Windows Server 2003

Captulo 1 | Pgina 1 |
Captulo 1 Introduo ao Windows Server 2003

Bem-vindo nova famlia de Servidores da Microsoft! Durante este curso voc aprender sobre as novas tecnologias 2003 e como aplic-las. As novas caractersticas do Windows Server 2003 fazem com que ele seja, at o momento, o sistema operacional mais estvel, robusto, escalvel e principalmente mais preparado para melhorar o desempenho e os servios de servidores que executam diferentes funes: Aplicativos, Servios da Web, Servios de Diretrio, Servios de Arquivos e Impresso e Servios de Infra-estrutura. A otimizao de todas essas caractersticas, sem dvida, tambm faz da famlia Windows Server 2003 a plataforma mais recomendvel para as empresas, reduzindo de forma notvel aspectos como o TCO (Custo total de propriedade).
Um pouco de histria
Desde o lanamento dos sistemas operacionais de redes, passando pelo Windows NT, os sistemas foram se aperfeioando medida que foram surgindo novas necessidades nas empresas. Desde as conhecidas diferenas introduzidas pelo Windows 2000 ao seu antecessor, o Windows NT 4.0, ns agora conseguimos chegar a um sistema operacional ideal para atender s exigncias do mercado de informtica, onde j foram implementados grandes aprimoramentos em relao ao seu antecessor, o Windows 2000. O Windows Server 2003 baseia-se nas experincias do mercado consumidor de informtica e, por isso, encontramos nele diversos recursos que procurvamos, sempre nos perguntando: possvel fazer isso? .... e aquilo? Essas perguntas que ficavam sem respostas a partir de agora podem ser atendidas com o Windows Server 2003. Neste mdulo, faremos uma introduo das novas caractersticas e funcionalidades da famlia de servidores Windows Server 2003. Ao finalizar este captulo, voc dever ter os conhecimentos necessrios para identificar funcionalidades, caractersticas e requisitos dos diferentes sistemas operacionais dessa famlia.
1. Novas Caractersticas
Armazenamento Active Directory Instalao Servios Web
1.1. Recuperao Automtica do Sistema

Essa nova ferramenta permite recuperar o estado anterior do sistema operacional. Como funciona? Ela utiliza um disquete com informaes sobre a configurao e um conjunto de backup. Para iniciar o processo de recuperao, voc precisa ter esse disquete, o conjunto de backup da partio do sistema e o CD-ROM de instalao do Windows Server 2003.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Para esse processo, preciso ter o disquete e a mdia de ASR que contm os arquivos de backup. O sistema operacional ser restaurado para o mesmo estado em que estava no momento do Backup da ASR, permitindo a inicializao do seu sistema. Para criar um conjunto de ASR, visite o seguinte link no TechNet (ingls): http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/enus/recovery_automatic_sr.asp Nota: Durante o processo de Restaurao, a Partio do Sistema ser formatada eliminando todos os dados, e o backup ser restaurado ao seu local de origem. Todos os arquivos modificados aps o momento do backup sero perdidos.
1.2. Infra-estrutura Instantnea (Duplicao da Mdia do servio de diretrio)

Essa nova e incrvel caracterstica permite solucionar o seguinte problema: Cenrio com duas localizaes: um Controlador de Domnio na localidade A e a necessidade de instalar um Controlador de Domnio na localidade B. A princpio isso no seria um problema, mas se a rede WAN que une os dois pontos for de 64 Kbps e o diretrio inicial contiver 20.000 ou mais objetos, surge uma dificuldade: o tempo necessrio para a duplicao inicial, somado ao fato de que, durante esse processo, obviamente no ser possvel usar a conexo normalmente. Soluo: no Windows Server 2003, pode-se instalar o Controlador de Domnio da localidade B a partir de um Backup do Controlador existente na localidade A. Esse processo ser descrito detalhadamente no Captulo 4.
1.3. Cpia de Sombra do Volume

Esse novo servio ajuda a recuperar arquivos excludos por engano. Para isso, o servio de Cpia de Sombra salva verses anteriores dos arquivos para recuperao posterior, eliminando a necessidade de recorrer a restaurao do backup. Como funciona? Ele utiliza um cache em disco para o armazenamento de verses de arquivos, que podem ser recuperadas quando necessria a partir dessa cpia.
Se quiser obter mais informaes sobre esse assunto, recomendamos que voc consulte o seguinte link do TechNet (ingls): http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/topnode_snapshot.asp?frame=true
1.4. Sistema de Arquivos Criptografados (EFS)

A nova funcionalidade EFS no Windows Server 2003 permite criptografar o sistema de arquivos de forma segura e tambm possibilita que os outros usurios tenham acesso a esses arquivos. Essa funo muito importante porque, muito embora em diversas ocasies seja necessrio proteger determinados arquivos, tambm muito importante poder compartilh-los entre os usurios. O sistema de criptografia que utiliza o EFS uma combinao de dois mtodos, de criptografia assimtrica e PKI (Public Key Infrastructure), pontos que sero explicados detalhadamente no captulo 8 "Segurana".
1.5. Reverso de Driver

Esse um novo utilitrio para gerenciamento de verses em drivers de dispositivos e permite voltar verso anterior do driver se o novo causar problemas. Tambm foram includos aprimoramentos na verificao do funcionamento dos drivers com a nova verso do "Driver Verifier V2" e firmware de drivers. Se quiser obter mais informaes sobre esse assunto, recomendamos que voc consulte o seguinte link do TechNet (Ingls):
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/devmgr_reinstall_old_driver.asp?frame=true
1.6. Active Directory

Vamos analisar as novas funes do Servio de Diretrio oferecido pelo Windows Server 2003. ADMT verso 2.0 Agora ficou fcil migrar para o Active Directory utilizando os aprimoramentos da Active Directory Migration Tool (ADMT). A ADMT 2.0 permite migrar senhas do Microsoft Windows NT 4.0 para o Windows 2000 e o Windows Server 2003, ou do Windows 2000 para domnios do Windows Server 2003. Renomeao de Domnios Esse o suporte para modificar nomes do Domain Name System (DNS) e/ou do NetBIOS de domnios existentes em uma floresta conservando toda a estrutura do Diretrio. Em cenrios de reestruturao de domnios, ele proporciona uma grande flexibilidade. Esquema A flexibilidade do Active Directory agora permite a desativao de atributos e a definio de classes no esquema do Active Directory. Tambm foi adicionada uma nova funcionalidade que permite excluir o esquema. Diretiva de Grupo Junto com o Windows Server 2003, a Microsoft lanou uma ferramenta para administrao de GPOs, o Group Policy Management Console (GPMC), que permite administrar mltiplos domnios, ativar e desativar diretivas e arrastar e soltar nas ferramentas. Tambm inclui a funcionalidade de Backup, Restaurao e cpia de diretivas e fornece uma ferramenta de Relatrios para analisar a utilizao das diretivas. Voc observar aprimoramentos expressivos nas diretivas e muitas novas opes de configurao para administrao centralizada. Relaes de confiana O Windows Server 2003 tambm traz aprimoramentos significativos no gerenciamento das relaes de confiana entre florestas. O recurso "Autenticao entre Florestas" permite que um usurio da floresta acesse de forma segura os recursos em outras florestas, utilizando Kerberos ou NTLM, sem sacrificar os benefcios do "Single sing-on" e facilitando a administrao. Ele tambm permite selecionar facilmente usurios e grupos para inclu-los em grupos locais de outras florestas, mantendo a segurana e os SID de cada objeto, mesmo em florestas diferentes. Diretivas de Restrio de Software Atravs dessas diretivas, possvel proteger os ambientes de produtos de software no autorizados, especificando quais softwares no esto autorizados. Tambm possvel estabelecer excees criando regras especficas. Duplicao de membros nos grupos Anteriormente os membros de um grupo eram um atributo desse grupo, portanto, quando durante a replicao o grupo era modificado nos dois Controladores de Domnio diferentes, o resultado era a duplicao da ltima modificao. Portanto, se fossem acrescentados dois usurios aos grupos, um no era adicionado, mas havia uma limitao em relao quantidade de usurios por grupo (Limitao de atributo), no mximo 5000. A partir do Windows Server 2003, cada usurio do grupo passou a ser um atributo diferente, o que elimina a limitao de 5000 usurios e soluciona os problemas de duplicao.
Gerenciamento de Sites O gerenciamento de sites inclui um novo algoritmo do Gerador de Topologia entre Sites (ISTG), aumentando a limitao do nmero mximo de sites de 500 para 5000 sites (comprovado em laboratrio 3000). Nota: Todas essas caractersticas so explicadas em mais detalhes no Captulo 4 "Active Directory".
1.7. Reiniciar Controlador de eventos do Reason Collector

O Controlador de Eventos uma nova ferramenta que permite reunir para anlises futuras os motivos pelo qual um Servidor foi reiniciado, parado ou desligado por falta de energia. Neste caso, a ferramenta perguntar, no primeiro login, o motivo das falhas para registr-lo.
1.8. RIS "Servios de Instalao Remota"

Aprimoramentos no suporte para instalao: Todas as verses do Windows 2000 (incluindo Server e Advanced Server) Windows XP Professional Todas as verses do Windows Server 2003 Todas as verses do Windows XP de 64 bits e Windows Server 2003 Se quiser obter mais informaes sobre esse assunto, recomendamos que voc consulte o seguinte link do TechNet (ingls):
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/sag_RIS_Default_topnode.asp?frame=true
1.9. IIS 6.0 - Internet Information Services 6.0

Este componente do sistema operacional sofreu modificaes significativas com relao verso anterior que esto detalhadas a seguir: Arquitetura de Processos Tolerante a Falhas O IIS 6.0 isola os sites da Web e aplicativos em unidades chamadas "Classes de Aplicativos. As Classes de Aplicativos fornecem uma forma conveniente de administrar os sites na Web e aplicativos, e aumentam a confiabilidade, j que erros em uma Classe de Aplicativos no provocam erros em outras classes ou falhas no servidor. Health Monitor O IIS 6.0 verifica periodicamente o status das Classes de Aplicativos reiniciando-as automaticamente em caso de falhas nos sites da Web ou em aplicativos nessa Classe de Aplicativos, aumentando a disponibilidade. Ele tambm protege o servidor e outros aplicativos, desabilitando automaticamente sites na Web e aplicativos, se falharem em um curto perodo de tempo. Novo modo driver kernel, HTTP.sys O Windows Server 2003 introduz um novo driver kernel, protocolo HTTP (HTTP.sys), melhorando o desempenho e a escalabilidade. Esse driver foi desenvolvido especificamente para melhorar o tempo de resposta do Servidor da Web. Integrao com Aplicativos
O IIS 6.0 oferece integrao com o ASP.NET, o Microsoft .NET Framework e os Servios da Web em XML, tornando-se a plataforma especialmente projetada para aplicaes .Net. Segurana O IIS 6.0 "Locked-down server By default", em outras palavras, est protegido na sua instalao, exigindo que o administrador habilite as funes especiais e necessrias para executar o site na Web. Sem isso, ele s pode oferecer contedo esttico e extenses dinmicas desabilitadas. Isso faz com que o IIS 6.0 seja o servidor de Web mais seguro.
1.10. Verses
O Windows Server 2003 apresenta quatro verses com funcionalidades diferentes que esto descritas no quadro seguinte: Para servios da Web e host, esta verso oferece uma plataforma para desenvolvimento e instalao rpida de servios e aplicativos da Web. Apenas na verso OEM
Para servios de administrao de redes, esta verso do Windows Server 2003 ideal para servidores de arquivos e impressoras, servidores da Web e grupos de trabalho. Tambm oferece acesso remoto a redes.
Contm todas as caractersticas do Windows Server 2003 Standard e fornece maior escalabilidade e disponibilidade. Essa verso ideal para servidores utilizados em grandes redes e para bancos de dados com uso intensivo. Possui todas as caractersticas do Windows Server 2003 Enterprise Edition, alm de suporte para mais memria e mais CPU por computador. Esta verso ideal para uso de depsitos de dados de grande porte, processamento online, transaes (OLTP) e projetos de consolidao de servidores. O suporte de memria, processadores e funcionalidade varia conforme a verso. por isso que voc deve considerar as suas necessidades ao escolher o sistema operacional. CPU / RAM Recursos Server 2 CPU 4 GB Novos Recursos NLBS Firewall Pessoal Web Server 2 CPU 2GB Pode executar: IIS 6.0 NLBS DNS, DHCP, WINS Limitaes: Sem DC Promo Sem aplicaes Sem Apl TS Modo Enterprise Server 8 CPU 32 GB (x86) 64 GB (64 bits) Todos os recursos do Standard e tambm: Cluster de 8 ns Verso de 64 bits Datacenter 8-64 CPU 64 GB (x86) 512 GB (64 bits) Todos os recursos do Enterprise e tambm: Programa Datacenter -Datacenter HCL -Manuteno Suporte a mltiplas instncias
Captulo 1 | Pgina 9 | 1.11. Requisitos
No quadro a seguir, temos os requisitos mnimos e recomendados para cada verso do Windows Server 2003.
Requisitos de Sistema do Windows Server 2003 Requisitos Velocidade mnima da CPU Standard Edition
133 MHz
Enterprise Edition
133 MHz para arquitetura x86 733 MHz para arquitetura Itanium
Datacenter Edition
400 MHz para arquitetura x86 733 MHz para arquitetura Itanium 733 MHz
Web Edition
133 MHz
Velocidade recomendada da CPU Mnimo de RAM RAM Recomendvel
550 MHz
733 MHz
550 MHz
128 MB 256 MB 4 GB
128 MB 256 MB 32 Gb para arquitetura x86 512 MHz para arquitetura Itanium
512 MB 1 GB
128 MB 256 MB
64 MHz para arquitetura x86 2 GB 512 MHz para arquitetura Itanium Mnimo de 8 necessrios Mximo de 64 At 2
Mximo de RAM
Suporte de Multiprocessador SMP Espao Mnimo no Disco
At 4
At 8
1,5 GB
1,5 Gb para arquitetura x86 2,0 Gb para arquitetura Itanium
1,5 Gb para arquitetura x86 2,0 Gb para arquitetura Itanium
1,5 GB
Captulo 1 | Pgina 10 | 2. Funcionalidades
Os servidores desempenham vrios papis no ambiente cliente/servidor de uma rede. Alguns servidores so configurados para fornecer autenticao e outros para outros usos. Muitos tambm fornecem servios de rede que permitem que os usurios se comuniquem ou localizem outros servidores e recursos na rede. Como administrador de sistemas, voc dever conhecer os principais tipos de servidores e que funes que eles realizam na sua rede.
2.1. Controlador de Domnio (Active Directory)

Os controladores de domnio armazenam os dados do diretrio e gerenciam a comunicao entre os usurios e os domnios, incluindo processos de conexo do usurio, autenticao e pesquisas de diretrios. Quando voc instala o Active Directory em um computador que executa o Windows Server 2003, o computador passa a ser um Controlador de domnio. Nota: Em uma rede do Windows Server 2003, todos os servidores no domnio que no sejam Controladores de Domnio so chamados de Servidor Membro. Os servidores no associados a um domnio so chamados de Servidor de Grupo de Trabalho.
2.2. Servidor de Arquivos

Um Servidor de Arquivos oferece uma localizao central na sua rede onde possvel armazenar e compartilhar os arquivos com usurios atravs da sua rede. Quando os usurios precisam de um arquivo importante, como um plano de projeto, possvel acessar o arquivo no Servidor de Arquivos, em vez de ter que transferi-lo entre seus vrios computadores.
2.3. Servidor de Impresso

Um Servidor de Impresso proporciona uma localizao central na sua rede, onde os usurios podem imprimir. O Servidor de Impresso oferece aos clientes drivers atualizados de impressora e gerencia a fila de impresso e a segurana.
Captulo 1 | Pgina 11 | 2.4. Servidor de DNS

O Domain Name System (DNS) um servio padro da Internet e de TCP/IP. O servio de DNS permite que os computadores clientes coloquem em sua rede e solucionem nomes de domnio DNS. Um computador configurado para fornecer servios de DNS em uma rede um servidor de DNS, que necessrio para colocar em funcionamento o Active Directory.
2.5. Servidor de Aplicativos

Um Servidor de Aplicativos fornece a infra-estrutura e os servios de aplicativos em um sistema. Os servidores tpicos de aplicaes incluem os seguintes servios: O grupo de recursos (por exemplo, grupo de conexes de banco de dados e grupo de objetos) Administrao de transaes distribudas Comunicao assncrona, normalmente fila de mensagens Um modelo de objetos de ativao just-in-time XML (Extensible Markup Language) Automtico e Interfaces de Servios Web para acessar objetos de negcios Servios de deteco de falha e funcionamento de aplicativos com segurana integrada O Microsoft Internet Information Services (IIS) fornece as ferramentas e as caractersticas necessrias para controlar facilmente um Servidor da Web seguro. Se planejar criar um host de File Transfer Protocol (FTP) da Web e Sites com o IIS, configure o Servidor como Servidor de Aplicativos.
2.6. Terminal Server

Um Terminal Server oferece aos computadores remotos, acesso a programas baseados no Windows que funcionam em Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition. Com um Terminal Server, voc instala um aplicativo em um nico ponto e em um nico servidor. Os mltiplos usurios podero, ento, ter acesso ao aplicativo sem precisar instal-lo em seus computadores. Os usurios podem executar programas, exceto arquivos, e utilizar os recursos da rede de um local remoto, como se eles estivessem instalados em seu prprio computador. Ns veremos esse assunto em mais detalhes no captulo 6.
2.7. A ferramenta Gerenciar o Servidor

Quando o Windows Server 2003 instalado e um usurio faz o logon pela primeira vez, a ferramenta Gerenciar o Servidor executada automaticamente. Voc utiliza essa ferramenta para adicionar ou remover Funes dos Servidores. Quando adiciona uma funo de servidor a um computador, a ferramenta Gerenciar o Servidor adiciona essa funo lista de funes disponveis. Depois que a funo de servidor adicionada lista, voc poder utilizar vrios assistentes que o ajudaro a administrar funes especficas de servidor. A ferramenta Gerenciar o Servidor tambm fornece arquivos de ajuda especficos sobre as funes de servidores, listas de verificaes e recomendaes para soluo de problemas.
Captulo 2 Instalao e Migrao

1. Introduo
Durante este captulo, voc conhecer os mtodos de instalao do Windows Server 2003 e tambm os mtodos de migrao a partir de outras verses. Para executar os exerccios contidos nesta unidade, voc dever ter uma cpia de avaliao do Windows Server 2003 que pode ser encontrada em: http://www.microsoft.com/windowsserver2003/evaluation/trial/default.mspx Tambm ser necessrio ter o hardware apropriado, que deve estar de acordo com os requisitos para instalao do Windows Server 2003 descritos no Captulo 1. Se no tiver o hardware apropriado sua disposio, ns sugerimos que voc utilize o software de emulao de Computadores Virtuais, que pode ser obtido em: http://www.microsoft.com/windowsxp/virtualpc/previous/default.asp Este software permite criar Computadores Virtuais dentro do seu sistema e atribu-los recursos de disco e memria, ou seja, um outro computador dentro do seu computador. Lembre-se de que esta unidade tambm possui exerccios de migrao do Windows NT Server 4.0. Para esta verso e o Windows 2000 Server, ser necessrio ter um CD de avaliao desses produtos. Ao finalizar este captulo, voc poder: Preparar-se para uma instalao do Windows Server 2003 Instalar o Windows Server 2003 de um CD Instalar o Windows Server 2003 da rede Solucionar problemas de instalao Examinar a ativao do Windows Server 2003 Descrever como automatizar instalaes do Windows Server 2003
Captulo 2 | Pgina 2 | 2. Instalao
2.1. Introduo instalao do Windows Server 2003

A instalao e a configurao do Windows Server 2003 so semelhantes ao processo de instalao do Windows 2000 Server, portanto os especialistas em gerenciamento de sistema podero utilizar seus conhecimentos para execut-las. No entanto, foram includos diversos aprimoramentos: Novo Assistente para Instalao: o novo Assistente para instalao do Windows Server 2003 conserva grande parte do design do Assistente para instalao do Windows 2000 Server. Entretanto, o seu design foi aprimorado para que seja mais fcil localizar informaes e tarefas relacionadas com a instalao. O novo Assistente reflete o design baseado em tarefas do Windows Server 2003, atravs de agrupamento das tarefas comuns com documentao e informaes necessrias para ajudar os administradores a realiz-las. Atualizao dinmica: agora o Assistente oferece aos usurios a opo de fazer o download de arquivos de instalao e controladores atualizados da Microsoft. Esta opo tambm pode incluir uma seqncia de comandos para uma instalao sem operadores. Comprovao de compatibilidade: o Assistente permite que os usurios realizem testes de compatibilidade detalhados em seus PCs. Como parte do processo de comprovao da compatibilidade, voc pode visitar o site da Web da Microsoft em busca de atualizaes dinmicas. Tambm existe uma ferramenta adicional que pode ser utilizada para testar a compatibilidade de aplicativos. O Kit de Ferramentas de Compatibilidade de Aplicativos" pode ser obtido em: http://www.microsoft.com/windowsserver2003/compatible/appcompat.mspx
Assistente para instalao do Windows Server 2003
Para obter informaes sobre compatibilidade de hardware: http://www.microsoft.com /whdc/hcl/default.mspx
2.2. Selecionar Sistema de Arquivos

Depois que voc tiver criado a partio onde planeja instalar o Windows Server 2003, a instalao lhe permite selecionar um sistema de arquivos. Como no Windows NT 4.0, no Windows 2000 e no Windows XP Professional, o Windows Server 2003 oferece suporte ao sistema de arquivos NTFS e FAT16/FAT32. NTFS Utilizando o NTFS para as parties, seu sistema ter: Segurana a nvel de arquivos e pastas O NTFS permite controlar o acesso aos arquivos e s pastas. Compactao de disco O NTFS permite compactar arquivos para criar mais espao disponvel. Cotas de disco O NTFS permite controlar o uso do disco por usurio. Criptografia de arquivos. O NTFS permite exibir de forma transparente criptografias, arquivos e pastas. A verso do NTFS no Windows Server 2003 oferece suporte a armazenamento remoto e montagem de volumes em pastas. O Microsoft Windows 2000, o Windows XP Professional, o Windows Server 2003 e o Windows NT so os nicos sistemas operacionais que podem acessar dados em um disco rgido local com o formato NTFS. Para compatibilidade com o NTFS e o Windows NT 4.0 em configuraes de inicializao dupla, o Windows NT 4.0 exige o Service Pack 4, no mnimo. Para obt-la, recomenda-se usar o Service Pack 6. http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/x86Lang.asp
FAT e FAT32 Normalmente, voc no utilizaria FAT ou FAT32 para formatar a partio do sistema, a menos que precisasse de uma inicializao dupla com o Windows Server 2003 e outro sistema operacional mais antigo. FAT e FAT32 no oferecem os mesmos recursos de segurana que o NTFS. Se voc precisar dos recursos do NTFS, particularmente de segurana para arquivos e pastas, recomendvel usar o sistema NTFS. Nota: Se optar por formatar a partio usando o FAT, a instalao formata automaticamente as parties superiores a 2 GB em FAT32.
2.3. Selecionar o Modo de Licenciamento 2.3.1. Modelo de licenciamento para o Windows Server 2003: O que no foi modificado
Embora tenham ocorrido modificaes no modelo de licenciamento do Windows Server 2003, os seguintes elementos no foram modificados: Cada cpia instalada do software de servidor exige a compra de uma licena de servidor do Windows. preciso ter uma Licena Acesso Cliente do Windows (CAL do Windows) para ter acesso ao software do servidor. No preciso uma CAL se o acesso ao servidor for feito atravs da Internet e ele no for "autenticado" - por exemplo, o acesso a um site na Web para obter informaes gerais onde no seja necessrio fornecer credenciais de identificao. Uma CAL do Windows (por servidor) tambm pode ser designada para uso com apenas um servidor, autorizando acesso por meio de qualquer dispositivo ou usurio, quando o tipo de licena de software para o servidor for definido como "por servidor. Nessa modalidade, o nmero de CALs do Windows igual ao nmero mximo de conexes atuais. Uma CAL do Windows (por dispositivo ou por usurio) pode ser designada para uso com qualquer quantidade de servidores, autorizando o acesso atravs de um dispositivo especfico ou de um usurio, quando a modalidade da licena do software do servidor estiver definida como "Por dispositivo ou Por usurio" (antes chamada de modo "Per Seat"). preciso ter um licena de Acesso de Cliente para o Terminal Server (CAL TS) para utilizar um Terminal Server ou oferecer uma sesso de interface de usurio grfica remota (GUI), exceto para uma sesso do console. No Windows 2000, havia uma exceo para esse requisito de licena e isso foi modificado.
2.3.2. Modificaes no Licenciamento do Windows Server 2003

CAL baseada em novo usurio. A Microsoft introduziu um novo tipo de CAL. Alm da CAL existente, baseada em dispositivo (CAL por Dispositivo), uma nova CAL baseada em usurio (CAL por usurio) estar disponvel. Voc pode optar entre uma CAL por Dispositivo para o Windows, para cada dispositivo que tenha acesso a seus servidores, ou uma CAL por Usurio do Windows, para cada nome de usurio que acesse seus servidores. Com os dois tipos de CALs, voc pode optar pelo modelo mais adequado sua empresa. Por exemplo, uma CAL para Usurio do Windows pode ser mais apropriada se a sua empresa tiver funcionrios que tenham acesso remoto utilizando mltiplos dispositivos. As CAL de Dispositivo do Windows podem ser mais aconselhveis a empresas onde vrios funcionrios compartilham os mesmos dispositivos. Da mesma forma, os Terminal Servers (TS) tambm oferecero CALs baseadas em Dispositivo e em Usurio: CAL Per Device TS (CAL de TS por dispositivo ) e CAL Per User TS (CAL de TS por Usurio). Para obter mais informaes: http://www.microsoft.com/windowsserver2003/howtobuy/
Captulo 2 | Pgina 5 | 2.4. Definir grupos de trabalho ou domnios
Durante a instalao, voc deve escolher um domnio ou um grupo de trabalho como grupo de segurana para o computador.
2.4.1. Domnio
Nota: Para obter detalhes tericos referentes ao Active Directoy, consulte o mdulo 4 deste curso. Durante a instalao, voc poder adicionar o computador a um domnio existente como servidor membro. Para isso, preciso: Um nome de domnio. Um exemplo de um nome de domnio DNS vlido seria microsoft.com. Uma conta de computador. Para unir um computador a um domnio, preciso ter uma conta para esse computador no domnio. Voc pode criar a conta antes da instalao ou, se tiver privilgios administrativos no domnio, pode criar essa conta durante a instalao. Se a conta do computador for criada durante a instalao, o programa de instalao lhe pedir para inserir ID de usurio e senha com autorizao para adicionar contas de computadores ao domnio. Um controlador de domnio disponvel e um servidor que executa o servio do Servidor DNS. Pelo menos um controlador de domnio e um servidor DNS devem estar on-line no momento em que o computador adicionado ao domnio.
2.4.2. Grupo de Trabalho

Como no Windows NT 4.0, voc s adiciona o computador a um grupo de trabalho se estiver em uma rede pequena sem um domnio ou se estiver preparando-o para adicionar um domnio posteriormente. Voc pode especificar o nome de um grupo de trabalho j existente ou de um novo grupo de trabalho que ser criado durante a instalao.
Captulo 2 | Pgina 6 | 2.5. Lista de Verificao

Antes de instalar o Windows Server 2003, complete as tarefas a seguir: Verifique se todos os dispositivos de hardware esto na lista HCL. Verifique se os componentes atendem aos requisitos mnimos de hardware. Selecione a partio do sistema de arquivos, onde instalar o Windows Server 2003, a menos que voc necessite de uma configurao de inicializao dupla usando o NTFS. Determine se voc usa Por Dispositivo ou Por Usurio como modo de licenciamento. Determine o nome do domnio ao qual voc quer adicionar ou o grupo de trabalho que ser criado. Se for usar um domnio, o nome estar no formato DNS: servidor.domnio (onde servidor o nome do seu computador e domnio o nome do domnio ao qual o seu computador pertence). Se for adicionar a um grupo de trabalho, o nome estar no formato NetBIOS. Crie uma conta de computador no domnio, usando o nome do computador que voc est instalando. Embora um administrador de domnio possa criar a conta do computador antes da instalao, voc tambm pode criar uma conta de computador durante a instalao se tiver privilgios administrativos no domnio. Por padro, os usurios podem criar at 10 contas de computadores neste domnio. Determine a senha para a conta de Administrador local.
2.6. Instalar a partir de CDs
Para instalar o Windows Server 2003 a partir do CD, inicie o computador com o CD ou os disquetes e siga as instrues dos diversos Assistentes. Embora o processo de instalao no seja notavelmente diferente do Windows NT 4.0 ou do Windows 2000, ter experincia com o processo de instalao do Windows Server 2003 o ajudar a executar esse processo com maior eficcia.
2.6.1. Funcionamento do Programa de Instalao

O modo de texto da instalao do Windows Server 2003 no diferente da parte de instalao no modo texto do Windows NT 4.0 e do Windows 2000. Para instalar, siga os passos abaixo: Para comear a instalao, desligue o computador, insira o CD-ROM na unidade e depois ligue o computador. Como alternativa, tambm possvel executar o Winnt.exe. Uma verso mnima do Windows Server 2003 copiada na memria e a instalao em modo texto iniciada. DICA: Se estiver usando um disquete do MS-DOS com o driver para a unidade de CD-ROM, certifique-se de que o driver SmartDrive seja carregado. Caso contrrio, a instalao deve demorar mais do que o normal. Selecione a partio em que o Windows Server 2003 ser instalado. Selecione um sistema de arquivos para a nova partio. Tambm possvel escolher o formato da nova partio. A instalao copia arquivos no disco e grava parmetros de configurao. Em poucos instantes, o computador reiniciado e o Assistente para instalao do Windows Server 2003 iniciado. Por padro, a localizao dos arquivos da instalao dos sistemas operacionais do Windows Server 2003 a pasta do Windows.
Captulo 2 | Pgina 8 | 2.6.2. Iniciar o Assistente de instalao do Windows Server 2003

Depois de instalar os recursos de segurana e configurar os dispositivos, o Assistente solicitar as seguintes informaes: Configurao Regional Nome e organizao Chave de produto (de 25 caracteres) Modo de Licenciamento Nome do computador e senha da conta do Administrador local. Componentes opcionais do Windows Server 2003. A tabela a seguir descreve algumas das opes disponveis no Assistente. Servios de Certificados. Permite criar e solicitar certificados digitais para a autenticao X.509. Os certificados proporcionam meios comprovveis de identificar usurios em redes no seguras, como a Internet. Servios de Fax. Permite enviar e receber faxes a partir do seu computador. Servios de Indexao. Permite fazer pesquisas dinmicas com texto completo nos dados armazenados no computador ou na rede. Filas de Mensagem Oferece suporte para aplicativos que enviam mensagens para as filas.Tambm permite a comunicao de aplicativos atravs de redes heterogneas e com computadores que podem estar temporariamente fora da linha. Servios de Instalao Remota. Permite a instalao remota do Windows XP Professional, do Windows 2000 e do Windows Server 2003 atravs de uma conexo de rede. Armazenamento Remoto. Permite que o usurio utilize bibliotecas de fitas, como extenses de volumes NTFS, movimentando dados automaticamente e atravs de fitas. Terminal Server.Configura o computador para permitir que mltiplos usurios utilizem um ou mais aplicativos remotamente. Tambm est disponvel durante a instalao, por exemplo, RIS e Servidor de Aplicativos. Licenciamento do Terminal Server.Configura o servidor como Servidor de Licenas do Terminal Services e fornece licenas de cliente. Atualizar Certificados Raiz Faz automaticamente o download da lista mais atual de certificados raiz do Windows Update, se necessrio. Windows Media Services Permite fazer streaming de contedo multimdia para usurios. Depois que os componentes opcionais forem selecionados, o Assistente do Windows Server 2003 pedir que voc ajuste a data e a hora, o que essencial para as operaes de replicao dos bancos de dados do Windows Server 2003.
2.6.3. Instalao de Componentes de Rede

Depois de recompilar as informaes sobre o seu computador, o Assistente o orientar atravs da instalao dos componentes de rede. Esse segmento do processo de instalao comea com a identificao das placas de rede. Depois de configurar os adaptadores de rede, a instalao localizar o servidor que est executando o Servidor de DHCP na rede. Para prosseguir no Assistente, necessrio executar os passos abaixo: Em primeiro lugar, preciso instalar os componentes de rede com uma configurao tpica ou personalizada. A instalao tpica inclui: Cliente para Redes Microsoft Compartilhar arquivos e impressoras para Redes Microsoft Internet Protocol (TCP/IP) em uma instalao tpica, configurado para endereo IP dinmico. Para configurar o TCP/IP, preciso escolher uma instalao personalizada. Adicionar um grupo de trabalho ou um domnio.
Captulo 2 | Pgina 9 | 2.6.4. Fim da instalao

Depois de instalar os componentes de rede, o programa de instalao termina da seguinte forma: Copia os arquivos restantes; por exemplo, os acessrios e os BITMAPS Aplica a configurao que voc especificou anteriormente Salva a configurao no disco rgido local Fecha os arquivos temporrios e reinicia o computador Para mais informaes sobre a nova instalao: http://support.microsoft.com/default.aspx?scid=kb;en-us;326218
2.6.5. Exerccio 1 2.6.5.1. Objetivos

Depois de terminar esse exerccio, voc ser capaz de instalar o Windows Server 2003 como servidor membro de um grupo de trabalho.
2.6.5.2. Pr-requisitos
Antes de iniciar esse exerccio, voc dever ter um computador que atenda aos requisitos mnimos de hardware para instalar o Windows Server 2003 ou o software Connectix Virtual PC para Windows. Para terminar esse exerccio, ser preciso: O CD do Windows Server 2003 Evaluation Edition. O disquete do MS-DOS para inicializao (opcional). Se o seu computador estiver configurado para inicializar a partir de CD-ROM, voc pode inicializar o Windows Server 2003 sem usar o disquete. Informaes para instalao nos sistemas sem opo de inicializao a partir do CD-ROM: http://support.microsoft.com/default.aspx?scid=kb;en-us;810562 (ingls) Um nome de computador e um endereo IP
Captulo 2 | Pgina 10 | Exerccio 1

Instalao do Windows Server 2003 1. 2. 3. 4. 5. 6. 7. 8. 9. 10 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. Ligue o computador com o CD-ROM do Windows Server 2003. Pressione ENTER quando for exibida a notificao de Instalao na tela. Pressione ENTER quando for exibida a mensagem Bem-vindo instalao na tela. Leia o Contrato de Licena do Windows e pressione F8 para aceitar os termos de licenciamento. Pressione C na lista de parties existentes para criar uma partio no disco 0. Quando for solicitado a selecionar o tamanho da partio na caixa Criar partio de tamanho (em MB), exclua o valor existente, adicione um valor entre 2000 e 4000 e pressione ENTER. Pressione ENTER na lista de parties exibida para selecionar a partio C: Nova (Sem formato) XXXX MB. Pressione ENTER para selecionar Formatar a partio utilizando o sistema de arquivos NTFS. Retire o disquete da unidade se a instalao tiver sido iniciada. Deixe o CD do Windows Server 2003 na unidade de CD-ROM. O computador ser reiniciado automaticamente. Espere a finalizao do processo de deteco de dispositivos. Clique em Avanar na pgina Opes Regionais. Insira seu nome e organizao. Clique em Avanar. Insira a chave de produto na pgina Chave do Produto. Ela pode ser obtida no site de onde voc fez o download do produto. Escolha Por dispositivo ou por usurio no modo de licenciamento. Use a senha Pass@w0rd (onde 0 zero) para a conta do Administrador local. No instale componentes adicionais. Ajuste a data e a hora na pgina Configuraes de Data e Hora e clique em Avanar. Clique em Configuraes personalizadas na caixa de dilogo Configuraes de Rede e pressione Avanar. Clique nas propriedades de TCP/IP e insira os parmetros a seguir: Endereo IP: 192.168.1.200 mscara de sub-rede: 255.255.255.0 Clique em Avanar na pgina Componentes de Rede. Adicione um grupo de trabalho chamado "Grupo de Trabalho". Deixe o CD-ROM do Windows Server 2003 na unidade durante o resto do processo. Depois de completado o processo de instalao, o computador automaticamente reiniciado.
Captulo 2 | Pgina 11 | 2.7. Instalar a partir da rede
As instalaes a partir da rede funcionam da mesma forma que no Windows NT4.0 e no Windows 2000. No entanto, h 3 requisitos para comear uma instalao a partir da rede: Um Servidor de Distribuio que contenha arquivos da instalao i386. (Os computadores Itanium usam a pasta ia64. Essas pastas esto no CD-ROM do Windows Server 2003). Uma partio disponvel de 2Gb no computador. Um cliente de rede para conexo ao Servidor de Distribuio. Nota: O Microsoft Windows Preinstallation Environment (WinPE) permitir que um cliente conecte-se ao Servidor de Distribuio. Obtenha informaes em: http://www.microsoft.com/licensing/programs/sa/default.mspx Os passos para a instalao so semelhantes aos do Windows NT 4.0 e do Windows 2000; a nica diferena que preciso se conectar ao Servidor de Distribuio e executar o Winnt.exe. Durante o processo inicial, os arquivos necessrios so copiados no disco local e, em seguida, o computador reiniciado. A partir desse momento, o processo de instalao normal.
Captulo 2 | Pgina 12 | 2.8. Usar Servios de Instalao Remota (RIS)
Os Servios de Instalao Remota (RIS) permitem que computadores clientes conectem-se com um servidor durante a fase inicial da inicializao e instalem remotamente o Windows 2000 (em todas as suas verses), o Windows XP (32 e 64 bits) ou o Windows Server 2003 (em todas as suas verses). A instalao a partir da rede um processo totalmente diferente porque realizada executando-se o Winnt.exe. Uma instalao remota no exige que os usurios saibam onde esto localizados os arquivos de instalao ou as informaes a fornecer ao programa de instalao. O RIS permite configurar as opes da instalao. Por exemplo, voc poderia oferecer aos usurios uma instalao mnima sem opes e outra instalao com opes adicionais. Por padro, todas as imagens esto disponveis para todos os usurios. No entanto, voc pode restringir as imagens que esto disponveis para os usurios utilizando permisses NTFS no arquivo de resposta. Os passos seguintes permitem determinar que imagens um usurio pode selecionar e fazer download. 1. 2. 3. 4. 5. Instale o RIS. Configure os componentes opcionais que voc planeja instalar no computador do cliente. As imagens que so armazenadas no servidor RIS. O cliente conecta-se usando o Pre-Boot Execution Environment (PXE) no adaptador da rede ou usando o "Network Boot Disk" criado pelo RIS. O sistema operacional instalado no cliente a partir do servidor RIS com pouca ou nenhuma interveno de usurio.
Voc pode controlar as informaes exigidas pelo usurio, criando e usando scripts. Tambm possvel criar scripts manualmente ou utilizando o Setup Manager Wizard. Obtenha informaes sobre o Setup Manager: http://support.microsoft.com/default.aspx?scid=kb;en-us;323438
Captulo 2 | Pgina 13 | 2.8.1. Requisitos para o Servidor RIS

Active Directory Servidor DHCP Servidor DNS Obtenha informaes sobre o Servidor RIS: http://support.microsoft.com/default.aspx?scid=kb;en-us;325862
2.9. Usar a System Preparation Tool (sysprep)
Se voc quiser instalar o Windows 2000, o Windows XP ou o Windows Server 2003 em vrios computadores que possuam hardware idntico, um dos mtodos possveis utilizar a duplicao do disco. Criando uma imagem de disco de uma instalao do Windows 2000, do Windows XP ou do Windows Server 2003 e copiando essa imagem em diversos computadores de destino, voc economiza tempo na implementao do Windows 2000, do Windows XP ou do Windows Server 2003. Para instalar o Windows 2000, o Windows XP ou o Windows Server 2003 usando duplicao de disco, configure um computador de referncia e duplique uma imagem do seu disco no servidor usando o Sysprep para preparar o computador a ser duplicado. O processo de duplicao de disco consiste nos seguintes passos: Instalar e configurar o sistema operacional no computador de referncia. Instalar e configurar os aplicativos no computador de referncia. Executar sysprep.exe no computador de referncia. Tambm possvel executar o Setup Manager Wizard para criar o arquivo Sysprep.inf. O Sysprep.inf fornece respostas, como, por exemplo, o nome do computador ao Mini-Setup que executado nos computadores de destino. Alm disso, esse arquivo pode ser utilizado para especificar drivers especiais. O Setup Manager Wizard cria uma pasta Sysprep na raiz do disco e coloca o arquivo Sysprep.inf nessa pasta. O Mini-Setup verifica a pasta Sysprep procura desse arquivo para realizar a instalao do sistema operacional.
Em seguida, desligue o computador de referncia e execute o software de duplicao do disco. Coloque o disco duplicado no computador de destino. Ligue o computador de destino. Um Mini-Setup ser executando imediatamente solicitando: Nome do computador, senha do administrador local e chave de produto.
Obtenha informaes sobre o Sysprep Verso 2.0 em: http://support.microsoft.com/default.aspx?scid=kb;en-us;323438
Captulo 2 | Pgina 15 | 2.10. Ativar a Cpia do Windows Server 2003

Devido pirataria e a outras formas de uso no autorizado, os consumidores nem sempre podem ter certeza de que possuem uma cpia genuna do Windows Server 2003. por isso que a Microsoft desenvolveu para o Windows Server 2003 a ferramenta "Ativao de Produto" que garante que todas as instalaes do seu produto Windows Server 2003 tenham uma licena vlida. Importante: Clientes que compram Contrato de Licenciamento por Volume no precisam ativar seus produtos. Se no tiver um contrato de Licenciamento por Volume, voc tem 60 dias para ativar a instalao do seu produto. Se esse perodo expirar e voc no tiver concludo a ativao, todos os recursos deixaro de funcionar, com exceo da funo de ativao do produto. Depois de instalar o Windows Server 2003, o assistente de ativao e registro ser executado. Voc pode cancelar o assistente e ativar o Windows Server 2003 posteriormente. Para ativar o Windows Server 2003 usando o Assistente de Ativao do Produto siga o procedimento a seguir: Clique em Iniciar e em Ativar Windows. Insira a identificao "chave do produto". O assistente tentar se conectar Microsoft pela Internet. Se voc no tiver uma conexo Internet, mas tiver um modem conectado a uma linha de telefone, o assistente detectar o modem e tentar estabelecer uma conexo direta com a Microsoft. Se a conexo no puder ser estabelecida, voc pode ativar sua cpia do Windows Server 2003 chamando um representante de clientes da Microsoft.
3. Migrao do Windows NT 4.0
Em seguida, detalharemos a migrao de Controladores de Domnio e Servidores Membro do Windows NT 4.0 para o Windows Server 2003, nos sistemas operacionais de servidor. De Windows NT 3.51 ou 4.0 PDC ou BDC Servidor Membro do Windows NT 3.51 ou 4.0 Windows NT 3.1 ou 3.5 Resultado Controlador de Domnio do Windows Server 2003 Servidor Membro do Windows Server 2003 Deve-se primeiro migrar para o Windows NT 3.51 ou 4.0
Lembre-se dos requisitos de hardware necessrios para a migrao do Windows NT 3.1/3.5/3.51 para o Windows Server 2003. Obtenha mais informaes em: http://www.microsoft.com/windowsserver2003/upgrading/nt4/default.mspx
3.1. Migrao dos Servidores Membros

Antes de migrar para o Windows Server 2003, importante fazer backup dos arquivos crticos para garantir que seus dados sejam preservados se houver falha no processo. Para preservar seus arquivos e configuraes essenciais, as seguintes tarefas devem ser realizadas: Resolver os erros listados no Visualizador de Eventos Fazer backup completo de todos os discos Fazer backup do registro Atualizar o disco de reparo de emergncia (Rdisk) Remover o software de proteo antivrus Depois de completar essas tarefas, insira o CD-ROM do Windows Server 2003 e inicie o processo de instalao. Esse processo semelhante a uma instalao nova. Se ele for realizado a partir de uma rede, execute o Winnt32.exe. Nota: possvel que a partio do sistema no tenha espao para esse processo de migrao. No entanto, no mesmo disco, voc pode liberar espao adicional excluindo dados desnecessrios ou utilizando ferramentas de terceiros para expandir a partio. Quando finalizar o processo, seu servidor passar a ser um servidor membro do Windows Server 2003.
Captulo 2 | Pgina 17 | 3.2. Migrao de Domnios
Para compreender o processo de migrao, ns o dividiremos em dois processos possveis: Migrao Direta ( In-Place) ou reestruturao.
Captulo 2 | Pgina 18 | 3.2.1. Terminologias

Na tabela a seguir, esto diversos termos e significados relacionados ao processo de migrao: Migrao de Domnio. o processo de mover o usurio, as contas de grupo e as contas de computadores de um domnio do Windows NT 4.0 para um domnio do Windows Server 2003. A migrao do domnio pode ser realizada atravs de uma atualizao do domnio do Windows NT 4.0 para o Windows Server 2003, ou criando uma nova floresta do Windows Server 2003 e copiando o usurio, o grupo e as contas do computador do domnio do Windows NT 4.0 na nova floresta. Tambm possvel alcanar a migrao do domnio usando uma combinao desses mtodos. Domnio de Origem. o domnio do qual os Objetos de Segurana devem ser migrados. Domnio de Destino. o domnio do qual sero migrados os Objetos de Segurana. Um Domnio de Destino pode estar na mesma floresta do Windows Server 2003 ou em uma floresta diferente do Domnio de Origem. Domnio de Conta. Contm as contas de usurios e grupos no modelo Multiple Master Domain do Windows NT 4.0. Domnio de Recursos. um domnio do Windows NT 4.0 utilizado para arquivos, servidor de impresso e outros servios de aplicaes. Alm disso, ele contm as contas principais dos computadores. Consolidar Domnios. Serve para reestruturar um grande nmero de domnios em um nmero pequeno. Nveis do domnio e funcionalidade de floresta uma caracterstica do Windows Server 2003 que proporciona compatibilidade retroativa a diversos sistemas operacionais do Windows que utilizam o Active Directory. O Windows Server 2003 utiliza nveis de domnio e a funcionalidade da floresta para identificar a funcionalidade que pode ser introduzida no domnio e nos nveis da floresta. A implementao da funcionalidade de domnio ou floresta possibilita a introduo de novas caractersticas do Windows Server 2003, que no podem ser ativadas at que todos os Controladores de Domnio sejam migrados na organizao. Desse modo, os nveis oferecem Compatibilidade Retroativa. Os nveis de domnio e a funcionalidade da floresta substituem a caracterstica do modo de domnio do Windows 2000. Clone. Serve para criar novas contas no Domnio de Destino. uma cpia das contas no domnio de origem, mas tambm mantm o identificador primrio de segurana (SID) da conta no seu atributo SID-History. O nico momento em que possvel clonar contas durante a migrao das contas entre florestas. SID-History. um atributo de Objetos de Segurana do Active Directory que usado para armazenar SIDs de objetos transferidos como contas de usurios e grupos de segurana.
3.2.2. Migrao no Local

Este processo determina as aes necessrias para conservar a estrutura anterior. Portanto, se voc tinha 4 domnios no Windows NT 4.0; ao terminar, ter os mesmos 4 domnios com a mesma estrutura no Windows Server 2003. O processo a ser finalizado o seguinte: Migre o PDC do Windows NT 4.0. Dica: Instale um novo BDC, retire-o da rede, promova-o a PDC e instale o Windows Server 2003 nesse computador. Em seguida, reinsira esse computador na rede e rebaixe o PDC em produo BDC. Migre depois todos os BDC do domnio. A estrutura completa preservada na nova estrutura do Windows Server 2003.
Captulo 2 | Pgina 19 | 3.2.3. Reestruturao do Domnio

Esse processo determina as aes necessrias para mudar a estrutura anterior (consolidao de domnios). Portanto, se voc tinha 4 domnios do Windows NT 4.0; ao finalizar, ter 1 domnio do Windows Server 2003 que conter todas as contas. O processo a ser finalizado o seguinte: Migre primeiro a partir de um PDC do Windows NT 4.0 ou instale de uma floresta nova. Utilize a ferramenta Active Directory Migration Tool (ADMT v2) para copiar objetos. Esta ferramenta permite preservar o SID-History dos objetos e esta nova verso permite a migrao de senhas. Nota: O ADMT est disponvel no CD-ROM do Windows Server 2003. Obtenha mais informaes sobre o ADMT: http://support.microsoft.com/default.aspx?scid=kb;en-us;325851
4. Migrao do Windows 2000

O primeiro passo escolher o melhor sistema operacional equivalente ao que voc est utilizando atualmente. A seguinte tabela mostra as equivalncias:
Windows Server 2003 Standard Edition Enterprise Edition Datacenter Edition Web Edition
Windows 2000 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Server Nenhum equivalente
4.1. Migrao dos Servidores Membros do Windows 2000

Antes que voc migre para o Windows Server 2003, importante fazer backup dos arquivos crticos para garantir que seus dados sejam preservados se houver falha no processo. As tarefas a seguir servem para preservar seus arquivos e configuraes crticos: Resolver os erros listados no Visualizador de Eventos Fazer backup completo de todos os discos Fazer backup do registro Atualizar o disco de reparo de emergncia (Rdisk) Remover o software de proteo antivrus Depois de completar essas tarefas, insira o CD-ROM do Windows Server 2003 e comece o processo de instalao. Esse processo semelhante a uma nova instalao. Se for realiz-lo atravs de uma rede, execute o Winnt32.exe. Nota: Em alguns casos, a partio do sistema no tem espao para o processo de migrao; no entanto, no mesmo disco, voc pode obter espao adicional excluindo arquivos desnecessrios ou utilizando ferramentas de terceiros, que extendem a partio. Ao finalizar o processo, seu servidor passar a ser um servidor membro do Windows Server 2003.
Captulo 2 | Pgina 20 | 4.2. Migrao de Domnios

A atualizao do Active Directory pode ser gradual e realizada sem interrupo das operaes. Se voc seguir as recomendaes de atualizao de domnio, no ser necessrio colocar o domnio offline para migrar os controladores de domnio, os servidores membro ou as estaes de trabalho. No Active Directory, um domnio uma coleo de computadores, usurios e grupos definidos pelo administrador. Esses objetos compartilham um banco de dados em comum de diretrio, Diretivas de Segurana e Relaes de Segurana com outros domnios. Uma floresta uma coleo de um ou mais domnios do Active Directory que compartilham classes e atributos (esquema), informaes de sites e duplicao (configurao) e capacidades de pesquisa em toda a floresta (catlogo global). Os domnios na mesma floresta contm relaes de confiana bilaterais. Para se preparar para atualizar os domnios que contm os Controladores de Domnio do Windows 2000, recomendvel aplicar o Service Pack 2 ou posterior a todos os Controladores de Domnio do Windows 2000. Antes de migrar um Controlador de Domnio do Windows 2000 para o Windows Server 2003 ou instalar o Active Directory no primeiro Controlador de Domnio do Windows Server 2003, certifique-se de que o domnio esteja preparado. Essas duas ferramentas de linha de comando ajudaro na migrao do Controlador de Domnio: Winnt32. Use o Winnt32 para comprovar a compatibilidade de atualizao do servidor. Adprep. Use o Adprep no Mestre de Operaes de Esquema para preparar a floresta. O Adprep est contido no CD-ROM do Windows Server 2003 na pasta I386 ou IA64. Lembre-se de que essa ferramenta modifica o Esquema segundo o qual a quantidade de objetos que contm o Active Directory define o tempo necessrio para concluir as operaes. Por outro lado, aconselhvel executar essa ferramenta somente no Mestre de Esquema, considerando que, em caso de queda na comunicao da rede, no haver o risco de que a operao seja interrompida na metade do processo.
O processo a ser finalizado inclui:

Executar o adprep.exe / forestprep para preparar a floresta Executar o adprep.exe / domainprep para preparar o domnio Migrar os Controladores de Domnio gradualmente ou instalar uma cpia nova do Windows Server 2003, promovendo essa instalao a Controlador de Domnio. Ao concluir essas tarefas, voc ter atualizado a verso existente do Active Directory. Obtenha mais informaes sobre a migrao do Windows 2000 http://www.microsoft.com/ windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx
Captulo 2 | Pgina 21 | 4.2.1. Exerccio 2

Durante este exerccio, voc realizar um processo de migrao do servidor membro do Windows NT 4.0 para o Windows Server 2003 e um processo de migrao do servidor membro do Windows 2000 para o Windows Server 2003. Prximos passos. Primeiro instale um Windows NT Server 4.0, na instalao do servidor membro. Siga os passos descritos no exerccio 1, iniciando a instalao do sistema operacional, ou seja, execute o Winnt32.exe ou faa a instalao inserindo o CD-ROM. Resultado: Processo de migrao do Windows NT 4.0 para o Windows Server 2003 Instale agora o Windows 2000 Server como Servidor Membro. Siga os passos descritos na prtica 1, iniciando a instalao do sistema operacional, ou seja, execute o Winnt32.exe ou faa a instalao inserindo o CD-ROM. Resultado: Processo de migrao do Windows 2000 para o Windows Server 2003 Nota: Lembre-se de que para fazer esses exerccios voc pode utilizar o software Connectix Virtual PC. Opcional: Se tiver tempo, voc pode realizar o mesmo exerccio, do PDC do Windows NT 4.0 e do Controlador de Domnio do Windows 2000, executando o processo de atualizao.
Captulo 3 Instalao e Configurao de Servios DHCP, DNS e WINS

1. Introduo
Durante este captulo, voc assimilar conhecimentos sobre servios de rede como DHCP (Dynamic Host Configuration Protocol), WINS (Windows Internet Name System) e DNS (Domain Name System). Este ltimo, em particular, lhe ser muito til durante o captulo 4. Para a realizao dos exerccios contidos neste mdulo, ser preciso usar a instalao do Windows Server 2003 executada no exerccio 1 do captulo 2 e uma instalao adicional. Ao finalizar este captulo, voc poder: Identificar as caractersticas dos servios DHCP, DNS e WINS Instalar e configurar servios de rede Solucionar problemas de servios de rede
2. DHCP - Dynamic Host Configuration Protocol
2.1. Por que utilizar o DHCP?
Captulo 3 | Pgina 2 | 2.1.1. Definio

Dynamic Host Configuration Protocol (DHCP) um padro IP para simplificar a administrao da configurao IP do cliente. O padro DHCP permite que voc utilize os servidores DHCP para controlar a alocao dinmica dos endereos e a configurao de outros parmetros de IP para clientes DHCP na sua rede.
2.1.2. Por que utilizar o DHCP?

Nas redes TCP/IP, o DHCP reduz a complexidade do trabalho administrativo de reconfigurar os computadores cliente. Para entender por que o DHCP til para configurar clientes TCP/IP, importante comparar a configurao manual do TCP/IP com a configurao automtica que utiliza o DHCP.
2.1.3. Configurao manual do TCP/IP

Quando voc realiza a configurao IP de cada cliente inserindo manualmente informaes como endereo IP, mscara de sub-rede ou gateway padro, podem ocorrer erros de digitao, que provavelmente geraro problemas de comunicao ou problemas associados IP duplicado. Por outro lado, ocorre uma sobrecarga administrativa nas redes quando os computadores so movidos com freqncia de uma sub-rede para outra. Alm disso, quando preciso trocar um valor IP para vrios clientes, preciso atualizar a configurao IP de cada cliente.
2.1.4. Configurao automtica do TCP/IP

Quando voc configura um servidor DHCP para oferecer suporte a clientes DHCP, ele automaticamente fornece informaes de configurao aos clientes DHCP e tambm garante que os clientes da rede utilizem a configurao correta. Alm disso, se voc precisar realizar uma modificao na configurao IP de vrios clientes, poder realiz-la uma nica vez no servidor DHCP, para que o DCHP atualize automaticamente a configurao do cliente para refletir essa mudana. Exemplo Voc precisa configurar 100 computadores com a configurao IP, mas sem DHCP. No lhe resta alternativa alm de configurar manualmente cada um dos computadores individualmente. Alm disso, tambm preciso documentar a configurao IP de cada cliente e realizar uma modificao na configurao IP dos clientes e ainda reconfigurar manualmente cada um deles. Mas o DHCP oferece uma soluo para esse problema. Com o DHCP, voc s precisa adicionar a configurao ao servidor DHCP, que atualizar os 100 clientes da rede. Alm disso, quando precisar realizar uma modificao na configurao IP, ela ser realizada uma nica vez no Servidor DHCP, exigindo simplesmente que cada cliente TCP/IP atualize a sua configurao.
Captulo 3 | Pgina 3 | 2.2 Como o DHCP atribui endereos IP?
2.2.2.1 Introduo
O DHCP permite controlar a atribuio de IP de um local central; portanto, voc pode configurar o servidor DHCP para atribuir endereos IP a uma nica sub-rede ou a vrias sub-redes. Da mesma forma, o Servidor DHCP pode atribuir a configurao IP aos clientes de forma automtica.
2.2.2.2 Definies
A concesso o tempo no qual um cliente DHCP pode utilizar uma configurao dinamicamente atribuda de IP. Antes da expirao do tempo de concesso, o cliente deve renov-lo ou obter uma nova concesso do DHCP.
2.2.2.3 Atribuio de endereos IP

O DHCP administra a atribuio e a liberao da configurao IP, concedendo a configurao IP ao cliente. O estado de concesso do DHCP depende do tempo que o cliente pode utilizar os dados da configurao IP antes de liber-la e depois de atualizar os dados. O processo de atribuir a configurao IP conhecido como Processo de Gerao de Concesso DHCP, e o processo de renovar os dados da configurao IP conhecido como Processo de Renovao de Concesso de DHCP. Na primeira vez em que um cliente DHCP adicionado rede, ele deve solicitar a configurao IP ao Servidor DHCP para que, quando for recebida a solicitao, o servidor selecione um endereo IP do intervalo de endereos que o administrador definiu no escopo. O Servidor DHCP fornece a configurao IP ao cliente do DHCP. Se o cliente aceitar a oferta, o Servidor DHCP atribuir o endereo IP ao cliente por um perodo de tempo especificado. Dessa forma, o cliente utilizar o endereo IP para ter acesso rede.
Captulo 3 | Pgina 4 | 2.3. Como funciona o Processo de Gerao de Concesso do DHCP?
O cliente DHCP envia o pacote DHCPDISCOVER para localizar o Servidor DHCP. Esse pacote DHCPDISCOVER a mensagem que os clientes DHCP enviam na primeira vez que se conectam rede e solicitam informaes de IP de um servidor DHCP. Existem duas formas de iniciar o processo de Gerao de Concesso de DHCP. A primeira ocorre quando um computador cliente iniciado ou o TCP/IP iniciado pela primeira vez, e a segunda quando um cliente tenta renovar sua concesso e no consegue. (Por exemplo, um cliente pode no conseguir executar uma renovao quando voc o move para outra sub-rede.) O Servidor DHCP envia um pacote DHCPOFFER ao cliente. O pacote DHCPOFFER uma mensagem que o Servidor DHCP utiliza para oferecer a concesso de um endereo IP ao cliente, quando ele se conecta rede. Cada Servidor DHCP que responde, reserva o endereo IP oferecido para que ele no seja novamente oferecido a outro cliente DHCP, antes da aceitao do cliente inicial. Se o cliente no receber uma oferta depois de quatro solicitaes, ele utiliza um IP do intervalo reservado de 169.254.0.1 a 169.254.255.254. O uso de um desses endereos auto-configurados garante que os clientes situados em uma sub-rede de Servidor DHCP inacessvel possam se comunicar com outros clientes. Enquanto isso, o cliente DHCP continua buscando um Servidor DHCP disponvel a cada cinco minutos. Quando um Servidor DHCP estiver disponvel, os clientes recebero endereos IP vlidos, permitindo que esses clientes se comuniquem com clientes na sua sub-rede e em outras. O cliente DHCP envia um pacote DHCPREQUEST ao Servidor DHCP. O pacote DHCPREQUEST a mensagem que um cliente envia ao Servidor DHCP para solicitar ou renovar sua concesso de IP. O cliente DHCP responde ao primeiro pacote DHCPOFFER que recebe com uma transmisso de DHCPREQUEST para aceitar a oferta. O pacote DHCPREQUEST inclui a identificao do servidor que o ofereceu e o cliente que o aceitou. Todos os outros servidores DHCP posteriores eliminam suas ofertas e mantm seus endereos de IP para outras concesses.
O Servidor DHCP envia um pacote DHCPACK ao cliente DHCP. O pacote DHCPACK uma mensagem que o Servidor DHCP envia a um cliente como confirmao de recebimento e finalizao do processo de concesso. Essa mensagem contm uma concesso vlida para endereo IP e outros dados de configurao IP. Quando o cliente DHCP recebe a confirmao de recebimento, ele inicia o TCP/IP usando a configurao IP prevista pelo Servidor DHCP. Nota: Voc pode ver todo o processo de concesso capturando os pacotes com o Monitor de Rede. Lembrese de que o cliente e o servidor utilizam as portas 67 e 68 UDP. Para realizar o processo em ambientes seguros, ser necessrio permitir a comunicao dessas portas entre o cliente e o servidor.
2.4 Como funciona o processo de Renovao de Concesso do DHCP?
2.4.1. Definies
Processo de Renovao de Concesso de DHCP o processo pelo qual um cliente DHCP renova ou atualiza seus dados de configurao IP com o Servidor DHCP. O cliente DHCP renova a configurao IP antes da expirao do tempo de concesso. Se o perodo de concesso expirar e o cliente de DHCP ainda no tiver renovado sua configurao IP, ele perder todos os dados da configurao IP e o processo de Gerao de Concesso de DHCP ser reiniciado.
2.4.2. Perodo de Concesso

O processo de Renovao de Concesso o resultado do valor de tempo da concesso. O valor do perodo de concesso garante que o DHCP mantenha as informaes de IP e que os clientes atualizem ou renovem regularmente seus dados de configurao IP. Com o DHCP, possvel manter essas informaes e administrar o endereamento IP do Servidor DHCP. O cliente deve renovar sua configurao IP antes da expirao do perodo de concesso. Em intervalos especficos, um cliente DHCP tenta renovar sua concesso para garantir que a sua configurao mantenha-se atualizada. Em qualquer momento durante o perodo de concesso, o cliente DHCP pode enviar um pacote de DHCPRELEASE ao servidor DHCP para liberar a configurao IP e cancelar o restante da concesso.
2.4.3. Processo automtico "Renovao de Concesso"

Um cliente DHCP tenta renovar automaticamente sua concesso em 50% do tempo de expirao. O cliente de DHCP tambm tenta renovar sua concesso cada vez que o computador iniciado e, para isso, envia o pacote de DHCPREQUEST ao Servidor DHCP diretamente do qual se obteve a concesso. Se o Servidor DHCP estiver disponvel, ele renova a concesso e envia ao cliente um pacote de DHCPACK com a nova durao da concesso e qualquer parmetro de configurao atualizado. O cliente atualiza sua configurao quando recebe a confirmao. Se o Servidor DHCP no estiver disponvel, o cliente continuar utilizando seus parmetros atuais de configurao. Se o cliente DHCP no conseguir renovar sua concesso na primeira vez, ele enviar uma transmisso DHCPDISCOVER para atualizar sua concesso de endereo quando 87,5 % da durao da concesso tiver expirado. Nessa etapa, o cliente DHCP aceita a concesso que qualquer Servidor DHCP lhe oferea. Se o cliente DHCP reiniciar seu computador e o Servidor DHCP no responder ao pacote DHCPREQUEST, o cliente DHCP tentar se conectar ao Gateway Padro. Se essa tentativa falhar, o cliente deixar de usar o endereo IP. Se o Servidor DHCP responder a um pacote DHCPOFFER para atualizar a concesso do cliente, ele pode renovar sua concesso de acordo com a oferta da mensagem do servidor e continuar a sua operao. Mas se a concesso tiver expirado, o cliente dever suspender imediatamente o uso do endereo IP atual. O cliente DHCP comear o novo processo de Descoberta da Concesso DHCP, tentando obter uma nova concesso de um novo IP. Se o cliente DHCP no receber o IP, ele obter um endereo usando a atribuio automtica de IP no intervalo 169.254.0.0.
2.4.4. Processo manual de Renovao de Concesso

Se precisar atualizar a configurao DHCP imediatamente, voc pode renovar manualmente a concesso de IP. (Por exemplo, se quiser que os clientes DHCP obtenham rapidamente o endereo do Servidor DHCP de um novo roteador instalado na rede, renove a concesso do cliente para atualizar a configurao.) Comando: ipconfig /renew
2.5. Exerccio 1: Como adicionar o servio de Servidor DHCP?
Para adicionar um servidor DHCP, voc dever instalar o Servio de DHCP em um computador executando o Microsoft Windows Server 2003. Antes de adicionar o servio de Servidor DHCP: Verifique se a configurao IP no servidor est correta. Verifique se a configurao IP do servidor contm um endereo IP esttico e uma mscara subrede em ambientes roteados de um gateway padro. Verifique se a conta do usurio tem as permisses corretas.
Para adicionar o servio de Servidor DHCP: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Inicie a sesso usando uma conta no administrativa. Clique em Iniciar e depois em Painel de Controle. Abra as Ferramentas Administrativas no Painel de Controle e clique direto em Gerenciar o Servidor, selecionando Executar como... (mantenha pressionada a tecla Shift e clique com o boto direito do mouse sobre o cone, selecionando a opo Executar como...) Selecione O seguinte usurio na caixa Executar como e insira uma conta de usurio e senha que tenham permisses apropriadas para realizar a tarefa, clicando em OK. Clique em Adicionar ou remover uma funo na janela do Gerenciar o Servidor. Clique em Avanar na pgina Etapas preliminares. Selecione Servidor DHCP no assistente e em Avanar. Clique em Avanar na pgina Resumo das Selees. Clique em Cancelar no assistente de novo escopo para no criar o escopo nesse momento. Clique em Concluir no assistente.
2.6. Como autorizar o servio do Servidor DHCP?
2.6.1. Definies
A autorizao do DHCP o processo de registrar o servio de Servidor DHCP em um domnio do Servio Active Directory, com o propsito de oferecer suporte aos clientes DHCP. A autorizao de DHCP somente para Servidores DHCP que executam o Windows Server 2003 e o Windows 2000 no Active Directory.
2.6.2. Por que autorizar o Servidor DHCP?

Autorizar o Servidor DHCP permite controlar o acrscimo dos servidores DHCP ao domnio. A autorizao deve ocorrer antes de o servidor DHCP poder entregar essas concesses a clientes DHCP. Solicitar a autorizao de Servidores DHCP evita que os servidores DHCP desautorizados ofeream endereos IP invlido aos clientes. Se voc estiver configurando um servidor DHCP, a autorizao deve ser parte do domnio Active Directory. Se voc no autorizar o Servidor DHCP no Active Directory, o servio de DHCP no poder
ser iniciado corretamente e, portanto, o servidor DHCP no poder responder aos pedidos dos clientes. O Servidor DHCP controla o endereamento IP enviado aos clientes DHCP na rede. Se o Servidor DHCP for configurado de forma incorreta, os clientes recebero uma configurao incorreta do endereamento IP.
2.6.3. Por que um Servidor DHCP autorizado exige o Active Directory?

O Active Directory necessrio para autorizar um Servidor DHCP. Com o Active Directory, os Servidores DHCP no autorizados no podem responder aos pedidos dos clientes. O servio do Servidor DHCP, em um servidor membro do Active Directory, verifica o seu registro em um controlador de domnio do Active Directory. Se o Servidor DHCP no estiver registrado, o servio no se iniciar e conseqentemente o Servidor DHCP no designar endereos aos clientes.
2.6.4. Servidor DHCP Autnomo

Em determinadas situaes, um Servidor DHCP executando o Windows 2000 ou o Windows Server 2003 iniciado se no estiver autorizado. Se o Servidor DHCP executando o Windows Server 2003 ou o Windows 2000 estiver instalado como autnomo, ele no membro do Active Directory. E se estiver situado em uma sub-rede onde o DHCPINFORM no ser transmitido a outros servidores DHCP, o servio do Servidor DHCP inicializar e fornecer concesses a clientes na sub-rede. Um servidor autnomo executando o Windows 2000 ou o Windows Server 2003 envia um pacote de transmisso DHCPINFORM. Se no houver resposta ao pacote DHCPINFORM, o servio do Servidor DHCP ser iniciado e comear a atender os clientes. Se um servidor DHCP autorizado receber um pacote DHCPINFORM, ele responde com um pacote DHCPACK e o servio de Servidor DHCP pra. Um servidor DCHP autnomo continua funcionando se voc receber um DHCPACK de outro Servidor DHCP que no seja membro do Active Directory.
2.7. Exerccio 2: Como autorizar o servio de Servidor DHCP?

IMPORTANTE: S faa esse exerccio depois de ter concludo a teoria e o exerccio do Captulo 4. Para autorizar o servio de Servidor DHCP, um membro do grupo Administradores Corporativos o adiciona a uma lista de Servidores DHCP, que podem fornecer servios a clientes DHCP no domnio. O processo de autorizao funciona somente com servidores executando o Windows Server 2003 e o Windows 2000 em um domnio. A autorizao no possvel se os Servidores DHCP executarem verses anteriores como o Microsoft Windows NT ou outros softwares de Servidor DHCP. Para autorizar o servio do Servidor DHCP: 1. 2. 3. 4. Abra o console DHCP. Selecione o servidor no console Clique em Autorizar no menu Ao. Para se certificar de que o servidor DHCP esteja autorizado: no console, pressione F5 para atualizar a tela e verificar se agora o Servidor DHCP pode ser visualizado com uma seta verde para cima.
Captulo 3 | Pgina 9 | 2.8. O que so os escopos do DHCP?
2.8.1. Definio
Um escopo um intervalo de endereos IP vlidos disponveis para atribuir aos computadores cliente em uma sub-rede em particular. Voc pode configurar um escopo no servidor DHCP para determinar o grupo de endereos IP que esse servidor atribuir aos clientes. Os escopos determinam os endereos IP atribudos aos clientes. Voc deve definir e ativar um escopo antes que os clientes possam usar o Servidor DHCP para uma configurao dinmica de TCP/IP. Da mesma forma, pode-se configurar tantos escopos quanto forem necessrios no servidor DHCP para seu ambiente de rede.
2.8.2. Propriedades do escopo

Um escopo tem as seguintes caractersticas: ID de Rede: A ID de Rede para o intervalo de endereos IP Mscara de sub-rede: A mscara de sub-rede para a ID de Rede Intervalo de endereo de IP de rede: O intervalo de endereos IP disponveis para os clientes Durao de concesso: O perodo de tempo que o Servidor DHCP atribui ao endereo do cliente Roteador: O endereo do Gateway padro Nome do escopo: Identificador para fins administrativos Intervalo de excluso: O intervalo de endereos IP excludos para a atribuio. Cada sub-rede pode ter um escopo de DHCP que contenha um intervalo nico e contnuo de endereos IP. Endereos especficos ou grupos de endereos podem ser excludos do intervalo do escopo de DHCP. Em geral, somente um escopo pode ser atribudo a uma sub-rede. Se mais de um escopo for necessrio em uma sub-rede, eles devero ser criados primeiro e depois combinados em um superescopo.
Captulo 3 | Pgina 10 | 2.9. Prtica 3: Como configurar um Escopo de DHCP?

Para configurar um Escopo de DHCP: 1. 2. 3. 4. 5. 6. Abra o console DHCP. Clique no Servidor DHCP do console. Clique em Novo escopo no menu Ao, Clique em Avanar no Assistente para novos escopos. Configure o Nome e a Descrio na pgina Nome do Escopo. Configure, na pgina Intervalo de endereo IP, o endereo IP inicial 192.168.1.1, o endereo IP final 192.168.1.254 e a mscara de sub-rede 255.255.255.0. 7. Configure, na pgina Adicionar excluses, o endereo IP inicial 192.168.1.20 e endereo IP final 192.168.1.30 , se aplicvel. 8. Configure, na pgina Durao da Concesso, os Dias, Horas e Minutos. (O padro de 8 dias). 9. Configure Opes DHCP e selecione No, eu irei configurar estas opes mais tarde. 10. Clique em Concluir na pgina Concluindo o Assistente de Novo Escopo.
Para ativar um Escopo de DHCP: Clique com o boto direito do mouse sobre o escopo do console e em Ativar.
2.10 O que uma reserva de DHCP?

Uma reserva um endereo IP permanente atribudo a um cliente especfico. Voc pode reservar um endereo IP permanente a um dispositivo da rede. A reserva feita no endereo MAC do dispositivo.
2.10.1 Exerccios 4: Atividades para configurar uma reserva de DHCP:

1. 2. 3. 4. Abra o console DHCP. Clique em Reservas do console. Clique em Nova Reserva no menu Ao. Insira, na caixa Nova Reserva, os valores a seguir: a. Nome da reserva b. Endereo IP c. Endereo MAC (sem hfen) d. Descrio Selecione, em Tipos suportados, uma das opes a seguir: a. Both b. DHCP only c. BOOTP only Clique em Adicionar na caixa Novas Reservas e depois em Fechar.
5.
6.
Captulo 3 | Pgina 11 | 2.11. Quais so as opes do DHCP?
As opes do DHCP so os parmetros de configurao que um servio do DHCP atribui aos clientes quando lhes atribui o endereo IP.
2.11.1. Opes comuns de DHCP

Roteador (Gateway padro): o endereo de qualquer gateway padro ou roteador. O roteador normalmente chamado de Gateway Padro. Nome do Domnio: Um nome de domnio DNS define o domnio ao qual um computador cliente pertence. O computador cliente pode utilizar essas informaes para atualizar o Servidor DNS para que outros computadores possam localizar o cliente. Servidores DNS e WINS: So os endereos dos Servidores DNS e WINS para os clientes utilizarem na comunicao da rede.
2.12. Exerccio 5: Como configurar opes de DHCP?

Para configurar uma opo de Servidor DHCP: 1. 2. 3. 4. 5. 6. Abra o console DHCP. Clique em Opes do servidor do console, sob o nome do servidor Clique em Configurar Opes no menu Ao. Selecione a opo que voc deseja configurar na caixa Opes do servidor da lista Opes disponveis. Preencha, em Entrada de dados, as informaes necessrias para configurar essa opo. Clique em OK na caixa Opes do servidor.
Para configurar um Escopo de DHCP: 1. 2. 3. 4. Abra o console DHCP e sob o escopo apropriado, clique em Opes do escopo. Clique em Configurar Opes no menu Ao. Selecione, na caixa Opes do Escopo, a opo que voc deseja configurar na lista Opes Disponveis Preencha, em Entrada de dados, as informaes necessrias para configurar essa opo.
5. Clique em OK na caixa Opes do escopo.
2.13. O que o Agente de Retransmisso DHCP?
2.13.1. Definio
O DHCP Relay Agent um computador ou roteador configurado para escutar a transmisso DHCP/BOOTP de clientes DHCP e reenviar essas mensagens aos Servidores DCHP em sub-redes diferentes. Os Agentes de Retransmisso DHCP/BOOTP so parte dos padres DHCP e BOOTP e funcionam segundo os documentos padro Request for Comments (RFCs) que descrevem o design do protocolo e o comportamento relacionado. Um Roteador Compatvel RFC 1542 um roteador que suporta o reenvio de trfego de transmisso DHCP. Os clientes DHCP utilizam broadcasts para obter a concesso do Servidor DHCP. Os roteadores normalmente no deixam estes broadcasts passarem, exceto quando esto configurados especificamente para deix-las passar. No entanto, sem configurao adicional, os Servidores DHCP s fornecem endereos IP a clientes na sub-rede local. Para que voc possa atribuir endereos a clientes em outros segmentos, preciso configurar a rede para que os broadcasts DHCP possam chegar do cliente ao Servidor DCHP. Isso pode ser feito de duas formas: configurando os roteadores que conectam as sub-redes para deixar passar os broadcasts DHCP ou configurando o Agente de Retransmisso do DCHP. O Windows Server 2003 aceita o servio de Roteamento e Acesso Remoto configurado para funcionar como Agente de Retransmisso do DHCP.
Captulo 3 | Pgina 13 | 2.14. Como funciona o Agente de Retransmisso de DHCP?
O Agente de Retransmisso de DHCP oferece suporte Gerao de Concesso entre o cliente de DHCP e o Servidor DHCP, quando so separados por um roteador. Ele permite que o cliente DHCP receba um endereo IP de Servidor DHCP. Os passos a seguir descrevem o funcionamento do Agente de Retransmisso de DHCP: 1. 2. 3. 4. 5. 6. 7. 8. O cliente DHCP envia um broadcast de pacote DHCPDISCOVER. O Agente de Retransmisso de DHCP, a partir da sub-rede do cliente, reenvia a mensagem DHCPDISCOVER ao Servidor DHCP usando unicast. O Servidor DHCP usa unicast para enviar a mensagem DHCPOFFER ao Agente de Retransmisso de DHCP. O Agente de Retransmisso de DHCP envia um pacote broadcast DHCPOFFER ao cliente DHCP na sua sub-rede. O cliente DHCP envia um pacote broadcast DHCPREREQUEST. O Agente de Retransmisso de DHCP, a partir da sub-rede do cliente, reenvia a mensagem DHCPREQUEST ao Servidor DHCP usando unicast. O Servidor DHCP usa unicast para enviar a mensagem DHCPACK ao Agente de Retransmisso de DHCP. O Agente de Retransmisso de DHCP envia um pacote broadcast DHCPACK ao cliente DHCP na sua sub-rede.
Captulo 3 | Pgina 14 | 2.14.1 Exerccio 6: Como configurar o Agente de Retransmisso de DHCP?
Para adicionar um Agente de Retransmisso de DHCP: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Abra o console de Roteamento e Acesso Remoto. Clique com o boto direito do mouse no servidor e depois em Configurar e ativar o Roteamento e Acesso Remoto. Clique em Avanar na janela do assistente Bem-vindo ao Assistente para Configurao do Servidor de Roteamento e Acesso Remoto. Selecione Configurao personalizada na pgina Configuraes e clique em Avanar. Selecione Roteamento da LAN na pgina Configurao personalizada e clique em Avanar. Clique em Concluir na pgina Concluindo o Assistente de Configurao do Roteamento e Acesso Remoto. Clique em Sim na caixa de aviso Roteamento e Acesso Remoto, para iniciar o servio. Expanda o servidor e o Roteamento IP no console e selecione Geral. Clique com o boto direito do mouse em Geral e depois em Novo Protocolo de Roteamento.... Clique em DHCP Relay Agent na caixa Novo Protocolo de Roteamento e depois em OK.
Para configurar o endereo IP do Servidor DHCP no Agente de Retransmisso de DHCP: 11. 12. 13. 14. 15. Abra o console de Roteamento e Acesso Remoto. Selecione Agente de Retransmisso DHCP no console. Clique com o boto direito do mouse em Agente de Retransmisso DHCP e depois em Propriedades. Insira o endereo IP do Servidor DHCP que receber os pedidos DHCP em Geral no campo Endereo do servidor. Clique em Adicionar e depois em OK.
Para habilitar o Agente de Retransmisso de DHCP em uma interface de roteador: 16. 17. 18. 19. Selecione Agente de Retransmisso DHCP no console. Clique com o boto direito do mouse em Agente de Retransmisso DHCP e depois em Nova Interface. Selecione a interface que quiser ativar o Agente de Retransmisso de DHCP e depois clique em OK. Verifique se est selecionada a caixa Retransmitir pacotes DHCP em Geral, da caixa Propriedades de Retransmisso DHCP, em Geral. Clique em OK.
Para obter mais informaes sobre o DHCP: http://support.microsoft.com/default.aspx?scid=kb;en-us;323416 http://support.microsoft.com/default.aspx?scid=kb;en-us;325473 http://support.microsoft.com/default.aspx?scid=kb;en-us;323416 http://support.microsoft.com/default.aspx?scid=kb;en-us;323360 http://support.microsoft.com/default.aspx?scid=kb;en-us;323355
Captulo 3 | Pgina 15 | 3. Descrio de Sistema de Nomes de Domnio

O DNS um servio de resoluo de nomes que resolve endereos amigveis (como www.microsoft.com) em endereos IP (como 192.168.0.1). Sistema de Nomes do Domnio (DNS) um banco de dados hierrquico distribudo que mapeia nomes de hosts DNS a endereos IP. O DNS permite a localizao de computadores e servios usando nomes alfanumricos mais fceis de lembrar. O DNS tambm permite a localizao de servios de rede, como Servidores de E-mail e Controladores de Domnio no Active Directory. No DNS, os nomes de host residem em um banco de dados distribudo em mltiplos servidores, reduzindo a carga em um servidor e a capacidade para administrar esses sistemas de nomes. Alm disso, como o banco de dados DNS distribudo, o seu tamanho ilimitado e o funcionamento no sofre prejuzos quando servidores adicionais so adicionados. O InterNIC responsvel por delegar responsabilidade administrativa de partes do espao de nome do domnio e tambm por registrar nomes de domnio. Estes ltimos so administrados atravs do uso do banco de dados distribudo e armazenados em Servidores de Nomes, localizados em toda a rede. Cada Servidor de Nomes contm arquivos de bancos de dados que possuem informaes para uma regio, domnio, etc, criando assim uma hierarquia. Para obter mais informaes sobre o InterNic: http://www.internic.net
3.1 O Que Espao do Nome do Domnio?
O Espao de Nome de Domnio uma rvore de nomes hierrquica que utiliza o DNS para identificar e localizar um host em um determinado domnio, em relao raiz da rvore. Os nomes no banco de dados DNS estabelecem uma estrutura lgica chamada Espao de Nome de Domnio que identifica a posio de um domnio na rvore e em seu domnio superior. A converso principal simplesmente: para cada nvel de
domnio, um ponto (.) utilizado para separar cada descendente do subdomnio e do seu domnio de nvel superior. O Fully Qualified Domain Name (FQDN) o nome do domnio de DNS que indica com certeza a localizao do host a que ele se refere e a sua localizao no Espao de Nome do Domnio.
3.1.1 Exerccio 7: Como instalar o servio de Servidor DNS?

Para adicionar um servidor DNS, voc dever instalar o servio de DNS em um computador executando o Microsoft Windows Server 2003. Antes de adicionar o servio de Servidor DNS: Verifique se a configurao IP no servidor est correta. Verifique se a configurao IP do servidor possui um endereo IP esttico, uma mscara de sub-rede e um gateway padro em ambiente roteado. Verifique se a conta do usurio tem as permisses corretas. Para adicionar o servio de Servidor DNS: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Inicie a sesso usando uma conta no administrativa. Clique em Iniciar e depois em Painel de Controle. Abra as Ferramentas Administrativas no Painel de Controle e clique com o boto direto do mouse em Gerenciar o Servidor, selecionando Executar como... Selecione O seguinte usurio na caixa Executar como, insira uma conta de usurio e senha que tenha permisses apropriadas para realizar a tarefa e clique em OK. Clique em Adicionar ou remover uma funo na janela Gerenciar o Servidor. Clique em Avanar na pgina Etapas Preliminares. Selecione Servidor DNS no assistente e clique em Avanar. Clique em Avanar na pgina Resumo das Selees. Insira o CD do Microsoft Windows Server 2003, se for solicitado. Clique em Cancelar na pgina Bem-vindo ao Assistente de Configurao do Servidor DNS. Clique em Concluir na pgina Configurar o Servidor.
3.2 O que uma consulta de DNS?

Uma Consulta uma solicitao de resoluo do nome enviado a um servidor DNS. Existem dois tipos de consulta: Recursiva e Iterativa.
Captulo 3 | Pgina 17 | 3.2.1 Como funciona uma Consulta Recursiva?
Uma Consulta Recursiva uma solicitao de resoluo ao Servidor DNS, no caso do cliente realizar a consulta diretamente no Servidor DNS. A nica resposta aceitvel para uma Consulta Recursiva a resposta completa ou a resposta onde o nome pode ser solucionado. Uma Consulta Recursiva nunca redirecionada a outro servidor DNS. Se o DNS consultado no obtiver uma resposta do seu prprio banco de dados ou do cache, a resposta um erro, indicando que no possvel solucionar o nome.
3.2.1 Como funciona uma Consulta Iterativa?
Diferente das Consultas Recursivas, em que um cliente faz um pedido de resoluo e o Servidor DNS no obtm a resposta da sua prpria base ou do cache, a Consulta Iterativa consulta outros Servidores DNS em nome do cliente para devolver a resposta. Exemplo: quando voc precisa acessar um site na Internet, normalmente consulta o DNS de seu ISP, e ele se encarrega de entrar em contato com outros Servidores DNS at obter uma resposta. Mas analise o seguinte:
impossvel na Internet que o DNS do seu ISP contenha todas as solues possveis em toda a Internet; por isso, os bancos de DNS distribuem e resolvem nomes de forma Iterativa uns para os outros.
3.2.3 Como funciona o cache de Servidores DNS?
Caching o processo temporrio de armazenar informaes recentes que resulta em um subsistema especial da memria para um acesso mais rpido. Quando um servidor est processando uma Consulta Recursiva, possvel que seja necessrio o envio de vrias consultas para se encontrar resposta definitiva. Na pior das hipteses, para solucionar um nome, o servidor local inicia na Raiz do DNS e comea a trabalhar para baixo at encontrar seus dados solicitados. O servidor guarda as informaes da resoluo em seu cache por um tempo determinado. Este perodo de tempo denominado TTL (Tempo de Vida) e especificado em segundos. O administrador do servidor que contm a primeira zona onde esto os dados decide o valor do TTL. Quanto menor for o valor de TTL, mais fcil ser manter dados consistentes em caso de modificaes. No entanto, ele tambm gera mais carga de trabalho para o Servidor de Nomes. Depois que o Servidor DNS salva no cache os dados, o TTL comea a diminuir at chegar a 0 (zero) e, nesse ponto, o registro eliminado do cache do Servidor DNS. Enquanto o valor de TTL est ativo, o Servidor DNS soluciona os pedidos utilizando o registro de cache.
Captulo 3 | Pgina 19 | 3.3. Exerccio 8: Como configurar as propriedade do servio de Servidor DNS?
Para configurar propriedades do servio de Servidor DNS, voc precisa atualizar as Dicas da Raiz do Servidor DNS. As Dicas de Raiz determinam se o seu servidor consulta a raiz da Internet ou se a raiz um servidor interno. Para atualizar as Dicas de Raiz no Servidor DNS: 1. 2. 3. 4. Abra o console de DNS. Selecione o servidor apropriado no console de DNS. Clique em Propriedades do menu Ao. Em Root Hints, voc pode clicar em: Adicionar, para adicionar um Servidor de Nomes. Adicione o IP do seu servidor. Editar, para editar um Servidor de Nomes. Remover, para sair de um Servidor de Nomes. Copiar do Servidor, para copiar a lista de Servidores de Nome de outros Servidor DNS. Clique em OK para fechar a caixa Propriedades. Feche o console de DNS.
5. 6.
3.4 Como os dados de DNS so armazenados e mantidos?
Uma zona uma parte contgua do espao dos nomes de domnio no qual um servidor DNS tem autoridade para solucionar consultas de DNS. O espao de nomes de DNS pode se dividir em zonas diferentes, que armazenam informaes de nomes sobre um ou vrios domnios de DNS, ou parte deles. Para cada nome de domnio de DNS includo em uma zona, ele se converte em origem autorizada das informaes sobre este domnio. Antes de criar zonas, preciso compreender os conceitos a seguir: Tipos de zonas. Os servidores DNS podem alojar vrios tipos de zona. Para limitar o nmero de servidores DNS na rede, possvel configurar apenas um que permita ou aloje vrias zonas. Tambm possvel configurar vrios servidores para armazenar uma ou mais zonas com o objetivo de oferecer tolerncia a falhas e distribuir a carga de trabalho administrativa e de resoluo de nomes.
Arquivo de zona. Os registros de recursos que so armazenados em um arquivo de zona servem para sua prpria definio. O arquivo de zona armazena informaes utilizadas para converter nomes de hosts em endereos IP e vice-versa. Importante: Para criar zonas e administrar um servidor DNS que no executado em um controlador de domnio, preciso ser membro do grupo de administradores dessa mquina. Para configurar um servidor DNS que executado em um controlador de domnio, preciso ser membro dos grupos de administradores de DNS, administradores de domnio ou administradores da empresa (Enterprise).
3.4.1. Identificao de tipos de zonas
Na tabela seguinte, esto descritos os quatro tipos de zonas que podem ser configurados e os arquivos de zona associados a elas. Primria Padro: Contm uma verso de leitura e gravao do arquivo da zona que armazenado em um arquivo de texto padro. As modificaes realizadas na zona so registradas nesse arquivo. Secundria Padro: Contm uma verso de leitura somente do arquivo da zona que armazenado em um arquivo de texto padro. As modificaes realizadas na zona so registradas no arquivo da zona primria e replicadas no arquivo da zona secundria. Crie uma zona secundria padro para criar uma cpia de uma zona existente e do seu arquivo de zona. Dessa forma, pode-se distribuir a carga de trabalho da resoluo de nomes entre vrios servidores DNS. Integrada ao Active Directory: Em vez de armazenar as informaes de zona em um arquivo de texto, elas so armazenadas no Active Directory. As atualizaes da zona so automaticamente realizadas durante a replicao do Active Directory. Crie uma zona integrada do Active Directory para simplificar o planejamento e a configurao de um espao de nomes de DNS. No necessrio configurar servidores DNS para especificar como e quando sero feitas as atualizaes, j que o Active Directory mantm as informaes da zona.
Zona Stub: A zona Stub so cpias de uma zona que contm somente os registros necessrios para identificao no servidor DNS de autorizao dessa zona. Uma zona stub contm um subconjunto de dados da zona que consiste em registros SOA, NS e A. As zonas Stub podem ser utilizadas quando um servidor interno DNS representa a raiz no lugar dos Servidores de Raiz da Internet.
3.4.1.1 Zona Primria Padro

O servidor principal de uma zona atua como ponto de atualizao da zona. As zonas recmcriadas so sempre desse tipo. Com o Windows Server 2003, as zonas primrias podem ser utilizadas de uma das duas formas: como zonas padro primrias ou como zonas primrias integradas com o Active Directory. Na zona primria padro, apenas um servidor pode armazenar e carregar a cpia mestre da zona. Se voc criar uma zona e a mantiver como zona primria padro, nenhum servidor principal adicional ter permisso para acessar a zona. Apenas um servidor pode aceitar atualizaes dinmicas e processar as modificaes da zona. O modelo primrio padro define um ponto de concentrao de falhas. Por exemplo, se, por qualquer motivo, o servidor primrio de uma zona no estiver disponvel para a rede, no possvel realizar nenhuma atualizao dinmica da zona. Lembre-se de que as consultas de nomes nas zonas no so afetadas e podem prosseguir sem interrupo sempre que os servidores secundrios da zona estejam disponveis para respond-las. O acrscimo da nova zona primria a um servidor existente pode ser concludo sempre que preciso ter domnios ou subdomnios adicionais no espao de nomes de domnio de DNS. Por exemplo, era possvel ter uma zona para um domnio de segundo nvel como mcrosoft.com e adicionar uma zona principal ao novo subdomnio como nwtraders.msft. Nesse exemplo, possvel criar a zona nova para o subdomnio com o assistente para configurao da nova zona do complemento de DNS. Depois de finalizar, preciso criar uma delegao na zona primria do novo domnio (como a zona microsoft.com) para completar o acrscimo do novo subdomnio e a sua zona primria. Nas zonas primrias padro, pode ser necessrio trocar o servidor primrio designado para uma zona. Por exemplo, suponhamos que o servidor primrio atual de uma zona primria padro seja o Servidor A e o novo servidor primrio da zona seja o Servidor B. Para influir na mudana do estado do Servidor A para o Servidor B, faa as seguintes modificaes de zona: 1. 2. Adicione um novo registro de recursos (RR) de host (A) para o Servidor B. Atualize o registro de recursos de servidor de nomes (NS) da zona para sair do Servidor A e incluir o Servidor B como servidor autorizado e configurado, que aponta para o novo registro de recursos RR A adicionado ao passo 1. Revise o nome do campo do proprietrio de registro de recursos de incio de autoridade (SOA) para a zona do Servidor A ao Servidor B. Remova o registro de recursos A antigo do Servidor A. Teste a zona principal para garantir que os registros de delegao (registros de recursos NS ou A) utilizados se atualizem para fazer referncia ao Servidor B.
3. 4. 5.
3.4.1.2 Zonas Padro Secundrias

As especificaes de design do DNS recomendam o uso de, pelo menos, dois servidores DNS para armazenar cada zona. Para as zonas de tipo padro primrias, preciso ter um servidor secundrio para adicionar e configurar a zona que aparece antes dos servidores DNS da rede. Os servidores secundrios podem proporcionar um meio para reduzir o trfego de consultas de DNS nas reas da rede em que uma zona seja muito consultada e utilizada. Alm disso, se um servidor primrio parar de funcionar, o servidor secundrio pode realizar parte da resoluo de nomes na zona at que o servidor primrio esteja disponvel.
Ao instalar um servidor secundrio, tente coloc-lo o mais prximo possvel dos clientes que precisam de mais nomes na zona. Alm disso, tambm recomendvel colocar os servidores secundrios atravs de um roteador, seja em outras sub-redes (se for utilizada uma rede LAN) ou em links de WAN. Deste modo, utiliza-se de forma eficaz um servidor secundrio como cpia de segurana local nos casos em que um link de rede intermedirio convertido em um ponto de concentrao de falhas entre servidores e clientes de DNS que utilizam a zona. Como o servidor primrio sempre mantm a cpia mestre das atualizaes e mudanas efetuadas na zona, o servidor secundrio depende de mecanismos de transferncias de zonas de DNS para obter suas informaes e mant-las atualizadas. Algumas questes como os mtodos de transferncia de zona, sejam mediante transferncias de zona completas ou adicionais, so simplificadas quando so utilizados servidores secundrios. Ao considerar o impacto dos servidores secundrios nas transferncias de zona, considere sua vantagem como origem da cpia de segurana de informaes e compare-a com o custo agregado estimado da infra-estrutura de rede. Uma regra simples que para cada servidor secundrio adicionado aumenta o uso da rede (devido ao trfego adicional gerado na replicao de zona) e o tempo necessrio para sincronizar a zona em todos os servidores secundrios.
3.4.1.3 Zonas Integradas ao Active Directory

No Windows Server 2003, possvel adicionar mais servidores principais a uma zona devido s caractersticas integradas de armazenamento e replicao de diretrios do servio de DNS. Para isso, necessrio trocar uma zona e integr-la ao Active Directory. Para integrar uma zona existente ao Active Directory, modifique o tipo de uma zona no servidor principal de origem onde ela foi criada pela primeira vez. Quando o tipo de zona for trocado de padro principal para Integrada ao Active Directory, possvel adicionar a zona a outros servidores DNS. Para isso, preciso configur-las para iniciar a partir dos servios de diretrio quando o servio de DNS for reiniciado. Quando essa opo selecionada, outros servidores DNS que funcionam como controladores de domnio para o domnio do Active Directory podem consultar o diretrio e carregar automaticamente todas as zonas integradas a ele armazenadas no banco de dados de diretrios. No preciso executar nenhum outro passo. Qualquer servidor DNS que funcione como parte do Active Directory tambm, de forma predeterminada, servidor principal das zonas integradas ao diretrio. Nas zonas principais integradas ao diretrio, os servidores secundrios so admitidos, mas no so necessrios para oferecer tolerncia a erros. Por exemplo, os servidores DNS que funcionam como controladores de domnio do Windows Server 2003 podem ser servidores principais redundantes de uma zona e oferecer as mesmas vantagens que um servidor secundrio, alm de outras adicionais. Como o arquivo de zona se mantm no contexto de nomes de domnio do Active Directory, os controladores de domnio devem estar no mesmo domnio para atuar como servidores principais redundantes em uma zona. Quando for necessrio compartilhar essas informaes de zona entre domnios, dever ser criada uma zona secundria padro. Nota: Esse tipo de zona ser visto com mais clareza no captulo 4 "Active Directory".
Captulo 3 | Pgina 23 | 3.5 O que so os Registros de Recursos e Tipos de Recursos?
Os arquivos de zona contm informaes sobre as quais um servidor DNS faz referncia para realizar duas tarefas distintas: converter nomes de host em endereos IP e converter endereos IP em nomes de host. Essas informaes so armazenadas como registros de recursos que preenchem o arquivo de zona. Um arquivo de zona contm os dados de resoluo de nomes de uma zona, incluindo registros de recursos com informaes para responder a consultas DNS. Os registros de recursos so entradas do banco de dados que incluem vrios atributos de uma mquina, como o nome do host ou o nome do domnio completo, o endereo IP e o alias. Os servidores DNS podem conter os seguintes tipos de registros de recursos: A (host): Contm informaes de atribuies de nome a endereos IP utilizados para atribuir um nome de domnio de DNS a um endereo IP de host na rede. Os registros de recursos A tambm so conhecidos como registros de host. NS (servidor de nomes): Designa os nomes de domnio de DNS dos servidores com autorizao para uma determinada zona ou uma zona que contenha o arquivo de zona desse domnio. CNAME (nome cannico): Permite fornecer nomes adicionais a um servidor que j tem um nome em um registro de recursos A. Por exemplo, se o servidor chamado webserver1.nwtraders.msft armazenar o site da Web de nwtraders.msft, o seu nome comum deve ser www.nwtraders.msft. Os registros de recursos CNAME tambm so conhecidos como registros de alias. MX (mail exchanger): Especifica o servidor que aplicativos de correio eletrnico podem entregar correspondncia. Por exemplo, se voc tiver um servidor de correio em execuo em um equipamento chamado mail1.nwtraders.msft e quiser que todo a correspondncia de NomedeUsurio@nwtraders.msft seja entregue nesse servidor, necessrio que o registro de recursos MX exista na zona de nwtraders.msft e aponte ao servidor de correio desse domnio.
SOA (Start Of Authority): Indica o ponto de partida ou o ponto de origem da autoridade para as informaes armazenadas em uma zona. O registro de recursos SOA o primeiro que criado quando uma nova zona adicionada. Ele tambm possui vrios parmetros que outros equipamentos que usam DNS utilizam para determinar por quanto tempo a informao da zona ser utilizada e com que freqncia as atualizaes devem ser realizadas. PTR (ponteiro): Se voc utilizar uma zona de pesquisa inversa criada no domnio in-addr.arpa para designar uma atribuio inversa de um endereo IP de host a um nome de domnio DNS de host. SRV (servio): onde so registrados os servios para os quais os clientes podem encontrar um servio mediante DNS. Os registros SRV so utilizados para identificar servios no Active Directory e tambm so conhecidos como registros de localizao de servio.
3.6 Criao de zonas de pesquisa padro
Na maioria das pesquisas de DNS, os clientes costumam realizar uma busca direta, que uma solicitao para designar um nome de equipamento a um endereo IP. O DNS tambm fornece um processo de pesquisa inversa que permite que os clientes solicitem um nome do equipamento conforme o endereo IP do equipamento.
3.6.1. Criao de uma zona de pesquisa direta

Para criar uma zona de pesquisa direta, clique em Nova zona... em Zona de pesquisa direta para iniciar o Assistente de nova zona. O assistente o guiar pelo processo de atribuio de nomes zona
e ao arquivo de zona, e tambm criar automaticamente a zona, o arquivo de zona e os registros de recursos necessrios para o servidor DNS onde foi criada a zona.
3.6.2. Criao de uma zona de pesquisa inversa

Para criar uma zona de pesquisa inversa, clique em Nova zona... em Zona de pesquisa inversa para iniciar o Assistente de nova zona. O assistente indica como especificar a identificao da rede ou o nome da zona e como comprovar o nome do arquivo de zona segundo as informaes de identificao da rede. Tambm so automaticamente criados a zona, o arquivo de zona e o registro de recursos necessrios para o servidor DNS onde a zona foi criada. O domnio in-addr.arpa um domnio DNS especial de nvel superior que est reservado para a atribuio inversa de endereos IP nos nomes do host de DNS. Para criar o espao de nomes inverso, so formados subdomnios no domnio in-addr.arpa com a ordem inversa dos nmeros em notao decimal com pontos dos endereos IP. Para cumprir os padres RFC, o nome da zona de pesquisa inversa exige o sufixo do domnio inaddr.arpa. Para criar uma zona de pesquisa inversa, este sufixo automaticamente adicionado ao final da identificao da rede. Por exemplo, se a rede utiliza o identificador de rede de classe B 172.16.0.0, o nome da zona de pesquisa inversa convertido em 16.172.in-addr.arpa.
3.7. Configurao de zonas padro

Para cada zona, o servidor que mantm os arquivos de zona primria padro chamado de servidor primrio, e os servidores que armazenam os arquivos de zona secundria padro so chamados servidores secundrios. Um servidor DNS pode armazenar o arquivo de zona primria padro (como servidor primrio) de uma zona e o arquivo de zona secundria padro (como servidor secundrio) de outra zona. Para configurar um ou vrios servidores DNS para armazenar: Uma ou vrias zonas primrias padro. Uma ou vrias zonas secundrias padro. Uma combinao de zonas primrias padro e zonas secundrias padro. Nota: Para criar uma zona secundria padro, preciso criar primeiro uma zona primria padro.
3.7.1 Especificao de um Servidor DNS Mestre para uma zona secundria

Ao adicionar uma zona secundria padro, preciso designar um ou vrios servidores DNS de onde obter informaes de zona. O servidor ou os servidores designados so conhecidos como Servidores DNS Mestres. Um Servidor DNS Mestre transfere informaes da zona ao servidor DNS secundrio. Voc pode designar um servidor primrio ou outro servidor secundrio como Servidor DNS Mestre para una zona secundria padro. Para especificar um Servidor DNS Mestre na pgina Servidores Mestres no Assistente de nova zona, insira o endereo IP do Servidor Mestre na caixa de Endereo IP e clique em Adicionar.
3.8 Exerccio 9: Configurar as zonas DNS

Configurar uma zona de pesquisa do tipo primrio Nome de zona: nwtraders.msft
Depois de concluir essa tarefa, voc obter uma zona primria configurada. Abra o console DNS. Clique com o boto direito do mouse no Servidor DNS do console de DNS e depois em Nova zona... Clique em Avanar na pgina Bem-vindo ao Assistente de nova zona, Selecione Zona primria na pgina Tipo de Zona e clique em Avanar. Selecione Zona de pesquisa direta na pgina Zona de Pesquisa direta ou inversa, e depois clique em Avanar. 6. Insira o nome de DNS da zona na pgina Nome da Zona, e clique em Avanar. 7. Clique em Avanar na pgina Arquivo de Zona para aceitar os padres. 8. Clique em No permitir atualizaes dinmicas e clique em Avanar. 9. Clique em Concluir na pgina Concluindo o Assistente de nova zona. 10. Feche o console de DNS. 1. 2. 3. 4. 5.
3.9. Processo de transferncia de zona
Para proporcionar disponibilidade e tolerncia a falhas na resoluo de nomes, os dados da zona devem estar disponveis a partir de mais de um servidor DNS de uma rede. Por exemplo, se voc utilizar um nico servidor DNS e ele no responder, as consultas de nomes falharo. Quando voc configura mais de um servidor para armazenar uma zona, preciso realizar transferncias de zonas para replicar e sincronizar os dados da zona entre os servidores que esto configurados para armazen-las.
3.9.1. Transferncia de zona

A transferncia de zona o processo no qual um arquivo de zona se replica em outro servidor DNS. As transferncias da zona so realizadas quando as atribuies de nomes e endereos IP so modificadas no domnio. Quando isso ocorre, os arquivos de zona modificados so copiados do Servidor Mestre para seus servidores secundrios.
3.9.2. Transferncia de zona adicional

No Windows Server 2003, as informaes de uma zona so atualizadas atravs de transferncias de zona adicionais (IXFR), que s replicam as trocas realizadas no arquivo de zona, em vez de replicar todo o arquivo. Os servidores DNS que no aceitam IXFR solicitam o contedo inteiro de um arquivo de zona quando iniciam uma transferncia de zona. Isso conhecido como AXFR ou transferncia de zona completa. O processo de transferncia de zona se inicia quando uma das seguintes situaes ocorre: Um servidor mestre envia ao servidor ou servidores secundrios uma notificao informando que ocorreu uma modificao na zona. Quando o servidor secundrio recebe a notificao, ele verifica as modificaes no Servidor Mestre. Cada servidor secundrio verifica periodicamente um servidor mestre para comprovar se houve modificao no arquivo de zona, mesmo que ele no tenha sido notificado sobre
nenhuma modificao. Isso ocorre quando o servio de Servidor DNS iniciado no servidor secundrio ou durante o intervalo de atualizao no servidor secundrio.
3.10. Introduo s atualizaes dinmicas
Voc pode configurar servidores DHCP para atribuir automaticamente endereos IP para mquinas clientes. Quando um cliente recebe um novo endereo IP de um servidor DHCP, ele deve atualizar as informaes de atribuies de nomes a endereos IP armazenados no servidor DNS. No Windows 2003, os servidores e os clientes DHCP podem registrar e atualizar dinamicamente as informaes dos servidores DNS configurados para permitir atualizaes dinmicas.
3.10.1 Protocolo de atualizao dinmica

O protocolo de atualizao dinmica permite que a mquinas clientes atualizem automaticamente seus registros de recursos em um servidor DNS, sem necessidade de interveno do administrador. As mquinas com Windows 2000, Windows XP e Windows Server 2003 so configuradas para realizar atualizaes dinmicas quando so configuradas com um endereo IP esttico tambm.
3.10.2 Processo de atualizao dinmica

Quando um servidor DHCP atribui um endereo IP a um cliente DHCP baseado no Windows 2000 ou no Windows Server 2003, o seguinte processo executado: 1. 2. O cliente inicia uma mensagem de solicitao de DHCP ao servidor DHCP, na qual ele solicita um endereo IP. Essa mensagem inclui o nome de domnio completo. O servidor DHCP devolve ao cliente uma mensagem de confirmao de DHCP na qual ele fornece uma concesso de endereo IP.
3. 4. O cliente envia ao servidor DNS uma solicitao de atualizao de DNS do seu prprio registro de pesquisa direita, o registro de recursos A (endereo). O servidor DHCP envia atualizaes para o registro de pesquisa inversa do cliente DHCP, o registro de recursos PTR (ponteiro). Para realizar essa operao, o servidor DHCP utiliza o nome do domnio completo obtido no primeiro passo.
3.10.3. Atualizaes dinmicas para clientes com verses anteriores do Windows

As mquinas clientes que executam verses anteriores do Windows no permitem atualizaes dinmicas. preciso configurar o servidor DHCP para que ele sempre atualize os registros de recursos A e PTR desses clientes. Nesse caso, o processo a seguir tem incio: 1. O cliente inicia uma mensagem de solicitao de DHCP ao servidor DHCP, na qual ele solicita um endereo IP. Ao contrrio das mensagens de solicitao de DHCP dos clientes DHCP baseados no Windows 2000, a solicitao no inclui um nome de domnio completo. O servidor devolve ao cliente uma mensagem de confirmao de DHCP na qual ele fornece uma concesso de endereo IP. O servidor DHCP envia ao servidor DNS atualizaes dos registros de recursos A e PTR do cliente.
2. 3.
3.10.4. Configurao do Servidor DNS para permitir atualizaes dinmicas

Para configurar um servidor DNS para permitir atualizaes dinmicas, abra a caixa de dilogo Propriedades da zona no servidor DNS que deseja configurar. Na guia Geral, na caixa de listagem Permitir atualizaes dinmicas?, clique em Sim. Na tabela seguinte, esto descritas as opes disponveis para as atualizaes dinmicas. No Desativa as atualizaes dinmicas nesta zona Sim Ativa as atualizaes dinmicas nesta zona Apenas atualizaes seguras Permite atualizaes dinmicas seguras de uma zona integrada do Active Directory realizadas a partir de mquinas clientes autorizadas.
Para obter mais informaes sobre o DNS: http://www.microsoft.com/Windows2000/technologies/communications/dns/default.asp http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;323445 http://support.microsoft.com/default.aspx?scid=kb;en-us;323380 http://support.microsoft.com/default.aspx?scid=kb;en-us;323383 http://support.microsoft.com/default.aspx?scid=kb;en-us;323419 http://support.microsoft.com/default.aspx?scid=kb;en-us;324259 http://support.microsoft.com/default.aspx?scid=kb;en-us;324260 http://support.microsoft.com/default.aspx?scid=kb;en-us;323417
http://support.microsoft.com/default.aspx?scid=kb;en-us;816518 http://support.microsoft.com/default.aspx?scid=kb;en-us;816567 http://support.microsoft.com/default.aspx?scid=kb;en-us;323418
4. Descrio do WINS (Windows Internet Name System)
O mtodo mais comum para resolver nomes NetBIOS remotos e locais o uso de um servidor de nomes NetBIOS. Quando um usurio executa determinados comandos, como net use, um aplicativo NetBIOS interage com a rede e o processo de resoluo de nomes NetBIOS iniciado. No cache de nomes NetBIOS, possvel comprovar se existe a atribuio de nome NetBIOS no endereo IP do host de destino. Se o nome NetBIOS no estiver no cache, o cliente tentar determinar o endereo IP do host de destino atravs de outros mtodos. Se o nome no puder ser resolvido com o cache, o nome NetBIOS do host de destino enviado ao servidor de nomes NetBIOS configurado para o host de origem. Quando o nome convertido em um endereo IP, ele devolvido ao host de origem. O WINS a implementao da Microsoft de um servidor de nomes NetBIOS. Para que o WINS funcione corretamente em uma rede, cada cliente deve: Registrar seu nome no banco de dados WINS. Ao iniciar um cliente, ele registra seu nome no servidor WINS configurado. Renovar o registro em intervalos configurveis. Os registros dos clientes so temporrios e, por isso, os clientes WINS devem renovar regularmente seu nome ou a sua concesso ser expirada. Liberar os nomes dos bancos de dados ao fechar. Se o cliente WINS no precisar mais do nome, por exemplo, quando ele excludo, enviada uma mensagem para pedir ao servidor WINS que esse nome seja liberado. Depois de ter configurado o WINS como mtodo de resoluo de nomes, o cliente tambm o usa para finalizar as consultas de nomes NetBIOS. Para eles, as seguintes aes devem ser realizadas:
1. 2. 3. Se o cliente no puder resolver o nome do seu cache, envie uma consulta de nome ao seu servidor WINS principal. Se ele no responder, o cliente enviar a solicitao mais duas vezes. Se o cliente no receber uma resposta do servidor WINS principal, ele envia outra solicitao a todos os servidores WINS adicionais, configurados no cliente. Se um servidor WINS resolver o nome, ele responder ao cliente com o endereo IP do nome NetBIOS solicitado. Caso nenhuma resposta seja recebida, o servidor WINS enviar uma mensagem indicando que o nome no foi encontrado e o cliente passar para o mtodo seguinte de resoluo de nomes configurado.
4.1 Exerccio 10: Instalao do WINS

Para criar um servidor WINS, instale o WINS em uma mquina onde o Windows Server 2003 esteja sendo executado. Para instalar o WINS: 1. Clique duas vezes em Adicionar ou Remover Programas no Painel de controle. 2. Clique em Adicionar ou remover componentes do Windows. 3. Clique em Servios de Rede e em Detalhes na pgina Componentes do Windows do Assistente para ver os componentes do Windows, em Componentes. 4. Selecione a caixa Servio WINS na caixa de dilogo Servios de rede em Subcomponentes e clique em Ok. 5. Clique em Avanar.
4.2. Estudo de registros do banco de dados WINS

A opo WINS do Microsoft Management Console (MMC) permite que o usurio veja o contedo do banco de dados WINS e busque entradas especficas. Abertura do banco de dados WINS Para abrir o banco de dados WINS: 1. Expanda o nome do servidor em WINS e clique em Registros ativos. 2. Clique com o boto direito do mouse em Registros ativos e depois clique em localizar por proprietrio. 3. Clique em Todos os Proprietrios na caixa de dilogo localizar por proprietrio, na guia Proprietrios, e depois clique em Localizar.
4.2.1. Estudo das informaes de registro do WINS

O WINS mostra todos os registros do banco de dados e organiza as informaes de registro do WINS nas colunas seguintes: Nome de registro: O nome NetBIOS registrado, que pode ser um nome nico ou pode representar um grupo, um grupo da Internet ou uma mquina com mltiplas placas. Tipo. O servio que registrou a entrada, incluindo o identificador de tipo hexadecimal. Endereo IP. O endereo IP correspondente ao nome registrado. Estado. O estado da entrada do banco de dados, que pode ser Ativo, Liberado ou Recusado. Se o estado da entrada for Recusado, ela no est ativa e ser removida do banco de dados. Proprietrio. O servidor WINS de onde a entrada se originou. Devido replicao, no necessariamente o mesmo servidor que est sendo visto no banco de dados. Verso Nmero hexadecimal nico, atribudo pelo servidor WINS durante o registro de nomes. Os associados do servidor o utilizam para identificar novos registros durante a replicao. Expirao. Mostra a data de expirao da entrada. Quando uma replicao armazenada no banco de dados, os dados de expirao correspondentes so estabelecidos conforme a hora no servidor WINS de recebimento e o intervalo de renovao estabelecido no cliente.
Captulo 3 | Pgina 31 | 4.3. Replicao do WINS
Embora um servidor WINS possa aceitar mais de 5.000 clientes em condies normais de carga de trabalho, possvel instalar um segundo servidor para proporcionar tolerncia a falhas na resoluo dos nomes NetBIOS. Esse servidor permitir, ao mesmo tempo, localizar o trfego de resoluo. Dessa forma, se ocorrer um erro em um dos servidores WINS, o outro continuar executando a resoluo de nomes NetBIOS na rede. Cada servidor WINS de uma rede mantm seu prprio banco de dados WINS. Portanto, se houver vrios servidores WINS na rede, eles devem ser configurados para replicar os registros de seus bancos de dados nos outros servidores WINS. A replicao dos bancos de dados WINS garante que um cliente WINS configurado para usar um servidor WINS diferente possa solucionar os nomes registrados em outro servidor WINS. Por exemplo: O host A da subrede 1 registra-se no servidor WINS A da subrede 1. O host B da subrede 2 registra-se no servidor WINS B da subrede 2. Quando ocorre uma replicao do WINS, cada servidor WINS atualiza seu banco de dados com a nova entrada proveniente do banco de dados do outro servidor. Como resultado da replicao, os dois servidores WINS dispem de informaes sobre os dois hosts, e os hosts A e B podem solucionar mutuamente seus nomes se entrarem em contato com seu servidor WINS local. Para que seja produzida uma replicao, cada servidor WINS dever se configurar com um parceiro de replicao, no mnimo. Ao configurar um parceiro de replicao para um servidor WINS, possvel especificlo como parceiro de extrao, como parceiro de insero ou como parceiro de extrao e insero para o processo de replicao.
4.3.1 Como funciona a replicao de envio?
4.3.1.1. Definio
A replicao de envio Push o processo de cpia dos registros atualizados de um Servidor WINS para outros, sempre que o Servidor WINS que contm dados atualizados alcana um valor especfico de modificaes. O processo de replicao de envio funciona da seguinte forma: 1. O Parceiro de envio notifica seus Parceiros de Replicao sempre que o nmero de modificaes no seu banco de dados do WINS ultrapassa um valor especfico configurvel. Por exemplo, voc pode configurar o Parceiro de Envio para notificar os Parceiros de Replicao quando ocorrerem 50 modificaes no banco de dados. Quando os Parceiros de Replicao respondem notificao com um pedido de replicao, o Parceiro de Envio envia a replicao das entradas novas no banco de dados.
2.
4.3.2 Como funciona uma replicao de recepo?
4.3.2.1. Definio A replicao de recepo Pull o processo de cpia dos registros atualizados a partir de um servidor WINS para outros servidores WINS, em intervalos especficos de tempo. O processo de replicao de recepo funciona da seguinte forma: 1. 2. O Parceiro de recepo solicita as mudanas do banco de dados do WINS em intervalos de tempo. Por exemplo, voc pode configurar um Parceiro de Recepo para solicitar as mudanas a cada 8 horas. Os Parceiros de Replicao respondem enviando as novas entradas do banco de dados. Tambm existe a possibilidade de configurar Parceiros de Replicao de modo Envio/Recepo. Isso garante que quando no ocorre uma determinada quantidade de mudanas, seja gerada uma replicao em intervalos de tempo.
4.4. Prtica 11: Como configurar uma replicao WINS?

Para poder fazer este exerccio, voc precisar de duas instalaes do Windows Server 2003 com o servio de WINS instalado. Por padro, os Parceiros de Replicao do WINS so configurados como Push/Pull Partners (Parceiros de Envio/Recepo). Para modificar essa configurao e satisfazer s necessidades da sua rede, voc pode especificar os parmetros Push e Pull para cada Parceiro de Replicao. Para configurar uma Replicao WINS: 1. 2. 3. Selecione, no console WINS, o Servidor WINS ao qual voc quer adicionar um Parceiro de Replicao e clique em Parceiros de Replicao. Clique em Novo Parceiro de Replicao no menu Ao. Insira no campo Servidor WINS o nome ou o IP do Servidor WINS para adicionar como Parceiro de Replicao. (Segundo Computador)
4. Clique em OK.
Para modificar o tipo de Parceiro de Replicao: 1. 2. 3. 4. Expanda o servidor WINS no console de WINS. Clique em Parceiros de Replicao do console WINS. Clique com o boto direito do mouse no servidor apropriado da caixa de detalhes e depois clique em Propriedades. Selecione uma das seguintes opes na caixa Propriedades do servidor e em Avanado, no campo: Tipo de parceiro de replicao: Push. Pull. Push/Pull. Clique em OK na caixa Propriedades do Servidor. Feche o console de WINS.
5. 6.
Para obter mais informaes sobre o WINS: http://support.microsoft.com/default.aspx?scid=kb;en-us;323416
4.5. Manuteno 4.5.1. Backup

Voc deve realizar tarefas de manuteno em perodos de tempo especficos. Para ajud-lo nessa tarefa, o Servidor WINS pode ser configurado para realizar os backups automaticamente. Lembre-se de que nem todos os softwares de backup realizam essa tarefa porque o banco de dados um arquivo com privilgios exclusivos do sistema operacional sempre que o servio iniciado. Para especificar o diretrio de backup do WINS: 1. 2. Clique com o boto direito do mouse no Servidor WINS do console WINS e depois em Propriedades. Insira o diretrio onde quiser realizar os backups do Servidor WINS, em Geral no campo Caminho padro do backup. Nota: O Servidor WINS realizar um backup automaticamente a cada 24 horas.
4.5.2. Compactar o banco de dados

Para realizar as operaes de reparo e/ou compactao, preciso utilizar as ferramentas apropriadas: o banco do WINS, que um arquivo localizado em \Windows\system32\Wins e seu nome Wins.mdb. A ferramenta que voc deve utilizar o jetpack, e o comando : jetpack %Systemroot%\System32\Wins\Wins.mdb Temp.mdb Onde %systemroot% o diretrio de instalao do sistema operacional e temp.mdb um banco temporrio. Em seguida, exclua o arquivo Wins.mdb e renomeie o banco temporrio com o nome Wins.mdb. Lembre-se de que, para realizar essa tarefa, o servio do Servidor WINS precisa estar suspenso.
4.6. Processos de resoluo de nomes e integrao WINS / DNS 4.6.1. Resoluo de nomes de host
O processo de resoluo de nomes de HOST em um cliente cumpre o diagrama a seguir: 1. 2. 3. 4. 5. 6. O cliente verifica se j obteve a resoluo em outra oportunidade. Se esse for o caso, a resoluo localizada no cache local DNS do cliente e o processo finalizado. Se a resoluo no for obtida, vai para o passo seguinte. O cliente realiza uma consulta ao DNS primrio. Se o DNS resolver a consulta, o processo finalizado. Se a resoluo no for obtida, vai para o passo seguinte. O cliente verifica se j obteve a resoluo em outra oportunidade. Nesse caso, a resoluo localizada no cache local do NetBIOS do cliente e o processo finalizado. Se ainda no tiver obtido a resoluo, vai para o passo seguinte. O cliente realiza uma consulta ao WINS primrio. Se o WINS resolver a consulta, o processo finalizado. Se no conseguir a resoluo, vai para o passo seguinte. Se ainda assim no conseguir resolver o nome, o cliente realiza um broadcast local. Se a consulta for resolvida, o processo finalizado. Se ainda assim no obtiver obtido a resoluo, vai para o passo seguinte. Por ltimo, ele ter que consultar o arquivo HOST local localizado em systemroot\system32\drivers\etc. Esse arquivo um banco esttico de resoluo; no tem extenso e tambm no atualizado. Se esse ltimo processo no obtiver xito, o cliente no consegue a resoluo.
Exemplo de arquivo HOST
4.6.2. Resoluo de nomes NetBIOS
O processo de resoluo de nomes NetBIOS em um cliente segue o diagrama abaixo: 1. 2. 3. 4. O cliente verifica se j obteve a resoluo em outra oportunidade. Se esse for o caso, a resoluo localizada no cache local do NetBIOS do cliente e o processo finalizado. Se ainda no tiver obtido a resoluo, vai para o passo seguinte. O cliente realiza uma consulta ao WINS primrio. Se o WINS resolver a consulta, o processo ser finalizado. Se ainda no tiver obtido a resoluo, vai para o passo seguinte. Se ainda assim no conseguir resolver o nome, o cliente realiza um broadcast local. Se a consulta for resolvida, o processo finalizado. Se no tiver conseguido a resoluo, vai para o passo seguinte. Por ltimo, ser preciso consultar o arquivo LMHOST local encontrado no systemroot\system32\drivers\etc. Esse arquivo um banco esttico de resoluo; no tem extenso e tambm no se atualiza. Se esse ltimo processo no obtiver xito, o cliente no obter a resoluo.
Exemplo de arquivo LMHOST
Captulo 3 | Pgina 39 | 4.6.3. Introduo integrao WINS e DNS
A integrao de WINS com DNS habilita os clientes a usarem exclusivamente DNS para a resoluo de nomes. Os clientes podero acessar os dados do WINS atravs do servidor DNS. No entanto, o Servidor DNS no pode localizar recursos sem realizar uma consulta ao WINS. No Windows Server 2003, voc pode configurar a integrao entre o WINS e o DNS para permitir que os clientes sem WINS resolvam nomes NetBIOS, usando um Servidor DNS. Voc pode configurar o DNS integrado com Servidores WINS. Para configurar uma zona DNS para uso de uma pesquisa WINS: 1. 2. 3. 4. 5. Abra o DNS no menu Ferramentas Administrativas. Expanda, no console DNS, o servidor onde est a zona a configurar, expanda Zonas de pesquisa direta e depois clique na zona. Clique com o boto direito da mouse na zona e depois em Propriedades. Selecione a caixa Use pesquisa direta WINS, da caixa Propriedades, em WINS. Insira o endereo IP do Servidor WINS, da caixa Endereo IP e depois clique em Adicionar.
Captulo 4 Active Directory

1. Introduo
Durante este captulo, voc obter conhecimentos sobre os servios de diretrio (Active Directory Services) do Windows Server 2003, em particular, sobre alguns dos novos recursos deste servio. Para a realizao dos exerccios contidos nesta unidade, ser preciso instalar o Windows Server 2003 no exerccio 1 do captulo 2 e fazer uma instalao adicional. Ao finalizar este captulo, voc ser capaz de: Descrever as caractersticas do servio de diretrio Active Directory. Identificar estruturas lgicas e fsicas. Instalar e configurar o Active Directory na rede. Identificar caractersticas referentes replicao. Solucionar problemas do Active Directory.
1.1. Definio
Em uma rede do Microsoft Windows Server 2003, o servio de diretrio Active Directory proporciona a estrutura e as funes para organizar, administrar e controlar o acesso aos recursos de rede. Para implementar e administrar uma rede do Windows Server 2003, voc dever compreender o objetivo e a estrutura do Active Directory. O Active Directory tambm permite administrar de forma central a rede do Windows Server 2003. Esse recurso significa que possvel armazenar de forma central informaes sobre a empresa, por exemplo, informaes de usurios, grupos e impressoras, e que os administradores podem administrar a rede de um nico lugar. O Active Directory permite delegar o controle administrativo de seus objetos. Essa delegao permite que os administradores atribuam a um grupo determinado de administradores permisses administrativas especficas para objetos, como contas de usurios ou de grupos. O Active Directory o servio de diretrio de uma rede do Windows Server 2003. Um servio de diretrio armazena informaes sobre os recursos da rede e permite que os mesmos estejam acessveis aos usurios e aos aplicativos. Os servios de diretrio proporcionam uma forma coerente de nomear, descrever, localizar, obter acesso, administrar e proteger as informaes relativas aos recursos da rede.
1.2. A funcionalidade
O Active Directory oferece a funcionalidade de servio de diretrio para organizar, administrar e controlar de forma centralizada o acesso aos recursos de rede. Tambm faz com que a topologia fsica da rede e os seus protocolos passem despercebidos para que o usurio de uma rede possa ter acesso a qualquer recurso sem saber onde ele est ou como est conectado fisicamente rede. Um exemplo deste tipo de recurso uma impressora. O Active Directory est organizado em sees que permitem o armazenamento de uma grande quantidade de objetos. Dessa forma, possvel ampliar o Active Directory medida que a organizao cresce, permitindo que uma organizao que tenha um nico servidor com centenas de objetos se expanda e chegue a ter milhares de servidores e milhes de objetos.
Um servidor que executa o Windows Server 2003 armazena a configurao do sistema, as informaes dos aplicativos e as informaes sobre a localizao dos perfis de usurio no Active Directory. Em combinao com as diretivas de grupo, o Active Directory permite que os administradores controlem escritrios distribudos, servios de rede e aplicaes de um local central, ao mesmo tempo em que utilizam uma interface de administrao coerente. Alm disso, o Active Directory proporciona um controle centralizado do acesso aos recursos de rede, ao permitir que os usurios s iniciem a sesso uma nica vez para obter pleno acesso aos recursos atravs do Active Directory.
1.3. Estrutura Lgica do Active Directory
O Active Directory possibilita o armazenamento seguro de informaes sobre objetos na sua estrutura hierrquica lgica. Os objetos do Active Directory representam usurios e recursos como, por exemplo, os computadores e as impressoras. Alguns objetos podem funcionar como contineres para outros objetos. Compreendendo o objetivo e a funo desses objetos, voc poder realizar uma variedade de tarefas, incluindo a instalao, a configurao, a administrao e a resoluo de problemas do Active Directory.
A estrutura lgica do Active Directory inclui os seguintes componentes: Objetos. Eles so os componentes bsicos da estrutura lgica. Classes de objeto. So os modelos de tipos de objetos que podem ser criados no Active Directory. Cada classe de objeto definida por um grupo de atributos que estabelece os valores que podem ser associados a um objeto. Cada objeto tem uma combinao nica de valores de atributos. Unidades Organizacionais Voc pode utilizar esses contineres de objetos para organizar outros objetos com propsitos administrativos. Organizando os objetos por Unidade Organizacional mais fcil localizar e administrar objetos. Voc tambm pode delegar autoridade para administrar as Unidades Organizacionais. Elas podem conter outras Unidades Organizacionais para simplificar a administrao de objetos. Domnios. So as unidades funcionais bsicas da estrutura lgica do Active Directory e, portanto, uma coleo de objetos administrativos definidos que compartilham, atravs de um banco de dados comum do diretrio, diretivas de segurana e relaes de confiana com outros Domnios. Os domnios oferecem as 3 funes a seguir: Um limite administrativo para os objetos Meios de administrar a segurana dos recursos compartilhados Uma unidade de replicao para os objetos rvores de domnio. So Domnios agrupados em estruturas hierrquicas. Quando um segundo domnio adicionado a uma rvore, ele convertido em Filho da rvore Raiz do Domnio. O domnio ao qual um Filho do Domnio adicionado chamado de Domnio Pai. O Domnio Filho pode ter seus prprios Domnios Filhos e seu nome combinado com o nome do seu Domnio Pai para formar o seu prprio nome exclusivo, o DNS (Domain Name System). Um exemplo seria corp.nwtraders.msft. Desse modo, uma rvore tem um Nome de Espao contnuo. Florestas. Uma Floresta uma instncia completa do Active Directory, e consiste em uma ou mais rvores. Em uma nica rvore de 2 nveis, recomendvel para a maioria das organizaes, todos os Domnios Filhos so filhos do Domnio Raiz da Floresta para formar uma rvore contgua. O primeiro domnio na floresta chamado de Domnio Raiz da Floresta e o nome desse domnio faz referncia floresta, por exemplo, nwtraders.msft. Por padro, as informaes no Active Directory s so compartilhadas dentro da floresta. Dessa forma, a segurana da floresta estar contida em uma nica instncia do Active Directory.
1.4. Estrutura fsica do Active Directory
Em comparao com a estrutura lgica e os requisitos administrativos dos modelos, a estrutura fsica do Active Directory otimiza o trfego da rede, determinando como e quando ocorre a replicao e o trfego do logon. Para otimizar o uso da largura de banda da rede Active Directory, voc precisa entender a sua estrutura fsica.
Os elementos da estrutura fsica do Active Directory so: Controladores de domnio. Estes computadores executam o Microsoft Windows Server 2003 ou o Windows 2000 Server e o Active Directory. Cada Controlador de Domnio realiza funes de armazenamento e replicao e, alm disso, oferece suporte a apenas um domnio. Para garantir uma disponibilidade contnua do Active Directory, cada domnio deve ter mais de um controlador de domnio. Sites do Active Directory Os sites so grupos de computadores conectados. Quando voc estabelece sites, os Controladores de Domnios que esto dentro de um mesmo site podem se comunicar com freqncia. Essa comunicao reduz ao mnimo o estado de latncia dentro do site, isso , o tempo necessrio para que uma modificao realizada em um Controlador de Domnio seja duplicada nos outros controladores de domnio. Voc cria sites para otimizar o uso da largura de banda entre controladores de domnio em diversos locais. Parties do Active Directory Cada Controlador de Domnio contm as seguintes parties do Active Directory: Parties de Domnio, que contm a replicao de todos os objetos neste domnio. Essa partio duplicada apenas para outros Controladores de Domnio do mesmo domnio. Partio de Configurao, que contm a topologia da floresta. A topologia registra todas as conexes dos Controladores de Domnio na mesma floresta. Partio de Esquema, que contm o esquema da floresta. Cada floresta tem um esquema de modo que a definio de cada classe do objeto seja constante. As parties de Configurao e Esquema de Parties so duplicadas para cada Controlador de Domnio na floresta. Opes de Partio de Aplicativos que contm os objetos relacionados segurana e so utilizados por um ou mais aplicativos. As parties de aplicativos so duplicadas em Controladores de Domnio especficos na floresta.
1.5. O que so Mestre de Operaes?
Captulo 4 | Pgina 5 | 1.5.1. Single Master Replication e MultiMaster Replication

Quando realizada uma modificao em um domnio, essa modificao duplicada em todos os seus controladores de domnio. Algumas modificaes, como as feitas no esquema, so duplicadas em todos os domnios na floresta. Este tipo de replicao chamado de Multimaster Replication. Durante a replicao multimaster, atualizaes simultneas no mesmo evitar conflitos de replicao, voc Controlador de Domnio como o nico possvel que ocorra um conflito de replicao que gere atributo do objeto e em dois Controladores de Domnio. Para pode utilizar Single Master Replication, que designa um onde possvel realizar modificaes de diretrio.
Dessa maneira, as modificaes no podem ocorrer em diversos lugares da rede ao mesmo tempo. O Active Directory usa o Single Master Replication para modificaes importantes, por exemplo, o acrscimo de um novo domnio ou modificaes no esquema da floresta.
1.5.2. Funes de Mestre de Operaes

As operaes que utilizam Replicao Mestre nica so realizadas junto com funes especficas na floresta ou no domnio. Essas funes se chamam Funes de Mestre de Operaes. Para cada Funo de Mestre de Operao, somente o Controlador de Domnio que tem a funo pode realizar as modificaes associadas ao diretrio. O Controlador de Domnio responsvel pela funo em particular chamado de Mestre de Operaes desta funo. O Active Directory, por sua vez, armazena as informaes sobre o Controlador de Domnio que executa uma funo especfica. As Funes de Mestre de Operaes so realizadas no nvel da floresta ou do domnio, e o Active Directory define cinco delas, que possuem uma localizao padro. As funes nicos na floresta so: Mestre de Esquema. Controla todas as atualizaes do esquema. O esquema contm a definio de objetos e atributos que so utilizados para criar todos os objetos do Active Directory, como usurios, computadores e impressoras. Mestre de Nomeao de Domnio Controla o acrscimo e a retirada de domnios da floresta. Quando se deseja adicionar um novo domnio floresta, apenas o Controlador de Domnio com a funo de Mestre de Nomeao de Domnio poder adicionar o novo domnio. S h um Mestre de Esquema e um Mestre de Nomeao de Domnio por floresta. As funes para cada domnio da floresta so: O emulador de controlador de domnio primrio (PDC). Atua como um PDC do Windows NT para oferecer suporte aos Backup Domain Controllers (BDCs) que executam o Microsoft Windows NT em domnios, de modo misto. Esse tipo de domnio tem Controlador de Domnio que executa o Windows NT 4.0. O emulador de PDC o primeiro Controlador de Domnio a ser criado em um novo domnio. Mestre de Identificador relativo. Quando se cria um novo objeto, o Controlador de Domnio cria um novo Objeto de Segurana que representa o objeto, atribuindo-lhe um Identificador de Segurana nico (SID). O SID consiste em um Domnio SID que igual para todos os Objetos de Segurana criados no domnio e um identificador relativo (RID), nico para cada objeto de segurana criado no domnio. O RID Mestre designa blocos de RIDs para cada Controlador de Domnio no domnio. O Controlador de Domnio designa o RID aos objetos criados do bloco designado dos RIDs. Mestre de Infra-estrutura. Quando os objetos so transferidos de um domnio para outro, a Infraestrutura Mestre atualiza as referncias ao objeto nesse e no outro domnio. A referncia do objeto contm o Object Globally Unique Identifier (GUID), o Nome Distinto e o SID. O Active Directory
atualiza periodicamente o Nome Distinto e o SID, na referncia ao objeto para refletir as modificaes realizadas no objeto real, por exemplo, movimentos em e entre domnios ou a eliminao do objeto. Cada domnio na floresta contm seu prprio Emulador de PDC, Mestre RID e o Mestre de Infraestrutura.
1.5.3. Transferncia de Funes de Mestre de Operaes
Voc colocar as Funes de Mestre de Operaes em uma floresta quando implementar uma estrutura de floresta e domnio. As Funes de Mestre de Operaes s so transferidas quando feita uma modificao importante na estrutura do domnio. Essas modificaes incluem a desmontagem de um Controlador de Domnio que j teve uma funo e o acrscimo de um novo Controlador de Domnio que satisfaa melhor s operaes de uma funo especfica. A transferncia de Funes de Mestre de Operaes implica mover a funo de um Controlador de Domnio para outro. Para transferir funes, os dois Controladores de Domnio devem estar ativos e conectados rede. No ocorre nenhuma perda de dados quando voc transfere a Funo de Mestre de Operaes. O Active Directory duplica a Funo de Mestre de Operaes real para o novo Controlador de Domnio, assegurando que a nova Funo de Mestre de Operaes obter as informaes necessrias para essa funo. Essa transferncia utiliza o mecanismo da replicao do diretrio.
Para obter informaes sobre o processo de transferncia: http://support.microsoft.com/default.aspx?scid=kb;en-us;324801
Captulo 4 | Pgina 7 | 2. O que o servio de diretrio?
Um servio de diretrio um depsito estruturado de informaes sobre pessoas e recursos em uma organizao. Em uma rede do Windows Server 2003, o servio de diretrio o Active Directory.
2.1. O Active Directory tem os seguintes recursos:

Permite que usurios e aplicativos tenham acesso a informaes sobre objetos. Essas informaes so armazenadas na forma de valores de atributos. Voc pode procurar objetos por classe, atributo, valor do atributo, localizao na estrutura do Active Directory ou qualquer combinao desses valores. Torna a topologia e os protocolos fsicos da rede transparentes. Dessa forma, um usurio em uma rede pode ter acesso a qualquer recurso, por exemplo, a uma impressora, sem saber onde est o recurso ou onde ele est conectado fisicamente com a rede. Ele permite o armazenamento de um nmero muito grande de objetos. Como organizado por parties, o Active Directory pode ser ampliado medida que a organizao cresce. Por exemplo, um diretrio pode ser ampliado de um nico servidor com alguns objetos para milhares de servidores e milhes de objetos.
possvel funcionar como servio de sistema no-operacional O Active Directory no Modo de Aplicao (AD/AM) um novo recurso do Microsoft Active Directory e atua em cenrios de aplicativos em diretrios. O AD/AM funciona como servio de Sistema No-Operacional e, como tal, no exige instalao em um Controlador de Domnio. Executar servios de Sistema No-Operacional significa que mltiplas instncias de AD/AM podem funcionar simultaneamente em um nico servidor, sendo cada instncia configurvel de forma independente. Para obter mais informaes sobre o ADAM (Modo de Aplicativo do Active Directory): http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
Captulo 4 | Pgina 8 | 2.2. O que o esquema?
O esquema do Active Directory contm as definies de todos os objetos, como, por exemplo, usurios, computadores e impressoras armazenados no Active Directory. Nos Controladores de Domnio que executam o Windows Server 2003, s existe um esquema para toda a floresta. Dessa forma, todos os objetos criados no Active Directory seguem as mesmas regras. O Esquema tem dois tipos de definies: classes de objeto e atributos. Um exemplo de Classes de Objeto so os usurios, o computador e a impressora, que descrevem os objetos que podem ser criados no diretrio. Cada Classe de Objeto uma coleo de atributos. Os atributos so definidos separadamente das Classes de Objeto. Cada atributo definido somente uma vez e pode ser utilizado em vrias Classes de Objeto. Por exemplo, o atributo da descrio utilizado em vrias Classes de Objetos, mas s definido uma nica vez no Esquema para garantir a consistncia. Voc tambm pode criar novos tipos de objetos no Active Directory estendendo o Esquema. Por exemplo, para um aplicativo de Servidor de E-mail, possvel ampliar a Classe de Usurio no Active Directory com atributos de diretrio que contenham informaes adicionais, como o endereo e o e-mail dos usurios. Nos Controladores de Domnio do Windows Server 2003, voc pode reverter modificaes de esquema desativando-os e permitindo que as organizaes; desta forma, melhorem o uso dos recursos de extenso do Active Directory. Tambm possvel redefinir uma classe ou atributo do Esquema, por exemplo, modificar a sintaxe da seqncia de Unicode do atributo chamado Gerenciador de Vendas para um Nome Distinto.
Captulo 4 | Pgina 9 | 2.3 O que o Catlogo Global?
O Catlogo Global um repositrio de informaes que contm um subconjunto de atributos de todos os objetos no Active Directory. Os membros do grupo Administradores de Esquema podem modificar os atributos armazenados no Catlogo Global, dependendo das necessidades da organizao. O Catlogo Global contm: Os atributos utilizados com mais freqncia em consultas, por exemplo, nome, sobrenome e nome de logon dos usurios. As informaes necessrias para determinar as localizaes de qualquer objeto no diretrio. Um subconjunto padro dos atributos de cada tipo de objeto. As permisses de acesso para cada objeto e atributos armazenados no Catlogo Global. Se voc estiver pesquisando um objeto e no tiver permisso apropriada para v-lo, o objeto no aparecer nos resultados da pesquisa. As permisses de acesso garantem que os usurios s localizem os objetos aos quais eles tm acesso. O Servidor de Catlogo Global um Controlador de Domnio que processa de forma eficiente consultas entre florestas do Catlogo Global. O primeiro Controlador de Domnio que voc cria no Active Directory automaticamente convertido em Servidor de Catlogo Global. Voc pode configurar Servidores de Catlogo Global adicionais para equilibrar o trfego para logon e consultas. O Catlogo Global permite que os usurios realizem duas funes importantes: Pesquisar informaes no Active Directory em toda a floresta, independente da localizao dos dados. Usar informaes de associao do Grupo Universal no processo de logon na rede. Os servidores de catlogo global duplicam seu contedo em um esquema de replicao. At o Windows 2000, essas duplicaes eram do tipo sincronizao total, mas a partir do Windows Server 2003 possvel fazer a sincronizao de modo parcial, ou seja, replicando as modificaes apenas, em vez de enviar o catlogo completo. Para poder utilizar esse novo recurso do Windows Server 2003, voc pode ter o nvel de funcionalidade do modo Windows 2000 ou Windows Server 2003, mas s podem ser feitas duplicaes parciais entre os servidores de Catlogo Global que executam o Windows Server 2003.
Captulo 4 | Pgina 10 | 2.4 O Que So Nomes Distintos e Relativos?
O LDAP utiliza um nome que representa objetos no Active Directory por uma srie de componentes relacionados com a sua estrutura lgica. Essa representao chamada Nome Distinto do objeto e identifica o domnio onde est localizado o objeto e a trajetria completa at chegar a ele. O Nome Distinto deve ser nico na floresta Active Directory. O Nome Distinto Relativo de um objeto o identifica de modo nico no seu continer. Dois objetos no mesmo continer no podem ter o mesmo nome. O Nome Distinto Relativo sempre o primeiro componente do Nome Distinto, mas pode no ser sempre um Nome Comum. Para uma usuria chamada Suzan Fine da Unidade Organizacional Sales (Vendas) no domnio Contoso.msft, cada elemento da estrutura lgica est representando no seguinte nome distinto: CN=Suzan Fine,UO=Sales,DC=contoso,DC=msft CN o Nome Comum do objeto no seu continer. UO a Unidade Organizacional que contm o objeto. Pode haver mais de um valor de UO se o objeto residir em uma Unidade Organizacional aninhada em mais nveis. DC o Componente do Domnio, por exemplo, .com. ou .msft.. Sempre h, pelo menos, dois Componentes de Domnio, mas pode haver mais se o domnio for um domnio filho. Os componentes de domnio dos Nomes Distintos baseiam-se no Domain Name System (DNS).
2.5. Ferramentas e snap-ins do Active Directory

O Windows Server 2003 oferece diversos snap-ins e ferramentas de linha de comando para administrar o Active Directory. Voc tambm pode administrar o Active Directory usando o Active Directory Service Interfaces (ADSI). O ADSI uma interface simples de grande alcance para criar scripts reutilizveis para administrar o Active Directory. Nota: A ferramenta ADSI Edit pode ser instalada a partir do CD do Windows Server 2003. Ela pode ser encontrada na pasta \Support\Tools.
A tabela a seguir descreve os snap-ins administrativos comuns para administrao do Active Directory. Snap-in Usurios e computadores do Active Directory Descrio um Microsoft Management Console (MMC) utilizado para administrar e publicar informaes no Active Directory. Voc pode administrar as contas de usurio, grupos e contas de computador, adicionar computadores ao domnio, administrar diretivas de contas, direitos de usurio e diretivas de auditoria. um MMC utilizado para administrar Relaes de Confianas de Domnio e Relaes de Confianas de Floresta, adicionar sufixos de nome principal de usurio e modificar nveis de funcionamento de domnios e floresta. Os Sites e Servios do Active Directory so um MMC que voc utiliza para administrar a replicao do diretrio. um MMC utilizado para administrar o esquema. No est disponvel por padro no menu. Voc deve adicion-las manualmente.
Domnios e Relaes de Confianas do Active Directory Esquema do Active Directory Ferramentas Administrativas
A tabela seguinte descreve as ferramentas de linha de comando para utilizar quando se quer administrar o Active Directory. Ferramenta Dsadd Descrio Adiciona objetos ao Active Directory, como computadores, usurios, grupos, unidades organizacionais e contatos. Modifica objetos no Active Directory, como computadores, servidores, usurios, grupos, unidades organizacionais e contatos. Executa consultas no Active Directory segundo critrios especificados. Voc pode executar consultas em servidores, computadores, grupos, usurios, sites, unidades organizacionais e parties. Move objetos dentro de um domnio para uma nova localizao no Active Directory ou renomeia um nico objeto sem mov-lo. Exclui um objeto do Active Directory. Mostra atributos selecionados de um computador, contato, grupo, unidade organizacional, servidor ou usurio do Active Directory. Importa e exporta dados do Active Directory usando formato separado por vrgulas. Cria, modifica e exclui objetos do Active Directory. Tambm pode estender o Esquema do Active Directory e exportar informaes de usurios e grupos para outros aplicativos ou servios.
Dsmod
Dsquery
Dsmove Dsrm Dsget Csvde Ldifde
Para obter mais informaes sobre ferramentas de linha de comando: http://support.microsoft.com/default.aspx?scid=kb;en-us;322684
Captulo 4 | Pgina 12 | 3. Instalao do Active Directory: 3.1. Requisitos para instalar o Active Directory
Antes de instalar o Active Directory, voc deve garantir que o computador esteja preparado para ser um Controlador de Domnio, cumprindo requisitos de hardware e do sistema operacional. Alm disso, o Controlador de Domnio dever ter acesso ao servidor de DNS, que deve cumprir determinados requisitos para oferecer suporte integrao com o Active Directory. A lista a seguir identifica os requisitos para a instalao do Active Directory: Um computador executando o Microsoft Windows Server 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. O Windows Server 2003 Web Edition no oferece suporte ao Active Directory. Um mnimo de 250 megabytes (MB) de espao no disco. 200 MB para o banco de dados do Active Directory e 50 MB para o log de transaes do Active Directory. Os requisitos de tamanho do arquivo para a base do Active Directory e os arquivos de registro, dependem do nmero e do tipo de objetos no domnio. Ser necessrio ter espao de disco adicional se o Controlador de Domnio tambm for Servidor de Catlogo Global. Uma partio ou um volume com formato NTFS e com sistema de arquivos. A partio NTFS exigida para a pasta SYSVOL. Os privilgios administrativos necessrios para criar um domnio em uma rede existente do Windows Server 2003. TCP/IP instalado e configurado para utilizar o DNS. Um Servidor DNS de autorizao para o Domnio de DNS e suporte para os requisitos enumerados na tabela seguinte. Registros de Recursos do Servidor (Obrigatrio) Recursos Localizador de Servio (SRV). So registros de DNS que identificam os servios especficos oferecido nos computadores de uma rede do Windows Server 2003. O Servidor DNS que oferece suporte instalao do Active Directory precisa de suporte a Registros de Recursos de Servidor. Caso contrrio, voc deve configurar o DNS localmente durante a instalao do Active Directory ou configurar o DNS manualmente aps a instalao do Active Directory. Atualizaes Dinmicas (Opcionais). A Microsoft recomenda que os servidores DNS tambm permitam atualizaes dinmicas. O protocolo dinmico de atualizao permite que os servidores e os clientes em um ambiente DNS adicionem e atualizem o banco de dados do DNS automaticamente, o que diminui os esforos administrativos. Se voc utilizar software DNS que oferece suporte aos Registros de Recursos de Servidor, mas que no oferece suporte ao protocolo dinmico de atualizao, preciso inserir os Registros de Recursos de Servidor manualmente no banco de dados DNS. Transferncias de zona incremental (Opcional) Em uma transferncia de zona incremental, as modificaes realizadas em uma zona no Servidor de DNS Mestre devem ser duplicadas nos servidores DNS
secundrios dessa zona. As transferncias incrementais da zona so opcionais, mas so recomendveis porque economizam largura de banda da rede, duplicando apenas os registros novos ou modificados entre os Servidores DNS, em vez do arquivo do banco de dados inteiro da zona.
3.2 O processo de instalao do Active Directory
O processo de instalao realiza as seguintes tarefas: Inicia o protocolo de autenticao Kerberos verso 5 Aplica a diretiva de Autoridade de Segurana Local (LSA). Essa configurao indica que o servidor um Controlador de Domnio. Cria as parties do Active Directory. Uma partio do diretrio uma parte do Espao de Nomes do Diretrio. Cada partio do diretrio contm uma hierarquia ou sub-rvore dos objetos do diretrio na rvore de diretrios. Durante a instalao, foram criadas as seguintes parties no primeiro controlador de domnio da floresta. Partio de Diretrio do Esquema Partio de Diretrio de Configuraes Partio de Diretrio de Domnios Zona DNS da Floresta Partio de Zona de DNS do Domnio
Depois as parties so atualizadas atravs da replicao, em cada um dos Controladores de Domnio criados de forma subseqente na floresta. Cria o banco de dados e os logs do Active Directory. A localizao padro do banco de dados e dos arquivos de logs systemroot\Ntds. Cria o domnio raiz da floresta. Se o servidor for o primeiro Controlador de Domnio na rede, o processo de instalao cria o Domnio de Raiz de Floresta e atribui as Funes de Mestre de Operaes ao Controlador de Domnio, incluindo: Emulador de Controle de Domnio Primrio (PDC) Mestre de Operaes de Identificador Relativo (RID) Mestre de Nomeao de Domnio Mestre de Esquema Mestre de Infra-estrutura Cria a pasta compartilhada do volume do sistema. Essa estrutura de pastas reside em todos os Controladores de Domnio do Windows Server 2003 e contm as seguintes pastas: A pasta compartilhada SYSVOL, que contm informaes de Diretiva de Grupo. A pasta compartilhada de Logon de Rede, que contm os scripts de logon para computadores que no executam o Windows Server 2003. Configura propriedade ao site apropriado para o Controlador de Domnio. Se o IP do servidor que voc est promovendo a Controlador de Domnio estiver em uma sub-rede definida no Active Directory, o assistente colocar o Controlador de Domnio no site associado com a sub-rede. Se no for definido nenhum objeto de sub-rede ou se o IP do servidor no estiver dentro do intervalo da sub-rede do Active Directory, o servidor ser colocado no Primeiro Site Padro. O primeiro site instalado automaticamente quando voc cria o primeiro Controlador de Domnio na floresta. O assistente de instalao do Active Directory cria um servidor de objeto do Controlador de Domnio no site apropriado. O servidor de objetos contm as informaes necessrias para a replicao e tambm contm uma referncia ao objeto do computador nos Controladores de Domnio OU, indicando que o Controlador de Domnio est sendo criado. Aplica segurana no Servio de Diretrio e nas Pastas de Replicao de Arquivo Isso implica controlar o acesso de usurio a objetos do Active Directory. Aplica a senha conta do administrador. Voc utiliza a conta para iniciar o Controlador de Domnio no Modo de Restaurao de Servios de Diretrio.
3.2.1. Exerccio 1: Como criar a estrutura de Floresta e Domnio?

Voc utiliza o Assistente para Instalao do Active Directory para criar a estrutura de floresta e domnio. Quando instala o Active Directory pela primeira vez em uma rede, voc tem que criar o Domnio Raiz da Floresta e depois utilizar o assistente para criar rvores e domnios filhos adicionais. O Assistente para Instalao do Active Directory orientar voc no processo de instalao e lhe solicitar as informaes necessrias, que variam conforme as opes selecionadas.
Para criar o Domnio Raiz da Floresta, voc deve seguir os passos abaixo: 1. Clique em Iniciar e depois em Executar e escreva dcpromo. Em seguida, pressione Enter. O assistente verificar: Se o usurio validado membro do grupo de administradores locais. Se o computador est executando um sistema operacional que oferea suporte ao Active Directory. Se foi realizada uma instalao ou remoo de uma verso anterior do Active Directory sem reiniciao do computador, ou se no h uma instalao ou uma retirada do Active Directory em andamento. Se qualquer uma dessas quatro verificaes falhar, uma mensagem de erro aparecer e voc sair do assistente. Na pgina Bem-vindo, clique em Avanar. Na pgina Compatibilidade do Sistema operacional, clique em Avanar. Na pgina Tipo de Controlador de domnio, clique em Controlador de domnio para um novo domnio, e depois clique em Avanar. Na pgina Criar novo domnio, clique no Domnio em uma nova floresta e depois em Avanar. Na pgina Novo nome de domnio, insira o Nome do DNS para o novo domnio (nwtraders.msft) e depois clique em Avanar. Na pgina Nome de domnio NetBIOS verifique o Nome NetBIOS (NWTRADERS) e depois clique em Avanar. O nome NetBIOS identifica o domnio nos computadores de cliente executando verses anteriores do Windows e do Windows NT. O assistente verifica se o nome NetBIOS nico. Se no for, ele pedir para que voc modifique o nome. Na pgina Pastas do banco de dados e log, especifique a localizao em que deseja instalar as pastas do banco de dados e dos logs. Em seguida, clique em Avanar. Na pgina Volume de Sistema Compartilhado, especifique o local onde voc deseja instalar a pasta SYSVOL ou clique em Procurar... para escolher um local e depois clique em Avanar. Na pgina Diagnstico de registro de DNS verifique se h um servidor DNS de autorizao para essa floresta; se necessrio, clique em Instalar e configurar o servidor DNS neste computador e definir este computador para usar o servidor DNS como seu servidor DNS, e depois clique em Avanar. Na pgina Permisses, especifique se foram atribudas permisses padro aos objetos de usurio e grupo compatveis com os servidores que executam verses anteriores do Windows ou do Windows NT, ou somente com os servidores do Windows Server 2003. Quando for perguntado, especifique a senha para o modo de restaurao dos servios de. Os controladores de domnio do Windows Server 2003 mantm uma verso pequena do banco de dados de contas do Microsoft Windows NT 4.0. A nica conta nesse banco de dados a conta do administrador e ela exigida para autenticao quando o computador ligado no Modo Directory Services Restore porque o Active Directory no iniciado deste modo. Reveja a pgina Sumrio e depois clique em Avanar para comear a instalao. Quando solicitado, reinicie o computador.
2. 3. 4. 5. 6. 7.
8. 9. 10.
11. 12.
13. 14.
Captulo 4 | Pgina 16 | 3.2.2 Exerccio 2 (Opcional): Como adicionar um Controlador de Domnio adicional?
Para concluir esse exerccio, voc precisar de dois computadores ou dois PCs Virtuais, com um Controlador de Domnio instalado (Exerccio 1) e um Windows Server 2003. O procedimento semelhante criao de um novo Controlador de Domnio, com exceo de que preciso selecionar na primeira tela do assistente a opo Adicionar controlador de domnio adicional para um domnio. O restante do processo pode ser realizado de duas formas: 1. Atravs da rede: Se voc tiver uma grande quantidade de objetos, essa opo exige uma conexo com largura de banda ou tempo suficientes para a replicao inicial. 2. Duplicar a partir da mdia: Essa nova caracterstica do Windows Server 2003 permite realizar a replicao inicial por meio de um backup, da seguinte forma: Primeiro faa um backup do Estado do Sistema no Controlador de Domnio existente. Em seguida, envie esse backup para o computador de destino. No computador de destino, realize a operao de restaurao em um outro local (Escolha uma pasta, por exemplo: C:\NTDSRestore) Por ltimo, execute o assistente dcpromo /adv O assistente lhe permitir selecionar a opo A partir da mdia
3.3.
Como renomear um Controlador de Domnio?

No Windows Server 2003, voc pode renomear um Controlador de Domnio depois que ele j tiver sido instalado. Para renomear um Controlador de Domnio, voc deve ter direitos de Administrador do Domnio. Quando voc renomeia um Controlador de Domnio, preciso adicionar o novo nome do Controlador de Domnio e remover o nome antigo nos bancos de DNS e Active Directory. A renomeao de um Controlador de Domnio s possvel se o Nvel Funcional do Domnio for configurado como Windows Server 2003. Esta configurao ser abordada mais a frente neste captulo. Para renomear um Controlador de Domnio, voc deve seguir os passos abaixo: 1. 2. 3. 4. No Painel de Controle, clique duas vezes em Sistema. Na caixa Propriedades do Sistema, em Nome do Computador, clique em Alterar. Quando solicitado, confirme se deseja renomear o Controlador de Domnio. Incorpore o nome completo do computador (incluindo o sufixo de DNS primrio) e depois clique em OK.
Voc poder trocar o sufixo de DNS Primrio de um Controlador de Domnio quando renomeia o Controlador de Domnio. No entanto, ao modificar o sufixo do DNS Primrio, no mova o Controlador de Domnio para um novo domnio do Active Directory. Por exemplo, se voc renomear dc2.nwtraders.msft para dc1.contoso.msft, o computador continua sendo um Controlador de Domnio do nwtraders.msft, embora seu sufixo de DNS primrio seja contoso.msft. Para mover um Controlador de Domnio para outro domnio, voc deve primeiro rebaixar o Controlador de Domnio e depois promov-lo no novo domnio. Obtenha informaes sobre a instalao do Active Directory http://support.microsoft.com/default.aspx?scid=kb;en-us;324753 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591 http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
Captulo 4 | Pgina 17 | 3.4. Como solucionar problemas na instalao do Active Directory?

Ao instalar o Active Directory, voc pode ter problemas. Eles podem ser credenciais inadequadas de segurana, uso de nomes que no so nicos, uma rede no confivel ou falta de recursos. Em seguida, so descritos alguns problemas comuns que voc pode encontrar enquanto instala o Active Directory e algumas estratgias para resolv-los. Acesso negado enquanto cria ou adiciona os Controladores de Domnio. Feche a sesso e depois reinicie com uma conta que pertena ao grupo local de administradores. As credenciais devem ser de um usurio que membro do Admins de Domnio ou Admins da empresa. O nome de DNS ou NetBIOS do domnio no nico Troque o nome para um nome nico. O domnio no pode ser contatado Verifique se h conexo de rede entre o servidor que voc est promovendo a Controlador de Domnio e se h, pelo menos, um Controlador de Domnio no domnio. Use o comando ping do prompt de comando para testar a conexo com qualquer Controlador de Domnio do domnio. Verifique se o DNS proporciona a resoluo de nomes, pelo menos, a um Controlador de Domnio no domnio.
4. O Que So Zonas Active Directory de DNS Integradas?
Captulo 4 | Pgina 18 | 4.1. Introduo

Uma vantagem de integrar o DNS e o Active Directory a capacidade de integrar as zonas de DNS no banco de dados do Active Directory. Uma zona parte do Espao de Nome de Domnio que agrupa registros de forma lgica, permitindo transferncias de zona desses registros para funcionar como uma unidade.
4.2. Zona do Active Directory Integrado

Os Servidores DNS da Microsoft armazenam as informaes que so utilizadas para resolver os nomes de host em endereos IP e endereos IP em nomes de host, usando um banco de dados em formato de arquivo que tenha uma extenso .dns para cada zona. As Zonas do Active Directory Integradas so primrias e stub, e armazenadas como objetos no banco de dados do Active Directory. Voc pode armazenar objetos da zona na Partio de Aplicativos do Active Directory ou na Partio de Domnio do Active Directory. Se os objetos de zona estiverem armazenados na Partio de Aplicativos do Active Directory, somente os Controladores de Domnio sob essa Partio de Aplicativo podem participar na replicao desta partio. No entanto, se os objetos de zona forem armazenados na Partio de Domnio do Active Directory, todos os Controladores de Domnio sero duplicados no domnio.
4.3. Vantagens das Zonas do Active Directory Integrada

As Zonas do Active Directory Integrado oferecem as seguintes vantagens. Replicao multimaster. Quando voc configura Zonas no Active Directory Integrado, as atualizaes dinmicas do DNS baseiam-se no modelo multimaster. Neste modelo, qualquer servidor de autorizao do DNS, por exemplo, um Controlador de Domnio executando o Servidor DNS, primrio para a zona. Considerando que a Cpia Mestre da zona se mantm na base do Active Directory (que duplicado completamente para todos os Controladores de Domnio), a zona pode ser atualizada pelos Servidores DNS funcionando em qualquer Controlador de Domnio do domnio. Atualizaes dinmicas de segurana Como as zonas do DNS so objetos do Active Directory nas Zonas do Active Directory Integrado, voc pode aplicar permisses aos registros dentro dessas zonas e tambm pode controlar que computadores podem atualizar seus registros. Dessa maneira, as atualizaes que utilizam o protocolo dinmico de atualizao s podem ser recebidas dos computadores autorizados. Para obter mais informaes sobre as Zonas do Active Diretory Integrado: http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
4.4. Exerccio 3: Verificao da Zona Integrada com o Active Directory

Durante esse exerccio, voc verificar se o seu Servidor DNS tem a zona integrada com o Active Directory. Para verificar o DNS: 1. 2. 3. 4. 5. 6. Abra o console de DNS. Clique no nome do servidor. Clique na zona a verificar. Clique com o boto direito do mouse na zona e depois em Propriedades. Na caixa Tipo da zona selecione Integrada ao Active Directory Para trocar o tipo de zona, clique em Alterar.
Captulo 4 | Pgina 19 | 5. Qual a funcionalidade de Floresta e Domnio?
5.1. Introduo
No Windows Server 2003, a funcionalidade de floresta e domnio proporciona uma maneira de permitir os novos recursos em toda a floresta ou domnio do Active Directory no seu ambiente de rede. Diversos nveis da funcionalidade da floresta e do domnio esto disponveis, dependendo do seu ambiente de rede.
5.2. Qual a funcionalidade do Domnio?

A funcionalidade do domnio ativa os recursos que afetaro o domnio inteiro e somente esse domnio. Quatro nveis funcionais de domnio esto disponveis: Windows 2000 mista. Esse o nvel operacional padro. Voc pode elevar o nvel de funcionamento do domnio para Windows 2000 nativo ou Windows Server 2003. Os domnios de modo misto podem conter os Controladores de Domnio de backup do Windows NT 4.0, mas no possvel utilizar grupos de segurana universais, aninhamento de grupos ou recursos do Identificador de Segurana (SID) History. Windows 2000 nativo. Voc pode utilizar esse nvel funcional se o domnio contiver somente os Controladores de Domnio do Windows 2000 e do Windows Server 2003. Embora os Controladores de Domnio funcionem no Windows 2000 Server, eles no esto preparados para a funcionalidade de domnio. Caractersticas do Active Directory, como grupos de segurana universais, aninhamento de grupos e recursos do Histrico do Identificador de Segurana (SID), esto disponveis. Windows 2003 Server Esse o nvel funcional mais alto para um domnio. Voc s pode utiliz-lo se todos os Controladores de Domnio do domnio funcionarem no Windows Server 2003. Todos os recursos do Active Directory para o domnio esto disponveis para uso. Windows 2003 Interim. um nvel funcional especial que suporta Controladores de Domnio do Windows NT 4.0 e do Windows Server 2003.
5.3.
O que a funcionalidade da floresta?

A funcionalidade da floresta ativa os recursos atravs de todos os domnios dentro da sua floresta. Dois nveis funcionais de floresta esto disponveis: o Windows 2000 e o Windows Server 2003. Por padro, as florestas funcionam no nvel funcional do Windows 2000. Voc pode elevar o nvel funcional da floresta ao Windows Server 2003 para ativar os recursos que no esto disponveis no nvel funcional do Windows 2000, incluindo:
Relaes de confiana entre florestas Replicao melhorada Importante: Voc no pode rebaixar o nvel funcional do domnio ou da floresta depois que ele tiver sido elevado.
5.4.
Requisitos para ativar novos recursos no Windows Server 2003
5.4.1
Introduo
Alm dos recursos bsicos do Active Directory nos Controladores de Domnio individuais, os novos recursos em toda a floresta (forest-wide) e em todo o domnio (domain-wide) esto disponveis quando determinadas condies so cumpridas. Para ativar os novos recursos de todo o domnio, todos os Controladores de Domnio no domnio devem executar o Windows Server 2003, e o nvel funcional do domnio deve ser elevado para o Windows Server 2003. Voc precisa ser administrador do domnio para elevar o nvel funcional do domnio. Para ativar os novos recursos de toda a floresta, todos os Controladores de Domnio na floresta devem executar o Windows Server 2003, e o nvel funcional da floresta deve ser elevado ao Windows Server 2003. Voc precisa ser administrador Enterprise para elevar o nvel funcional da floresta. Para obter mais informaes sobre os nveis de funcionalidade: http://support.microsoft.com/default.aspx?scid=kb;en-us;322692
5.4.2 Exerccio 4: Como elevar o nvel funcional?

Elevar a funcionalidade da floresta e do domnio ao Windows Server 2003 ativa determinados recursos, por exemplo, confianas de floresta, que no esto disponveis em outros nveis funcionais. Voc pode elevar a funcionalidade da floresta e do domnio usando a ferramenta Domnios e Relaes de Confianas do Active Directory. Para elevar o nvel funcional do domnio, preciso executar os passos a seguir: 1. 2. Abra a ferramenta Domnios e Relaes de Confiana do Active Directory. Clique com o boto direito do mouse no domnio que voc deseja elevar e depois clique em Aumentar o nvel funcional do domnio.
3. Selecione o nvel funcional do Windows Server 2003 na caixa Selecione um nvel funcional de domnio disponvel e depois clique em Aumentar.
Para elevar o nvel funcional da floresta, preciso executar os passos a seguir: 1. 2. Na ferramenta Domnios e Relaes de Confianas do Active, no console, clique com o boto direito do mouse em Active Directory Domains and Trusts, e depois clique em Aumentar nvel funcional da floresta. Na caixa Selecione um nvel funcional de floresta disponvel, selecione Windows Server 2003 e depois clique em Aumentar.
Nota: Voc deve elevar o nvel funcional de todos os domnios em uma floresta ao Windows 2000 nativo ou mais alto, antes de elevar o nvel funcional da floresta.
6. Como funcionam as Relaes de Confianas entre Florestas?
6.1. Introduo
O Windows Server 2003 suporta confianas entre florestas que permite que os usurios na floresta tenham acesso a recursos em outra floresta. Quando um usurio tenta obter acesso a um recurso em uma floresta confivel, o Active Directory primeiro localizar o recurso. Depois de localizar o recurso, o usurio poder ser autenticado e ter acesso ao recurso. Entender como este processo funciona o ajudar a identificar problemas que possam se apresentar com confianas entre florestas.
6.2. Como concedido um recurso?

A seguir temos uma descrio de como um cliente do Windows 2000 Professional ou Windows XP Professional localiza e tem acesso a um recurso em outra floresta que tenha o Windows 2000 Server ou o Windows Server 2003. 1. Um usurio que inicie a sesso no domnio vancouver.nwtraders.msft tenta ter acesso a uma pasta compartilhada na floresta contoso.msft. O computador do usurio entra em contato com o KDC em
um controlador de domnio no vancouver.nwtraders.msft e solicita um solicitao de servio usando o SPN do computador, onde reside o recurso. Um SPN pode ser o nome DNS de um host ou domnio ou pode ser o Nome Distinto de um Objeto de Ponto de Conexo do Servio. O recurso no est em vancouver.nwtraders.msft e o Controlador de Domnio de vancouver.nwtraders.msft faz consultas no Catlogo Global para ver se o recurso est situado em outro domnio da floresta. Considerando que o Catlogo Global contm apenas informaes sobre sua prpria floresta, ele no encontra o SPN. O Catlogo Global testa seu banco de dados para saber se h informaes sobre relaes de confianas de floresta estabelecidas com a sua floresta. Se o Catlogo Global encontrar uma, compare os sufixos de nome que esto listados na confiana da floresta TDO com o sufixo de destino SPN. Se encontrar um ponto em comum, o Catlogo Global fornece as informaes de encaminhamento sobre como localizar o recurso ao Controlador de Domnio em vancouver.nwtraders.msft. O Controlador de Domnio em vancouver.nwtraders.msft envia uma referncia para seu domnio Pai nwtraders.msft, no computador do usurio. O computador do usurio entra em contato com o Controlador de Domnio nwtraders.msft pela referncia ao Controlador de Domnio do Domnio da Floresta Raiz da floresta contoso.msft. Usando a referncia do Controlador de Domnio em nwtraders.msft, o computador entra em contato com o controlador de domnio na floresta contoso.msft para solicitar uma permisso de servio. O recurso no est situado no Domnio da Floresta Raiz da floresta contoso.msft e, por isso, o Controlador de Domnio entra em contato com seu Catlogo Global para pesquisar o SPN. O Catlogo Global busca o SPN e o envia ao Controlador de Domnio. O Controlador de Domnio envia a referncia seattle.contoso.msft ao computador do usurio. O computador do usurio entra em contato com o KDC no controlador de domnio em seattle.contoso.msft e negocia a permisso para acesso do usurio ao recurso no domnio seattle.contoso.msft. O computador envia a permisso de servio do servidor ao computador onde est o recurso compartilhado e onde so lidas as credenciais de segurana do usurio e criado o token de acesso que permite o acesso do usurio ao recurso.
2.
3. 4. 5. 6. 7. 8. 9.
Nota: Lembre-se de que para poder utilizar esse novo recurso, preciso ter as duas florestas no nvel funcional do Windows Server 2003. As relaes de confianas entre florestas no Windows Server 2003 lhe permitem validar os usurios usando o Kerberos v5, utilizando a segurana prpria do protocolo. Tambm permitido que as confianas transitem entre duas florestas, e no em mltiplas florestas. Por exemplo: A floresta A estabeleceu uma confiana com a floresta B, e todos os domnios nas duas florestas podem utilizar essa confiana. No entanto, se, por sua vez, a floresta B tem uma confiana na floresta C, no existe nenhum tipo de relao entre a floresta A e a floresta C. Para obter mais informaes sobre relaes de confiana: http://support.microsoft.com/default.aspx?scid=kb;en-us;325874 http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
Captulo 4 | Pgina 23 | 7. Replicao no Active Directory
7.1. Replicao dentro dos sites

Os pontos dominantes da replicao do Active Directory dentro do site so: A replicao ocorre quando h: Um acrscimo de um objeto ao Active Directory. Uma modificao dos valores de um atributo de objeto. Uma mudana do nome de um continer de objetos. Uma eliminao de um objeto de diretrio. Notificao da modificao. Quando ocorre uma mudana em um controlador de domnio, o controlador de domnio notifica seus parceiros da replicao no mesmo site. Esse processo chamado de notificao de alterao. Latncia da replicao. Tempo de espera entre a hora em que ocorre a modificao e a hora em que a atualizao atinge todos os controladores de domnio no site. Por padro, a latncia da replicao de 15 minutos. Replicao urgente. Em vez de esperar os 15 minutos padro, os atributos confidenciais fornecem uma mensagem imediata de notificao de alterao quando so atualizados.
Convergncia. Cada atualizao no Active Directory propagada a todos os Controladores de Domnio no site que contm a partio na qual a atualizao foi realizada. Essa propagao completa chamada de convergncia. Propagation dampening. O processo de evitar uma replicao desnecessria. Cada Controlador de Domnio atribui a cada modificao de atributo ou objeto um Nmero de Seqncia de Atualizao (USN) para evitar a replicao desnecessria. Conflitos. Quando atualizaes simultneas originadas em dois mestres de replicaes diferentes so inconsistentes, podem ocorrer conflitos. O Active Directory resolve trs tipos de conflitos: atributo, contineres eliminados e conflitos de Nome Distinto Relativo (RDN). Carimbo global nico. O Active Directory mantm um carimbo que contm o nmero da verso, carimbo de hora, e identificador global exclusivo (GUID) de servidor que o Active Directory criado durante a atualizao originaria.
7.2.
Linked Multivalued Attributes

O processo pelo qual os atributos de mltiplos valores vinculados so duplicados varia, dependendo do nvel funcional da floresta: Quando o nvel funcional da floresta inferior ao Windows Server 2003, qualquer modificao realizada em um atributo de membros de grupo inicia a replicao da lista inteira do atributo membro. O atributo membro de mltiplos valores considerado um nico atributo com o fim da replicao nesse caso. Essa replicao aumenta a probabilidade de substituir uma modificao do atributo membro que outro administrador realizou em outro controlador de domnio, antes da primeira modificao ter sido duplicada. Quando o nvel funcional da floresta modificado para o Windows Server 2003, um valor individual duplica as modificaes de atributos de mltiplos valores vinculados. Essa funcionalidade aprimorada duplica apenas modificaes do atributo membro do grupo, e no a lista inteira do atributo de membro. Desta forma, elimina-se a restrio de um mximo de 5000 usurios por grupo. Essa restrio era fornecida no Windows 2000 pelo valor mximo que o atributo de membro de um grupo podia ter.
7.3.
Gerao automtica da topologia de replicao
Quando voc adiciona Controles de Domnio a um site, o Active Diretory usa o Knowledge Consistency Checker (KCC) para estabelecer um caminho de replicao entre os Controladores de Domnio. O KCC um processo que funciona em cada Controlador de Domnio e gera a topologia da replicao para todas as parties do diretrio contidas nesse Controlador de Domnio. O KCC executado em intervalos especficos, a cada 15 minutos por padro, e define os caminhos de replicao entre Controladores de Domnio nas conexes mais favorveis disponveis no momento. Este processo foi melhorado com relao ao processo do Windows 2000, fazendo com que essa nova caracterstica elimine a limitao existente de um mximo de 500 sites no Active Directory. Atualmente j foram testados at 3000 sites e o suporte mximo de 5000 sites. Nota: Para aproveitar essa caracterstica, voc deve ter a floresta no nvel funcional do Windows Server 2003 ou do Windows Server 2003 Interim.
7.4. Criando e Configurando Sites
Voc utiliza sites para controlar o trfego de replicaes, o trfego de logins e as consultas do cliente ao Servidor de Catlogo Global.
7.4.1. O que so os sites?

No Active Directory, os sites ajudam a definir a estrutura fsica de uma rede. Uma ou mais sub-redes TCP/IP em um intervalo especfico de endereos define um site, no qual so definidos alternadamente um grupo de Controladores de Domnio que tem velocidade e custos semelhantes. Os sites consistem em servidores de objetos, que contm objetos de conexo que permitem a replicao.
Captulo 4 | Pgina 27 | 7.4.2. O que so os objetos sub-rede?

Os objetos de sub-rede identificam os endereos de rede que utilizam os computadores nos sites. Uma sub-rede um segmento de uma rede TCP/IP ao qual atribudo um sistema de endereos IP lgicos. Considerando que os objetos da sub-rede representam a rede fsica, eles formam sites. Por exemplo, se 3 sub-redes estiverem situadas em 3 campos em uma cidade e esses campos estiverem conectados com conexes de alta velocidade e alta disponibilidade, voc pode associar cada uma dessas sub-redes a um site. Um site pode consistir em uma ou mais sub-redes. Por exemplo, em uma rede que tem 3 sub-redes em Redmond e 2 em Paris, voc pode criar um site em Redmond, um site em Paris e depois adicionar as sub-redes nos respectivos sites.
7.4.3. O que so os links de sites?

Os Links de Site so conexes que voc pode estabelecer entre sites para: Ativar a replicao Controlar os horrios em que voc quer fazer a replicao Controlar o custo de acordo com o enlace que voc est utilizado e o protocolo de replicao IP (RPC) ou SMTP. Para obter mais informaes sobre os sites: http://support.microsoft.com/default.aspx?scid=kb;en-us;323349
7.4.4 Exerccio 5: Criar e Configurar Sites e Sub-redes

Para criar um site, voc deve seguir os passos abaixo: 1. 2. 3. 4. Abra os Sites e Servios do Active Directory no menu Ferramentas Administrativas. Clique com o boto direito em Sites no console e depois clique em Novo Site. Insira o nome do novo site na caixa Nome. Clique em um objeto de link do site e depois clique em OK duas vezes.
Para criar um objeto de sub-rede, voc deve seguir os passos abaixo: 1. Em Sites e Servios do Active Directory, no console, clique duas vezes em Sites, clique com o boto direito em Sub-redes e depois clique em Nova Sub-rede. 2. Na caixa Endereo, insira o endereo IP da sub-rede. 3. Na caixa Mscara, insira a mscara de sub-rede que descreve o intervalo de endereos da sub-rede. 4. Selecione o site para associar sub-rede e depois clique em OK.
Captulo 4 | Pgina 28 | 8. Fazer backup do Active Directory.
Fazer o backup do Active Directory essencial para manter o banco de dados do Active Directory. Voc pode fazer o backup do Active Directory usando uma interface de usurio grfica (GUI) e ferramentas de linha de comando fornecidas pelo Windows Server 2003. Voc deve com freqncia fazer backup dos dados do Estado do Sistema nos Controladores de Domnio para que seja possvel restaurar os dados mais atuais. Estabelecendo um cronograma regular de backup, voc tem mais chances de recuperao de dados quando necessrio. Os Dados de Estado do Sistema no Controlador de Domnio incluem os seguintes componentes: Active Directory Os Dados do Estado do Sistema no contm o Active Directory, a menos que o servidor no qual voc est fazendo backup dos Dados de Estado do Sistema seja um Controlador de Domnio. O Active Directory s est presente nos Controladores de Domnio. A pasta compartilhada SYSVOL. Esta pasta compartilhada contm arquivos de Diretivas de Grupo e scripts de login. A pasta compartilhada SYSVOL est presente somente em controladores de domnio. O registro. Este repositrio de banco de dados contm as informaes sobre a configurao dos computadores. Arquivos de inicializao do sistema. O Windows Server 2003 exige esses arquivos durante sua fase de inicializao. Eles incluem os arquivos do sistema e inicializaes que esto protegidos pela proteo do arquivo do Windows. O banco de dados COM+ Registro de Classe. O banco de dados do Registro de Classe contm informaes sobre aplicativos de Servios de Componente. O banco de dados dos Servios de Certificado. Este banco de dados contm os certificados do servidor que o
Windows Server 2003 utiliza para autenticar usurios. Esse banco s est presente se o servidor estiver funcionando como servidor de certificados. Para realizar a operao de backup, voc pode utilizar a ferramenta prevista pelo Windows Server 2003: 1. 2. 3. 4. 5. 6. 7. 8. Clique em Backup no menu Iniciar, Todos os Programas, Acessrios, Ferramentas do Sistema. Clique em Avanar na pgina Bem-vindo ao Assistente de Backup ou Restaurao. Na pgina Faa backup ou restaure, clique em Fazer backup de arquivos e confguraes e depois clique em Avanar. Na pgina Backup, clique em Eu escolherei os itens para backup e depois clique em Avanar. Na pgina Itens para backup, expanda Meu computador, selecione Estado do Sistema, e depois clique em Avanar. Na pgina Tipo, destino e nome do backup, clique em Procurar, selecione um local para backup, clique em Salvar e depois clique em Avanar. Na pgina Concluindo o Assistente para backup ou restaurao, clique em Concluir. Aps o backup ser realizado, na pgina Progresso do Backup clique em Fechar.
8.1 Restaurao do Active Directory
Voc pode utilizar um dos trs mtodos para restaurar o Active Directory de meios de backup: restaurao primria, restaurao normal (sem autoridade) e restaurao com autoridade. 1. Restaurao primria. Este mtodo reconstri o primeiro controlador de domnio no domnio quando no h outra maneira de reconstruir o domnio. Faa uma restaurao primria somente quando todos os controladores de domnio em um domnio estiverem perdidos e voc quiser reconstruir o domnio usando o backup. Restaurao Normal. Este mtodo reinstala os dados do Active Directory no estado antes do backup e atualiza os dados com o processo normal de replicao. Realize uma restaurao normal quando quiser restaurar um nico controlador de domnio a um estado previamente conhecido. Restaurao com autoridade. Voc executa esse mtodo junto com uma restaurao normal. Uma restaurao com autoridade marca os dados especficos e evita que a replicao substitua esses dados. Os dados autorizados so replicados atravs do domnio.
2.
3.
Para realizar uma restaurao primria do Active Directory, siga os passos abaixo: 1. 2. 3. 4. 5. 6. 7. 8. 9. Reinicie seu controlador de domnio no Modo Restaurao do Servio de Diretrio. Inicie o utilitrio de Backup. Clique em Modo Avanado na pgina Bem-vindo ao Assistente para Backup ou Restaurao. Na pgina Bem-vindo ao modo avanado do utilitrio de backup, em Restaurar e gerenciar mdia, selecione o que deseja restaurar e depois clique em Iniciar Restaurao. Clique em Cuidado e depois em OK. Na caixa Confirmar Restaurao, clique em Avanado. Na caixa Opes Avanadas de Restaurao clique em Ao restaurar dados replicados, marcar os conjuntos de dados como primrios para todas as replicaes e depois clique em OK duas vezes. Na caixa Progresso da Restaurao, clique em Fechar. Na caixa Utilitrio de Backup, clique em Sim.
Captulo 5 Implementao, Administrao e Monitorao da Diretiva de Grupos

Durante este captulo, voc assimilar os conhecimentos necessrios para administrao, projeto e implementao adequados de Diretiva de Grupos. Para poder realizar os exerccios dessa unidade, necessrio j ter concludo os exerccios dos captulos 2 e 3.
1. Introduo
Voc utiliza a Diretiva de Grupo no Active Directory para centralizar o controle de usurios e computadores em uma empresa. Configurando a Diretiva de Grupos, possvel centralizar polticas para toda uma organizao, domnio, sites ou unidades organizacionais e tambm descentralizar a configurao da Diretiva de Grupos, configurando-a para cada departamento no nvel da unidade organizacional. Voc pode se certificar de que os usurios dispem dos ambientes necessrios para realizar seus trabalhos e fazer cumprir as polticas das organizaes, incluindo normas, metas e requisitos de segurana da empresa. Alm disso, possvel baixar o Custo Total da Propriedade controlando ambientes de usurio e de computadores, de forma que a necessidade de ajuda tcnica e o prejuzo produtividade decorrentes de erros seja reduzido. Ao concluir este captulo, voc poder: Criar e configurar objetos de Diretivas de Grupos (GPOs). Configurar intervalos de atualizao da Diretiva de Grupos e configuraes da Diretiva de Grupos. Administrar GPOs.
1.1. O que a Diretiva de Grupos?

A Diretiva de Grupos lhe concede o controle da administrao sobre os usurios e os computadores da sua rede; portanto, lhe permite definir o estado do ambiente de trabalho dos usurios uma nica vez, confiando no Microsoft Windows Server 2003 para implementar continuamente a configurao de Diretiva de Grupo que foi definida. Tambm ser possvel aplicar configuraes da Diretiva de Grupos atravs de uma organizao inteira ou grupos especficos de usurios e computadores.
Para obter mais informaes sobre a Diretiva de Grupo: Microsoft IntelliMirror. Viso Geral de Configuraes de Diretiva de Grupo.
1.2. O Que So as Definies de Configurao de Usurio e Computador?

Voc pode executar as Configuraes de Diretiva de Grupos para os computadores e os usurios usando Configurao de Computador e Configurao de Usurio na Diretiva de Grupo. Configuraes de Diretiva de Grupo para usurios incluem configuraes especficas do sistema operacional, configuraes de rea de trabalho, configuraes de segurana, opes de aplicativos atribudas e publicadas, configuraes de aplicativos, opes de redirecionamento de pasta e script de logon e logoff de usurios. As Configuraes de Diretiva de Grupo de usurio so aplicveis quando os usurios iniciam a sesso no computador e durante um ciclo de atualizao peridica. As Configuraes de Diretiva de Grupos modificam o ambiente da rea de trabalho do usurio conforme requisitos especficos ou aplicam as diretivas de bloqueio em usurios e esto contidas em Configurao do usurio no editor de Objeto de Diretiva de Grupos. Em Configurao do Usurio, tambm possvel selecionar: A pasta Configuraes de Software: contm configuraes de software que so aplicadas aos usurios, independente do computador em que a sesso foi iniciada. Essa pasta tambm contm configuraes que so includas conforme os provedores de software independentes (ISVs). A pasta Configuraes do Windows: contm configuraes do Windows que so aplicadas aos usurios, independe do computador em que a sesso foi iniciada. Esta pasta tambm contm os seguintes pontos: Redirecionamento de Pastas, Configuraes de Segurana e Scripts. As Configuraes de Diretiva de Grupo para os computadores incluem a forma como o sistema operacional se comporta, o comportamento da rea de trabalho, as configuraes de segurana, os scripts de inicializao e desligamento, as opes de aplicativos atribudas ao computador e as configuraes de aplicativos. As Diretivas de Grupo relacionadas ao computador so aplicadas quando o sistema operacional iniciado e durante um ciclo peridico de atualizao. Normalmente, em caso de conflito, as configuraes da Diretiva de Grupo do computador tm prioridade em relao Diretiva de Grupo do usurio.
As Configuraes de Diretiva de Grupo, que modificam o ambiente conforme requisitos particulares da rea de trabalho e para todos os usurios de um computador ou que aplicam as diretivas de segurana nos computadores de uma rede, podem ser encontradas em Configurao do Computador no editor de Objeto de Diretivas de Grupo. Em Configurao do Computador, tambm possvel encontrar: A pasta Configuraes de Software: contm configuraes de software aplicadas a todos os usurios que iniciam a sesso no computador. Essa pasta possui configurao de instalao do software e pode conter outras configuraes inseridas pelo ISVs. A pasta Configuraes do Windows: contm as configuraes do Windows aplicadas a todos os usurios que iniciam a sesso no computador. Esta pasta tambm contm os seguintes pontos: Configuraes de Segurana e Scripts.
Configuraes de Segurana est disponvel na pasta Configuraes do Windows localizada em Configurao do Computador e Configurao do usurio no editor de Objeto de Diretiva de Grupo. As Configuraes de Segurana ou as Diretivas de Segurana so regras que voc configura em um ou vrios computadores para proteger recursos em um computador ou em uma rede. Com Configuraes de Segurana voc pode especificar Diretivas de Segurana de uma unidade organizacional, domnio ou site. Para mais informaes sobre o extensor de Diretiva de Grupo, veja os mtodos Avanados estendendo Diretiva de Grupo em: http://www.microsoft.com/technet/treeview/default.asp?url= /technet/prodtechnol/windowsserver2003/proddocs/server/sag_SPconcepts_30.asp
1.3. Exerccio 1: Configurar Definies de Diretiva de Computador Local:

Para adicionar o Editor de Objeto de Diretiva de Grupos a um CustomMMC, preciso: 1. 2. 3. Abrir um CustomMMC. (execute mmc em Executar...) Adicionar o snap-in do Editor de Objeto de Diretiva de Grupo. Salvar o CustomMMC.
Para evitar que os usurios desativem o servidor usando Configurao de Diretiva Local, preciso: 1. 2. 3. 4. 5. Expandir, no CustomMMC, o snap-in Diretiva de Segurana Local. Expandir, no console, Configurao do usurio. Expandir Modelos Administrativos e depois clicar no menu Iniciar e em Barra de Tarefas. Clicar duas vezes em Remover e prevenir acesso ao comando Desligar, no painel de detalhes Clicar em Habilitar na caixa Remover e prevenir acesso s propriedades do comando e depois clicar em OK. Fechar e salvar todos os programas e fazer logoff.
Para testar a diretiva, preciso: 1. 2. 3. Iniciar a sesso como User com uma senha. Clicar em Iniciar e verificar se o boto Desligar foi removido do menu Iniciar. Fechar e salvar todos os programas e fazer logoff.
1.4. As ferramentas usadas para criar os GPOs

Usurios e Computadores do Active Directory Voc pode abrir o editor de Objeto de Diretiva de Grupo de Usurios e Computadores do Active Directory para administrar GPOs para domnios e unidades organizacionais. Na caixa Propriedades de um domnio ou unidade organizacional, temos a guia Diretiva de Grupo, onde possvel controlar os GPOs de domnio ou unidade organizacional. Sites e Servios do Active Directory Voc pode abrir o editor de Objeto de Diretiva de Grupo de Sites e Servios do Active Directory para controlar GPOs de sites. Na caixa Propriedades do site, temos a guia Diretiva de Grupo, onde possvel controlar os GPOs do site.
Group Policy Management Console O Console de Gerenciamento de Diretiva de Grupo um sistema de interfaces programveis para o controle de Diretiva de Grupo, assim como os snap-ins MMC, que so criados nessas interfaces programveis tambm. Os componentes de Gerenciamento de Diretiva de Grupo, por sua vez, consolidam a administrao da Diretiva de Grupo em toda a empresa.
O Group Policy Management Console combina a funcionalidade de mltiplos componentes em uma nica interface de usurio (UI). A UI estruturada conforme o modo como a Diretiva de Grupo utilizada e controlada. Ela tambm incorpora a funcionalidade relacionada com a Diretiva de Grupo das ferramentas seguintes em um nico snap-in MMC: Usurios e Computadores do Active Directory Sites e Servios do Active Directory Conjunto de Diretivas Resultantes (RSoP) O Gerenciamento de Diretivas de Grupos tambm proporciona os seguintes recursos ampliados que no estavam disponveis em ferramentas anteriores de Diretiva de Grupos. Com o Gerenciamento de Diretiva de Grupos, voc pode: Fazer backup e restaurao de GPOs. Copiar e importar GPOs. Usar filtros de Windows Management Instrumentation (WMI). Gerar relatrios de GPO e RSoP. Pesquisar para GPOs. Group Policy Management vs. ferramentas padro de Diretiva de Grupos Antes do Group Policy Management, voc administrava a Diretiva de Grupo usando diversas ferramentas do Windows, incluindo Usurios e Computadores do Active Directory, Sites e Servios do Active Directory e RSoP. Mas agora o Gerenciamento de Diretiva de Grupo consolida a administrao de todas as tarefas baseadas em Diretiva de Grupo em uma nica ferramenta. Graas a essa administrao consolidada, a funcionalidade de Diretiva de Grupo no exigida em outras ferramentas. Depois de instalar o Group Policy Management, voc ainda utiliza cada uma das ferramentas do Active Directory para seus objetivos especficos de administrao de diretrios, por exemplo, criar um usurio, computador e grupo. No entanto, voc pode utilizar o Gerenciamento de Diretivas de Grupo para realizar todas as tarefas relacionadas a Diretivas de Grupo. A funcionalidade de Diretiva de Grupo no estar mais disponvel nas ferramentas do Active Directory quando o Group Policy Management for instalado. O Group Policy Management no substitui o editor do Objeto de Diretiva de Grupo. No entanto, voc deve editar os GPOs, usando o editor de Objeto de Diretiva de Grupos. O Group Policy Management integra a funcionalidade de edio proporcionando acesso direto ao editor de Objeto de Diretiva de Grupo. Nota: O Console do Group Policy Management no fornecido com o Server 2003. Voc deve fazer o download a partir de: http://www.microsoft.com/downloads/details.aspx?FamilyId=F39E9D60-7E41-4947-82F53330F37ADFEB&displaylang=en
Captulo 5 | Pgina 6 | 1.5. Exerccio 2: Como criar um GPO?

Utilize os procedimentos a seguir para criar um novo GPO ou um link para um GPO existente, usando o Active Directory Users and Computers, e para criar um GPO em um site, domnio ou unidade organizacional. Para criar um GPO novo ou estabelecer um link para um GPO existente usando Usurios e Computadores do Active Directory: 1. 2. Clique com o boto direito no continer do Active Directory (domnio ou unidade organizacional), que est em Usurios e Computadores do Active Directory, para criar um GPO. Depois clique em Propriedades. Escolha uma das opes a seguir, na caixa Propriedades, da guia Diretiva de Grupo: Para criar um novo GPO, clique em Novo, insira um nome para o novo GPO e pressione ENTER. Para criar um link a um GPO existente, clique em Adicionar e selecione o GPO da lista. O GPO ou o link que voc cria so exibidos na lista de GPOs que esto vinculados ao continer do Active Directory.
1.6. O que um Link de GPO?
Todo os GPOs so armazenados em um continer do Active Directory chamado Objetos de Diretiva de Grupo. Quando um GPO utilizado por um site, domnio ou unidade organizacional, o GPO vinculado ao continer de Objetos de Diretiva de Grupos. Conseqentemente, voc pode centralizar a administrao e a implementao de GPOs em muitos domnios ou unidades organizacionais. Quando cria um link de GPO em um site, domnio ou unidade organizacional, voc pode realizar duas operaes diferentes: criar o novo GPO e vincul-lo ao site, domnio ou unidade organizacional. Ao delegar permisses e vincular um GPO ao domnio, unidade organizacional ou ao site, voc poder modificar as permisses para o domnio, a unidade organizacional ou o site que deseja delegar. Por padro, somente os membros dos grupos de Admins de Domnio e Admins da Empresa tm as permisses necessrias para vincular GPOs a domnios e unidades organizacionais. Somente os membros do grupo Admins da Empresa tm permisses para vincular GPOs a sites. Membros dos Proprietrios Criadores de Diretiva de Grupo podem criar GPOs, mas no podem vincul-los. Quando voc cria um GPO no continer de Objetos de Diretiva de Grupo, o GPO no aplicado a nenhum usurio ou computador at que o link de GPO seja criado. Voc pode criar um GPO desvinculado usando o
Group Policy Management e tambm pode criar GPOs desvinculados em uma organizao de grande porte, onde um grupo cria GPOs e outro cria links de GPOs para site, domnio ou unidade organizacional.
1.7. Exerccio 3: Como criar um Link de GPO?

Para fazer esse exerccio, voc dever instalar previamente o GPMC. (Veja o item 4.3 a seguir.) Utilize os procedimentos seguintes para criar e vincular GPOs. Para vincular um GPO quando ele criado: 1. No Group Policy Management Console, expanda a floresta que contm o domnio no qual voc deseja criar e vincular o GPO. Expanda Domnios e siga os passos abaixo: Para criar um GPO e vincul-lo ao domnio, clique com o boto direito no domnio e depois em Criar e conectar uma diretiva aqui. Para criar um GPO e vincul-lo a uma unidade organizacional, expanda o domnio que contm a unidade organizacional, clique com o boto direito da unidade organizacional e depois clique em Criar e conectar uma diretiva aqui 2. Na caixa Nova diretiva (Novo GPO), insira o nome do novo GPO e depois clique em OK. Para vincular o GPO existente ao site, domnio ou unidade organizacional. 1. 2. 3. No Group Policy Management Console, expanda a floresta contendo o domnio ao qual voc deseja vincular um GPO existente. Expanda Domnios e o domnio. Clique com o boto direito no domnio, site ou unidade organizacional. Depois de clicar no Conectar a uma diretiva existente. Na caixa Selecionar diretiva, clique no GPO que deseja vincular e depois clique em OK.
1.8. Como foram herdadas as permisses de Diretiva de Grupo no Active Directory?

A ordem em que o Windows Server 2003 aplica GPOs depende do continer do Active Directory ao qual vinculado o GPO. Os GPOs so aplicados primeiro ao site e depois aos domnios e, por ltimo, s unidades organizacionais nos domnios. Um continer filho herda GPOs do continer pai. Isso significa que um continer filho pode ter vrias Configuraes de Diretiva de Grupo aplicadas a seus usurios e computadores, sem ter um GPO vinculado a ele. No entanto, no h hierarquia de domnios como nas unidades organizacionais, por exemplo, unidades organizacionais pai e filhas. Os GPOs so cumulativos visto que so herdados. A herana da Diretiva de Grupo a ordem na qual o Windows Server 2003 aplica os GPOs. Essa ordem e a herana de GPOs determinam, em ltima instncia, que configuraes afetam usurios e computadores. Se houver mltiplos GPOs definindo o mesmo valor, por padro, o GPO aplicado por ltimo ter prioridade.
Voc tambm pode ter mltiplos GPOs vinculados aos mesmos contineres. Por exemplo, possvel ter trs GPOs vinculados a um nico domnio. A ordem em que so aplicados os GPOs pode afetar o resultado da
configurao da Diretiva de Grupo. Tambm h uma ordem ou prioridade de Diretiva de Grupos e de GPOs para cada continer.
1.9. O que ocorre quando h conflito de GPOs?

As combinaes complexas de GPOs podem criar conflitos e conseqentemente exigir a modificao do comportamento de herana padro. Quando uma configurao de Diretiva de Grupos definida para uma unidade organizacional pai e a mesma configurao no configurada para a unidade organizacional filha, os objetos dessa ltima herdam a configurao de Diretiva de Grupos da unidade organizacional pai. Quando voc configura uma Diretiva de Grupo para unidades organizacionais pais e filhas, as configuraes para essas unidades so aplicadas. Se as configuraes forem incompatveis, a unidade organizacional filha conserva sua prpria configurao de Diretiva de Grupo. Por exemplo, uma configurao de Diretiva de Grupo para a unidade organizacional aplicada por ltimo ao computador ou ao usurio substitui a que estava causando o conflito de configurao de Diretiva de Grupo em um continer, que de um nvel de hierarquia mais alto no Active Directory. Se a ordem de hierarquia padro no atender s necessidades da organizao, voc pode modificar as regras de herana em GPOs especficos. O Windows Server 2003 proporciona as duas opes a seguir para trocar a ordem padro da herana: No Substituir Essa opo utilizada para impedir que contineres filhos no sejam priorizados em relao a um GPO com prioridade mais alta de configurao. Essa alternativa til para fazer cumprir os GPOs que representam normas de negcios da organizao. A opo No Substituir fixada em uma base individual do GPO. Voc pode definir essa opo em um ou mais GPOs conforme as necessidades. Quando definido mais de um GPO em No Substituir, o GPO mais alto da hierarquia do Active Directory definido em No Substituir ter prioridade. Bloquear herana de diretiva Essa opo utilizada em contineres filhos para bloquear a hierarquia de todos os contineres pai. til quando uma unidade organizacional exige uma nica configurao de Diretiva de Grupo. Bloquear herana de diretiva definida com base no continer. Em caso de conflito, a opo No Substituir sempre tem prioridade sobre a opo Bloquear herana de diretiva.
1.10. Bloqueio de Implementao de GPO

Voc pode evitar que um continer filho herde GPOs dos contineres pai, ativando Bloquear herana de diretiva no continer filho. Dessa forma, ele evita que o continer herde todas as configuraes de Diretiva de Grupos. Isso til quando um continer do Active Directory exige configuraes nicas de Diretiva de Grupo e voc deseja garantir que as configuraes de diretiva de grupos no sejam herdadas. Por exemplo, possvel utilizar Bloquear herana de diretiva quando o administrador de uma unidade organizacional precisa controlar todos os GPOs de um determinado continer.
Ao usar Bloquear herana de diretiva, ele dever considerar o seguinte: No possvel escolher seletivamente o que os GPOs bloqueiam. Bloquear herana de diretiva afeta todos os GPOs de todos os contineres pai, exceto os GPOs configurados com a opo No Substituir, sem GPMC instalada e Forado com GPMC instalada. Bloquear herana de diretiva no bloqueia a herana de um GPO vinculado a um continer pai se o vnculo for configurado com a opo No Substituir.
1.11. Como configurar a Aplicao de Diretiva de Grupo?
Importante: Antes de instalar o Group Policy Management Console, a opo Forado (Enforced) chamada No Substituir em Usurios e Computadores do Active Directory. Para configurar a aplicao de link de GPO, preciso: 1. No Group Policy Management Console, expanda a floresta contendo o link no qual voc deseja configurar a aplicao. Depois siga um dos passos abaixo: Para configurar a aplicao do link de GPO a um domnio, expanda Domnios e o domnio que contm o link de GPO. Para configurar a aplicao do link de GPO a uma unidade organizacional, expanda Domnios e o domnio que contm a unidade organizacional. Depois de expandir a unidade organizacional que pode incluir unidade organizacional pai ou filha e que contenha o link de GPO. Para configurar a aplicao do link de GPO a um site, expanda Sites e depois o site que contm o link de GPO. 2. Clique com o boto direito do mouse no link de GPO e depois clique em Forado para ativar ou desativar a aplicao.
1.12. Filtro de Implementao de GPO
Por padro, todas as Configuraes de Diretiva de Grupos contidas nos GPOs afetam o continer e so aplicadas a usurios e computadores desse continer, o que no produz os resultados que voc deseja. Usando o recurso de filtro, possvel determinar se as configuraes se aplicam aos usurios e aos computadores no continer especfico. Voc pode filtrar a implementao do GPO definindo permisses no link de GPO para determinar o acesso de leitura ou negar a permisso no GPO. Para que as Configuraes de Diretiva de Grupo sejam aplicadas a uma conta de usurio ou de computador, a conta deve ter, pelo menos, permisso de leitura para um GPO. Por padro, as permisses para um novo GPO tm as seguintes Access Control Entries (ACEs): Usurios Autenticados. Permitir leitura e aplicar Diretiva de Grupo Admins de Domnio, Adminis da Empresa e SYSTEM. Permitir leitura, Permitir gravao, Permitir criar todos os objetos filhos, Permitir excluir todos os objetos filhos Voc pode utilizar os seguintes mtodos de filtro: Negar explicitamente Este mtodo utilizado para negar o acesso diretiva de grupo Por exemplo, voc poderia negar explicitamente a permisso ao grupo de segurana dos administradores, que avisaria os administradores da unidade organizacional sobre a recepo de Configuraes de GPO. Remover usurios autenticados Voc pode remover os administradores da unidade organizacional do grupo de segurana, o que significa que no h nenhuma permisso explcita para o GPO. Para mais informaes sobre a Diretiva de Grupo: http://support.microsoft.com/default.aspx?scid=kb;en-us;324753 http://microsoft.com/downloads/details.aspx? FamilyId=D26E88BC-D445-4E8F-AA4E-B9C27061F7CA&displaylang=en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/management/gp/default.asp
2. Administrao do ambiente de usurio
A administrao do ambiente de usurio significa controlar o que eles podem fazer quando iniciam a sesso na rede. Isso feito atravs da Diretiva de Grupo, controlando os computadores do escritrio, as conexes de rede e as interfaces de usurio. Voc controla os ambientes de usurio para garantir que eles tenham apenas o acesso necessrio para realizarem seus trabalhos. Dessa forma, eles no podem corromper ou configurar incorretamente seus ambientes. Quando voc configura ou controla ambientes de usurio de forma centralizada, possvel realizar as seguintes tarefas: Controlar os usurios e os computadores: Isso possvel controlando-se a configurao da rea de trabalho do usurio com diretivas baseadas no registro. Dessa forma, voc garante que os usurios tenham os mesmos ambientes, mesmo quando iniciam a sesso em computadores diferentes. Assim, voc pode controlar como o Microsoft Windows Server 2003 administra seus perfis de usurio, que especificam a forma como os dados pessoais de um usurio esto disponveis. Redirecionando pastas de usurio dos discos rgidos locais do usurio para um local central de um servidor, voc pode garantir que os dados dos usurios estejam disponveis para eles, independente do computador onde a sesso foi iniciada. Implementar software. O software instalado nos computadores ou nos usurios com servio de diretrio Active Directory. Com a instalao do software, voc pode garantir que os usurios tenham seus programas, service packs e hotfixes exibidos.
2.1. O que Ativar ou Desativar as Configuraes de Diretiva de Grupo?
Se voc desativar uma configurao de diretiva, estar desativando a ao da configurao de diretiva. Por exemplo, os usurios, por padro, podem ter acesso ao Painel de Controle. Para eles, voc no precisa desativar a configurao de diretiva Restringir acesso ao Painel de Controle, a menos que tenha previamente aplicado uma configurao de diretiva ativando-a. Nessa situao, voc ter que definir outra configurao de diretiva para desativar a que foi aplicada previamente. Isso til quando configuraes de diretiva so herdadas e no se deseja usar filtros para aplicar configuraes de diretiva a grupos especficos. Voc pode aplicar um GPO que permita uma configurao de diretiva na unidade organizacional pai e outra definio de diretiva que desative o GPO na unidade organizacional filha. Quando voc aceita uma definio de diretiva, est consentindo a ao dessa configurao de diretiva. Por exemplo, para negar a algum acesso ao Painel de Controle, voc pode permitir a configurao de diretiva Restringir acesso ao Painel de Controle. Um GPO executa valores que modificam o registro dos usurios e dos computadores que esto em conformidade com o GPO. Por padro, a configurao de uma diretiva No Configurado. Se quiser
redefinir uma configurao de diretiva de um computador ou um usurio para o valor predefinido ou para a diretiva local, voc dever selecionar a opo No Configurado. Por exemplo, voc pode permitir uma configurao de diretiva para alguns clientes e, ao usar a opo No Configurado, a diretiva inverter a diretiva padro ou a definio de diretiva local. Alguns GPOs exigem que sejam fornecidas determinadas informaes adicionais depois de permitir o objeto. Algumas vezes, pode ser necessrio selecionar um grupo ou um computador se a configurao de diretiva precisar voltar a fornecer ao usurio uma determinada informao. Outras vezes, para permitir configuraes proxy, voc dever fornecer o nome ou o endereo IP do servidor proxy e o nmero da porta. Se a configurao de diretiva tiver mltiplos valores e as configuraes estiverem em conflito com outra configurao de diretiva, as configuraes com mltiplos valores em conflito so substitudas pela ltima configurao de diretiva aplicada.
2.2. Exerccio 4: Como editar Configurao de Diretiva de Grupo?

Como administrador de sistemas, voc deve editar as configuraes de diretiva de grupo. Utilize o procedimento a seguir para realizar essa tarefa. 1. No Group Policy Management Console, navegue para os Group Policy Objects. 2. Clique com o boto direito do mouse no GPO e depois em Edit. 3. No editor de Objeto de Diretiva de Grupo, pesquise a configurao de Diretiva de Grupo que deseja editar e depois clique duas vezes nela. 4. Na caixa Properties, defina a configurao de Diretiva de Grupo e depois clique em OK.
2.3. Quais so os scripts de Configuraes de Diretiva de Grupo?

Voc pode utilizar os scripts de Diretiva de Grupo para configurar scripts centralizados que sejam executados automaticamente quando o computador iniciado e desligado, e tambm quando os usurios iniciam e fecham uma sesso. Voc pode especificar qualquer script que execute o Windows Server 2003, incluindo arquivos em lote, programas executveis e scripts suportados pelo Windows Script Host (WSH). Para ajudar o usurio a controlar e configurar seus ambientes, preciso: Executar os scripts que realizam as tarefas que voc no pode realizar com outras configuraes de Diretiva de Grupos. Por exemplo, configurar o ambiente de usurio com conexes de rede, conexes de impressora, atalhos para aplicativos e documentos corporativos. Limpar as reas de trabalho quando os usurios fecham a sesso e desligam o computador. Voc pode remover as conexes adicionadas aos scripts de logon ou inicializao, para que o computador permanea no mesmo estado de quando o usurio o ligou. Executar scripts pr-existentes, definidos para controlar os ambientes de usurio at que eles sejam configurados com outras Diretivas de Grupo que substituam esses scripts. Nota: Com o Active Directory Users and Computers, voc pode atribuir scripts de login individualmente para as contas de usurio na caixa Propriedades de cada uma. Por isso, a Diretiva de Grupo o melhor mtodo para executar scripts porque possvel controlar esses scripts centralizados junto com os scripts de inicializao e logoff. Para mais informaes sobre os scripts, veja TechNet Script Center em: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/scriptcenter/default.asp
2.4. Exerccio 5: Como atribuir scripts com Diretiva de Grupo?
Para implementar o script, voc utiliza a Diretiva de Grupo e o adiciona configurao apropriada em um modelo de Diretiva de Grupos. Isso indica que o script pode ser executado na inicializao, desligamento, logon ou logoff. Para adicionar um script ao GPO, preciso: 1. 2. 3. 4. 5. No Group Policy Management Console, edite o GPO. No editor de Objeto de Diretiva de Grupo do console, procure User Configuration/Windows Settings/Scripts (Logon/Logoff). No painel de detalhes, clique duas vezes em Logon. Na caixa Logon Properties, clique em Add. Na caixa Add a Script, defina todas as configuraes seguintes que quiser utilizar. Depois, clique em OK. Script Name. Insira o caminho do script ou clique em Browse para localizar o arquivo de script na pasta compartilhada Netlogon do Controlador de Domnio. Script Parameters. Insira os parmetros que quiser utilizar, da mesma forma que os inseriria na linha de comando. Na caixa Logon Properties, defina todas as configuraes a seguir que voc queira utilizar. Logon Scripts for. Esta lista enumera todos os scripts que esto atribudos atualmente ao GPO selecionado. Se forem atribudos mltiplos scripts, eles sero processados na ordem especificada. Para mover o script na lista, clique no script e depois em Up ou Down.
6.
2.5. O que o Redirecionamento de Pastas?

Quando voc redireciona pastas, modifica a localizao das pastas do disco rgido local do computador do usurio, a uma pasta compartilhada em um servidor da rede. Depois de redirecionar uma pasta a um servidor, ela continuar aparecendo como local para o usurio. O perfil de usurio formado por quatro pastas de perfil de usurio e que podem ser redirecionadas: Meus Documentos, Dados de Aplicativos, Desktop e Menu Iniciar. Armazenando dados na rede, o benefcio para os usurios est na disponibilidade crescente e os backup freqentes de seus dados. O redirecionamento de pastas oferece os seguintes benefcios: Os dados nas pastas esto disponveis para o usurio; independente do computador cliente onde o usurio inicia a sesso. Os dados nas pastas esto armazenados em pontos centrais e, por isso, mais fcil administr-los e fazer backup de segurana. Os arquivos dentro das pastas redirecionadas, como os arquivos de um perfil de usurio mvel, no so copiados e no so salvos no computador do usurio que inicia a sesso. Isso significa que quando o usurio inicia a sesso no computador cliente, no utilizado espao de armazenamento para esses arquivos e os dados, que podem ser confidenciais, nesse computador. Os dados so armazenados em uma pasta compartilhada da rede que pode ser parte das reas de rotinas de backup. Isso mais seguro porque no exige nenhuma ao por parte do usurio. Como administrador, voc pode utilizar a Diretiva de Grupo para configurar cotas de disco, limitando a quantidade de espao ocupado pelos usurios.
Captulo 5 | Pgina 14 | 2.6. Pastas que podem ser redirecionadas

Voc pode redirecionar as pastas Meus Documentos, Dados de Aplicativos, Desktop e Menu Iniciar. Uma organizao deve redirecionar essas pastas para preservar dados e configuraes importantes do usurio. Existem vrias vantagens do redirecionamento de cada uma dessas pastas, que variam conforme as necessidades da organizao. Voc pode utilizar o redirecionamento para qualquer das seguintes pastas no perfil de usurio: Meus Documentos O redirecionamento de Meus Documentos particularmente vantajoso porque a pasta tende a realiz-lo a longo prazo. A tecnologia de Arquivos Offline permite que os usurios tenham acesso a Meus Documentos, mesmo quando no esto conectados rede. Isso particularmente til para quem utiliza computadores portteis. Dados de aplicativos As configuraes de Diretiva de Grupos controlam o comportamento dos Dados de Aplicativos quando o cache do cliente est ativado. Essa configurao sincroniza os dados de aplicativos centralizados em um servidor da rede com o computador local. Conseqentemente, o usurio pode trabalhar on-line ou offline. Se forem realizadas modificaes de dados de aplicativos, a sincronizao atualiza os dados do aplicativo sobre o cliente e o servidor. Desktop Voc pode redirecionar a rea de trabalho e todos os arquivos, atalhos e pastas a um servidor centralizado. Menu Iniciar Quando o menu Iniciar redirecionado, suas subpastas tambm so redirecionadas.
2.7. Configuraes necessrias para definir o Redirecionamento de Pasta

Existem 3 configuraes disponveis para Redirecionamento de Pasta: nenhum, bsico e avanado. O Redirecionamento de Pasta Bsico para usurios que devem redirecionar suas pastas a uma rea comum ou para os usurios que precisam manter a privacidade de seus dados. Voc tem as seguintes opes bsicas para Redirecionamento de Pastas: Redirecione as pastas para um local Todos os usurios redirecionam suas pastas a uma rea comum onde possvel ver ou utilizar outros dados em pastas redirecionadas. Para fazer isso, escolha a configurao Bsico e configure Redirecionar pastas para o seguinte local. aconselhvel utilizar essa opo para todas as pastas que contenham dados que no so privados. Crie uma pasta para cada usurio no caminho raiz Para os usurios que precisam que suas pastas sejam redirecionadas com dados privados, escolha a configurao Bsico e configure Criar uma pasta para cada usurio no caminho raiz. aconselhvel utilizar essa opo para os usurios que precisam manter seus dados privados, como gerentes que guardam dados pessoais sobre funcionrios. Quando voc seleciona Avanado Especifica os locais dos vrios grupos de usurios, as pastas so redirecionadas a locais diferentes, baseadas em grupos de segurana dos usurios.
As opes avanadas para Redirecionamento de Pasta so as seguintes: Selecionar um grupo. Especifique aqui para quem aplicar o redirecionamento. Caminho. Aqui possvel escolher uma das opes a seguir: Criar uma pasta para cada usurio no caminho raiz. Utilize para dados confidenciais. Redirecionar para o seguinte local. Utilize para dados compartilhados. Redirecionar para o seguinte local. Para usurios que utilizam uma combinao de computadores clientes que no so parte do Active Directory por um lado e por outro sim. Caminho. Nessa caixa, especifique o servidor e o nome da pasta compartilhada para a qual deseja redirecionar.
2.8. Exerccio 6: Como configurar Redirecionamento de Pasta?

Voc configura Redirecionamento de Pasta usando o editor do Objeto de Diretiva de Grupos. Para configurar Redirecionamento de Pasta, preciso: 1. 2. 3. 4. No Group Policy Management, edite ou crie o GPO. No editor de Objeto de Diretiva de Grupo do console, expanda Configurao do usurio, expanda Configuraes do Windows e depois Redirecionamento de Pasta. Os cones para as quatro pastas que podem ser redirecionadas so exibidos. Clique com o boto direito do mouse na pasta que deseja redirecionar e depois clique em Propriedades. Na caixa Propriedades, na guia Geral, clique em uma das seguintes opes: Bsico Redirecionar pastas de todos os usurios para o mesmo local. Todas as pastas afetadas por esse GPO so armazenadas na mesma pasta compartilhada da rede. Avanado Especifica os locais de vrios grupos de usurios. As pastas so redirecionadas para outras parties da rede e baseadas nos membros de grupos de segurana. Por exemplo, as pastas pertencentes aos usurios do grupo de contabilidade so redirecionados ao servidor de contabilidade e as pastas que pertencem aos usurios no grupo de comercializao se redirecionam ao servidor de comercializao. Na caixa Propriedades, clique em Adicionar. Em Local da pasta de destino, na caixa Caminho da raiz, insira o nome da pasta compartilhada na rede e clique em Procurar para localiz-la. Na guia Configuraes, configure as opes que voc queria utilizar e depois clique em OK.
5. 6. 7.
2.9. O que o Gpupdate?
Gpupdate uma ferramenta de linha de comando que atualiza as configuraes de Diretiva de Grupo locais e configuraes de Diretiva de Grupo armazenadas no Active Directory, incluindo as configuraes de segurana. Por padro, as configuraes de segurana so atualizadas a cada 90 minutos em uma estao de trabalho ou um servidor, e a cada 5 minutos em um Controlador de Domnio. Voc pode executar gpupdate para testar uma configurao de Diretiva de Grupo ou aplic-la diretamente.
Os exemplos a seguir demonstram como voc pode utilizar o comando gpupdate: C:\gpupdate C:\gpupdate /target:computer C:\gpupdate /force /wait:100 C:\gpupdate /boot Gpupdate tem os parmetros a seguir. /Target:{Computador | Usurio} Especifica a atualizao somente de usurios ou computadores para suas configuraes de diretiva. Por padro, a diretiva de usurio e computador atualizada. /Force Replica todas as configuraes de diretiva. Por padro, somente as configuraes de diretiva que foram modificadas so replicadas. /Wait:{Valor} Defina o nmero de segundos a aguardar o processamento da diretiva. O padro 600 segundos. O valor ' 0 ' indica que no h espera. O valor ' -1 ' indica uma espera indefinidamente. /Logoff Faz logoff depois de atualizar a configurao de definies de Diretiva de Grupos. /Boot Faz com que o computador seja reiniciado depois da atualizao das configuraes de Diretiva do Grupo. /Sync Faz como que a prxima configurao de definio de diretiva seja aplicada de forma sncrona.
2.10. O que o Gpresult?
Como voc pode aplicar nveis sobrepostos das configuraes de diretivas a qualquer computador ou usurio, a Diretiva de Grupo gera um relatrio da aplicao das diretivas no logon. Gpresult exibe o relatrio da aplicao da diretiva no computador para o usurio especificado no logon. O comando gpresult exibe as configuraes de Diretiva de Grupo e o Conjunto de Diretivas Resultante (RSoP) para um usurio ou um computador. Voc pode utilizar gpresult para verificar se as configuraes de GPO esto em vigor e localizar problemas no aplicativo. Os exemplos a seguir demonstram como voc pode utilizar o comando gpresult: C:\gpresult C:\gpresult C:\gpresult C:\gpresult /user targetusername /scope computer /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /scope USER /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /z >policy.txt /s srvmain /u maindom/hiropln /p p@ssW23
Gpresult tem os seguintes parmetros. /s Computador Especifica o nome ou o endereo IP de um computador remoto. Por padro, o computador local. /u Domnio/Usurio O comando funciona com as permisses da conta de usurio especficas de Usurio ou Domnio/Usurio. O padro utilizar as permisses de usurio que foram autenticadas no computador e que executam o comando. /p Senha Especifica a senha da conta de usurio que especificada no parmetro /u.
/usurio TargetUserName Especifica o nome de usurio de quem so exibidos os dados RSoP. /scope {usurio|computador} Exibe as configuraes de diretiva de usurio ou computador. Os valores vlidos para o parmetro /scope so usurio ou computador. Se no for includo o parmetro /scope, o gpresult exibe usurio e computador. /v Especifica que a sada exibir informaes detalhadas da diretiva. /v Especifica que a sada exibir todas as informaes disponveis sobre a Diretiva de Grupo. Como esse parmetro gera mais informaes que o parmetro /v, preciso redirecionar a sada para um arquivo de texto quando esse parmetro utilizado (por exemplo, s pode ser gravado em gpresult /z >policy.txt). /? Exibe a ajuda na janela de comandos.
Captulo 5 | Pgina 18 | 3. Administrao de instalao do software

O Microsoft Windows Server 2003 inclui uma caracterstica chamada instalao e manuteno de software que utiliza o servio do Active Directory, Diretiva de Grupo e Microsoft Windows Installer para instalar, manter e desligar software nos computadores da sua organizao. Usando o mtodo de administrao e instalao de software baseado em diretivas, possvel garantir que os programas de que os usurios precisam para realizar seus trabalhos estejam disponveis sempre e onde necessrio.
3.1. A instalao do Software e o processo de manuteno
No Windows Server 2003, voc pode utilizar a Diretiva de Grupo para controlar o processo de instalao do software centralizado a partir de uma localizao. Alm disso, as configuraes de Diretiva de Grupo podem ser aplicadas aos usurios ou computadores em um site, domnio ou unidade organizacional para instalar, atualizar ou remover automaticamente o software. Aplicando as configuraes de Diretiva de Grupo no software, voc pode controlar vrias fases de instalao do software sem instalar software em cada computador individualmente. A lista a seguir descreve cada fase da instalao do software e o seu processo de manuteno: 1. Preparao. Primeiro, preciso instalar o software usando a estrutura atual do Objeto de Diretiva de Grupo (GPO), e tambm identificar os riscos de usar a infra-estrutura atual para instalar o software. Para preparar arquivos que permitam que um programa seja instalado com a Diretiva de Grupo, voc deve copiar os arquivos do pacote do Windows Installer em um programa de um ponto de distribuio de software, que pode ser uma pasta compartilhada em um servidor. Da mesma forma, possvel adquirir o arquivo do pacote do Windows Installer do fornecedor do programa ou criar o pacote de arquivo usando um utilitrio de terceiros. 2. Implementao. Nesse caso, preciso criar um GPO que instale o software em um computador e vincul-lo a um continer apropriado do Active Directory. O software estar instalado quando o computador for ligado ou quando o usurio iniciar o programa. 3. Manuteno O software atualizado com uma nova verso ou reinstalando o software com um service pack ou uma atualizao de software. Dessa forma, o software ser automaticamente atualizado ou reinstalado quando o computador for ligado ou quando o usurio iniciar o programa.
4. Remoo. Para eliminar programas de software que no sejam necessrios, preciso remover a configurao de pacote de software do GPO que instalou o software originalmente. O software ser automaticamente removido quando o computador for ligado ou quando um usurio iniciar a sesso.
3.2. O que o Windows Installer?

Para ativar a Diretiva de Grupo para instalao e administrao de software, o Windows Server 2003 usa o Windows Installer. Este componente automatiza a instalao e a remoo de programas, aplicando um sistema de regras definidas de forma centralizada durante o processo de instalao. O Windows Installer possui dois componentes: Servio do Windows Installer Este servio no cliente automatiza completamente a instalao do software e o processo de configurao. O servio Windows Installer tambm pode modificar ou reparar um programa instalado existente. Um programa pode ser instalado diretamente do CD-ROM ou usando a Diretiva de Grupo. Para isso, o servio do Windows Installer exige um pacote do Windows Installer. Pacote do Windows Installer Esse pacote de arquivo contm todas as informaes que o servio do Windows Installer exige para instalar ou remover o software. O arquivo contm: Um arquivo do Windows Installer com uma extenso .msi. Arquivos fonte externos, necessrios para instalar ou remover o software. Informaes padro sobre o software e o pacote. Arquivos do produto ou uma referncia a um ponto de instalao onde residem os arquivos do produto. As vantagens de usar a tecnologia do Windows Installer so: Instalaes personalizadas. Recursos opcionais de um aplicativo. Por exemplo, clipart ou dicionrio, pode ser visualizado em um programa sem que o recurso seja instalado. Embora os comandos de menu estejam acessveis, o recurso no instalado at que o usurio acesse o menu de comandos. Este mtodo de instalao ajuda a reduzir a complexidade e a quantidade de espao de disco rgido que o programa utiliza. Aplicativos flexveis. Se um arquivo crtico for excludo ou corrompido, o programa automaticamente obtm uma nova cpia do arquivo da fonte de instalao, sem exigir a interveno do usurio. Remoo de limpeza. O Windows Installer remove aplicativos sem deixar arquivos rfos ou inadvertidamente danificar outro aplicativo, por exemplo, quando um usurio apaga um arquivo compartilhado necessrio para outro aplicativo. O Windows Installer remove todas as configuraes de registro relacionadas e armazena as transaes de instalao em um banco de dados e arquivos de registro subseqentes.
Captulo 5 | Pgina 20 | 3.3. Descrio do processo de Implementao de Software
Quando voc instala o software, est especificando como os aplicativos so instalados e mantidos na sua organizao. Para instalar um novo software, utilizando a Diretiva de Grupo, preciso: 1. Criar um ponto de distribuio de software. Esta pasta compartilhada no seu servidor contm o pacote e os arquivos do software para instal-la. Quando o software instalado em um computador local, o Windows Installer copia arquivos no computador. 2. Utilizar o GPO para instalar software. Voc deve criar ou realizar as modificaes necessrias no GPO para o continer onde preciso instalar o aplicativo. Ao mesmo tempo, preciso configurar o GPO para instalar software para a conta de usurio ou de computador. Esta tarefa tambm inclui selecionar o tipo de instalao necessrio. 3. Modificar os recursos da instalao do software. Dependendo das suas necessidades, voc pode modificar as caractersticas que foram definidas durante a instalao inicial do software.
3.4. Atribuir Software vs. Publicar Software
Os dois tipos de instalao so: atribuir e publicar software Usando a atribuio de software, voc garante que o software esteja sempre disponvel para o usurio. Quando ele inicia a sesso, os atalhos do menu Iniciar e os cones da rea de trabalho do aplicativo so exibidos. Por exemplo, se o usurio abrir um arquivo que utilize o Microsoft Excel em um computador que no tenha Excel, mas o Excel tiver sido atribudo ao usurio, o Windows Installer instala o Excel no computador quando abre o arquivo. Alm disso, a atribuio de software o torna flexvel. Se, por qualquer motivo, o usurio remover o software, ele ser reinstalado pelo Windows Installer na prxima vez em que o usurio iniciar a sesso e iniciar o aplicativo. Usando a publicao de software, voc garante que o software esteja disponvel para que os usurios o instalem em seus computadores. O Windows Installer no adiciona atalhos na rea de trabalho do usurio ou no menu Iniciar e no insere entradas no registro local. Como os usurios precisam instalar o software publicado, voc pode publicar software somente para os usurios e no para os computadores. Voc pode atribuir e publicar software usando um dos mtodos da tabela a seguir: Mtodo de instalao
Mtodo 1 Configurando o usurio. Quando um software atribudo a um usurio, ele exibido na sua rea de trabalho sempre que ele inicia uma sesso. A instalao no ter incio at que o usurio clique duas vezes no incio do aplicativo ou em um arquivo associado ao aplicativo. Esse um mtodo chamado de ativao por documento. Se o usurio no ativar o aplicativo, o software no instalado. Dessa forma, economiza-se espao no disco rgido e tempo.
Mtodo 2 Configurando o computador. Quando voc atribui software a um computador, no exibido nenhum aviso. No entanto, o software instalado automaticamente quando o computador ligado. Atribuindo software a um computador, voc garante que determinados aplicativos estejam sempre disponveis nesse computador, independente de quem o utiliza. Voc no pode atribuir software a um computador que seja controlador de domnio.
Atribuio
Usando Adicionar ou Remover Programas. Um usurio pode abrir o Painel de Controle e clicar duas vezes em Adicionar ou Remover Programas para exibir os aplicativos disponveis. O usurio pode selecionar um aplicativo e depois clicar em Adicionar. Usando a ativao por documentos. Se voc publicar um aplicativo no Active Directory, as extenses de nome de arquivo dos documentos suportados pelo aplicativo sero associadas no diretrio.
Publicao
3.5. Exerccio 7: Como utilizar um GPO para instalar software?

Depois de criar um ponto de distribuio de software, voc dever criar um GPO que instale esses aplicativos, e depois vincular o GPO ao continer que contenha os usurios ou computadores onde deseja instalar o software. Importante: No atribua ou publique um pacote do Windows Installer mais de uma vez no mesmo GPO. Por exemplo, se atribuir o Microsoft Office XP a computadores que sejam afetados por um GPO, voc no dever atribuir ou publicar nos usurios afetados por esse mesmo GPO. Para utilizar um GPO para instalar software, voc dever seguir os passos abaixo: 1. 2. Crie ou edite o GPO. Em Configurao do usurio ou Configurao do computador (dependendo de voc estar atribuindo o software aos usurios ou aos computadores ou publicando-os para os usurios), expanda Configuraes de Software, clique com o boto direito do mouse em Instalao de Software, selecione Novo e depois clique em Pacote. Na caixa Abrir arquivo, procure o ponto de distribuio de software usando o nome Universal Naming Convention (UNC). Por exemplo, \\NomeServidor\NomeCompartilhado, selecione o arquivo do pacote e depois clique em Abrir. Na caixa Implantar software, selecione o mtodo de instalao e depois clique em OK.
3. 4.
3.6. Exerccio 8: Como modificar as opes para instalao de Software?

Um GPO pode conter vrias configuraes que afetam como um aplicativo instalado, controlado e removido. Voc pode definir as configuraes padro para os novos pacotes de GPO e tambm modificar algumas dessas configuraes futuramente, editando as propriedades do pacote durante a instalao do software. Depois de instalar um pacote de software, voc poder modificar as caractersticas da instalao que foram definidas durante a instalao inicial do software. Por exemplo, voc pode impedir que os usurios instalem o pacote de software usando a ativao do documento. Para configurar as opes implcitas para a instalao do software, preciso executar os seguintes passos: 1. 2. 3. Criar ou editar o GPO. Em Configurao do usurio ou Configurao do computador, expandir Configuraes de Software, clicar com o boto direito do mouse em Instalao de Software e depois em Propriedades. Na guia Geral, configure as seguintes opes de instalao de software: Local padro do pacote Ao adicionar novos pacotes s configuraes de usurio Opes de interface do usurio da instalao 4. Na guia Avanado, selecione a opo Desinstalar o aplicativo quando eles ficarem fora do escopo de gerenciamento.
Para modificar os recursos da instalao de software, preciso:
1. 2. Na Instalao do Software, clique com o boto direito do mouse no pacote instalado e depois clique em Propriedades. Na caixa Propriedades da guia Implantao, modifique as seguintes opes:
Tipo de implantao Opes de implantao Opes da interface do usurio da instalao
Captulo 5 | Pgina 24 | 3.7. Qual a modificao do software?
As modificaes so associadas a um pacote do Windows Installer na instalao anterior que utilize esse pacote do Windows Installer para instalar ou modificar o aplicativo. Instalar vrias configuraes de um aplicativo permite que vrios grupos da sua organizao utilizem um pacote de software de vrias formas diferentes. Voc pode utilizar modificaes de software ou arquivos .mst (tambm chamado de arquivos de transformao) para instalar vrias configuraes de um aplicativo. Um arquivo .mst um pacote de software personalizado que modifica como o Windows Installer instala o pacote .msi associado. O Windows Installer aplica modificaes nos pacotes conforme as suas especificaes. Para salvar modificaes em um arquivo .mst, preciso executar o assistente de instalao personalizada e escolher o arquivo .msi no qual basear a transformao. Voc dever determinar em que ordem aplicar as transformaes aos arquivos antes de atribuir ou publicar o aplicativo. Exemplo: Uma empresa de grande porte, por exemplo, pode querer instalar o Microsoft Office XP, mas as necessidades do Office de cada departamento variam significativamente na organizao. Em vez de configurar manualmente cada um dos departamentos, voc pode utilizar GPOs e arquivos .mst diferentes combinados com os arquivos .msi padro, para que cada departamento instale vrias configuraes do Office XP. Nesse exemplo, voc pode executar o assistente de instalaes personalizadas do Office XP do Office Resource Kit para criar o arquivo de transformao.
Captulo 5 | Pgina 25 | 3.8. Tipos de atualizao do Software
As tarefas em uma organizao so dinmicas e variadas. Voc pode utilizar a Diretiva de Grupo para instalar e administrar atualizaes de software que atendam s necessidades de cada departamento na sua organizao. As atualizaes normalmente envolvem mudanas importantes no software e tm novos nmeros de verso. Em geral, um nmero substancial de arquivos modificado em uma atualizao. Vrios acontecimentos no ciclo de vida do aplicativo podem desencadear a necessidade de uma atualizao, incluindo o seguinte: Uma nova verso do software lanada e contm recursos novos e aprimorados. Patches de segurana ou aprimoramentos de funes foram implementados no software desde o ltimo lanamento. A organizao decide utilizar um software de diversos fornecedores Existem trs tipos de atualizaes: Atualizaes obrigatrias. Essas atualizaes substituem automaticamente uma verso antiga do software pela nova verso. Por exemplo, se os usurios utilizam atualmente a verso do programa 1.0, eles removem essa verso e a verso do programa 2.0 instalada na prxima vez em que o computador ligado ou o usurio inicia a sesso. Atualizaes opcionais. Essas atualizaes permitem que os usurios decidam quando atualizar para a nova verso. Por exemplo, os usurios podem determinar se desejam atualizar para a verso 2.0 do software ou continuar usando a verso 1.0. Atualizaes seletivas. Se alguns usurios precisarem de uma atualizao e outros no, voc pode criar mltiplos GPOs para que sejam aplicados aos usurios que exigem a atualizao e criar pacotes de software apropriados a eles.
Captulo 5 | Pgina 26 | 3.9. Exerccio 9: Como atualizar o Software instalado?

Voc utiliza a instalao de software para estabelecer o procedimento de atualizao de software para a verso atual. Para instalar uma atualizao: 1. 2. 3. Instale a verso seguinte do software. Abra Instalao de software, clique com o boto direito do mouse na nova verso e depois clique em Propriedades. Na caixa Propriedades na guia Atualizaes, na seo Pacotes que este pacote vai atualizar, clique em Adicionar e depois selecione a verso anterior (atual) do software. Voc pode atualizar um aplicativo usando o GPO atual ou selecionando um GPO especfico. Se as duas verses do programa tiverem um Pacote do Windows Installer nativo, esse passo ser realizado automaticamente. Clique em Atualizar o pacote sobre o existente ou Desinstalar o pacote existente e instalar o pacote de atualizao e depois clique em OK. Selecione o tipo de atualizao: Para realizar uma atualizao obrigatria, selecione a caixa Atualizao necessria para pacotes existentes e depois clique em OK. Para realizar uma atualizao opcional, limpe a caixa Atualizao necessria para pacotes existentes e depois clique em OK.
4. 5.
3.10. Como funciona a reinstalao de software?
Reimplantao a aplicao de service packs e atualizaes de software ao software instalado. Voc pode instalar um pacote instalado forando a reinstalao do software. A reinstalao pode ser necessria se o pacote de software instalado previamente tiver sido atualizado, mas continuar na mesma verso, ou se houver algum problema de interoperabilidade ou vrus que a reinstalao do software possa corrigir. Quando voc marca um pacote de arquivos para reinstalao, o software anunciado em todos os que tm acesso ao aplicativo, seja atravs de atribuio ou publicao. Sendo assim, dependendo de como o pacote original tenha sido instalado, um desses 3 cenrios ocorrer:
Quando voc atribui software a um usurio, o menu Iniciar, os atalhos da rea de trabalho e a configurao de registro sero relevantes ao software e atualizados na prxima vez em que o usurio iniciar a sesso. Na prxima vez em que o usurio iniciar o software, o service pack ou a atualizao de software sero aplicados automaticamente. Quando voc atribui o software a um computador, o service pack ou a atualizao de software aplicado automaticamente na prxima vez em que o computador ligado. Quando voc publica e instala o software, o menu Iniciar, os atalhos da rea de trabalho e a configurao de registro refletiro o software e sero atualizados da prxima vez em que o usurio iniciar a sesso. Na prxima vez em que o usurio iniciar o software, o service pack ou a atualizao de software sero aplicados automaticamente.
3.11. Exerccio 10: Como reinstalar o software?

Voc utiliza a instalao de software para estabelecer o procedimento da sua reinstalao. Antes de reinstalar, certifique-se de que o servio inclui um novo arquivo do pacote do Windows Installer (.msi ). Caso contrrio, voc no poder reinstalar o software porque somente o novo pacote de arquivo contm instrues para instalar os arquivos novos do service pack ou da atualizao de software. Para reinstalar um software, preciso: Obter o service pack ou a atualizao de software do fornecedor do aplicativo e colocar os arquivos nas pastas apropriadas de instalao. 1. 2. 3. Editar o GPO que originalmente instalou o software. Na Instalao do Software, clicar com o boto direito do mouse no nome do pacote de arquivos, selecionar Todas as Tarefas e depois clicar em Reinstalar aplicativo. Na caixa de dilogo, clicar em Sim.
3.12. Mtodos para remover o Software instalado
Pode ser preciso remover o software se uma verso no for mais suportada ou se os usurios no precisarem mais dele. Voc pode forar a remoo do software ou dar aos usurios a opo de continuar usando o software antigo.
Existem dois mtodos de remoo: Remoo forada. Voc pode forar a remoo do software, o que remover o software automaticamente do computador na prxima vez em que ele for ligado ou na prxima vez que um usurio iniciar a sesso, em caso de uma configurao de Diretiva de Grupo do usurio. O software ser removido antes de aparecer na rea de trabalho do usurio. Remoo opcional Voc pode remover o software da instalao do mesmo sem forar a retirada fsica do software. O software no realmente removido dos computadores. O software no aparece mais em Adicionar ou Remover Programas, mas os usurios podem utiliz-lo. Se os usurios removerem manualmente o software, ele no poder ser reinstalado.
3.13. Exerccio 11: Como remover o software instalado?

Quando voc utiliza a Diretiva de Grupo para instalar o software, possvel configurar o GPO para remover o software antigo se ele no for mais necessrio na sua organizao. Tambm possvel remover software antigo configurando o GPO que permite aos usurios uma atualizao opcionalmente a um pacote de software novo. Para remover um software instalado, preciso: 1. 2. 3. Abrir o GPO que foi utilizado originalmente para instalar o software. Na Instalao do Software, clicar com o boto direito do mouse no nome do pacote, selecionar Todas as Tarefas e depois clicar em Remover. Na caixa Remover Software, clicar em uma das opes seguintes e depois em OK.
Desinstalar imediatamente o software dos usurios e computadores Permitir que os usurios continuem a usar o software, mas impedir novas instalaes Nota: Voc deve garantir que os usurios reiniciem seus computadores se a modificao afetar o computador ou iniciem a sesso novamente se a modificao afetar o usurio.
Captulo 5 | Pgina 29 | 4. Group Policy Management Console (GPMC)
Juntamente com o Microsoft Windows Server. 2003, a Microsoft est lanando uma nova ferramenta Group Policy Management, que unifica a administrao da Diretiva de Grupo. O Microsoft Group Policy Management Console (GPMC) proporciona uma nica soluo para controlar todas as reas relacionadas Diretiva de Grupo. Consiste em um novo snap-in do Microsoft Management Console (MMC) e um sistema de interfaces de scripts para a administrao de Diretiva de Grupo. A GPMC ajuda a gerenciar com mais eficcia uma empresa.
4.1. O que o Group Policy Management Console?
O Group Policy Management Console (GPMC) uma ferramenta nova para controlar a Diretiva de Grupo no Windows Server 2003. O GPMC: Permite que voc controle a Diretiva de Grupo para diferentes florestas, domnios e unidades organizacionais a partir de uma interface constante. Exibe os links, herana e delegao da Diretiva de Grupo Mostra os contineres aos quais a diretiva se aplica Proporciona relatrios em HTML das configuraes. Proporciona ferramentas para mostrar o Conjunto de Diretivas Resultantes (RSoP) e experimenta combinaes propostas de diretivas. Nota: O GPMC no vem com o Windows Server 2003. Voc pode fazer o download de http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
Captulo 5 | Pgina 30 | 4.2. Requisitos do Sistema de GPMC

O GPMC ajuda a controlar ambos os domnios baseados no Windows 2000 e no Windows Server 2003 com o servio do Active Directory. Em qualquer caso, o computador que executa o GPMC deve ter um dos sistemas operacionais a seguir: Windows Server 2003 Windows XP Professional com Service Pack 1 (SP1) e Microsoft .NET Framework. Alm disso, necessrio um hotfix ps-SP1 (QFE Q326469). Este QFE atualiza sua verso de gpedit.dll para a verso 5.1.2600.1186, que exibida para o GPMC. Este QFE includo com o GPMC e a instalao do GPMC pergunta sobre sua instalao. Entretanto, se o idioma do GPMC no corresponder ao idioma do seu sistema operacional, o GPMC no instalar o QFE e ser necessrio obter e instalar separadamente este QFE, que ser includo no Windows XP Service Pack 2.
4.3. Instalao do GPMC

A instalao do GPMC um processo simples que inclui a execuo de um pacote Windows Installer (.MSI). Os arquivos necessrios sero instalados na pasta \Arquivos de Programas\GPMC. Para eles: 1. 2. 3. Clique duas vezes no pacote gpmc.msi e em Avanar. Aceite o Contrato de Licena de Usurio Final (EULA) e clique em Avanar. Clique em Fechar para concluir a instalao.
Aps a concluso da instalao, a guia Diretiva de Grupo que era exibida nas pginas de propriedades de sites, domnios e unidades organizacionais (OUs) nos snap-ins do Active Directory atualizada para proporcionar um acesso direto ao GPMC. A funcionalidade que existia previamente na guia original da Diretiva de Grupo no estar mais disponvel, toda a funcionalidade para controlar a Diretiva de Grupo estar disponvel atravs do GPMC. Para abrir o snap-in do GPMC diretamente, utilize alguns dos mtodos a seguir: Clique em Iniciar, clique em Executar, insira GPMC.msc e depois clique em OK. Clique no acesso Group Policy Management na pasta Ferramentas Administrativas do menu Iniciar ou no Painel de Controle. Crie um console personalizado MMC 1. 2. Clique em Iniciar, clique em Executar, insira MMC e depois clique em OK. No menu Arquivo, clique em Adicionar/remover snap-in, clique em Adicionar, selecione Group Policy Management, clique em Adicionar, em Fechar, e depois em OK.
Para reparar ou remover o GPMC, use Adicionar ou Remover Programas no Painel de Controle. Voc tambm pode executar o pacote gpmc.msi, selecionar a opo apropriada e clicar em Concluir.
Captulo 5 | Pgina 31 | 4.4. Modelagem de Diretiva de Grupo e Resultados de Diretiva de Grupo
Modelagem de Diretiva de Grupo O Windows Server 2003 traz um novo recurso de grande alcance: o Group Policy Management Ele permite que o usurio simule a aplicao de diretivas que seriam aplicadas aos usurios e aos computadores antes de aplic-las realmente. Esse recurso conhecido como Conjunto de Diretivas Resultante (RSoP). O modo de planejamento no Windows Server 2003 integra-se no GPMC como Modelagem de Diretiva de Grupo. Isto exige um controlador de domnio do Windows Server 2003 na floresta porque a simulao realizada por um servio que s est presente nos controladores de domnio do Windows Server 2003. Entretanto, usando esta caracterstica, voc pode simular o conjunto de diretivas resultantes para qualquer computador na floresta, incluindo aqueles que usam o Microsoft Windows 2000. Diretiva de Grupo Resultantes Este recurso permite que os administradores determinem o conjunto de polticas resultante que foi aplicado a um computador especfico e (opcionalmente) o usurio que iniciou a sesso nesse computador. Os dados que se apresentam so semelhantes aos dados de Modelagem de Poltica de Grupo. Entretanto, so diferentes uma Modelagem de Diretivas de Grupo, considerando que no so uma simulao. o resultado real do conjunto de diretivas resultante obtido do computador de destino. Tambm diferente da Modelagem de Diretiva de Grupo, os dados dos Resultados de Diretiva de Grupo so obtidos do cliente e no so simulados no controlador de domnio. O cliente precisa executar o Windows XP, o Windows Server 2003 ou posterior. No possvel obter Resultados de Diretiva de Grupo em um computador que execute o Windows 2000 ou verso anterior.
Captulo 5 | Pgina 32 | 4.5. Administrar mltiplas florestas

Mltiplas florestas podem ser adicionadas facilmente ao console. Para isso, preciso: 1. Clicar com o boto direito no n da raiz Group Policy Management e selecionar Add Forest
2.
Especificar o nome DNS ou NetBIOS do domnio criado na floresta que no foi carregado no GPMC, e clicar em OK.
A floresta especificada aparecer como um n secundrio no console e ser carregada no console com o domnio que foi incorporado na caixa Add Forest. Para remover um n de floresta, basta clicar com o boto direito no n e selecionar Remove. Por padro, voc pode adicionar somente a floresta ao GPMC se houver uma confiana bidirecional com a floresta do usurio que executa o GPMC.
4.6. Contedo de Domnios

Dentro de cada domnio, o GPMC proporciona uma vista baseada nas diretivas do Active Directory e nos componentes associados Diretiva de Grupo, por exemplo, GPOs, filtros WMI e links de GPO. A viso no GPMC semelhante viso em snap-in do MMC de Usurios e Computadores do Active Directory que mostra a hierarquia da Unidade Organizacional. No entanto, o GPMC difere desse snap-in porque em vez de mostrar usurios, computadores e grupos das Unidades Organizacionais, exibe os GPOs que esto vinculados a cada continer. Cada n de domnio no GPMC exibe os seguintes pontos: Todos os GPOs vinculados ao domnio. Todas as Unidades Organizacionais de alto nvel e uma vista de rvore das Unidades Organizacionais e dos GPOs vinculados a elas. Os contineres de Group Policy Objects mostram todos os GPOs no domnio. O continer WMI Filters mostra todos os Filtros WMI no domnio.
4.7. Relatrios de configurao de GPO

A guia de configurao de GPO ou link de GPO no GPMC mostra um relatrio em HTML que exibe todas as configuraes definidas no GPO. Clique nesta guia para gerar um relatrio das configuraes no GPO. Este relatrio pode ser gerado por qualquer usurio com acesso de leitura ao GPO. Sem GPMC, os usurios que no tinham acesso de gravao a um GPO no podem ler e revisar configuraes com esse GPO. Isso ocorre porque o editor de Objeto de Diretiva de Grupo exige que o usurio tenha permisso de leitura e gravao ao abrir o GPO.
Os relatrios de HTML tambm facilitam que o administrador tenha viso de todas as configuraes contidas em um GPO de uma visualizao. Selecionando a opo Show All acima do relatrio, ele completamente ampliado e mostra todas as configuraes. Para ver ou salvar um relatrio diretamente em um navegador da Web, voc deve utilizar o Internet Explorer 6 ou o Netscape 7. O Netscape 7 no aceita a funcionalidade que permite mostrar ou ocultar dados nos relatrios.
4.8. Operaes com o GPO

As operaes de GPO referem-se aos recursos de backup (exportar), restaurar, importar e copiar GPOs. Fazer um backup de GPO consiste em copiar os dados do GPO no sistema de arquivos. Observe que a funo Backup tambm serve como a funo de exportao para GPOs. A Restaurao de GPO restaura um backup existente e recria o GPO no domnio. O objetivo da restaurao reajustar um GPO especfico de novo ao estado idntico que tinha quando foi realizado o backup. Portanto, a operao de restaurao no pode ser utilizada para transferir GPOs atravs de domnios. Para essa operao, preciso utilizar a importao de GPO ou a operao de cpia.
4.8.1. Backup
O Backup de GPO coloca uma cpia de todos os dados relevantes de GPO em uma localizao especificada do sistema de arquivos. Os dados relevantes incluem: O GUID de GPO e domnio. Configuraes de GPO. A Discretionary Access Control List (DACL) do GPO. O link de filtro do WMI. A operao de backup s faz backup de componentes do GPO que esto no Active Directory e na estrutura dos arquivos do GPO em SYSVOL. A operao no captura dados armazenados fora do GPO, por exemplo, filtros WMI e diretivas de Segurana IP. Esses so objetos separados com seus prprios sistemas de permisses e possvel que um administrador qualquer faa o backup ou a restaurao. Ele pode no ter as permisses exigidas nesses outros objetos.
Os administradores podem fazer backup de uma ou mais de GPOs usando os mtodos seguintes: Clique com o boto direito do mouse no GPO no n Group Policy objects e escolha Back up do menu de contexto. Clique com o boto direito do mouse em um ou mais GPOs na guia Contents do n Group Policy objects e escolha Back up do menu de contexto. Isso faz backup dos GPO(s) selecionados. No n Group Policy Objects, clique no boto direito do mouse e escolha a opo Back Up All Isso faz backup de todos os GPOs no domnio. Use os scripts de backup do GPO. Voc pode escrever seus prprios scripts ou utilizar a amostra de scripts includa com o GPMC na pasta GPMC\scripts . Existem dois scripts BackupGPO.wsf e BackupAllGPOs.wsf que so includos com o GPMC, que voc pode utilizar para fazer backup de GPOs.
4.8.2. Restaurao
A operao de Restaurao de GPO restaura o GPO a um estado anterior e pode ser utilizado nos casos seguintes: foi feito o backup no GPO, mas ele foi removido ou o GPO est ativo e voc quer voltar a um estado anterior. A operao de restaurao substitui os componentes seguintes de um GPO: Configuraes de GPO. ACLs no GPO. Os links de filtro de WMI.
Voc pode realizar uma restaurao de GPOs usando qualquer dos mtodos a seguir: Para restaurar um GPO existente, clique com o boto direito do mouse no GPO no continer Group Policy objects e selecione Restore from Backup Ele abre Restore Group Policy Object Wizard. Use os scripts de restaurao do GPO. Voc pode gravar seus prprios scripts ou utilizar as amostras de scripts includas com o GPMC na pasta GPMC\scripts Existem dois scripts RestoreGPO.wsf e RestoreAllGPOs.wsf.
4.8.3. Importar
A operao de importao transfere a configurao em um GPO existente do Active Directory, usando um backup de GPO na localizao do sistema de arquivos como sua origem. As operaes de importao podem ser utilizadas para transferir configuraes atravs de GPOs dentro do mesmo domnio, atravs de domnios na mesma floresta ou em florestas separadas. As operaes de importao so ideais para imigrar a Diretiva de Grupo em ambientes de onde no h confiana. As operaes de importao podem ser realizadas usando qualquer dos mtodos a seguir: Clique com o boto direito do mouse no GPO no n Objetos de Diretiva de Grupo e clique em Import Settings. Isso inicia um assistente que o orientar no processo de selecionar o backup e especificar uma tabela de migrao se apropriado. Use qualquer dos scripts ImportGPO.wsf ou ImportAllGPOs.wsf includos no GPMC.
4.8.4. Copiar
1. Uma operao de cpia transfere configuraes usando um GPO existente no Active Directory como origem e cria um GPO novo como seu destino. Uma operao de cpia pode ser utilizada para transferir configuraes para um novo GPO qualquer no mesmo domnio, em outros domnios, na mesma floresta ou em florestas separadas. Considerando que uma operao de cpia utiliza um GPO existente no Active Diretory como origem, exigida confiana entre a origem e os domnios do destino.
2.
As operaes de cpia podem ser realizadas usando qualquer dos mtodos a seguir: Clique com o boto direito do mouse na origem de GPO, escolha a cpia e clique com o boto direito no continer Group Policy Objects do domnio desejado de destino. Escolha a opo Colar. Use Arrastar e soltar para arrastar o GPO da origem ao continer Group Policy Objects no destino de domnio. Use o script CopyGPO.wsf de linha de comando includo com o GPMC. Para obter mais informaes: http://www.microsoft.com/windowsserver2003/gpmc/default.mspx http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx http://www.microsoft.com/grouppolicy http://www.microsoft.com/technet/grouppolicy
Capitulo 6 Implementao e Administrao do Terminal Server no Windows Server 2003.
O Terminal Server do Microsoft Windows Server 2003 permite diversificar o hardware do escritrio atravs da emulao de terminais.
Ele tambm oferece suporte a uma ampla gama de clientes e melhora os ambientes de computao ao: Tornar a famlia do Windows mais escalvel para empresas que queiram implementar a soluo thin client para oferecer Windows de 32 bits a uma grande variedade de dispositivos de hardware do legado. Combinar o baixo custo de um terminal com os benefcios de um ambiente gerenciado, baseado no Windows. Tambm oferece o mesmo ambiente de baixo custo e administrao central de um mainframe tradicional com terminais, mas acrescenta a familiaridade, a facilidade de uso e a variedade de suporte a aplicativos proporcionados por uma plataforma de sistema operacional do Windows. Ao concluir este captulo, voc poder: Implementar a rea de Trabalho Remota para administrao Instalar o Terminal Server Administrar um ambiente Terminal Server
1. Introduo
Os Terminal Services permitem o acesso de mltiplos usurios ao Windows Server 2003, permitindo que vrias pessoas iniciem sesses em um nico computador simultaneamente. Os administradores podem instalar aplicativos baseados no Windows do Terminal Server e coloc-los disposio de todos os clientes conectados com o servidor. Embora os usurios possam ter diversos hardware e sistemas operacionais, a sesso Terminal que aberta na rea de trabalho do cliente conserva o mesmo aspecto e funcionalidade para todos.
Captulo 6 | Pgina 2 | 1.1. Como funciona o Terminal Services?
O Terminal Server do Windows Server 2003 composto por quatro componentes: Terminal Server: Este ncleo de servidor multiusurio permite manter vrias sesses simultneas de clientes no Windows Server 2003 e em verses futuras do Windows Server. Tambm possvel ter de forma direta reas de trabalho de cliente multiusurios compatveis que executem diversos equipamentos de hardware baseados ou no no Windows. Os aplicativos padro baseados no Windows, se forem desenvolvidos adequadamente, no precisam de nenhuma modificao para executar no Terminal Server, e possvel utilizar todas as infra-estruturas de administrao e tecnologias padro baseadas no Windows Server 2003 para administrar as reas de trabalho do cliente. Remote Display Protocol (RDP): Este protocolo um componente chave do Terminal Server e permite que o cliente se comunique com o Terminal Server em uma rede. Baseia-se no protocolo T.120 da Unio Internacional de Telecomunicaes (UIT) e um protocolo de mltiplos canais que esto ajustados para ambientes corporativos de largura de banda elevada e que oferece suporte a trs nveis de criptografia. Cliente do Terminal Server: o software de cliente que apresenta uma interface familiar do Windows de 32 bits em uma grande variedade de hardware de rea de trabalho: Novos dispositivos Terminal baseados no Windows (em clusters). Computadores pessoais que executam o Windows 95, o Windows 98 e o Windows NT Workstation 3.51 ou 4.0, o Windows 2000 ou XP Professional. Computadores pessoais que executam o Windows for Workgroups 3.11. Ferramentas de administrao: Alm de todas as ferramentas de administrao familiares do Windows Server 2003, o Terminal Server acrescenta um administrador de licenas de Terminal Services, a configurao do Terminal Server (MMC) e ferramentas de administrao para Terminal Server e para sesses de clientes. Tambm disso, foram adicionados novos objetos ao monitor de desempenho de sesso e usurio, para permitir ajust-los ao servidor em um ambiente de mltiplos usurios.
Captulo 6 | Pgina 3 | 1.2. Ambientes de Usurio
Depois de instalar o software do cliente, os usurios acessam o Terminal Server abrindo o Cliente de Conexo de rea de Trabalho Remota do menu Todos os Programas/Acessrios/ Comunicaes. Quando um usurio conecta e inicia a sesso no Terminal Server, a rea de trabalho do Windows Server 2003 exibida na rea de trabalho do cliente. Quando um usurio inicia um programa, fcil perceber se o programa no estiver funcionando de forma local.
1.3. Recursos e vantagens
Os recursos do Terminal Server proporcionam vrias vantagens que uma organizao pode utilizar como instalao, acesso e controle dos aplicativos de negcios. Instalao Centralizada As organizaes podem instalar aplicativos de negcios, considerando que o funcionamento dos programas ocorrer inteiramente no servidor. O Terminal Server tem o menor TCO para um nico dispositivo de aplicativo que funciona em uma linha de negcio, por exemplo, um sistema de reservas ou uma Central de Atendimento ao Cliente. Oferece tambm as seguintes vantagens: Menos hardware de alto custo. Funcionrios que realizem trabalhos que exigem acesso apenas a um programa da empresa e que possam usar terminais ou computadores menos caros. Acesso fcil a software novo ou atualizado. Quando o Terminal Server est ativado no Windows Server 2003, os administradores no precisam instalar os aplicativos em cada computador do escritrio. O aplicativo j est instalado no servidor e os clientes possuem acesso automtico verso nova ou atualizada do software. Acesso rea de trabalho do Windows Server 2003 O Terminal Server pode estender o Windows Server 2003 e os aplicativos baseados no Windows a vrios clientes. Ao mesmo tempo, tambm permite: Executar aplicativos do Windows: O Terminal Server pode disponibilizar aplicativos do Windows a uma ampla variedade de clientes. Esses aplicativos baseados no Windows podem funcionar em vrios sistemas, de sistema operacional ou hardware, com pouca ou nenhuma modificao. Ampliar o uso de um equipamento mais antigo A organizao pode implementar o Terminal Server como tecnologia transitria para criar uma ponte com os sistemas operacionais antigos, os ambientes da rea de trabalho do Windows Server 2003 e aplicativos de 32 bits baseados no Windows. Substituir terminais de texto Como muitos terminais do Windows podem oferecer suporte conexo por emulao de terminal no mesmo dispositivo, as organizaes podem substituir terminais de texto por terminais do Windows. Elas permitem que os usurios trabalhem com dados do sistema, tenham acesso ao software mais novo baseado no Windows como, por exemplo, o Microsoft Outlook. Segurana e confiabilidade aprimoradas Como nenhum programa ou dado de usurio reside no cliente, o Terminal Server pode proporcionar um ambiente mais seguro para dados confidenciais. Tambm oferece suporte criptografia em mltiplos nveis, considerando que sempre h risco de interceptao no-autorizada da transmisso na conexo entre o servidor e o cliente. Existem trs nveis de criptografia disponveis: baixo, mdio e alto. Todos esses nveis usam o Padro de Criptografia Rivest-Shamir-Adleman (RSA) RC4. Esse o padro de criptografia para os dados que so enviados atravs de redes pblicas como, por exemplo, a Internet. Administrao e suporte aprimorados O Terminal Server tem vrios recursos teis para a administrao e tarefas de suporte, que tambm podem ajudar a reduzir os custos de administrao e de suporte. Administrao remota. A rea de Trabalho Remota um novo recurso do Terminal Server no Windows Server 2003. Ele foi desenvolvido para fornecer aos operadores e administradores acesso remoto aos servidores Microsoft BackOffice e aos Controladores de Domnio. O administrador tem
acesso s ferramentas de interface grfica disponveis no ambiente do Windows, mesmo que no esteja utilizando um computador com Windows para administrar o servidor. Suporte remoto. Os administradores podem oferecer suporte remoto para um usurio que inicie a sesso no Terminal Server, acompanhando a sesso do cliente a partir de outra sesso do cliente. Os administradores ou o pessoal de suporte tambm podem realizar aes de teclado e mouse por um usurio, usando o Controle Remoto. O Controle Remoto pode ser til para oferecer treinamento e suporte de usurios nos sistemas ou aplicativos novos.
1.4. Planejamento da instalao
1.4.1. Identificando aplicativos cliente

Antes de instalar o Terminal Server, identifique os aplicativos que voc pretende instalar na rea de trabalho do cliente. A maioria dos programas que funciona corretamente no Windows Server 2003 tambm funciona no Terminal Server. Aplicativos baseados no Windows Os aplicativos instalados em um Terminal Server devem ser compatveis com o Windows Server 2003. Se um programa no funcionar no Windows Server 2003, ele no funcionar no ambiente multiusurio do Terminal Server. Os aplicativos de 32 bits funcionam com mais eficincia que os aplicativos de 16 bits, aproveitando completamente o hardware e o sistema operacional de 32 bits. Os aplicativos de 16 bits executados no Terminal Server podem reduzir o nmero de usurios que o processador aceita em aproximadamente 40%, e aumentar a memria exigida por cada usurio em aproximadamente 50%. Aplicativos do MS-DOS Considerando que os aplicativos baseados no Microsoft MS-DOS nunca foram desenvolvidos para ambientes de mltiplas tarefas, executar aplicativos do MS-DOS no Terminal Server pode retardar o funcionamento do sistema com processos ociosos. Se o funcionamento do servidor for retardado de
forma perceptvel quando os usurios utilizarem aplicativos do MS-DOS, preciso ajustar as configuraes do sistema.
Captulo 6 | Pgina 7 | 1.4.2. Identificar requisitos de hardware do cliente

Computadores de cliente conectados a um Terminal Server no exigem muito poder de processamento e, por isso, muito fcil integrar o Terminal Server a uma rede que tenha computadores e equipamentos antigos. O Terminal Server oferece suporte s seguintes plataformas Microsoft Windows 2000/XP/2003 Microsoft Windows NT verses 3.51 e 4.0 Microsoft Windows 95 Microsoft Windows 98 Microsoft Windows para Workgroups 3.11 Microsoft Windows CE, Handheld PC Edition 3.0 Windows CE, Handheld PC Professional Edition 3.0 Terminais baseados ao Windows Requisitos de Hardware A tabela a seguir descreve os requisitos de hardware especficos do cliente para Terminal Server. Sistema Operacional Windows 2000 Windows NT verses 3.51 ou 4.0 Windows 98 Windows 95 Windows for Workgroups 3.11 Windows CE, Handheld PC/PRO RAM 32 megabytes (MB) 16 MB 16 MB 16 MB 16 MB Fornecedor CPU Pentium 486 486 386 386 Fornecedor Vdeo VGA VGA VGA VGA VGA Fornecedor
Captulo 6 | Pgina 8 | 1.4.3. Determinar a configurao do servidor para suporte de usurios

Considerando que todo o processamento dos aplicativos executado no servidor, o Terminal Server normalmente exige mais recursos de servidor por usurio do que um computador que esteja executando o Windows Server 2003. Certificar-se de que o seu servidor pode acomodar a sua base de usurios crucial para determinar como o funcionamento do servidor do Terminal Server deve oferecer suporte aos usurios. Alm disso, necessrio considerar os seguintes fatores: configurao do sistema, dispositivos perifricos e caractersticas de usurio. Configurao do Sistema Antes de instalar o Terminal Server, considere as recomendaes a seguir: Tipos de servidor. Recomenda-se instalar o Terminal Server em um Servidor Membro e no em um Controlador de Domnio. A instalao do Terminal Server em um Controlador de Domnio pode criar obstculos para o funcionamento do servidor devido s necessidades de memria, trfego da rede e o tempo que o processador precisa para realizar as tarefas de um controlador de domnio no domnio. RAM. Geralmente, um Terminal Server exige um adicional de 4 a 10 MB de RAM para cada sesso do terminal. Sistema de arquivos. Recomenda-se instalar um Terminal Server em uma partio formatada com o Sistema de Arquivo NTFS, visto que ele proporciona segurana para os usurios em um ambiente de mltiplas sesses com acesso s mesmas estruturas de dados. Dispositivos Perifricos Os dispositivos perifricos tambm podem afetar o funcionamento do Terminal Server: Discos rgidos. A velocidade do disco crtica para o funcionamento do Terminal Server. As unidades de disco SCSI (Small Computer System Interface), especialmente dispositivos compatveis com o SCSI e Scsi-2 rpidos, tm um desempenho de processamento bem melhor do que os outros tipos de discos. Isso menos importante nos sistemas que no armazenam Perfis de Usurio e dados no Terminal Server, mas afeta o tempo de carregamento inicial do programa. Para um melhor desempenho do disco, importante considerar o uso do Controlador RAID (Redundant Array of Independent Disks) SCSI. O Controlador RAID insere automaticamente os dados em mltiplos discos para aumentar o desempenho e melhorar a confiabilidade dos dados. Adaptador de rede. Recomenda-se usar um adaptador de rede de alto desempenho, especialmente se os usurios exigirem acesso a dados que sejam armazenados nos servidores de rede ou executem aplicativos cliente/servidor. Usando mltiplos adaptadores, possvel aumentar de forma perceptvel o rendimento da rede e tambm a segurana do sistema na separao do acesso do cliente de servios back-end.
Caractersticas de Usurio Os padres de uso dos usurios de computadores podem ter um impacto importante no funcionamento do Terminal Server. O teste de funcionamento do Microsoft simula usurios nas trs categorias seguintes: Funcionrio de entrada de dados: Esses funcionrios trabalham somente com um nico aplicativo utilizado na entrada de dados (por exemplo, aplicativos de negcios desenvolvidos no Microsoft Visual Basic). Funcionrio de tarefa estruturada. Esses funcionrios executam um ou dois programas ao mesmo tempo. Os usurios tpicos executam programas que no exigem muito do sistema (por exemplo, um processador de texto e um navegador). Os programas so abertos e fechados com freqncia. Funcionrio de conhecimento. Os funcionrios que trabalham com conhecimento executam trs ou mais programas simultaneamente e geralmente deixam seus programas abertos. Os funcionrios que utilizam conhecimentos tambm podem executar programas que exijam processamento intenso do sistema (por exemplo, consultas detalhadas em grandes bancos de dados). 1.5. Instalar o Terminal Server Para instalar o Terminal Server, preciso ativar o componente do Terminal Server durante a instalao, usando o assistente de Componentes do Windows. Voc pode ativar o Terminal Server de duas formas: com o Servidor de Aplicativos do Terminal ou Administrao de rea de Trabalho Remota. Esse ltimo no exige licena e permite somente 3 conexes. A licena do Terminal Server pode ser instalada com o Terminal Server ou sozinha em outro computador. Quando a Licena do Terminal Server instalada, preciso especificar se o servidor de licenas servir ao domnio, ao grupo de trabalho ou ao site. Para ativar o Terminal Server (Aplicativo), o processo realizado atravs do assistente de componentes do Windows. Por sua vez, para ativar a rea de Trabalho Remota (instalado por padro), preciso ir para a guia Remoto nas propriedades do sistema e selecionar a opo "Permitir que usurios se conectem remotamente a este computador". O Terminal Server ativado adicionando-se o componente "Terminal Server" e usando Componentes do Windows no assistente de Adicionar ou Remover Programas.
Captulo 6 | Pgina 10 | 1.6. Configurar Acesso de Usurio
Os usurios que tm contas em um Terminal Server so habilitados para iniciar a sesso no servidor por padro. Para desabilitar o processo de conexo para um usurio, preciso limpar a caixa Permitir logon no Terminal Server na guia Perfil de servios de terminal na caixa Propriedades para a conta do usurio e depois clicar em Aplicar. Na guia, voc tambm pode especificar os diretrios iniciais e os perfis de usurio dos usurios.
1.7.
Instalar a Conexo de rea de Trabalho Remota

A Conexo de rea de Trabalho Remota vem includa no Windows XP e no Windows Server 2003, podendo tambm ser instalada em outros computadores por vrios outros mtodos. Utilizando ferramentas, por exemplo, o Microsoft Systems Management Server ou o Windows 2000 Group Policy usando publicao/atribuio do RDC (.msi) baseado no Windows Installer. Compartilhamento de pasta %systemroot%\system32\clients\tsclient\win32 no Windows Server 2003. (Isso tambm pode ser feito com o Windows 2000 Server.) Instalando diretamente a partir do CD do Windows XP ou do Windows Server 2003, usando 'Realizar tarefas adicionais' do menu Autoplay. (No exige a instalao do sistema operacional.) Fazendo o download do Software RDC a partir de http://www.microsoft.com/windowsxp/remotedesktop/
Captulo 6 | Pgina 11 | 1.7.1. Interface aprimorada

As sesses remotas que usam a rea de Trabalho Remota podem ser realizadas em vdeo high-color e full-screen com uma barra de conexo para permitir a comutao rpida entre a sesso remota e a rea de trabalho local. A conexo remota pode ser modificada de acordo com requisitos particulares e para satisfazer suas necessidades especficas, com opes de tela, recursos locais, programas e experincia. A configurao de experincia permite que voc escolha sua velocidade de conexo e opes grficas, por exemplo, animao de temas ou menu e janela para otimizar o desempenho das conexes com pouca largura de banda.
1.7.2.
Redirecionamento de recursos do cliente

O redirecionamento de recursos est disponvel para os clientes do Windows Server 2003 ou do Windows XP Professional e oferece uma variedade de tipos de dados a redirecionar. Para maximizar a segurana, cada tipo de redirecionamento pode ser ativado ou desativado individualmente em cada cliente ou servidor. Tambm possvel exibir um alerta de segurana quando for solicitado um redirecionamento do sistema de arquivos, portas ou um Carto Inteligente, permitindo que o usurio negue o redirecionamento ou cancele a conexo se preferir. A rea de Trabalho Remota permite reproduo de udio (por exemplo, notificaes de "erro" ou "nova mensagem de correio" podem ser redirecionadas ao cliente). Combinaes de teclas, como AltTab e Control-Escape, so enviadas sesso remota por padro, enquanto o Control-Alt-Delete mantido sempre pelo computador do cliente para preservar a segurana do servidor. As informaes de Fuso Horrio tambm podem ser redirecionadas do servidor para os clientes, permitindo que um servidor gerencie mltiplos usurios em diferentes fusos horrios. Os programas com recursos de calendrio podem aproveitar o redirecionamento de Fuso Horrio.
Redirecionamento do Sistema de Arquivos

A cpia dos arquivos entre cliente e servidor mais fcil. Os discos do cliente, locais e de rede, agora esto disponveis dentro da sesso do servidor. Os usurios podem ter acesso a seus prprios discos locais e transferir os arquivos entre o cliente e o servidor sem precisar sair da sesso remota.
Redirecionamento de portas e impressoras

Impressoras locais e de rede instaladas no cliente esto disponveis na rede remota, com nomes simples. As portas seriais do cliente podem ser mapeadas de forma que o software no servidor possa ter acesso ao hardware conectado. Os clientes que reconhecem cartes inteligentes - Windows 2000, Windows XP e Windows CE .NET- podem fornecer credenciais de Cartes Inteligentes para o incio de sesso sesso remota no Windows Server 2003.
Captulo 6 | Pgina 12 | 1.8. Instalar aplicativos no Terminal Server

Para tornar um aplicativo disponvel para mltiplos usurios, a instalao do aplicativo deve copiar os arquivos do programa para um local central do servidor, em vez da Pasta Base dos usurios. Nota: para fins de segurana, recomenda-se a instalao dos aplicativos em uma partio NTFS. Existem dois mtodos para instalar programas em um Terminal Server: Usando Adicionar ou Remover Programas no Painel de Controle ou atravs do comando Change User do prompt de comando. O primeiro executa automaticamente o comando Change User, que o mtodo preferido para instalar programas em um Terminal Server. Para instalar um programa usando Adicionar ou Remover Programas, preciso executar as seguintes etapas: 1. 2. 3. 4. 5. 6. 7. 8. Iniciar a sesso no Terminal Server como administrador e fechar todos os programas. Clicar em Iniciar, Configuraes e depois em Painel de Controle. No Painel de Controle, clicar duas vezes em Adicionar ou Remover Programas. Clicar duas vezes em Adicionar Novos Programas e depois em CD ou Floppy. Selecionar o arquivo de instalao do aplicativo, clicar duas vezes no executvel e depois clicar em Avanar. Na pgina Opo de alterao de usurio, verificar se Todos os usurios utilizaro configuraes comuns para o aplicativo est selecionada. Instalar o programa no disco local segundo as instrues do programa de instalao. Seguir as instrues no assistente para concluir a instalao.
Usando o comando Change User somente quando no possvel instalar o aplicativo usando Adicionar ou Remover Programas. Para instalar um programa usando o comando Change User: 1. 2. 3. 4. Inicie a sesso no Terminal Server como administrador e feche todos os programas. Em uma janela de linha de comando, digite change user /install e depois pressione ENTER. Instale o programa no disco local segundo as instrues do programa de instalao. Em uma janela de linha de comando, digite change user /execute quando a instalao for concluda.
Para obter mais informaes: http://www.microsoft.com/windowsserver2003/technologies/terminalservices/default.mspx
Captulo 6 | Pgina 13 | 2. Administrao Remota com rea de Trabalho Remota

A rea de Trabalho Remota para administrao inclui as seguintes caractersticas e vantagens: Administrao grfica dos servidores Windows Server 2003 e Windows 2000 de qualquer cliente Terminal Services. (Os clientes esto disponveis para computadores que executem Windows para Workgroups, Windows 95, Windows 98, Windows CE 2.11, Windows CE.NET, Windows NT, Windows 2000, Windows XP Professional e Macintosh OS-X.) Atualizaes remotas, reincio e promoo / rebaixamento de Controladores de Domnio. Acesso aos servidores, utilizando conexes de baixa largura de banda, com at 128 bits de criptografia. Instalao e execuo remotas de aplicativos, com acesso a discos e mdia locais (por exemplo, quando so copiados arquivos grandes e verificaes de vrus). Possibilidade dos administradores remotos compartilharem uma sesso para fins de colaborao e suporte. Remote Desktop Protocol (RDP). Inclui impresso local e em rede, redirecionamento de sistema de arquivos, mapeamento da rea de transferncia (recortar, copiar e colar), redirecionamento de Carto inteligente, redirecionamento de dispositivos em srie e suporte a qualquer programa de canal virtual RDP.
2.1. Integrar Terminal Services

O componente Terminal Services da famlia Windows Server 2003 totalmente integrado no kernel e est disponvel em todas as instalaes do Windows Server 2003. A ativao da rea de Trabalho Remota no exige espao adicional no disco e tem um impacto mnimo no desempenho. So necessrios apenas aproximadamente 2 megabytes (MB) de memria do servidor, com um impacto insignificante no uso da CPU. O desempenho s afetado quando iniciada uma sesso remota, semelhante ao custo do console. por esses motivos que a Microsoft recomenda ativar a rea de Trabalho Remota em todos os computadores e no Controlador de Domnio do Windows Server 2003. Isso oferecer flexibilidade e sensibilidade substanciais na administrao dos servidores de uma organizao, independente da sua localizao.
2.2. Exerccio 1: Ativar a rea de Trabalho Remota

O Terminal Server e a rea de Trabalho Remota agora so configurados separadamente no Windows Server 2003, proporcionando opes mais flexveis para a administrao. rea de Trabalho Remota A rea de Trabalho Remota instalada por padro no Windows Server 2003, mas, por razes de segurana, vem pr-configurada desabilitada. possvel habilit-lo em Sistema no Painel de Controle. Alm das duas sesses virtuais disponveis no modo administrativo do Terminal Services do Windows 2000, um administrador tambm pode se conectar remotamente ao console verdadeiro de um servidor, atravs da rea de Trabalho Remota no Windows Server 2003. As ferramentas que antes no funcionariam em uma sesso virtual porque interagiam com a sesso 0' agora funcionam remotamente.
Para ativar a rea de Trabalho Remota: 1. No Painel de Controle, clique duas vezes em Sistema. 2. Clique na guia Remoto e depois selecione a caixa Permitir que usurios se conectem remotamente a este computador. 3. Clique em Aplicar e depois em OK. Para realizar uma conexo ao Servidor: 1. Inicie a sesso normalmente em outro equipamento com Windows XP ou Windows Server 2003. 2. Em Iniciar, Executar, digite mstsc.exe e depois pressione ENTER. 3. Na caixa Computador, insira o nome do servidor ao qual voc deseja se conectar e depois pressione ENTER. Para realizar uma conexo ao console: 1. Inicie a sesso normalmente em outro equipamento com Windows XP ou Windows Server 2003. 2. Em Iniciar, Executar, digite mstsc.exe /console /v:<nomedoservidor> e depois pressione ENTER. 3. Verifique se, logo ao iniciar a sesso do console, o servidor ao qual voc se conectou bloqueou a sesso ativa. Lembre-se de que: Para executar esse exerccio, preciso ter, pelo menos, duas mquinas, j que impossvel conectar o console na mesma sesso. Para obter mais informaes: http://support.microsoft.com/default.aspx?scid=kb;en-us;323353
Captulo 6 | Pgina 15 | 2.3. Ferramentas de administrao

A seguir temos uma amostra limitada das ferramentas de administrao que podem ajud-lo a controlar sesses remotas: Conectar com o console Para conexo com o console, os administradores podem escolher um dos mtodos a seguir: Utilizar o snap-in Remote Desktop Microsoft Management Console (MMC). Executar o programa Remote Desktop Connection (mstsc.exe) com o parmetro /console. Criar pginas Remote Desktop Web Connection com a propriedade ConnectToServerConsole. Diretiva de Grupo de Servios de Terminal A Diretiva de Grupo pode ser utilizada para administrar os servios de Terminal dos computadores que executam sistemas operacionais do Windows Server. Diretivas de Grupo de Servios de Terminal podem configurar conexes de Servios de Terminal, de Diretivas de Usurio e de Clusters do Terminal Server, e administrar sesses de Servios de Terminal. Remote Desktops MMC O console do snap-in Remote Desktops Microsoft Management Console (MMC) permite que os administradores configurem mltiplas conexes de Servios de Terminal. Tambm til para gerenciar vrios servidores que executem o Windows Server 2003 ou o Windows 2000 Server. Uma exibio navegvel da rvore permite que os administradores vejam, controlem e alternem rapidamente entre as vrias sesses de uma nica janela. Como na ferramenta Conexo para rea de trabalho Remota, os computadores remotos tambm podem ser configurados para executar programas especficos atravs da conexo e para redirecionar discos locais na sesso remota. As informaes de logon e a rea da janela do cliente podem ser configuradas no snapin. Da mesma forma, os administradores podem estabelecer conexes remotas para a sesso do console de um computador com sistemas operacionais Windows Server.
Gerenciador de Servios de Terminal Esse utilitrio, tsadmin.exe, utilizado para administrar usurios de Servios de Terminal, sesses e processos em qualquer servidor da rede que esteja executando Servios de Terminal. Usando essa ferramenta, voc pode conectar e desconectar, fechar sesses, reiniciar e controlar remotamente as sesses. Tambm possvel utiliz-la para se conectar a outros servidores em domnios confiveis, controlar sesses em um servidor remoto, enviar mensagens aos usurios ou fechar sesses e concluir processos. Configurao de Servios de Terminal Este utilitrio, tscc.msc, utilizado para modificar a configurao da criptografia por padro e para configurar tempos de espera para redefinir e desconectar. Para configurar tempos de espera para reiniciar e desconectar contas individuais, preciso utilizar a guia das sesses na caixa Propriedades da conta do usurio. Muitas configuraes tambm podem ser determinadas com a Diretiva de Grupo de Servios de Terminal ou o WMI (Windows Management Instrumentation). Nesse caso, a configurao de Servios de Terminal substituda. Visualizar Eventos Use Visualizar Eventos, eventvwr.msc, para pesquisar os acontecimentos que podem ter ocorrido, como caixas de dilogo pop-up no console do servidor. Utilitrios de Linha de Comando Utilitrios de linha de comando incluem o seguinte: Query User. um utilitrio de linha de comando que lista usurios ativos e desconectados. Disconnect. Esse utilitrio de linha de comando, tsdiscon, desconecta a sesso. Um procedimento analgico apaga o monitor e deixa o computador em funcionamento. A desconexo tambm pode ser feita em Iniciar/Desligar. Para reconectar sesso, inicie-a no servidor, outra vez com o mesmo usurio a partir da Conexo para rea de Trabalho Remota.
Captulo 6 | Pgina 17 | 3. Terminal Server como Servidor de Aplicativos

O componente de Servios de Terminal do Microsoft Windows Server 2003 estruturado em uma base slida proporcionada pelo Modo de Servidor de Aplicativo do Windows 2000 Terminal Services, e inclui os novos recursos do cliente e do protocolo no Windows XP. Os Servios de Terminal permitem fornecer virtualmente aplicativos baseados no Windows ou na rea de trabalho do Windows, para qualquer dispositivo, incluindo os que no podem executar o Windows. Os Servios de Terminal no Windows Server 2003 podem aperfeioar os recursos de instalao do software de uma empresa em uma variedade de cenrios, proporcionando uma flexibilidade substancial infra-estrutura e administrao de aplicativos. Quando um usurio executa um aplicativo no Terminal Server, a execuo do aplicativo ocorre no servidor e somente as informaes de teclado, mouse e vdeo so transmitidos na rede. Cada usurio v somente a sua sesso individual, que administrada de forma transparente pelo sistema operacional do servidor e independente de qualquer outra sesso do cliente.
3.1. Benefcios
Os Servios de Terminal no Windows Server 2003 fornecem trs benefcios importantes: Benefcio Instalao rpida e centralizada de aplicativos Descrio O Terminal Server timo para instalar rapidamente aplicativos baseados no Windows em toda a empresa, especialmente que so utilizados com freqncia ou so de administrao difcil. O Terminal Server reduz consideravelmente a largura de banda exigida na rede para ter acesso a dados remotamente. Usar o Terminal Server para executar um aplicativo em conexes de baixa largura de banda, por exemplo, discagem direta ou compartilhamentos de enlaces da WAN, muito eficaz para fornecer acesso remoto e manipular grandes quantidades de dados, considerando que somente a tela de dados transferida, e no os prprios dados. O Terminal Server ajuda os usurios a serem mais produtivos, possibilitando o acesso aos programas atuais em qualquer dispositivo.
Acesso a dados utilizando conexes de baixa largura de banda
Windows em qualquer parte
3.2.
Recursos Adicionais de Administrao

Os recursos a seguir aumentam a flexibilidade dos Servios de Terminal no Windows Server 2003: Diretiva de Grupo A Diretiva de Grupo pode ser atualizada para controlar as propriedades dos Servios de Terminal. Isso permite a configurao simultnea dos grupos de servidores, incluindo a configurao dos novos recursos, por exemplo, caminho de perfil de Servios de Terminal por computador, e desabilita o papel de parede, visto que eles esto conectados remotamente. Windows Management Interface Provider. Um fornecedor completo do Windows Management Instrumentation (WMI) permite a configurao por meio de scripts de Servios de Terminal. Diversos alias do WMI so includos para fornecer um front-end simples de tarefas freqentes, usando o WMI. Gerenciamento de Impressoras. O gerenciamento de impressoras foi aprimorado das seguintes formas: O mapa de drivers de impressora foi aperfeioado: Quando um driver no corresponde ao cliente, fornecido um Caminho para Drivers que permite especificar outros drivers de impressora padro, que so adicionados aos servidores de Terminal. O fluxo de impresso comprimido para melhorar o desempenho em enlaces lentos entre um servidor e um cliente.
Gerenciador de Servios de Terminal O Gerenciador de Servios de Terminal aprimorado permite uma administrao mais fcil de uma grande diversidade de servidores, reduzindo a enumerao automtica do servidor. Isso d acesso direito aos servidores especificados por nome e fornece uma lista dos servidores preferidos. Gerenciador do Terminal Server. O Gerenciador de Licenas do Terminal Server foi aprimorado para facilitar a ativao de um Servidor de Licenas do Terminal Server e atribuir as licenas. Diretiva de Sesso nica Configurando a Diretiva de Sesso nica, o administrador pode limitar os usurios a uma nica sesso, independente de ela estar ativa ou no (exatamente como em um grupo de servidores). Mensagens de Erro do Cliente Mais de 40 novas mensagens de erro de cliente facilitam o diagnstico de problemas da conexo do cliente.
3.3. Aprimoramentos na Segurana

O modelo de acesso ao Terminal Server agora se adapta melhor aos paradigmas de administrao do Windows Server. Grupo de Usurios da rea de Trabalho Remota Em vez de adicionar usurios a uma lista no programa Configurao dos servios de Terminal (TSCC), voc simplesmente os tornar membros do grupo Remote Desktop Users (RDU). Por exemplo, o administrador pode adicionar o grupo "Usurios do domnio" ao grupo RDU para permitir que todos tenham acesso ao Terminal Server. Usar um grupo verdadeiro do NT tambm significa que o acesso aos Terminal Servers pode ser controlado atravs da Diretiva de Grupo nos grupos de servidores. Editor de Diretiva de Segurana. Para configuraes adicionais em Servios de Terminal, os direitos de usurio podem ser atribudos a todos os usurios ou a grupos individuais, usando o Editor de Diretiva de Segurana. Dessa forma, voc oferece aos usurios a capacidade de iniciar a sesso no Terminal Server, sem precisar ser um membro do grupo Usurios de rea de Trabalho Remota descrita acima. Criptografia de 128 bits Por padro, as conexes aos Terminal Servers garantem criptografia RC4 bidirecional com 128 bits quando est sendo utilizado um cliente que oferece suporte de 128 bits. (RDC de 128 bits por padro). possvel conectar clientes mais antigos com criptografia inferior a 128 bits, a menos que se especifique que somente os clientes de alta criptografia sejam habilitados. Diretivas de Restrio de Software As diretivas de restrio de software no Windows Server 2003 permitem que os administradores utilizem Diretivas de Grupo para simplificar o bloqueio de Terminal Servers, permitindo que apenas determinados programas sejam executados pelos usurios especificados.
Para obter mais informaes: http://www.microsoft.com/windowsxp/pro/techinfo/administration/restrictionpolicies/default.asp Este recurso do Windows substitui a ferramenta AppSec (Segurana de Aplicativo) utilizada em verses anteriores dos Servios de Terminal.
3.4. Diretrio de Sesso

Os Terminal Servers podem ser organizados em grupos. Essa configurao permite clusters utilizando Balanceamento de Carga em Rede (NLB) nos computadores para oferecer a seus usurios um servio de tolerncia a falhas. O novo recurso Diretrio de Sesso nos Servios de Terminal permite que os usurios reconectem-se a uma sesso especfica desconectada do grupo, dirigindo-se a um servidor carregado quando conectada. O Session Directory pode utilizar o servio de Equilbrio de Carga do Windows ou um Equilibrador de Cargas de terceiros e o servio pode funcionar em qualquer computador com o Windows Server 2003. No entanto, os membros do grupo do Terminal Server devem estar executando o Windows Server 2003, Enterprise Edition.
3.5. Exerccio 2: Instalao de Aplicativo de Terminal Server

Durante este exerccio, voc instalar um Terminal Server para executar aplicativos. 1. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas e depois em Windows Componentes. 2. Selecione Terminal Server e depois clique me Avanar. 3. Aceite a configurao padro e clique em Avanar. 4. Ao finalizar a instalao, clique em Concluir. Para instalar aplicativos, siga as instrues na seo 1.8 do captulo. Lembre-se de que possvel instalar, por exemplo, o Microsoft Office XP. Para instalar o Microsoft Office 2000, ser necessrio o Resource Kit do Office 2000.
3.6.
Windows System Resource Manager

O Windows Server 2003 introduz um novo produto que no fornecido no CD do Windows Server 2003. Essa ferramenta compatvel apenas com as verses Enterprise e Datacenter. O Windows System Resource Manager (WSRM) permite administrar recursos de hardware, por exemplo, memria e processador, atribuindo aos usurios recursos preestabelecidos. Dessa forma, voc pode evitar que um usurio consuma muitos recursos, executando tarefas desnecessrias ou mltiplos processos sem limite de recursos. Tambm possvel atribuir aos recursos uma agenda de horrios, por exemplo, atribuir durante o dia uma quantidade de recursos limitada e, em horrio noturno, um limite superior ou nenhum limite, conforme o caso. Para obter mais informaes e fazer o download: http://www.microsoft.com/windowsserver2003/downloads/wsrm.mspx
Capitulo 7 Implementao e Configurao de IIS 6.0
Neste capitulo, voc obter conhecimentos sobre os servios Web e, ao conclu-lo, poder: Implementar Servios Web Instalar o IIS6 Administrar um ambiente de Servios Web
Captulo 7 | Pgina 1 | 1. Introduo

Os servios do Microsoft Internet Information Server (IIS) 6.0 com o Windows Server 2003 fornecem recursos de servidor da Web integrados, confiveis, escalveis, seguros e administrveis em uma intranet, uma extranet ou na Internet. O IIS 6.0 incorpora aperfeioamentos significativos na arquitetura para atender s necessidades de clientes em vrias partes do mundo.
1.1. Vantagens
O IIS 6.0 e o Windows Server 2003 introduzem vrios recursos novos de administrao, disponibilidade, confiabilidade, segurana, rendimento e escalabilidade nos servidores de aplicaes da Web. O IIS 6.0 tambm aprimora o desenvolvimento de aplicativos da Web e a compatibilidade internacional. Juntos, o IIS 6.0 e o Windows Server 2003 proporcionam a soluo para servidores da Web mais confivel, produtiva, conectada e integrada disponvel. Vantagem Descrio O IIS 6.0 proporciona um ambiente de servidor da Web mais inteligente e confivel para fornecer uma confiabilidade tima. Esse novo ambiente inclui a superviso do estado dos aplicativos e a sua reciclagem automtica. As caractersticas de confiabilidade aumentam a disponibilidade e reduzem o tempo que os administradores desperdiavam para reiniciar os servios da Internet. O IIS 6.0 est ajustado para proporcionar possibilidades de consolidao e escalabilidade otimizadas que aproveitam ao mximo cada servidor da Web.
Confivel e escalvel
O IIS 6.0 proporciona segurana e capacidade de administrao significativamente aprimoradas. Os aprimoramentos de segurana incluem mudanas tecnolgicas no processamento de solicitaes. Alm disso, tambm foram aprimoradas a autenticao e a autorizao. A instalao pr-configurada Seguro e administrvel do IIS 6.0 est completamente bloqueada, o que significa que a configurao padro oferece segurana mxima. O IIS 6.0 tambm fornece recursos de administrao aprimorados. Uma administrao melhor com a metabase XML e novas ferramentas de linha de comandos. Com o Windows Server 2003 e o IIS 6.0, os desenvolvedores de aplicativos beneficiam-se de um nico ambiente de armazenamento de aplicativos integrado, com compatibilidade total com os recursos avanados e com o cache em modo de ncleo. Criado no IIS 6.0, o Windows Server 2003 oferece aos desenvolvedores nveis elevados de funcionalidade adicional, incluindo um desenvolvimento de aplicativos rpido e uma ampla seleo de linguagens. O IIS 6.0 tambm oferece compatibilidade internacional com os padres Web mais recentes da Web.
Desenvolvimento e compatibilidade internacionais aprimorados
Captulo 7 | Pgina 2 | 1.2. Aprimoramentos e novos recursos

O Windows Server 2003 proporciona novos recursos e aprimoramentos em trs reas principais: Confiabilidade e escalabilidade Segurana e capacidade de administrao Melhor desenvolvimento e compatibilidade internacional
1.2.1. Confiabilidade e escalabilidade

O Windows Server 2003 oferece os recursos a seguir para proporcionar uma confiabilidade e uma escalabilidade aprimoradas. Recurso Descrio Com uma nova arquitetura de processamento de solicitaes, o ISS 6.0 detecta automaticamente as perdas de memria, as falhas de acesso e outros erros. Quando ocorrem essas condies, a arquitetura subjacente oferece tolerncia a erros e capacidade de reiniciar processos quando necessrio. Enquanto isso, o IIS 6.0 continua colocando as solicitaes na fila sem interromper a atividade do usurio. O IIS 6.0 capaz de supervisionar o estado dos processos de trabalho, dos aplicativos e dos sites da Web. Da mesma forma, possvel detectar o estado dos processos de trabalho e recicl-los conforme diversos fatores, como o rendimento, um planejamento especfico, o nmero de solicitaes e o consumo de memria. Tambm possvel reciclar os processos de trabalho sob demanda. O IIS 6.0 aprimorou a forma como o sistema operacional utiliza os recursos internos. Por exemplo, o IIS 6.0 no localiza previamente os recursos durante a inicializao. possvel armazenar muitos outros sites em um nico servidor que execute o IIS 6.0 e um grande nmero de processos de trabalho pode estar ativo de forma simultnea. A inicializao e o desligamento de um servidor so processos mais rpidos em comparao a verses anteriores do IIS. Todos esses aprimoramentos contribuem para aumentar a escalabilidade dos sites com o IIS 6.0. O Windows Server 2003 introduz um novo controlador no modo kernel, o HTTP.SYS, para a anlise e o cache de HTTP, melhorando a escalabilidade e o rendimento. O IIS 6.0 foi criado sobre o HTTP.SYS e est ajustado especificamente para aumentar o rendimento do servidor da Web. Alm disso, o HTTP.SYS processa diretamente solicitaes no kernel, sob determinadas circunstncias.
Nova arquitetura de processamento de solicitaes
Deteco do estado
Escalabilidade dos sites
Novo controlador em modo de ncleo, HTTP.SYS
Captulo 7 | Pgina 1 | 1.2.2. Segurana e recurso de administrao

O Windows Server 2003 traz os seguintes recursos para proporcionar segurana e escalabilidade aprimoradas. Recurso Descrio O IIS 6.0 proporciona uma segurana significativamente aprimorada. Para reduzir a superfcie de ataque dos sistemas, o IIS 6.0 no instalado como padro no Windows Server 2003; os administradores precisam selecion-lo e instal-lo de forma explcita. O IIS 6.0 fornecido em estado bloqueado e serve unicamente ao contedo esttico. Atravs do uso do n da extenso de servios da Web, os administradores de sites da Web podem ativar ou desativar a funcionalidade do IIS conforme as necessidades individuais da organizao. O IIS 6.0 amplia o uso de um novo marco de autorizao fornecido com o Windows Server 2003. Alm disso, os aplicativos da Web podem utilizar a autorizao de endereos URL, formando pares com o Administrador de autorizaes para controlar a obteno de acesso. A autorizao delegada e restrita proporciona agora aos administradores de domnio o controle para delegar unicamente servios e mquinas especficas.
Servidor bloqueado
Autorizao
A metabase de texto do IIS 6.0, com formato XML, proporciona recursos aprimorados de cpia de segurana e restaurao para os servidores com erros crticos. Tambm Metabase XML proporciona recuperao de erros da metabase e uma soluo de problemas aprimorada. A modificao direta, mediante ferramentas comuns de modificao de texto, proporciona uma maior capacidade de administrao.
1.2.3.
Desenvolvimento e compatibilidade internacionais aprimorados

O Windows Server 2003 proporciona as caractersticas a seguir para obter desenvolvimento e compatibilidade aprimorados.
Recurso
Descrio O Windows Server 2003 oferece uma experincia aprimorada para o desenvolvedor com a integrao do IIS e do Microsoft ASP.NET. Criados a partir do IIS 6.0, os aprimoramentos do Windows Server 2003 oferecem aos desenvolvedores nveis elevados de funcionalidade, como o desenvolvimento de aplicativos rpido (RAD) e uma ampla seleo de idiomas. No Windows Server 2003, a experincia de utilizar ASP.NET e Microsoft .NET Framework foi aprimorada porque a arquitetura de processamento de solicitaes integra-se ao IIS 6.0.
Integrao do IIS e do ASP.NET
Compartilhar informaes atravs de limites geogrficos, em uma grande variedade de idiomas, torna-se cada vez mais importante na economia global. Antes, a estrutura no Unicode do protocolo HTTP limitava os desenvolvedores ao sistema das Informaes pginas de cdigos. Agora com os endereos URL codificados em UTF-8 (Formato de compartilhadas transformao de Unicode 8), o uso de Unicode j possvel. Esse um atravs dos aprimoramento que permite trabalhar com idiomas mais complexos, como o chins. limites O IIS 6.0 permite que os clientes obtenham acesso s variveis do servidor em geogrficos Unicode. Tambm adiciona novas funes de compatibilidade com o servidor que permitem que o desenvolvedor obtenha acesso representao em Unicode de um endereo URL e, com isso, melhore a compatibilidade internacional. Para obter mais informaes: http://www.microsoft.com/windowsserver2003/iis/default.mspx
Captulo 7 | Pgina 1 | 2. O IIS como servidor de aplicativos

O servidor de aplicativos uma nova funo do Windows Server 2003, aliado s seguintes tecnologias: Internet Information Services (IIS) 6.0 Microsoft .NET Framework ASP.NET ASP UDDI Services COM+ Microsoft Message Queuing (MSMQ) A funo do servidor de aplicativos combina essas tecnologias em uma experincia coesa, permitindo que os desenvolvedores e administradores da Web disponham de aplicativos dinmicos, por exemplo, um aplicativo de banco de dados do Microsoft ASP.NET, sem necessidade de instalar qualquer outro software no servidor. Configurao do servidor de aplicativos O servidor de aplicativos configurvel em dois pontos do Windows Server 2003: no assistente Configurar o Servidor e no aplicativo Adicionar ou Remover Componentes. O assistente para configurar seu servidor
O assistente Configurar o Servidor o ponto central para configurar funes no Windows Server 2003 e agora inclui a funo de servidor de aplicativos. Para ter acesso ao assistente Configurar o Servidor, clique em Adicionar ou Remover Funes no assistente Configurar o Servidor. Essa funo substitui a funo existente do servidor da Web. Depois de instalar essa nova funo, a pgina Manage Your Server tambm incluir uma entrada para a nova funo.
Adicionar/Remover Componentes do Servidor de Aplicativo
O servidor de aplicativos tambm foi includo no Adicionar ou Remover Componentes do Windows Server 2003 como componente opcional de alto nvel. Da mesma forma, os aplicativos do servidor de aplicativos (IIS 6.0, ASP.NET, COM+ e MSMQ) podem ser instalados e configurar os componentes secundrios usando Adicionar ou Remover Componentes. Usando Adicionar ou Remover Componentes para configurar o servidor de aplicativos, possvel ter maior controle sobre os componentes secundrios especficos que sero instalados.
2.1.
Arquitetura IIS 6.0 - Nova arquitetura de processamento de Solicitao

Os sites da Web e o cdigo de aplicativos esto ficando cada vez mais complexos. Os sites dinmicos e os aplicativos da Web podem conter cdigo imperfeito que consuma memria ou provoque erros como, por exemplo, violaes de acesso. Portanto, um servidor da Web deve ser o responsvel ativo pelo ambiente de execuo do aplicativo e automaticamente detectar e responder aos erros do aplicativo. Quando ocorre um erro de aplicativo, o servidor deve ser tolerante a falhas, o que significa que deve reciclar e reiniciar automaticamente o aplicativo responsvel, enquanto continua colocando em fila as solicitaes para o aplicativo, sem interrupo para o usurio. por isso que o IIS 6.0 oferece uma nova arquitetura tolerante a falhas de processamento de solicitaes que foi desenvolvida para proporcionar um controle ativo do tempo de execuo e um aumento expressivo da confiabilidade e da escalabilidade, combinando um novo modelo de processamento isolado chamado Worker Process Isolation Mode. Ele traz grandes aprimoramentos no funcionamento como, por exemplo, Fila e Cache em Modo Kernel. A verso anterior do IIS, o IIS 5.0, foi desenvolvida para ter um processo chamado Inetinfo.exe, que era o processo principal do servidor da Web. Comparativamente, para o IIS 6.0, foram desenvolvidos dois novos componentes: o stack do protocolo http em modo kernel (HTTP.sys) e o componente de administrao e monitoramento em modo usurio. Essa arquitetura permite que o IIS 6.0 separe as operaes do servidor da Web do processo do site da Web e do cdigo do aplicativo - sem sacrificar o desempenho. HTTP.sys. O stack do protocolo http em modo kernel coloca em fila e divide as solicitaes HTTP recebidas. Quando chega a vez da solicitao, ela colocada em cache e retorna o contedo do site, e o aplicativo. HTTP.sys no carrega nenhum cdigo de aplicativo, simplesmente divide e encaminha as solicitaes.
Componente de administrao e monitoramento do servio WWW. O Gerenciador de Processos e Configuraes em modo usurio administra as operaes do servidor e supervisiona a execuo do cdigo do aplicativo. Como o HTTP.sys, este componente no carrega e nem processa nenhum cdigo de aplicativo. Antes abordar esses componentes, importante introduzir os novos conceitos do IIS 6.0: Grupos de Aplicativos e Processos de Trabalho. Os grupos (pools) de aplicativos so utilizados para administrar sites e aplicativos na Web. Cada Grupo de Aplicativos corresponde a uma fila de solicitao no HTTP.sys e aos processos do Windows responsveis por executar essas solicitaes. O IIS 6.0 pode oferecer suporte a at 2.000 grupos de aplicativos por servidor e pode ter mltiplos Grupos de Aplicao funcionando ao mesmo tempo. Por exemplo, um servidor de departamento pode ter o RH em um Grupo de Aplicativos e o departamento financeiro em outro Grupo. Da mesma forma, um provedor de servios da Internet (ISP) pode ter sites da Web e aplicativos de um cliente em um grupo de aplicativos e os sites da Web de outro cliente em um Grupo de Aplicativos diferente. Os Grupos de Aplicativos so separados por limites de processamento no Windows Server 2003. Portanto, um aplicativo em um Grupo de Aplicativo no afetado pelos aplicativos em outros Grupos de Aplicativos, e uma solicitao do aplicativo no pode ser encaminhada a outro grupo de aplicativos. Os aplicativos tambm podem ser facilmente atribudos a outros grupos de aplicativos enquanto o servidor est em funcionamento. Um Worker Process executa pedidos de servios dos sites da Web e aplicativos em um Grupo de Aplicativos. Todos os processos de aplicativos da Web, incluindo o carregamento dos filtros e das extenses ISAPI, assim como a autenticao e a autorizao, so executados por um novo servio WWW DLL, no qual se carrega um ou mais Worker Processes. O Worker Process executvel chama-se W3wp.exe.
2.2. HTTP.sys
No IIS 6.0, o HTTP.sys escuta as solicitaes e as coloca nas filas apropriadas. Cada fila de solicitaes corresponde a um Grupo de Aplicativos. Considerando que nenhum cdigo de aplicativo funciona no HTTP.sys, ele no pode ser afetado por falhas no cdigo do Modo Usurio, que normalmente afetam o estado de Servios da Web. Se um aplicativo falhar, o HTTP.sys continua aceitando e colocando as novas solicitaes na fila apropriada at que um dos seguintes eventos ocorra: o processo seja reiniciado e comece a aceitar solicitaes, no haja filas disponveis, no haja espao nas filas ou o prprio servio da Web seja fechado pelo administrador. Como o HTTP.sys um componente de modo Kernel, a operao realizada especialmente eficiente, permitindo que a arquitetura do IIS 6.0 combine o isolamento do processo com o alto desempenho ao solicitar processos. Quando o servio de WWW notar que o aplicativo falhou, se algum tiver solicitaes especiais aguardando para serem inseridas no Worker Process de um Grupo de Aplicativos, um novo Worker Process iniciado.
Portanto, embora possa haver uma interrupo temporria no processo da solicitao do modo de usurio, o usurio no percebe a falha porque as solicitaes continuam sendo aceitas e colocadas em filas.
2.3. Componente de Administrao e Monitoramento do Servio WWW

O componente WWW Service Administration and Monitoring melhora uma parte bsica do servio WWW. Como no HTTP.sys, nenhum cdigo do aplicativo funciona no componente WWW Service Administration and Monitoring. Este componente tem responsabilidades primrias: configurao do sistema e administrao do Worker Process. Configurao de Servidor Durante a inicializao, o Gerenciador de Configurao do servio WWW utiliza a configurao na memria da metabase para inicializar a tabela de caminhos do Espao de Nomes do HTTP.sys. Cada entrada na tabela de caminhos contm informaes para direcionar os URLs inseridos no Grupo de Aplicativos do aplicativo associado ao URL. Esses passos de pr-registro informam ao HTTP.sys que h um Grupo de Aplicativos para responder s solicitaes em uma parte especfica do Espao para Nomes, e esse HTTP.sys pode solicitar que um Worker Process seja iniciado para um Grupo de Aplicativos quando chegar uma solicitao.
2.4. Gerenciamento de Worker Processes

Na funo Worker Process Management, o componente de monitoramento e administrao do servio WWW responsvel por controlar o andamento do Worker Process que processa as solicitaes. Isso inclui a determinao de quando comear, reciclar ou reiniciar um Worker Process se ele no puder mais processar as solicitaes (for bloqueado). Ele tambm responsvel pela superviso dos Worker Processes e por detectar quando um deles finalizado inesperadamente.
2.5. Modo de Isolamento do Worker Process

O IIS 6.0 introduz um novo modo de isolamento de aplicativos para controlar o processo de sites da Web e aplicativos: o modo de Isolamento do Worker Process. Ele funciona em todo o cdigo do aplicativo em um ambiente isolado. Os aplicativos podem ser totalmente isolados um do outro, onde um erro em um aplicativo no afeta outro em um processo usando Grupos de Aplicativos. As solicitaes so retiradas diretamente do Kernel, em vez de criar um processo Modo de Usurio e encaminhar a outros processos Modo de Usurio. Primeiro, o HTTP.sys encaminha o site da Web e as solicitaes do aplicativo ao Grupo de Aplicativos correto. Em seguida, os Worker Processes que servem ao Grupo de Aplicativos enviam as solicitaes diretamente da fila do aplicativo em HTTP.sys. Este modelo elimina os saltos de processo desnecessrios durante o envio de uma solicitao fora do processo DLLHost.exe (exatamente como no IIS 4.0 e 5.0), e aumenta o desempenho. O Modo de Isolamento do Worker Process evita que um aplicativo ou site interrompa outro. Alm disso, separar os aplicativos ou os sites em Worker Processes diferentes simplifica o nmero de tarefas administrativas, por exemplo, coloca um site/aplicativo on-line ou offline (independentemente de todos os outros site/aplicativos em execuo no sistema). Para mais informaes sobre o IIS 6.0 com servidor de aplicativos: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/standard/iiswelcome.asp
3. Aprimoramento na Segurana
A segurana sempre foi um aspecto importante do Internet Information Services. Entretanto, nas verses anteriores do produto (ex. O IIS 5.0 no Windows 2000 Server), o servidor no era enviado no estado "bloqueado" por padro. Muitos servios desnecessrios, por exemplo, impresso pela Internet eram ativados na instalao. Tornar o sistema mais resistente era um processo manual e muitas organizaes simplesmente mantinham os ajustes do servidor sem modificao. Isso provocou uma grande vulnerabilidade a ataques porque, embora os servidores pudessem se tornar seguros, muitos administradores no fizeram o que precisavam ou no tinham as ferramentas para faz-lo. por isso que a Microsoft aumentou significativamente seu foco em segurana desde o desenvolvimento de verses anteriores do IIS. Por exemplo, no incio de 2002, o trabalho de desenvolvimento de todos os engenheiros do Windows mais de 8.500 pessoas foi suspenso enquanto a companhia realizava um treinamento intensivo sobre segurana. Quando o treinamento terminou, as equipes de desenvolvimento analisaram a base do cdigo do Windows, incluindo o HTTP.sys e o IIS 6.0, para colocar o conhecimento adquirido em prtica. Isso representou um investimento substancial no aumento da segurana da plataforma do Windows. Alm disso, durante a fase de projeto do produto, a Microsoft realizou um teste de ameaa para garantir que os desenvolvedores de software da empresa tinham entendido o tipo de ataque que o servidor poderia sofrer em implementaes do cliente. Da mesma forma, os especialistas de terceiros realizaram anlises independentes na segurana do cdigo.
3.1.
Servidor Bloqueado.
Para reduzir a superfcie de ataque da infra-estrutura da Web, a instalao do Windows Server 2003 no instala o IIS 6.0 por padro. Os administradores precisam selecionar e instalar explicitamente o IIS 6.0 em todos os produtos do Windows Server 2003, exceto no Windows Server 2003 Web Edition. Isso significa que agora o IIS 6.0 no precisa ser desinstalado depois que o Windows tiver sido instalado se no for necessrio para a funo do servidor (por exemplo, se o servidor for instalado para funcionar como servidor de correio ou banco de dados). O IIS 6.0 tambm ser desativado quando um servidor migrar para o Windows Server 2003, a menos que a Ferramenta de Bloqueio do IIS 5.0 esteja instalada antes da migrao ou tenha sido configurada uma chave de registro. Alm disso, o IIS 6.0 configurado, por padro, no estado "bloqueado" quando instalado. Depois da instalao, o IIS 6.0 aceita somente as solicitaes de arquivos estticos at ser configurado para o contedo dinmico. Todos os tempos de espera e ajustes so corrigidos para evitar problemas srios de segurana. O IIS 6.0 tambm pode ser desativado usando as Diretivas de Grupo do Windows Server 2003.
3.2.
Mltiplos Nveis de Segurana

A seguinte tabela resume os mltiplos nveis de segurana disponveis no IIS 6.0. Nvel de Segurana do IIS 6.0 No instalado por padro no Windows Server 2003
Descrio Grande parte da segurana deve-se reduo da superfcie de ataque do seu sistema. Portanto, o IIS 6.0 no instalado, por padro, no Windows Server 2003. Os administradores devem selecionar e instalar explicitamente o IIS 6.0. Por padro, a instalao do IIS 6.0 fornece apenas a funcionalidade mnima. Somente os arquivos estticos funcionam, enquanto outros (por exemplo, o ASP e o ASP.NET) precisam ser ativados explicitamente pelos administradores. Em atualizaes do Windows Server 2003 para servidores com o IIS instalado, se o servidor no instalou e no executou a ferramenta Lockdown Tool e no configurou a chave do registro RetainW3SVCStatus no servidor que foi atualizado, o IIS 6.0 ser instalado no estado desativado.
Instalao no estado bloqueado
Desativao em atualizaes
Desativao via Diretiva de Grupo Conta com baixo privilgio IIS 6.0 ASP Seguro de todas as funes Extenses de arquivo reconhecidas Ferramentas de linha de comando acessveis aos usurios da Web Proteo de gravao para contedo Com o Windows Server 2003, os administradores do domnio podem informar os usurios sobre a instalao do IIS 6.0 em seus computadores. O Worker Process executado em usurios com baixo privilgio por padro. Isso reduz drasticamente o efeito dos possveis ataques. O ASP incorporado sempre executado em contas de baixo privilgio (usurio annimo). Fornece apenas solicitaes aos arquivos que reconheceram extenses de arquivos e recusa solicitaes de extenses no reconhecidas. Os violadores aproveitam bastante as ferramentas de linha de comando executveis atravs do servidor da Web. No IIS 6.0, as ferramentas de linha de comando no podem ser executadas pelo servidor da Web. Quando os violadores conseguem acesso a um servidor, eles tentam danificar sites da Web. Impedindo que usurios annimos da Web substituam o contedo da Web, esses ataques podem ser atenuados.
3.3.
Abrir a funcionalidade com as Extenses de Servio Web no IIS 6.0

Em um esforo de reduzir a superfcie de ataque do seu Servidor da Web, o IIS 6.0 fornece apenas contedo esttico aps uma instalao padro. A funcionalidade programada proporcionada por Extenses de Internet Server API (ISAPI) ou Interfaces de Gateway Comuns (CGI) deve ser ativada manualmente por um administrador do IIS 6.0 ISAPI. O CGI estende a funcionalidade de suas pginas na Web e, por essa razo, chamado de Extenses de Servio da Web. Por exemplo, para executar o Active Server Pages (ASP) nessa verso do IIS 6.0, o ISAPI coloca o ASP.DLL em execuo, habilitando-o especificamente como uma Extenso de Servio Web. Usando recursos de Extenses de Servios da Web, os administradores de sites da Web podem ativar ou desativar a funcionalidade do IIS 6.0 conforme as necessidades individuais da organizao. Esta funcionalidade global realizada atravs do servidor inteiro.
3.4.
Identidade configurvel do Worker Process

Os vrios aplicativos em execuo ou sites em um servidor da Web inserem requisitos adicionais no servidor. Se um ISP receber duas empresas em um servidor (que podem ser concorrentes), preciso garantir o funcionamento desses dois aplicativos de forma independente. Principalmente o ISP precisa se certificar de que um administrador mal-intencionado de um aplicativo no poder ter acesso aos dados de outro. O IIS 6.0 proporciona esse nvel de isolamento com a identidade configurvel pelo Worker Process. Junto com outros recursos de isolamento como largura de banda e uso da CPU ou reciclagem armazenada na memria, o IIS 6.0 proporciona um ambiente aos mltiplos aplicativos em um servidor para que eles sejam totalmente separados.
Captulo 7 | Pgina 3 | 3.5. Aprimoramentos de SSL

Foram realizados trs aprimoramentos principais no Secure Sockets Layer (SSL) do IIS 6.0. Eles so: Desempenho. O IIS 5.0 j proporcionava o software de implementao de SSL mais rpido do mercado. Conseqentemente, em 50% de todos os sites Web o SSL executado em IIS 5.0. O SSL do ISS 6.0 ainda mais rpido. A Microsoft aprimorou a implementao do SSL para fornecer desempenho e escalabilidade ainda maiores. Objeto de Certificao Remota No IIS 5.0, os administradores no podiam administrar certificados SSL remotamente porque o provedor de servios criptogrficos e armazenamento certificado no era remoto. Considerando que os clientes controlam centenas ou at alguns milhares de servidores IIS com certificados SSL, eles precisam de uma forma de gerenciar certificados remotamente. Por isso, o CertObject agora permite que os clientes faam isso. Provedor de Servio Criptogrfico. Se o SSL estiver ativado, o desempenho cai significativamente porque a CPU precisa realizar diversas operaes de criptografia intensas. Por isso, agora existem placas aceleradoras baseadas em hardware que permitem extrair dados dessas criptografias. Os Provedores de Servios Criptogrficos podem inserir seus prprios fornecedores de API de criptografia no sistema. Com o IIS 6.0, fcil selecionar um provedor de criptografia API de terceiros.
3.6. Autorizao e autenticao

Se a autenticao faz a pergunta "Quem voc?", a autorizao pergunta "O que voc pode fazer?". A autorizao permitir ou negar a um usurio o direito de realizar determinada operao ou tarefa. O Windows Server 2003 integra o .NET Passport como mecanismo para a autenticao do IIS 6.0. O IIS 6.0 amplia o uso de um novo framework de autorizao fornecido com o Windows Server 2003. Alm disso, os aplicativos da Web podem utilizar a autorizao de URL junto com o Gerenciador de Autorizaes para controlar o acesso. Integrao do .NET Passport com o IIS 6.0 A integrao do .NET Passport com o IIS 6.0 proporciona servios de autenticao .NET Passport no servidor da Web. O .NET Passport 2.0 utiliza as interfaces de aplicativos fornecidas por componentes padres Passport, por exemplo, o Secure Sockets Layer (SSL) Encryption, Redirecionamentos de HTTP e cookies. Os administradores podem colocar seus sites e aplicativos da Web disposio da base .NET Passport inteira, que engloba aproximadamente 150.000.000 usurios, sem precisar administrar contas pblicas, por exemplo, quanto expirao ou ao fornecimento de senhas. Depois de autenticar um usurio com a .NET Passport Unique ID (PUID), possvel mapear uma conta no Microsoft Active Directory - se esse recurso estiver configurado para seus sites da Web. O token criado pela Local Security Authority (LSA) para o usurio e o sistema do IIS 6.0 para a solicitao da HTTP. Para obter mais informaes sobre a segurana no IIS 6.0: http://www.microsoft.com/windowsserver2003/techinfo/overview/iisenhance.mspx
Captulo 7 | Pgina 4 | 4. Exerccio 1: Instalar o IIS 6.0 no Windows Server 2003

Para poder realizar este exerccio, voc ter que instalar o Windows Server 2003. Para instalar o IIS 6.0 no Windows Server 2003: 1. 2. 3. 4. 5. 6. 7. 8. No Painel de Controle, clique duas vezes em Adicionar ou Remover Programas. Clique em Componentes do Windows. Selecione Servidor de Aplicativos e clique em Detalhes. Selecione a caixa Internet Information Services. Insira o CD do Windows Server 2003, quando solicitado. Faa um teste depois de finalizado o processo de instalao. Abra o Internet Explorer e escreva http://localhost. Verifique a exibio da pgina de incio do IIS 6.0.
Para obter mais informaes sobre a instalao: http://support.microsoft.com/default.aspx?scid=kb;en-us;323384 http://support.microsoft.com/default.aspx?scid=kb;en-us;309506
Captulo 8 Segurana: Novas funcionalidades no Windows Server 2003

Neste captulo, voc assimilar conhecimentos sobre aprimoramentos de segurana introduzidos no Windows Server 2003. Ao concluir este captulo, voc poder: Descrever as funcionalidades de segurana Implementar e verificar as funcionalidades de segurana Nota: Considerando a quantidade de informaes sobre temas referentes segurana e como este captulo um resumo das novas funcionalidades, sugerimos que sejam revistos os conhecimentos adquiridos no Windows 2000 e tambm as publicaes do Technet. Se voc quiser receber o boletim de segurana da Microsoft, registre-se no endereo abaixo. O boletim gratuito e ser de grande utilidade para suas tarefas dirias. http://register.microsoft.com/subscription/subscribeme.asp?id=166
1. Introduo
As empresas ampliaram suas redes LAN tradicionais com uma combinao de sites da Internet, intranets e extranets. Conseqentemente, agora mais importante do que nunca garantir uma maior segurana nos sistemas. Para proporcionar um ambiente de informtica seguro, o sistema operacional Windows Server 2003 traz vrios recursos novos e importantes de segurana em relao aos do Windows 2000 Server.
Captulo 8 | Pgina 2 | 1.1. Informtica de confiana

Os vrus fazem parte da nossa realidade, por isso, a manuteno da segurana do software um desafio constante. Para fazer frente a esse desafio, a Microsoft transformou a computao confivel em uma iniciativa chave para todos os seus produtos. A Computao Confivel um marca para o desenvolvimento de dispositivos baseados em equipamentos e software seguros e confiveis, como os dispositivos e os equipamentos domsticos que ns utilizamos diariamente. Embora atualmente no exista nenhuma plataforma de computao totalmente confivel, o novo design bsico do Windows Server 2003 um passo slido para transformar esse conceito em realidade.
1.2. Linguagem comum em tempo de execuo

O mecanismo do software de linguagem comum em tempo de Server 2003 que melhora a confiabilidade e facilita a criao mesma forma, tambm so reduzidos os erros e furos de programao, possibilitando a reduo das vulnerabilidades que execuo um elemento chave do Windows de um ambiente seguro de informtica. Da segurana causados por erros comuns de podem ser exploradas por intrusos.
A linguagem comum em tempo de execuo permite que os aplicativos sejam executados sem erros e, por sua vez, verifica se eles possuem permisses de segurana adequadas, garantindo que o cdigo realize exclusivamente as operaes autorizadas. Isso feito testando-se os seguintes aspectos: a localizao de onde o cdigo foi obtido por download ou instalado, se o cdigo tem uma assinatura digital de desenvolvedor confivel e se foi alterado aps a sua assinatura digital.
1.3. Vantagens
O Windows Server 2003 fornece uma plataforma mais segura e econmica para a realizao de atividades de empresas. Vantagem Diminuio de custos Implementao de padres abertos Descrio Engloba processos administrativos de segurana simplificados, como listas de controle de acesso e o administrador de credenciais. O protocolo IEEE 802.1X facilita a segurana das LANs sem fio frente ao risco de espionagem em um ambiente empresarial. Os recursos de segurana, como o sistema de arquivos criptografados (EFS), os servios de certificado e a inscrio automtica de cartes inteligentes, facilitam a segurana de uma ampla gama de dispositivos. O EFS a tecnologia bsica para codificar e decodificar arquivos armazenados em volumes NTFS. Somente o usurio que criptografa um arquivo protegido pode abri-lo e trabalhar com ele. Os servios de certificado so parte do sistema operacional bsico que permite que uma empresa atue como entidade emissora de certificados (CA) e emita e administre certificados digitais. A inscrio automtica de cartes inteligentes e os recursos de entidade de registro automtico proporcionam segurana aos usurios corporativos, adicionando mais um nvel de autenticao. Isso acrescentado aos processos de segurana simplificados, em organizaes onde h grande preocupao com segurana.
Proteo para equipamentos mveis e outros novos dispositivos
1.4. Aprimoramentos e novos recursos

A famlia do Windows Server 2003 traz os seguintes recursos: Uma plataforma mais segura para realizar atividades corporativas A melhor plataforma para a infra-estrutura de chaves pblicas Uma extenso segura de suas atividades corporativas na Internet
Uma plataforma mais segura para realizar atividades corporativas O Windows Server 2003 oferece diversos recursos novos e aprimorados combinados para criar uma plataforma mais segura para realizar atividades corporativas. Caracterstica Descrio O Windows Server 2003 proporciona segurana na Internet com uso de um servidor de segurana baseado em software chamado Firewall de Conexo Internet (ICF). O ICF proporciona proteo s mquinas conectadas diretamente Internet ou s mquinas localizadas por trs de uma mquina de host de conexo compartilhada Internet (ICS) e que execute um ICF. O Servidor de autenticao da Internet (IAS) um servidor RADIUS que administra a autorizao e a autenticao de usurios. Ele tambm administra conexes com a rede atravs de diversas tecnologias de conectividade, como o acesso por discagem s redes privadas virtuais (VPN) e aos servidores de segurana. O Windows Server 2003 permite a autenticao e a autorizao de usurios e mquinas conectados a redes LAN Ethernet e sem fio. Isso possvel devido compatibilidade do Windows Server 2003 com os protocolos IEEE 802.1X. (Os padres IEEE 802 definem mtodos para obter acesso a redes LAN e control-las.) O Windows Server 2003 permite que um administrador de sistemas utilize a exigncia de diretivas ou execuo para impedir que programas executveis sejam executados em uma mquina. Por exemplo, aplicativos especficos de mbito corporativo podem ter sua execuo restringida, a menos que sejam executados de um diretrio especfico. As diretivas de restrio de software tambm podem ser configuradas para evitar a execuo de cdigo mal intencionado ou infectado por vrus.
Firewall de conexo Internet
Servidor IAS/RADIUS seguro
Redes LAN Ethernet e sem fios seguras
Diretivas de Restrio de Software
O Windows Server 2003 proporciona segurana para redes LAN Ethernet e sem fio baseado nas especificaes IEEE 802.11 e compatveis com os certificados pblicos implementados atravs de inscrio automtica ou Aprimoramentos de segurana para servidores cartes inteligentes. Esses aprimoramentos na segurana permitem o em redes LAN Ethernet e controle do acesso a redes Ethernet em lugares pblicos, como centros comerciais ou aeroportos. A autenticao da mquina tambm permitida sem fio em um ambiente operacional de protocolo de autenticao extensvel (EAP). A segurana das informaes um problema de vital importncia para as organizaes de todo o mundo. Para aumentar a segurana dos servidores da Web, os Servios do Internet Information Server 6.0 (IIS 6.0) so configurados para proporcionar mxima segurana. A sua instalao padro o estado "bloqueado". Os recursos de segurana avanados do IIS 6.0 incluem: servios criptogrficos que podem ser selecionados, autenticao de sntese avanada e controle configurvel da obteno de acesso aos processos. Esses so apenas alguns dos vrios recursos de segurana que permitem realizar negcios de forma segura na Web. Agora possvel criptografar os arquivos offline. Esse um aprimoramento em relao ao Windows 2000, onde os arquivos no cache no poderiam ser criptografados. Essa caracterstica compatvel com a codificao e decodificao de todos os bancos de dados criptografados offline. So necessrios privilgios administrativos para configurar a forma como os arquivos offline so criptografados. Este mdulo criptogrfico executado como um controlador no modo de ncleo e implementa algoritmos criptogrficos aprovados pelo Padro Federal de Processamento de Informaes (FIPS). Entre os algoritmos
Segurana ampliada para servidores Web
Criptografia dos arquivos offline
Compatvel com o FIPS, modo de ncleo, mdulo criptogrfico
esto includos: SHA-1, DES, 3DES e um gerador de nmero aleatrio aprovado. O mdulo criptogrfico, compatvel com o FIPS de modo de ncleo, permite que as organizaes pblicas implementem Segurana de Protocolo de Internet (IPSec) compatvel com o FIPS 140-1. Para isso, preciso utilizar: Servidor e cliente de VPN L2TP (Protocolo de encapsulamento da camada 2)/IPSec. Encapsulamentos L2TP/IPSec para conexes VPN entre portas de enlace. Encapsulamentos IPSec para conexes VPN entre portas de enlace. Trfego da rede ponto a ponto, criptografado atravs de IPSec, entre cliente e servidor, e de servidor para servidor. Novo protocolo de autenticao extensvel protegido O novo protocolo de autenticao extensvel protegido (PEAP) compatvel com o protocolo de autenticao extensvel (EAP), junto com a RFC 2617 e a RFC 2222. Esste protocolo aumenta a segurana em redes sem fio. O administrador de credenciais do Windows Server 2003 oferece um depsito seguro para as credenciais do usurio, incluindo senhas e certificados X.509. Essas credenciais permitem um incio de sesso nico para os usurios, incluindo os usurios mveis. Uma API de Win32 encontra-se disponvel para permitir que os aplicativos baseados no cliente e no servidor obtenham credenciais de usurio. No Windows Server 2003, o cache da sesso SSL pode ser compartilhado em mltiplos processos. Isso reduz o nmero de vezes que um usurio precisa retornar para ser autenticado nos aplicativos e tambm os ciclos de CPU no servidor de aplicativos.
Administrador de credenciais
Aprimoramentos de autenticao de clientes SSL
A melhor plataforma para a infra-estrutura de chaves pblicas O Windows Server 2003 facilita a implementao de uma infra-estrutura de chaves pblicas, junto com tecnologias associadas com cartes inteligentes. Caracterstica Descrio Esses novos recursos importantes reduzem de forma drstica a quantidade de recursos necessrios para administrar certificados X.509. O Windows Server 2003 possibilita a inscrio e a implementao automtica de certificados para os usurios. Da mesma forma, quando o certificado expira, possvel renov-lo automaticamente. A renovao e a inscrio automticas de certificados facilitam a implementao mais rpida de cartes inteligentes e aumentam a segurana das conexes sem fios (IEEE 802.1X) com expirao e renovao automtica de certificados. A compatibilidade com a assinatura digital permite que os pacotes e os contineres externos do Windows Installer obtenham uma assinatura digital. Isso proporciona aos administradores de tecnologias de informao, pacotes do Windows Installer mais seguros, o que de extrema importncia se o pacote foi enviado atravs da Internet. O servidor de certificados includo no Windows Server 2003 agora compatvel com CRLs delta. Uma CRL faz com que a publicao de certificados X.509 revogados seja mais eficaz e facilita que um usurio possa recuperar um certificado novo. E, como agora possvel especificar a localizao na qual est armazenada a CRL, fica mais fcil mov-la para atender s necessidades de segurana e especficas da empresa.
Renovao e inscrio automtica de certificados
Compatibilidade do Windows Installer com a assinatura digital
Aprimoramentos das listas de certificados revogados (CRL)
Extenso segura das atividades corporativas na Internet Uma empresa precisa estabelecer uma forma segura de comunicao com seus funcionrios, clientes e parceiros que no estejam dentro da sua intranet. O Windows Server 2003 facilita esse aspecto ampliando de forma segura a obteno de acesso rede para pessoas e outras empresas que precisem trabalhar com dados ou recursos de usurio. Caracterstica Descrio possvel atribuir uma identidade de Passport a uma identidade do Active Directory no Windows Server 2003. Por exemplo, a associao de uma identidade de Passport com uma identidade do Active Directory permite que uma empresa parceira possa ser autorizada a obter acesso aos recursos atravs do IIS, em vez de precisar iniciar a sesso diretamente em uma rede do Windows. A integrao com o Passport possibilita um incio de sesso nico, atravs do uso do IIS. Quando se trabalha com um parceiro ou uma empresa que implementou uma floresta do Active Directory, possvel utilizar o Windows Server 2003 para configurar uma relao de confiana entre as florestas do parceiro ou da empresa e suas prprias florestas. Isto lhe permite confiar de forma explcita em alguns usurios, em grupos ou em todos os que pertenam outra floresta. Tambm possvel estabelecer permisses por usurio ou grupos que residam em outra floresta. As relaes de confiana entre florestas facilitam a realizao de negcios com outras empresas atravs do Active Directory.
Integrao com Passport
Relaes de confiana entre florestas
2. Personal Firewall (ICF)

O Firewall de Conexo com a Internet (ICF) uma nova caracterstica no Windows Server 2003, que lhe permite proteger sua conexo Internet. Utilizando essa ferramenta, voc pode determinar que servios estaro disponveis da Internet para o servidor que executa o Windows Server 2003 e que servios estaro disponveis do seu servidor para a Internet. Esse novo recurso permite proteger suas conexes, sejam as que utilizam adaptadores de rede ou as que utilizam conexes de discagem direta. Nota: Voc pode utilizar o ICF para proteger conexes exclusivamente no servidor que est executando o Windows Server 2003. Se for preciso permitir acesso seguro Internet para clientes internos, uma implementao do Internet Security and Acceleration Server 2000 (Servidor ISA) dever ser analisada.
Para obter mais informaes sobre o ICF: http://support.microsoft.com/default.aspx?scid=kb;en-us;317530
2.1. Exerccio 1: Ativar o ICF

Para poder fazer esse exerccio, voc precisa ter duas instalaes do Windows Server 2003. 1. A partir do menu Iniciar, clique em Conexes de Rede. 2. Selecione o adaptador de rede, clique com o boto direito do mouse e depois clique em Propriedades. 3. Clique na guia Avanado. 4. Selecione a caixa Firewall de Conexo com a Internet. 5. Clique em OK. Para testar a configurao: A partir do computador B, teste uma conexo do tipo \\nomedoservidor Verifique se a conexo pode ser estabelecida.
Captulo 8 | Pgina 1 | 3. Usar Modelos de Segurana para proteger os Computadores
Voc pode usar Modelos de Segurana para criar e alterar Diretivas de Segurana que atendam s necessidades da sua empresa. As Diretivas de Segurana podem ser implementadas de formas diferentes. O mtodo que voc usar depende do tamanho e das necessidades de segurana da organizao. Dessa forma, as pequenas empresas, que no possuem uma implementao do Active Directory, tero que configurar a segurana manualmente, enquanto as grandes empresas exigiro nveis de segurana elevados. Para elas, aconselhvel usar os Objetos de Diretiva de Grupos (GPOS) para instalar diretivas de segurana.
3.1. O que uma Diretiva de Segurana?

As Diretivas de Segurana so uma combinao de configuraes de segurana que afetam a segurana de um computador. Voc pode usar a Diretiva de Segurana para estabelecer: Diretivas de Conta e Diretivas Locais no computador local e no Active Directory. Os Modelos de Segurana a seguir so um conjunto de configuraes de segurana predeterminadas. Voc pode usar o Snap-in de Modelos de Segurana para modificar os Modelos predefinidos ou criar novos modelos que atendam s suas necessidades. Portanto, na criao ou modificao, possvel utilizar as seguintes ferramentas para aplicar as configuraes de segurana: o Snap-in de Configurao e Anlise de Segurana, a ferramenta de linha de comando Secedit ou a Diretiva de Segurana Local / Diretiva de Grupo para importar e exportar Modelos de Segurana. O Windows Server 2003 fornece os seguintes modelos predefinidos: Segurana Padro (Setup Security.inf) Esse modelo usado durante a instalao do sistema operacional e representa a configurao bsica aplicada durante a instalao, incluindo permisses de arquivos para a Raiz da Unidade do Sistema.
Segurana do Controlador de Domnio (DC security.inf) Esse Modelo usado quando um servidor promovido a controlador de domnio. Contm configuraes de segurana necessrias em arquivos, registro e servios. Voc pode aplicar esse modelo usando o snap-in Security Configuration and Analysis ou com a ferramenta Secedit. Compatvel (Compatws.inf) Este modelo aplica configuraes de segurana necessrias para todos os aplicativos que no foram certificados pelo Programa de Logotipo do Windows. Seguro (Secure*.inf) Esse Modelo aplica configuraes de segurana de alto nvel, afetando a compatibilidade dos aplicativos. Por exemplo, Senha Mais Slida, Bloqueio, Configuraes de Auditoria. Altamente Seguro (Hisec*.inf) Este modelo aplica as configuraes de segurana mais elevadas possveis. Para eles, so impostas restries aos nveis de criptografia e assinatura de pacotes de dados em canais seguros e entre clientes e servidores nos pacotes Server Message Block (SMB). Obtenha mais informaes sobre secedit: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=true
3.2. O que a ferramenta Security Configuration and Analysis?
A ferramenta Security Configuration and Analysis compara a configurao de segurana do computador local e uma configurao alternativa que importada do modelo (arquivo .inf ) e armazenada em um banco de dados separado (arquivo .sdb). Quando a anlise concluda, voc pode analisar os ajustes da segurana na rvore do console para ver os resultados. As discrepncias esto marcadas com uma sinalizao vermelha, as consistncias esto marcadas com uma marca de seleo verde e os ajustes que no esto marcados com uma sinalizao vermelha ou uma marca verde no podem ser configurados no banco de dados.
Depois de analisar os resultados usando a ferramenta Security Configuration and Analysis, voc pode realizar vrias tarefas, incluindo: Eliminar as discrepncias entre os ajustes nos bancos de dados e os ajustes atuais do computador. Para configurar ajustes do banco de dados, clique na configurao do painel de detalhes. Importar outros modelos, combinando seus ajustes e substituindo ajustes onde houver conflito. Para importar outro modelo, clique com o boto direito em Security Configuration and Analysis e depois clique em Import Template. Exportar os ajustes atuais do banco de dados para um modelo. Para importar outro modelo, clique com o boto direito em Security Configuration and Analysis e depois clique em Export Template. Para mais informaes sobre Ferramentas de Segurana: Informaes adicionais sobre segurana: Introduo Tcnica Segurana. http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx Guia de Segurana no Windows Server 2003. http://www.microsoft.com/security/guidance/prodtech/WindowsServer2003.mspx IPsec no Windows Server 2003. http://support.microsoft.com/default.aspx?scid=kb;en-us;323342 http://support.microsoft.com/default.aspx?scid=kb;en-us;324269 Criptografia de Chave Pblica http://support.microsoft.com/default.aspx?scid=kb;en-us;281557 http://support.microsoft.com/default.aspx?scid=kb;en-us;290760

Windows Server 2003

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows Server 2003

Uploaded by

Copyright:

Available Formats

Captulo 1 | Pgina 1 |

Captulo 1 Introduo ao Windows Server 2003

1.1. Recuperao Automtica do Sistema

1.2. Infra-estrutura Instantnea (Duplicao da Mdia do servio de diretrio)

1.3. Cpia de Sombra do Volume

1.4. Sistema de Arquivos Criptografados (EFS)

1.5. Reverso de Driver

1.6. Active Directory

1.7. Reiniciar Controlador de eventos do Reason Collector

1.8. RIS "Servios de Instalao Remota"

1.9. IIS 6.0 - Internet Information Services 6.0

Captulo 1 | Pgina 9 | 1.11. Requisitos

Velocidade recomendada da CPU Mnimo de RAM RAM Recomendvel

Suporte de Multiprocessador SMP Espao Mnimo no Disco

1,5 Gb para arquitetura x86 2,0 Gb para arquitetura Itanium

1,5 Gb para arquitetura x86 2,0 Gb para arquitetura Itanium

Captulo 1 | Pgina 10 | 2. Funcionalidades

2.1. Controlador de Domnio (Active Directory)

2.2. Servidor de Arquivos

2.3. Servidor de Impresso

Captulo 1 | Pgina 11 | 2.4. Servidor de DNS

2.5. Servidor de Aplicativos

2.6. Terminal Server

2.7. A ferramenta Gerenciar o Servidor

Captulo 2 Instalao e Migrao

Captulo 2 | Pgina 2 | 2. Instalao

2.1. Introduo instalao do Windows Server 2003

Para obter informaes sobre compatibilidade de hardware: http://www.microsoft.com /whdc/hcl/default.mspx

2.2. Selecionar Sistema de Arquivos

2.3.2. Modificaes no Licenciamento do Windows Server 2003

Captulo 2 | Pgina 5 | 2.4. Definir grupos de trabalho ou domnios

2.4.2. Grupo de Trabalho

Captulo 2 | Pgina 6 | 2.5. Lista de Verificao

2.6. Instalar a partir de CDs

2.6.1. Funcionamento do Programa de Instalao

Captulo 2 | Pgina 8 | 2.6.2. Iniciar o Assistente de instalao do Windows Server 2003

2.6.3. Instalao de Componentes de Rede

Captulo 2 | Pgina 9 | 2.6.4. Fim da instalao

2.6.5. Exerccio 1 2.6.5.1. Objetivos

Captulo 2 | Pgina 10 | Exerccio 1

Captulo 2 | Pgina 11 | 2.7. Instalar a partir da rede

Captulo 2 | Pgina 12 | 2.8. Usar Servios de Instalao Remota (RIS)

Captulo 2 | Pgina 13 | 2.8.1. Requisitos para o Servidor RIS

2.9. Usar a System Preparation Tool (sysprep)

Obtenha informaes sobre o Sysprep Verso 2.0 em: http://support.microsoft.com/default.aspx?scid=kb;en-us;323438

Captulo 2 | Pgina 15 | 2.10. Ativar a Cpia do Windows Server 2003

3. Migrao do Windows NT 4.0

3.1. Migrao dos Servidores Membros

Captulo 2 | Pgina 17 | 3.2. Migrao de Domnios

Captulo 2 | Pgina 18 | 3.2.1. Terminologias

3.2.2. Migrao no Local

Captulo 2 | Pgina 19 | 3.2.3. Reestruturao do Domnio

4. Migrao do Windows 2000

4.1. Migrao dos Servidores Membros do Windows 2000

Captulo 2 | Pgina 20 | 4.2. Migrao de Domnios

O processo a ser finalizado inclui:

Captulo 2 | Pgina 21 | 4.2.1. Exerccio 2

Captulo 3 Instalao e Configurao de Servios DHCP, DNS e WINS

2. DHCP - Dynamic Host Configuration Protocol

2.1. Por que utilizar o DHCP?

Captulo 3 | Pgina 2 | 2.1.1. Definio

2.1.2. Por que utilizar o DHCP?

2.1.3. Configurao manual do TCP/IP

2.1.4. Configurao automtica do TCP/IP