Resumão – Exame 70-640

TS: Windows Server 2008 Active Directory, Configuring

Sobre o exame 70-640

O exame 70-640 lhe dá créditos para as seguintes certificações:
Serviços de Diretório Active Directory Certificate Services (AD CS) oferece solução para emissão e administração de certificados usados em sistemas de segurança que utilizam a tecnologia de chave públicas e privadas. Active Directory Domain Services (ADDS) O AD DS permite um gerenciamento centralizado e seguro de toda uma rede. Armazena as informações sobre objetos na rede e gerencia a comunicação entre os usuários e os domínios, incluindo processos de logon do usuário, autenticação e pesquisas de diretório. O Active Directory Domain Services era anteriormente chamado de Active Directory Active Directory Federation Services (ADFS) permite estabelecer confiança entre diferentes entidades organizacionais dando aos usuários finais um logon único (SSO) entre empresas Active Directory Lightweight Directory Services (ADLDS) é um serviço de diretório LDAP. O ADLDS era anteriormente chamado de Active Directory Application Mode (ADAM) Active Directory Rights Management Services (ADRMS) permite proteger e controlar o acesso a informações confidenciais — como em documentos e e-mails. Instalação do ADDS Para instalar o Active Directory Directory Services (ADDS) você deve ser membro do grupo Administradores do servidor que irá instalar o ADDS. O Active Directory pode ser instalado de 3 maneiras:

O que são domínios ? Os domínios, principais unidades funcionais da estrutura lógica do Active Directory. Os domínios têm três principais funções: 1. Fornecer um limite administrativo para objetos 2. Permitir um gerenciamento seguro aos recursos 3. Proporcionar uma unidade de replicação para objetos

Objetos do domínio.

Usuários

Grupos

Computadores

Impressoras

Pastas Compartilhadas

Unidades Organizacionais

Banco de dados do Active Directory No banco de dados do AD ficam armazenados objetos do domínio. O computador que possui o banco de dados do Active Directory é o Controlador de Domínio. O nome do banco de dados do Active Directory é NTDS.DIT e ficam armazenado por padrão na pasta %SYSTEMROOT%\NTDS

Arquivos do banco de dados do AD
NTDS.DIT – Arquivo de banco de dados físico que guarda o conteúdo do Active Directory. EDB.CHK – Arquivo de ponto de verificação que rastreia até onde as transações no arquivo de log foram confirmadas. EDB.LOG – Arquivo de log primário TMP.EDB – Banco de dados temporário para as transações.

1 - Administrative Tools > ServerManager > Roles > Add Roles > Selecione o Active Directory Domain Services.(em seguida execute o comando DCPROMO) 2 - Através do comando Servermanagercmd.exe –I ADDS-Domain-Controller. (em seguida execute o comando DCPROMO).
3 - Através do comando: DCPROMO. (uma única vez)

Active Directory Users and Computers .Um MMC (Microsoft Management Console) usado para gerenciar e publicar informações no Active Directory.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. contas de computadores. Configuring A estrutura lógica do Active Directory Árvore de domínios. acrescentar sufixos ao nome principal do usuário e alterar os níveis funcionais de florestas e domínios Active Directory Sites and Services – Utilizado para criar e gerenciar os serviços .Usado para gerenciar relações de confiança de florestas e domínios. Ferramentas de Gerenciamento Active Directory Domains and Trusts . Password Replication Policy (PRP) permite definir quais usuários terão sua senha armazenada em cache. Você pode gerenciar contas de usuário. Read Only Domain Controller Read Only Domain Controller (RODC) é um Controlador de domínio adicional somente leitura.sites e a replicação de dados do diretório. editar ou pesquisas dados do diretório. LDP – Permite a conexão com o banco de dados do AD ou uma instancia LDS a fim de consultar. . acrescentar computadores a um domínio. O usuário que você escolheu deve usar o comando dcpromo /useexistingaccount:attach . Você deve popular a cache manualmente. Floresta Árvore Níveis funcionais Operações em níveis funcionais são irreversíveis. grupos. Para instalar um RODC é necessário o nível funcional da floresta Windows Server 2003 ou superior. Uma floresta é uma instância completa do Active Directory Domain Services. Floresta. Você Pode escolher qualquer usuário do domínio para anexar (attach) um RODC no domínio. Por padrão o RODC não armazena senhas de contas de usuário. ADSI Edit – (Active Directory Service Interfaces Editor) Um editor LDAP (Lightweight Directory Access Protocol ) que permite gerenciar objetos e atributos no Active Directory. Somente servidores em WorkGroup podem ser précriados para ser um RODC. que consiste em uma ou mais árvores. Existem 3 níveis funcionais de domínio: Windows 2000 native Windows Server 2003 Windows Server 2008 E 3 níveis funcionais de floresta Windows 2000 Windows Server 2003 Windows Server 2008 Aumentar nível funcional do domínio: Active Directory Users And Computers Aumentar nível funcional da floresta Active Directory Domains and trusts Nível funcional Windows Server 2003 aceita DC com Windows Server 2003 ou superior e assim por diante. Read Only Domain Controller Prepare (stage) um RODC criando uma conta de computador no Active Directory Users and Computers Em Domain Controllers usando o assistente: Pre-Create Read-only Domain Controller Account wizard. Os domínios são agrupados em estruturas hierárquicas são chamados árvores de domínios.

Dsget – Exibe informações sobre objetos no Diretório Exemplo: Trazer nome de todos usuários da ou=TI dsquery "ou=TI.dc=mcpbrasil. um site representa um conjunto de computadores conectados por uma rede de alta velocidade. Sub-rede IP Sub-rede IP Site SP Site RJ No AD DS. CN=Felipe Donda.dc=com" Dsmove – Move objetos no Diretório Exemplo mover para outra OU dsmove cn=Donda. dc=mcpbrasil. Configuring Nomes distintos Nomes distintos identificam o domínio de um objeto e o caminho para encontrá-lo.Importa e Exporta objetos do diretório utilizando arquivos .DC=mcpbrasil.dc=com“ –f usuarios.OU=Diretoria. ou=TI. É possível gerenciar os objetos utilizando a ferramenta Active Directory Sites and Services. ou=Suporte. um objeto de site representa os aspectos do site físico a fim de gerenciar a replicação dos dados do diretório entre os controladores de domínio Replicação consiste no processo de atualizar informações no Active Directory de um controlador de domínio para outros controladores de domínio em uma rede Os objetos de sites e os objetos associados a eles são replicados em todos os controladores de domínio na floresta.ldf Exemplo para exportar computadores ldifde –f usuarios. O ADDS deve estar iniciado para executar esta operação. dc=com Dsmod – Modifica objetos no Diretório Exemplo definir uma senha: dsmod user cn=Donda.dc=com -scope base attr * Nome principal do usuário (UPN) O nome principal de usuário (UPN) identifica o usuário de determinado domínio: donda@mcpbrasil. dc=com" Dsquery – Busca objetos no Diretório Exemplo: Ler toda informação de um objeto na ou=test dsquery * ou=test.csv -r objectClass=user LDIFDE . ou=TI.ou=TI. dc=com -newparent “ou=Suporte. dc=mcpbrasil .dc=com" DSrm – Remove objetos do Diretório Exemplo: excluir conta de usuário dsrm "cn=Donda.CSV (Separado por virgula) Exemplo para importar: csvde –i –f usuarios.dc=com" | get user -fn Ferramentas de Importação e exportação CSVDE – Importa e Exporta objetos do diretório utilizando arquivos . A utilização de IFM reduz a quantidade de dados replicados.dc=mcpbrasil.DC=mcpbrasil. como uma rede local (LAN). dc=mcpbrasil. KCC (knowledge consistency checker) O KCC knowledge consistency checker é um processo interno executado em cada controlador de domínio que gera a topologia de replicação para todas as partições de diretório contidas no controlador de domínio.com Sites (Estrutura Física) Em sua rede física.csv Exemplo para exportar usuários da ou TI csvde -d "ou=TI. dc=mcpbrasil.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory.ldf -r (objectclass=computer)" .LDF Exemplo para importar: ldifde –i –f usuarios.dc=mcpbrasil. IFM (Install from Media) O recurso IFM permite instalar um controlador de domínio adicional a partir da media de backup.DC=com Ferramentas de linha de comando Dsadd – Adiciona objetos no Diretório Exemplo adicionar conta de usuário: Dsadd cn=Donda.

create rodc %s – Cria uma mídia IFM para um ReadOnly DC create Sysvol full %s – Cria uma mídia IFM com o SYSVOL para um ADDC.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory.Uma solicitação de pesquisa será encaminhada à porta 3268 do catálogo global . Os controladores de domínio usam o catálogo global para validar as referências a objetos de outros domínios na floresta. O administrador do domínio (conta Administradores internos) pode sempre efetuar logon no domínio. create Sysvol RODC %s – Cria uma mídia IFM com o SYSVOL para um RODC. Exemplo: No prompt de comando digite: Partições do AD Para editar o schema é necessário registrar a dll schmmgmt. Um servidor de catálogo global resolve o nome principal do usuário (UPN) quando o controlador de domínio da autenticação desconhece a conta de usuário. Fornece informações sobre a associação ao grupo universal em um ambiente de vários domínios. O controlador de domínio também pode descobrir associações de um usuário ao grupo local do domínio e ao grupo global e a associação a esses grupos não será replicada no catálogo global. Fornece a autenticação do nome principal do usuário. Atributos definem os possíveis valores a serem associados a uma classe de objeto. execute o DCPROMO /ADV e na janela Install from Media aponte para os arquivos recém criados. Partições do AD O banco de dados do Active Directory é dividido logicamente em partições. ntdsutil Activate Instance NTDS IFM create full e:\mediaifm Após criar a media no Windows Server 2008 R2 no qual deseja promover a Domain Controller adicional.dll e ser pelo menos do grupo schema admins Iniciar -> executar -> Regsvr32 schmmgmt. . Catalogo Global Localiza objetos . Cada partição é uma unidade de replicação e cada uma delas tem sua própria topologia de replicação. Possui dois tipos de definições: classes e atributos de objetos. o computador cliente do usuário poderá usar as credenciais armazenadas em cache para fazer logon . Valida as referências de objeto em uma floresta. mesmo quando um servidor de catálogo global não estiver disponível. As classes de objetos são modelos ou plantas dos objetos que podem ser criados no Active Directory.dll Use o Snap-In “Active Directory Schema” para editar o schema. Schema Esquema (Schema). Configuring IFM (Install from Media) Para criar uma media para criação de um domain controller adicional escolha entre as opções: create full %s – Cria uma mídia IFM completa para o ADDC ou AD/LDS. Se um servidor de catálogo global não estiver disponível quando um usuário efetuar logon em um domínio em que os grupos universais estão disponíveis.

que representa o controlador de domínio no sistema de replicação. há um objeto de Configurações de Site NTDS. A B Transitivas ou não-transitivas.Os parceiros da replicação dos servidores de um site são identificados pelos objetos de conexão.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Representa a conexão física de longa distância (WAN) entre dois ou mais sites Transportes IP e SMTP entre sites . Trusts Domínios filhos possuem uma relação de confiança automática transitiva e bidirecional com o domínio pai. Servidores . Infrastructure – rastreia participação em grupos de outros domínios. Configuring Objetos de Sites Sites . Também é possível Habilitar ou desabilitar o catálogo global em um servidor através do NTDS Settings.Os links de site representam o fluxo da replicação entre os sites. Links de sites . Domain Naming Masters – Necessários para inclusão/ Alteração e Exclusão de novos domínios RID Master – Emite uma lista de tickets com SID + GUID para criação de objetos de segurança. PDC Emulator – Controla o tempo. Esse objeto identifica o Intersite Topology Generator (ISTG). Conflitos de GPO. Tipos de relações de confiança: Forest trust – Permite Autenticação seletiva ou domain Wide Shortcut trusts – Acelera o processo de autenticação. Realm trust – Não é para rede Windows.Os objetos de servidor são criados automaticamente quando você adiciona a função de servidor Active Directory Domain Services Configurações NTDS .A replicação usa a chamada de procedimento remoto (RPC) no transporte IP ou SMTP Trusts Relações de confiança podem ser unidirecionais ou bidirecionais. C confia em A . A replicação ocorre em uma direção.Todo objeto de servidor contém um objeto de Configurações NTDS. o serviço Master Browse. External trust – Não transitivo Forest Trust Na autenticação seletiva é necessário definir a permissão “Allowed to Authenticate” ao grupo ou ao usuário confiável para o mesmo possa ser autenticado no domínio confiante. Sub-redes . • PDC Emulator • RID Master • Infrastructure Master Schema Master – Necessário para updates do Schema.Os objetos da sub-rede identificam os intervalos dos endereços IP em um site. • Schema Master • Domain Naming Masters Três únicas em um domínio. FSMO (Flexible Single Masters Operations) Existem 5 funções masters: Duas únicas na floresta. Transitiva = Se a Confia em B e B confia em C então: A C B Use o MMC para transferir roles e use NTDSUtil para apoderar-se (seize) de um função. Em todos os sites. Conexões .Os objetos de sites são localizados no contêiner de sites.

Not). (Mesmo quando a opção Block inheritance esteja marcada. Restauração autoritativa fornece um método de recuperação de objetos e contêineres que tenham sido excluídos do AD DS. dc=lab” 4. (Bloqueio de herança).Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. Block Inheritance – Opção que pode ser aplicado a um domínio ou OU e faz com que as políticas não sejam herdadas. contêineres ou partições como autoritativos. Como utilizar o Item-Level targeting 1) Edite a política desejada. armazenados e utilizados. permite criar. é o mais recente. sites.Restaure o backup desejado que.Opção que força a aplicação da política. Net stop NTDS Backup do AD DS Para fazer o Backup do Active Directory. 4) Clique e Common e selecione Item-Level targeting para criar o seu filtro. instale o feature “Windows Server Backup” e regularmente efetue backup do “System State” utilizando a ferramenta gráfica ou digite a seguinte linha de comando: wbadmin start systemstatebackup –backuptarget:d: Restauração do AD Restauração não-autoritativa do AD DS Uma restauração não-autoritativa retorna o serviço de diretório ao estado que tinha no momento da criação do backup. Nesta ordem. tendo precedência a ultima a ser aplicada caso exista conflito.Inicie o controlador de domínio no DSRM (Directory Services Restore Mode). domínios e unidades organizacionais. Or. Ao criar uma nova política é possível tomar por base um modelo existente em Starter GPOs. Configuring Restartable AD DS É possível parar e iniciar o serviço do Active Directory tanto pela ferramenta services parando o serviço “Active Directory Domain Services” como pelo comando net. Enforced . 3) Defina a política conforme sua necessidade. Depois de concluída a operação de restauração. gerenciar e aplicar politicas de segurança que são salvos no formato . 3. geralmente. 1. . Exemplo: ntdsutil Activate Instance NTDS Authoritative Restore Restore Object “cn=nomedouser. 2) Em preferences selecione o item desejado. Group Policy Object GPOs podem ser aplicados ao computador local.exe para marcar os objetos desejados. aplicando as alterações feitas desde o momento da criação do backup. Starter GPOs Starter GPOs são modelos de objetos de políticas de grupo que podem ser criados. Do contrario as políticas são acumulativas. Item-Level targeting É possível definir um alvo especifico utilizando mais de 29 combinações de coleções com lógica boolena (And. wbadmin start systemstaterecovery –versão –backuptarget:d: 2. Use o comando scwcmd.Use Ntdsutil. dc=mcsesolution. scwcmd.exe para criar uma GPO.xml /g: nomedagpo.exe /p:arquivo. a replicação do AD DS atualiza o controlador de domínio. Além de muitos itens intuitivos de modo que a política só se aplica a usuários e computadores específicos.Reinicie no modo normal para propagar as alterações The Security Configuration Wizard O SCW.xml .

CN=Password Settings Container.Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory.CN=Users. CA Enterprise fornece serviços para uma rede interna.ldf AD CS Active Directory Certificate Services: CA (Certificate Authority) é um servidor que emite e gerencia serviços de certificados digitais. Pode ser instalado em DCs.exe Fine-Grained Passwords Fine-Grained Passwords é um recurso que permite estabelecer uma política de senha para grupos distintos. PSO Utilizando o LDFIDE: dn: CN=PSO1.CN=System. Você não ode mudar o nome do servidor após instalar o AD CS.DC=la b changetype: add objectClass: msDSPasswordSettings msDS-MaximumPasswordAge:1728000000000 msDS-MinimumPasswordAge:864000000000 msDS-MinimumPasswordLength:8 msDS-PasswordHistoryLength:24 msDSPasswordComplexityEnabled:TRUE msDSPasswordReversibleEncryptionEnabled:FALSE msDS-LockoutObservationWindow:-18000000000 msDS-LockoutDuration:-18000000000 msDS-LockoutThreshold:0 msDS-PasswordSettingsPrecedence:20 msDS-PSOAppliesTo:CN=user1. Configuring Active Directory replication Se o nível funcional do domínio estiver Windows 2008 é possível alterar a replicação de FRS (File Replication Service) para DFS-R (Distributed File System Replication) para replicação do SYSVOL. A migração é feita com o comando dfsrmig. Você pode utilizar o ADSI Edit ou o LDIFDE para criar Password Settings objects (PSOs): . DC=mcsesolution. Servidores Membros Depois de instalado não é possível alterar de StandAlone para Enterprise e vice-versa.DC=dc1. Pode ser instalado em DCs. O AD CS suporta tanto CA Enterprise como Stand Alone. CA Stand Alone geralmente fornece serviços para Internet.DC=mcsesolution. . Utilizando o ADSI 1) Expanda DC=<domain_name> 2) Expanda CN=System. Stand Alone Servers. Servidores Membros. 3) Clique em CN=Password Settings Container 4) Crie um novo objeto msDS-PasswordSettings. Para implementar o Fine-Grained Password é necessário que nível funcional do domínio esteja definido como Windows 2008.DC=dc1.DC=lab Para importar ldifde –i -f arquivo. Defina as opções: msDS-PasswordSettingsPrecedence Prioridade ( maior que 0) msDS-PasswordReversibleEncryptionEnabled Criptografia reversível (True/False) msDS-PasswordHistoryLength Histórico de senhas (0 até 1024) msDS-PasswordComplexityEnabled Complexidade da senha (True/False) msDS-MinimumPasswordLength Tamanho minimo da senha (0 até 255) msDS-MinimumPasswordAge Idade mínima da senha (00:00:00:00 até idade maxima) msDS-MaximumPasswordAge Idade máxima da senha (Never até 00:00:00:00) msDS-LockoutThreshold Bloqueio da conta (0 até 65535) msDS-LockoutObservationWindow De 00:00:00:01 até msDS-LockoutDuration msDS-LockoutDuration Duração do bloqueio (never até msDSLockoutObservationWindow ) msDS-PSOAppliesTo Usuários/Grupos a que se aplica esta política.

Mapeamento de nome para IP Reverse Lookup Zone .Mapeamento de IP para nome. Conteúdo técnico: Helio Panissa Junior Daniel Donda O Clube MCP Brasil.Encaminha solicitações para servidores DNS baseado no nome de DNS consultado. Conditional Forwarders .Resumão – Exame 70-640 TS: Windows Server 2008 Active Directory. O comando certreq solicita certificados.Armazena Registros de recursos da zona (nome de domínio).com . Server 2008. Cadastre-se www. Em criptografia de chave Publica e Privada são usadas chaves diferentes mas complementares no processo de criptografia e descriptografia. e Vista. Service Location (SRV) DNS usa a porta 53 UDP e 53 TCP Primary Zone – Pode ser integrada com o AD DS. Zona de pesquisa . DNS Forward Lookup Zone . Pode ser usado o AutoEnroll (inscrição automatica) de certificados via GPO . Host(AAAA). • Chave privada = Descriptografia DNS Registros de recursos: Host(A). Alias (CNAME). Secondary Zone – Réplicas de dados de um servidor primário não aceita atualizações dinâmicas pois é somente leitura Stub Zones replica um número mínimo de registros para permitir que os servidores DNS possam enviar os pedidos diretamente aos servidores de nome de domínios sem a necessidade de resolver o nome de domínio usando os servidores raiz da internet. Para emitir certificados via web o caminho é :http://[servername]/certsrv A lista de Trusted Root CA pode ser atualizada via GPO. Service Location (SRV) – Indica a localização de um determinado serviço TCP / IP RODC DNS Zone é uma zona primaria somente leitura Para configurar as atualizações dinâmicas seguras use a zona integrada ao AD (AD-integrated). O comando certutil automatiza as tarefas de gerenciamento do ADCS. Network Device Enrollment Services (NDES) podem emitir certificados para os switches de rede e roteadores Microsoft Simple Certification Enrollment Protocol (MSCEP) é usado para permitir que os roteadores e outros dispositivos de rede para obter certificados de uma CA Certificate Templates -Version 3 somente vista e Server 2008 -Version 2 Server 2003.mcpbrasil. XP.com reúne e disponibiliza o conteúdo de certificação Microsoft. Eles permitem leitura e gravação exceto quando for um RODC Zona Integrada ao AD replica junto com o AD. • Chave publica = Criptografia. Atualizações dinâmicas é o processo de gravação automática de registros de recursos em uma zona. Configuring AD CS Root CA – A primeira autoridade certificadora da infraestrutura de chave Publica (PKI) Subordinate CA – Obtém os certificados de uma autoridade de nível superior (por exemplo Root CA).

Sign up to vote on this title
UsefulNot useful