Windows Server 2008 – Mega Evento de Certificação
70-640 TS: Windows Server 2008 Active Directory, Configuring
Rogério Melo (MCT, MCSE,MCTS, MVP)
Silvio Reis (MCT,MCSE,MCITP)
Microsoft Certifications – How They Know You Know
Agenda
•
•
•
•
Valor da Certificação e Dicas Gerais
Exame 70-640: Dicas e Truques
Programa Technet
Encerramento
2
Valor da Certificação e Dicas Gerais
• Experiência com certificações
– Progresso na carreira
– Validade internacional (inclusive currículo MOC)
• Dicas gerais sobre provas de certificação
Microsoft
3
Exame 70-640: Dicas e truques
• TS: Windows Server 2008 Active Directory,
Configuring
4
Exame 70-640: Dicas e truques
• Configurando o DNS para o AD (Active
Directory) (16%)
• Configurando a infra-estrutura do AD (25%)
• Configurando funções de servidor adicionais
do AD (9%)
• Criando e mantendo objetos do AD (24%)
• Mantendo um ambiente do AD (13%)
• Configurando o AD Certificate Services (13%)
5
Configurando a infra-estrutura do AD
• Configurar uma floresta ou domínio
• Configurar relações de confiança (trusts)
• Configurar sites
• Configurar replicação do AD
• Configurar o catálogo global
• Configurar os Mestres de operações
6
Configurando a infra-estrutura do AD
• AD DS (Active Directory Domain Services)
– Nova nomenclatura do Active Directory
– Serviço de diretório usado para armazenar
informações sobre os recursos de rede
– É uma função de servidor (server role) no
Windows 2008
•
Após instalar o AD DS, executar o dcpromo para
promover o servidor a Domain Controller (DC)
7
Configurando a infra-estrutura do AD
• AD DS (Active Directory Domain Services)?
– Só disponível no Windows Server 2008
Standard, Enterprise e Datacenter
•
Não disponível no Web Edition
– Dcpromo /adv
•
Permite usar mídia de backup como origem do AD
–
–
•
Evita replicação entre os DCs novo e antigo
Ideal para DCs localizados em filiais
Permite definir replicação de senha para o RODC
8
Configurando a infra-estrutura do AD
• Configurar uma floresta ou domínio
– O que é uma floresta?
– O que é uma árvore?
– O que é um domínio?
– Níveis funcionais de floresta e de domínio
9
Configurando a infra-estrutura do AD
Níveis funcionais com suporte:
Domínio
Windows 2000
native
Windows Server
2003
Windows Server
2008
Sistemas operacionais dos DCs
suportados
• Windows Server 2008
• Windows Server 2003
• Windows 2000
• Windows Server 2008
• Windows Server 2003
• Windows Server 2008
Florestas
Windows 2000
Windows
Server 2003
Windows Server
2008
10
Configurando a infra-estrutura do AD
• Configurar uma floresta ou domínio
– ADMT – Active Directory Migration Tool v3
– Sufixo UPN – User Principal Name alternativo
– Adprep /forestprep
– Adprep /Domainprep e /gpprep
– Adprep /rodcprep
11
Configurando a infra-estrutura do AD
Versão atual
Windows 2000
Windows 2003
Windows Server
2000
Windows Server
2003
Windows Server
2003
Antes de instalar
Execute o comando
• Windows Server 2008
domain controllers
• Windows Server 2008
domain controllers
adprep /forestprep
adprep /domainprep
/gpprep
• Windows Server 2008 domain
controllers
adprep /domainprep
• Windows Server 2008
RODCs
adprep /rodcprep
12
Configurando a infra-estrutura do AD
• Configurar relações de confiança (trusts)
– Trust de floresta
•
Somente a partir de nível de floresta Windows 2003
– Autenticação seletiva X Autenticação de floresta
– Trusts externos, transitivos e de atalho (shortcut)
– Filtragem de SID
13
Configurando a infra-estrutura do AD
• Configurar sites
– Criar subredes do AD
– Criar links de sites
– Custo de links
14
Configurando a infra-estrutura do AD
• Configurar replicação do AD
– Distributed File System
– Replicação One Way
– Servidor Bridgehead
– Agendamento de replicação
– Protocolos de replicação
– Replicação entre sites
15
Configurando a infra-estrutura do AD
• Configurar o catálogo global
– Universal Group Membership Caching
– Partial Attribute Set
– Promover a catálogo global (GC)
16
Configurando a infra-estrutura do AD
• Configurar os Mestres de operações
– Seize e transfer
– Posicionamento de Mestres de Operação
– Extensão de esquema do AD
PDC Emulator
– Time service
Domain controllers
Client
computers
17
Configurando a infra-estrutura do AD
• Mestres de operações
– Schema Master -> 1 por floresta
– Domain Naming Master -> 1 por floresta
– PDC Emulator -> 1 por domínio
– Infrastructure Master -> 1 por domínio
– RID Master -> 1 por domínio
18
Configurando o DNS para o Active
Directory
• Demonstração
– AD Users and Computers
– AD Domains and Trusts
– AD Sites and Services
19
Configurando o DNS para o Active
Directory
• Configurar zonas
• Definir configurações de servidor DNS
• Configurar transferências de zona e replicação
20
Configurando o DNS para o Active
Directory
• Configurar zonas:
• O que é uma zona DNS?
• Tipos de zonas
– DDNS (Dynamic DNS)
•
Eliminação (scavenging) de zona
– Non-Dynamic DNS
– Secure Dynamic DNS
21
Configurando o DNS para o Active
Directory
• Tipos de zonas
– Primária
– Secundária
– Pesquisa direta
– Pesquisa reversa
– Integrada ao AD
– Stub
– GlobalNames
22
Configurando o DNS para o Active
Directory
• Zona GlobalNames
– Fato: WINS funciona sobre NetBT. Ambos não
têm suporte a IPv6
– GlobalNames ajuda na migração para resolução
de nomes somente DNS
•
Não substitui o WINS: ajuda a retirá-lo da rede
– Também indicada para migrações completas de
rede para IPv6
23
Configurando o DNS para o Active
Directory
• Definir configurações de servidor DNS
– Encaminhamento (forwarding)
– Dicas de raiz (root hints)
– Delegação de zonas
– Round robin
– Desativar recursão
– Debug logging
– Eliminação (Scavenging) em nível de servidor
24
Configurando o DNS para o Active
Directory
• Configurar transferência de zona e replicação
– Escopo de replicação
– Transferência de zona incremental (IXFR)
– DNS Notify
– Transferências de zona seguras
– Configuração de servidores de nomes
– Partições de diretório de aplicativo
25
Configurando o DNS para o Active
Directory
• Demonstração
– DNS no Windows 2008
26
Configurando funções de servidor
adicionais do AD
• Configurar o serviço AD LDS (Lightweight Directory
Service)
• Configurar o serviço AD RMS (Rights Management
Service)
• Configurar o Read Only Domain Controller
• Configurar o AD FS (Federation Services)
27
Configurando funções de servidor
adicionais do AD
• Configurar o serviço AD LDS (Lightweight Directory
Service)
– AD LDS -> fornece funcionalidade do ADAM
(presente do Windows XP e 2003)
– É um serviço de diretório para aplicações
– Fornece boa parte da funcionalidade do ADDS
•
Criado para aplicações que usam diretório
–
•
•
Aplicações de CRM, address book, etc
Não são necessários domínios ou DCs
Posso ter várias instâncias do AD LDS no mesmo
servidor
28
Configurando funções de servidor
adicionais do AD
• Configurar o serviço AD LDS (Lightweight Directory
Service)
– Replicação múltiplos mestres
– Suporte a Directory Services API
– Partições de diretório de aplicativo
– LDAP over SSL
– Não tem suporte a florestas, domínios, GPOs
29
Configurando funções de servidor
adicionais do AD
• Cenários do AD LDS
– Aplicações que estendem o esquema
•
Não desejo estender o esquema do ADDS
– Ambientes de homologação separados do
diretório de produção
– Gerenciamento de computadores externos que
acessam recursos de rede
– Uso de clientes com versões anteriores do LDAP
em ambientes heterogêneos
– Transparente para aplicações desenvolvidas
para o ADAM
30
Configurando funções de servidor
adicionais do AD
• Gerenciamento do AD LDS
– ADSI Edit
– LDP.exe
– Outras ferramentas de esquema do AD
31
Configurando o DNS para o Active
Directory
• Demonstração
– AD LDS (Lightweight Directory
Service)
32
Configurando funções de servidor
adicionais do AD
• Configurar o serviço AD RMS (Rights Management
Service)
– Permite criar soluções de proteção de informação
– Agora é uma função de servidor no Windows 2008
– Administrado por MMC
– Integração com o ADFS
– Auto-inscrição de servidores AD RMS
– Delegação de responsabilidade (AD RMS roles)
33
Configurando funções de servidor
adicionais do AD
• Configurar o serviço AD RMS (Rights Management
Service)
– Licenciamento de informação protegida por direitos
•
Usuários e grupos autorizados a publicar conteúdo protegido
– Licenciamento para descriptografar conteúdo
protegido e aplicar políticas de uso
– Criação de templates e arquivos protegidos por
direitos
34
Configurando funções de servidor
adicionais do AD
• RODCs – Read Only Domain Controllers
– Possuem uma partição somente leitura do AD
•
Nunca iniciam uma replicação
– Fornece segurança adicional para filiais que
possuem segurança física limitada
– Podem ser implantados no Server Core
•
Usar dcpromo e arquivo de instalação automatizada
– Podem armazenar credenciais em cache
– Têm separação de função de administrador
•
“Usuário administrador” que só faz logon no RODC
35
Configurando funções de servidor
adicionais do AD
• Configurar o RODC - Read Only Domain Controller
Controlador de
Domínio Somente Leitura
Verificar as recomendações do Guia para
Escritórios Remotos (Branch Office Guide)
36
Configurando funções de servidor
adicionais do AD – RODC pré-reqs.
• Funciona em ambientes existentes
• Funciona em ambientes existentes
• Modo Funcional de Floresta do Windows
Server 2003
• Um controlador de domínio do Windows
Server 2008
• Não é necessária atualização em clientes ou
controladores de domínio de nível inferior
• Múltiplos controladores de domínio do Windows
Server 2008 por Domínio
• Recomendado um RODC por Site
• ADPREP /rodcprep
37
Configurando o DNS para o Active
Directory
• Demonstração
– Read Only Domain Controller
38
Configurando o DNS para o Active
Directory
39
Configurando o DNS para o Active
Directory
40
Configurando o DNS para o Active
Directory
41
Configurando o DNS para o Active
Directory
42
Configurando funções de servidor
adicionais do AD
• Configurar o ADFS (AD Federation Services)
– Solução de identidade de acesso transparente,
multiplataforma e com suporte à Internet
– Facilita o B2B entre redes de parceiros
– Fornece solução SSO (Single Sign On) Web-based
•
Evita credenciais secundárias no caso de possuirmos uma
aplicação em uma rede e as contas de usuário em outra
43
Configurando funções de servidor
adicionais do AD
• Pré-requisitos do ADFS
– Pelo menos um ADDS ou AD LDS
– Computadores em domínio
– Computadores com acesso à Internet
– Uma ou mais aplicações Web
– ASP .NET 2.0 e IIS no servidor com ADFS
44
Configurando funções de servidor
adicionais do AD
• Novas funcionalidades do ADFS (em relação ao
Windows 2003 R2)
– Agora é uma função de servidor do Windows 2008
– Maior suporte a aplicativos
•
AD RMS e Sharepoint 2007
– Melhor experiência ao estabelecer trusts
federativos
•
Trust policies e procedimentos de exportação e
importação das políticas aprimorados
45
Configurando o DNS para o Active
Directory
• Demonstração
– Active Directory Federation
Services
46
Criando e mantendo objetos do AD
•
•
•
•
•
•
•
Automatizar criação de contas no AD
Manter contas no AD
Criar e aplicar Group Policy Objects (GPOs)
Configurar modelos de GPOs
Configurar GPOs de implantação de software
Configurar diretivas de contas
Configurar diretivas de auditoria usando GPOs
47
Automatizar a criação de contas no AD
48
Manter contas no AD
• Estratégia de grupos
– AGP
– AGDLP/AGGUDLP
• Desabilitar/Remover
contas
• “Deprovisioning”
• Delegação de controle
49
Criar e aplicar Group Policy Objects (GPOs)
50
Criar e aplicar Group Policy Objects (GPOs)
51
Demo: GPMC
52
Configurar modelos de GPOs
Central Store - ADMX
53
Configurar GPOs de implantação de software
1
2
1.0
Preparação
Instalação
4
3
2.0
Remoção
Manutenção
Configurar GPOs de implantação de software
Atribuir durante a
configuração do
computador
Ponto de distribuição
de software
Atribuir durante a
configuração do
usuário
Publicar usando
Adicionar/Remover
Programas
?
Publicar durante ativação
do arquivo
Configurar diretivas de contas
56
fine-grain password policies
57
Mantendo um ambiente do AD
• Configurar backup e recuperação
• Realizar manutenção offline
• Monitorar o AD
58
Alteração no AD
59
Configurar backup e recuperação
• Windows Server Backup
– Backup
• Volumes
– Restore
• authoritative or non-authoritative Active Directory
restore
60
Realizar manutenção offline
• ADDS é um serviço que pode ser reiniciado
sem afetar outros serviços.
• Usado para defragmentação offline ou
alteração do caminho dos arquivos do AD.
61
Monitorar o AD
• Event Viewer
• Reliability and Performance Monitor
• Auditoria AD
62
Event Viewer
63
Reliability and Performance Monitor
64
Auditoria AD
65
Configurando o AD Certificate Services
•
•
•
•
•
Instalar o AD Certificate Services
Definir configurações do servidor de CA
Gerenciar modelos de certificado
Gerenciar inscrições (enrollments)
Gerenciar revogação de certificados
66
Instalar o AD Certificate Services
67
Definir configurações do servidor de CA
• Configuração da CA
– key archival
– certificate database
backup and restore
– assigning administration
roles
68
Gerenciar modelos de certificado
• Modelos de certificado
– certificate template types
– securing template
permissions
– managing different
certificate template
versions
– key recovery agent
69
Gerenciar inscrições (enrollments)
70
Gerenciar revogação de certificados
71
http://microsoft.com/brasil/technet
http://microsoft.com/brasil/technet
http://microsoft.com/brasil/technet
http://microsoft.com/brasil/technet
http://microsoft.com/brasil/technet
Technet Experience
• Technet Experience Windows Server 2008
https://www.technetbrasil.com.br/experience/
windowsserver2008/Home.aspx
• Windows Server 2008 Learning Portal
http://www.microsoft.com/learning/windowsse
rver2008/default.mspx
• 70-640 Exam Preparation Guide
http://www.microsoft.com/learning/exams/70640.mspx
Recursos
Prep Guides at
http://www.microsoft.com/mcp
Skills assessments
http://www.microsoft.com/assessment
TechNet Brasil
http://www.microsoft.com/brasil/technet
78