Escolar Documentos
Profissional Documentos
Cultura Documentos
Windows 2003 Guia Completo
Windows 2003 Guia Completo
Captulo 1
Introduo ao
Windows Server 2003
Bem-vindo nova famlia de Servidores da Microsoft!
Durante este curso voc aprender sobre as novas tecnologias 2003 e como aplic-las.
As novas caractersticas do Windows Server 2003 fazem com que ele seja, at o momento, o sistema operacional
mais estvel, robusto, escalvel e principalmente mais preparado para melhorar o desempenho e os servios de
servidores que executam diferentes funes: Aplicativos, Servios da Web, Servios de Diretrio, Servios de Arquivos
e Impresso e Servios de Infra-estrutura. A otimizao de todas essas caractersticas, sem dvida, tambm faz da
famlia Windows Server 2003 a plataforma mais recomendvel para as empresas, reduzindo de forma notvel
aspectos como o TCO (Custo total de propriedade).
Um pouco de histria
Desde o lanamento dos sistemas operacionais de redes, passando pelo Windows NT, os sistemas foram se
aperfeioando medida que foram surgindo novas necessidades nas empresas. Desde as conhecidas diferenas
introduzidas pelo Windows 2000 ao seu antecessor, o Windows NT 4.0, ns agora conseguimos chegar a um sistema
operacional ideal para atender s exigncias do mercado de informtica, onde j foram implementados grandes
aprimoramentos em relao ao seu antecessor, o Windows 2000.
O Windows Server 2003 baseia-se nas experincias do mercado consumidor de informtica e, por isso, encontramos
nele diversos recursos que procurvamos, sempre nos perguntando: possvel fazer isso? .... e aquilo? Essas
perguntas que ficavam sem respostas a partir de agora podem ser atendidas com o Windows Server 2003.
Neste mdulo, faremos uma introduo das novas caractersticas e funcionalidades da famlia de servidores Windows
Server 2003. Ao finalizar este captulo, voc dever ter os conhecimentos necessrios para identificar funcionalidades,
caractersticas e requisitos dos diferentes sistemas operacionais dessa famlia.
1. Novas Caractersticas
Armazenamento
Active Directory
Instalao
Servios Web
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 2 |
Para esse processo, preciso ter o disquete e a mdia de ASR que contm os arquivos de backup. O sistema
operacional ser restaurado para o mesmo estado em que estava no momento do Backup da ASR, permitindo
a inicializao do seu sistema.
Para criar um conjunto de ASR, visite o seguinte link no TechNet (ingls):
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/enus/recovery_automatic_sr.asp
Nota: Durante o processo de Restaurao, a Partio do Sistema ser formatada eliminando todos os dados, e
o backup ser restaurado ao seu local de origem. Todos os arquivos modificados aps o momento do backup
sero perdidos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 3 |
Se quiser obter mais informaes sobre esse assunto, recomendamos que voc consulte o seguinte link do
TechNet (ingls):
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/topnode_snapshot.asp?frame=true
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 4 |
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/devmgr_reinstall_old_driver.asp?frame=true
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 5 |
Gerenciamento de Sites
O gerenciamento de sites inclui um novo algoritmo do Gerador de Topologia entre Sites (ISTG), aumentando a
limitao do nmero mximo de sites de 500 para 5000 sites (comprovado em laboratrio 3000).
Nota: Todas essas caractersticas so explicadas em mais detalhes no Captulo 4 "Active Directory".
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 6 |
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/enus/sag_RIS_Default_topnode.asp?frame=true
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 7 |
O IIS 6.0 oferece integrao com o ASP.NET, o Microsoft .NET Framework e os Servios da Web em XML,
tornando-se a plataforma especialmente projetada para aplicaes .Net.
Segurana
O IIS 6.0 "Locked-down server By default", em outras palavras, est protegido na sua instalao,
exigindo que o administrador habilite as funes especiais e necessrias para executar o site na Web. Sem
isso, ele s pode oferecer contedo esttico e extenses dinmicas desabilitadas. Isso faz com que o IIS 6.0
seja o servidor de Web mais seguro.
1.10. Verses
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 8 |
O Windows Server 2003 apresenta quatro verses com funcionalidades diferentes que esto descritas no
quadro seguinte:
Para servios da Web e host, esta verso oferece uma
plataforma para desenvolvimento e instalao rpida de
servios e aplicativos da Web. Apenas na verso OEM
Server
Web Server
Enterprise Server
Datacenter
CPU /
RAM
2 CPU
4 GB
2 CPU
2GB
8 CPU
32 GB (x86)
64 GB (64 bits)
8-64 CPU
64 GB (x86)
512 GB (64 bits)
Recursos
Novos
Recursos
NLBS
Firewall
Pessoal
Pode
executar:
IIS 6.0
NLBS
DNS, DHCP,
WINS
Limitaes:
Sem DC Promo
Sem aplicaes
Sem Apl TS
Modo
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 9 |
1.11. Requisitos
No quadro a seguir, temos os requisitos mnimos e recomendados para cada verso do Windows Server 2003.
Standard Edition
Enterprise Edition
Datacenter Edition
Web Edition
Velocidade mnima
da CPU
133 MHz
133 MHz
Velocidade
recomendada da
CPU
550 MHz
Mnimo de RAM
128 MB
RAM Recomendvel
256 MB
4 GB
At 8
Mnimo de 8 necessrios
733 MHz
733 MHz
550 MHz
128 MB
512 MB
128 MB
256 MB
1 GB
256 MB
Mximo de RAM
Suporte de
Multiprocessador
SMP
At 4
Espao Mnimo no
Disco
1,5 GB
At 2
Mximo de 64
1,5 Gb para arquitetura x86
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
1,5 GB
Captulo 1 | Pgina 10 |
2. Funcionalidades
Os servidores desempenham vrios papis no ambiente cliente/servidor de uma rede. Alguns servidores so
configurados para fornecer autenticao e outros para outros usos. Muitos tambm fornecem servios de rede que
permitem que os usurios se comuniquem ou localizem outros servidores e recursos na rede. Como administrador de
sistemas, voc dever conhecer os principais tipos de servidores e que funes que eles realizam na sua rede.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 1 | Pgina 11 |
2.4. Servidor de DNS
O Domain Name System (DNS) um servio padro da Internet e de TCP/IP. O servio de DNS permite que os
computadores clientes coloquem em sua rede e solucionem nomes de domnio DNS. Um computador
configurado para fornecer servios de DNS em uma rede um servidor de DNS, que necessrio para colocar
em funcionamento o Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 1 |
Captulo 2
Instalao e Migrao
1. Introduo
Durante este captulo, voc conhecer os mtodos de instalao do Windows Server 2003 e tambm os mtodos de
migrao a partir de outras verses.
Para executar os exerccios contidos nesta unidade, voc dever ter uma cpia de avaliao do Windows Server 2003
que pode ser encontrada em:
http://www.microsoft.com/windowsserver2003/evaluation/trial/default.mspx
Tambm ser necessrio ter o hardware apropriado, que deve estar de acordo com os requisitos para instalao do
Windows Server 2003 descritos no Captulo 1. Se no tiver o hardware apropriado sua disposio, ns sugerimos
que voc utilize o software de emulao de Computadores Virtuais, que pode ser obtido em:
http://www.microsoft.com/windowsxp/virtualpc/previous/default.asp
Este software permite criar Computadores Virtuais dentro do seu sistema e atribu-los recursos de disco e memria,
ou seja, um outro computador dentro do seu computador.
Lembre-se de que esta unidade tambm possui exerccios de migrao do Windows NT Server 4.0. Para esta verso e
o Windows 2000 Server, ser necessrio ter um CD de avaliao desses produtos.
Ao finalizar este captulo, voc poder:
Preparar-se para uma instalao do Windows Server 2003
Instalar o Windows Server 2003 de um CD
Instalar o Windows Server 2003 da rede
Solucionar problemas de instalao
Examinar a ativao do Windows Server 2003
Descrever como automatizar instalaes do Windows Server 2003
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 2 |
2. Instalao
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 3 |
Assistente para instalao do Windows Server 2003
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 4 |
FAT e FAT32
Normalmente, voc no utilizaria FAT ou FAT32 para formatar a partio do sistema, a menos que precisasse
de uma inicializao dupla com o Windows Server 2003 e outro sistema operacional mais antigo. FAT e FAT32
no oferecem os mesmos recursos de segurana que o NTFS. Se voc precisar dos recursos do NTFS,
particularmente de segurana para arquivos e pastas, recomendvel usar o sistema NTFS.
Nota: Se optar por formatar a partio usando o FAT, a instalao formata automaticamente as parties
superiores a 2 GB em FAT32.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 5 |
2.4. Definir grupos de trabalho ou domnios
Durante a instalao, voc deve escolher um domnio ou um grupo de trabalho como grupo de segurana
para o computador.
2.4.1. Domnio
Nota: Para obter detalhes tericos referentes ao Active Directoy, consulte o mdulo 4 deste curso.
Durante a instalao, voc poder adicionar o computador a um domnio existente como servidor
membro. Para isso, preciso:
Um nome de domnio. Um exemplo de um nome de domnio DNS vlido seria microsoft.com.
Uma conta de computador. Para unir um computador a um domnio, preciso ter uma conta para esse
computador no domnio. Voc pode criar a conta antes da instalao ou, se tiver privilgios
administrativos no domnio, pode criar essa conta durante a instalao. Se a conta do computador for
criada durante a instalao, o programa de instalao lhe pedir para inserir ID de usurio e senha com
autorizao para adicionar contas de computadores ao domnio.
Um controlador de domnio disponvel e um servidor que executa o servio do Servidor DNS. Pelo
menos um controlador de domnio e um servidor DNS devem estar on-line no momento em que o
computador adicionado ao domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 6 |
2.5. Lista de Verificao
Antes de instalar o Windows Server 2003, complete as tarefas a seguir:
Verifique se todos os dispositivos de hardware esto na lista HCL.
Verifique se os componentes atendem aos requisitos mnimos de hardware.
Selecione a partio do sistema de arquivos, onde instalar o Windows Server 2003,
a menos que voc necessite de uma configurao de inicializao dupla usando o NTFS.
Determine se voc usa Por Dispositivo ou Por Usurio como modo de licenciamento.
Determine o nome do domnio ao qual voc quer adicionar ou o grupo de trabalho que ser criado. Se for
usar um domnio, o nome estar no formato DNS: servidor.domnio (onde servidor o nome do seu
computador e domnio o nome do domnio ao qual o seu computador pertence). Se for adicionar a um grupo
de trabalho, o nome estar no formato NetBIOS.
Crie uma conta de computador no domnio, usando o nome do computador que voc est instalando. Embora
um administrador de domnio possa criar a conta do computador antes da instalao, voc tambm pode criar
uma conta de computador durante a instalao se tiver privilgios administrativos no domnio. Por padro, os
usurios podem criar at 10 contas de computadores neste domnio.
Determine a senha para a conta de Administrador local.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 7 |
Para instalar o Windows Server 2003 a partir do CD, inicie o computador com o CD ou os disquetes e siga as
instrues dos diversos Assistentes. Embora o processo de instalao no seja notavelmente diferente do
Windows NT 4.0 ou do Windows 2000, ter experincia com o processo de instalao do Windows Server 2003
o ajudar a executar esse processo com maior eficcia.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 8 |
2.6.2. Iniciar o Assistente de instalao do Windows Server 2003
Depois de instalar os recursos de segurana e configurar os dispositivos, o Assistente solicitar as
seguintes informaes:
Configurao Regional
Nome e organizao
Chave de produto (de 25 caracteres)
Modo de Licenciamento
Nome do computador e senha da conta do Administrador local.
Componentes opcionais do Windows Server 2003.
A tabela a seguir descreve algumas das opes disponveis no Assistente.
Servios de Certificados. Permite criar e solicitar certificados digitais para a autenticao X.509.
Os certificados proporcionam meios comprovveis de identificar usurios em redes no seguras,
como a Internet.
Servios de Fax. Permite enviar e receber faxes a partir do seu computador.
Servios de Indexao. Permite fazer pesquisas dinmicas com texto completo nos dados
armazenados no computador ou na rede.
Filas de Mensagem Oferece suporte para aplicativos que enviam mensagens para as filas.Tambm
permite a comunicao de aplicativos atravs de redes heterogneas e com computadores que
podem estar temporariamente fora da linha.
Servios de Instalao Remota. Permite a instalao remota do Windows XP Professional, do
Windows 2000 e do Windows Server 2003 atravs de uma conexo de rede.
Armazenamento Remoto. Permite que o usurio utilize bibliotecas de fitas, como extenses de
volumes NTFS, movimentando dados automaticamente e atravs de fitas.
Terminal Server.Configura o computador para permitir que mltiplos usurios utilizem um ou mais
aplicativos remotamente. Tambm est disponvel durante a instalao, por exemplo, RIS e Servidor
de Aplicativos.
Licenciamento do Terminal Server.Configura o servidor como Servidor de Licenas do Terminal
Services e fornece licenas de cliente.
Atualizar Certificados Raiz Faz automaticamente o download da lista mais atual de certificados
raiz do Windows Update, se necessrio.
Windows Media Services Permite fazer streaming de contedo multimdia para usurios.
Depois que os componentes opcionais forem selecionados, o Assistente do Windows Server 2003 pedir
que voc ajuste a data e a hora, o que essencial para as operaes de replicao dos bancos de dados
do Windows Server 2003.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 9 |
2.6.4. Fim da instalao
Depois de instalar os componentes de rede, o programa de instalao termina da seguinte forma:
Copia os arquivos restantes; por exemplo, os acessrios e os BITMAPS
Aplica a configurao que voc especificou anteriormente
Salva a configurao no disco rgido local
Fecha os arquivos temporrios e reinicia o computador
Para mais informaes sobre a nova instalao:
http://support.microsoft.com/default.aspx?scid=kb;en-us;326218
2.6.5. Exerccio 1
2.6.5.1. Objetivos
Depois de terminar esse exerccio, voc ser capaz de instalar o Windows Server 2003 como
servidor membro de um grupo de trabalho.
2.6.5.2. Pr-requisitos
Antes de iniciar esse exerccio, voc dever ter um computador que atenda aos requisitos mnimos
de hardware para instalar o Windows Server 2003 ou o software Connectix Virtual PC para Windows.
Para terminar esse exerccio, ser preciso:
O CD do Windows Server 2003 Evaluation Edition.
O disquete do MS-DOS para inicializao (opcional). Se o seu computador estiver configurado para
inicializar a partir de CD-ROM, voc pode inicializar o Windows Server 2003 sem usar o disquete.
Informaes para instalao nos sistemas sem opo de inicializao a partir do CD-ROM:
http://support.microsoft.com/default.aspx?scid=kb;en-us;810562 (ingls)
Um nome de computador e um endereo IP
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 10 |
Exerccio 1
Instalao do Windows Server 2003
1.
2.
3.
4.
5.
6.
7.
8.
9.
10
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 11 |
2.7. Instalar a partir da rede
As instalaes a partir da rede funcionam da mesma forma que no Windows NT4.0 e no Windows 2000. No
entanto, h 3 requisitos para comear uma instalao a partir da rede:
Um Servidor de Distribuio que contenha arquivos da instalao i386. (Os computadores Itanium
usam a pasta ia64. Essas pastas esto no CD-ROM do Windows Server 2003).
Uma partio disponvel de 2Gb no computador.
Um cliente de rede para conexo ao Servidor de Distribuio.
Nota: O Microsoft Windows Preinstallation Environment (WinPE) permitir que um cliente conecte-se ao
Servidor de Distribuio. Obtenha informaes em:
http://www.microsoft.com/licensing/programs/sa/default.mspx
Os passos para a instalao so semelhantes aos do Windows NT 4.0 e do Windows 2000; a nica diferena
que preciso se conectar ao Servidor de Distribuio e executar o Winnt.exe. Durante o processo inicial, os
arquivos necessrios so copiados no disco local e, em seguida, o computador reiniciado. A partir desse
momento, o processo de instalao normal.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 12 |
2.8. Usar Servios de Instalao Remota (RIS)
Os Servios de Instalao Remota (RIS) permitem que computadores clientes conectem-se com um servidor
durante a fase inicial da inicializao e instalem remotamente o Windows 2000 (em todas as suas verses), o
Windows XP (32 e 64 bits) ou o Windows Server 2003 (em todas as suas verses). A instalao a partir da
rede um processo totalmente diferente porque realizada executando-se o Winnt.exe. Uma instalao
remota no exige que os usurios saibam onde esto localizados os arquivos de instalao ou as informaes a
fornecer ao programa de instalao.
O RIS permite configurar as opes da instalao. Por exemplo, voc poderia oferecer aos usurios uma
instalao mnima sem opes e outra instalao com opes adicionais. Por padro, todas as imagens esto
disponveis para todos os usurios. No entanto, voc pode restringir as imagens que esto disponveis para os
usurios utilizando permisses NTFS no arquivo de resposta. Os passos seguintes permitem determinar que
imagens um usurio pode selecionar e fazer download.
1.
2.
3.
4.
5.
Instale o RIS.
Configure os componentes opcionais que voc planeja instalar no computador do cliente.
As imagens que so armazenadas no servidor RIS.
O cliente conecta-se usando o Pre-Boot Execution Environment (PXE)
no adaptador da rede ou usando o "Network Boot Disk" criado pelo RIS.
O sistema operacional instalado no cliente a partir do servidor RIS com pouca
ou nenhuma interveno de usurio.
Voc pode controlar as informaes exigidas pelo usurio, criando e usando scripts. Tambm possvel criar
scripts manualmente ou utilizando o Setup Manager Wizard.
Obtenha informaes sobre o Setup Manager:
http://support.microsoft.com/default.aspx?scid=kb;en-us;323438
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 13 |
2.8.1. Requisitos para o Servidor RIS
Active Directory
Servidor DHCP
Servidor DNS
Obtenha informaes sobre o Servidor RIS:
http://support.microsoft.com/default.aspx?scid=kb;en-us;325862
Se voc quiser instalar o Windows 2000, o Windows XP ou o Windows Server 2003 em vrios computadores
que possuam hardware idntico, um dos mtodos possveis utilizar a duplicao do disco. Criando uma
imagem de disco de uma instalao do Windows 2000, do Windows XP ou do Windows Server 2003 e
copiando essa imagem em diversos computadores de destino, voc economiza tempo na implementao do
Windows 2000, do Windows XP ou do Windows Server 2003.
Para instalar o Windows 2000, o Windows XP ou o Windows Server 2003 usando duplicao de disco, configure
um computador de referncia e duplique uma imagem do seu disco no servidor usando o Sysprep para
preparar o computador a ser duplicado. O processo de duplicao de disco consiste nos seguintes passos:
Instalar e configurar o sistema operacional no computador de referncia.
Instalar e configurar os aplicativos no computador de referncia.
Executar sysprep.exe no computador de referncia.
Tambm possvel executar o Setup Manager Wizard para criar o arquivo Sysprep.inf. O Sysprep.inf fornece
respostas, como, por exemplo, o nome do computador ao Mini-Setup que executado nos computadores de
destino. Alm disso, esse arquivo pode ser utilizado para especificar drivers especiais. O Setup Manager
Wizard cria uma pasta Sysprep na raiz do disco e coloca o arquivo Sysprep.inf nessa pasta. O Mini-Setup
verifica a pasta Sysprep procura desse arquivo para realizar a instalao do sistema operacional.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 14 |
Em seguida, desligue o computador de referncia e execute o software de duplicao do disco.
Coloque o disco duplicado no computador de destino.
Ligue o computador de destino. Um Mini-Setup ser executando imediatamente solicitando: Nome do
computador, senha do administrador local e chave de produto.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 15 |
2.10. Ativar a Cpia do Windows Server 2003
Devido pirataria e a outras formas de uso no autorizado, os consumidores nem sempre podem ter certeza
de que possuem uma cpia genuna do Windows Server 2003. por isso que a Microsoft desenvolveu para o
Windows Server 2003 a ferramenta "Ativao de Produto" que garante que todas as instalaes do seu
produto Windows Server 2003 tenham uma licena vlida.
Importante: Clientes que compram Contrato de Licenciamento por Volume no precisam ativar seus
produtos. Se no tiver um contrato de Licenciamento por Volume, voc tem 60 dias para ativar a instalao do
seu produto. Se esse perodo expirar e voc no tiver concludo a ativao, todos os recursos deixaro de
funcionar, com exceo da funo de ativao do produto. Depois de instalar o Windows Server 2003, o
assistente de ativao e registro ser executado. Voc pode cancelar o assistente e ativar o Windows Server
2003 posteriormente. Para ativar o Windows Server 2003 usando o Assistente de Ativao do Produto siga o
procedimento a seguir:
Clique em Iniciar e em Ativar Windows.
Insira a identificao "chave do produto".
O assistente tentar se conectar Microsoft pela Internet.
Se voc no tiver uma conexo Internet, mas tiver um modem conectado a uma linha de telefone, o
assistente detectar o modem e tentar estabelecer uma conexo direta com a Microsoft.
Se a conexo no puder ser estabelecida, voc pode ativar sua cpia do Windows Server 2003
chamando um representante de clientes da Microsoft.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 16 |
Em seguida, detalharemos a migrao de Controladores de Domnio e Servidores Membro do Windows NT 4.0 para o
Windows Server 2003, nos sistemas operacionais de servidor.
De
Resultado
Lembre-se dos requisitos de hardware necessrios para a migrao do Windows NT 3.1/3.5/3.51 para o Windows
Server 2003.
Obtenha mais informaes em:
http://www.microsoft.com/windowsserver2003/upgrading/nt4/default.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 17 |
3.2. Migrao de Domnios
Para compreender o processo de migrao, ns o dividiremos em dois processos possveis: Migrao Direta (
In-Place) ou reestruturao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 18 |
3.2.1. Terminologias
Na tabela a seguir, esto diversos termos e significados relacionados ao processo de migrao:
Migrao de Domnio. o processo de mover o usurio, as contas de grupo e as contas de
computadores de um domnio do Windows NT 4.0 para um domnio do Windows Server 2003. A
migrao do domnio pode ser realizada atravs de uma atualizao do domnio do Windows NT
4.0 para o Windows Server 2003, ou criando uma nova floresta do Windows Server 2003 e
copiando o usurio, o grupo e as contas do computador do domnio do Windows NT 4.0 na nova
floresta. Tambm possvel alcanar a migrao do domnio usando uma combinao desses
mtodos.
Domnio de Origem. o domnio do qual os Objetos de Segurana devem ser migrados.
Domnio de Destino. o domnio do qual sero migrados os Objetos de Segurana. Um
Domnio de Destino pode estar na mesma floresta do Windows Server 2003 ou em uma floresta
diferente do Domnio de Origem.
Domnio de Conta. Contm as contas de usurios e grupos no modelo Multiple Master
Domain do Windows NT 4.0.
Domnio de Recursos. um domnio do Windows NT 4.0 utilizado para arquivos, servidor de
impresso e outros servios de aplicaes. Alm disso, ele contm as contas principais dos
computadores.
Consolidar Domnios. Serve para reestruturar um grande nmero de domnios em um
nmero pequeno.
Nveis do domnio e funcionalidade de floresta uma caracterstica do Windows Server
2003 que proporciona compatibilidade retroativa a diversos sistemas operacionais do Windows
que utilizam o Active Directory. O Windows Server 2003 utiliza nveis de domnio e a
funcionalidade da floresta para identificar a funcionalidade que pode ser introduzida no domnio
e nos nveis da floresta. A implementao da funcionalidade de domnio ou floresta possibilita a
introduo de novas caractersticas do Windows Server 2003, que no podem ser ativadas at
que todos os Controladores de Domnio sejam migrados na organizao. Desse modo, os nveis
oferecem Compatibilidade Retroativa. Os nveis de domnio e a funcionalidade da floresta
substituem a caracterstica do modo de domnio do Windows 2000.
Clone. Serve para criar novas contas no Domnio de Destino. uma cpia das contas no
domnio de origem, mas tambm mantm o identificador primrio de segurana (SID) da conta
no seu atributo SID-History. O nico momento em que possvel clonar contas durante a
migrao das contas entre florestas.
SID-History. um atributo de Objetos de Segurana do Active Directory que usado para
armazenar SIDs de objetos transferidos como contas de usurios e grupos de segurana.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 19 |
3.2.3. Reestruturao do Domnio
Esse processo determina as aes necessrias para mudar a estrutura anterior (consolidao de
domnios). Portanto, se voc tinha 4 domnios do Windows NT 4.0; ao finalizar, ter 1 domnio do
Windows Server 2003 que conter todas as contas.
O processo a ser finalizado o seguinte:
Migre primeiro a partir de um PDC do Windows NT 4.0 ou instale de uma floresta nova.
Utilize a ferramenta Active Directory Migration Tool (ADMT v2) para copiar objetos. Esta
ferramenta permite preservar o SID-History dos objetos e esta nova verso permite a migrao
de senhas.
Nota: O ADMT est disponvel no CD-ROM do Windows Server 2003.
Obtenha mais informaes sobre o ADMT:
http://support.microsoft.com/default.aspx?scid=kb;en-us;325851
Standard Edition
Enterprise Edition
Datacenter Edition
Web Edition
Nenhum equivalente
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 20 |
4.2. Migrao de Domnios
A atualizao do Active Directory pode ser gradual e realizada sem interrupo das operaes. Se voc seguir
as recomendaes de atualizao de domnio, no ser necessrio colocar o domnio offline para migrar os
controladores de domnio, os servidores membro ou as estaes de trabalho.
No Active Directory, um domnio uma coleo de computadores, usurios e grupos definidos pelo
administrador. Esses objetos compartilham um banco de dados em comum de diretrio, Diretivas de
Segurana e Relaes de Segurana com outros domnios. Uma floresta uma coleo de um ou mais
domnios do Active Directory que compartilham classes e atributos (esquema), informaes de sites e
duplicao (configurao) e capacidades de pesquisa em toda a floresta (catlogo global). Os domnios na
mesma floresta contm relaes de confiana bilaterais.
Para se preparar para atualizar os domnios que contm os Controladores de Domnio do Windows 2000,
recomendvel aplicar o Service Pack 2 ou posterior a todos os Controladores de Domnio do Windows 2000.
Antes de migrar um Controlador de Domnio do Windows 2000 para o Windows Server 2003 ou instalar o
Active Directory no primeiro Controlador de Domnio do Windows Server 2003, certifique-se de que o domnio
esteja preparado.
Essas duas ferramentas de linha de comando ajudaro na migrao do Controlador de Domnio:
Winnt32. Use o Winnt32 para comprovar a compatibilidade de atualizao do servidor.
Adprep. Use o Adprep no Mestre de Operaes de Esquema para preparar a floresta.
O Adprep est contido no CD-ROM do Windows Server 2003 na pasta I386 ou IA64. Lembre-se de que essa
ferramenta modifica o Esquema segundo o qual a quantidade de objetos que contm o Active Directory
define o tempo necessrio para concluir as operaes. Por outro lado, aconselhvel executar essa
ferramenta somente no Mestre de Esquema, considerando que, em caso de queda na comunicao da rede,
no haver o risco de que a operao seja interrompida na metade do processo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 2 | Pgina 21 |
4.2.1. Exerccio 2
Durante este exerccio, voc realizar um processo de migrao do servidor membro do Windows NT
4.0 para o Windows Server 2003 e um processo de migrao do servidor membro do Windows 2000
para o Windows Server 2003.
Prximos passos.
Primeiro instale um Windows NT Server 4.0, na instalao do servidor membro.
Siga os passos descritos no exerccio 1, iniciando a instalao do sistema operacional, ou
seja, execute o Winnt32.exe ou faa a instalao inserindo o CD-ROM.
Resultado: Processo de migrao do Windows NT 4.0 para o Windows Server 2003
Instale agora o Windows 2000 Server como Servidor Membro.
Siga os passos descritos na prtica 1, iniciando a instalao do sistema operacional, ou
seja, execute o Winnt32.exe ou faa a instalao inserindo o CD-ROM.
Resultado: Processo de migrao do Windows 2000 para o Windows Server 2003
Nota: Lembre-se de que para fazer esses exerccios voc pode utilizar o software Connectix Virtual
PC.
Opcional: Se tiver tempo, voc pode realizar o mesmo exerccio, do PDC do Windows NT 4.0 e do
Controlador de Domnio do Windows 2000, executando o processo de atualizao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 1 |
Captulo 3
Instalao e Configurao de Servios DHCP, DNS e WINS
1. Introduo
Durante este captulo, voc assimilar conhecimentos sobre servios de rede como DHCP (Dynamic Host Configuration
Protocol), WINS (Windows Internet Name System) e DNS (Domain Name System). Este ltimo, em particular, lhe
ser muito til durante o captulo 4.
Para a realizao dos exerccios contidos neste mdulo, ser preciso usar a instalao do Windows Server 2003
executada no exerccio 1 do captulo 2 e uma instalao adicional.
Ao finalizar este captulo, voc poder:
Identificar as caractersticas dos servios DHCP, DNS e WINS
Instalar e configurar servios de rede
Solucionar problemas de servios de rede
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 2 |
2.1.1. Definio
Dynamic Host Configuration Protocol (DHCP) um padro IP para simplificar a administrao
da configurao IP do cliente. O padro DHCP permite que voc utilize os servidores DHCP para
controlar a alocao dinmica dos endereos e a configurao de outros parmetros de IP para
clientes DHCP na sua rede.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 3 |
2.2 Como o DHCP atribui endereos IP?
2.2.2.1 Introduo
O DHCP permite controlar a atribuio de IP de um local central; portanto, voc pode configurar o
servidor DHCP para atribuir endereos IP a uma nica sub-rede ou a vrias sub-redes. Da mesma
forma, o Servidor DHCP pode atribuir a configurao IP aos clientes de forma automtica.
2.2.2.2 Definies
A concesso o tempo no qual um cliente DHCP pode utilizar uma configurao dinamicamente
atribuda de IP. Antes da expirao do tempo de concesso, o cliente deve renov-lo ou obter uma
nova concesso do DHCP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 4 |
2.3. Como funciona o Processo de Gerao de Concesso do DHCP?
O cliente DHCP envia o pacote DHCPDISCOVER para localizar o Servidor DHCP. Esse pacote
DHCPDISCOVER a mensagem que os clientes DHCP enviam na primeira vez que se conectam rede e
solicitam informaes de IP de um servidor DHCP. Existem duas formas de iniciar o processo de Gerao de
Concesso de DHCP. A primeira ocorre quando um computador cliente iniciado ou o TCP/IP iniciado pela
primeira vez, e a segunda quando um cliente tenta renovar sua concesso e no consegue. (Por exemplo, um
cliente pode no conseguir executar uma renovao quando voc o move para outra sub-rede.)
O Servidor DHCP envia um pacote DHCPOFFER ao cliente. O pacote DHCPOFFER uma mensagem que
o Servidor DHCP utiliza para oferecer a concesso de um endereo IP ao cliente, quando ele se conecta
rede. Cada Servidor DHCP que responde, reserva o endereo IP oferecido para que ele no seja novamente
oferecido a outro cliente DHCP, antes da aceitao do cliente inicial. Se o cliente no receber uma oferta
depois de quatro solicitaes, ele utiliza um IP do intervalo reservado de 169.254.0.1 a 169.254.255.254. O
uso de um desses endereos auto-configurados garante que os clientes situados em uma sub-rede de
Servidor DHCP inacessvel possam se comunicar com outros clientes. Enquanto isso, o cliente DHCP continua
buscando um Servidor DHCP disponvel a cada cinco minutos. Quando um Servidor DHCP estiver disponvel,
os clientes recebero endereos IP vlidos, permitindo que esses clientes se comuniquem com clientes na sua
sub-rede e em outras.
O cliente DHCP envia um pacote DHCPREQUEST ao Servidor DHCP. O pacote DHCPREQUEST a
mensagem que um cliente envia ao Servidor DHCP para solicitar ou renovar sua concesso de IP. O cliente
DHCP responde ao primeiro pacote DHCPOFFER que recebe com uma transmisso de DHCPREQUEST para
aceitar a oferta. O pacote DHCPREQUEST inclui a identificao do servidor que o ofereceu e o cliente que o
aceitou. Todos os outros servidores DHCP posteriores eliminam suas ofertas e mantm seus endereos de IP
para outras concesses.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 5 |
O Servidor DHCP envia um pacote DHCPACK ao cliente DHCP. O pacote DHCPACK uma mensagem
que o Servidor DHCP envia a um cliente como confirmao de recebimento e finalizao do processo de
concesso. Essa mensagem contm uma concesso vlida para endereo IP e outros dados de configurao
IP. Quando o cliente DHCP recebe a confirmao de recebimento, ele inicia o TCP/IP usando a configurao IP
prevista pelo Servidor DHCP.
Nota: Voc pode ver todo o processo de concesso capturando os pacotes com o Monitor de Rede. Lembrese de que o cliente e o servidor utilizam as portas 67 e 68 UDP. Para realizar o processo em ambientes
seguros, ser necessrio permitir a comunicao dessas portas entre o cliente e o servidor.
2.4.1. Definies
Processo de Renovao de Concesso de DHCP o processo pelo qual um cliente DHCP renova
ou atualiza seus dados de configurao IP com o Servidor DHCP.
O cliente DHCP renova a configurao IP antes da expirao do tempo de concesso. Se o perodo
de concesso expirar e o cliente de DHCP ainda no tiver renovado sua configurao IP, ele perder
todos os dados da configurao IP e o processo de Gerao de Concesso de DHCP ser reiniciado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 6 |
Para adicionar um servidor DHCP, voc dever instalar o Servio de DHCP em um computador executando o
Microsoft Windows Server 2003.
Antes de adicionar o servio de Servidor DHCP:
Verifique se a configurao IP no servidor est correta.
Verifique se a configurao IP do servidor contm um endereo IP esttico e uma mscara subrede em ambientes roteados de um gateway padro.
Verifique se a conta do usurio tem as permisses corretas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 7 |
Para adicionar o servio de Servidor DHCP:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
2.6.1. Definies
A autorizao do DHCP o processo de registrar o servio de Servidor DHCP em um domnio do
Servio Active Directory, com o propsito de oferecer suporte aos clientes DHCP. A autorizao de
DHCP somente para Servidores DHCP que executam o Windows Server 2003 e o Windows 2000 no
Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 8 |
ser iniciado corretamente e, portanto, o servidor DHCP no poder responder aos pedidos dos
clientes. O Servidor DHCP controla o endereamento IP enviado aos clientes DHCP na rede. Se o
Servidor DHCP for configurado de forma incorreta, os clientes recebero uma configurao incorreta
do endereamento IP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 9 |
2.8. O que so os escopos do DHCP?
2.8.1. Definio
Um escopo um intervalo de endereos IP vlidos disponveis para atribuir aos computadores
cliente em uma sub-rede em particular. Voc pode configurar um escopo no servidor DHCP para
determinar o grupo de endereos IP que esse servidor atribuir aos clientes.
Os escopos determinam os endereos IP atribudos aos clientes. Voc deve definir e ativar um
escopo antes que os clientes possam usar o Servidor DHCP para uma configurao dinmica de
TCP/IP. Da mesma forma, pode-se configurar tantos escopos quanto forem necessrios no servidor
DHCP para seu ambiente de rede.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 10 |
2.9. Prtica 3: Como configurar um Escopo de DHCP?
Para configurar um Escopo de DHCP:
1.
2.
3.
4.
5.
6.
5.
6.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 11 |
2.11. Quais so as opes do DHCP?
As opes do DHCP so os parmetros de configurao que um servio do DHCP atribui aos clientes quando
lhes atribui o endereo IP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 12 |
5.
2.13.1. Definio
O DHCP Relay Agent um computador ou roteador configurado para escutar a transmisso
DHCP/BOOTP de clientes DHCP e reenviar essas mensagens aos Servidores DCHP em sub-redes
diferentes. Os Agentes de Retransmisso DHCP/BOOTP so parte dos padres DHCP e BOOTP e
funcionam segundo os documentos padro Request for Comments (RFCs) que descrevem o design
do protocolo e o comportamento relacionado.
Um Roteador Compatvel RFC 1542 um roteador que suporta o reenvio de trfego de
transmisso DHCP.
Os clientes DHCP utilizam broadcasts para obter a concesso do Servidor DHCP. Os roteadores
normalmente no deixam estes broadcasts passarem, exceto quando esto configurados
especificamente para deix-las passar. No entanto, sem configurao adicional, os Servidores DHCP
s fornecem endereos IP a clientes na sub-rede local. Para que voc possa atribuir endereos a
clientes em outros segmentos, preciso configurar a rede para que os broadcasts DHCP possam
chegar do cliente ao Servidor DCHP. Isso pode ser feito de duas formas: configurando os roteadores
que conectam as sub-redes para deixar passar os broadcasts DHCP ou configurando o Agente de
Retransmisso do DCHP. O Windows Server 2003 aceita o servio de Roteamento e Acesso Remoto
configurado para funcionar como Agente de Retransmisso do DHCP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 13 |
2.14. Como funciona o Agente de Retransmisso de DHCP?
O Agente de Retransmisso de DHCP oferece suporte Gerao de Concesso entre o cliente de DHCP e o
Servidor DHCP, quando so separados por um roteador. Ele permite que o cliente DHCP receba um endereo
IP de Servidor DHCP.
Os passos a seguir descrevem o funcionamento do Agente de Retransmisso de DHCP:
1.
2.
3.
4.
5.
6.
7.
8.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 14 |
2.14.1 Exerccio 6: Como configurar o Agente de Retransmisso de DHCP?
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 15 |
3. Descrio de Sistema de Nomes de Domnio
O DNS um servio de resoluo de nomes que resolve endereos amigveis (como www.microsoft.com) em
endereos IP (como 192.168.0.1).
Sistema de Nomes do Domnio (DNS) um banco de dados hierrquico distribudo que mapeia nomes de hosts
DNS a endereos IP. O DNS permite a localizao de computadores e servios usando nomes alfanumricos mais
fceis de lembrar. O DNS tambm permite a localizao de servios de rede, como Servidores de E-mail e
Controladores de Domnio no Active Directory.
No DNS, os nomes de host residem em um banco de dados distribudo em mltiplos servidores, reduzindo a carga em
um servidor e a capacidade para administrar esses sistemas de nomes. Alm disso, como o banco de dados DNS
distribudo, o seu tamanho ilimitado e o funcionamento no sofre prejuzos quando servidores adicionais so
adicionados.
O InterNIC responsvel por delegar responsabilidade administrativa de partes do espao de nome do domnio e
tambm por registrar nomes de domnio. Estes ltimos so administrados atravs do uso do banco de dados
distribudo e armazenados em Servidores de Nomes, localizados em toda a rede. Cada Servidor de Nomes contm
arquivos de bancos de dados que possuem informaes para uma regio, domnio, etc, criando assim uma hierarquia.
Para obter mais informaes sobre o InterNic:
http://www.internic.net
O Espao de Nome de Domnio uma rvore de nomes hierrquica que utiliza o DNS para identificar e
localizar um host em um determinado domnio, em relao raiz da rvore. Os nomes no banco de dados
DNS estabelecem uma estrutura lgica chamada Espao de Nome de Domnio que identifica a posio de um
domnio na rvore e em seu domnio superior. A converso principal simplesmente: para cada nvel de
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 16 |
domnio, um ponto (.) utilizado para separar cada descendente do subdomnio e do seu domnio de nvel
superior.
O Fully Qualified Domain Name (FQDN) o nome do domnio de DNS que indica com certeza a
localizao do host a que ele se refere e a sua localizao no Espao de Nome do Domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 17 |
3.2.1 Como funciona uma Consulta Recursiva?
Uma Consulta Recursiva uma solicitao de resoluo ao Servidor DNS, no caso do cliente
realizar a consulta diretamente no Servidor DNS. A nica resposta aceitvel para uma Consulta
Recursiva a resposta completa ou a resposta onde o nome pode ser solucionado. Uma Consulta
Recursiva nunca redirecionada a outro servidor DNS. Se o DNS consultado no obtiver uma
resposta do seu prprio banco de dados ou do cache, a resposta um erro, indicando que no
possvel solucionar o nome.
Diferente das Consultas Recursivas, em que um cliente faz um pedido de resoluo e o Servidor DNS
no obtm a resposta da sua prpria base ou do cache, a Consulta Iterativa consulta outros
Servidores DNS em nome do cliente para devolver a resposta. Exemplo: quando voc precisa
acessar um site na Internet, normalmente consulta o DNS de seu ISP, e ele se encarrega de entrar
em contato com outros Servidores DNS at obter uma resposta. Mas analise o seguinte:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 18 |
impossvel na Internet que o DNS do seu ISP contenha todas as solues possveis em toda a
Internet; por isso, os bancos de DNS distribuem e resolvem nomes de forma Iterativa uns para os
outros.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 19 |
3.3. Exerccio 8: Como configurar as propriedade do servio de Servidor DNS?
Para configurar propriedades do servio de Servidor DNS, voc precisa atualizar as Dicas da Raiz do Servidor
DNS. As Dicas de Raiz determinam se o seu servidor consulta a raiz da Internet ou se a raiz um servidor
interno.
Para atualizar as Dicas de Raiz no Servidor DNS:
1.
2.
3.
4.
5.
6.
Uma zona uma parte contgua do espao dos nomes de domnio no qual um servidor DNS tem autoridade
para solucionar consultas de DNS. O espao de nomes de DNS pode se dividir em zonas diferentes, que
armazenam informaes de nomes sobre um ou vrios domnios de DNS, ou parte deles. Para cada nome de
domnio de DNS includo em uma zona, ele se converte em origem autorizada das informaes sobre este
domnio.
Antes de criar zonas, preciso compreender os conceitos a seguir:
Tipos de zonas. Os servidores DNS podem alojar vrios tipos de zona. Para limitar o nmero de servidores
DNS na rede, possvel configurar apenas um que permita ou aloje vrias zonas. Tambm possvel
configurar vrios servidores para armazenar uma ou mais zonas com o objetivo de oferecer tolerncia a
falhas e distribuir a carga de trabalho administrativa e de resoluo de nomes.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 20 |
Arquivo de zona. Os registros de recursos que so armazenados em um arquivo de zona servem para sua
prpria definio. O arquivo de zona armazena informaes utilizadas para converter nomes de hosts em
endereos IP e vice-versa.
Importante: Para criar zonas e administrar um servidor DNS que no executado em um controlador de
domnio, preciso ser membro do grupo de administradores dessa mquina. Para configurar um servidor
DNS que executado em um controlador de domnio, preciso ser membro dos grupos de administradores
de DNS, administradores de domnio ou administradores da empresa (Enterprise).
Na tabela seguinte, esto descritos os quatro tipos de zonas que podem ser configurados e os
arquivos de zona associados a elas.
Primria Padro: Contm uma verso de leitura e gravao do arquivo da zona que armazenado
em um arquivo de texto padro. As modificaes realizadas na zona so registradas nesse arquivo.
Secundria Padro: Contm uma verso de leitura somente do arquivo da zona que armazenado
em um arquivo de texto padro. As modificaes realizadas na zona so registradas no arquivo da
zona primria e replicadas no arquivo da zona secundria. Crie uma zona secundria padro para
criar
uma
cpia
de
uma
zona
existente
e
do
seu
arquivo
de
zona.
Dessa forma, pode-se distribuir a carga de trabalho da resoluo de nomes entre vrios servidores
DNS.
Integrada ao Active Directory: Em vez de armazenar as informaes de zona em um arquivo de
texto, elas so armazenadas no Active Directory. As atualizaes da zona so automaticamente
realizadas durante a replicao do Active Directory. Crie uma zona integrada do Active Directory
para simplificar o planejamento e a configurao de um espao de nomes de DNS. No necessrio
configurar servidores DNS para especificar como e quando sero feitas as atualizaes, j que o
Active Directory mantm as informaes da zona.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 21 |
Zona Stub: A zona Stub so cpias de uma zona que contm somente os registros necessrios para
identificao no servidor DNS de autorizao dessa zona. Uma zona stub contm um subconjunto de
dados da zona que consiste em registros SOA, NS e A. As zonas Stub podem ser utilizadas quando
um servidor interno DNS representa a raiz no lugar dos Servidores de Raiz da Internet.
3.
4.
5.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 22 |
Ao instalar um servidor secundrio, tente coloc-lo o mais prximo possvel dos clientes que
precisam de mais nomes na zona. Alm disso, tambm recomendvel colocar os
servidores secundrios atravs de um roteador, seja em outras sub-redes (se for utilizada
uma rede LAN) ou em links de WAN. Deste modo, utiliza-se de forma eficaz um servidor
secundrio como cpia de segurana local nos casos em que um link de rede intermedirio
convertido em um ponto de concentrao de falhas entre servidores e clientes de DNS
que utilizam a zona.
Como o servidor primrio sempre mantm a cpia mestre das atualizaes e mudanas
efetuadas na zona, o servidor secundrio depende de mecanismos de transferncias de
zonas de DNS para obter suas informaes e mant-las atualizadas. Algumas questes
como os mtodos de transferncia de zona, sejam mediante transferncias de zona
completas ou adicionais, so simplificadas quando so utilizados servidores secundrios. Ao
considerar o impacto dos servidores secundrios nas transferncias de zona, considere sua
vantagem como origem da cpia de segurana de informaes e compare-a com o custo
agregado estimado da infra-estrutura de rede.
Uma regra simples que para cada servidor secundrio adicionado aumenta o uso da rede
(devido ao trfego adicional gerado na replicao de zona) e o tempo necessrio para
sincronizar a zona em todos os servidores secundrios.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 23 |
3.5 O que so os Registros de Recursos e Tipos de Recursos?
Os arquivos de zona contm informaes sobre as quais um servidor DNS faz referncia para realizar duas
tarefas distintas: converter nomes de host em endereos IP e converter endereos IP em nomes de host.
Essas informaes so armazenadas como registros de recursos que preenchem o arquivo de zona. Um
arquivo de zona contm os dados de resoluo de nomes de uma zona, incluindo registros de recursos com
informaes para responder a consultas DNS. Os registros de recursos so entradas do banco de dados que
incluem vrios atributos de uma mquina, como o nome do host ou o nome do domnio completo, o endereo
IP e o alias.
Os servidores DNS podem conter os seguintes tipos de registros de recursos:
A (host): Contm informaes de atribuies de nome a endereos IP utilizados para atribuir um nome de
domnio de DNS a um endereo IP de host na rede. Os registros de recursos A tambm so conhecidos como
registros de host.
NS (servidor de nomes): Designa os nomes de domnio de DNS dos servidores com autorizao para uma
determinada zona ou uma zona que contenha o arquivo de zona desse domnio.
CNAME (nome cannico): Permite fornecer nomes adicionais a um servidor que j tem um nome em um
registro de recursos A. Por exemplo, se o servidor chamado webserver1.nwtraders.msft armazenar o site da
Web de nwtraders.msft, o seu nome comum deve ser www.nwtraders.msft. Os registros de recursos CNAME
tambm so conhecidos como registros de alias.
MX (mail exchanger): Especifica o servidor que aplicativos de correio eletrnico podem entregar
correspondncia. Por exemplo, se voc tiver um servidor de correio em execuo em um equipamento
chamado mail1.nwtraders.msft e quiser que todo a correspondncia de NomedeUsurio@nwtraders.msft seja
entregue nesse servidor, necessrio que o registro de recursos MX exista na zona de nwtraders.msft e
aponte ao servidor de correio desse domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 24 |
SOA (Start Of Authority): Indica o ponto de partida ou o ponto de origem da autoridade para as
informaes armazenadas em uma zona. O registro de recursos SOA o primeiro que criado quando uma
nova zona adicionada. Ele tambm possui vrios parmetros que outros equipamentos que usam DNS
utilizam para determinar por quanto tempo a informao da zona ser utilizada e com que freqncia as
atualizaes devem ser realizadas.
PTR (ponteiro): Se voc utilizar uma zona de pesquisa inversa criada no domnio in-addr.arpa para
designar uma atribuio inversa de um endereo IP de host a um nome de domnio DNS de host.
SRV (servio): onde so registrados os servios para os quais os clientes podem encontrar um servio
mediante DNS. Os registros SRV so utilizados para identificar servios no Active Directory e tambm so
conhecidos como registros de localizao de servio.
Na maioria das pesquisas de DNS, os clientes costumam realizar uma busca direta, que uma solicitao
para designar um nome de equipamento a um endereo IP. O DNS tambm fornece um processo de pesquisa
inversa que permite que os clientes solicitem um nome do equipamento conforme o endereo IP do
equipamento.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 25 |
e ao arquivo de zona, e tambm criar automaticamente a zona, o arquivo de zona e os registros de
recursos necessrios para o servidor DNS onde foi criada a zona.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 26 |
Depois de concluir essa tarefa, voc obter uma zona primria configurada.
1.
2.
3.
4.
5.
Para proporcionar disponibilidade e tolerncia a falhas na resoluo de nomes, os dados da zona devem estar
disponveis a partir de mais de um servidor DNS de uma rede. Por exemplo, se voc utilizar um nico
servidor DNS e ele no responder, as consultas de nomes falharo. Quando voc configura mais de um
servidor para armazenar uma zona, preciso realizar transferncias de zonas para replicar e sincronizar os
dados da zona entre os servidores que esto configurados para armazen-las.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 27 |
nenhuma modificao. Isso ocorre quando o servio de Servidor DNS iniciado no servidor
secundrio ou durante o intervalo de atualizao no servidor secundrio.
Voc pode configurar servidores DHCP para atribuir automaticamente endereos IP para mquinas clientes.
Quando um cliente recebe um novo endereo IP de um servidor DHCP, ele deve atualizar as informaes de
atribuies de nomes a endereos IP armazenados no servidor DNS. No Windows 2003, os servidores e os
clientes DHCP podem registrar e atualizar dinamicamente as informaes dos servidores DNS configurados
para permitir atualizaes dinmicas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 28 |
3.
4.
2.
3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 29 |
http://support.microsoft.com/default.aspx?scid=kb;en-us;816518
http://support.microsoft.com/default.aspx?scid=kb;en-us;816567
http://support.microsoft.com/default.aspx?scid=kb;en-us;323418
O mtodo mais comum para resolver nomes NetBIOS remotos e locais o uso de um servidor de nomes NetBIOS.
Quando um usurio executa determinados comandos, como net use, um aplicativo NetBIOS interage com a rede e o
processo de resoluo de nomes NetBIOS iniciado. No cache de nomes NetBIOS, possvel comprovar se existe a
atribuio de nome NetBIOS no endereo IP do host de destino. Se o nome NetBIOS no estiver no cache, o cliente
tentar determinar o endereo IP do host de destino atravs de outros mtodos.
Se o nome no puder ser resolvido com o cache, o nome NetBIOS do host de destino enviado ao servidor de nomes
NetBIOS configurado para o host de origem. Quando o nome convertido em um endereo IP, ele devolvido ao host
de origem.
O WINS a implementao da Microsoft de um servidor de nomes NetBIOS.
Para que o WINS funcione corretamente em uma rede, cada cliente deve:
Registrar seu nome no banco de dados WINS. Ao iniciar um cliente, ele registra seu nome no servidor WINS
configurado.
Renovar o registro em intervalos configurveis. Os registros dos clientes so temporrios e, por isso, os clientes
WINS devem renovar regularmente seu nome ou a sua concesso ser expirada.
Liberar os nomes dos bancos de dados ao fechar. Se o cliente WINS no precisar mais do nome, por exemplo,
quando ele excludo, enviada uma mensagem para pedir ao servidor WINS que esse nome seja liberado.
Depois de ter configurado o WINS como mtodo de resoluo de nomes, o cliente tambm o usa para
finalizar as consultas de nomes NetBIOS. Para eles, as seguintes aes devem ser realizadas:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 30 |
1.
2.
3.
Se o cliente no puder resolver o nome do seu cache, envie uma consulta de nome ao seu servidor
WINS principal. Se ele no responder, o cliente enviar a solicitao mais duas vezes.
Se o cliente no receber uma resposta do servidor WINS principal, ele envia outra solicitao a
todos os servidores WINS adicionais, configurados no cliente. Se um servidor WINS resolver o
nome, ele responder ao cliente com o endereo IP do nome NetBIOS solicitado.
Caso nenhuma resposta seja recebida, o servidor WINS enviar uma mensagem indicando que o
nome no foi encontrado e o cliente passar para o mtodo seguinte de resoluo de nomes
configurado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 31 |
4.3. Replicao do WINS
Embora um servidor WINS possa aceitar mais de 5.000 clientes em condies normais de carga de trabalho,
possvel instalar um segundo servidor para proporcionar tolerncia a falhas na resoluo dos nomes
NetBIOS. Esse servidor permitir, ao mesmo tempo, localizar o trfego de resoluo. Dessa forma, se ocorrer
um erro em um dos servidores WINS, o outro continuar executando a resoluo de nomes NetBIOS na rede.
Cada servidor WINS de uma rede mantm seu prprio banco de dados WINS. Portanto, se houver vrios
servidores WINS na rede, eles devem ser configurados para replicar os registros de seus bancos de dados
nos outros servidores WINS. A replicao dos bancos de dados WINS garante que um cliente WINS
configurado para usar um servidor WINS diferente possa solucionar os nomes registrados em outro servidor
WINS.
Por exemplo:
O host A da subrede 1 registra-se no servidor WINS A da subrede 1.
O host B da subrede 2 registra-se no servidor WINS B da subrede 2.
Quando ocorre uma replicao do WINS, cada servidor WINS atualiza seu banco de dados com a nova
entrada proveniente do banco de dados do outro servidor.
Como resultado da replicao, os dois servidores WINS dispem de informaes sobre os dois hosts, e os
hosts A e B podem solucionar mutuamente seus nomes se entrarem em contato com seu servidor WINS
local.
Para que seja produzida uma replicao, cada servidor WINS dever se configurar com um parceiro de
replicao, no mnimo. Ao configurar um parceiro de replicao para um servidor WINS, possvel especificlo como parceiro de extrao, como parceiro de insero ou como parceiro de extrao e insero para o
processo de replicao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 32 |
4.3.1.1. Definio
A replicao de envio Push o processo de cpia dos registros atualizados de um Servidor WINS
para outros, sempre que o Servidor WINS que contm dados atualizados alcana um valor especfico
de modificaes.
O processo de replicao de envio funciona da seguinte forma:
1.
2.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 33 |
4.3.2.1. Definio
A replicao de recepo Pull o processo de cpia dos registros atualizados a partir de um servidor
WINS para outros servidores WINS, em intervalos especficos de tempo.
O processo de replicao de recepo funciona da seguinte forma:
1.
2.
Selecione, no console WINS, o Servidor WINS ao qual voc quer adicionar um Parceiro de Replicao
e clique em Parceiros de Replicao.
Clique em Novo Parceiro de Replicao no menu Ao.
Insira no campo Servidor WINS o nome ou o IP do Servidor WINS para adicionar como Parceiro de
Replicao. (Segundo Computador)
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 34 |
4.
Clique em OK.
5.
6.
4.5. Manuteno
4.5.1. Backup
Voc deve realizar tarefas de manuteno em perodos de tempo especficos. Para ajud-lo nessa
tarefa, o Servidor WINS pode ser configurado para realizar os backups automaticamente. Lembre-se
de que nem todos os softwares de backup realizam essa tarefa porque o banco de dados um
arquivo com privilgios exclusivos do sistema operacional sempre que o servio iniciado.
Para especificar o diretrio de backup do WINS:
1.
2.
Clique com o boto direito do mouse no Servidor WINS do console WINS e depois em
Propriedades.
Insira o diretrio onde quiser realizar os backups do Servidor WINS, em Geral no campo Caminho
padro do backup.
Nota: O Servidor WINS realizar um backup automaticamente a cada 24 horas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 35 |
O cliente verifica se j obteve a resoluo em outra oportunidade. Se esse for o caso, a resoluo
localizada no cache local DNS do cliente e o processo finalizado. Se a resoluo no for obtida, vai
para o passo seguinte.
O cliente realiza uma consulta ao DNS primrio. Se o DNS resolver a consulta, o processo
finalizado. Se a resoluo no for obtida, vai para o passo seguinte.
O cliente verifica se j obteve a resoluo em outra oportunidade. Nesse caso, a resoluo
localizada no cache local do NetBIOS do cliente e o processo finalizado. Se ainda no tiver obtido a
resoluo, vai para o passo seguinte.
O cliente realiza uma consulta ao WINS primrio. Se o WINS resolver a consulta, o processo
finalizado. Se no conseguir a resoluo, vai para o passo seguinte.
Se ainda assim no conseguir resolver o nome, o cliente realiza um broadcast local. Se a consulta
for resolvida, o processo finalizado. Se ainda assim no obtiver obtido a resoluo, vai para o
passo seguinte.
Por ltimo, ele ter que consultar o arquivo HOST local localizado em
systemroot\system32\drivers\etc. Esse arquivo um banco esttico de resoluo; no tem
extenso e tambm no atualizado. Se esse ltimo processo no obtiver xito, o cliente no
consegue a resoluo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 36 |
Exemplo de arquivo HOST
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 37 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 38 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 3 | Pgina 39 |
4.6.3. Introduo integrao WINS e DNS
A integrao de WINS com DNS habilita os clientes a usarem exclusivamente DNS para a resoluo
de nomes. Os clientes podero acessar os dados do WINS atravs do servidor DNS. No entanto, o
Servidor DNS no pode localizar recursos sem realizar uma consulta ao WINS. No Windows Server
2003, voc pode configurar a integrao entre o WINS e o DNS para permitir que os clientes sem
WINS resolvam nomes NetBIOS, usando um Servidor DNS.
Voc pode configurar o DNS integrado com Servidores WINS.
Para configurar uma zona DNS para uso de uma pesquisa WINS:
1.
2.
3.
4.
5.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 1 |
Captulo 4
Active Directory
1. Introduo
Durante este captulo, voc obter conhecimentos sobre os servios de diretrio (Active Directory Services) do Windows
Server 2003, em particular, sobre alguns dos novos recursos deste servio.
Para a realizao dos exerccios contidos nesta unidade, ser preciso instalar o Windows Server 2003 no exerccio 1 do
captulo 2 e fazer uma instalao adicional.
Ao finalizar este captulo, voc ser capaz de:
Descrever as caractersticas do servio de diretrio Active Directory.
Identificar estruturas lgicas e fsicas.
Instalar e configurar o Active Directory na rede.
Identificar caractersticas referentes replicao.
Solucionar problemas do Active Directory.
1.1. Definio
Em uma rede do Microsoft Windows Server 2003, o servio de diretrio Active Directory proporciona a
estrutura e as funes para organizar, administrar e controlar o acesso aos recursos de rede. Para
implementar e administrar uma rede do Windows Server 2003, voc dever compreender o objetivo e a
estrutura do Active Directory.
O Active Directory tambm permite administrar de forma central a rede do Windows Server 2003. Esse recurso
significa que possvel armazenar de forma central informaes sobre a empresa, por exemplo, informaes
de usurios, grupos e impressoras, e que os administradores podem administrar a rede de um nico lugar.
O Active Directory permite delegar o controle administrativo de seus objetos. Essa delegao permite que os
administradores atribuam a um grupo determinado de administradores permisses administrativas especficas
para objetos, como contas de usurios ou de grupos.
O Active Directory o servio de diretrio de uma rede do Windows Server 2003. Um servio de diretrio
armazena informaes sobre os recursos da rede e permite que os mesmos estejam acessveis aos usurios e
aos aplicativos. Os servios de diretrio proporcionam uma forma coerente de nomear, descrever, localizar,
obter acesso, administrar e proteger as informaes relativas aos recursos da rede.
1.2. A funcionalidade
O Active Directory oferece a funcionalidade de servio de diretrio para organizar, administrar e controlar de
forma centralizada o acesso aos recursos de rede. Tambm faz com que a topologia fsica da rede e os seus
protocolos passem despercebidos para que o usurio de uma rede possa ter acesso a qualquer recurso sem
saber onde ele est ou como est conectado fisicamente rede. Um exemplo deste tipo de recurso uma
impressora.
O Active Directory est organizado em sees que permitem o armazenamento de uma grande quantidade de
objetos. Dessa forma, possvel ampliar o Active Directory medida que a organizao cresce, permitindo que
uma organizao que tenha um nico servidor com centenas de objetos se expanda e chegue a ter milhares de
servidores e milhes de objetos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 2 |
Um servidor que executa o Windows Server 2003 armazena a configurao do sistema, as informaes dos
aplicativos e as informaes sobre a localizao dos perfis de usurio no Active Directory. Em combinao com
as diretivas de grupo, o Active Directory permite que os administradores controlem escritrios distribudos,
servios de rede e aplicaes de um local central, ao mesmo tempo em que utilizam uma interface de
administrao coerente.
Alm disso, o Active Directory proporciona um controle centralizado do acesso aos recursos de rede, ao
permitir que os usurios s iniciem a sesso uma nica vez para obter pleno acesso aos recursos atravs do
Active Directory.
O Active Directory possibilita o armazenamento seguro de informaes sobre objetos na sua estrutura
hierrquica lgica. Os objetos do Active Directory representam usurios e recursos como, por exemplo, os
computadores e as impressoras. Alguns objetos podem funcionar como contineres para outros objetos.
Compreendendo o objetivo e a funo desses objetos, voc poder realizar uma variedade de tarefas,
incluindo a instalao, a configurao, a administrao e a resoluo de problemas do Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 3 |
A estrutura lgica do Active Directory inclui os seguintes componentes:
Objetos. Eles so os componentes bsicos da estrutura lgica.
Classes de objeto. So os modelos de tipos de objetos que podem ser criados no Active Directory. Cada
classe de objeto definida por um grupo de atributos que estabelece os valores que podem ser associados a
um objeto. Cada objeto tem uma combinao nica de valores de atributos.
Unidades Organizacionais Voc pode utilizar esses contineres de objetos para organizar outros objetos
com propsitos administrativos. Organizando os objetos por Unidade Organizacional mais fcil localizar e
administrar objetos. Voc tambm pode delegar autoridade para administrar as Unidades Organizacionais. Elas
podem conter outras Unidades Organizacionais para simplificar a administrao de objetos.
Domnios. So as unidades funcionais bsicas da estrutura lgica do Active Directory e, portanto, uma
coleo de objetos administrativos definidos que compartilham, atravs de um banco de dados comum do
diretrio, diretivas de segurana e relaes de confiana com outros Domnios. Os domnios oferecem as 3
funes a seguir:
Um limite administrativo para os objetos
Meios de administrar a segurana dos recursos compartilhados
Uma unidade de replicao para os objetos
rvores de domnio. So Domnios agrupados em estruturas hierrquicas. Quando um segundo domnio
adicionado a uma rvore, ele convertido em Filho da rvore Raiz do Domnio. O domnio ao qual um Filho do
Domnio adicionado chamado de Domnio Pai. O Domnio Filho pode ter seus prprios Domnios Filhos e seu
nome combinado com o nome do seu Domnio Pai para formar o seu prprio nome exclusivo, o DNS (Domain
Name System). Um exemplo seria corp.nwtraders.msft. Desse modo, uma rvore tem um Nome de Espao
contnuo.
Florestas. Uma Floresta uma instncia completa do Active Directory, e consiste em uma ou mais rvores.
Em uma nica rvore de 2 nveis, recomendvel para a maioria das organizaes, todos os Domnios Filhos so
filhos do Domnio Raiz da Floresta para formar uma rvore contgua. O primeiro domnio na floresta chamado
de Domnio Raiz da Floresta e o nome desse domnio faz referncia floresta, por exemplo, nwtraders.msft.
Por padro, as informaes no Active Directory s so compartilhadas dentro da floresta. Dessa forma, a
segurana da floresta estar contida em uma nica instncia do Active Directory.
Em comparao com a estrutura lgica e os requisitos administrativos dos modelos, a estrutura fsica do Active
Directory otimiza o trfego da rede, determinando como e quando ocorre a replicao e o trfego do logon.
Para otimizar o uso da largura de banda da rede Active Directory, voc precisa entender a sua estrutura fsica.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 4 |
Os elementos da estrutura fsica do Active Directory so:
Controladores de domnio. Estes computadores executam o Microsoft Windows Server 2003 ou o
Windows 2000 Server e o Active Directory. Cada Controlador de Domnio realiza funes de armazenamento e
replicao e, alm disso, oferece suporte a apenas um domnio. Para garantir uma disponibilidade contnua do
Active Directory, cada domnio deve ter mais de um controlador de domnio.
Sites do Active Directory Os sites so grupos de computadores conectados. Quando voc estabelece sites,
os Controladores de Domnios que esto dentro de um mesmo site podem se comunicar com freqncia. Essa
comunicao reduz ao mnimo o estado de latncia dentro do site, isso , o tempo necessrio para que uma
modificao realizada em um Controlador de Domnio seja duplicada nos outros controladores de domnio.
Voc cria sites para otimizar o uso da largura de banda entre controladores de domnio em diversos locais.
Parties do Active Directory Cada Controlador de Domnio contm as seguintes parties do Active
Directory:
Parties de Domnio, que contm a replicao de todos os objetos neste domnio. Essa partio
duplicada apenas para outros Controladores de Domnio do mesmo domnio.
Partio de Configurao, que contm a topologia da floresta. A topologia registra todas as conexes
dos Controladores de Domnio na mesma floresta.
Partio de Esquema, que contm o esquema da floresta. Cada floresta tem um esquema de modo
que a definio de cada classe do objeto seja constante. As parties de Configurao e Esquema de
Parties so duplicadas para cada Controlador de Domnio na floresta.
Opes de Partio de Aplicativos que contm os objetos relacionados segurana e so utilizados por um ou
mais aplicativos. As parties de aplicativos so duplicadas em Controladores de Domnio especficos na
floresta.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 5 |
1.5.1. Single Master Replication e MultiMaster Replication
Quando realizada uma modificao em um domnio, essa modificao duplicada em todos os seus
controladores de domnio. Algumas modificaes, como as feitas no esquema, so duplicadas em
todos os domnios na floresta. Este tipo de replicao chamado de Multimaster Replication.
Durante a replicao multimaster,
atualizaes simultneas no mesmo
evitar conflitos de replicao, voc
Controlador de Domnio como o nico
Dessa maneira, as modificaes no podem ocorrer em diversos lugares da rede ao mesmo tempo. O
Active Directory usa o Single Master Replication para modificaes importantes, por exemplo, o
acrscimo de um novo domnio ou modificaes no esquema da floresta.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 6 |
atualiza periodicamente o Nome Distinto e o SID, na referncia ao objeto para refletir as modificaes
realizadas no objeto real, por exemplo, movimentos em e entre domnios ou a eliminao do objeto.
Cada domnio na floresta contm seu prprio Emulador de PDC, Mestre RID e o Mestre de Infraestrutura.
Voc colocar as Funes de Mestre de Operaes em uma floresta quando implementar uma
estrutura de floresta e domnio. As Funes de Mestre de Operaes s so transferidas quando
feita uma modificao importante na estrutura do domnio. Essas modificaes incluem a
desmontagem de um Controlador de Domnio que j teve uma funo e o acrscimo de um novo
Controlador de Domnio que satisfaa melhor s operaes de uma funo especfica.
A transferncia de Funes de Mestre de Operaes implica mover a funo de um Controlador de
Domnio para outro. Para transferir funes, os dois Controladores de Domnio devem estar ativos e
conectados rede.
No ocorre nenhuma perda de dados quando voc transfere a Funo de Mestre de Operaes. O
Active Directory duplica a Funo de Mestre de Operaes real para o novo Controlador de Domnio,
assegurando que a nova Funo de Mestre de Operaes obter as informaes necessrias para essa
funo. Essa transferncia utiliza o mecanismo da replicao do diretrio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 7 |
2. O que o servio de diretrio?
Um servio de diretrio um depsito estruturado de informaes sobre pessoas e recursos em uma organizao. Em
uma rede do Windows Server 2003, o servio de diretrio o Active Directory.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 8 |
2.2. O que o esquema?
O esquema do Active Directory contm as definies de todos os objetos, como, por exemplo, usurios,
computadores e impressoras armazenados no Active Directory. Nos Controladores de Domnio que executam o
Windows Server 2003, s existe um esquema para toda a floresta. Dessa forma, todos os objetos criados no
Active Directory seguem as mesmas regras.
O Esquema tem dois tipos de definies: classes de objeto e atributos. Um exemplo de Classes de Objeto so
os usurios, o computador e a impressora, que descrevem os objetos que podem ser criados no diretrio. Cada
Classe de Objeto uma coleo de atributos. Os atributos so definidos separadamente das Classes de Objeto.
Cada atributo definido somente uma vez e pode ser utilizado em vrias Classes de Objeto. Por exemplo, o
atributo da descrio utilizado em vrias Classes de Objetos, mas s definido uma nica vez no Esquema
para garantir a consistncia.
Voc tambm pode criar novos tipos de objetos no Active Directory estendendo o Esquema. Por exemplo, para
um aplicativo de Servidor de E-mail, possvel ampliar a Classe de Usurio no Active Directory com atributos
de diretrio que contenham informaes adicionais, como o endereo e o e-mail dos usurios.
Nos Controladores de Domnio do Windows Server 2003, voc pode reverter modificaes de
esquema desativando-os e permitindo que as organizaes; desta forma, melhorem o uso dos recursos de
extenso do Active Directory.
Tambm possvel redefinir uma classe ou atributo do Esquema, por exemplo, modificar a sintaxe
da seqncia de Unicode do atributo chamado Gerenciador de Vendas para um Nome Distinto.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 9 |
2.3 O que o Catlogo Global?
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 10 |
2.4 O Que So Nomes Distintos e Relativos?
O LDAP utiliza um nome que representa objetos no Active Directory por uma srie de componentes
relacionados com a sua estrutura lgica. Essa representao chamada Nome Distinto do objeto e identifica
o domnio onde est localizado o objeto e a trajetria completa at chegar a ele. O Nome Distinto deve ser
nico na floresta Active Directory.
O Nome Distinto Relativo de um objeto o identifica de modo nico no seu continer. Dois objetos no mesmo
continer no podem ter o mesmo nome. O Nome Distinto Relativo sempre o primeiro componente do Nome
Distinto, mas pode no ser sempre um Nome Comum.
Para uma usuria chamada Suzan Fine da Unidade Organizacional Sales (Vendas) no domnio Contoso.msft,
cada elemento da estrutura lgica est representando no seguinte nome distinto:
CN=Suzan Fine,UO=Sales,DC=contoso,DC=msft
CN o Nome Comum do objeto no seu continer.
UO a Unidade Organizacional que contm o objeto. Pode haver mais de um valor de UO se o objeto residir
em uma Unidade Organizacional aninhada em mais nveis.
DC o Componente do Domnio, por exemplo, .com. ou .msft.. Sempre h, pelo menos, dois Componentes
de Domnio, mas pode haver mais se o domnio for um domnio filho.
Os componentes de domnio dos Nomes Distintos baseiam-se no Domain Name System (DNS).
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 11 |
A tabela a seguir descreve os snap-ins administrativos comuns para administrao do Active
Directory.
Snap-in
Descrio
Usurios e
computadores do
Active Directory
Domnios e Relaes
de Confianas do
Active Directory
Esquema do Active
Directory
Ferramentas
Administrativas
A tabela seguinte descreve as ferramentas de linha de comando para utilizar quando se quer
administrar o Active Directory.
Ferramenta
Dsadd
Dsmod
Descrio
Adiciona objetos ao Active Directory, como computadores, usurios, grupos, unidades
organizacionais e contatos.
Modifica objetos no Active Directory, como computadores, servidores, usurios, grupos,
unidades organizacionais e contatos.
Dsquery
Executa consultas no Active Directory segundo critrios especificados. Voc pode executar
consultas em servidores, computadores, grupos, usurios, sites, unidades organizacionais e
parties.
Dsmove
Move objetos dentro de um domnio para uma nova localizao no Active Directory ou
renomeia um nico objeto sem mov-lo.
Dsrm
Dsget
Csvde
Importa e exporta dados do Active Directory usando formato separado por vrgulas.
Ldifde
Cria, modifica e exclui objetos do Active Directory. Tambm pode estender o Esquema do
Active Directory e exportar informaes de usurios e grupos para outros aplicativos ou
servios.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 12 |
3. Instalao do Active Directory:
3.1. Requisitos para instalar o Active Directory
Antes de instalar o Active Directory, voc deve garantir que o computador esteja preparado para ser um
Controlador de Domnio, cumprindo requisitos de hardware e do sistema operacional. Alm disso, o
Controlador de Domnio dever ter acesso ao servidor de DNS, que deve cumprir determinados requisitos para
oferecer suporte integrao com o Active Directory.
A lista a seguir identifica os requisitos para a instalao do Active Directory:
Um computador executando o Microsoft Windows Server 2003 Standard Edition, Enterprise Edition ou
Datacenter Edition. O Windows Server 2003 Web Edition no oferece suporte ao Active Directory.
Um mnimo de 250 megabytes (MB) de espao no disco. 200 MB para o banco de dados do Active Directory e
50 MB para o log de transaes do Active Directory. Os requisitos de tamanho do arquivo para a base do
Active Directory e os arquivos de registro, dependem do nmero e do tipo de objetos no domnio. Ser
necessrio ter espao de disco adicional se o Controlador de Domnio tambm for Servidor de Catlogo Global.
Uma partio ou um volume com formato NTFS e com sistema de arquivos. A partio NTFS exigida para a
pasta SYSVOL.
Os privilgios administrativos necessrios para criar um domnio em uma rede existente do Windows Server
2003.
TCP/IP instalado e configurado para utilizar o DNS.
Um Servidor DNS de autorizao para o Domnio de DNS e suporte para os requisitos enumerados na tabela
seguinte.
Registros de Recursos do Servidor (Obrigatrio) Recursos Localizador de Servio (SRV). So
registros de DNS que identificam os servios especficos oferecido nos computadores de uma rede do Windows
Server 2003. O Servidor DNS que oferece suporte instalao do Active Directory precisa de suporte a
Registros de Recursos de Servidor. Caso contrrio, voc deve configurar o DNS localmente durante a
instalao do Active Directory ou configurar o DNS manualmente aps a instalao do Active Directory.
Atualizaes Dinmicas (Opcionais). A Microsoft recomenda que os servidores DNS tambm permitam
atualizaes dinmicas. O protocolo dinmico de atualizao permite que os servidores e os clientes em um
ambiente DNS adicionem e atualizem o banco de dados do DNS automaticamente, o que diminui os esforos
administrativos. Se voc utilizar software DNS que oferece suporte aos Registros de Recursos de Servidor, mas
que no oferece suporte ao protocolo dinmico de atualizao, preciso inserir os Registros de Recursos de
Servidor manualmente no banco de dados DNS.
Transferncias de zona incremental (Opcional) Em uma transferncia de zona incremental, as
modificaes realizadas em uma zona no Servidor de DNS Mestre devem ser duplicadas nos servidores DNS
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 13 |
secundrios dessa zona. As transferncias incrementais da zona so opcionais, mas so recomendveis porque
economizam largura de banda da rede, duplicando apenas os registros novos ou modificados entre os
Servidores DNS, em vez do arquivo do banco de dados inteiro da zona.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 14 |
Depois as parties so atualizadas atravs da replicao, em cada um dos Controladores de Domnio criados
de forma subseqente na floresta.
Cria o banco de dados e os logs do Active Directory. A localizao padro do banco de dados e dos
arquivos de logs systemroot\Ntds.
Cria o domnio raiz da floresta. Se o servidor for o primeiro Controlador de Domnio na rede, o processo de
instalao cria o Domnio de Raiz de Floresta e atribui as Funes de Mestre de Operaes ao Controlador de
Domnio, incluindo:
Emulador de Controle de Domnio Primrio (PDC)
Mestre de Operaes de Identificador Relativo (RID)
Mestre de Nomeao de Domnio
Mestre de Esquema
Mestre de Infra-estrutura
Cria a pasta compartilhada do volume do sistema. Essa estrutura de pastas reside em todos os
Controladores de Domnio do Windows Server 2003 e contm as seguintes pastas:
A pasta compartilhada SYSVOL, que contm informaes de Diretiva de Grupo.
A pasta compartilhada de Logon de Rede, que contm os scripts de logon para computadores que no
executam o Windows Server 2003.
Configura propriedade ao site apropriado para o Controlador de Domnio. Se o IP do servidor que
voc est promovendo a Controlador de Domnio estiver em uma sub-rede definida no Active Directory, o
assistente colocar o Controlador de Domnio no site associado com a sub-rede. Se no for definido nenhum
objeto de sub-rede ou se o IP do servidor no estiver dentro do intervalo da sub-rede do Active Directory, o
servidor ser colocado no Primeiro Site Padro. O primeiro site instalado automaticamente quando voc cria
o primeiro Controlador de Domnio na floresta. O assistente de instalao do Active Directory cria um servidor
de objeto do Controlador de Domnio no site apropriado. O servidor de objetos contm as informaes
necessrias para a replicao e tambm contm uma referncia ao objeto do computador nos Controladores de
Domnio OU, indicando que o Controlador de Domnio est sendo criado.
Aplica segurana no Servio de Diretrio e nas Pastas de Replicao de Arquivo Isso implica
controlar o acesso de usurio a objetos do Active Directory.
Aplica a senha conta do administrador. Voc utiliza a conta para iniciar o Controlador de Domnio no
Modo de Restaurao de Servios de Diretrio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 15 |
Para criar o Domnio Raiz da Floresta, voc deve seguir os passos abaixo:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 16 |
3.2.2 Exerccio 2 (Opcional): Como adicionar um Controlador de Domnio adicional?
Para concluir esse exerccio, voc precisar de dois computadores ou dois PCs Virtuais, com um
Controlador de Domnio instalado (Exerccio 1) e um Windows Server 2003.
O procedimento semelhante criao de um novo Controlador de Domnio, com exceo de que
preciso selecionar na primeira tela do assistente a opo Adicionar controlador de domnio
adicional para um domnio. O restante do processo pode ser realizado de duas formas:
1. Atravs da rede: Se voc tiver uma grande quantidade de objetos, essa opo exige uma
conexo com largura de banda ou tempo suficientes para a replicao inicial.
2.
3.3.
Voc poder trocar o sufixo de DNS Primrio de um Controlador de Domnio quando renomeia o Controlador de
Domnio. No entanto, ao modificar o sufixo do DNS Primrio, no mova o Controlador de Domnio para um
novo domnio do Active Directory. Por exemplo, se voc renomear dc2.nwtraders.msft para dc1.contoso.msft,
o computador continua sendo um Controlador de Domnio do nwtraders.msft, embora seu sufixo de DNS
primrio seja contoso.msft. Para mover um Controlador de Domnio para outro domnio, voc deve primeiro
rebaixar o Controlador de Domnio e depois promov-lo no novo domnio.
Obtenha informaes sobre a instalao do Active Directory
http://support.microsoft.com/default.aspx?scid=kb;en-us;324753
http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
http://support.microsoft.com/default.aspx?scid=kb;en-us;814591
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 17 |
3.4. Como solucionar problemas na instalao do Active Directory?
Ao instalar o Active Directory, voc pode ter problemas. Eles podem ser credenciais inadequadas de
segurana, uso de nomes que no so nicos, uma rede no confivel ou falta de recursos.
Em seguida, so descritos alguns problemas comuns que voc pode encontrar enquanto instala o Active
Directory e algumas estratgias para resolv-los.
Acesso negado enquanto cria ou adiciona os Controladores de Domnio. Feche a sesso e depois
reinicie com uma conta que pertena ao grupo local de administradores. As credenciais devem ser de um
usurio que membro do Admins de Domnio ou Admins da empresa.
O nome de DNS ou NetBIOS do domnio no nico Troque o nome para um nome nico.
O domnio no pode ser contatado Verifique se h conexo de rede entre o servidor que voc est
promovendo a Controlador de Domnio e se h, pelo menos, um Controlador de Domnio no domnio. Use o
comando ping do prompt de comando para testar a conexo com qualquer Controlador de Domnio do domnio.
Verifique se o DNS proporciona a resoluo de nomes, pelo menos, a um Controlador de Domnio no domnio.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 18 |
4.1. Introduo
Uma vantagem de integrar o DNS e o Active Directory a capacidade de integrar as zonas de DNS no banco
de dados do Active Directory. Uma zona parte do Espao de Nome de Domnio que agrupa registros de forma
lgica, permitindo transferncias de zona desses registros para funcionar como uma unidade.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 19 |
5. Qual a funcionalidade de Floresta e Domnio?
5.1. Introduo
No Windows Server 2003, a funcionalidade de floresta e domnio proporciona uma maneira de permitir os
novos recursos em toda a floresta ou domnio do Active Directory no seu ambiente de rede. Diversos nveis da
funcionalidade da floresta e do domnio esto disponveis, dependendo do seu ambiente de rede.
5.3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 20 |
Relaes de confiana entre florestas
Replicao melhorada
Importante: Voc no pode rebaixar o nvel funcional do domnio ou da floresta depois que ele tiver sido elevado.
5.4.
5.4.1
Introduo
Alm dos recursos bsicos do Active Directory nos Controladores de Domnio individuais, os novos
recursos em toda a floresta (forest-wide) e em todo o domnio (domain-wide) esto disponveis
quando determinadas condies so cumpridas.
Para ativar os novos recursos de todo o domnio, todos os Controladores de Domnio no domnio
devem executar o Windows Server 2003, e o nvel funcional do domnio deve ser elevado para o
Windows Server 2003. Voc precisa ser administrador do domnio para elevar o nvel funcional do
domnio.
Para ativar os novos recursos de toda a floresta, todos os Controladores de Domnio na floresta devem
executar o Windows Server 2003, e o nvel funcional da floresta deve ser elevado ao Windows Server
2003. Voc precisa ser administrador Enterprise para elevar o nvel funcional da floresta.
Para obter mais informaes sobre os nveis de funcionalidade:
http://support.microsoft.com/default.aspx?scid=kb;en-us;322692
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 21 |
3.
Selecione o nvel funcional do Windows Server 2003 na caixa Selecione um nvel funcional
de domnio disponvel e depois clique em Aumentar.
Nota: Voc deve elevar o nvel funcional de todos os domnios em uma floresta ao Windows 2000
nativo ou mais alto, antes de elevar o nvel funcional da floresta.
6.1. Introduo
O Windows Server 2003 suporta confianas entre florestas que permite que os usurios na floresta tenham
acesso a recursos em outra floresta. Quando um usurio tenta obter acesso a um recurso em uma floresta
confivel, o Active Directory primeiro localizar o recurso.
Depois de localizar o recurso, o usurio poder ser autenticado e ter acesso ao recurso. Entender como este
processo funciona o ajudar a identificar problemas que possam se apresentar com confianas entre florestas.
Um usurio que inicie a sesso no domnio vancouver.nwtraders.msft tenta ter acesso a uma pasta
compartilhada na floresta contoso.msft. O computador do usurio entra em contato com o KDC em
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 22 |
2.
3.
4.
5.
6.
7.
8.
9.
Nota: Lembre-se de que para poder utilizar esse novo recurso, preciso ter as duas florestas no nvel
funcional do Windows Server 2003. As relaes de confianas entre florestas no Windows Server 2003 lhe
permitem validar os usurios usando o Kerberos v5, utilizando a segurana prpria do protocolo. Tambm
permitido que as confianas transitem entre duas florestas, e no em mltiplas florestas. Por exemplo: A
floresta A estabeleceu uma confiana com a floresta B, e todos os domnios nas duas florestas podem utilizar
essa confiana. No entanto, se, por sua vez, a floresta B tem uma confiana na floresta C, no existe nenhum
tipo de relao entre a floresta A e a floresta C.
Para obter mais informaes sobre relaes de confiana:
http://support.microsoft.com/default.aspx?scid=kb;en-us;325874
http://support.microsoft.com/default.aspx?scid=kb;en-us;816101
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 23 |
7. Replicao no Active Directory
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 24 |
Convergncia. Cada atualizao no Active Directory propagada a todos os Controladores de Domnio no
site que contm a partio na qual a atualizao foi realizada. Essa propagao completa chamada de
convergncia.
Propagation dampening. O processo de evitar uma replicao desnecessria. Cada Controlador de Domnio
atribui a cada modificao de atributo ou objeto um Nmero de Seqncia de Atualizao (USN) para evitar a
replicao desnecessria.
Conflitos. Quando atualizaes simultneas originadas em dois mestres de replicaes diferentes so
inconsistentes, podem ocorrer conflitos. O Active Directory resolve trs tipos de conflitos: atributo, contineres
eliminados e conflitos de Nome Distinto Relativo (RDN).
Carimbo global nico. O Active Directory mantm um carimbo que contm o nmero da verso, carimbo
de hora, e identificador global exclusivo (GUID) de servidor que o Active Directory criado durante a atualizao
originaria.
7.2.
7.3.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 25 |
Quando voc adiciona Controles de Domnio a um site, o Active Diretory usa o Knowledge Consistency Checker
(KCC) para estabelecer um caminho de replicao entre os Controladores de Domnio.
O KCC um processo que funciona em cada Controlador de Domnio e gera a topologia da replicao para
todas as parties do diretrio contidas nesse Controlador de Domnio. O KCC executado em intervalos
especficos, a cada 15 minutos por padro, e define os caminhos de replicao entre Controladores de Domnio
nas conexes mais favorveis disponveis no momento.
Este processo foi melhorado com relao ao processo do Windows 2000, fazendo com que essa nova
caracterstica elimine a limitao existente de um mximo de 500 sites no Active Directory. Atualmente j
foram testados at 3000 sites e o suporte mximo de 5000 sites.
Nota: Para aproveitar essa caracterstica, voc deve ter a floresta no nvel funcional do Windows Server 2003
ou do Windows Server 2003 Interim.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 26 |
Voc utiliza sites para controlar o trfego de replicaes, o trfego de logins e as consultas do cliente ao
Servidor de Catlogo Global.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 27 |
7.4.2. O que so os objetos sub-rede?
Os objetos de sub-rede identificam os endereos de rede que utilizam os computadores nos sites.
Uma sub-rede um segmento de uma rede TCP/IP ao qual atribudo um sistema de endereos IP
lgicos. Considerando que os objetos da sub-rede representam a rede fsica, eles formam sites. Por
exemplo, se 3 sub-redes estiverem situadas em 3 campos em uma cidade e esses campos estiverem
conectados com conexes de alta velocidade e alta disponibilidade, voc pode associar cada uma
dessas sub-redes a um site.
Um site pode consistir em uma ou mais sub-redes. Por exemplo, em uma rede que tem 3 sub-redes
em Redmond e 2 em Paris, voc pode criar um site em Redmond, um site em Paris e depois adicionar
as sub-redes nos respectivos sites.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 28 |
8. Fazer backup do Active Directory.
Fazer o backup do Active Directory essencial para manter o banco de dados do Active Directory. Voc pode fazer o
backup do Active Directory usando uma interface de usurio grfica (GUI) e ferramentas de linha de comando
fornecidas pelo Windows Server 2003.
Voc deve com freqncia fazer backup dos dados do Estado do Sistema nos Controladores de Domnio para que seja
possvel restaurar os dados mais atuais. Estabelecendo um cronograma regular de backup, voc tem mais chances de
recuperao de dados quando necessrio.
Os Dados de Estado do Sistema no Controlador de Domnio incluem os seguintes componentes:
Active Directory Os Dados do Estado do Sistema no contm o Active Directory, a menos que o servidor no qual voc
est fazendo backup dos Dados de Estado do Sistema seja um Controlador de Domnio. O Active Directory s est
presente nos Controladores de Domnio.
A pasta compartilhada SYSVOL. Esta pasta compartilhada contm arquivos de Diretivas de Grupo e scripts de login.
A pasta compartilhada SYSVOL est presente somente em controladores de domnio.
O registro. Este repositrio de banco de dados contm as informaes sobre a configurao dos computadores.
Arquivos de inicializao do sistema. O Windows Server 2003 exige esses arquivos durante sua fase de
inicializao. Eles incluem os arquivos do sistema e inicializaes que esto protegidos pela proteo do arquivo do
Windows.
O banco de dados COM+ Registro de Classe. O banco de dados do Registro de Classe contm informaes sobre
aplicativos de Servios de Componente.
O banco de dados dos Servios de Certificado. Este banco de dados contm os certificados do servidor que o
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 29 |
Windows Server 2003 utiliza para autenticar usurios. Esse banco s est presente se o servidor estiver funcionando
como servidor de certificados.
Para realizar a operao de backup, voc pode utilizar a ferramenta prevista pelo Windows Server 2003:
1.
2.
3.
4.
5.
6.
7.
8.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 4 | Pgina 30 |
Voc pode utilizar um dos trs mtodos para restaurar o Active Directory de meios de backup: restaurao
primria, restaurao normal (sem autoridade) e restaurao com autoridade.
1.
Restaurao primria. Este mtodo reconstri o primeiro controlador de domnio no domnio quando no h
outra maneira de reconstruir o domnio. Faa uma restaurao primria somente quando todos os
controladores de domnio em um domnio estiverem perdidos e voc quiser reconstruir o domnio usando o
backup.
2.
Restaurao Normal. Este mtodo reinstala os dados do Active Directory no estado antes do backup e
atualiza os dados com o processo normal de replicao. Realize uma restaurao normal quando quiser
restaurar um nico controlador de domnio a um estado previamente conhecido.
3.
Restaurao com autoridade. Voc executa esse mtodo junto com uma restaurao normal. Uma
restaurao com autoridade marca os dados especficos e evita que a replicao substitua esses dados. Os
dados autorizados so replicados atravs do domnio.
Para realizar uma restaurao primria do Active Directory, siga os passos abaixo:
1.
2.
3.
4.
5.
6.
7.
8.
9.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 1 |
Captulo 5
Implementao, Administrao e Monitorao da Diretiva de
Grupos
Durante este captulo, voc assimilar os conhecimentos necessrios para administrao, projeto e implementao
adequados de Diretiva de Grupos.
Para poder realizar os exerccios dessa unidade, necessrio j ter concludo os exerccios dos captulos 2 e 3.
1. Introduo
Voc utiliza a Diretiva de Grupo no Active Directory para centralizar o controle de usurios e computadores em uma
empresa. Configurando a Diretiva de Grupos, possvel centralizar polticas para toda uma organizao, domnio,
sites ou unidades organizacionais e tambm descentralizar a configurao da Diretiva de Grupos, configurando-a para
cada departamento no nvel da unidade organizacional.
Voc pode se certificar de que os usurios dispem dos ambientes necessrios para realizar seus trabalhos e fazer
cumprir as polticas das organizaes, incluindo normas, metas e requisitos de segurana da empresa. Alm disso,
possvel baixar o Custo Total da Propriedade controlando ambientes de usurio e de computadores, de forma que a
necessidade de ajuda tcnica e o prejuzo produtividade decorrentes de erros seja reduzido.
Ao concluir este captulo, voc poder:
Criar e configurar objetos de Diretivas de Grupos (GPOs).
Configurar intervalos de atualizao da Diretiva de Grupos e configuraes da Diretiva de Grupos.
Administrar GPOs.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 2 |
Para obter mais informaes
sobre a Diretiva de Grupo:
Microsoft IntelliMirror.
Viso Geral de Configuraes de
Diretiva de Grupo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 3 |
As Configuraes de Diretiva de Grupo, que modificam o ambiente conforme requisitos particulares da rea
de trabalho e para todos os usurios de um computador ou que aplicam as diretivas de segurana nos
computadores de uma rede, podem ser encontradas em Configurao do Computador no editor de Objeto
de Diretivas de Grupo.
Em Configurao do Computador, tambm possvel encontrar:
A pasta Configuraes de Software: contm configuraes de software aplicadas a todos os usurios que
iniciam a sesso no computador. Essa pasta possui configurao de instalao do software e pode conter
outras configuraes inseridas pelo ISVs.
A pasta Configuraes do Windows: contm as configuraes do Windows aplicadas a todos os usurios que
iniciam a sesso no computador. Esta pasta tambm contm os seguintes pontos: Configuraes de
Segurana e Scripts.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 4 |
Configuraes de Segurana est disponvel na pasta Configuraes do Windows localizada em
Configurao do Computador e Configurao do usurio no editor de Objeto de Diretiva de Grupo. As
Configuraes de Segurana ou as Diretivas de Segurana so regras que voc configura em um ou vrios
computadores para proteger recursos em um computador ou em uma rede. Com Configuraes de Segurana
voc pode especificar Diretivas de Segurana de uma unidade organizacional, domnio ou site.
Para mais informaes sobre o extensor de Diretiva de Grupo, veja os mtodos Avanados estendendo
Diretiva de Grupo em:
http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/prodtechnol/windowsserver2003/proddocs/server/sag_SPconcepts_30.asp
Para evitar que os usurios desativem o servidor usando Configurao de Diretiva Local,
preciso:
1.
2.
3.
4.
5.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 5 |
O Group Policy Management Console combina a funcionalidade de mltiplos componentes em uma nica
interface de usurio (UI). A UI estruturada conforme o modo como a Diretiva de Grupo utilizada e
controlada. Ela tambm incorpora a funcionalidade relacionada com a Diretiva de Grupo das ferramentas
seguintes em um nico snap-in MMC:
Usurios e Computadores do Active Directory
Sites e Servios do Active Directory
Conjunto de Diretivas Resultantes (RSoP)
O Gerenciamento de Diretivas de Grupos tambm proporciona os seguintes recursos ampliados que no
estavam disponveis em ferramentas anteriores de Diretiva de Grupos. Com o Gerenciamento de Diretiva de
Grupos, voc pode:
Fazer backup e restaurao de GPOs.
Copiar e importar GPOs.
Usar filtros de Windows Management Instrumentation (WMI).
Gerar relatrios de GPO e RSoP.
Pesquisar para GPOs.
Group Policy Management vs. ferramentas padro de Diretiva de Grupos
Antes do Group Policy Management, voc administrava a Diretiva de Grupo usando diversas ferramentas do
Windows, incluindo Usurios e Computadores do Active Directory, Sites e Servios do Active Directory e
RSoP. Mas agora o Gerenciamento de Diretiva de Grupo consolida a administrao de todas as tarefas
baseadas em Diretiva de Grupo em uma nica ferramenta. Graas a essa administrao consolidada, a
funcionalidade de Diretiva de Grupo no exigida em outras ferramentas.
Depois de instalar o Group Policy Management, voc ainda utiliza cada uma das ferramentas do Active
Directory para seus objetivos especficos de administrao de diretrios, por exemplo, criar um usurio,
computador e grupo. No entanto, voc pode utilizar o Gerenciamento de Diretivas de Grupo para realizar
todas as tarefas relacionadas a Diretivas de Grupo. A funcionalidade de Diretiva de Grupo no estar mais
disponvel nas ferramentas do Active Directory quando o Group Policy Management for instalado.
O Group Policy Management no substitui o editor do Objeto de Diretiva de Grupo. No entanto, voc deve
editar os GPOs, usando o editor de Objeto de Diretiva de Grupos. O Group Policy Management integra a
funcionalidade de edio proporcionando acesso direto ao editor de Objeto de Diretiva de Grupo.
Nota: O Console do Group Policy Management no fornecido com o Server 2003.
Voc deve fazer o download a partir de:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F39E9D60-7E41-4947-82F53330F37ADFEB&displaylang=en
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 6 |
1.5. Exerccio 2: Como criar um GPO?
Utilize os procedimentos a seguir para criar um novo GPO ou um link para um GPO existente, usando o Active
Directory Users and Computers, e para criar um GPO em um site, domnio ou unidade organizacional.
Para criar um GPO novo ou estabelecer um link para um GPO existente usando Usurios e
Computadores do Active Directory:
1.
2.
O GPO ou o link que voc cria so exibidos na lista de GPOs que esto vinculados ao continer do Active
Directory.
Todo os GPOs so armazenados em um continer do Active Directory chamado Objetos de Diretiva de Grupo.
Quando um GPO utilizado por um site, domnio ou unidade organizacional, o GPO vinculado ao continer
de Objetos de Diretiva de Grupos. Conseqentemente, voc pode centralizar a administrao e a
implementao de GPOs em muitos domnios ou unidades organizacionais.
Quando cria um link de GPO em um site, domnio ou unidade organizacional, voc pode realizar duas
operaes diferentes: criar o novo GPO e vincul-lo ao site, domnio ou unidade organizacional. Ao delegar
permisses e vincular um GPO ao domnio, unidade organizacional ou ao site, voc poder modificar as
permisses para o domnio, a unidade organizacional ou o site que deseja delegar.
Por padro, somente os membros dos grupos de Admins de Domnio e Admins da Empresa tm as
permisses necessrias para vincular GPOs a domnios e unidades organizacionais. Somente os membros do
grupo Admins da Empresa tm permisses para vincular GPOs a sites. Membros dos Proprietrios Criadores
de Diretiva de Grupo podem criar GPOs, mas no podem vincul-los.
Quando voc cria um GPO no continer de Objetos de Diretiva de Grupo, o GPO no aplicado a nenhum
usurio ou computador at que o link de GPO seja criado. Voc pode criar um GPO desvinculado usando o
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 7 |
Group Policy Management e tambm pode criar GPOs desvinculados em uma organizao de grande porte,
onde um grupo cria GPOs e outro cria links de GPOs para site, domnio ou unidade organizacional.
No Group Policy Management Console, expanda a floresta contendo o domnio ao qual voc deseja
vincular um GPO existente. Expanda Domnios e o domnio.
Clique com o boto direito no domnio, site ou unidade organizacional. Depois de clicar no Conectar a
uma diretiva existente.
Na caixa Selecionar diretiva, clique no GPO que deseja vincular e depois clique em OK.
Voc tambm pode ter mltiplos GPOs vinculados aos mesmos contineres. Por exemplo, possvel ter trs
GPOs vinculados a um nico domnio. A ordem em que so aplicados os GPOs pode afetar o resultado da
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 8 |
configurao da Diretiva de Grupo. Tambm h uma ordem ou prioridade de Diretiva de Grupos e de GPOs
para cada continer.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 9 |
Ao usar Bloquear herana de diretiva, ele dever considerar o seguinte:
No possvel escolher seletivamente o que os GPOs bloqueiam. Bloquear herana de diretiva afeta
todos os GPOs de todos os contineres pai, exceto os GPOs configurados com a opo No Substituir, sem
GPMC instalada e Forado com GPMC instalada.
Bloquear herana de diretiva no bloqueia a herana de um GPO vinculado a um continer pai se o
vnculo for configurado com a opo No Substituir.
Importante: Antes de instalar o Group Policy Management Console, a opo Forado (Enforced)
chamada No Substituir em Usurios e Computadores do Active Directory.
Para configurar a aplicao de link de GPO, preciso:
1. No Group Policy Management Console, expanda a floresta contendo o link no qual voc deseja configurar a
aplicao. Depois siga um dos passos abaixo:
Para configurar a aplicao do link de GPO a um domnio, expanda Domnios e o domnio
que contm o link de GPO.
Para configurar a aplicao do link de GPO a uma unidade organizacional, expanda
Domnios e o domnio que contm a unidade organizacional. Depois de expandir a unidade
organizacional que pode incluir unidade organizacional pai ou filha e que contenha o link de GPO.
Para configurar a aplicao do link de GPO a um site, expanda Sites e depois o site que
contm o link de GPO.
2. Clique com o boto direito do mouse no link de GPO e depois clique em Forado para ativar ou desativar a
aplicao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 10 |
Por padro, todas as Configuraes de Diretiva de Grupos contidas nos GPOs afetam o continer e so
aplicadas a usurios e computadores desse continer, o que no produz os resultados que voc deseja.
Usando o recurso de filtro, possvel determinar se as configuraes se aplicam aos usurios e aos
computadores no continer especfico.
Voc pode filtrar a implementao do GPO definindo permisses no link de GPO para determinar o acesso de
leitura ou negar a permisso no GPO. Para que as Configuraes de Diretiva de Grupo sejam aplicadas a uma
conta de usurio ou de computador, a conta deve ter, pelo menos, permisso de leitura para um GPO. Por
padro, as permisses para um novo GPO tm as seguintes Access Control Entries (ACEs):
Usurios Autenticados. Permitir leitura e aplicar Diretiva de Grupo
Admins de Domnio, Adminis da Empresa e SYSTEM. Permitir leitura, Permitir gravao, Permitir
criar todos os objetos filhos, Permitir excluir todos os objetos filhos
Voc pode utilizar os seguintes mtodos de filtro:
Negar explicitamente
Este mtodo utilizado para negar o acesso diretiva de grupo Por exemplo, voc poderia negar
explicitamente a permisso ao grupo de segurana dos administradores, que avisaria os
administradores da unidade organizacional sobre a recepo de Configuraes de GPO.
Remover usurios autenticados
Voc pode remover os administradores da unidade organizacional do grupo de segurana, o que
significa que no h nenhuma permisso explcita para o GPO.
Para mais informaes sobre a Diretiva de Grupo:
http://support.microsoft.com/default.aspx?scid=kb;en-us;324753
http://microsoft.com/downloads/details.aspx?
FamilyId=D26E88BC-D445-4E8F-AA4E-B9C27061F7CA&displaylang=en
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/management/gp/default.asp
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 11 |
A administrao do ambiente de usurio significa controlar o que eles podem fazer quando iniciam a sesso na rede.
Isso feito atravs da Diretiva de Grupo, controlando os computadores do escritrio, as conexes de rede e as
interfaces de usurio. Voc controla os ambientes de usurio para garantir que eles tenham apenas o acesso
necessrio para realizarem seus trabalhos. Dessa forma, eles no podem corromper ou configurar incorretamente
seus ambientes.
Quando voc configura ou controla ambientes de usurio de forma centralizada, possvel realizar as
seguintes tarefas:
Controlar os usurios e os computadores: Isso possvel controlando-se a configurao da rea de
trabalho do usurio com diretivas baseadas no registro. Dessa forma, voc garante que os usurios tenham
os mesmos ambientes, mesmo quando iniciam a sesso em computadores diferentes. Assim, voc pode
controlar como o Microsoft Windows Server 2003 administra seus perfis de usurio, que especificam a
forma como os dados pessoais de um usurio esto disponveis. Redirecionando pastas de usurio dos discos
rgidos locais do usurio para um local central de um servidor, voc pode garantir que os dados dos usurios
estejam disponveis para eles, independente do computador onde a sesso foi iniciada.
Implementar software. O software instalado nos computadores ou nos usurios com servio de
diretrio Active Directory. Com a instalao do software, voc pode garantir que os usurios tenham seus
programas, service packs e hotfixes exibidos.
Se voc desativar uma configurao de diretiva, estar desativando a ao da configurao de diretiva. Por
exemplo, os usurios, por padro, podem ter acesso ao Painel de Controle. Para eles, voc no precisa
desativar a configurao de diretiva Restringir acesso ao Painel de Controle, a menos que tenha
previamente aplicado uma configurao de diretiva ativando-a. Nessa situao, voc ter que definir outra
configurao de diretiva para desativar a que foi aplicada previamente.
Isso til quando configuraes de diretiva so herdadas e no se deseja usar filtros para aplicar
configuraes de diretiva a grupos especficos. Voc pode aplicar um GPO que permita uma configurao de
diretiva na unidade organizacional pai e outra definio de diretiva que desative o GPO na unidade
organizacional filha.
Quando voc aceita uma definio de diretiva, est consentindo a ao dessa configurao de diretiva. Por
exemplo, para negar a algum acesso ao Painel de Controle, voc pode permitir a configurao de diretiva
Restringir acesso ao Painel de Controle.
Um GPO executa valores que modificam o registro dos usurios e dos computadores que esto em
conformidade com o GPO. Por padro, a configurao de uma diretiva No Configurado. Se quiser
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 12 |
redefinir uma configurao de diretiva de um computador ou um usurio para o valor predefinido ou para a
diretiva local, voc dever selecionar a opo No Configurado. Por exemplo, voc pode permitir uma
configurao de diretiva para alguns clientes e, ao usar a opo No Configurado, a diretiva inverter a
diretiva padro ou a definio de diretiva local.
Alguns GPOs exigem que sejam fornecidas determinadas informaes adicionais depois de permitir o objeto.
Algumas vezes, pode ser necessrio selecionar um grupo ou um computador se a configurao de diretiva
precisar voltar a fornecer ao usurio uma determinada informao. Outras vezes, para permitir configuraes
proxy, voc dever fornecer o nome ou o endereo IP do servidor proxy e o nmero da porta. Se a
configurao de diretiva tiver mltiplos valores e as configuraes estiverem em conflito com outra
configurao de diretiva, as configuraes com mltiplos valores em conflito so substitudas pela ltima
configurao de diretiva aplicada.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 13 |
Para implementar o script, voc utiliza a Diretiva de Grupo e o adiciona configurao apropriada em um
modelo de Diretiva de Grupos. Isso indica que o script pode ser executado na inicializao, desligamento,
logon ou logoff.
Para adicionar um script ao GPO, preciso:
1.
2.
3.
4.
5.
6.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 14 |
2.6. Pastas que podem ser redirecionadas
Voc pode redirecionar as pastas Meus Documentos, Dados de Aplicativos, Desktop e Menu Iniciar. Uma
organizao deve redirecionar essas pastas para preservar dados e configuraes importantes do usurio.
Existem vrias vantagens do redirecionamento de cada uma dessas pastas, que variam conforme as
necessidades da organizao.
Voc pode utilizar o redirecionamento para qualquer das seguintes pastas no perfil de usurio:
Meus Documentos
O redirecionamento de Meus Documentos particularmente vantajoso porque a pasta tende a realiz-lo a
longo prazo.
A tecnologia de Arquivos Offline permite que os usurios tenham acesso a Meus Documentos, mesmo
quando no esto conectados rede. Isso particularmente til para quem utiliza computadores portteis.
Dados de aplicativos
As configuraes de Diretiva de Grupos controlam o comportamento dos Dados de Aplicativos quando o
cache do cliente est ativado. Essa configurao sincroniza os dados de aplicativos centralizados em um
servidor da rede com o computador local. Conseqentemente, o usurio pode trabalhar on-line ou offline. Se
forem realizadas modificaes de dados de aplicativos, a sincronizao atualiza os dados do aplicativo sobre o
cliente e o servidor.
Desktop
Voc pode redirecionar a rea de trabalho e todos os arquivos, atalhos e pastas a um servidor centralizado.
Menu Iniciar
Quando o menu Iniciar redirecionado, suas subpastas tambm so redirecionadas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 15 |
5.
6.
7.
Gpupdate uma ferramenta de linha de comando que atualiza as configuraes de Diretiva de Grupo locais
e configuraes de Diretiva de Grupo armazenadas no Active Directory, incluindo as configuraes de
segurana. Por padro, as configuraes de segurana so atualizadas a cada 90 minutos em uma estao de
trabalho ou um servidor, e a cada 5 minutos em um Controlador de Domnio. Voc pode executar gpupdate
para testar uma configurao de Diretiva de Grupo ou aplic-la diretamente.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 16 |
Os exemplos a seguir demonstram como voc pode utilizar o comando gpupdate:
C:\gpupdate
C:\gpupdate /target:computer
C:\gpupdate /force /wait:100
C:\gpupdate /boot
Gpupdate tem os parmetros a seguir.
/Target:{Computador | Usurio} Especifica a atualizao somente de usurios ou computadores para
suas configuraes de diretiva. Por padro, a diretiva de usurio e computador atualizada.
/Force Replica todas as configuraes de diretiva. Por padro, somente as configuraes de diretiva que
foram modificadas so replicadas.
/Wait:{Valor} Defina o nmero de segundos a aguardar o processamento da diretiva. O padro 600
segundos. O valor ' 0 ' indica que no h espera. O valor ' -1 ' indica uma espera indefinidamente.
/Logoff Faz logoff depois de atualizar a configurao de definies de Diretiva de Grupos.
/Boot Faz com que o computador seja reiniciado depois da atualizao das configuraes de Diretiva do
Grupo.
/Sync Faz como que a prxima configurao de definio de diretiva seja aplicada de forma sncrona.
Como voc pode aplicar nveis sobrepostos das configuraes de diretivas a qualquer computador ou usurio,
a Diretiva de Grupo gera um relatrio da aplicao das diretivas no logon. Gpresult exibe o relatrio da
aplicao da diretiva no computador para o usurio especificado no logon.
O comando gpresult exibe as configuraes de Diretiva de Grupo e o Conjunto de Diretivas Resultante
(RSoP) para um usurio ou um computador. Voc pode utilizar gpresult para verificar se as configuraes de
GPO esto em vigor e localizar problemas no aplicativo.
Os exemplos a seguir demonstram como voc pode utilizar o comando gpresult:
C:\gpresult
C:\gpresult
C:\gpresult
C:\gpresult
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 17 |
/usurio TargetUserName Especifica o nome de usurio de quem so exibidos os dados RSoP.
/scope {usurio|computador} Exibe as configuraes de diretiva de usurio ou computador. Os valores
vlidos para o parmetro /scope so usurio ou computador. Se no for includo o parmetro /scope, o
gpresult exibe usurio e computador.
/v Especifica que a sada exibir informaes detalhadas da diretiva.
/v Especifica que a sada exibir todas as informaes disponveis sobre a Diretiva de Grupo. Como esse
parmetro gera mais informaes que o parmetro /v, preciso redirecionar a sada para um arquivo de
texto quando esse parmetro utilizado (por exemplo, s pode ser gravado em gpresult /z >policy.txt).
/? Exibe a ajuda na janela de comandos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 18 |
3. Administrao de instalao do software
O Microsoft Windows Server 2003 inclui uma caracterstica chamada instalao e manuteno de software que
utiliza o servio do Active Directory, Diretiva de Grupo e Microsoft Windows Installer para instalar, manter e desligar
software nos computadores da sua organizao. Usando o mtodo de administrao e instalao de software baseado
em diretivas, possvel garantir que os programas de que os usurios precisam para realizar seus trabalhos estejam
disponveis sempre e onde necessrio.
No Windows Server 2003, voc pode utilizar a Diretiva de Grupo para controlar o processo de instalao do
software centralizado a partir de uma localizao. Alm disso, as configuraes de Diretiva de Grupo podem
ser aplicadas aos usurios ou computadores em um site, domnio ou unidade organizacional para instalar,
atualizar ou remover automaticamente o software. Aplicando as configuraes de Diretiva de Grupo no
software, voc pode controlar vrias fases de instalao do software sem instalar software em cada
computador individualmente.
A lista a seguir descreve cada fase da instalao do software e o seu processo de manuteno:
1. Preparao. Primeiro, preciso instalar o software usando a estrutura atual do Objeto de
Diretiva de Grupo (GPO), e tambm identificar os riscos de usar a infra-estrutura atual para instalar
o software. Para preparar arquivos que permitam que um programa seja instalado com a Diretiva de
Grupo, voc deve copiar os arquivos do pacote do Windows Installer em um programa de um ponto
de distribuio de software, que pode ser uma pasta compartilhada em um servidor. Da mesma
forma, possvel adquirir o arquivo do pacote do Windows Installer do fornecedor do programa ou
criar o pacote de arquivo usando um utilitrio de terceiros.
2. Implementao. Nesse caso, preciso criar um GPO que instale o software em um computador
e vincul-lo a um continer apropriado do Active Directory. O software estar instalado quando o
computador for ligado ou quando o usurio iniciar o programa.
3. Manuteno O software atualizado com uma nova verso ou reinstalando o software com um
service pack ou uma atualizao de software. Dessa forma, o software ser automaticamente
atualizado ou reinstalado quando o computador for ligado ou quando o usurio iniciar o programa.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 19 |
4. Remoo. Para eliminar programas de software que no sejam necessrios, preciso remover a
configurao de pacote de software do GPO que instalou o software originalmente. O software ser
automaticamente removido quando o computador for ligado ou quando um usurio iniciar a sesso.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 20 |
3.3. Descrio do processo de Implementao de Software
Quando voc instala o software, est especificando como os aplicativos so instalados e mantidos na sua
organizao.
Para instalar um novo software, utilizando a Diretiva de Grupo, preciso:
1. Criar um ponto de distribuio de software. Esta pasta compartilhada no seu servidor
contm o pacote e os arquivos do software para instal-la. Quando o software instalado em
um computador local, o Windows Installer copia arquivos no computador.
2. Utilizar o GPO para instalar software. Voc deve criar ou realizar as modificaes
necessrias no GPO para o continer onde preciso instalar o aplicativo. Ao mesmo tempo,
preciso configurar o GPO para instalar software para a conta de usurio ou de computador. Esta
tarefa tambm inclui selecionar o tipo de instalao necessrio.
3. Modificar os recursos da instalao do software. Dependendo das suas necessidades, voc
pode modificar as caractersticas que foram definidas durante a instalao inicial do software.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 21 |
Mtodo 1
Mtodo 2
Atribuio
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 22 |
Publicao
Usando
Adicionar
ou
Remover
Programas. Um usurio pode abrir o
Painel de Controle e clicar duas vezes em
Adicionar ou Remover Programas para
exibir os aplicativos disponveis. O
usurio pode selecionar um aplicativo e
depois clicar em Adicionar.
3.
4.
4.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 23 |
1.
2.
Tipo de implantao
Opes de implantao
Opes da interface do usurio da instalao
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 24 |
3.7. Qual a modificao do software?
As modificaes so associadas a um pacote do Windows Installer na instalao anterior que utilize esse
pacote do Windows Installer para instalar ou modificar o aplicativo.
Instalar vrias configuraes de um aplicativo permite que vrios grupos da sua organizao utilizem um
pacote de software de vrias formas diferentes. Voc pode utilizar modificaes de software ou arquivos .mst
(tambm chamado de arquivos de transformao) para instalar vrias configuraes de um aplicativo. Um
arquivo .mst um pacote de software personalizado que modifica como o Windows Installer instala o pacote
.msi associado.
O Windows Installer aplica modificaes nos pacotes conforme as suas especificaes. Para salvar
modificaes em um arquivo .mst, preciso executar o assistente de instalao personalizada e escolher o
arquivo .msi no qual basear a transformao. Voc dever determinar em que ordem aplicar as
transformaes aos arquivos antes de atribuir ou publicar o aplicativo.
Exemplo: Uma empresa de grande porte, por exemplo, pode querer instalar o Microsoft Office XP, mas as
necessidades do Office de cada departamento variam significativamente na organizao. Em vez de
configurar manualmente cada um dos departamentos, voc pode utilizar GPOs e arquivos .mst diferentes
combinados com os arquivos .msi padro, para que cada departamento instale vrias configuraes do Office
XP. Nesse exemplo, voc pode executar o assistente de instalaes personalizadas do Office XP do Office
Resource Kit para criar o arquivo de transformao.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 25 |
3.8. Tipos de atualizao do Software
As tarefas em uma organizao so dinmicas e variadas. Voc pode utilizar a Diretiva de Grupo para instalar
e administrar atualizaes de software que atendam s necessidades de cada departamento na sua
organizao. As atualizaes normalmente envolvem mudanas importantes no software e tm novos
nmeros de verso. Em geral, um nmero substancial de arquivos modificado em uma atualizao.
Vrios acontecimentos no ciclo de vida do aplicativo podem desencadear a necessidade de uma
atualizao, incluindo o seguinte:
Uma nova verso do software lanada e contm recursos novos e aprimorados.
Patches de segurana ou aprimoramentos de funes foram implementados no software desde o
ltimo lanamento.
A organizao decide utilizar um software de diversos fornecedores
Existem trs tipos de atualizaes:
Atualizaes obrigatrias. Essas atualizaes substituem automaticamente uma verso antiga do
software pela nova verso. Por exemplo, se os usurios utilizam atualmente a verso do programa
1.0, eles removem essa verso e a verso do programa 2.0 instalada na prxima vez em que o
computador ligado ou o usurio inicia a sesso.
Atualizaes opcionais. Essas atualizaes permitem que os usurios decidam quando atualizar
para a nova verso. Por exemplo, os usurios podem determinar se desejam atualizar para a verso
2.0 do software ou continuar usando a verso 1.0.
Atualizaes seletivas. Se alguns usurios precisarem de uma atualizao e outros no, voc pode
criar mltiplos GPOs para que sejam aplicados aos usurios que exigem a atualizao e criar pacotes
de software apropriados a eles.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 26 |
3.9. Exerccio 9: Como atualizar o Software instalado?
Voc utiliza a instalao de software para estabelecer o procedimento de atualizao de software para a
verso atual.
Para instalar uma atualizao:
1.
2.
3.
4.
5.
Reimplantao a aplicao de service packs e atualizaes de software ao software instalado. Voc pode
instalar um pacote instalado forando a reinstalao do software. A reinstalao pode ser necessria se o
pacote de software instalado previamente tiver sido atualizado, mas continuar na mesma verso, ou se
houver algum problema de interoperabilidade ou vrus que a reinstalao do software possa corrigir.
Quando voc marca um pacote de arquivos para reinstalao, o software anunciado em todos os que tm
acesso ao aplicativo, seja atravs de atribuio ou publicao. Sendo assim, dependendo de como o pacote
original tenha sido instalado, um desses 3 cenrios ocorrer:
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 27 |
Quando voc atribui software a um usurio, o menu Iniciar, os atalhos da rea de trabalho e a
configurao de registro sero relevantes ao software e atualizados na prxima vez em que o
usurio iniciar a sesso. Na prxima vez em que o usurio iniciar o software, o service pack ou a
atualizao de software sero aplicados automaticamente.
Quando voc atribui o software a um computador, o service pack ou a atualizao de software
aplicado automaticamente na prxima vez em que o computador ligado.
Quando voc publica e instala o software, o menu Iniciar, os atalhos da rea de trabalho e a
configurao de registro refletiro o software e sero atualizados da prxima vez em que o usurio
iniciar a sesso. Na prxima vez em que o usurio iniciar o software, o service pack ou a atualizao
de software sero aplicados automaticamente.
Pode ser preciso remover o software se uma verso no for mais suportada ou se os usurios no precisarem
mais dele. Voc pode forar a remoo do software ou dar aos usurios a opo de continuar usando o
software antigo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 28 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 29 |
4.
Juntamente com o Microsoft Windows Server. 2003, a Microsoft est lanando uma nova ferramenta Group Policy
Management, que unifica a administrao da Diretiva de Grupo. O Microsoft Group Policy Management Console
(GPMC) proporciona uma nica soluo para controlar todas as reas relacionadas Diretiva de Grupo. Consiste em
um novo snap-in do Microsoft Management Console (MMC) e um sistema de interfaces de scripts para a administrao
de Diretiva de Grupo. A GPMC ajuda a gerenciar com mais eficcia uma empresa.
O Group Policy Management Console (GPMC) uma ferramenta nova para controlar a Diretiva de Grupo no
Windows Server 2003.
O GPMC:
Permite que voc controle a Diretiva de Grupo para diferentes florestas, domnios e unidades
organizacionais a partir de uma interface constante.
Exibe os links, herana e delegao da Diretiva de Grupo
Mostra os contineres aos quais a diretiva se aplica
Proporciona relatrios em HTML das configuraes.
Proporciona ferramentas para mostrar o Conjunto de Diretivas Resultantes (RSoP) e experimenta
combinaes propostas de diretivas.
Nota: O GPMC no vem com o Windows Server 2003. Voc pode fazer o download de
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 30 |
4.2. Requisitos do Sistema de GPMC
O GPMC ajuda a controlar ambos os domnios baseados no Windows 2000 e no Windows Server 2003 com o
servio do Active Directory.
Em qualquer caso, o computador que executa o GPMC deve ter um dos sistemas operacionais a
seguir:
Windows Server 2003
Windows XP Professional com Service Pack 1 (SP1) e Microsoft .NET Framework. Alm disso, necessrio
um hotfix ps-SP1 (QFE Q326469). Este QFE atualiza sua verso de gpedit.dll para a verso 5.1.2600.1186,
que exibida para o GPMC. Este QFE includo com o GPMC e a instalao do GPMC pergunta sobre sua
instalao. Entretanto, se o idioma do GPMC no corresponder ao idioma do seu sistema operacional, o GPMC
no instalar o QFE e ser necessrio obter e instalar separadamente este QFE, que ser includo no Windows
XP Service Pack 2.
Aps a concluso da instalao, a guia Diretiva de Grupo que era exibida nas pginas de propriedades de
sites, domnios e unidades organizacionais (OUs) nos snap-ins do Active Directory atualizada para
proporcionar um acesso direto ao GPMC. A funcionalidade que existia previamente na guia original da
Diretiva de Grupo no estar mais disponvel, toda a funcionalidade para controlar a Diretiva de Grupo estar
disponvel atravs do GPMC.
Para abrir o snap-in do GPMC diretamente, utilize alguns dos mtodos a seguir:
Clique em Iniciar, clique em Executar, insira GPMC.msc e depois clique em OK.
Clique no acesso Group Policy Management na pasta Ferramentas Administrativas do menu Iniciar ou
no Painel de Controle.
Crie um console personalizado MMC
1.
2.
Para reparar ou remover o GPMC, use Adicionar ou Remover Programas no Painel de Controle. Voc
tambm pode executar o pacote gpmc.msi, selecionar a opo apropriada e clicar em Concluir.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 31 |
4.4. Modelagem de Diretiva de Grupo e Resultados de Diretiva de Grupo
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 32 |
4.5. Administrar mltiplas florestas
Mltiplas florestas podem ser adicionadas facilmente ao console. Para isso, preciso:
1.
Clicar com o boto direito no n da raiz Group Policy Management e selecionar Add Forest
2.
Especificar o nome DNS ou NetBIOS do domnio criado na floresta que no foi carregado no GPMC, e
clicar em OK.
A floresta especificada aparecer como um n secundrio no console e ser carregada no console com o
domnio que foi incorporado na caixa Add Forest.
Para remover um n de floresta, basta clicar com o boto direito no n e selecionar Remove. Por padro,
voc pode adicionar somente a floresta ao GPMC se houver uma confiana bidirecional com a floresta do
usurio que executa o GPMC.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 33 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 34 |
Os relatrios de HTML tambm facilitam que o administrador tenha viso de todas as configuraes contidas
em um GPO de uma visualizao. Selecionando a opo Show All acima do relatrio, ele completamente
ampliado e mostra todas as configuraes.
Para ver ou salvar um relatrio diretamente em um navegador da Web, voc deve utilizar o Internet Explorer
6 ou o Netscape 7. O Netscape 7 no aceita a funcionalidade que permite mostrar ou ocultar dados nos
relatrios.
4.8.1. Backup
O Backup de GPO coloca uma cpia de todos os dados relevantes de GPO em uma
localizao especificada do sistema de arquivos. Os dados relevantes incluem:
O GUID de GPO e domnio.
Configuraes de GPO.
A Discretionary Access Control List (DACL) do GPO.
O link de filtro do WMI.
A operao de backup s faz backup de componentes do GPO que esto no Active Directory e na
estrutura dos arquivos do GPO em SYSVOL. A operao no captura dados armazenados fora do
GPO, por exemplo, filtros WMI e diretivas de Segurana IP. Esses so objetos separados com seus
prprios sistemas de permisses e possvel que um administrador qualquer faa o backup ou a
restaurao. Ele pode no ter as permisses exigidas nesses outros objetos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 35 |
Os administradores podem fazer backup de uma ou mais de GPOs usando os mtodos
seguintes:
Clique com o boto direito do mouse no GPO no n Group Policy objects e escolha Back
up do menu de contexto.
Clique com o boto direito do mouse em um ou mais GPOs na guia Contents do n
Group Policy objects e escolha Back up do menu de contexto. Isso faz backup dos
GPO(s) selecionados.
No n Group Policy Objects, clique no boto direito do mouse e escolha a opo Back
Up All
Isso faz backup de todos os GPOs no domnio.
Use os scripts de backup do GPO. Voc pode escrever seus prprios scripts ou utilizar a
amostra de scripts includa com o GPMC na pasta GPMC\scripts . Existem dois scripts
BackupGPO.wsf e BackupAllGPOs.wsf que so includos com o GPMC, que voc pode
utilizar para fazer backup de GPOs.
4.8.2. Restaurao
A operao de Restaurao de GPO restaura o GPO a um estado anterior e pode ser utilizado nos
casos seguintes: foi feito o backup no GPO, mas ele foi removido ou o GPO est ativo e voc quer
voltar a um estado anterior.
A operao de restaurao substitui os componentes seguintes de um GPO:
Configuraes de GPO.
ACLs no GPO.
Os links de filtro de WMI.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 5 | Pgina 36 |
Voc pode realizar uma restaurao de GPOs usando qualquer dos mtodos a seguir:
Para restaurar um GPO existente, clique com o boto direito do mouse no GPO no
continer Group Policy objects e selecione Restore from Backup Ele abre Restore
Group Policy Object Wizard.
Use os scripts de restaurao do GPO. Voc pode gravar seus prprios scripts ou utilizar
as amostras de scripts includas com o GPMC na pasta GPMC\scripts
Existem dois scripts RestoreGPO.wsf e RestoreAllGPOs.wsf.
4.8.3. Importar
A operao de importao transfere a configurao em um GPO existente do Active Directory,
usando um backup de GPO na localizao do sistema de arquivos como sua origem. As operaes de
importao podem ser utilizadas para transferir configuraes atravs de GPOs dentro do mesmo
domnio, atravs de domnios na mesma floresta ou em florestas separadas.
As operaes de importao so ideais para imigrar a Diretiva de Grupo em ambientes de onde no
h confiana.
As operaes de importao podem ser realizadas usando qualquer dos mtodos a seguir:
Clique com o boto direito do mouse no GPO no n Objetos de Diretiva de Grupo e clique
em Import Settings. Isso inicia um assistente que o orientar no processo de selecionar o
backup e especificar uma tabela de migrao se apropriado.
Use qualquer dos scripts ImportGPO.wsf ou ImportAllGPOs.wsf includos no GPMC.
4.8.4. Copiar
1.
Uma operao de cpia transfere configuraes usando um GPO existente no Active Directory
como origem e cria um GPO novo como seu destino.
2.
Uma operao de cpia pode ser utilizada para transferir configuraes para um novo GPO
qualquer no mesmo domnio, em outros domnios, na mesma floresta ou em florestas
separadas. Considerando que uma operao de cpia utiliza um GPO existente no Active
Diretory como origem, exigida confiana entre a origem e os domnios do destino.
As operaes de cpia podem ser realizadas usando qualquer dos mtodos a seguir:
Clique com o boto direito do mouse na origem de GPO, escolha a cpia e clique com o
boto direito no continer Group Policy Objects do domnio desejado de destino. Escolha
a opo Colar.
Use Arrastar e soltar para arrastar o GPO da origem ao continer Group Policy Objects
no destino de domnio.
Use o script CopyGPO.wsf de linha de comando includo com o GPMC.
Para obter mais informaes:
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx
http://www.microsoft.com/grouppolicy
http://www.microsoft.com/technet/grouppolicy
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 1 |
Capitulo 6
Implementao e Administrao
do Terminal Server no Windows Server 2003.
Ele tambm oferece suporte a uma ampla gama de clientes e melhora os ambientes de computao ao:
Tornar a famlia do Windows mais escalvel para empresas que queiram implementar a soluo thin client
para oferecer Windows de 32 bits a uma grande variedade de dispositivos de hardware do legado.
Combinar o baixo custo de um terminal com os benefcios de um ambiente gerenciado, baseado no Windows.
Tambm oferece o mesmo ambiente de baixo custo e administrao central de um mainframe tradicional com
terminais, mas acrescenta a familiaridade, a facilidade de uso e a variedade de suporte a aplicativos
proporcionados por uma plataforma de sistema operacional do Windows.
Ao concluir este captulo, voc poder:
Implementar a rea de Trabalho Remota para administrao
Instalar o Terminal Server
Administrar um ambiente Terminal Server
1. Introduo
Os Terminal Services permitem o acesso de mltiplos usurios ao Windows Server 2003, permitindo que vrias pessoas
iniciem sesses em um nico computador simultaneamente. Os administradores podem instalar aplicativos baseados no
Windows do Terminal Server e coloc-los disposio de todos os clientes conectados com o servidor. Embora os
usurios possam ter diversos hardware e sistemas operacionais, a sesso Terminal que aberta na rea de trabalho do
cliente conserva o mesmo aspecto e funcionalidade para todos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 2 |
1.1. Como funciona o Terminal Services?
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 3 |
1.2. Ambientes de Usurio
Depois de instalar o software do cliente, os usurios acessam o Terminal Server abrindo o Cliente de Conexo
de rea de Trabalho Remota do menu Todos os Programas/Acessrios/ Comunicaes. Quando um
usurio conecta e inicia a sesso no Terminal Server, a rea de trabalho do Windows Server 2003 exibida na
rea de trabalho do cliente. Quando um usurio inicia um programa, fcil perceber se o programa no estiver
funcionando de forma local.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 4 |
Os recursos do Terminal Server proporcionam vrias vantagens que uma organizao pode utilizar como
instalao, acesso e controle dos aplicativos de negcios.
Instalao Centralizada
As organizaes podem instalar aplicativos de negcios, considerando que o funcionamento dos programas
ocorrer inteiramente no servidor. O Terminal Server tem o menor TCO para um nico dispositivo de aplicativo
que funciona em uma linha de negcio, por exemplo, um sistema de reservas ou uma Central de Atendimento
ao Cliente.
Oferece tambm as seguintes vantagens:
Menos hardware de alto custo. Funcionrios que realizem trabalhos que exigem acesso apenas a
um programa da empresa e que possam usar terminais ou computadores menos caros.
Acesso fcil a software novo ou atualizado. Quando o Terminal Server est ativado no Windows
Server 2003, os administradores no precisam instalar os aplicativos em cada computador do
escritrio. O aplicativo j est instalado no servidor e os clientes possuem acesso automtico verso
nova ou atualizada do software.
Acesso rea de trabalho do Windows Server 2003
O Terminal Server pode estender o Windows Server 2003 e os aplicativos baseados no Windows a vrios
clientes.
Ao mesmo tempo, tambm permite:
Executar aplicativos do Windows: O Terminal Server pode disponibilizar aplicativos do Windows
a uma ampla variedade de clientes. Esses aplicativos baseados no Windows podem funcionar em
vrios sistemas, de sistema operacional ou hardware, com pouca ou nenhuma modificao.
Ampliar o uso de um equipamento mais antigo A organizao pode implementar o Terminal
Server como tecnologia transitria para criar uma ponte com os sistemas operacionais antigos, os
ambientes da rea de trabalho do Windows Server 2003 e aplicativos de 32 bits baseados no
Windows.
Substituir terminais de texto Como muitos terminais do Windows podem oferecer suporte
conexo por emulao de terminal no mesmo dispositivo, as organizaes podem substituir terminais
de texto por terminais do Windows. Elas permitem que os usurios trabalhem com dados do sistema,
tenham acesso ao software mais novo baseado no Windows como, por exemplo, o Microsoft Outlook.
Segurana e confiabilidade aprimoradas Como nenhum programa ou dado de usurio reside no
cliente, o Terminal Server pode proporcionar um ambiente mais seguro para dados confidenciais.
Tambm oferece suporte criptografia em mltiplos nveis, considerando que sempre h risco de
interceptao no-autorizada da transmisso na conexo entre o servidor e o cliente. Existem trs
nveis de criptografia disponveis: baixo, mdio e alto. Todos esses nveis usam o Padro de
Criptografia Rivest-Shamir-Adleman (RSA) RC4. Esse o padro de criptografia para os dados que
so enviados atravs de redes pblicas como, por exemplo, a Internet.
Administrao e suporte aprimorados
O Terminal Server tem vrios recursos teis para a administrao e tarefas de suporte, que
tambm podem ajudar a reduzir os custos de administrao e de suporte.
Administrao remota. A rea de Trabalho Remota um novo recurso do Terminal Server no
Windows Server 2003. Ele foi desenvolvido para fornecer aos operadores e administradores acesso
remoto aos servidores Microsoft BackOffice e aos Controladores de Domnio. O administrador tem
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 5 |
acesso s ferramentas de interface grfica disponveis no ambiente do Windows, mesmo que no
esteja utilizando um computador com Windows para administrar o servidor.
Suporte remoto. Os administradores podem oferecer suporte remoto para um usurio que inicie a
sesso no Terminal Server, acompanhando a sesso do cliente a partir de outra sesso do cliente. Os
administradores ou o pessoal de suporte tambm podem realizar aes de teclado e mouse por um
usurio, usando o Controle Remoto. O Controle Remoto pode ser til para oferecer treinamento e
suporte de usurios nos sistemas ou aplicativos novos.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 6 |
forma perceptvel quando os usurios utilizarem aplicativos do MS-DOS, preciso ajustar as
configuraes do sistema.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 7 |
1.4.2. Identificar requisitos de hardware do cliente
Computadores de cliente conectados a um Terminal Server no exigem muito poder de
processamento e, por isso, muito fcil integrar o Terminal Server a uma rede que tenha
computadores e equipamentos antigos.
O Terminal Server oferece suporte s seguintes plataformas
Microsoft Windows 2000/XP/2003
Microsoft Windows NT verses 3.51 e 4.0
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows para Workgroups 3.11
Microsoft Windows CE, Handheld PC Edition 3.0
Windows CE, Handheld PC Professional Edition 3.0
Terminais baseados ao Windows
Requisitos de Hardware
A tabela a seguir descreve os requisitos de hardware especficos do cliente para Terminal Server.
Sistema Operacional
RAM
CPU
Vdeo
Windows 2000
32 megabytes (MB)
Pentium
VGA
16 MB
486
VGA
Windows 98
16 MB
486
VGA
Windows 95
16 MB
386
VGA
16 MB
386
VGA
Fornecedor
Fornecedor
Fornecedor
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 8 |
1.4.3. Determinar a configurao do servidor para suporte de usurios
Considerando
que
todo
o
processamento dos aplicativos
executado no servidor, o Terminal
Server normalmente exige mais
recursos de servidor por usurio do
que um computador que esteja
executando o Windows Server
2003. Certificar-se de que o seu
servidor pode acomodar a sua base
de
usurios
crucial
para
determinar como o funcionamento
do servidor do Terminal Server
deve oferecer suporte aos usurios.
Alm disso, necessrio considerar
os seguintes fatores: configurao
do sistema, dispositivos perifricos
e caractersticas de usurio.
Configurao do Sistema
Antes de instalar o Terminal Server, considere as recomendaes a seguir:
Tipos de servidor. Recomenda-se instalar o Terminal Server em um Servidor Membro e
no em um Controlador de Domnio. A instalao do Terminal Server em um Controlador de
Domnio pode criar obstculos para o funcionamento do servidor devido s necessidades de
memria, trfego da rede e o tempo que o processador precisa para realizar as tarefas de um
controlador de domnio no domnio.
RAM. Geralmente, um Terminal Server exige um adicional de 4 a 10 MB de RAM para cada
sesso do terminal.
Sistema de arquivos. Recomenda-se instalar um Terminal Server em uma partio
formatada com o Sistema de Arquivo NTFS, visto que ele proporciona segurana para os
usurios em um ambiente de mltiplas sesses com acesso s mesmas estruturas de dados.
Dispositivos Perifricos
Os dispositivos perifricos tambm podem afetar o funcionamento do Terminal Server:
Discos rgidos. A velocidade do disco crtica para o funcionamento do Terminal Server.
As unidades de disco SCSI (Small Computer System Interface), especialmente dispositivos
compatveis com o SCSI e Scsi-2 rpidos, tm um desempenho de processamento bem
melhor do que os outros tipos de discos. Isso menos importante nos sistemas que no
armazenam Perfis de Usurio e dados no Terminal Server, mas afeta o tempo de
carregamento inicial do programa. Para um melhor desempenho do disco, importante
considerar o uso do Controlador RAID (Redundant Array of Independent Disks) SCSI. O
Controlador RAID insere automaticamente os dados em mltiplos discos para aumentar o
desempenho e melhorar a confiabilidade dos dados.
Adaptador de rede. Recomenda-se usar um adaptador de rede de alto desempenho,
especialmente se os usurios exigirem acesso a dados que sejam armazenados nos
servidores de rede ou executem aplicativos cliente/servidor. Usando mltiplos adaptadores,
possvel aumentar de forma perceptvel o rendimento da rede e tambm a segurana do
sistema na separao do acesso do cliente de servios back-end.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 9 |
Caractersticas de Usurio
Os padres de uso dos usurios de computadores podem ter um impacto importante no
funcionamento do Terminal Server.
O teste de funcionamento do Microsoft simula usurios nas trs categorias seguintes:
Funcionrio de entrada de dados: Esses funcionrios trabalham somente com um nico
aplicativo utilizado na entrada de dados (por exemplo, aplicativos de negcios desenvolvidos
no Microsoft Visual Basic).
Funcionrio de tarefa estruturada. Esses funcionrios executam um ou dois programas
ao mesmo tempo. Os usurios tpicos executam programas que no exigem muito do sistema
(por exemplo, um processador de texto e um navegador). Os programas so abertos e
fechados com freqncia.
Funcionrio de conhecimento. Os funcionrios que trabalham com conhecimento
executam trs ou mais programas simultaneamente e geralmente deixam seus programas
abertos. Os funcionrios que utilizam conhecimentos tambm podem executar programas
que exijam processamento intenso do sistema (por exemplo, consultas detalhadas em
grandes bancos de dados).
1.5. Instalar o Terminal Server
Para instalar o Terminal Server, preciso ativar o componente do Terminal Server durante a instalao,
usando o assistente de Componentes do Windows. Voc pode ativar o Terminal Server de duas formas: com o
Servidor de Aplicativos do Terminal ou Administrao de rea de Trabalho Remota. Esse ltimo no exige
licena e permite somente 3 conexes. A licena do Terminal Server pode ser instalada com o Terminal Server
ou sozinha em outro computador. Quando a Licena do Terminal Server instalada, preciso especificar se o
servidor de licenas servir ao domnio, ao grupo de trabalho ou ao site.
Para ativar o Terminal Server (Aplicativo), o processo realizado atravs do assistente de
componentes do Windows. Por sua vez, para ativar a rea de Trabalho Remota (instalado por padro),
preciso ir para a guia Remoto nas propriedades do sistema e selecionar a opo "Permitir que usurios se
conectem remotamente a este computador".
O
Terminal
Server
ativado
adicionando-se
o
componente
"Terminal
Server"
e
usando
Componentes
do
Windows
no
assistente
de
Adicionar
ou
Remover Programas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 10 |
1.6. Configurar Acesso de Usurio
Os usurios que tm contas em um Terminal Server so habilitados para iniciar a sesso no servidor por
padro.
Para desabilitar o processo de conexo para um usurio, preciso limpar a caixa Permitir logon no Terminal
Server na guia Perfil de servios de terminal na caixa Propriedades para a conta do usurio e depois clicar
em Aplicar. Na guia, voc tambm pode especificar os diretrios iniciais e os perfis de usurio dos usurios.
1.7.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 11 |
1.7.1.
Interface aprimorada
As sesses remotas que usam a rea de Trabalho Remota podem ser realizadas em vdeo high-color e
full-screen com uma barra de conexo para permitir a comutao rpida entre a sesso remota e a
rea de trabalho local. A conexo remota pode ser modificada de acordo com requisitos particulares e
para satisfazer suas necessidades especficas, com opes de tela, recursos locais, programas e
experincia. A configurao de experincia permite que voc escolha sua velocidade de conexo e
opes grficas, por exemplo, animao de temas ou menu e janela para otimizar o desempenho das
conexes com pouca largura de banda.
1.7.2.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 12 |
1.8. Instalar aplicativos no Terminal Server
Para tornar um aplicativo disponvel para mltiplos usurios, a instalao do aplicativo deve copiar os arquivos
do programa para um local central do servidor, em vez da Pasta Base dos usurios.
Nota: para fins de segurana, recomenda-se a instalao dos aplicativos em uma partio NTFS.
Existem dois mtodos para instalar programas em um Terminal Server:
Usando Adicionar ou Remover Programas no Painel de Controle ou atravs do comando
Change User do prompt de comando. O primeiro executa automaticamente o comando Change
User, que o mtodo preferido para instalar programas em um Terminal Server.
Para instalar um programa usando Adicionar ou Remover Programas, preciso executar as
seguintes etapas:
1.
2.
3.
4.
5.
6.
7.
8.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 13 |
2. Administrao Remota com rea de Trabalho Remota
A rea de Trabalho Remota para administrao inclui as seguintes caractersticas e vantagens:
Administrao grfica dos servidores Windows Server 2003 e Windows 2000 de qualquer cliente Terminal
Services. (Os clientes esto disponveis para computadores que executem Windows para Workgroups,
Windows 95, Windows 98, Windows CE 2.11, Windows CE.NET, Windows NT, Windows 2000, Windows XP
Professional e Macintosh OS-X.)
Atualizaes remotas, reincio e promoo / rebaixamento de Controladores de Domnio.
Acesso aos servidores, utilizando conexes de baixa largura de banda, com at 128 bits de criptografia.
Instalao e execuo remotas de aplicativos, com acesso a discos e mdia locais (por exemplo, quando so
copiados arquivos grandes e verificaes de vrus).
Possibilidade dos administradores remotos compartilharem uma sesso para fins de colaborao e suporte.
Remote Desktop Protocol (RDP). Inclui impresso local e em rede, redirecionamento de sistema de arquivos,
mapeamento da rea de transferncia (recortar, copiar e colar), redirecionamento de Carto inteligente,
redirecionamento de dispositivos em srie e suporte a qualquer programa de canal virtual RDP.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 14 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 15 |
2.3. Ferramentas de administrao
A seguir temos uma amostra limitada das ferramentas de administrao que podem ajud-lo a controlar
sesses remotas:
Conectar com o console
Para conexo com o console, os administradores podem escolher um dos mtodos a seguir:
Utilizar o snap-in Remote Desktop Microsoft Management Console (MMC).
Executar o programa Remote Desktop Connection (mstsc.exe) com o parmetro /console.
Criar pginas Remote Desktop Web Connection com a propriedade ConnectToServerConsole.
Diretiva de Grupo de Servios de Terminal
A Diretiva de Grupo pode ser utilizada para administrar os servios de Terminal dos computadores que
executam sistemas operacionais do Windows Server. Diretivas de Grupo de Servios de Terminal podem
configurar conexes de Servios de Terminal, de Diretivas de Usurio e de Clusters do Terminal Server, e
administrar sesses de Servios de Terminal.
Remote Desktops MMC
O console do snap-in Remote Desktops
Microsoft
Management
Console
(MMC)
permite que os administradores configurem
mltiplas conexes de Servios de Terminal.
Tambm til para gerenciar vrios
servidores que executem o Windows Server
2003 ou o Windows 2000 Server.
Uma exibio navegvel da rvore permite
que os administradores vejam, controlem e
alternem rapidamente entre as vrias sesses
de uma nica janela. Como na ferramenta
Conexo para rea de trabalho Remota, os
computadores remotos tambm podem ser
configurados
para
executar
programas
especficos atravs da conexo e para
redirecionar discos locais na sesso remota.
As informaes de logon e a rea da janela
do cliente podem ser configuradas no snapin. Da mesma forma, os administradores
podem estabelecer conexes remotas para a
sesso do console de um computador com
sistemas operacionais Windows Server.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 16 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 17 |
3. Terminal Server como Servidor de Aplicativos
O componente de Servios de Terminal do Microsoft Windows Server 2003 estruturado em uma base slida
proporcionada pelo Modo de Servidor de Aplicativo do Windows 2000 Terminal Services, e inclui os novos recursos do
cliente e do protocolo no Windows XP. Os Servios de Terminal permitem fornecer virtualmente aplicativos baseados no
Windows ou na rea de trabalho do Windows, para qualquer dispositivo, incluindo os que no podem executar o
Windows.
Os Servios de Terminal no Windows Server 2003 podem aperfeioar os recursos de instalao do software de uma
empresa em uma variedade de cenrios, proporcionando uma flexibilidade substancial infra-estrutura e
administrao de aplicativos. Quando um usurio executa um aplicativo no Terminal Server, a execuo do aplicativo
ocorre no servidor e somente as informaes de teclado, mouse e vdeo so transmitidos na rede. Cada usurio v
somente a sua sesso individual, que administrada de forma transparente pelo sistema operacional do servidor e
independente de qualquer outra sesso do cliente.
3.1. Benefcios
Os Servios de Terminal no Windows Server 2003 fornecem trs benefcios importantes:
3.2.
Benefcio
Descrio
Instalao rpida e
centralizada de
aplicativos
Acesso a dados
utilizando conexes de
baixa largura de banda
Windows em qualquer
parte
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 18 |
Gerenciador de Servios de Terminal
O Gerenciador de Servios de Terminal aprimorado permite uma administrao mais fcil de uma grande
diversidade de servidores, reduzindo a enumerao automtica do servidor. Isso d acesso direito aos
servidores especificados por nome e fornece uma lista dos servidores preferidos.
Gerenciador do Terminal Server.
O Gerenciador de Licenas do Terminal Server foi aprimorado para facilitar a ativao de um Servidor de
Licenas do Terminal Server e atribuir as licenas.
Diretiva de Sesso nica
Configurando a Diretiva de Sesso nica, o administrador pode limitar os usurios a uma nica sesso,
independente de ela estar ativa ou no (exatamente como em um grupo de servidores).
Mensagens de Erro do Cliente
Mais de 40 novas mensagens de erro de cliente facilitam o diagnstico de problemas da conexo do cliente.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 6 | Pgina 19 |
Para obter mais informaes:
http://www.microsoft.com/windowsxp/pro/techinfo/administration/restrictionpolicies/default.asp
Este recurso do Windows substitui a ferramenta AppSec (Segurana de Aplicativo) utilizada em verses
anteriores dos Servios de Terminal.
3.6.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
Capitulo 7
Implementao e Configurao de IIS 6.0
Neste capitulo, voc obter conhecimentos sobre os servios Web e, ao conclu-lo, poder:
Implementar Servios Web
Instalar o IIS6
Administrar um ambiente de Servios Web
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
1. Introduo
Os servios do Microsoft Internet Information Server (IIS) 6.0 com o Windows Server 2003 fornecem recursos de
servidor da Web integrados, confiveis, escalveis, seguros e administrveis em uma intranet, uma extranet ou na
Internet. O IIS 6.0 incorpora aperfeioamentos significativos na arquitetura para atender s necessidades de clientes
em vrias partes do mundo.
1.1. Vantagens
O IIS 6.0 e o Windows Server 2003 introduzem vrios recursos novos de administrao, disponibilidade,
confiabilidade, segurana, rendimento e escalabilidade nos servidores de aplicaes da Web. O IIS 6.0
tambm aprimora o desenvolvimento de aplicativos da Web e a compatibilidade internacional. Juntos, o IIS
6.0 e o Windows Server 2003 proporcionam a soluo para servidores da Web mais confivel, produtiva,
conectada e integrada disponvel.
Vantagem
Descrio
Confivel e escalvel
Desenvolvimento e
compatibilidade
internacionais
aprimorados
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 2 |
1.2.
Descrio
Nova arquitetura de
processamento de
solicitaes
Deteco do estado
Escalabilidade dos
sites
Novo controlador
em modo de ncleo,
HTTP.SYS
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
Segurana e recurso de administrao
1.2.2.
O Windows Server 2003 traz os seguintes recursos para proporcionar segurana e escalabilidade
aprimoradas.
Recurso
Descrio
Servidor
bloqueado
Autorizao
O IIS 6.0 amplia o uso de um novo marco de autorizao fornecido com o Windows
Server 2003. Alm disso, os aplicativos da Web podem utilizar a autorizao de
endereos URL, formando pares com o Administrador de autorizaes para controlar a
obteno de acesso. A autorizao delegada e restrita proporciona agora aos
administradores de domnio o controle para delegar unicamente servios e mquinas
especficas.
A metabase de texto do IIS 6.0, com formato XML, proporciona recursos aprimorados
de cpia de segurana e restaurao para os servidores com erros crticos. Tambm
Metabase XML proporciona recuperao de erros da metabase e uma soluo de problemas
aprimorada. A modificao direta, mediante ferramentas comuns de modificao de
texto, proporciona uma maior capacidade de administrao.
1.2.3.
Recurso
Descrio
Integrao do
IIS e do
ASP.NET
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
2. O IIS como servidor de aplicativos
O servidor de aplicativos uma nova funo do Windows Server 2003, aliado s seguintes tecnologias:
Internet Information Services (IIS) 6.0
Microsoft .NET Framework
ASP.NET
ASP
UDDI Services
COM+
Microsoft Message Queuing (MSMQ)
A funo do servidor de aplicativos combina essas tecnologias em uma experincia coesa, permitindo que os
desenvolvedores e administradores da Web disponham de aplicativos dinmicos, por exemplo, um aplicativo de banco
de dados do Microsoft ASP.NET, sem necessidade de instalar qualquer outro software no servidor.
Configurao do servidor de aplicativos
O servidor de aplicativos configurvel em dois pontos do Windows Server 2003: no assistente Configurar o Servidor
e no aplicativo Adicionar ou Remover Componentes.
O assistente para configurar seu servidor
O assistente Configurar o Servidor o ponto central para configurar funes no Windows Server 2003 e agora inclui a
funo de servidor de aplicativos. Para ter acesso ao assistente Configurar o Servidor, clique em Adicionar ou
Remover Funes no assistente Configurar o Servidor. Essa funo substitui a funo existente do servidor da Web.
Depois de instalar essa nova funo, a pgina Manage Your Server tambm incluir uma entrada para a nova funo.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 2 |
Adicionar/Remover Componentes do Servidor de Aplicativo
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 3 |
O servidor de aplicativos tambm foi includo no Adicionar ou Remover Componentes do Windows Server 2003 como
componente opcional de alto nvel. Da mesma forma, os aplicativos do servidor de aplicativos (IIS 6.0, ASP.NET,
COM+ e MSMQ) podem ser instalados e configurar os componentes secundrios usando Adicionar ou Remover
Componentes. Usando Adicionar ou Remover Componentes para configurar o servidor de aplicativos, possvel ter
maior controle sobre os componentes secundrios especficos que sero instalados.
2.1.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 4 |
Componente de administrao e monitoramento do servio WWW. O Gerenciador
de Processos e Configuraes em modo usurio administra as operaes do servidor e supervisiona
a execuo do cdigo do aplicativo. Como o HTTP.sys, este componente no carrega e nem processa
nenhum cdigo de aplicativo.
Antes abordar esses componentes, importante introduzir os novos conceitos do IIS 6.0: Grupos de
Aplicativos e Processos de Trabalho.
Os grupos (pools) de aplicativos so utilizados para administrar sites e aplicativos na Web.
Cada Grupo de Aplicativos corresponde a uma fila de solicitao no HTTP.sys e aos processos do Windows
responsveis por executar essas solicitaes. O IIS 6.0 pode oferecer suporte a at 2.000 grupos de
aplicativos por servidor e pode ter mltiplos Grupos de Aplicao funcionando ao mesmo tempo. Por
exemplo, um servidor de departamento pode ter o RH em um Grupo de Aplicativos e o departamento
financeiro em outro Grupo. Da mesma forma, um provedor de servios da Internet (ISP) pode ter sites da
Web e aplicativos de um cliente em um grupo de aplicativos e os sites da Web de outro cliente em um Grupo
de Aplicativos diferente. Os Grupos de Aplicativos so separados por limites de processamento no Windows
Server 2003. Portanto, um aplicativo em um Grupo de Aplicativo no afetado pelos aplicativos em outros
Grupos de Aplicativos, e uma solicitao do aplicativo no pode ser encaminhada a outro grupo de
aplicativos. Os aplicativos tambm podem ser facilmente atribudos a outros grupos de aplicativos enquanto o
servidor est em funcionamento.
Um Worker Process executa pedidos de servios dos sites da Web e aplicativos em um Grupo de
Aplicativos. Todos os processos de aplicativos da Web, incluindo o carregamento dos filtros e das extenses
ISAPI, assim como a autenticao e a autorizao, so executados por um novo servio WWW DLL, no qual
se carrega um ou mais Worker Processes. O Worker Process executvel chama-se W3wp.exe.
2.2. HTTP.sys
No IIS 6.0, o HTTP.sys escuta as solicitaes e as coloca nas filas apropriadas. Cada fila de solicitaes
corresponde a um Grupo de Aplicativos. Considerando que nenhum cdigo de aplicativo funciona no
HTTP.sys, ele no pode ser afetado por falhas no cdigo do Modo Usurio, que normalmente afetam o estado
de Servios da Web. Se um aplicativo falhar, o HTTP.sys continua aceitando e colocando as novas solicitaes
na fila apropriada at que um dos seguintes eventos ocorra: o processo seja reiniciado e comece a aceitar
solicitaes, no haja filas disponveis, no haja espao nas filas ou o prprio servio da Web seja fechado
pelo administrador. Como o HTTP.sys um componente de modo Kernel, a operao realizada
especialmente eficiente, permitindo que a arquitetura do IIS 6.0 combine o isolamento do processo com o
alto desempenho ao solicitar processos.
Quando o servio de WWW notar que o aplicativo falhou, se algum tiver solicitaes especiais aguardando
para serem inseridas no Worker Process de um Grupo de Aplicativos, um novo Worker Process iniciado.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 5 |
Portanto, embora possa haver uma interrupo temporria no processo da solicitao do modo de usurio, o
usurio no percebe a falha porque as solicitaes continuam sendo aceitas e colocadas em filas.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 1 |
3. Aprimoramento na Segurana
A segurana sempre foi um aspecto importante do Internet Information Services. Entretanto, nas verses anteriores
do produto (ex. O IIS 5.0 no Windows 2000 Server), o servidor no era enviado no estado "bloqueado" por padro.
Muitos servios desnecessrios, por exemplo, impresso pela Internet eram ativados na instalao.
Tornar o sistema mais resistente era um processo manual e muitas organizaes simplesmente mantinham os ajustes
do servidor sem modificao. Isso provocou uma grande vulnerabilidade a ataques porque, embora os servidores
pudessem se tornar seguros, muitos administradores no fizeram o que precisavam ou no tinham as ferramentas
para faz-lo.
por isso que a Microsoft aumentou significativamente seu foco em segurana desde o desenvolvimento de verses
anteriores do IIS. Por exemplo, no incio de 2002, o trabalho de desenvolvimento de todos os engenheiros do
Windows mais de 8.500 pessoas foi suspenso enquanto a companhia realizava um treinamento intensivo sobre
segurana. Quando o treinamento terminou, as equipes de desenvolvimento analisaram a base do cdigo do
Windows, incluindo o HTTP.sys e o IIS 6.0, para colocar o conhecimento adquirido em prtica. Isso representou um
investimento substancial no aumento da segurana da plataforma do Windows. Alm disso, durante a fase de projeto
do produto, a Microsoft realizou um teste de ameaa para garantir que os desenvolvedores de software da empresa
tinham entendido o tipo de ataque que o servidor poderia sofrer em implementaes do cliente. Da mesma forma, os
especialistas de terceiros realizaram anlises independentes na segurana do cdigo.
3.1.
Servidor Bloqueado.
Para reduzir a superfcie de ataque da infra-estrutura da Web, a instalao do Windows Server 2003 no
instala o IIS 6.0 por padro. Os administradores precisam selecionar e instalar explicitamente o IIS 6.0 em
todos os produtos do Windows Server 2003, exceto no Windows Server 2003 Web Edition. Isso significa que
agora o IIS 6.0 no precisa ser desinstalado depois que o Windows tiver sido instalado se no for necessrio
para a funo do servidor (por exemplo, se o servidor for instalado para funcionar como servidor de correio
ou banco de dados). O IIS 6.0 tambm ser desativado quando um servidor migrar para o Windows Server
2003, a menos que a Ferramenta de Bloqueio do IIS 5.0 esteja instalada antes da migrao ou tenha sido
configurada uma chave de registro. Alm disso, o IIS 6.0 configurado, por padro, no estado "bloqueado"
quando instalado. Depois da instalao, o IIS 6.0 aceita somente as solicitaes de arquivos estticos at ser
configurado para o contedo dinmico. Todos os tempos de espera e ajustes so corrigidos para evitar
problemas srios de segurana. O IIS 6.0 tambm pode ser desativado usando as Diretivas de Grupo do
Windows Server 2003.
3.2.
Descrio
No instalado por
padro no Windows
Server 2003
Instalao no estado
bloqueado
Desativao em
atualizaes
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 2 |
3.3.
Desativao via
Diretiva de Grupo
Extenses de arquivo
reconhecidas
Ferramentas de linha
de comando
acessveis aos
usurios da Web
Proteo de gravao
para contedo
3.4.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 3 |
3.5. Aprimoramentos de SSL
Foram realizados trs aprimoramentos principais no Secure Sockets Layer (SSL) do IIS 6.0. Eles
so:
Desempenho. O IIS 5.0 j proporcionava o software de implementao de SSL mais
rpido do mercado. Conseqentemente, em 50% de todos os sites Web o SSL executado em IIS
5.0. O SSL do ISS 6.0 ainda mais rpido. A Microsoft aprimorou a implementao do SSL para
fornecer desempenho e escalabilidade ainda maiores.
Objeto de Certificao Remota No IIS 5.0, os administradores no podiam
administrar certificados SSL remotamente porque o provedor de servios criptogrficos e
armazenamento certificado no era remoto. Considerando que os clientes controlam centenas ou at
alguns milhares de servidores IIS com certificados SSL, eles precisam de uma forma de gerenciar
certificados remotamente. Por isso, o CertObject agora permite que os clientes faam isso.
Provedor de Servio Criptogrfico. Se o SSL estiver ativado, o desempenho cai
significativamente porque a CPU precisa realizar diversas operaes de criptografia intensas. Por
isso, agora existem placas aceleradoras baseadas em hardware que permitem extrair dados dessas
criptografias. Os Provedores de Servios Criptogrficos podem inserir seus prprios fornecedores de
API de criptografia no sistema. Com o IIS 6.0, fcil selecionar um provedor de criptografia API de
terceiros.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 7 | Pgina 4 |
4. Exerccio 1: Instalar o IIS 6.0 no Windows Server 2003
Para poder realizar este exerccio, voc ter que instalar o Windows Server 2003.
Para instalar o IIS 6.0 no Windows Server 2003:
1.
2.
3.
4.
5.
6.
7.
8.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 1 |
Captulo 8
Segurana: Novas funcionalidades no Windows Server 2003
Neste captulo, voc assimilar conhecimentos sobre aprimoramentos de segurana introduzidos no Windows Server
2003.
Ao concluir este captulo, voc poder:
Descrever as funcionalidades de segurana
Implementar e verificar as funcionalidades de segurana
Nota: Considerando a quantidade de informaes sobre temas referentes segurana e como este captulo um
resumo das novas funcionalidades, sugerimos que sejam revistos os conhecimentos adquiridos no Windows 2000 e
tambm as publicaes do Technet.
Se voc quiser receber o boletim de segurana da Microsoft, registre-se no endereo abaixo. O boletim gratuito e
ser de grande utilidade para suas tarefas dirias.
http://register.microsoft.com/subscription/subscribeme.asp?id=166
1. Introduo
As empresas ampliaram suas redes LAN tradicionais com uma combinao de sites da Internet, intranets e extranets.
Conseqentemente, agora mais importante do que nunca garantir uma maior segurana nos sistemas. Para
proporcionar um ambiente de informtica seguro, o sistema operacional Windows Server 2003 traz vrios recursos
novos e importantes de segurana em relao aos do Windows 2000 Server.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 2 |
1.1. Informtica de confiana
Os vrus fazem parte da nossa realidade, por isso, a manuteno da segurana do software um desafio
constante. Para fazer frente a esse desafio, a Microsoft transformou a computao confivel em uma
iniciativa chave para todos os seus produtos. A Computao Confivel um marca para o desenvolvimento
de dispositivos baseados em equipamentos e software seguros e confiveis, como os dispositivos e os
equipamentos domsticos que ns utilizamos diariamente. Embora atualmente no exista nenhuma
plataforma de computao totalmente confivel, o novo design bsico do Windows Server 2003 um passo
slido para transformar esse conceito em realidade.
A linguagem comum em tempo de execuo permite que os aplicativos sejam executados sem erros e, por
sua vez, verifica se eles possuem permisses de segurana adequadas, garantindo que o cdigo realize
exclusivamente as operaes autorizadas. Isso feito testando-se os seguintes aspectos: a localizao de
onde o cdigo foi obtido por download ou instalado, se o cdigo tem uma assinatura digital de desenvolvedor
confivel e se foi alterado aps a sua assinatura digital.
1.3. Vantagens
O Windows Server 2003 fornece uma plataforma mais segura e econmica para a realizao de atividades de
empresas.
Vantagem
Descrio
Diminuio de custos
Implementao de
padres abertos
O protocolo IEEE 802.1X facilita a segurana das LANs sem fio frente ao risco
de espionagem em um ambiente empresarial.
Proteo para
equipamentos mveis e
outros novos
dispositivos
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 3 |
Uma plataforma mais segura para realizar atividades corporativas
O Windows Server 2003 oferece diversos recursos novos e aprimorados combinados para criar uma
plataforma mais segura para realizar atividades corporativas.
Caracterstica
Descrio
Firewall de conexo
Internet
Servidor IAS/RADIUS
seguro
Diretivas de Restrio de
Software
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 4 |
esto includos: SHA-1, DES, 3DES e um gerador de nmero aleatrio
aprovado. O mdulo criptogrfico, compatvel com o FIPS de modo de
ncleo, permite que as organizaes pblicas implementem Segurana de
Protocolo de Internet (IPSec) compatvel com o FIPS 140-1. Para isso,
preciso utilizar:
Servidor e cliente de VPN L2TP (Protocolo de encapsulamento da
camada 2)/IPSec.
Encapsulamentos L2TP/IPSec para conexes VPN entre portas
de enlace.
Encapsulamentos IPSec para conexes VPN entre portas de
enlace.
Trfego da rede ponto a ponto, criptografado atravs de IPSec,
entre cliente e servidor, e de servidor para servidor.
Novo protocolo de
autenticao extensvel
protegido
Administrador de
credenciais
Aprimoramentos de
autenticao de clientes
SSL
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 5 |
A melhor plataforma para a infra-estrutura de chaves pblicas
O Windows Server 2003 facilita a implementao de uma infra-estrutura de chaves pblicas, junto com
tecnologias associadas com cartes inteligentes.
Caracterstica
Descrio
Renovao e inscrio
automtica de
certificados
Compatibilidade do
Windows Installer com
a assinatura digital
Aprimoramentos das
listas de certificados
revogados (CRL)
Descrio
Integrao com
Passport
Relaes de
confiana entre
florestas
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 1 |
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 1 |
3. Usar Modelos de Segurana para proteger os Computadores
Voc pode usar Modelos de Segurana para criar e alterar Diretivas de Segurana que atendam s necessidades da
sua empresa. As Diretivas de Segurana podem ser implementadas de formas diferentes. O mtodo que voc usar
depende do tamanho e das necessidades de segurana da organizao. Dessa forma, as pequenas empresas, que no
possuem uma implementao do Active Directory, tero que configurar a segurana manualmente, enquanto as
grandes empresas exigiro nveis de segurana elevados. Para elas, aconselhvel usar os Objetos de Diretiva de
Grupos (GPOS) para instalar diretivas de segurana.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 2 |
Segurana do Controlador de Domnio (DC security.inf)
Esse Modelo usado quando um servidor promovido a controlador de domnio. Contm configuraes de
segurana necessrias em arquivos, registro e servios. Voc pode aplicar esse modelo usando o snap-in
Security Configuration and Analysis ou com a ferramenta Secedit.
Compatvel (Compatws.inf)
Este modelo aplica configuraes de segurana necessrias para todos os aplicativos que no foram
certificados pelo Programa de Logotipo do Windows.
Seguro (Secure*.inf)
Esse Modelo aplica configuraes de segurana de alto nvel, afetando a compatibilidade dos aplicativos. Por
exemplo, Senha Mais Slida, Bloqueio, Configuraes de Auditoria.
Altamente Seguro (Hisec*.inf)
Este modelo aplica as configuraes de segurana mais elevadas possveis. Para eles, so impostas restries
aos nveis de criptografia e assinatura de pacotes de dados em canais seguros e entre clientes e servidores
nos pacotes Server Message Block (SMB).
Obtenha mais informaes sobre secedit:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=true
A ferramenta Security Configuration and Analysis compara a configurao de segurana do computador local
e uma configurao alternativa que importada do modelo (arquivo .inf ) e armazenada em um banco de
dados separado (arquivo .sdb). Quando a anlise concluda, voc pode analisar os ajustes da segurana na
rvore do console para ver os resultados. As discrepncias esto marcadas com uma sinalizao vermelha, as
consistncias esto marcadas com uma marca de seleo verde e os ajustes que no esto marcados com
uma sinalizao vermelha ou uma marca verde no podem ser configurados no banco de dados.
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.
Captulo 8 | Pgina 3 |
Depois de analisar os resultados usando a ferramenta Security Configuration and Analysis, voc
pode realizar vrias tarefas, incluindo:
Eliminar as discrepncias entre os ajustes nos bancos de dados e os ajustes atuais do computador.
Para configurar ajustes do banco de dados, clique na configurao do painel de detalhes.
Importar outros modelos, combinando seus ajustes e substituindo ajustes onde houver conflito.
Para importar outro modelo, clique com o boto direito em Security Configuration and Analysis e
depois clique em Import Template.
Exportar os ajustes atuais do banco de dados para um modelo. Para importar outro modelo, clique
com o boto direito em Security Configuration and Analysis e depois clique em Export
Template.
Para mais informaes sobre Ferramentas de Segurana:
Informaes adicionais sobre segurana:
Introduo Tcnica Segurana.
http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx
Guia de Segurana no Windows Server 2003.
http://www.microsoft.com/security/guidance/prodtech/WindowsServer2003.mspx
IPsec no Windows Server 2003.
http://support.microsoft.com/default.aspx?scid=kb;en-us;323342
http://support.microsoft.com/default.aspx?scid=kb;en-us;324269
Criptografia de Chave Pblica
http://support.microsoft.com/default.aspx?scid=kb;en-us;281557
http://support.microsoft.com/default.aspx?scid=kb;en-us;290760
www.microsoft.com/brasil/technet
2003 Microsoft Corporation. Todos os direitos reservados.