6. Em Fazer a auditoria dessas tentativas, marque a caixa de seleção Êxito e 
clique em OK. 
Para configurar a auditoria em SACLs de objetos 
180 
V 1.0 
1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em 
Usuários e Computadores do Active Directory. 
2. Clique com o botão direito do mouse na unidade organizacional (UO) (ou em 
qualquer objeto) para o qual deseja habilitar a auditoria e, em seguida, clique em 
Propriedades. 
3. Clique na guia Segurança, clique em Avançado e, em seguida, clique na guia 
Auditoria. 
4. Clique em Adicionar e, em Digite o nome do objeto a ser selecionado, digite 
Usuários Autenticados (ou em qualquer outra entidade de segurança) e, em 
seguida, clique em OK. 
5. Em Aplicar em, clique em Objetos de Usuário Descendente (ou em qualquer 
outro objeto). 
6. Em Acesso, marque a caixa de seleção Êxito de Gravar todas as 
propriedades. 
7. Clique em OK até que você saia da folha de propriedades para a UO ou outros 
objetos. 
 
181 
V 1.0 
12: Gerenciamento de atualizações 
 
 
Definir configurações de servidor dos Windows Server Update Services (WSUS) 
 
O Microsoft Windows Server Update Services 3.0 (WSUS 3.0) permite que 
administradores de TI distribuam as últimas atualizações de praticamente todos os 
produtos Microsoft, para computadores executando os sistemas operacionais Windows 
2000 Professional com Service Pack 4, Windows XP com Service Pack 2, Windows 
Vista, Windows Defender, Windows 2000 Server com Service Pack 4, Windows 
Small Business Server 2003 e Windows Server 2003. 
O WSUS 3.0 é o sucessor do WSUS 2.0, o qual trás novas melhorias em performance, 
nova console, e flexibilidade no gerenciamento das atualizações. Além de suportar 
atualizações de sistemas operacionais Windows, ele também suporta atualização para os 
seguintes produtos: 
· Microsoft Office 2002/XP/2003/2007 
· Microsoft Exchange 2000/2003/2007/2007 Anti-spam 
· Firewall Client for ISA Server 
· ISA Server 2004/2006 
· Compute Cluster Pack 
· Max 
· Microsoft Core XML Services 
· Microsoft System Center Data Protection Manager 
· Data Protection Manager 2006 
· Forefront Client Security 
· SQL Server 2000 com Service Pack 4 
· SQL Server Feature Pack 
· SQL Server 2005 
· Systems Management Server 2003 
· Visual Studio 2005 
182 
V 1.0 
· Windows Live Mail Desktop 
· Windows Live Toolbar 
· Zune software 
 
Usando o WSUS 3.0, administradores podem gerenciar por completo a distribuição de 
atualizações, as quais são liberadas através do Microsoft Update para todos os 
computadores da rede. 
 
 Novidades no WSUS 3.0 
 
O WSUS 3.0 fornece inúmeros novos recursos, tornando o WSUS fácil de usar, 
implementar e suportar. Especificamente, o WSUS 3.0 fornece melhorias nas seguintes 
áreas: 
Fácil de Usar 
Opções de Implementação Melhorada 
Melhor Suporte para Hierarquia Complexa de Servidores 
Melhor Performance e Otimização de Largura de Banda 
 
Fácil de Usar 
 
Gerenciar o WSUS através da console de administração 
A console de administração do WSUS 3.0 foi movida de uma console baseado na Web 
para o Microsoft Management Console 3.0. A nova interface do usuário fornece as 
seguintes características: 
Home pages em cada node contendo um overview das tarefas associadas com o node. 
Filtragem avançada. 
As novas colunas permitem você classificar as atualizações de acordo com o número do 
MSRC (Microsoft Security Response Center), severidade do MSRC, artigo do KB e 
status de instalação. 
Seleção de coluna, classificação e reordenação. 
183 
V 1.0 
Menus de atalho permitem você clicar com o botão direito e escolher uma ação. 
Relatório integrado com a visualização da atualização. 
Visualização customizada. 
 
Gerenciar o WSUS remotamente 
A console de administração do WSUS 3.0 pode ser instalada sobre outros computadores 
na rede para gerenciar o WSUS 3.0 remotamente. 
 
Configurar tarefas pos-instalação usando um assistente 
Um assistente de configuração irá guiar novos usuários através do processo de pos-
instalação para configurar o WSUS 3.0. 
 
Gerar múltiplos relatórios com precisão melhorada 
Relatórios agora podem ser gerados diretamente através da visualização da atualização. 
Você pode gerar relatórios sobre um subconjunto de atualizações, como atualizações de 
segurança, as quais são necessárias para os computadores, mas ainda não foram 
aprovadas para instalação. Você pode criar relatórios para todos os computadores 
gerenciados por uma replica de hierarquia, e você pode salvar esses relatórios no 
formato de XLS ou PDF. 
 
Manter a saúde do servidor mais facilmente 
O WSUS 3.0 agora registra as informações sobre a saúde do servidor detalhado no 
event log. Um Microsoft Operations Manager (MOM) Pack está agora disponível 
para monitor eventos gerados pelo WSUS. 
 
Receba mensagens de e-mail sobre novas atualizações 
Você pode configurar o WSUS para enviar uma notificação de e-mail quando novas 
atualizações são sincronizadas para o seu servidor. 
 
Remova informações antigas facilmente 
O Server Cleanup Wizard permite você remover computadores antigos, atualizações, 
e arquivos de atualizações do seu servidor WSUS. 
184 
V 1.0 
Upgrade de WSUS 2.0 para WSUS 3.0 
O WSUS 3.0 pode ser instalado sobre o servidor que já tem o WSUS 2.0 instalado. O 
processo de instalação executará um upgrade in-place, o qual preservará todas as 
configurações e aprovações feitas anteriormente. O processo de upgrade de uma 
hierarquia de servidor deve iniciar do servidor central e continuar para hierarquia 
abaixo. Um servidor WSUS 2.0 pode sincronizar com um WSUS 3.0, mas um WSUS 
3.0 não pode sincronizar com um WSUS 2.0. Uma atualização do WSUS 2.0 para o 
WSUS 3.0 é um processo de sentido único. Se você quiser voltar para a versão do 
WSUS 2.0 você primeiro precisa remover o WSUS 3.0, e reinstalar o WSUS 2.0. 
 
Opções de Implementação Melhorada 
 
 
Obter atualizações mais rápidas 
Com o WSUS 3.0 você pode configurar o servidor para sincronizar as atualizações com 
uma freqüência de uma vez a cada hora (comparado com o WSUS 2.0, o qual é possível 
somente uma vez ao dia). Esta melhoria permite que novas atualizações sejam 
replicadas através da sua organização mais rapidamente. 
Configurar regras de auto-aprovação 
O WSUS 3.0 permite que você crie regras específicas para diferentes produtos e 
classificação de atualizações para sua aprovação automática. Além disso, o WSUS 3.0 
suporta a criação de múltiplas regras de auto-aprovação. As regras de auto-aprovação 
serão aplicadas agora para todas as atualizações que estão atualmente sobre o WSUS. 
Limitar o acesso somente leitura para o WSUS 
Membros do grupo de segurança WSUS Reporters terão acesso somente de leitura para 
o servidor. Os membros do grupo WSUS Reporters podem somente gerar relatórios, 
mas não aprovar atualizações ou configurar o servidor. 
 
Melhor Suporte para Hierarquia Complexa de Servidores 
Gerenciar múltiplos servidores de uma única console 
 
A console de administração do WSUS 3.0 permitirá você inspecionar e gerenciar 
todos os servidores do WSUS em sua hierarquia. 
 
185 
V 1.0 
Criar relatórios para todos os computadores 
 
Você pode agora criar relatórios atualizados de todos os computadores 
gerenciados pela por uma hierarquia de replica. 
 
Configure servidores em cluster 
 
Servidores WSUS 3.0 agora podem ser configurados em cluster para tolerância à 
falhas. Os servidores devem todos apontar para a mesma instancia de banco de 
dados doservidor DNS remoto que também hospede a zona. Este 
servidor DNS precisa ter acesso à rede do servidor DNS remoto que fornece a este 
servidor informações atualizadas sobre a zona. Como a zona secundária é simplesmente 
uma cópia da zona primária que está hospedada em outro servidor, ela não pode ser 
armazenada no AD DS. 
Zona de stub 
Quando a zona que este servidor DNS hospeda é uma zona de stub, este servidor DNS é 
a fonte somente de informações sobre os servidores de nomes autoritativos desta zona. 
A zona neste servidor precisa ser obtida de outro servidor DNS que hospede a zona. 
Este servidor DNS precisa ter acesso à rede do servidor DNS remoto para copiar as 
informações de servidor de nomes autoritativos sobre a zona. 
Você pode usar as zonas de stub para: 
20 
V 1.0 
• Manter as informações de zonas delegadas atualizadas. Ao atualizar uma zona 
de stub para uma de suas zonas filho regularmente, o servidor DNS que hospeda 
tanto a zona pai quanto a zona de stub manterá uma lista atualizada de servidores 
DNS autoritativos para a zona filho. 
• Aprimorar a resolução de nomes. As zonas de stub permitem que o servidor 
DNS execute recursão usando a lista de servidores de nomes da zona de stub, 
sem precisar consultar a Internet ou um servidor raiz interno para o namespace 
DNS. 
• Simplificar a administração do DNS. Ao usar zonas de stub por toda a sua 
infraestrutura DNS, você pode distribuir uma lista de servidores DNS 
autoritativos para uma zona sem usar zonas secundárias. Entretanto, as zonas de 
stub não têm a mesma finalidade das zonas secundárias e elas não são uma 
alternativa para melhorar a redundância e o compartilhamento de carga. 
Existem duas listas de servidores DNS envolvidas no carregamento e na manutenção de 
uma zona de stub: 
• A lista de servidores mestre pela qual o servidor DNS carrega e atualiza uma 
zona de stub. O servidor mestre pode ser um servidor DNS primário ou 
secundário da zona. Em ambos os casos, ele terá uma lista completa dos 
servidores DNS da zona. 
• A lista de servidores DNS autoritativos da zona. Esta lista está contida na zona 
de stub usando registros de recursos do servidor de nomes (NS). 
Quando o servidor DNS carrega uma zona de stub, como widgets.tailspintoys.com, ele 
consulta os servidores mestre, que podem estar em locais diferentes, para os registros de 
recursos necessários dos servidores autoritativos da zona widgets.tailspintoys.com. A 
lista de servidores mestre pode conter um único servidor ou vários servidores, e ela 
pode ser alterada a qualquer momento. 
Implantando uma zona GlobalNames 
Um requisito comum em redes de computadores é a capacidade de resolver nomes 
simples e com rótulo único. O uso de nomes com rótulo único possibilita ao computador 
acessar hosts como servidores de arquivos e da Web usando nomes curtos e fáceis de 
lembrar em vez dos nomes de domínio totalmente qualificados (FQDNs) que fazem 
parte da convenção de nomeação padrão do DNS (sistema de nomes de domínio). Para 
tornar o uso de nomes com rótulo único possível, muitas redes implantam tecnologia e 
servidores WINS (serviço de cadastramento na Internet do Windows) em seus 
ambientes. Como protocolo de resolução de nomes, o WINS é uma alternativa ao DNS. 
Ele é um serviço mais antigo que usa NetBIOS sobre TCP/IP (NetBT). WINS e NetBT 
não têm suporte para protocolos IPv6 (protocolo IP versão 6); portanto, eles estão 
caindo em desuso em muitas redes. 
Para ajudar os administradores de rede a migrarem para DNS para todas as resoluções 
de nomes, a função de Servidor DNS no Windows Server 2008 oferece suporte a uma 
zona especialmente nomeada, chamada GlobalNames. Ao implantar uma zona com este 
nome, você poderá ter os registros estáticos e globais com nomes com rótulo único, sem 
21 
V 1.0 
depender do WINS. Estes nomes com rótulo único geralmente se referem a registros de 
servidores importantes, bem conhecidos e amplamente usados — servidores que já 
receberam endereços IP estáticos e que são atualmente gerenciados por administradores 
de TI usando WINS. 
A zona GlobalNames não é projetada para ser uma substituição completa do WINS. 
Você não deve usar a zona GlobalNames para dar suporte a resolução de nomes de 
registros que sejam dinamicamente registrados no WINS, registros que normalmente 
não são gerenciados pelos administradores de TI. O suporte para estes registros 
dinamicamente registrados não é dimensionável, especialmente para clientes de maior 
porte com vários domínios ou várias florestas. 
Etapa 1: Criar a zona GlobalNames 
A primeira etapa na implantação da zona GlobalNames é criar a zona no servidor DNS 
que é o controlador de domínio executando o Windows Server 2008. A zona 
GlobalNames não é um tipo de zona especial; ela é simplesmente uma zona de pesquisa 
direta integrada ao AD DS que é denominada GlobalNames. 
Etapa 2: Habilitar suporte da zona GlobalNames 
A zona GlobalNames não estará disponível para fornecer resolução de nomes até que o 
suporte da zona GlobalNames esteja explicitamente habilitado usando o seguinte 
comando em cada servidor DNS autoritativo na floresta: 
dnscmd /config /enableglobalnamessupport 1 
onde Nome_do_servidor é o nome DNS ou endereço IP do servidor DNS que hospeda a 
zona GlobalNames. Para especificar o computador local, substitua Nome do servidor 
por um ponto (.), por exemplo, dnscmd . /config /enableglobalnamessupport 1. 
Etapa 3: Replicar a zona GlobalNames 
Para tornar a zona GlobalNames disponível para todos os servidores e clientes DNS em 
uma floresta, replique a zona para todos os controladores de domínio na floresta, isto é, 
adicione a zona GlobalNames à partição do aplicativo DNS em toda a floresta. 
Se você quiser limitar os servidores que serão autoritativos para a zona GlobalNames, 
poderá criar uma partição de aplicativo DNS personalizada para replicação da zona 
GlobalNames. 
Etapa 4: Preencher a zona GlobalNames 
Para cada servidor para o qual você queira ser capaz de fornecer resolução de nome com 
rótulo único, adicione um registro de recurso de alias (CNAME) à zona GlobalNames. 
Etapa 5: Publique a localização da zona GlobalNames em outras florestas 
Se você quiser que clientes DNS em outras florestas usem a zona GlobalNames para 
resolução de nomes, adicione registros de recursos de serviço local (SRV) à partição de 
22 
V 1.0 
aplicativo DNS em toda a floresta, usando o nome de serviço _globalnames._msdcs e 
especificando o FQDN do servidor DNS que hospeda a zona GlobalNames. 
Além disso, você precisa executar o comando dnscmdNome do servidor/config 
/enableglobalnamessupport 1 em cada servidor DNS autoritativo nas florestas que não 
hospedarem a zona GlobalNames. 
Como o DNS se integra ao AD DS 
Quando você instala o AD DS em um servidor, promove o servidor à função de 
controlador de um determinado domínio. Como parte desse processo, será solicitado 
que você especifique um nome de domínio DNS para o domínio AD DS em que está 
entrando e para o qual está promovendo o servidor e será oferecida a opção de 
instalação da função Servidor DNS. Essa opção é oferecida porque é necessário haver 
um servidor DNS para a localização desse servidor ou de outros controladores de 
domínio para membros de um domínio AD DS. 
As vantagens da integração ao AD DS 
Para redes que implantam o DNS para oferecer suporte ao AD DS, é altamente 
recomendável a utilização de zonas primárias integradas ao diretório. Elas oferecem as 
seguintes vantagens: 
• O DNS obtém replicação de dados de vários mestres e segurança avançada com 
base nos recursos do AD DS. 
Em um modelo de armazenamento de zona padrão, as atualizações do DNS são 
conduzidas com base em um modelo de atualização de um único mestre. Nesse 
modelo, um único servidor DNS autoritativo para uma zona é indicado como a 
fonte primária da zona. Esse servidor mantém a cópia mestra da zona em um 
arquivo local. Com esse modelo, o servidor primário da zona representa um 
único ponto fixode falha. Se o servidor não estiver disponível, as solicitações de 
atualização dos clientes DNS não serão processadas para a zona. 
Com o armazenamento integrado ao diretório, as atualizações dinâmicas feitas 
no DNS são enviadas para qualquer servidor DNS integrado ao AD DS e são 
replicadas para todos os outros servidores DNS integrados ao AD DS por meio 
da replicação do AD DS. Nesse modelo, qualquer servidor DNS integrado ao 
AD DS poderá aceitar atualizações dinâmicas da zona. Como a cópia mestra da 
zona é mantida no banco de dados do AD DS, que é totalmente replicado para 
todos os controladores de domínio, a zona poderá ser atualizada pelos servidores 
DNS que estiverem operando em qualquer controlador do domínio. Com o 
modelo de atualização de vários mestres do AD DS, qualquer um dos servidores 
primários da zona integrada ao diretório poderá processar solicitações de clientes 
DNS para atualizar a zona, desde que um controlador de domínio esteja 
disponível e possa ser alcançado na rede. 
Além disso, quando você utiliza zonas integradas ao diretório, pode usar a 
edição da lista de controle de acesso (ACL) para proteger um contêiner de 
objetos dnsZone na árvore de diretórios. Esse recurso oferece acesso detalhado à 
zona ou a um registro de recurso especificado nela. Por exemplo, uma ACL para 
um registro de recurso de uma zona pode ser restringida para que as atualizações 
dinâmicas sejam permitidas somente para um computador cliente especificado 
23 
V 1.0 
ou para um grupo seguro, como um grupo de administradores de domínio. Esse 
recurso de segurança não está disponível para zonas primárias padrão. 
• As zonas são replicadas e sincronizadas para controladores de domínio novos de 
forma automática, sempre que um deles for adicionado a um domínio do AD 
DS. 
Embora o serviço Servidor DNS possa ser removido seletivamente de um 
controlador de domínio, as zonas integradas ao diretório já estão armazenadas 
em cada controlador de domínio. Portanto, o armazenamento e gerenciamento de 
zona não é um recurso adicional. Além disso, os métodos usados na 
sincronização das informações armazenadas no diretório oferecem um 
desempenho melhor em relação aos métodos de atualização de zona padrão, que 
podem exigir a transferência de toda a zona. 
• Ao integrar o armazenamento dos seus bancos de dados de zona DNS ao AD 
DS, você pode simplificar o planejamento da replicação de bancos de dados para 
a sua rede. 
Quando o seu namespace DNS e os domínios AD DS forem armazenados e 
replicados separadamente, você deverá planejar e potencialmente administrar 
cada um desses itens de forma separada. Por exemplo, quando o armazenamento 
de zona DNS padrão e o AD DS forem usados juntos, você terá de projetar, 
implementar, testar e manter duas topologias de replicação de banco de dados 
diferentes. 
Uma topologia de replicação é necessária para a replicação de dados de diretório 
entre controladores de domínio e outra topologia é necessária para a replicação 
de bancos de dados de zona entre servidores DNS. Isso pode criar uma 
complexidade administrativa adicional para o planejamento e o design da sua 
rede e para o seu crescimento eventual. Ao integrar o armazenamento do DNS, 
você unifica questões de gerenciamento de armazenamento e de replicação para 
o DNS e para o AD DS, mesclando-as e exibindo-as juntas como uma única 
entidade administrativa. 
• A replicação integrada ao diretório é mais rápida e mais eficiente do que a 
replicação padrão do DNS. 
Como o processamento da replicação do AD DS é executado por propriedade, 
somente as alterações relevantes são propagadas. Menos dados são usados e 
enviados em atualizações para zonas armazenadas em diretório. 
Somente as zonas primárias podem ser armazenadas no diretório. Um servidor DNS não 
pode armazenar zonas secundárias no diretório. Ele deve armazená-las em arquivos de 
texto padrão. O modelo de replicação de vários mestres do AD DS elimina a 
necessidade de zonas secundárias quando todas as zonas são armazenadas no AD DS. 
Noções básicas sobre a pesquisa inversa 
Na maioria das pesquisas de Sistema de Nomes de Domínio (DNS), geralmente os 
clientes realizam uma pesquisa direta, que é a pesquisa baseada no nome DNS de outro 
computador conforme ele está armazenado em um registro de recurso de host (A). Este 
tipo de consulta pressupõe um endereço IP como os dados do recurso da resposta 
recebida. 
24 
V 1.0 
O DNS também oferece um processo de pesquisa inversa, na qual os clientes usam um 
endereço IP conhecido e pesquisam o nome de um computador baseado em seu 
endereço. A pesquisa inversa assume a forma de uma pergunta, como "Você pode me 
dizer o nome DNS do computador que usa o endereço IP 192.168.1.20?" 
O DNS não foi originalmente projetado para oferece suporte a este tipo de consulta. Um 
problema de oferecer suporte ao processo de consulta inversa é a diferença entre como o 
namespace DNS organiza e indexa nomes, e como os endereços IP são atribuídos. Se o 
único método para responder a pergunta anterior fosse pesquisar em todos os domínios 
no namespace DNS, a consulta inversa demoraria demais e exigiria muito 
processamento para ser útil. 
Para resolver este problema, um domínio especial, o domínio in-addr.arpa, foi definido 
nos padrões DNS e reservado no namespace DNS da Internet para oferecer uma forma 
prática e confiável de realizar consultas inversas. Para criar o namespace inverso, 
subdomínios dentro do domínio in-addr.arpa são formados, usando a ordem inversa dos 
números na notação decimal com ponto de endereços IP. 
Esta ordem inversa dos domínios de cada valor de octeto é necessária porque, ao 
contrário dos nomes DNS, quando os endereços IP são lidos da esquerda para a direita, 
eles são interpretados da maneira oposta. Quando um endereço IP é lido da esquerda 
para a direita, ele é visualizado por suas informações mais generalizadas (um endereço 
de rede IP) na primeira parte do endereço até as informações mais específicas (o 
endereço IP do host) que estejam contidas nos últimos octetos. 
Por este motivo, a ordem dos octetos de endereços IP precisa ser invertida quando a 
árvore de domínio in-addr.arpa é criada. Os endereços IP da árvore DNS in-addr.arpa 
podem ser delegados para organizações quando elas recebem um conjunto específico ou 
limitado de endereços IP dentro das classes de endereços definidos para Internet. 
Finalmente, a árvore de domínio in-addr.arpa, como está incorporada ao DNS, requer 
que seja definido um tipo de registro de recurso adicional — o registro de recurso de 
ponteiro (PTR). Este registro de recurso cria um mapeamento na zona de pesquisa 
inversa que geralmente corresponde ao registro de recurso de host (A) nomeado para o 
nome do computador DNS de um host em sua zona de pesquisa direta. 
O domínio in-addr.arpa se aplica a todas as redes TCP/IP baseadas no endereçamento de 
protocolo Internet versão 4 (IPv4). O Assistente de Nova Zona automaticamente 
assumirá que você está usando este domínio ao criar uma nova zona de pesquisa 
inversa. 
Se você estiver instalando o DNS e configurando zonas de pesquisa inversa para redes 
de Protocolo Internet versão 6 (IPv6), poderá especificar um nome exato no Assistente 
de Nova Zona. Deste modo, você poderá criar zonas de pesquisa inversa no Gerenciador 
DNS que podem dar suporte a redes IPv6, que usam um nome de domínio especial 
diferente, o domínio ip6.arpa. 
Informações adicionais estão disponíveis sobre IPv6 e DNS, incluindo exemplos de 
como criar e usar os nomes de domínio ip6.arpa, na RFC (Solicitação de 
Comentários) 3596, "Extensões DNS com suporte para IP versão 6". 
25 
V 1.0 
Para adicionar uma zona de pesquisa direta usando a interface do Windows 
1. Abra o Gerenciador de DNS. 
2. Na árvore de console, clique com o botão direito do mouse em um servidor DNS 
e, então em Nova zona para abrir o Assistente de Nova Zona. 
3. Siga as instruções para criar uma nova zona primária, zona secundária ou zona 
destub. 
Considerações adicionais 
• Para abrir o Gerenciador de DNS, clique em Iniciar, aponte para Ferramentas 
Administrativas e clique em DNS. 
Para adicionar uma zona de pesquisa direta usando uma linha de comando 
1. Abra um prompt de comando. 
2. Digite o comando a seguir e pressione ENTER: 
3. dnscmd /ZoneAdd 
{/Primary|/DsPrimary|/Secondary|/Stub|/DsStub} [/file 
] [/load] [/a ] [/DP ] 
 
Para adicionar uma zona de pesquisa inversa usando a interface do Windows 
1. Abra o Gerenciador de DNS. 
2. Na árvore de console, clique com o botão direito do mouse em um servidor de 
sistema de nome de domínio (DNS) e clique em Nova Zona para abrir o 
Assistente de Nova Zona. 
3. Siga as instruções para criar uma nova zona de pesquisa inversa. 
Considerações adicionais 
• Para abrir o Gerenciador de DNS, clique em Iniciar, aponte para Ferramentas 
Administrativas e clique em DNS. 
Para adicionar uma zona de pesquisa inversa usando uma linha de comando 
1. Abra um prompt de comando. 
2. Digite o comando a seguir e pressione ENTER: 
dnscmd /ZoneAdd {/Primary|/DsPrimary} [/file 
] [/load] [/a ] [/DP ] 
 
 
Configurar registros DNS 
 
Depois de criar uma zona, adicione mais registros de recursos a ela. Os registros de 
recursos mais comuns a serem adicionados incluem: 
• Registros de recursos do host (A): para mapear um nome de domínio DNS 
(Domain Name System) para um endereço IP usado por um computador. 
26 
V 1.0 
• Registros de recursos de alias (CNAME): para mapear um nome de domínio 
DNS do alias para outro nome primário ou canônico. 
• Registros de recursos do servidor de mensagens (MX): para mapear um nome 
de domínio DNS para o nome de um computador que troca ou encaminha 
mensagens. 
• Registros de recursos de ponteiro (PTR): para mapear um nome de domínio 
DNS inverso que está baseado no endereço IP de um computador que aponta 
para o nome de domínio DNS direto desse computador. 
• Registros de recursos de serviço local (SRV): para mapear um nome de 
domínio DNS para uma determinada lista de computadores host de DNS que 
oferecem um tipo específico de serviço, por exemplo, controladores de domínio 
Active Directory. 
• Outros registros de recursos, conforme necessário. 
Registros de recursos do host (A) 
Use os registros de recursos do host (A) em uma zona para associar nomes de domínio 
DNS de computadores (ou hosts) aos respectivos endereços IP. Você pode adicioná-los 
a uma zona de várias maneiras: 
• Crie manualmente um registro de recurso do host (A) para um computador cliente 
TCP/IP estático usando o Gerenciador DNS. 
• Os clientes e servidores Windows usam o serviço de Cliente DHCP para registrar e 
atualizar dinamicamente seus próprios registros de recursos de host (A) no DNS quando 
ocorre uma alteração na configuração do IP. 
• Os computadores habilitados para DHCP (Dynamic Host Configuration Protocol) que 
executam versões anteriores de sistemas operacionais Microsoft poderão ter os registros 
de recursos do host (A) registrados e atualizados pelo proxy se eles obtiverem a 
concessão de IP de um servidor DHCP qualificado. (Somente o serviço de Servidor 
DHCP do Windows 2000, Windows Server 2003 e Windows Server 2008 oferecem 
suporte a esse recurso.) 
Nem todos os computadores exigem os registros de recursos do host (A), mas os que 
compartilham recursos em uma rede precisam deles. Qualquer computador que 
compartilha recursos e precisa ser identificado pelo nome de domínio DNS deve usar os 
registros de recursos do host (A), que fornecem a resolução de nomes DNS ao endereço 
IP do computador. 
A maioria dos registros de recursos do host (A) necessária em uma zona pode incluir 
outras estações de trabalho ou servidores que compartilham recursos, outros servidores 
DNS, servidores de email e servidores Web. Esses registros de recursos compõem a 
maioria dos registros de recursos em um banco de dados da zona. 
Registros de recursos de alias (CNAME) 
27 
V 1.0 
Algumas vezes, os registros de recursos de alias (CNAME) também são chamados de 
registros de recursos de nome canônico. Com esses registros, você pode usar mais de 
um nome para apontar para um único host, facilitando a realização das tarefas como 
host de servidor FTP (File Transfer Protocol) e de servidor Web no mesmo computador. 
Por exemplo, os nomes de servidores conhecidos (ftp, www) são registrados usando 
registros de recursos de alias (CNAME) que mapeiam para o nome de host DNS, como 
servidor 1, para o computador servidor que hospeda esses serviços. 
Recomendamos os registros de recursos de alias (CNAME) nas seguintes situações: 
• Quando um host especificado em um registro de recursos do host (A) na mesma zona 
precisar ser renomeado 
• Quando um nome genérico de um servidor conhecido, por exemplo, www, precisar ser 
resolvido para um grupo de computadores individuais (cada um com registros de 
recursos do host (A) individuais) que fornecem o mesmo serviço, por exemplo, em um 
grupo de servidores Web redundantes. 
Quando você renomeia um computador com um registro de recurso do host (A) 
existente na zona, pode usar um registro de recurso de alias (CNAME) 
temporariamente, permitindo um período de cortesia para que usuários e programas 
mudem do nome de computador antigo para o novo, como segue: 
• Para o novo nome de domínio DNS do computador, adicione um novo registro de 
recurso do host (A) à zona. 
• Para o nome de domínio DNS antigo, adicione um registro de recurso de alias 
(CNAME) que aponte para o novo registro de recurso do host (A). 
• Remova da zona o registro de recurso do host (A) original do nome de domínio DNS 
antigo (e o registro de recurso de ponteiro (PTR) associado, se for aplicável). 
Ao usar um registro de recurso de alias (CNAME) para usar alias em um computador ou 
para renomeá-lo, defina um limite temporário do tempo de uso do registro na zona até 
ele ser removido do DNS. Se você esquecer de excluir o registro de recurso de alias 
(CNAME) e, mais tarde, o registro de recurso do host (A) associado a ele for excluído, 
o registro de recurso de alias (CNAME) poderá consumir recursos do servidor tentando 
resolver consultas de um nome que não é mais usado na rede. 
O uso mais comum ou popular de um registro de recurso de alias (CNAME) é fornecer 
um nome de domínio de alias DNS permanente para resolução de nomes genéricos de 
um nome baseado em serviço, por exemplo, www.tailspintoys.com, para mais de um 
computador ou um endereço IP em um servidor Web. O seguinte exemplo mostra a 
sintaxe básica de um registro de recurso de alias (CNAME): 
alias_name IN CNAME primary_canonical_name 
Nesse exemplo, um computador denominado host-a.tailspintoys.com funciona como um 
servidor Web chamado www.tailspintoys.com. e como um servidor FTP chamado 
ftp.tailspintoys.com. Para atingir o objetivo desejado de nomear esse computador, 
adicione as seguintes entradas CNAME ao tailspintoys.com zone: 
28 
V 1.0 
host-a IN A 10.0.0.20 
ftp IN CNAME host-a 
www IN CNAME host-a 
Se, posteriormente, você decidir mover o servidor FTP para outro computador — 
separado do servidor Web no host-a —, bastará alterar o registro de recurso de alias 
(CNAME) da zona do ftp.tailspintoys.com e adicionar um registro de recurso do host 
(A) à zona do novo computador que está hospedando o servidor FTP. 
De acordo com o exemplo anterior, se o novo computador tiver o nome host-
b.tailspintoys.com, os registros de recursos de alias (CNAME) e do host (A) novos e 
alterados aparecerão desta forma: 
host-a IN A 10.0.0.20 
host-b IN A 10.0.0.21 
ftp IN CNAME host-b 
www IN CNAME host-a 
 
Registros de recursos do servidor de mensagens (MX) 
Os aplicativos de email utilizam o registro de recurso do servidor de mensagens (MX) 
para localizar um servidor de email com base em um nome de domínio DNS no 
endereçode destino do destinatário de uma mensagem. Por exemplo, uma consulta 
DNS do nome exemplo.tailspintoys.com pode ser usada para encontrar um registro de 
recurso do servidor de mensagens (MX), permitindo que um aplicativo de email 
encaminhe ou troque mensagem com um usuário que tem o endereço de email 
usuário@tailspintoys.com. 
O registro de recurso do servidor de mensagens (MX) mostra o nome de domínio DNS 
do computador ou computadores que processam mensagens de um domínio. Se houver 
vários registros de recursos do servidor de mensagens (MX), o serviço de Cliente DNS 
tentará estabelecer contato com servidores de email na ordem de preferência, do valor 
mais baixo (prioridade mais alta) ao valor mais alto (prioridade mais baixa). O seguinte 
exemplo mostra a sintaxe básica de um registro de recurso do servidor de mensagens 
(MX): 
mail_domain_name IN MX preferencemailserver_host 
Usando os registros de recursos do servidor de mensagens (MX) no exemplo a seguir 
para tailspintoys.com zone, a mensagem endereçada ao usuário@tailspintoys.com será 
entregue primeiro ao usuário@mailserver0.tailspintoys.com, se for possível. Se esse 
servidor não estiver disponível, o cliente resolvedor poderá usar o 
usuário@mailserver1.tailspintoys.com. 
@ IN MX 1 mailserver0 
@ IN MX 2 mailserver1 
Observe que o uso de "arroba" (@) nos registros indica que o nome de domínio DNS do 
mensageiro é igual ao nome de origem (tailspintoys.com) da zona. 
Registros de recursos de ponteiro (PTR) 
29 
V 1.0 
Os registros de recursos de ponteiro (PTR) dão suporte ao processo de pesquisa inversa, 
com base nas zonas criadas e colocadas na raiz do domínio in-addr.arpa. Esses registros 
localizam um computador pelo endereço IP e resolvem essas informações para o nome 
de domínio DNS desse computador. 
Os registros de recursos de ponteiro (PTR) podem ser adicionados a uma zona de várias 
maneiras: 
• Crie manualmente um registro de recurso de ponteiro (PTR) para um computador 
cliente TCP/IP estático, como um procedimento separado ou como parte do 
procedimento de criação de um registro de recurso do host (A). 
• Os computadores usam o serviço de Cliente DHCP para registrar e atualizar 
dinamicamente seus registros de recursos de ponteiro (PTR) no DNS quando ocorre 
uma alteração na configuração do IP. 
• Todos os outros computadores clientes habilitados para DHCP (Dynamic Host 
Configuration Protocol) poderão ter seus registros de recursos de ponteiro (PTR) 
registrados e atualizados pelo servidor DHCP se eles obtiverem a concessão de IP de 
um servidor qualificado. (O serviço de Servidor DHCP do Windows 2000, Windows 
Server 2003 e Windows Server 2008 oferecem suporte a esse recurso.) 
O registro de recurso de ponteiro (PTR) é usado somente nas zonas de pesquisa inversa 
para dar suporte à pesquisa inversa. 
Registros de recursos de serviço local (SRV) 
Os registros de recursos de serviço local (SRV) são necessários para a localização de 
controladores de domínio Active Directory. Geralmente, é possível evitar a 
administração manual de registros de recursos de serviço local (SRV) ao instalar os 
Serviços de Domínio Active Directory (AD DS). 
Por padrão, o Assistente de Instalação de Serviços de Domínio Active Directory tenta 
localizar um servidor DNS com base na lista de servidores DNS preferenciais ou 
alternativos, que estão configurados em qualquer uma das propriedades de cliente 
TCP/IP, para qualquer uma das conexões de rede ativas. Se for estabelecido contato 
com um servidor DNS que pode aceitar atualizações dinâmicas do registro de recurso de 
serviço local (SRV), o processo de configuração estará concluído. (Isso se aplica 
também a outros registros de recursos relacionados ao registro do AD DS como um 
serviço no DNS.) 
Se, durante a instalação, não for encontrado um servidor DNS que possa aceitar 
atualizações para o nome de domínio DNS que é usado para nomear o diretório, o 
assistente poderá instalar um servidor DNS localmente e configurá-lo, de forma 
automática, com uma zona para dar suporte ao domínio Active Directory. 
Por exemplo, se o domínio Active Directory escolhido como primeiro domínio na 
floresta for exemplo.tailspintoys.com, você poderá adicionar e configurar uma zona que 
esteja na raiz do nome de domínio DNS de exemplo.tailspintoys.com para usar com o 
servidor DNS em execução no novo controlador de domínio. 
30 
V 1.0 
No futuro, o registro de recurso de serviço local (SRV) poderá também ser usado para 
registrar e consultar outros serviços TCP/IP conhecidos na rede, se os aplicativos 
implementarem e oferecerem suporte a consultas de nome DNS que especificam esse 
tipo de registro. 
Configurar replicação DNS 
 
Transferência de Zona 
 
Os servidores secundários obtém os dados dos servidores primários através da 
transferência de zona. Esta transferência tem que ser configurada tanto no servidor 
primário para que este permita a tranferencia dos dados quanto no servidor secundário 
que ira receber estes dados. 
Esta transferência pode ser de dois tipos, transferência total ou incremental de dados. 
 
Transferência Total 
 
Transferências de zona Totlal e uma transferência de arquivo de zona inteira, 
independentemente de como o arquivo foi alterado desde a última vez que foi 
transferido. Em uma transferência de zona completa, ocorre o seguinte processo: 
 
1. O servidor secundário aguarda até que o tempo de atualização seguinte (conforme 
especificado no registro de recurso SOA) e, em seguida, consulta o servidor mestre para 
o registro de recurso SOA para a zona. 
2. O servidor mestre responde com o registro de recurso SOA. 
3. O secundário servidor verifica o campo Número de série do registro SOA. Se o 
número de série no registro de recurso SOA é superior ao número de série do registro de 
recurso SOA da zona de arquivos armazenados localmente, isto indica que houveram 
mudanças no arquivo de zona no servidor mestre e uma transferência de zona é 
necessário. Sempre que um registro de recurso é alterado no servidor de nome de 
mestre, o número de série no registro de recurso SOA é atualizado. O servidor 
secundário envia um pedido AXFR (um pedido de transferência de zona completa) para 
o servidor mestre. 
4. O servidor secundário inicia uma conexão TCP com o servidor mestre e requisita 
todos os registros no banco de dados da zona. Após a transferência de zona, o campo 
Número de série do registro SOA do arquivo de zona local coincide com o campo 
Número de série do registro SOA do servidor mestre. 
 
 
 
Se o servidor secundário não receber uma resposta à consulta SOA, ele continua as 
tentativas de consultas usando um intervalo de repetição de tempo especificado no 
registro de recurso SOA no arquivo de zona local. O servidor secundário continua a 
repetir até que o tempo decorrido desde a tentativa de realizar uma transferência de zona 
31 
V 1.0 
atinge um tempo de expiração especificado no registro de recurso SOA no arquivo de 
zona local. Após o tempo de expiração, o servidor secundário fecha o arquivo de zona e 
não irá usá-lo para responder a consultas posteriores. O servidor secundário mantém a 
tentativa de realizar a transferência de zona. Quando a transferência de zona e bem 
sucedida, o arquivo de zona local é aberto e usado para consultas posteriores. 
 
 
Transferência de zona Incremental 
 
Em uma transferência de zona completa, o arquivo de zona inteiro é transferido. Isso 
pode consumir uma parcela substancial de recursos de processamento e largura de 
banda de rede quando os arquivos de zona são grandes e quando os registros de zona 
são freqüentemente alterados. Para minimizar a quantidade de informação que é enviada 
em uma transferência de zona de alteração de registros de zona, RFC 1995 especifica 
um método padrão de realizar transferências de zona incremental. Em uma transferência 
de zona incremental, apenas os registros de recursos que foram alterados (foram 
adicionados, excluídos ou modificados)