Como criar um servidor VPN no Windows Server 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

ssl-vpn

 

Hoje vou detalhar o procedimento para configuração de um servidor que terá a função de VPN Server, além da configuração do Client para conectar ao mesmo.

De modo geral, a necessidade em ter as informações da empresa em qualquer lugar que esteja, já era forte e está se tornando mais ainda com esse aumento significativo em vendas de notebooks / tablets / smartphones.

Para esse cenário, vamos considerar que temos um ambiente de domínio com Windows 2008 R2 instalado nos respectivos servidores e um dos diretores da companhia em uma viagem tem a necessidade de acessar os seus arquivos em seus compartilhamentos dentro da rede, esse diretor provê de um notebook com Windows 7 e Internet.

Antes de começar, é recomendável que o servidor tenha 2 interfaces de rede (uma para comunicação com internet e outra para rede local), é possível que seja feito através de uma única interface, porém não é o objetivo desse artigo.

1- Vamos abrir o Server Manager, botão direito em “Roles” e clicar em “Add Roles“. Vamos selecionar a opção “Network Policy and Access Services” e clicar em Next.

2- Será apresentado um overview sobre a função a ser instalada, clique em Next.

3- Em “Select Role Services” selecione as opções “Network Policy Server” e “Routing and Remote Access Services” repare que na segunda a ser clicado a opções filhos serão marcadas também, clique em Next.

4- Clique em “Install” para iniciar o processo de instalação.

5- Verifique os resultados em clique em “Close“.

6- Com a role já instalada, através do próprio Server Manager expanda: “Roles” e depois “Network Policy and Access Services”, clique com o botão direito em “Routing and Remote Access” e clique em “Configure and Enable Routing and Remote Access“.

7- O assistente será iniciado, clique em Next.

8- Em “Configuration” podemos escolher o que configurar, para esse ambiente vamos marcar a opção “Virtual Private Network (VPN) access and NAT” e depois em Next.

9- Como não iremos dispor de um modem e linha direta, não vamos marcar a opção “Dial Up”, marque somente “VPN” e clique em Next.

10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next.

11- Em “IP Address Assignment” vamos definir se os IPs para os clients provenientes de conexão VPN irão receber o endereçamento através de um servidor DHCP (que deve estar instalado em algum servidor do domínio), ou através de um range a ser definido. Como nós temos um servidor já instalado no domínio, nada mais correto que usar o mesmo para a atribuição, por isso marcamos a opção “Automatically” e depois em Next.

12- Na tela seguinte é perguntado se quer definir e configurar o servidor RADIUS, a princípio não, pois ele já faz uma pré configuração, marque a primeira opção e depois em Next.

13- Veja o resumo das configurações definidas anteriormente e depois clique em “Finish“.

14- Será apresentado um warning, informando que foi criado uma política padrão de conexões no NPS, mensagem normal, clique em “OK” para finalizar essa parte.

15- Agora vamos criar uma nova política, contendo as regras necessárias para o acesso via VPN. Ainda no Server Manager navegue até “NPS” em seguida “Policies” e depois clique com o botão direito em “Network Policies“. Agora clique em “New” para a nova política.

16- O assistente será iniciado, vamos selecionar um nome para ele “REMOTE ACCESS” em Type of network access server marque a opção “Remote Access Server (VPN-Dial up)“. Clique em Next.

17- Em “Specify Conditions” podemos selecionar alguns parâmetros como por exemplo: Somente usuários de um determinado grupo / determinado sistema operacional /determinada localização / etc … Somente para exemplificar tenho um grupo criado no Active Directory chamado “REMOTE ACCESS”, dentro desse grupo tenho todos os usuários que terão permissão para o acesso remoto. (Inclusive o gerente conforme exemplificado no início do artigo). Selecione “User Groups” e clique em Add.

18- Será aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em “OK“.

19- Será apresentada todas as condições configuradas, nesse caso usei somente a de “User Groups” clico em Next para o próximo passo.

20- Devemos definir qual é a permissão de acesso para essa regra, como queremos permitir o acesso clicamos em “Access granted” e depois em “Next“.

21- Precisamos configurar os métodos de autenticação, em EAP Types clique em Add e escolha “EAP-MSCHAP v2” e confirme, em Less secure authentication methods marque também a opção MS-CHAP-v2. É possível marcar os outros métodos porém comprometerá na segurança.

22- Em “Configure Constraints” podemos definir alguns parâmetros como: Desconectar após determinado tempo / desconectar após determinado tempo de inatividade / Restrição de data / hora. Para o cenário não criaremos nenhum parâmetro.

23- Agora em “Configure Settings” temos algumas outras opções disponíveis para configuração, a princípio vamos apenas na opção “Encryption” e desmarcar as opções “Basic / No encryption” para termos um pouco mais de segurança em nossa conexão.

24- Temos agora um review das configurações feitas anteriormente, caso esteja correto, só clicar em Finish.

25- Já temos a regra apresentada e habilitada em nosso NPS. Com as configurações acima o servidor já está preparado para fornecer conexão através da VPN.

OBSERVAÇÃO: Deve se certificar se a porta tcp 1723 (PPTP) está aberta pois é necessária para a conexão, no servidor configurado estará tudo OK pois a configuração é feita automaticamente, verifique firewall de rede / roteadores.

26- Vamos agora simular a conexão entre o Client e o Server, a princípio nesse Client não foi feita nenhuma configuração, o mesmo dispõe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local

27- O mesmo não será localizado.

28- O primeiro passo é criar a conexão VPN, para isso devemos abrir o “Network and Sharing Center“.

29- Com ele aberto clique em “Set up a new connection or network“.

30- Marque a opção “Connect to workplace (Dial up or VPN connection)“.

31- Marque a opção “Use my Internet connection (VPN)” pois você usará a internet para se conectar ao servidor a distância.

32- Em “Internet Address” coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereço de IP do servidor. Em “Destination name” coloque um nome comum para identificação.

33- Agora precisamos definir as credenciais do usuário.

34- Após clicar em connect temos o status de conectado.

35- Se expandirmos as nossas conexões, verificamos que a “Conexão VPN” definida está conectada normalmente, clicando com o botão direito sobre a conexão e indo em “Properties” na aba “Details” temos os detalhes da conexão.

36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem lá conseguimos o acesso aos compartilhamentos.

Espero que tenham gostado, passei aqui uma forma geral de implantar um servidor VPN, porém há possibilidades de melhorar a segurança, como por exemplo uso de smart cards. Há como melhorar o modo de criação das conexões, usando o CMAK por exemplo, entre outras.

Porém isso ficará para um outro dia

 

Instalando e configurando o Active Directory Certificate Services no Windows 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

image_png

 

Nesse artigo vou mostrar o simples procedimento para instalação e configuração do Active Directory Certificate Services, conhecido como ADCS na família de servidores 2008.

O ADCS em resumo serve para criação e gerenciamento de certificados digitais dentro de sua infraestrutura, alguns artigos que publicarei posteriormente (Ex.: Exchange / RMS / etc …) exigem certificados digitais, para isso é bom planejarmos a nossa infraestrutura.

Alguns pontos importantes sobre a Autoridade Certificadora, popularmente conhecida como CA.

  • Não é recomendado que o computador que será uma Autoridade  Certificadora seja Domain Controller.
  • CA de domínio só terá validade nos equipamentos pertencentes ao domínio.
  • A máquina CA não poderá ser renomeada após a instalação.

Não irei detalhar muito pois pela internet e no próprio site da Microsoft temos uma quantidade muito boa de artigos detalhando tecnicamente os detalhes do ADCS.

Nesse cenário instalarei o ADCS em um servidor com Windows 2008 R2, exemplificarei 2 modos de enrollment (registro/aplicação do certificado). Um modo manual e outro através de GPO.

INSTALAÇÃO DO ADCS 1- Abra o Server Manager, botão direito em “Roles” e depois em “Add Roles“.

2- O assistente será iniciado, selecione a opção “Active Directory Certificate Services” e avance.

3- Uma pequena introdução sobre a role será apresentada, avance em seguida.

4- Para o cenário, marque apenas a opção “Certification Authority” e avance.

5- Em Specify Setup Type, temos 2 opções, a Enterprise que requer uma máquina e infraestrutura de domínio, ou a opção Standalone que é o oposto da acima, não exigindo uma infra de domínio. Selecione a opção “Enterprise” e avance.

6- Como é a nossa primeira CA a ser criada, devemos usar a opção “Root CA“, podemos posteriormente criar outras CA que serão subordinadas ao root, porém ainda não é o objetivo do artigo.

7- Selecione a opção “Create a new private key” para que seja criada uma nova chave e avance.

8- Em Configure Cryptography for CA definimos os algorítimos e tamanho de nossa chave privada, somente alterar o campo “Key character lenght” para 4096, as outras opções podemos deixar nos padrões e avançar.

9- Defina um nome comum (de fácil identificação) para a sua CA e digite no campo “Common name for this CA”.

10- Selecione a validade do certificado da CA. Podemos deixar o default de 5 anos.

11- Será apresentado os locais onde a base de dados e logs do ADCS será armazenado, caso não tenham problemas pode manter o default.

12- Verifique as seleções de instalação e clique em “Install“.

13- Após a instalação será apresentado os resultados, verifique caso haja algum erro, no contrário clique em “Close“.

CONFIGURANDO OS TEMPLATES DE CERTIFICADOS Vamos agora definir os certificados a serem distribuídos posteriormente.

14- Após o término da instalação vá em Start Menu / Administrative Tools / Certification Authority, navegue até a opção “Certificate Templates” e depois botão direito do mouse e clique em “Manage“.

15- A console dos templates será aberta, procure a opção “User”, clique com o botão direito e depois em “Duplicate Template“.

16- Caso tenha servidores de versão anterior ao Windows 2008, selecione a primeira opção. Como no nosso cenário só temos equipamentos com Windows Server 2008, vamos marcar a 2ª opção e confirmar.

17- As propriedades do template será aberta, digite um nome para o mesmo, selecione a validade e período de renovação caso queira (pode deixar os padrões). E marque a opção “Publish certificate in Active Directory”. Clique em “Apply” e navegue para a aba “Subject Name”.

18- Agora, verifique se as opções “E-mail name” e “UPN” estão marcadas. Em especial a opção de e-mail pois é necessário para o exchange. Verifique nas propriedades da conta de usuário dentro do active directory se o mesmo está com o e-mail está definido, caso não esteja você poderá ter problemas com o certificado, devido a essa opção “E-mail”. Clique em “Apply” e navegue para a aba “Security”.

19- Todos os usuários dentro de meu ambiente fazem parte de um grupo global chamado “SUPORTE DE REDE” (para o cenário você pode usar também o “Authenticated Users” ou um outro grupo restrito para aplicação do certificado). Dê as permissões de Read / Enroll / Autoenroll. Confirme clicando em OK.

20- Após fechar o Console de templates, clique novamente com o botão direito em Certificate Templates, depois em New e em seguida em “Certificate Template to Issue“.

21- Selecione o modelo criado anteriormente e depois em OK.

FAZENDO O ENROLL DO CERTIFICADO MANUALMENTE Vamos fazer a aplicação de certificado manualmente através da console de certificados.

22- Abra a console (Start Menu / mmc.exe), clique em File e depois em “Add/Remove Snap-in”.

23- Selecione a opção Certificates e clique em Add. Confirme em OK.

24- A console de certificados locais será apresentado, naveque até a opção Personal e verifique que não há certificados, clique com o botão direito e vá em “Request New Certificate“.

25- O assistente será iniciado, clique em Next.

26- As regras de certificados publicadas são apresentadas, selecione e clique em Next.

27- As políticas compatíveis ao padrão do usuário serão publicadas, inclusive a que criamos. Selecione as mesmas e depois em Enroll.

28- Verifique que os certificados foram aplicados ao usuário do domínio.

CRIANDO UMA GPO PARA O AUTO-ENROLLMENT Vamos agora definir uma GPO para a auto aplicação dos certificados aos usuários.

29- Abra o GPMC e crie uma nova GPO (Nesse cenário vamos chamar de “Certificados”).

30- Agora vamos editar essa GPO, clique com o botão direito sobre a mesma e depois em “Edit”.

31- Com o editor aberto, navegue até: User Configuration / Security Settings / Public Key Policies. Clique em “Certificate Enrollment Policy” e Habilite a configuração.

32- Agora em “Auto-Enrollment” habilite também a configuração e marque as 3 opções.

33- Abra o prompt e force a atualização das políticas pelo GPUPDATE /FORCE, será necessário fazer o logoff após o comando.

34- Repita os procedimento 22 e 23 para abrir o Snap-In dos certificados, e verifique se o certificado do usuário logado estará lá. Com isso tivemos êxito em nosso processo de auto-enrollment.

35- Outra forma de ver os certificados aplicados é através do servidor (Start Menu / Administrative Templates / Certification Authority / Issued Certificates.

[ ]’s 🙂

 

 

 

 

 

Criando Encaminhamento de Event Viewer no Windows 2008 / R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

event-viewer-icon

 

Nesse artigo irei explicar o procedimento em uma funcionalidade muito interessante no Windows Server 2008 e R2, o Event Viewer Subscription, através dessa funcionalidade podemos centralizar em um único servidor os Logs de Eventos dos meus servidores / computadores do nosso ambiente, podendo assim ter um gerenciamento e monitoramento mais simples do que ter a necessidade de acessar um determinado servidor para analisar os logs.

Para esse cenário usarei 2 Domain Controllers do domínio “suportederede.local”, no qual DC02 será a máquina que disponibilizará os logs para serem acessados pelo DC01 que será a máquina “coletora” dos logs.

HABILITAR O WINDOWS REMOTE MANAGEMENT 1- No DC02 (Máquina que irá gerar os logs) abra o prompt de comando e digite winrm quickconfig em seguida pressione ENTER. Verifique que será aberta uma exceção no firewall e o serviço habilitado, confirme pressionando Y e depois em ENTER.

2- Você receberá uma mensagem de confirmação, após isso pode-se fechar o prompt.

ATRIBUIR PERMISSÃO AO SERVIDOR 3- Em seguida, ainda no DC02 precisaremos definir qual computador terá acesso aos logs, para isso abra o “Active Directory users and Computers” e localize o grupo “Event Log Readers“.

4- Após duplo clique em “Event Log Readers”, selecione a aba “Members“, clique em “Add“, e depois em “Object Types“, marque a opção “Computers” e confirme com “OK

5- Digite o nome do servidor que será o “coletor”, no nosso caso o DC01 e depois em “Check names“. Confirme no “OK“. ATENÇÃO: Caso o servidor não seja um Domain Controller abra o “Computer Management” e adicione o computador ao grupo “Administrators” seguindo o procedimento acima.

6- Nas propriedades do “Event Log Readers” o servidor “coletor” será apresentado, clique em “OK” e pode fechar o “Active Directory Users and Computers”.

CONFIGURANDO O SERVIDOR COLETOR E CRIANDO UM SUBSCRIPTION 7- No DC01 (servidor que irá coletar os logs), abra o prompt de comando e digite wecutil qc e pressione ENTER. Confirme pressionando Y e ENTER.

8- Em Ferramentas Administrativas abra o “Event Viewer”, navegue até a guia “Subscriptions“, clique com o botão direito e depois em “Create Subscription“.

9- Em “Subscription Properties” você deverá selecionar as particularidades dessa nova subscrição, digite um nome e uma descrição. Em “Destination Log”, mantenha selecionado “Forwarded Events“.

10- Clicando em “Select Computers”, podemos selecionar os computadores que disponibilizarão logs conforme passos configurados anteriormente.

11- Clique em “Add Domain Computers“, em seguida digite o nome do computador / servidor e depois em “Check Names“. Confirme pressionando “OK“.

12- Em seguida clique em “Test” para verificar a conectividade. Caso tenha problemas, verifique os procedimentos anteriores.

13- Voltando em “Subscription Properties” clique agora em “Select Events“. Em “Event level” podemos selecionar o nível do evento a ser acompanhado, a nível de teste manteremos TODOS os logs. Em “Event logs” podemos selecionar qual tipo de log a acompanhar, também vamos manter TODOS. Essa opção de filtro é bem interessante pois podemos filtrar o log pelo seu ID / palavras chave, atendendo de todas as formas as nossas possíveis necessidades.

14- Confirme a subscrição clicando em “OK“.

15- Clique com o botão direito sobre a subscrição e clique em “Runtime Status“. Você verá o status da mesma, sendo possível desabilitar ela.

TESTANDO A FUNCIONALIDADE 16- Vamos forçar o o DC02 a ter ações que movimentem os arquivos de log, um bom exemplo é parar / iniciar serviços, vamos exemplificar parando e iniciando o serviço “netlogon”. Abra o prompt e digite net stop netlogon e após um tempo net start netlogon.

17- Aguarde um pouco para que haja a coleta dos logs e verifique no Event Viewer do coletor (DC01) na opção “Forwarded Events”. veja que os dois logs (stop /start do netlogon) estão sendo apresentados, proveniente do computador DC02.suportederede.local).

Abraços a todos e espero que tenham gostado e que seja útil no ambiente de vocês

A Segunda Chance (second shot) está de volta nos exames Microsoft!

Publicado em:

28/08/2012

Fonte / Referência:http://www.cooperati.com.br

A Segunda Chance (second shot) está de volta nos exames Microsoft!

Fala Galera,

Está difícil de fazer posts pela correria e estudos aprofundados, mas correndo pelo meus sites de consultas diários, achei uma notícia muito boa, boa não… Incrível! \o/

Chegou a notícia que muita gente estava esperando pra começar a fazer as provas Microsoft: a Segunda Chance está de volta.

E ela voltou em um formato bem interessante:

  • Se você comprar um exame único, no valor de US$ 100,00 e não passar, pode refazê-lo gratuitamente. Você tem até o dia 31 de maio de 2013 para comprar o exame, fazer a prova e caso não passe, usar a Segunda Chance.
  • Há também a possibilidade de você comprar um pacote de exames (que já incluem as novas certificações (MCSA, MCSE, MCSD) com um desconto de 15%. O prazo para a compra dos exames continua até o dia 31 de maio de 2013. A vantagem do pacote não é só no desconto. Além da segunda chance, você tem até o dia 31 de dezembro de 2013 para realizar os exames e as segundas tentativas! Por exemplo, em vez de pagar US$ 300,00 nos três exames da certificação MCSA (70-410, 70-411 e 70-412), você vai pagar US$ 255,00, vai ter a Segunda Chance e ainda tem seu prazo para realizar os testes e retestes estendido em sete meses.

Agora não tem desculpa né pessoal?!

E você já sabe que com os Treinamentos FERAS do CooperaTI você pode se preparar pra encarar essas provas numa boa. Ainda mais com a tranquilidade de poder realizar uma segunda tentativa, caso dê aquele “branco” ou aquela dor de barriga aquele “nervoso” na hora da prova, rs…

Percebi que ainda restaram algumas pequenas dúvidas sobre como conseguir o voucher para a promoção Segunda Chance.

Aí vai um vídeo rápido, mostrando como obtê-lo.

 

Maiores detalhes, neste link –> http://www.microsoft.com/learning/en/us/offers/secondshot.aspx

Abraço e boa sorte😉

Escalabilidade e Disponibilidade de arquivos utilizando o DFS – Windows 2008 R2

Publicado em:

29/07/2012

Fonte / Referência: https://social.technet.microsoft.com/wiki/pt-br

Escalabilidade e Disponibilidade de arquivos utilizando o DFS – Windows 2008 R2

Dimensionamento, consolidação, escalabilidade, disponibilidade, dinamismo e transparência são desafios comuns quando tratamos de arquivos. Imagine que você tem várias pastas espalhadas por vários servidores. Você teria que passar para seu usuário exatamente qual servidor a pasta dele está e quando fosse necessária uma busca você teria que sair entrando em todos os servidores. Isso diminui a escalabilidade, dinamismo e transparência pois para colocar mais servidores você precisará  possivelmente avisar aos usuários que os arquivos novos estão em um servidor diferente.
O dinamismo e transparência ficam comprometidos pois se você precisar tirar uma pasta de um servidor e coloca-la em outro, existiria a necessidade de refazer todos os mapeamentos e ainda avisar aos usuários afetados. Imagine que se você tem N pastas em Z servidores, para cada mapeamento você terá que acessar da forma \\servidorZ\pastaN
Com o DFS (Distributed File System) isso pode ser resolvido. Isso pois ele lança mão de um recurso chamado de namespace, que nada mais é do que criar um nome aonde contenha links para pastas em qualquer servidor. Assim para acessar as N pastas agora você só tem um namespace podendo acessar da forma \\Namespace\Filesystem\PastaN por exemplo.
Como são criados apenas links, no momento em que se deseja adicionar um novo servidor, é só criar um novo link. Se desejar trocar uma pasta de um servidor para o outro, somente troca-se o destino do link e os usuários nem ficam sabendo que isso aconteceu. Na verdade para os usuários é tão transparente que apesar de você ter N servidores eles irão enxergar como apenas um.
Sanados os problemas de escalabilidade, transparência e dinamismo, vem o maior deles, a disponibilidade. É ai que entra o DFS-R (Distributed File System Replication), a replicação do DFS pode não só manter várias pastas sincronizadas como deixar que elas sejam acessadas pelo mesmo link no namespace, para que mesmo se um servidor que hospeda uma das cópias venha a falecer, os outros continuam sendo acessados com exatamente os mesmos arquivos.
A replicação se mostra extremamente eficiênte por dois motivos:
  • Toda a replicação pode ser agendada e a banda utilizada para cada horário do dia pode ser controlada
  • O DFS-R usa um processo chamado Compactação diferencial remota que além de enviar apenas as diferenças, compacta o arquivo replicado para envio mais rápido e eficiênte.
Existem três topologias de replicação
  1. RING – Replicação bidirecional em anel
  2. Full Mesh – Todos replicam para todos
  3. Hub and Spoke – Todos replicam para um único servidor “HUB”

 

Estarei apresentando para vocês um tutorial para criar uma estrutura de DFS com replicação de arquivos.

Considere o seguinte cenário de exemplo: Sua empresa deseja ter uma redundância para o seu servidor de arquivos. Atualmente ela não tem como investir em uma solução mais robusta com cluster e storage, e assim, disponibiliza apenas mais um servidor.

Solução: Utilizar o serviço de DFS para prover acesso através de namespace e replicação dos arquivos entre os servidores.

O que é o DFS? O DFS (Distributed File System) é um serviço que tem como os principais objetivos centralizar pastas compartilhadas e utilizar a replicação para obter disponibilidade (topologia Full Mesh ) ou centralização dos arquivos (topologia Hub and Spoke).

Para quem desejar obter mais detalhes sobre esse serviço poderá ver em:

Technet: How DFS Works

Technet: Sistema de Arquivos Distribuídos

Para saber as novidades do DFS no Windows Server 2008 R2: Technet: What’s New in Distributed File System

É importante lembrar que o DFS não substitui uma solução mais completa de alta disponibilidade como Cluster e muito menos uma rotina de backup. Além disso, o DFS também é muito utilizado para facilitar a administração de pastas compartilhadas em grandes corporações.

Requisitos: Criei esse tutorial utilizando um lab de VMs, mas o processo é o mesmo para máquinas físicas.

As VMS que foram utilizadas:

– SVRDC1 (Domain Controller). – SVRFS1 (Servidor de arquivos em produção). – SVRFS2 (Servidor adicional disponilizado). – CLIENT1 (Máquina cliente para efetuar os testes).

OBS: Os servidores SVRFS1 e SVRFS2 devem fazer parte do domínio do SVRDC1.

Instalação: Primeiramente, instale o serviço de DFS no servidor SVRFS1: 1 – Vá no Start>Run e digite ServerManager.msc. 2 – No nó Roles clique em Add Roles. 3 – Clique em Next. 4 – Selecione a Role File Services e clique em Next mais duas vezes. 5 – Marque as caixas do serviço DFS (Namespace e Replication) como a figura abaixo.

6 – Na tela Create Namespace selecione a opção Create a namespace later using the DFS Management snap-in Server Manager. 7 – Clique em Next e em seguida em install.

Repita os passos de 1 a 7 no servidor SVRFS2.

OBS: No caso da instalação em um servidor de arquivos que ja possui os compartilhamentos, a role File Services ja estará habilitada, então no passo 2 é necessário selecionar a opção Add Role Services que esta logo abaixo de Add Roles.

Configurando o DFS-N (DFS Namespace):

1 – No servidor SVRFS1, abra Start>Run e digite dfsmgmt.msc.

2 – Com a console aberta, no nó Namespace clique com o botão direito do mouse e selecione a opção New Namespace.

3 – Na tela que aparece insira o nome do primeiro servidor que irá hospedar o DFS namespace, no meu caso será SVRFS1 e em seguida clique em Next.

4 – Escolha o nome do seu Namespace, no meu caso escolhi shares.

5 – Na próxima tela você deverá escolher o tipo do Namespace, escolha o tipo Domain-based e verifique se a caixa Enable Windows Server 2008 Mode esta marcada, em seguida clique em Next e Create.

6 – Após terminar a criação, selecione o namespace criado e com o botão direito selecione a opção Add Namespace Server.

7 – Na caixa que aparecer insira o segundo servidor que será utilizado, em meu caso será o SVRFS2, clique em OK.

Adicionando Folders no Namespace:

1 – Clique mais uma vez com o botão direto do mouse no nó namespace e seleciona a opção New Folder.

OBS: Aqui você irá adicionar as shares ou subpastas das shares que estarão disponíveis no DFS e serão replicadas para o segundo servidor. É importante lembrar que as shares ja deverão estar criadas e suas permissões (NTFS e Sharing) devidamente configuradas (no segundo servidor deverá ter apenas as shares criadas com as permissões de Sharing, o restante será replicado pelo serviço DFS).

2 – No campo Name coloque o nome do Folder, aconselho colocar o mesmo nome da share que será adicionada para facilitar o entendimento.

3 – Clique em add e em seguida em Browse. Confirme se no campo Server esta com o servidor desejado e clique no botão Show Shared Folders.

4 – Será listado todas as shares para o servidor selecionado, escolha a share desejada e clique em OK duas vezes.

Repita o mesmo processo para adicionar a share que esta no segundo servidor. Deverá ficar semelhante a imagem abaixo:

 Clique em OK e será apresentado uma caixa perguntado se deseja criar um grupo de replicação para os arquivos, escolha Yes.

Configurando DFS-R (DFS Replication):

1 – O assistente de grupo de replicação irá abrir, clique em Next duas vezes.

2 – Na tela Primary Member selecione o servidor que dará precedência para a replicação inicial (isso é apenas utilizado na primeira replicação, o restante é baseado em replicação multi-master).

3 – Em nosso caso selecione o servidor de produção SVRFS1. Clique em Next duas vezes.

4 – Na tela Replication Group Schedule and Bandwidth é possível selecionar um horário especifico para a replicação ocorrer e determinar quanto de banda será utilizada. Irei deixar as configurações padrão. Clique em Next e em Create e aguarde o término da criação.

A tela da sua console deverá ficar semelhante a imagem abaixo (exceto pelo empresa.corp que deverá ser o domínio em que os servidores fazem parte):

 OBS: A primeira replicação pode demorar de 10 a 15 minutos para iniciar, dependendo do ambiente pois as informações deverão ser replicadas para o Domain Controller que possui a FSMO PDC.

Efetuando testes:

Replicação: – Para testar a replicação acesse o SVRFS1, navegue até a share que você adicionou como folder do Namespace e crie uma nova pasta ou arquivo e em seguida acesse o servidor SVRFS2 no mesmo caminho e veja se o arquivo está lá.

Disponibilidade: – Acesse a máquina client (com um usuário que terá permissões para acessar as shares) e digite no Start>Run o caminho do DFS (em meu caso será o \\empresa.corp\shares). – Navegue pela folder que você criou e crie alguns arquivos. – Se você estiver fazendo um lab utilizando VM do Hyper-V você poderá retirar a interface de rede ou desligar uma das VMs, caso os servidores forem físicos poderá apenas retirar o cabo de rede de um dos servidores.

Tente navegar novamente na pasta, o Windows Explorer ficará travado por um tempo mas depois irá retornar. – Volte o servidor e faça o mesmo com o outro e tente acessar a pasta novamente.

Espero que ajude.

[ ]’s