April 30, 2017 | Author: Crimildo Moises | Category: N/A
Download Exam Ref 70-410 Installing and Configuring Windows Server 2012.en.pt.pdf...
r o eP icrOS ft Ms pr es
PUBLICADO POR Microsoft Press Uma divisão da Microsoft Corporation One Microsoft Way Redmond, Washington 98052-6399
Com Microsoft pré-impressão, você pode acessar o conteúdo recém-escrito da próximos livros. Os capítulos vêm direto de nossos autores respeitados, antes que elas sejam totalmente polido e depurado-para uma visão crítica agora, quando você precisar deles.
Este documento contém uma ou mais partes de uma versão preliminar de um título Microsoft Press e é fornecido "como está." O conteúdo pode ser alterado substancialmente após a publicação final. Além disso, esta documento pode fazer referência a versões de produtos de software que podem ser alterados de pré-lançamento substancialmente antes do lançamento comercial final. Este documento é fornecido apenas para fins informativos. MICROSOFT NÃO DÁ NENHUMA GARANTIA, EXPRESSA OU IMPLÍCITA, NESTE DOCUMENTO. Informações e pontos de vista expressos neste documento, incluindo URLs e outras referências a sites da Internet podem estar sujeitas a alterações sem aviso prévio. Você assume o risco de usá-lo.
Obedecer às leis de direitos autorais é de responsabilidade do usuário. Sem limitar os direitos por direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperação sistema, ou transmitida de qualquer forma ou por qualquer meio (eletrônico, mecânico, fotocópia, gravação ou outro), ou para qualquer propósito, sem a permissão expressa por escrito da Microsoft Corporation. Alguns exemplos são apenas para ilustração e são fictícios. Nenhuma associação real é intencional ou inferida. Este documento não oferece a você quaisquer direitos legais sobre propriedade intelectual em qualquer produto da Microsoft, serviço, ou outra oferta.
© 2012 Microsoft Corporation. Todos os direitos reservados. Microsoft e as marcas listadas no http://www.microsoft.com/about/legal/en/us/IntellectualProperty/Trademarks/EN-US.aspx são marcas comerciais da o grupo de empresas Microsoft. Todas as outras marcas são de propriedade de seus respectivos proprietários.
Conteúdo em um relance Capítulo 1
Instalação e configuração de servidores
Capítulo 2
Configure funções e recursos de servidor
Capítulo 3
Configurar o Hyper-V
Capítulo 4
A implantação ea configuração de serviços de rede de núcleo
Capítulo 5
Instalar e administrar o Active Directory
Capítulo 6
Criar e gerenciar a Política de Grupo
Nota: Os capítulos incluídos neste arquivo estão indicados em preto.
CAPÍTULO 1
Instalando e configurando servidores Instalação de novos servidores Windows em sua rede não é algo a ser feito casualmente-lo deve planejar bem a instalação com antecedência. Entre outras coisas, você deve decidir qual edição do sistema operacional para instalar, se você está instalando o GUI completo ou o Server Core opção, o que a sua estratégia de virtualização será, se houver, e quais os papéis que você pretende implementar no servidor. Se você estiver instalando o Windows Server 2012, pela primeira vez, você também pode ter de decidir se quer adicionar o servidor à sua rede de produção ou instalá-lo em uma rede de teste.
Este capítulo discute o processo de instalação do Windows Server 2012, usando um pano limpo instalar ou uma atualização do servidor, bem como as tarefas de configuração de servidor que devem ser executadas imediatamente a seguir à instalação. Finalmente, considera a configuração de vários tipos de tecnologias de disco rígido usado para armazenamento local, bem como a implantação de funções de servidores em todo a rede.
Objetivos deste capítulo:
Objectivo 1.1: Servidores Instalar
Objetivo 1.2: Configurar servidores
Objectivo 1.3: Configurar o armazenamento local
Algumas questões do exame estão em um formato de múltipla escolha, onde as respostas estão certas ou errado. Se, no exame, você tem uma opção onde parece que duas respostas poderiam ser certo, mas você só pode escolher uma resposta, você provavelmente perdeu uma pista no texto da pergunta que lhe permitiria descartar uma dessas respostas. Quando os exames são de autoria, não só que a questão escritor tem que fornecer boas razões para que uma resposta é correta, mas também por que as outras respostas estão incorretas. Embora haja uma pequena chance de que você veio através de uma pergunta ruim que tem por revisão e avaliação por pares, é mais provável que em uma situação de exame estressante você tenha esquecido um pouco de evidência vital que desconta um responder-lhe suspeito está correto.
Objectivo 1.1: Servidores Instalar A instalação é um tema central e tem sido extensivamente testado em exames anteriores do Windows Server. Não há nenhuma razão para acreditar que o exame 70-410 vai ser diferente. Este objectivo discute planejamento de uma instalação do Windows Server 2012. Ele olha para os requisitos de pré-instalação e como você pode preparar o seu hardware de instalação. Considera também as funções de servidor que você pode implementar durante a instalação. O objetivo leva você através de uma instalação limpa do Windows Server Core 2012, e descreve como os recursos em função de demanda permite otimizar recursos, remoção de todos os arquivos associados a uma função de servidor ou recurso que você optou por excluir. O objetivo também analisa as opções para a atualização de um Windows Server 2008 ou Windows Server Server 2008 R2 para o Windows Server 2012 e migração de funções de um servidor existente para um novo um.
Este objectivo abrange a forma de:
Plano para uma instalação de servidor
Planeje para funções de servidor Plano para uma atualização do servidor Instale Server Core
Otimizar a utilização de recursos usando recursos sob demanda
Migrar funções das versões anteriores do Windows Server
Planejamento para a instalação do servidor Nas versões anteriores do Windows Server, o planejamento de instalação poderia tornar-se uma tarefa complexa. Você tinha que decidir, desde o início o que edição do sistema operacional para instalar, seja para instalar o de 32 bits ou de 64 bits, e se você deve executar uma instalação Server Core ou usar a interface gráfica de usuário completo (GUI). Todas essas decisões afetaram o hardware do servidor requisitos, e todos eles eram irrevogáveis. Para alterar a edição, a plataforma ou a interface, você tem que reinstalar o servidor a partir do zero.
Com o Windows Server 2012, as opções são reduzidas substancialmente, e por isso são o decisões de instalação. Não há versão do Windows Server 2012 32-bit; apenas um 64-bit sistema operacional está disponível, refletindo o fato de que a maioria das principais aplicações são agora de 64 bits e que as configurações de servidores modernos são normalmente suportados em hardware que requer 64 bits. Há agora apenas quatro edições do Windows Server 2012 para escolher, para baixo de seis em Windows Server 2008 R2. As opções de instalação GUI completos Server Core e ainda permanecem, junto com uma terceira opção, chamada de interface Minimal Server. No entanto, agora é possível mudar Entre essas opções, sem ter que reinstalar o sistema operacional.
Seleção de uma edição do Windows Server 2012 Microsoft libera todos os seus sistemas operacionais em várias edições, que oferece aos consumidores com preços variados e conjuntos de recursos. Ao planejar uma implantação de servidor, a operação edição do sistema escolhido deve ser baseada em vários fatores, incluindo o seguinte:
Os papéis que você pretende os servidores para executar A estratégia de virtualização você intenção de implementar
A estratégia de licenciamento que você planeja usar Em comparação com o Windows Server 2008, a Microsoft simplificou o processo de seleção de um edição do servidor, reduzindo os produtos disponíveis. Tal como acontece com o Windows Server 2008 R2, o Windows Server 2012 exige uma arquitetura de processador de 64 bits. Todas as versões de 32 bits têm sido eliminado, e pela primeira vez, uma vez que a versão Windows NT Server 4.0, não haverá construir suportando processadores Itanium. Isso deixa o Windows Server 2012 com o seguinte núcleo edições:
O Windows Server 2012 Datacenter A edição Datacenter foi projetado para grande e potentes servidores com até 64 processadores e recursos de tolerância a falhas, tais como suporte ao processador add quente. Como resultado, esta edição está disponível somente através da Programa de licenciamento por volume da Microsoft e de fabricantes de equipamentos originais (OEMs), que vem com um servidor.
O Windows Server 2012 Padrão A edição padrão inclui o conjunto completo de 2008 recursos do Windows Server, que diferem da edição Datacenter apenas no número de máquina virtual (VM) instâncias permitidas pela licença.
O Windows Server 2012 Essentials A edição Essentials inclui quase toda a recursos nas edições Standard e Datacenter, exceto Server Core, Hyper-V, e Serviços de Federação do Active Directory. A edição é limitada a um ou física instância do servidor virtual e um máximo de 25 utilizadores.
O Windows Server 2012 Foundation Uma versão reduzida do sistema operativo projetado para pequenas empresas que necessitam de recursos de servidor só básicas, tais como arquivos e imprimir serviços e suporte de aplicativos. A edição não inclui direitos de virtualização e é limitado a 15 usuários.
Estas várias edições têm preços compatíveis com as suas capacidades. Obviamente, o objectivo dos administradores planejam implantações de servidores é comprar a edição mais barata que atenda todas as suas necessidades. Os capítulos seguintes analisam as principais diferenças entre as edições do Windows Server 2012.
Apoio funções de servidor Windows Server 2012 inclui combinações predefinidas de serviços chamados papéis que implementar funções comuns do servidor. Os computadores que executam o operacional Windows Server 2012 sistema pode executar uma grande variedade de tarefas, usando tanto o software incluído com o produto e aplicativos de terceiros. As atividades do Windows Server 2012 executa para os clientes da rede
são conhecidas como funções. Depois de instalar o sistema operacional Windows Server 2012, você pode usar Server Manager ou o Windows PowerShell para atribuir uma ou mais funções para o computador. Algumas das edições do Windows Server 2012 incluem todos estes papéis, enquanto outros incluem apenas alguns deles. Selecionando a edição apropriada do Windows Server sempre foi um questão de antecipar os papéis que o computador deve executar. Ao mesmo tempo, este foi um processo relativamente simples. Você planejou suas implementações de servidor por decidir qual deles seria ser controladores de domínio, quais seriam os servidores web, e assim por diante. Uma vez que você fez isso decisões, você foi feito, porque as funções do servidor foram em grande parte estática.
Com o foco maior sobre a virtualização no Windows Server 2012, no entanto, mais Os administradores serão forçados a considerar não só o que os papéis de um servidor deve executar no momento da implantação, mas o que papéis que irá realizar no futuro também. Usando servidores virtualizados, você pode modificar a estratégia de servidores da sua rede à vontade, para acomodar mudanças cargas de trabalho e requisitos de negócios, ou para se adaptar ao imprevisto circunstâncias. Portanto, o processo de antecipar as funções de um servidor irá executar must representam o potencial de expansão do seu negócio, bem como as possíveis necessidades de emergência.
Apoiar a virtualização de servidores O Windows Server 2012 Datacenter e edições Standard ambos incluem suporte para Hyper-V, mas eles variam no número de VMs permitido por suas licenças. Cada instância em execução do Sistema operacional Windows Server 2012 é classificado como sendo de uma sistema operacional físico meio ambiente (POSE) ou um ambiente de sistema operacional virtual (VOSE). Quando você compra um Licença do Windows Server 2012, você pode executar uma instalação POSE do sistema operacional, como sempre. Depois de instalar a função Hyper-V, você pode criar VMs e executar VOSE instalações sobre eles. O número de instalações vose permitido por sua licença depende a edição que você comprou, como mostra a Tabela 1-1.
TABELA 1-1 Instâncias físicas e virtuais suportados pelo Windows Server 2012 edições
EDIÇÃO
POSE INSTÂNCIAS
INSTÂNCIAS vose
Datacenter
1
Ilimitado
Padrão
1
2
Fundação
1
0
Essentials
1 (POSE ou VOSE)
1 (POSE ou VOSE)
Restrições de licença não são restrições de software Os limites especificados na Tabela 1-1 são os da licença, não o software. Você pode, por exemplo, criar mais de quatro VMs em uma cópia do Windows Server 2012 Enterprise, mas é necessário adquirir licenças adicionais para fazê-lo.
Servidor de licenciamento Microsoft oferece vários canais de vendas diferentes para 2.012 licenças do Windows Server, e não todas as edições estão disponíveis através de todos os canais. Licenciamento do Windows Server 2012 inclui licenças de compra para ambos os servidores e clientes, e há muitas opções para cada um. Se você já está envolvido em um acordo de licenciamento com a Microsoft, você deve estar ciente de as edições de servidor que estão disponíveis para você através desse acordo. Se você não for, você deve investigar as opções de licenciamento disponíveis para você antes de você selecionar uma edição de servidor. A Tabela 1-2 lista os canais de vendas através do qual você pode comprar cada uma das janelas Server 2012 edições.
Windows Server canal de vendas disponibilidade, por edição
TABELA 1-2
Varejo
VOLUME
ORIGINAL
LICENCIAMENTO
EQUIPAMENTOS FABRICANTE
Datacenter
Não
Sim
Sim
Padrão
Sim
Sim
Sim
Fundação
Não
Não
Sim
Essentials
Sim
Sim
Sim
Requisitos de Instalação Se o computador tiver menos do que as seguintes especificações de hardware, o Windows Server 2012 será não instalar corretamente (ou, eventualmente, em tudo):
1.4 GHz de processador de 64-bit
512 MB de RAM
32 GB de espaço disponível em disco
Unidade de DVD
Super VGA (800 x 600) ou monitor de maior resolução
Teclado e mouse (ou outro dispositivo apontador compatível)
Acesso à Internet
32 GB de espaço disponível em disco deve ser considerado um mínimo absoluto. O sistema partição vai precisar de espaço extra, se você instalar o sistema através de uma rede ou se o seu computador tem mais de 16 GB de RAM instalada. O espaço em disco adicional é necessário para paginação, hibernação e arquivos de despejo. Na prática, é improvável que você se deparar com um computador com 32 GB de memória RAM e apenas 32 GB de espaço em disco. Se você fizer isso, liberar mais espaço em disco ou investir em adicional hardware de armazenamento.
Como parte da ênfase maior da Microsoft em virtualização e computação em nuvem em sua produtos de servidor, eles aumentaram as configurações máximas de hardware significativamente para Windows Server 2012. Estes máximos estão listadas na Tabela 1-3.
TABELA 1-3
Configurações máximas de hardware em versões do Windows Server O Windows Server 2012
Windows Server 2008 R2
Processadores lógicos
640
256
RAM
4 terabytes
2 terabytes
Nós do cluster de failover
63
16
Escolher opções de instalação Muitas redes corporativas de hoje servidores de uso que se dedicam a uma função específica. Quando um servidor está realizando uma única função, isso realmente faz sentido ter tantos outros processos em execução no servidor que contribuem pouco para esse papel? Muitos administradores de TI hoje estão tão acostumados a GUIs que eles não sabem que há era sempre alguma outra maneira de operar um computador. Quando a primeira versão do Windows NT Server surgiu em 1993, muitos reclamaram desperdiçar recursos do servidor em telas gráficas e outros elementos que considere desnecessário. Até aquele momento, servidor monitores foram geralmente mínimos, baseados em caracteres, assuntos monocromáticas. Na verdade, muitos servidores não tinha hardware de exibição em tudo, contando apenas com ferramentas de administração remota baseados em texto, como o Telnet.
Usando Server Core Windows Server 2012 inclui uma opção de instalação que aborda essas queixas antigas. Quando você seleciona o do Windows Server Core opção de instalação, você tem uma versão reduzida de o sistema operativo. Não há menu Iniciar, não shell de desktop Explorer, não Microsoft Console de gerenciamento, e praticamente sem aplicações gráficas. Tudo o que você vê quando você iniciar o computador é uma única janela com um prompt de comando, como mostrado na Figura 1-1.
Figura 1-1 A interface padrão do núcleo Server.
O que é o Server Core? Server Core não é um produto ou edição separada. É uma opção de instalação que acompanha o Windows Server 2012 Standard e Datacenter.
As vantagens de servidores que executam usando Server Core são várias:
Conservação de recursos de hardware Server Core elimina alguns dos mais e memória de elementos de processamento intensivo do operacional Windows Server 2012 sistema, dedicando assim mais do hardware do sistema para a execução de serviços essenciais.
Redução de espaço em disco Server Core requer menos espaço em disco para o operacional instalado os elementos do sistema, bem como menos espaço de troca, o que maximiza a utilização do recursos de armazenamento do servidor.
Freqüência remendo Redução Os elementos gráficos do Windows Server 2012 são entre os mais freqüentemente atualizado, de modo consecutivo Server Core reduz o número de patches que deve aplicar administradores. Menos manchas também significam menos servidor for reiniciado e menos tempo de inatividade.
Superfície de ataque reduzida Quanto menos software não está sendo executado no computador, o menos as entradas existem para os atacantes para explorar. Server Core reduz o aberturas potenciais do sistema operacional, aumentando a sua segurança geral.
Quando a Microsoft introduziu a opção de instalação do Server Core no Windows Server 2008, era uma idéia intrigante, mas poucos administradores se aproveitou disso. A principal razão para isso foi que a maioria dos administradores de servidor não eram suficientemente familiarizado com a interface de linha de comando para gerenciar um servidor Windows sem GUI.
No Windows Server 2008 e Windows Server 2008 R2, a decisão de instalar o operacional sistema usando a opção Server Core era irrevogável. Uma vez que você instalou o sistema operacional usando Server Core, não havia nenhuma maneira de obter o GUI de volta, exceto para realizar uma completa reinstalação. Tudo isso mudou no Windows Server 2012. Agora você pode mudar a partir de um servidor a opção Server Core para o servidor com a opção de GUI, e vice-versa, à vontade, usando Comandos PowerShell.
Lá e de volta outra vez Para mais informações sobre a conversão de Server Core para o servidor com uma interface gráfica e vice-versa, consulte "Objectivo 1.2: Configurar servidores", posteriormente neste capítulo.
Essa capacidade significa que os administradores podem instalar o Windows Server 2012 usando o Server com uma opção de GUI, se quiserem, configurar o servidor usando as ferramentas gráficas familiares, e, em seguida, mudar o servidor para Server Core para tirar proveito dos benefícios listados anteriormente.
Server Core PADRÕES
No Windows Server 2012, Server Core é a opção padrão de instalação, e não há razões
por que não a capacidade de alternar entre as opções após a instalação. No Windows Server 2012, Microsoft está tentando modificar fundamentalmente a maneira que os administradores trabalhem com seus servidores. Server Core é agora a opção de instalação padrão, porque na nova forma de gerir servidores, os administradores devem raramente, ou nunca, têm de trabalhar no console do servidor, seja fisicamente ou remotamente.
Windows Server tem sido capaz de administração remota, mas essa capacidade tem foi um caso pontual. Alguns Microsoft Management Console (MMC) snap-ins habilitados administradores para se conectar a servidores remotos e Windows PowerShell 2.0 forneceu algumas recursos remotos a partir da linha de comando, mas o Windows Server 2012, pela primeira vez, inclui ferramentas de administração remota abrangentes que praticamente eliminam a necessidade de trabalhar no console do servidor.
O novo aplicativo Server Manager no Windows Server 2012 permite aos administradores adicionar servidores de todo o empreendimento e criar grupos de servidores para facilitar a configuração de múltiplos sistemas simultaneamente. O novo ambiente Windows PowerShell 3.0 aumenta a número de cmdlets disponíveis a partir de 230 a mais de 2.430.
Com ferramentas como estas, é possível para os administradores para instalar seus servidores usando o Servidor Opção Core, executar alguns comandos para se juntar a cada servidor a um domínio do Active Directory Serviços de domínio e nunca toque no console do servidor novamente. Eles podem realizar todos tarefas de administração subseqüentes, incluindo a implantação de funções e recursos, utilizando um servidor Manager e PowerShell a partir de uma estação de trabalho remota.
CAPACIDADES Server Core
Além omitindo a maior parte da interface gráfica, uma instalação Server Core omite alguns dos as funções de servidor encontrados em um servidor com uma instalação de GUI. No entanto, a opção Server Core em Windows Server 2012 inclui 13 dos 19 papéis, além de suporte para SQL Server 2012, como oposição a apenas 10 funções no Windows Server 2008 R2 e nove no Windows Server 2008. A Tabela 1-4 lista as funções e os recursos que estão disponíveis e não disponíveis em um Windows Server 2012 instalação Server Core.
TABELA 1-4
Windows Server 2012 Server Core papéis
Funções disponíveis POR SERVIDOR NÚCLEO DE INSTALAÇÃOPAPÉIS não está disponível no Server Core INSTALAÇÃO Serviços de Certificados do Active Directory
Serviços de Federação do Active Directory
Serviços de Domínio Active Directory
Servidor de Aplicação
Active Directory Serviços LDS
Servidor de Fax
Active Directory Rights Management Services
Política de Rede e Serviços de Acesso
Servidor DHCP
Serviços de Área de Trabalho Remota
Gateway de desktop remoto
Remote Desktop Session Anfitrião
Remote Desktop Web Access
Servidor DNS
Serviços Volume Activation
Arquivo e serviços de armazenamento
Windows Deployment Services
Hyper-V Serviços de Impressão e Documentos Serviços de Área de Trabalho Remota
Remote Desktop Connection Broker
Licenciamento Desktop Desktop Remoto
Remote Desktop Host de Virtualização
Acesso Remoto Web Server (IIS) O Windows Server Update Services
Usando a interface mínima Servidor Se as vantagens do Server Core parecer tentador, mas há servidor tradicional ferramentas de administração que você não quer desistir, o Windows Server 2012 fornece uma solução de compromisso chamado a Interface Minimal Server. O Interface de Minimal Servidor é uma configuração que remove alguns dos mais hardware-intensivo elementos da interface gráfica. Esses elementos incluem o Internet Explorer eo componentes que compõem o shell do Windows, incluindo o desktop, o Windows Explorer e os aplicativos do Windows 8 de desktop. Também são omitidos os itens do painel de controle implementados como shell extensões, incluindo o seguinte:
Programas e Recursos
Rede e Compartilhamento Center
Dispositivos e Impressoras Centro
Exibição
Firewall
Windows Update
Fontes
Espaços de Armazenamento O que sobrou na interface mínima do servidor são os Server Manager e aplicações MMC, bem como o Gerenciador de Dispositivos e toda a interface PowerShell. Isso fornece aos administradores com a maioria das ferramentas de que necessitam para gerenciar servidores locais e remotos Para configurar um servidor Windows Server 2012 com uma instalação de GUI para usar o mínimo Interface do servidor, conclua o procedimento a seguir. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
Clique em Gerenciar> Remover funções e recursos. O Remover Funções e Recursos Assistente abre, mostrando a página Antes de Começar.
3.
Clique em Avançar para abrir a página de seleção de servidores. Na lista Piscina Servidor, selecione o servidor que você deseja modificar e clique em Avançar. O Remover funções de servidor página abre. Clique em Avançar para abrir a página de remover recursos.
4.
5. 6.
Role a lista Recursos e expandir as interfaces de usuário e funcionalidade de Infra-estrutura, como mostrado na Figura 1-2.
Figura 1-2 As interfaces de usuário e funcionalidade de infra-estrutura na Remover Funções e Características Wizard.
7.
8.
Desmarque a caixa de seleção Servidor Graphical Shell e clique em Avançar. O Confirmar remoção de Seleções página será aberta. Clique em Remover para abrir a página Progresso da Remoção.
9.
Quando a remoção estiver concluída, clique em Fechar.
10.
Reinicie o servidor.
Usando os recursos on Demand Durante a instalação do Windows Server 2012, o programa de instalação copia os arquivos para todas as componentes do sistema operacional a partir da mídia de instalação para um diretório chamado WinSxS, o side-by-side loja componente. Isso permite que os administradores para ativar qualquer um dos recursos incluído no Windows Server 2012 sem ter que fornecer um meio de instalação. A desvantagem deste arranjo é que o diretório WinSxS ocupa uma significativa quantidade de espaço, grande parte da qual é, em muitos casos, dedicado a dados que nunca serão utilizado.
Com o uso crescente de máquinas virtuais para distribuir funções de servidor, redes corporativas, muitas vezes têm mais cópias do sistema operacional do servidor do que nunca, e, portanto, mais disco desperdiçado espaço. Além disso, as tecnologias de armazenamento avançado, geralmente utilizado pelo servidor de hoje infra-estruturas, tais como SANs e drives de estado sólido (SSDs), que estão a fazer mais espaço em disco caro. Recursos sob demanda, nova para o Windows Server 2012, é um terceiro Estado para o sistema operacional recursos que permite aos administradores para economizar espaço em disco removendo características específicas, não somente a partir de operação, mas também a partir do diretório WinSxS. Este estado é destinado a recursos que os administradores não têm intenção de instalar em um servidor particular. Se, por exemplo, você quiser desativar o recurso de servidor gráfico Shell em Windows Server 2012, para impedir que o Internet Explorer, Windows Explorer, eo shell de desktop de execução, e você deseja remover os arquivos que fornecem esses recursos a partir do disco completamente, você pode fazê-lo com recursos sob demanda. Ao remover todos os arquivos do disco para todos seus recursos não utilizados em todas as suas VMs, você pode conseguir economias substanciais em espaço em disco. Recursos on Demand fornece um terceiro estado de instalação para cada um dos recursos do Windows Server 2012. Nas versões anteriores do sistema operacional, os recursos poderiam ser ativado ou Desativado. O Windows Server 2012 fornece os três estados seguintes:
Ativado
Inválido
Desativado com carga removida
Para implementar este terceiro estado, você deve usar o Windows PowerShell UninstallCmdlet WindowsFeature, que agora suporta uma bandeira nova-Remove. Assim, o PowerShell comando para desativar o Graphical Shell Server e remover seus arquivos de origem dos WinSxS diretório seria o seguinte:
Depois de excluir os arquivos de origem para uma característica da pasta WinSxS, eles não são irremediavelmente. Se você tentar habilitar o recurso novamente, o sistema irá fazer o download partir do Windows Update ou, alternativamente, recuperá-lo a partir de um arquivo de imagem que você especificar usando o Fonte bandeira com o cmdlet Install-WindowsFeature. Isto permite-lhe recuperar o necessário arquivos de um disco removível ou de um arquivo de imagem na rede local. Os administradores podem também usar a Diretiva de Grupo para especificar uma lista de fontes de instalação.
Recursos on Demand Esta capacidade de recuperar arquivos de origem para um recurso de outro local é o real funcionalidade para que os recursos de nomes on Demand está se referindo. Microsoft usa frequentemente este capacidade de reduzir o tamanho das atualizações baixadas da Internet. Uma vez que o utilizador instala a atualização, o programa baixa os arquivos adicionais necessários e completa a instalação.
Atualizando servidores Uma atualização no local é a forma mais complicada de instalação do Windows Server 2012. É também a mais longa, e os mais propensos a causar problemas durante a sua execução. Sempre que possível, a Microsoft recomenda que os administradores de executar uma instalação limpa, ou migrar funções necessárias, aplicativos e configurações em seu lugar. Embora atualizações in-loco frequentemente prosseguir sem problemas, a complexidade da atualização processo e do grande número de variáveis envolvidas significa que há muitas coisas que podem potencialmente dar errado. Para minimizar os riscos envolvidos, é importante para um administrador levar a sério o processo de atualização, prepare o sistema de antemão, e têm a capacidade de resolver quaisquer problemas que possam surgir. As seções seguintes abordam esses temas em maior detalhe.
Caminhos de atualização Caminhos de atualização para o Windows Server 2012 são bastante limitadas. Na verdade, é mais fácil para especificar quando você pode executar uma atualização do que quando você não pode. Se você tem um computador de 64 bits em execução Windows Server 2008 ou Windows Server 2008 R2, você pode atualizá-lo para o Windows Server 2012, desde que você use a mesma edição do sistema operacional. O Windows Server 2012 não suporta o seguinte:
Atualizações a partir de versões do Windows Server anteriores ao Windows Server 2008 Atualizações a partir de edições pré-RTM do Windows Server 2012 Upgrades de sistemas operacionais de estação de trabalho do Windows Atualizações de edição Cruz, como o Windows Server 2008 Enterprise Edition para o Windows Server 2012 Datacenter Edition Atualizações de plataforma cruzada, como a de 32 bits do Windows Server 2008 para o Windows de 64 bits Server 2012 Atualizações a partir de qualquer edição Itanium Atualizações entre linguagens, como a partir do Windows Server 2008, EUA Inglês para Windows Server 2012, francês
Em qualquer destes casos, o programa de configuração do Windows não permitirá a atualização para continuar.
Preparando para atualizar Antes de iniciar uma atualização in-loco para o Windows Server 2012, você deve realizar uma série de procedimentos preliminares para garantir que o processo corra bem e que os dados do servidor é protegido Considere o seguinte antes de executar qualquer atualização para o Windows Server 2012:
Verifique a compatibilidade de hardware Verifique se o servidor atende o mínimo requisitos de hardware para o Windows Server 2012.
Verificar espaço em disco Certifique-se de que há espaço livre em disco suficiente na partição
onde o antigo sistema operacional é instalado. Durante o procedimento de atualização, suficiente espaço em disco é necessário para manter os dois sistemas operacionais ao mesmo tempo. Após o atualização estiver completa, você pode remover os arquivos antigos, liberando algum espaço adicional.
Confirme que o software é assinado Todo o software de modo kernel no servidor, incluindo drivers de dispositivo, devem ser assinados digitalmente, ou o software não será carregado. Isto pode resultar numa um processo de atualização abortado, falhas de hardware após a atualização for concluída, ou falha do sistema para iniciar após a atualização. Se você não conseguir localizar um software atualização para o aplicativo ou driver que está assinado, você deve desinstalar o aplicativo ou driver antes de prosseguir com a instalação.
Desativando a assinatura do driver Se um driver não assinado impede o computador de iniciar, você pode desativar o driver exigência de assinatura pressionando F8 durante a inicialização, a seleção avançada de inicialização Opções e, em seguida, selecionando Desativar Enforcement piloto da Signature.
Salve os drivers de armazenamento em massa em mídia removível Se um fabricante forneceu um driver separado para um dispositivo em seu servidor, salvar o driver em um CD, um DVD ou um dispositivo USB flash drive em qualquer diretório raiz da mídia ou a pasta / amd64. Para fornecer o motorista durante a instalação, clique em Carregar Driver ou pressione F6 na página de seleção de disco. Você pode navegue para localizar o motorista ou ter Setup pesquisar a mídia.
Verifique a compatibilidade de aplicativos O programa de instalação exibe uma compatibilidade Página de relatório que pode apontar possíveis problemas de compatibilidade de aplicativos. Você pode por vezes, resolver esses problemas por meio da atualização ou modernização das aplicações. Criar um inventário dos produtos de software instalado no servidor e verifique o sites dos fabricantes para atualizações, disponibilidade de atualizações e anúncios referentes ao suporte para o Windows Server 2012. Em um ambiente corporativo, você deve testar todos os pedidos de compatibilidade com o Windows Server 2012, não importa o que o fabricante diz, antes de executar qualquer atualização do sistema operacional.
Assegurar a funcionalidade do computador Certifique-se de que o Windows Server 2008 ou Windows Server 2008 R2 está funcionando corretamente no computador antes de iniciar a atualização processo. Você deve iniciar uma atualização no local de dentro do operacional existente sistema, de modo que você não pode contar com o Windows Server 2012 para corrigir quaisquer problemas que impedir que o computador iniciar ou executar o programa de instalação.
Faça um backup completo Antes de executar qualquer procedimento de atualização que deveria fazer backup de todo o sistema, ou pelo menos os arquivos de dados essenciais. O backup deve incluir todos os dados e informações de configuração que é necessário para o seu alvo computador para funcionar. Quando você executar o backup, não se esqueça de incluir o boot e partições de sistema e os dados do estado do sistema. Discos rígidos removíveis fazem deste um processo simples, mesmo se não houver um dispositivo de backup adequado no computador.
Desabilitar o software de proteção contra vírus Software de proteção contra vírus pode tornar a instalação
muito mais lento examinando cada arquivo que é copiado localmente em seu computador. Se instalado, você deve desabilitar o software antes de realizar a atualização.
Desconecte o dispositivo de UPS Se você tem uma fonte de alimentação ininterrupta (UPS) conectado ao computador de destino, desconecte o cabo antes de realizar o atualizar. Configuração tenta detectar automaticamente dispositivos conectados, e UPS equipamento pode causar problemas com este processo.
Compra do Windows Server 2012 Certifique-se de comprar o apropriado Windows Edição 2012 Server para o upgrade, e tem a chave do disco de instalação e do produto calhar.
Durante o processo de atualização, quando o sistema for reiniciado, o menu de inicialização fornece uma opção para reverter para a versão anterior do sistema operacional. No entanto, uma vez que a atualização for concluída, esta opção não está mais disponível, e não é possível desinstalar o Windows Server 2012 e reverter para a versão antiga do sistema operacional.
Migrando papéis A migração é o método preferido de substituir um servidor existente com um Windows Server 2012. Ao contrário de uma atualização in-loco, uma copia de migração informações vitais a partir de um já existente servidor para uma instalação limpa do Windows Server 2012. Ao migrar, praticamente todas as restrições listadas anteriormente no que diz respeito a atualizações não aplicar. Usando as Ferramentas de Migração do Windows Server e guias de migração fornecidos com Windows Server 2012, você pode migrar os dados entre servidores sob qualquer uma das seguintes condições:
Entre as versões É possível migrar dados de qualquer versão do Windows Server Windows Server 2003 SP2 para o Windows Server 2012. Isso inclui as migrações de um servidor com o Windows Server 2012 para outro.
Entre as plataformas É possível migrar dados de um servidor x86-x64-based ou a um servidor baseado em x64 com o Windows Server 2012.
Entre as edições Você pode migrar dados entre servidores que executam diferentes Edições do Windows Server.
Entre exemplos físicos e virtuais servidor para uma virtual, ou o inverso.
Entre as opções de instalação É possível migrar dados de um servidor em execução Windows Server 2008 R2 para um executando o Windows Server 2012, mesmo quando um servidor é usando a opção de instalação do Server Core eo outro usa o servidor com uma interface gráfica opção.
É possível migrar dados de um físico
Migração no nível do servidor é diferente de qualquer migrações você pode ter realizados em sistemas operacionais de estação de trabalho. Em vez de executar um único procedimento de migração que os exemplares todos os dados do usuário a partir da fonte para o computador de destino de uma vez, em uma migração de servidor você migrar funções ou serviços de função individual.
O Windows Server 2012 inclui uma coleção de guias de migração que fornecem individualizado instruções para cada uma das funções suportadas pelo Windows Server 2012. Algumas das funções requerem O uso de ferramentas Migração do Windows Server; outros não.
Instalando as ferramentas de Migração do Windows Server Ferramentas de Migração do Windows Server é um recurso do Windows Server 2012, que consiste em PowerShell cmdlets e arquivos de ajuda que permitem aos administradores migrar determinadas funções entre os servidores. Antes de poder utilizar as ferramentas de migração, no entanto, você deve instalar o Windows Server Ferramentas de Migração apresentam no servidor de destino executando o Windows Server 2012, e, em seguida, copiar a versão apropriada das ferramentas para o servidor de origem. Ferramentas de Migração do Windows Server é um recurso padrão que você instala no Windows Server 2012 utilizando Adicionar Funções e Recursos Assistente no Server Manager, como mostrado na Figura 1-3, ou o cmdlet Install-WindowsFeature PowerShell.
Figura 1-3 A Select página Recursos de adicionar funções e recursos Wizard.
Usando guias de migração Depois de ter instalado as Ferramentas de Migração do Windows Server em ambos a fonte eo servidores de destino, você pode proceder para migrar os dados entre os dois. Usando as ferramentas de migração, os administradores podem migrar funções determinadas, características, ações, configurações do sistema operacional e outros dados a partir do servidor de origem para o servidor de destino executando o Windows Server 2012. Algumas funções requerem o uso de ferramentas de migração, enquanto Não existe um para a migração de todasinterna. as funções do Windows Server, se eles outros não, ter asprocedimento suas própriasúnico capacidades de comunicação têm as suas próprias ferramentas de migração ou não. Em vez disso, a Microsoft fornece guias de migração detalhados para funções individuais, e às vezes para os serviços de função individuais dentro de um papel.
Os guias de migração Up-to-date guias de migração estão disponíveis no Portal Migração do Windows Server no O Windows Server 2012 TechCenter (http://technet.microsoft.com/en-us/library/jj134039).
Experiência de pensamento Convertendo a Interface Neste experimento de pensamento, aplicar o que você aprendeu sobre este objectivo. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Ralph levou recentemente a entrega de um novo servidor com o Windows Server 2012 Datacenter Edição já instalado com a opção GUI completa. Ralph quer configurar o sistema como um servidor web, usando o mínimo de recursos de hardware. Seu primeiro passo é usar o Gerenciador de Servidores para instalar a função Servidor Web (IIS). Com isto em mente, responda às seguintes perguntas: 1. Que comando PowerShell deve Ralph usar para converter a instalação GUI completo para Server Core? 2. Que comando PowerShell deve Ralph usar para remover os arquivos de instalação da GUI completamente do sistema?
Objetivo resumo
Microsoft libera todos os seus sistemas operacionais em várias edições, que fornece os consumidores com preços variados e conjuntos de recursos.
Ao selecionar a opção de instalação do Windows Server Core, você recebe um despojadoversão para baixo do sistema operacional.
A Interface Minimal Server é um ambiente que remove alguns dos mais hardware elementos intensivos a partir da interface gráfica.
Uma atualização no local é a forma mais complicada do Windows Server 2012 instalação. Também é a mais longa, e a maior probabilidade de causar problemas durante a sua execução. Sempre que possível, a Microsoft recomenda que os administradores de executar uma instalação limpa, ou aplicativos e configurações Migrar exigido vez.
A migração é o método preferido para a substituição de um servidor existente com uma execução Windows Server 2012. Ao contrário de uma atualização in-loco, uma copia de migração vital informações de um servidor existente para uma instalação limpa do Windows Server 2012.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é
correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
Qual das seguintes funções de implementar o que pode ser classificado como de infra-estrutura serviços? (Escolha todas que se aplicam) A.
DNS
B.
Web Server (IIS)
C.
DHCP
D. 2.
3.
4.
5.
Serviços de Área de Trabalho Remota Qual dos seguintes é um caminho de atualização válido para o Windows Server 2012?
A.
Windows Server 2003 Standard para o Windows Server 2012 Padrão
B.
Windows Server 2008 Standard para o Windows Server 2012 Padrão
C.
Windows Server 2008 R2 32 bits para o Windows Server 2012 64-bit
D.
Windows 7 Ultimate para o Windows Server 2012 Essentials
Que característica você deve adicionar a uma instalação Server Core do Windows Server 2012 para convertê-lo para a interface mínima Server? A. Ferramentas de gerenciamento gráfico e Infra-estrutura B.
Servidor Graphical Shell
C.
Windows PowerShell
D.
Microsoft Management Console
Qual é o nome do diretório onde o Windows armazena todos do sistema operacional módulos que ele pode precisar instalar em um momento posterior? A.
Windows
B.
System32
C.
caixa
D.
WinSxS
Qual das seguintes razões válidas porque os administradores podem querer instalar seu 2.012 servidores do Windows Server usando a opção Server Core? (Escolha todas que se aplicam) A.
Uma instalação Server Core pode ser convertido para o GUI completo sem reinstalar o sistema operacional.
B.
A interface do PowerShell 3.0 no Windows Server 2012 inclui mais de 10 vezes como muitos cmdlets como PowerShell 2.0
C.
O novo Server Manager no Windows Server 2012 faz com que seja muito mais fácil de administrar servidores remotamente.
D.
A Windows Server 2012 Server Core custos de licença significativamente menos do que uma interface gráfica completa licença.
Objetivo 1.2: Configurar servidores Raramente acontece que o servidor está pronto para executar todas as tarefas que você tem planejado para ele imediatamente após a instalação. Normalmente alguma configuração pós-instalação é necessária, e outras alterações de configuração podem ser necessários depois que o servidor estiver em serviço.
Este objectivo abrange a forma de:
Configure Server Core
Administração Delegado
Adicionar e remover recursos de imagens offline
Implantar papéis em servidores remotos
Converter Server Core de e para GUI completo
Configurar serviços
Configure NIC parceria
Completando Tarefas de Pós Como parte da nova ênfase em serviços baseados em nuvem em redes Windows, Windows Server 2012 contém uma variedade de ferramentas que têm sido reformulado para facilitar o servidor remoto capacidades de gestão. O novo Gerenciador de servidores, por exemplo, é projetado para permitir que os administradores gerenciem totalmente Servidores Windows sem ter que interagir diretamente com o console do servidor, ou fisicamente ou remotamente. No entanto, há algumas tarefas que os administradores poderão ter de realizar imediatamente após a instalação do sistema operacional que requerem acesso direto ao console do servidor. Estas tarefas podem incluir o seguinte:
Configure a conexão de rede
Defina o fuso horário
Ativar o Remote Desktop
Mudar o nome do computador
Ingressar em um domínio
Usando ferramentas GUI No Windows Server 2012, o azulejo Propriedades no Server Manager, como mostrado na Figura 1-5, fornece a mesma funcionalidade que a janela Tarefas de Configuração Inicial no Windows anterior Server versões. Para completar qualquer uma ou todas as funções de configuração pós-instalação em uma GUI Instalação do Windows Server 2012, você pode usar as ferramentas na telha Properties, quer por trabalhando diretamente no console do servidor ou usando o Remote Desktop para acessar o servidor de um outro computador.
Figura 1-5 A telha de Propriedades do servidor local no Server Manager.
A entrada Ethernet na telha Propriedades especifica o estado atual do computador de interface de rede. Se houver um Dynamic Host Configuration Protocol ativo (DHCP) em a rede, o servidor já terá recuperado um endereço IP e outras configurações e usado los para configurar a interface. Se não houver um servidor DHCP na rede, ou se for preciso configurar o computador com um endereço IP estático, clique no hiperlink Ethernet para exibir o Janela Conexões de Rede no Painel de Controle. Você pode usar isso para abrir o Ethernet Propriedades da folha e do Internet Protocol Version 4 (TCP/IPv4) folha de propriedades, onde você pode configurar o cliente TCP / IP.
Computador tempo relógio preciso é essencial para o Active Directory Domain Services comunicação. Se o servidor está localizado em um fuso horário diferente do fuso do Pacífico padrão, clique em o hiperlink de fuso horário para abrir a caixa de diálogo Data e Hora, onde você pode corrigir o configuração. Por padrão, o Windows Server 2012 não permite conexões de desktop remoto. Para ativar los, clique no hiperlink Remote Desktop para abrir a guia Remoto das Propriedades do Sistema folha. Em uma instalação do sistema operacional manual, o programa de instalação do Windows atribui um único nome começando com WIN-ao computador. Para alterar o nome do computador e se juntar a ele a um domínio, clique no hiperlink nome do computador para abrir a folha de Propriedades do Sistema e clique Alterar para abrir a caixa de diálogo Nome do Computador / Domínio alterações.
Se necessário, por causa do acesso físico limitado para o servidor, você pode limitar este procedimento para configurar a conexão de rede e permitindo que o Remote Desktop. Então, você pode usar Remote Desktop para se conectar ao servidor e configurar tudo o resto.
Usando as ferramentas de linha de comando Se você tiver selecionado a opção Server Core ao instalar o Windows Server 2012, você pode executar
as mesmas tarefas de Pós partir da linha de comando. No mínimo, você vai ter que mudar o nome do computador e juntá-lo a um domínio. Para fazer isso, você pode usar o Netdom.exe programa. Para mudar o nome de um computador, executar Netdom.exe com a seguinte sintaxe, como mostrado na Figura 1-6:
Figura 1-6 Mudar o nome de um computador a partir da linha de comando.
Para reiniciar o computador conforme as instruções, use o seguinte comando:
Então, para associar o computador a um domínio, use a seguinte sintaxe:
Neste comando, o asterisco (*) no parâmetro / passwordd faz com que o programa de solicitará a senha para a conta de usuário que você especificou. Esses comandos pressupõe que o cliente TCP / IP do computador já foi configurado por um servidor DHCP. Se não for este o caso, você deve configurá-lo manualmente antes de participar de um domínio. Para atribuir um endereço IP estático para um computador usando o Server Core, você pode usar o Programa Netsh.exe ou o Windows Management Instrumentation (WMI) de acesso fornecido pelo Windows PowerShell.
Para permitir conexões Remote Desktop no servidor, use o seguinte cmdlet:
Conversão entre GUI e Server Core No Windows Server 2012, você pode converter um computador instalado com a opção GUI completo para Server Core, e adicione o GUI completo para um computador Server Core. Esta é uma grande melhoria na a utilidade do Server Core em relação à versão do Windows Server 2008 R2, em que você pode só mudar a interface, reinstalando o sistema operacional inteiro. Com esse recurso, os administradores podem instalar servidores com a GUI completa, use o gráfico ferramentas para executar a configuração inicial, e, em seguida, convertê-los para o Server Core para o sistema de conservar recursos. Se, em um momento posterior, torna-se necessário, é possível reinstalar o GUI componentes.
Para converter uma instalação GUI completa do Windows Server 2012 para Server Core usando o Server Manager, use o seguinte procedimento. 1. Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta. 2.
No menu Gerenciar, selecione Remover funções e recursos. O Remover Funções e Assistente de Recursos lança, exibindo a página Antes de Começar.
3. 4.
Clique em Avançar. A página Selecionar servidor de destino é aberto. Selecione o servidor que você deseja converter em Server Core e clique em Avançar para abrir a Remover página funções de servidor.
5.
Clique em Avançar. A página abre remover recursos.
6.
Role para baixo na lista e expandir as interfaces de usuário e funcionalidade de Infra-estrutura, como mostrado na Figura 1-7.
Figura 1-7
7.
O Remove página Recursos no Gerenciador de Servidores.
Desmarque as caixas de seleção para os seguintes componentes:
Ferramentas de gerenciamento gráfico e infra-estrutura
Servidor Graphical Shell
8.
Os remover recursos que requerem ferramentas de gerenciamento gráfico e infra-estrutura caixa de diálogo é aberta, com uma lista de recursos dependentes que devem ser desinstalados. Clique Remover Recursos.
9.
Clique em Avançar para abrir a página Confirmar Seleções de Remoção.
10. Selecione a reiniciar o servidor de destino automaticamente Se caixa de seleção necessários e clique em Remover. A página Progresso Remoção abre como o assistente desinstala o recurso. 11. Clique em Fechar. Quando a remoção estiver concluída, o computador é reiniciado.
Para adicionar o GUI completo para um computador Server Core, você deve usar o PowerShell para instalar o mesmo recursos removidos no procedimento anterior. Para converter um servidor do Windows Server 2012 Instalação de Núcleo para a opção GUI completo, use o seguinte comando PowerShell:
Para converter uma instalação de servidor GUI completo para o Server Core, utilize o seguinte comando:
Configurando NIC parceria NIC Teaming é um novo recurso do Windows Server 2012 que permite aos administradores para combinar a largura de banda de várias placas de interface de rede, proporcionando maior desempenho e tolerância a falhas. A virtualização permite que os administradores de separar as funções de rede vitais em diferentes sistemas sem ter que comprar um computador físico separado para cada um. No entanto, uma das desvantagens desta prática é que um único servidor de hospedagem várias VMs é ainda um único ponto de falha para todos eles. Um adaptador de rede com defeito único, um defeito mudar, ou mesmo um cabo desconectado pode derrubar um servidor host e todas as suas VMs com ele.
NIC agrupamento, também chamado colagem, balanceamento e agregação, é uma tecnologia que tem sido disponível há algum tempo, mas sempre foi ligada à implementações de hardware específicos. O NIC unindo capacidade no Windows Server 2012 é independente do hardware, e permite que você combinar vários adaptadores de rede física em uma única interface. Os resultados podem incluir aumento de desempenho através do rendimento combinado dos adaptadores e proteção de falhas de adaptador movendo dinamicamente todo o tráfego para as NICs funcionamento.
NIC parceria no Windows Server 2012 suporta dois modos:
Switch Mode Independent Todos os adaptadores de rede estão ligados a diferentes interruptores, oferecendo rotas alternativas através da rede.
Switch Mode Dependente Todos os adaptadores de rede são conectados ao mesmo mudar, fornecendo uma única interface com a sua largura de banda combinado.
Em Mode Switch independente, você pode escolher entre duas configurações. O configuração ativo / ativo deixa todos os adaptadores de rede funcionais, proporcionando maior rendimento. Se um adaptador de falhar, todo o tráfego é desviado para os adaptadores restantes. No configuração ativa / standby, um adaptador é deixado offline para funcionar como um failover no caso o adaptador ativo falhar. No modo ativo / ativo, uma falha adaptador faz com que um desempenho redução; no modo ativo / standby, o desempenho continua a ser o mesmo antes e depois de uma falha adaptador.
Em Mode Switch Dependente, você pode escolher a formação de equipes de estática, um modo genérico que equilibra o tráfego entre os adaptadores da equipe, ou você pode optar por usar a Agregação de link Protocolo de Controle definido na IEEE 802.3ax, assumindo que o seu equipamento suporta. Há uma limitação significativa para NIC agrupamento. Se o seu tráfego é composto por grande TCP seqüências, como o Live Migration do Hyper-V, o sistema irá evitar o uso de vários adaptadores para
essas sequências para minimizar o número de perdidos e segmentos fora de ordem TCP. Você irá portanto, não perceber qualquer aumento de desempenho de grandes transferências de arquivos usando TCP. Você pode criar e gerenciar equipes NIC utilizando o Server Manager ou o Windows PowerShell. Para criar uma equipe NIC usando o Gerenciador do Servidor, siga estes passos. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
No painel de navegação, clique em Servidor Local. A página inicial do servidor local aparece.
3.
No azulejo Propriedades, clique em NIC Teaming. A janela NIC Agrupamento abre, como mostrado na Figura 1-8.
Figura 1-8
A janela NIC Teaming no Server Manager.
4.
No azulejo equipes, clique em Tarefas e selecione New Team para abrir a página New Team.
5.
Clique nas Propriedades Adicionais seta para expandir a janela, como mostrado na Figura 1-9.
Figura 1-9
A página New Team no Server Manager.
6.
Na caixa de texto o nome da equipe, digite o nome que deseja atribuir à equipe.
7.
Na caixa Dos adaptadores, selecione os adaptadores de rede que você deseja adicionar à equipe.
8.
Na lista suspensa Modo Teaming, selecione uma das seguintes opções:
9.
Estática Teaming
Mudar Independent
LACP
Na lista suspensa Modo de balanceamento de carga, selecione uma das seguintes opções:
Hash Endereço
Hyper-V Porto
10. Se você selecionou interruptor independente para o valor modo de agrupamento, na espera Adaptador de lista drop-down, selecione um dos adaptadores que você adicionou à equipe para funcionar como a de espera desligada. 11. Clique em OK. O novo grupo aparece na telha Selecção, como mostrado na Figura 1-10.
Figura 1-10
A nova equipe NIC na janela NIC Teaming no Server Manager.
Depois de ter criado uma equipe NIC, a janela do NIC Teaming permite monitorar a status da equipe e da interface da equipe que criou. A equipe em si eo indivíduo adaptadores todos têm indicadores de status que informam se um adaptador fica offline. Se isso ocorrer, o indicador para o adaptador defeituoso imediatamente muda para desconectado, como mostrado na Figura 1-11, e dependendo de qual o modo de agrupamento escolhido, o estado do outro adaptador pode mudar também.
Figura 1-11
Uma equipe NIC com um adaptador falhou.
Usando o Gerenciador de Servidores A ferramenta Gerenciador de Servidores no Windows Server 2012 é uma aplicação totalmente nova que é a primeira e mais óbvia evidência de uma grande mudança de paradigma na administração do Windows Server.
Nas versões anteriores do Windows Server, um administrador que quer instalar uma função usando controles gráficos teve que trabalhar no console do servidor por qualquer fisicamente sentado ao teclado ou se conectar a ele usando os Serviços de Área de Trabalho Remota (Serviços de Terminal) anteriormente. Em contraste, do Windows Server 2012 Server Manager pode instalar funções e recursos para qualquer servidor na rede, e até mesmo para vários servidores ou grupos de servidores de uma só vez.
Adicionando servidores A principal diferença entre o Windows Server 2012 Server Manager e anterior versões é a capacidade de adicionar e gerenciar vários servidores ao mesmo tempo. Quando você efetuar logon em um GUI instalação do Windows Server 2012 com uma conta administrativa, as cargas do Server Manager automaticamente, exibindo a telha de boas vindas. A interface do Gerenciador do Servidor é composto por um painel de navegação à esquerda que contém ícones representando vários pontos de vista dos recursos do servidor. Selecionando um ícone exibe uma página inicial no painel direito, o qual é constituído de um número de azulejos que contêm informações sobre o recurso. O Página Painel, que aparece por padrão, contém, além da telha Bem-vindo, thumbnails que resumem as outras vistas disponíveis no Server Manager, como mostrado na Figura 1 12. Esses outros pontos de vista incluir uma página para o servidor local, uma para todos os servidores, e outros para grupos de servidores e grupos de funções.
Figura 1-12
Thumbnails Painel em Server Manager.
Embora apenas o servidor local aparece no Server Manager quando você executá-lo, você pode adicionar outros servidores, permitindo-lhe gerir-los juntos. Os servidores que você adicionar pode ser física ou virtual, e pode ser com qualquer versão do Windows Server desde o Windows Server 2003. Depois você adicionar servidores à interface, você pode criar grupos contendo coleções de servidores, tais
como os servidores em um determinado local ou aqueles que realizam uma função particular. Estes grupos aparecer no painel de navegação, permitindo que você administrá-los como uma única entidade. Para adicionar servidores no Server Manager, use o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
No painel de navegação, clique em Todos os Servidores. Os servidores home page Todos aparece, como mostrado na Figura 1-13.
Figura 1-13
3.
Os servidores home page All in Server Manager.
No menu Gerenciar, selecione Adicionar Servers. A caixa de diálogo Adicionar Servidores se abre, como mostrado na Figura 1-14.
Figura 1-14
A caixa de diálogo Adicionar Servidores no Server Manager.
4.
5.
Selecione uma das seguintes guias para especificar como você deseja localizar servidores para adicionar: Active Directory Permite pesquisar por computadores que executam específico sistemas operacionais em locais específicos em um Active Directory Domain Services domínio
DNS Permite procurar servidores em seu domínio actualmente configurado Servidor Name System (DNS)
Importação Permite que você forneça um arquivo de texto contendo os nomes dos servidores você deseja adicionar
Iniciar uma pesquisa ou fazer upload de um arquivo de texto para exibir uma lista de servidores disponíveis, como mostra a Figura 1-15.
Figura 1-15
6.
Procurando servidores do Server Manager.
Selecione os servidores que deseja adicionar e clique no botão seta para a direita para adicioná-los à Lista Selecionado.
7.
Clique em OK. Os servidores selecionados são adicionados à home page todos os servidores. Depois de adicionar servidores remotos para a interface do Gerenciador do Servidor, você pode acessá-los em uma variedade de maneiras, incluindo as ferramentas administrativas MMC normais, o computador Console de gerenciamento, e uma sessão do PowerShell remoto. Para os administradores de redes corporativas, pode ser necessário adicionar um grande número de servidores para o Server Manager. Para evitar ter que trabalhar com uma longa lista de rolagem de servidores, você pode criar grupos de servidores, com base nos locais de servidor, funções ou qualquer outra organização paradigma.
Adicionando funções e recursos O programa Gerenciador do Servidor no Windows Server 2012 combina o que costumava ser separada assistentes para adicionar funções e recursos em um só, o Adicionar Funções e Recursos Wizard. Uma vez que você
adicionar vários servidores para a interface do Gerenciador de servidores, eles são integrados em Adicionar Funções e Recursos Wizard, para que você possa implantar funções e recursos para qualquer um dos seus servidores. Para instalar funções e recursos utilizando o Server Manager, utilize o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
No menu Gerenciar, selecione Adicionar funções e recursos. Adicionar Funções e Recursos Assistente inicia, mostrando a página Antes de Começar.
3.
Clique em Avançar para abrir a página Selecionar Tipo de Instalação, como mostrado na Figura 1-16.
Figura 1-16
4.
A página Selecionar Tipo de Instalação no Adicionar funções e recursos do Wizard.
Deixe a opção de instalação baseado em recurso selecionado com base em funções Or e clique em Avançar. O Selecione a página de destino do servidor é aberta, como mostrado na Figura 1-17.
Figura 1-17
5.
A página de destino do servidor Select em Adicionar Funções e Recursos Wizard.
Selecione o servidor no qual você deseja instalar as funções ou recursos. Se o pool de servidores contém um grande número de servidores, você pode usar a caixa de texto Filtro para exibir um subconjunto da piscina com base em uma seqüência de texto. Quando você tiver selecionado o servidor, clique em Avançar. O Selecione a página Funções do Servidor abre, como mostrado na Figura 1-18.
Figura 1-18
A página Selecionar Funções do Servidor, em Adicionar Funções e Recursos Wizard.
INSTALAR COMPONENTES PARA SERVIDORES MÚLTIPLAS
Embora você possa usar para Adicionar Funções e Recursos Assistente para instalar componentes de qualquer servidor que você adicionou ao Gerenciador do Servidor, você não pode usá-lo para instalar os componentes para vários servidores ao mesmo tempo. Você pode, no entanto, fazê-lo usando o Windows PowerShell.
6.
Seleccione a função ou funções que você deseja instalar no servidor selecionado. Se os papéis selecionados ter outras funções ou recursos como dependências, um add recursos que são necessários caixa de diálogo aparece. Selecionando todos os recursos e funções
Ao contrário das versões anteriores do Server Manager, versão do Windows Server 2012 permite que você selecione todas as funções e recursos para uma configuração de servidor em particular de uma vez, ao invés de fazer você executar os várias vezes assistente.
7.
Clique em Adicionar Recursos para aceitar as dependências e, em seguida, clique em Avançar para abrir o Select Página características, como mostrado na Figura 1-19.
Figura 1-19
A Select página Recursos em Adicionar Funções e Recursos Wizard.
8.
Selecione os recursos que deseja instalar no servidor selecionado e clique em Avançar. Dependências podem aparecer para suas seleções de recursos também.
9.
O assistente exibe páginas específicas para as funções ou recursos que você escolheu. A maioria papéis tem uma página de serviços de função Select, em que você pode selecionar quais elementos da papel que você deseja instalar. Complete cada de páginas específicas do recurso ao papel ou e clique Avançar. A página Confirmar seleções de instalação abre-se.
10. Você pode escolher entre as seguintes funções opcionais:
Reinicie o servidor de destino automaticamente Se desejado Faz com que o servidor para reiniciar automaticamente quando a instalação estiver concluída, se o funções e recursos selecionados exigirem
Definições de configuração de exportação Cria um script XML documentar a procedimentos realizados pelo assistente, que você pode usar para instalar o mesmo configuração em outro servidor usando o Windows PowerShell
Especifique Uma fonte Caminho alternativo Especifica a localização de um arquivo de imagem que contém o software necessário para instalar as funções e características selecionadas 11. Clique em Instalar para abrir a página Progresso da Instalação. Dependendo dos papéis e recursos instalados, o assistente pode exibir links para as ferramentas necessárias para executar Tarefas de Pós necessárias. Quando a instalação estiver concluída, clique em Fechar para concluir o assistente.
Usando um arquivo de configuração exportado Para usar um arquivo de configuração exportado para instalar funções e recursos em outro computador executando o Windows Server 2012, use o seguinte comando em um Windows PowerShell sessão com privilégios elevados:
Depois de instalar as funções em seus servidores, os papéis aparecem como ícones no painel de navegação. Estes ícones realmente representam grupos de função. Cada grupo de função contém todas as instâncias desse papel encontrada em qualquer um dos seus servidores adicionados. Pode, portanto, administrar o papel através de todo o servidores em que você instalou.
Implantando papéis a VHDs Além de instalar funções e recursos para os servidores na rede, Server Manager também permite que os administradores para instalá-los para VMs que estão atualmente em um estado offline. Para exemplo, você pode ter um offline servidor web VM armazenadas em um servidor host de backup, no caso de o computador que hospeda o seu principal servidor web VMs deve falhar. Server Manager permite que você selecione um disco rígido virtual (VHD) e instalar ou remover funções e recursos sem ter que começar VM. Para instalar funções ou recursos para um arquivo VHD desligada, use o seguinte procedimento. 1. Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta. 2.
No menu Gerenciar, selecione Adicionar funções e recursos. Adicionar Funções e Recursos Assistente inicia, mostrando a página Antes de Começar.
3.
Clique em Avançar para abrir a página Selecionar Tipo de Instalação. Deixe a opção de instalação baseado em recurso selecionado com base em funções Or e clique em Avançar. O Selecione a página de destino do servidor é aberta. Selecione o Selecione uma opção de disco rígido virtual. Uma caixa de texto disco rígido virtual é exibido na a parte inferior da página. Na caixa de texto no disco rígido virtual, digite ou navegue até o local do arquivo VHD você deseja modificar.
4.
5.
6.
7.
Na caixa Piscina Servidor, selecione o servidor que o assistente deve usar para montar o VHD arquivo, como mostrado na Figura 1-20, e clique em Avançar. A página Selecionar Funções do Servidor será aberta.
Figura 1-20
A página de destino do servidor Select em Adicionar Funções e Recursos Wizard.
O QUE SIGNIFICA para montar o VHD IMAGEM
O assistente deve montar o arquivo VHD no servidor optar por olhar para dentro e determinar quais funções e recursos já estão instalados e que estão disponíveis para instalação. A montagem de um arquivo VHD só torna disponível através de arquivos do computador sistema; não é o mesmo que iniciar a VM usando o VHD.
8.
9.
Seleccione a função ou funções que você deseja instalar no servidor selecionado, acrescentando que o necessário dependências, se necessário, e clique em Avançar. A página Selecionar Recursos abre. Selecione os recursos que deseja instalar no servidor selecionado e clique em Avançar. Dependências podem aparecer para suas seleções de recursos também.
10. Seguida, o assistente exibe páginas específicas para as funções ou recursos que você escolheu, permitindo que você selecione os serviços de função e definir outras configurações. Conclua cada um dos papel ou páginas específicas da função e clique em Avançar. Uma página de confirmação será exibida. 11. Clique em Instalar. A página Progresso da Instalação é aberto. Quando a instalação estiver concluída, clique em Fechar para desmontar o VHD e conclua o assistente.
Configurando serviços A maioria dos papéis e muitos dos recursos do Windows Server incluem serviços, que são programas que ser executado continuamente em segundo plano, normalmente à espera de um processo de cliente para enviar um pedido para los. Server Manager fornece acesso a serviços executados em servidores em toda a rede. Quando você olhar para a página inicial do servidor local no Server Manager, uma das peças que encontrar existe a telha Services, mostrado na Figura 1-21. Esta telha lista todos os serviços instalados no o servidor e especifica o status operacional e seus tipos de começar. Ao clicar com o botão direito em um
serviço, o menu de atalho fornece controles que permitem iniciar, parar, reiniciar, pausar e retomar o serviço.
Figura 1-21
A telha de Serviços no Server Manager.
A telha de Serviços na tela do Gerenciador de Servidores não é, ao contrário dos serviços tradicionais snap-in para MMC encontrado em versões anteriores do Windows Server. No entanto, embora você pode iniciar e parar um serviço no Server Manager, você não pode modificar o seu tipo de início, que especifica se o serviço deve ser iniciado automaticamente com o sistema operacional. Para isso você deve usar o Serviços MMC snap-in.
Outra diferença do ladrilho Services no Windows Server 2012 Server Manager é que este telha aparece em muitos locais em todo o Server Manager, e em cada lugar que apresenta uma lista de serviços para um contexto diferente. Este é um bom exemplo do princípio organizacional da novo Server Manager. As mesmas ferramentas, repetido em muitos lugares, fornecem uma consistente interface de gestão de diferentes conjuntos de componentes.
Por exemplo, quando você seleciona o ícone de todos os servidores no painel de navegação, você vê pela primeira vez o Servidores azulejo, como de costume, contendo todos os servidores que você adicionou ao Server Manager console. Ao selecionar alguns ou todos os servidores e desça até o azulejo Services, você vê a mesma tela de antes, só que agora contém todos os serviços para todos os computadores que você selecionou. Isso permite que você monitore os serviços em todos os servidores de uma só vez. Da mesma forma, quando você seleciona um dos ícones do grupo de funções, você pode selecionar a partir da servidores que executam esse papel ea telha Serviços conterá apenas os serviços associados a esse papel para os servidores selecionados. Para manipular outras definições de configuração do servidor, você deve usar o snap-in para MMC, como mencionado anteriormente. No entanto, você pode lançar isso, e muitos outros snap-ins, usando Server Manager. Após selecionar um servidor no painel de servidores em qualquer página inicial do grupo, clique em Ferramentas menu para exibir uma lista das utilidades específicas do servidor e snap-ins, incluindo os serviços snap-in, dirigido para o servidor selecionado.
Delegando a administração do servidor Como as redes crescem em tamanho, assim como o número de tarefas administrativas existem para executar em uma base regular, e assim fazer as equipes de TI que são necessários para realizá-las. Delegar tarefas administrativas para indivíduos específicos é uma parte natural de gerenciamento do servidor da empresa, como está atribuindo aos indivíduos as permissões que eles precisam, e somente as permissões que eles precisa-para executar essas tarefas.
Delegação de Privilégios Para obter informações sobre a delegação de privilégios da impressora, consulte Objectivo 2.2, "Configurar impressão e Document Services. "Para obter informações sobre a delegação de controle administrativo via Active Directory, ver Objectivo 5.3, "Criar e gerenciar grupos do Active Directory e Unidades organizacionais. "Em redes menores, com pequenas equipes de TI, não é incomum para tarefa delegação a ser informal, e para todos no departamento de TI para ter acesso total a toda a rede. No entanto, em redes maiores, com maiores equipes de TI, isso se torna cada vez mais impraticáveis. Por exemplo, você pode querer os profissionais de TI júnior recém-contratados para ser capaz de criar novas contas de usuário, mas você não quer que eles sejam capazes de redesenhar sua árvore do Active Directory ou alterar a senha do CEO.
Delegação, portanto, é a prática pela qual os administradores de conceder a outros usuários um subconjunto de os privilégios que eles próprios possuem. Como tal, a delegação é tanto uma questão de restringir as permissões, pois é de sua concessão. Você quer fornecer os indivíduos com o privilégios de que necessitam, ao mesmo tempo proteger as informações sensíveis e infra-estrutura delicada.
Experiência de pensamento Configurando o Server Core Neste experimento de pensamento, aplicar o que você aprendeu sobre este objectivo. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Deepak é um técnico de TI que tenha sido atribuída a tarefa de configurar um novo servidor com o Windows Server 2012 Server Core, chamado servidora, que é ser enviado para fora para filial da empresa. O servidor deve ser configurado para funcionar como um servidor de arquivos com suporte para o Distributed File sytstem (DFS), uma impressão servidor com suporte para Internet e impressão UNIX, e um seguro, intranet web / FTP servidor para os usuários do domínio. Com isto em mente, responda às seguintes perguntas: 1. Que comando PowerShell deve Deepak usar para instalar as funções necessárias no servidores? 2. Que comando PowerShell pode Deepak usar para obter os nomes curtos para o papéis usados pelo PowerShell?
3. Listar os comandos que devem ser executados Deepak no novo servidor para instalar o necessário módulos.
Objetivo resumo
O novo Server Manager é projetado para permitir que os administradores gerenciem totalmente Servidores Windows sem ter que interagir diretamente com o console do servidor, fisicamente ou remotamente.
Há algumas tarefas que os administradores possam ter para executar imediatamente após a instalação do sistema operacional que requerem acesso direto ao console do servidor.
Se você tiver selecionado a opção Server Core ao instalar o Windows Server 2012, você pode executar tarefas de Pós partir da linha de comando.
No Windows Server 2012, o azulejo Propriedades no Server Manager fornece a mesma funcionalidade que a janela Tarefas de Configuração Iniciais nas versões anteriores.
No Windows Server 2012, você pode converter um computador instalado com o GUI completo opção de Server Core, e adicione o GUI completo para um computador Server Core.
NIC Teaming é um novo recurso do Windows Server 2012 que permite aos administradores combinar a largura de banda de vários adaptadores de interface de rede, proporcionando maior desempenho e tolerância a falhas.
Para os administradores de redes corporativas, pode ser necessário adicionar um grande número de servidores para o Server Manager. Para evitar ter que trabalhar com um longo deslocamento lista de servidores, você pode criar grupos de servidores, com base nos locais de servidor, funções ou qualquer outro paradigma organizacional. Além de instalar funções e recursos para os servidores na rede, Server Manager também permite que os administradores para instalá-los para VMs que estão atualmente em um offline Estado.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1. Quais recursos você deve remover a partir de uma instalação de GUI completa do Windows Server 2012 para convertê-lo em uma instalação Server Core? (Escolha todas que se aplicam) A. Windows Management Instrumentation
2.
B.
Ferramentas de gerenciamento gráfico e Infra-estrutura
C.
Experiência Desktop
D.
Servidor Graphical Shell
Qual dos seguintes modos de agrupamento NIC fornece tolerância a falhas e largura de banda agregação?
3.
A.
Hyper-V a migração ao vivo
B.
Switch Mode Independent
C.
Switch Mode Dependente
D.
Link Aggregation Control Protocol
Qual das seguintes ferramentas de linha de comando que você usa para se juntar a um computador a um domínio? A. NET.EXE B.
Netsh.exe
C.
Netdom.exe
D.
Ipconfig.exe
4.
Qual das seguintes afirmações sobre o Gerenciador de Servidores não é verdade? A.
Server Manager pode implantar papéis em vários servidores ao mesmo tempo.
B.
Server Manager pode implantar papéis a VHDs enquanto estão offline.
C.
Server Manager pode instalar funções e recursos ao mesmo tempo.
D.
Server Manager pode instalar funções e recursos para qualquer servidor do Windows Server 2012 na rede.
5.
Qual das seguintes operações que você não pode executar em um serviço usando o Server Manager? (Escolha todas que se aplicam) A.
Parar um serviço em execução
B.
Iniciar um serviço interrompido
C.
Desativar um serviço
D.
Configurar um serviço para iniciar quando o computador é iniciado
Objectivo 1.3: Configurar o armazenamento local Embora o Windows Server 2012 é projetado para tirar vantagem do armazenamento e da nuvem remota computação, a configuração de armazenamento local continua a ser uma consideração importante.
Este objectivo abrange a forma de:
Espaços de armazenamento design Configurar discos básicos e dinâmicos
Configurar discos MBR e GPT
Gerenciar volumes
Criar e montar VHDs
Configurar pools de armazenamento e pools de discos
Armazenamento do servidor Planejamento Um servidor Windows pode conseguir desempenhar as suas tarefas usando o mesmo tipo de armazenamento como um estação de trabalho, ou seja, um ou mais discos rígidos convencionais ligado a uma interface de uma unidade padrão como Serial ATA (SATA). No entanto, as cargas de I / O de um servidor são bastante diferentes daqueles de uma estação de trabalho, e um subsistema de armazenamento padrão pode ser facilmente dominado por pedidos de arquivo de dezenas ou centenas de usuários. Além disso, os discos rígidos convencionais não oferecem tolerância a falhas e Uma variedade de tecnologias de armazenamento são mais adequados para uso do servidor, eo processo são limitados em sua escalabilidade. de concepção de uma solução de armazenamento para um servidor depende de vários fatores, incluindo o seguinte: A quantidade de armazenamento as necessidades do servidor O número de usuários que estarão acessando o servidor ao mesmo tempo
A sensibilidade dos dados a serem armazenados no servidor
A importância dos dados para a organização
As seções a seguir examinam estes fatores e as tecnologias que você pode escolher quando criação de um plano para as suas soluções de armazenamento de rede.
Quantos servidores eu preciso? Quando é um servidor de arquivos grande preferível a vários menores? Uma das mais freqüentes perguntas ao planejar uma implantação de servidor é se é melhor usar um grande servidor ou vários pequenos. No passado, você pode ter considerado as vantagens e desvantagens do uso de um servidor para executar várias funções em relação a distribuição dos papéis entre vários servidores menores, mas hoje, a ênfase é sobre a virtualização, o que significa que, apesar de que você pode ter muitas máquinas virtuais rodando diferentes papéis, todos eles podem estar em execução em um único grande servidor físico.
Se você está pensando em grandes servidores físicos, ou se os requisitos de armazenamento de sua organização são extremamente grandes, você também deve considerar as limitações de armazenamento inerentes do Windows Server 2012. O número de sites a sua rede corporativa engloba e as tecnologias que você usa para proporcionar a comunicação de rede entre esses sites também podem afetar os seus planos. Se, por exemplo, sua organização tem filiais espalhadas pelo mundo e usa relativamente caro rede de área ampla (WAN) links para conectá-los, provavelmente seria mais econômico para instalar um servidor em cada local do que ter todos os seus usuários acessar um único servidor usando o Links de WAN.
Dentro de cada local, o número de servidores que você precisa pode depender de quantas vezes os usuários trabalhar com os mesmos recursos e quanto a tolerância a falhas e alta disponibilidade que você quer construir o sistema. Por exemplo, se cada departamento da sua organização normalmente funciona com seus próprios aplicativos e documentos e raramente necessita de acesso aos de outros departamentos, implantação de servidores individuais para cada departamento pode ser preferível. Se
todos em sua organização trabalha com o mesmo conjunto de recursos, servidores centralizados pode ser uma escolha melhor.
Estimar os requisitos de armazenamento A quantidade de espaço de armazenamento que você precisa em um servidor depende de uma série de fatores, não apenas o requisitos iniciais de suas aplicações e usuários. No caso de um servidor de aplicação, comece por alocar a quantidade de espaço necessário para a aplicação próprios arquivos, além de qualquer outro espaço as necessidades da aplicação, conforme recomendado pelo desenvolvedor. Se os usuários estará armazenando documentos no servidor, em seguida, alocar uma quantidade específica de espaço para cada usuário o servidor apoio. Então, o fator no crescimento potencial da sua organização e sua rede, tanto em termos de usuários adicionais e espaço adicional exigidos por cada usuário e da aplicação em si, em termos de arquivos de dados e atualizações.
Usando os espaços de armazenamento O Windows Server 2012 inclui uma nova tecnologia de virtualização de disco chamado Espaços de Armazenamento, que permite que um servidor de concatenar o espaço de armazenamento de discos físicos individuais e alocar esse espaço para criar discos virtuais de todos os tamanhos suportados pelo hardware. Este tipo de virtualização é uma característica frequentemente encontrada em tecnologias SAN e NAS, que requerem um investimento substancial em hardware especializado e habilidade administrativa. Armazenamento Spaces oferece recursos semelhantes usando unidades padrão de conexão direta de disco ou simples externo "Just a Bunch of Disco" (JBOD) arrays. Espaços de Armazenamento utiliza o espaço em disco não alocado em unidades do servidor para criar pools de armazenamento. A pool de armazenamento pode se estender por várias unidades de forma invisível, oferecendo um recurso de armazenamento acumulado que os administradores podem ampliar ou reduzir, conforme necessário, adicionando discos ou removê-los do piscina. Usando o espaço na piscina, os administradores podem criar discos virtuais de qualquer tamanho. Uma vez criado, um disco virtual se comporta exatamente como um disco físico, a não ser que os bits reais pode ser armazenado em qualquer número de unidades físicas no sistema. Os discos virtuais também pode fornecer tolerância a falhas usando os discos físicos no pool de armazenamento para armazenar dados espelhados ou paridade. Depois de criar um disco virtual, você pode criar volumes sobre ele, assim como você faria em um físico disco. Server Manager fornece as ferramentas necessárias para criar e gerenciar pools de armazenamento e discos virtuais, bem como a capacidade de criar volumes e compartilhamentos de arquivos do sistema, com algum limitações.
Compreender as configurações de disco do Windows Quando você instala o Windows Server 2012 em um computador, o programa de instalação automaticamente executa todas as tarefas de preparação para o disco rígido primário no sistema. No entanto, quando você instalar unidades de disco rígido adicionais em um servidor, ou quando você quer usar as configurações que diferem dos padrões do sistema, você deve executar as seguintes tarefas manualmente:
Selecione um estilo de particionamento O Windows Server 2012 suporta dois partição de disco rígido estilos: o registro mestre de inicialização (MBR) e estilo de partição GUID (global exclusivo
identificador) tabela de partição (GPT). Você deve escolher um destes partição estilos para uma unidade; você não pode usar os dois.
Selecione um tipo de disco O Windows Server 2012 suporta dois tipos de disco: básico e dinâmica. Você não pode usar os dois tipos na mesma unidade de disco, mas você pode misturar disco tipos no mesmo computador.
Dividir o disco em partições ou volumes Embora muitos profissionais de usar o termos partição e volume de forma intercambiável, é correto para se referir a partições discos básicos e volumes em discos dinâmicos.
Formate as partições ou volumes com um sistema de arquivos O Windows Server 2012 suporta o sistema de arquivos NTFS, o sistema de arquivos FAT (incluindo o FAT16, FAT32, e exFAT variantes), eo novo sistema de arquivos refs.
Os capítulos seguintes analisam as opções para cada uma dessas tarefas.
Seleção de um estilo de partição O termo estilo de partição refere-se ao método que os sistemas operacionais Windows usam para organizar partições no disco. Os servidores que executam o Windows Server 2012 computadores pode usar qualquer um dos os dois seguintes estilos de partição do disco rígido:
Master Boot Record (MBR) O estilo de partição MBR tem sido em torno desde antes Do Windows e ainda é um estilo de partição comum para e com base em x64 baseado em x86 computadores.
GUID Partition Table (GPT) GPT existe desde a década de 1990, mas nenhuma x86 versão do Windows anteriores ao Windows Server 2008 e Windows Vista suporta. Hoje, a maioria dos sistemas operacionais suportam GPT, incluindo o Windows Server 2012.
Antes do Windows Server 2008 e Windows Vista, todos os computadores com Windows x86 usado apenas o estilo de partição MBR. Computadores baseados na plataforma x64 poderia usar o MBR ou estilo de partição GPT, desde que o disco GPT não era o disco de inicialização. A menos que a arquitetura do computador fornece suporte para uma interface de firmware extensível Partição de boot baseado em (EFI), não é possível inicializar a partir de um disco GPT. Se este for o caso, o unidade do sistema deve ser um disco MBR, e você pode usar GPT somente em discos separados não inicializável utilizado para armazenamento de dados. Quando você usa o Gerenciador do Servidor para inicializar um disco no Windows Server 2012, ele usa o GPT estilo de partição, se é um físico ou um disco virtual. Não existem controles em Server Manager apoio MBR, apesar de não mostrar o estilo de partição na telha Discos.
Compreender os tipos de disco A maioria dos computadores pessoais usar discos básicos porque eles são os mais fáceis de gerenciar. Avançado tipos de volume requerem o uso de discos dinâmicos. A disco básico usando os usos estilo de partição MBR partições primárias, partições estendidas e unidades lógicas para organizar dados. Uma partição primária aparece para o sistema operacional como se fosse um disco fisicamente separado e pode hospedar um
sistema operativo, caso em que ela é conhecida como a partição activa. Quando você trabalha com discos básicos MBR no Windows Server 2012, você pode criar três volumes que tomam a forma de partições primárias. Quando você cria o quarto volume, o sistema cria uma partição estendida, com uma unidade lógica sobre ele, do tamanho que você especificou. Se ainda há espaço livre no disco, o sistema atribui-o à partição estendida, conforme mostrado na Figura 1-22, onde você pode usá-lo para criar unidades lógicas adicionais.
Figura 1-22
Partições primárias e estendidas em um disco básico usando MBR.
Quando você seleciona o estilo de partição GPT, o disco ainda aparece como um disco básico, mas você pode criar até 128 volumes, cada um dos quais aparece como uma partição primária, como se mostra na Figura 1 23. Não há partições estendidas ou unidades lógicas em discos GPT.
Figura 1-23
Partições primárias em um disco básico usando GPT.
A alternativa ao uso de um disco básico é convertê-lo em um disco dinâmico. O processo de converter um disco básico para um disco dinâmico cria uma única partição que ocupa toda a disco. Você pode criar um número ilimitado de volumes fora do espaço em que partição. Os discos dinâmicos suporta vários tipos diferentes de volumes, tal como descrito na secção seguinte.
Compreender os tipos de volume Um disco dinâmico pode conter um número ilimitado de volumes que funcionam como principal partições em um disco básico, mas você não pode marcar um disco dinâmico existente como ativo. Quando você criar um volume em um disco dinâmico usando o Gerenciamento de disco snap-in no Windows Server 2012, você escolher entre os seguintes cinco tipos de volume:
Volume simples Consiste em espaço de um único disco. Depois de ter criado um volume simples, você pode estendê-lo para vários discos para criar um mediu ou listrado de volume, enquanto que não é um volume de sistema ou volume de inicialização. Você também pode estender uma volume simples em qualquer espaço não alocado adjacente no mesmo disco ou, com alguma limitações, diminuir o volume desalocá qualquer espaço não utilizado no volume.
Volume expandido Consiste em espaço de 2 a 32 discos físicos, os quais devem ser discos dinâmicos. Um volume expandido é, essencialmente, um método para combinar o espaço a partir de vários discos dinâmicos em um único grande volume. O Windows Server 2012 escreve ao volume expandido, preenchendo todo o espaço no primeiro disco e, em seguida, preenche cada um dos os discos adicionais, por sua vez. Você pode estender um volume expandido a qualquer momento, adicionando
espaço em disco. Criando um volume expandido não aumenta do disco de leitura / gravação desempenho, nem fornecer tolerância a falhas. Na verdade, se um único disco físico no volume expandido falhar, todos os dados na totalidade do volume se perde.
Volume distribuído Consiste em espaço de 2 a 32 discos físicos, os quais devem ser discos dinâmicos. A diferença entre um volume distribuído e um volume expandido é que, em um volume distribuído, o sistema grava os dados de um tarja de cada vez para cada disco sucessivo no volume. Striping fornece melhor desempenho, pois cada unidade de disco na matriz tem tempo para procurar a localização de sua próxima faixa, enquanto o outro unidades estão escrevendo. Os volumes distribuídos não fornecer tolerância a falhas, no entanto, e você não pode estender-los após a criação. Se um único disco físico no volume distribuído falhar, todos os dados na totalidade do volume se perde.
Volume espelhado Consiste em uma quantidade idêntica de espaço em dois discos físicos, sendo que ambos devem ser discos dinâmicos. O sistema realiza todos ler e escrever operações de ambos os discos simultaneamente, de modo que eles contêm cópias duplicadas de todos os dados armazenado no volume. Se um dos discos falhar, o outro continua a fornecer acesso ao volume até que o disco não for reparado ou substituído.
Volume RAID-5 Consiste de espaço em três ou mais discos físicos, os quais devem ser dinâmico. Os dados listras sistema e informações de paridade em todos os discos de modo que, se um disco físico falhar, os dados em falta podem ser recriadas usando a paridade informação sobre os outros discos. RAID-5 volumes proporcionar melhor desempenho de leitura, por causa da distribuição de disco, mas o desempenho de gravação sofre, devido à necessidade de paridade cálculos.
Compreender os sistemas de arquivos Para organizar e armazenar dados ou programas em um disco rígido, você deve instalar um sistema de arquivos. Um arquivo sistema é a estrutura de unidade de disco subjacente que lhe permite guardar informação no seu computador. Você instala sistemas de arquivos com a formatação de uma partição ou volume no disco rígido. No Windows Server 2012, cinco opções de sistemas de arquivos estão disponíveis: NTFS, FAT32, exFAT, FAT (Também conhecido como FAT16), e refs. NTFS é o sistema de arquivos preferido para um servidor; o principal benefícios são suporte melhorado para discos rígidos maiores do que FAT e melhor segurança na forma de criptografia e permissões que restringem o acesso por usuários não autorizados. Porque os sistemas de arquivos FAT não têm a segurança que o NTFS fornece, qualquer usuário que tenha acesso para o seu computador pode ler qualquer arquivo sem restrição. Além disso, sistemas de arquivos FAT tem disco limitações de tamanho: FAT32 não pode lidar com uma partição maior do que 32 GB, ou um arquivo maior que 4 GB. FAT não consegue lidar com um disco rígido maior do que 4 GB, ou um arquivo maior do que 2 GB. Por causa de estas limitações, a única razão viável para a utilização de FAT16 ou FAT32 é a necessidade de dual boot o computador com um sistema operacional que não seja Windows ou uma versão anterior do Windows que faz não suporta NTFS, que não é uma configuração provável para um servidor. Refs é um novo sistema de arquivos que aparecem primeiro no Windows Server 2012, que oferece praticamente arquivo ilimitado e diretório tamanhos e aumento da resiliência, que elimina a necessidade de erro de
ferramentas de verificação, como o Chkdsk.exe. No entanto, refs não inclui suporte para recursos de NTFS tais como compressão de arquivo, sistema de arquivos criptografados (EFS) e quotas de disco. Discos árbitros também não podem ser lido por todos os sistemas operacionais mais antigos do que o Windows Server 2012 e Windows 8.
Trabalhando com discos O Windows Server 2012 inclui ferramentas que permitem a você gerenciar discos graficamente ou a partir da prompt de comando. Todas as instalações do Windows Server 2012 incluem o arquivo e serviços de armazenamento papel, o que faz com que o Server Manager para exibir um submenu quando você clica no ícone na painel de navegação, tal como mostrado na Figura 1-24. Este submenu permite o acesso a home pages que permitem aos administradores gerenciar volumes, discos, pools de armazenamento, compartilhamentos e dispositivos iSCSI.
Figura 1-24
O submenu Arquivo e serviços de armazenamento no Server Manager.
Server Manager é a única ferramenta gráfica que pode gerenciar pools de armazenamento e criar virtuais discos. Ele também pode executar alguns, mas não todos, do disco padrão e gerenciamento de volume operações em discos físicos. Tal como acontece com as outras home pages do Server Manager, o arquivo e Páginas dos Serviços de armazenamento também permitem que você execute tarefas em todos os servidores que você adicionou ao interface. Gerenciamento de Disco é um snap-in que é a ferramenta tradicional para a realização de disco-relacionado tarefas. Para acessar o Disk Management snap-in, você deve abrir o Gerenciamento do Computador console e selecione Gerenciamento de disco. Você também pode gerenciar discos e volumes a partir da linha de comando usando o DiskPart.exe utilidade.
Adicionando um novo disco físico Quando você adicionar um novo disco rígido para um computador com Windows Server 2012, você deve inicializar o disco antes de você pode acessar o seu armazenamento. Para adicionar um novo disco secundário, desligar o computador e instalar ou anexar o novo disco físico acordo com as instruções do fabricante. A recém-adicionado disco físico aparece no Server Manager na telha discos, como mostrado na Figura 1-25, com um status de off-line e um estilo de partição desconhecida.
Figura 1-25
Um novo disco físico no Server Manager.
Para fazer o disco acessível, primeiro você deve colocá-lo online por telha botão direito do mouse-lo nos discos e, no menu de atalho, a seleção de Colocar Online. Depois de confirmar a sua ação ea mudanças de status de disco para Online, clique com o botão direito e selecione Inicializar. Ao contrário do Disk Management snap-in, Server Manager lhe dá nenhuma escolha da partição modelo para o disco. Uma janela de andamento de tarefas abre, e quando o processo for concluído, clique em Fechar e, o disco aparece na lista com um estilo de partição de GPT. Você pode converter um disco de um estilo de partição para outra, a qualquer momento, clicando com o botão direito do mouse na disco que você precisa para converter e, em seguida, no menu de atalho, a seleção de Converter para GPT Disk ou Converter para MBR Disk. No entanto, estar ciente de que a conversão do estilo de partição de disco é um processo destrutivo. Você pode executar a conversão somente em um disco não alocado, então se o disco você deseja converter contém dados, você deve fazer o backup do disco e, em seguida, apagar tudo existente partições ou volumes antes de começar a conversão.
Criação e montagem de VHDs Hiper-V baseia-se na VHD formato para armazenar dados de discos virtuais em arquivos que podem ser facilmente transferidos de um computador para outro. O snap-in Gerenciamento de disco no Windows Server 2012 permite que você crie arquivos VHD e montá-los no computador. Uma vez que eles são montado, você pode tratá-los como discos físicos e usá-los para armazenar dados. Desmontagem
um VHD empacota os dados armazenados no arquivo, para que você possa copiar ou movê-lo quando necessário. Para criar um VHD no Gerenciamento de Disco, utilize o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios de administrador. O Janela do Gerenciador do Servidor será aberta.
2.
Clique em Ferramentas> Gerenciamento do Computador. O console de gerenciamento do computador abre. Clique em Gerenciamento de disco para abrir o Disk Management snap-in.
3. 4.
No menu Ação, selecione Criar VHD. A criar e anexar Virtual Hard Disk caixa de diálogo, como mostrado na Figura 1-27.
Figura 1-27
5.
A caixa de diálogo Criar e anexar Virtual Hard Disk.
6.
Na caixa de texto Local, especifique o caminho eo nome de arquivo para o arquivo que você deseja criar. Na caixa Tamanho do disco rígido virtual, especifique o tamanho máximo do disco que você deseja criar.
7.
Selecione uma das seguintes opções de formato de disco rígido virtual:
8.
VHD O formato original e mais compatível, que suporta arquivos de até 2.040 GB
VHDX A nova versão do formato que suporta arquivos de até 64 TB, mas pode apenas ser lido por computadores com o Windows Server 2012
Selecione uma das seguintes opções de disco tipo de disco virtual:
Tamanho Fixo (recomendado) imediatamente
Dinamicamente Expansão
Aloca todo o espaço em disco para o arquivo VHD
Aloca espaço em disco para o arquivo VHD que você adicionar
dados para o disco rígido virtual 9.
Clique em OK. O sistema cria o arquivo VHD e anexa-lo, para que ele apareça como um disco no o snap-in.
Depois de ter criado e anexado a VHD, ele aparece como um disco não inicializado no disco Snap-in Gestão e no Server Manager. Usando qualquer ferramenta, você pode inicializar o disco e criar volumes sobre ele, assim como você faria com um disco físico. Depois de armazenar dados sobre os volumes, você pode destacar o VHD e movê-lo para outro local ou montá-lo em uma VM Hyper-V.
Criando um pool de armazenamento Depois de ter instalado os discos físicos, você pode concatenar seu espaço em um dispositivo de armazenamento piscina, a partir do qual você pode criar discos virtuais de qualquer tamanho. Para criar um pool de armazenamento utilizando o Server Manager, use siga este procedimento. 1. Faça logon no Windows Server 2012 usando uma conta com privilégios de administrador. O Janela do Gerenciador do Servidor será aberta. 2.
Clique no arquivo e ícone Serviços de armazenamento e, no submenu que aparece, clique em Storage Pools. A página inicial do Storage Pools aparece, como mostrado na Figura 1-28.
Figura 1-28
A página inicial do Storage Pools.
3.
No azulejo Storage Pools, selecione o espaço primordial no servidor em que você deseja criar o pool, e, a partir do menu de tarefas, selecione Novo pool de armazenamento. The New Armazenamento Assistente Piscina começa, mostrando a página Antes de Começar.
4.
Clique em Avançar. A página Especificar um pool de armazenamento Nome E Subsystem aparece, como mostrado na Figura 1-29.
Figura 1-29
5.
O Especifique um pool de armazenamento página Nome e Subsystem.
Na caixa de texto Nome, digite o nome que você deseja atribuir ao pool de armazenamento. Em seguida, selecione o servidor no qual você deseja criar o pool e clique em Avançar. A Select Discos física para a página pool de armazenamento abre, como mostrado na Figura 1-30.
Figura 1-30
Os discos físicos SELECT para a página pool de armazenamento.
O assistente exibe DISCOS elegíveis apenas
O assistente exibe apenas os discos que são elegíveis para além da piscina. Discos que já tem partições ou volumes sobre eles não aparecem.
6.
Marque as caixas de seleção para os discos que você deseja adicionar à piscina e clique em Avançar para
abrir a página Confirmar Seleções. 7.
Clique em Criar. O assistente cria o novo pool de armazenamento ea página Exibir resultados abre.
8.
Clique em Fechar. O assistente é fechado ea nova piscina aparece na home Storage Pools página, como mostrado na Figura 1-31.
Figura 1-31
9.
A nova piscina na página inicial Storage Pools.
Feche a janela do Gerenciador do Servidor.
Depois de ter criado um pool de armazenamento, você pode modificar a sua capacidade, adicionando ou removendo discos físicos. O menu de tarefas na telha discos físicos na home page Storage Pools contém as seguintes opções:
Adicionar Disco Físico Permite adicionar um disco físico para a piscina, enquanto é inicializado e não contém quaisquer volumes.
Expulsar Disk Prepara um disco físico para a remoção do pool de armazenamento movendo tudo dos dados que contém os outros discos físicos na piscina. Isto pode fazer com que o estado de discos virtuais usando a tolerância a falhas espelho ou paridade para reverter a advertência, se o despejo faz com que o número de discos físicos na piscina para cair abaixo do mínimo necessário.
Remover Disco Remove o espaço fornecido por um disco físico do armazenamento piscina. Esta opção aparece somente se todos os dados já foram expulsos do disco.
Para criar um novo pool de armazenamento usando o Windows PowerShell, você usa o New-StoragePool cmdlet com a seguinte sintaxe básica:
Para obter as designações corretas para o subsistema de armazenamento e os discos físicos, use o Get-storageSubsystem e Get-PhysicalDisk cmdlets.
Criação de discos virtuais Depois de ter criado um pool de armazenamento, você pode usar o espaço para criar quantos discos virtuais como que você precisa. Para criar um disco virtual usando o Gerenciador do Servidor, use o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios de administrador. O Janela do Gerenciador do Servidor será aberta.
2.
Clique no arquivo e ícone Serviços de armazenamento e, no submenu que aparece, clique em Storage Pools. A página inicial do Storage Pools aparece.
3.
Role para baixo (se necessário) para expor a telha discos virtuais e, no menu Tarefas, selecione Novo disco virtual. O menu Novo Disco Virtual é exibida, mostrando o antes de Início.
4.
Clique em Avançar para abrir o selecione o servidor e página pool de armazenamento. Selecione a piscina em que você deseja criar um disco virtual e clique em Avançar. O Especifique A página Nome de Disco Virtual abre.
5.
6.
Na caixa de texto Nome, digite um nome para o disco virtual e clique em Avançar. Selecionar o Página de Layout de armazenamento abre, como mostrado na Figura 1-32.
Figura 1-32
7.
A página de layout Selecione o armazenamento.
Selecione uma das seguintes opções de layout e clique em Avançar.
Simples Requer a piscina para conter pelo menos um disco físico e fornece nenhuma tolerância a falhas. Quando mais de um disco físico está disponível, o sistema dados listras entre os discos.
Espelho Requer a piscina para conter, pelo menos, dois discos físicos e fornece tolerância a falhas, armazenando cópias idênticas de cada arquivo. Dois discos físicos
fornecer proteção contra uma falha de disco único; cinco discos físicos fornecer proteção contra a falha de dois discos.
Paridade Requer a piscina para conter, pelo menos, três discos físicos e fornece tolerância a falhas por striping informações de paridade juntamente com os dados. DISK nível de tolerância FAULT
A tolerância a falhas construídas em espaços de armazenamento é fornecido no nível do disco, e não o nível de volume, como no Disk Management snap-in. Teoricamente, pode-se usar Disk Gestão para criar volumes espelhados ou RAID-5 de discos virtuais, mas isso derrotar o propósito de criar-los em primeiro lugar, porque os discos virtuais pode muito bem estar localizado no mesmo disco físico.
8.
Especifique a página Tipo Provisioning se abre, como mostrado na Figura 1-33.
Figura 1-33
9.
Especifique a página Tipo Provisioning.
Selecione uma das seguintes opções de Tipo de Provisionamento e clique em Avançar. Fino O sistema aloca o espaço do conjunto de armazenamento para o disco, conforme necessário, até o tamanho máximo especificado. Fixo O sistema atribui o valor máximo especificado de espaço para o disco imediatamente em criá-lo. Especifique o tamanho da página de disco virtual se abre, como mostrado na Figura 1-34.
Figura 1-34
Especifique o tamanho da página de disco virtual.
10. Na caixa de texto Tamanho de disco virtual, especifique o tamanho do disco que você deseja criar e clique em Avançar. A página Confirmar Seleções abre. 11. Clique em Criar. A página Exibir resultados aparece como o assistente cria o disco. 12. Clique em Fechar. O assistente é fechado eo novo disco aparece no Discos telha virtual, como mostrado na Figura 1-35.
Figura 1-35
Um novo disco na Discos telha virtual no Server Manager.
13. Feche a janela do Gerenciador do Servidor. Por padrão, o Assistente de Novo Volume lança quando você criar um novo disco virtual. Neste ponto, o disco é um equivalente virtual de um disco físico recém-instalado. Ele contém nada além de espaço não alocado, e você deve criar pelo menos um volume antes que possa armazenar dados sobre ele.
Criar um volume simples Tecnicamente falando, você criar partições em discos básicos e volumes em discos dinâmicos. Isto é não apenas uma mudança arbitrária na nomenclatura. Convertendo um disco básico para um disco dinâmico na verdade, cria uma grande partição, ocupando todo o espaço no disco. Os volumes que criar no disco dinâmico são divisões lógicas dentro dessa única partição. Versões do Windows anteriores a 2008 usar a terminologia correta no snap-o Gerenciamento de disco dentro Os menus permitem criar partições em discos básicos e volumes em discos dinâmicos. O Windows Server 2012 usa o termo volume para ambos os tipos de disco e permite que você crie qualquer dos tipos de volume disponíveis, se o disco é básico ou dinâmico. Se o volume tipo você escolha não é suportado em um disco básico, o assistente de converte-lo para um disco dinâmico, como parte do processo de criação de volume.
Apesar dos menus que se referem a partições básicas como volumes, as regras tradicionais para básico discos permanecerão em vigor. A opção de menu Novo Volume Simples em um disco básico cria até três partições primárias. Quando você cria um quarto volume, o assistente cria realmente um partição estendida e uma unidade lógica do tamanho que você especificar. Se não houver qualquer espaço restante no disco, você pode criar unidades lógicas adicionais na partição estendida.
Tenha cuidado se estiver usando o utilitário DiskPart.exe Quando você usa DiskPart.exe, um utilitário de linha de comando incluída no Windows Server 2012, para gerenciar discos básicos, você pode criar quatro partições primárias ou três partições primárias e uma partição estendida. O utilitário DiskPart.exe contém um subconjunto dos comandos suportado pelo Disk Management snap-in. Em outras palavras, o DiskPart pode fazer tudo O Gerenciamento de disco pode fazer, e muito mais. No entanto, enquanto o Disk Management snap-in evita que você acidentalmente executar ações que possam resultar em perda de dados, DiskPart não tem seguranças, e assim não proibi-lo de realizar tais ações. Para esta razão, a Microsoft recomenda que apenas usuários avançados usar DiskPart e que eles usá-lo com a devida cautela.
Para criar um novo volume simples em um disco básico ou dinâmico usando o Gerenciamento de Disco snap-in, use o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios de administrador. O Janela do Gerenciador do Servidor será aberta.
2.
Clique em Ferramentas> Gerenciamento do Computador. O console de gerenciamento do computador abre. Clique em Gerenciamento de disco para iniciar o Disk Management snap-in.
3. 4.
No modo de exibição gráfica, clique com o botão direito em uma área não alocado no disco em que você deseja criar um volume e, a partir do menu de atalho, selecione Novo Volume Simples. O Novo Assistente Volume Simples começa.
5.
Clique em Avançar para ignorar a página de boas-vindas. A página Especificar tamanho do volume se abre, como mostrado na Figura 1-36.
Figura 1-36
6.
Selecione o tamanho da nova partição ou volume, no máximo e mínimo limites estabelecidos na página, usando o Volume Simples Tamanho em MB caixa de rotação e clique em Avançar. O Drive Letter atribuir ou página Caminho abre, como mostrado na Figura 1-37.
Figura 1-37
7.
8.
A página Especificar tamanho do volume.
O Drive Letter atribuir ou página Caminho.
Configure uma das três opções a seguir:
Atribua a letra da unidade Following Se você selecionar esta opção, clique no associado drop-down list para obter uma lista de letras de unidade disponíveis e selecione a letra que você deseja atribuir à unidade.
Monte na seguinte pasta NTFS vazia Se você selecionar esta opção, digite o caminho para uma pasta NTFS existente ou clique em Procurar para procurar ou criar um nova pasta. Todo o conteúdo da nova unidade irá aparecer na pasta especificar.
Não atribua um caminho Drive Letter ou unidade Selecione esta opção se você quiser criar a partição, mas ainda não está pronto para usá-lo. Quando você não atribuir um volume de uma letra de unidade ou caminho, o carro é deixado desmontado e inacessível. Quando você deseja montar a unidade para uso, atribua uma letra de unidade ou caminho para ele. Clique em Avançar para abrir a página Formatar partição, como mostrado na Figura 138.
Figura 1-38
9.
A página Formatar Partição.
Especifique se o assistente deve formatar o volume, e se sim, como. Se não o fizer deseja formatar o volume, neste momento, selecione o Não formatar esta opção Volume. Se você deseja formatar o volume, selecione o formato Este volume com o Após opção Configurações e, em seguida, configurar as opções associadas, como segue.
Sistema de Arquivos Selecione o sistema de arquivo desejado. As opções disponíveis dependem da tamanho do volume, e podem incluir refs, NTFS, exFAT, FAT32 ou FAT. Tamanho da unidade de alocação Especifique o tamanho do cluster do sistema de arquivos. Os significa tamanho do cluster a unidade básica de bytes em que o sistema aloca o espaço de disco. O sistema calcula o tamanho da unidade de alocação padrão com base no tamanho do volume. Você pode substituir esse valor clicando na lista drop-down associado e, em seguida, selecionando um dos valores. Por exemplo, se o seu cliente usa consistentemente arquivos pequenos, você pode deseja definir o tamanho da unidade de alocação para um tamanho menor cluster.
Volume Label Especifique um nome para a partição ou volume. O nome padrão é Novo Volume, mas você pode mudar o nome para o que quiser.
Executar uma formatação rápida Quando essa caixa de seleção estiver marcada, o Windows formata o disco sem a verificação de erros. Este é um método mais rápido para formatar a unidade, mas A Microsoft não recomenda isso. Quando você verificar se há erros, o sistema procura e marca os setores defeituosos no disco para que seus clientes não vai usar essas partes o disco.
Ativar compressão de arquivos e pastas Selecionar esta caixa de seleção se transforma em pasta compressão para o disco. Esta opção está disponível apenas para volumes a ser formatado com o sistema de arquivos NTFS.
10. Clique em Avançar. A página Concluindo o Assistente Volume Simples New abre. 11. Reveja as configurações para confirmar suas opções e clique em Concluir. O assistente cria o volume de acordo com suas especificações. 12. Feche o console de gerenciamento de disco que contém o snap-in. Depois de criar um volume simples, você pode usar o Disk Management snap-in para modificar seu propriedades, estendendo-o ou reduzindo-a, conforme descrito posteriormente nesta lição.
Este procedimento pode criar volumes em discos físicos ou virtuais. Você também pode criar simples volumes usando um assistente semelhante no Server Manager. Quando você iniciar o Assistente de Novo Volume no Server Manager, que você pode fazer a partir do Volumes ou home page discos, as opções que o assistente presentes são praticamente idênticos aos o Assistente de Novo Volume Simples em Gerenciamento de Disco. A principal diferença é que, como todos os assistentes do Server Manager, o Assistente de Novo Volume inclui uma página que permite que você selecione o servidor eo disco em que você deseja criar de volume, como mostrado na Figura 1-39. Portanto, você pode usar este assistente para criar volumes em qualquer disco, em qualquer um dos seus servidores.
Figura 1-39
O selecione o servidor e página de disco no Assistente de Volume de novo no Server Manager.
Criando um distribuídos, estendidos, espelhados ou RAID-5 O procedimento para criar um distribuídos, estendidos, espelhados ou RAID-5 volume é quase o mesmo como que para criar um volume simples, exceto que a página Especificar tamanho do volume é substituído por a página Discos Select. Para criar um distribuídos, estendidos, espelhados ou RAID-5 volume, utilize o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios de administrador. O Aparece a janela do Gerenciador de Servidores.
2.
Clique em Ferramentas> Gerenciamento do Computador. O console de gerenciamento do computador abre. Clique em Gerenciamento de disco para abrir o Disk Management snap-in.
3. 4.
O botão direito do mouse em uma área não alocado em um disco e então, no menu de atalho, selecione o comando para o tipo de volume que você deseja criar. A Assistente de Novo Volume aparece, nomeado para o seu tipo de volume selecionado.
5.
Clique em Avançar para ignorar a página de boas-vindas. A página Selecionar discos aparece, como mostrado na Figura 1-40.
Figura 1-40
A página Discos Select.
6.
Na página Selecionar discos, selecione os discos que você deseja usar para o novo volume de Na caixa de listagem disponível, e clique em Adicionar. Os discos escolhidos são movidos para o Caixa de listagem Selecionado, juntando-se o disco original que você selecionou ao iniciar o assistente. Para um listrado, estendidos, ou volume espelhado, você deve ter pelo menos dois discos no Lista selecionada; para um volume RAID-5, você deve ter pelo menos três.
7.
Especifique a quantidade de espaço que você deseja usar em cada disco, usando o Select A Quantidade de espaço em MB caixa de rotação. Em seguida, clique em Avançar. A letra de unidade ou caminho Assign página será aberta.
8.
9.
Se você estiver criando um volume estendido, você deve clicar em cada disco no Selecionado listar e especificar a quantidade de espaço para usar nesse disco. O valor padrão para cada disco é o tamanho do espaço não alocado no disco.
Se você estiver criando uma distribuídos, espelhados ou RAID-5, você especificar apenas um valorizar, porque estes volumes requerem a mesma quantidade de espaço em cada disco. O valor padrão é o tamanho do espaço não atribuído no disco com a menor quantidade de espaço livre.
Especifique se você deseja atribuir uma letra de unidade ou caminho, e, em seguida, clique em Avançar. O Página Formatar partição será aberta. Especifique se ou como você deseja formatar o volume e clique em Avançar para abrir a Página Concluindo o Assistente Volume Simples Novo.
10. Reveja as configurações para confirmar suas opções e clique em Concluir. Se qualquer um dos discos selecionado para criar o volume são discos básicos, uma caixa de mensagem de gerenciamento de disco aparece, avisando que o processo de criação do volume irá converter os discos básicos em discos dinâmicos. 11. Clique em Sim. O assistente cria o volume de acordo com suas especificações.
OPÇÕES ADICIONAIS
Consulte "Criar um volume simples" anteriormente para obter mais informações sobre as opções na Atribuir uma letra de unidade ou caminho e páginas formatar a partição.
12. Feche o Disk Management snap-in. Os comandos que aparecem no menu de atalho de um disco depende do número de discos instalado no computador e a presença de espaço não sobre elas. Por exemplo, pelo menos dois discos com espaço não alocado deve estar disponível para criar um distribuídos, estendidos, ou espelhado volume e pelo menos três discos devem estar disponíveis para criar um volume RAID-5.
Experiência de pensamento Armazenamento de Planejamento Neste experimento de pensamento, aplicar o que você aprendeu sobre este objectivo. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Em um novo servidor com o Windows Server 2012, Morris criou um pool de armazenamento que consiste em duas unidades físicas titulares de 1 TB cada. Em seguida, ele criou três simples discos virtuais fora do espaço no pool de armazenamento. Usando o Gerenciamento de Disco snap-in, Morris, então, criado um volume RAID-5, dos três discos virtuais. Com isto em mente, responda às seguintes perguntas: 1. Em que sentido é o plano de armazenamento de Morris ineficaz a fornecer tolerância a falhas? 2. Porque vai adicionar uma terceira disco ao pool de armazenamento não para melhorar a tolerância a falhas do plano de armazenamento? 3. Como Morris modificar o plano de armazenamento para torná-lo tolerante a falhas?
Objetivo resumo
O Windows Server 2012 suporta dois tipos de partição do disco rígido: MBR e GPT; dois discos tipos: básicos e dinâmicos; cinco tipos de volume: simples, distribuídos, estendidos, espelhados e RAID-5; e três sistemas de arquivos: refs, NTFS e FAT.
Este snap-in pode inicializar, particionar e formatar discos no local, máquina. Server Manager pode executar muitas das mesmas tarefas para servidores em todo o rede.
Um servidor Windows pode conseguir desempenhar as suas tarefas usando o mesmo tipo de armazenamento como uma estação de trabalho. No entanto, as cargas de I / O de um servidor são bastante diferentes daqueles de uma estação de trabalho, e um subsistema de armazenamento padrão pode ser facilmente dominado por arquivo pedidos de dezenas ou centenas de usuários. Além disso, os discos rígidos convencionais não oferecem O Windows Server 2012 inclui uma nova tecnologia de virtualização de armazenamento em disco tolerância chamado a falhas e são limitados em sua escalabilidade.
Spaces, que permite que um servidor para concatenar o espaço de armazenamento de física individual discos e alocar esse espaço para criar discos virtuais de todos os tamanhos suportados pela hardware.
Todas as instalações do Windows Server 2012 incluem o arquivo e serviços de armazenamento de papel, que faz com que o Server Manager para exibir um submenu quando você clica no ícone na painel de navegação. Este submenu permite o acesso a home pages que permitem administradores para gerenciar volumes, discos, pools de armazenamento, compartilhamentos e dispositivos iSCSI. Este snap-in no Windows Server 2012 permite que você crie VHD arquivos e montá-los no computador.
Depois de ter instalado os discos físicos, você pode concatenar seu espaço em um pool de armazenamento, a partir do qual você pode criar discos virtuais de qualquer tamanho. Depois de ter criou um pool de armazenamento, você pode usar o espaço para criar tantos discos virtuais como você precisa.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
2.
3.
Qual das seguintes afirmações são verdadeiras de volumes distribuídos? (Escolha todas que se aplicam) A. Os volumes distribuídos proporcionar melhor desempenho ao longo volumes simples. B.
Volumes distribuídos proporcionar maior tolerância a falhas de volumes simples.
C.
Você pode estender volumes distribuídos após a criação.
D.
Se um único disco físico no volume distribuído falhar, todos os dados na totalidade volume é perdido.
Qual das seguintes são requisitos para estender um volume em um disco dinâmico? (Escolha todas que se aplicam) A.
Se você quiser estender um volume simples, você pode usar apenas o espaço disponível no mesmo disco, se o volume for permanecer simples.
B.
O volume deve ter um sistema de arquivos (um volume bruto) antes de estender uma simples ou volume estendido.
C.
Você pode estender um volume simples ou estendido se você formatado usando a FAT ou Sistemas de arquivos FAT32.
D.
Você pode estender um volume simples em discos adicionais, se ele não é um volume do sistema ou um volume de inicialização.
Qual das seguintes são não verdade sobre as diferenças entre Network Attached dispositivos de armazenamento (NAS) e Storage Area Network (SAN) dispositivos? A. B.
Dispositivos NAS fornecer uma implementação do sistema de arquivos; Dispositivos SAN não. Dispositivos NAS deve ter seu próprio hardware de processador e memória; Dispositivos SAN
não requerem esses componentes. C.
D.
4.
5.
Dispositivos NAS deve executar seu próprio sistema operacional e tipicamente fornecem uma web interface para acesso administrativo; Dispositivos SAN não tem que ter nenhum dos dois. Dispositivos NAS exigir um protocolo especializado, como Fibre Channel ou iSCSI; SAN dispositivos usam protocolos de rede padrão.
Qual dos seguintes tipos de volume suportados pelo Windows Server 2012 não fornecer tolerância a falhas? (Escolha todas que se aplicam.) A.
Listrado
B.
Expandido
C.
Espelhado
D.
RAID-5
A matriz de unidade JBOD é uma alternativa para qual das seguintes opções? A. SAN B.
SCSI
C.
RAID
D.
iSCSI
Resumo do capítulo
Ao selecionar a opção de instalação do Windows Server Core, você recebe um despojadoversão para baixo do sistema operacional.
A Interface Minimal Server é um ambiente que remove alguns dos mais hardware elementos intensivos a partir da interface gráfica.
A migração é o método preferido para a substituição de um servidor existente com uma execução Windows Server 2012. Ao contrário de uma atualização in-loco, uma copia de migração vital informações de um servidor existente para uma instalação limpa do Windows Server 2012.
No Windows Server 2012, você pode converter um computador instalado com o GUI completo opção de Server Core, e adicione o GUI completo para um computador Server Core.
NIC Teaming é um novo recurso do Windows Server 2012 que permite aos administradores combinar a largura de banda de vários adaptadores de interface de rede, proporcionando maior desempenho e tolerância a falhas.
O Windows Server 2012 suporta dois tipos de partição do disco rígido: MBR e GPT; dois discos tipos: básicos e dinâmicos; cinco tipos de volume: simples, distribuídos, estendidos, espelhados e RAID-5; e três sistemas de arquivos: refs, NTFS e FAT.
Depois de ter instalado os discos físicos, você pode concatenar seu espaço em um pool de armazenamento, a partir do qual você pode criar discos virtuais de qualquer tamanho. Depois de ter criou um pool de armazenamento, você pode usar o espaço para criar tantos discos virtuais como você precisa.
Respostas Esta seção contém as soluções para os experimentos mentais e respostas para a lição rever perguntas neste capítulo.
Objectivo 1.1: Experiência do Pensamento 1.
Uninstall-WindowsFeature Servidor-Gui-Mgmt-Infra, Servidor-Gui-Shell-Restart
2.
Uninstall-WindowsFeature Servidor-Gui-Mgmt-Infra, Servidor-Gui-Shell-Remove
Objectivo 1.1: Revisão 1.
2.
As respostas corretas: A e C A.
Correto: DNS é um serviço de infra-estrutura.
B.
Incorreto: Web Server (IIS) é um serviço de aplicação, e não um serviço de infra-estrutura.
C.
Correto: DHCP é um serviço de infra-estrutura.
D.
Incorreto: Remote Desktop Services é um serviço de aplicativos, e não uma infra-estrutura serviço.
Resposta correta: B A.
Incorreto: Você não pode atualizar qualquer versão do Windows Server 2003 Standard para O Windows Server 2012 Padrão.
B.
Correto: Você pode atualizar o Windows Server 2008 Standard para o Windows Server 2012 Padrão.
C.
Incorreto: Você não pode atualizar 2008 R2 32 bits, ou qualquer de 32 bits do Windows Server versão, para o Windows Server 2012 64-bit.
D.
3.
Incorreto: Você não pode atualizar o Windows 7 Ultimate, ou qualquer estação de trabalho operacional sistema, para o Windows Server 2012 Essentials. Resposta correta: A
A.
Correto: Instalando as ferramentas gráficas de Gestão e módulo de Infra-estrutura e só esse módulo-on um resultado de instalação de Núcleo do Servidor do Servidor Minimal Interface.
B.
Incorreto: Instalando o Graphical Shell Server com o gerenciamento gráfico Ferramentas e Infra-estrutura converte uma instalação Server Core para a interface gráfica completa. Incorreto: O Windows PowerShell é uma interface de linha de comando que não tem efeito sobre
C.
a instalação mínimo Server. D.
4.
5.
Incorreto: MMC é um dos aplicativos gráficos disponíveis no servidor Minimal A instalação, mas você não precisa instalá-lo individualmente.
Resposta correta: D A.
Incorreto: O diretório do Windows contém arquivos do sistema operacional ao vivo, e não os arquivos de instalação.
B.
Incorreto: O diretório System32 contém arquivos do sistema operacional ao vivo, e não os arquivos de instalação.
C.
Incorreto: Não há diretório bin associado com o sistema operacional Windows.
D.
Correto: Windows armazena todos os módulos de instalação do sistema operacional no Winsxs diretório.
As respostas corretas: A, B, e C A.
Correto: É possível converter um computador com o Windows Server 2012 entre o Server Core ea interface gráfica completa, conforme necessário.
B.
Correto: A interface do PowerShell 3.0 no Windows Server 2012 tem muitos mais cmdlets que PowerShell 2.0.
C.
Correto: Server Manager incorpora uma interface de seleção de servidores em muitos de seus assistentes.
D.
Incorreto: Não há licenças diferentes para versões Server Core e GUI completos de Windows Server 2012.
Objectivo 1.2: Experiência do Pensamento 1.
Instale-WindowsFeature
2.
Get-WindowsFeature
3.
Deepak deve executar os seguintes comandos: Instale-WindowsFeature FS-FileServer Instale-WindowsFeature FS-DFS-Espaço nominal Instale-WindowsFeature FS-DFS-Replication Instale-WindowsFeature FS-NFS-Service Instale-WindowsFeature Print-Serviços-allSubFeatures Instale-WindowsFeature Servidor Web Instale-WindowsFeature Web-Windows-Auth Instale-WindowsFeature Web-Ftp-Service
Objectivo 1.2: Revisão 1.
As respostas corretas: B e D
A.
Incorreto: Windows Management Instrumentation é um conjunto de extensões de motorista muitas vezes usado com o Windows PowerShell. Você não tem que removê-lo a se converter ao Server Core.
B.
Correto: Removendo o recurso de ferramentas de gerenciamento gráfico e infra-estrutura é necessário para converter a uma instalação Server Core.
C.
Incorreto: Experiência Desktop não é instalado por padrão em uma interface gráfica completa ou um servidor Instalação Core. Correto: Servidor Graphical Shell fornece suporte para MMC, Server Manager, e parte do Painel de Controle. Você deve removê-lo para converter em uma instalação Server Core.
D.
2.
3.
Resposta correta: B A.
Incorreto: Hyper-V a migração ao vivo não é um modo de agrupamento NIC.
B.
Correto: Em Mode Switch Independent, os NICs na equipe estão ligados a opções diferentes, fornecendo caminhos alternativos através da rede.
C.
Incorreto: Em Mode Switch Dependente, os NICs na equipe estão ligados ao mesmas opções, proporcionando agregação de link, mas nenhuma tolerância a falhas.
D.
Incorreto: Link Aggregation Control Protocol não é um modo de agrupamento NIC.
Resposta correta: C A.
B.
4.
C.
Correto: Netdom.exe é o aplicativo gerenciador de domínio de linha de comando do Windows.
D.
Incorreto: Ipconfig.exe pode exibir as configurações de rede e redefinir DHCP configurações, mas não pode participar de um computador a um domínio.
Resposta correta: A A. B.
5.
Incorreto: NET.EXE é uma ferramenta de linha de comando do Windows que fornece muitos diferentes funções, mas não pode participar de um computador a um domínio. Incorreto: Netsh.exe é um programa de shell de rede que você pode usar para configurar o interface de rede, mas não pode associar um computador a um domínio.
Correto: Server Manager não é possível implementar funções para vários servidores ao mesmo tempo. Incorreto: Server Manager pode montar arquivos VHD off-line e instalar funções e apresenta a eles.
C.
Incorreto: Server Manager combina a processos de instalação papel e função em um único assistente.
D.
Incorreto: Server Manager pode instalar funções e recursos para qualquer Windows Server 2012 servidor na rede.
As respostas corretas: C e D A. B. C. D.
Incorreto: Você pode parar um serviço em execução utilizando o Server Manager. Incorreto: Você pode iniciar um serviço parou de usar o Gerenciador de Servidores Correto: Você não pode desabilitar um serviço usando o Gerenciador do Servidor. Correto: Você não pode configurar um serviço para iniciar quando o computador começa a usar
Server Manager.
Objectivo 1.3: Experiência do Pensamento 1.
Morris criou um volume RAID-5 de discos virtuais criados a partir de um pool de armazenamento que tem apenas dois discos físicos nele. Um volume RAID-5 só pode fornecer tolerância a falhas armazenando dados sobre três discos físicos.
2.
Adicionando um terceiro disco não vai garantir tolerância a falhas, pois não há garantia de que cada um dos três discos virtuais existe no disco individuais separados.
3.
Para fazer o plano de falha tolerante, Morris deve excluir os três discos virtuais simples e criar um novo disco virtual usando o espelho ou opção de layout de paridade.
Objectivo 1.3: Revisão 1.
2.
3.
As respostas corretas: A e D A.
Correto: Striping oferece melhor desempenho, pois cada unidade de disco no matriz tem tempo para procurar a localização de sua próxima faixa, enquanto as outras unidades são escrevendo.
B.
Incorreto: Os volumes distribuídos não contêm dados redundantes e, portanto, não fornecer tolerância a falhas.
C.
Incorreto: Volumes distribuídos não pode ser estendido após a criação, sem destruir os dados armazenados sobre eles no processo.
D.
Correto: Se um único disco físico no volume distribuído falhar, todos os dados no volume inteiro está perdido.
As respostas corretas: A e D A.
Correto: Ao estender um volume simples, você pode usar apenas o espaço disponível no o mesmo disco. Se você estender o volume para outro disco, não é mais simples.
B.
Incorreto: Você pode estender um volume simples ou estendido, mesmo que não tenha um sistema de arquivos (volume bruto).
C.
Incorreto: Você pode estender um volume se você formatado usando o sistema de arquivos NTFS. Você não pode estender volumes usando os sistemas de arquivos FAT ou FAT32.
D.
Correto: Você pode estender um volume simples em discos adicionais, se ele não é um volume do sistema ou um volume de inicialização.
Resposta correta: D A.
Incorreto: A SAN fornece serviços de armazenamento baseados em blocos para os computadores ligada ao mesmo, assim como, se os dispositivos de armazenamento foram instalados no computador. O hardware de armazenamento em uma SAN pode fornecer recursos adicionais, tais como RAID, mas o sistema de arquivos usado para armazenar e proteger os dados dos dispositivos de SAN é implementada pelo computador.
B.
Incorreto: Uma matriz NAS se conecta a uma rede padrão, e não necessita
computador para implementar o sistema de arquivos ou funcionar como um servidor de arquivos. Ela tem seu próprio processador e de matriz de memória. C. Incorreto: Dispositivos NAS são essencialmente dedicados servidores de arquivos com a sua própria sistemas operacionais, que prestam serviços de armazenamento baseado em arquivos diretamente aos clientes em a rede. D. Correto: Uma rede de área de armazenamento (SAN) é uma rede separada dedicada exclusivamente à dispositivos de armazenamento. SANs usam uma tecnologia de rede de alta velocidade, como o SCSI, iSCSI ou Fibre Channel para capacitá-los para transmitir grandes quantidades de dados de arquivos muito 4. As respostas corretas: C e D rapidamente. A. Incorreto: Um volume distribuído espalha dados entre vários discos, mas escreve o dados apenas uma vez. Portanto, ele não fornece tolerância a falhas.
5.
B.
Incorreto: Um volume estendido usa o espaço em várias unidades, mas ele grava os dados apenas uma vez. Portanto, ele não fornece tolerância a falhas.
C.
Correto: Um volume espelhado escreve cópias duplicadas de todos os dados de dois ou mais discos, proporcionando, assim, a tolerância a falhas.
D.
Correto: Um volume RAID-5 grava os dados e informações de paridade em vários discos, fornecer tolerância a falhas.
Resposta correta: C A.
Incorreto: A SAN é uma rede separada dedicada ao armazenamento, e JBOD é uma unidade matriz, que pode ser instalado sobre uma ou SAN num padrão de rede.
B.
Incorreto: SCSI é a interface de disco, e não um tipo de arranjo.
C.
Correto: Uma matriz JBOD é uma alternativa a um array RAID que trata cada disco como um de volume independente.
D.
Incorreto: Um JBOD não é uma alternativa ao iSCSI, que é um protocolo utilizado para o Comunicações SAN.
CAPÍTULO 2
Configurar funções de servidor e recursos
Este capítulo aborda alguns dos serviços fundamentais que a maioria dos servidores Windows executam. Em o mundo dos negócios, compartilhamento de arquivos e impressão foram os motivos pelos quais os computadores foram ligados em rede em primeiro lugar, e com o Windows Server 2012, gerenciamento remoto tornou-se um crítico elemento da administração do servidor.
Objetivos deste capítulo:
Objectivo 2.1: Configurando o acesso de arquivos e compartilhar Serviços de impressão Configurar e documentos: Objectivo 2.2
Objetivo 2.3: Configurar servidores para gerenciamento remoto
Objectivo 2.1: Configurando o acesso de arquivos e compartilhar Uma das críticas funções diárias de administradores do servidor é decidir onde os usuários devem armazenar seus arquivos e que devem ser autorizados a acessá-los.
Este objectivo abrange a forma de:
Criar e configurar ações
Configurar permissões de compartilhamento Configurar arquivos offline
Configure as permissões NTFS
Configure a enumeração baseada em acesso (ABE)
Configurar Volume Shadow Copy Service (VSS)
Configurar cotas NTFS
Criando ações da pasta Compartilhando pastas torna-los acessíveis aos usuários da rede. Depois de configurar os discos em um servidor de arquivos, você deve criar ações para os usuários da rede para ser capaz de acessar esses discos. Como notado nas discussões de planejamento no início deste capítulo, você deve ter uma estratégia de participação na coloque no momento em que você está realmente pronto para criar suas ações. Esta estratégia deve ser composto de
as seguintes informações:
O que você vai compartilhar pastas
Que nomes você irá atribuir às ações
Quais as permissões que você vai conceder aos usuários às ações Quais configurações de arquivos off-line que você vai usar para as ações Se você é o proprietário criador de uma pasta, você pode compartilhá-lo em um Windows Server 2012 computador clicando com a pasta em qualquer janela do File Explorer, selecionando Compartilhar> Pessoas específicas a partir do menu de atalho, e seguindo as instruções no compartilhamento de arquivos caixa de diálogo, como mostrado na Figura 2-1.
FIGURA 2-1 A caixa de diálogo Compartilhamento de
Arquivos.
Este método de criação de partes proporciona uma interface simplificada que contém apenas limitado controle sobre elementos como permissões de compartilhamento. Você pode especificar apenas que os usuários compartilhem receber leitura ou leitura / gravação permissões para o compartilhamento. Se você não for o proprietário criador do pasta, você pode acessar a guia Compartilhamento da folha Propriedades da pasta em seu lugar. Clicando no Botão Compartilhar lança a mesma caixa de diálogo, e no botão Compartilhamento Avançado exibe a Caixa de diálogo Compartilhamento Avançado mostrado na Figura 2-2, o que proporciona maior controle sobre a ação permissões.
FIGURA 2-2 A caixa de diálogo Compartilhamento Avançado.
Descoberta de rede Para os usuários na rede para ser capaz de ver as ações que você criar no servidor de arquivos, você deve certificar-se de que as configurações de compartilhamento de rede e de descoberta de arquivos são ativados no Rede e painel de controle Compartilhamento Center.
No entanto, para assumir o controle das ações em todos os seus discos em todos os seus servidores, e exercer o controle granular sobre as suas propriedades, você pode usar o arquivo e serviços de armazenamento em casa página no Server Manager. O Windows Server 2012 oferece suporte a dois tipos de ações da pasta:
Blocos de mensagens de servidor (SMB) SMB é o protocolo de compartilhamento de arquivos padrão usado versões do Windows. por todos
Network File System (NFS) NFS é o protocolo de compartilhamento de arquivos padrão utilizado pela maioria Distribuições UNIX e Linux. Quando você instala o Windows Server 2012, o programa de instalação instala a função de serviços de armazenamento serviço no papel de arquivo e serviços de armazenamento por padrão. No entanto, antes que você pode criar e gerenciar compartilhamentos SMB usando o Gerenciador do Servidor, você deve instalar o serviço de função de servidor de arquivos, e criar compartilhamentos NFS, você deve instalar o servidor para serviço de função NFS. Para criar um compartilhamento de pasta usando o Gerenciador do Servidor, use o seguinte procedimento. 1. Faça logon no Windows Server 2012 usando uma conta com privilégios de administrador. O Janela do Gerenciador do Servidor será aberta. 2.
Clique no ícone de arquivo e serviços de armazenamento e, no submenu que aparece, clique em Ações para abrir a home page Ações.
3.
No menu Tarefas, selecione Novo Compartilhamento. O Assistente de Nova Compartilhar começa, mostrando a Selecione o perfil para esta página Share, como mostrado na Figura 2-3.
FIGURA 2-3 Selecione o perfil para esta página Compartilhar no Assistente para Nova Share.
4.
5. 6.
A partir do compartilhamento de arquivos Perfil lista, selecione uma das seguintes opções: SMB Share-rápida Fornece compartilhamento SMB básico com participação plena e permissões NTFS
SMB Share-Avançado Fornece compartilhamento SMB com participação plena e NTFS permissões e acesso aos serviços prestados pelo File Server Resource Manager
SMB Compartilhar-Aplicações Fornece compartilhamento SMB com as configurações adequadas V e outras aplicações para o Hyper-
NFS Share-rápida permissões.
Compartilhamento NFS-Advanced Fornece NFS compartilhando com autenticação e permissões, além de acesso a serviços prestados pela Resource File Server Manager
Fornece compartilhamento NFS com autenticação básica e
Clique em Avançar. A selecionar o servidor eo caminho para esta página Compartilhar aparece. Selecione o servidor no qual você deseja criar o compartilhamento e selecionar um volume em o servidor ou especificar um caminho para a pasta que você deseja compartilhar. Clique em Avançar. O Especifique Compartilhar página Nome aparece. MAIS INFO
Compartilhamento NFS
Selecionando um dos perfis de compartilhamento NFS adiciona duas páginas para o assistente: Especifique Métodos de autenticação e especifique as permissões de compartilhamento. Ambas estas páginas proporcionar o acesso a funções implementadas pelo servidor de serviço de função NFS, como coberto em Objective 2.1, "Configurar Serviços de Arquivo avançada", em Exame 70-412, "Configurando 2012 Serviços Advanced Windows Server. "
7.
Na caixa de texto Nome do compartilhamento, especifique o nome que você deseja atribuir à percentagem e clique em Avançar. A página Configurar Definições Compartilhar aparece, como mostrado na Figura 2-4.
FIGURA 2-4 A página Configurar Configurações de compartilhamento do Assistente de
Novo Compartilhamento.
8.
Selecione uma ou todas as seguintes opções:
Habilitar a enumeração baseada em acesso Impede que os usuários vejam os arquivos e pastas eles não têm permissão para acessar
Permitir armazenamento em cache Permite que os usuários off-line para acessar o conteúdo do de Compartilhar compartilhamento Ativar BranchCache no compartilhamento de arquivos Permite que os servidores do BranchCache para o arquivos acessados a partir desta partilha cache
Criptografar Data Access Faz com que o servidor para criptografar o acesso ao arquivo remoto para essa parcela ENUMERATION baseada em acesso
Enumeração baseada em acesso (ABE), um recurso introduzido pela primeira vez no Windows Server 2003 R2, aplica filtros para pastas compartilhadas com base em permissões do usuário individual aos arquivos e subpastas na ação. Simplificando, os usuários que não podem acessar um determinado compartilhado recursos são incapazes de ver esse recurso na rede. Este recurso evita que os usuários de procurar por arquivos e pastas que não podem acessar. Você pode ativar ou desativar ABE para uma parte, a qualquer momento, abrindo Propriedades patrimonial da participação no compartilhamento e Console de gerenciamento do armazenamento e clicar em Avançado, para exibir a mesma Avançada caixa de diálogo exibida pelo um Assistente de pasta compartilhada. ARQUIVOS OFFLINE
Arquivos Offline, também conhecido como cache do lado do cliente, é um recurso do Windows que permite que o cliente sistemas para manter cópias locais de arquivos que eles acessam a partir de ações do servidor. Quando um cliente seleciona a opção Sempre disponível offline para um arquivo com base em servidor, pasta ou ação, o cópias do sistema do cliente os dados selecionados para a unidade local e atualizações regularmente, assim que o usuário do cliente sempre pode acessá-lo, mesmo se o servidor estiver offline. Para permitir que os clientes usar o recurso Arquivos Offline, o compartilhamento deve ter o cache caixa de seleção Permitir ação de seleccionado. Windows Server 2012 e Windows 8 também têm um novo modo sempre offline para o recurso Arquivos Offline que faz com que os clientes usem sempre a cópia em cache do servidor
arquivos, proporcionando melhor desempenho. Para implementar este modo, você deve definir o Configure lento-link definição de política de modo Grupo no cliente para um valor de 1 milésimo de segundo.
9.
Clique em Next para passar para permissões especificar para controlar página Access.
10. Modificar o compartilhamento padrão e as permissões NTFS, conforme necessário e clique em Avançar. A Confirmar Seleções página aparece. PERFIS DE AÇÕES AVANÇADAS
Selecionando um dos perfis partes avançadas acrescenta duas páginas para o assistente: Especifique Propriedades de gerenciamento de pasta e aplique uma cota para uma pasta ou volume. Ambos Estas páginas dão acesso a funções do File Server Resource Manager aplicação, conforme abordado em Objective 2.2, "Configurar Servidor de Arquivos Resource Manager (FSRM), "no Exame 70-411," Administrando o Windows Server 2012. "
11. Clique em Criar. A página Exibir resultados aparece como o assistente cria o compartilhamento. 12. Feche o Assistente de Novo Compartilhamento. Depois de criar um compartilhamento com o assistente, a nova ação aparece na telha Ações no Ações home page no Server Manager. Agora você pode usar a telha de gerir uma parte por direitoclique sobre ele e abrir sua folha de propriedades, ou clicando em Parar Compartilhamento.
Atribuindo permissões No início deste capítulo, você aprendeu sobre como controlar o acesso a um servidor de arquivos, para fornecer rede usuários com o acesso que precisam, ao mesmo tempo proteger outros arquivos contra possíveis invasões e dano, intencional ou não. Para implementar este controle de acesso, o Windows Server 2012 usa permissões. As permissões são privilégios concedidos a entidades de sistema específicos, como usuários, grupos ou computadores, permitindo-lhes realizar uma tarefa ou acessar um recurso. Por exemplo, você pode conceder uma permissão específica do usuário para ler um arquivo, apesar de negar que mesmo usuário as permissões necessárias para modificar ou excluir o arquivo. O Windows Server 2012 tem vários conjuntos de permissões, que operam independentemente uns dos outro. Para fins de compartilhamento de arquivos, você deve estar familiarizado com o funcionamento do seguintes sistemas de permissão:
As permissões de compartilhamento Controlar o acesso a pastas em uma rede. Para acessar um arquivo de mais de um de rede, o usuário deve ter permissões de compartilhamento e NTFS apropriados (apropriados permissões, se a pasta compartilhada é em um volume NTFS).
Permissões NTFS Controle o acesso aos arquivos e pastas armazenados em volumes de disco formatado com o sistema de arquivos NTFS. Para acessar um arquivo, seja no sistema local ou através de uma rede, o usuário deve ter as permissões NTFS adequadas.
Todos estes sistemas de permissão de operar independentemente um do outro, e, por vezes, se combinam para proporcionar maior protecção a um recurso específico. Para usuários de rede para ser capaz de acessar uma pasta compartilhada em uma unidade NTFS, você deve conceder-lhes tanto as permissões de compartilhamento e
Permissões NTFS. Como você viu anteriormente, você pode conceder essas permissões, como parte da ação processo de criação, mas você também pode modificar as permissões em qualquer momento depois.
Compreender a arquitetura do Windows permissão Para armazenar as permissões, cada um desses elementos tem uma lista de controle de acesso (ACL). Uma ACL é uma coleção de permissões individuais, sob a forma de entradas de controle de acesso (ACEs). Cada ACE consiste em um objeto de segurança (isto é, o nome do usuário, grupo ou computador concedido o permissões) e as permissões específicas atribuídas a essa entidade de segurança. Quando você gerenciar permissões em qualquer um dos 2.012 sistemas de permissão do Windows Server, você está, na verdade, criar e modificar as ACEs em uma ACL. Para gerenciar permissões no Windows Server 2012, você pode usar uma guia no protegidos Propriedades folha do elemento, como a mostrada na Figura 2-5, com os princípios de segurança listados na parte superior e as permissões que lhes estão associados, na parte inferior. As permissões de compartilhamento são normalmente encontrados em um guia Permissões de compartilhamento e permissões NTFS estão localizados em uma Segurança guia. Todos os sistemas de permissão Windows usam a mesma interface de base, embora o permissões si diferentes. Server Manager também fornece acesso a NTFS e share permissões usando uma interface um pouco diferente.
FIGURA 2-5 A guia Segurança da caixa de diálogo Propriedades.
Compreender as permissões básicas e avançadas As permissões de protecção de um elemento determinado sistema não são como as chaves para um bloqueio, que fornecer ou acesso completo ou nenhum acesso a todos. As permissões são projetados para ser granular, permitindo você conceda graus específicos de acesso a entidades de segurança. Para fornecer essa granularidade, cada um dos sistemas de permissão do Windows tem uma variedade de permissões que você pode atribuir a uma entidade de segurança em qualquer combinação. Dependendo do sistema de permissões que você está trabalhando, você pode ter dezenas de permissões diferentes disponível para um único elemento do sistema.
O Windows oferece combinações pré-configuradas de permissão adequadas para o mais comum as tarefas de controle de acesso. Quando você abrir a folha de propriedades de um elemento do sistema e olhar para o seu guia de segurança, as permissões NTFS que você vê são chamados permissões básicas. Permissões básicas são realmente combinações de permissões avançadas, que fornecem o controle mais granular sobre o elemento.
Antes do Windows Server 2012, permissões básicas eram conhecidos como as permissões padrão e permissões avançadas eram conhecidos como permissões especiais. Os candidatos à certificação exames devem estar cientes desses termos alternativos.
Por exemplo, o sistema de permissões NTFS tem 14 permissões avançadas que você pode atribuir para uma pasta ou arquivo. No entanto, também existem seis permissões básicas, que são diferentes combinações das 14 permissões avançadas. Na maioria dos casos, os administradores de trabalhar apenas com permissões básicas. Muitos administradores raramente, ou nunca, trabalhar diretamente com permissões avançadas. Se você achar que é necessário para trabalhar com permissões avançadas diretamente, o Windows faz com que seja possível. Quando você clicar no botão Avançado na guia Segurança de qualquer folha de propriedades, uma Caixa de diálogo Configurações de segurança avançadas, como mostrado na Figura 2-6, o que lhe permite aceder aos ACE para o elemento directamente ao sistema seleccionado. System Manager fornece acesso a a mesma caixa de diálogo Propriedades de folha através de uma ação.
Figura 2-6 A caixa de diálogo Configurações de segurança avançadas.
Permitir e negar permissões Quando você atribuir permissões a um elemento do sistema, você está, na verdade, criar um novo ACE no ACL do elemento. Existem dois tipos básicos de ACE: Permitir e Negar. Isto faz com que seja possível abordar as tarefas de gerenciamento de permissão de duas direções:
Aditivo Comece com nenhuma permissão e, em seguida, conceder permissões a Permitir indivíduo entidades de segurança para proporcionar-lhes o acesso necessário.
Subtractive Comece por conceder todas as possíveis Permitir que permissões para a segurança individual diretores, dando-lhes controle total sobre o elemento do sistema e, em seguida conceder Negar-lhes permissões para o acesso que você não quer que eles tenham.
A maioria dos administradores preferem a abordagem aditiva, porque o Windows, por padrão, as tentativas limitar o acesso a elementos importantes do sistema. Em uma hierarquia de permissões adequadamente projetado, o uso de negar permissões muitas vezes não é necessário em tudo. Muitos administradores desaprovam seu uso, porque combina Permitir e Negar permissões da mesma hierarquia pode tornar difícil a determinar as permissões efetivas para um elemento de sistema específico.
Herdando permissões O princípio mais importante na gestão de permissão é que as permissões tendem a correr para baixo através de uma hierarquia. Isso é chamado de herança de permissão. Herança de permissão significa que elementos pai passar suas permissões para baixo a seus elementos subordinados. Para exemplo, quando você concede Alice Permitir que as permissões para acessar a raiz da unidade D, todo o pastas e subpastas na unidade D herdam essas permissões, e Alice pode acessá-los.
O princípio da herança simplifica muito o processo de atribuição de permissão. Sem isso, você teria que conceder entidades de segurança individuais permitem que as permissões para todos os arquivos, pasta, partes, objeto e chave que precisam acessar. Com a herança, você pode conceder acesso a um todo sistema de arquivos através da criação de um conjunto de Permitir que permissões. Na maioria dos casos, conscientemente ou não, os administradores do sistema levar em herança conta quando projetam seus sistemas de arquivos e árvores de Serviços de Domínio Active Directory. O localização de um elemento do sistema em uma hierarquia é muitas vezes baseada em como os administradores planejam atribuir permissões. Em algumas situações, um administrador pode querer impedir que elementos subordinados de herdando permissões de seus pais. Há duas maneiras de fazer isso:
Desligue herança Quando você atribui permissões avançadas, você pode configurar uma ACE para não passar suas permissões até seus elementos subordinados. Isso efetivamente bloqueia o processo de herança.
Negar permissões Quando você atribui uma permissão Negar a um elemento do sistema, substitui qualquer Permitir que as permissões que o elemento pode ter herdado de seu objetos pai.
Compreender o acesso efetivo A entidade de segurança podem receber permissões de muitas formas, e é importante para um administrador para entender como essas permissões interagir. A combinação de Permitir Negar permissões e permissões que uma entidade de segurança recebe para um determinado elemento do sistema, se explicitamente atribuído, herdado ou recebido por meio de uma associação de grupo, é chamado de acesso efetivo para esse elemento. Porque uma entidade de segurança podem receber permissões de tão muitas fontes, não é incomum para as permissões para o conflito, de modo que as seguintes regras definem como as permissões se combinam para formar o acesso efetivo.
Permitir que as permissões são cumulativos Quando uma entidade de segurança recebe Permitir permissões de mais de uma fonte, as permissões são combinados para formar o permissões de acesso eficaz.
Negar permissões override Permitir que as permissões Quando uma entidade de segurança recebe Permitir que as permissões, seja explicitamente, por herança, ou de um grupo, você pode substituir essas permissões ao conceder o principal Negar permissões do mesmo digita.
As permissões explícitas têm precedência sobre as permissões herdadas Quando um entidade de segurança recebe permissões através da herança de um pai ou de os membros do grupo, você pode substituir essas permissões, atribuindo explicitamente contradizendo permissões para a própria entidade de segurança.
É claro que, em vez de examinar e avaliar todas as possíveis fontes de permissão, você pode simplesmente abrir a caixa de diálogo Configurações de segurança avançadas e clique na guia Acesso efetivo. Em Nessa guia, você pode selecionar um usuário, grupo ou dispositivo e veja os acesso efectivo, com ou sem a influência fornecida por grupos específicos.
Definindo permissões de compartilhamento No Windows Server 2012, as pastas compartilhadas têm o seu próprio sistema de permissões, que é completamente independente dos outros sistemas de permissão do Windows. Para os usuários da rede ações de acesso em um servidor de arquivos, você deve conceder-lhes as permissões de compartilhamento apropriadas. Por padrão, a identidade especial Todo mundo recebe a permissão de compartilhamento Controle total Permitir a qualquer novas ações que você cria. Para modificar as permissões de compartilhamento para um compartilhamento existente usando o Gerenciador de arquivos, você abre o Propriedades da folha para a pasta compartilhada, selecione a guia Compartilhamento e clique em Compartilhamento Avançado e permissões para abrir a guia Permissões de compartilhamento, como mostrado na Figura 2-7.
FIGURA 2-7 A guia Permissões de compartilhamento para uma pasta
compartilhada.
Usando esta interface, você pode adicionar objetos de segurança e permitir ou negar-lhes a três partes permissões. Para definir as permissões de compartilhamento usando o Gerenciador do Servidor, seja durante a criação de uma ação ou modificar um já existente, use o seguinte procedimento. 1.
Faça logon no Windows Server 2012 e iniciar o Gerenciador do Servidor.
2.
Clique no ícone de arquivo e serviços de armazenamento e, no submenu que aparece, clique em Ações para abrir a home page Ações.
3.
No azulejo Ações, clique com o botão direito uma parte e, no menu de atalho, selecione Propriedades. A folha de propriedades para o compartilhamento será aberta. Clique em Permissões. A página Permissões se abre.
4. 5.
6.
Clique em Personalizar permissões. A caixa de diálogo Configurações de segurança avançadas para o compartilhamento abre. Clique na guia Compartilhar para exibir a interface mostrada na Figura 2-8.
FIGURA 2-8 A guia Ações da caixa de diálogo Configurações de segurança avançadas para uma participação no
Servidor Manager.
7. 8.
9.
Clique em Adicionar para abrir a caixa de diálogo Entrada de permissão para o compartilhamento. Clique no link Selecionar um principal para exibir o Selecionar Usuário, Computador, Conta de Serviço, Ou caixa de diálogo Group. Digite o nome ou procurar a entidade de segurança para o qual você deseja atribuir permissões de compartilhamento e clique em OK. A entidade de segurança especificada aparece na Caixa de diálogo Entrada de permissão.
10. Selecione o tipo de permissões que deseja atribuir (Permitir ou Negar). 11. Marque as caixas de seleção para as permissões que deseja atribuir e clique em OK. 12. A nova ACE você acabou de criar aparece na caixa de diálogo Configurações de segurança avançadas. Ignorando as permissões de compartilhamento
Como discutido mais adiante nesta lição, muitos administradores de servidor de arquivos simplesmente deixar o Permitir Permissão de compartilhamento Controle total sobre a identidade especial Todo mundo no lugar, essencialmente
ignorando o sistema de permissão de compartilhamento, e depender exclusivamente de permissões NTFS para proteção do sistema de arquivos granular.
13. Clique em OK para fechar a caixa de diálogo Configurações de segurança avançadas. 14. Clique em OK para fechar Propriedades patrimonial da ação. 15. Feche a janela do Gerenciador do Servidor.
Compreender autorização NTFS A maioria das instalações do Windows hoje usam os sistemas de arquivos NTFS e árbitros, ao contrário de FAT32. Uma das principais vantagens do NTFS e refs é que eles suportam permissões, que FAT32 não. Conforme descrito no início deste capítulo, todos os arquivos e pastas em um NTFS ou refs unidade tem uma ACL que consiste em ACEs, cada um dos quais contém um objeto de segurança eo permissões atribuídas a esse principal.
No sistema de permissões NTFS, que refs também suporta, as entidades de segurança envolvidos são usuários e grupos, que o Windows se refere ao uso de identificadores de segurança (SID). Quando um utilizador tentativas de acesso a um arquivo ou pasta NTFS, o sistema lê o token de acesso de segurança do usuário, que contém os SIDs para a conta do usuário e todos os grupos aos quais o usuário pertence. O sistema então compara esses SIDs para os armazenados no arquivo ou ACEs da pasta, para determinar o acesso que o usuário deve ter. Este processo é chamado de autorização.
Atribuindo permissões NTFS básicos A maioria dos administradores de servidor de arquivos trabalhar com permissões NTFS básicas quase que exclusivamente por causa não há necessidade de trabalhar diretamente com permissões avançadas para controle de acesso mais comum tarefas. Para atribuir permissões NTFS básicas para uma pasta compartilhada, as opções são, essencialmente, o mesmo que com permissões de compartilhamento. Você pode abrir as Propriedades folha da pasta no File Explorer e selecione guia Segurança, ou você pode abrir folha Propriedades de uma participação no Server Manager, como no procedimento a seguir. 1. Faça logon no Windows Server 2012 e iniciar o Gerenciador do Servidor. 2.
Abra a home page Ações. Permissões NTFS
Permissões NTFS não estão limitados a pastas compartilhadas. Cada arquivo e pasta em um NTFS volume tem permissões. Embora este procedimento descreve o processo de atribuição de permissões para uma pasta compartilhada, você pode abrir a folha de propriedades para qualquer pasta em um Janela File Explorer, clique na guia Segurança, e trabalhar com as permissões NTFS no mesma maneira.
3.
Abra a folha de propriedades de um compartilhar e clique em Permissões para abrir Permissões página.
NOVA AÇÃO WIZARD
O Assistente de Nova Compartilhar exibe esta mesma interface permissões em seu Especifique permissões para controlar página de acesso. O restante deste procedimento aplica-se igualmente bem a essa página e suas caixas de diálogo subseqüentes.
4.
Clique em Personalizar permissões para abrir a caixa de diálogo Configurações de segurança avançadas para o ação, exibindo a guia Permissões, conforme mostrado na Figura 2-9. Esta caixa de diálogo é tão próximo como a interface gráfica do Windows pode vir a apresentar o conteúdo de um ACL.
FIGURA 2-9 A caixa de diálogo Configurações avançadas de segurança para uma participação no Server
Manager.
5. 6.
Clique em Adicionar. Isso abre a caixa de diálogo Entrada de permissão para o compartilhamento. Clique no link Selecionar um principal para exibir o Selecionar Usuário, Computador, Conta de Serviço, ou caixa de diálogo Group.
7.
Digite o nome ou procurar a entidade de segurança para o qual você deseja atribuir permissões de compartilhamento e clique em OK. A entidade de segurança especificada aparece na Caixa de diálogo Entrada de permissão.
8.
Na lista drop-down Tipo, selecione o tipo de permissões que deseja atribuir (Permitir ou Negar).
9.
No Aplica-se a lista suspensa, especificar quais subpastas e arquivos devem herdar a permissões que estão sendo atribuídas.
10. Marque as caixas de seleção para as permissões básicas que você deseja atribuir e clique em OK. O novo ACE você acabou de criar aparece na caixa de diálogo Configurações de segurança avançadas. 11. Clique em OK duas vezes para fechar a caixa de diálogo Configurações de segurança avançadas e as propriedades folha. 12. Feche a janela do Gerenciador do Servidor.
Atribuindo permissões NTFS avançadas No Windows Server 2012, a capacidade de gerenciar permissões avançadas está integrado no mesma interface que você usa para gerenciar permissões básicas. Na caixa de diálogo Entrada de permissão, clique em Mostrar Permissões Avançadas ligação mudanças a lista de permissões básicas para uma lista de permissões avançadas. Você pode então atribuir avançada permissões em qualquer combinação, tal como faria permissões básicas.
Combinando permissões de compartilhamento e NTFS É importante que os administradores de servidor de arquivos para entender que a permissão NTFS e share sistemas são completamente separados um do outro, e que, para os usuários da rede para acessar arquivos no uma unidade NTFS compartilhada, eles devem ter ambos os corretos NTFS e as permissões de compartilhamento corretas. As permissões de compartilhamento e NTFS atribuídas a um arquivo ou pasta podem entrar em conflito. Por exemplo, se um usuário tem a gravação NTFS e modificar permissões para uma pasta e não tem a participação de Mudança permissão, esse usuário não será capaz de modificar um arquivo nessa pasta. O sistema de permissão de compartilhamento é o mais simples dos sistemas de permissão Windows, e ele fornece apenas uma proteção básica para recursos compartilhados de rede. As permissões de compartilhamento fornecer apenas três níveis de acesso, em comparação com o muito mais complexo sistema de permissões NTFS. De modo geral, os administradores de rede preferem usar NTFS ou permissões de compartilhamento, mas não ambos. As permissões de compartilhamento oferecem proteção limitada, mas isso pode ser suficiente em alguns pequenos redes. As permissões de compartilhamento também pode ser a única alternativa em um computador com FAT32 dirige, porque o sistema de arquivos FAT não tem seu próprio sistema de permissão. Em redes já possuem um sistema bem planejado de permissões NTFS, compartilhe permissões não são realmente necessárias. Neste caso, você pode deixar o compartilhamento Controle Total permissão para Todos, substituindo a permissão de leitura padrão, e permitir que o NTFS permissões para proporcionar segurança. Adicionando permissões de compartilhamento para a mistura só complicaria o processo de administração, sem fornecer qualquer segurança adicional.
Configurando Desconto Cópias de Sombra Cópias de Sombra de Volume é um recurso do Windows Server 2012 que permite que você mantenha versões anteriores de arquivos em um servidor, de modo que se os usuários acidentalmente excluir ou substituir um arquivo, eles Pode aceder a uma cópia. Você só pode implementar cópias de sombra para um volume inteiro; você não pode selecionar ações específicas, pastas ou arquivos. Para configurar um volume do Windows Server 2012 para criar cópias de sombra, use o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios administrativos.
2.
Open File Explorer. Aparece a janela File Explorer.
3.
Na lista de pastas, expanda o recipiente de computador, clique com o botão direito em um volume e, a partir do menu de atalho, selecione Configurar Cópias de Sombra. A caixa de diálogo Cópias de Sombra
aparece, como mostrado na Figura 2-10.
FIGURA 2-10 A caixa de diálogo Cópias de Sombra.
4.
5. 6.
7.
8.
Na caixa Volume Select A, escolher o volume para o qual você deseja ativar Sombra Cópias. Por padrão, quando você habilitar cópias de sombra para um volume, o sistema usa o seguintes definições:
O sistema armazena as cópias de sombra do volume selecionado.
O sistema de reserva de um mínimo de 300 MB de espaço em disco para as cópias de sombra.
O sistema cria cópias de sombra às 7:00 h e 12:00 h todos os dias úteis. Para modificar os parâmetros padrão, clique em Configurações para abrir a caixa de diálogo Configurações. Na caixa de área de armazenamento, especifique o volume em que você deseja armazenar a sombra cópias. Especifique o tamanho máximo para a área de armazenamento, ou escolher a opção No Limit. Se o área de armazenamento torna-se preenchido, o sistema começa a exclusão do mais antigas cópias de sombra. Clique em Agendar para abrir a caixa de diálogo Agendar. Usando os controles fornecidos, você pode modificar as tarefas de cópias de sombra existentes, excluí-los ou criar novos, com base em as necessidades de seus usuários.
9.
Clique em OK duas vezes para fechar a programação e caixas de diálogo Configurações. 10. Clique em Ativar. O sistema permite que o recurso de Cópias de Sombra para o volume selecionado e cria a primeira cópia na área de armazenagem designado. 11. Fechar File Explorer. Depois de concluir este procedimento, os usuários podem restaurar versões anteriores de arquivos no volumes selecionados na guia Versões anteriores em qualquer arquivo ou folha Propriedades da pasta.
Configurando quotas de NTFS Gerenciando espaço em disco é uma preocupação constante para os administradores do servidor, e uma maneira de evitar usuários de monopolizar grande quantidade de armazenamento é a implementação de quotas. Windows Server 2012 suporta dois tipos de cotas de armazenamento. O mais elaborado dos dois é implementado como parte do File Server Resource Manager. A segunda opção, mais simples é quotas NTFS. Quotas NTFS permitem que os administradores definir um limite de armazenamento para os usuários de um determinado volume. Dependendo de como você configurar a quota, os usuários que excedam o limite pode ser negada espaço em disco ou apenas receber uma advertência. O espaço ocupado pelos utilizadores individuais é medido pelo o tamanho dos arquivos que possuem ou criam. Quotas NTFS são relativamente limitados em que você pode definir apenas um limite único para todos os usuários de um volume. O recurso também é limitado nas ações que pode tomar em resposta a um usuário excedendo o limite. As quotas em File Server Resource Manager, por outro lado, são muito mais flexível na natureza dos limites que podem ser configuradas e as respostas do programa, que pode enviar notificações por email, executar comandos e gerar relatórios, bem como eventos de log. Para configurar cotas NTFS para um volume, use o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios administrativos.
2.
Open File Explorer. Aparece a janela File Explorer.
3.
Na lista de pastas, expanda o recipiente de computador, clique com o botão direito em um volume e, a partir do menu de atalho, selecione Propriedades. Aparece a folha de propriedades para o volume. Clique na guia Cota para exibir a interface mostrada na Figura 2-11.
4.
FIGURA 2-11 O guia Cota da folha Propriedades de um volume.
5.
Marque a caixa de seleção Ativar gerenciamento de cota para ativar o resto dos controles.
6.
Se você quiser impedir que os usuários consumindo mais do que a sua quota de espaço em disco, selecionar o Negar espaço em disco para usuários caixa de seleção Limite de cota excedente.
7.
Selecione o espaço limite rígido Para opção e especifique valores para o limite de cota eo
nível de aviso. 8.
9.
Selecione as caixas de seleção de eventos de log para controlar se os usuários que excedem o especificado limites devem acionar as entradas de log. Clique em OK para criar a quota e fechar a folha de propriedades.
10. Fechar File Explorer.
Objetivo Resumo
Criando ações da pasta faz com que os dados armazenados em discos de um servidor de arquivos acessível a usuários da rede. Permissões NTFS permitem que você controle o acesso a arquivos e pastas, especificando a tarefas que os usuários individuais podem executar sobre eles. As permissões de compartilhamento fornecer rudimentar controle de acesso para todos os arquivos em um compartilhamento de rede. Os usuários da rede devem ter o permissões de compartilhamento e NTFS adequadas para acessar partes do servidor de arquivos. ABE aplica filtros para pastas compartilhadas com base nas permissões de um usuário individual para o arquivos e subpastas na ação. Simplificando, os usuários que não podem acessar um determinado recurso compartilhado são incapazes de ver esse recurso na rede.
Arquivos Offline é um recurso do Windows que permite que os sistemas de clientes para manter cópias locais de arquivos que eles aceder a partir de ações de servidor. Cópias de Sombra de Volume é um recurso do Windows Server 2012 que permite que você manter versões anteriores de arquivos em um servidor, de modo que se os usuários apagar acidentalmente ou substituir um arquivo, eles podem acessar uma cópia.
Quotas NTFS permitem que os administradores de definir um limite de armazenamento para os usuários de um determinado volume.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
2.
Qual é o número máximo de cópias de sombra que um sistema Windows Server 2012 pode manter para cada volume? A.
8
B.
16
C.
64
D.
128
Qual dos seguintes termos descreve o processo de dar-lhes acesso a arquivos ações de servidores, lendo suas permissões? A.
autenticação
3.
B.
autorização
C.
enumeração
D.
atribuição
Qual das seguintes são as tarefas que você pode executar usando as quotas em File Server Resource Manager, mas você não pode executar com quotas NTFS? A. B. C.
D. 4.
5.
Enviar uma mensagem de e-mail a um administrador quando os usuários excederem seus limites. Especificar limites de armazenamento diferentes para cada usuário. Impedir que os usuários de consumir qualquer espaço de armazenamento em um volume além do seu limite estipulado. Gerar avisos aos usuários quando eles estão próximos do limite estipulado.
No sistema de permissões NTFS, as combinações de permissões avançadas também são conhecidos como permissões de __________. A.
especial
B.
básico
C.
ação
D.
padrão
Qual das seguintes alternativas melhor define o papel da entidade de segurança no sistema de arquivos atribuições de permissão? A. A única pessoa que pode acessar um arquivo que não tem permissões que lhe foram atribuídas B. A pessoa responsável pela criação de políticas de permissão C.
A pessoa atribuindo as permissões
D.
A pessoa a quem as permissões são atribuídas
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre o objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Você está trabalhando o help desk para uma rede corporativa e você receber uma chamada de um usuário chamado Leo, que está solicitando acesso aos arquivos para um novo projeto de classificados chamada Contoso. Os arquivos da Contoso são armazenados em uma pasta compartilhada em um servidor de arquivos, que está preso em uma instalação de armazenamento de dados subterrâneo seguro. Depois de verificar que o usuário tem a habilitação de segurança adequada para o projeto, você cria um novo grupo no servidor de arquivos chamado CONTOSO_USERS e adicionar conta de usuário de Leo para que grupo. Em seguida, adicione o grupo CONTOSO_USER à lista de controle de acesso para a Trindade pasta no servidor de arquivos, e atribuir o grupo o seguinte NTFS permissões: Permitir Modificar
Permitir Ler e Executar Permitir Listar conteúdo da pasta Permitir Leitura Permitir Gravação Algum tempo depois, Leo chama-lo de volta para dizer-lhe que, embora ele seja capaz de acessar o Contoso pasta e ler os arquivos armazenados lá, ele não foi capaz de salvar as alterações de volta ao servidor. Com isto em mente, o que é a causa mais provável do problema?
Serviços de impressão Configurar e documentos: Objectivo 2.2 Como as funções de compartilhamento de arquivos discutidos na seção anterior, o compartilhamento de dispositivo de impressão é um dos as aplicações mais básicas para que as redes locais foram concebidos.
Este objectivo abrange a forma de:
Configure o Easy Print driver de impressão
Configure Empresa de Gestão de Impressão
Configure motoristas
Configurar o pool de impressão
Configurar prioridades de impressão
Configurar permissões de impressora
A implantação de um servidor de impressão Instalação, compartilhamento, monitoramento e gerenciamento de um único dispositivo de impressão em rede é relativamente simples, mas quando você é responsável por dezenas ou mesmo centenas de dispositivos de impressão em grande rede da empresa, essas tarefas podem ser esmagadora.
Compreender a arquitetura de impressão do Windows É importante entender os termos que a Microsoft usa para se referir a vários componentes da arquitetura de impressão em rede. Imprimir no Microsoft Windows normalmente envolve os quatro componentes seguintes:
Dispositivo de impressão Um dispositivo de impressão é o hardware real que produz cópia impressa documentos em papel ou outra mídia de impressão. O Windows Server 2012 suporta tanto locais dispositivos de impressão, que estão diretamente ligados às portas de computador e de interface de rede dispositivos de impressão, que são conectados à rede, diretamente ou através de outro
computador.
Impressora No Windows, uma impressora é a interface do software através do qual um computador comunica com um dispositivo de impressão. O Windows Server 2012 suporta numerosos física interfaces, incluindo a Universal Serial Bus (USB), IEEE 1394 (FireWire), paralela (LPT), serial (COM), infravermelho de Acesso a Dados (IrDA), portos Bluetooth e impressão em rede serviços, tais como LPR, Internet Printing Protocol (IPP), e portas TCP / IP padrão.
Servidor de Impressão Um servidor de impressão é um computador (ou dispositivo autônomo) que recebe impressão trabalhos de clientes e envia-los para imprimir os dispositivos que estão conectados localmente ou ligado à rede.
O driver da impressora Um driver de impressora é um driver de dispositivo que converte os trabalhos de impressão gerado por aplicações em uma string adequada de comandos para uma impressão específica dispositivo. Os drivers de impressora são projetados para um dispositivo de impressão específico e fornecer aplicações com acesso a todos os recursos do dispositivo de impressão. Nomenclatura Impressão
"Impressora" e "dispositivo de impressão" são os termos mais comumente empregados mal em Windows impressão vocabulário. Obviamente, muitas fontes usar "printer" para referir-se a impressão hardware. No entanto, no Windows, impressora e dispositivo de impressão não são equivalentes. Por exemplo, você pode adicionar uma impressora a um computador com o Windows Server 2012 sem um dispositivo de impressão física estar presente. O computador pode, então, hospedar a impressora, servidor de impressão e driver de impressora. Estes três componentes permitem que o computador para processar os trabalhos de impressão e armazená-los em uma fila de impressão até que o dispositivo de impressão está disponível.
Entender de impressão do Windows Estes quatro componentes trabalham juntos para processar os trabalhos de impressão produzidos pelo Windows aplicações e transformá-los em documentos impressos, como mostrado na Figura 2-12.
FIGURA 2-12 A arquitetura de impressão do Windows.
Antes de imprimir documentos no Windows, você deve instalar pelo menos uma impressora. Para instalar uma impressora no Windows, você deve fazer o seguinte:
Selecione o fabricante e modelo do dispositivo de impressão.
Especifique a porta (ou outra interface) o computador vai usar para acessar o dispositivo de impressão. Forneça um driver de impressora criado especificamente para esse dispositivo de impressão. Ao imprimir um documento em um aplicativo, você seleciona a impressora que será o destino para o trabalho de impressão. A impressora está associado com um controlador de impressora que utiliza os comandos gerados pela aplicação e os converte em uma linguagem de controle da impressora (PCL), uma linguagem entendida pela impressora. PCLs pode ser padronizado, como a linguagem PostScript, ou eles podem ser linguagens proprietárias desenvolvidas pelo fabricante do dispositivo de impressão. O driver da impressora permite que você configure o trabalho de impressão para utilizar os vários recursos de o dispositivo de impressão. Esses recursos são normalmente incorporados folha Propriedades da impressora. Por exemplo, o aplicativo de processamento de texto não sabe se o seu dispositivo de impressão é a cor, monocromático, ou suporta a impressão duplex. É o driver de impressora que fornece suporte para imprimir recursos do dispositivo, tais como estes.
Depois que a impressora processa um trabalho de impressão, ele armazena o trabalho na fila de impressão, conhecida como spooler. Dependendo do arranjo dos elementos de impressão, os trabalhos de spool pode estar em PCL formato, pronto para ir para o dispositivo de impressão, ou em um formato provisório, caso em que o driver da impressora deve processar os trabalhos em spool para o formato PCL antes de enviá-los para o dispositivo. Se outro postos de trabalho estão esperando para ser impresso, um novo emprego pode esperar na fila de há algum tempo. Quando o servidor finalmente envia a tarefa para o dispositivo de impressão, o aparelho lê os comandos PCL e produz o documento em papel.
Flexibilidade de impressão do Windows A flexibilidade da arquitetura de impressão do Windows se manifesta nas diferentes maneiras que você pode implantar os quatro componentes de impressão. Um único computador pode executar todas as funções (Exceto para o dispositivo de impressão, é claro), ou você pode distribuí-los através da rede. O seguintes seções descrevem quatro configurações fundamentais que são a base da maioria Implantações de impressora do Windows. Você pode dimensionar essas configurações para acomodar um rede de praticamente qualquer tamanho.
IMPRESSÃO DIRETA
A arquitetura de impressão mais simples consiste em um dispositivo de impressão conectado a um computador, também conhecido como um dispositivo de impressão ligada localmente, como mostrado na Figura 2-13. Quando você conecta um print dispositivo diretamente a um computador com Windows Server 2012 e imprimir a partir de um aplicativo em execução em Nesse sistema, o computador fornece a impressora, driver de impressora e do servidor de impressão funções.
FIGURA 2-13 Um dispositivo de impressão conectado
localmente.
Compartilhamento de impressora conectada localmente
Além de imprimir a partir de uma aplicação em execução no computador, você também pode compartilhar a da impressora (eo dispositivo de impressão) com outros usuários na mesma rede. Neste arranjo, o computador com as funções do dispositivo de impressão conectados localmente como um servidor de impressão. Figura 2-14 mostra os outros computadores na rede, os clientes de impressão.
FIGURA 2-14 Compartilhando uma impressora conectada
localmente.
No 2012 configuração de compartilhamento de impressora do Windows Server padrão, cada cliente usa o seu próprio impressora e driver de impressora. Como antes, o aplicativo em execução no computador cliente envia o imprimir trabalho para a impressora eo driver de impressora torna o trabalho, com base nos recursos do dispositivo de impressão. A principal vantagem deste arranjo impressão é que vários usuários, localizados em qualquer lugar na rede, podem enviar trabalhos para um único dispositivo de impressão, conectado a um computador que funciona como
um servidor de impressão. A desvantagem é que o processamento dos trabalhos de impressão para muitos usuários podem impor uma carga significativa no servidor de impressão. Apesar de qualquer computador com Windows pode funcionar como uma impressão servidor, você deve usar uma estação de trabalho para esse fim só quando você não tem mais do que um punhado de clientes de impressão para apoiar ou um volume de impressão muito leve. IMPRESSÃO conectado à rede
As soluções de impressão discutidos até agora envolvem dispositivos de impressão conectados diretamente a um computador usando um cabo USB ou outra porta. Dispositivos de impressão não têm necessariamente de ser anexado ao computadores, no entanto. Você pode conectar um dispositivo de impressão diretamente à rede, ao invés. Muitos modelos de dispositivos de impressão são equipados com adaptadores de interface de rede, permitindo que você conecte um cabo de rede padrão. Alguns dispositivos de impressão tem slots de expansão em que você pode instalar um adaptador de impressão de rede adquiridos separadamente. Finalmente, para dispositivos de impressão sem rede capacidades, os servidores de impressão de rede independentes estão disponíveis, o que se conectar à rede e permitir que você anexar um ou mais dispositivos de impressão. Dispositivos de impressão de forma equipados Com dispositivos têm o seu próprio IPde impressão conectados à rede, a decisão de implantação primária que a administrador deve fazer uma é decidir qual computador irá funcionar servidor de impressão. Um endereços e tipicamente interface de configuração baseada como na Web incorporado. simples, mas muitas vezes menos do que prático, a opção é deixar que cada função de cliente de impressão como a sua própria impressão servidor, como mostrado na Figura 2-15. Cada processos do cliente e spools seus próprios trabalhos de impressão, conecta-se o dispositivo de impressão usando uma porta TCP (Transmission Control Protocol) e envia os empregos diretos para o dispositivo de impressão.
FIGURA 2-15 Um dispositivo de impressão conectado à rede com vários servidores de
impressão.
Mesmo os usuários finais individuais sem assistência administrativa vai encontrar esse arranjo simples de configurar. No entanto, as desvantagens são muitos, incluindo o seguinte:
Usuários examinar a fila de impressão ver apenas seus próprios empregos. Os usuários se esquecem dos outros usuários que acessam o dispositivo de impressão. Eles não têm como saber o que outros trabalhos foram enviados para o dispositivo de impressão, ou quanto tempo será até que o dispositivo de impressão é concluída seus empregos.
Os administradores têm nenhuma maneira de gerenciar centralmente a fila de impressão, pois cada cliente tem sua própria fila de impressão. Os administradores não podem implementar recursos avançados de impressão, tais como piscinas de impressora ou administração remota. Mensagens de erro aparecem apenas no computador que originou o trabalho do dispositivo de impressão está processando. Todo o processamento de trabalhos de impressão é realizado pelo computador do cliente, em vez de ser parcialmente transferida para um servidor de impressão externo. Por estas razões, este arranjo é adequado apenas para redes de grupos de trabalho pequenos que fazem não têm dedicado os administradores que os apoiam. Compartilhamento de impressora conectada à rede
A outra opção, muito mais popular para impressão ligado à rede é para designar um computador como um servidor de impressão e use-a para atender todos os clientes de impressão na rede. Para fazer isso, você instalar uma impressora em um computador, servidor de impressão, e configurá-lo para acessar o print dispositivo diretamente através de uma porta TCP. Você, então, compartilhar a impressora, assim como você faria com um local anexada dispositivo de impressão e configurar os clientes para acessar o compartilhamento de impressão. Como você pode ver na Figura 2-16, a configuração física é exatamente o mesmo que no arranjo anterior, mas o caminho lógico os trabalhos de impressão tomar no caminho para o dispositivo de impressão é diferente. Em vez de ir direto para o dispositivo de impressão, os trabalhos vão para o servidor de impressão, o que carretéis los e envia-los para o dispositivo de impressão em ordem.
FIGURA 2-16 Um dispositivo de impressão conectado à rede com um único servidor de impressão
compartilhada.
Com este arranjo, praticamente todas as desvantagens de o servidor de impressão múltipla arranjo vantagens tornar-se, como se segue:
Todos os trabalhos do cliente são armazenadas em uma única fila de impressão, para que os usuários e os administradores podem ver uma lista completa dos trabalhos aguardando para serem impressos. Parte da carga de processamento do trabalho é deslocado para o servidor de impressão, retornando o controle da computador cliente para o usuário mais rapidamente. Os administradores podem gerenciar todos os trabalhos na fila de um local remoto. Mensagens de erro de impressão aparecem em todos os computadores clientes. Os administradores podem implementar piscinas de impressora e outros recursos avançados de impressão. Os administradores podem gerenciar a segurança, auditoria, monitoramento e funções de log a partir de uma localização central.
CONFIGURAÇÃO DE IMPRESSÃO AVANÇADAS
Os administradores podem usar as quatro configurações descritas nas seções anteriores como a construção de blocos para criar soluções de impressão para suas redes. Muitas variações possíveis podem ser usados para criar uma arquitetura de impressão em rede que suporta as necessidades da sua organização. Alguns dos possibilidades mais avançada são as seguintes:
Você pode conectar uma única impressora para vários dispositivos de impressão, criando o que é chamado de piscina impressora. Em uma rede ocupado com muitos clientes de impressão, o servidor de impressão pode distribuir um grande número de trabalhos recebidos entre vários dispositivos de impressão idênticos aos prestar um serviço mais oportuna e tolerância a falhas.
Você pode conectar vários dispositivos de impressão que suportam diferentes formas e tamanhos de papel a um único servidor de impressão, que irá distribuir as tarefas com requisitos diferentes para o dispositivos de impressão apropriadas.
Você pode conectar vários servidores de impressão em um único dispositivo de impressão. Com a criação de múltiplas Os servidores de impressão, você pode configurar diferentes prioridades, as configurações de segurança, auditoria e parâmetros de monitoramento para diferentes usuários. Por exemplo, você pode criar uma alta prioridade imprimir servidor para executivos da empresa, enquanto os usuários juniores enviar seus trabalhos para uma menor servidor de prioridade. Isso garante que os postos de trabalho dos executivos são impressos em primeiro lugar, mesmo que a servidores estãouma conectados a um mesmo dispositivo de impressão. Compartilhando
impressora Usando o Windows Server 2012 como servidor de impressão pode ser simples ou complexo, dependendo de como muitos clientes que o servidor tem para apoiar e quanto a impressão que eles fazem. Para uma casa ou pequeno rede de negócios, em que um punhado de usuários precisam de acesso ocasional para a impressora, sem especial a preparação é necessária. No entanto, se o computador tem de suportar o uso de impressora pesado, hardware upgrades, tais como em disco ou memória do sistema, pode serdedicado. necessário. Você também podeespaço considerar tornaradicional o computador um servidor de impressão Além de memória e espaço em disco, usando o Windows Server 2012 como servidor de impressão requer clock do processador ciclos, assim como qualquer outro aplicativo. Em um servidor de lidar com o tráfego pesado de impressão, outros papéis e aplicações são propensos a experimentar a degradação do desempenho substancial. Se você precisar de uma cópia servidor para lidar com o tráfego pesado, considere dedicar o computador para imprimir apenas as tarefas do servidor e Em um computador 2012,em você podelugares. compartilhar uma impressora que você está instalando, implantação de outrasWindows funções eServer aplicações outros ou pelo qualquer hora depois. Em impressoras mais antigas, iniciar o processo de instalação com o lançamento do Add Assistente da impressora a partir do painel de controle, Impressoras. No entanto, a maioria dos dispositivos de impressão sobre o mercado hoje usar uma conexão USB a um computador ou uma conexão Ethernet para um rede. No caso de uma impressora conectada via USB, você conecta o dispositivo de impressão em uma porta USB do computador e ligar o dispositivo para iniciar o processo de instalação. A intervenção manual é exigido somente quando o Windows Server 2012 não tem um driver para o dispositivo de impressão. Para dispositivos de impressão conectados à rede, um programa de instalação fornecido com o produto localiza o dispositivo de impressão na rede, instala os drivers corretos, cria uma impressora na computador e configura a impressora com o endereço IP correto e outras configurações. Depois que a impressora está instalado no computador com o Windows Server 2012 que funcionará como o servidor de impressão, você pode compartilhá-lo com os seus clientes de rede, utilizando o seguinte procedimento. 1. Faça logon no Windows Server. 2.
Abra o painel de Dispositivos e Impressoras controle. A janela Dispositivos e Impressoras aparece.
3.
Botão direito do mouse no ícone da impressora que deseja compartilhar e, a partir do menu de atalho, selecione Propriedades da impressora. Folha Propriedades da impressora aparece. PROPRIEDADES
O menu de atalho para cada impressora oferece acesso a duas folhas de propriedades. O Item de menu Propriedades da impressora abre a folha de propriedades para a impressora eo Item de menu Propriedades abre a folha de propriedades para o dispositivo de impressão.
4.
Clique na guia Compartilhamento, Selecione a caixa de seleção Compartilhar esta Impressora. O nome da impressora aparece no nome do compartilhamento caixa de texto. Você pode aceitar o nome padrão ou fornecer uma de sua preferência. Selecione uma ou mais das seguintes caixas de seleção opcionais:
5.
6.
Renderização de trabalhos de impressão em computadores cliente Minimiza a utilização de recursos em o servidor de impressão, forçando os clientes de impressão para executar a maior parte da impressão processamento. Listar no diretório Cria um novo objeto de impressora no Active Directory Domain Services (AD DS) de banco de dados, permitindo que os usuários do domínio para localizar a impressora pesquisar o diretório. Esta opção só aparece quando o computador é um membro de um domínio AD DS.
7.
Clique em Drivers adicionais para abrir a caixa de diálogo Drivers Adicionais. Esta caixa de diálogo permite que você carregue os drivers de impressora para outras plataformas Windows, como o Itanium e x86. Quando você instalar os drivers alternativos, o servidor de impressão fornece automaticamente los para clientes que executam essas versões de sistema operacional.
8.
Selecione qualquer combinação de caixas de seleção disponíveis e clique em OK. Para cada caixa de seleção você selecionar, o Windows Server 2012 exibe uma caixa de diálogo de drivers de impressora. Em cada caixa de diálogo de drivers de impressora, digite ou navegue até o local da impressora drivers para o sistema operacional selecionado e clique em OK.
9.
10. Clique em OK para fechar a caixa de diálogo Drivers Adicionais. 11. Clique em OK para fechar a folha de propriedades para a impressora. O ícone da impressora em Impressoras painel de controle agora inclui um símbolo que indica que ele foi compartilhado. 12. Feche o painel de controle. Neste ponto, a impressora está disponível para os clientes da rede.
Gerenciando drivers de impressora Os drivers de impressora são os componentes que permitem que os computadores para gerenciar os recursos de seus dispositivos de impressão. Quando você instalar uma impressora em um servidor executando o Windows Server 2012, você instalar um driver que outros computadores Windows podem usar também. Apontar e imprimir é a função do Windows que permite que os clientes acessem as impressoras instaladas em servidores de impressão. Um usuário em uma estação de trabalho pode selecionar uma impressora em um servidor eo Windows
instalar automaticamente o driver que o cliente precisa para processar os seus próprios trabalhos de impressão e enviar los a essa impressora. Os drivers de impressora que você instala no Windows Server 2012 são os mesmos drivers que o Windows estações de trabalho e outras versões do servidor de usar, com uma condição. Como uma plataforma de 64 bits, o Windows Server 2012 usa drivers de dispositivos de 64 bits, que são adequados para outros computadores com 64 bits versões do Windows. Se você tem sistemas Windows de 32 bits em sua rede, no entanto, você deve instalar um driver de 32 bits no servidor para esses sistemas de usar. A caixa de diálogo Drivers Adicionais, acessível a partir da guia Compartilhamento de Propriedades de uma impressora folha, permite que você instale drivers para outras plataformas de processadores. No entanto, você deve instalar os condutores de um computador rodando na plataforma alternativa. Em outras palavras, a instalação de um Driver de 32 bits para uma impressora em um servidor executando o Windows Server 2012, você deve acessar o folha Propriedades da impressora a partir de um computador executando a versão de 32 bits do Windows. Você pode fazer isso acedendo à impressora diretamente através da rede usando o File Explorer, ou executando o Snap-in Gerenciamento de Impressão no sistema de 32 bits e usá-lo para gerenciar seu Windows Server 2012 servidor de impressão.
A instalação de drivers Para o servidor para fornecer drivers de suporte de diferentes plataformas para computadores cliente, você deve certificar-se ao instalar os drivers para o mesmo dispositivo de impressão que eles têm a exatamente o mesmo nome. Por exemplo, o Windows Server 2012 irá tratar "HP LaserJet 5200 PCL6" e "HP LaserJet 5200 PCL 6", como dois pilotos completamente diferentes. Os nomes devem ser idênticas para o servidor para aplicá-los corretamente.
Usando o acesso remoto Easy Print Quando um cliente Remote Desktop Services se conecta a um servidor, ele executa aplicativos usando o processador do servidor (s) e memória. No entanto, se esse cliente quer imprimir um documento a partir de um dessas aplicações, quer o trabalho de impressão para ir para o dispositivo de impressão conectado ao cliente computador. O componente que permite que os clientes de desktop remoto para imprimir em seus dispositivos de impressão locais é chamado Easy Print. Easy Print assume a forma de um driver de impressora que está instalado no servidor juntamente com o serviço de função do Host da Sessão Remote Desktop. O Remote Desktop Easy Driver de impressão aparece no Print Management snap-in automaticamente, mas ele não está associado com um dispositivo de impressão específico. Em vez disso, o condutor funciona como um redirecionador, permitindo que o servidor para acessar as impressoras nos clientes conectados. Easy Print não requer nenhum outro do que a instalação do Remote Desktop configuração Função de serviços. No entanto, quando estiver operacional, fornece o administrador do servidor com acesso adicional às impressoras nos clientes de desktop remoto. Quando um cliente Remote Desktop se conecta a um servidor, usando o Remote Desktop Connection programa ou o site Web Access RD, as impressoras instaladas no sistema do cliente é redirecionado para
o servidor e aparecem na Gestão de Impressão impressoras redirecionadas como servidor do snap-in, como mostrado na Figura 2-17.
FIGURA 2-17 Impressoras redirecionadas por Easy Print em um servidor de Remote Desktop.
Um cliente executando um aplicativo no servidor, portanto, pode imprimir em um dispositivo de impressão local usando a impressora redirecionada. Os administradores também podem abrir a folha de propriedades para o redirecionado impressora no gerenciador de costume e manipular suas configurações.
Configurando a segurança de impressora Como as ações da pasta, os clientes devem ter as permissões adequadas para acessar uma impressora compartilhada. Impressora permissões são muito mais simples do que as permissões NTFS; eles basicamente ditar se os usuários são permissão para usar apenas a impressora, gerenciar documentos apresentados para a impressora, ou gerenciar o propriedades da própria impressora. Para atribuir permissões para uma impressora, utilize o seguinte procedimento. 1. Faça logon no Windows Server 2012 usando uma conta de domínio com privilégios de administrador. 2.
Abra Painel de Controle e selecione Hardware> Dispositivos e Impressoras. Os dispositivos e Aparece a janela Impressoras.
3.
Botão direito do mouse em um dos ícones da impressora na janela e, no menu de atalho, selecione Propriedades da impressora. Folha Propriedades da impressora aparece.
4.
Clique na aba Segurança. A metade superior da tela lista todos os objetos de segurança atualmente possuir permissões para a impressora selecionada. Lista A metade inferior da permissões detidas pela entidade de segurança selecionada.
5.
Clique em Adicionar. Selecionar Usuários, aparece a caixa de diálogo de computadores ou grupos. Na caixa de texto Digite os nomes de objeto a serem selecionados, digite um nome de usuário ou grupo, e em seguida, clique em OK. O usuário ou grupo aparece no grupo ou lista de nomes de usuário. Selecione o objeto de segurança que você adicionou, e marque ou desmarque as caixas de seleção na metade inferior do visor para permitir ou negar o usuário qualquer das permissões básicas.
6.
7.
8.
Clique em OK para fechar a folha de propriedades.
9.
Feche o painel de controle.
Como as permissões NTFS, existem dois tipos de permissões de impressora: básica e avançada. Cada dos três permissões básicas consiste de uma combinação de permissões avançadas.
Gerenciamento de documentos Por padrão, todas as impressoras atribuir a permissão Permitir Imprimir para a identidade especial Todos, que permite que todos os usuários acessem a impressora e gerenciar seus próprios documentos. Os usuários que possuem Permitir Gerenciar Documentos permissão pode gerenciar documentos quaisquer dos usuários. Gerenciamento de documentos refere-se a fazer uma pausa, retomar, reiniciar e cancelar documentos que estão atualmente aguardando em uma fila de impressão. O Windows Server 2012 fornece uma fila de impressão janela para cada impressora, que permite aos usuários visualizar os trabalhos que estão aguardando para ser impresso. Para gerenciar documentos, utilize o seguinte procedimento. 1.
Faça logon no Windows Server 2012.
2.
Abra Painel de Controle e selecione Hardware> Dispositivos e Impressoras. Os dispositivos e Aparece a janela Impressoras.
3.
Botão direito do mouse em um dos ícones da impressora e, no menu de atalho, selecione Ver O que é Impressão. A janela da fila de impressão nomeado para a impressora aparece, como mostrado na Figura 2 18.
FIGURA 2-18 Uma janela do Windows Server 2012 fila de impressão.
4.
Selecione um dos itens do menu para executar a função associada.
5.
Feche a janela da fila de impressão.
6.
Feche o painel de controle.
Gerenciando impressoras Usuários com o Permitir Gerenciar Esta permissão Printer pode ir além da manipulação na fila documentos; eles podem reconfigurar a própria impressora. Gerenciando uma impressora refere-se a alterar a parâmetros operacionais que afetam todos os usuários e controlar o acesso à impressora. Geralmente, a maioria das tarefas baseadas em software que se enquadram na categoria de gestão de um impressora estão aqueles que você executar uma vez durante a configuração da impressora pela primeira vez. Do dia-a-dia gerenciamento da impressora é mais provável que envolvem a manutenção física, como a eliminação de atolamentos de impressão,
recarregar papel, e mudando de cartuchos de toner ou de tinta. No entanto, as seguintes seções examinar algumas das tarefas de configuração típica do gerente da impressora.
Definindo prioridades da impressora Em alguns casos, você pode querer dar a certos usuários em sua organização acesso prioritário a um dispositivo de impressão, de modo que quando o tráfego de impressão é pesado, seus trabalhos são processados antes as de outros usuários. Para fazer isso, você deve criar várias impressoras, associá-los com o mesmo dispositivo de impressão, e, em seguida, modificar as prioridades, tal como descrito no procedimento a seguir. 1. Faça logon no Windows Server 2012 usando uma conta com o Gerenciar Esta Impressora permissão. 2.
Abra Painel de Controle e selecione Hardware> Dispositivos e Impressoras. Os dispositivos e Janela Impressoras será aberta.
3.
Botão direito do mouse em um dos ícones da impressora e, em seguida, no menu de atalho, selecione Impressora Propriedades. Aparece a folha de propriedades para a impressora. Clique na guia Avançado, como mostrado na Figura 2-19.
4.
FIGURA 2-19 A guia Avançado da folha Propriedades de uma impressora.
5.
Definir caixa de rotação a prioridade para um número que representa a mais alta prioridade que deseja definir para a impressora. Os números mais altos representam prioridades mais altas. O mais alto possível prioridade é 99.
PRIORIDADES DA IMPRESSORA
Os valores da caixa de rotação a prioridade não têm qualquer significado absoluto; eles são pertinente apenas em relação ao outro. Enquanto uma impressora tem uma prioridade maior valor do que o outro, o servidor irá processar os seus trabalhos de impressão pela primeira vez. Em outras palavras, não faz importa se o valor de prioridade mais elevado é de 9 ou 99, desde que o valor de prioridade mais baixa é menor.
6.
Clique na aba Segurança.
7.
Adicione os usuários ou grupos que você deseja fornecer acesso de alta prioridade para o impressora e atribuir a permissão Permitir Imprimir a eles.
8.
Revogar a permissão Permitir Imprimir no identidade especial Todos.
9.
Clique em OK para fechar a folha de propriedades.
10. Criar uma impressora idêntica usando o mesmo driver de impressora e apontando para o mesmo dispositivo de impressão. Deixe a definição de prioridades em seu valor padrão de 1 e deixe o padrão permissões em vigor. 11. Renomeie as impressoras, especificando a prioridade atribuída a cada um. 12. Feche Painel de Controle. Informar os usuários privilegiados que devem enviar seus trabalhos para a impressora de alta prioridade. Tudo trabalhos enviados para essa impressora será processado antes de aqueles enviados para o outro, menor impressora de prioridade.
Criando um pool de impressão Como mencionado anteriormente, um pool de impressão aumenta a capacidade de produção de uma única impressora conectá-lo a vários dispositivos de impressão. Quando você cria um pool de impressão, o servidor de impressão envia cada trabalho de entrada para o primeiro dispositivo de impressão verificar que não está ocupado. Isso distribui de forma eficaz Para configurar umentre pool os de dispositivos impressão, use o seguintedisponíveis, procedimento. os postos de trabalho de impressão proporcionando aos usuários um serviço mais rápido. 1. Faça logon no Windows Server 2012 usando uma conta com a permissão Gerenciar impressoras. 2.
Abra Painel de Controle e selecione Hardware> Dispositivos e Impressoras. Os dispositivos e Janela Impressoras será aberta.
3.
Botão direito do mouse em um dos ícones da impressora e, em seguida, no menu de atalho, selecione Impressora Propriedades. Aparece a folha de propriedades para a impressora. Clique na guia Portas.
4. 5. 6. 7.
Selecione todas as portas para que os dispositivos de impressão estão conectados. Marque a caixa de seleção Ativar o pool de impressoras e, em seguida, clique em OK. Feche o painel de controle.
Para criar um pool de impressão, você deve ter pelo menos dois dispositivos de impressão idênticos, ou, pelo menos, de impressão dispositivos que usam o mesmo driver de impressora. Os dispositivos de impressão tem de estar na mesma localização, porque não há nenhuma maneira de saber qual dispositivo de impressão irá processar um determinado documento. Você deve
também conectar todos os dispositivos de impressão na piscina ao mesmo servidor de impressão. Se o servidor de impressão é um Computador com o Windows Server 2012, você pode conectar os dispositivos de impressão para todos os portos viáveis.
Usando o Serviços de Impressão e Documentos papel Todos os recursos de compartilhamento de impressora e de gestão discutidos nas seções anteriores são disponível no computador com o Windows Server 2012 qualquer em sua configuração padrão de instalação. No entanto, a instalação de impressão e papel Document Services no computador fornece adicional ferramentas que são particularmente úteis para os administradores envolvidos com a impressão em rede em um escala empresarial.
Quando você instala o papel de impressão e Document Services usando Adicionar Funções do Server Manager e Recursos Wizard, uma página Selecionar Serviços de Função aparece, permitindo que você selecione a partir da as seguintes opções: Servidor de Impressão Instala o console de gerenciamento de impressão para a Gestão da Microsoft Console (MMC), que permite aos administradores de implantar, monitorar e gerenciar impressoras em toda a empresa.
Servidor de Digitalização Distribuída Permite que o computador para receber os documentos de scanners de rede baseado em e encaminhá-los para os usuários apropriados. Internet Printing Cria um site que permite aos usuários na Internet para enviar impressão empregos para impressoras compartilhadas do Windows.
Serviço LPD Permite que os clientes UNIX executando o controle remoto de impressora de linha de programa (LPR) para enviar seus trabalhos de impressão para impressoras do Windows. Como sempre, o Windows Server 2012 adiciona um novo ícone para o painel de navegação do Gerenciador do Servidor quando você instala um papel. O Print Services home page contém uma exibição filtrada de impressão relacionada entradas de log de eventos, um display de status para os serviços do sistema relacionada com a função e serviços de função e O Gerenciamento de Impressão snap-in MMC, uma ferramenta administrativa, consolida os controles contadores de desempenho. para os componentes de impressão em toda a empresa em um único console. Com esta ferramenta, você pode acessar as filas de impressão e folhas de propriedades para todas as impressoras de rede no empresa, implantar impressoras para computadores clientes usando a Diretiva de Grupo, e criar visualizações personalizadas que simplificam o processo de detecção de dispositivos de impressão que necessitam de atenção devido a erros ou consumíveis esgotados. O Windows Server 2012 instala o console de gerenciamento de impressão quando você adicionar a impressão e Serviços documento papel para o computador. Você também pode instalar o console sem o papel por adicionar o Serviços de Impressão e Documentos característica Ferramentas, encontrado em servidor remoto Ferramentas de Administração> Ferramentas de Administração de Funções em Adicionar Funções e Recursos Wizard. As seções a seguir demonstram algumas das tarefas de administração que podem ser executadas com o console de Gerenciamento de Impressão.
Adicionando servidores de impressão Por padrão, o console de gerenciamento de impressão exibe apenas a máquina local na sua lista de impressão servidores. Cada servidor de impressão tem quatro nós por baixo, como mostrado na Figura 2-20, listando os motoristas, formas, portos e impressoras associadas a esse servidor.
FIGURA 2-20 Um servidor de impressão exibidas no console de Gerenciamento de
Impressão.
Para gerenciar outros servidores de impressão e suas impressoras, você deve adicioná-los para o console, usando o seguinte procedimento. 1. Faça logon no Windows Server 2012 e iniciar o Gerenciador do Servidor. 2.
7.
Clique em Ferramentas> Gerenciamento de Impressão para abrir o console de Gerenciamento de Impressão. Botão direito do mouse o nó Servidores de Impressão e, no menu de atalho, clique em Adicionar / Remover Servidores para abrir a caixa de diálogo Adicionar / Remover Servidores. Na caixa Especifique Print Server, clique em Procurar. A caixa de diálogo Selecionar servidor de impressão se abre. Selecione o servidor de impressão que você deseja adicionar ao console e clique em Select Server. O servidor selecionado aparece na caixa de texto Adicionar servidor em Adicionar / Remover Servidores caixa de diálogo. Clique em Adicionar à lista. O servidor selecionado aparece na lista de servidores de impressão. Clique em OK. O servidor aparece sob o nó Servidores de Impressão.
8.
Feche o painel de controle.
3.
4. 5.
6.
Agora você pode gerenciar as impressoras associadas com o servidor que você adicionou ao console.
Visualizando impressoras Um dos grandes problemas para os administradores de impressão em redes de grandes empresas é manter o controle de dezenas ou centenas de dispositivos de impressão, todos em uso frequente, e toda a atenção que necessitam de uma base regular. Se a manutenção necessária é uma grande reparação, reposição de tinta ou toner, ou basta preencher as bandejas de papel, dispositivos de impressão não vai chamar a atenção de que necessitam até que um administrador está ciente do problema. O console de gerenciamento de impressão fornece uma infinidade de maneiras de ver a impressão componentes associados com os servidores de impressão na rede. Para criar pontos de vista, o console
tem a lista completa de impressoras e aplica vários filtros para isso, selecionar quais impressoras visor. Sob o nó de filtros personalizados, há quatro filtros padrão, como segue:
Todas as impressoras Contém uma lista de todas as impressoras hospedado por todos os servidores de impressão adicionadas para o console Todos os Drivers Contém uma lista de todos os drivers de impressora instalados em todas as letras servidores adicionados ao console Impressoras não está pronta Contém uma lista de todas as impressoras que não estão relatando um estado Pronto
Impressoras Com Jobs Contém uma lista de todas as impressoras que atualmente têm empregos esperando na fila de impressão Visto como Printer Not Ready são uma forma útil para os administradores a identificar as impressoras que precisam de atenção, sem ter que procurar servidores de impressão individuais ou busca através de uma longa lista de cada impressora na rede. Além desses padrões, você pode criar seu próprio costume filtros.
Gerenciando impressoras e servidores de impressão Depois de ter utilizado vistas filtradas para isolar as impressoras que você deseja examinar, selecionar um impressora exibe seu status, o número de postos de trabalho atualmente em sua fila de impressão e nome do servidor de impressão que o hospeda. Se você clicar com o botão direito do filtro no painel de escopo e selecione Mostrar Ver a partir do menu de atalho, aparece um painel adicional que contém o conteúdo da a fila da impressora selecionada. Você pode manipular os trabalhos em fila, tal como faria a partir da impressão Fila janela no console do servidor de impressão. O console de Gerenciamento de impressão também permite aos administradores acessar a configuração interface para qualquer impressora ou servidor de impressão que aparecem em qualquer um dos seus monitores. Clicando com o botão direito uma impressora ou servidor de impressão em qualquer lugar na interface do console e, em seguida, selecionando Propriedades no menu de atalho exibe a mesma folha de propriedades que você veria no computador do servidor de impressão si. Os administradores podem configurar impressoras e servidores de impressão sem ter que viajar para o site do servidor de impressão ou estabelecer uma conexão Remote Desktop para o servidor de impressão.
Implantando impressoras com Diretiva de Grupo Configurando um cliente de impressão para acessar uma impressora compartilhada é uma simples questão de navegar na rede ou a árvore AD DS e selecionar a impressora. No entanto, quando você tem que configurar centenas ou milhares de clientes de impressão, a tarefa se torna mais complicada. AD DS ajuda a simplificar a processo de implantação de impressoras a um grande número de clientes. A publicação de impressoras no banco de dados do AD DS permite que os usuários e administradores a procurar impressoras por nome, localização ou modelo (se você preencher a localização eo modelo campos na objeto de impressora). Para criar um objeto de impressora na base de dados do AD DS, você pode selecionar a lista Na caixa de seleção Diretório ao compartilhar a impressora ou clique com o botão direito em uma impressora na impressão Console de gerenciamento e, no menu de atalho, selecione Lista Em Directory.
Para usar o AD DS para implantar impressoras para os clientes, você deve configurar as políticas adequadas em um Group Policy Object (GPO). Você pode vincular um GPO para qualquer domínio, site ou unidade organizacional (OU) na árvore do AD DS. Quando você configura uma GPO para implantar uma impressora, todos os usuários ou computadores Para implantar a Política de Grupo, use o seguinte procedimento. nesse domínio, siteimpressoras ou unidade com organizacional receberão a conexão da impressora quando iniciar sessão, por padrão. 1. Faça logon no Windows Server 2012 usando uma conta de domínio com privilégios de administrador. A janela do Gerenciador do Servidor será aberta. 2.
Abra o console Gerenciamento de Impressão.
3.
Botão direito do mouse uma impressora no painel de escopo do console e, no menu de atalho, selecione Implantar com Diretiva de Grupo. A caixa de diálogo Implantar com Diretiva de Grupo aparece, como mostrado na Figura 2-21.
FIGURA 2-21 A caixa de diálogo Implantar com Diretiva de Grupo.
4.
Clique em Procurar para abrir a procurar uma caixa de diálogo de GPO.
5.
Selecione o GPO que você deseja usar para implantar a impressora e clique em OK. O GPO você aparece selecionado no campo Nome do GPO.
6.
Marque a caixa de seleção apropriada para selecionar se deseja implantar a impressora com os usuários associado ao GPO, os computadores, ou ambos, e, em seguida, clique em Adicionar. O novo associações de impressora / GPO aparecer na tabela. Implantando a impressora para os usuários significa que todos os usuários associados ao GPO receberá a conexão da impressora, não importa que computador que eles usam para fazer logon. Implementando a impressora para os computadores significa que todos os computadores associados com GPO receberá a conexão da impressora, não importa o que fizer logon no-las.
7.
Clique em OK. Uma caixa de mensagem Gestão de Impressão aparece, informando que a operação foi bem sucedido.
8.
Clique em OK e, em seguida, clique em OK novamente para fechar a caixa de diálogo Implantar com Diretiva de Grupo. Feche o painel de controle.
9.
A próxima vez que os usuários que executam o Windows Server 2008 ou posterior e Windows Vista ou posterior que estão associados com o GPO atualizar suas políticas ou reiniciar, eles vão receber o novo configurações e que a impressora aparecerá no painel de controle, Impressoras.
PushPrinterConnections.exe Os clientes que executam versões anteriores do Windows, incluindo Windows XP e Windows Server 2003, não suporte a implementações de impressoras automáticas baseadas em políticas. Para permitir que o GPO para implantar impressoras nesses computadores, você deve configurar o sistema para executar um utilitário chamado PushPrinterConnections.exe. A maneira mais conveniente de fazer isso é configurar o mesmo GPO que você usou para a implantação da impressora para executar o programa a partir de um script de logon do usuário ou roteiro máquina.
Objetivo resumo
Imprimir no Microsoft Windows normalmente envolve as quatro componentes seguintes: print dispositivo, impressora, servidor de impressão e driver de impressão.
A forma mais simples de arquitetura de impressão consiste em um dispositivo de impressão conectado a um computador, conhecido como um dispositivo de impressão conectado localmente. Você pode compartilhar esta impressora (e o dispositivo de impressão) com outros usuários na mesma rede. Com dispositivos de impressão conectados à rede, implantação primário do administrador decisão é o computador que vai funcionar como servidor de impressão.
Remote Desktop Easy Print é um driver que permite que clientes de desktop remoto em execução aplicativos em um servidor para redirecionar os seus trabalhos de impressão de volta para seus dispositivos de impressão locais. Permissões de impressora são muito mais simples do que as permissões NTFS; eles basicamente ditar se os usuários estão autorizados a usar apenas a impressora, gerenciar documentos apresentados para a impressora, ou administrar as propriedades da própria impressora.
O Gerenciamento de Impressão snap-in do MMC é uma ferramenta administrativa que consolida os controles para os componentes de impressão em toda a empresa em um único console.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
Qual dos seguintes termos descreve a interface do software através do qual um computador se comunica com um dispositivo de impressão? A.
Impressora
B. C.
Servidor de Impressão O driver da impressora
D.
Snap-in Gerenciamento de Impressão
2.
Você está a criação de um pool de impressão em um computador com o Windows Server 2012. A piscina impressora contém três dispositivos de impressão, todas idênticas. Você abre a caixa de diálogo Propriedades caixa para a impressora e selecione a opção Ativar Pooling de Impressora na guia Portas. O que você deve fazer a seguir? A.
Configure a porta LPT1 para suportar três impressoras.
B.
Selecione ou crie as portas mapeadas para as três impressoras.
C.
Na guia Configurações do dispositivo, configurar as opções instaláveis para suportar dois dispositivos de impressão adicionais.
D.
Na guia Avançado, configure a prioridade para cada dispositivo de impressão, de modo que a impressão é distribuídos entre os três dispositivos de impressão. 3. Um de seus dispositivos de impressão não está funcionando corretamente, e você quer temporariamente impedir que usuários enviem trabalhos para a impressora que serve esse dispositivo. O que você deve fazer? A. Interromper o compartilhamento de impressora B. Remova a impressora do Active Directory
4.
5.
C.
Mude a porta da impressora
D.
Mudar o nome da ação
Você está administrando um computador com o Windows Server 2012 configurado como uma impressão servidor. Os usuários do grupo de Marketing reclamam que não pode imprimir documentos usando uma impressora no servidor. Você ver as permissões nas propriedades da impressora. O Grupo de Marketing é permitido gerenciar documentos permissão. Por que os usuários não podem imprimir para a impressora? A.
O grupo Todos devem ter a permissão Gerenciar Documentos.
B.
O grupo de administradores deve ser concedida a permissão Gerenciar Impressoras.
C.
O grupo de Marketing deve ser concedida a autorização de impressão.
D.
O grupo de Marketing deve ser concedida a permissão Gerenciar Impressoras.
Você está administrando um servidor de impressão com o Windows Server 2012. Você quer executar a manutenção em um dispositivo de impressão fisicamente conectado ao servidor de impressão. Lá vários documentos na fila de impressão. Você quer evitar que os documentos de sendo impresso na impressora, mas você não quer que os usuários tenham de voltar a apresentar o documentos para a impressora. Qual é a melhor maneira de fazer isso? A.
B.
Abra a caixa de diálogo Propriedades da impressora, selecione a guia Compartilhamento e, em seguida, selecione o Não compartilhar Esta opção Impressora. Abra a caixa de diálogo Propriedades da impressora e selecione uma porta que não está associado com um dispositivo de impressão.
C.
Abra a janela de fila da impressora, selecione o primeiro documento e selecione Pause da janela do documento.
D.
Abra a janela de fila da impressora e selecione a opção Pausar impressão a partir do Menu Impressora.
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre o objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Você é um técnico de suporte de desktop para um escritório de advocacia com um grupo de dez legal secretários que prestam apoio administrativo aos advogados. Todo o secretários usar um compartilhado, impressora a laser único, de alta velocidade que está ligado a um servidor de impressão dedicado do Windows. Os secretários imprimir várias cópias de grande documentos numa base regular e, embora a impressora a laser é rápido, que é mantida funcionando quase constantemente. Às vezes, os secretários têm que esperar 20 minutos ou mais depois de enviar um trabalho de impressão para os seus documentos para chegar ao topo do fila. O gerente do escritório se ofereceu para comprar impressoras adicionais para o departamento. No entanto, os secretários estão acostumados a simplesmente clicar em Imprimir e, em Não gosto da idéia de ter que examinar várias filas de impressão para determinar quais um tem o menor número de postos de trabalho antes de enviar um documento. Com isto em mente, responda a seguinte pergunta: O que você pode fazer para fornecer o departamento com uma solução de impressão que irá permitir que os secretários de utilizar impressoras adicionais de forma mais eficiente?
Objetivo 2.3: Configurar servidores para remoto gestão O Windows Server 2012 foi projetado para facilitar o gerenciamento de servidor remoto, de modo que administradores raramente ou nunca ter que trabalhar diretamente no console do servidor. Isso conserva servidor recursos que podem ser melhor dedicados a aplicações.
Este objectivo abrange a forma de:
Configure WinRM
Configure o gerenciamento de servidores de nível inferior Configurar servidores para tarefas de gestão do dia-a-dia
Configurar o gerenciamento de vários servidores
Configure Server Core
Configurar o Firewall do Windows
Usando o Gerenciador de servidores para gerenciamento remoto Server Manager tem sido a ferramenta de administração do servidor primário para o Windows Server desde Windows Server 2003. A melhoria mais óbvia para a ferramenta Gerenciador de Servidores no Windows Server 2012 é a capacidade de realizar tarefas administrativas em servidores remotos, bem como sobre a sistema local. Quando você faz logon em uma instalação de GUI do Windows Server 2012 com uma administrativa conta, as cargas do Server Manager automaticamente, exibindo a telha de boas vindas. O Server Manager interface consiste em um painel de navegação à esquerda que contém ícones que representam vários pontos de vista de recursos do servidor. Selecionando um ícone exibe uma página inicial no painel da direita, que consiste em um número de telhas que contêm informações sobre o recurso. A página Painel, que é exibida por padrão, contém, além da telha Bem-vindo, miniaturas que resumem a outros modos de exibição disponíveis no Server Manager. Esses outros pontos de vista incluem uma página para o servidor local, uma para todos os servidores, e outros para grupos de servidores e grupos de funções.
Adicionando servidores A principal diferença entre o Windows Server 2012 Server Manager e anterior versões é a capacidade de adicionar e gerenciar vários servidores ao mesmo tempo. Apesar de apenas a locais servidor aparece no Server Manager quando você executá-lo, você pode adicionar outros servidores, permitindo você gerencie-los juntos. Os servidores que você adicionar pode ser física ou virtual, e pode ser executando qualquer versão do Windows Server desde o Windows Server 2003. Depois de adicionar servidores para a interface, você pode criar grupos contendo coleções de servidores, como os servidores em um determinado local ou aqueles que realizam uma função particular. Estes grupos aparecem na painel de navegação, permitindo que você administrá-los como uma única entidade. Para adicionar servidores no Server Manager, use o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com privilégios administrativos. Será exibida a janela Gerenciador de servidores.
2.
No painel de navegação, clique no ícone de todos os servidores para abrir a home page todos os servidores. No menu Gerenciar, selecione Adicionar Servidores para abrir a caixa de diálogo Adicionar Servidores. Selecione uma das seguintes guias para especificar como você deseja localizar servidores para adicionar: Active Directory Permite pesquisar por computadores que executam operacional específico sistemas em locais específicos no domínio AD DS local.
3. 4.
5.
DNS Permite procurar servidores em seu domínio actualmente configurado Name System (DNS).
Importação Permite que você fornecer um arquivo de texto contendo os nomes ou endereços IP de os servidores que você deseja adicionar.
Iniciar uma pesquisa ou fazer upload de um arquivo de texto para exibir uma lista de servidores disponíveis.
6.
Selecione os servidores que deseja adicionar e clique no botão seta para a direita para adicioná-los à Lista Selecionado, como mostrado na Figura 2-22.
FIGURA 2-22 Seleção de servidores no Server Manager.
7. 8.
Clique em OK. Os servidores selecionados são adicionados à home page todos os servidores. Feche o console Manger Server.
Depois de adicionar servidores remotos para a interface do Gerenciador do Servidor, que aparecem na Todos home page Servers. Em seguida, pode aceder-los em uma variedade de formas, dependendo da versão do Windows o servidor remoto está sendo executado.
Gerenciando servidores Windows Server 2012 Quando você adiciona os servidores que executam o Windows Server 2012 para o Server Manager, você pode imediatamente começar a usar para Adicionar Funções e Recursos Assistente para instalar funções e recursos em qualquer um dos servidores que você adicionou. Você também pode realizar outras tarefas administrativas, tais como a configuração de placa de rede (NIC) agrupamento e reiniciar o servidor, porque o Gerenciamento remoto do Windows (WinRM) é ativado por padrão no Windows Server 2012.
CONFIGURAÇÃO WINRM
WinRM permite aos administradores gerenciar um computador de um local remoto usando ferramentas baseado em Windows Management Instrumentation (WMI) e Windows PowerShell. Se o definição WinRM padrão foi modificado, ou se você quiser mudá-lo manualmente, você pode fazê-lo através da interface do Gerenciador do Servidor. Na home page do servidor local, o azulejo Propriedades contém uma gestão remota indicador que especifica estado WinRM atual do servidor. Para alterar o estado WinRM, clique no Hyperlink gerenciamento remoto para abrir a caixa de diálogo Gerenciamento Remoto Configure.
Limpando a habilitar o gerenciamento remoto deste servidor de outros computadores a caixa de seleção desabilita WinRM, e selecionando a caixa de seleção permite que ele.
Usando PowerShell Para gerir WinRM de uma sessão PowerShell, como no caso de um computador com um servidor Instalação de Núcleo, use o seguinte comando:
-Obter Exibe o status atual WinRM
-Habilitar
-Desativar Desativa WinRM
Permite WinRM
Configurando o Firewall do Windows
No entanto, se você tentar iniciar snap-ins como alvo um servidor remoto, como o Console de gerenciamento do computador, você receberá um erro por causa das padrão do Windows Configurações de firewall no Windows Server 2012. MMC utiliza o Distributed Component Object Model (DCOM) para gerenciamento remoto, em vez de WinRM, e essas configurações não são ativadas por padrão.
Para resolver este problema, você deve ativar as seguintes regras do Firewall do Windows de entrada na o servidor remoto que você deseja gerenciar:
COM + Network Access (DCOM-In)
Evento Remoto Log Management (NP-In)
Evento Remoto Log Management (RPC)
Evento Remoto Log Management (RPC-EPMAP)
Para modificar as regras de firewall no sistema remoto, você pode usar qualquer um dos seguintes métodos:
Abra o Firewall do Windows com Segurança Avançada do MMC snap-in do controle remoto servidor (isto é, se uma instalação completa GUI).
Execute o comando Netsh advfirewall a partir de um prompt de comando administrativo.
Use o módulo NetSecurity no Windows PowerShell.
Criar um GPO que contém as configurações adequadas e aplicá-lo para o servidor remoto. Usando PowerShell
Para configurar as regras de Firewall do Windows necessárias para o gerenciamento de servidor remoto usando DCOM em uma instalação Server Core, você pode usar o seguinte Windows PowerShell sintaxe:
Para obter os nomes PowerShell para as regras pré-configuradas no Firewall do Windows, você pode usar o comando Get-NetFirewallRule. A resultante comandos para habilitar os quatro regras listadas anterior são, por conseguinte, como se segue:
Para o administrador interessado em soluções de gerenciamento remoto, a Diretiva de Grupo método oferece vantagens distintas. Não só permitem configurar o firewall o sistema remoto sem acessar o console do servidor diretamente, mas também também pode configurar o firewall em instalações Server Core sem ter que trabalhar a partir da linha de comando. Finalmente, e possivelmente o mais importante para as grandes redes, você pode usar a Diretiva de Grupo para configurar o firewall em todos os servidores que você deseja gerenciar ao mesmo tempo. Para definir as configurações do Firewall do Windows usando a Diretiva de Grupo, use o seguinte procedimento. Este procedimento pressupõe que o servidor é um membro de um domínio AD DS e tem o Grupo Recurso de Gerenciamento de Política instalado. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com privilégios administrativos. Será exibida a janela Gerenciador de servidores.
2.
Abra o console de Gerenciamento de Diretiva de Grupo e criar um novo GPO, dando-lhe um nome como configuração de Firewall Server.
3.
Abra o GPO que você criou usando o Editor de Gerenciamento de Diretiva de Grupo. GPOs
Para informações mais detalhadas sobre a criação de GPOs e ligando-os a outros objetos, consulte Objetivo 6.1, "Criar objetos de diretiva de grupo (GPO)."
4.
Navegue até Configuração do computador \ Policies \ Windows Settings \ Security Settings \ Firewall do Windows com Segurança \ Regras de entrada avançadas nó.
5.
Botão direito do mouse em Regras de Entrada e, no menu de atalho, selecione Nova regra. O Novo Inbound Rule Assistente aparece, exibindo a página Tipo de Regra.
6.
Selecione a opção de pré-definidas e, na lista drop-down, selecione COM + Network Access e clique em Avançar. A página Regras predefinidas abre.
7.
Clique em Avançar para abrir a página de ação.
8.
Deixe a opção Permitir a opção de conexão selecionado e clique em Concluir. A regra aparece em o console de Gerenciamento de Diretiva de Grupo do Editor.
9.
Abra o Assistente de Nova Regra de entrada novamente.
10. Selecione a opção de pré-definidas e, na lista drop-down, selecione Registro de Eventos Remoto Management. Clique em Avançar. A página Regras predefinidas é aberta, exibindo as três regras no grupo Registro de Eventos de Gerenciamento Remoto. 11. Deixe as três regras selecionadas e clique em Avançar para abrir a página de ação. 12. Deixe o Permitir a opção de conexão selecionado e clique em Concluir. As três regras aparece no console Editor de Gerenciamento de Diretiva de Grupo. 13. Feche o Editor de Gerenciamento de Diretiva de Grupo. 14. No console Group Policy Management, ligar a configuração GPO Server Firewall você acabou de criar para o seu domínio. 15. Feche o console Gerenciamento de Diretiva de Grupo. As configurações no GPO que você criou será implantado para servidores remotos, da próxima vez eles reciclar ou reiniciar, e você será capaz de usar snap-ins, como o Computador Gestão e Gerenciamento de disco, sobre eles.
Gerenciamento de servidores de nível inferior As regras do Firewall do Windows que você tem que habilitar para servidores remotos executando o Windows Server 2012 também são desabilitados por padrão em computadores que executam versões anteriores do Windows Server, para você tem que habilitá-los lá também. Ao contrário do Windows Server 2012, no entanto, versões anteriores do sistema operacional também não têm a WinRM apoio necessário para que possam ser gerenciados usando o novo Server Manager. Por padrão, quando você adiciona os servidores que executam o Windows Server 2008 ou Windows Server 2008 R2 para o Windows Server 2012 Server Manager, eles aparecem com um status de gerenciamento que lê "Online - Verifique WinRM 3.0 serviço está instalado, corrida e portas de firewall necessárias são abrir ". Para adicionar suporte WinRM para servidores que executam o Windows Server 2008 ou Windows Server 2008 R2, você deve baixar e instalar as seguintes atualizações: . NET Framework 4.0
Windows Management Framework 3.0
Essas atualizações estão disponíveis no Centro de download da Microsoft no seguinte respectivas URLs:
http://www.microsoft.com/en-us/download/details.aspx?id=17718
http://www.microsoft.com/en-us/download/details.aspx?id=34595
Depois de instalar as atualizações, o sistema inicia automaticamente o Windows Remote Serviço de gestão, mas ainda há tarefas que você deve concluir no servidor remoto, como segue:
Ativar o Gerenciamento Remoto do Windows regras (HTTP-In) no Firewall do Windows, como mostrado na Figura 2-23.
FIGURA 2-23 As regras de Gerenciamento Remoto do Windows no Windows Firewall com Advanced
Console de Segurança.
Criar um ouvinte WinRM executando o comando winrm quickconfig em um comando solicitar com privilégios administrativos.
Ative o COM + Network Access e regras de registro de eventos de gerenciamento remoto em Firewall do Windows, conforme descrito na seção anterior.
Mesmo depois de instalar as atualizações listadas aqui, ainda existem limitações para a gestão tarefas que você pode executar em servidores de nível inferior de um local remoto. Por exemplo, você não pode usar para Adicionar Funções e Recursos Assistente no Server Manager para instalar funções e recursos em nível inferior servidores. Esses servidores não aparecem no pool de servidores em Selecionar Destino Página Server.
No entanto, você pode usar o Windows PowerShell para instalar funções e recursos em servidores que executam Windows Server 2008 e Windows Server 2008 R2 remotamente, como no procedimento a seguir. 1. Faça logon no servidor com o Windows Server 2012 usando uma conta com privilégios administrativos. Será exibida a janela Gerenciador de servidores. 2.
Abra uma sessão do PowerShell com privilégios administrativos.
3.
Estabelecer uma sessão do PowerShell com o computador remoto usando o seguinte comando:
4.
Digite a senha associada ao nome de usuário especificado e pressione Enter.
5.
Apresentar uma lista das funções e recursos no servidor remoto usando o seguinte comando:
6.
Usando o nome curto do papel ou serviço como ele aparece no Get-WindowsFeature exibir, instalar o componente usando o seguinte comando.
7.
Feche a sessão com o servidor remoto usando o seguinte comando:
8.
Feche a janela do Windows PowerShell. PowerShell
Quando você instala um papel ou função em um servidor remoto usando o Windows PowerShell, a instalação não inclui ferramentas de gerenciamento do papel, como uma instalação baseada em assistente faz. No entanto, você pode instalar as ferramentas, juntamente com o papel ou função, se você incluir o Parâmetro IncludeManagementTools na linha de comando Install-WindowsFeature. Ser cientes, no entanto, que no caso de uma instalação Server Core, adicionando o IncludeManagementTools parâmetro não irá instalar quaisquer snap-ins ou outra gráfica ferramentas.
Criação de grupos de servidores Para os administradores de redes corporativas, pode ser necessário adicionar um grande número de servidores para o Server Manager. Para evitar ter que trabalhar com uma longa lista de rolagem de servidores, você pode criar grupos de servidores, com base nos locais de servidor, funções ou qualquer outra organização paradigma. Quando você cria um grupo de servidores, ele aparece como um ícone no painel de navegação, e você pode gerenciar os servidores no grupo, tal como faria aqueles no grupo de todos os servidores. Para criar um grupo de servidores, use o seguinte procedimento. 1.
Faça logon no Windows Server 2012 e iniciar o Gerenciador do Servidor.
2.
No painel de navegação, clique no ícone de todos os servidores. A home page todos os servidores aparece. No menu Gerenciar, selecione Criar grupo de servidores para abrir o Criar Grupo de Servidores caixa de diálogo, como mostrado na Figura 2-24.
3.
FIGURA 2-24 A caixa de diálogo Criar grupo de servidores no Server Manager.
4.
Na caixa de texto Servidor de Nome do grupo, digite o nome que você deseja atribuir ao servidor grupo.
5.
Selecione uma das quatro guias para escolher um método para selecionar servidores. Selecione os servidores que deseja adicionar ao grupo e clique no botão seta para a direita para adicioná-los para a caixa Selecionado.
6.
7.
Clique em OK. Um novo ícone de grupo de servidores com o nome especificado é exibido no painel de navegação.
8.
Feche o console Server Manager.
Criação de grupos de servidores não afeta as funções que podem ser executadas sobre eles. Você não pode, por exemplo, executar ações em grupos inteiros de servidores. Os agrupamentos são apenas um meio para manter um grande número de servidores organizados e facilmente localizáveis.
Usando Ferramentas de Administração de Servidor Remoto Você pode gerenciar servidores remotos a partir de qualquer computador com o Windows Server 2012; todo o ferramentas necessárias são instalados por padrão. No entanto, o novo método de gestão que a Microsoft está promovendo urge administradores para manter os servidores trancados e usar uma estação de trabalho para gerenciar servidores a partir de um local remoto. Para gerenciar servidores Windows a partir de uma estação de trabalho, você deve baixar e instalar o Ferramentas de Administração de Servidor Remoto pacote para a versão do Windows em execução no seu estação de trabalho no Centro de download da Microsoft em http://www.microsoft.com/download. Remote Server Administration Tools é empacotado como um arquivo do Microsoft Update com um. Msu extensão, permitindo-lhe implantá-lo facilmente a partir do Gerenciador de Arquivos, no prompt de comando, ou usando Distribuição de Software em um GPO. Ao instalar o Remote Server Administration Tools em uma estação de trabalho com o Windows 8, todas as ferramentas são ativadas por padrão, ao contrário do anterior
versões que você necessários para transformá-los sobre o uso de Recursos do Windows Painel de controle. Você pode ainda usam o painel de controle para transformar recursos selecionados fora, no entanto. Quando você iniciar o Gerenciador do Servidor em uma estação de trabalho do Windows, não há nenhum servidor local, e não há servidores remotos para gerir, até que você adicione um pouco. Você pode adicionar servidores usando o mesmo processo descrito anteriormente neste objetivo. O acesso aos servidores que você adicionar depende da conta que você usa para fazer logon no estação de trabalho. Se um "acesso negado" mensagem aparece, você pode conectar-se ao servidor usando outra conta, clicando com o botão direito nele e, a partir do menu de atalho, selecionando Gerenciar Quanto à exibir uma caixa de diálogo Segurança do Windows padrão, em que você pode fornecer alternativa credenciais.
Trabalhando com servidores remotos Depois de adicionar servidores remotos para o Gerenciador do Servidor, você pode acessá-los usando uma variedade de ferramentas de administração remota. Server Manager fornece três métodos básicos para lidar com servidores remotos, como segue:
Tarefas contextuais Ao clicar com o botão direito em um servidor em um azulejo servidores, em qualquer parte do servidor Manager, você verá um menu de atalho que permite o acesso a ferramentas e comandos apontou para o servidor selecionado. Alguns destes são comandos que Server Manager executado no servidor remoto, como Restart Server e Windows PowerShell. Outros lançar ferramentas no sistema local e encaminhá-los para o servidor remoto, como Snap-ins e as funções de instalação e recursos Wizard. Outros ainda modificar Servidor Próprio Manager, através da remoção de servidores a partir da interface. Outras tarefas contextuais às vezes aparecem nos menus de tarefas para painéis específicos.
Tarefas não contextualizados A barra de menu na parte superior do console Server Manager fornece acesso a tarefas internas, como o lançamento do Add Server e instalar funções Características e assistentes, bem como a caixa de diálogo Propriedades do Server Manager, em que você pode especificar intervalo de atualização do console.
Ferramentas não contextualizados Menu Ferramentas do console fornece acesso ao exterior programas, tais como snap-ins e a interface do Windows PowerShell, que são dirigido para o sistema local.
Objetivo resumo
O Windows Server 2012 foi projetado para facilitar o gerenciamento de servidor remoto, de modo que administradores raramente ou nunca ter que trabalhar diretamente no console do servidor. Isso conserva recursos de servidor que pode ser melhor dedicados a aplicações.
Quando você adiciona os servidores que executam o Windows Server 2012 para o Server Manager, você pode imediatamente começar a utilizar para Adicionar Funções e Recursos Assistente para instalar funções e recursos em qualquer um dos servidores que você adicionou.
As regras do Firewall do Windows que você tem que habilitar para servidores remotos executando o Windows Server 2012 também estão desativados por padrão em computadores que executam versões anteriores do Windows Server, então você tem que habilitá-los lá também. Para os administradores de redes corporativas, pode ser necessário adicionar um grande número de servidores para o Server Manager. Para evitar ter que trabalhar com um longo deslocamento lista de servidores, você pode criar grupos de servidores, com base nos locais de servidor, funções ou qualquer outro paradigma organizacional. Você pode gerenciar servidores remotos a partir de qualquer computador com o Windows Server 2012; todas as ferramentas necessárias são instalados por padrão. No entanto, a nova administração método que a Microsoft está promovendo urge administradores para manter os servidores trancada e utilizar uma estação de trabalho para gerenciar servidores a partir de um local remoto.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
Qual das seguintes tarefas que você deve executar antes que você possa gerenciar um remoto servidor com o Windows Server 2012 usando o Gerenciamento do Computador snap-in? A.
Ativar WinRM no servidor remoto.
B.
Ativar a regra de Acesso à Rede COM + no servidor remoto.
C.
Ativar as regras de registro de eventos de gerenciamento remoto no servidor remoto.
D. Instalar Remote Server Administration Tools no servidor remoto. 2.
3.
Qual dos seguintes cmdlets do PowerShell pode ser usado para listar os existentes do Windows As regras de firewall em um computador com o Windows Server 2012? A.
Get-NetFirewallRule
B.
Set-NetFirewallRule
C.
Show-NetFirewallRule
D.
Nova-NetFirewallRule
Qual das seguintes tarefas que você não pode executar remotamente em um servidor em execução Windows Server 2008? A. Instale papéis utilizando o Server Manager. B.
Instale papéis usando o Windows PowerShell.
C.
Conecte-se ao servidor remoto usando o Gerenciamento do Computador snap-in.
D. 4.
Monitore as entradas de log de eventos. Qual das seguintes atualizações que você deve instalar em um servidor executando o Windows Server 2008, antes que você pode conectá-lo usando o Windows Server 2012 Server Manager?
A.. NET Framework 3.5
B.. NET Framework 4.0
5.
C.
Windows Management Framework 3.0
D.
Windows Server 2008 R2
Quando você executa o Gerenciador de Servidores a partir de uma estação de trabalho Windows 8 usando servidor remoto Ferramentas de Administração, que os seguintes elementos não aparecem no padrão exibir? A.
O Dashboard
B.
A página inicial do servidor local
C.
A home page todos os servidores
D.
A telha de boas-vindas
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre o objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Ralph é responsável por 24 servidores que executam uma aplicação em particular, que são espalhados por toda a rede corporativa de sua empresa. Ralph quer usar Servidor Manager em sua estação de trabalho Windows 8 para gerenciar esses servidores e monitorar o eventos que ocorrem nelas. Para fazer isso, ele deve permitir a entrada COM + Acesso à Rede e Evento Remoto Log gerenciamento de regras no Firewall do Windows em os servidores. Porque ele não pode viajar para a localização de todos os servidores, e muitos dos sites fazem não tem pessoal de TI confiáveis, Ralph decidiu usar a Diretiva de Grupo configurar o Firewall do Windows em todos os servidores. Active Directory da empresa Serviços de Domínio árvore é organizada geograficamente, o que significa que os servidores de Ralph estão localizados em muitas OUs diferentes, todos sob o mesmo domínio. Com isto em mente, responda a seguinte pergunta: Como Ralph podem usar a Diretiva de Grupo para implantar a regra de Firewall do Windows necessárias configurações aos seus 24 servidores e apenas os servidores?
Respostas Esta seção contém as respostas para o objectivo comentários e as experiências de pensamento.
Objectivo 2.1: Revisão 1.
2.
Resposta correta: C A.
Incorreto: O Windows Server 2012 pode manter mais de 8 cópias de sombra de volume.
B.
Incorreto: O Windows Server 2012 pode manter mais de 16 sombra de volume cópias.
C.
Correto: O Windows Server 2012 pode manter até 64 cópias de sombra do volume antes de começar a apagar os dados mais antigos.
D.
Incorreto: O Windows Server 2012 não consegue manter 128 cópias de sombra de volume.
Resposta correta: B A.
Incorreto: A autenticação é o processo de verificação da identidade do usuário.
B.
Correto: A autorização é o processo pelo qual um usuário é concedido o acesso a determinado recursos com base nas permissões que ele ou ela possui.
C.
Incorreto: Enumeração baseada em Access é um recurso do Windows que impede que os usuários de ver os recursos para que eles não têm permissões. Incorreto: Atribuição descreve o processo de concessão de permissões, mas não lê-los.
D.
3.
Corrigir respostas: A e B A.
Correto: Usando File Server Resource Manager, você pode notificar os administradores com enviar e-mail mensagens quando os usuários excederem sua cota de armazenamento.
B.
Correto: Usando File Server Resource Manager, você pode criar cotas para indivíduo usuários que especificam limites de armazenamento diferentes.
C.
Incorreto: Você pode usar cotas NTFS para impedir que os usuários de consumir qualquer armazenamento espaço em um volume além do seu limite estipulado. Incorreto: Você pode usar cotas NTFS para gerar avisos aos usuários quando eles estão próximos do limite estipulado.
D.
4.
Corrigir respostas: B e D A.
Incorreto: Nas versões do Windows Server anteriores ao Windows Server 2012, especial permissões são combinados para formar as permissões padrão.
B.
Correto: Permissões básicos são formados através da criação de várias combinações de permissões avançadas.
C.
Incorreto: As permissões de compartilhamento são um sistema que é completamente separado do Sistema de permissões NTFS. Correto: Nas versões do Windows Server anteriores ao Windows Server 2012, padrão permissões são formadas pela criação de várias combinações de autorização especial.
D.
5.
Resposta correta: D A.
Incorreto: É o proprietário que é a única pessoa que pode acessar um arquivo que não tem permissões que lhe foram atribuídas.
B.
Incorreto: A entidade de segurança não é a pessoa responsável pela criação de um políticas de permissão da organização.
C.
Incorreto: A entidade de segurança recebe permissões; a entidade de segurança faz não criá-los.
D.
Correto: O diretor de segurança é o usuário ou o computador para que as permissões são atribuído.
Objectivo 2.1: Experiência do Pensamento A causa mais provável do problema é que Leo não tem permissões suficientes para partes acesso de leitura / gravação para os arquivos da Contoso. Ao conceder o grupo CONTOSO_USER a permitir a plena Permissão de compartilhamento de controle, Leo deve ser capaz de salvar suas alterações para os arquivos da Contoso.
Objectivo 2.2: Revisão 1.
Resposta correta: A A.
Correto: No Windows, uma impressora é a interface do software através do qual um computador comunica com um dispositivo de impressão.
B.
Incorreto: Um servidor de impressão é um dispositivo que recebe trabalhos de impressão de clientes e envia los para imprimir dispositivos que são ou ligados ou ligados à rede local. C. Incorreto: Um driver de impressora é um driver de dispositivo que converte os trabalhos de impressão gerados por aplicações em uma cadeia adequada de comandos para um dispositivo de impressão D. específico. Incorreto: O Gerenciamento de Impressão snap-in é uma ferramenta que os administradores podem usar para gerenciar impressoras em toda a rede. 2. Resposta correta: B
3.
A.
Incorreto: Se as impressoras são reunidas ou não, cada um tem de ser ligado a uma porta separada.
B.
Correto: Para configurar o pool de impressão, marque a caixa de seleção Ativar o pool de impressoras e em seguida, selecione ou crie as portas correspondentes a impressoras que farão parte do piscina.
C.
Incorreto: Você não usa as configurações de opções instaláveis para criar um pool de impressão.
D.
Incorreto: Prioridades não tem nada a ver com a partilha de impressora.
Resposta correta: A A.
B.
C.
Correto: Se você parar de compartilhar a impressora, os usuários deixarão de ser capaz de usar a impressão dispositivo. Incorreto: Removendo a impressora do Active Directory irá impedir que os usuários encontrar a impressora usando uma pesquisa, mas eles ainda podem acessá-lo. Incorreto: Alterando a porta da impressora vai evitar que a impressora enviar trabalhos para o dispositivo de impressão, mas não vai impedir que usuários enviem trabalhos para a impressora.
D.
4.
5.
Incorreto: Mudar o nome do compartilhamento pode tornar mais difícil para os usuários a encontrar a impressora, mas eles ainda podem usá-lo quando o fazem encontrá-lo. Resposta correta: C
A.
Incorreto: A permissão Gerenciar Documentos não permite que os usuários enviem trabalhos para a impressora.
B.
Incorreto: A permissão Gerenciar impressoras não permite que os usuários enviem trabalhos para a impressora.
C.
Correto: A permissão de impressão permite aos usuários enviar documentos para a impressora; o Gerenciar documentos permissão não.
D.
Incorreto: A permissão Gerenciar Documentos não permite que os usuários enviem trabalhos para a impressora.
Resposta correta: D A.
Incorreto: Uma impressora que não é compartilhada continuará a processar os trabalhos que já estão na fila.
B.
Incorreto: Alterando a porta vai exigir que os usuários para reenviar os trabalhos que foram na fila.
C.
Incorreto: Parando o primeiro documento na fila não vai impedir que a outra trabalhos em fila de impressão.
D.
Correto: Quando você seleciona a opção Pausar impressão, os documentos permanecerão em a fila de impressão até que você reiniciar a impressão. Esta opção se aplica a todos os documentos em fila.
Objectivo 2.2: Experiência do Pensamento Instalar, impressoras idênticas adicionais, conectando-os com o mesmo servidor de impressão do Windows Vista, e criar um pool de impressão, selecionando a caixa apropriada na guia Portas da folha de propriedades da impressora.
Objectivo 2.3: Revisão 1.
Resposta correta: B A.
Incorreto: WinRM é ativado por padrão no Windows Server 2012.
B.
Correto: A regra COM + Network Access deve estar habilitado no servidor remoto para Snap-ins para se conectar.
C.
Incorreto: As regras de registro de eventos de gerenciamento remoto não são necessárias para se conectar para um servidor remoto usando um snap-in. Incorreto: PTR conter as informações necessárias para o servidor para executar reverter pesquisas de nome.
D.
2.
3.
Corrigir respostas: A e C A.
Correto: O cmdlet Get-NetFirewallRule exibe uma lista de todas as regras de um sistema de Firewall do Windows em execução.
B.
Incorreto: A regra Set-NetFireWall é para o gerenciamento de regras específicas, não enumerá-las.
C.
Correto: O cmdlet Show-NetFirewallRule exibe uma lista de todas as regras de um sistema executando o Windows Firewall.
D.
Incorreto: A regra de New-NetFireWall é para a criação de regras, não enumerá-las.
Resposta correta: A A.
B.
C.
Correto: Você não pode instalar as funções em um servidor remoto que executa o Windows Server 2008 utilizando o Server Manager. Incorreto: Você pode instalar as funções em um servidor remoto que executa o Windows Server 2008 usando o Windows PowerShell. Incorreto: Você pode se conectar a um servidor remoto que executa o Windows Server 2008 usando o console de gerenciamento do computador, desde que você habilite a Rede + COM Regra de acesso.
D.
4.
5.
Incorreto: Você pode monitorar as entradas de log de eventos em um servidor remoto com o Windows Server 2008, o tempo que você permitir que as regras de registro de eventos de gerenciamento remoto. Corrigir respostas: B e C
A.
Incorreto: . NET Framework 3.5 não é necessário para o Server Manager para conectar-se Windows Server 2008.
B.
Correto: . NET Framework 4.0 é necessário para o Server Manager para se conectar ao Windows Server 2008.
C.
Correto: Windows Management Framework 3.0 é necessário para o Server Manager para ligar para o Windows Server 2008.
D.
Incorreto: Não é necessário atualizar para o Windows Server 2008 R2 para o Servidor Manager para se conectar ao Windows Server 2008.
Resposta correta: B A.
Incorreto: O Dashboard é exibido na exibição padrão do Server Manager.
B.
Correto: A página inicial do servidor local não aparece, porque o sistema local é uma estação de trabalho, não um servidor.
C.
Incorreto: A home page todos os servidores não aparecer no Gerenciador de servidor padrão visor.
D.
Incorreto: A telha de boas-vindas for exibida na exibição padrão do Server Manager.
Objetivo 2.3: experimento de pensamento Depois de criar um GPO que contém as configurações do Firewall do Windows necessárias, Ralph deve criar um grupo de segurança que contém todos os objetos de 24 computadores que representam seus servidores. Em seguida, ele
deve vincular o GPO ao domínio da empresa e usar a filtragem de segurança para limitar o alcance do GPO para o grupo que ele criou.
CAPÍTULO 4
A implantação ea configuração serviços centrais de rede Este capítulo discute os serviços de infra-estrutura vitais que praticamente todos os da rede deve implementar. Cada computador em uma rede TCP / IP deve ter pelo menos um endereço IP, e mais redes usam hoje o Dynamic Host Configuration Protocol (DHCP) para atribuir os endereços. Para acessar recursos na Internet para localizar e Serviços de Domínio Active Directory (AD DS) os controladores de domínio, computadores TCP / IP devem ter acesso a um Domain Name System (DNS). Windows Server 2012 inclui todos esses serviços e fornece as ferramentas para gerenciá-los.
Objetivos deste capítulo:
Objectivo 4.1: Configurar IPv4 e IPv6
Objetivo 4.2: Implantar e configurar Dynamic Host Configuration Protocol (DHCP) serviço
Objectivo 4.3: implantar e configurar o serviço DNS
Objectivo 4.1: Configurar IPv4 e IPv6 Os administradores do servidor deve estar familiarizado com os princípios básicos do endereço IPv4 e IPv6 espaços. Esta secção analisa esses princípios, e descreve o processo habitual para a concepção de IPv4 e endereçamento IPv6 estratégias.
Este objectivo abrange a forma de:
Configurar opções de endereço IP
Configure a sub-rede
Configure supernetting
Configure a interoperabilidade entre IPv4 e IPv6
Configure ISATAP
Configure Teredo
Endereçamento IPv4 O espaço de endereçamento IPv4, como você provavelmente sabe, é composta por endereços de 32 bits, anotado como quatro 8 mordeu valores decimais de 0 a 255, separadas por períodos de, como no exemplo 192.168.43.100. Este é conhecido como notação decimal com pontos, e os valores decimais de 8 bits individuais são chamados de octetos ou bytes. Cada endereço consiste de bits de rede, que identificam a rede e bits de host, que identificam um dispositivo especial em que a rede. Para diferenciar os bits de rede a partir dos bits de host, cada endereço deve ter uma máscara de sub-rede. Uma máscara de sub-rede é um outro valor de 32 bits consistindo de binário bits 1 e 0 bits. Quando comparado a um endereço IP, os bits correspondentes às 1s na máscara são os bits de rede, e os bits correspondentes às 0s são os bits do hospedeiro. Assim, se o endereço 192.168.43.100 mencionado anteriormente tem uma máscara de sub-rede 255.255.255.0 (que na forma binária é 11111111.11111111.11111111.00000000), os três primeiros octetos (192.168.43) identificar o rede eo último octeto (100) identifica o host.
Classful endereçamento IPv4 Porque a máscara associada com endereços de IP podem variar, de modo pode o número de bits usado para identificar a rede eo host. O padrão original do Protocolo Internet (IP) define três classes de endereços IP, que proporcionar o suporte para as redes de tamanhos diferentes, como se mostra na Figura 4-1.
FIGURA 4-1 As três classes de endereços IPv4.
O número de redes e máquinas suportadas por cada uma das classes de endereços estão listados na Tabela 4-1.
TABELA 4-1 Classes de endereços IPv4
Endereço IP de classe
CLASSE A
CLASSE B
CLASSE C
Custo-benefício primeiro bit (binário)
0
10
110
Primeiro valor byte (decimal)
0-127
128-191
192-223
Número de bits de identificador de rede
8
16
24
Número de bits de identificador de host
24
16
8
Número de possíveis redes
126
16.384
2097152
Número de possíveis hospedeiros
16777214
65.534
254
Classes adicionais Além de classes A, B e C, o padrão IP também define dois endereço adicional classes, classe D e endereços Classe E. Classe D começam com os valores de bit 1110 e Classe E endereços começam com a 11110 valores. Internet Assigned Numbers Authority (IANA) alocou endereços de classe D para uso como identificadores de multicast. Um endereço de multicast identifica um grupo de computadores em uma rede, os quais possuem uma característica similar. Multicast endereços permitir aplicações TCP / IP para enviar tráfego para computadores que executam específico funções (como todos os roteadores da rede), mesmo se eles estão localizados em diferentes sub-redes. Os endereços de classe E são definidos como experimental e ainda são utilizadas.
O "valor de Primeiro bit" linha na tabela especifica os valores que o primeiro, dois, ou três bits de um endereço em cada classe deve ter. Implementações TCP Precoce / IP usado esses valores bit em vez de uma máscara de sub-rede para determinar a classe de um endereço. Os valores binários do primeiro bits de cada classe de endereços limitar os possíveis valores decimais para o primeiro byte de endereço. Para exemplo, porque o primeiro bit de endereços de classe A deve ser 0, os possíveis valores binários do primeiro byte em um Classe A faixa de endereços 00000000-01111111, que na forma decimal são valores que variam de 1 a 127. Assim, quando você ver um endereço IP em que o primeiro byte é um número de 1 a 127, você sabe que este é um endereço de classe A.
Em um endereço de classe A, o identificador da rede são os primeiros 8 bits do endereço e de acolhimento identificador é os restantes 24 bits. Assim, há apenas 126 possíveis redes de Classe A (rede identificador 127 é reservado para fins de diagnóstico), mas cada rede pode ter até 16.777.214 adaptadores de interface de rede nele. Os endereços de classe B e classe C dedicar mais bits para o identificador de rede, o que significa que eles suportam um maior número de redes, mas, ao custo de ter menos bits identificadores de host. Este trade-off reduz o número de servidores que podem ser criados em cada rede.
Os valores Tabela 4-1 para o número de hosts suportado por cada classe de endereço pode aparecer baixa. Por exemplo, um número binário de 8 bits pode ter 256 (isto é, 28) os valores possíveis, e não 254, conforme mostrados na tabela para o número de hosts em um endereço de classe C. O valor 254 é utilizado porque do PI inicial abordando estados padrão que não se pode atribuir os "zeros" ou "todos aqueles" endereços para hosts individuais. O endereço de "zeros" identifica a rede, e não um host específico,
eo identificador "todos aqueles" sempre significa um endereço de broadcast. Você não pode atribuir ou valor a um host individual. Portanto, para calcular o número de possível de rede ou host endereços que você pode criar com um determinado número de bits, você pode usar a fórmula 2 x-2, Onde xé o número de bits.
Roteamento Classless Inter-Domain No momento em que IP foi desenvolvida, ninguém imaginava que o espaço de endereçamento de 32 bits seria sempre estar exausto. No início de 1980, não existiam redes que tiveram 65.536 computadores, nunca mente 16 milhões, e ninguém se preocupava com o desperdício de atribuição de endereços IP com base sobre estas classes. Devido a que o desperdício, dirigindo-se gradualmente com classes obsolesced por uma série de métodos de sub-rede, incluindo máscara de sub-rede de comprimento variável (VLSM) e, eventualmente, sem classe Inter-Domain Routing (CIDR). CIDR é um método de sub-rede que permite aos administradores colocar a divisão entre os bits de rede e os bits da máquina em qualquer parte do endereço, não apenas entre octetos. Isto faz com que seja possível criar redes de quase qualquer tamanho. CIDR também introduz uma nova notação para endereços de rede. Um decimal com pontos padrão endereço que representa a rede é seguido por uma barra e um número indicando o tamanho do prefixo de rede de identificação. Por exemplo, 192.168.43.0/24 representa uma única classe C endereço que utiliza um identificador de rede de 24 bits, deixando os outros 8 bits para um máximo de 254 anfitrião identificadores. Cada um desses hospedeiros receberia um endereço de 192.168.43.1 a 192.168.43.254, usando a máscara de sub-rede 255.255.255.0. No entanto, usando CIDR, um administrador pode subdividir esse endereço ainda mais, através da atribuição de alguns dos bits de host para criar sub-redes. Para criar sub-redes para quatro escritórios, por exemplo, o administrador pode levar de dois dos bits identificador de host, a alteração do endereço de rede em CIDR notação de 192.168.43.0/26. Como o identificador de rede é agora 26 bits, as máscaras de sub-rede para todas as quatro redes de agora será 11111111.11111111.11111111.11000000, na forma binária, ou 255.255.255.192 na forma decimal padrão. Cada uma das quatro redes terão até 62 exércitos, utilizando os intervalos de endereços IP mostrados na Tabela 4-2.
TABELA 4-2 Amostra CIDR 192.168.43.0/26 redes
REDE
COMEÇANDO IP
TERMINANDO IP
MÁSCARA DE SUB-
ENDEREÇO
ENDEREÇO
ENDEREÇO
192.168.43.0
192.168.43.1
192.168.43.62
255.255.255.192
192.168.43.64
192.168.43.65
192.168.43.126
255.255.255.192
192.168.43.128
192.168.43.129
192.168.43.190
255.255.255.192
192.168.43.192
192.168.43.193
192.168.43.254
255.255.255.192
Se o administrador precisa de mais de quatro sub-redes, mudando o endereço para 192.168.43.0/28 acrescenta mais dois bits para o endereço da rede, para um máximo de 16 sub-redes, cada uma das quais pode suporta até 14 hosts. A máscara de sub-rede para essas redes seria, portanto, 255.255.255.240.
IPv4 públicos e privados que tratam Para um computador para ser acessível a partir da Internet, ele deve ter um endereço IP que é ao mesmo tempo registrado e único. Todos os servidores web na Internet têm endereços registados, assim como todos os outros tipos de servidores de Internet. A IANA é a melhor fonte para todos os endereços registrados; gerido pela Internet Corporation for Assigned Names and Numbers (ICANN), esta organização aloca blocos de endereços para registros regionais de Internet (RIRs), que alocam blocos menores, por sua vez a Internet prestadores de serviços (ISPs). Uma organização que quer hospedar um servidor na Internet tipicamente obtém um endereço registrado a partir de um ISP.
Endereços IP registrados não são necessárias para as estações de trabalho que acessam apenas os recursos em a Internet. Se as organizações usadas endereços registrados para todas as suas estações de trabalho, o IPv4 espaço de endereço teria sido esgotados há muito tempo. Em vez disso, as organizações normalmente usam privado Endereços IP para suas estações de trabalho. Os endereços IP privados são blocos de endereços que são alocados especificamente para o uso da rede privada. Qualquer pessoa pode usar esses endereços sem registrá-los, mas eles não podem tornar os computadores usando endereços privados acessíveis a partir do Internet. Os três blocos de endereços atribuídos para uso particular são os seguintes:
10.0.0.0 / 8
172.16.0.0/12
192.168.0.0/16
A maioria das redes corporativas usar endereços a partir desses blocos para suas estações de trabalho. Não faz importa se outras organizações usam os mesmos endereços também, porque as estações de trabalho nunca são directamente ligados à mesma rede.
Sub-redes IPv4 Na maioria dos casos, os administradores da empresa usam endereços em uma das faixas de endereços IP privados para criar as sub-redes que necessitam. Se você está construindo uma nova rede da empresa a partir do zero, você pode escolher qualquer um dos blocos de endereços privados e facilitar as coisas em si mesmo, sub-redes ao longo dos limites de octetos. Por exemplo, você pode tirar a faixa de 10.0.0.0 / 8 endereço IP privado e usar toda a segunda octeto como um ID de sub-rede. Isto permite-lhe criar até 256 sub-redes com até 65.536 hosts em cada um. As máscaras de sub-rede para todos os endereços das sub-redes será 255.255.0.0 e os endereços de rede irá proceder da seguinte forma:
10.0.0.0/16
10.1.0.0/16
10.2.0.0/16
10.3.0.0/16
10.255.0.0/16
Claro que, quando você estiver trabalhando em uma rede existente, é provável que o processo de sub-redes ser mais difícil. Você pode, por exemplo, ser dado um pequeno intervalo de endereços e será solicitado a criar um certo número de sub-redes fora delas. Para fazer isso, você usa o seguinte procedimento. 1.
Determine quantos bits identificador de sub-rede, você precisa criar o número necessário de sub-redes.
2.
Subtrair os bits de sub-rede precise dos bits de host e adicioná-los à rede bits.
3.
Calcule a máscara de sub-rede, adicionando os bits de rede e sub-rede em formato binário e converter o valor binário para decimal.
4.
Leve o bit menos significativo de sub-rede e os bits de host, em formato binário, e converter las a um valor decimal.
5.
Incrementar o identificador da rede (incluindo os bits de sub-rede) pelo valor decimal você calculadas para determinar os endereços de rede de suas novas sub-redes.
Usando o mesmo exemplo do anteriormente neste capítulo, se você tomar o 192.168.43.0/24 abordar e alocar dois bits adicionais para a identificação de sub-rede, você acaba com uma máscara de subrede binária valor de 255.255.255.192 (11111111.11111111.11111111.11000000 na forma decimal, conforme observado mais cedo). O bit menos significativo de sub-rede, mais os bits de host dá-lhe um valor binário de 1000000, que converte para um valor decimal de 64. Portanto, se sabemos que o endereço de rede do seu primeiro sub-rede é 192.168.43.0, a segunda sub-rede deve ser 192.168.43.64, o terceiro 192.168.43.128, e a quarta 192.168.43.192, como mostrado na Tabela 4-2.
Supernetting Além de simplificar a notação de rede, CIDR também faz uma técnica chamada de endereço IP agregação ou supernetting possível, o que pode ajudar a reduzir o tamanho de encaminhamento da Internet tabelas. A supernet é uma combinação de redes contíguas que todos contêm um CIDR comum prefixo. Quando um organismo possui várias redes contíguos que pode ser expresso como uma super, torna-se possível listar as redes em uma tabela de roteamento usando apenas uma entrada em vez de muitos.
Por exemplo, se uma organização tem os seguintes cinco sub-redes, a prática padrão seria para criar uma entrada da tabela de roteamento separada para cada um.
172.16.43.0/24
172.16.44.0/24
172.16.45.0/24
172.16.46.0/24
172.16.47.0/24
Para criar uma super abrangendo todos os cinco dessas redes, é necessário isolar os bits que têm em comum. Quando você converte os endereços de rede de decimal para binário, você começa os seguintes valores:
Em forma binária, você pode ver que todos os cinco endereços têm os mesmos primeiros 21 bits. Esses 21 bits tornar-se o identificador da rede do endereço de super, como se segue:
Depois de zerar os bits de host para formar o endereço de rede e convertendo o binário número de volta para a forma decimal, como a seguir, o endereço supernet resultante é 172.16.40.0/21.
Este endereço de rede pode substituir o original, em cinco tabelas de roteamento duplicado toda a Internet. Obviamente, este é apenas um exemplo de uma técnica que os administradores pode usar para combinar dezenas ou mesmo centenas de sub-redes em entradas da tabela de roteamento individuais.
Atribuição de endereços IPv4 Além de entender como funciona o endereçamento IP, um administrador de rede deve ser familiarizados com os métodos de implantação de endereços IP para os computadores em uma rede. Para atribuir endereços IPv4, há três alternativas básicas:
Configuração manual
Dynamic Host Configuration Protocol (DHCP)
Endereçamento IP particular automático (APIPA)
As vantagens e desvantagens destes métodos são discutidos a seguir seções. MANUAL DE CONFIGURAÇÃO Endereço IPv4
Configurando um cliente TCP / IP manualmente não é muito difícil, nem é muito demorado. A maioria dos sistemas operacionais oferecem uma interface gráfica que permite que você digite um endereço IPv4 endereço, uma máscara de sub-rede, e vários outros parâmetros de configuração TCP / IP. Para configurar IP configurações de endereço no Windows Server 2012, você usar a versão 4 do protocolo Internet (TCP/IPv4) Propriedades da folha, como mostrado na Figura 4-2.
FIGURA 4-2 A folha de versão 4 (TCP/IPv4) Internet Protocol.
Quando você seleciona a opção Usar a seguinte endereço IP, você pode configurar o seguinte Opções de endereço IP:
Endereço IP Especifica o endereço IP na sub-rede local, que irá identificar o interface de rede, em que o computador
Máscara de sub- Especifica a máscara associada à sub-rede local
Gateway Padrão Especifica o endereço IP de um roteador na sub-rede local, que o sistema irá utilizar para destinos de acesso em outras redes
Servidor DNS preferencial Especifica o endereço IP do servidor DNS o sistema irá usar para resolver nomes de hosts em endereços IP
O principal problema com a configuração manual é que uma tarefa que exige dois minutos para uma estação de trabalho requer várias horas para 100 estações de trabalho e vários dias para 1.000. Configurar manualmente todos, mas as menores redes é altamente impraticável, e não apenas para razões de tempo. Há também a questão de acompanhar o endereços IPv4 você atribuir e fazendo que cada sistema tem um endereço que é único. Isso pode acabar por ser um pesadelo logístico, é por isso que alguns administradores de rede escolher esta opção.
DYNAMIC HOST PROTOCOLO DE CONFIGURAÇÃO
DHCP é uma aplicação e um protocolo de camada de aplicação que, juntos, permitem que os administradores para alocar dinamicamente endereços IP a partir de uma piscina. Computadores equipados com clientes DHCP contato automaticamente com um servidor DHCP quando eles começam, eo servidor atribui-los únicos endereços e todos os outros parâmetros de configuração do cliente TCP / IP requer.
O servidor DHCP fornece endereços de clientes em uma base alugada, e depois de uma pré-determinada intervalo, cada cliente ou renova seu endereço ou libera-lo de volta para o servidor para realocação. DHCP não só automatiza o processo de atribuição de endereço; Ele também mantém o controle dos endereços atribui, evitando duplicação de endereço na rede.
Endereçamento IP particular automático
Automatic Private IP Addressing (APIPA) é o nome atribuído pela Microsoft para um failover DHCP mecanismo utilizado por todos os atuais sistemas operacionais Microsoft Windows. No Windows computadores, o cliente DHCP é ativado por padrão. Se, depois de várias tentativas, um sistema não localizar um servidor DHCP na rede, APIPA assume e atribui um endereço automaticamente na rede 169.254.0.0/16 para o computador.
Para uma rede pequena, que consiste em apenas uma única rede de área local (LAN), APIPA é uma simples e alternativa eficaz para a instalação de um servidor DHCP. No entanto, para as instalações que consistem várias LANs, com roteadores que conectam-los, os administradores devem assumir o controle mais positiva sobre o processo de atribuição de endereço IP. Isso geralmente significa que a implantação de um ou mais DHCP servidores de alguma forma.
Endereçamento IPv6 Como a maioria dos administradores sabem, o IPv6 é projetado para aumentar o tamanho do espaço de endereço IP, assim fornecer endereços para muitos mais dispositivos do que IPv4. O tamanho do endereço de 128 bits do IPv6 permite para 2.128 endereços possíveis, um número enorme que funciona para mais de 54 milhões de endereços para cada metro quadrado da superfície da Terra. Além de fornecer mais endereços, o IPv6 irá também reduzir o tamanho das tabelas de encaminhamento nos roteadores espalhados ao redor da Internet. Isto é porque o tamanho dos endereços fornece por mais de dois níveis de sub-redes actualmente possível com IPv4.
Apresentando IPv6 Os endereços IPv6 são diferentes dos endereços IPv4 em muitas outras do que o comprimento maneiras. Em vez de os quatro números decimais de 8 bits separados por pontos que o IPv4 usa, endereços IPv6 usam uma notação chamado formato cólon hexadecimal, que consiste de oito 16 bits hexadecimal números, separados por dois pontos, como se segue:
Cada X representa oito bits (um byte) ou, o que em notação hexadecimal é representado pela dois personagens, como no exemplo a seguir:
CONTRATANTE endereços IPv6
Quando um endereço IPv6 tem dois ou mais blocos de 8 bits consecutivos de zeros, você pode substituir los com um duplo dois pontos, da seguinte forma (mas você só pode usar um duplo dois pontos em qualquer IPv6 endereço):
Você também pode remover os zeros à esquerda em qualquer bloco de onde eles aparecem, como segue:
EXPRESSANDO ENDEREÇOS rede IPv6
Não há máscaras de sub-rede em IPv6. Os endereços de rede usam a mesma notação de barra como CIDR para identificar os bits de rede. No exemplo especificado aqui, o endereço de rede é anotado como segue:
Esta é a forma contratada para o seguinte endereço de rede:
Tipos de endereços IPv6 Não há transmissões de radiodifusão em IPv6 e, portanto, nenhum endereço de broadcast, como no IPv4. IPv6 suporta três tipos de transmissões, como se segue:
Unicast Fornece serviço de transmissão de um-para-um para interfaces individuais, incluindo servidor fazendas compartilhando um único endereço
Multicast Fornece serviço de transmissão de um-para-muitos para grupos de interfaces de identificado por um único endereço de multicast
Anycast Fornece um-para-um-de-muitas serviço de transmissão de grupos de interfaces apenas o mais próximo dos quais (medido pelo número de roteadores intermediários) recebe a transmissão
Escopos IPv6 No IPv6, o âmbito de um endereço refere-se ao tamanho da sua área funcional. Por exemplo, a âmbito de um unicast global é ilimitado, toda a Internet. O escopo de uma ligação local-unicast é a ligação imediata; isto é, a rede local. O escopo de uma unicast único local consiste em todas as sub-redes dentro de uma organização.
IPv6 também suporta vários tipos de endereço, conforme descrito nas seções a seguir. ENDEREÇOS unicast global
Um endereço unicast global é o equivalente a um endereço IPv4 registrado, roteáveis no mundo inteiro e único na Internet. Endereços unicast link-local
No IPv6, os sistemas que atribuem a si mesmos um endereço automaticamente criar um unicast link-local resolver, que é essencialmente o equivalente a um endereço APIPA no IPv4. Todos os endereços link-local
tem o mesmo identificador de rede: um prefixo de 11111110 010 seguido de 54 zeros 10 bits, resultando no seguinte endereço de rede:
Na sua forma mais compacta, o endereço de rede link-local é o seguinte:
Porque todos os endereços link-local estão na mesma rede, eles não são roteáveis e sistemas possuí-los só pode se comunicar com outros sistemas no mesmo link. UNIQUE endereços unicast LOCAIS
Endereços unicast locais originais são o equivalente IPv6 do 10.0.0.0 / 8, 172.16.0.0/12 e 192.168.0.0/16 endereços de rede privados em IPv4. Como o IPv4 endereços privados, local original endereços são roteados dentro de uma organização. Os administradores também podem subdividir-los quando necessário para apoiar uma organização de qualquer tamanho. Os endereços IPv6 e obsoletas Muitas fontes de informação IPv6 continuar a listar endereços unicast de sites locais como válido Tipo de unicast, com uma função semelhante à dos endereços de rede IPv4 privados. Para várias razões, unicast endereços de sites locais foram reprovados e, apesar de seu uso não é proibido, sua funcionalidade foi substituída por endereços unicast locais únicos.
Endereços multicast
Endereços multicast sempre começam com um valor de FP de 11111111, em binário, ou ff em hexadecimal. Endereços anycast
A função de um endereço anycast é identificar os roteadores dentro de um determinado escopo de endereço e enviar tráfego para o roteador mais próximo, conforme determinado pelos protocolos de roteamento locais. Organizações pode usar endereços anycast para identificar um determinado conjunto de roteadores na empresa, tais como os que fornecem acesso à Internet. Para usar anycasts, os roteadores devem ser configurados para reconhecer os endereços anycast como tal.
Atribuição de endereços IPv6 Os processos pelos quais os administradores atribuir endereços IPv6 para a rede de computadores são basicamente semelhantes aos encontrados em IPv4. Tal como acontece com IPv4, um computador com Windows pode obter um endereço IPv6 por três métodos possíveis:
Alocação manual Um usuário ou administrador fornece manualmente um endereço e outras informação para cada interface de rede.
Auto-alocação O computador cria seu próprio endereço usando um processo chamado apátridas endereço autoconfiguração.
Alocação dinâmica O computador solicita e recebe um endereço de um DHCPv6 servidor da rede.
MANUAL ATRIBUIÇÃO Endereço IPv6
Para o administrador da empresa, alocação manual de endereços IPv6 é ainda mais impraticável do que em IPv4, por causa do comprimento dos endereços envolvidos. No entanto, é possível, e o procedimento para fazê-lo no Windows Server 2012 é o mesmo que para IPv4, exceto que você abrir a folha de Internet Protocol Version 6 (TCP/IPv6) Properties, como mostrado na Figura 4-3.
FIGURA 4-3 A folha de versão 6 (TCP/IPv6) Propriedades de Internet Protocol.
Por causa das dificuldades de trabalhar com endereços IPv6 manualmente, os dois seguintes opções são muito mais prevalente. Apátridas automática do endereço IPv6
Quando um computador com o Windows é iniciado, ele inicia o processo de apátridas endereço autoconfiguração, durante o qual se atribui a cada interface de um endereço unicast link-local. Essa atribuição sempre ocorre, mesmo quando a interface é receber um endereço unicast global mais tarde. O link-local endereço permite que o sistema para se comunicar com o roteador no link, o que proporciona instruções adicionais. As etapas do processo de apátridas endereço autoconfiguração são os seguintes. 1.
Criação endereço link-local A implementação do IPv6 no sistema cria um linkendereço local para cada interface, usando o fe80 :: / 64 endereço de rede e geração de uma interface ID, utilizando o controle de acesso de mídia da interface do endereço (MAC) ou um gerador pseudo.
2.
Duplicar a detecção de endereço Usando o IPv6 Neighbor Discovery (ND) protocolo, o sistema transmite uma mensagem de solicitação de vizinho para determinar se qualquer outro computador
no link está usando o mesmo endereço e ouve um Anúncio Neighbor mensagem enviada em resposta. Se não houver resposta, o sistema considera o endereço a ser única sobre o link. Se há uma resposta, o sistema tem de gerar um novo endereço e repetir o procedimento. 3.
Atribuição de endereços da ligação local Quando o sistema determina que a ligação local endereço é único, ele configura a interface para usar esse endereço. Em uma pequena rede consistindo de um único segmento ou link, isso pode ser o endereço permanente do interface de atribuição. Em uma rede com várias sub-redes, a função primária do link-local atribuição de endereços é permitir que o sistema para se comunicar com um roteador no link.
4.
Router Advertisement solicitação O sistema utiliza o protocolo ND para transmitir Mensagens de solicitação de roteador para a todos os roteadores multicast endereço. Estas mensagens obrigar roteadores para transmitir as mensagens de anúncio de roteador com mais freqüência.
5.
Router Advertisement O roteador no link usa o protocolo ND para transmitir Router Advertisement mensagens para o sistema, que contêm informações sobre como o autoconfiguração processo deve prosseguir. As mensagens de Router Advertisement tipicamente fornecer um prefixo de rede, que o sistema irá utilizar com o seu ID interface existente para criar um endereço unicast locais ou global único. As mensagens também pode instruir o sistema para iniciar um processo de autoconfiguração stateful em contato com um específico Servidor DHCPv6. Se não houver um roteador no link, conforme determinado pela falha do sistema para receber mensagens de anúncio de roteador, então o sistema deve tentar iniciar uma processo de configuração automática sem estado.
6.
Configuração de endereços local ou global única Usando as informações que recebe a partir do roteador, o sistema gera um endereço adequado, que pode ser roteado, ou globalmente ou dentro da empresa, e configura a interface para usá-lo. Se assim for instruído, o sistema pode também iniciar um processo de autoconfiguração stateful em contato com o Servidor DHCPv6 especificado pelo roteador e obter um endereço local ou global única a partir desse servidor, junto com outras configurações.
DYNAMIC HOST PROTOCOLO DE CONFIGURAÇÃO V6
Para o administrador da empresa, com uma rede multisegment, será necessário utilizar endereços locais ou globais exclusivos para comunicação de redes, de modo que você nem precisa roteadores que anunciam os prefixos de rede apropriados ou servidores DHCPv6 que podem fornecer endereços com os prefixos corretos. O papel de acesso remoto no Windows Server 2012 suporta roteamento IPv6 e publicidade, e a função de servidor DHCP suporta a atribuição de endereços IPv6.
Planejando uma transição IP Muitos administradores de empresas são tão confortável trabalhando com endereços IPv4 que eles são hesitam em mudar. Network Address Translation (NAT) e CIDR têm sido excelentes tapa-buracos para o esgotamento do espaço de endereço IP de 32 bits por anos, e muitos gostariam de ver
eles continuam como tal. No entanto, a transição IPv6, há muito um fantasma no horizonte distante, é agora, de repente se aproximando em velocidade assustadora, e é tempo para os administradores não familiarizados com as novas tecnologias de apanhar ou ser deixado para trás. A indústria de networking, e em particular a Internet, tem feito grandes investimentos em IPv4 tecnologias, e substituí-los com o IPv6 tem sido um processo gradual. De facto, é um processo gradual processo que deveria ter começado para valer mais de dez anos atrás. No entanto, muitos pessoas tratam seus equipamentos IPv4 como eletrodomésticos: A menos que ele pára de funcionar, não há não há necessidade de substituí-lo. Infelizmente, o dia em que o equipamento pára de funcionar é se aproximando rapidamente. Assim, embora ele ainda não pode ser hora de abraçar exclusivamente IPv6, Os administradores devem ter a transição em mente como eles projetam suas redes e fazer a sua decisões de compra.
Esgotamento dos endereços IPv4 O esgotamento do pool de endereços não alocados IANA ocorreu no dia 31 de janeiro de 2011 um. dos RIRs, o Centro de Informações de Rede Ásia-Pacífico (APNIC), foi esgotada em abril 15, de 2011, e os outros RIRs são esperados para seguir o mesmo caminho em breve.
Os administradores da empresa podem fazer o que quiserem dentro da própria empresa. Se todo o dispositivos de rede no IPv6 apoio organização, elas podem começar a usar endereços IPv6 em qualquer tempo. No entanto, a Internet ainda está firmemente baseada em IPv4, e continuará a sê-lo por vários anos. Portanto, a transição do IPv4 para o IPv6 deve ser um projeto gradual que inclui alguns período de suporte para ambas as versões de IP.
No presente momento, e para o futuro imediato, os administradores devem trabalhar sob a suposição de que o resto do mundo está usando IPv4, e você deve implementar um mecanismo para transmitir o seu tráfego IPv6 através de uma conexão IPv4. Eventualmente, a situação será revertida. Na maior parte do mundo vai estar em execução IPv6, e os restantes tecnologias IPv4 terá que transmitir o tráfego mais velho sobre novas ligações.
Usando uma pilha IP duplo O método mais simples e mais óbvia para a transição do IPv4 para o IPv6 é correr tanto, e isso é o que todas as versões atuais do Windows que, indo para trás, tanto quanto o Windows Server 2008 e Windows Vista. Por padrão, esses sistemas operacionais instalar duas versões do IP e usá-los simultaneamente. Em fato, mesmo se você nunca ouviu falar de IPv6 até hoje, os computadores já estão provavelmente a utilizar -lo, e ter endereços IPv6 link-local que você pode ver, executando o comando ipconfig / all. As implementações da camada de rede no Windows são separados, para que você configurá-los separadamente. Para tanto IPv4 e IPv6, você pode optar por configurar o endereço e outras configurações manualmente, ou o uso de configuração automática. Como o Windows suporta ambas as versões do IP, os computadores podem se comunicar com TCP / IP recursos executando IPv4 ou IPv6. No entanto, a rede de uma empresa inclui outros dispositivos
também, mais particularmente os roteadores, que podem ainda não suportam IPv6. A Internet também é quase tudo Ainda com base em IPv4. Começando imediatamente, os administradores devem se certificar de que nenhum equipamento da camada de rede eles compram inclui suporte para IPv6. Não fazer isso irá quase certamente custar-lhes mais tarde.
Tunneling Neste momento, existem muitos serviços de rede que são IPv4-only, e comparativamente poucos que exigem IPv6. Esses serviços IPv6 está vindo, no entanto. O recurso de rede remoto DirectAccess no Windows Server 2012 e Windows 8 é uma exemplo de um IPv6-só tecnologia, e muito de sua complexidade deve-se a necessidade de estabelecer conexões IPv6 sobre IPv4 Internet. O principal método para a transmissão de tráfego IPv6 em uma rede IPv4 é chamado tunelamento. De encapsulamento, neste caso, é o processo pelo qual um sistema encapsula um datagrama IPv6 dentro um pacote IPv4, como mostrado na Figura 4-4. O sistema em seguida, transmite o pacote IPv4 a sua destino, com nenhum dos sistemas intermediários conscientes do conteúdo do pacote.
FIGURA 4-4 Tráfego IPv6 encapsulado dentro de um datagrama IPv4.
De encapsulamento pode funcionar em uma grande variedade de configurações, dependendo da infra-estrutura de rede, inclusive de roteador para roteador, host-to-host, router-to-host e host-to-router. No entanto, o configuração mais comum é a de roteador para roteador, como no caso de uma conexão IPv4-only entre uma filial IPv6 e um escritório em casa IPv6, como mostrado na Figura 4-5.
FIGURA 4-5 Duas redes IPv6 conectadas por um túnel IPv4.
Os dois roteadores suportam o IPv4 eo IPv6, e as redes locais em cada local usar IPv6. No entanto, o elo de ligação dos dois sites é IPv4-only. Com a criação de um túnel entre o roteadores nos dois escritórios, usando suas interfaces IPv4, eles podem trocar tráfego IPv6, conforme necessário.
Computadores em um ou outro site pode enviar tráfego IPv6 para o outro site, e os roteadores são responsáveis para encapsular os dados IPv6 em pacotes IPv4 para a viagem através do túnel. O Windows suporta vários métodos de encapsulamento diferentes, tanto manual e automático, como descritos nas seções seguintes. CONFIGURAÇÃO DE TÚNEIS MANUALMENTE
É possível criar manualmente túneis semipermanentes que carregam o tráfego IPv6 através de um IPv4 só rede. Quando um computador com o Windows Server 2012 ou Windows 8 está funcionando como uma das extremidades do túnel, você pode usar o seguinte comando:
Neste comando, a interface é um nome amigável que você deseja atribuir para o túnel que você está criação e localAddress e remoteaddress são os endereços IPv4 que formam as duas extremidades o túnel. Um exemplo de um comando real seria a seguinte:
CONFIGURAÇÃO DE TÚNEIS AUTOMATICAMENTE
Há também uma série de mecanismos que criam automaticamente túneis ao longo do IPv4 ligações. Trata-se de tecnologias projetadas para ser soluções temporárias durante a transição do IPv4 para o IPv6. Todos eles incluem um mecanismo que permite indicar um endereço IPv4 em IPv6 formato. As tecnologias IPv4-para-IPv6 transição que suporta o Windows são descritos na seções seguintes.
6TO4
O mecanismo 6to4 incorpora essencialmente as conexões de uma rede IPv4 para o IPv6 infra-estrutura através da definição de um método para expressar os endereços IPv4 e IPv6 em formato encapsular o tráfego IPv6 em pacotes IPv4.
ISATAP
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) é um protocolo de tunelamento automático usado pelos sistemas operacionais do Windows da estação de trabalho que emula uma ligação IPv6 usando um IPv4 rede. ISATAP também converte os endereços IPv4 em formato de endereço da camada de enlace IPv6, mas ele usa um método diferente 6to4. Não ISATAP não suporta multicast, por isso não pode localizar roteadores da forma habitual, utilizando o protocolo de descoberta Vizinho. Em vez disso, o sistema compila um potencial lista de roteadores (PRL), usando consultas DNS e envia mensagens Router Discovery a eles em uma base regular, usando o Internet Control Message Protocol versão 6 (ICMPv6).
TEREDO
Para usar encapsulamento 6to4, ambos os pontos finais do túnel deve possuir endereços IPv4. No entanto, em muitas redes, o sistema que deveria funcionar como o ponto final está localizado atrás
um roteador NAT, e, portanto, tem um endereço não registrado. Em tal caso, o único registado endereço disponível é atribuído ao próprio roteador NAT, ea menos que o roteador suporta 6to4 (O que muitos não fazem), é impossível estabelecer o túnel. Teredo é um mecanismo que aborda esta lacuna, permitindo que os dispositivos atrás não Routers IPv6 NAT funcionar como extremidades do túnel. Para fazer isso, Teredo encapsula pacotes IPv6 dentro de datagramas (UDP), em vez de rede de camada da camada de transporte User Datagram Protocol Datagramas IPv4, como 6to4 faz. Para um cliente Teredo funcionar como uma extremidade do túnel, ele deve ter acesso a um servidor Teredo, com o qual ele troca mensagens solicitação de roteador e de anúncio de roteador para determinar se o cliente está localizado atrás de um roteador NAT Para iniciar as comunicações, um intercâmbio de cliente Teredo nulo pacotes chamados de bolhas com o destino desejado, utilizando os servidores Teredo em cada extremidade, como intermediários. A função do mensagens bolha é criar mapeamentos para ambos os computadores em roteadores de cada um NAT.
Objetivo resumo
O espaço de endereçamento IPv4 consiste em endereços de 32 bits, anotado como quatro decimal 8bit os valores de 0 a 255, separadas por períodos de, como no exemplo 192.168.43.100. Isto é conhecido como notação decimal com pontos, e os valores decimais de 8 bits individuais são chamados octetos ou bytes. Porque a máscara de sub-rede associada com endereços IP pode variar, pode assim o número de bits usados para identificar a rede eo host. O padrão IP originais define três classes de endereços para a atribuição de redes, que suportam diferentes números de redes e hosts.
Por causa de seu desperdício, abordando classful foi gradualmente tornada obsoleta por uma série de métodos de sub-rede, incluindo VLSM e, eventualmente, CIDR.
Quando um computador com o Windows é iniciado, ele inicia a apátridas endereço IPv6 processo de configuração automática, durante a qual ele atribui a cada interface de um unicast linklocal endereço.
O método mais simples e mais óbvia para a transição do IPv4 para o IPv6 é executar ambos, e isso é o que todas as versões atuais do Windows fazer.
O principal método para a transmissão de tráfego IPv6 em uma rede IPv4 é chamada tunelamento. O encapsulamento é o processo pelo qual um sistema encapsula um datagrama IPv6 dentro de um pacote IPv4.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
2.
3.
4.
5.
Qual dos seguintes é o principal método para a transmissão de tráfego IPv6 em uma IPv4 rede? A.
Sub-redes
B.
Tunneling
C.
Supernetting
D.
Contratante
Qual dos seguintes é o IPv6 equivalente a um endereço IPv4 privado? A.
Link-local endereço unicast
B.
Unicast endereço único global
C.
Único endereço unicast locais
D.
Endereço anycast
Qual dos seguintes é um protocolo de tunelamento automático usado por operacional Windows sistemas que estão localizados atrás roteadores NAT? A.
Teredo
B.
6to4
C.
ISATAP
D.
APIPA
Que tipo de endereço IP deve ter um sistema para ser visível a partir da Internet? A.
Registrado
B.
Binário
C.
Classe B
D.
Sub-redes
Qual dos seguintes valores de máscara de sub-rede que você usa ao configurar uma rede TCP / IP cliente com um endereço IPv4 na rede 172.16.32.0/19? A.
255.224.0.0
B.
255.240.0.0
C.
255.255.224.0
D.
255.255.240.0
E.
255.255.255.240
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre este objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. O administrador de empresa atribuiu Arthur o endereço de rede 172.16.8.0/25 para a rede da filial que ele está construindo. Arthur calcula que isso lhe dá 126 (27) endereços IP, o que é suficiente para o seu rede, mas ele determinou que ele precisa de seis sub-redes com pelo menos 10 hosts em cada um. Com isto em mente, responda às seguintes perguntas: 1.
Como Arthur sub-rede do endereço que lhe foi dado para satisfazer suas necessidades?
2.
Quais os endereços e máscaras de sub-rede IP dos computadores da sua filial uso de rede?
Objetivo 4.2: Configurar servidores Raramente acontece que o servidor está pronto para executar todas as tarefas que você tem planejado para ele imediatamente após a instalação. Normalmente alguma configuração pós-instalação é necessária, e outras alterações de configuração podem ser necessários depois que o servidor estiver em serviço.
Este objectivo abrange a forma de:
Criar e configurar escopos
Configurar uma reserva DHCP
Configurar opções de DHCP
Configure o cliente eo servidor para a inicialização PXE Configurar agente de retransmissão DHCP Autorizar servidor DHCP
Compreender DHCP DHCP é um serviço que configura automaticamente o endereço de IP e outras configurações de TCP / IP em computadores da rede por atribuir endereços de um pool (chamado de escopo) e recuperando-los quando eles não estão em uso. Além de ser uma tarefa demorada, configurando manualmente clientes TCP / IP pode resultar em erros tipográficos que causam abordar conflitos que interrompem as comunicações da rede. DHCP evita que esses erros e oferece muitas outras vantagens, incluindo automático
atribuição de novos endereços em que os computadores são movidos de uma sub-rede para outra e recuperação automática de endereços que não estão mais em uso. DHCP consiste em três componentes, como se segue:
Um aplicativo de servidor DHCP, que responde às solicitações do cliente para a configuração TCP / IP definições
Um cliente DHCP, que emite pedidos de servidores e aplica a configuração TCP / IP configurações que recebe para o computador local
Um protocolo de comunicações de DHCP, que define os formatos e as seqüências do mensagens trocadas por clientes e servidores DHCP
Todos os sistemas operacionais Microsoft Windows incluem recursos de cliente DHCP, e todos os sistemas operacionais de servidores (incluindo o Windows Server 2012) incluem o DHCP Microsoft Servidor. Os padrões DHCP definir três métodos de alocação de endereços IP diferentes, que são tão segue:
Alocação dinâmica O servidor DHCP atribui um endereço IP a um computador cliente a partir de um escopo, por um período de tempo especificado. Cada cliente deve renovar periodicamente a locação para continuar usando o endereço. Se o cliente permite que o contrato de arrendamento expirar, o endereço é devolvido para a possibilidade de transferência para outro cliente. Alocação automática O servidor DHCP atribui permanentemente um endereço IP para um computador cliente a partir de um escopo. Uma vez que o servidor DHCP atribui o endereço para o cliente, a única maneira de mudar isso é reconfigurar o computador manualmente. Alocação manual O servidor DHCP atribui permanentemente um endereço IP específico para a computador específico na rede. No servidor DHCP do Windows Server 2012, endereços alocados manualmente são chamados de reservas.
Além de endereços IP, DHCP, também pode proporcionar os clientes com os valores para a outra parâmetros necessários para configurar um cliente TCP / IP, incluindo uma máscara de sub-rede, gateway padrão e Endereços de servidor DNS. O objectivo é o de eliminar a necessidade de qualquer configuração de TCP / IP manual em um sistema de cliente. Por exemplo, o servidor de DHCP Microsoft inclui mais do que 50 parâmetros de configuração, que podem entregar juntamente com o endereço IP, ainda que Clientes Windows só pode usar um subconjunto desses parâmetros. Comunicações DHCP utilizam oito tipos diferentes de mensagens, os quais utilizam a mesma formato do pacote básico. Tráfego DHCP é realizada dentro de datagramas UDP / IP padrão, usando a porta 67 no o servidor e porta 68 para o cliente.
Opções de DHCP O campo de opções de DHCP é uma área de pega-tudo projetado para transportar os vários parâmetros (exceto o endereço IP) utilizado para configurar pilha TCP / IP do sistema cliente. Porque você pode configurar um Servidor DHCP para oferecer muitas opções para os clientes, definindo campos separados para cada um seria impraticável.
A opção de mensagem TIPO DHCP
A opção DHCP tipo de mensagem identifica a função geral da mensagem DHCP e é necessária em todos os pacotes de DHCP. O protocolo de comunicação DHCP define oito diferentes tipos de mensagens, como segue:
DHCPDISCOVER servidor
DHCPOFFER Usado por servidores para oferecer endereços IP para clientes solicitantes
DHCPREQUEST
Usado por clientes de aceitar ou renovar uma atribuição de endereço IP
DHCPDECLINE
Usado por clientes para rejeitar um endereço IP oferecido
DHCPACK endereço
DHCPNAK
Usado por clientes para solicitar os parâmetros de configuração de um servidor DHCP
Usado por servidores para confirmar a aceitação de um cliente de um IP oferecido
Usado por servidores de rejeitar a aceitação de um cliente de um endereço IP oferecido DHCPRELEASE Usado por clientes de rescindir uma concessão de endereço IP DHCPINFORM Usado pelos clientes para obter a configuração TCP / IP adicional parâmetros de um servidor
BOOTP Informações do Vendedor EXTENSÕES
Essas opções incluem muitos dos parâmetros de configuração TCP / IP básicos utilizados pela maioria cliente sistemas, tais como o seguinte:
Máscara de sub- Especifica quais bits do endereço IP identificam o sistema host e quais bits identificam a rede onde o sistema host reside
Router Especifica o endereço IP do roteador (ou gateway padrão) no local, segmento de rede que o cliente deve usar para transmitir aos sistemas em outra rede segmentos
Nome de Domínio Servidor Especifica os endereços IP dos servidores que o cliente vai usar para resolução de nomes DNS
Nome do host Especifica o nome de host DNS do sistema cliente utilizará
Nome de Domínio Especifica o nome de domínio DNS em que o sistema irá residir
EXTENSÕES DHCP
Estas opções são usadas para fornecer parâmetros que regem a negociação de concessão DHCP e processos de renovação.
Solicitado Endereço IP o servidor
Endereço IP Lease Time Especifica a duração de um endereço IP alocado dinamicamente arrendamento
Usado pelo cliente para solicitar um determinado endereço IP a partir de
Identificador Servidor Especifica o endereço IP do servidor envolvido em um DHCP operação; utilizado pelo cliente para tratar unicasts para o servidor
Pedido Lista de Parâmetros Usado pelo cliente para enviar uma lista de configuração solicitada opções (identificados pelos seus números de código), para o servidor
Mensagem Usado para transportar uma mensagem de erro do servidor para o cliente em um DHCPNAK mensagem
Renovação (T1) valor do tempo Especifica o período de tempo que deve decorrer antes de um IP concessão do endereço entra no estado de renovação
Valor religação (T2) tempo Especifica o período de tempo que deve decorrer antes de um IP concessão do endereço entra no estado de religação
Comunicações DHCP Para projetar uma estratégia de DHCP para uma rede corporativa e implantá-lo corretamente exige uma compreensão das comunicações que ocorrem entre clientes e servidores DHCP. Em Computadores com Windows, o cliente DHCP é ativado por padrão, embora não seja mencionado por nome na interface. Obter um endereço IP automaticamente opção no Protocolo Internet Folha de versão 4 (TCP/IPv4) e a opção Obter um endereço IPv6 automaticamente em o controle de folha de Internet Protocol Version 6 (TCP/IPv6) Propriedades de ativação do cliente para IPv4 e IPv6, respectivamente.
ARRENDAMENTO DHCP NEGOCIAÇÃO
Comunicação DHCP é sempre iniciada pelo cliente, como se mostra na Figura 4-6, e procede conforme segue:
FIGURA 4-6 O processo de atribuição de endereço IP do DHCP.
1.
Quando um computador pela primeira vez com o cliente DHCP ativo, o cliente gera uma série de mensagens DHCPDISCOVER para solicitar uma atribuição de endereço IP a partir de um servidor DHCP e transmite-os sobre a rede local.
2.
Todos os servidores DHCP que receberam as mensagens de difusão DHCPDISCOVER gerar DHCPOFFER mensagens contendo um endereço IP e outra configuração TCP / IP parâmetros e transmiti-los para o cliente.
3.
Após um determinado período, o cliente deixa de radiodifusão e sinaliza sua aceitação
um dos endereços oferecidos pela geração de uma mensagem contendo o DHCPREQUEST endereço do servidor a partir do qual está a aceitar a oferta, e transmiti-lo no rede local. 4.
Quando o servidor que oferece o endereço IP aceita recebe o DHCPREQUEST mensagem, ele adiciona o endereço IP oferecido e outros ajustes para seu banco de dados.
5.
O servidor, então, transmite uma mensagem DHCPACK para o cliente, reconhecendo a a conclusão do processo. Se o servidor não pode completar a tarefa, ele transmite um DHCPNAK mensagem para o cliente e todo o processo começa novamente.
6.
Como teste final, o cliente transmite o endereço IP oferecido em uma transmissão usando o Address Resolution Protocol (ARP), para garantir que nenhum outro sistema na rede é usando o mesmo endereço. Se o cliente não recebe nenhuma resposta à difusão ARP, o DHCP transação seja concluída. Se outro sistema não responder à mensagem ARP, o cliente descarta o endereço IP e transmite uma mensagem DHCPDECLINE ao servidor, anulando a transação. O cliente então reinicia todo o processo.
ARRENDAMENTO DHCP RENOVAÇÃO
Por padrão, o serviço do servidor DHCP no Windows Server 2012 usa alocação dinâmica, leasing IP endereços a clientes por períodos de oito dias. Em intervalos periódicos durante o curso do contrato de arrendamento, o cliente tenta entrar em contato com o servidor para renovar a concessão, conforme mostrado na Figura 4-7, usando o seguinte procedimento:
FIGURA 4-7 O processo de renovação de endereço IP do DHCP.
1.
Quando o cliente DHCP atinge o ponto de 50 por cento da duração do contrato de arrendamento (o chamado valor do tempo de renovação ou valor T1), o cliente começa a gerar DHCPREQUEST mensagens e transmiti-las para o servidor DHCP segurando o arrendamento como unicasts.
2.
Se o servidor não responder pelo tempo que o cliente chega ao ponto de 87,5 por cento dos a duração do contrato de locação (chamado de valor de tempo de religação ou valor T2), o cliente começa transmitir suas mensagens DHCPREQUEST como transmissões em uma tentativa de solicitar um IP abordar atribuição de qualquer servidor DHCP na rede.
3.
Se o servidor recebe a mensagem DHCPREQUEST do cliente, ele responde com ou uma mensagem DHCPACK, aprovando o pedido de renovação da concessão, ou um DHCPNAK mensagem, que termina o contrato de arrendamento. Se o cliente não recebe respostas ao seu DHCPREQUEST mensagens pelo tempo a concessão expirar, ou se receber um DHCPNAK mensagem, o cliente libera seu endereço IP. Toda a comunicação TCP / IP, em seguida, deixa, excepto para a transmissão de radiodifusão DHCPDISCOVER.
A implantação de um servidor DHCP Os servidores DHCP operar de forma independente, por isso você deve instalar o serviço e configurar os escopos em cada computador que irá funcionar como um servidor DHCP. O serviço do servidor DHCP é empacotado como um papel no Windows Server 2012, que pode ser instalado usando Adicionar Funções e Recursos Wizard, acessível a partir do console do Server Manager. Quando você instala a função de servidor DHCP em um computador que é membro de um Active Domínio Directory Domain Services, o servidor DHCP é automaticamente autorizado a atribuir IP endereços a clientes que também são membros do mesmo domínio. Se o servidor não é um domínio membro quando você instala o papel, e você juntar-se a um domínio mais tarde, você deve manualmente autorizar o servidor DHCP no domínio clicando com o botão direito do mouse no nó do servidor na DHCP console e, no menu de atalho, a seleção Autorizar.
Depois de instalar a função de servidor DHCP, é necessário configurar o serviço, criando um escopo antes que ele possa atender os clientes.
Criar um âmbito de Um escopo é um intervalo de endereços IP em uma sub-rede particular, que são selecionados para a alocação de um Servidor de DHCP. Nas versões do Windows Server antes de 2012, você pode criar um escopo de como instalar a função de servidor DHCP. No entanto, no Windows Server 2012, os procedimentos são separados. Para criar um escopo usando o DHCP snap-in para o Microsoft Management Console (MMC), use o procedimento a seguir. 1. Faça logon no Windows Server 2012 usando uma conta com privilégios administrativos. O Janela do Gerenciador do Servidor será aberta. 2.
Clique em Ferramentas> DHCP. O console DHCP é aberto.
3.
Expanda o nó do servidor eo nó IPv4.
4.
Botão direito do mouse o nó IPv4 e, no menu de atalho, selecione Novo Escopo. O Novo Assistente de Escopo é aberta, exibindo a página de boas-vindas.
5.
Clique em Avançar. A página Nome Âmbito aparece.
6.
Digite um nome para o escopo na caixa de texto Nome e clique em Avançar. O endereço IP Página gama abre, como mostrado na Figura 4-8.
Figura 4-8 A página Intervalo de endereços no console DHCP.
7.
Na caixa de texto Endereço IP inicial, digite o primeiro na faixa de endereços que você deseja atribuir. Na caixa Endereço IP do fim, digite o último endereço no intervalo.
8.
Na caixa de texto máscara de sub-rede, digite o valor da máscara de sub-rede em que o escopo irá operar e clique em Avançar. O Adicionar exclusões e Delay página aparece.
9.
Nas caixas de texto Endereço IP endereço e finais Iniciar IP, especifique um intervalo de endereços que você quer excluir do âmbito. Você também pode especificar um intervalo de tempo entre a recebimento do servidor de mensagens DHCPDISCOVER e sua transmissão de DHCPOFFER mensagens. Em seguida, clique em Avançar para abrir a página Duração da Concessão.
10. Especifique o comprimento dos contratos de arrendamento para os endereços no escopo e clique em Avançar. O Página Configurar Opções de DHCP é aberto. 11. Selecione Sim, desejo configurar essas opções agora e clique em Avançar. O Router (Gateway Padrão) página se abre, como mostrado na Figura 4-9.
FIGURA 4-9 A página Router (Gateway Padrão) no console DHCP.
12. Na caixa de texto Endereço IP, especifique o endereço de um roteador na sub-rede servido pelo escopo e clique em Adicionar. Em seguida, clique em Avançar. A página Nome de domínio e servidores DNS abre. 13. Na caixa de texto Nome do servidor, digite o nome de um servidor DNS na rede e clique Resolver ou digite o endereço de um servidor DNS na caixa de texto Endereço IP e clique em Adicionar. Em seguida, clique em Avançar. A página Servidores WINS abre. 14. Clique em Avançar para abrir a página Âmbito Ativar. 15. Selecione Sim, desejo ativar este escopo agora e clique em Avançar. Concluindo o Assistente página Âmbito Nova abre. 16. Clique em Concluir para fechar o assistente. 17. Feche o console DHCP. Uma vez que a instalação da função estiver completa, todos os clientes DHCP na sub-rede identificada na escopo que você criou pode obter seus endereços IP e outros parâmetros de configuração TCP / IP via DHCP. Você também pode usar o console DHCP para criar escopos adicionais para outras sub-redes.
Configurando opções de DHCP O Assistente de New Scope permite que você configure algumas das DHCP mais usado opções como você criar um novo escopo, mas você sempre pode configurar as muitas outras opções em um tempo mais tarde.
O servidor DHCP do Windows suporta dois tipos de opções:
As opções de escopo Opções fornecidos somente para clientes DHCP receber endereços de um especial escopo
Opções de servidor Opções fornecidas para todos os clientes DHCP que recebem endereços da servidor
A opção Router é um exemplo típico de uma opção de escopo, porque padrão de um cliente DHCP endereço do gateway deve estar na mesma sub-rede que o endereço IP. A opção Servidores DNS é tipicamente uma opção de escopo, porque os servidores DNS não tem que estar na mesma sub-rede e redes costumam usar os mesmos servidores de DNS para todos os seus clientes. Todas as opções suportadas pelo servidor DHCP do Windows pode ser escopo ou servidor opções, e o processo de configuração deles é basicamente o mesmo. Para configurar um escopo opção, clique com o botão direito no nó Opções de escopo e, a partir do menu de atalho, selecione Configurar Opções. A caixa de diálogo Opções de escopo, que fornece controles apropriados para cada um dos opções disponíveis, abre (Figura 4-10).
FIGURA 4-10 A caixa de diálogo Opções de escopo.
Clicando com o botão direito no nó Opções de servidor permite que você abra a caixa de diálogo Opções do servidor, que se comporta exatamente da mesma maneira.
Criação de uma reserva Apesar de DHCP é uma excelente solução de configuração TCP / IP para a maioria dos computadores em uma rede, há alguns para os quais não é. Os controladores de domínio, servidores web da Internet e Os servidores DHCP próprios precisa endereços IP estáticos.
Porque o método de alocação dinâmica DHCP permite a possibilidade de que de um computador Endereço IP pode mudar, não é apropriado para estas funções específicas. No entanto, isso ainda é possível atribuir endereços para esses computadores com DHCP, usando o manual, em vez de dinâmica, alocação. Em um servidor Windows DHCP, um endereço alocado manualmente é chamado de reserva. Você cria uma reserva, expandindo o nó escopo, clicar com o botão direito no nó Reservas, e, a partir No menu de atalho, selecionando nova reserva. A caixa de diálogo Nova reserva abre, como mostrado na Figura 4-11.
FIGURA 4-11 A caixa de diálogo do servidor DHCP nova reserva.
Nesta caixa de diálogo, você pode especificar o endereço IP que pretende atribuir e associá-lo ao o endereço MAC do computador cliente, que é codificado em seu adaptador de interface de rede. Claro, também é possível configurar manualmente cliente TCP / IP do computador, mas a criação de uma reserva DHCP garante que todos os seus endereços IP são geridos por seu DHCP servidores. Em uma grande empresa, onde vários administradores podem estar lidando com DHCP e Problemas de configuração TCP / IP, o endereço IP que um técnico atribui manualmente a um computador poderá ser incluída em um escopo DHCP por outro técnico, resultando em potencial abordando conflitos. Reservas criar um registro permanente da atribuição de endereço IP no DHCP servidor.
Usando PXE Os sistemas operacionais Windows incluem um cliente DHCP que pode configurar o endereço IP e outras configurações TCP / IP de computadores com um sistema operacional já instalado. No entanto, é também é possível para um metal nu computador, isto é, um computador sem sistema operacional instalado, para usar DHCP. O Preboot Execution Environment (PXE) é um recurso incorporado muitas de interface de rede adaptadores que lhes permite conectar a um servidor DHCP na rede e obter TCP / IP configurações do cliente, mesmo quando não há nenhum sistema operacional no computador. Administradores
normalmente usam esta capacidade para automatizar o processo de implantação do sistema operacional em grande frotas de estações de trabalho. Além de configurar o endereço IP e outras configurações do cliente de TCP / IP no computador, o servidor de DHCP pode também providenciar a estação de trabalho com uma opção de especificar a localização de um arquivo de inicialização que o sistema pode baixar e usar para iniciar o computador e iniciar um Windows instalação do sistema operacional. Um sistema de downloads PXE equipados arquivos de inicialização usando o Trivial File Transfer Protocol (TFTP), uma versão simplificada do protocolo FTP, que não requer autenticação. Windows Server 2012 inclui uma função chamada Windows Deployment Services (WDS), que permite aos administradores gerenciar arquivos de imagem que estações de trabalho remotas pode usar para iniciar e instalar o Windows. Para um adaptador PXE para acessar imagens WDS, o servidor DHCP na rede deve ter uma opção PXEClient personalizado (opção 60) configurado com a localização do WDS servidor da rede. O cliente PXE na estação de trabalho normalmente não precisa de configuração, exceto, possivelmente, por um alteração da ordem de inicialização, para que o computador tenta uma inicialização de rede antes utilizando os dispositivos locais. Em uma instalação WDS configurado corretamente do Windows 8, o sistema operacional cliente processo de implantação prossegue da seguinte forma: 1.
O computador cliente é iniciado e, não encontrando dispositivo de boot local, tenta executar uma inicialização de rede.
2.
O computador cliente se conecta a um servidor DHCP na rede, a partir do qual ele obtém uma mensagem DHCPOFFER contendo um endereço IP e outras configuração TCP / IP parâmetros, mais a opção PXEClient 060, que contém o nome de um servidor WDS.
3.
O cliente se conecta ao servidor WDS e é fornecido com um arquivo de imagem de inicialização, o que downloads usando TFTP.
4.
O cliente carrega o Windows PE eo cliente WDS a partir do arquivo de imagem de inicialização em uma RAM disco (um disco virtual criado a partir da memória do sistema) e exibe um menu de inicialização contendo uma lista das imagens de instalação disponíveis a partir do servidor do WDS.
5.
O usuário no computador cliente seleciona uma imagem de instalação a partir do menu de inicialização, eo processo de instalação do sistema operacional começa. A partir deste ponto, o processo de instalação procede exatamente como uma instalação manual. Windows Deployment Services
Para mais informações sobre como usar WDS, ver Objectivo 1.1, "Implantar e Gerenciar Servidor Imagens ", no Exame 70-411," Administrando o Windows Server 2012 ".
A implantação de um agente de retransmissão Se você optar por criar DHCP uma infra-estrutura centralizada ou híbrida DHCP, você vai precisar de um relé DHCP agente em cada sub-rede que não tem um servidor DHCP nele. Muitos roteadores são capazes de
funcionando como agentes de retransmissão DHCP, mas em situações onde eles não são, você pode configurar um Computador com Windows Server 2012 para funcionar como um agente de retransmissão, usando o seguinte procedimento. 1. Faça logon no Windows Server 2012 usando uma conta com privilégios administrativos. O Janela do Gerenciador do Servidor será aberta. 2.
Usando o Adicionar Funções e Recursos Wizard, instalar a função de acesso remoto, incluindo o Serviço de função de encaminhamento.
3.
Clique em Abrir O Getting Started Wizard. O Configurar Acesso Remoto Assistente Iniciado abre.
4.
Clique em Implementar VPN Only. O console de Roteamento e acesso remoto aparece.
5.
Botão direito do mouse no nó do servidor e, no menu de atalho, selecione Configurar e ativar Roteamento e Acesso Remoto. O Assistente de Configuração do Servidor de Roteamento e Acesso Remoto aparece.
6.
Clique em Avançar para ignorar a página de boas-vindas. A página de configuração se abre, como mostrado na Figura 4-12.
Conseguir
FIGURA 4-12 A página de configuração do Assistente de Configuração do Servidor de Roteamento e Acesso
Remoto.
7. 8.
9.
Selecione Configuração personalizada e clique em Avançar. A página de configuração personalizada aparece. Selecione a caixa de seleção LAN roteamento e clique em Avançar. Concluindo o Routing E Página Assistente de configuração de acesso remoto Server abre.
Clique em Concluir. Uma caixa de mensagem de encaminhamento e acesso remoto será exibida, solicitando que você iniciar o serviço. 10. Clique em Iniciar serviço.
11. Expanda o nó IPv4. Em seguida, clique com o botão direito no nó Geral e, no menu de atalho, selecione Novo protocolo de roteamento. A caixa de diálogo New Routing Protocol aparece. 12. Selecione Agente de retransmissão DHCP e clique em OK. Um nó de agente de retransmissão DHCP aparece, subordinado ao nó IPv4. 13. Botão direito do mouse no nó Agente DHCP Relay e, no menu de atalho, selecione Novo Interface. A caixa de diálogo Nova Interface Para DHCP Relay Agent aparece. 14. Selecione a interface para a sub-rede na qual você deseja instalar o agente de retransmissão e clique em OK. Aparece a folha de propriedades de retransmissão DHCP para a interface. 15. Deixe a caixa de retransmissão DHCP pacotes selecionado e configurar o seguinte configurações, se necessário.
Hop limiar de contagem Especifica o número máximo de agentes de retransmissão que o DHCP as mensagens podem passar antes de ser descartado. O valor padrão é 4 eo valor máximo é 16. Essa configuração impede que mensagens DHCP sejam retransmitidas indefinidamente à volta da rede.
Limiar Bota Especifica o intervalo de tempo (em segundos) que o agente de retransmissão deve esperar antes de enviar cada mensagem DHCP que recebe. O valor padrão é 4 segundos. Esta configuração permite que você controle qual servidor DHCP processa o clientes para uma sub-rede particular.
16. Clique em OK. 17. Botão direito do mouse no nó Agente de retransmissão DHCP e, no menu de atalho, selecione Propriedades. A folha de propriedades do agente de retransmissão DHCP aparece, como mostrado na Figura 4-13.
FIGURA 4-13 O DHCP folha de Propriedades do agente de
retransmissão.
18. Digite o endereço IP do servidor de DHCP para o qual você deseja que o agente para retransmitir mensagens e clique em Adicionar. Repita este passo para adicionar servidores adicionais, se necessário.
19. Clique em OK. 20. Feche o console Roteamento e Acesso Remoto. Neste ponto, o servidor está configurado para transmitir mensagens de DHCP para os endereços de servidor você especificada.
Objetivo resumo
DHCP é um serviço que configura automaticamente o endereço IP e outras TCP / IP configurações nos computadores de rede por atribuir endereços de um pool (chamado de escopo) e recuperando-los quando eles não estão mais em uso
DHCP é composto por três componentes: um aplicativo de servidor DHCP, um cliente DHCP, e um Protocolo de comunicações de DHCP.
Os padrões DHCP definir três endereços IP diferentes métodos de alocação dinâmica: alocação, a alocação automática e alocação manual.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
Qual dos seguintes é o termo para o componente que permite que os clientes DHCP comunicar com os servidores DHCP em outras sub-redes? A.
Expedidor
B.
Resolver
C.
Escopo
D. 2.
3.
Agente de retransmissão Qual dos seguintes tipos de mensagens não é utilizado durante um endereço DHCP de sucesso missão?
A.
DHCPDISCOVER
B.
DHCPREQUEST
C.
DHCPACK
D.
DHCPINFORM
Qual dos seguintes tipos de alocação de endereços DHCP é o equivalente a um reserva no Windows Server 2012? A.
Alocação dinâmica
B.
Alocação automática
C.
Alocação manual
D.
Alocação híbrido
4.
5.
Qual dos seguintes componentes de rede são tipicamente capaz de funcionar como Agentes de retransmissão DHCP? A.
O Windows 8 computadores
B.
Roteadores
C.
Switches
D.
Computadores com Windows Server 2012
Qual dos seguintes parâmetros TCP / IP geralmente é implantado como uma opção de escopo em DHCP? A.
Servidor DNS
B.
Máscara de sub-
C.
Duração da concessão
D.
Gateway Padrão
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre este objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Depois de implantar um grande número de computadores portáteis sem fio na rede, Ralph, o diretor de TI da Contoso, Ltd., decide usar DHCP para permitir que o laptop usuários para se deslocar de uma sub-rede para outra sem ter que reconfigurar manualmente seus endereços IP. Logo após a implantação DHCP, no entanto, Ralph percebe que alguns dos escopos de endereços IP estão se esgotando, o que resultou em alguns computadores sendo incapaz de se conectar a uma nova sub-rede. Com isto em mente, responda a seguinte pergunta: O que Ralph pode fazer para resolver este problema, sem alterar a rede sub-redes?
Objectivo 4.3: implantar e configurar o serviço DNS DNS é um elemento crucial de ambos Internet e as comunicações do Active Directory. Todos os TCP / IP comunicação é baseada em endereços IP. Cada computador numa rede tem pelo menos um interface de rede, que é chamado de um hospedeiro, em linguagem TCP / IP, e cada máquina tem um endereço IP que é único na rede. Cada datagrama transmitido por um sistema de TCP / IP contém o IP endereço do computador de envio eo endereço IP do destinatário. No entanto, quando usuários acessar uma pasta compartilhada na rede ou um site na Internet, o fazem por especificando ou selecionar um nome de host, e não um endereço IP. Isto é porque os nomes são muito mais fáceis de
lembrar e usar de endereços IP. Este objectivo abrange a forma de:
Configurar a integração do Active Directory de zonas primárias
Configure forwarders
Configure dicas de raiz
Gerenciar cache DNS
Criar A e PTR registros de recursos
Compreender a arquitetura DNS Para os sistemas de TCP / IP para usar esses nomes de host amigáveis, eles devem ter alguma forma de descobrir o Endereço IP associado a um nome específico. Nos primeiros dias de trabalho em rede TCP / IP, cada computador tinha uma lista de nomes e seus endereços IP equivalentes, chamada de tabela de host. Naquele tempo, havia poucos computadores suficientes na Internet incipiente para a manutenção e distribuição de uma tabela de host único para ser prático. Hoje, há muitos milhões de computadores na Internet, bem como a idéia de manter e distribuição de um único arquivo contendo nomes para todos eles é um absurdo. Em vez de uma mesa de acolhimento armazenada em cada computador redes, TCP / IP servidores de DNS usar hoje para converter nomes de anfitrião em Endereços IP. Este processo de conversão é referida como a resolução de nome. Na sua essência, o DNS é ainda uma lista de nomes e seus endereços IP equivalentes, mas o métodos para criar, armazenar e recuperar esses nomes é muito diferente daqueles em um host tabela. O DNS é composto por três elementos:
O espaço de nomes DNS Os padrões de DNS definir um namespace estruturado em árvore em que cada ramo da árvore identifica um domínio. Cada domínio contém uma coleção de registros de recursos que contêm nomes de host, endereços IP e outras informações. Operações de consulta são as tentativas para recuperar os registros de recursos específicos de uma determinada domínio.
Nome servidores Um servidor DNS é um aplicativo em execução em um computador servidor que mantém informações sobre a estrutura da árvore de domínio e (normalmente) contém informações fidedignas sobre um ou mais domínios específicos em que a estrutura. O aplicação é capaz de responder a consultas para obter informações sobre os domínios de qual é a autoridade, e também de consultas de encaminhamento sobre outros domínios para outros servidores de nome. Isso permite que qualquer servidor de DNS para acessar informações sobre qualquer domínio árvore.
Resolvedores Um resolvedor é um programa cliente que gera e envia consultas DNS las para um servidor DNS para o cumprimento. Um resolvedor tem acesso direto a pelo menos um DNS servidor e também pode processar referências para dirigir suas consultas para outros servidores, quando necessário. Na sua forma mais básica, o processo de resolução de nomes DNS é composto por um resolvedor de enviar um nomear solicitação de resolução para o seu servidor DNS designado. Quando o servidor não possuir
informações sobre o nome solicitado, ele encaminha a solicitação para outro servidor DNS na rede. O segundo servidor gera uma resposta que contém o endereço IP do pedido nome e retorna para o primeiro servidor, que retransmite a informação em vez de o resolver, como mostrado na Figura 4-14. Na prática, no entanto, o processo de resolução de nome DNS pode ser consideravelmente mais complexo, como você vai aprender nas seguintes seções.
FIGURA 4-14 DNS servidores equipamento pede e respostas para outros servidores DNS.
Comunicações de DNS Apesar de todas as aplicações da Internet utilizam o DNS para resolver nomes de hosts em endereços IP, este nome processo de resolução é mais fácil de ver quando você está usando um navegador da Web para acessar um site na Internet. Quando você digita uma URL contendo um nome de DNS (por exemplo, www.microsoft.com) para o caixa de endereços do navegador e pressione a tecla Enter, se você olhar rápido o suficiente, você pode ser capaz ver uma mensagem que diz algo como "Finding Site:. www.microsoft.com" Então, alguns segundos depois, você pode ver uma mensagem que diz "Conectando-se", seguido por um endereço IP. Ele É durante esse intervalo que o processo de resolução de nomes DNS ocorre. Do ponto de vista do cliente, o processo que ocorre durante estes poucos segundos consiste do aplicativo de envio de uma mensagem de consulta ao servidor DNS designado que contém o nome a ser resolvido. O servidor responde com uma mensagem contendo o endereço IP correspondente a esse nome. Usando o endereço fornecido, o aplicativo pode transmitir uma mensagem para o destino pretendido. É só quando você examina o papel do servidor DNS no processo que você vê o quão complexo o procedimento realmente é.
Para explicar melhor a relação dos servidores DNS para vários domínios no namespace, o procedimento a seguir esquematiza o processo de resolução de nomes na Internet. 1.
Um usuário em um sistema cliente especifica o nome DNS de um servidor de Internet em um aplicação como um navegador web. A aplicação gera um aplicativo interface de programação (API) chamada para o resolvedor no sistema do cliente, eo resolvedor cria uma mensagem de consulta DNS recursiva contendo o nome do servidor, o que ele transmite para o servidor de DNS identificados na configuração TCP / IP do computador, como mostrado na Figura 4 15.
FIGURA 4-15 O resolvedor cliente envia uma solicitação de resolução de nome para o seu servidor
DNS.
2.
Servidor DNS do cliente, depois de receber a consulta, verifica seus registros de recursos para ver se ele é a fonte de autoridade para a zona que contém o nome do servidor solicitado. Se for não, o que é típico, o servidor DNS gera uma consulta iterativa e submete-lo a um dos servidores de nomes de raiz, como mostrado na Figura 4-16. O servidor de nomes raiz examina o nome solicitado pelo servidor de DNS do cliente e consulta seus registros de recursos para identificar os servidores autorizados para o domínio de nível superior do nome. O servidor de nomes de raiz, em seguida, transmite uma resposta ao servidor DNS do cliente que contém uma referência para o de nível superior endereços de servidor de domínio.
FIGURA 4-16 Servidor DNS do cliente encaminha a solicitação para um servidor de nomes de raiz.
3.
Servidor DNS do cliente, agora na posse do endereço do servidor de domínio de nível superior para o nome solicitado, gera uma nova consulta iterativa e transmite para o de nível superior servidor de domínio, como mostrado na Figura 4-17. O servidor de domínio de nível superior examina a domínio de segundo nível no nome solicitado e transmite uma referência que contém o endereços de servidores autorizados para esse domínio de segundo nível para o cliente do Servidor DNS.
FIGURA 4-17 Servidor DNS do cliente encaminha a solicitação para um servidor de domínio de nível
superior. Combinando passos
No processo de resolução de nomes DNS que acabamos de descrever, o processo de resolução do topnomes de nível e de domínio de segundo nível é retratado em etapas separadas, mas este é muitas vezes não é o caso. Os domínios de nível superior mais comumente utilizados, tais como com, net, org, e estão hospedados pelos servidores de nomes de raiz, o que elimina uma referência inteira de o processo de resolução de nomes.
4.
Servidor DNS do cliente gera ainda outra consulta iterativa e transmite para o servidor de domínio de segundo nível, como mostrado na Figura 4-18. Se o servidor de domínio de segundo nível é a autoridade para a zona que contém o nome solicitado, consulta seu recurso registros para determinar o endereço IP do sistema de pedido e transmite-o em uma resposta mensagem de volta para o servidor DNS que do cliente.
FIGURA 4-18 Servidor DNS do cliente encaminha a solicitação para um servidor de domínio de segundo nível.
5.
Servidor DNS do cliente recebe a resposta do servidor com autoridade e transmite o endereço IP de volta para o resolvedor no sistema cliente, tal como mostrado na Figura 4-19. O resolvedor retransmite o endereço para o aplicativo, que pode, então, iniciar IP comunicações com o sistema especificado pelo usuário.
FIGURA 4-19 Servidor DNS do cliente responde à resolução de clientes.
Dependendo do nome que o cliente está tentando resolver, este processo pode ser mais simples ou consideravelmente mais complexo do que a mostrada aqui. Se, por exemplo, o servidor DNS do cliente é a autoridade para o domínio em que o nome desejado está localizado, nenhum outro servidor ou solicitações interativas são necessárias. Por outro lado, se o nome solicitado contém três ou mais níveis de domínios, pode ser necessário consultas iterativas adicionais.
Este procedimento também assume uma conclusão bem sucedida do processo de resolução de nomes. Se qualquer um dos servidores DNS autoritários consultados retorna uma mensagem de erro de DNS do cliente servidor indicando, por exemplo, que um dos domínios em nome não existe, então este erro mensagem é retransmitida para o cliente eo processo de resolução de nomes é dito ter falhado.
O cache do servidor DNS O processo de resolução de nomes DNS pode parecer longo e complexo, mas em muitos casos, não é necessário para o servidor DNS do cliente para enviar consultas aos servidores para cada domínio especificado em nome DNS solicitado. Isto é porque os servidores DNS são capazes de reter a informação de que aprender sobre o espaço para nome DNS no curso de sua resolução de nomes procedimentos e armazená-lo em um cache na unidade local.
Um servidor DNS que recebe solicitações de clientes, por exemplo, armazena em cache os endereços dos sistemas, bem como os endereços solicitado para servidores de autoridade de domínios particulares. O próxima vez que um cliente solicita a resolução de um nome previamente resolvido, o servidor pode responder imediatamente com as informações armazenadas em cache. Além disso, se um cliente solicita uma outra
nome de um dos mesmos domínios, o servidor pode enviar uma consulta directamente para uma autoridade servidor para esse domínio, e não a um servidor de nomes de raiz. Assim, os nomes em vulgarmente acedida domínios geralmente resolver mais rapidamente, porque um dos servidores ao longo da linha tem informações sobre o domínio em seu cache, enquanto nomes de domínios obscuros levar mais tempo, porque é necessário todo o processo de solicitação / encaminhamento.
O cache é um elemento vital da arquitetura de DNS, pois reduz o número de solicitações enviadas para o nome da raiz e servidores de domínio de nível superior, que, estando no topo da Árvore DNS, são os mais propensos a agir como um gargalo para todo o sistema. No entanto, caches deve ser purgado, eventualmente, e não há uma linha tênue entre o cache eficaz e ineficaz. Como os servidores de DNS manter registros de recursos em seus caches, pode levar horas ou mesmo dias para as alterações feitas em um servidor com autoridade para ser propagada em torno da Internet. Durante esta período, os usuários poderão receber informações incorrectas em resposta a uma consulta. Se a informação permanece em caches de servidores muito tempo, então as mudanças que os administradores fazem com os dados em seus servidores DNS demorar muito para propagar na Internet. Se caches são eliminados também rapidamente, então o número de solicitações enviadas para o nome da raiz e servidores de domínio de nível superior aumenta vertiginosamente. A quantidade de tempo que os dados DNS permanece em cache em um servidor é chamado de tempo de vida (TTL). Diferentemente da maioria dos caches de dados, o TTL não é especificado pelo administrador do servidor onde o cache é armazenado. Em vez disso, os administradores de cada servidor DNS autoritário especificar por quanto tempo os dados para os registros de recursos em seus domínios ou zonas devem ser retidos nos servidores onde é armazenado em cache. Isso permite aos administradores especificar um valor TTL com base na volatilidade dos seus dados de servidor. Em uma rede onde as mudanças nos endereços IP ou a adição de novos recursos registros é freqüente, um valor TTL menor aumenta a probabilidade de que os clientes irão receber atual dados. Em uma rede que raramente muda, você pode usar um valor TTL mais tempo, e minimizar o número de solicitações enviadas para os servidores pai de seu domínio ou zona. Para modificar o valor TTL para uma zona no servidor DNS do Windows Server 2012, clique com o botão direito do mouse na zona, abrir a folha de Propriedades e clique no início de autoridade (SOA) guia, como mostrado na Figura 4-20. Nessa guia, você pode modificar o TTL para essa configuração de registro de seu valor padrão de uma hora.
FIGURA 4-20 O guia Início de autoridade (SOA) em folha Propriedades de um servidor DNS.
Referências e consultas de DNS O processo pelo qual um servidor DNS envia uma solicitação de resolução de nome para outro servidor DNS é chamado uma referência. Referências são essenciais para o processo de resolução de nomes DNS. Como observado no processo descrito anteriormente, o cliente DNS não está envolvido no nome resolução do processo em tudo, exceto para o envio de uma consulta e receber uma resposta. O cliente Servidor de DNS pode ter de enviar referências a vários servidores antes que ele atinja a que tem a informação de que necessita.
Servidores DNS reconhecer dois tipos de solicitações de resolução de nomes, como segue: Consulta recursiva Em uma consulta recursiva, o servidor DNS recebe o nome de resolução pedido assume toda a responsabilidade para resolver o nome. Se o servidor possui informações sobre o nome solicitado, ele responde imediatamente para o solicitante. Se o servidor não tem informações sobre o nome, ele envia encaminhamentos para outros servidores DNS até que ele obtém a informação que necessita. Resolvedores de cliente TCP / IP sempre enviar recursiva consultas para seus servidores DNS designados.
Consulta iterativa Em uma consulta iterativa, o servidor que recebe o nome de resolução pedido imediatamente responde com a melhor informação que possui no momento. DNS servidores utilizam consultas iterativas ao se comunicar com o outro. Na maioria dos casos, ele Seria impróprio para configurar um servidor DNS para enviar uma consulta recursiva para outro Servidor DNS. A única vez que um servidor DNS faz enviar consultas interativas para outro servidor é, no caso de um tipo especial de servidor chamado encaminhador, o qual é especificamente configurado para interagir com outros servidores, desta forma.
Encaminhadores DNS Um dos cenários em que os servidores DNS que enviam consultas recursivas para outros servidores é quando você configurar um servidor para funcionar como um encaminhador. Em uma rede executando vários servidores DNS, você não pode querer que todos os servidores que enviam consultas para outros servidores DNS na Internet. Se a rede tem uma conexão relativamente lenta à Internet, por exemplo, vários servidores transmitindo consultas repetidas pode usar muito da largura de banda disponível. Para evitar isso, a maioria das implementações de DNS permitem a configuração de um servidor para a função como o despachante para todas as consultas de Internet gerados pelos outros servidores na rede. Qualquer vez que um servidor tem de resolver o nome DNS de um sistema de Internet e não consegue encontrar o informações necessárias em seu cache, ele transmite uma consulta recursiva para o encaminhador, que é, em seguida, responsável por enviar as suas próprias consultas interativas sobre a conexão com a Internet. Uma vez que o despachante resolve o nome, ele envia uma resposta de volta para o servidor DNS original, que retransmite para o cliente.
Para configurar encaminhadores em um servidor de DNS do Windows Server 2012, clique com o botão direito no nó do servidor, abrir a folha de Propriedades e clique na guia encaminhadores, como mostrado na Figura 4-21. Nessa guia, você pode adicionar os nomes e endereços dos servidores que você quer que seu servidor para usar como forwarders.
FIGURA 4-21 O guia encaminhadores em folha Propriedades de um servidor DNS.
Resolução de nomes reverso O processo de resolução de nomes descrito anteriormente é projetado para converter nomes de DNS para IP endereços. No entanto, há ocasiões em que é necessária para um computador para converter um IP abordar em um nome de DNS. Isso é chamado de resolução de nome inversa.
Porque a hierarquia de domínio é dividido por nomes de domínio, não há nenhuma maneira aparente para resolver um endereço IP em um nome usando consultas iterativas, exceto encaminhando o inverso nomear solicitação de resolução para todos os servidores DNS na Internet em busca do pedido resolver, que é obviamente impraticável. Para superar este problema, os desenvolvedores do DNS criado um domínio especial chamado in-addr.arpa, projetado especificamente para a resolução de nomes inversa. O segundo nível de in-addr.arpa domínio contém quatro níveis adicionais de subdomínios. Cada um dos quatro níveis consiste subdomínios que são nomeados usando os números de 0 a 255., por exemplo, sob in-addr.arpa, existem 256 domínios de terceiro nível, que têm nomes que variam de 0.in-addr.arpa para 255.in-addr.arpa. Cada uma dessas 256 domínios de terceiro nível tem 256 domínios de quarto nível abaixo ele, também numerados de 0 a 255, e cada domínio quarto nível tem 256 domínios de nível quinto, como mostrado na Figura 4-22. Cada um desses domínios de nível quinto pode ter até 256 hosts na mesma, também numeradas de 0 a 255.
FIGURA 4-22 Os DNS reverter domínio de pesquisa.
Usando esta hierarquia de subdomínios, é possível expressar as três primeiros bytes de um IP tratar como um nome de domínio DNS, e para criar um registro de recurso nomeado para o quarto byte em o domínio de nível quinto apropriado. Por exemplo, para resolver o endereço IP 192.168.89.34 em uma nome, um servidor DNS seria localizar um domínio chamado 89.168.192.in-addr.arpa da maneira usual e ler o conteúdo de um registro de recurso chamado 34 nesse domínio.
Endereços de pesquisa inversa No domínio in-addr.arpa, o endereço IP é invertida no nome de domínio, porque IP endereços tem o bit menos pertinente (isto é, o identificador de acolhimento) no lado direito e no DNS nomes de domínio totalmente qualificado (FQDN), o nome do host é do lado esquerdo.
Implantando um servidor DNS O processo de realmente implantar um servidor de DNS em um computador Windows Server 2012 é simplesmente uma questão de instalar a função de servidor DNS, usando Adicionar Funções e Recursos Assistente de Servidor Manager. A instalação atual não requer nenhuma entrada adicional; não há páginas adicionais em o assistente e não serviços de função para selecionar. Depois de instalar a função de servidor DNS, o computador está pronto para executar nome somente de cache serviços de resolução para todos os clientes que têm acesso a ela. O papel também instala o Gerenciador de DNS console, que você usa para configurar o servidor DNS outras capacidades. Para configurar o servidor para executar outros serviços, consulte as seguintes seções.
Criação de zonas de Uma zona é uma entidade administrativa de criar em um servidor DNS para representar uma porção discreta de o namespace DNS. Os administradores normalmente dividir o espaço para nome DNS em zonas para armazenar los em diferentes servidores e delegar sua administração a pessoas diferentes. Zones sempre consistem de domínios ou subdomínios inteiras. Você pode criar uma zona que contém múltiplas domínios, contanto que esses domínios são contíguos no espaço de nomes DNS. Por exemplo, você pode criar uma zona que contém um domínio pai e seu filho, porque eles são diretamente conectados, mas você não pode criar uma zona que contém dois domínios filho sem a sua comum pai, porque as duas crianças não estão directamente ligados, como mostrado na Figura 4-23.
FIGURA 4-23 Zonas válidos deve consistir de domínios contíguos.
Você pode dividir o espaço para nome DNS em várias zonas e hospedá-los em um único DNS servidor se você quiser, embora normalmente não há razão convincente para fazê-lo. O servidor DNS no Windows Server 2012 pode suportar cerca de 200.000 fusos em um único servidor, embora É difícil imaginar um cenário que exige que muitos. Na maioria dos casos, um administrador cria várias zonas em um servidor e depois delega a maior parte deles para outros servidores, que em seguida, tornar-se responsável pela hospedagem deles.
Cada zona é composta por uma base de dados de zona, que contém os registros de recursos para a domínios em que zona. O servidor de DNS no Windows Server 2012 oferece suporte a três tipos de zona, que especificam onde o servidor armazena o banco de dados de zona e que tipo de informações que contém. Estes tipos de zonas são como segue:
Zona primária Cria uma zona primária que contém a cópia principal da zona banco de dados, onde os administradores fazer todas as alterações em registros de recursos da zona. Se a loja a zona no Active Directory (disponível apenas se o servidor DNS é um domínio de Caixa Controller) de seleção estiver desmarcada, o servidor cria um banco de dados de zona mestre primário arquivo na unidade local. Este é um arquivo de texto simples que é compatível com a maioria dos nãoImplementações do servidor DNS do Windows. Zona secundária Cria uma cópia de uma zona primária em outro servidor. O zona secundária contém uma cópia de backup do arquivo de banco de dados principal zona mestre, armazenado como um arquivo de texto idêntico na unidade local do servidor. Você só pode atualizar o registros de recursos em uma zona secundária, replicando a zona mestre primário arquivo de banco de dados, usando um processo chamado de transferência de zona. Zona Stub Cria uma cópia de uma zona primária que contém os registros de recursos-chave que identificam os servidores autorizados da zona. A zona de stub encaminha ou se refere pedidos. Quando você cria uma zona de stub, você configurá-lo com o endereço IP do servidor que hospeda a zona a partir da qual você criou o topo. Quando o servidor de hospedagem a zona de stub recebe uma consulta para um nome nessa zona, ou ele encaminha a solicitação para o host da zona ou respostas com um encaminhamento para que o anfitrião, dependendo se a consulta é recursiva ou iterativa.
DNS foi concebido muito antes de Active Directory, então a maior parte da Internet baseia-se na principal e zonas secundárias usando arquivos de banco de dados baseados em texto. O servidor DNS mais comum implementação na Internet é um programa UNIX chamado ligamento que usa esses bancos de dados. No entanto, para os servidores de DNS que suportam domínios internos, e especialmente domínios AD DS, utilizar o servidor DNS do Windows para criar uma zona primária e armazená-lo no Active Directory é o procedimento recomendado. Ao armazenar a zona no banco de dados do AD DS, você não tem para criar zonas secundárias ou realizar transferências de zona, porque AD DS assume a responsabilidade para replicar os dados, e qualquer solução de backup que você usa para proteger o Active Directory protege os dados de DNS bem.
Exame 70-410 cobre apenas o processo de criação de uma zona primária armazenada no Active Directory. Os procedimentos para a criação de zonas primárias e secundárias baseadas em texto e configuração transferências de zona são cobertos em Exame 70-411, "Administrando o Windows Server 2012", em Objectivo 3.1, "zonas de configurar o DNS".
UTILIZAÇÃO zonas integradas ao Active Directory
Quando você está executando o serviço do servidor DNS em um computador que é um Active Directory Serviços de Domínio do controlador de domínio e você selecionar a armazenar a zona no Active Directory (Disponível apenas se um controlador de domínio do servidor DNS é) caixa de seleção ao criar uma zona no Assistente de nova zona, o servidor não cria um arquivo de banco de dados de zona. Em vez disso, o servidor armazena os registros de recursos DNS para a zona no banco de dados do AD DS. Armazenar o banco de dados do DNS em O Active Directory oferece uma série de vantagens, incluindo a facilidade de administração, conservação da largura de banda da rede e aumentar a segurança. Nas zonas integradas ao Active Directory, o banco de dados de zona é replicado automaticamente para outro controladores de domínio, juntamente com todos os outros dados do Active Directory. O Active Directory usa um múltiplo sistema de replicação mestre para que as cópias do banco de dados são atualizados em todos os controladores de domínio no domínio. Você pode modificar os registros de recursos DNS em qualquer controlador de domínio que hospeda um cópia do banco de dados de zona, e Active Directory irá atualizar todos os outros controladores de domínio automaticamente. Você não tem que criar zonas secundárias ou transferências de zona manualmente configure, porque Active Directory executa todas as atividades de replicação de dados. Por padrão, o Windows Server 2012 replica o banco de dados para uma zona primária armazenada no Active Directory para todos os outros controladores de domínio que executam o servidor DNS no domínio AD DS em que o controlador de domínio primário está localizado. Você também pode alterar o âmbito do fuso replicação de banco de dados para manter cópias em todos os controladores de domínio em toda a empresa, ou em todos os controladores de domínio no domínio AD DS, mesmo que eles estão executando o servidor de DNS. Você também pode criar um escopo de replicação personalizado que copia o banco de dados de zona para o domínio controladores que você especificar. Active Directory conserva a largura de banda de rede, replicando apenas os dados DNS que tem alteradas desde a última replicação e comprimindo os dados antes de transmiti-lo através da rede. As repetições da zona também usar os recursos do Active Directory de segurança completo, que são consideravelmente mais robusto do que os de transferências de zona baseados em arquivos.
CRIAÇÃO DE UMA ZONA DE DIRETÓRIO ATIVO
Para criar uma nova zona primária e armazená-lo no Active Directory, use o seguinte procedimento. 1.
Faça logon no controlador de domínio Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
Clique em Ferramentas> DNS para abrir o console do Gerenciador de DNS. Expanda o nó do servidor e selecione a pasta Zonas de pesquisa direta.
3.
4.
O botão direito do mouse na pasta Zonas de pesquisa direta e, no menu de atalho, selecione Novo Zone. O Assistente de nova zona é iniciado.
5.
Clique em Avançar para ignorar a página de boas-vindas e abrir a página Tipo Zone.
6.
Deixe a opção Zona Primária e armazenar a zona no Active Directory (Disponível Apenas se o servidor DNS é um caixa de seleção Domain Controller) selecionado e clique em Avançar. O Página Âmbito Directory Replication zona ativa se abre.
7.
Clique em Avançar. A página Nome Zona abre.
8.
Especifique o nome que deseja atribuir à zona na caixa de texto Nome da Zona e clique Avançar. A página de atualização dinâmica abre.
9.
Selecione uma das seguintes opções:
Permitir somente atualizações dinâmicas seguras
Permitir não seguras e seguras atualizações dinâmicas
Não permitir atualizações dinâmicas
10. Clique em Avançar. A página Concluindo o Assistente de Nova Zona abre. 11. Clique em Concluir. O assistente cria a zona. 12. Feche o console do Gerenciador de DNS. Depois de ter criado uma zona primária, você pode agora avançar para criar registros de recursos que especificam os nomes dos hosts da rede e seus endereços IP equivalentes.
Criação de registros de recursos Quando você executa o seu próprio servidor DNS, você cria um registro de recurso para cada nome de host que você pretende ser acessível pelo resto da rede. Existem vários tipos diferentes de registros de recursos usados por servidores DNS, o mais importante dos quais são os seguintes:
SOA (Start of Authority) Indica que o servidor é a melhor fonte de autoridade para os dados relativos à zona. Cada região deve ter um registro SOA, e apenas um SOA registro pode ser em uma zona.
NS (Name Server) Identifica o funcionamento do servidor DNS como uma autoridade para a zona. Cada servidor DNS na zona (se mestre primário ou secundário) deve ser representado por um registro NS.
A (Address) Fornece um mapeamento de nome para endereço que fornece um endereço IPv4 para um nome DNS específico. Este tipo de registo tem a função primária do DNS, conversão de nomes para endereços.
AAAA (Address) Fornece um mapeamento de nome para endereço que fornece uma IPv6 tratar de um nome DNS específico. Este tipo de registo realiza a função primária de o DNS, convertendo nomes para endereços.
PTR (Pointer) Fornece um mapeamento de endereço para nome que fornece um nome DNS para um endereço específico no domínio in-addr.arpa. Isto é o oposto funcional de um A registro, usado apenas para pesquisas inversas.
CNAME (Canonical Name) Cria um alias que aponta para o nome canônico (que é, o nome "real") de um host identificado por um registro. Os administradores usam CNAME registros para fornecer nomes alternativos pelos quais os sistemas podem ser identificados.
MX (Mail Exchanger) Identifica um sistema que irá direcionar o tráfego de e-mail enviado a um abordar no domínio para o destinatário individual, um gateway de correio, correio ou de outra servidor.
Exame 70-410 cobre apenas o processo de criação de A e PTR registros de recursos. O procedimentos para a criação de outros tipos de registros de recursos são abordados no exame 70411, "Administrando Windows Server 2012", em Objective 3.2, "Configurar registros DNS."
Para criar um novo registro de recurso de endereço, utilize o seguinte procedimento. 1.
Faça logon no Windows Server 2012 usando uma conta com privilégios administrativos. O Janela do Gerenciador do Servidor será aberta.
2.
Clique em Ferramentas> DNS para abrir o console do Gerenciador de DNS. Expanda o nó do servidor e selecione a pasta Zonas de pesquisa direta.
3. 4.
Botão direito do mouse a zona na qual você deseja criar o registro e, a partir do atalho de menu, selecione Novo Host (A ou AAAA). A caixa de diálogo Novo Host aparece, como mostrado na Figura 4-24.
FIGURA 4-24 A caixa de diálogo Novo Host.
5.
Na caixa de texto Nome, digite o nome do host para o novo registro. O FQDN para o registro aparece.
6.
Na caixa de texto Endereço IP, digite o endereço IPv4 ou IPv6 associado ao host nomear.
7.
Selecione as seguintes caixas de seleção, se necessário:
Criar Associated Pointer (PTR) para o host no domínio in-addr.arpa
Permitir qualquer usuário autenticado para atualizar o DNS registros com o mesmo proprietário Nome Permite que os usuários modifiquem os seus próprios registros de recursos
Cria um nome de registro de pesquisa inversa
8.
Clique em Adicionar Host. O novo registro de recurso é criado na zona que você selecionou.
9.
Feche o console do Gerenciador de DNS.
Para criar um registro PTR para um novo host, você pode selecionar o Criar ponteiro associado (PTR) Caixa de seleção Gravar na caixa de diálogo Novo Host, mas isso só será eficaz se um reverso zona de pesquisa já existe no servidor. Para criar a zona, você siga o mesmo procedimento descrita anteriormente, desta vez selecionando a pasta Zonas de pesquisa inversa.
Quando você optar por criar uma zona de pesquisa inversa IPv4, uma página Nome zona de pesquisa inversa aparece, como o mostrado na Figura 4-25, na qual você fornece o ID de Rede que o assistente irá usar para criar a zona.
FIGURA 4-25 A página Nome Reverse Lookup Zone no Assistente de nova zona.
Uma vez que a zona é criada, você pode criar registros PTR, juntamente com registros A ou AAAA, ou criar um novo registro PTR, usando a caixa de diálogo New Resource Record.
Configurar definições de servidor DNS Depois de ter instalado um servidor DNS e zonas e registros de recursos por ele gerados, existem muitas configurações que você pode alterar para modificar seu comportamento. As seções a seguir descrevem alguns dos essas configurações.
Configurando o Active replicação de diretório DNS
Para modificar o escopo de replicação para uma zona integrada ao Active Directory, abra o fuso Propriedades da folha no console do Gerenciador de DNS, e na guia Geral, clique em Alterar para Replicação: Todos os servidores DNS no domínio do Active Directory para exibir a Zona Mudança Caixa de diálogo Escopo de replicação, mostrado na Figura 4-26. As opções são as mesmas que aquelas no Assistente de nova zona.
FIGURA 4-26 A caixa de diálogo Alterar Escopo Zona Replication.
CONFIGURAÇÃO dicas de raiz
Cada servidor DNS deve ser capaz de contatar os servidores de nomes de raiz para iniciar a resolução de nomes processos. A maioria das implementações de servidor, incluindo Microsoft DNS Server, são pré-configurados com os nomes e endereços de vários servidores de nomes raiz. Estes são chamados de dicas de raiz. Os nomes de servidores de nomes de raiz 13 estão localizados em um domínio chamado root-servers.net, e são nomeados com as letras do alfabeto. Os servidores estão espalhados por todo o mundo em diferentes sub-redes para fornecer tolerância a falhas. Para modificar as dicas de raiz em um servidor de DNS do Windows Server 2012, clique com o botão direito no nó do servidor, abrir a folha de Propriedades e clique na guia Dicas de raiz, como mostrado na Figura 4-27. Nessa guia, você pode adicionar, editar ou remover as dicas de raiz a partir da lista fornecida.
FIGURA 4-27 O guia Dicas de raiz em folha Propriedades de um servidor DNS.
Objetivo resumo
DHCP é um serviço que configura automaticamente o endereço IP e outras TCP / IP configurações nos computadores de rede por atribuir endereços de um pool (chamado de escopo) e recuperando-los quando eles não estão mais em uso.
Servidores redes TCP / IP, hoje uso de DNS para converter nomes de hosts em endereços IP. Este processo de conversão é referida como a resolução de nome.
DNS é composto por três elementos: o namespace DNS, servidores de nomes, e resolvedores.
A natureza hierárquica do espaço de nomes DNS é projetado para torná-lo possível para qualquer Servidor DNS na Internet para localizar a fonte de autoridade para qualquer nome de domínio, utilizando um número mínimo de consultas.
Em uma consulta recursiva, o servidor DNS que recebe o pedido de resolução de nomes assume total responsabilidade para resolver o nome. Numa consulta iterativo, o servidor que recebe o Nome solicitação de resolução imediatamente responde com a melhor informação que possui no momento.
Para fins de resolução de nomes de Internet, as únicas funções necessárias do servidor de DNS são a capacidade de processar consultas recebidas de resolvedores e enviar suas próprias consultas para outros servidores DNS na Internet.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
2.
3.
4.
Qual dos seguintes tipos de registros de recursos contém as informações de um servidor DNS precisa realizar pesquisas de nome reversa? A.
A
B.
CNAME
C.
SOA
D.
PTR
Qual dos seguintes seria o FQDN correto para um registro de recurso em um reverso zona de pesquisa, se o endereço IP do computador é 10.75.143.88? A.
88.143.75.10.in-addr.arpa
B.
10.75.143.88.in-addr.arpa
C.
em addr.arpa.88.143.75.10
D.
arpa.in-addr.10.75.143.88
Qual dos seguintes não é um dos elementos do DNS? A.
Resolvedores
B. C.
Agentes de retransmissão Nome servidores
D.
Namespace
Em qual das seguintes transações DNS funciona o sistema de consulta gerar um consulta recursiva? A.
Um cliente DNS envia o nome do servidor www.adatum.com de uma URL para o seu designado Servidor DNS para resolução.
B.
Servidor DNS de um cliente envia uma solicitação para um servidor de domínio raiz para encontrar o servidor autoritário para o com domínio de nível superior. C. Servidor DNS de um cliente envia uma solicitação para o servidor com domínio de nível superior para encontrar o servidor autoritário para o domínio adatum.com. D. Servidor DNS de um cliente envia uma solicitação para o servidor de domínio adatum.com para encontrar o Endereço IP associado com o nome do servidor www. 5. Qual das seguintes contém os controles usados para modificar o nome de cache de DNS? A.
O guia encaminhadores da folha Propriedades do servidor
B.
O Início da guia da Autoridade (SOA) da folha Propriedades de uma zona
C.
The Root guia de folha Propriedades do servidor Dicas
D.
O Assistente de nova zona
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre este objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Alice é um administrador de empresa para Wingtip Toys, que recentemente expandiu sua divisão de Atendimento ao Cliente através da adição de 100 estações de trabalho. Todas as estações de trabalho a rede da empresa são configurados para usar um servidor na rede de perímetro como seu servidor de DNS primário e um servidor na rede da sua ISP como um servidor secundário. Como resultado da expansão, o desempenho Internet abrandou visivelmente, e um rastreio do Monitor de rede indica que há uma quantidade desproporcional de DNS o tráfego na ligação entre a rede de perímetro ea rede do ISP. Com isto em mente, responda a seguinte pergunta: Quais são as duas maneiras que Alice pode reduzir a quantidade de tráfego DNS passando por cima a conexão com a Internet?
Respostas Objectivo 4.1: Revisão 1.
2.
Resposta correta: B A.
Incorreto: Sub-redes é uma técnica para a criação de divisões administrativas em um rede; ele não transmite o tráfego IPv6 em uma rede IPv4.
B.
Correto: Tunneling é um método para encapsular o tráfego IPv6 dentro de IPv4 datagramas.
C.
Incorreto: Supernetting é um método para a combinação de sub-redes consecutivos numa entidade única.
D.
Incorreto: Contratação é um método para encurtar endereços IPv6.
Resposta correta: C A.
Incorreto: Endereços unicast link-local são auto-atribuída por sistemas IPv6. Eles são portanto, o equivalente a APIPA endereços em IPv4.
B.
Incorreto: Um endereço unicast global é o equivalente a um endereço IPv4 registrado, roteáveis em todo o mundo e único na Internet.
C.
Correto: Endereços unicast locais originais são o equivalente IPv6 do 10.0.0.0 / 8, 172.16.0.0/12 e 192.168.0.0/16 endereços de rede privados em IPv4.
D.
Incorreto: A função de um endereço anycast é identificar os roteadores dentro de um determinado escopo endereço e enviar o tráfego para o roteador mais próximo.
3.
4.
5.
Resposta correta: A A.
Correto: Teredo é um mecanismo que permite que os dispositivos atrás roteadores não-IPv6 NAT funcionar como extremidades do túnel.
B.
Incorreto: 6to4 incorpora as conexões de uma rede IPv4 para o IPv6 infra-estrutura através da definição de um método para expressar endereços IPv4 em formato IPv6 e encapsular o tráfego IPv6 em pacotes IPv4.
C.
Incorreto: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) é uma protocolo de tunelamento automático usado pelos sistemas operacionais do Windows da estação de trabalho que emula uma ligação IPv6 usando uma rede IPv4.
D.
Incorreto: APIPA é um endereço IPv4 processo de auto-atribuição automática. Tem nada a ver com tunelamento.
Resposta correta: A A.
Correto: Para uma morada para ser visível a partir da Internet, ele deve ser registrado com IANA.
B.
Incorreto: Binária é um sistema de numeração que pode ser usado para expressar qualquer IP endereço.
C.
Incorreto: Todas as classes de endereços pode ser visível ou invisível para a Internet.
D.
Incorreto: Endereços de sub-rede pode ser visível ou invisível para a Internet.
Resposta correta: C A.
Incorreto: Na forma binária, a máscara é 255.224.0.0 11111111.11100000.00000000.00000000, que contém somente 11 identificador de rede bits.
B.
Incorreto: Na forma binária, a máscara é 255.240.0.0 11111111.11110000.00000000.00000000, que contém apenas de 12 identificador de rede bits.
C.
Correto: Na forma binária, a máscara é 255.255.224.0 11111111.11111111.11100000.00000000, que contém 19 bits de identificador de rede.
D.
Incorreto: Na forma binária, a máscara é 255.255.240.0 11111111.11111111.11110000.00000000, que contém 20 bits de identificador de rede.
E.
Incorreto: Na forma binária, a máscara é 255.255.255.240 11111111.11111111.11111111.11110000, que contém 28 bits de identificador de rede.
Objectivo 4.1: Experiência do Pensamento Arthur pode sub-rede o endereço que lhe foi dado por meio de três bits de host para dar-lhe oito sub-redes com até 16 hosts em cada um. Os computadores vão usar uma máscara de sub-rede 255.255.255.240 eo endereço IP varia da seguinte forma:
Objectivo 4.2: Revisão 1.
Resposta correta: D A.
Incorreto: Um encaminhador é um servidor DNS que aceita consultas recursivas de outros servidores.
B.
Incorreto: Um resolvedor é um componente do cliente DNS.
C.
Incorreto: Um escopo é um intervalo de endereços IP que o servidor DHCP está configurado para alocar.
D.
2.
3.
Correto: Um agente de retransmissão é um módulo de software que recebe transmissão DHCP mensagens e as encaminha para um servidor DHCP em outra sub-rede. Resposta correta: D
A.
Incorreto: O processo de atribuição de endereço DHCP começa quando o cliente DHCP gera DHCPDISCOVER mensagens e os transmite para a rede local.
B.
Incorreto: O cliente eventualmente pára radiodifusão e sinaliza sua aceitação um dos endereços oferecidos por gerar uma mensagem de DHCPREQUEST.
C.
Incorreto: Quando o servidor que oferece o endereço IP aceita recebe o DHCPREQUEST mensagem, ele transmite uma mensagem DHCPACK para o cliente, Reconhecendo a realização do processo.
D.
Correto: O tipo de mensagem DHCPINFORM não é utilizado durante um endereço IP atribuição.
Resposta correta: C A.
Incorreto: A alocação dinâmica é quando o servidor DHCP atribui um endereço IP a um computador cliente a partir de um escopo, por um período de tempo especificado.
B.
Incorreto: Alocação automática é quando o servidor DHCP atribui um IP permanente dirigir a um computador cliente a partir de um escopo.
C.
Correto: Alocação manual é quando o servidor DHCP atribui permanentemente de algum
Endereço IP de um computador específico na rede. No Windows Server 2012 Servidor DHCP, endereços alocados manualmente são chamados de reservas. D. 4.
Incorreto: Híbrido é um tipo de infra-estrutura DHCP, e não um tipo de alocação de endereços.
Corrigir respostas: B e D A.
Incorreto: Windows 8 não pode funcionar como um roteador LAN, e, portanto, não faz têm a capacidade de funcionar como um agente de retransmissão DHCP.
B.
Correto: A maioria dos roteadores IP têm capacidades agente de retransmissão DHCP embutidos. Se o roteadores que conectam as sub-redes são tão equipado, você pode usá-los como relé agentes, eliminando a necessidade de um servidor DHCP em cada sub-rede.
C.
Incorreto: Os switches são dispositivos da camada de link de dados e são projetados para se comunicar com os dispositivos na mesma sub-rede. Um agente de retransmissão DHCP requer acesso a dois sub-redes.
D.
Correto: Se seus roteadores não podem funcionar como agentes de retransmissão DHCP, você pode usar o retransmitir capacidade agente incorporada aos sistemas operativos Windows para servidores. No Windows Server 2012, a capacidade de agente de retransmissão DHCP está embutido no papel de Acesso 5. Resposta correta: D Remoto. A. Incorreto: Na maioria dos casos, todos os computadores de uma rede irá utilizar o mesmo DNS servidor, por isso é mais conveniente para implantar o seu endereço apenas uma vez, usando um servidor opção, ao invés de ter que implantá-lo como uma opção de escopo em cada escopo. B.
Incorreto: A máscara de sub-rede é automaticamente incluído em cada concessão do endereço e portanto, não tem que ser implementado como uma opção de escopo ou uma opção do servidor.
C.
Incorreto: A opção de duração da concessão é automaticamente incluído em cada endereço alugar, e, portanto, não tem que ser implementado como uma opção de escopo ou um servidor opção.
D.
Correto: O gateway padrão deve ser um roteador na mesma sub-rede do IP aborda o servidor DHCP está alocando. Portanto, o endereço do gateway é diferente para cada escopo e deve ser implantado como uma opção de escopo.
Objectivo 4.2: Experiência do Pensamento Roger pode reduzir a duração das concessões de endereços IP em seus âmbitos, para que abandonou endereços estarão disponíveis para clientes com mais rapidez do que antes.
Objectivo 4.3: Revisão 1.
Resposta correta: D A.
B.
Incorreto: Um registro de recurso contém informações para pesquisas de nome para a frente, e não reverter pesquisas de nome. Incorreto: Registros de recursos CNAME contêm informações alias para um registros. Eles não são utilizados para pesquisas de nome reversa.
2.
3.
C.
Incorreto: Registros SOA especificar que um servidor é a fonte de autoridade para uma zona. Eles não são utilizados para pesquisas de nome reversa.
D.
Correto: PTR conter as informações necessárias para o servidor para executar reverter pesquisas de nome.
Resposta correta: A A.
Correto: Para resolver o endereço IP 10.75.143.88 em um nome, um servidor DNS localizar um domínio chamado 143.75.10.in-addr.arpa da maneira habitual e a ler conteúdo de um registro de recurso chamado 88 nesse domínio.
B.
Incorreto: Os volumes distribuídos não contêm dados redundantes e, portanto, não fornecer tolerância a falhas.
C.
Incorreto: O domínio de nível superior usado para pesquisas reverso é arpa. Portanto, arpa deve ser o último e mais importante nome em uma pesquisa inversa FQDN.
D.
Incorreto: O domínio de nível superior usado para pesquisas reverso é arpa. Portanto, arpa deve ser o último e mais importante nome em uma pesquisa inversa FQDN.
Resposta correta: B A.
Incorreto: Resolvedores são programas clientes que geram consultas DNS e enviá-los para um servidor de DNS para o cumprimento.
B.
Correto: Agentes de retransmissão são dispositivos router que permitem aos clientes DHCP para se comunicar com servidores de outras redes. Incorreto: Os servidores de nomes são aplicativos executados em computadores servidores que manter informações sobre a estrutura da árvore de domínio. Incorreto: DNS consiste em um namespace estruturado em árvore em que cada ramo da a árvore identifica um domínio.
C.
D.
4.
Resposta correta: A A.
Correto: Quando um cliente envia uma consulta de resolução de nome para o seu servidor DNS, ele usa um pedido recursivo para que o servidor vai assumir a responsabilidade de resolver o nomear.
B.
Incorreto: Um servidor DNS buscando o servidor para um domínio de nível superior usa iterativo, não recursivo, queries.
C.
Incorreto: Um servidor DNS que procuram o servidor para um domínio de segundo nível usa iterativos, não recursivas, consultas. Incorreto: Um servidor DNS pedindo uma resolução de nome de servidor de uma autoridade servidor usa iterativos, não recursivas, consultas.
D.
5.
Resposta correta: B A.
Incorreto: O guia encaminhadores é onde você especifica os endereços de servidores que terá consultas recursivas do seu servidor.
B.
Correto: O início de autoridade (SOA) guia de folha Propriedades de uma zona contém o Mínimo (Padrão) definição TTL que controla o cache DNS nome para a zona.
C.
Incorreto: A guia Dicas de raiz é onde você especifica os endereços do nome raiz servidores na Internet.
D.
Incorreto: O Assistente de nova zona não permitem que você modifique o nome de cache definições.
Objectivo 4.3: Experiência do Pensamento 1.
Alice pode configurar o servidor DNS na rede de perímetro para usar o DNS do ISP servidor como um encaminhador.
2.
Alice pode configurar as estações de trabalho para usar o servidor DNS do ISP como seu DNS primário servidor.
CAPÍTULO 5
Instalar e administrar atividade Diretório Um serviço de diretório é um repositório de informações sobre o hardware recursos, software e humano, que estão ligados a uma rede. Usuários, computadores e aplicações em todo o rede podem acessar o repositório para uma variedade de propósitos, incluindo autenticação de usuário, armazenamento de dados de configuração, e até mesmo simples pesquisas de informação brancas páginas de estilo. Ativo Directory Domain Services (AD DS) é o serviço de diretório que a Microsoft pela primeira vez em Windows 2000 Server, e eles têm atualizado lo em cada sucessiva sistema operacional de servidor libertação, incluindo o Windows Server 2012.
Este capítulo aborda algumas das tarefas fundamentais que os administradores de executar para instalar e gerenciar o AD DS.
Objetivos deste capítulo:
Instalar os controladores de domínio: 5.1 Objetivo
Objetivo 5.2: criar e gerenciar usuários e computadores do Active Directory
Objetivo 5.3: Criar e gerenciar grupos do Active Directory e unidades organizacionais (OUs)
Instalar os controladores de domínio: 5.1 Objetivo AD DS é um serviço de diretório que permite aos administradores criar divisões organizacionais chamado domínios. Um domínio é um contêiner lógico dos componentes da rede, apresentado por pelo menos um servidor designado como um controlador de domínio. Os controladores de domínio para cada repetição de domínio seus dados entre si, para fins de tolerância a falhas e balanceamento de carga.
Implantando Serviços de Domínio Active Directory Depois de ter criado um projeto de Active Directory, é hora de pensar sobre o real processo de implantação. Tal como acontece com a maioria das principais tecnologias de rede, é uma boa idéia para instalar o AD DS em uma rede de teste em primeiro lugar, antes de colocá-lo em produção real. Há um grande número de variáveis que podem afetar o desempenho de um Active Directory instalação, incluindo o hardware selecionado para os controladores de domínio, as capacidades de sua rede, e os tipos de rede de área ampla (WAN) liga conectar seus sites remotos. Em
muitos casos, um projeto do Active Directory que parece bom no papel não funcionará bem em seu meio ambiente, e você pode querer modificar o desenho antes de prosseguir com o ao vivo implantação. O Active Directory é uma das tecnologias mais difícil de testar, porque um laboratório isolado ambiente geralmente não podem imitar muitos dos fatores que podem afetar o desempenho de um serviço de diretório. A maioria dos laboratórios de teste não pode duplicar os padrões de tráfego da rede da produção meio ambiente, e alguns têm os links WAN necessárias para simular uma rede multisite real. Sempre que possível, você deve tentar testar o seu projeto sob condições reais, usando o seu actual rede da rede de área local (LAN) e tecnologias de WAN, mas limitando o domínio controladores e clientes AD DS para os computadores do laboratório.
Para criar uma nova floresta ou um novo domínio, ou para adicionar um controlador de domínio a um existente domínio, você deve instalar a função Serviços de Domínio Active Directory no Windows Server 2012 computador e, em seguida, executar o Assistente de Configuração de Serviços de Domínio Active Directory. Para utilizar um computador com o Windows Server 2012 como controlador de domínio, você deve configurá-lo para usar endereços IP estáticos, não os endereços fornecidos por um Dynamic Host Configuration Protocol (DHCP). Além disso, se você estiver criando um domínio em uma floresta existente, ou a adição de um controlador de domínio para um domínio existente, você deve configurar o computador para usar o domínio Name System (DNS) que hospeda a floresta ou domínio existente, pelo menos durante a atividade Instalação Directory.
Instalando o papel ativo Directory Domain Services Embora não realmente converter o computador em um controlador de domínio, a instalação da Papel ativo Directory Domain Services prepara o computador para o processo de conversão. Para instalar a função, use o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
No menu Gerenciar, selecione Adicionar funções e recursos. Adicionar Funções e Recursos Assistente inicia, mostrando a página Antes de Começar.
3.
Clique em Avançar. A página Selecionar Tipo de Instalação é exibida. Deixe a opção de instalação ou com base em recursos baseada em função selecionada e clique em Avançar para abrir a página Selecionar destino Server. Selecione o servidor que você quer promover um controlador de domínio e clique em Avançar. O Selecione a página Funções do Servidor será aberta.
4.
5.
6.
Selecione a função de domínio do Active Directory Service. O add recursos que são necessários Para a caixa de diálogo Diretório de Serviços de Domínio Active abre.
7.
Clique em Adicionar Recursos para aceitar as dependências e, em seguida, clique em Avançar. A Select Página Recursos abre. Clique em Avançar. A página Serviços de Domínio Active Directory é aberta, exibindo informações sobre o papel.
8.
9.
Clique em Avançar. A página Confirmar seleções de instalação aparece.
. 10 Selecione uma das seguintes funções opcionais, se desejado:
Reinicie o servidor de destino automaticamente Se desejado Faz com que o servidor para reiniciado automaticamente quando a instalação estiver concluída, se os papéis selecionados e recursos requerem que
Definições de configuração de exportação Cria um script XML documentar a procedimentos realizados pelo assistente, que você pode usar para instalar o mesmo configuração em outro servidor usando o Windows PowerShell
Especifique Uma fonte Caminho alternativo Especifica a localização de um arquivo de imagem que contém o software necessário para instalar as funções e características selecionadas 11. Clique em Instalar, que exibe a página Progresso da Instalação. Uma vez que o papel tem sido instalado, a promover esse servidor para controlador de domínio Um link aparece. 12. Deixe o assistente aberto. Dcpromo.exe O programa Dcpromo.exe a partir da versão anterior do Windows Server foi reprovado em favor do processo de instalação do controlador de domínio Server Manager documentado no seções seguintes. No entanto, ainda é possível automatizar as instalações do AD DS executando DCPromo.exe com um arquivo de resposta.
Depois de ter instalado o papel, você pode proceder para executar o domínio do Active Directory Assistente de Serviços de Instalação. O procedimento assistente varia, dependendo do que a função de o novo controlador de domínio será. As seções seguintes descrevem os procedimentos para a maioria tipos comuns de instalações de controlador de domínio.
Criando uma nova floresta Ao começar uma nova instalação do AD DS, o primeiro passo é criar uma nova floresta, o que você faz criando o primeiro domínio na floresta, o domínio raiz da floresta. Para criar uma nova floresta, use o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com privilégios administrativos e instalar a função Serviços de Domínio Active Directory, como descrito anteriormente nesta lição.
2.
Na página Progresso da Instalação que aparece no final do Active Directory Processo de instalação da função Serviços de Domínio, clique no Promova esta servidor para um Hyperlink Domain Controller. A configuração dos Serviços de Domínio Active Directory Assistente é aberto, exibindo a página de configuração de implantação.
3.
Selecione a opção Add a New Forest, como mostrado na Figura 5-1, e, no domínio raiz Nome caixa de texto, digite o nome do domínio que você deseja criar.
FIGURA 5-1 A página de configuração de implantação dos Serviços de Domínio Active Directory
Assistente de Configuração.
4.
Clique em Avançar. A página aberta Domínio Opções do controlador, como mostrado na Figura 5-2.
FIGURA 5-2 A página Opções do Controlador de domínio dos Serviços de Domínio Active Directory
Assistente de Configuração.
5.
6.
7.
Se você planeja adicionar controladores de domínio que executam versões anteriores do Windows Server para Nesta floresta, selecione a versão mais antiga do Windows que você pretende instalar a partir da Floresta Nível Funcional lista drop-down. Se você planeja adicionar controladores de domínio que executam versões anteriores do Windows Server para Neste domínio, selecione a versão mais antiga do Windows que você pretende instalar a partir do domínio Nível Funcional lista drop-down. Se você não tiver um servidor DNS em sua rede, deixe o Nome de Domínio Caixa de seleção System (DNS) do servidor selecionado. Se você tiver um servidor DNS na rede, e o controlador de domínio é configurado para usar esse servidor para os serviços de DNS, desmarque a caixa de seleção.
OPÇÕES Domain Controller
O catálogo global (GC) e Read Only Domain Controller (RODC) opções são indisponível porque o primeiro controlador de domínio em uma nova floresta deve ser um global Servidor de catálogo, e não pode ser um controlador de domínio somente leitura.
8.
Em Senha e Confirmar caixas de texto Senha, digite a senha que você deseja usar para Directory Services Restore Mode (DSRM) e clique em Avançar. A página Opções de DNS aparece, com um aviso de que uma delegação para o servidor DNS não pode ser criado, porque o serviço do servidor DNS não está instalado ainda.
9.
Clique em Avançar para abrir a página Opções Adicionais, que exibe os NetBIOS equivalente do nome de domínio que você especificou.
10. Modifique o nome, se desejar, e clique em Avançar para abrir a página de Caminhos. 11. Modificar os locais padrão para os arquivos de AD DS, se desejar, e clique em Avançar. A Revisão Página Opções se abre. 12. Clique em Avançar para abrir a página de Verificação Pré-requisitos, como mostrado na Figura 5-3.
FIGURA 5-3 Os Pré-requisitos Verifique página da Configuração dos Serviços de Domínio Active Directory
Wizard.
13. O assistente executa uma série de testes de ambiente, para determinar se o sistema pode funcione como um controlador de domínio. Os resultados podem aparecer como avisos, que permitem que o procedimento para continuar, ou avisos, que exigem que você executar determinadas ações antes que o servidor pode ser promovido. Uma vez que o sistema tenha passado em todos os prérequisitos cheques, clique em Instalar. O assistente cria a nova floresta e configura o servidor para funcione como um controlador de domínio. 14. Reinicie o computador. Com o domínio raiz da floresta no lugar, você pode agora avançar para criar domínio adicional controladores desse domínio, ou adicionar novos domínios para a floresta.
Adicionando um controlador de domínio para um domínio existente Cada domínio do Active Directory deve ter um mínimo de dois controladores de domínio. Para adicionar um controlador de domínio para um domínio existente do Windows Server 2012, use o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos e instalar a função Serviços de Domínio Active Directory, como descrito anteriormente neste objetivo.
2.
Na página Progresso da Instalação que aparece no final do Active Directory Processo de instalação da função Serviços de Domínio, clique no Promova esta servidor para um Hyperlink Domain Controller. A configuração dos Serviços de Domínio Active Directory Assistente é iniciado, exibindo a página de configuração de implantação.
3.
Selecione a adicionar um controlador de domínio para um domínio existente opção e clique em Selecionar. Se você não estiver conectado a um domínio existente na floresta, um credenciais para Caixa de diálogo Operação implantação aparece, no qual você deve fornecer administrativa credenciais para o domínio para prosseguir. Depois de autenticado, o Select A Domínio a partir da caixa de diálogo abre Floresta.
4.
5.
Selecione o domínio ao qual você deseja adicionar um controlador de domínio e clique em OK. O nome de domínio selecionado aparece no campo Domínio.
6.
Clique em Avançar. A página Opções do Controlador de Domínio, mostrado na Figura 5-4, é aberto.
FIGURA 5-4 A página Opções do Controlador de domínio dos Serviços de Domínio Active Directory
Assistente de Configuração.
7.
Se você quiser instalar o serviço do servidor DNS no computador, deixe o Nome de Domínio Caixa de seleção System (DNS) do servidor selecionado. Caso contrário, o domínio será hospedado no Servidor DNS o computador está configurado para usar.
8.
Deixe a caixa de seleção (GC) selecionada, se você quiser que o computador de catálogo global funcionar como um servidor de catálogo global. Isto é essencial se você vai ser a implantação do novo controlador de domínio em um site que ainda não tiver um servidor GC.
9.
Selecione a caixa de seleção Read Only Domain Controller (RODC) para criar um domínio controlador que os administradores não podem usar para modificar objetos do AD DS.
10. Na lista drop-down Nome do site, selecione o local onde o controlador de domínio será localizado. 11. Em Senha e Confirmar caixas de texto Senha, digite a senha que você deseja usar para Directory Services Restore Mode (DSRM) e clique em Avançar para ir para o Adicionais Página Opções, mostrada na Figura 5-5.
FIGURA 5-5 A página Opções Adicionais de Configuração dos Serviços de Domínio Active Directory
Wizard.
12. Para usar a opção de instalar a partir de mídia, selecione a caixa de seleção Instalar a mídia. 13. Na Replicar lista suspensa de, selecione o controlador de domínio existente, que o servidor deve usar como fonte de dados. Em seguida, clique em Avançar para abrir a página de Caminhos. 14. Modificar os locais padrão para os arquivos de AD DS, se desejar, e clique em Avançar. A Revisão Página Opções se abre. 15. Clique em Avançar para ir para a página de verificação prérequisitos. 16. Uma vez que o sistema tenha passado todas as verificações de pré-requisitos, clique em Instalar. O assistente configura o servidor para funcionar como um controlador de domínio. 17. Reinicie o computador. O controlador de domínio está configurado para a manutenção do domínio existente. Se o novo domínio controlador está localizado no mesmo local que o outro, então a replicação do AD DS entre os dois vontade começará automaticamente.
Criando um novo domínio filho em uma floresta Uma vez que você tem uma floresta com pelo menos um domínio, você pode adicionar um domínio filho sob qualquer domínio existente. O processo de criação de um novo domínio de criança é mais ou menos semelhante à de criar uma nova floresta, exceto que a página de configuração de implantação do Active Directory Assistente de Configuração de Serviços de Domínio requer que você especifique o domínio pai abaixo que você deseja criar uma criança, como mostrado na Figura 5-6.
FIGURA 5-6 A página de configuração de implantação da configuração dos Serviços de Domínio Active Directory
Wizard.
Domínios de árvore O assistente também fornece a opção de criar um domínio árvore, que é um novo domínio que é não subordinado a um domínio existente na floresta.
Instalando o AD DS no Server Core No Windows Server 2012, agora é possível instalar o Active Directory Domain Services em um computador que executa a opção de instalação do Server Core, e promover o sistema para um domínio controlador, todos usando o Windows PowerShell. No Windows Server 2008 e Windows Server 2008 R2, o método aceito para instalar AD DS em um computador usando a opção de instalação do Server Core é criar um arquivo de resposta e carregá-lo a partir do prompt de comando usando o programa Dcpromo.exe com o / autônomo parâmetro. No Windows Server 2012, executando Dcpromo.exe sem parâmetros já não lança o Assistente de Configuração de Serviços de Domínio do Active Directory, mas os administradores que já têm investiu tempo considerável no desenvolvimento de arquivos de resposta para o controlador de domínio autônoma instalações podem continuar a executá-los a partir do prompt de comando, apesar de fazê-lo também
produz a seguinte advertência: "A operação autônoma dcpromo é substituído pelo ADDSDeployment módulo para Windows PowerShell. " Para instalações AD DS no Server Core, Windows PowerShell é agora o método preferido. Tal como acontece com a instalação baseada em assistente, o procedimento PowerShell ocorre em duas fases; primeiro você deve instalar a função Serviços de Domínio Active Directory; então, você deve promover o servidor a um controlador de domínio. Instalando a função Serviços de Domínio do Active Directory usando o PowerShell não é diferente de instalar qualquer outro papel. Em uma sessão de elevada PowerShell, use o seguinte comando:
Tal como acontece com outras instalações papel PowerShell, o cmdlet Install-WindowsFeature não instalar as ferramentas de gerenciamento para o papel, como o Centro Administrativo do Active Directory e Usuários e Computadores do Active Directory, a menos que você inclua os-IncludeManagementTools parâmetro no comando. Depois de ter instalado o papel, promovendo o servidor para um controlador de domínio é um pouco mais complicado. O módulo inclui ADDSDeployment PowerShell cmdlets separadas para as três configurações de implantação abordadas nas seções anteriores:
Instale-AddsForest
Instale-AddsDomainController
Instale-AddsDomain
Cada um desses cmdlets tem um grande número de parâmetros possíveis para apoiar a muitos opções de configuração que você encontra no Assistente de Configuração de Serviços de Domínio Active Directory. Na sua forma mais simples, o comando a seguir iria instalar um controlador de domínio para uma nova floresta chamado adatum.com:
Os padrões para todos os outros parâmetros do cmdlet são os mesmos que aqueles no Active Directory Domain Services assistente de configuração. A execução do cmdlet sem parâmetros percorre as opções, solicitando valores. Você também pode exibir a sintaxe básica informações usando o comando Get-Help, como mostrado na Figura 5-7.
FIGURA 5-7 Sintaxe para o cmdlet Install-AddsForest no Windows PowerShell.
Outra forma de realização de uma instalação complexa usando PowerShell é usar um computador executando o Windows Server 2012 com a opção GUI completo para gerar um script. Comece executando
o Assistente de Configuração dos Serviços de Domínio Active Directory, configurar todas as opções com as configurações desejadas. Quando você chegar à página Opção Review, clique em Exibir Script para mostrar o PowerShell código para o cmdlet apropriado, conforme mostrado na Figura 5-8.
FIGURA 5-8 Um script de instalação gerado pelo Assistente de Configuração de Serviços de Domínio Active Directory.
Esse recurso funciona como o faz porque o Server Manager é realmente baseado em PowerShell, assim o script contém os cmdlets e parâmetros que são, na verdade, em execução quando o assistente realiza uma instalação. Você também pode usar esse recurso de script com o InstallAddsDomainController cmdlet para implantar vários controladores de domínio para o mesmo domínio.
Usando instalar da mídia (IFM) No início deste objetivo, no processo de instalação de um controlador de domínio réplica, o Página Opções Adicionais do Assistente de Configuração de Serviços de Domínio Active Directory incluiu uma caixa de seleção Instalar a mídia. Esta é uma opção que permite aos administradores agilizar o processo de implantação de controladores de domínio de réplica para locais remotos. Normalmente, a instalação de um controlador de domínio para um domínio existente cria o banco de dados do AD DS estrutura, mas não há dados nele até que o servidor é capaz de receber o tráfego de replicação do outros controladores de domínio. Quando os controladores de domínio para um domínio particular, são bemligado, por exemplo, por fios, a replicação ocorre quase imediatamente após o novo domínio controlador está instalado, e é totalmente automático. Ao instalar um controlador de domínio em um local remoto, no entanto, a conexão com o outros controladores de domínio é mais provável um link WAN, que normalmente é mais lento e mais caro do que uma conexão LAN. Neste caso, a replicação inicial com o outro domínio controladores podem ser muito mais de um problema. A velocidade lenta do link WAN pode fazer com que o
replicação para levar um longo tempo, e isso também pode inundar a conexão, atrasando o tráfego regular. Se os controladores de domínio estão localizados em diferentes locais do AD DS, nenhuma replicação ocorrerá em todos até que um administrador cria e configura os links de site necessários. Réplica O primeiro replicação que ocorre após a instalação de um novo controlador de domínio é a única que requer os servidores para trocar uma cópia completa do banco de dados do AD DS. Em repetições subseqüentes, os controladores de domínio apenas troca de informações sobre o objetos e atributos que foram alterados desde a última replicação.
Usando uma ferramenta de linha de comando chamado Ndtsutil.exe, os administradores podem evitar esses problemas, criação de mídia de instalação do controlador de domínio que inclui uma cópia do banco de dados do AD DS. Por usando essa mídia ao instalar um controlador de domínio remoto, os dados são instalados junto com a estrutura de base de dados, e não replicação inicial é necessário. Para criar a mídia IFM, você deve executar o programa Ntdsutil.exe em um controlador de domínio executando a mesma versão do Windows que você pretende implementar. O programa é interativo, exigir que você insira uma seqüência de comandos como os seguintes:
Ntdsutil
Ative ntds exemplo
Ifm Muda o programa em modo de IFM
Criar completa | RODC Cria mídia para um domínio completo de leitura / gravação controlador ou um controlador de domínio somente leitura e salva-lo para a pasta especificada pelo variável nome do caminho
Inicia o programa Concentra-se o programa na instância AD DS instalado
Parâmetros Ntdsutil.exe O Ntdsutil.exe criar comando também suporta os parâmetros que incluem o conteúdo de o volume SYSVOL com os dados do AD DS. A versão do Windows Server 2012 do programa adiciona um parâmetro nodefrag que acelera o processo de criação de mídia por pulando a desfragmentação.
Quando você executar esses comandos, o programa Ntdsutil.exe cria um instantâneo da AD Banco de dados DS, monta-lo como um volume para desfragmentar e salva-lo para a pasta especificada, juntamente com uma cópia do Registro do Windows, como mostrado na Figura 5-9.
Figura 5-9 Uma sequência de comandos Ntdsutil.exe.
Depois de ter criado a mídia IFM, você pode transportá-lo para os servidores que pretendem implantar como controladores de domínio por todos os meios convenientes. Para usar os meios de comunicação, você corre o ativo Assistente de Configuração Directory Domain Services da maneira usual, selecione a opção Instalar de Caixa de verificação de mídia, e especifique o caminho para o local da pasta.
Atualizando os Serviços de Domínio Active Directory Apresentando o Windows Server 2012 em uma instalação existente do AD DS é mais fácil do que nunca sido em versões anteriores do sistema operacional. Há duas maneiras de atualizar uma infraestrutura de AD DS. Você pode atualizar o existente controladores de domínio de nível inferior para o Windows Server 2012, ou você pode adicionar um novo Windows Server 2012 controlador de domínio para a sua instalação existente. Os caminhos de atualização para o Windows Server 2012 são poucos. Você pode atualizar um Windows Server 2008 ou Windows Server 2008 R2 para controlador de domínio Windows Server 2012, mas não antes versões são atualizáveis. No passado, se você quiser adicionar um novo controlador de domínio para uma instalação existente do AD DS baseado em versões anteriores do Windows, era preciso executar um programa chamado Adprep.exe para atualizar os domínios e florestas. Dependendo da complexidade da instalação, isso poderia implicar logon em vários controladores de domínio usando credenciais diferentes, localizar diferentes versões de Adprep.exe, e executar o programa várias vezes usando o parâmetro / domainprep para cada domínio eo parâmetro / forestprep para a floresta. No Windows Server 2012, a funcionalidade Adprep.exe foi totalmente incorporados Server Manager, no Active Directory Configuration Wizard Serviços de Domínio. Quando você instalar um novo controlador de domínio do Windows Server 2012, você só tem que fornecer adequado credenciais e do assistente cuida do resto.
Membros de grupo Para instalar o primeiro controlador de domínio do Windows Server 2012 em um nível inferior do AD DS instalação, você deve fornecer as credenciais de um usuário que seja membro da Enterprise Administradores e grupos de Administradores de esquema, e um membro do grupo de Administradores de Domínio no domínio que hospeda o mestre de esquema.
Adprep.exe ainda está incluído no sistema operacional, e apoia a elaboração de idade método, se você preferir, mas não há razão para fazê-lo.
A remoção de um controlador de domínio Com a perda de Dcpromo.exe, o processo de rebaixar um controlador de domínio mudou, e não é imediatamente intuitiva. Para remover um controlador de domínio a partir de uma instalação do AD DS, você deve começar pela execução do Remover Funções e Recursos Wizard, como mostrado no procedimento a seguir. 1. Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. O console Server Manager é aberto. 2.
Inicie o Remover Funções e Recursos Wizard e remover o Active Directory Papel dos Serviços de Domínio e suas características que o acompanham. Uma caixa de diálogo Resultados de validação aparece, como mostrado na Figura 5-10.
FIGURA 5-10 Caixa de diálogo do Remover Funções e Recursos Assistente a validação dos resultados.
3.
Clique no Rebaixar Esta hiperligação Controlador de Domínio. O domínio do Active Directory Assistente de Configuração de Serviços inicia, exibindo a página Credenciais.
4.
Selecione o forçar a remoção do Esta caixa de seleção Controlador de Domínio e clique em Avançar para abrir a página de nova senha de administrador.
5.
Em Senha e Confirmar caixas de texto Senha, digite a senha que você deseja que o servidor a ser usado para a conta de administrador local após o rebaixamento. Em seguida, clique em Avançar. A página de opções de revisão aparece.
6.
Clique Rebaixar. O assistente rebaixa o controlador de domínio e reinicia o sistema.
7.
Faça logon usando a senha do administrador local especificado anteriormente.
8.
Inicie o Remover Funções e Recursos Assistente novamente e repita o processo de removendo a função de Serviços de Domínio Active Directory e suas características que o acompanham. Feche o assistente e reiniciar o servidor.
9.
Usando PowerShell Para rebaixar um controlador de domínio com o Windows PowerShell, use o seguinte comando:
Configurando o catálogo global O catálogo global é um índice de todos os objetos do AD DS em uma floresta que impede que os sistemas de ter que realizar pesquisas entre vários controladores de domínio. A importância do mundial catálogo varia de acordo com o tamanho da sua rede e sua configuração local. Por exemplo, se a rede consiste de um único domínio, com todos os controladores de domínio localizado no mesmo local e bem conectado, o catálogo global tem pouca serventia outro de pesquisas do grupo universal. Você pode fazer todos os seus controladores de domínio de catálogo global servidores, se desejar. As pesquisas serão carga equilibrada eo tráfego de replicação provavelmente não irá sobrecarregar a rede.
No entanto, se a sua rede é constituída por vários domínios, com controladores de domínio localizados em vários sites conectados por links de WAN, a configuração de catálogo global é crítico. Se em tudo possível, você não deseja que os usuários executar AD DS pesquisas que devem chegar do outro lado lento, ligações caros WAN para contatar os controladores de domínio em outros sites. A colocação de um catálogo global servidor em cada local é recomendado neste caso. A replicação inicial pode gerar uma grande quantidade de tráfego, mas a poupança a longo prazo deve ser significativo. Quando você promove um servidor para um controlador de domínio, você tem a opção de fazer a controlador de domínio um servidor de catálogo global. Se você recusar a fazê-lo, no entanto, você pode fazer qualquer controlador de domínio um servidor de catálogo global usando o seguinte procedimento. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. O console Server Manager é aberto.
2.
No menu Ferramentas, selecione Sites e Serviços do Active Directory. O Active Directory Sites e Serviços do console é aberto.
3.
Expanda o site onde o controlador de domínio que você quer funcionar como um catálogo global servidor está localizado. Em seguida, expanda a pasta Servidores e selecione o servidor que você deseja configurar.
4.
5.
O botão direito do mouse no nó de configurações NTDS para o servidor e, no menu de atalho, selecione Propriedades para abrir a folha de Propriedades de Configurações NTDS. Selecione a caixa de seleção Catálogo Global e clique em OK.
6.
Feche a atividade Sites e Serviços de Diretório console.
Falha de registro SRV DNS Troubleshooting DNS é essencial para o funcionamento dos Serviços de Domínio Active Directory. Para acomodar serviços de diretório, como o AD DS, um registro especial de recursos DNS foi criado que permite clientes para localizar controladores de domínio e outros serviços AD DS vitais. Quando você cria um novo controlador de domínio, uma das partes mais importantes do processo de é o registro do servidor no DNS. Esse registro automático é a razão pela qual um AD DS rede deve ter acesso a um servidor DNS que suporta o padrão atualizações dinâmicas definido no Request for Comments (RFC) 2136.
Se o processo de registro de DNS falhar, então os computadores da rede não será capaz para localizar esse controlador de domínio, cujas consequências podem ser graves. Os computadores vão ser incapaz de usar esse controlador de domínio para ingressar no domínio; membros de domínio existentes será incapaz de fazer logon; e outros controladores de domínio não será capaz de replicar com ele. Problemas de DNS são, na maioria dos casos, devido a falhas gerais de rede ou cliente DNS erro de configuração. Os primeiros passos que você deve tomar é tentar um ping ao servidor DNS e certificar-se de que a configuração do cliente TCP / IP tem os endereços corretos para os servidores de DNS que deve usar. Para confirmar que um controlador de domínio foi registrado no DNS, abra um comando janela do prompt com privilégios administrativos e digite o seguinte comando:
Objetivo resumo
Um serviço de diretório é um repositório de informações sobre os recursos do hardware, software, e humano, que estão ligados a uma rede. O Active Directory é o serviço de diretório que a Microsoft introduziu pela primeira vez no Windows 2000 Server, que tem foi atualizado em cada versão do sistema operacional do servidor sucessiva, incluindo Windows Server 2012.
Quando você cria o seu primeiro domínio em uma rede Active Directory, você está, na essência, a criação de raiz de uma árvore de domínio. Você pode preencher a árvore com adicional domínios, contanto que eles fazem parte do mesmo espaço contíguo.
Ao começar uma nova instalação do AD DS, o primeiro passo é criar uma nova floresta, que você faz, criando o primeiro domínio na floresta, o domínio raiz da floresta.
No Windows Server 2012, agora é possível instalar o Active Directory Domain Services em um computador com a opção de instalação do Server Core, e promover o sistema para um controlador de domínio, todos usando o Windows PowerShell.
Instalar a partir de mídia (IFM) é um recurso que permite aos administradores para agilizar o processo de implantação de controladores de domínio de réplica para locais remotos.
Há duas maneiras de atualizar uma infraestrutura de AD DS. Você pode atualizar o existente controladores de domínio de nível inferior para o Windows Server 2012, ou você pode adicionar um novo Server 2012 controlador de domínio do Windows para a instalação existente.
O catálogo global é um índice de todos os objetos do AD DS em uma floresta que impede sistemas de ter que realizar pesquisas entre vários controladores de domínio.
DNS é essencial para o funcionamento dos Serviços de Domínio Active Directory. Para acomodar os serviços de diretório como o AD DS, um registro especial de recursos DNS foi criado que permite aos clientes para localizar controladores de domínio e outros AD DS vitais serviços.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
2.
3.
Qual dos seguintes não pode conter vários domínios do Active Directory? A.
unidades organizacionais
B.
locais
C.
árvores
D.
florestas
Quais são as duas classes básicas de objetos do Active Directory? A.
Recurso
B.
Folha
C.
Domínio
D.
Recipiente
Qual dos seguintes não é verdade sobre os atributos de um objeto? A.
4.
B.
Os administradores devem fornecer manualmente as informações para determinados atributos. Cada objeto tem recipiente, como um atributo, uma lista de todos os outros objetos que ele contém.
C.
Objetos Folha não contêm atributos.
D.
Active Directory cria automaticamente o identificador global exclusivo (GUID).
Qual das seguintes não é uma razão pela qual você deve tentar criar o menor número de domínios como possível ao projetar uma infra-estrutura do Active Directory? A. Criando domínios adicionais aumenta a carga administrativa da instalação. B.
Cada domínio adicional que você criar aumenta os custos da atividade de hardware Implantação Directory.
5.
C.
Alguns aplicativos podem ter problemas de trabalho em uma floresta com vários domínios.
D.
Você deve adquirir uma licença da Microsoft para cada domínio que você cria.
Qual dos seguintes faz um uso cliente do Active Directory para localizar objetos em outro domínio? A.
DNS
B.
Catálogo Global
C.
DHCP
D.
Link de site
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre este objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Robert está projetando uma nova infra-estrutura de Serviços de Domínio Active Directory para um empresa chamada Litware, Inc., que tem sua sede em Nova York e dois escritórios em Londres e Tóquio. O escritório de Londres consiste apenas de vendas e marketing pessoal; ele não tem o seu próprio departamento de TI. O escritório de Tóquio é maior, com representantes de todos os departamentos da empresa, incluindo a TI completo funcionários. O escritório de Tóquio está ligado à sede através de um de 64 Kbps demanda discar link, e do escritório de Londres tem uma conexão Frame Relay de 512 Kbps. O empresa tem registrado o nome de domínio litware.com e Robert criou um subdomínio chamado inside.litware.com para uso pelo Active Directory. Com base nessas informações, projetar uma infra-estrutura do Active Directory para Litware, Inc. que é mais econômica possível, especificando quantos domínios para criar, o que nomeá-los, quantos controladores de domínio para instalar, e onde. Explique cada um dos suas decisões.
Objetivo 5.2: Criar e gerenciar o Active Directory usuários e computadores Usuários e computadores são os objetos folha básicas que povoam os ramos da atividade Árvore Directory Domain Services. Criar e gerenciar estes objetos são tarefas diárias para a maioria dos Administradores do AD DS.
Criação de objetos de usuário A conta de usuário é o principal meio pelo qual as pessoas usando um domínio do Active Directory
Recursos de acesso à rede de serviços. O acesso aos recursos para as pessoas se dá através de sua contas de usuários individuais. Para obter acesso à rede, os usuários da rede em potencial deve autenticar a uma rede com uma conta de usuário específica. A autenticação é o processo de confirmação da identidade de um usuário usando um valor conhecido como um senha, um cartão inteligente ou uma impressão digital. Quando um usuário fornece um nome e uma senha, o processo de autenticação valida as credenciais fornecidas no logon contra informações que foi armazenado na base de dados AD DS. Não confunda a autenticação com autorização, que é o processo de confirmação de que um usuário autenticado tem as permissões corretas para acesso de um ou mais recursos de rede.
Existem dois tipos de contas de usuário em sistemas que executam o Windows Server 2012, como segue:
Os usuários locais Estas contas só podem acessar recursos no computador local e são armazenados no local, conta Security Manager (SAM) no computador onde residem. Contas locais nunca são replicadas para outros computadores, nem essas contas fornecem acesso domínio. Isto significa que uma conta local configurado em um servidor não pode ser usado para acessar recursos em um segundo servidor; você precisa configurar uma segunda conta local nesse caso.
Os usuários do domínio Estas contas podem acessar o AD DS ou recursos baseados em rede, tais como pastas e impressoras compartilhadas. Informação da conta para esses usuários é armazenada no AD Banco de dados DS e replicada para todos os controladores de domínio no mesmo domínio. A subconjunto das informações de conta de usuário de domínio é replicado para o catálogo global, que é então replicada para outros servidores de catálogo global em toda a floresta.
Por padrão, duas contas de usuário internas são criadas em um computador com o Windows Server 2012: a conta de administrador ea conta de convidado. Contas de usuário Built-in pode ser local contas ou contas de domínio, dependendo se o servidor está configurado como um autônomo servidor ou um controlador de domínio. No caso de um servidor independente, as contas internas são locais contas no próprio servidor. Em um controlador de domínio, as contas internas são de domínio contas que são replicados para cada controlador de domínio.
Em um servidor membro ou servidor independente, a conta Administrador local built-in tem plena controle de todos os arquivos, bem como permissões de gerenciamento completos para o computador local. Num controlador de domínio, a conta interna Administrador criado no Active Directory tem plena controle do domínio no qual ele foi criado. Por padrão, há apenas um built-in conta de administrador por domínio. Nem a conta de administrador local em um membro servidor ou servidor independente, nem uma conta de administrador de domínio pode ser excluído; no entanto, eles pode ser renomeado.
A lista a seguir resume várias diretrizes de segurança que você deve considerar em relação ao Conta de administrador:
Mudar o nome da conta de administrador Isso vai evitar ataques de que são alvo especificamente o nome de usuário do administrador em um servidor ou domínio. Isso só vai proteger contra ataques bastante sofisticados, no entanto, e você não deve confiar nesta como o único meio de proteger as contas em sua rede.
Definir uma senha forte Certifique-se de que a senha é de pelo menos sete caracteres em comprimento e contém letras maiúsculas e minúsculas, números e caracteres alfanuméricos caracteres.
Limite conhecimento de senhas de administrador para apenas alguns indivíduos Limitando a distribuição de senhas de administrador limita o risco de violações de segurança usando esta conta.
Não use a conta de administrador para tarefas não administrativas diárias Microsoft recomenda o uso de uma conta de usuário não administrativo para o trabalho normal e usando o comando Executar como quando tarefas administrativas precisam ser executadas.
A built-in conta Convidado é usada para fornecer acesso temporário à rede para um usuário como um representante do fornecedor ou um empregado temporário. Como a conta de administrador, este conta não pode ser excluída, mas pode e deve ser renomeado. Além disso, a conta do cliente está desativada por padrão e não é atribuído uma senha padrão. Na maioria dos ambientes, você deve considerar a criação de contas exclusivas para o acesso do usuário temporário ao invés de confiar no Conta de convidado. Desta forma, você pode ter certeza que a conta segue as diretrizes de segurança da empresa definidas para usuários temporários. No entanto, se você decidir usar a conta do cliente, reveja o seguintes diretrizes:
Mudar o nome da conta do cliente depois de ativar-lo para uso Como discutimos com o Conta de administrador, isso vai negar intrusos um nome de usuário, que é metade do informações necessárias para ter acesso ao seu domínio.
Definir uma senha forte A conta de convidado, por padrão, está configurado com um espaço em branco senha. Por razões de segurança, você não deve permitir que uma senha em branco. Certificar-se que a senha é de pelo menos sete caracteres de comprimento e contém letras maiúsculas e letras minúsculas, números e caracteres alfanuméricos.
Ferramentas de criação de usuário Uma das tarefas mais comuns para os administradores é a criação de usuário do Active Directory objetos. O Windows Server 2012 inclui várias ferramentas que você pode usar para criar objetos. O específica ferramenta que você usa depende de quantos objetos que você precisa para criar, o período de tempo disponível para a criação desses grupos, e quaisquer circunstâncias especiais, tais como a importação de usuários a partir de uma banco de dados existente. Ao criar um único usuário, os administradores podem usar o Centro de Administração do Active Directory ou o console Usuários e Computadores do Active Directory. No entanto, quando você precisa criar vários usuários em um curto espaço de tempo ou você tem um banco de dados a partir do qual a importação esses objetos, você vai querer escolher uma ferramenta mais eficiente. O Windows Server 2012 fornece uma número de ferramentas que você pode escolher de acordo com o que você quer realizar. A lista a seguir descreve os métodos mais comumente usados para a criação de vários usuários e grupos. Estes ferramentas são detalhadas nas próximas seções.
Dsadd.exe A ferramenta de linha de comando padrão para a criação do AD DS objetos folha, que você pode usar com arquivos em lote para criar objetos do AD DS a granel
Windows PowerShell A ferramenta atualmente aprovada a manutenção do Windows, com qual você pode criar scripts de criação de objeto de complexidade quase ilimitada
Comma Separated Value-Directory Exchange (CSVDE.exe) A linha de comando utilitário que pode criar novos objetos AD DS através da importação de informações de uma vírgula valor separado do arquivo (. csv).
LDAP Data Interchange Format Directory Exchange (LDIFDE.exe) Como CSVDE, um utilitário que pode importar AD DS informações e usá-lo para adicionar, excluir ou modificar objetos, além de modificar o esquema, se necessário.
Estas ferramentas têm todos os seus papéis na administração de rede; cabe ao administrador selecionar a melhor ferramenta para se adequar ao seu conjunto de habilidades e uma determinada situação. Por exemplo, você pode tem duas ferramentas que podem realizar um trabalho, mas a sua primeira escolha pode ser a ferramenta com a qual você está mais familiarizado ou o que pode realizar a tarefa em um curto período de tempo. Os capítulos seguintes analisam vários cenários para o uso dessas ferramentas para criar usuário objetos.
Criação de usuários únicos Para alguns administradores, a criação de contas de usuários individuais é uma tarefa diária, e há muitos maneiras de ir sobre ele. O Windows Server 2012 tem redesenhado o Diretório de Administração do Active Centro de aplicação (ADAC), introduzido pela primeira vez no Windows Server 2008 R2, a incorporar totalmente novos recursos, como a Lixeira do Active Directory e políticas de senha refinadas. Você também pode usar a ferramenta para criar e gerenciar contas de usuário do AD DS
Para criar uma única conta de usuário com o Centro de Administração do Active Directory, use o procedimento a seguir. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
No menu Ferramentas, selecione Centro Administrativo do Active Directory. A atividade Console do Centro Administrativo aparece.
3.
No painel esquerdo, localize o domínio em que você deseja criar o objeto de usuário e selecionar um container em que domínio.
4.
No painel de Tarefas, abaixo do nome do contêiner, clique em Novo> Usuário para abrir o Criar Janela do utilizador, como mostrado na Figura 5-11.
FIGURA 5-11 A janela de usuário Criar no console Active Directory Centro Administrativo.
5.
Digite o nome do usuário no campo Nome completo e um nome de conta na Usuário SamAccountName campo Logon.
6.
Digite uma senha inicial para o usuário na campos Senha e Confirmar senha.
7. 8.
Fornecer informações para qualquer um dos campos opcionais na página que você deseja. Clique em OK. O objeto usuário aparece no recipiente.
9.
Feche o console Active Directory Centro Administrativo.
Administradores que estão mais confortáveis com os familiares e usuários do Active Directory Console de computadores ainda podem criar objetos de usuário com isso, usando o New Object - User Wizard, como mostrado na Figura 5-12.
FIGURA 5-12 The New Object - User Wizard no console Usuários e Computadores do Active Directory.
Para os administradores que trabalham em instalações Server Core, ou para aqueles que são apenas mais confortável com a linha de comando, também é possível criar objetos de usuário sem interface gráfica. UTILIZAÇÃO Dsadd.exe
Para os administradores mais confortáveis com o prompt de comando tradicional, o Dsadd.exe programa pode criar novos objetos de usuário, usando a sintaxe mostrada na Figura 5-13.
FIGURA 5-13 Sintaxe do programa Dsadd.exe.
Para criar um usuário usando o utilitário Dsadd.exe, você deve saber o nome distinto (DN) para o usuário e do usuário de login ID, também conhecido como o atributo de nome de conta SAM no AD DS. O nome distinto de um objeto significa a sua posição relativa dentro da atividade Estrutura de diretórios. Por exemplo, no nome distinto cn = Elizabeth Andersen, ou = Research, dc = adatum, dc = com, o cn refere-se ao nome comum para Elizabeth
Conta de usuário de Andersen, que reside na UO Research, que reside no adatum.com domínio. Cada objeto tem um DN único, mas este DN pode mudar se você mover o objeto para diferentes locais dentro da estrutura do Active Directory. Por exemplo, se você criar uma camada adicional de OUs representando escritórios em diferentes cidades, o DN anterior pode ser alterado para cn = Elizabeth Andersen, ou = Research, ou = Baltimore, dc = adatum, dc = com, mesmo que seja o mesmo usuário objeto com os mesmos direitos e permissões.
O nome da conta SAM refere-se a cada usuário de login de nome a parte à esquerda do "@" dentro de um nome principal de usuário, que é eander em
[email protected]. A conta SAM nome deve ser exclusivo em um domínio. Quando você tem esses dois itens, você pode criar um usuário com o utilitário usando Dsadd.exe a seguinte sintaxe:
Por exemplo, em sua forma mais simples, você pode criar a conta para Elizabeth Andersen mencionado anteriormente como se segue:
Você também pode adicionar valores de atributos com a ferramenta Dsadd.exe. O seguinte comando adiciona alguns dos atributos mais comuns para o objeto de usuário:
Usando o Windows PowerShell
A Microsoft está colocando maior ênfase no Windows PowerShell como uma ferramenta de gerenciamento de servidor, e fornece um cmdlet chamado New-ADUser, que você pode usar para criar uma conta de usuário e configurar qualquer ou todos os atributos associados. O cmdlet New-ADUser tem uma grande muitos parâmetros, como mostrado na Figura 5-14, para permitir o acesso a todo o objecto do utilizador atributos.
FIGURA 5-14 Sintaxe do cmdlet New-ADUser.
Por exemplo, para criar um novo objeto de usuário para Elizabeth Andersen em uma unidade organizacional (OU) chamou de Pesquisa, você poderia usar o comando New-ADUser com a seguinte parâmetros:
A-Name e-SAMAccountName parâmetros são necessários para identificar o objeto. O -Path parâmetro especifica a localização do objeto no AD DS hierarquia. A-Enabled parâmetro garante que a conta está ativa.
Criando modelos do usuário Em alguns casos, os administradores têm de criar usuários únicos em uma base regular, mas o usuário contas conter tantos atributos que criá-los individualmente é demorado. Uma forma de acelerar o processo de criação de objetos de usuário complexas é usar o NewCmdlet ADUser ou o programa Dsadd.exe e reter os seus comandos em um arquivo script ou batch. No entanto, se você preferir uma interface gráfica, você pode fazer mais ou menos a mesma coisa, criando um modelo de usuário. Um modelo de usuário é um objeto de usuário padrão contendo configurações de atributo clichê. Quando você deseja criar um novo usuário com essas configurações, basta copiar o modelo para um novo usuário objeto e alterar o nome e todos os outros atributos que são exclusivos para o usuário. Para criar um modelo de usuário com o console Usuários e computadores do Active, utilize o procedimento a seguir. 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
Criar um objeto de usuário com o Modelo Padrão nome, limpando o usuário deve alterar Senha caixa de verificação próximo logon e selecionar a conta em caixa com deficiência é.
3.
Abra Propriedades folha do usuário e modificar os atributos nas várias janelas com valores comuns a todos os usuários que você estará criando.
4.
Feche o Active Directory Usuários e Computadores do console.
Para usar o modelo, clique com o botão direito no objeto de usuário modelo padrão e, a partir do atalho menu, selecione Copiar. O Objeto Copy - Assistente de usuário for exibida, como mostrado na Figura 5-15.
FIGURA 5-15 O Objeto Copy - Assistente de Usuário.
Digite as informações exclusivas necessário para o usuário e desmarque a conta é de seleção desativado caixa antes de clicar em OK. O assistente cria um novo objeto de usuário com todos os atributos que você configurado no molde.
Criando vários usuários Administradores às vezes tem que criar centenas ou milhares de objetos do usuário, tornando o procedimentos únicos de criação de objetos impraticável. As seções anteriores descreveram os procedimentos para a criação de um único usuário e grupo objeto usando a GUI e alguns dos disponíveis comandoferramentas de linha no Windows Server 2012. Os capítulos seguintes analisam alguns dos mecanismos para automatizar a criação de um grande número de objetos do Active Directory.
UTILIZAÇÃO CSVDE.EXE
Aplicativos como o Microsoft Excel pode gerar listas de usuários, juntamente com seu acompanhante informações, para adicionar à base de dados AD DS. Nestes casos, você pode exportar as informações da os pedidos de salvá-lo em um arquivo no formato CSV. CSV também pode ser usado para importar informação em e exportá-lo a partir de outras aplicações de terceiros. Um arquivo CSV é um arquivo de texto simples que consiste de registros, cada um em uma linha separada, que são divididos em campos, separados por vírgulas. O formato é um meio para salvar banco de dados informações de uma forma universalmente compreensível.
O utilitário de linha de comando CSVDE.exe permite aos administradores importar ou exportar atividade Objetos do diretório. Ele usa um arquivo CSV que é baseado em um registro de cabeçalho, que identifica o atribuem contida em cada campo separado por vírgulas. O registro de cabeçalho é simplesmente a primeira linha de o arquivo de texto que usa nomes de atributos adequados. Para ser importado para o AD DS, os nomes dos atributos no arquivo CSV deve coincidir com os atributos permitidos pelo esquema do Active Directory. Por exemplo, se você tiver uma lista de pessoas e números de telefone que deseja importar como usuários em Active Diretório de banco de dados, você vai precisar para criar um registro de cabeçalho que reflete com precisão o objeto nomes e atributos que você deseja criar. Reveja os seguintes atributos que são comumente usado para a criação de contas de usuário.
dn Especifica o nome distinto do objeto para que o objeto pode ser adequadamente colocado no Active Directory
samAccountName Preenche o campo de conta SAM
objectClass Especifica o tipo de objeto a ser criado, como o usuário, grupo ou UO
telephoneNumber
Preenche o campo Número de Telefone
userPrincipalName
Preenche o campo UPN para a conta
Como criar o arquivo CSV, você deve solicitar os dados para refletir a seqüência do atributos no registro de cabeçalho. Se os campos e os dados estão fora de ordem, você quer encontrar um erro ao executar o utilitário CSVDE.exe ou você pode não obter resultados precisos no criado objetos. O exemplo a seguir de um registro de cabeçalho usa os atributos listados anteriormente para criar um objeto usuário.
Um registro de dados em conformidade com este registro de cabeçalho, então, aparecer como segue:
Depois de adicionar um registro para cada conta que você deseja criar, salve o arquivo usando. Csv como a extensão. Em seguida, use a seguinte sintaxe de comando para executar o programa CSVDE.exe e importar o arquivo:
A opção-i diz CSVDE.exe que esta operação irá importar os dados. A opção-f é usada para especificar o arquivo. csv que contém os registros a serem importados. UTILIZAÇÃO LDIFDE.EXE
LDIFDE.exe é um utilitário que tem a mesma funcionalidade básica como CSVDE.exe e fornece a capacidade de modificar os registros existentes no Active Directory. Por esta razão, é mais LDIFDE.exe opção flexível. Considere um exemplo onde você tem que importar 200 novos usuários em seu AD DS estrutura. Neste caso, você pode usar CSVDE.exe ou LDIFDE.exe para importar os usuários. No entanto, você pode usar LDIFDE.exe para modificar ou excluir os objetos mais tarde, enquanto CSVDE.exe não fornece esta opção.
Você pode usar qualquer editor de texto para criar o arquivo de entrada LDIFDE.exe, que é formatado de acordo com o LDAP Data Interchange Format (LDIF) padrão. O formato do arquivo de dados contendo os registros do objeto que você deseja criar é significativamente diferente da de CSVDE.exe. O exemplo a seguir mostra a sintaxe para um arquivo de dados para criar o mesmo usuário conta discutido no exemplo CSVDE.exe.
Usando LDIFDE.exe, você pode especificar uma das três ações que serão realizadas com o LDIF arquivo:
Adicionar Cria novos objetos usando os registros LDIF
Modificar Modifica os atributos objeto existente usando os registros LDIF
Excluir Exclui objetos existentes usando os registros LDIF
Depois de criar o arquivo de dados e salvá-lo usando a extensão do arquivo ldf., Use o seguinte sintaxe para executar o programa LDIFDE.exe.
O exemplo seguinte ilustra a sintaxe LDIF para modificar o número de telefone de um existente objeto de usuário. Note que o hífen na última linha é necessária para o arquivo para funcionar corretamente.
Usando o Windows PowerShell
Também é possível usar arquivos CSV para criar objetos de usuário com o Windows PowerShell, usando a Import-CSV cmdlet para ler os dados do arquivo e canalizando-o para o cmdlet New-ADUser. Para inserir os dados do arquivo para os atributos corretos objeto de usuário, você pode usar o New-ADUser parâmetros de cmdlet para referenciar os nomes de campo no registro de cabeçalho do arquivo CSV. Um exemplo de um comando de volume de criação de usuário seria o seguinte:
Criar objetos de computador Porque uma rede AD DS usa um diretório centralizado, tem de haver algum meio de monitoramento dos computadores atuais que fazem parte do domínio. Para fazer isso, o Active Directory usa contas de computador, que são realizadas na forma de computadores objetos no Active Directory base de dados. Você pode ter uma conta de usuário do Active Directory válido e uma senha, mas se o seu computador não é representado por um objeto de computador, você não pode fazer logon no domínio.
Objetos de computador são armazenados na hierarquia do Active Directory, assim como objetos de usuário são, e eles possuem muitas das mesmas capacidades, como por exemplo o seguinte: Objetos de computador consistem em propriedades que especificam o nome do computador, onde é localizado, e quem tem permissão para gerenciá-lo.
Objetos de Computador herdar as definições de política de grupo de objetos de recipiente, como domínios, sites e OUs. Objetos de computador podem ser membros de grupos e permissões de herdar do grupo objetos.
Quando um usuário tenta fazer logon em um domínio do Active Directory, o computador cliente estabelece uma conexão com um controlador de domínio para autenticar a identidade do usuário. No entanto, antes que ocorra a autenticação do usuário, os dois computadores realizar uma preliminar autenticação usando seus respectivos objetos de computador, para garantir que ambos os sistemas são parte de o domínio. O serviço Netlogon em execução no computador cliente se conecta ao mesmo serviço no controlador de domínio e, em seguida, cada um verifica-se que o outro sistema tem um válido conta de computador. Quando esta validação é concluída, os dois sistemas de estabelecer um seguro canal de comunicação entre eles, que eles podem usar para começar o usuário processo de autenticação.
A validação da conta de computador entre o cliente eo controlador de domínio é um genuíno processo de autenticação usando nomes de contas e senhas, assim como quando um usuário se autentica ao domínio. A diferença é que as senhas usadas pelas contas de computador são automaticamente gerado e mantido escondido. Os administradores podem redefinir uma conta de computador, mas eles não têm que fornecer senhas para eles. O que tudo isso significa para os administradores é que, além de criar contas de usuário no domínio, eles têm de se certificar de que os computadores da rede fazem parte do domínio do bem. Adicionando um computador a um domínio AD DS consiste em duas etapas:
Criando uma conta de computador Você cria uma conta de computador, criando um novo objeto de computador no Active Directory e atribuir o nome de um computador real na rede.
Juntando-se ao computador ao domínio Quando você participar de um computador ao domínio, os contatos do sistema um controlador de domínio, estabelece uma relação de confiança com o domínio, localiza (ou cria) um objeto de computador correspondente ao computador de nome, altera seu identificador de segurança (SID) para coincidir com o objeto de computador, e modifica suas participações em grupos.
Como estes passos são executados, e que os realiza, depende da maneira na qual lhe implantar computadores em sua rede. Há muitas maneiras de criar novos objetos de computador, e como os administradores eleitos para fazer isso depende de vários fatores, incluindo o número de objetos que precisam para criar, onde serão ao criar os objetos, eo que eles ferramentas prefere usar.
De um modo geral, você cria objetos de computador quando você implanta novos computadores na domínio. Uma vez que um computador é representado por um objeto e juntou-se ao domínio, qualquer usuário em domínio pode fazer logon a partir desse computador. Por exemplo, você não precisa criar um novo objetos de computador ou voltar computadores ao domínio quando os funcionários deixam a empresa e novas contratações começar a usar seus computadores. No entanto, se você reinstalar o sistema operacional em um computador, você deve criar um novo objeto de computador para ele (ou redefinir o existente), pois o computador recém-instalado terá um SID diferente. A criação de um objeto de computador deve sempre ocorrer antes do computador correspondente realmente pode ingressar no domínio, embora, por vezes, não parece que maneira. Há dois estratégias básicas para a criação de objetos de computador do Active Directory, que são as seguintes:
Criar os objetos de computador com antecedência usando uma ferramenta Active Directory, de modo que a computadores podem localizar os objetos existentes quando eles se juntam o domínio. Comece o processo de adesão em primeiro lugar e deixar o computador criar seu próprio objeto de computador. Em cada caso, o objeto existe computador antes de a união ocorre. Na segunda estratégia, o processo de adesão parece começar em primeiro lugar, mas o computador cria o objeto antes o processo de adesão propriamente dita. Quando há um certo número de computadores para implementar, em particular em locais diferentes, a maioria administradores preferem criar os objetos de computador com antecedência. Para grandes números de computadores, é ainda possível automatizar o processo de criação do objeto de computador usando ferramentas de linha de comando e arquivos em lote. Os capítulos seguintes analisam as ferramentas que você pode usar para criação computador objeto.
Criar objetos de computador usando Usuários e Computadores do Active Directory Tal como acontece com os objetos de usuário, você pode criar objetos de computador com o Active Directory Usuários e Console de Computadores. Para criar objetos de computador em um domínio do Active Directory utilizando a atividade Usuários e Computadores do console ou qualquer ferramenta, você deve ter a adequada permissões para o recipiente no qual os objetos serão localizados. Por padrão, o grupo Administradores tem permissão para criar objetos em qualquer lugar do domínio eo grupo Operadores de Contas tem as permissões especiais necessárias para criar objetos de computador e excluí-los do recipiente computadores, bem como de qualquer novo OUs que você cria. Os administradores de domínio e Administradores de Empresa grupos são membros da Grupo Administradores, para que os membros desses grupos pode criar objetos de computador em qualquer lugar, como bem. Um administrador também pode delegar explicitamente controlo dos contentores para determinados usuários ou grupos, permitindo-lhes criar objetos de computador nesses recipientes.
O processo de criação de um objeto de computador em Usuários e Computadores do Active Directory é semelhante ao de criar um objecto de utilizador. Você seleciona o recipiente em que você deseja colocar o objeto e, no menu Ação, selecione Novo> Computador. O Novo Objeto - Computador Assistente aparece, como mostrado na Figura 5-16.
FIGURA 5-16 Assistente de computador - o novo objeto.
Objetos de computador têm relativamente poucos atributos, e na maioria dos casos, você provavelmente irá apenas fornecê-los com um nome, o qual pode ter até 64 caracteres. Este nome deve corresponder ao nome do computador associado com o objeto.
Criar objetos de computador com o Centro de Administração do Active Directory Tal como acontece com os usuários, você também pode criar objetos de computador no diretório de Administração do Active Centro. Para criar um objeto de computador, você escolhe um recipiente e, em seguida, selecione Novo> Computador de listar as tarefas para exibir a caixa de diálogo Computer Criar.
Criar objetos de computador usando Dsadd.exe Tal como acontece com os usuários, as ferramentas gráficas fornecidas com o Windows Server 2012 são bons para criar e gerenciamento de objetos únicos, mas muitos administradores de voltar-se para a linha de comando quando eles tem que criar vários objetos. O utilitário Dsadd.exe permite criar objetos de computador a partir da linha de comando, apenas como você criou objetos de usuário anteriormente nesta lição. Você pode criar um arquivo de lote de Dsadd.exe comandos para gerar vários objetos em um único processo. A sintaxe básica para a criação de um objeto computador com Dsadd.exe é como se segue:
O parâmetro especifica um nome distinto para o novo objeto grupo você deseja criar. O DNS utilizam o mesmo formato, como aqueles em arquivos CSV, como discutido anteriormente.
Criar objetos de computador usando o Windows PowerShell Windows PowerShell inclui o cmdlet New-ADComputer, que você pode usar para criar objetos de computador com a seguinte sintaxe básica. Esse cmdlet cria objetos de computador, mas não se juntar a eles em um domínio.
Gerenciando objetos do Active Directory Depois de ter criado os objetos de usuário e computador, você pode gerenciá-los e modificá-los em muitas das mesmas maneiras que você criou. Clicando duas vezes em qualquer objeto no Centro Administrativo do Active Directory ou Active Usuários e Computadores do console abrir a folha de propriedades para esse objeto. O janelas parecem diferentes, mas eles contêm a mesma informação, e fornecer a mesma capacidade para alterar os atributos do objeto.
Gerenciando vários usuários Ao gerenciar contas de usuário de domínio, há uma probabilidade de haver momentos em que você tem que fazer as mesmas alterações em vários objetos de usuário e modificar cada um individualmente seria uma tarefa tediosa. Nesses casos, é possível modificar as propriedades de várias contas de usuário ao mesmo tempo, usando o Centro Ativo Administrativo Directory ou o Active Directory Usuários e console de Computadores. Basta selecionar vários objetos de usuário, mantendo pressionada a tecla Ctrl pressionada enquanto clicar em cada usuário e, em seguida, selecione Propriedades. Uma folha de Propriedades é exibida, contendo a atributos, você pode gerenciar para os objetos selecionados ao mesmo tempo, como mostrado na Figura 5-17.
FIGURA 5-17 A Múltiplos Usuários folha de propriedades no Centro Administrativo do Active Directory.
Ingressando computadores a um domínio O processo de adesão, na verdade, um computador para um domínio deve ocorrer no próprio computador e ser realizada por um membro do grupo Administradores local do computador. Depois de iniciar a sessão, você participar de um computador com o Windows Server 2012 a um domínio a partir da guia Nome do Computador na folha de Propriedades do Sistema. Você pode acessar a folha de propriedades do sistema do servidor Manager, clicando no nome do computador ou domínio hyperlink em Propriedades telha do servidor, a partir do Painel de Controle. Em um computador que não tenha ingressado em um domínio, o guia Nome do computador exibe o nome atribuído ao computador durante a instalação do sistema operacional, bem como o nome do grupo de trabalho ao qual o sistema pertence atualmente (que é WORKGROUP, por padrão). Para se associar o computador ao domínio, clique em Alterar para exibir a caixa de diálogo Computer Name Changes mostrado na Figura 5-18.
FIGURA 5-18 A caixa de diálogo Computer Name Changes.
Nesta caixa de diálogo, o campo Nome do computador permite que você altere o nome atribuído ao o computador durante a instalação. Dependendo se você já tiver criado um computador objeto, observe as seguintes precauções:
Para ingressar em um domínio em que você já tenha criado um objeto de computador para o sistema nos Serviços de Domínio Active Directory, o nome neste campo deve corresponder ao nome de o objeto exatamente.
Se você pretende criar um objeto de computador durante o processo de adesão, o nome neste campo não deve existir no domínio.
Quando você seleciona a opção Domínio e digite o nome do domínio que o computador vai juntar-se, o computador estabelece contato com um controlador de domínio para o domínio e uma segunda Caixa de diálogo Computer Name Changes será exibida, solicitando-lhe o nome ea senha de um domínio de conta de usuário com permissão para ingressar o computador ao domínio. Depois de ter autenticado com o controlador de domínio, o computador é bem-vinda para o domínio e que seja instruído a reiniciar o computador. Participar de um domínio usando NETDOM.EXE
Também é possível usar o utilitário de linha de comando Netdom.exe para associar um computador a um domínio. A sintaxe do comando é a seguinte:
Criação de objetos computador enquanto UNIR
Você pode participar de um computador a um domínio ou não você já criou um computador objeto para ele. Uma vez que o computador faz a autenticação no controlador de domínio, o controlador de domínio verifica o banco de dados do Active Directory para um objeto de computador com o mesmo nome que o computador. Se ele não encontrar um objeto correspondente, o controlador de domínio cria um no Computadores recipiente, usando o nome fornecido pelo computador. Para o objecto de computador para ser criada automaticamente desta maneira, seria de esperar que a conta de usuário que você especificar quando a conexão com o controlador de domínio deve ter objeto privilégios de criação para o recipiente de Computadores, como membro de administradores grupo. No entanto, isto nem sempre é o caso. Os usuários do domínio também pode criar objetos de computador se através de um interessante, indireta processo. Os controladores de domínio padrão de política de grupo Política de objeto (GPO) concede um direito de usuário chamado Adicionar estações de trabalho ao domínio para os usuários identidade especial autenticado, como mostrado na Figura 5-19. Isto significa que qualquer usuário que for autenticado com êxito para o Active Directory é permissão para participar de até dez estações de trabalho ao domínio e criar dez computador associado objetos, mesmo que eles não possuam permissões de criação de objeto explícitas.
FIGURA 5-19 Os controladores de domínio padrão Política de atribuições de direitos de
usuário.
Atribuição de direitos de usuário Os direitos do usuário são as configurações de Diretiva de Grupo que fornecem aos usuários a capacidade de realizar determinado tarefas relacionadas ao sistema. Por exemplo, fazer logon localmente para um controlador de domínio exige que um usuário tem o direito de efetuar logon local designado para a sua conta ou ser um membro da Operadores de Contas, Administradores, Operadores de cópia, Operadores de impressão ou servidor Grupo de operadores no controlador de domínio. Outras configurações similares incluídas neste coleção estão relacionados com direitos de usuário associados com o desligamento do sistema, tomando posse privilégios dos arquivos ou objetos e dados de serviço de diretório de sincronização. Para mais
informações sobre a atribuição de direitos de usuário, consulte Objetivo 6.2, "Políticas de configurar a segurança," em Capítulo 6.
Participar de um ENQUANTO domínio offline
É típico para os administradores associar computadores a domínios enquanto os computadores estão ligado à rede e ter acesso a um controlador de domínio. No entanto, existem situações em que os administradores podem querer configurar computadores sem acesso a um domínio controlador, como uma nova instalação da filial. Nestes casos, é possível executar um domínio associação offline, usando um programa de linha de comando chamado Djoin.exe.
O domínio offline de procedimento requer que você executar o programa Djoin.exe duas vezes, uma em um computador com acesso a um controlador de domínio, e depois novamente no computador para ser unidas. Quando conectado ao controlador de domínio, o programa reúne conta de computador metadados para o sistema a ser unida e salva em um arquivo. A sintaxe para esta fase do processo é como se segue:
Você, então, transportar o arquivo de metadados para o computador para ser unida e executar Djoin.exe novamente, especificando o nome do arquivo. O programa salva os metadados do arquivo para o computador, de modo que a próxima vez que tem acesso a um controlador de domínio, o sistema é automaticamente unido ao o domínio. A sintaxe para a segunda fase do processo é como se segue:
Gerenciando contas desativadas Desativação de uma conta de usuário impede ninguém de usá-lo para fazer logon no domínio, até que um administrador com as permissões apropriadas permite-lo novamente. Você pode desativar as contas de usuário manualmente, para evitar o seu uso, preservando todas as suas propriedades, mas também é possível para uma sistema para desativá-los automaticamente. Por exemplo, repetidas violações da política de senha configurações podem desativar uma conta para impedir intrusos de fazer novas tentativas de ataque.
Para desativar ou ativar uma conta de usuário ou computador no Centro Administrativo do Active Directory ou Usuários e Computadores do Active Directory, simplesmente botão direito do mouse no objeto e selecione Desativar ou Ativar a partir do menu de atalho. Você também pode desabilitar e habilitar várias contas por seleção de vários objetos e clicar com o botão direito. Para desativar ou ativar uma conta de usuário ou computador com o Windows PowerShell, use o seguinte sintaxe cmdlet:
Objetivo resumo
A conta de usuário é o principal meio pelo qual as pessoas usando um Active Directory Serviços de Domínio recursos de acesso à rede.
Uma das tarefas mais comuns para os administradores é a criação do Active Directory objetos de usuário. O Windows Server 2012 inclui várias ferramentas que você pode usar para criar objetos.
O Windows Server 2012 tem redesenhado o Centro Administrativo do Active Directory Aplicação (ADAC), introduzido pela primeira vez no Windows Server 2008 R2, a incorporar totalmente novos recursos, como a Lixeira do Active Directory e senha de grão fino políticas. Você também pode usar a ferramenta para criar e gerenciar contas de usuário do AD DS.
Microsoft Excel e Microsoft Exchange são duas aplicações comuns em que você pode ter um número de utilizadores, juntamente com a sua informação que acompanha, para adicionar a base de dados DS AD. Nestes casos, você pode exportar as informações dos aplicativos salvando-o em um arquivo no formato CSV.
LDIFDE.exe é um utilitário que tem a mesma funcionalidade básica como CSVDE.exe e fornece a habilidade de modificar os registros existentes no Active Directory.
Porque uma rede AD DS usa um diretório centralizado, tem de haver algum meio de rastrear os computadores reais que fazem parte do domínio. Para fazer isso, o Active Directory usa contas de computador, que são realizadas na forma de objetos de computador no banco de dados do Active Directory.
O processo de adesão, na verdade, um computador para um domínio deve ocorrer no computador si mesmo e ser realizada por um membro do grupo Administradores local do computador.
É possível executar um domínio de associação offline, usando um programa de linha de comando chamado Djoin.exe.
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
2.
O que pode ser usado para adicionar, excluir ou modificar objetos no Active Directory, além de modificar o esquema, se necessário? A.
DCPROMO
B.
LDIFDE
C.
CSVDE
D.
NSLOOKUP
Ao usar CSVDE, qual é a primeira linha do arquivo de texto que usa atributo adequado nomes? A.
linha de cabeçalho
3.
4.
5.
B.
registro de cabeçalho
C.
nome da linha
D.
Name Record
Qual dos seguintes utilitários que você usa para executar um domínio de associação offline? A.
net juntar
B.
juntar
C.
djoin
D.
DLigue
Qual dos seguintes não é um tipo de conta de usuário que pode ser configurado em Windows Server 2012? A.
contas locais
B.
contas de domínio
C.
contas de rede
D.
contas internas
Qual das seguintes são as duas contas de usuário internas criadas automaticamente em um computador com o Windows Server 2012? A.
Rede
B.
Interativo
C.
Administrador
D.
Convidado
Experiência de pensamento No seguinte experimento de pensamento, aplicar o que você aprendeu sobre este objetivo de prever o que os passos que você precisa tomar. Você pode encontrar respostas a estas perguntas na seção "Respostas" no final deste capítulo. Você é um administrador de rede que está em processo de construção de um Active Rede Directory para uma empresa chamada Fabrikam, Inc., e você tem que criar usuário objetos para os 75 usuários no departamento de Inside Sales. Você já criou o domínio fabrikam.com e uma OU chamada Inside Sales para esta finalidade. O Departamento de Recursos Humanos lhe forneceu uma lista de nomes dos usuários e instruiu-lhe criar os nomes de contas usando a primeira inicial eo último nomear. Cada objeto usuário também deve ter o valor Inside Sales no Departamento propriedade e Fabrikam, Inc. na propriedade da empresa. Usando o primeiro nome no lista, Oliver Cox, como exemplo, que um dos seguintes formatos de linha de comando seria permitem a criação de objetos de usuário de 75, com os valores de propriedade necessários? 1.
dsadd "Oliver Cox"-empresa "Fabrikam, Inc." -Dept "Inside Sales"
2.
dsadd usuário CN = Oliver Cox, CN = Inside Sales, DC = fabrikam, DC = com a empresa Fabrikam, Inc.-dept Inside Sales
3.
dsadd-empresa "Fabrikam, Inc." -Dept "Inside Sales" "CN = Oliver Cox, CN = Inside Sales, DC = fabrikam, DC = com "
4.
dsadd user "CN = Oliver Cox, CN = Inside Sales, DC = fabrikam, DC = com"-empresa "Fabrikam, Inc."-dept "Inside Sales"
Objetivo 5.3: Criar e gerenciar o Active Directory grupos e unidades organizacionais (OUs) OUs podem ser aninhados para criar um projeto que permite aos administradores de aproveitar o herança descrito anteriormente. Você deve limitar o número de OUs que são aninhados, porque também muitos níveis pode retardar o tempo de resposta aos pedidos de recursos e complicar a aplicação de definições de política de grupo. Quando você instala o Active Directory Domain Services, há apenas uma unidade organizacional no domínio, por padrão: os controladores de domínio ou. Todas as outras unidades organizacionais deve ser criado por um domínio administrador. OUs e permissões OUs não são considerados entidades de segurança. Isso significa que você não pode atribuir acesso permissões para um recurso com base na associação a uma UO. Aqui reside a diferença entre, grupos de domínio local e universal UOs e globais. Os grupos são usados para atribuir permissões de acesso, enquanto OUs são usados para organizar os recursos e delegar permissões.
Há um outro tipo de recipiente objeto encontrado em um domínio, literalmente chamado de container. Para exemplo, um domínio recém-criado tem vários objetos de contêiner na mesma, incluindo uma chamada Os usuários, que contém os usuários e grupos predefinidos do domínio, e outro chamado Computadores, que contém os objectos de computador para todos os sistemas a que se juntou ao domínio.
Ao contrário de OUs, não é possível atribuir configurações de Diretiva de Grupo para objetos de computador, nem pode você delegar a sua administração. Você também não pode criar novos objetos de contêiner usando o padrão Ferramentas de administração do Active Directory, como os Usuários e Computadores do Active Directory console. Você pode criar objetos de contêiner usando scripts, mas não há razão para fazê-lo. UO são o método preferido de subdividir um domínio.
Criando OUs Não há nenhum tipo de objetos mais simples para criar no AD DS hierarquia de uma UO. Você só tem que fornecer um nome para o objeto e definir sua localização na árvore do Active Directory.
Para criar um objeto OU utilizando o Centro de Administração do Active Directory, use o seguinte procedimento: 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
No menu Ferramentas, selecione Central de Administração do Active Directory para abrir a atividade Console do Centro Administrativo.
3.
No painel esquerdo, clique com o botão direito no objeto sob a qual você deseja criar o novo OU e, a partir do menu de atalho, selecione Novo> Unidade Organizacional. O Criar Janela Unidade Organizacional aparece, como mostrado na Figura 5-20.
FIGURA 5-20 A janela Criar Unidade Organizacional no Centro Administrativo do Active Directory.
4.
No campo Nome, digite um nome para a UO e adicione qualquer informação opcional que desejo.
5.
Clique em OK. O objeto OU aparece no recipiente.
6.
Feche o console Active Directory Centro Administrativo.
Criando uma OU no console Usuários e computadores do Active funciona mais ou menos da mesma forma, embora o Novo Objeto - caixa de diálogo Unidade Organizacional é diferente em aparência. Depois de ter criado uma unidade organizacional, você pode clicar duas vezes nele para abrir suas Propriedades folha, onde você pode modificar seus atributos, ou clique com o botão direito nele e selecione Mover, para abrir o Mover caixa de diálogo, como mostrado na Figura 5-21.
FIGURA 5-21 A caixa de diálogo Mover no Centro Administrativo do Active Directory.
Usando OUs para delegar tarefas Gerenciamento do Active Directory Criando OUs permite-lhe implementar um modelo de gestão descentralizado, em que outros administrar porções da hierarquia AD DS, sem afectar o resto da estrutura. Delegar autoridade a nível local afeta todos os domínios e usuários dentro do site. Delegar autoridade no nível do domínio afeta todo o domínio. No entanto, a delegação de autoridade no Nível OU afeta apenas que UO e seus objetos subordinados. Ao conceder a autoridade administrativa sobre uma estrutura de UO, ao contrário de um domínio ou site inteiro, você ganha o seguinte vantagens:
Número mínimo de administradores com privilégios globais Através da criação de um hierarquia de níveis administrativos, é limitar o número de pessoas que necessitam mundial acesso.
Alcance limitado de erros Erros administrativos, tais como a exclusão ou recipiente grupo objeto de exclusão afetam apenas a respectiva estrutura de UO.
O Assistente para delegação de controle fornece uma interface simples que você pode usar para delegar permissões para domínios, unidades organizacionais, ou contentores. AD DS tem seu próprio sistema de permissões, muito como os de NTFS e impressoras. O Assistente para delegação de controle é essencialmente um front-end interface que cria combinações complexas de permissões com base na administração específica tarefas. A interface do assistente permite que você especifique os usuários ou grupos aos quais você deseja delegar permissões de gestão e as tarefas específicas que você deseja que eles sejam capazes de executar. Você pode delegar tarefas predefinidas ou criar tarefas personalizadas que permitem que você seja mais específico. Para delegar o controle administrativo sobre uma UO, use o seguinte procedimento: 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
Abra o console Usuários e Computadores do ativo, clique com o botão direito sobre o objeto qual você deseja delegar o controle e clique em Delegar controle. A Delegação da Assistente de controle é iniciado, exibindo a página de boas-vindas.
3.
Clique em Avançar para ir para a página de usuários ou grupos. Clique em Adicionar para abrir a caixa de diálogo Selecionar Usuários, Computadores ou Grupos. Digite o nome do usuário ou grupo ao qual você deseja delegar o controle da objeto e clique em OK. O usuário ou grupo aparece nos usuários selecionados e lista de Grupos.
4. 5.
6.
7.
Clique em Avançar. As tarefas para delegar página aparece, com as seguintes opções:
Delegar as seguintes tarefas comuns a partir de uma lista de tarefas pré-definidas.
Criar uma tarefa personalizada para delegar Esta opção permite-lhe ser mais específico sobre a delegação de tarefas.
Esta opção permite que você escolha
Selecione Criar uma tarefa personalizada para delegar e clique em Avançar. O objeto do Active Directory Tipo de página é aberta, exibindo as seguintes opções: Esta pasta, objetos existentes nesta pasta e criação de novos objetos Esta Pasta Este controlo delegados opção do recipiente, incluindo todos os seus objetos atuais e futuras.
8.
9.
Somente os seguintes objetos na pasta Esta opção permite que você selecione objectos específicos a serem controlados. Você pode selecionar Criar objetos selecionados nesta Pasta para permitir que tipos de objetos selecionados para ser criado, ou selecione Excluir Selecionado Objetos dessa pasta para permitir que tipos de objetos selecionados para serem apagados. Selecione Esta pasta, objetos existentes nesta pasta e criação de novos objetos neste Pasta e clique em Avançar. A página Permissões se abre. Defina as permissões delegadas de acordo com suas necessidades para o usuário ou grupo ao qual você está delegando controle. Você pode combinar as permissões de todos os três do as seguintes opções:
Geral Exibe as permissões gerais, que são iguais aos exibidos no Guia Segurança nas propriedades de um objeto.
Específicas de propriedade Exibe as permissões que se aplicam a atributos específicos ou propriedades de um objeto.
Criação / exclusão de objetos filho específicos Exibe as permissões que se aplicam a Criação e exclusão de permissões para tipos de objetos especificados.
10. Clique em Avançar para abrir a página Concluindo o Assistente para delegação de controle. 11. Clique em Concluir. 12. Feche o console Usuários e Computadores do Active Directory. Neste procedimento, você concedidas permissões sobre uma parte do Active Directory para um determinado administrador ou grupo de administradores. Embora você possa usar a delegação de controle Assistente para conceder permissões, você não pode usá-lo para modificar ou remover permissões. Para executar essas tarefas, você deve usar a interface fornecida na guia Segurança no AD DS objeto de Folha de propriedades.
Advanced View Por padrão, a guia Segurança não aparecer em uma folha de propriedades da OU no Active Usuários e Computadores do console. Para exibir a guia, você deve selecionar Avançado Características do menu Exibir do console.
Trabalhando com grupos Desde os primeiros dias do sistema operacional de servidor da Microsoft, os administradores têm usado os grupos para gerenciar permissões de rede. Grupos permitem que os administradores para atribuir permissões a vários usuários simultaneamente. Um grupo pode ser definida como um conjunto de utilizador ou o computador contas que funciona como uma entidade de segurança, da mesma forma que um usuário faz. No Windows Server 2012, quando um usuário fizer logon no Active Directory, um token de acesso é criado que identifica o usuário e os membros do grupo do usuário. Os controladores de domínio usar esse acesso token para verificar as permissões de um usuário quando o usuário tenta acessar uma rede local ou recurso. Usando grupos, os administradores podem conceder vários usuários ao mesmo nível de permissão para os recursos da rede. Se, por exemplo, você tem 25 usuários no departamento gráfico que precisam ter acesso a uma impressora colorida, você pode atribuir a cada usuário a adequada permissões para a impressora, ou você pode criar um grupo que contém os 25 usuários e atribuir a permissões adequadas para o grupo. Usando um objeto do grupo para acessar um recurso, você tem realizado o seguinte:
Quando os usuários precisam de acesso para a impressora, você pode simplesmente adicioná-los ao grupo. Uma vez adicionado, o usuário recebe todas as permissões atribuídas a este grupo. Da mesma forma, você pode remover usuários do grupo quando você deseja revogar seu acesso à impressora. Administradores só tem que fazer uma mudança para modificar o nível de acesso à impressora para todos os usuários. Alterar as permissões do grupo muda a permissão nível para todos os membros do grupo. Sem o grupo, você teria que modificar todos os 25 usuários representa individualmente.
Os tokens de acesso Tokens de acesso dos usuários só são gerados quando eles logon para a rede a partir de seu estação de trabalho. Se você adicionar usuários a um grupo, eles terão de fazer logoff e logon novamente para que as mudanças entrem em vigor.
Os utilizadores podem ser membros de mais de um grupo. Além disso, os grupos podem conter outros Objetos do Active Directory, como computadores e outros grupos em um grupo de técnica chamada nidificação. Nidificação grupo descreve o processo de configuração de um ou mais grupos, como membros de um outro grupo. Por exemplo, considere uma empresa que tem dois grupos: marketing e design gráfico. Membros do grupo de design gráfico têm acesso a um laser a cores de alta resolução impressora. Se o pessoal do grupo de marketing também precisam ter acesso à impressora, você pode simplesmente adicionar o grupo de marketing como um membro do grupo de design gráfico. Isto dá a comercialização
os membros do grupo a mesma permissão para a impressora laser a cores como os membros do gráfico grupo de design.
Tipos de grupos Existem duas classificações de Grupo no Windows Server 2012: Tipo de grupo e escopo do grupo. Tipo de grupo define como um grupo é usado dentro do Active Directory. Os dois tipos de grupos 2012 do Windows Server são os seguintes:
Os grupos de distribuição Grupos ligados nonsecurity criados para a distribuição de informação para uma ou mais pessoas
Grupos de segurança Grupos relacionados com a segurança criadas para fins de concessão de recursos permissões de acesso a vários usuários Aplicações o Active Directory pode utilizar grupos de distribuição para nonsecurity relacionada funções. Por exemplo, o Microsoft Exchange usa grupos de distribuição para enviar mensagens para vários usuários. Somente aplicativos que são projetados para trabalhar com o Active Directory pode fazer uso de grupos de distribuição dessa maneira. Grupos que você usa para atribuir permissões a recursos são referidos como grupos de segurança. Administradores fazem vários usuários que precisam acessar os mesmos membros de recursos de um grupo de segurança. Eles, então, conceder a permissão de grupo de segurança para acessar o recurso. Depois de criar um grupo, você pode convertê-lo a partir de um grupo de segurança para um grupo de distribuição, ou viceversa, em qualquer altura.
Os escopos de grupo Além dos tipos de grupos de segurança e distribuição, diversos escopos de grupo estão disponíveis dentro Active Directory. O escopo de grupo controla os objetos que o grupo pode conter, limitando a objetos para o mesmo domínio ou que permitem objetos de domínios remotos, bem como, e também controla a localização no domínio ou floresta, onde o grupo pode ser usado. Os escopos de grupo disponível em um domínio do Active Directory incluem grupos locais de domínio, grupos globais e grupos universais.
Grupos locais de domínio
Grupos locais de domínio podem ter qualquer um dos seguintes como membros: As contas de usuário
As contas de computador
Os grupos globais de qualquer domínio na floresta
Os grupos universais
Grupos locais de domínio do mesmo domínio
Você pode usar grupos de domínio local para atribuir permissões a recursos no mesmo domínio que o grupo local de domínio. Grupos locais de domínio podem fazer atribuição de permissão e manutenção mais fácil de gerir.
Grupos globais
Os grupos globais podem ter os seguintes membros:
As contas de usuário
As contas de computador
Outros grupos globais do mesmo domínio
Você pode usar grupos globais para conceder ou negar permissões para qualquer recurso localizado em qualquer domínio da floresta. Para isso, basta adicionar o grupo global como um membro de uma grupo local de domínio que tenha as permissões desejadas. Membros de grupos globais são replicado apenas para controladores de domínio no mesmo domínio. Os usuários com recurso comum necessidades devem ser membros de um grupo global, a fim de facilitar a atribuição de permissões para recursos. Você pode alterar a composição do grupo global tão freqüentemente quanto necessário fornecer aos usuários com as permissões de recursos necessários.
UNIVERSAL GRUPOS
Os grupos universais podem conter os seguintes membros:
As contas de usuário
As contas de computador
Os grupos globais de qualquer domínio na floresta
Outros grupos universais
Se existe uma relação de confiança entre florestas, grupos universais podem conter relatos semelhantes de um confiável floresta. Os grupos universais, como os grupos globais, pode organizar os usuários de acordo com seus recursos necessidades de acesso. Você pode usá-los para fornecer acesso a recursos localizados em qualquer domínio na Você também pode grupos universais para consolidar grupos e contas que, ou espaço floresta com o uso de usar grupos de domínio local. vários domínios ou abranger toda a floresta. Um ponto-chave na aplicação e utilização de grupos universais é que os membros do grupo em grupos universais não deve mudar com freqüência, porque os grupos universais são armazenadas no catálogo global. Alterações ao grupo universal listas de membros são replicados para todos os servidores de catálogo global em toda a floresta. Se estes alterações ocorrem frequentemente, o processo de replicação pode consumir uma quantidade significativa de largura de banda, especialmente em links de WAN relativamente lentos e caros.
Grupos de assentamento Como discutido anteriormente, o grupo de assentamento é o termo usado quando grupos são adicionados como membros outros grupos. Por exemplo, quando você faz um grupo global de um membro de um grupo universal, é disse ser encaixados dentro do grupo universal. Nidificação Grupo reduz o número de vezes que você precisa para atribuir permissões a usuários em diferentes domínios em uma floresta de vários domínios. Por exemplo, se você tiver vários domínios de crianças em sua hierarquia AD DS, e os usuários em cada domínio precisa ter acesso a um banco de dados corporativo
aplicação localizada no domínio pai, a maneira mais simples de configurar o acesso a esta aplicação é como se segue: 1.
Criar grupos globais de cada domínio que contêm todos os usuários que necessitam de acesso ao banco de dados da empresa.
2.
Criar um grupo universal no domínio pai. Incluir grupo global de cada local como um membro.
3.
Adicione o grupo universal para o grupo local de domínio necessário para atribuir o necessário permissão para acessar e usar o banco de dados da empresa.
Esta abordagem tradicional de grupo de nidificação no AD DS é muitas vezes referida usando o AGUDLP mnemônica: você adicionar contas a grupos globais, adicione os grupos globais a Universal grupos, adicionar grupos universais para grupos locais de domínio, e, finalmente, atribuir permissões para o grupos locais de domínio. Esta mesma política pode se aplicar ao seu modelo administrativo também. Se você olhar para o Built-in container, você pode ver como os grupos locais de domínio padrão são baseados em tarefas administrativas. Os administradores podem usar o mesmo método para criar os seus próprios grupos locais de domínio, para a qual eles vão delegar tarefas administrativas e direitos do usuário para determinado OUs. Em seguida, depois de criar grupos globais (ou grupos universais, para atribuições de toda a floresta), e adicioná-los à grupos locais de domínio, a estrutura está em vigor.
Criação de grupos de O procedimento para criar grupos no Centro Administrativo do Active Directory ou Active Usuários e Computadores é praticamente idêntica àquela usada para criar OUs. Quando você cria um grupo, você deve especificar um nome para o objeto do grupo. O nome que você escolher pode ser de até 64 caracteres e deve ser exclusivo no domínio. Você também deve escolher um tipo e um grupo âmbito do grupo. Figura 5-22 mostra a janela Criar grupo no Active Directory Administrative Centro.
FIGURA 5-22 Criar um grupo no Centro de Administração do Active Directory.
The New Object - caixa de diálogo Grupo de Usuários e Computadores do Active Directory é ligeiramente diferente em aparência, mas contém os mesmos comandos básicos. Embora os gráficos utilitários AD DS são uma ferramenta conveniente para criar e gerenciar grupos individualmente, eles não são o método mais eficiente para a criação de um grande número de entidades de segurança. As ferramentas de linha de comando incluída no Windows Server 2012 permitem-lhe criar e gerenciar grupos em grandes números através de arquivos batch ou outros tipos de scripts. Alguns essas ferramentas são discutidos nas seções seguintes.
Criação de grupos de NA LINHA DE COMANDO
Você pode usar a ferramenta Dsadd.exe para criar novos objetos de usuários; você pode usar o mesmo programa para criar objetos de grupo também. A sintaxe básica para a criação de objetos do grupo com Dsadd.exe é tão segue:
O parâmetro é uma DN para o novo objeto de grupo que deseja criar. O DNS utilizam o mesmo formato, como aqueles em arquivos CSV. Por padrão, Dsadd.exe cria grupos de segurança global, mas você pode usar linha de comando parâmetros para criar grupos com outros tipos e âmbitos, bem como especificar membros e membros para os grupos e outras propriedades de objeto de grupo. O mais comumente usado parâmetros de linha de comando são as seguintes:
-Secgrp sim | não Especifica se o programa deve criar um grupo de segurança (yes) ou um grupo de distribuição (não). O valor padrão é sim.
-Scope l | g | u Especifica se o programa deve criar um domínio local (l), global (G) ou (u) grupo universal. O valor padrão é g.
-Samid
Especifica o nome SAM para o objeto do grupo.
-Desc
-Memberof Especifica os DNs de um ou mais grupos de que a novo grupo deve ser feito a um membro.
-Membro Especifica os DNs de um ou mais objetos que devem ser feitos membros do novo grupo.
Especifica uma descrição para o objeto do grupo.
Por exemplo, para criar um novo grupo chamado de vendas no recipiente usuários e fazer a User Administrador um membro, você usaria o seguinte comando:
Para criar um novo objeto de grupo usando o Windows PowerShell, você usa o New-adgroup cmdlet, com a seguinte sintaxe:
Por exemplo, para criar um grupo de segurança global chamada de vendas no Chicago OU, você faria use o seguinte comando:
Gerenciando as adesões do grupo Ao contrário do Centro Ativo Administrativo Directory, que permite que você especificar um grupo de membros como você criar o grupo, em Usuários e Computadores do Active Directory, você deve criar o grupo objeto primeiro, e depois adicionar membros a ele. Para adicionar membros a um grupo, selecione-o no console e, no menu Ação, selecione Propriedades para abrir folha Propriedades do grupo, e, em seguida, selecione a guia Membros. Usando a guia Membros, você pode adicionar objetos a lista de membros do grupo, e no Membro de guia, você pode adicionar o grupo à lista de membros de um outro grupo. Para ambas essas tarefas, você pode usar o padrão Selecionar Usuários, Contatos, Computadores, Contas de Serviço ou Grupos caixa de diálogo para escolher objetos.
Uma vez que você entrar ou encontrar os objetos que você deseja adicionar, clique em OK para fechar a folha de propriedades e adicionar os objetos a lista de membros do grupo. GERIR Associação de Grupo usando Diretiva de Grupo
Também é possível controlar as adesões do grupo usando a Diretiva de Grupo. Quando você cria Restrito políticas Grupos, você pode especificar os membros de um grupo e aplicá-la, de modo que
ninguém pode adicionar ou remover membros. Para criar políticas de grupos restritos, use o seguinte procedimento: 1.
Faça logon no servidor com o Windows Server 2012 usando uma conta com Privilégios administrativos. A janela do Gerenciador do Servidor será aberta.
2.
Abra o console de Gerenciamento de Diretiva de Grupo, criar um novo GPO e vinculá-lo ao seu domínio.
3.
Abra o GPO no Editor de Gerenciamento de Diretiva de Grupo e navegue até o computador Configuration \ Policies pasta Configurações do Windows \ Configurações de segurança \ Grupos restritos \, como mostrado na Figura 5-23.
FIGURA 5-23 A pasta de grupos restritos no objeto de Diretiva de Grupo.
4.
O botão direito do mouse na pasta de grupos restritos e, no menu de atalho, selecione Adicionar Grupo Para abrir a caixa de diálogo Adicionar Grupo.
5.
Digite ou procure adicionar um objeto de grupo e clique em OK. O grupo aparece no Pasta de grupos restritos e uma folha de propriedades para a política aparece, como mostrado na Figura 5-24.
FIGURA 5-24 A folha de propriedades para uma política de grupos restritos.
6.
Clique em um ou ambos os botões Adicionar para adicionar objetos que devem ser membros do grupo, ou de outros grupos dos quais o grupo deve ser um membro.
7.
Clique em OK.
8.
Feche o Editor de Gerenciamento de Diretiva de Grupo e consoles de gerenciamento de Diretiva de Grupo. Os membros especificados para um grupo em uma política de grupos restritos são os únicos membros permitido permanecer nesse grupo. A política não impedir que os administradores modifiquem os membros do grupo usando outras ferramentas, mas a próxima vez que o sistema atualiza seu grupo definições de política, a lista de membros do grupo serão substituídos pela política.
Grupo Gestor objetos com Dsmod.exe
Dsmod.exe permite modificar as propriedades dos objetos de grupo existentes de Windows Prompt de comando Server 2012. Usando este programa, você pode executar tarefas como adicionar membros a um grupo, removendo-os de um grupo, e alterar o tipo eo escopo de um grupo. A sintaxe básica para Dsmod.exe é como se segue:
Os parâmetros de linha de comando mais comumente utilizados para Dsmod.exe são os seguintes:
-Secgrp sim | não Define o tipo de grupo para grupo de segurança (yes) ou grupo de distribuição (Não).
-Scope l | g | u Define o escopo do grupo de domínio local (l), global (g) ou universal (U).
-Addmbr Acrescenta que os membros do grupo. Substituir os membros com o DNs de um ou mais objetos.
-Rmmbr Remove os membros do grupo. Substituir os membros com os DNs de um ou mais objetos.
-Chmbr Substitui a lista completa dos membros do grupo. Substituir membros com o DNS de um ou mais objetos.
Por exemplo, para adicionar o usuário administrador para o grupo de convidados, você usaria o seguinte comando:
Convertendo grupos Como funções de grupo mudar, talvez você precise alterar um objeto do grupo de um tipo para outro. Para alterar o tipo de um grupo, abra Propriedades patrimonial do grupo no Active Centro Administrativo Directory ou o console Usuários e Computadores do Active Directory. No Guia Geral, você pode modificar a opção Tipo de Grupo e clique em OK. O processo de mudança de escopo do grupo é exatamente o mesmo, exceto que você selecione uma das opções de escopo de grupo na guia Geral. O anúncio utilitários DS só permitem que você execute mudanças de escopo admissíveis. A Tabela 5-1 lista as mudanças de escopo que são permitidos.
TABELA 5-1 Restrições de conversão escopo de grupo do Active Directory
DE DOMÍNIO
TO domínio local
A GLOBAL
A UNIVERSAL
Não aplicável
Não é permitido
Autoriza-se apenas quando o domínio
LOCAL
grupo local não tem outra grupos locais de domínio como membros
DA GLOBAL
Não é permitido
Não aplicável
Autoriza-se apenas quando o mundial grupo não é um membro de outro grupo global
DE
Sem restrições
UNIVERSAL
Autoriza-se apenas quando o
Não aplicável
grupo universal não tem outros grupos universais como membros
A exclusão de um grupo Tal como acontece com os objetos de usuário, cada objeto do grupo que você criar no AD DS tem um único, não reutilizável SID. O Windows Server 2012 usa o SID para identificar o grupo e as permissões atribuídas a lo. Quando você exclui um grupo, o Windows Server 2012 não usa o mesmo SID para esse grupo mais uma vez, mesmo se você criar um novo grupo com o mesmo nome que o que você excluídos. Portanto, você não pode restaurar as permissões de acesso você atribuiu aos recursos recriando um apagado grupo objeto. Você deve adicionar o grupo recém-recriado como uma entidade de segurança no recurso de lista de controle de acesso (ACL) mais uma vez.
Quando você exclui um grupo, você exclui somente o objeto de grupo e as permissões e os direitos especificando que grupo como o principal de segurança. A exclusão de um grupo não exclui os objetos que são membros do grupo.
Objetivo resumo
Depois de ter criado um projeto para os seus domínios do Active Directory e as árvores e florestas superiores a eles, é hora de aumentar o zoom em cada domínio e considerar a hierarquia que deseja criar no seu interior.
Adicionando OUs à sua hierarquia do Active Directory não é um problema tão grande como a adição de domínios; você não precisa de hardware adicional, e você pode facilmente mover ou apagar um OU à vontade.
Quando você deseja conceder uma coleção de usuários permissão para acessar uma rede recurso, como uma parte do sistema de arquivos ou uma impressora, você não pode atribuir permissões a um OU; você deve usar um grupo de segurança em seu lugar. Apesar de serem objetos de contêiner, grupos não fazem parte da hierarquia do Active Directory da mesma forma que os domínios e OUs são.
Não há nenhum tipo de objetos mais simples para criar no AD DS hierarquia de uma UO. Você só tem que fornecer um nome para o objeto e definir a sua localização no Active Directory árvore.
Criando OUs permite-lhe implementar um modelo de administração descentralizada, que outros conseguem porções da hierarquia AD DS, sem afetar o resto do a estrutura.
Grupos permitem que os administradores para atribuir permissões a vários usuários simultaneamente. Um grupo pode ser definido como um conjunto de contas de usuário ou de computador que funciona como uma entidade de segurança, da mesma forma que um usuário faz.
No Active Directory, existem dois tipos de grupos: segurança e de distribuição; tem também três escopos de grupo: domínio locais, globais e universais.
Nidificação Grupo é o termo usado quando os grupos são adicionados como membros de outros grupos. É possível controlar as adesões do grupo usando a Diretiva de Grupo. Quando você cria Restrito políticas Grupos, você pode especificar os membros de um grupo e fazer cumprir , de modo que ninguém pode adicionar ou remover membros
Objetivo revisão Responda as seguintes perguntas para testar seus conhecimentos sobre as informações contidas neste objetivo. Você pode encontrar as respostas para estas perguntas e explicações de por que cada opção de resposta é correta ou incorreta na seção "Respostas" no final deste capítulo. 1.
Qual dos seguintes grupos que você usa para consolidar grupos e contas que qualquer extensão vários domínios ou toda a floresta? A.
Global
2.
B.
Domínio local
C.
Embutido
D.
Universal
Qual das seguintes não é uma razão correta para a criação de uma OU? A.
Para criar um recipiente permanente, que não pode ser movido ou renomeado
B.
Para duplicar as divisões em sua organização
C.
Para delegar tarefas de administração
D. 3.
4.
5.
Para atribuir diferentes configurações de Diretiva de Grupo para um grupo específico de usuários ou computadores Qual das seguintes modificações de escopo de grupo não são permitidas? (Escolha todas respostas que estão corretas.)
A.
Global para o universal
B.
Global para o domínio local
C.
Universal ao global
D.
Domínio local para universal
Em um domínio em execução no nível funcional do Windows Server 2012 domínio, que de as seguintes entidades de segurança podem os membros de um grupo global? (Escolha todas as respostas que estão corretas.) A.
Usuários
B.
Informática
C.
Os grupos universais
D.
Os grupos globais
Você está tentando excluir um grupo de segurança global no Active Directory Usuários e Consola Computers, eo console não vai deixar você completar a tarefa. Qual dos seguinte poderia ser causas para o fracasso? (Escolha todas as respostas que são correta.)
A.
Há ainda os membros do grupo.
B.
Um dos membros do grupo tem o grupo definido como seu grupo primário.
C.
Você não tem as permissões adequadas para o recipiente em que o grupo é localizado.
D.
Você não pode excluir grupos globais dos Usuários e Computadores do Active Directory console.
Respostas Objetivo 5.1: Revisão 1.
2.
3.
Resposta correta: A A.
Correto: No AD DS, você pode subdividir um domínio em OUs e preenchê-lo com objetos, mas você não pode criar domínios dentro OUs.
B.
Incorreto: Um site pode conter vários domínios.
C.
Incorreto: Uma árvore pode conter vários domínios.
D.
Incorreto: Uma floresta pode conter vários domínios.
Corrigir respostas: B e D A.
Incorreto: Não há nenhuma classe de objeto chamado recurso.
B.
Correto: Existem duas classes básicas de objetos: objetos de contêiner e objetos folha. Um objeto folha não pode ter objetos subordinados.
C.
Incorreto: Um domínio é um tipo de objeto específico, não uma classificação geral.
D.
Correto: Existem duas classes básicas de objetos: objetos de contêiner e objetos folha. Um objeto de recipiente é aquele que pode ter outros objetos subordinados a ele.
Corrigir respostas: A, B, C A.
Correto: Alguns atributos são criados automaticamente, ao passo que os administradores devem fornecer informações para outros atributos manualmente.
B.
Correto: Um objeto de recipiente tem, como um de seus atributos, uma lista de todos os outros objetos que ele contém. Correto: Folha objetos têm atributos que contêm informações específicas sobre o recurso específico representa o objeto.
C.
D.
4.
5.
Incorreto: Alguns atributos são criados automaticamente, como o único a nível mundial identificador (GUID) que o controlador de domínio atribui a cada objeto quando ele cria lo.
Resposta correta: D A.
Incorreto: Cada domínio em uma instalação do Active Directory é um separado entidade administrativa. Os mais domínios criados, quanto maior o número de tarefas de administração do curso você tem que executar.
B.
Incorreto: Cada domínio requer seus próprios controladores de domínio, de modo que cada um adicional domínio que você criar aumenta os custos globais de hardware e manutenção do implantação.
C.
Incorreto: Os aplicativos podem ter problemas de trabalho em uma floresta de vários domínios.
D.
Correto: Não há licenças especiais da Microsoft necessárias para domínios.
Resposta correta: B
A.
Incorreto: DNS é usado para pesquisas dentro de um domínio
B.
Correto: Para localizar um objeto em outro domínio, os clientes Active Directory executar uma pesquisa do catálogo global em primeiro lugar. Esta pesquisa fornece ao cliente a informações de que necessita para procurar o objeto no domínio específico que o contém.
C.
Incorreto: DHCP não fornecer recursos de pesquisa.
D.
Incorreto: Objetos de link do site não fornecem recursos de pesquisa.
Objetivo 5.1: experimento de pensamento Robert deve instalar o Active Directory em um controlador de domínio em sede de Nova York, a criação de um domínio raiz da floresta chamado hq.inside.litware.com. Porque o escritório de Londres está bem conectado, mas não tem a sua própria equipe de TI, ele pode instalar um controlador de domínio somente leitura para o hq.inside.litware.com domínio lá, de modo que os usuários de Londres pode autenticar usando um local de controlador de domínio. Para o escritório de Tóquio, que é menos bem servido e tem sua própria equipe de TI, o projeto deve chamar para dois controladores de domínio de hospedagem de um domínio separado na mesma floresta, chamado tokyo.inside.litware.com. Isto irá fornecer aos utilizadores de Tóquio com domínio local controlador de acesso e minimizar a quantidade de tráfego de replicação passagem sobre a demanda de discagem ligação entre os escritórios de Nova York e Tóquio.
Objetivo 5.2: Revisão 1.
Resposta correta: B A.
B.
2.
Incorreto: DCPROMO, agora substituído em Windows Server 2012, é uma ferramenta utilizada para promover e rebaixar controladores de domínio do Active Directory. Correto: Como CSVDE.exe, o LDAP Data Interchange Format Diretório de câmbio (LDIFDE.exe) utilitário pode ser usado para importar ou exportar as informações do Active Directory. Ele pode ser usado para adicionar, excluir ou modificar objetos no Active Directory, além de modificar o esquema, se necessário.
C.
Incorreto: CSVDE.exe pode criar objetos do Active Directory a partir de informações em CSV arquivos, mas não pode modificar objetos existentes.
D.
Incorreto: NSLOOKUP é um utilitário de resolução de nomes de DNS; ele não pode criar AD DS objetos.
Resposta correta: B A.
Incorreto: A primeira linha do arquivo CSV é o registro de cabeçalho, e não a linha de cabeçalho.
B.
C.
Correto: O utilitário de linha de comando CSVDE permite que um administrador para importar ou exportação AD objetos DS. Ele usa um arquivo csv. Que se baseia em um registro de cabeçalho, que descreve cada parte dos dados. Um registro de cabeçalho é simplesmente a primeira linha do texto arquivo que usa nomes de atributos adequados. Incorreto: A primeira linha do arquivo CSV é o registro de cabeçalho, e não o nome da linha.
D.
Incorreto: A primeira linha do arquivo CSV é o registro de cabeçalho, e não a registro de nome.
3.
Resposta correta: C A. B. C.
D.
4.
5.
Incorreto: Você não pode executar um domínio de associação offline usando o comando net participar. Incorreto: Você não pode executar um domínio de associação offline usando o comando participar. Correto: Você pode executar um domínio de associação offline em um computador com o Windows Server 2012 usando o utilitário Djoin.exe. Incorreto: Você não pode executar um domínio de associação offline usando o DLigue comando.
Resposta correta: C A.
Incorreto: As contas locais podem ser criados e configurados no Windows Server 2012.
B.
Incorreto: As contas de domínio pode ser criado e configurado no Windows Server 2012.
C.
Correto: Existem três tipos de contas de usuário podem ser criados e configurados no Windows Server 2012: contas locais, contas de domínio e contas de usuários internos.
D.
Incorreto: Contas internas pode ser criado e configurado no Windows Server 2012.
Corrigir respostas: C e D A.
Incorreto: Não há relato de rede no Windows Server 2012.
B.
Incorreto: Não há nenhum relato interativo no Windows Server 2012.
C.
Correto: Por padrão, as duas contas de usuário internas criado em um computador com O Windows Server 2012 é a conta de administrador ea conta de convidado.
D.
Correto: Por padrão, as duas contas de usuário internas criado em um computador com Windows Server 2012 é a conta de administrador ea conta de convidado.
Objetivo 5.2: experimento de pensamento Resposta correta: D. A resposta está incorreta porque o comando do usuário está em falta e porque o nome do usuário não é expressa em formato (DN) nome distinto. Resposta B está incorreta porque as variáveis de linha de comando que contêm espaços não são cercados por cotação marcas. Resposta C está incorreta porque o comando do usuário está em falta e porque a empresaparâmetros e-dept comparecer perante o DN.
Objetivo 5.3: Revisão 1.
Resposta correta: D A.
Incorreto: Os grupos globais não podem conter usuários de outros domínios.
B.
Incorreto: Grupos locais de domínio não podem ter permissões para os recursos em outro domínios.
C.
Incorreto: Grupos incorporados não têm qualidades de domínio cruzado inerentes.
D.
Correto: Os grupos universais, como os grupos globais, são usados para organizar os usuários de acordo
às suas necessidades de acesso a recursos. Você pode usá-los para organizar os usuários para facilitar acesso a qualquer recurso localizado em qualquer domínio da floresta através da utilização de grupos locais de domínio. Os grupos universais são usados para consolidar grupos e contas que ou extensão vários domínios ou toda a floresta. 2.
Resposta correta: A A. Correto: As razões para a criação de uma unidade organizacional incluem a duplicação de divisões organizacionais, a atribuição de configurações de Diretiva de Grupo, e delegar a administração. Você pode facilmente mover ou renomear uma UO à vontade.
B. Incorreto: Duplicando divisões organizacionais é um motivo viável para a criação de uma unidade organizacional. C. Incorreto: Delegar tarefas de administração é um motivo viável para a criação de uma unidade organizacional. D. Incorreto: Atribuir configurações de Diretiva de Grupo é um motivo viável para a criação de uma unidade organizacional. 3. Corrigir respostas: B e C
4.
A.
Incorreto: Global de conversões de grupos universais são permitidos.
B.
Correto: Global para o domínio conversões grupo local não são permitidas.
C.
Correto: Universal para conversões de grupos globais não são permitidas.
D.
Incorreto: Domínio local para conversões de grupos universais são permitidos.
Corrigir respostas: A, B, e D A.
C.
Correto: Os usuários podem ser objetos de segurança em um grupo global. Correto: Os computadores podem ser objetos de segurança em um grupo global. Incorreto: Os grupos universais podem ser objetos de segurança em um grupo global.
D.
Correto: Grupo global pode ser objetos de segurança em um grupo global.
B.
5.
Corrigir respostas: B e C A.
Incorreto: É possível excluir um grupo que tem membros.
B.
Correto: Se qualquer membro define o grupo como grupo principal, em seguida, o sistema faz não permitir que o grupo a ser excluído.
C.
Correto: Você deve ter as permissões do Active Directory apropriados para o recipiente em que o grupo está localizado para excluí-lo.
D.
Incorreto: É possível excluir grupos usando o Active Directory Usuários e Console de Grupos.
