Microsoft.com
Bem-vindo Entrar
Resources for IT Professionals
Clique para classificar e enviar comentários
TechNet
TechNet Library
Artigos Técnicos
Colunas
The Cable Guy
 The Cable Guy - Maio de 2004

  Ativar exibição de largura de banda baixa
TechNet - The Cable Guy - Maio de 2004: Comportamento de determinação da rede para definições de diretiva de grupo relacionadas à rede

Comportamento de determinação da rede para definições de diretiva de grupo relacionadas à rede

Publicado em: 5 de maio de 2004

cable_guy

Por The Cable Guy

Nesta página

Introdução
Definições de diretiva de grupo que usam determinação da rede
Como a determinação da rede funciona
Para obter mais informações

Introdução

Os componentes de rede do Microsoft® Windows Server™ 2003 ou do Windows® XP devem determinar se o computador será conectado a uma rede gerenciada contendo controladores de domínio do domínio ao qual o computador pertence ou a outra rede para aplicar corretamente um conjunto de definições de Diretivas de Grupo relacionadas à rede. Existem definições de Diretiva de Grupo de Configuração do Computador para habilitar ou desabilitar o Compartilhamento de Conexão com a Internet (ICS), o Firewall de Conexão com a Internet (ICF) e a Ponte de Rede, além de definições para habilitar, desabilitar ou configurar o Firewall do Windows, dependendo se o computador está conectado a uma rede de organização gerenciada.

Definições de diretiva de grupo que usam determinação da rede

Esta seção descreve as seguintes definições de Diretiva de Grupo de Configuração do Computador:

  • Proibir uso do ICS na rede do domínio DNS em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede

  • Proibir uso do Firewall de Conexão com a Internet na rede do domínio DNS em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede

  • Proibir instalação e configuração de Ponte de Rede na rede do domínio DNS em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede

  • Firewall do Windows definições para o Windows XP Service Pack 2 (SP2) em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede\Firewall do Windows

Essas definições usam a determinação da rede para especificar o comportamento e a configuração dos serviços de rede.

Proibir uso do ICS na rede do domínio DNS

Essa definição determina se os administradores locais—usuários cujas contas são membros do grupo de segurança de administradores locais—podem habilitar e configurar o ICS em uma conexão com a Internet. O ICS permite que administradores locais configurem seus sistemas como um gateway de Internet para uma rede pequena e fornece serviços de rede, como resolução e endereçamento de nome através do DHCP para a rede privada local.

Se você habilitar essa definição, o ICS não poderá ser habilitado ou configurado por usuários (incluindo administradores locais). Se você desabilitar essa definição ou não configurá-la e tiver duas ou mais conexões, os administradores locais poderão habilitar o ICS.

Proibir uso do Firewall de Conexão com a Internet na rede do domínio DNS

Essa definição determina se os usuários podem habilitar o ICF em uma conexão. ICF é um firewall monitorador baseado em host no Windows XP com Service Pack 1 (SP1) e Windows XP sem service packs instalado para usuários domésticos e de empresa pequena a fim de ajudar a protegê-los de ataques de rede da Internet.

Se você habilitar essa definição, o ICF não poderá ser habilitado ou configurado por usuários (incluindo administradores locais). Se você desabilitar essa definição ou configurá-la, o ICF será desabilitado quando uma conexão de rede local ou VPN for criada, porém os administradores locais poderão usar a guia Avançado nas propriedades da conexão para habilitá-la.

Proibir instalação e configuração de Ponte de Rede na rede do domínio DNS

A definição determina se um usuário pode instalar e configurar a Ponte de Rede. A Ponte de Rede permite que os usuários criem uma ponte transparente de Camada 2, possibilitando que eles se conectem a dois ou mais segmentos de rede local para criar um único segmento de rede (sub-rede). Essa conexão é exibida na pasta Conexões de Rede.

Se você habilitar essa definição, a Ponte de Rede não poderá ser habilitada ou configurada por usuários (incluindo administradores locais). A opção de habilitar a Ponte de Rede através do menu de contexto das conexões de rede local é removida. Se você habilitar essa definição, não removerá uma Ponte de Rede existente do computador do usuário.

Se você desabilitar essa definição ou não configurá-la, um administrador local poderá criar ou modificar a configuração de uma Ponte de Rede.

Definições do Firewall do Windows para o Windows XP SP2

Para centralizar a configuração de vários computadores em uma rede de organização que usa o serviço de diretório Active Directory®, as definições do Firewall do Windows para computadores executando o Windows XP com SP2 podem ser implantadas através do Diretiva de Grupo de Configuração do Computador. Um novo conjunto de definições do Firewall do Windows da Diretiva de Grupo de Configuração do Computador permite que um administrador da rede configure os modos operacionais do Firewall do Windows, exceto o tráfego, e outras definições usando um objeto da Diretiva de Grupo.

Ao usar as novas definições da Diretiva de Grupo do Firewall do Windows, é possível configurar dois perfis diferentes em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede\Firewall do Windows:

  • Perfil do domínio

    O perfil do domínio é definido nas definições do Firewall do Windows necessárias quando o computador está conectado à rede gerenciada. Por exemplo, o perfil do domínio pode conter definições do tráfego excluído para os aplicativos e serviços exigidos por um computador gerenciado em uma rede corporativa.

  • Perfil padrão

    O perfil padrão é definido nas definições do Firewall do Windows necessárias quando o computador está conectado a outra rede. Um bom exemplo é quando um computador laptop da empresa é levado para a rua e é conectado à Internet usando um provedor de serviços de Internet sem fio ou banda larga pública. Como o laptop da empresa é conectado diretamente à Internet, o perfil padrão deve conter definições mais restritivas que o perfil do domínio.

Para obter mais informações sobre as definições da Diretiva de Grupo do Firewall do Windows, consulte o white paperImplantando as definições do Firewall do Windows no Microsoft Windows XP com Service Pack 2.

Como a determinação da rede funciona

Em relação às definições da Diretiva de Grupo descritas neste artigo, o comportamento ou a configuração de um serviço de rede é baseado na determinação de se o computador está conectado a uma rede gerenciada que contém o domínio do Windows ao qual o computador é um membro ou a outra rede. A determinação é baseada no seguinte:

  • Quando um computador executando o Windows Server 2003 ou o Windows XP recebe uma atualização de Diretiva de Grupo, ele registra o sufixo DNS específico da conexão pela qual a atualização da Diretiva de Grupo foi recebida no Registro. Essa definição é conhecida como o nome DNS da atualização de Diretiva de Grupo mais recente.

  • Os sufixos DNS específicos da conexão referentes a conexões estabelecidas do computador (aqueles atribuídos a um endereço IP) que não são baseados no protocolo PPP ou protocolo SLIP (como conexões de rede virtual privada ou dial-up).

O algoritmo de determinação da rede executa a seguinte análise:

  • Se o computador não for membro de um domínio, ele sempre estará conectado a outra rede.

  • Se o nome DNS da atualização de Diretiva de Grupo mais recente corresponder a qualquer sufixo DNS específico da conexão referente às conexões estabelecidas no computador que não sejam baseadas nos protocolos PPP ou SLIP, o computador está conectado a uma rede gerenciada.

  • Se o nome DNS da atualização de Diretiva de Grupo mais recente não corresponder a qualquer sufixo DNS específico da conexão referente às conexões estabelecidas no computador que não sejam baseadas nos protocolos PPP ou SLIP, o computador está conectado a outra rede.

O Windows usa este processo de determinação da rede durante a inicialização e quando é informado pelo serviço Reconhecimento de Local da Rede que as definições de rede no computador foram alteradas.

O sufixo DNS específico da conexão referente à conexão pela qual o último conjunto de atualizações da Diretiva de Grupo recebido é determinado da configuração TCP/IP, que geralmente é configurada usando o protocolo DHCP e a opção DHCP do Nome do Domínio DNS (opção DHCP número 15). Também é possível configurar manualmente os sufixos DNS específicos da conexão a partir da guia DNS nas propriedades avançadas do componente do protocolo TCP/IP, disponível nas propriedades de conexão da pasta Conexões de Rede.

Por exemplo, um laptop com apenas uma conexão de rede local sem fio que seja membro do domínio corp.exemplo.com conecta-se à rede da organização. Os servidores DHCP na rede da organização atribuem o nome do domínio DNS corp.exemplo.com usando a opção DHCP do Nome do Domínio DNS. Quando o computador ou o usuário efetua logon no domínio, ele recebe uma atualização da Diretiva de Grupo pela conexão de rede local sem fio e o nome do domínio DNS de corp.exemplo.com é gravado no Registro. Como o nome DNS da atualização de Diretiva de Grupo mais recente corresponde ao sufixo específico da conexão referente à conexão da rede local sem fio, o Windows determina se o computador está conectado à rede gerenciada.

Esse mesmo laptop é levado para uma lanchonete onde o usuário do computador utiliza a rede local sem fio da lanchonete para conectar-se à Internet. Para essa configuração, a conexão de rede local sem fio é configurada usando o DHCP, no entanto, o valor da opção DHCP do Nome do Domínio DNS atribuído pelo provedor de serviços de Internet (ISP) é isp.exemplo.com. Como o nome DNS da atualização de Diretiva de Grupo mais recente (corp.exemplo.com) não corresponde mais ao sufixo DNS específico da conexão referente à conexão de rede local sem fio (isp.exemplo.com), o Windows determina se o computador está conectado a outra rede. Como os controladores de domínio do domínio corp.exemplo.com não estão disponíveis na Internet, não haverá nenhuma atualização de Diretiva de Grupo enquanto o computador estiver conectado à Internet. Portanto, o nome DNS da atualização de Diretiva de Grupo mais recente gravado no Registro permanecerá definido como corp.exemplo.com.

Embora esse algoritmo de determinação da rede funcione bem na maioria das situações, as variações de configuração podem fazer com que o Windows determine se ele está sempre conectado à rede gerenciada ou cria problemas de configuração temporários ao mover-se entre partes diferentes da mesma rede gerenciada que atribui diferentes sufixos DNS com DHCP.

Sempre conectado à rede gerenciada

Se os sufixos DNS específicos da conexão para as conexões do computador forem configuradas manualmente, o valor especificado manualmente substitui o valor da opção DHCP do Nome do Domínio DNS. Se o sufixo DNS configurado manualmente corresponder ao nome DNS da atualização de Diretiva de Grupo mais recente, o Windows sempre determinará se o computador está conectado à rede gerenciada.

Isso pode criar os seguintes tipos de problemas:

  • Para as definições de Diretiva de Grupo do ICS, ICF e Ponte de Rede, o usuário do computador não poderá habilitar esses serviços quando eles se conectarem a outra rede, como a Internet ou uma rede doméstica. Se o usuário não puder habilitar o ICF quando estiver conectado à Internet, o computador poderá ficar vulnerável a ataques de rede.

  • Nas definições de Diretiva de Grupo do Firewall do Windows, um administrador da rede gerenciada pode decidir desabilitar o Firewall do Windows quando o computador estiver conectado à rede gerenciada (essa prática não é aconselhada, a menos que outro firewall baseado em host esteja em uso) e habilitar o Firewall do Windows quando o computador estiver conectado a outra rede. Se o Windows sempre determina se o computador está conectado à rede gerenciada, o Firewall do Windows é desabilitado quando o computador está conectado à Internet, mais uma vez tornando o computador vulnerável a ataques de rede.

Mobilidade entre partes diferentes da mesma rede gerenciada

Os problemas de determinação da rede temporários também podem ocorrer quando os computadores movimentarem-se entre partes de uma rede gerenciada que atribui nomes de domínio DNS diferentes usando o DHCP.

Por exemplo, um laptop com somente uma conexão de rede local sem fio é um membro do domínio do Active Directory noam.corp.exemplo.com. Os servidores DHCP em todos os escritórios da organização na América do Norte atribuem o nome DNS noam.corp.exemplo.com. No entanto, na Europa, o domínio Active Directory é europa.corp.exemplo.com e os servidores DNS atribuem o nome DNS europa.corp.exemplo.com. Quando o usuário conecta o seu laptop à rede sem fio em um escritório na Europa, o nome DNS da atualização de Diretiva de Grupo mais recente não corresponde mais ao sufixo DNS da conexão sem fio do computador e o Windows determina se o laptop está em outra rede, mesmo que o laptop esteja conectado a uma parte da rede gerenciada.

No entanto, essa condição só irá durar até que as definições de Diretiva de Grupo sejam atualizadas. Quando o computador atualiza as definições de Diretiva de Grupo, o nome DNS da atualização de Diretiva de Grupo mais recente é redefinido para o novo sufixo DNS específico da conexão e o computador é determinado para estar na rede gerenciada.

Continuando nosso exemplo, o laptop atualiza as definições de Diretiva de Grupo de um controlador de domínio no domínio noam.corp.exemplo.com e o nome DNS da atualização de Diretiva de Grupo mais recente é definido como europa.corp.exemplo.com, que agora corresponde ao sufixo DNS específico da conexão referente à conexão sem fio. Quando o algoritmo de determinação da rede é executado novamente, ele determina se o computador está conectado a uma rede gerenciada.

A solução temporária para esse problema é atribuir um nome de domínio DNS comum a todos os servidores DHCP em uma rede da organização, em vez de um nome de domínio DNS específico da região. Por exemplo, a solução temporária é atribuir o nome exemplo.com a todos os servidores DNS. Portanto, o nome DNS da atualização de Diretiva de Grupo mais recente sempre corresponderá ao sufixo DNS específico da conexão referente a uma conexão de rede local conectada à rede da organização.

O problema de determinar temporariamente se o computador está em outra rede quando, na verdade, ele está na rede gerenciada também pode ocorrer com as seguintes configurações:

  • A opção DHCP do Nome do Domínio DNS é alterada, atribuindo um sufixo de domínio que não corresponda ao nome DNS da atualização de Diretiva de Grupo mais recente.

  • A opção DHCP do Nome do Domínio DNS é removida, resultando em um sufixo DNS específico da conexão em branco para a conexão da rede local do computador.

  • O sufixo DNS específico da conexão para a conexão de rede local do computador é configurado manualmente e não corresponde ao nome DNS da atualização de Diretiva de Grupo mais recente.

Para obter mais informações

Para obter mais informações sobre o suporte de definições de Diretiva de Grupo no Windows XP SP2, consulte os seguintes recursos:

Para fazer comentários sobre o conteúdo desta seção, escreva para Microsoft TechNet. Esteja ciente de que isso não é um alias de suporte e uma resposta não é garantida.

Para obter uma lista e informações adicionais sobre todas as colunas de The Cable Guy, clique aqui.

© 2009 Microsoft Corporation. Todos os direitos reservados. Termos de Uso  |  Marcas Comerciais  |  Declaração de Privacidade
Page view tracker