Professional Documents
Culture Documents
Um pouco de histria
Desde o lanamento dos sistemas operacionais de redes, passando pelo Windows NT, os sistemas foram se aperfeioando medida que foram surgindo novas necessidades nas empresas. Desde as conhecidas diferenas introduzidas pelo Windows 2000 ao seu antecessor, o Windows NT 4.0, ns agora conseguimos chegar a um sistema operacional ideal para atender s exigncias do mercado de informtica, onde j foram implementados grandes aprimoramentos em relao ao seu antecessor, o Windows 2000. O Windows Server 2003 baseia-se nas experincias do mercado consumidor de informtica e, por isso, encontramos nele diversos recursos que procurvamos, sempre nos perguntando: possvel fazer isso? .... e aquilo? Essas perguntas que ficavam sem respostas a partir de agora podem ser atendidas com o Windows Server 2003. Neste mdulo, faremos uma introduo das novas caractersticas e funcionalidades da famlia de servidores Windows Server 2003. Ao finalizar este captulo, voc dever ter os conhecimentos necessrios para identificar funcionalidades, caractersticas e requisitos dos diferentes sistemas operacionais dessa famlia.
1. Novas Caractersticas
Armazenamento Active Directory Instalao Servios Web
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 2 |
Para esse processo, preciso ter o disquete e a mdia de ASR que contm os arquivos de backup. O sistema operacional ser restaurado para o mesmo estado em que estava no momento do Backup da ASR, permitindo a inicializao do seu sistema. Para criar um conjunto de ASR, visite o seguinte link no TechNet (ingls): http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/enus/recovery_automatic_sr.asp Nota: Durante o processo de Restaurao, a Partio do Sistema ser formatada eliminando todos os dados, e o backup ser restaurado ao seu local de origem. Todos os arquivos modificados aps o momento do backup sero perdidos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 3 |
Se quiser obter mais informaes sobre esse assunto, recomendamos que voc consulte o seguinte link do TechNet (ingls): http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/topnode_snapshot.asp?frame=true
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 4 |
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/devmgr_reinstall_old_driver.asp?frame=true
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 5 |
Gerenciamento de Sites O gerenciamento de sites inclui um novo algoritmo do Gerador de Topologia entre Sites (ISTG), aumentando a limitao do nmero mximo de sites de 500 para 5000 sites (comprovado em laboratrio 3000). Nota: Todas essas caractersticas so explicadas em mais detalhes no Captulo 4 "Active Directory".
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 6 |
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/sag_RIS_Default_topnode.asp?frame=true
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 7 |
O IIS 6.0 oferece integrao com o ASP.NET, o Microsoft .NET Framework e os Servios da Web em XML, tornando-se a plataforma especialmente projetada para aplicaes .Net. Segurana O IIS 6.0 "Locked-down server By default", em outras palavras, est protegido na sua instalao, exigindo que o administrador habilite as funes especiais e necessrias para executar o site na Web. Sem isso, ele s pode oferecer contedo esttico e extenses dinmicas desabilitadas. Isso faz com que o IIS 6.0 seja o servidor de Web mais seguro.
1.10. Verses
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 8 |
O Windows Server 2003 apresenta quatro verses com funcionalidades diferentes que esto descritas no quadro seguinte: Para servios da Web e host, esta verso oferece uma plataforma para desenvolvimento e instalao rpida de servios e aplicativos da Web. Apenas na verso OEM
Para servios de administrao de redes, esta verso do Windows Server 2003 ideal para servidores de arquivos e impressoras, servidores da Web e grupos de trabalho. Tambm oferece acesso remoto a redes.
Contm todas as caractersticas do Windows Server 2003 Standard e fornece maior escalabilidade e disponibilidade. Essa verso ideal para servidores utilizados em grandes redes e para bancos de dados com uso intensivo. Possui todas as caractersticas do Windows Server 2003 Enterprise Edition, alm de suporte para mais memria e mais CPU por computador. Esta verso ideal para uso de depsitos de dados de grande porte, processamento online, transaes (OLTP) e projetos de consolidao de servidores. O suporte de memria, processadores e funcionalidade varia conforme a verso. por isso que voc deve considerar as suas necessidades ao escolher o sistema operacional. CPU / RAM Recursos Server 2 CPU 4 GB Novos Recursos NLBS Firewall Pessoal Web Server 2 CPU 2GB Pode executar: IIS 6.0 NLBS DNS, DHCP, WINS Limitaes: Sem DC Promo Sem aplicaes Sem Apl TS Modo Enterprise Server 8 CPU 32 GB (x86) 64 GB (64 bits) Todos os recursos do Standard e tambm: Cluster de 8 ns Verso de 64 bits Datacenter 8-64 CPU 64 GB (x86) 512 GB (64 bits) Todos os recursos do Enterprise e tambm: Programa Datacenter -Datacenter HCL -Manuteno Suporte a mltiplas instncias
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
No quadro a seguir, temos os requisitos mnimos e recomendados para cada verso do Windows Server 2003.
Requisitos de Sistema do Windows Server 2003 Requisitos Velocidade mnima da CPU Standard Edition
133 MHz
Enterprise Edition
133 MHz para arquitetura x86 733 MHz para arquitetura Itanium
Datacenter Edition
400 MHz para arquitetura x86 733 MHz para arquitetura Itanium 733 MHz
Web Edition
133 MHz
550 MHz
733 MHz
550 MHz
128 MB 256 MB 4 GB
128 MB 256 MB 32 Gb para arquitetura x86 512 MHz para arquitetura Itanium
512 MB 1 GB
128 MB 256 MB
64 MHz para arquitetura x86 2 GB 512 MHz para arquitetura Itanium Mnimo de 8 necessrios Mximo de 64 At 2
Mximo de RAM
At 4
At 8
1,5 GB
1,5 GB
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Os servidores desempenham vrios papis no ambiente cliente/servidor de uma rede. Alguns servidores so configurados para fornecer autenticao e outros para outros usos. Muitos tambm fornecem servios de rede que permitem que os usurios se comuniquem ou localizem outros servidores e recursos na rede. Como administrador de sistemas, voc dever conhecer os principais tipos de servidores e que funes que eles realizam na sua rede.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 1 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 3 |
Assistente para instalao do Windows Server 2003
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 4 |
FAT e FAT32 Normalmente, voc no utilizaria FAT ou FAT32 para formatar a partio do sistema, a menos que precisasse de uma inicializao dupla com o Windows Server 2003 e outro sistema operacional mais antigo. FAT e FAT32 no oferecem os mesmos recursos de segurana que o NTFS. Se voc precisar dos recursos do NTFS, particularmente de segurana para arquivos e pastas, recomendvel usar o sistema NTFS. Nota: Se optar por formatar a partio usando o FAT, a instalao formata automaticamente as parties superiores a 2 GB em FAT32.
2.3. Selecionar o Modo de Licenciamento 2.3.1. Modelo de licenciamento para o Windows Server 2003: O que no foi modificado
Embora tenham ocorrido modificaes no modelo de licenciamento do Windows Server 2003, os seguintes elementos no foram modificados: Cada cpia instalada do software de servidor exige a compra de uma licena de servidor do Windows. preciso ter uma Licena Acesso Cliente do Windows (CAL do Windows) para ter acesso ao software do servidor. No preciso uma CAL se o acesso ao servidor for feito atravs da Internet e ele no for "autenticado" - por exemplo, o acesso a um site na Web para obter informaes gerais onde no seja necessrio fornecer credenciais de identificao. Uma CAL do Windows (por servidor) tambm pode ser designada para uso com apenas um servidor, autorizando acesso por meio de qualquer dispositivo ou usurio, quando o tipo de licena de software para o servidor for definido como "por servidor. Nessa modalidade, o nmero de CALs do Windows igual ao nmero mximo de conexes atuais. Uma CAL do Windows (por dispositivo ou por usurio) pode ser designada para uso com qualquer quantidade de servidores, autorizando o acesso atravs de um dispositivo especfico ou de um usurio, quando a modalidade da licena do software do servidor estiver definida como "Por dispositivo ou Por usurio" (antes chamada de modo "Per Seat"). preciso ter um licena de Acesso de Cliente para o Terminal Server (CAL TS) para utilizar um Terminal Server ou oferecer uma sesso de interface de usurio grfica remota (GUI), exceto para uma sesso do console. No Windows 2000, havia uma exceo para esse requisito de licena e isso foi modificado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Durante a instalao, voc deve escolher um domnio ou um grupo de trabalho como grupo de segurana para o computador.
2.4.1. Domnio
Nota: Para obter detalhes tericos referentes ao Active Directoy, consulte o mdulo 4 deste curso. Durante a instalao, voc poder adicionar o computador a um domnio existente como servidor membro. Para isso, preciso: Um nome de domnio. Um exemplo de um nome de domnio DNS vlido seria microsoft.com. Uma conta de computador. Para unir um computador a um domnio, preciso ter uma conta para esse computador no domnio. Voc pode criar a conta antes da instalao ou, se tiver privilgios administrativos no domnio, pode criar essa conta durante a instalao. Se a conta do computador for criada durante a instalao, o programa de instalao lhe pedir para inserir ID de usurio e senha com autorizao para adicionar contas de computadores ao domnio. Um controlador de domnio disponvel e um servidor que executa o servio do Servidor DNS. Pelo menos um controlador de domnio e um servidor DNS devem estar on-line no momento em que o computador adicionado ao domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 7 |
Para instalar o Windows Server 2003 a partir do CD, inicie o computador com o CD ou os disquetes e siga as instrues dos diversos Assistentes. Embora o processo de instalao no seja notavelmente diferente do Windows NT 4.0 ou do Windows 2000, ter experincia com o processo de instalao do Windows Server 2003 o ajudar a executar esse processo com maior eficcia.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
2.6.5.2. Pr-requisitos
Antes de iniciar esse exerccio, voc dever ter um computador que atenda aos requisitos mnimos de hardware para instalar o Windows Server 2003 ou o software Connectix Virtual PC para Windows. Para terminar esse exerccio, ser preciso: O CD do Windows Server 2003 Evaluation Edition. O disquete do MS-DOS para inicializao (opcional). Se o seu computador estiver configurado para inicializar a partir de CD-ROM, voc pode inicializar o Windows Server 2003 sem usar o disquete. Informaes para instalao nos sistemas sem opo de inicializao a partir do CD-ROM: http://support.microsoft.com/default.aspx?scid=kb;en-us;810562 (ingls) Um nome de computador e um endereo IP
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
As instalaes a partir da rede funcionam da mesma forma que no Windows NT4.0 e no Windows 2000. No entanto, h 3 requisitos para comear uma instalao a partir da rede: Um Servidor de Distribuio que contenha arquivos da instalao i386. (Os computadores Itanium usam a pasta ia64. Essas pastas esto no CD-ROM do Windows Server 2003). Uma partio disponvel de 2Gb no computador. Um cliente de rede para conexo ao Servidor de Distribuio. Nota: O Microsoft Windows Preinstallation Environment (WinPE) permitir que um cliente conecte-se ao Servidor de Distribuio. Obtenha informaes em: http://www.microsoft.com/licensing/programs/sa/default.mspx Os passos para a instalao so semelhantes aos do Windows NT 4.0 e do Windows 2000; a nica diferena que preciso se conectar ao Servidor de Distribuio e executar o Winnt.exe. Durante o processo inicial, os arquivos necessrios so copiados no disco local e, em seguida, o computador reiniciado. A partir desse momento, o processo de instalao normal.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Os Servios de Instalao Remota (RIS) permitem que computadores clientes conectem-se com um servidor durante a fase inicial da inicializao e instalem remotamente o Windows 2000 (em todas as suas verses), o Windows XP (32 e 64 bits) ou o Windows Server 2003 (em todas as suas verses). A instalao a partir da rede um processo totalmente diferente porque realizada executando-se o Winnt.exe. Uma instalao remota no exige que os usurios saibam onde esto localizados os arquivos de instalao ou as informaes a fornecer ao programa de instalao. O RIS permite configurar as opes da instalao. Por exemplo, voc poderia oferecer aos usurios uma instalao mnima sem opes e outra instalao com opes adicionais. Por padro, todas as imagens esto disponveis para todos os usurios. No entanto, voc pode restringir as imagens que esto disponveis para os usurios utilizando permisses NTFS no arquivo de resposta. Os passos seguintes permitem determinar que imagens um usurio pode selecionar e fazer download. 1. 2. 3. 4. 5. Instale o RIS. Configure os componentes opcionais que voc planeja instalar no computador do cliente. As imagens que so armazenadas no servidor RIS. O cliente conecta-se usando o Pre-Boot Execution Environment (PXE) no adaptador da rede ou usando o "Network Boot Disk" criado pelo RIS. O sistema operacional instalado no cliente a partir do servidor RIS com pouca ou nenhuma interveno de usurio.
Voc pode controlar as informaes exigidas pelo usurio, criando e usando scripts. Tambm possvel criar scripts manualmente ou utilizando o Setup Manager Wizard. Obtenha informaes sobre o Setup Manager: http://support.microsoft.com/default.aspx?scid=kb;en-us;323438
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Se voc quiser instalar o Windows 2000, o Windows XP ou o Windows Server 2003 em vrios computadores que possuam hardware idntico, um dos mtodos possveis utilizar a duplicao do disco. Criando uma imagem de disco de uma instalao do Windows 2000, do Windows XP ou do Windows Server 2003 e copiando essa imagem em diversos computadores de destino, voc economiza tempo na implementao do Windows 2000, do Windows XP ou do Windows Server 2003. Para instalar o Windows 2000, o Windows XP ou o Windows Server 2003 usando duplicao de disco, configure um computador de referncia e duplique uma imagem do seu disco no servidor usando o Sysprep para preparar o computador a ser duplicado. O processo de duplicao de disco consiste nos seguintes passos: Instalar e configurar o sistema operacional no computador de referncia. Instalar e configurar os aplicativos no computador de referncia. Executar sysprep.exe no computador de referncia. Tambm possvel executar o Setup Manager Wizard para criar o arquivo Sysprep.inf. O Sysprep.inf fornece respostas, como, por exemplo, o nome do computador ao Mini-Setup que executado nos computadores de destino. Alm disso, esse arquivo pode ser utilizado para especificar drivers especiais. O Setup Manager Wizard cria uma pasta Sysprep na raiz do disco e coloca o arquivo Sysprep.inf nessa pasta. O Mini-Setup verifica a pasta Sysprep procura desse arquivo para realizar a instalao do sistema operacional.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 14 |
Em seguida, desligue o computador de referncia e execute o software de duplicao do disco. Coloque o disco duplicado no computador de destino. Ligue o computador de destino. Um Mini-Setup ser executando imediatamente solicitando: Nome do computador, senha do administrador local e chave de produto.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 16 |
Em seguida, detalharemos a migrao de Controladores de Domnio e Servidores Membro do Windows NT 4.0 para o Windows Server 2003, nos sistemas operacionais de servidor. De Windows NT 3.51 ou 4.0 PDC ou BDC Servidor Membro do Windows NT 3.51 ou 4.0 Windows NT 3.1 ou 3.5 Resultado Controlador de Domnio do Windows Server 2003 Servidor Membro do Windows Server 2003 Deve-se primeiro migrar para o Windows NT 3.51 ou 4.0
Lembre-se dos requisitos de hardware necessrios para a migrao do Windows NT 3.1/3.5/3.51 para o Windows Server 2003. Obtenha mais informaes em: http://www.microsoft.com/windowsserver2003/upgrading/nt4/default.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Para compreender o processo de migrao, ns o dividiremos em dois processos possveis: Migrao Direta ( In-Place) ou reestruturao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Windows Server 2003 Standard Edition Enterprise Edition Datacenter Edition Web Edition
Windows 2000 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Server Nenhum equivalente
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 1 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
2.2.2.1 Introduo
O DHCP permite controlar a atribuio de IP de um local central; portanto, voc pode configurar o servidor DHCP para atribuir endereos IP a uma nica sub-rede ou a vrias sub-redes. Da mesma forma, o Servidor DHCP pode atribuir a configurao IP aos clientes de forma automtica.
2.2.2.2 Definies
A concesso o tempo no qual um cliente DHCP pode utilizar uma configurao dinamicamente atribuda de IP. Antes da expirao do tempo de concesso, o cliente deve renov-lo ou obter uma nova concesso do DHCP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O cliente DHCP envia o pacote DHCPDISCOVER para localizar o Servidor DHCP. Esse pacote DHCPDISCOVER a mensagem que os clientes DHCP enviam na primeira vez que se conectam rede e solicitam informaes de IP de um servidor DHCP. Existem duas formas de iniciar o processo de Gerao de Concesso de DHCP. A primeira ocorre quando um computador cliente iniciado ou o TCP/IP iniciado pela primeira vez, e a segunda quando um cliente tenta renovar sua concesso e no consegue. (Por exemplo, um cliente pode no conseguir executar uma renovao quando voc o move para outra sub-rede.) O Servidor DHCP envia um pacote DHCPOFFER ao cliente. O pacote DHCPOFFER uma mensagem que o Servidor DHCP utiliza para oferecer a concesso de um endereo IP ao cliente, quando ele se conecta rede. Cada Servidor DHCP que responde, reserva o endereo IP oferecido para que ele no seja novamente oferecido a outro cliente DHCP, antes da aceitao do cliente inicial. Se o cliente no receber uma oferta depois de quatro solicitaes, ele utiliza um IP do intervalo reservado de 169.254.0.1 a 169.254.255.254. O uso de um desses endereos auto-configurados garante que os clientes situados em uma sub-rede de Servidor DHCP inacessvel possam se comunicar com outros clientes. Enquanto isso, o cliente DHCP continua buscando um Servidor DHCP disponvel a cada cinco minutos. Quando um Servidor DHCP estiver disponvel, os clientes recebero endereos IP vlidos, permitindo que esses clientes se comuniquem com clientes na sua sub-rede e em outras. O cliente DHCP envia um pacote DHCPREQUEST ao Servidor DHCP. O pacote DHCPREQUEST a mensagem que um cliente envia ao Servidor DHCP para solicitar ou renovar sua concesso de IP. O cliente DHCP responde ao primeiro pacote DHCPOFFER que recebe com uma transmisso de DHCPREQUEST para aceitar a oferta. O pacote DHCPREQUEST inclui a identificao do servidor que o ofereceu e o cliente que o aceitou. Todos os outros servidores DHCP posteriores eliminam suas ofertas e mantm seus endereos de IP para outras concesses.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 5 |
O Servidor DHCP envia um pacote DHCPACK ao cliente DHCP. O pacote DHCPACK uma mensagem que o Servidor DHCP envia a um cliente como confirmao de recebimento e finalizao do processo de concesso. Essa mensagem contm uma concesso vlida para endereo IP e outros dados de configurao IP. Quando o cliente DHCP recebe a confirmao de recebimento, ele inicia o TCP/IP usando a configurao IP prevista pelo Servidor DHCP. Nota: Voc pode ver todo o processo de concesso capturando os pacotes com o Monitor de Rede. Lembrese de que o cliente e o servidor utilizam as portas 67 e 68 UDP. Para realizar o processo em ambientes seguros, ser necessrio permitir a comunicao dessas portas entre o cliente e o servidor.
2.4.1. Definies
Processo de Renovao de Concesso de DHCP o processo pelo qual um cliente DHCP renova ou atualiza seus dados de configurao IP com o Servidor DHCP. O cliente DHCP renova a configurao IP antes da expirao do tempo de concesso. Se o perodo de concesso expirar e o cliente de DHCP ainda no tiver renovado sua configurao IP, ele perder todos os dados da configurao IP e o processo de Gerao de Concesso de DHCP ser reiniciado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 6 |
Para adicionar um servidor DHCP, voc dever instalar o Servio de DHCP em um computador executando o Microsoft Windows Server 2003. Antes de adicionar o servio de Servidor DHCP: Verifique se a configurao IP no servidor est correta. Verifique se a configurao IP do servidor contm um endereo IP esttico e uma mscara subrede em ambientes roteados de um gateway padro. Verifique se a conta do usurio tem as permisses corretas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 7 |
Para adicionar o servio de Servidor DHCP: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Inicie a sesso usando uma conta no administrativa. Clique em Iniciar e depois em Painel de Controle. Abra as Ferramentas Administrativas no Painel de Controle e clique direto em Gerenciar o Servidor, selecionando Executar como... (mantenha pressionada a tecla Shift e clique com o boto direito do mouse sobre o cone, selecionando a opo Executar como...) Selecione O seguinte usurio na caixa Executar como e insira uma conta de usurio e senha que tenham permisses apropriadas para realizar a tarefa, clicando em OK. Clique em Adicionar ou remover uma funo na janela do Gerenciar o Servidor. Clique em Avanar na pgina Etapas preliminares. Selecione Servidor DHCP no assistente e em Avanar. Clique em Avanar na pgina Resumo das Selees. Clique em Cancelar no assistente de novo escopo para no criar o escopo nesse momento. Clique em Concluir no assistente.
2.6.1. Definies
A autorizao do DHCP o processo de registrar o servio de Servidor DHCP em um domnio do Servio Active Directory, com o propsito de oferecer suporte aos clientes DHCP. A autorizao de DHCP somente para Servidores DHCP que executam o Windows Server 2003 e o Windows 2000 no Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 8 |
ser iniciado corretamente e, portanto, o servidor DHCP no poder responder aos pedidos dos clientes. O Servidor DHCP controla o endereamento IP enviado aos clientes DHCP na rede. Se o Servidor DHCP for configurado de forma incorreta, os clientes recebero uma configurao incorreta do endereamento IP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
2.8.1. Definio
Um escopo um intervalo de endereos IP vlidos disponveis para atribuir aos computadores cliente em uma sub-rede em particular. Voc pode configurar um escopo no servidor DHCP para determinar o grupo de endereos IP que esse servidor atribuir aos clientes. Os escopos determinam os endereos IP atribudos aos clientes. Voc deve definir e ativar um escopo antes que os clientes possam usar o Servidor DHCP para uma configurao dinmica de TCP/IP. Da mesma forma, pode-se configurar tantos escopos quanto forem necessrios no servidor DHCP para seu ambiente de rede.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Para ativar um Escopo de DHCP: Clique com o boto direito do mouse sobre o escopo do console e em Ativar.
5.
6.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
As opes do DHCP so os parmetros de configurao que um servio do DHCP atribui aos clientes quando lhes atribui o endereo IP.
Para configurar um Escopo de DHCP: 1. 2. 3. 4. Abra o console DHCP e sob o escopo apropriado, clique em Opes do escopo. Clique em Configurar Opes no menu Ao. Selecione, na caixa Opes do Escopo, a opo que voc deseja configurar na lista Opes Disponveis Preencha, em Entrada de dados, as informaes necessrias para configurar essa opo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 12 |
5. Clique em OK na caixa Opes do escopo.
2.13.1. Definio
O DHCP Relay Agent um computador ou roteador configurado para escutar a transmisso DHCP/BOOTP de clientes DHCP e reenviar essas mensagens aos Servidores DCHP em sub-redes diferentes. Os Agentes de Retransmisso DHCP/BOOTP so parte dos padres DHCP e BOOTP e funcionam segundo os documentos padro Request for Comments (RFCs) que descrevem o design do protocolo e o comportamento relacionado. Um Roteador Compatvel RFC 1542 um roteador que suporta o reenvio de trfego de transmisso DHCP. Os clientes DHCP utilizam broadcasts para obter a concesso do Servidor DHCP. Os roteadores normalmente no deixam estes broadcasts passarem, exceto quando esto configurados especificamente para deix-las passar. No entanto, sem configurao adicional, os Servidores DHCP s fornecem endereos IP a clientes na sub-rede local. Para que voc possa atribuir endereos a clientes em outros segmentos, preciso configurar a rede para que os broadcasts DHCP possam chegar do cliente ao Servidor DCHP. Isso pode ser feito de duas formas: configurando os roteadores que conectam as sub-redes para deixar passar os broadcasts DHCP ou configurando o Agente de Retransmisso do DCHP. O Windows Server 2003 aceita o servio de Roteamento e Acesso Remoto configurado para funcionar como Agente de Retransmisso do DHCP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O Agente de Retransmisso de DHCP oferece suporte Gerao de Concesso entre o cliente de DHCP e o Servidor DHCP, quando so separados por um roteador. Ele permite que o cliente DHCP receba um endereo IP de Servidor DHCP. Os passos a seguir descrevem o funcionamento do Agente de Retransmisso de DHCP: 1. 2. 3. 4. 5. 6. 7. 8. O cliente DHCP envia um broadcast de pacote DHCPDISCOVER. O Agente de Retransmisso de DHCP, a partir da sub-rede do cliente, reenvia a mensagem DHCPDISCOVER ao Servidor DHCP usando unicast. O Servidor DHCP usa unicast para enviar a mensagem DHCPOFFER ao Agente de Retransmisso de DHCP. O Agente de Retransmisso de DHCP envia um pacote broadcast DHCPOFFER ao cliente DHCP na sua sub-rede. O cliente DHCP envia um pacote broadcast DHCPREREQUEST. O Agente de Retransmisso de DHCP, a partir da sub-rede do cliente, reenvia a mensagem DHCPREQUEST ao Servidor DHCP usando unicast. O Servidor DHCP usa unicast para enviar a mensagem DHCPACK ao Agente de Retransmisso de DHCP. O Agente de Retransmisso de DHCP envia um pacote broadcast DHCPACK ao cliente DHCP na sua sub-rede.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Para adicionar um Agente de Retransmisso de DHCP: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Abra o console de Roteamento e Acesso Remoto. Clique com o boto direito do mouse no servidor e depois em Configurar e ativar o Roteamento e Acesso Remoto. Clique em Avanar na janela do assistente Bem-vindo ao Assistente para Configurao do Servidor de Roteamento e Acesso Remoto. Selecione Configurao personalizada na pgina Configuraes e clique em Avanar. Selecione Roteamento da LAN na pgina Configurao personalizada e clique em Avanar. Clique em Concluir na pgina Concluindo o Assistente de Configurao do Roteamento e Acesso Remoto. Clique em Sim na caixa de aviso Roteamento e Acesso Remoto, para iniciar o servio. Expanda o servidor e o Roteamento IP no console e selecione Geral. Clique com o boto direito do mouse em Geral e depois em Novo Protocolo de Roteamento.... Clique em DHCP Relay Agent na caixa Novo Protocolo de Roteamento e depois em OK.
Para configurar o endereo IP do Servidor DHCP no Agente de Retransmisso de DHCP: 11. 12. 13. 14. 15. Abra o console de Roteamento e Acesso Remoto. Selecione Agente de Retransmisso DHCP no console. Clique com o boto direito do mouse em Agente de Retransmisso DHCP e depois em Propriedades. Insira o endereo IP do Servidor DHCP que receber os pedidos DHCP em Geral no campo Endereo do servidor. Clique em Adicionar e depois em OK.
Para habilitar o Agente de Retransmisso de DHCP em uma interface de roteador: 16. 17. 18. 19. Selecione Agente de Retransmisso DHCP no console. Clique com o boto direito do mouse em Agente de Retransmisso DHCP e depois em Nova Interface. Selecione a interface que quiser ativar o Agente de Retransmisso de DHCP e depois clique em OK. Verifique se est selecionada a caixa Retransmitir pacotes DHCP em Geral, da caixa Propriedades de Retransmisso DHCP, em Geral. Clique em OK.
Para obter mais informaes sobre o DHCP: http://support.microsoft.com/default.aspx?scid=kb;en-us;323416 http://support.microsoft.com/default.aspx?scid=kb;en-us;325473 http://support.microsoft.com/default.aspx?scid=kb;en-us;323416 http://support.microsoft.com/default.aspx?scid=kb;en-us;323360 http://support.microsoft.com/default.aspx?scid=kb;en-us;323355
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O Espao de Nome de Domnio uma rvore de nomes hierrquica que utiliza o DNS para identificar e localizar um host em um determinado domnio, em relao raiz da rvore. Os nomes no banco de dados DNS estabelecem uma estrutura lgica chamada Espao de Nome de Domnio que identifica a posio de um domnio na rvore e em seu domnio superior. A converso principal simplesmente: para cada nvel de
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 16 |
domnio, um ponto (.) utilizado para separar cada descendente do subdomnio e do seu domnio de nvel superior. O Fully Qualified Domain Name (FQDN) o nome do domnio de DNS que indica com certeza a localizao do host a que ele se refere e a sua localizao no Espao de Nome do Domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Uma Consulta Recursiva uma solicitao de resoluo ao Servidor DNS, no caso do cliente realizar a consulta diretamente no Servidor DNS. A nica resposta aceitvel para uma Consulta Recursiva a resposta completa ou a resposta onde o nome pode ser solucionado. Uma Consulta Recursiva nunca redirecionada a outro servidor DNS. Se o DNS consultado no obtiver uma resposta do seu prprio banco de dados ou do cache, a resposta um erro, indicando que no possvel solucionar o nome.
Diferente das Consultas Recursivas, em que um cliente faz um pedido de resoluo e o Servidor DNS no obtm a resposta da sua prpria base ou do cache, a Consulta Iterativa consulta outros Servidores DNS em nome do cliente para devolver a resposta. Exemplo: quando voc precisa acessar um site na Internet, normalmente consulta o DNS de seu ISP, e ele se encarrega de entrar em contato com outros Servidores DNS at obter uma resposta. Mas analise o seguinte:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 18 |
impossvel na Internet que o DNS do seu ISP contenha todas as solues possveis em toda a Internet; por isso, os bancos de DNS distribuem e resolvem nomes de forma Iterativa uns para os outros.
Caching o processo temporrio de armazenar informaes recentes que resulta em um subsistema especial da memria para um acesso mais rpido. Quando um servidor est processando uma Consulta Recursiva, possvel que seja necessrio o envio de vrias consultas para se encontrar resposta definitiva. Na pior das hipteses, para solucionar um nome, o servidor local inicia na Raiz do DNS e comea a trabalhar para baixo at encontrar seus dados solicitados. O servidor guarda as informaes da resoluo em seu cache por um tempo determinado. Este perodo de tempo denominado TTL (Tempo de Vida) e especificado em segundos. O administrador do servidor que contm a primeira zona onde esto os dados decide o valor do TTL. Quanto menor for o valor de TTL, mais fcil ser manter dados consistentes em caso de modificaes. No entanto, ele tambm gera mais carga de trabalho para o Servidor de Nomes. Depois que o Servidor DNS salva no cache os dados, o TTL comea a diminuir at chegar a 0 (zero) e, nesse ponto, o registro eliminado do cache do Servidor DNS. Enquanto o valor de TTL est ativo, o Servidor DNS soluciona os pedidos utilizando o registro de cache.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 19 | 3.3. Exerccio 8: Como configurar as propriedade do servio de Servidor DNS?
Para configurar propriedades do servio de Servidor DNS, voc precisa atualizar as Dicas da Raiz do Servidor DNS. As Dicas de Raiz determinam se o seu servidor consulta a raiz da Internet ou se a raiz um servidor interno. Para atualizar as Dicas de Raiz no Servidor DNS: 1. 2. 3. 4. Abra o console de DNS. Selecione o servidor apropriado no console de DNS. Clique em Propriedades do menu Ao. Em Root Hints, voc pode clicar em: Adicionar, para adicionar um Servidor de Nomes. Adicione o IP do seu servidor. Editar, para editar um Servidor de Nomes. Remover, para sair de um Servidor de Nomes. Copiar do Servidor, para copiar a lista de Servidores de Nome de outros Servidor DNS. Clique em OK para fechar a caixa Propriedades. Feche o console de DNS.
5. 6.
Uma zona uma parte contgua do espao dos nomes de domnio no qual um servidor DNS tem autoridade para solucionar consultas de DNS. O espao de nomes de DNS pode se dividir em zonas diferentes, que armazenam informaes de nomes sobre um ou vrios domnios de DNS, ou parte deles. Para cada nome de domnio de DNS includo em uma zona, ele se converte em origem autorizada das informaes sobre este domnio. Antes de criar zonas, preciso compreender os conceitos a seguir: Tipos de zonas. Os servidores DNS podem alojar vrios tipos de zona. Para limitar o nmero de servidores DNS na rede, possvel configurar apenas um que permita ou aloje vrias zonas. Tambm possvel configurar vrios servidores para armazenar uma ou mais zonas com o objetivo de oferecer tolerncia a falhas e distribuir a carga de trabalho administrativa e de resoluo de nomes.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 20 |
Arquivo de zona. Os registros de recursos que so armazenados em um arquivo de zona servem para sua prpria definio. O arquivo de zona armazena informaes utilizadas para converter nomes de hosts em endereos IP e vice-versa. Importante: Para criar zonas e administrar um servidor DNS que no executado em um controlador de domnio, preciso ser membro do grupo de administradores dessa mquina. Para configurar um servidor DNS que executado em um controlador de domnio, preciso ser membro dos grupos de administradores de DNS, administradores de domnio ou administradores da empresa (Enterprise).
Na tabela seguinte, esto descritos os quatro tipos de zonas que podem ser configurados e os arquivos de zona associados a elas. Primria Padro: Contm uma verso de leitura e gravao do arquivo da zona que armazenado em um arquivo de texto padro. As modificaes realizadas na zona so registradas nesse arquivo. Secundria Padro: Contm uma verso de leitura somente do arquivo da zona que armazenado em um arquivo de texto padro. As modificaes realizadas na zona so registradas no arquivo da zona primria e replicadas no arquivo da zona secundria. Crie uma zona secundria padro para criar uma cpia de uma zona existente e do seu arquivo de zona. Dessa forma, pode-se distribuir a carga de trabalho da resoluo de nomes entre vrios servidores DNS. Integrada ao Active Directory: Em vez de armazenar as informaes de zona em um arquivo de texto, elas so armazenadas no Active Directory. As atualizaes da zona so automaticamente realizadas durante a replicao do Active Directory. Crie uma zona integrada do Active Directory para simplificar o planejamento e a configurao de um espao de nomes de DNS. No necessrio configurar servidores DNS para especificar como e quando sero feitas as atualizaes, j que o Active Directory mantm as informaes da zona.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 21 |
Zona Stub: A zona Stub so cpias de uma zona que contm somente os registros necessrios para identificao no servidor DNS de autorizao dessa zona. Uma zona stub contm um subconjunto de dados da zona que consiste em registros SOA, NS e A. As zonas Stub podem ser utilizadas quando um servidor interno DNS representa a raiz no lugar dos Servidores de Raiz da Internet.
3. 4. 5.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 22 |
Ao instalar um servidor secundrio, tente coloc-lo o mais prximo possvel dos clientes que precisam de mais nomes na zona. Alm disso, tambm recomendvel colocar os servidores secundrios atravs de um roteador, seja em outras sub-redes (se for utilizada uma rede LAN) ou em links de WAN. Deste modo, utiliza-se de forma eficaz um servidor secundrio como cpia de segurana local nos casos em que um link de rede intermedirio convertido em um ponto de concentrao de falhas entre servidores e clientes de DNS que utilizam a zona. Como o servidor primrio sempre mantm a cpia mestre das atualizaes e mudanas efetuadas na zona, o servidor secundrio depende de mecanismos de transferncias de zonas de DNS para obter suas informaes e mant-las atualizadas. Algumas questes como os mtodos de transferncia de zona, sejam mediante transferncias de zona completas ou adicionais, so simplificadas quando so utilizados servidores secundrios. Ao considerar o impacto dos servidores secundrios nas transferncias de zona, considere sua vantagem como origem da cpia de segurana de informaes e compare-a com o custo agregado estimado da infra-estrutura de rede. Uma regra simples que para cada servidor secundrio adicionado aumenta o uso da rede (devido ao trfego adicional gerado na replicao de zona) e o tempo necessrio para sincronizar a zona em todos os servidores secundrios.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Os arquivos de zona contm informaes sobre as quais um servidor DNS faz referncia para realizar duas tarefas distintas: converter nomes de host em endereos IP e converter endereos IP em nomes de host. Essas informaes so armazenadas como registros de recursos que preenchem o arquivo de zona. Um arquivo de zona contm os dados de resoluo de nomes de uma zona, incluindo registros de recursos com informaes para responder a consultas DNS. Os registros de recursos so entradas do banco de dados que incluem vrios atributos de uma mquina, como o nome do host ou o nome do domnio completo, o endereo IP e o alias. Os servidores DNS podem conter os seguintes tipos de registros de recursos: A (host): Contm informaes de atribuies de nome a endereos IP utilizados para atribuir um nome de domnio de DNS a um endereo IP de host na rede. Os registros de recursos A tambm so conhecidos como registros de host. NS (servidor de nomes): Designa os nomes de domnio de DNS dos servidores com autorizao para uma determinada zona ou uma zona que contenha o arquivo de zona desse domnio. CNAME (nome cannico): Permite fornecer nomes adicionais a um servidor que j tem um nome em um registro de recursos A. Por exemplo, se o servidor chamado webserver1.nwtraders.msft armazenar o site da Web de nwtraders.msft, o seu nome comum deve ser www.nwtraders.msft. Os registros de recursos CNAME tambm so conhecidos como registros de alias. MX (mail exchanger): Especifica o servidor que aplicativos de correio eletrnico podem entregar correspondncia. Por exemplo, se voc tiver um servidor de correio em execuo em um equipamento chamado mail1.nwtraders.msft e quiser que todo a correspondncia de NomedeUsurio@nwtraders.msft seja entregue nesse servidor, necessrio que o registro de recursos MX exista na zona de nwtraders.msft e aponte ao servidor de correio desse domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 24 |
SOA (Start Of Authority): Indica o ponto de partida ou o ponto de origem da autoridade para as informaes armazenadas em uma zona. O registro de recursos SOA o primeiro que criado quando uma nova zona adicionada. Ele tambm possui vrios parmetros que outros equipamentos que usam DNS utilizam para determinar por quanto tempo a informao da zona ser utilizada e com que freqncia as atualizaes devem ser realizadas. PTR (ponteiro): Se voc utilizar uma zona de pesquisa inversa criada no domnio in-addr.arpa para designar uma atribuio inversa de um endereo IP de host a um nome de domnio DNS de host. SRV (servio): onde so registrados os servios para os quais os clientes podem encontrar um servio mediante DNS. Os registros SRV so utilizados para identificar servios no Active Directory e tambm so conhecidos como registros de localizao de servio.
Na maioria das pesquisas de DNS, os clientes costumam realizar uma busca direta, que uma solicitao para designar um nome de equipamento a um endereo IP. O DNS tambm fornece um processo de pesquisa inversa que permite que os clientes solicitem um nome do equipamento conforme o endereo IP do equipamento.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 25 |
e ao arquivo de zona, e tambm criar automaticamente a zona, o arquivo de zona e os registros de recursos necessrios para o servidor DNS onde foi criada a zona.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 26 |
Depois de concluir essa tarefa, voc obter uma zona primria configurada. Abra o console DNS. Clique com o boto direito do mouse no Servidor DNS do console de DNS e depois em Nova zona... Clique em Avanar na pgina Bem-vindo ao Assistente de nova zona, Selecione Zona primria na pgina Tipo de Zona e clique em Avanar. Selecione Zona de pesquisa direta na pgina Zona de Pesquisa direta ou inversa, e depois clique em Avanar. 6. Insira o nome de DNS da zona na pgina Nome da Zona, e clique em Avanar. 7. Clique em Avanar na pgina Arquivo de Zona para aceitar os padres. 8. Clique em No permitir atualizaes dinmicas e clique em Avanar. 9. Clique em Concluir na pgina Concluindo o Assistente de nova zona. 10. Feche o console de DNS. 1. 2. 3. 4. 5.
Para proporcionar disponibilidade e tolerncia a falhas na resoluo de nomes, os dados da zona devem estar disponveis a partir de mais de um servidor DNS de uma rede. Por exemplo, se voc utilizar um nico servidor DNS e ele no responder, as consultas de nomes falharo. Quando voc configura mais de um servidor para armazenar uma zona, preciso realizar transferncias de zonas para replicar e sincronizar os dados da zona entre os servidores que esto configurados para armazen-las.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 27 |
nenhuma modificao. Isso ocorre quando o servio de Servidor DNS iniciado no servidor secundrio ou durante o intervalo de atualizao no servidor secundrio.
Voc pode configurar servidores DHCP para atribuir automaticamente endereos IP para mquinas clientes. Quando um cliente recebe um novo endereo IP de um servidor DHCP, ele deve atualizar as informaes de atribuies de nomes a endereos IP armazenados no servidor DNS. No Windows 2003, os servidores e os clientes DHCP podem registrar e atualizar dinamicamente as informaes dos servidores DNS configurados para permitir atualizaes dinmicas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 28 |
3. 4. O cliente envia ao servidor DNS uma solicitao de atualizao de DNS do seu prprio registro de pesquisa direita, o registro de recursos A (endereo). O servidor DHCP envia atualizaes para o registro de pesquisa inversa do cliente DHCP, o registro de recursos PTR (ponteiro). Para realizar essa operao, o servidor DHCP utiliza o nome do domnio completo obtido no primeiro passo.
2. 3.
Para obter mais informaes sobre o DNS: http://www.microsoft.com/Windows2000/technologies/communications/dns/default.asp http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;323445 http://support.microsoft.com/default.aspx?scid=kb;en-us;323380 http://support.microsoft.com/default.aspx?scid=kb;en-us;323383 http://support.microsoft.com/default.aspx?scid=kb;en-us;323419 http://support.microsoft.com/default.aspx?scid=kb;en-us;324259 http://support.microsoft.com/default.aspx?scid=kb;en-us;324260 http://support.microsoft.com/default.aspx?scid=kb;en-us;323417
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 29 |
http://support.microsoft.com/default.aspx?scid=kb;en-us;816518 http://support.microsoft.com/default.aspx?scid=kb;en-us;816567 http://support.microsoft.com/default.aspx?scid=kb;en-us;323418
O mtodo mais comum para resolver nomes NetBIOS remotos e locais o uso de um servidor de nomes NetBIOS. Quando um usurio executa determinados comandos, como net use, um aplicativo NetBIOS interage com a rede e o processo de resoluo de nomes NetBIOS iniciado. No cache de nomes NetBIOS, possvel comprovar se existe a atribuio de nome NetBIOS no endereo IP do host de destino. Se o nome NetBIOS no estiver no cache, o cliente tentar determinar o endereo IP do host de destino atravs de outros mtodos. Se o nome no puder ser resolvido com o cache, o nome NetBIOS do host de destino enviado ao servidor de nomes NetBIOS configurado para o host de origem. Quando o nome convertido em um endereo IP, ele devolvido ao host de origem. O WINS a implementao da Microsoft de um servidor de nomes NetBIOS. Para que o WINS funcione corretamente em uma rede, cada cliente deve: Registrar seu nome no banco de dados WINS. Ao iniciar um cliente, ele registra seu nome no servidor WINS configurado. Renovar o registro em intervalos configurveis. Os registros dos clientes so temporrios e, por isso, os clientes WINS devem renovar regularmente seu nome ou a sua concesso ser expirada. Liberar os nomes dos bancos de dados ao fechar. Se o cliente WINS no precisar mais do nome, por exemplo, quando ele excludo, enviada uma mensagem para pedir ao servidor WINS que esse nome seja liberado. Depois de ter configurado o WINS como mtodo de resoluo de nomes, o cliente tambm o usa para finalizar as consultas de nomes NetBIOS. Para eles, as seguintes aes devem ser realizadas:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 30 |
1. 2. 3. Se o cliente no puder resolver o nome do seu cache, envie uma consulta de nome ao seu servidor WINS principal. Se ele no responder, o cliente enviar a solicitao mais duas vezes. Se o cliente no receber uma resposta do servidor WINS principal, ele envia outra solicitao a todos os servidores WINS adicionais, configurados no cliente. Se um servidor WINS resolver o nome, ele responder ao cliente com o endereo IP do nome NetBIOS solicitado. Caso nenhuma resposta seja recebida, o servidor WINS enviar uma mensagem indicando que o nome no foi encontrado e o cliente passar para o mtodo seguinte de resoluo de nomes configurado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Embora um servidor WINS possa aceitar mais de 5.000 clientes em condies normais de carga de trabalho, possvel instalar um segundo servidor para proporcionar tolerncia a falhas na resoluo dos nomes NetBIOS. Esse servidor permitir, ao mesmo tempo, localizar o trfego de resoluo. Dessa forma, se ocorrer um erro em um dos servidores WINS, o outro continuar executando a resoluo de nomes NetBIOS na rede. Cada servidor WINS de uma rede mantm seu prprio banco de dados WINS. Portanto, se houver vrios servidores WINS na rede, eles devem ser configurados para replicar os registros de seus bancos de dados nos outros servidores WINS. A replicao dos bancos de dados WINS garante que um cliente WINS configurado para usar um servidor WINS diferente possa solucionar os nomes registrados em outro servidor WINS. Por exemplo: O host A da subrede 1 registra-se no servidor WINS A da subrede 1. O host B da subrede 2 registra-se no servidor WINS B da subrede 2. Quando ocorre uma replicao do WINS, cada servidor WINS atualiza seu banco de dados com a nova entrada proveniente do banco de dados do outro servidor. Como resultado da replicao, os dois servidores WINS dispem de informaes sobre os dois hosts, e os hosts A e B podem solucionar mutuamente seus nomes se entrarem em contato com seu servidor WINS local. Para que seja produzida uma replicao, cada servidor WINS dever se configurar com um parceiro de replicao, no mnimo. Ao configurar um parceiro de replicao para um servidor WINS, possvel especificlo como parceiro de extrao, como parceiro de insero ou como parceiro de extrao e insero para o processo de replicao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 32 |
4.3.1.1. Definio
A replicao de envio Push o processo de cpia dos registros atualizados de um Servidor WINS para outros, sempre que o Servidor WINS que contm dados atualizados alcana um valor especfico de modificaes. O processo de replicao de envio funciona da seguinte forma: 1. O Parceiro de envio notifica seus Parceiros de Replicao sempre que o nmero de modificaes no seu banco de dados do WINS ultrapassa um valor especfico configurvel. Por exemplo, voc pode configurar o Parceiro de Envio para notificar os Parceiros de Replicao quando ocorrerem 50 modificaes no banco de dados. Quando os Parceiros de Replicao respondem notificao com um pedido de replicao, o Parceiro de Envio envia a replicao das entradas novas no banco de dados.
2.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 33 |
4.3.2.1. Definio A replicao de recepo Pull o processo de cpia dos registros atualizados a partir de um servidor WINS para outros servidores WINS, em intervalos especficos de tempo. O processo de replicao de recepo funciona da seguinte forma: 1. 2. O Parceiro de recepo solicita as mudanas do banco de dados do WINS em intervalos de tempo. Por exemplo, voc pode configurar um Parceiro de Recepo para solicitar as mudanas a cada 8 horas. Os Parceiros de Replicao respondem enviando as novas entradas do banco de dados. Tambm existe a possibilidade de configurar Parceiros de Replicao de modo Envio/Recepo. Isso garante que quando no ocorre uma determinada quantidade de mudanas, seja gerada uma replicao em intervalos de tempo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 34 |
4. Clique em OK.
Para modificar o tipo de Parceiro de Replicao: 1. 2. 3. 4. Expanda o servidor WINS no console de WINS. Clique em Parceiros de Replicao do console WINS. Clique com o boto direito do mouse no servidor apropriado da caixa de detalhes e depois clique em Propriedades. Selecione uma das seguintes opes na caixa Propriedades do servidor e em Avanado, no campo: Tipo de parceiro de replicao: Push. Pull. Push/Pull. Clique em OK na caixa Propriedades do Servidor. Feche o console de WINS.
5. 6.
4.6. Processos de resoluo de nomes e integrao WINS / DNS 4.6.1. Resoluo de nomes de host
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 35 |
O processo de resoluo de nomes de HOST em um cliente cumpre o diagrama a seguir: 1. 2. 3. 4. 5. 6. O cliente verifica se j obteve a resoluo em outra oportunidade. Se esse for o caso, a resoluo localizada no cache local DNS do cliente e o processo finalizado. Se a resoluo no for obtida, vai para o passo seguinte. O cliente realiza uma consulta ao DNS primrio. Se o DNS resolver a consulta, o processo finalizado. Se a resoluo no for obtida, vai para o passo seguinte. O cliente verifica se j obteve a resoluo em outra oportunidade. Nesse caso, a resoluo localizada no cache local do NetBIOS do cliente e o processo finalizado. Se ainda no tiver obtido a resoluo, vai para o passo seguinte. O cliente realiza uma consulta ao WINS primrio. Se o WINS resolver a consulta, o processo finalizado. Se no conseguir a resoluo, vai para o passo seguinte. Se ainda assim no conseguir resolver o nome, o cliente realiza um broadcast local. Se a consulta for resolvida, o processo finalizado. Se ainda assim no obtiver obtido a resoluo, vai para o passo seguinte. Por ltimo, ele ter que consultar o arquivo HOST local localizado em systemroot\system32\drivers\etc. Esse arquivo um banco esttico de resoluo; no tem extenso e tambm no atualizado. Se esse ltimo processo no obtiver xito, o cliente no consegue a resoluo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 36 |
Exemplo de arquivo HOST
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 37 |
O processo de resoluo de nomes NetBIOS em um cliente segue o diagrama abaixo: 1. 2. 3. 4. O cliente verifica se j obteve a resoluo em outra oportunidade. Se esse for o caso, a resoluo localizada no cache local do NetBIOS do cliente e o processo finalizado. Se ainda no tiver obtido a resoluo, vai para o passo seguinte. O cliente realiza uma consulta ao WINS primrio. Se o WINS resolver a consulta, o processo ser finalizado. Se ainda no tiver obtido a resoluo, vai para o passo seguinte. Se ainda assim no conseguir resolver o nome, o cliente realiza um broadcast local. Se a consulta for resolvida, o processo finalizado. Se no tiver conseguido a resoluo, vai para o passo seguinte. Por ltimo, ser preciso consultar o arquivo LMHOST local encontrado no systemroot\system32\drivers\etc. Esse arquivo um banco esttico de resoluo; no tem extenso e tambm no se atualiza. Se esse ltimo processo no obtiver xito, o cliente no obter a resoluo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 38 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
A integrao de WINS com DNS habilita os clientes a usarem exclusivamente DNS para a resoluo de nomes. Os clientes podero acessar os dados do WINS atravs do servidor DNS. No entanto, o Servidor DNS no pode localizar recursos sem realizar uma consulta ao WINS. No Windows Server 2003, voc pode configurar a integrao entre o WINS e o DNS para permitir que os clientes sem WINS resolvam nomes NetBIOS, usando um Servidor DNS. Voc pode configurar o DNS integrado com Servidores WINS. Para configurar uma zona DNS para uso de uma pesquisa WINS: 1. 2. 3. 4. 5. Abra o DNS no menu Ferramentas Administrativas. Expanda, no console DNS, o servidor onde est a zona a configurar, expanda Zonas de pesquisa direta e depois clique na zona. Clique com o boto direito da mouse na zona e depois em Propriedades. Selecione a caixa Use pesquisa direta WINS, da caixa Propriedades, em WINS. Insira o endereo IP do Servidor WINS, da caixa Endereo IP e depois clique em Adicionar.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 1 |
1.1. Definio
Em uma rede do Microsoft Windows Server 2003, o servio de diretrio Active Directory proporciona a estrutura e as funes para organizar, administrar e controlar o acesso aos recursos de rede. Para implementar e administrar uma rede do Windows Server 2003, voc dever compreender o objetivo e a estrutura do Active Directory. O Active Directory tambm permite administrar de forma central a rede do Windows Server 2003. Esse recurso significa que possvel armazenar de forma central informaes sobre a empresa, por exemplo, informaes de usurios, grupos e impressoras, e que os administradores podem administrar a rede de um nico lugar. O Active Directory permite delegar o controle administrativo de seus objetos. Essa delegao permite que os administradores atribuam a um grupo determinado de administradores permisses administrativas especficas para objetos, como contas de usurios ou de grupos. O Active Directory o servio de diretrio de uma rede do Windows Server 2003. Um servio de diretrio armazena informaes sobre os recursos da rede e permite que os mesmos estejam acessveis aos usurios e aos aplicativos. Os servios de diretrio proporcionam uma forma coerente de nomear, descrever, localizar, obter acesso, administrar e proteger as informaes relativas aos recursos da rede.
1.2. A funcionalidade
O Active Directory oferece a funcionalidade de servio de diretrio para organizar, administrar e controlar de forma centralizada o acesso aos recursos de rede. Tambm faz com que a topologia fsica da rede e os seus protocolos passem despercebidos para que o usurio de uma rede possa ter acesso a qualquer recurso sem saber onde ele est ou como est conectado fisicamente rede. Um exemplo deste tipo de recurso uma impressora. O Active Directory est organizado em sees que permitem o armazenamento de uma grande quantidade de objetos. Dessa forma, possvel ampliar o Active Directory medida que a organizao cresce, permitindo que uma organizao que tenha um nico servidor com centenas de objetos se expanda e chegue a ter milhares de servidores e milhes de objetos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 2 |
Um servidor que executa o Windows Server 2003 armazena a configurao do sistema, as informaes dos aplicativos e as informaes sobre a localizao dos perfis de usurio no Active Directory. Em combinao com as diretivas de grupo, o Active Directory permite que os administradores controlem escritrios distribudos, servios de rede e aplicaes de um local central, ao mesmo tempo em que utilizam uma interface de administrao coerente. Alm disso, o Active Directory proporciona um controle centralizado do acesso aos recursos de rede, ao permitir que os usurios s iniciem a sesso uma nica vez para obter pleno acesso aos recursos atravs do Active Directory.
O Active Directory possibilita o armazenamento seguro de informaes sobre objetos na sua estrutura hierrquica lgica. Os objetos do Active Directory representam usurios e recursos como, por exemplo, os computadores e as impressoras. Alguns objetos podem funcionar como contineres para outros objetos. Compreendendo o objetivo e a funo desses objetos, voc poder realizar uma variedade de tarefas, incluindo a instalao, a configurao, a administrao e a resoluo de problemas do Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 3 |
A estrutura lgica do Active Directory inclui os seguintes componentes: Objetos. Eles so os componentes bsicos da estrutura lgica. Classes de objeto. So os modelos de tipos de objetos que podem ser criados no Active Directory. Cada classe de objeto definida por um grupo de atributos que estabelece os valores que podem ser associados a um objeto. Cada objeto tem uma combinao nica de valores de atributos. Unidades Organizacionais Voc pode utilizar esses contineres de objetos para organizar outros objetos com propsitos administrativos. Organizando os objetos por Unidade Organizacional mais fcil localizar e administrar objetos. Voc tambm pode delegar autoridade para administrar as Unidades Organizacionais. Elas podem conter outras Unidades Organizacionais para simplificar a administrao de objetos. Domnios. So as unidades funcionais bsicas da estrutura lgica do Active Directory e, portanto, uma coleo de objetos administrativos definidos que compartilham, atravs de um banco de dados comum do diretrio, diretivas de segurana e relaes de confiana com outros Domnios. Os domnios oferecem as 3 funes a seguir: Um limite administrativo para os objetos Meios de administrar a segurana dos recursos compartilhados Uma unidade de replicao para os objetos rvores de domnio. So Domnios agrupados em estruturas hierrquicas. Quando um segundo domnio adicionado a uma rvore, ele convertido em Filho da rvore Raiz do Domnio. O domnio ao qual um Filho do Domnio adicionado chamado de Domnio Pai. O Domnio Filho pode ter seus prprios Domnios Filhos e seu nome combinado com o nome do seu Domnio Pai para formar o seu prprio nome exclusivo, o DNS (Domain Name System). Um exemplo seria corp.nwtraders.msft. Desse modo, uma rvore tem um Nome de Espao contnuo. Florestas. Uma Floresta uma instncia completa do Active Directory, e consiste em uma ou mais rvores. Em uma nica rvore de 2 nveis, recomendvel para a maioria das organizaes, todos os Domnios Filhos so filhos do Domnio Raiz da Floresta para formar uma rvore contgua. O primeiro domnio na floresta chamado de Domnio Raiz da Floresta e o nome desse domnio faz referncia floresta, por exemplo, nwtraders.msft. Por padro, as informaes no Active Directory s so compartilhadas dentro da floresta. Dessa forma, a segurana da floresta estar contida em uma nica instncia do Active Directory.
Em comparao com a estrutura lgica e os requisitos administrativos dos modelos, a estrutura fsica do Active Directory otimiza o trfego da rede, determinando como e quando ocorre a replicao e o trfego do logon. Para otimizar o uso da largura de banda da rede Active Directory, voc precisa entender a sua estrutura fsica.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 4 |
Os elementos da estrutura fsica do Active Directory so: Controladores de domnio. Estes computadores executam o Microsoft Windows Server 2003 ou o Windows 2000 Server e o Active Directory. Cada Controlador de Domnio realiza funes de armazenamento e replicao e, alm disso, oferece suporte a apenas um domnio. Para garantir uma disponibilidade contnua do Active Directory, cada domnio deve ter mais de um controlador de domnio. Sites do Active Directory Os sites so grupos de computadores conectados. Quando voc estabelece sites, os Controladores de Domnios que esto dentro de um mesmo site podem se comunicar com freqncia. Essa comunicao reduz ao mnimo o estado de latncia dentro do site, isso , o tempo necessrio para que uma modificao realizada em um Controlador de Domnio seja duplicada nos outros controladores de domnio. Voc cria sites para otimizar o uso da largura de banda entre controladores de domnio em diversos locais. Parties do Active Directory Cada Controlador de Domnio contm as seguintes parties do Active Directory: Parties de Domnio, que contm a replicao de todos os objetos neste domnio. Essa partio duplicada apenas para outros Controladores de Domnio do mesmo domnio. Partio de Configurao, que contm a topologia da floresta. A topologia registra todas as conexes dos Controladores de Domnio na mesma floresta. Partio de Esquema, que contm o esquema da floresta. Cada floresta tem um esquema de modo que a definio de cada classe do objeto seja constante. As parties de Configurao e Esquema de Parties so duplicadas para cada Controlador de Domnio na floresta. Opes de Partio de Aplicativos que contm os objetos relacionados segurana e so utilizados por um ou mais aplicativos. As parties de aplicativos so duplicadas em Controladores de Domnio especficos na floresta.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Dessa maneira, as modificaes no podem ocorrer em diversos lugares da rede ao mesmo tempo. O Active Directory usa o Single Master Replication para modificaes importantes, por exemplo, o acrscimo de um novo domnio ou modificaes no esquema da floresta.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 6 |
atualiza periodicamente o Nome Distinto e o SID, na referncia ao objeto para refletir as modificaes realizadas no objeto real, por exemplo, movimentos em e entre domnios ou a eliminao do objeto. Cada domnio na floresta contm seu prprio Emulador de PDC, Mestre RID e o Mestre de Infraestrutura.
Voc colocar as Funes de Mestre de Operaes em uma floresta quando implementar uma estrutura de floresta e domnio. As Funes de Mestre de Operaes s so transferidas quando feita uma modificao importante na estrutura do domnio. Essas modificaes incluem a desmontagem de um Controlador de Domnio que j teve uma funo e o acrscimo de um novo Controlador de Domnio que satisfaa melhor s operaes de uma funo especfica. A transferncia de Funes de Mestre de Operaes implica mover a funo de um Controlador de Domnio para outro. Para transferir funes, os dois Controladores de Domnio devem estar ativos e conectados rede. No ocorre nenhuma perda de dados quando voc transfere a Funo de Mestre de Operaes. O Active Directory duplica a Funo de Mestre de Operaes real para o novo Controlador de Domnio, assegurando que a nova Funo de Mestre de Operaes obter as informaes necessrias para essa funo. Essa transferncia utiliza o mecanismo da replicao do diretrio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Um servio de diretrio um depsito estruturado de informaes sobre pessoas e recursos em uma organizao. Em uma rede do Windows Server 2003, o servio de diretrio o Active Directory.
possvel funcionar como servio de sistema no-operacional O Active Directory no Modo de Aplicao (AD/AM) um novo recurso do Microsoft Active Directory e atua em cenrios de aplicativos em diretrios. O AD/AM funciona como servio de Sistema No-Operacional e, como tal, no exige instalao em um Controlador de Domnio. Executar servios de Sistema No-Operacional significa que mltiplas instncias de AD/AM podem funcionar simultaneamente em um nico servidor, sendo cada instncia configurvel de forma independente. Para obter mais informaes sobre o ADAM (Modo de Aplicativo do Active Directory): http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O esquema do Active Directory contm as definies de todos os objetos, como, por exemplo, usurios, computadores e impressoras armazenados no Active Directory. Nos Controladores de Domnio que executam o Windows Server 2003, s existe um esquema para toda a floresta. Dessa forma, todos os objetos criados no Active Directory seguem as mesmas regras. O Esquema tem dois tipos de definies: classes de objeto e atributos. Um exemplo de Classes de Objeto so os usurios, o computador e a impressora, que descrevem os objetos que podem ser criados no diretrio. Cada Classe de Objeto uma coleo de atributos. Os atributos so definidos separadamente das Classes de Objeto. Cada atributo definido somente uma vez e pode ser utilizado em vrias Classes de Objeto. Por exemplo, o atributo da descrio utilizado em vrias Classes de Objetos, mas s definido uma nica vez no Esquema para garantir a consistncia. Voc tambm pode criar novos tipos de objetos no Active Directory estendendo o Esquema. Por exemplo, para um aplicativo de Servidor de E-mail, possvel ampliar a Classe de Usurio no Active Directory com atributos de diretrio que contenham informaes adicionais, como o endereo e o e-mail dos usurios. Nos Controladores de Domnio do Windows Server 2003, voc pode reverter modificaes de esquema desativando-os e permitindo que as organizaes; desta forma, melhorem o uso dos recursos de extenso do Active Directory. Tambm possvel redefinir uma classe ou atributo do Esquema, por exemplo, modificar a sintaxe da seqncia de Unicode do atributo chamado Gerenciador de Vendas para um Nome Distinto.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O Catlogo Global um repositrio de informaes que contm um subconjunto de atributos de todos os objetos no Active Directory. Os membros do grupo Administradores de Esquema podem modificar os atributos armazenados no Catlogo Global, dependendo das necessidades da organizao. O Catlogo Global contm: Os atributos utilizados com mais freqncia em consultas, por exemplo, nome, sobrenome e nome de logon dos usurios. As informaes necessrias para determinar as localizaes de qualquer objeto no diretrio. Um subconjunto padro dos atributos de cada tipo de objeto. As permisses de acesso para cada objeto e atributos armazenados no Catlogo Global. Se voc estiver pesquisando um objeto e no tiver permisso apropriada para v-lo, o objeto no aparecer nos resultados da pesquisa. As permisses de acesso garantem que os usurios s localizem os objetos aos quais eles tm acesso. O Servidor de Catlogo Global um Controlador de Domnio que processa de forma eficiente consultas entre florestas do Catlogo Global. O primeiro Controlador de Domnio que voc cria no Active Directory automaticamente convertido em Servidor de Catlogo Global. Voc pode configurar Servidores de Catlogo Global adicionais para equilibrar o trfego para logon e consultas. O Catlogo Global permite que os usurios realizem duas funes importantes: Pesquisar informaes no Active Directory em toda a floresta, independente da localizao dos dados. Usar informaes de associao do Grupo Universal no processo de logon na rede. Os servidores de catlogo global duplicam seu contedo em um esquema de replicao. At o Windows 2000, essas duplicaes eram do tipo sincronizao total, mas a partir do Windows Server 2003 possvel fazer a sincronizao de modo parcial, ou seja, replicando as modificaes apenas, em vez de enviar o catlogo completo. Para poder utilizar esse novo recurso do Windows Server 2003, voc pode ter o nvel de funcionalidade do modo Windows 2000 ou Windows Server 2003, mas s podem ser feitas duplicaes parciais entre os servidores de Catlogo Global que executam o Windows Server 2003.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O LDAP utiliza um nome que representa objetos no Active Directory por uma srie de componentes relacionados com a sua estrutura lgica. Essa representao chamada Nome Distinto do objeto e identifica o domnio onde est localizado o objeto e a trajetria completa at chegar a ele. O Nome Distinto deve ser nico na floresta Active Directory. O Nome Distinto Relativo de um objeto o identifica de modo nico no seu continer. Dois objetos no mesmo continer no podem ter o mesmo nome. O Nome Distinto Relativo sempre o primeiro componente do Nome Distinto, mas pode no ser sempre um Nome Comum. Para uma usuria chamada Suzan Fine da Unidade Organizacional Sales (Vendas) no domnio Contoso.msft, cada elemento da estrutura lgica est representando no seguinte nome distinto: CN=Suzan Fine,UO=Sales,DC=contoso,DC=msft CN o Nome Comum do objeto no seu continer. UO a Unidade Organizacional que contm o objeto. Pode haver mais de um valor de UO se o objeto residir em uma Unidade Organizacional aninhada em mais nveis. DC o Componente do Domnio, por exemplo, .com. ou .msft.. Sempre h, pelo menos, dois Componentes de Domnio, mas pode haver mais se o domnio for um domnio filho. Os componentes de domnio dos Nomes Distintos baseiam-se no Domain Name System (DNS).
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 11 |
A tabela a seguir descreve os snap-ins administrativos comuns para administrao do Active Directory. Snap-in Usurios e computadores do Active Directory Descrio um Microsoft Management Console (MMC) utilizado para administrar e publicar informaes no Active Directory. Voc pode administrar as contas de usurio, grupos e contas de computador, adicionar computadores ao domnio, administrar diretivas de contas, direitos de usurio e diretivas de auditoria. um MMC utilizado para administrar Relaes de Confianas de Domnio e Relaes de Confianas de Floresta, adicionar sufixos de nome principal de usurio e modificar nveis de funcionamento de domnios e floresta. Os Sites e Servios do Active Directory so um MMC que voc utiliza para administrar a replicao do diretrio. um MMC utilizado para administrar o esquema. No est disponvel por padro no menu. Voc deve adicion-las manualmente.
Domnios e Relaes de Confianas do Active Directory Esquema do Active Directory Ferramentas Administrativas
A tabela seguinte descreve as ferramentas de linha de comando para utilizar quando se quer administrar o Active Directory. Ferramenta Dsadd Descrio Adiciona objetos ao Active Directory, como computadores, usurios, grupos, unidades organizacionais e contatos. Modifica objetos no Active Directory, como computadores, servidores, usurios, grupos, unidades organizacionais e contatos. Executa consultas no Active Directory segundo critrios especificados. Voc pode executar consultas em servidores, computadores, grupos, usurios, sites, unidades organizacionais e parties. Move objetos dentro de um domnio para uma nova localizao no Active Directory ou renomeia um nico objeto sem mov-lo. Exclui um objeto do Active Directory. Mostra atributos selecionados de um computador, contato, grupo, unidade organizacional, servidor ou usurio do Active Directory. Importa e exporta dados do Active Directory usando formato separado por vrgulas. Cria, modifica e exclui objetos do Active Directory. Tambm pode estender o Esquema do Active Directory e exportar informaes de usurios e grupos para outros aplicativos ou servios.
Dsmod
Dsquery
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 12 | 3. Instalao do Active Directory: 3.1. Requisitos para instalar o Active Directory
Antes de instalar o Active Directory, voc deve garantir que o computador esteja preparado para ser um Controlador de Domnio, cumprindo requisitos de hardware e do sistema operacional. Alm disso, o Controlador de Domnio dever ter acesso ao servidor de DNS, que deve cumprir determinados requisitos para oferecer suporte integrao com o Active Directory. A lista a seguir identifica os requisitos para a instalao do Active Directory: Um computador executando o Microsoft Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. O Windows Server 2003 Web Edition no oferece suporte ao Active Directory. Um mnimo de 250 megabytes (MB) de espao no disco. 200 MB para o banco de dados do Active Directory e 50 MB para o log de transaes do Active Directory. Os requisitos de tamanho do arquivo para a base do Active Directory e os arquivos de registro, dependem do nmero e do tipo de objetos no domnio. Ser necessrio ter espao de disco adicional se o Controlador de Domnio tambm for Servidor de Catlogo Global. Uma partio ou um volume com formato NTFS e com sistema de arquivos. A partio NTFS exigida para a pasta SYSVOL. Os privilgios administrativos necessrios para criar um domnio em uma rede existente do Windows Server 2003. TCP/IP instalado e configurado para utilizar o DNS. Um Servidor DNS de autorizao para o Domnio de DNS e suporte para os requisitos enumerados na tabela seguinte. Registros de Recursos do Servidor (Obrigatrio) Recursos Localizador de Servio (SRV). So registros de DNS que identificam os servios especficos oferecido nos computadores de uma rede do Windows Server 2003. O Servidor DNS que oferece suporte instalao do Active Directory precisa de suporte a Registros de Recursos de Servidor. Caso contrrio, voc deve configurar o DNS localmente durante a instalao do Active Directory ou configurar o DNS manualmente aps a instalao do Active Directory. Atualizaes Dinmicas (Opcionais). A Microsoft recomenda que os servidores DNS tambm permitam atualizaes dinmicas. O protocolo dinmico de atualizao permite que os servidores e os clientes em um ambiente DNS adicionem e atualizem o banco de dados do DNS automaticamente, o que diminui os esforos administrativos. Se voc utilizar software DNS que oferece suporte aos Registros de Recursos de Servidor, mas que no oferece suporte ao protocolo dinmico de atualizao, preciso inserir os Registros de Recursos de Servidor manualmente no banco de dados DNS. Transferncias de zona incremental (Opcional) Em uma transferncia de zona incremental, as modificaes realizadas em uma zona no Servidor de DNS Mestre devem ser duplicadas nos servidores DNS
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 13 |
secundrios dessa zona. As transferncias incrementais da zona so opcionais, mas so recomendveis porque economizam largura de banda da rede, duplicando apenas os registros novos ou modificados entre os Servidores DNS, em vez do arquivo do banco de dados inteiro da zona.
O processo de instalao realiza as seguintes tarefas: Inicia o protocolo de autenticao Kerberos verso 5 Aplica a diretiva de Autoridade de Segurana Local (LSA). Essa configurao indica que o servidor um Controlador de Domnio. Cria as parties do Active Directory. Uma partio do diretrio uma parte do Espao de Nomes do Diretrio. Cada partio do diretrio contm uma hierarquia ou sub-rvore dos objetos do diretrio na rvore de diretrios. Durante a instalao, foram criadas as seguintes parties no primeiro controlador de domnio da floresta. Partio de Diretrio do Esquema Partio de Diretrio de Configuraes Partio de Diretrio de Domnios Zona DNS da Floresta Partio de Zona de DNS do Domnio
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 14 |
Depois as parties so atualizadas atravs da replicao, em cada um dos Controladores de Domnio criados de forma subseqente na floresta. Cria o banco de dados e os logs do Active Directory. A localizao padro do banco de dados e dos arquivos de logs systemroot\Ntds. Cria o domnio raiz da floresta. Se o servidor for o primeiro Controlador de Domnio na rede, o processo de instalao cria o Domnio de Raiz de Floresta e atribui as Funes de Mestre de Operaes ao Controlador de Domnio, incluindo: Emulador de Controle de Domnio Primrio (PDC) Mestre de Operaes de Identificador Relativo (RID) Mestre de Nomeao de Domnio Mestre de Esquema Mestre de Infra-estrutura Cria a pasta compartilhada do volume do sistema. Essa estrutura de pastas reside em todos os Controladores de Domnio do Windows Server 2003 e contm as seguintes pastas: A pasta compartilhada SYSVOL, que contm informaes de Diretiva de Grupo. A pasta compartilhada de Logon de Rede, que contm os scripts de logon para computadores que no executam o Windows Server 2003. Configura propriedade ao site apropriado para o Controlador de Domnio. Se o IP do servidor que voc est promovendo a Controlador de Domnio estiver em uma sub-rede definida no Active Directory, o assistente colocar o Controlador de Domnio no site associado com a sub-rede. Se no for definido nenhum objeto de sub-rede ou se o IP do servidor no estiver dentro do intervalo da sub-rede do Active Directory, o servidor ser colocado no Primeiro Site Padro. O primeiro site instalado automaticamente quando voc cria o primeiro Controlador de Domnio na floresta. O assistente de instalao do Active Directory cria um servidor de objeto do Controlador de Domnio no site apropriado. O servidor de objetos contm as informaes necessrias para a replicao e tambm contm uma referncia ao objeto do computador nos Controladores de Domnio OU, indicando que o Controlador de Domnio est sendo criado. Aplica segurana no Servio de Diretrio e nas Pastas de Replicao de Arquivo Isso implica controlar o acesso de usurio a objetos do Active Directory. Aplica a senha conta do administrador. Voc utiliza a conta para iniciar o Controlador de Domnio no Modo de Restaurao de Servios de Diretrio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 15 |
Para criar o Domnio Raiz da Floresta, voc deve seguir os passos abaixo: 1. Clique em Iniciar e depois em Executar e escreva dcpromo. Em seguida, pressione Enter. O assistente verificar: Se o usurio validado membro do grupo de administradores locais. Se o computador est executando um sistema operacional que oferea suporte ao Active Directory. Se foi realizada uma instalao ou remoo de uma verso anterior do Active Directory sem reiniciao do computador, ou se no h uma instalao ou uma retirada do Active Directory em andamento. Se qualquer uma dessas quatro verificaes falhar, uma mensagem de erro aparecer e voc sair do assistente. Na pgina Bem-vindo, clique em Avanar. Na pgina Compatibilidade do Sistema operacional, clique em Avanar. Na pgina Tipo de Controlador de domnio, clique em Controlador de domnio para um novo domnio, e depois clique em Avanar. Na pgina Criar novo domnio, clique no Domnio em uma nova floresta e depois em Avanar. Na pgina Novo nome de domnio, insira o Nome do DNS para o novo domnio (nwtraders.msft) e depois clique em Avanar. Na pgina Nome de domnio NetBIOS verifique o Nome NetBIOS (NWTRADERS) e depois clique em Avanar. O nome NetBIOS identifica o domnio nos computadores de cliente executando verses anteriores do Windows e do Windows NT. O assistente verifica se o nome NetBIOS nico. Se no for, ele pedir para que voc modifique o nome. Na pgina Pastas do banco de dados e log, especifique a localizao em que deseja instalar as pastas do banco de dados e dos logs. Em seguida, clique em Avanar. Na pgina Volume de Sistema Compartilhado, especifique o local onde voc deseja instalar a pasta SYSVOL ou clique em Procurar... para escolher um local e depois clique em Avanar. Na pgina Diagnstico de registro de DNS verifique se h um servidor DNS de autorizao para essa floresta; se necessrio, clique em Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS, e depois clique em Avanar. Na pgina Permisses, especifique se foram atribudas permisses padro aos objetos de usurio e grupo compatveis com os servidores que executam verses anteriores do Windows ou do Windows NT, ou somente com os servidores do Windows Server 2003. Quando for perguntado, especifique a senha para o modo de restaurao dos servios de. Os controladores de domnio do Windows Server 2003 mantm uma verso pequena do banco de dados de contas do Microsoft Windows NT 4.0. A nica conta nesse banco de dados a conta do administrador e ela exigida para autenticao quando o computador ligado no Modo Directory Services Restore porque o Active Directory no iniciado deste modo. Reveja a pgina Sumrio e depois clique em Avanar para comear a instalao. Quando solicitado, reinicie o computador.
2. 3. 4. 5. 6. 7.
8. 9. 10.
11. 12.
13. 14.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 16 | 3.2.2 Exerccio 2 (Opcional): Como adicionar um Controlador de Domnio adicional?
Para concluir esse exerccio, voc precisar de dois computadores ou dois PCs Virtuais, com um Controlador de Domnio instalado (Exerccio 1) e um Windows Server 2003. O procedimento semelhante criao de um novo Controlador de Domnio, com exceo de que preciso selecionar na primeira tela do assistente a opo Adicionar controlador de domnio adicional para um domnio. O restante do processo pode ser realizado de duas formas: 1. Atravs da rede: Se voc tiver uma grande quantidade de objetos, essa opo exige uma conexo com largura de banda ou tempo suficientes para a replicao inicial. 2. Duplicar a partir da mdia: Essa nova caracterstica do Windows Server 2003 permite realizar a replicao inicial por meio de um backup, da seguinte forma: Primeiro faa um backup do Estado do Sistema no Controlador de Domnio existente. Em seguida, envie esse backup para o computador de destino. No computador de destino, realize a operao de restaurao em um outro local (Escolha uma pasta, por exemplo: C:\NTDSRestore) Por ltimo, execute o assistente dcpromo /adv O assistente lhe permitir selecionar a opo A partir da mdia
3.3.
Voc poder trocar o sufixo de DNS Primrio de um Controlador de Domnio quando renomeia o Controlador de Domnio. No entanto, ao modificar o sufixo do DNS Primrio, no mova o Controlador de Domnio para um novo domnio do Active Directory. Por exemplo, se voc renomear dc2.nwtraders.msft para dc1.contoso.msft, o computador continua sendo um Controlador de Domnio do nwtraders.msft, embora seu sufixo de DNS primrio seja contoso.msft. Para mover um Controlador de Domnio para outro domnio, voc deve primeiro rebaixar o Controlador de Domnio e depois promov-lo no novo domnio. Obtenha informaes sobre a instalao do Active Directory http://support.microsoft.com/default.aspx?scid=kb;en-us;324753 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
5.1. Introduo
No Windows Server 2003, a funcionalidade de floresta e domnio proporciona uma maneira de permitir os novos recursos em toda a floresta ou domnio do Active Directory no seu ambiente de rede. Diversos nveis da funcionalidade da floresta e do domnio esto disponveis, dependendo do seu ambiente de rede.
5.3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 20 |
Relaes de confiana entre florestas Replicao melhorada Importante: Voc no pode rebaixar o nvel funcional do domnio ou da floresta depois que ele tiver sido elevado.
5.4.
5.4.1
Introduo
Alm dos recursos bsicos do Active Directory nos Controladores de Domnio individuais, os novos recursos em toda a floresta (forest-wide) e em todo o domnio (domain-wide) esto disponveis quando determinadas condies so cumpridas. Para ativar os novos recursos de todo o domnio, todos os Controladores de Domnio no domnio devem executar o Windows Server 2003, e o nvel funcional do domnio deve ser elevado para o Windows Server 2003. Voc precisa ser administrador do domnio para elevar o nvel funcional do domnio. Para ativar os novos recursos de toda a floresta, todos os Controladores de Domnio na floresta devem executar o Windows Server 2003, e o nvel funcional da floresta deve ser elevado ao Windows Server 2003. Voc precisa ser administrador Enterprise para elevar o nvel funcional da floresta. Para obter mais informaes sobre os nveis de funcionalidade: http://support.microsoft.com/default.aspx?scid=kb;en-us;322692
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 21 |
3. Selecione o nvel funcional do Windows Server 2003 na caixa Selecione um nvel funcional de domnio disponvel e depois clique em Aumentar.
Para elevar o nvel funcional da floresta, preciso executar os passos a seguir: 1. 2. Na ferramenta Domnios e Relaes de Confianas do Active, no console, clique com o boto direito do mouse em Active Directory Domains and Trusts, e depois clique em Aumentar nvel funcional da floresta. Na caixa Selecione um nvel funcional de floresta disponvel, selecione Windows Server 2003 e depois clique em Aumentar.
Nota: Voc deve elevar o nvel funcional de todos os domnios em uma floresta ao Windows 2000 nativo ou mais alto, antes de elevar o nvel funcional da floresta.
6.1. Introduo
O Windows Server 2003 suporta confianas entre florestas que permite que os usurios na floresta tenham acesso a recursos em outra floresta. Quando um usurio tenta obter acesso a um recurso em uma floresta confivel, o Active Directory primeiro localizar o recurso. Depois de localizar o recurso, o usurio poder ser autenticado e ter acesso ao recurso. Entender como este processo funciona o ajudar a identificar problemas que possam se apresentar com confianas entre florestas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 22 |
um controlador de domnio no vancouver.nwtraders.msft e solicita um solicitao de servio usando o SPN do computador, onde reside o recurso. Um SPN pode ser o nome DNS de um host ou domnio ou pode ser o Nome Distinto de um Objeto de Ponto de Conexo do Servio. O recurso no est em vancouver.nwtraders.msft e o Controlador de Domnio de vancouver.nwtraders.msft faz consultas no Catlogo Global para ver se o recurso est situado em outro domnio da floresta. Considerando que o Catlogo Global contm apenas informaes sobre sua prpria floresta, ele no encontra o SPN. O Catlogo Global testa seu banco de dados para saber se h informaes sobre relaes de confianas de floresta estabelecidas com a sua floresta. Se o Catlogo Global encontrar uma, compare os sufixos de nome que esto listados na confiana da floresta TDO com o sufixo de destino SPN. Se encontrar um ponto em comum, o Catlogo Global fornece as informaes de encaminhamento sobre como localizar o recurso ao Controlador de Domnio em vancouver.nwtraders.msft. O Controlador de Domnio em vancouver.nwtraders.msft envia uma referncia para seu domnio Pai nwtraders.msft, no computador do usurio. O computador do usurio entra em contato com o Controlador de Domnio nwtraders.msft pela referncia ao Controlador de Domnio do Domnio da Floresta Raiz da floresta contoso.msft. Usando a referncia do Controlador de Domnio em nwtraders.msft, o computador entra em contato com o controlador de domnio na floresta contoso.msft para solicitar uma permisso de servio. O recurso no est situado no Domnio da Floresta Raiz da floresta contoso.msft e, por isso, o Controlador de Domnio entra em contato com seu Catlogo Global para pesquisar o SPN. O Catlogo Global busca o SPN e o envia ao Controlador de Domnio. O Controlador de Domnio envia a referncia seattle.contoso.msft ao computador do usurio. O computador do usurio entra em contato com o KDC no controlador de domnio em seattle.contoso.msft e negocia a permisso para acesso do usurio ao recurso no domnio seattle.contoso.msft. O computador envia a permisso de servio do servidor ao computador onde est o recurso compartilhado e onde so lidas as credenciais de segurana do usurio e criado o token de acesso que permite o acesso do usurio ao recurso.
2.
3. 4. 5. 6. 7. 8. 9.
Nota: Lembre-se de que para poder utilizar esse novo recurso, preciso ter as duas florestas no nvel funcional do Windows Server 2003. As relaes de confianas entre florestas no Windows Server 2003 lhe permitem validar os usurios usando o Kerberos v5, utilizando a segurana prpria do protocolo. Tambm permitido que as confianas transitem entre duas florestas, e no em mltiplas florestas. Por exemplo: A floresta A estabeleceu uma confiana com a floresta B, e todos os domnios nas duas florestas podem utilizar essa confiana. No entanto, se, por sua vez, a floresta B tem uma confiana na floresta C, no existe nenhum tipo de relao entre a floresta A e a floresta C. Para obter mais informaes sobre relaes de confiana: http://support.microsoft.com/default.aspx?scid=kb;en-us;325874 http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 24 |
Convergncia. Cada atualizao no Active Directory propagada a todos os Controladores de Domnio no site que contm a partio na qual a atualizao foi realizada. Essa propagao completa chamada de convergncia. Propagation dampening. O processo de evitar uma replicao desnecessria. Cada Controlador de Domnio atribui a cada modificao de atributo ou objeto um Nmero de Seqncia de Atualizao (USN) para evitar a replicao desnecessria. Conflitos. Quando atualizaes simultneas originadas em dois mestres de replicaes diferentes so inconsistentes, podem ocorrer conflitos. O Active Directory resolve trs tipos de conflitos: atributo, contineres eliminados e conflitos de Nome Distinto Relativo (RDN). Carimbo global nico. O Active Directory mantm um carimbo que contm o nmero da verso, carimbo de hora, e identificador global exclusivo (GUID) de servidor que o Active Directory criado durante a atualizao originaria.
7.2.
7.3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 25 |
Quando voc adiciona Controles de Domnio a um site, o Active Diretory usa o Knowledge Consistency Checker (KCC) para estabelecer um caminho de replicao entre os Controladores de Domnio. O KCC um processo que funciona em cada Controlador de Domnio e gera a topologia da replicao para todas as parties do diretrio contidas nesse Controlador de Domnio. O KCC executado em intervalos especficos, a cada 15 minutos por padro, e define os caminhos de replicao entre Controladores de Domnio nas conexes mais favorveis disponveis no momento. Este processo foi melhorado com relao ao processo do Windows 2000, fazendo com que essa nova caracterstica elimine a limitao existente de um mximo de 500 sites no Active Directory. Atualmente j foram testados at 3000 sites e o suporte mximo de 5000 sites. Nota: Para aproveitar essa caracterstica, voc deve ter a floresta no nvel funcional do Windows Server 2003 ou do Windows Server 2003 Interim.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 26 |
Voc utiliza sites para controlar o trfego de replicaes, o trfego de logins e as consultas do cliente ao Servidor de Catlogo Global.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Para criar um objeto de sub-rede, voc deve seguir os passos abaixo: 1. Em Sites e Servios do Active Directory, no console, clique duas vezes em Sites, clique com o boto direito em Sub-redes e depois clique em Nova Sub-rede. 2. Na caixa Endereo, insira o endereo IP da sub-rede. 3. Na caixa Mscara, insira a mscara de sub-rede que descreve o intervalo de endereos da sub-rede. 4. Selecione o site para associar sub-rede e depois clique em OK.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Fazer o backup do Active Directory essencial para manter o banco de dados do Active Directory. Voc pode fazer o backup do Active Directory usando uma interface de usurio grfica (GUI) e ferramentas de linha de comando fornecidas pelo Windows Server 2003. Voc deve com freqncia fazer backup dos dados do Estado do Sistema nos Controladores de Domnio para que seja possvel restaurar os dados mais atuais. Estabelecendo um cronograma regular de backup, voc tem mais chances de recuperao de dados quando necessrio. Os Dados de Estado do Sistema no Controlador de Domnio incluem os seguintes componentes: Active Directory Os Dados do Estado do Sistema no contm o Active Directory, a menos que o servidor no qual voc est fazendo backup dos Dados de Estado do Sistema seja um Controlador de Domnio. O Active Directory s est presente nos Controladores de Domnio. A pasta compartilhada SYSVOL. Esta pasta compartilhada contm arquivos de Diretivas de Grupo e scripts de login. A pasta compartilhada SYSVOL est presente somente em controladores de domnio. O registro. Este repositrio de banco de dados contm as informaes sobre a configurao dos computadores. Arquivos de inicializao do sistema. O Windows Server 2003 exige esses arquivos durante sua fase de inicializao. Eles incluem os arquivos do sistema e inicializaes que esto protegidos pela proteo do arquivo do Windows. O banco de dados COM+ Registro de Classe. O banco de dados do Registro de Classe contm informaes sobre aplicativos de Servios de Componente. O banco de dados dos Servios de Certificado. Este banco de dados contm os certificados do servidor que o
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 29 |
Windows Server 2003 utiliza para autenticar usurios. Esse banco s est presente se o servidor estiver funcionando como servidor de certificados. Para realizar a operao de backup, voc pode utilizar a ferramenta prevista pelo Windows Server 2003: 1. 2. 3. 4. 5. 6. 7. 8. Clique em Backup no menu Iniciar, Todos os Programas, Acessrios, Ferramentas do Sistema. Clique em Avanar na pgina Bem-vindo ao Assistente de Backup ou Restaurao. Na pgina Faa backup ou restaure, clique em Fazer backup de arquivos e confguraes e depois clique em Avanar. Na pgina Backup, clique em Eu escolherei os itens para backup e depois clique em Avanar. Na pgina Itens para backup, expanda Meu computador, selecione Estado do Sistema, e depois clique em Avanar. Na pgina Tipo, destino e nome do backup, clique em Procurar, selecione um local para backup, clique em Salvar e depois clique em Avanar. Na pgina Concluindo o Assistente para backup ou restaurao, clique em Concluir. Aps o backup ser realizado, na pgina Progresso do Backup clique em Fechar.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 30 |
Voc pode utilizar um dos trs mtodos para restaurar o Active Directory de meios de backup: restaurao primria, restaurao normal (sem autoridade) e restaurao com autoridade. 1. Restaurao primria. Este mtodo reconstri o primeiro controlador de domnio no domnio quando no h outra maneira de reconstruir o domnio. Faa uma restaurao primria somente quando todos os controladores de domnio em um domnio estiverem perdidos e voc quiser reconstruir o domnio usando o backup. Restaurao Normal. Este mtodo reinstala os dados do Active Directory no estado antes do backup e atualiza os dados com o processo normal de replicao. Realize uma restaurao normal quando quiser restaurar um nico controlador de domnio a um estado previamente conhecido. Restaurao com autoridade. Voc executa esse mtodo junto com uma restaurao normal. Uma restaurao com autoridade marca os dados especficos e evita que a replicao substitua esses dados. Os dados autorizados so replicados atravs do domnio.
2.
3.
Para realizar uma restaurao primria do Active Directory, siga os passos abaixo: 1. 2. 3. 4. 5. 6. 7. 8. 9. Reinicie seu controlador de domnio no Modo Restaurao do Servio de Diretrio. Inicie o utilitrio de Backup. Clique em Modo Avanado na pgina Bem-vindo ao Assistente para Backup ou Restaurao. Na pgina Bem-vindo ao modo avanado do utilitrio de backup, em Restaurar e gerenciar mdia, selecione o que deseja restaurar e depois clique em Iniciar Restaurao. Clique em Cuidado e depois em OK. Na caixa Confirmar Restaurao, clique em Avanado. Na caixa Opes Avanadas de Restaurao clique em Ao restaurar dados replicados, marcar os conjuntos de dados como primrios para todas as replicaes e depois clique em OK duas vezes. Na caixa Progresso da Restaurao, clique em Fechar. Na caixa Utilitrio de Backup, clique em Sim.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 1 |
1. Introduo
Voc utiliza a Diretiva de Grupo no Active Directory para centralizar o controle de usurios e computadores em uma empresa. Configurando a Diretiva de Grupos, possvel centralizar polticas para toda uma organizao, domnio, sites ou unidades organizacionais e tambm descentralizar a configurao da Diretiva de Grupos, configurando-a para cada departamento no nvel da unidade organizacional. Voc pode se certificar de que os usurios dispem dos ambientes necessrios para realizar seus trabalhos e fazer cumprir as polticas das organizaes, incluindo normas, metas e requisitos de segurana da empresa. Alm disso, possvel baixar o Custo Total da Propriedade controlando ambientes de usurio e de computadores, de forma que a necessidade de ajuda tcnica e o prejuzo produtividade decorrentes de erros seja reduzido. Ao concluir este captulo, voc poder: Criar e configurar objetos de Diretivas de Grupos (GPOs). Configurar intervalos de atualizao da Diretiva de Grupos e configuraes da Diretiva de Grupos. Administrar GPOs.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 2 |
Para obter mais informaes sobre a Diretiva de Grupo: Microsoft IntelliMirror. Viso Geral de Configuraes de Diretiva de Grupo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 3 |
As Configuraes de Diretiva de Grupo, que modificam o ambiente conforme requisitos particulares da rea de trabalho e para todos os usurios de um computador ou que aplicam as diretivas de segurana nos computadores de uma rede, podem ser encontradas em Configurao do Computador no editor de Objeto de Diretivas de Grupo. Em Configurao do Computador, tambm possvel encontrar: A pasta Configuraes de Software: contm configuraes de software aplicadas a todos os usurios que iniciam a sesso no computador. Essa pasta possui configurao de instalao do software e pode conter outras configuraes inseridas pelo ISVs. A pasta Configuraes do Windows: contm as configuraes do Windows aplicadas a todos os usurios que iniciam a sesso no computador. Esta pasta tambm contm os seguintes pontos: Configuraes de Segurana e Scripts.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 4 |
Configuraes de Segurana est disponvel na pasta Configuraes do Windows localizada em Configurao do Computador e Configurao do usurio no editor de Objeto de Diretiva de Grupo. As Configuraes de Segurana ou as Diretivas de Segurana so regras que voc configura em um ou vrios computadores para proteger recursos em um computador ou em uma rede. Com Configuraes de Segurana voc pode especificar Diretivas de Segurana de uma unidade organizacional, domnio ou site. Para mais informaes sobre o extensor de Diretiva de Grupo, veja os mtodos Avanados estendendo Diretiva de Grupo em: http://www.microsoft.com/technet/treeview/default.asp?url= /technet/prodtechnol/windowsserver2003/proddocs/server/sag_SPconcepts_30.asp
Para evitar que os usurios desativem o servidor usando Configurao de Diretiva Local, preciso: 1. 2. 3. 4. 5. Expandir, no CustomMMC, o snap-in Diretiva de Segurana Local. Expandir, no console, Configurao do usurio. Expandir Modelos Administrativos e depois clicar no menu Iniciar e em Barra de Tarefas. Clicar duas vezes em Remover e prevenir acesso ao comando Desligar, no painel de detalhes Clicar em Habilitar na caixa Remover e prevenir acesso s propriedades do comando e depois clicar em OK. Fechar e salvar todos os programas e fazer logoff.
Para testar a diretiva, preciso: 1. 2. 3. Iniciar a sesso como User com uma senha. Clicar em Iniciar e verificar se o boto Desligar foi removido do menu Iniciar. Fechar e salvar todos os programas e fazer logoff.
Group Policy Management Console O Console de Gerenciamento de Diretiva de Grupo um sistema de interfaces programveis para o controle de Diretiva de Grupo, assim como os snap-ins MMC, que so criados nessas interfaces programveis tambm. Os componentes de Gerenciamento de Diretiva de Grupo, por sua vez, consolidam a administrao da Diretiva de Grupo em toda a empresa.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 5 |
O Group Policy Management Console combina a funcionalidade de mltiplos componentes em uma nica interface de usurio (UI). A UI estruturada conforme o modo como a Diretiva de Grupo utilizada e controlada. Ela tambm incorpora a funcionalidade relacionada com a Diretiva de Grupo das ferramentas seguintes em um nico snap-in MMC: Usurios e Computadores do Active Directory Sites e Servios do Active Directory Conjunto de Diretivas Resultantes (RSoP) O Gerenciamento de Diretivas de Grupos tambm proporciona os seguintes recursos ampliados que no estavam disponveis em ferramentas anteriores de Diretiva de Grupos. Com o Gerenciamento de Diretiva de Grupos, voc pode: Fazer backup e restaurao de GPOs. Copiar e importar GPOs. Usar filtros de Windows Management Instrumentation (WMI). Gerar relatrios de GPO e RSoP. Pesquisar para GPOs. Group Policy Management vs. ferramentas padro de Diretiva de Grupos Antes do Group Policy Management, voc administrava a Diretiva de Grupo usando diversas ferramentas do Windows, incluindo Usurios e Computadores do Active Directory, Sites e Servios do Active Directory e RSoP. Mas agora o Gerenciamento de Diretiva de Grupo consolida a administrao de todas as tarefas baseadas em Diretiva de Grupo em uma nica ferramenta. Graas a essa administrao consolidada, a funcionalidade de Diretiva de Grupo no exigida em outras ferramentas. Depois de instalar o Group Policy Management, voc ainda utiliza cada uma das ferramentas do Active Directory para seus objetivos especficos de administrao de diretrios, por exemplo, criar um usurio, computador e grupo. No entanto, voc pode utilizar o Gerenciamento de Diretivas de Grupo para realizar todas as tarefas relacionadas a Diretivas de Grupo. A funcionalidade de Diretiva de Grupo no estar mais disponvel nas ferramentas do Active Directory quando o Group Policy Management for instalado. O Group Policy Management no substitui o editor do Objeto de Diretiva de Grupo. No entanto, voc deve editar os GPOs, usando o editor de Objeto de Diretiva de Grupos. O Group Policy Management integra a funcionalidade de edio proporcionando acesso direto ao editor de Objeto de Diretiva de Grupo. Nota: O Console do Group Policy Management no fornecido com o Server 2003. Voc deve fazer o download a partir de: http://www.microsoft.com/downloads/details.aspx?FamilyId=F39E9D60-7E41-4947-82F53330F37ADFEB&displaylang=en
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Todo os GPOs so armazenados em um continer do Active Directory chamado Objetos de Diretiva de Grupo. Quando um GPO utilizado por um site, domnio ou unidade organizacional, o GPO vinculado ao continer de Objetos de Diretiva de Grupos. Conseqentemente, voc pode centralizar a administrao e a implementao de GPOs em muitos domnios ou unidades organizacionais. Quando cria um link de GPO em um site, domnio ou unidade organizacional, voc pode realizar duas operaes diferentes: criar o novo GPO e vincul-lo ao site, domnio ou unidade organizacional. Ao delegar permisses e vincular um GPO ao domnio, unidade organizacional ou ao site, voc poder modificar as permisses para o domnio, a unidade organizacional ou o site que deseja delegar. Por padro, somente os membros dos grupos de Admins de Domnio e Admins da Empresa tm as permisses necessrias para vincular GPOs a domnios e unidades organizacionais. Somente os membros do grupo Admins da Empresa tm permisses para vincular GPOs a sites. Membros dos Proprietrios Criadores de Diretiva de Grupo podem criar GPOs, mas no podem vincul-los. Quando voc cria um GPO no continer de Objetos de Diretiva de Grupo, o GPO no aplicado a nenhum usurio ou computador at que o link de GPO seja criado. Voc pode criar um GPO desvinculado usando o
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 7 |
Group Policy Management e tambm pode criar GPOs desvinculados em uma organizao de grande porte, onde um grupo cria GPOs e outro cria links de GPOs para site, domnio ou unidade organizacional.
Voc tambm pode ter mltiplos GPOs vinculados aos mesmos contineres. Por exemplo, possvel ter trs GPOs vinculados a um nico domnio. A ordem em que so aplicados os GPOs pode afetar o resultado da
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 8 |
configurao da Diretiva de Grupo. Tambm h uma ordem ou prioridade de Diretiva de Grupos e de GPOs para cada continer.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 9 |
Ao usar Bloquear herana de diretiva, ele dever considerar o seguinte: No possvel escolher seletivamente o que os GPOs bloqueiam. Bloquear herana de diretiva afeta todos os GPOs de todos os contineres pai, exceto os GPOs configurados com a opo No Substituir, sem GPMC instalada e Forado com GPMC instalada. Bloquear herana de diretiva no bloqueia a herana de um GPO vinculado a um continer pai se o vnculo for configurado com a opo No Substituir.
Importante: Antes de instalar o Group Policy Management Console, a opo Forado (Enforced) chamada No Substituir em Usurios e Computadores do Active Directory. Para configurar a aplicao de link de GPO, preciso: 1. No Group Policy Management Console, expanda a floresta contendo o link no qual voc deseja configurar a aplicao. Depois siga um dos passos abaixo: Para configurar a aplicao do link de GPO a um domnio, expanda Domnios e o domnio que contm o link de GPO. Para configurar a aplicao do link de GPO a uma unidade organizacional, expanda Domnios e o domnio que contm a unidade organizacional. Depois de expandir a unidade organizacional que pode incluir unidade organizacional pai ou filha e que contenha o link de GPO. Para configurar a aplicao do link de GPO a um site, expanda Sites e depois o site que contm o link de GPO. 2. Clique com o boto direito do mouse no link de GPO e depois clique em Forado para ativar ou desativar a aplicao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 10 |
Por padro, todas as Configuraes de Diretiva de Grupos contidas nos GPOs afetam o continer e so aplicadas a usurios e computadores desse continer, o que no produz os resultados que voc deseja. Usando o recurso de filtro, possvel determinar se as configuraes se aplicam aos usurios e aos computadores no continer especfico. Voc pode filtrar a implementao do GPO definindo permisses no link de GPO para determinar o acesso de leitura ou negar a permisso no GPO. Para que as Configuraes de Diretiva de Grupo sejam aplicadas a uma conta de usurio ou de computador, a conta deve ter, pelo menos, permisso de leitura para um GPO. Por padro, as permisses para um novo GPO tm as seguintes Access Control Entries (ACEs): Usurios Autenticados. Permitir leitura e aplicar Diretiva de Grupo Admins de Domnio, Adminis da Empresa e SYSTEM. Permitir leitura, Permitir gravao, Permitir criar todos os objetos filhos, Permitir excluir todos os objetos filhos Voc pode utilizar os seguintes mtodos de filtro: Negar explicitamente Este mtodo utilizado para negar o acesso diretiva de grupo Por exemplo, voc poderia negar explicitamente a permisso ao grupo de segurana dos administradores, que avisaria os administradores da unidade organizacional sobre a recepo de Configuraes de GPO. Remover usurios autenticados Voc pode remover os administradores da unidade organizacional do grupo de segurana, o que significa que no h nenhuma permisso explcita para o GPO. Para mais informaes sobre a Diretiva de Grupo: http://support.microsoft.com/default.aspx?scid=kb;en-us;324753 http://microsoft.com/downloads/details.aspx? FamilyId=D26E88BC-D445-4E8F-AA4E-B9C27061F7CA&displaylang=en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/management/gp/default.asp
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 11 |
A administrao do ambiente de usurio significa controlar o que eles podem fazer quando iniciam a sesso na rede. Isso feito atravs da Diretiva de Grupo, controlando os computadores do escritrio, as conexes de rede e as interfaces de usurio. Voc controla os ambientes de usurio para garantir que eles tenham apenas o acesso necessrio para realizarem seus trabalhos. Dessa forma, eles no podem corromper ou configurar incorretamente seus ambientes. Quando voc configura ou controla ambientes de usurio de forma centralizada, possvel realizar as seguintes tarefas: Controlar os usurios e os computadores: Isso possvel controlando-se a configurao da rea de trabalho do usurio com diretivas baseadas no registro. Dessa forma, voc garante que os usurios tenham os mesmos ambientes, mesmo quando iniciam a sesso em computadores diferentes. Assim, voc pode controlar como o Microsoft Windows Server 2003 administra seus perfis de usurio, que especificam a forma como os dados pessoais de um usurio esto disponveis. Redirecionando pastas de usurio dos discos rgidos locais do usurio para um local central de um servidor, voc pode garantir que os dados dos usurios estejam disponveis para eles, independente do computador onde a sesso foi iniciada. Implementar software. O software instalado nos computadores ou nos usurios com servio de diretrio Active Directory. Com a instalao do software, voc pode garantir que os usurios tenham seus programas, service packs e hotfixes exibidos.
Se voc desativar uma configurao de diretiva, estar desativando a ao da configurao de diretiva. Por exemplo, os usurios, por padro, podem ter acesso ao Painel de Controle. Para eles, voc no precisa desativar a configurao de diretiva Restringir acesso ao Painel de Controle, a menos que tenha previamente aplicado uma configurao de diretiva ativando-a. Nessa situao, voc ter que definir outra configurao de diretiva para desativar a que foi aplicada previamente. Isso til quando configuraes de diretiva so herdadas e no se deseja usar filtros para aplicar configuraes de diretiva a grupos especficos. Voc pode aplicar um GPO que permita uma configurao de diretiva na unidade organizacional pai e outra definio de diretiva que desative o GPO na unidade organizacional filha. Quando voc aceita uma definio de diretiva, est consentindo a ao dessa configurao de diretiva. Por exemplo, para negar a algum acesso ao Painel de Controle, voc pode permitir a configurao de diretiva Restringir acesso ao Painel de Controle. Um GPO executa valores que modificam o registro dos usurios e dos computadores que esto em conformidade com o GPO. Por padro, a configurao de uma diretiva No Configurado. Se quiser
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 12 |
redefinir uma configurao de diretiva de um computador ou um usurio para o valor predefinido ou para a diretiva local, voc dever selecionar a opo No Configurado. Por exemplo, voc pode permitir uma configurao de diretiva para alguns clientes e, ao usar a opo No Configurado, a diretiva inverter a diretiva padro ou a definio de diretiva local. Alguns GPOs exigem que sejam fornecidas determinadas informaes adicionais depois de permitir o objeto. Algumas vezes, pode ser necessrio selecionar um grupo ou um computador se a configurao de diretiva precisar voltar a fornecer ao usurio uma determinada informao. Outras vezes, para permitir configuraes proxy, voc dever fornecer o nome ou o endereo IP do servidor proxy e o nmero da porta. Se a configurao de diretiva tiver mltiplos valores e as configuraes estiverem em conflito com outra configurao de diretiva, as configuraes com mltiplos valores em conflito so substitudas pela ltima configurao de diretiva aplicada.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 13 |
Para implementar o script, voc utiliza a Diretiva de Grupo e o adiciona configurao apropriada em um modelo de Diretiva de Grupos. Isso indica que o script pode ser executado na inicializao, desligamento, logon ou logoff. Para adicionar um script ao GPO, preciso: 1. 2. 3. 4. 5. No Group Policy Management Console, edite o GPO. No editor de Objeto de Diretiva de Grupo do console, procure User Configuration/Windows Settings/Scripts (Logon/Logoff). No painel de detalhes, clique duas vezes em Logon. Na caixa Logon Properties, clique em Add. Na caixa Add a Script, defina todas as configuraes seguintes que quiser utilizar. Depois, clique em OK. Script Name. Insira o caminho do script ou clique em Browse para localizar o arquivo de script na pasta compartilhada Netlogon do Controlador de Domnio. Script Parameters. Insira os parmetros que quiser utilizar, da mesma forma que os inseriria na linha de comando. Na caixa Logon Properties, defina todas as configuraes a seguir que voc queira utilizar. Logon Scripts for. Esta lista enumera todos os scripts que esto atribudos atualmente ao GPO selecionado. Se forem atribudos mltiplos scripts, eles sero processados na ordem especificada. Para mover o script na lista, clique no script e depois em Up ou Down.
6.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 15 |
As opes avanadas para Redirecionamento de Pasta so as seguintes: Selecionar um grupo. Especifique aqui para quem aplicar o redirecionamento. Caminho. Aqui possvel escolher uma das opes a seguir: Criar uma pasta para cada usurio no caminho raiz. Utilize para dados confidenciais. Redirecionar para o seguinte local. Utilize para dados compartilhados. Redirecionar para o seguinte local. Para usurios que utilizam uma combinao de computadores clientes que no so parte do Active Directory por um lado e por outro sim. Caminho. Nessa caixa, especifique o servidor e o nome da pasta compartilhada para a qual deseja redirecionar.
5. 6. 7.
Gpupdate uma ferramenta de linha de comando que atualiza as configuraes de Diretiva de Grupo locais e configuraes de Diretiva de Grupo armazenadas no Active Directory, incluindo as configuraes de segurana. Por padro, as configuraes de segurana so atualizadas a cada 90 minutos em uma estao de trabalho ou um servidor, e a cada 5 minutos em um Controlador de Domnio. Voc pode executar gpupdate para testar uma configurao de Diretiva de Grupo ou aplic-la diretamente.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 16 |
Os exemplos a seguir demonstram como voc pode utilizar o comando gpupdate: C:\gpupdate C:\gpupdate /target:computer C:\gpupdate /force /wait:100 C:\gpupdate /boot Gpupdate tem os parmetros a seguir. /Target:{Computador | Usurio} Especifica a atualizao somente de usurios ou computadores para suas configuraes de diretiva. Por padro, a diretiva de usurio e computador atualizada. /Force Replica todas as configuraes de diretiva. Por padro, somente as configuraes de diretiva que foram modificadas so replicadas. /Wait:{Valor} Defina o nmero de segundos a aguardar o processamento da diretiva. O padro 600 segundos. O valor ' 0 ' indica que no h espera. O valor ' -1 ' indica uma espera indefinidamente. /Logoff Faz logoff depois de atualizar a configurao de definies de Diretiva de Grupos. /Boot Faz com que o computador seja reiniciado depois da atualizao das configuraes de Diretiva do Grupo. /Sync Faz como que a prxima configurao de definio de diretiva seja aplicada de forma sncrona.
Como voc pode aplicar nveis sobrepostos das configuraes de diretivas a qualquer computador ou usurio, a Diretiva de Grupo gera um relatrio da aplicao das diretivas no logon. Gpresult exibe o relatrio da aplicao da diretiva no computador para o usurio especificado no logon. O comando gpresult exibe as configuraes de Diretiva de Grupo e o Conjunto de Diretivas Resultante (RSoP) para um usurio ou um computador. Voc pode utilizar gpresult para verificar se as configuraes de GPO esto em vigor e localizar problemas no aplicativo. Os exemplos a seguir demonstram como voc pode utilizar o comando gpresult: C:\gpresult C:\gpresult C:\gpresult C:\gpresult /user targetusername /scope computer /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /scope USER /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /z >policy.txt /s srvmain /u maindom/hiropln /p p@ssW23
Gpresult tem os seguintes parmetros. /s Computador Especifica o nome ou o endereo IP de um computador remoto. Por padro, o computador local. /u Domnio/Usurio O comando funciona com as permisses da conta de usurio especficas de Usurio ou Domnio/Usurio. O padro utilizar as permisses de usurio que foram autenticadas no computador e que executam o comando. /p Senha Especifica a senha da conta de usurio que especificada no parmetro /u.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 17 |
/usurio TargetUserName Especifica o nome de usurio de quem so exibidos os dados RSoP. /scope {usurio|computador} Exibe as configuraes de diretiva de usurio ou computador. Os valores vlidos para o parmetro /scope so usurio ou computador. Se no for includo o parmetro /scope, o gpresult exibe usurio e computador. /v Especifica que a sada exibir informaes detalhadas da diretiva. /v Especifica que a sada exibir todas as informaes disponveis sobre a Diretiva de Grupo. Como esse parmetro gera mais informaes que o parmetro /v, preciso redirecionar a sada para um arquivo de texto quando esse parmetro utilizado (por exemplo, s pode ser gravado em gpresult /z >policy.txt). /? Exibe a ajuda na janela de comandos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
No Windows Server 2003, voc pode utilizar a Diretiva de Grupo para controlar o processo de instalao do software centralizado a partir de uma localizao. Alm disso, as configuraes de Diretiva de Grupo podem ser aplicadas aos usurios ou computadores em um site, domnio ou unidade organizacional para instalar, atualizar ou remover automaticamente o software. Aplicando as configuraes de Diretiva de Grupo no software, voc pode controlar vrias fases de instalao do software sem instalar software em cada computador individualmente. A lista a seguir descreve cada fase da instalao do software e o seu processo de manuteno: 1. Preparao. Primeiro, preciso instalar o software usando a estrutura atual do Objeto de Diretiva de Grupo (GPO), e tambm identificar os riscos de usar a infra-estrutura atual para instalar o software. Para preparar arquivos que permitam que um programa seja instalado com a Diretiva de Grupo, voc deve copiar os arquivos do pacote do Windows Installer em um programa de um ponto de distribuio de software, que pode ser uma pasta compartilhada em um servidor. Da mesma forma, possvel adquirir o arquivo do pacote do Windows Installer do fornecedor do programa ou criar o pacote de arquivo usando um utilitrio de terceiros. 2. Implementao. Nesse caso, preciso criar um GPO que instale o software em um computador e vincul-lo a um continer apropriado do Active Directory. O software estar instalado quando o computador for ligado ou quando o usurio iniciar o programa. 3. Manuteno O software atualizado com uma nova verso ou reinstalando o software com um service pack ou uma atualizao de software. Dessa forma, o software ser automaticamente atualizado ou reinstalado quando o computador for ligado ou quando o usurio iniciar o programa.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 19 |
4. Remoo. Para eliminar programas de software que no sejam necessrios, preciso remover a configurao de pacote de software do GPO que instalou o software originalmente. O software ser automaticamente removido quando o computador for ligado ou quando um usurio iniciar a sesso.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Quando voc instala o software, est especificando como os aplicativos so instalados e mantidos na sua organizao. Para instalar um novo software, utilizando a Diretiva de Grupo, preciso: 1. Criar um ponto de distribuio de software. Esta pasta compartilhada no seu servidor contm o pacote e os arquivos do software para instal-la. Quando o software instalado em um computador local, o Windows Installer copia arquivos no computador. 2. Utilizar o GPO para instalar software. Voc deve criar ou realizar as modificaes necessrias no GPO para o continer onde preciso instalar o aplicativo. Ao mesmo tempo, preciso configurar o GPO para instalar software para a conta de usurio ou de computador. Esta tarefa tambm inclui selecionar o tipo de instalao necessrio. 3. Modificar os recursos da instalao do software. Dependendo das suas necessidades, voc pode modificar as caractersticas que foram definidas durante a instalao inicial do software.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 21 |
Os dois tipos de instalao so: atribuir e publicar software Usando a atribuio de software, voc garante que o software esteja sempre disponvel para o usurio. Quando ele inicia a sesso, os atalhos do menu Iniciar e os cones da rea de trabalho do aplicativo so exibidos. Por exemplo, se o usurio abrir um arquivo que utilize o Microsoft Excel em um computador que no tenha Excel, mas o Excel tiver sido atribudo ao usurio, o Windows Installer instala o Excel no computador quando abre o arquivo. Alm disso, a atribuio de software o torna flexvel. Se, por qualquer motivo, o usurio remover o software, ele ser reinstalado pelo Windows Installer na prxima vez em que o usurio iniciar a sesso e iniciar o aplicativo. Usando a publicao de software, voc garante que o software esteja disponvel para que os usurios o instalem em seus computadores. O Windows Installer no adiciona atalhos na rea de trabalho do usurio ou no menu Iniciar e no insere entradas no registro local. Como os usurios precisam instalar o software publicado, voc pode publicar software somente para os usurios e no para os computadores. Voc pode atribuir e publicar software usando um dos mtodos da tabela a seguir: Mtodo de instalao
Mtodo 1 Configurando o usurio. Quando um software atribudo a um usurio, ele exibido na sua rea de trabalho sempre que ele inicia uma sesso. A instalao no ter incio at que o usurio clique duas vezes no incio do aplicativo ou em um arquivo associado ao aplicativo. Esse um mtodo chamado de ativao por documento. Se o usurio no ativar o aplicativo, o software no instalado. Dessa forma, economiza-se espao no disco rgido e tempo.
Mtodo 2 Configurando o computador. Quando voc atribui software a um computador, no exibido nenhum aviso. No entanto, o software instalado automaticamente quando o computador ligado. Atribuindo software a um computador, voc garante que determinados aplicativos estejam sempre disponveis nesse computador, independente de quem o utiliza. Voc no pode atribuir software a um computador que seja controlador de domnio.
Atribuio
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 22 |
Usando Adicionar ou Remover Programas. Um usurio pode abrir o Painel de Controle e clicar duas vezes em Adicionar ou Remover Programas para exibir os aplicativos disponveis. O usurio pode selecionar um aplicativo e depois clicar em Adicionar. Usando a ativao por documentos. Se voc publicar um aplicativo no Active Directory, as extenses de nome de arquivo dos documentos suportados pelo aplicativo sero associadas no diretrio.
Publicao
3. 4.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 23 |
1. 2. Na Instalao do Software, clique com o boto direito do mouse no pacote instalado e depois clique em Propriedades. Na caixa Propriedades da guia Implantao, modifique as seguintes opes:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
As modificaes so associadas a um pacote do Windows Installer na instalao anterior que utilize esse pacote do Windows Installer para instalar ou modificar o aplicativo. Instalar vrias configuraes de um aplicativo permite que vrios grupos da sua organizao utilizem um pacote de software de vrias formas diferentes. Voc pode utilizar modificaes de software ou arquivos .mst (tambm chamado de arquivos de transformao) para instalar vrias configuraes de um aplicativo. Um arquivo .mst um pacote de software personalizado que modifica como o Windows Installer instala o pacote .msi associado. O Windows Installer aplica modificaes nos pacotes conforme as suas especificaes. Para salvar modificaes em um arquivo .mst, preciso executar o assistente de instalao personalizada e escolher o arquivo .msi no qual basear a transformao. Voc dever determinar em que ordem aplicar as transformaes aos arquivos antes de atribuir ou publicar o aplicativo. Exemplo: Uma empresa de grande porte, por exemplo, pode querer instalar o Microsoft Office XP, mas as necessidades do Office de cada departamento variam significativamente na organizao. Em vez de configurar manualmente cada um dos departamentos, voc pode utilizar GPOs e arquivos .mst diferentes combinados com os arquivos .msi padro, para que cada departamento instale vrias configuraes do Office XP. Nesse exemplo, voc pode executar o assistente de instalaes personalizadas do Office XP do Office Resource Kit para criar o arquivo de transformao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
As tarefas em uma organizao so dinmicas e variadas. Voc pode utilizar a Diretiva de Grupo para instalar e administrar atualizaes de software que atendam s necessidades de cada departamento na sua organizao. As atualizaes normalmente envolvem mudanas importantes no software e tm novos nmeros de verso. Em geral, um nmero substancial de arquivos modificado em uma atualizao. Vrios acontecimentos no ciclo de vida do aplicativo podem desencadear a necessidade de uma atualizao, incluindo o seguinte: Uma nova verso do software lanada e contm recursos novos e aprimorados. Patches de segurana ou aprimoramentos de funes foram implementados no software desde o ltimo lanamento. A organizao decide utilizar um software de diversos fornecedores Existem trs tipos de atualizaes: Atualizaes obrigatrias. Essas atualizaes substituem automaticamente uma verso antiga do software pela nova verso. Por exemplo, se os usurios utilizam atualmente a verso do programa 1.0, eles removem essa verso e a verso do programa 2.0 instalada na prxima vez em que o computador ligado ou o usurio inicia a sesso. Atualizaes opcionais. Essas atualizaes permitem que os usurios decidam quando atualizar para a nova verso. Por exemplo, os usurios podem determinar se desejam atualizar para a verso 2.0 do software ou continuar usando a verso 1.0. Atualizaes seletivas. Se alguns usurios precisarem de uma atualizao e outros no, voc pode criar mltiplos GPOs para que sejam aplicados aos usurios que exigem a atualizao e criar pacotes de software apropriados a eles.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
4. 5.
Reimplantao a aplicao de service packs e atualizaes de software ao software instalado. Voc pode instalar um pacote instalado forando a reinstalao do software. A reinstalao pode ser necessria se o pacote de software instalado previamente tiver sido atualizado, mas continuar na mesma verso, ou se houver algum problema de interoperabilidade ou vrus que a reinstalao do software possa corrigir. Quando voc marca um pacote de arquivos para reinstalao, o software anunciado em todos os que tm acesso ao aplicativo, seja atravs de atribuio ou publicao. Sendo assim, dependendo de como o pacote original tenha sido instalado, um desses 3 cenrios ocorrer:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 27 |
Quando voc atribui software a um usurio, o menu Iniciar, os atalhos da rea de trabalho e a configurao de registro sero relevantes ao software e atualizados na prxima vez em que o usurio iniciar a sesso. Na prxima vez em que o usurio iniciar o software, o service pack ou a atualizao de software sero aplicados automaticamente. Quando voc atribui o software a um computador, o service pack ou a atualizao de software aplicado automaticamente na prxima vez em que o computador ligado. Quando voc publica e instala o software, o menu Iniciar, os atalhos da rea de trabalho e a configurao de registro refletiro o software e sero atualizados da prxima vez em que o usurio iniciar a sesso. Na prxima vez em que o usurio iniciar o software, o service pack ou a atualizao de software sero aplicados automaticamente.
Pode ser preciso remover o software se uma verso no for mais suportada ou se os usurios no precisarem mais dele. Voc pode forar a remoo do software ou dar aos usurios a opo de continuar usando o software antigo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 28 |
Existem dois mtodos de remoo: Remoo forada. Voc pode forar a remoo do software, o que remover o software automaticamente do computador na prxima vez em que ele for ligado ou na prxima vez que um usurio iniciar a sesso, em caso de uma configurao de Diretiva de Grupo do usurio. O software ser removido antes de aparecer na rea de trabalho do usurio. Remoo opcional Voc pode remover o software da instalao do mesmo sem forar a retirada fsica do software. O software no realmente removido dos computadores. O software no aparece mais em Adicionar ou Remover Programas, mas os usurios podem utiliz-lo. Se os usurios removerem manualmente o software, ele no poder ser reinstalado.
Desinstalar imediatamente o software dos usurios e computadores Permitir que os usurios continuem a usar o software, mas impedir novas instalaes Nota: Voc deve garantir que os usurios reiniciem seus computadores se a modificao afetar o computador ou iniciem a sesso novamente se a modificao afetar o usurio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Juntamente com o Microsoft Windows Server. 2003, a Microsoft est lanando uma nova ferramenta Group Policy Management, que unifica a administrao da Diretiva de Grupo. O Microsoft Group Policy Management Console (GPMC) proporciona uma nica soluo para controlar todas as reas relacionadas Diretiva de Grupo. Consiste em um novo snap-in do Microsoft Management Console (MMC) e um sistema de interfaces de scripts para a administrao de Diretiva de Grupo. A GPMC ajuda a gerenciar com mais eficcia uma empresa.
O Group Policy Management Console (GPMC) uma ferramenta nova para controlar a Diretiva de Grupo no Windows Server 2003. O GPMC: Permite que voc controle a Diretiva de Grupo para diferentes florestas, domnios e unidades organizacionais a partir de uma interface constante. Exibe os links, herana e delegao da Diretiva de Grupo Mostra os contineres aos quais a diretiva se aplica Proporciona relatrios em HTML das configuraes. Proporciona ferramentas para mostrar o Conjunto de Diretivas Resultantes (RSoP) e experimenta combinaes propostas de diretivas. Nota: O GPMC no vem com o Windows Server 2003. Voc pode fazer o download de http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Aps a concluso da instalao, a guia Diretiva de Grupo que era exibida nas pginas de propriedades de sites, domnios e unidades organizacionais (OUs) nos snap-ins do Active Directory atualizada para proporcionar um acesso direto ao GPMC. A funcionalidade que existia previamente na guia original da Diretiva de Grupo no estar mais disponvel, toda a funcionalidade para controlar a Diretiva de Grupo estar disponvel atravs do GPMC. Para abrir o snap-in do GPMC diretamente, utilize alguns dos mtodos a seguir: Clique em Iniciar, clique em Executar, insira GPMC.msc e depois clique em OK. Clique no acesso Group Policy Management na pasta Ferramentas Administrativas do menu Iniciar ou no Painel de Controle. Crie um console personalizado MMC 1. 2. Clique em Iniciar, clique em Executar, insira MMC e depois clique em OK. No menu Arquivo, clique em Adicionar/remover snap-in, clique em Adicionar, selecione Group Policy Management, clique em Adicionar, em Fechar, e depois em OK.
Para reparar ou remover o GPMC, use Adicionar ou Remover Programas no Painel de Controle. Voc tambm pode executar o pacote gpmc.msi, selecionar a opo apropriada e clicar em Concluir.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Modelagem de Diretiva de Grupo O Windows Server 2003 traz um novo recurso de grande alcance: o Group Policy Management Ele permite que o usurio simule a aplicao de diretivas que seriam aplicadas aos usurios e aos computadores antes de aplic-las realmente. Esse recurso conhecido como Conjunto de Diretivas Resultante (RSoP). O modo de planejamento no Windows Server 2003 integra-se no GPMC como Modelagem de Diretiva de Grupo. Isto exige um controlador de domnio do Windows Server 2003 na floresta porque a simulao realizada por um servio que s est presente nos controladores de domnio do Windows Server 2003. Entretanto, usando esta caracterstica, voc pode simular o conjunto de diretivas resultantes para qualquer computador na floresta, incluindo aqueles que usam o Microsoft Windows 2000. Diretiva de Grupo Resultantes Este recurso permite que os administradores determinem o conjunto de polticas resultante que foi aplicado a um computador especfico e (opcionalmente) o usurio que iniciou a sesso nesse computador. Os dados que se apresentam so semelhantes aos dados de Modelagem de Poltica de Grupo. Entretanto, so diferentes uma Modelagem de Diretivas de Grupo, considerando que no so uma simulao. o resultado real do conjunto de diretivas resultante obtido do computador de destino. Tambm diferente da Modelagem de Diretiva de Grupo, os dados dos Resultados de Diretiva de Grupo so obtidos do cliente e no so simulados no controlador de domnio. O cliente precisa executar o Windows XP, o Windows Server 2003 ou posterior. No possvel obter Resultados de Diretiva de Grupo em um computador que execute o Windows 2000 ou verso anterior.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
2.
Especificar o nome DNS ou NetBIOS do domnio criado na floresta que no foi carregado no GPMC, e clicar em OK.
A floresta especificada aparecer como um n secundrio no console e ser carregada no console com o domnio que foi incorporado na caixa Add Forest. Para remover um n de floresta, basta clicar com o boto direito no n e selecionar Remove. Por padro, voc pode adicionar somente a floresta ao GPMC se houver uma confiana bidirecional com a floresta do usurio que executa o GPMC.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 33 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 34 |
Os relatrios de HTML tambm facilitam que o administrador tenha viso de todas as configuraes contidas em um GPO de uma visualizao. Selecionando a opo Show All acima do relatrio, ele completamente ampliado e mostra todas as configuraes. Para ver ou salvar um relatrio diretamente em um navegador da Web, voc deve utilizar o Internet Explorer 6 ou o Netscape 7. O Netscape 7 no aceita a funcionalidade que permite mostrar ou ocultar dados nos relatrios.
4.8.1. Backup
O Backup de GPO coloca uma cpia de todos os dados relevantes de GPO em uma localizao especificada do sistema de arquivos. Os dados relevantes incluem: O GUID de GPO e domnio. Configuraes de GPO. A Discretionary Access Control List (DACL) do GPO. O link de filtro do WMI. A operao de backup s faz backup de componentes do GPO que esto no Active Directory e na estrutura dos arquivos do GPO em SYSVOL. A operao no captura dados armazenados fora do GPO, por exemplo, filtros WMI e diretivas de Segurana IP. Esses so objetos separados com seus prprios sistemas de permisses e possvel que um administrador qualquer faa o backup ou a restaurao. Ele pode no ter as permisses exigidas nesses outros objetos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 35 |
Os administradores podem fazer backup de uma ou mais de GPOs usando os mtodos seguintes: Clique com o boto direito do mouse no GPO no n Group Policy objects e escolha Back up do menu de contexto. Clique com o boto direito do mouse em um ou mais GPOs na guia Contents do n Group Policy objects e escolha Back up do menu de contexto. Isso faz backup dos GPO(s) selecionados. No n Group Policy Objects, clique no boto direito do mouse e escolha a opo Back Up All Isso faz backup de todos os GPOs no domnio. Use os scripts de backup do GPO. Voc pode escrever seus prprios scripts ou utilizar a amostra de scripts includa com o GPMC na pasta GPMC\scripts . Existem dois scripts BackupGPO.wsf e BackupAllGPOs.wsf que so includos com o GPMC, que voc pode utilizar para fazer backup de GPOs.
4.8.2. Restaurao
A operao de Restaurao de GPO restaura o GPO a um estado anterior e pode ser utilizado nos casos seguintes: foi feito o backup no GPO, mas ele foi removido ou o GPO est ativo e voc quer voltar a um estado anterior. A operao de restaurao substitui os componentes seguintes de um GPO: Configuraes de GPO. ACLs no GPO. Os links de filtro de WMI.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 36 |
Voc pode realizar uma restaurao de GPOs usando qualquer dos mtodos a seguir: Para restaurar um GPO existente, clique com o boto direito do mouse no GPO no continer Group Policy objects e selecione Restore from Backup Ele abre Restore Group Policy Object Wizard. Use os scripts de restaurao do GPO. Voc pode gravar seus prprios scripts ou utilizar as amostras de scripts includas com o GPMC na pasta GPMC\scripts Existem dois scripts RestoreGPO.wsf e RestoreAllGPOs.wsf.
4.8.3. Importar
A operao de importao transfere a configurao em um GPO existente do Active Directory, usando um backup de GPO na localizao do sistema de arquivos como sua origem. As operaes de importao podem ser utilizadas para transferir configuraes atravs de GPOs dentro do mesmo domnio, atravs de domnios na mesma floresta ou em florestas separadas. As operaes de importao so ideais para imigrar a Diretiva de Grupo em ambientes de onde no h confiana. As operaes de importao podem ser realizadas usando qualquer dos mtodos a seguir: Clique com o boto direito do mouse no GPO no n Objetos de Diretiva de Grupo e clique em Import Settings. Isso inicia um assistente que o orientar no processo de selecionar o backup e especificar uma tabela de migrao se apropriado. Use qualquer dos scripts ImportGPO.wsf ou ImportAllGPOs.wsf includos no GPMC.
4.8.4. Copiar
1. Uma operao de cpia transfere configuraes usando um GPO existente no Active Directory como origem e cria um GPO novo como seu destino. Uma operao de cpia pode ser utilizada para transferir configuraes para um novo GPO qualquer no mesmo domnio, em outros domnios, na mesma floresta ou em florestas separadas. Considerando que uma operao de cpia utiliza um GPO existente no Active Diretory como origem, exigida confiana entre a origem e os domnios do destino.
2.
As operaes de cpia podem ser realizadas usando qualquer dos mtodos a seguir: Clique com o boto direito do mouse na origem de GPO, escolha a cpia e clique com o boto direito no continer Group Policy Objects do domnio desejado de destino. Escolha a opo Colar. Use Arrastar e soltar para arrastar o GPO da origem ao continer Group Policy Objects no destino de domnio. Use o script CopyGPO.wsf de linha de comando includo com o GPMC. Para obter mais informaes: http://www.microsoft.com/windowsserver2003/gpmc/default.mspx http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx http://www.microsoft.com/grouppolicy http://www.microsoft.com/technet/grouppolicy
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 1 |
O Terminal Server do Microsoft Windows Server 2003 permite diversificar o hardware do escritrio atravs da emulao de terminais.
Ele tambm oferece suporte a uma ampla gama de clientes e melhora os ambientes de computao ao: Tornar a famlia do Windows mais escalvel para empresas que queiram implementar a soluo thin client para oferecer Windows de 32 bits a uma grande variedade de dispositivos de hardware do legado. Combinar o baixo custo de um terminal com os benefcios de um ambiente gerenciado, baseado no Windows. Tambm oferece o mesmo ambiente de baixo custo e administrao central de um mainframe tradicional com terminais, mas acrescenta a familiaridade, a facilidade de uso e a variedade de suporte a aplicativos proporcionados por uma plataforma de sistema operacional do Windows. Ao concluir este captulo, voc poder: Implementar a rea de Trabalho Remota para administrao Instalar o Terminal Server Administrar um ambiente Terminal Server
1. Introduo
Os Terminal Services permitem o acesso de mltiplos usurios ao Windows Server 2003, permitindo que vrias pessoas iniciem sesses em um nico computador simultaneamente. Os administradores podem instalar aplicativos baseados no Windows do Terminal Server e coloc-los disposio de todos os clientes conectados com o servidor. Embora os usurios possam ter diversos hardware e sistemas operacionais, a sesso Terminal que aberta na rea de trabalho do cliente conserva o mesmo aspecto e funcionalidade para todos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O Terminal Server do Windows Server 2003 composto por quatro componentes: Terminal Server: Este ncleo de servidor multiusurio permite manter vrias sesses simultneas de clientes no Windows Server 2003 e em verses futuras do Windows Server. Tambm possvel ter de forma direta reas de trabalho de cliente multiusurios compatveis que executem diversos equipamentos de hardware baseados ou no no Windows. Os aplicativos padro baseados no Windows, se forem desenvolvidos adequadamente, no precisam de nenhuma modificao para executar no Terminal Server, e possvel utilizar todas as infra-estruturas de administrao e tecnologias padro baseadas no Windows Server 2003 para administrar as reas de trabalho do cliente. Remote Display Protocol (RDP): Este protocolo um componente chave do Terminal Server e permite que o cliente se comunique com o Terminal Server em uma rede. Baseia-se no protocolo T.120 da Unio Internacional de Telecomunicaes (UIT) e um protocolo de mltiplos canais que esto ajustados para ambientes corporativos de largura de banda elevada e que oferece suporte a trs nveis de criptografia. Cliente do Terminal Server: o software de cliente que apresenta uma interface familiar do Windows de 32 bits em uma grande variedade de hardware de rea de trabalho: Novos dispositivos Terminal baseados no Windows (em clusters). Computadores pessoais que executam o Windows 95, o Windows 98 e o Windows NT Workstation 3.51 ou 4.0, o Windows 2000 ou XP Professional. Computadores pessoais que executam o Windows for Workgroups 3.11. Ferramentas de administrao: Alm de todas as ferramentas de administrao familiares do Windows Server 2003, o Terminal Server acrescenta um administrador de licenas de Terminal Services, a configurao do Terminal Server (MMC) e ferramentas de administrao para Terminal Server e para sesses de clientes. Tambm disso, foram adicionados novos objetos ao monitor de desempenho de sesso e usurio, para permitir ajust-los ao servidor em um ambiente de mltiplos usurios.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Depois de instalar o software do cliente, os usurios acessam o Terminal Server abrindo o Cliente de Conexo de rea de Trabalho Remota do menu Todos os Programas/Acessrios/ Comunicaes. Quando um usurio conecta e inicia a sesso no Terminal Server, a rea de trabalho do Windows Server 2003 exibida na rea de trabalho do cliente. Quando um usurio inicia um programa, fcil perceber se o programa no estiver funcionando de forma local.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 4 |
Os recursos do Terminal Server proporcionam vrias vantagens que uma organizao pode utilizar como instalao, acesso e controle dos aplicativos de negcios. Instalao Centralizada As organizaes podem instalar aplicativos de negcios, considerando que o funcionamento dos programas ocorrer inteiramente no servidor. O Terminal Server tem o menor TCO para um nico dispositivo de aplicativo que funciona em uma linha de negcio, por exemplo, um sistema de reservas ou uma Central de Atendimento ao Cliente. Oferece tambm as seguintes vantagens: Menos hardware de alto custo. Funcionrios que realizem trabalhos que exigem acesso apenas a um programa da empresa e que possam usar terminais ou computadores menos caros. Acesso fcil a software novo ou atualizado. Quando o Terminal Server est ativado no Windows Server 2003, os administradores no precisam instalar os aplicativos em cada computador do escritrio. O aplicativo j est instalado no servidor e os clientes possuem acesso automtico verso nova ou atualizada do software. Acesso rea de trabalho do Windows Server 2003 O Terminal Server pode estender o Windows Server 2003 e os aplicativos baseados no Windows a vrios clientes. Ao mesmo tempo, tambm permite: Executar aplicativos do Windows: O Terminal Server pode disponibilizar aplicativos do Windows a uma ampla variedade de clientes. Esses aplicativos baseados no Windows podem funcionar em vrios sistemas, de sistema operacional ou hardware, com pouca ou nenhuma modificao. Ampliar o uso de um equipamento mais antigo A organizao pode implementar o Terminal Server como tecnologia transitria para criar uma ponte com os sistemas operacionais antigos, os ambientes da rea de trabalho do Windows Server 2003 e aplicativos de 32 bits baseados no Windows. Substituir terminais de texto Como muitos terminais do Windows podem oferecer suporte conexo por emulao de terminal no mesmo dispositivo, as organizaes podem substituir terminais de texto por terminais do Windows. Elas permitem que os usurios trabalhem com dados do sistema, tenham acesso ao software mais novo baseado no Windows como, por exemplo, o Microsoft Outlook. Segurana e confiabilidade aprimoradas Como nenhum programa ou dado de usurio reside no cliente, o Terminal Server pode proporcionar um ambiente mais seguro para dados confidenciais. Tambm oferece suporte criptografia em mltiplos nveis, considerando que sempre h risco de interceptao no-autorizada da transmisso na conexo entre o servidor e o cliente. Existem trs nveis de criptografia disponveis: baixo, mdio e alto. Todos esses nveis usam o Padro de Criptografia Rivest-Shamir-Adleman (RSA) RC4. Esse o padro de criptografia para os dados que so enviados atravs de redes pblicas como, por exemplo, a Internet. Administrao e suporte aprimorados O Terminal Server tem vrios recursos teis para a administrao e tarefas de suporte, que tambm podem ajudar a reduzir os custos de administrao e de suporte. Administrao remota. A rea de Trabalho Remota um novo recurso do Terminal Server no Windows Server 2003. Ele foi desenvolvido para fornecer aos operadores e administradores acesso remoto aos servidores Microsoft BackOffice e aos Controladores de Domnio. O administrador tem
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 5 |
acesso s ferramentas de interface grfica disponveis no ambiente do Windows, mesmo que no esteja utilizando um computador com Windows para administrar o servidor. Suporte remoto. Os administradores podem oferecer suporte remoto para um usurio que inicie a sesso no Terminal Server, acompanhando a sesso do cliente a partir de outra sesso do cliente. Os administradores ou o pessoal de suporte tambm podem realizar aes de teclado e mouse por um usurio, usando o Controle Remoto. O Controle Remoto pode ser til para oferecer treinamento e suporte de usurios nos sistemas ou aplicativos novos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 6 |
forma perceptvel quando os usurios utilizarem aplicativos do MS-DOS, preciso ajustar as configuraes do sistema.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 9 |
Caractersticas de Usurio Os padres de uso dos usurios de computadores podem ter um impacto importante no funcionamento do Terminal Server. O teste de funcionamento do Microsoft simula usurios nas trs categorias seguintes: Funcionrio de entrada de dados: Esses funcionrios trabalham somente com um nico aplicativo utilizado na entrada de dados (por exemplo, aplicativos de negcios desenvolvidos no Microsoft Visual Basic). Funcionrio de tarefa estruturada. Esses funcionrios executam um ou dois programas ao mesmo tempo. Os usurios tpicos executam programas que no exigem muito do sistema (por exemplo, um processador de texto e um navegador). Os programas so abertos e fechados com freqncia. Funcionrio de conhecimento. Os funcionrios que trabalham com conhecimento executam trs ou mais programas simultaneamente e geralmente deixam seus programas abertos. Os funcionrios que utilizam conhecimentos tambm podem executar programas que exijam processamento intenso do sistema (por exemplo, consultas detalhadas em grandes bancos de dados). 1.5. Instalar o Terminal Server Para instalar o Terminal Server, preciso ativar o componente do Terminal Server durante a instalao, usando o assistente de Componentes do Windows. Voc pode ativar o Terminal Server de duas formas: com o Servidor de Aplicativos do Terminal ou Administrao de rea de Trabalho Remota. Esse ltimo no exige licena e permite somente 3 conexes. A licena do Terminal Server pode ser instalada com o Terminal Server ou sozinha em outro computador. Quando a Licena do Terminal Server instalada, preciso especificar se o servidor de licenas servir ao domnio, ao grupo de trabalho ou ao site. Para ativar o Terminal Server (Aplicativo), o processo realizado atravs do assistente de componentes do Windows. Por sua vez, para ativar a rea de Trabalho Remota (instalado por padro), preciso ir para a guia Remoto nas propriedades do sistema e selecionar a opo "Permitir que usurios se conectem remotamente a este computador". O Terminal Server ativado adicionando-se o componente "Terminal Server" e usando Componentes do Windows no assistente de Adicionar ou Remover Programas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Os usurios que tm contas em um Terminal Server so habilitados para iniciar a sesso no servidor por padro. Para desabilitar o processo de conexo para um usurio, preciso limpar a caixa Permitir logon no Terminal Server na guia Perfil de servios de terminal na caixa Propriedades para a conta do usurio e depois clicar em Aplicar. Na guia, voc tambm pode especificar os diretrios iniciais e os perfis de usurio dos usurios.
1.7.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
1.7.2.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Usando o comando Change User somente quando no possvel instalar o aplicativo usando Adicionar ou Remover Programas. Para instalar um programa usando o comando Change User: 1. 2. 3. 4. Inicie a sesso no Terminal Server como administrador e feche todos os programas. Em uma janela de linha de comando, digite change user /install e depois pressione ENTER. Instale o programa no disco local segundo as instrues do programa de instalao. Em uma janela de linha de comando, digite change user /execute quando a instalao for concluda.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 14 |
Para ativar a rea de Trabalho Remota: 1. No Painel de Controle, clique duas vezes em Sistema. 2. Clique na guia Remoto e depois selecione a caixa Permitir que usurios se conectem remotamente a este computador. 3. Clique em Aplicar e depois em OK. Para realizar uma conexo ao Servidor: 1. Inicie a sesso normalmente em outro equipamento com Windows XP ou Windows Server 2003. 2. Em Iniciar, Executar, digite mstsc.exe e depois pressione ENTER. 3. Na caixa Computador, insira o nome do servidor ao qual voc deseja se conectar e depois pressione ENTER. Para realizar uma conexo ao console: 1. Inicie a sesso normalmente em outro equipamento com Windows XP ou Windows Server 2003. 2. Em Iniciar, Executar, digite mstsc.exe /console /v:<nomedoservidor> e depois pressione ENTER. 3. Verifique se, logo ao iniciar a sesso do console, o servidor ao qual voc se conectou bloqueou a sesso ativa. Lembre-se de que: Para executar esse exerccio, preciso ter, pelo menos, duas mquinas, j que impossvel conectar o console na mesma sesso. Para obter mais informaes: http://support.microsoft.com/default.aspx?scid=kb;en-us;323353
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 16 |
Gerenciador de Servios de Terminal Esse utilitrio, tsadmin.exe, utilizado para administrar usurios de Servios de Terminal, sesses e processos em qualquer servidor da rede que esteja executando Servios de Terminal. Usando essa ferramenta, voc pode conectar e desconectar, fechar sesses, reiniciar e controlar remotamente as sesses. Tambm possvel utiliz-la para se conectar a outros servidores em domnios confiveis, controlar sesses em um servidor remoto, enviar mensagens aos usurios ou fechar sesses e concluir processos. Configurao de Servios de Terminal Este utilitrio, tscc.msc, utilizado para modificar a configurao da criptografia por padro e para configurar tempos de espera para redefinir e desconectar. Para configurar tempos de espera para reiniciar e desconectar contas individuais, preciso utilizar a guia das sesses na caixa Propriedades da conta do usurio. Muitas configuraes tambm podem ser determinadas com a Diretiva de Grupo de Servios de Terminal ou o WMI (Windows Management Instrumentation). Nesse caso, a configurao de Servios de Terminal substituda. Visualizar Eventos Use Visualizar Eventos, eventvwr.msc, para pesquisar os acontecimentos que podem ter ocorrido, como caixas de dilogo pop-up no console do servidor. Utilitrios de Linha de Comando Utilitrios de linha de comando incluem o seguinte: Query User. um utilitrio de linha de comando que lista usurios ativos e desconectados. Disconnect. Esse utilitrio de linha de comando, tsdiscon, desconecta a sesso. Um procedimento analgico apaga o monitor e deixa o computador em funcionamento. A desconexo tambm pode ser feita em Iniciar/Desligar. Para reconectar sesso, inicie-a no servidor, outra vez com o mesmo usurio a partir da Conexo para rea de Trabalho Remota.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
3.1. Benefcios
Os Servios de Terminal no Windows Server 2003 fornecem trs benefcios importantes: Benefcio Instalao rpida e centralizada de aplicativos Descrio O Terminal Server timo para instalar rapidamente aplicativos baseados no Windows em toda a empresa, especialmente que so utilizados com freqncia ou so de administrao difcil. O Terminal Server reduz consideravelmente a largura de banda exigida na rede para ter acesso a dados remotamente. Usar o Terminal Server para executar um aplicativo em conexes de baixa largura de banda, por exemplo, discagem direta ou compartilhamentos de enlaces da WAN, muito eficaz para fornecer acesso remoto e manipular grandes quantidades de dados, considerando que somente a tela de dados transferida, e no os prprios dados. O Terminal Server ajuda os usurios a serem mais produtivos, possibilitando o acesso aos programas atuais em qualquer dispositivo.
3.2.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 18 |
Gerenciador de Servios de Terminal O Gerenciador de Servios de Terminal aprimorado permite uma administrao mais fcil de uma grande diversidade de servidores, reduzindo a enumerao automtica do servidor. Isso d acesso direito aos servidores especificados por nome e fornece uma lista dos servidores preferidos. Gerenciador do Terminal Server. O Gerenciador de Licenas do Terminal Server foi aprimorado para facilitar a ativao de um Servidor de Licenas do Terminal Server e atribuir as licenas. Diretiva de Sesso nica Configurando a Diretiva de Sesso nica, o administrador pode limitar os usurios a uma nica sesso, independente de ela estar ativa ou no (exatamente como em um grupo de servidores). Mensagens de Erro do Cliente Mais de 40 novas mensagens de erro de cliente facilitam o diagnstico de problemas da conexo do cliente.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 19 |
Para obter mais informaes: http://www.microsoft.com/windowsxp/pro/techinfo/administration/restrictionpolicies/default.asp Este recurso do Windows substitui a ferramenta AppSec (Segurana de Aplicativo) utilizada em verses anteriores dos Servios de Terminal.
3.6.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
Neste capitulo, voc obter conhecimentos sobre os servios Web e, ao conclu-lo, poder: Implementar Servios Web Instalar o IIS6 Administrar um ambiente de Servios Web
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
1.1. Vantagens
O IIS 6.0 e o Windows Server 2003 introduzem vrios recursos novos de administrao, disponibilidade, confiabilidade, segurana, rendimento e escalabilidade nos servidores de aplicaes da Web. O IIS 6.0 tambm aprimora o desenvolvimento de aplicativos da Web e a compatibilidade internacional. Juntos, o IIS 6.0 e o Windows Server 2003 proporcionam a soluo para servidores da Web mais confivel, produtiva, conectada e integrada disponvel. Vantagem Descrio O IIS 6.0 proporciona um ambiente de servidor da Web mais inteligente e confivel para fornecer uma confiabilidade tima. Esse novo ambiente inclui a superviso do estado dos aplicativos e a sua reciclagem automtica. As caractersticas de confiabilidade aumentam a disponibilidade e reduzem o tempo que os administradores desperdiavam para reiniciar os servios da Internet. O IIS 6.0 est ajustado para proporcionar possibilidades de consolidao e escalabilidade otimizadas que aproveitam ao mximo cada servidor da Web.
Confivel e escalvel
O IIS 6.0 proporciona segurana e capacidade de administrao significativamente aprimoradas. Os aprimoramentos de segurana incluem mudanas tecnolgicas no processamento de solicitaes. Alm disso, tambm foram aprimoradas a autenticao e a autorizao. A instalao pr-configurada Seguro e administrvel do IIS 6.0 est completamente bloqueada, o que significa que a configurao padro oferece segurana mxima. O IIS 6.0 tambm fornece recursos de administrao aprimorados. Uma administrao melhor com a metabase XML e novas ferramentas de linha de comandos. Com o Windows Server 2003 e o IIS 6.0, os desenvolvedores de aplicativos beneficiam-se de um nico ambiente de armazenamento de aplicativos integrado, com compatibilidade total com os recursos avanados e com o cache em modo de ncleo. Criado no IIS 6.0, o Windows Server 2003 oferece aos desenvolvedores nveis elevados de funcionalidade adicional, incluindo um desenvolvimento de aplicativos rpido e uma ampla seleo de linguagens. O IIS 6.0 tambm oferece compatibilidade internacional com os padres Web mais recentes da Web.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Deteco do estado
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Servidor bloqueado
Autorizao
A metabase de texto do IIS 6.0, com formato XML, proporciona recursos aprimorados de cpia de segurana e restaurao para os servidores com erros crticos. Tambm Metabase XML proporciona recuperao de erros da metabase e uma soluo de problemas aprimorada. A modificao direta, mediante ferramentas comuns de modificao de texto, proporciona uma maior capacidade de administrao.
1.2.3.
Recurso
Descrio O Windows Server 2003 oferece uma experincia aprimorada para o desenvolvedor com a integrao do IIS e do Microsoft ASP.NET. Criados a partir do IIS 6.0, os aprimoramentos do Windows Server 2003 oferecem aos desenvolvedores nveis elevados de funcionalidade, como o desenvolvimento de aplicativos rpido (RAD) e uma ampla seleo de idiomas. No Windows Server 2003, a experincia de utilizar ASP.NET e Microsoft .NET Framework foi aprimorada porque a arquitetura de processamento de solicitaes integra-se ao IIS 6.0.
Compartilhar informaes atravs de limites geogrficos, em uma grande variedade de idiomas, torna-se cada vez mais importante na economia global. Antes, a estrutura no Unicode do protocolo HTTP limitava os desenvolvedores ao sistema das Informaes pginas de cdigos. Agora com os endereos URL codificados em UTF-8 (Formato de compartilhadas transformao de Unicode 8), o uso de Unicode j possvel. Esse um atravs dos aprimoramento que permite trabalhar com idiomas mais complexos, como o chins. limites O IIS 6.0 permite que os clientes obtenham acesso s variveis do servidor em geogrficos Unicode. Tambm adiciona novas funes de compatibilidade com o servidor que permitem que o desenvolvedor obtenha acesso representao em Unicode de um endereo URL e, com isso, melhore a compatibilidade internacional. Para obter mais informaes: http://www.microsoft.com/windowsserver2003/iis/default.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
O assistente Configurar o Servidor o ponto central para configurar funes no Windows Server 2003 e agora inclui a funo de servidor de aplicativos. Para ter acesso ao assistente Configurar o Servidor, clique em Adicionar ou Remover Funes no assistente Configurar o Servidor. Essa funo substitui a funo existente do servidor da Web. Depois de instalar essa nova funo, a pgina Manage Your Server tambm incluir uma entrada para a nova funo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 2 |
Adicionar/Remover Componentes do Servidor de Aplicativo
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 3 |
O servidor de aplicativos tambm foi includo no Adicionar ou Remover Componentes do Windows Server 2003 como componente opcional de alto nvel. Da mesma forma, os aplicativos do servidor de aplicativos (IIS 6.0, ASP.NET, COM+ e MSMQ) podem ser instalados e configurar os componentes secundrios usando Adicionar ou Remover Componentes. Usando Adicionar ou Remover Componentes para configurar o servidor de aplicativos, possvel ter maior controle sobre os componentes secundrios especficos que sero instalados.
2.1.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 4 |
Componente de administrao e monitoramento do servio WWW. O Gerenciador de Processos e Configuraes em modo usurio administra as operaes do servidor e supervisiona a execuo do cdigo do aplicativo. Como o HTTP.sys, este componente no carrega e nem processa nenhum cdigo de aplicativo. Antes abordar esses componentes, importante introduzir os novos conceitos do IIS 6.0: Grupos de Aplicativos e Processos de Trabalho. Os grupos (pools) de aplicativos so utilizados para administrar sites e aplicativos na Web. Cada Grupo de Aplicativos corresponde a uma fila de solicitao no HTTP.sys e aos processos do Windows responsveis por executar essas solicitaes. O IIS 6.0 pode oferecer suporte a at 2.000 grupos de aplicativos por servidor e pode ter mltiplos Grupos de Aplicao funcionando ao mesmo tempo. Por exemplo, um servidor de departamento pode ter o RH em um Grupo de Aplicativos e o departamento financeiro em outro Grupo. Da mesma forma, um provedor de servios da Internet (ISP) pode ter sites da Web e aplicativos de um cliente em um grupo de aplicativos e os sites da Web de outro cliente em um Grupo de Aplicativos diferente. Os Grupos de Aplicativos so separados por limites de processamento no Windows Server 2003. Portanto, um aplicativo em um Grupo de Aplicativo no afetado pelos aplicativos em outros Grupos de Aplicativos, e uma solicitao do aplicativo no pode ser encaminhada a outro grupo de aplicativos. Os aplicativos tambm podem ser facilmente atribudos a outros grupos de aplicativos enquanto o servidor est em funcionamento. Um Worker Process executa pedidos de servios dos sites da Web e aplicativos em um Grupo de Aplicativos. Todos os processos de aplicativos da Web, incluindo o carregamento dos filtros e das extenses ISAPI, assim como a autenticao e a autorizao, so executados por um novo servio WWW DLL, no qual se carrega um ou mais Worker Processes. O Worker Process executvel chama-se W3wp.exe.
2.2. HTTP.sys
No IIS 6.0, o HTTP.sys escuta as solicitaes e as coloca nas filas apropriadas. Cada fila de solicitaes corresponde a um Grupo de Aplicativos. Considerando que nenhum cdigo de aplicativo funciona no HTTP.sys, ele no pode ser afetado por falhas no cdigo do Modo Usurio, que normalmente afetam o estado de Servios da Web. Se um aplicativo falhar, o HTTP.sys continua aceitando e colocando as novas solicitaes na fila apropriada at que um dos seguintes eventos ocorra: o processo seja reiniciado e comece a aceitar solicitaes, no haja filas disponveis, no haja espao nas filas ou o prprio servio da Web seja fechado pelo administrador. Como o HTTP.sys um componente de modo Kernel, a operao realizada especialmente eficiente, permitindo que a arquitetura do IIS 6.0 combine o isolamento do processo com o alto desempenho ao solicitar processos. Quando o servio de WWW notar que o aplicativo falhou, se algum tiver solicitaes especiais aguardando para serem inseridas no Worker Process de um Grupo de Aplicativos, um novo Worker Process iniciado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 5 |
Portanto, embora possa haver uma interrupo temporria no processo da solicitao do modo de usurio, o usurio no percebe a falha porque as solicitaes continuam sendo aceitas e colocadas em filas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
3. Aprimoramento na Segurana
A segurana sempre foi um aspecto importante do Internet Information Services. Entretanto, nas verses anteriores do produto (ex. O IIS 5.0 no Windows 2000 Server), o servidor no era enviado no estado "bloqueado" por padro. Muitos servios desnecessrios, por exemplo, impresso pela Internet eram ativados na instalao. Tornar o sistema mais resistente era um processo manual e muitas organizaes simplesmente mantinham os ajustes do servidor sem modificao. Isso provocou uma grande vulnerabilidade a ataques porque, embora os servidores pudessem se tornar seguros, muitos administradores no fizeram o que precisavam ou no tinham as ferramentas para faz-lo. por isso que a Microsoft aumentou significativamente seu foco em segurana desde o desenvolvimento de verses anteriores do IIS. Por exemplo, no incio de 2002, o trabalho de desenvolvimento de todos os engenheiros do Windows mais de 8.500 pessoas foi suspenso enquanto a companhia realizava um treinamento intensivo sobre segurana. Quando o treinamento terminou, as equipes de desenvolvimento analisaram a base do cdigo do Windows, incluindo o HTTP.sys e o IIS 6.0, para colocar o conhecimento adquirido em prtica. Isso representou um investimento substancial no aumento da segurana da plataforma do Windows. Alm disso, durante a fase de projeto do produto, a Microsoft realizou um teste de ameaa para garantir que os desenvolvedores de software da empresa tinham entendido o tipo de ataque que o servidor poderia sofrer em implementaes do cliente. Da mesma forma, os especialistas de terceiros realizaram anlises independentes na segurana do cdigo.
3.1.
Servidor Bloqueado.
Para reduzir a superfcie de ataque da infra-estrutura da Web, a instalao do Windows Server 2003 no instala o IIS 6.0 por padro. Os administradores precisam selecionar e instalar explicitamente o IIS 6.0 em todos os produtos do Windows Server 2003, exceto no Windows Server 2003 Web Edition. Isso significa que agora o IIS 6.0 no precisa ser desinstalado depois que o Windows tiver sido instalado se no for necessrio para a funo do servidor (por exemplo, se o servidor for instalado para funcionar como servidor de correio ou banco de dados). O IIS 6.0 tambm ser desativado quando um servidor migrar para o Windows Server 2003, a menos que a Ferramenta de Bloqueio do IIS 5.0 esteja instalada antes da migrao ou tenha sido configurada uma chave de registro. Alm disso, o IIS 6.0 configurado, por padro, no estado "bloqueado" quando instalado. Depois da instalao, o IIS 6.0 aceita somente as solicitaes de arquivos estticos at ser configurado para o contedo dinmico. Todos os tempos de espera e ajustes so corrigidos para evitar problemas srios de segurana. O IIS 6.0 tambm pode ser desativado usando as Diretivas de Grupo do Windows Server 2003.
3.2.
Descrio Grande parte da segurana deve-se reduo da superfcie de ataque do seu sistema. Portanto, o IIS 6.0 no instalado, por padro, no Windows Server 2003. Os administradores devem selecionar e instalar explicitamente o IIS 6.0. Por padro, a instalao do IIS 6.0 fornece apenas a funcionalidade mnima. Somente os arquivos estticos funcionam, enquanto outros (por exemplo, o ASP e o ASP.NET) precisam ser ativados explicitamente pelos administradores. Em atualizaes do Windows Server 2003 para servidores com o IIS instalado, se o servidor no instalou e no executou a ferramenta Lockdown Tool e no configurou a chave do registro RetainW3SVCStatus no servidor que foi atualizado, o IIS 6.0 ser instalado no estado desativado.
Desativao em atualizaes
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 2 |
Desativao via Diretiva de Grupo Conta com baixo privilgio IIS 6.0 ASP Seguro de todas as funes Extenses de arquivo reconhecidas Ferramentas de linha de comando acessveis aos usurios da Web Proteo de gravao para contedo Com o Windows Server 2003, os administradores do domnio podem informar os usurios sobre a instalao do IIS 6.0 em seus computadores. O Worker Process executado em usurios com baixo privilgio por padro. Isso reduz drasticamente o efeito dos possveis ataques. O ASP incorporado sempre executado em contas de baixo privilgio (usurio annimo). Fornece apenas solicitaes aos arquivos que reconheceram extenses de arquivos e recusa solicitaes de extenses no reconhecidas. Os violadores aproveitam bastante as ferramentas de linha de comando executveis atravs do servidor da Web. No IIS 6.0, as ferramentas de linha de comando no podem ser executadas pelo servidor da Web. Quando os violadores conseguem acesso a um servidor, eles tentam danificar sites da Web. Impedindo que usurios annimos da Web substituam o contedo da Web, esses ataques podem ser atenuados.
3.3.
3.4.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 1 |
1. Introduo
As empresas ampliaram suas redes LAN tradicionais com uma combinao de sites da Internet, intranets e extranets. Conseqentemente, agora mais importante do que nunca garantir uma maior segurana nos sistemas. Para proporcionar um ambiente de informtica seguro, o sistema operacional Windows Server 2003 traz vrios recursos novos e importantes de segurana em relao aos do Windows 2000 Server.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
A linguagem comum em tempo de execuo permite que os aplicativos sejam executados sem erros e, por sua vez, verifica se eles possuem permisses de segurana adequadas, garantindo que o cdigo realize exclusivamente as operaes autorizadas. Isso feito testando-se os seguintes aspectos: a localizao de onde o cdigo foi obtido por download ou instalado, se o cdigo tem uma assinatura digital de desenvolvedor confivel e se foi alterado aps a sua assinatura digital.
1.3. Vantagens
O Windows Server 2003 fornece uma plataforma mais segura e econmica para a realizao de atividades de empresas. Vantagem Diminuio de custos Implementao de padres abertos Descrio Engloba processos administrativos de segurana simplificados, como listas de controle de acesso e o administrador de credenciais. O protocolo IEEE 802.1X facilita a segurana das LANs sem fio frente ao risco de espionagem em um ambiente empresarial. Os recursos de segurana, como o sistema de arquivos criptografados (EFS), os servios de certificado e a inscrio automtica de cartes inteligentes, facilitam a segurana de uma ampla gama de dispositivos. O EFS a tecnologia bsica para codificar e decodificar arquivos armazenados em volumes NTFS. Somente o usurio que criptografa um arquivo protegido pode abri-lo e trabalhar com ele. Os servios de certificado so parte do sistema operacional bsico que permite que uma empresa atue como entidade emissora de certificados (CA) e emita e administre certificados digitais. A inscrio automtica de cartes inteligentes e os recursos de entidade de registro automtico proporcionam segurana aos usurios corporativos, adicionando mais um nvel de autenticao. Isso acrescentado aos processos de segurana simplificados, em organizaes onde h grande preocupao com segurana.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 3 |
Uma plataforma mais segura para realizar atividades corporativas O Windows Server 2003 oferece diversos recursos novos e aprimorados combinados para criar uma plataforma mais segura para realizar atividades corporativas. Caracterstica Descrio O Windows Server 2003 proporciona segurana na Internet com uso de um servidor de segurana baseado em software chamado Firewall de Conexo Internet (ICF). O ICF proporciona proteo s mquinas conectadas diretamente Internet ou s mquinas localizadas por trs de uma mquina de host de conexo compartilhada Internet (ICS) e que execute um ICF. O Servidor de autenticao da Internet (IAS) um servidor RADIUS que administra a autorizao e a autenticao de usurios. Ele tambm administra conexes com a rede atravs de diversas tecnologias de conectividade, como o acesso por discagem s redes privadas virtuais (VPN) e aos servidores de segurana. O Windows Server 2003 permite a autenticao e a autorizao de usurios e mquinas conectados a redes LAN Ethernet e sem fio. Isso possvel devido compatibilidade do Windows Server 2003 com os protocolos IEEE 802.1X. (Os padres IEEE 802 definem mtodos para obter acesso a redes LAN e control-las.) O Windows Server 2003 permite que um administrador de sistemas utilize a exigncia de diretivas ou execuo para impedir que programas executveis sejam executados em uma mquina. Por exemplo, aplicativos especficos de mbito corporativo podem ter sua execuo restringida, a menos que sejam executados de um diretrio especfico. As diretivas de restrio de software tambm podem ser configuradas para evitar a execuo de cdigo mal intencionado ou infectado por vrus.
O Windows Server 2003 proporciona segurana para redes LAN Ethernet e sem fio baseado nas especificaes IEEE 802.11 e compatveis com os certificados pblicos implementados atravs de inscrio automtica ou Aprimoramentos de segurana para servidores cartes inteligentes. Esses aprimoramentos na segurana permitem o em redes LAN Ethernet e controle do acesso a redes Ethernet em lugares pblicos, como centros comerciais ou aeroportos. A autenticao da mquina tambm permitida sem fio em um ambiente operacional de protocolo de autenticao extensvel (EAP). A segurana das informaes um problema de vital importncia para as organizaes de todo o mundo. Para aumentar a segurana dos servidores da Web, os Servios do Internet Information Server 6.0 (IIS 6.0) so configurados para proporcionar mxima segurana. A sua instalao padro o estado "bloqueado". Os recursos de segurana avanados do IIS 6.0 incluem: servios criptogrficos que podem ser selecionados, autenticao de sntese avanada e controle configurvel da obteno de acesso aos processos. Esses so apenas alguns dos vrios recursos de segurana que permitem realizar negcios de forma segura na Web. Agora possvel criptografar os arquivos offline. Esse um aprimoramento em relao ao Windows 2000, onde os arquivos no cache no poderiam ser criptografados. Essa caracterstica compatvel com a codificao e decodificao de todos os bancos de dados criptografados offline. So necessrios privilgios administrativos para configurar a forma como os arquivos offline so criptografados. Este mdulo criptogrfico executado como um controlador no modo de ncleo e implementa algoritmos criptogrficos aprovados pelo Padro Federal de Processamento de Informaes (FIPS). Entre os algoritmos
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 4 |
esto includos: SHA-1, DES, 3DES e um gerador de nmero aleatrio aprovado. O mdulo criptogrfico, compatvel com o FIPS de modo de ncleo, permite que as organizaes pblicas implementem Segurana de Protocolo de Internet (IPSec) compatvel com o FIPS 140-1. Para isso, preciso utilizar: Servidor e cliente de VPN L2TP (Protocolo de encapsulamento da camada 2)/IPSec. Encapsulamentos L2TP/IPSec para conexes VPN entre portas de enlace. Encapsulamentos IPSec para conexes VPN entre portas de enlace. Trfego da rede ponto a ponto, criptografado atravs de IPSec, entre cliente e servidor, e de servidor para servidor. Novo protocolo de autenticao extensvel protegido O novo protocolo de autenticao extensvel protegido (PEAP) compatvel com o protocolo de autenticao extensvel (EAP), junto com a RFC 2617 e a RFC 2222. Esste protocolo aumenta a segurana em redes sem fio. O administrador de credenciais do Windows Server 2003 oferece um depsito seguro para as credenciais do usurio, incluindo senhas e certificados X.509. Essas credenciais permitem um incio de sesso nico para os usurios, incluindo os usurios mveis. Uma API de Win32 encontra-se disponvel para permitir que os aplicativos baseados no cliente e no servidor obtenham credenciais de usurio. No Windows Server 2003, o cache da sesso SSL pode ser compartilhado em mltiplos processos. Isso reduz o nmero de vezes que um usurio precisa retornar para ser autenticado nos aplicativos e tambm os ciclos de CPU no servidor de aplicativos.
Administrador de credenciais
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 5 |
A melhor plataforma para a infra-estrutura de chaves pblicas O Windows Server 2003 facilita a implementao de uma infra-estrutura de chaves pblicas, junto com tecnologias associadas com cartes inteligentes. Caracterstica Descrio Esses novos recursos importantes reduzem de forma drstica a quantidade de recursos necessrios para administrar certificados X.509. O Windows Server 2003 possibilita a inscrio e a implementao automtica de certificados para os usurios. Da mesma forma, quando o certificado expira, possvel renov-lo automaticamente. A renovao e a inscrio automticas de certificados facilitam a implementao mais rpida de cartes inteligentes e aumentam a segurana das conexes sem fios (IEEE 802.1X) com expirao e renovao automtica de certificados. A compatibilidade com a assinatura digital permite que os pacotes e os contineres externos do Windows Installer obtenham uma assinatura digital. Isso proporciona aos administradores de tecnologias de informao, pacotes do Windows Installer mais seguros, o que de extrema importncia se o pacote foi enviado atravs da Internet. O servidor de certificados includo no Windows Server 2003 agora compatvel com CRLs delta. Uma CRL faz com que a publicao de certificados X.509 revogados seja mais eficaz e facilita que um usurio possa recuperar um certificado novo. E, como agora possvel especificar a localizao na qual est armazenada a CRL, fica mais fcil mov-la para atender s necessidades de segurana e especficas da empresa.
Extenso segura das atividades corporativas na Internet Uma empresa precisa estabelecer uma forma segura de comunicao com seus funcionrios, clientes e parceiros que no estejam dentro da sua intranet. O Windows Server 2003 facilita esse aspecto ampliando de forma segura a obteno de acesso rede para pessoas e outras empresas que precisem trabalhar com dados ou recursos de usurio. Caracterstica Descrio possvel atribuir uma identidade de Passport a uma identidade do Active Directory no Windows Server 2003. Por exemplo, a associao de uma identidade de Passport com uma identidade do Active Directory permite que uma empresa parceira possa ser autorizada a obter acesso aos recursos atravs do IIS, em vez de precisar iniciar a sesso diretamente em uma rede do Windows. A integrao com o Passport possibilita um incio de sesso nico, atravs do uso do IIS. Quando se trabalha com um parceiro ou uma empresa que implementou uma floresta do Active Directory, possvel utilizar o Windows Server 2003 para configurar uma relao de confiana entre as florestas do parceiro ou da empresa e suas prprias florestas. Isto lhe permite confiar de forma explcita em alguns usurios, em grupos ou em todos os que pertenam outra floresta. Tambm possvel estabelecer permisses por usurio ou grupos que residam em outra floresta. As relaes de confiana entre florestas facilitam a realizao de negcios com outras empresas atravs do Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 1 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Voc pode usar Modelos de Segurana para criar e alterar Diretivas de Segurana que atendam s necessidades da sua empresa. As Diretivas de Segurana podem ser implementadas de formas diferentes. O mtodo que voc usar depende do tamanho e das necessidades de segurana da organizao. Dessa forma, as pequenas empresas, que no possuem uma implementao do Active Directory, tero que configurar a segurana manualmente, enquanto as grandes empresas exigiro nveis de segurana elevados. Para elas, aconselhvel usar os Objetos de Diretiva de Grupos (GPOS) para instalar diretivas de segurana.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 2 |
Segurana do Controlador de Domnio (DC security.inf) Esse Modelo usado quando um servidor promovido a controlador de domnio. Contm configuraes de segurana necessrias em arquivos, registro e servios. Voc pode aplicar esse modelo usando o snap-in Security Configuration and Analysis ou com a ferramenta Secedit. Compatvel (Compatws.inf) Este modelo aplica configuraes de segurana necessrias para todos os aplicativos que no foram certificados pelo Programa de Logotipo do Windows. Seguro (Secure*.inf) Esse Modelo aplica configuraes de segurana de alto nvel, afetando a compatibilidade dos aplicativos. Por exemplo, Senha Mais Slida, Bloqueio, Configuraes de Auditoria. Altamente Seguro (Hisec*.inf) Este modelo aplica as configuraes de segurana mais elevadas possveis. Para eles, so impostas restries aos nveis de criptografia e assinatura de pacotes de dados em canais seguros e entre clientes e servidores nos pacotes Server Message Block (SMB). Obtenha mais informaes sobre secedit: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=true
A ferramenta Security Configuration and Analysis compara a configurao de segurana do computador local e uma configurao alternativa que importada do modelo (arquivo .inf ) e armazenada em um banco de dados separado (arquivo .sdb). Quando a anlise concluda, voc pode analisar os ajustes da segurana na rvore do console para ver os resultados. As discrepncias esto marcadas com uma sinalizao vermelha, as consistncias esto marcadas com uma marca de seleo verde e os ajustes que no esto marcados com uma sinalizao vermelha ou uma marca verde no podem ser configurados no banco de dados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 3 |
Depois de analisar os resultados usando a ferramenta Security Configuration and Analysis, voc pode realizar vrias tarefas, incluindo: Eliminar as discrepncias entre os ajustes nos bancos de dados e os ajustes atuais do computador. Para configurar ajustes do banco de dados, clique na configurao do painel de detalhes. Importar outros modelos, combinando seus ajustes e substituindo ajustes onde houver conflito. Para importar outro modelo, clique com o boto direito em Security Configuration and Analysis e depois clique em Import Template. Exportar os ajustes atuais do banco de dados para um modelo. Para importar outro modelo, clique com o boto direito em Security Configuration and Analysis e depois clique em Export Template. Para mais informaes sobre Ferramentas de Segurana: Informaes adicionais sobre segurana: Introduo Tcnica Segurana. http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx Guia de Segurana no Windows Server 2003. http://www.microsoft.com/security/guidance/prodtech/WindowsServer2003.mspx IPsec no Windows Server 2003. http://support.microsoft.com/default.aspx?scid=kb;en-us;323342 http://support.microsoft.com/default.aspx?scid=kb;en-us;324269 Criptografia de Chave Pblica http://support.microsoft.com/default.aspx?scid=kb;en-us;281557 http://support.microsoft.com/default.aspx?scid=kb;en-us;290760
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.